设置 Active Directory 域

在 Horizon Cloud Service - next-gen 中，在 Horizon Universal Console 中完成以下步骤，以在该服务中注册第一个 Active Directory 域或注册额外的 Active Directory 域。

注：当您的环境将在 Microsoft Azure 中部署 Horizon Edge 时，本文档页面适用。它既不适用于 Horizon 8 部署，也不适用于 Horizon Plus 订阅。

如 Horizon Cloud Service 身份和访问管理中所述，该服务会将已注册的 Active Directory 用于虚拟桌面和远程应用程序的计算机标识。

前提条件

Active Directory 要求

控制台的域注册向导需要输入特定信息。在控制台中执行这些步骤之前，请确认您或您的 IT 团队已满足部署 Microsoft Azure Edge 的要求检查表的 Active Directory 要求部分中所述的 Active Directory 相关要求。

特定于 LDAPS 的要点和要求

如果您计划在部署中使用 LDAPS，请注意以下要点和要求。

PEM 编码的根 CA 证书和中间 CA 证书必须准备好上载。
不支持自签名证书。
该服务要求您的 DNS 拥有配置为使用 LDAPS 的域的 SRV 记录。选择对域使用 LDAPS 时，将会隐含地要求使用 SRV 记录。
强烈建议您将 AD 环境配置为强制执行通道绑定。强制执行通道绑定是正确保护 LDAPS 的重要一环，尤其是对于避免中间人 (Man-In-The-Middle, MITM) 攻击而言。
您的防火墙配置必须允许使用以下端口和协议建立从 Horizon Edge 网关到域控制器的出站连接，如在 Microsoft Azure 中部署 Horizon Cloud 的端口和协议要求中所述。
- 端口 88/TCP - Kerberos 身份验证
- 端口 636/TCP 和 3269/TCP - LDAPS 通信
您必须为信任链中除根证书以外的所有证书定义 HTTP 吊销端点，而且必须可以通过 HTTP 访问该端点。本要求包括以下几点：
- LDAP 不得用于吊销端点。
- 服务将使用证书中定义的 OCSP 或 CRL HTTP URL 执行吊销检查。
- 如果证书没有为 HTTP 协议定义 OCSP 或 CRL 端点，则服务无法执行吊销检查。在这种情况下，LDAPS 连接将失败。
- 端点必须能够查看吊销。您的防火墙不得阻止通过 HTTP 流到吊销端点的出站流量。

过程

单击左侧窗格中的集成，然后在身份和访问图块中单击管理。
在域选项卡上，单击添加以启动控制台的域注册向导。

在向导的第一步中，提供指示的信息


字段	说明
名称	Active Directory 域的名称。
描述	（可选）描述。
DNS 域名	此 Active Directory 域的完全限定名称（例如 our-ad.example.com）。
默认 OU	键入相应的默认 OU。此 OU 是 Active Directory 组织单位 (OU)，您希望服务在添加为虚拟桌面和远程应用程序创建的计算机标识时将其用作默认值。键入 OU 的完整标识名，例如 OU=MyOrg,DC=our-ad,DC=example,DC=com。注：如果要使用默认值 CN=Computers，则必须将其键入到该字段中。即使您可能会看到 UI 在该字段中显示此默认值，但除非您直接在该字段中键入，否则向导无法使用下一步按钮。
域绑定帐户	为您或您的 IT 团队出于此目的而配置的两个服务帐户提供用户名和密码，如部署 Microsoft Azure Edge 的要求检查表的 Active Directory 要求部分中所述。这些服务帐户用于在 Active Directory 域中执行查找。第一个输入的帐户是服务出于此目的而使用的主帐户。辅助帐户是主帐户的备份帐户。确保在此处输入的帐户符合要求检查表中详述的要求。
域加入帐户	为您或您的 IT 团队出于此目的而配置的两个服务帐户提供用户名和密码，如部署 Microsoft Azure Edge 的要求检查表的 Active Directory 要求部分中所述。这些服务帐户用于将计算机标识加入 Active Directory 域并执行 Sysprep 操作。第一个输入的帐户是服务出于此目的而使用的主帐户。辅助帐户是主帐户的备份帐户。确保在此处输入的帐户符合要求检查表中详述的要求。
协议	选择要用于将 Active Directory 连接到 Horizon Edge 网关的协议（LDAP 或 LDAPS）。如果选择 LDAPS，请使用浏览功能上载 PEM 编码的根和中间 CA 证书，此任务的必备条件中将引用这些证书。

输入所有必需的信息后，系统会使下一步按钮变为可用。

单击下一步以继续执行向导的下一步。
此时，向导会提供保存操作以完成将域信息保存到系统的过程。
- 如果您不打算使用 SSO，则此时可以单击保存以完成 UI 向导。
- 如果您计划使用 True SSO 功能，请继续执行此页面中的下一步。使用 True SSO 功能需要 Microsoft 企业证书颁发机构，如用于将 SSO 与 Microsoft Azure 中的 Horizon Edge 结合使用的受支持证书颁发机构类型中所述。
- 如果您计划使用依赖于 VMware CA 或除 Microsoft 企业证书颁发机构之外的其他证书颁发机构的 SSO，则此时可以单击保存以完成 UI 向导。稍后，您可以按照为 VMware CA 将 SSO 配置添加到 Horizon Cloud Service - next-gen中的步骤完成 SSO 配置。
（可选） 如果您计划将 True SSO 与最终用户的虚拟桌面和远程应用程序结合使用，请在向导的域注册服务帐户部分中，打开使用注册服务帐户切换开关。

打开该切换开关后，UI 将显示相应字段，供您输入 True SSO 功能所需的域注册帐户的帐户凭据。提供该信息。

注意：如果您计划使用依赖于 VMware CA 的 SSO，则可以跳过输入域注册帐户信息的这一步。

域注册帐户是一个注册服务帐户，True SSO 功能使用该帐户从 Microsoft AD CS（Active Directory 证书服务）获取短期证书。True SSO 使用证书进行身份验证，以避免提示用户输入 Active Directory 凭据。您可能会看到 Horizon Universal Console 互换使用术语“域注册帐户”、“注册服务帐户”和“域注册服务帐户”。

完成这些字段后，向导会提供保存操作以完成将域信息保存到系统的过程。

单击保存以完成对您在向导中提供的所有信息进行保存的过程。

结果

为 Horizon Edge 配置 Active Directory 的过程已完成。不过，在您继续配置部署时，如果检测到 Active Directory 连接问题，请参阅诊断 Horizon Edge - Microsoft Azure 部署的 Active Directory 连接。

下一步做什么

完成上述步骤后，服务中将具有 Horizon Cloud on Microsoft Azure 部署所需的 Active Directory 域信息。

要了解如何为最终用户添加使用单点登录 (SSO) 访问其桌面和应用程序的功能，请参阅用于将 SSO 与 Microsoft Azure 中的 Horizon Edge 结合使用的受支持证书颁发机构类型。