通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 虚拟桌面中使用会话主机更新来更新会话主机(预览版)

  • 项目

重要

Azure 虚拟桌面的会话主机更新目前以预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

想要使用会话主机配置更新主机池中的会话主机时,请使用会话主机更新。 使用会话主机更新,你可以更新基础虚拟机 (VM) 映像、大小、磁盘类型和其他配置属性。 在更新期间,会删除现有的虚拟机或将其解除分配,并会使用存储在会话主机配置中的已更新配置来创建新的虚拟机。 该更新还使用会话主机管理策略中的值来确定会话主机应如何更新。

本文介绍如何使用 Azure 门户和 Azure PowerShell 更新主机池的会话主机配置、如何更新该池中的会话主机,以及如何监视更新的进度。

若要详细了解会话主机更新的工作机制,请参阅会话主机更新

先决条件

在使用会话主机更新来更新会话主机之前,你需要:

  • 一个具有会话主机配置的现有共用主机池,其中的会话主机全部位于同一 Azure 区域和资源组中。 不支持个人主机池。

  • 新映像必须支持 Azure 虚拟桌面并与虚拟机的代相匹配。 如果使用的是受信任启动虚拟机机密虚拟机,则映像必须适用于第 2 代虚拟机。 它可以来自:

    • Azure 市场。
    • 现有的 Azure Compute Gallery 共享映像。 建议至少有两个要使用的映像副本。
    • 现有的托管映像。

  • 移除会话主机或其所在资源组上的任何资源锁。

  • 为 Azure 虚拟桌面服务主体分配资源组或订阅上的桌面虚拟化虚拟机参与者基于角色的访问控制 (RBAC) 角色,其中包含要与会话主机更新配合使用的主机池和会话主机。 有关详细信息,请参阅将 Azure RBAC 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体

  • 一个用于配置会话主机更新的 Azure 帐户,具有以下 Azure RBAC 角色,可更新以下资源类型。 还可以使用包含相同权限的其他内置角色,或创建自定义角色。

    资源类型 内置 Azure RBAC 角色 范围
    主机池 桌面虚拟化主机池参与者
    桌面虚拟化应用程序组参与者    		 资源组或订阅
    会话主机 虚拟机参与者 资源组或订阅

  • 只能将会话主机加入 Active Directory 域。 不支持将会话主机加入 Microsoft Entra ID,但可以使用 Microsoft Entra 混合加入

    • 如果要将会话主机加入 Microsoft Entra 域服务域,则你需要成为 AAD DC 管理员的成员。

    • 如果将会话主机加入 Active Directory 域服务 (AD DS) 域,则需要使用一个其权限比通常情况下加入域所需权限更多的帐户,因为新的操作系统映像会重用现有的计算机对象。 下表中的权限和属性需要应用于包含会话主机的组织单位 (OU) 上的帐户:

      名称 类型 适用于
      重置密码 允许 后代计算机对象
      已验证的到 DNS 主机名的写入 允许 后代计算机对象
      已验证的到服务主体名称的写入 允许 后代计算机对象
      读取帐户限制 允许 后代计算机对象
      写入帐户限制 允许 后代计算机对象

      KB5020276 开始,引入了进一步的保护措施,以防止在 Active Directory 域中重复使用计算机帐户。 若要成功地重复使用会话主机的现有计算机对象,必须满足以下条件之一:

      • 将会话主机加入域的用户帐户是现有计算机帐户的创建者。
      • 该计算机帐户已由域管理员安全组的成员创建。
      • 将组策略设置 Domain controller: Allow computer account re-use during domain join 应用于计算机帐户的所有者。 有关此设置的范围的详细信息,请参阅 KB5020276

  • 一个密钥保管库,其中包含要用于虚拟机本地管理员帐户凭据的机密,在要将会话主机加入 Active Directory 域的情况下还包含域加入帐户凭据。 每个用户名和密码都需要一个机密。 虚拟机本地管理员密码必须符合创建 VM 时的密码要求

    请参阅将 Azure RBAC 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体,以确保使用的是正确的服务主体。

  • 对于在会话主机配置中指定的任何要在更新后运行的自定义配置 PowerShell 脚本,脚本的 URL 必须可以从公共 Internet 解析。

  • 如果要在本地使用 Azure PowerShell,请参阅将 Azure CLI 和 Azure PowerShell 与 Azure 虚拟桌面配合使用,确保已安装 Az.DesktopVirtualization PowerShell 模块扩展。 或者,也可以使用 Azure Cloud Shell

  • 支持会话主机更新的适用于 Azure 虚拟桌面的 Azure PowerShell cmdlet 处于预览状态。 需要下载并安装 Az.DesktopVirtualization 模块的预览版才能使用这些 cmdlet,这些 cmdlet 已添加到版本 5.3.0 中。

计划更新和编辑会话主机配置

计划更新时,将使用主机池的会话主机配置。 需要在计划更新时更改会话主机配置,否则将使用相同的会话主机配置值重新部署会话主机。 计划更新时所做的任何更改都会保存到会话主机配置中。

若要为会话主机计划某项更新,请选择与方案相关的选项卡并按照步骤操作。

重要

  • 在更新期间,可供用户会话使用的会话主机数量会减少,任何已登录的用户都会被要求退出登录。 我们建议你在不太繁忙的时段计划更新,以尽量减少对最终用户的干扰。

  • 如果对要更新的会话主机使用自定义网络安全组 (NSG),你会发现存在一个已知问题,即无法使用 Azure 门户启动更新。 若要解决此问题,请使用 Azure PowerShell 来启动更新。

下面介绍如何使用 Azure 门户为会话主机计划新的更新。

提示

使用 Azure 门户计划更新时,值将从会话主机配置中填充。 如果这是第一次更新且尚未创建会话主机配置,则门户会显示默认会话主机配置,直到创建会话主机配置为止。 更新期间,对会话主机配置所做的任何更改都会被保存。

如果使用 Azure 门户编辑会话主机配置,则必须计划更新。

  1. 确保你已使用本文开头的链接注册有限预览版,然后使用注册后提供给你的特定链接登录 Azure 门户。 从 Azure 虚拟桌面概述中选择“主机池”,然后选择具有要更新的会话主机配置的主机池。

  2. 选择“会话主机”

  3. 如果要在计划更新之前查看会话主机配置,请选择“管理会话主机配置”,然后选择“查看”。 查看会话主机配置后,选择“取消”

  4. 若要计划某项新更新,请选择“管理会话主机更新”,然后选择“新更新”。 也可选择“管理会话主机配置”,然后选择“编辑”

  5. 在“基本信息”选项卡上,完成以下信息:

    参数 值/说明
    启用在更新后保存原始虚拟机的功能 在回滚方案中很有用,但存储原始 VM 的组件需要支付正常费用。
    当前主机池大小(只读 主机池中的会话主机数。
    在更新期间授权从主机池中删除的 VM 批次大小 一次更新的最大会话主机数。

    更新开始时,仅会先更新一个会话主机(称为“初始机”)以验证更新过程,然后再批量更新其余会话主机。 如果初始机更新不成功,则更新会停止。
    更新期间可用的会话主机(只读 更新期间可供用户会话使用的最小会话主机数量。

    完成此选项卡后,选择“下一步: 会话主机”。

  6. 在“会话主机”选项卡上,可以选择更新会话主机配置中的以下参数:

    参数 值/说明
    安全类型 从“标准”、“受信任启动虚拟机”或“机密虚拟机”中进行选择

    - 如果选择“受信任启动虚拟机”,则系统会自动选择“安全启动”和“vTPM”选项。

    - 如果选择“机密虚拟机”,则系统会自动选择“安全启动”、“vTPM”和“完整性监视”选项。 使用机密 VM 时,无法选择退出 vTPM。
    映像 从列表中选择要使用的 OS 映像,或选择“查看所有映像”以查看更多印象,包括已创建并存储为 Azure Compute Gallery 共享映像托管映像的任何自定义映像
    虚拟机大小 从列表中选择建议的 SKU。 如果要使用其他 SKU,请选择“查看所有大小”,然后从列表中进行选择
    OS 磁盘类型 选择要用于会话主机的磁盘类型。 建议将高级 SSD 用于生产工作负荷

    磁盘类型需要在所选的 VM 系列和大小上得到支持。 确保选择 Azure 计算支持的组合。 更新后的会话主机的操作系统磁盘名称有一个格式为 SessionHostName-DateTime_Hash 的新名称。
    要加入的域
    选择要加入的目录 选择“Active Directory”,然后选择包含域加入帐户的用户名和密码所对应的机密的密钥保管库。

    你可以选择指定域名和组织单位路径。
    虚拟机管理员帐户 通过选择已更新会话主机 VM 的本地管理员帐户的用户名和密码的密钥保管库和机密,来完成相关参数。 用户名和密码必须满足 Azure 中 Windows VM 的要求
    自定义配置
    自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,可以在此处输入 URL。

    查看会话主机配置或完成对其进行的更改后,请选择“下一步: 计划”

  7. 在“计划”选项卡上,选中“立即计划更新”复选框,或选择要启动更新的日期、时间和时区,最长可为两周(从当前时间开始计算)。

    设置计划后,选择“下一步: 通知”。

  8. 在“通知”选项卡上,填写以下信息:

    参数 值/说明
    在用户退出登录前等待的分钟数 更新开始时间后在通知用户退出登录前需等待的时间。此值可配置为 0 到 60 分钟。 该时间过后,用户将自动退出登录。
    退出登录消息 你可以指定的一条消息,用来通知用户其正使用的会话主机即将开始更新。

    完成此选项卡后,选择“下一步: 查看”。

  9. 在“查看”选项卡上,确保验证通过并查看更新期间使用的信息。

  10. 选择“更新”以计划更新。 查看会话主机列表时,“当前版本”列会显示会话主机正在使用的会话主机配置版本的时间戳。 如果“当前版本”列有一个警告图标,则表示“目标版本”列中的版本的时间戳较晚,会话主机需要进行更新。

注意

首次计划更新时,你提供的设置将覆盖会话主机管理策略中的默认设置。 后续更新会预先填充这些参数并保存任何更改。

重要

  • 一旦计划了更新,就无法编辑该计划或设置。 如果需要进行任何更改,则需取消该更新并计划新的更新。

  • 更新过程中,请勿从主机池中移除任何 VM。 那样做可能会使正在进行的更新出现问题。

  • 更新过程中,请勿更改主机池中任何 VM 的排出模式。 VM 的排出模式会根据其所处的更新阶段自动进行更改。 如果会话主机在更新后无法恢复,则会启用其排出模式设置。 更新完成后,将重置排出模式。

  • 会话主机需要大约 20 分钟才能更新。 在转到下一个批次之前,批次大小中指定的会话主机数量会被同时更新。 应该将总完成时间考虑到计划的时间中。

监视更新的进度

更新开始后,可以检查其进度。 选择你的方案对应的相关选项卡并按照步骤操作。

下面是使用 Azure 门户监视更新进度的方法。

  1. 在 Azure 虚拟桌面概述中,选择“主机池”,然后选择你已为其计划了某项更新的主机池。

  2. 选择“会话主机”

  3. 蓝色横幅提供更新的状态。 它仅显示一个时间点,因此你需要选择“刷新”来检查最新进度。

如果选择立即启动更新,则更新开始时会显示消息,表明更新已计划好,但刷新后该消息会更新。 在更新期间,会看到更新期间从主机池中移除的会话主机的批大小数字。

提示

还可以使用 Azure Monitor 活动日志查看某项更新的活动。

暂停、恢复、取消或重试更新

可以暂停、恢复或取消正在进行的更新。 如果暂停或取消更新,则当前活动将在暂停其余更新之前完成。 例如,如果正在更新一批会话主机,则这些会话主机的更新将首先完成。 显示更新状态的蓝色横幅会发生变化,以显示更新在暂停时的进展情况。 一旦更新暂停,则只能恢复它,从暂停点继续。

如果在两周内未恢复更新,则更新会被取消。 取消更新后,无法恢复它。

注意

如果中途取消更新,主机池中的会话主机之间就会存在差异,例如操作系统版本不同,或者加入的 Active Directory 域不同。 这可能会给用户带来不一致的体验,因此需要尽快计划另一次更新,以确保所有会话主机都有奇偶校验。

下面是使用 Azure 门户暂停、恢复、取消或重试更新的方法。

  1. 在 Azure 虚拟桌面概述中,选择“主机池”,然后选择你已为其计划了某项更新的主机池。

  2. 选择“会话主机”,然后选择“管理会话主机更新”

  3. 根据更新的当前状态,选择“暂停”、“恢复”、“取消”或“重试”

  4. 选择“刷新”以更新蓝色横幅中的状态消息。 显示正确状态大约需要 20 秒的时间。

后续步骤