您可以选择使用 Horizon Cloud 客户帐户注册其他 Active Directory 域。注册 Active Directory 域会将该域添加到与该 Horizon Cloud 客户帐户关联的云配置域集。当域位于云配置域集中时,您可以允许该域中的用户帐户和组使用系统提供的功能,例如,允许技术支持管理员使用技术支持功能或允许最终用户使用桌面相关功能。

重要说明: 在与域绑定和域加入帐户相关的 绑定用户名加入用户名文本框中,只提供帐户名称本身(例如 ouraccountname),这类似于不带域名的用户登录名。
注: 通讯组不受支持,即使它们嵌套在安全组下也是如此。创建 Active Directory 组时,对于 组类型始终选择 安全

如果您的租户支持使用 Horizon Cloud on Microsoft Azure 和 LDAPS 支持中所述的功能,则步骤 3 中的控制台屏幕将与此处所述的屏幕有所不同。如果您的租户已启用该功能,请按照该页面进行操作。

前提条件

为防止域加入帐户步骤失败,请确保将 Active Directory 基础架构同步到准确的时间源。如果出现此类故障,您可能需要联系 Horizon Cloud 支持部门寻求帮助。如果域绑定步骤成功,但域加入步骤失败,您可以尝试重置域,然后查看是否需要调整时间源。要重置域,请参阅移除 Active Directory 域注册中的相应步骤。

对于所需的主要和辅助域绑定帐户,请确认您拥有符合 Horizon Cloud 执行操作所需的服务帐户中所述要求的两个 Active Directory 用户帐户的信息。

小心: 为了防止发生导致您无法登录到基于云的控制台来管理 Horizon Cloud 环境的意外锁定,必须确保您的域绑定帐户不能过期、更改或被锁定。由于系统使用主域绑定帐户作为服务帐户来查询 Active Directory 域,以验证用于登录到控制台的凭据,因此,您必须使用此类型的帐户配置。如果主域绑定帐户由于某种原因而变得不可访问,则系统会使用辅助域绑定帐户。如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,则您将无法登录到控制台并更新配置以使用可访问的域绑定帐户。

主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。

对于域加入帐户,请确认该帐户满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求。
小心:
  • 如果您仅具有一个分配了超级管理员角色的 Active Directory 组,请不要从 Active Directory 服务器中移除该组。这样做可能会导致将来登录出现问题。
  • 如果您的容器群中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则必须为域加入帐户授予超级管理员角色。请注意,此类低于 2298 版本的清单不受支持,必须进行更新,如知识库文章 86476 中所述。

确认您具有 Active Directory 域的 NetBIOS 名称和 DNS 域名。您将在此工作流的第一个步骤中,在控制台的“注册 Active Directory”窗口中提供这两个值。有关如何查找这两个值的示例,请参阅查找 Horizon Cloud“注册 Active Directory 工作流”的“NETBIOS 名称”和“DNS 域名”字段所需的信息

小心: 注册其他 Active Directory 域时,请确保所有已连接到云的容器都能够查看该域。同一客户帐户记录的所有容器需要能够访问使用该帐户注册的同一云配置 Active Directory 域集。所有容器需要能够访问相同的 Active Directory 服务器,并且 DNS 配置需要解析所有这些云配置 Active Directory 域。

过程

  1. 在控制台中,选择设置 > Active Directory
  2. 单击注册
  3. 在“注册 Active Directory”对话框中,提供请求的注册信息。
    重要说明: 请使用遵循必备条件中所述的主域绑定帐户和辅助域绑定帐户准则的 Active Directory 帐户。
    选项 说明
    NETBIOS 名称
    • 当您拥有连接到云的 Horizon 容器时,系统会在此步骤显示一个选择菜单,其中填充了 Horizon 容器可以看到的所有 Active Directory 域的名称。选择您想要首先注册的 Active Directory 域。
    • 当您拥有的已连接到云的容器只位于 Microsoft Azure 中时,系统会在此步骤显示一个文本框。需键入您想要注册的 Active Directory 域的 NetBIOS 名称。通常情况下,该名称不包含句点。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息
    DNS 域名
    • 当您拥有连接到云的 Horizon 容器时,系统会自动显示为 NETBIOS 名称选定的 Active Directory 域的完全限定域名。
    • 当您拥有的已连接到云的容器只位于 Microsoft Azure 中时,系统会显示一个文本框。需为 NETBIOS 名称键入您指定的 Active Directory 域的完全限定 DNS 域名。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息
    协议 自动显示 LDAP(支持的协议)。
    绑定用户名 域中要用作主 LDAP 绑定帐户的用户帐户。
    注: 只提供用户名本身。此处不要包含域名。
    绑定密码 绑定用户名文本框中的名称关联的密码。
    辅助帐户 1 绑定用户名绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。
    注: 只提供用户名本身。此处不要包含域名。
  4. 单击域绑定
    域绑定步骤成功完成后,系统会显示“域加入”对话框,此时您可以继续执行下一步。
  5. 在“域加入”对话框中,提供所需的信息。
    注: 请使用遵循必备条件中所述的域加入帐户准则的 Active Directory 帐户。
    选项 说明
    主 DNS 服务器 IP 您希望 Horizon Cloud 用来解析计算机名称的主 DNS 服务器的 IP 地址。

    对于 Microsoft Azure 中的容器,此 DNS 服务器必须能够解析 Microsoft Azure 云内部的计算机名称以及外部名称。

    辅助 DNS 服务器 IP (可选)辅助 DNS 服务器的 IP
    默认 OU 您希望由容器的桌面相关虚拟机(例如,导入的虚拟机、场 RDSH 虚拟机、VDI 桌面实例)使用的 Active Directory 组织单位 (OU)。Active Directory OU 采用如下格式:OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系统默认值为 CN=Computers。您可以根据需求更改该默认值,例如更改为 CN=myexample
    注: 有关嵌套的组织名称的说明,请参阅 关于使用嵌套 Active Directory 域组织单位的注意事项。每个输入的 OU 长度必须是 64 个字符或更少,不计入条目的 OU= 部分。Microsoft 将单个 OU 限制为 64 个字符或更少。如果 OU 路径长度超过 64 个字符,但单个 OU 不超过 64 个字符,则该路径有效。不过,每个 OU 必须是 64 个字符或更少。
    加入用户名 Active Directory 中有权将计算机加入该 Active Directory 域的用户帐户。
    注: 只提供用户名本身。此处不要包含域名。
    加入密码 加入用户名文本框中的名称关联的密码。
  6. (可选) 指定辅助域加入帐户。
    如果您指定的主域加入帐户变得无法访问,系统将使用辅助域加入帐户在 Microsoft Azure 上需要加入域的容器中执行这些操作,例如,导入映像虚拟机,创建场 RDSH 实例,创建 VDI 桌面实例,等等。
    注:
    • 使用的 Active Directory 帐户应遵循必备条件中对主域加入帐户所述的相同准则。请确保该辅助域加入帐户具有与主域加入帐户不同的过期时间,除非这两个帐户均设置为永不过期。如果主要和辅助域加入帐户同时过期,用于封装映像以及置备场 RDSH 虚拟机和 VDI 桌面虚拟机的系统操作将会失败。
    • 您只能为在 Horizon Cloud 中注册的每个 Active Directory 添加一个辅助域加入帐户。
    • 如果此时不添加辅助域加入帐户,可以稍后使用控制台添加一个。
    • 您可以稍后更新或移除此帐户。
    • 桌面相关虚拟机(例如封装的映像、场 RDSH 实例或 VDI 桌面实例)上的代理相关软件版本必须为 18.1 或更高版本,系统才能对该虚拟机使用辅助域加入帐户。
    选项 说明
    辅助加入用户名 Active Directory 中有权将系统加入该 Active Directory 域的用户帐户。
    重要说明: 请在此字段中只提供帐户名称(例如 ouraccountname),这类似于不带域名的用户登录名。输入斜杠或 @ 符号时将显示错误。
    辅助加入密码 辅助加入用户名文本框中的名称关联的密码。
  7. 单击保存
    此时,如果域加入步骤成功,将显示“添加管理员”对话框,接着您可以继续执行下一步。
  8. 在“添加超级管理员”对话框中,使用 Active Directory 搜索功能选择希望其使用控制台在您的环境中执行管理操作的 Active Directory 管理员组。
    此分配可确保至少为 Active Directory 域的一个用户帐户授予使用 标准登录工作流登录的权限,因为已经为此客户帐户配置了 Active Directory 域。
    重要说明: 如果您的容器群中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则必须将包含域加入帐户的 Active Directory 组添加到超级管理员角色,如先决条件中所述。当您的容器群中的容器运行这些低版本的清单时,如果域加入帐户不在具有超级管理员角色的任何 Active Directory 组中,则对这些容器使用“导入虚拟机”工作流时可能会失败。
  9. 单击保存

结果

以下各项现已就绪:
  • 该 Active Directory 域成为一个与此 Horizon Cloud 客户帐户关联的云配置 Active Directory 域。
  • 对于 Microsoft Azure 中的容器,Horizon Cloud 具有执行涉及将桌面相关虚拟机加入到该域的那些系统操作所需的必要域加入帐户。
  • 在使用 VMware 帐户凭据登录到 Horizon Cloud 后,在 Active Directory 登录窗口中,该 Active Directory 中具有分配的 Horizon Cloud 角色的用户可以选择与其 Active Directory 帐户对应的域。
  • 如果您授予超级管理员角色的组中的用户在第一个登录屏幕中使用关联的 VMware 帐户凭据进行登录,他们将能够访问控制台并执行管理活动。要使这些管理员能够在第一个登录步骤中使用他们自己的 VMware 帐户凭据,请完成 为组织中的人员授予管理角色以使用 Horizon Universal Console登录到 Horizon Cloud 租户环境并在其中执行操作中所述的步骤。
  • 可以选择已注册的 Active Directory 域中的用户帐户进行 Microsoft Azure 中的容器内的资源相关分配。
  • 可以将控制台的技术支持功能用于该已注册的 Active Directory 域中的用户帐户。

下一步做什么

之后,您通常可执行以下任务: