你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
Azure 虚拟桌面的会话主机更新目前为预览版。 有关适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的法律条款,请参阅 Microsoft Azure 预览版补充使用条款 。
使用会话主机更新,可以使用会话主机配置更新基础虚拟机 (VM) 磁盘类型、作系统 (OS) 映像,以及 主机池中所有会话主机的其他配置属性。 会话主机更新会解除分配或删除现有虚拟机,并创建使用更新的配置添加到主机池的新虚拟机。 这种更新会话主机的方法符合管理核心源映像中的更新的建议,而不是按持续重复计划单独分发和安装更新,以使其保持最新状态。
下面是执行更新时可以进行的更改:
- 虚拟机映像
- 虚拟机大小
- 虚拟机磁盘类型
- 虚拟机安全类型:
- Active Directory 域加入凭据
- Microsoft Intune注册
- 本地管理员凭据
- 运行自定义配置 PowerShell 脚本
使用会话主机更新完成会话主机更新后,主机池中的所有会话主机都会使用指定的更改进行标准化。 会话主机的其他 Azure 属性(例如可用性配置、网络配置和位置)在更新中保留。
更新过程
可以指定要同时更新的主机池中的会话主机数,称为 批处理。 此值是更新期间一次不可用的会话主机的最大数目,并且所有剩余的会话主机都可以使用。 更新开始时,只有一个会话主机 (称为 初始) ,用于测试端到端更新过程是否成功,然后再分批更新池中的其余会话主机。 此方法在发生故障时将影响降到最低。
下面是一个示例:如果有一个包含 10 个会话主机的主机池,并且输入的批大小为 3,则更新初始) (单个会话主机,则其余会话主机会在三个会话主机的三个批中更新。 在初始会话主机完成更新后,至少有 7 个会话主机可在主机池中使用。
在更新期间,会话主机更新遵循此过程:
根据现有会话主机的名称和先前指定的批大小进行选择。 管理员指定的通知将发送给任何已连接用户,然后服务将等待之前指定的持续时间,然后再注销任何剩余用户。
所选会话主机将置于排出模式,然后从主机池中删除。 不会删除已加入 Active Directory 域的会话主机的计算机帐户。
使用更新的会话主机配置创建相同数量的新会话主机。 VM、OS 磁盘和网络接口的新 Azure 资源采用 格式
SessionHostName-DateTime,例如,名为VM1-0的现有 VM 替换为名为VM1-0-2023-04-15T17-16-07的新 VM。 作系统的主机名不会更改。 这些新的会话主机使用 Azure VM 扩展加入目录。加入 Active Directory 域的会话主机继承现有的 AD 计算机对象。 此过程建立信任关系,并中断与以前的 VM 的现有信任关系。
新的会话主机已加入现有主机池,并禁用排出模式,并且会话主机可以接受连接。
原始 VM 会解除分配或删除,具体取决于是否选择保存原始 VM。
一次只能在单个主机池中运行或计划一个会话主机更新作。 但是,可以在多个主机池上同时运行会话主机更新作。
遵循会话主机的现有电源状态和排出模式。 可以在已解除分配所有会话主机的主机池上执行更新,以节省成本。
重要
如果使用 Azure 虚拟桌面见解,则不会在更新的会话主机上自动安装 Azure Monitor 代理。 若要自动安装代理,可以使用 Azure Policy。
建议在与要更新的主机池一致的测试主机池上测试更新过程。 这将测试更新过程本身,以及环境中与上一个 VM 同名的新 VM 的结果。 在更新生产主机池之前,还必须测试任何更新(如新应用程序或修补程序)是否在环境中按预期工作。
虚拟机和管理工具
新映像必须 支持 Azure 虚拟桌面 和 虚拟机的生成,它可以来自:
Azure 市场。
现有的 Azure Compute Gallery 共享映像。
现有托管映像。
会话主机更新创建新的虚拟机时,需要将它们加入目录。 必须使用与现有 VM 相同的目录。 不能在更新期间更改目录。
更新完成后,任何自定义项(如文件、注册表项或手动添加到会话主机的证书)都不存在。 不能单独更新池中的会话主机,因此应将这些自定义项添加到映像本身,确保自定义项由配置管理工具(如 Intune 或 组策略)应用,或者将这些自定义项添加到会话主机配置中的自定义配置 PowerShell 脚本。
在会话主机已加入 Active Directory 的更新期间,不会删除计算机对象。 这意味着 Active Directory 中存在暂时孤立的计算机对象。 当新虚拟机加入域时,它将使用原始主机名并继承孤立的计算机对象。 如果更改域,则需要从上一个域中删除孤立的计算机对象。
组策略对象 (GPO) 用于将策略应用于会话主机,并且通常在 Active Directory 域中的 OU 级别应用。 但是,可能会使用计算机对象或组对象完成某些应用程序/筛选。 当新 VM 继承孤立的计算机对象时,现有 GPO 仍适用。 在更新过程中更改 OU 成员身份时,应确保现有 GPO 仍然适用。
计划和用户会话
如果有用户在会话主机开始更新时登录到会话主机,则他们会收到管理员指定的通知,该通知应通知用户注销,然后再次登录。 用户可以立即再次登录以连接到主机池中的另一个会话主机。
新连接将定向到已更新的会话主机,以避免它们登录到即将更新的会话主机,仅通知它们再次注销。 但是,在更新开始时,没有任何新更新的会话主机,因此,要求注销并且最近登录到会话主机但尚未更新的用户会收到再次注销的通知。
由于可用会话主机数已减少,因此应在适当的时间为业务安排更新,以最大程度地减少对最终用户的干扰。
已知问题和限制
下面是已知问题和限制:
会话主机更新仅支持配置为 允许从所有网络进行公共访问的密钥保管库。
会话主机更新仅在全局 Azure 云中可用。 它在其他云中不可用,例如 Azure 美国政府或由世纪互联运营的 Azure。
对于从具有购买计划的 Azure Compute Gallery 共享映像创建的会话主机,更新会话主机时不会保留该计划。 若要检查用于会话主机的映像是否具有购买计划,可以使用 Azure PowerShell 或 Azure CLI。
会话主机配置当前不支持访问与主机池不同的 Azure 订阅中的 Azure Compute Gallery 共享映像。
更新期间无法更改 OS 磁盘的大小。 更新服务默认为库映像定义的相同大小。
如果更新失败,则在取消更新之前无法删除主机池。
仅当会话主机已更新时,更新进度才会更改。 例如,在具有 10 个会话主机的主机池中,当第一个会话主机正在更新时,进度显示为 0.00%。 仅当第一个会话主机更新后,这才会变为 10%。
如果决定创建一个映像,该映像是从现有会话主机中获取的,然后用作会话主机更新的源映像,则需要在创建映像之前删除该
C:\packages\plugin文件夹。 否则,此文件夹将阻止将更新的虚拟机加入主机池的 DSC 扩展运行。如果使用 Azure 虚拟桌面见解,则不会在更新的会话主机上自动安装 Azure Monitor 代理或 Log Analytics 代理。 若要自动安装代理,可使用以下一些选项:
- 对于 Azure Monitor 代理,可以使用 Azure Policy。
- 对于 Log Analytics 代理,可以使用 Azure 自动化。
- 从Azure 门户的 Azure 虚拟桌面见解中手动添加这些新会话主机。
在创建会话主机的同时,在没有会话主机的主机池中修改会话主机配置可能会导致主机池具有不一致的会话主机属性,应避免这样做。
批大小较大的汇报可能会导致间歇性故障,
AgentRegistrationFailureGeneric错误代码为 。 如果对正在更新的会话主机的子集发生这种情况, 则重试更新 通常可解决此问题。