AVD常见问题

admin 管理员组

文章数量: 1087591

AVD常见问题

• • 概述类
  • • AVD 常见术语解释
    • Azure Files 如何选层级？
    • Windows 客户端卡住了怎么办？
    • 目前 China AVD 支持的高级功能？
    • 目前 China AVD 不支持的高级功能？
  • 常见坑位
  • • AD 同步
    • 无法加入domain域问题
    • 登录问题
    • 角色分配无法分配，没有权限问题
    • 文件共享的坑
    • 映像的坑
    • 线下客户问的几个问题
    • 自定义应用程序路径问题
    • Web端口键盘传入问题
    • AVD链接问题
  • 身份类
  • • 是否必须得有 Active Directory 域？
    • 是否支持宿主机 AAD Joined？
  • 宿主机类
  • • 是否限制用户部署 VM 终端节点数？
    • Windows OS 和 Office 如何升级？
    • AVD 支持哪些 Host 操作系统？
    • 什么是 Windows 10 企业多会话版本？
    • 能否在本地运行 Windows 10 企业多会话？
    • 可否在 Win10 多会话版本上安装永久授权的 Office？
  • 计费类
  • • AVD 产品是否额外收费？

概述类

AVD 常见术语解释

1. 应用程序组：应用程序组是一种对远程资源进行分组，并将其分配给用户的机制。应用程序组可以是以下两种类型之一：

   • RemoteApp：这是一种资源类型，允许用户访问分别发布到应用程序组的应用程序。你可以创建多个 RemoteApp 应用程序组，以适应不同的用户场景。建议使用 RemoteApp 将在旧操作系统上运行的应用程序虚拟化，或将需要安全访问公司资源的应用程序虚拟化。
   • 远程桌面：这是一种资源，为用户提供对完整桌面的访问权限。默认情况下，在创建主机池时，会自动创建桌面应用程序组。

2. 工作区：工作区是 Windows 虚拟桌面中应用程序组的逻辑分组。当用户登录 Windows 虚拟桌面时，如果他是多个应用程序组的成员（这些应用程序组来自不同的主机池），该用户可以同时看到桌面和应用程序。

3. 主机池：主机池是充当 Windows 虚拟桌面会话主机的 Azure 虚拟机的集合。用户通过分配的应用程序组被分配到主机池，从而获得对主机池的访问权限：

   • 共用：你可以配置共用主机池，可由多名用户登录并共享虚拟机。通常，这些用户都不是共用虚拟机的本地管理员。通过共用，你可以使用包含 Windows 10 企业版多会话的推荐映像之一。此操作系统是 Windows 虚拟桌面专用的操作系统。你还可以使用自定义映像。
   • 个人：个人主机池即每个用户都有自己的专用虚拟机。这些用户通常是虚拟机的本地管理员。这使用户能够在不影响其他用户的情况下安装或卸载应用。

4. 负载平衡：通过深度优先或广度优先算法实现会话主机负载平衡。代理决定如何在主机池中的虚拟机之间分配新的传入会话。

5. Web 客户端：Windows 虚拟桌面中的 Web 访问服务使用户能够随时随地使用任何设备上的兼容 HTML5 的 Web 浏览器访问虚拟桌面和远程应用，就像使用本地 PC 一样。你可以使用 Azure AD 中的多因素身份验证 (MFA) 保护 Web 访问。

Azure Files 如何选层级？

一个用户登录时，产生的 IOPS 是 50，稳定时的 IOPS 是 10 左右。

场景问题：公司共有 4000 个员工使用 Shared Pool，登录的时候会产生多少 IOPS（200k），稳定后会产生多少 IOPS（40k），公司只有 1/3 的员工会同时登录使用？

场景答案：
登录时 4000X50=200,000 IOPS，稳定后 4000X10=40,000 IOPS，因为只有 1/3 员工会同时登录使用，那么登录时需 66,000 IOPS，稳定时需要 13,000 IOPS。在这种情况下，需要选用 Premium tier File Share，因为 Standard tier 最高支持 20,000 IOPS（且需开启 LFS 功能后），而 Premium tier 最高支持 100,000 IOPS。另外由于 Azure China 不支持 Azure Backup for Azure File Share，所以对于其备份，建议使用 snapshot 做。

Windows 客户端卡住了怎么办？

可通过 taskkill /f /im mstsc.exe 强制终止进程，之后再试。

目前 China AVD 支持的高级功能？

• Short Path：减少延迟，通过UDP直接连接而不是通过 Azure 网关来，所有 UDP 流量通过 TLS 1.2 加密，证书由会话主机自动生成。目前该文档在中国区已经被移除，但是我问了产品组确认可以，下面是他们的回复：

RDP Shortpath for public networks via STUN should be available in China

But other Shortpath functions are not available in China region, and have no ETA.

• Further confirmation that the documentation in China region is not yet available. You may refer to below Global Azure documentation, which has mentioned that “RDP Shortpath for public networks via STUN” don’t need any extra configuration:

https://learn.microsoft/en-us/azure/virtual-desktop/configure-rdp-shortpath?tabs=intune%2Cportal%2Cconnection-information#default-configuration

• According to below documentation, we have verified our test environment ”RDP Shortpath is working”:

https://learn.microsoft/en-us/azure/virtual-desktop/configure-rdp-shortpath?tabs=intune%2Cportal%2Cconnection-information#verify-rdp-shortpath-is-working

• 屏幕内容保护机制：通过策略限制截屏操作，当用户尝试使用 Print Screen 键或第三方截屏工具时，系统会生成黑屏覆盖层以保护敏感信息。该功能需仅支持通过 ​​Windows Remote Desktop 客户端​​（新版 Windows App）连接，不支持 HTML5 浏览器端访问（如 Azure 虚拟桌面 Web 客户端）

目前 China AVD 不支持的高级功能？

• 3D 显卡需求：目前中国仅有一个 GPU 型号，NCv3-series，使用 v100 显卡，配额少且价格不太有竞争力。
• 国产瘦客户端：测试过部分机型，但大规模使用比较麻烦。
• 单项复制：只允许本地机器向云端复制，但不允许反向复制。
• 对于同一个本地 AD，同时同步到 Global AAD 和 China AAD 的情况不支持。
• Multimedia redirection (MMR)：优化浏览器中视频播放效果功能目前在 Global 正在预览。

常见坑位

AD 同步

AD connect同步的时候，最好不要使用云主机AD创建时候的那个默认azureuser账户，新增域控管理员账户。添加完成后重启域控。

• 使用默认的 Azure 用户可以简化设置过程，不需要额外创建和配置管理员账户。适合快速部署测试或临时环境，减少配置时间。如果是小规模测试环境或临时部署，使用Azure 定义的用户（azureuser）可能更简单和快捷。如果是生产环境或大规模部署，建议创建新的管理员账户并分配适当的角色，以实现更好的权限管理和安全控制。

• 新增管理员权限如下图：
  

无法加入domain域问题

原因：AD域控的DNS不是静态IP

1. 在门户中，找到ad域控服务器，点击网络，点击网络接口。
2. 在IP配置里，点击ipconfig1，把地址改成静态。
3. 在门户中，选择AD域的虚拟网络，点击DNS服务器，选择自定义DNS服务器，把AD域控的专有IP填进去，默认是10.0.0.4。

在向主机池添加虚拟机的时候，建议不要加网络安全组在虚拟机上，而是把网络安全组加到子网上。

登录问题

1. 登录AVD或者使用应用程序的账号问题：
   • 这里登录的账户，是AD域同步到Azure AD后的账户；原始在AD域中是avduser001@ashm
   • 同步到azure AD 后@后的就变成了azure上的域名，即avduser001@ashm.onmicrosoft，用这个来登录。

角色分配无法分配，没有权限问题

错误详情：没有分配用户的权限，所以要给用户增加roleAssignments/write权限，此权限对应的角色为：

1. 订阅所有者
2. 用户访问管理员角色

文件共享的坑

如果在主机里点击了注销用户，则用户下次登陆，需要输入共享文件的密钥。用户正常注销退出则不会输共享文件的密钥。

映像的坑

如果没有选择multi-session多会话版本，则只能一个用户登陆。

线下客户问的几个问题

1. 本地win10上传可以么？

   • 可以，但必须是版本支持，但不支持多会话，方便管理和远程登陆。

2. 网络带宽需求

   • 网络带宽需求文档

3. 用户回话持续多久，删除了是否有限制，以及文件留存多久？

   • 持久化回话，可以增加用户，只要会话数量未达到限制，至于用户文件是放在远程共享文件中，删除了文件就删除了，如果有软删除则按照软删除策略。

4. 本地AD是否支持？

   • 支持，可以选择同步到云，也可以专线打通，同时策略也会跟着同步。

5. 版本支持

   • 许可证支持
     
   • OS支持文档
     

6. 连接支持

   • 可以通过Web端，也可以通过客户端连接。

7. 支持GPU么？

   • 可以自定义大小，也

可以选择带GPU的大小。

8. 压力测试

   • 压力测试文档1
   • 压力测试文档2

9. 如果超过了应用程序组和应用程序超过了限制会down么？

   • 200个应用程序组，每个应用程序组50个应用程序，一共10000个应用程序，满足大部分需求。即使达到了，也不会down，只是不让你创建了。

10. 对于fslogix里的共享，共享文件挂载到虚拟机是单独付费的么？

    • 是，单独付存储的费用。

11. cloud shell的高级设置打不开怎么办？
    

    • 运行 clouddrive unmount 卸载已装载到 Cloud Shell 的文件共享。

自定义应用程序路径问题

在自定义应用程序的时候，路径为user/test1路径，当用户为test1用户的时候，应用程序可以正常访问；当用户为其他用户时，则应用程序无法访问。

故需要把应用程序路径改为公共路径，这样所有用户皆可访问。

Web端口键盘传入问题

键盘事件没有传递到远端的APP，鼠标事件是可以的，客户的APP支持AWSD和Space Key 的，不知道你那边能不能帮我确认一下Keyboard的事件是否可以传递过去。

解决办法：需要在Web端口打开输入法编辑器，这样键盘按键事件即可传入APP。

AVD链接问题

1. AVD是否可以限制公网访问，只允许走VPN网络？

   • 目前AVD不支持VPN访问；如果只是限制用户只能在公司环境使用AVD可以选择AAD条件访问策略，进行限制；使用的是公司的出口IP，因为条件访问策略的看到的IP是公网出口IP；如果使客户流量全走VPN（强制路由）让出口IP也改成VPN IP则会导致丢失Internet连接，因为Azure VPN 网关会丢弃发往Internet的流量。
     

2. 可否用NSG和防火墙进行限制？

   • NSG和防火墙只能限制虚拟机的虚拟网络那一块，无法限制底层的RD gateway这些，所以限制情况有限；因为AVD连接方式是主机池通过RD Gateway发起反向连接，所以限制条件有限，无法做到全控制。

3. 能否访问本地的资源？

   • S2SVPN和专线打通后就可以，如果是文件共享服务器，S2S 方案会有一定的带宽限制，无法得到良好的体验，建议使用Azure 文件共享。

4. 可否保留用户个性化文件？

   • FSlogix
   • OneDrive无法实现并发（一个用户，同时使用多个桌面的并发）。

5. 能否限制拷贝文件和水印？

   • 关闭重定向和剪切板；或者使用Intune进行更详细限制。
   • 水印 AVD无法自己解决，可以配合微钉解决方案使用。

6. 异常敏感行为，操作回放

   • 配合Ekran使用。

7. 收费情况

   • 只收虚拟机+存储费用（windows10 收的是linux版本的费用，少收授权费用），不同于citrix还需要收管理（RD gateway这类）节点费用，即中间控制平面——微软管理——不花钱。

身份类

是否必须得有 Active Directory 域？

是的，AVD 需要既有 AD 又有 AAD，且两者得同步。对于 AD 域，你有两种选择：

1. 搭建一个 VM，提升为域控，安装 AAD Connect，同步到 AAD 中。【可靠性低，成本低】
2. 使用 Azure 原生的 Azure AD Domain Service。【可靠性高，成本高】

是否支持宿主机 AAD Joined？

Global AVD 支持 Azure AD Joined，也就是说，你可以将宿主机（虚拟机）加入到 Azure Active Directory (AAD) 中，而不是传统的本地 Active Directory (AD)。China AVD 也支持 Azure AD Joined，但功能有一些限制。

具体来说，当你使用 Azure Files 作为 FSLogix 配置文件存储容器时，会遇到问题。因为 Azure Files 需要通过 AD 进行授权，但在 AAD Joined 环境下，没有本地 AD，因此 Azure Files 的授权会出现问题。

虽然 Global 版本正在预览一个新功能，允许 Azure Files 只通过 AAD 进行认证，但这个功能在中国尚未推出。因此，暂时不推荐在 China AVD 环境中使用 Azure AD Joined，除非你使用的是 Personal desktop，这种情况下没有 FSLogix 的管理需求。

宿主机类

是否限制用户部署 VM 终端节点数？

不限制，但是需要提前申请足够的 VM vCore 的配额。另外，不建议配置大于 32vCPU 核心的 VM，因为操作系统无法发挥出最高性能。

Windows OS 和 Office 如何升级？

对于 Pooled Host Pool，因为大家共享主机使用，所以我们应该通过定期制作 Golden Image 的方式，来进行 Host Pool 的迭代（删掉所有 Host，然后基于新的 Image 重新部署 Host）。但由于 Azure China 缺少 Image Builder 功能，制作 Image 可能稍显麻烦。所以可以考虑使用 Update Management 升级 Windows OS（图形化界面，操作简单，但仅支持 Windows Server），还可以使用 Azure Automation 来升级 Office 套件（ODT PowerShell 脚本）。

AVD 支持哪些 Host 操作系统？

Windows 虚拟桌面支持 Windows 10 多会话、Windows 10 单会话、Windows 7 单会话和 Windows Server 2012 R2 以及更新的操作系统。Windows 虚拟桌面目前支持以下 x64 操作系统映像：

• Windows 10 Enterprise 多会话版本 1809 或更高版本
• Windows 10 企业版：版本 1809 或更高版本（仅限半年频道）
• Windows 7 Enterprise
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Windows 虚拟桌面不支持 x86（32 位）、Windows 10 企业版 N、Windows 10 专业版或 Windows 10 企业版 KN 操作系统映像。由于扇区大小限制，Windows 7 也不支持在托管 Azure 存储上托管的任何基于 VHD 或 VHDX 的配置文件解决方案。

什么是 Windows 10 企业多会话版本？

Windows 10 企业多会话（以前称为适用于虚拟桌面的 Windows 10 企业版）是一个新的远程桌面会话主机，允许多个并发交互式会话。以前，只有 Windows 服务器可以执行此操作。此功能为用户提供了熟悉的 Windows 10 体验，而 IT 可以从多会话的成本优势中获益，并使用现有的每个用户 Windows 许可，而不是 RDS 客户端访问许可证（CAL）。

能否在本地运行 Windows 10 企业多会话？

Windows 10 企业多会话无法在本地生产环境中运行，因为它针对 Azure 的 Windows 虚拟桌面服务进行了优化。出于生产目的在 Azure 外部运行 Windows 10 企业多会话是违反许可协议的。Windows 10 企业多会话不会针对本地密钥管理服务（KMS）激活。

可否在 Win10 多会话版本上安装永久授权的 Office？

技术上是可以用一次授权的 perpetual code，但合规性上不符合。

计费类

AVD 产品是否额外收费？

不进行额外收费，仅对部署的相应 Azure 上的资源进行收费（例如 Linux VM 费用）。

本文标签： 常见问题 AVD