您可以对在 Horizon Cloud 环境中执行操作时可能遇到的问题进行故障排除。

Horizon Cloud - 使用 Horizon Universal Console 收集代理日志

如果在 Horizon Cloud 租户中启用了此功能,则当 Microsoft Azure 中的 Horizon Cloud 容器满足特定必备条件时,将可以在 Horizon Universal Console 中对该容器中的导入的虚拟机、场主机虚拟机和 VDI 桌面虚拟机使用生成日志操作。

此功能通常仅在您提交技术支持请求 (SR) 后使用,在响应该 SR 的过程中,指定的支持团队已确定需要来自特定虚拟机的诊断日志包才能诊断此问题。通常,VMware 技术支持团队使用 DCT 捆绑包(数据收集工具捆绑包)一词来指代此类型的日志包。

切记:基于云的 Horizon Universal Console 导览中所述,第一代控制台是动态的,反映了适合第一代租户环境的最新配置的功能。对本文档中所述功能的访问取决于以下因素,包括但不限于:
  • 该功能是否取决于仅在最新的第一代 Horizon Cloud 容器清单、Horizon 容器版本或 Horizon Cloud Connector 版本中提供的系统代码。
  • 访问的功能是否处于“有限可用性”状态,如在首次亮相时发行说明中所述。
  • 功能是否需要特定许可或 SKU。

当您看到本文档中提及一项功能,而未在第一代控制台中看到该功能时,请首先查看发行说明,了解该功能的访问权限是否受限,以及您在租户环境中可以请求启用该功能的方式。或者,如果您认为自己有权使用本文档中所述的某项功能,但未在控制台中看到该功能,则可以咨询您的 VMware Horizon Cloud Service 代表,如果您没有代表,则可按照如何在 Customer Connect 中提交支持请求 (VMware KB 2006985) 中所述,向 Horizon Cloud Service 团队提交服务请求 (SR)。

必备条件与要求

容器相关要求
Microsoft Azure 中运行容器清单 2747.0 及更高版本的 Horizon Cloud 容器支持此功能。

使用此功能要求容器具有 Horizon Cloud 配置的 staging 类型的文件共享,以便与 Microsoft Azure 中 Horizon Cloud 容器的 App Volumes 功能配合使用。当生成日志操作运行时,系统会将日志包写入到该 staging 文件共享中的目录,供以后使用控制台的“报告”页面检索。要验证给定容器是否存在此文件共享,请从控制台的“容量”页面导航到容器的详细信息页面。在容器的详细信息页面上,文件共享字段指示容器的文件共享存在,该值应该为二 (2)。单击显示的超链接 2 并确认信息工具提示包含有关 staging 文件共享类型的信息。如果工具提示未指出存在此 staging 类型的文件共享,则生成日志操作将生成一条消息,说明应联系 VMware 技术支持团队寻求帮助。

虚拟机相关要求
生成日志操作针对以下类型的虚拟机提供 - 导入的虚拟机、场主机虚拟机和 VDI 桌面虚拟机。对于导入的虚拟机,虚拟机必须先完成配对过程,然后才能对该虚拟机运行 生成日志操作。配对过程在 为 Microsoft Azure 中的 Horizon Cloud Pod 创建桌面映像的配对步骤中进行了说明。

可通过此功能获取日志的虚拟机中 Horizon Agent 的最低版本为 19.1。但是,请记住,特定的容器清单仅与一组特定的代理版本互操作。您必须始终确保虚拟机中的代理版本与容器的清单版本兼容。有关容器-代理互操作性的概念信息,请参阅 Horizon Cloud 容器更新 - 实现持续代理兼容性和支持的步骤

对虚拟机调用生成日志操作时,虚拟机的代理必须正在运行且可访问。控制台中虚拟机代理的状态必须显示为活动

关于生成的日志包

生成的日志包将包含由 Horizon Agents Installer 安装的所有代理的日志,以及对虚拟机调用生成日志操作时虚拟机上当前安装的所有代理的日志。

对虚拟机调用生成日志操作时,系统任务将在后台开始运行以生成和收集日志包。此后台任务需要一些时间才能完成。控制台的“活动”页面显示任务进度并指示任务何时 100% 完成,当包可供下载时,还会在控制台中创建通知。捆绑包准备就绪后,您可以使用“报告”页面的“日志”选项卡将文件下载到本地系统。

在虚拟机中完成日志收集任务后,后台任务将代理相关日志包复制到容器 Microsoft Azure 订阅中的 staging 文件共享,即 Horizon Cloud 为配合使用 App Volumes 功能而配置的文件共享。日志包的平均大小为 900 MB,可能会达到 2 GB。

为了最大程度地减少该文件共享使用的空间,每个生成的日志包都有一小时的保留时间,超过此时间后,系统将删除该文件。“报告”页面的“日志”选项卡会报告每个生成的日志包的过期时间。

生成和下载代理日志包

  1. 对预期的虚拟机使用生成日志操作。
  2. 检查控制台的“活动”页面以查看生成日志包的活动何时完成。
  3. 报告 > 日志将日志包文件下载到本地。

为了节省 staging 文件共享中的空间,您可以使用删除操作在包过期之前将其删除。

增加场或 VDI 桌面分配的磁盘大小时所需的管理员操作

创建或编辑场或 VDI 桌面分配时,您可以选择增加操作系统磁盘大小值。如果使用该选项,则会以该大小创建该场或分配中每个虚拟机的操作系统磁盘。但是,由于 Microsoft Azure 中的虚拟机具有默认行为,即使已扩展虚拟机的磁盘,包含 C 驱动器的分区也不会扩展以容纳整个磁盘。在虚拟机中执行操作来扩展 C 驱动器分区以容纳新空间之后,才会使用虚拟机磁盘上的该新空间。

Microsoft 提供了几种扩展分区以覆盖整个磁盘的方法。以下 Powershell 命令未经 VMware 测试,仅作为可使用脚本实现扩展的一种方法的示例。您必须确定最适合贵组织的方法。

$size = (Get-PartitionSupportedSize -DiskNumber 0 -PartitionNumber 2)
Resize-Partition -DiskNumber 0 -PartitionNumber 2 -Size $size.SizeMax

此示例假定磁盘号为 0,分区号为 2。有关这些 Powershell 命令的更多信息,请访问 https://docs.microsoft.com/en-us/powershell/module/storage/resize-partition?view=win10-ps

无法在 Horizon Universal Console 的首次登录屏幕上成功登录

VMware Cloud services 正在进行维护时,您无法登录到 Horizon Cloud 的管理控制台。

问题

您将尝试登录到 Horizon Cloud(网址为 https://cloud.horizon.vmware.com),按照设计,您会被重定向到 VMware Cloud Services 登录页面(网址为 https://console.cloud.vmware.com)。即使登录屏幕没有指明任何原因,在登录屏幕中输入有效的帐户凭据时,您也会发现登录尝试失败。

原因

登录身份验证需要使用 VMware Cloud Services 对帐户凭据进行身份验证。如果该服务无法完成所需的身份验证请求,则在此期间登录到控制台将失败。

解决方案

  • 如果您在登录到控制台的主登录屏幕时遇到问题,请检查“VMware Workspace ONE 状态”页面 (https://status.workspaceone.com/) 中的“Horizon Cloud 系统状态”,查看最新的系统状态。
    在该页面上,您还可以进行订阅,以便接收最新资讯。

即使在解决记录的 Microsoft Windows Sysprep 错误后,转换为映像任务也会由于超时错误而失败

即使您采取措施以防止在将映像虚拟机转换为已发布映像时出现 Microsoft Sysprep 问题,转换任务也会在后续尝试中超时。

问题

在首次尝试发布映像时,由于出现与 appx 软件包相关的 Microsoft Sysprep 问题,您在“活动”页面中看到映像转换过程由于超时错误而失败。在执行自定义已导入虚拟机的 Windows 操作系统中所述的优化步骤并解决 Microsoft Sysprep 错误日志中所述的任何问题后,您尝试转换映像。在该第二次尝试中,您在“活动”页面中看到“等待虚拟机关闭电源的时间已有 20 分钟: 将映像重新转换为虚拟机”(Waited 20 minutes for virtual machine to power off: Convert the image back to the virtual machine) 消息。

原因

发生这种情况是因为,运行 Microsoft Sysprep 进程的第二次尝试挂起或没有响应。请使用以下步骤解决该问题。

解决方案

  1. 确保根据 Microsoft Sysprep 错误日志中的错误消息以及 Microsoft 知识库文章 2769827 解决 Microsoft Sysprep 问题。
  2. 在映像虚拟机中,检查 VMware Horizon Agent 服务,并确保它将启动类型设置为自动
    如果映像位于清单版本低于 1600 的容器中,则该虚拟机还将具有 VMware DaaS Agent 服务。确认已将 VMware DaaS Agent 服务的启动类型设置为 自动
  3. 重新引导映像虚拟机。
  4. 在重新引导的虚拟机上重试转换过程。

对于 Windows Server 2012 映像,转换为映像任务由于超时错误而失败

有时,在将应用程序安装到 Windows Server 2012 映像虚拟机以在运行发布工作流之前对其进行自定义后,在 20 分钟后,发布流程失败并显示有关超时的错误消息。

问题

在将应用程序安装到 Windows Server 2012 映像虚拟机、注销虚拟机并启动发布工作流后,工作流有时会失败,并在 Microsoft 系统准备 (Sysprep) 进程运行时关闭虚拟机电源。

解决方案

  1. 确保根据 Sysprep 错误日志中的错误消息以及 Microsoft 知识库文章 2769827 解决 Sysprep 问题。
  2. 在映像虚拟机中,检查 VMware Horizon Agent 服务,并确保它将启动类型设置为自动
    如果映像位于清单版本低于 1600 的容器中,则该虚拟机还将具有 VMware DaaS Agent 服务。确认已将 VMware DaaS Agent 服务的启动类型设置为 自动
  3. 重新引导该虚拟机。
  4. 在重新引导的虚拟机上重试转换过程。

主域绑定帐户被锁定时的通知

Horizon Cloud 检测到由于主域绑定帐户被锁定而导致身份验证失败时,管理控制台中会显示一条警示通知,要求您修正该帐户的状态。系统将主域绑定帐户用作连接到 Active Directory (AD) 服务器并查询 Active Directory 的服务帐户。

每次管理员成功登录到控制台时,系统都会检查主域绑定帐户是否处于失败或不活动状态。如果系统确定该帐户处于失败或非活动状态,则会创建一条通知。创建通知后,该通知会被添加到“通知”页面,并反映在位于控制台右上角的响铃图标上的计数中 (通知响铃图标)。您可以通过单击响铃图标或通过导航到“通知”页面,来阅读通知详细信息。

注: 系统与 AD 服务器之间的连接状态会缓存 15 分钟。因此,从主域绑定帐户进入锁定状态,到控制台中反映相关通知,可能需要长达 15 分钟时间。例如,如果您登录到控制台,然后手动锁定 AD 服务器中的主域绑定帐户,则可能需要长达 15 分钟时间,才会在控制台中显示相关通知。同样,如果您在控制台中看到锁定通知,然后修复 AD 服务器中的帐户,则控制台可能会在修复后继续显示帐户锁定通知长达 15 分钟。

如果主域绑定帐户变为锁定状态,系统会改用配置的活动辅助域绑定帐户来对与 Active Directory 服务器的连接进行身份验证。在看到指示主域绑定帐户被锁定的通知时,您应当执行相应操作来修正主域绑定帐户的状态,以确保一直可持续成功连接系统。

新场保持为“正在进行中”

您开始从“场”页面中创建新的场,并且系统开始创建场及其 RDSH 虚拟机 (VM)。但是,即使 30 分钟之后,页面显示场的状态仍为正在进行。在深入查看场详细信息页面时,您看到它的一个虚拟机处于脱机状态。

问题

即使场中的其他虚拟机显示联机状态,也无法完成场创建过程,因为一个虚拟机仍显示脱机状态。

原因

暂时的网络连接中断导致虚拟机的状态在 Horizon Cloud 中显示为脱机,从而导致场创建工作流无法完成。

解决方案

  1. 导航到场的“会话主机”选项卡。
  2. 选中脱机虚拟机旁边的复选框,然后单击删除
    系统将删除该虚拟机。在几分钟后,系统自动重新创建该虚拟机,该虚拟机完成恢复联机过程,并且场变为联机状态。

在尝试连接到浮动 VDI 桌面分配中的桌面时显示 Windows 错误消息

在最终用户尝试连接到浮动 VDI 桌面分配中的桌面时,显示一条 Windows 消息,指出 Windows 无法连接到系统事件通知服务。请咨询您的系统管理员 (Windows couldn't connect to the System Event Notification Service service. Please consult your system administrator.)。

问题

在用户看到该消息并单击显示的确定按钮后,会话可能会断开连接。有时,在单击确定后,用户可以登录到桌面。通常,在单击确定后,用户可能尝试再次登录到桌面,并且第二次尝试成功。

原因

该问题是一个已知的 Microsoft Windows 问题,如 answers.microsoft.com 中的该页面中所述。

配置 True SSO 后,用户看到有关证书吊销状态的消息

配置 True SSO 后,如果 CRL 不正确,则会在登录期间显示一条错误消息。

问题

启动桌面时,最终用户的屏幕上显示一条消息,内容为:“尝试的登录无效。这可能是由于用户名或身份验证信息错误所致。无法确定用于身份验证的证书的吊销状态 (The attempted logon is invalid. This is either due to a bad username or authentication information. The revocation status of the certificate used for authentication could not be determined)。”

原因

配置 True SSO 后,可能会由于 CRL URL 端点存在问题而导致出现此问题。

解决方案

通过使用浏览器直接访问 CRL URL,验证配置的 CRL 是否正确。您可以在使用 True SSO 进行身份验证时,在创建的证书中查看配置的 CRL。如果该访问失败,请验证 URL 是否正确以及为该吊销列表提供服务的服务器是否正常运行。

您的容器尚未更新到清单 1230 或更高版本时,如何配置使域帐户远程连接到所导入映像的功能

对于 Microsoft Azure 中的容器,从容器清单版本 1230 及更高版本开始,域帐户可以直接连接到安装了代理软件的映像虚拟机。在低于容器清单版本 1230 的版本中,在已加入域的虚拟机中安装的代理软件会阻止域帐户直接连接到该虚拟机。从容器清单版本 1230 开始,您可以使用域帐户登录和自定义映像虚拟机。但是,如果容器的清单版本低于 1230,那么可以使用以下步骤来配置使域帐户远程连接到已导入映像的功能。

您必须能够远程连接并登录到位于 Microsoft Azure 中的映像虚拟机,以便自定义该映像以满足您的组织的需求。如果映像虚拟机已加入 Active Directory 域,并且您的组织制订了禁止在已加入域的虚拟机上使用本地管理员帐户的策略,则您无法登录到映像虚拟机,直到为“DaaS 直接连接用户”本地组配置了要用于自定义该映像的域帐户。

您可以使用远程桌面协议 (RDP) 软件连接到 Microsoft Azure 中的映像虚拟机。作为创建映像虚拟机的整个过程的一部分,将执行以下操作:

  • 使用 2019 年 12 月服务版本之前的“导入虚拟机”向导创建虚拟机时,该虚拟机始终都会加入域。手动创建虚拟机并显式将其加入域时,或者使用 2019 年 12 月服务版本之后的版本中的“导入虚拟机”向导创建虚拟机并选中将虚拟机加入域的向导选项时,也会将虚拟机加入域。在 2019 年 12 月服务版本之前的版本中,“导入虚拟机”向导始终自动将虚拟机加入域。
  • 在虚拟机的 Microsoft Windows 操作系统中安装 Horizon Agent 软件。

默认情况下,该代理软件禁止使用在安装该代理软件时使用的虚拟机本地管理员帐户以外的任何帐户通过 RDP 连接到虚拟机的客户机 Microsoft Windows 系统。例如,在尝试使用作为本地管理员组成员的域管理员帐户通过 RDP 连接到映像虚拟机时,即使最初建立了连接,在 Microsoft Windows 会话启动时,也会显示一条消息。该消息指出,不允许直接连接到您的虚拟桌面。


DaaS Agent 消息指出,不允许直接连接到您的虚拟桌面

不过,某些组织通常制订了在加入域的虚拟机上禁止使用本地管理员帐户的策略。为了允许为域帐户提供通过 RDP 连接并登录以自定义映像虚拟机的功能,安装该代理软件还会创建一个名为“DaaS 直接连接用户”的本地组。该组没有本地管理权限。代理允许该组中的域帐户使用直接 RDP 连接功能连接到桌面。在创建后,“DaaS 直接连接用户”组是空的。要为希望用于自定义映像的域帐户提供 RDP 功能,您可以将这些域用户添加到“DaaS 直接连接用户”本地组中。

以下屏幕截图是一个示例,它在使用“从商城导入虚拟机”向导创建的映像虚拟机上的“本地用户和组”窗口中显示“DaaS 直接连接用户”组。

显示“本地用户和组”窗口并使用绿色箭头指向“DaaS Direct Connect 用户”组的屏幕截图

如果您无法使用本地管理员帐户直接连接到虚拟机,您可以在 Active Directory 环境中使用组策略对象 (Group Policy Object, GPO) 策略将域帐户添加到“DaaS 直接连接用户”组中。以下步骤说明了如何在加入域的虚拟机上使用 GPO 策略的“受限制的组 - 隶属于”方法将成员添加到“DaaS 直接连接用户”组中。

  1. 在 Active Directory 环境中,创建一个新的 GPO。
  2. 右键单击该 GPO 并选择编辑
  3. 在组策略管理编辑器中,导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 受限制的组
  4. 右键单击受限制的组并选择添加组
  5. 在“添加组”框中,键入“DaaS 直接连接用户”,然后单击确定
  6. 在“属性”对话框中,使用这个组的成员区域及其添加按钮添加您希望能够连接到映像虚拟机的域帐户。
  7. 这个组的成员区域中添加完帐户时,单击确定以关闭“属性”对话框。
  8. 关闭组策略管理编辑器和组策略管理控制台。
  9. 将新创建的 GPO 链接到用于映像虚拟机的同一域。

在将新 GPO 链接到域后,您可以使用这些指定的域帐户之一通过 RDP 连接到映像虚拟机并进行自定义。按照自定义已导入虚拟机的 Windows 操作系统及其子主题中所述的步骤进行操作。