Wdrożenie FSLogix na darmowej subskrypcji Azure

31 października 2025 Azure • Pulpit wirtualny • Zarządzanie profilami

Schemat usług Azure pokazujący lab z FSLogix

Ten lab z FSLogix powstał z pytania, czy na darmowej subskrypcji Azure da się utrzymać roaming profili bez domeny i całego ekosystemu AVD.

Założenia były proste: pojedynczy Windows Server działa w trybie standalone, a kontenery profili montują się z udziału Azure Files SMB przy użyciu klucza konta Storage.

Poniżej znajdziesz komplet decyzji, analizę problemów, finalne rozwiązanie oraz instrukcję, dzięki której odtworzysz PoC krok po kroku.

Kontekst, ograniczenia i decyzje architektoniczne

Na starcie rozważałem klasyczny scenariusz domenowy, inspirowany materiałami społeczności.

Rozważany wariant domenowy

Nerdio Manager + AVD + Entra ID – automatyzacja hostów i FSLogix, logowanie przez Kerberos/NTLM.
Pełna integracja z tożsamościami, łatwe zarządzanie profilami i naturalny roaming między hostami AVD.

Brzmi idealnie, ale darmowy trial Azure nie udźwignie kosztów kontrolerów domeny i infrastruktury AVD.

Dlaczego zrezygnowałem z domeny?

Limity subskrypcji Free Trial uniemożliwiały ekonomiczne uruchomienie AVD i AD DS / Azure AD DS.
Kerberos dla Azure Files wymaga domeny — przekraczało to budżet i zakres PoC.
Celem było szybkie, tanie PoC, które da się zamknąć w jednej maszynie.

Finalna decyzja

Windows Server pozostaje w trybie standalone.
Azure Files (SMB) pełni rolę magazynu VHDX dla profili.
Logowanie odbywa się z wykorzystaniem Storage Account Key.
Dostęp do SMB wymuszamy w kontekście SYSTEM, czyli tak, jak działa agent FSLogix.

Ścieżka dojścia

Testy z Nerdio/AVD/Entra ID — odrzucone przez limity triala.
Konfiguracja pojedynczej VM z FSLogix + Azure Files opartymi o Access Key.
Błąd montowania profilu: 1326 (niepoprawna nazwa użytkownika lub hasło).
Potwierdzenie, że dostęp SMB działa ręcznie w kontekście SYSTEM (cmdkey + net use).
Diagnoza: FSLogix łączył się jak użytkownik, zamiast jak komputer.
Dodanie klucza rejestru AccessNetworkAsComputerObject=1.
Efekt: kontenery Profile.vhdx montują się poprawnie na Azure Files.

To minimum produkcyjnie sensowne dla PoC w środowisku bez domeny. Niżej znajdziesz kompletny przewodnik.

Instrukcja krok po kroku: FSLogix + Azure Files standalone

Instrukcja prowadzi od stworzenia storage po test logowania — bez potrzeby sięgania do dodatkowych źródeł.

1. Utworzenie konta Storage i udziału Azure Files

Standard_LRS jest tanie i wystarczające do PoC, a udział przechowuje kontenery profili.

az storage account create `
  --name <nazwaKontaStorage> `
  --resource-group <nazwaResourceGroup> `
  --location <region> `
  --sku Standard_LRS

az storage share-rm create `
  --storage-account <nazwaKontaStorage> `
  --name <nazwaUdzialu>

2. Pobranie klucza dostępu

Access Key przyda się do zapisania poświadczeń w magazynie SYSTEM i mapowania udziału.

$key = (az storage account keys list `
  --account-name <nazwaKontaStorage> `
  --resource-group <nazwaResourceGroup> `
  --query "[0].value" -o tsv)

3. Zapis poświadczeń i mapowanie udziału

Poświadczenia zapisz w kontekście SYSTEM, aby agent FSLogix sięgnął po nie zanim użytkownik się zaloguje.

psexec -i -s cmd.exe

cmdkey /add:<nazwaKontaStorage>.file.core.windows.net /user:Azure\<nazwaKontaStorage> /pass:<klucz>

4. Instalacja FSLogix

Pobierz instalator FSLogix z witryny Microsoft i uruchom go z parametrem -Wait, by mieć pewność, że proces się domknie.

Start-Process -FilePath .\FSLogixAppsSetup.exe -Wait

5. Konfiguracja rejestru FSLogix

Klucz Profiles przechowuje najważniejsze ustawienia: włączenie kontenerów, lokalizację VHD i wpis rozwiązujący problem z uwierzytelnianiem.

New-Item -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Force
Set-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'Enabled' -Type DWord -Value 1
Set-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'VHDLocations' -Type String -Value '\\<nazwaKontaStorage>.file.core.windows.net\<nazwaUdzialu>'
Set-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'AccessNetworkAsComputerObject' -Type DWord -Value 1

6. Restart usługi i test logowania

Zrestartuj usługę frxsvc, zaloguj się na konto testowe i sprawdź logi FSLogix.

Restart-Service frxsvc

Jeśli w Azure Files widzisz nowy katalog użytkownika, a logi w C:\ProgramData\FSLogix\Logs\Profile są czyste, PoC działa.

Przegląd projektu

Projekt skupia się na uruchomieniu FSLogix w trybie standalone z Azure Files jako magazynem profili.

Cel projektu

Zapewnić stabilne montowanie kontenerów FSLogix bez infrastruktury domenowej.

Środowisko testowe

Samodzielna maszyna Windows Server w Azure.
Udział Azure Files SMB dla plików VHDX.
Agent FSLogix Profile Container.
Reguły sieciowe i firewall dopuszczające ruch SMB.

Analiza problemu

Agent FSLogix zwracał błąd 1326 — brakowało uprawnień do dostępu w imieniu komputera.

Rozwiązanie

Wpis AccessNetworkAsComputerObject=1 pozwolił usłudze SYSTEM na uwierzytelnianie w Azure Files.

Rezultaty

Profile montują się konsekwentnie z Azure Files, potwierdzając sensowność podejścia standalone.

Najważniejsze wnioski

Standalone FSLogix wymaga dostępu SMB jako SYSTEM.
Klucz AccessNetworkAsComputerObject to krytyczna poprawka.
Azure Files SMB sprawdza się jako magazyn profili poza domeną.
Przy błędach 1326 zacznij od rejestru i poświadczeń SYSTEM.

Możliwe usprawnienia

Następny krok to integracja z AD lub migracja do Azure Virtual Desktop dla scenariuszy multi-user.