Após o primeiro emparelhamento bem-sucedido do seu primeiro pod com o Horizon Cloud, você faz login no Horizon Cloud em cloud.horizon.vmware.com para registrar um domínio do Active Directory no seu ambiente Horizon Cloud. Quando o fluxo de trabalho de registro for concluído, esse domínio do Active Directory será o primeiro domínio do Active Directory configurado em nuvem na sua conta de cliente do Horizon Cloud. O fluxo de trabalho de registro geral é um processo de várias etapas.

Você deve realizar esse processo de registro de domínio do Active Directory imediatamente ou logo após o emparelhamento em nuvem do seu primeiro pod com o Horizon Cloud. Um pod é emparelhado na nuvem com o Horizon Cloud quando sua implantação de pod foi iniciada no Horizon Cloud, no caso de pods no Microsoft Azure, ou iniciada com o uso do Horizon Cloud Connector, no caso de pods do Horizon no local ou no VMware Cloud on AWS. As etapas gerais desse fluxo de trabalho de registro são:

  1. Forneça as informações relacionadas a nome do domínio do Active Directory, as informações relacionadas ao protocolo e as credenciais de uma conta de serviço de BIND de domínio que o Horizon Cloud possa usar para consultar o domínio do Active Directory. Para obter informações sobre as exigências do Horizon Cloud para essa conta de BIND de domínio, consulte Requisitos da conta de bind de domínio.
  2. Forneça o endereço IP do servidor DNS a ser usado pelo Horizon Cloud para resolver nomes de máquinas, a unidade organizacional (OU) na qual você deseja inserir as máquinas virtuais (VMs) relacionadas a área de trabalho do pod e as credenciais de uma conta de serviço de ingresso em domínio que o Horizon Cloud possa usar para ingressar essas VMs. Essas VMs incluem VMs mestras importadas, instâncias de RDSH de farm e instâncias de área de trabalho VDI, entre outros. Para obter informações sobre as exigências do Horizon Cloud para essa conta de ingresso em domínio, consulte Requisitos da conta de ingresso no domínio.
  3. Atribua a função de Super Administrador do Horizon Cloud a um grupo de domínios do Active Directory.
Importante: Reveja os seguintes pontos para entender o fluxo de trabalho de registro:
  • É necessário concluir o processo de registro do Active Directory por completo para o primeiro domínio que você está registrando para poder avançar para outras páginas no console. Os serviços principais estarão bloqueados até você conclua essas tarefas.
  • Além disso, devido a um problema conhecido, ao conectar pods do Horizon no local e do Horizon no VMware Cloud on AWS usando o Horizon Cloud Connector, poderão ocorrer resultados inesperados se você não concluir esse processo de registro de domínio do Active Directory para o primeiro pod antes de tentar executar o fluxo de trabalho de emparelhamento na nuvem do conector para os pods subsequentes. Mesmo que o fluxo de trabalho de emparelhamento na nuvem permita que você o execute para vários pods antes de concluir o primeiro registro de domínio do Active Directory no Horizon Cloud, se você ainda não tiver concluído o primeiro registro de domínio antes de executar esse processo de emparelhamento na nuvem no próximo pod, o processo de registro de domínio poderá falhar. Nesse caso, você terá que:
    1. Usar a ação Desconectar no portal de configuração do Horizon Cloud Connector para remover a conexão entre cada um dos pods conectados à nuvem até chegar a um único pod conectado à nuvem.
    2. Remova o registro com falha seguindo as etapas em Remover o registro de domínio com falha do Active Directory do Horizon Cloud.
    3. Conclua o primeiro processo de registro de domínio do Active Directory relacionado a esse pod.
    4. Execute novamente o fluxo de trabalho do Horizon Cloud Connector nos outros pods.
  • Embora nesses pods de versão a conta de ingresso em domínio especificada nessas etapas seja usada somente com pods no Microsoft Azure, quando houver apenas pods do Horizon conectados à nuvem para o seu ambiente, é prudente concluir a etapa da conta de ingresso em domínio para garantir que o prompt subsequente para atribuir a função Superadministrador seja ativado. Atribuir essa função a um grupo de domínio do Active Directory é uma etapa obrigatória para todos os tipos de pods conectados a nuvem.
Importante: Nas caixas de texto Nome de Usuário para Bind e Nome de Usuário para Ingresso relacionadas às contas de bind e ingresso em domínio, forneça o nome da conta propriamente dito, como ouraccountname, como o nome de logon do usuário sem o nome do domínio.

Pré-requisitos

Verifique se a infraestrutura do Active Directory está sincronizada com uma fonte de horário precisa para evitar que a etapa da conta de ingresso em domínio falhe. Tal falha pode exigir que você entre em contato com o Suporte da VMware para obter assistência. Se a etapa de bind de domínio for bem-sucedida, mas a etapa de ingresso no domínio falhar, você poderá tentar redefinir o domínio e, em seguida, investigar se você precisa ajustar a fonte de horário. Para redefinir o domínio, consulte as etapas em Remover o registro de domínio do Active Directory.

Verifique se o primeiro pod foi implantado com êxito. A seção Capacidade do assistente Como começar indica se o primeiro pod está implementado com êxito, exibindo um ícone com marca de seleção verde (Ícone redondo verde com marca de seleção branca para mostrar sucesso).

Para as contas de BIND de domínio primárias e auxiliares exigidas, verifique se você possui as informações para duas contas de usuário do Active Directory que atendem aos requisitos descritos em Requisitos da conta de bind de domínio.

Cuidado: Para evitar bloqueios acidentais que impediriam o login no console baseado em nuvem para gerenciar seu ambiente Horizon Cloud, você deve garantir que as suas contas de BIND de domínio não possam expirar, alterar ou ser bloqueadas. Você deve usar esse tipo de configuração de conta porque o sistema usa a conta de BIND de domínio primária como uma conta de serviço para consultar seu domínio do Active Directory e verificar as credenciais para fazer login no console. Se a conta de BIND de domínio primária se tornar inacessível por algum motivo, o sistema usa a conta de BIND de domínio auxiliar. Se ambas as contas de BIND de domínio primária e auxiliar expirarem ou tornarem-se inacessíveis, você não poderá fazer login no console e atualizar a configuração para usar uma conta de BIND de domínio acessível.

As contas de BIND de domínio principais e auxiliares sempre recebem a função de Superadministrador, que concede todas as permissões para executar ações de gerenciamento no console. Certifique-se de que suas contas de BIND de domínio especificadas não estejam acessíveis para os usuários que você não deseja que tenham permissões de superadministrador.

Para a conta de ingresso em domínio, verifique se ela atende aos requisitos descritos em Requisitos da conta de ingresso no domínio. A conta de ingresso no domínio também deve residir em um grupo do Active Directory que você adiciona à função de Superadministrador no console. As funções do Horizon Cloud podem ser atribuídas somente no nível de grupo.
Cuidado: Esse ponto é crítico para operações do sistema que envolvem pods no Microsoft Azure. Se a conta de ingresso em domínio que você fornecer na etapa da conta de ingresso em domínio do registro de domínio do Active Directory ainda não estiver em um dos grupos do Active Directory aos quais você pode atribuir a função de Superadministrador, crie um grupo do Active Directory para essa conta, de forma a garantir que a função de Superadministrador possa ser atribuída a essa conta de ingresso em domínio.

Se você tiver apenas um grupo do Active Directory com a função de super administrador atribuída, não remova esse grupo do servidor do Active Directory. Isso pode causar problemas com logins futuros.

Importante: Para um pod no Microsoft Azure, essa conta de ingresso em domínio deve estar em um dos grupos do Active Directory aos quais você concede a função de Super Administrador. Se a conta de ingresso em domínio não estiver em um grupo ao qual a função de Super Administrador foi concedida, as operações do sistema que envolverem o ingresso das máquinas virtuais do pod no domínio falharão, por exemplo, ao importar imagens mestras ou criar farms RDSH e áreas de trabalho virtuais.

Verifique se você possui o nome do NetBIOS e o nome de domínio DNS do domínio do Active Directory. Você fornecerá esses valores na janela Registrar Active Directory do console na primeira etapa deste fluxo de trabalho. Para obter um exemplo de como localizar esses valores, consulte Localizando as informações necessárias para o Horizon Cloud registrar os campos Nome do NETBIOS e Nome do Domínio DNS do fluxo de trabalho do Active Directory.

Para consideração futura, tenha em mente que, se você planeja usar mais tarde a mesma conta de cliente do Horizon Cloud para conectar outros pods do Horizon ou implantar pods no Microsoft Azure para um ambiente unificado, esses pods precisarão ter linha de visão para esse mesmo domínio do Active Directory no momento em que você os conectar ou implantar.

Procedimento

  1. Usando um navegador, faça login no console baseado em nuvem em cloud.horizon.vmware.com usando seu método preferido.
    • Na seção Credenciais do My VMware da página de login, digite as credenciais da conta do My VMware. As credenciais de conta são o endereço de e-mail principal, como user@example.com, e a senha definidos no perfil da conta. Essa opção envia a solicitação de autenticação para a camada de controle do Horizon Cloud.
    • Na seção VMware Cloud Services da página de login, clique em LOGIN NO VMWARE CLOUD. Clicar nesse botão redireciona a solicitação de autenticação para o VMware Cloud Services, para autenticar você de acordo com a configuração da sua organização. Sua organização pode ter solicitado que você acesse o tenant do Horizon Cloud usando o VMware Cloud Services.
    A captura de tela a seguir ilustra o login digitando as credenciais da conta do My VMware.
    Horizon Cloud on Microsoft Azure: captura de tela da tela de login de conta do My VMware para o login inicial

    Se você ainda não aceitou os termos de serviço do Horizon Cloud usando as credenciais do My VMware, uma caixa de notificação dos termos de serviço é exibida depois que você clica no botão Fazer logon. Aceite os termos de serviço para continuar.
    Quando o seu login for autenticado com êxito, o console será aberto e exibirá o assistente de Introdução.

    Se o Assistente de Introdução não for exibido quando você fizer logon pela primeira vez, abra-o clicando em Configurações > Guia de Introdução.

  2. No Assistente de Introdução, expanda a seção Configurações Gerais se ela já não estiver expandida.
  3. No Active Directory, clique em Configurar.
  4. Na caixa de diálogo Registrar o Active Directory, forneça as informações de registro necessárias.
    Importante: Use contas do Active Directory que sigam as diretrizes para as contas de BIND de domínio primário e auxiliar conforme descrito nos pré-requisitos.
    Opção Descrição
    Nome NETBIOS
    • Quando o primeiro pod conectado à nuvem da sua conta de cliente é um pod do Horizon, nesta etapa, o sistema exibe um menu de seleção preenchido com os nomes de todos os domínios do Active Directory que esse pod do Horizon pode ver. Selecione o domínio do Active Directory que você deseja registrar primeiro.
    • Quando o primeiro pod conectado à nuvem na sua conta de cliente é um pod no Microsoft Azure, nesta etapa, o sistema exibe uma caixa de texto. Digite o nome do NetBIOS para o domínio do Active Directory que o pod pode ver. Normalmente, esse nome não contém um ponto. Para obter um exemplo de como localizar o valor a ser usado no ambiente de domínio do Active Directory, consulte Localizando as informações necessárias para o Horizon Cloud registrar os campos Nome do NETBIOS e Nome do Domínio DNS do fluxo de trabalho do Active Directory.
    Observação: Tenha em mente que, se você planeja usar a mesma conta de cliente do Horizon Cloud para conectar pods do Horizon adicionais ou implantar pods no Microsoft Azure para um ambiente unificado, esses pods precisarão ter linha de visão para esse mesmo domínio do Active Directory no momento em que você os conectar ou implantar.
    Nome do domínio DNS
    Protocolo Exibe automaticamente o LDAP, o protocolo com suporte.
    Nome de usuário do BIND Conta de usuário no domínio para ser utilizada como a conta de BIND LDAP primária.
    Observação: Forneça somente o nome de usuário. Não inclua o nome de domínio aqui.
    Senha do BIND A senha associada ao nome na caixa de texto Nome de usuário do BIND.
    Conta auxiliar n° 1 Nos campos Nome de usuário do BIND e Senha do BIND, digite uma conta de usuário no domínio a ser usado como conta de BIND LDAP auxiliar e a senha associada a ela.
    Observação: Forneça somente o nome de usuário. Não inclua o nome de domínio aqui.
    Opcionalmente, você pode fornecer valores para as propriedades avançadas.
    Opção Descrição
    Porta O padrão é LDAP -> 389. Não deverá ser necessário modificar esta caixa de texto a menos que você esteja usando uma porta não padrão.
    IP do controlador de domínio (Opcional) Se desejar que o tráfego do Active Directory utilize um controlador de domínio específico, digite os endereços IP preferenciais do controlador de domínio, separados por vírgula. Se a caixa de texto for deixada em branco, o sistema utiliza qualquer controlador de domínio disponível para esse domínio do Active Directory.
    Contexto Contexto de nome de LDAP. Essa caixa de texto é preenchida automaticamente com base nas informações fornecidas na caixa de texto Nome de domínio DNS.
    A captura de tela a seguir ilustra a janela Registrar Active Directory quando seu primeiro pod conectado à nuvem está no Microsoft Azure. Os campos têm valores para um exemplo de domínio do Active Directory com o nome do NetBIOS do ENAUTO e o nome do domínio DNS do ENAUTO.com.
    Captura de tela da janela Registrar Active Directory preenchida com valores de exemplo.

  5. Clique em BIND de domínio.
    Quando a etapa de BIND de domínio for bem-sucedida, a caixa de diálogo Ingresso no Domínio será exibida e você poderá continuar na próxima etapa.
    Importante: Se a etapa de BIND de domínio falhar, mas você continuar e adicionar a conta de ingresso em domínio, e o sistema avançar para a etapa da função de Super Administrador, o processo de registro não estará totalmente concluído, mesmo que o sistema tenha passado para a próxima etapa. Se essa situação ocorrer, siga as etapas em Remover o registro de domínio do Active Directory e comece novamente na etapa 4.
  6. Na caixa de diálogo Ingresso no Domínio, forneça as informações necessárias.
    Observação:
    • Você deve preencher os campos obrigatórios nessa etapa ao realizar esse processo de registro de domínio do Active Directory, independentemente do tipo de pod. Embora nesta versão a conta de ingresso em domínio seja usada principalmente para operações do sistema envolvendo VMs localizadas em pods no Microsoft Azure, a conclusão dessa etapa garante que a próxima etapa necessária de concessão da função de Superadministrador seja concluída.
    • Utilize uma conta do Active Directory que siga as diretrizes para a conta de ingresso no domínio descrita nos pré-requisitos.
    Opção Descrição
    IP do servidor DNS principal O endereço IP do servidor DNS primário a ser utilizado pelo Horizon Cloud para resolver nomes de máquinas.

    Para um pod bi Microsoft Azure, esse DNS deve ser capaz de resolver os nomes de máquina dentro da sua nuvem do Microsoft Azure, bem como resolver nomes externos.

    IP do servidor DNS secundário (Opcional) IP de um servidor DNS secundário
    UO padrão Unidade organizacional (UO) do Active Directory que você deseja que seja usada pelas máquinas virtuais relacionadas à área de trabalho do pod, como VMs importadas, VMs RDSH de farm e instâncias de área de trabalho VDI. Uma OU do Active Directory tem o formato OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent. O padrão do sistema é CN=Computers. Você pode alterar o padrão para atender às suas necessidades, como CN=myexample.
    Observação: Para obter uma descrição dos nomes de organização aninhada, consulte Considerações para o uso de unidades organizacionais aninhadas do Domínio do Active Directory. Cada UO individual inserida deve ter 64 caracteres ou menos, sem contar a parte OU = da sua entrada. A Microsoft limita uma UO individual para 64 caracteres ou menos. Um caminho de UO que tem mais de 64 caracteres, mas sem um UO individual que tenha mais de 64 caracteres, é válido. No entanto, cada UO individual deve ter 64 caracteres ou menos.
    Nome de usuário para ingresso Conta de usuário no Active Directory que possui permissões para ingressar nos computadores daquele domínio do Active Directory.
    Observação: Forneça somente o nome de usuário. Não inclua o nome de domínio aqui.
    Senha para ingresso A senha associada ao nome na caixa de texto Nome de usuário de ingresso.
  7. (Opcional) Especifique uma conta auxiliar de ingresso no domínio.
    Se a conta de ingresso em domínio principal especificada ficar inacessível, o sistema usará a conta auxiliar de ingresso em domínio para essas operações em pods no Microsoft Azure que exigem ingresso em domínio, como importar VMs de imagens, criar instâncias RDSH de farm, criar instâncias de área de trabalho VDI e assim por diante.
    Observação:
    • Utilize uma conta do Active Directory que siga as mesmas diretrizes para a conta primária de ingresso no domínio descrita nos pré-requisitos. Certifique-se de que essa conta auxiliar de ingresso no domínio tenha um tempo de expiração diferente do da conta principal de ingresso no domínio, a menos que ambas as contas estejam com a opção Nunca Expira definida. Se ambas as contas primárias e auxiliares de ingresso no domínio expirarem ao mesmo tempo, as operações do sistema para selamento de imagens e provisionamento de VMs RDSH de farm e VMs de área de trabalho VDI falharão.
    • Você pode adicionar apenas uma conta auxiliar de ingresso no domínio para cada Active Directory que registra com o Horizon Cloud.
    • Se você não adicionar uma conta auxiliar de ingresso no domínio neste momento, poderá adicionar uma conta mais tarde usando o console.
    • Você pode atualizar ou remover essa conta mais tarde.
    • O software relacionado ao agente em uma máquina virtual relacionada à área de trabalho relacionado, como uma imagem selada, uma instância RDSH de farm ou uma instância de área de trabalho VDI, deve ser da versão 18.1 ou posterior para o sistema usar a conta de associação de domínio auxiliar com essa máquina virtual.
    Opção Descrição
    Nome de Usuário para Ingresso Auxiliar Conta de usuário no Active Directory que possui permissões para ingressar em sistemas daquele domínio do Active Directory.
    Importante: Somente forneça o nome da conta nesse campo, como ouraccountname, como o nome de logon do usuário sem o nome do domínio. Inserir barras ou sinais de arroba fará com que um erro seja exibido.
    Senha para Ingresso Auxiliar A senha associada ao nome na caixa de texto Nome de Usuário para Ingresso Auxiliar.
  8. Clique em Salvar.
    Quando a etapa de ingresso em domínio for bem-sucedida, a caixa de diálogo Adicionar Superadministrador será exibida e você poderá continuar na próxima etapa.
    Importante: Se a etapa de ingresso em domínio falhar, o processo de registro não estará totalmente concluído. Se essa situação ocorrer, siga as etapas em Remover o registro de domínio do Active Directory e comece novamente na etapa 4.
  9. Na caixa de diálogo, Adicionar Super Administrador, utilize a função de pesquisa do Active Directory para adicionar o grupo de administradores do Active Directory que poderá realizar ações de gerenciamento em seu ambiente utilizando este console.
    Essa atribuição assegura que pelo menos uma das contas de usuário do seu domínio do Active Directory tenha permissões para fazer login no console agora que o domínio do Active Directory está configurado para essa conta do cliente.
    Importante: Para a função de Superadministrador, adicione o grupo do Active Directory que inclui a conta de ingresso no domínio, conforme descrito nos pré-requisitos. Se a conta de associação no domínio não estiver em um dos grupos do Active Directory que tenha a função de Super Administrador, as operações subsequentes do sistema para pods no Microsoft Azure que envolvem o ingresso das máquinas virtuais ao domínio falharão.
    Cuidado: Depois de atribuir esse grupo do Active Directory à função de Superadministrador, nunca remova o grupo de administradores especificado do sistema do Active Directory ou altere seu GUID da forma como ele seja exibido no sistema do Active Directory, a menos que você tenha adicionado outro grupo de administradores a essa função de Superadministrador, conforme descrito em Atribuir funções administrativas do Horizon Cloud aos grupos do Active Directory. Essa função de Superadministrador rege quais das suas contas de usuário do AD podem fazer login na sua conta de tenant do Horizon Cloud e realizar operações administrativas no console. Se você remover o grupo do seu sistema do Active Directory ou alterar seu GUID no sistema do Active Directory, essa alteração não será comunicada com a camada de controle do Horizon Cloud e o conhecimento do Horizon Cloud desse grupo do AD que possui a função de Superadministrador será quebrada. Se esse grupo for o único grupo atribuído a essa função de Superadministrador, nenhuma das suas contas do AD que usavam o acesso de Superadministrador poderá fazer login na sua conta de tenant do Horizon Cloud com o acesso para realizar operações administrativas, o que vai bloqueá-lo da capacidade de atribuir a função a outro grupo do AD para recuperar o acesso administrativo. Nesse momento, você precisará entrar em contato com o suporte da VMware para ajudar a recuperar o acesso administrativo à sua conta de tenant.
  10. Clique em Salvar.
    Quando você clica em Salvar, o sistema retorna você à página de login. Agora que você registrou o pod com o seu domínio do Active Directory, o sistema exige que você faça login novamente para impor o uso de uma conta do Active Directory junto com as credenciais do My VMware. Por exemplo, desta vez, você faz login com sua conta do My VMware e, em seguida, com as credenciais de conta do Active Directory de um usuário que esteja no grupo do Active Directory ao qual você atribuiu a função de Superadministrador.

Resultados

Os itens a seguir estão em vigor:
  • O domínio do Active Directory está configurado na camada da nuvem como o primeiro domínio do Active Directory configurado na nuvem associado a essa conta de cliente do Horizon Cloud.
  • Para um pod no Microsoft Azure, o Horizon Cloud tem a conta de ingresso em domínio necessária para as operações de sistema que envolvem ingressar máquinas virtuais relacionadas a área de trabalho a esse domínio. Além disso, a conta de ingresso no domínio tem a função de Super Administrador exigida para essas operações funcionarem corretamente.
  • As atividades de gerenciamento no console estão acessíveis agora.
  • O fluxo de login ao fazer login no console é alterado, agora que o tenant do Horizon Cloud tem seu primeiro domínio do Active Directory registrado. Para obter uma visão geral do fluxo de login, consulte Sobre a autenticação em um ambiente de tenant do Horizon Cloud.
  • Os usuários do grupo ao qual você concedeu a função de Superadministrador poderão acessar o console e executar atividades de gerenciamento quando fizerem login usando a conta associada do My VMware. Para habilitar esses administradores a usarem suas próprias credenciais de conta do My VMware para se autenticarem no Horizon Cloud, conclua as etapas descritas em Adicionar administradores para fazer logon no ambiente de tenant do Horizon Cloud.
  • As contas de usuário do domínio do Active Directory registrado podem ser selecionadas para atribuições que envolvam recursos de pods no Microsoft Azure.
  • Os recursos de help desk do console podem ser usados com contas de usuário desse domínio do Active Directory registrado.

O que Fazer Depois

A partir desse momento, você normalmente executa as tarefas a seguir: