此页面介绍了用于配置 Horizon Cloud 租户所需的 Active Directory 域信息的多步骤工作流。使用 Horizon Universal Console 完成此工作流。这样做将解锁适用于租户环境的所有控制台管理功能。

最佳做法是立即完成此工作流,或者在将第一个容器添加到租户的容器群后不久完成此工作流,不论该容器是 Horizon Cloud on Microsoft Azure 部署,还是具有 Horizon Cloud ConnectorHorizon 容器部署。

完成工作流是最佳做法,其原因是,此工作流将解锁控制台的管理功能。在租户至少配置一个 Active Directory 域之前,几乎控制台的所有管理功能都呈现灰显状态并被锁定。

简要概述

整个域注册工作流包含以下一系列简要步骤。

  1. cloud.horizon.vmware.com 中,按照屏幕上的提示登录到控制台。然后,在控制台中启动 Active Directory 配置工作流。
  2. 在域绑定步骤中,您可以指定 Active Directory 域名相关信息、协议相关信息,以及您的租户可用来查询该 Active Directory 域的域绑定服务帐户的凭据。必须同时指定主帐户和辅助帐户。有关 Horizon Cloud 对该域绑定帐户有哪些要求的信息,请参阅域绑定帐户 - 所需的特征
  3. Horizon Cloud on Microsoft Azure 部署需要域加入信息。在此步骤中,您需提供以下内容:将允许该服务解析租户计算机名称的 DNS 服务器的 IP 地址、想要在其中创建容器置备的多会话和单会话计算机 (VM) 的默认组织单位 (Organizational Unit, OU),以及租户可用于将这些虚拟机加入 Active Directory 域的域加入服务帐户的凭据。此类虚拟机包括导入的虚拟机、场 RDSH 实例和 VDI 桌面实例等。有关租户对该域加入帐户有哪些要求的信息,请参阅域加入帐户 - 所需的特征

    如果您的租户的第一个容器是 Horizon Connection Server 类型,您可以选择跳过输入域加入帐户信息的步骤,而且此类容器的云平面服务可以正常工作。但是,如果您选择先执行此操作,稍后再将 Horizon Cloud 容器部署添加到此同一租户,并且该容器将为同一域中的最终用户置备资源,则必须记得在部署该容器后配置域加入信息。部署 Horizon Cloud 容器后,控制台不会自动向您发送域加入信息未配置的通知。

  4. 在工作流的最后一个步骤“添加管理员”中,您可以将 Horizon Cloud 超级管理员角色分配给 Active Directory 域组。
  5. 保存管理员信息后,控制台会自动将您注销。执行此步骤可确保只允许在上一步中标识的域组中的管理员访问控制台的管理功能。

此后,在为一个 Active Directory 域完成工作流后,您可以稍后根据组织需求配置其他 Active Directory 域。

关键注意事项

  • 您必须至少为一个域完成整个工作流,然后才能进入到控制台中的其他页面。在完成这些任务之前,主要服务将处于锁定状态。
  • 为支持使用控制台的功能,必须完成将超级管理员角色分配给 Active Directory 域组的工作流步骤。如果在完成该步骤之前取消向导,请单击控制台“入门”页面中的配置按钮重新打开“注册 Active Directory”向导,然后完成该角色分配。
  • 从 v2202 服务版本开始,Horizon Cloud on Microsoft Azure 部署支持使用 LDAPS。对于此用法,您的租户必须明确启动该功能,并且租户的第一个容器和后续容器必须运行 v2201 版本清单级别。有关详细信息,请参阅 Horizon Cloud on Microsoft Azure 和 LDAPS 支持
  • 通讯组不受支持,即使它们嵌套在安全组下也是如此。创建 Active Directory 组时,对于组类型始终选择安全
  • 主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。
  • 确保 Active Directory 服务器的时钟偏移小于 4 分钟。从清单 2474.x 开始,系统将检查已注册的 Active Directory 服务器的时钟偏移是否小于 4 分钟。如果此偏移大于 4 分钟,系统的域服务器发现将失败,并出现“时钟偏移太大 (Clock skew is too large)”异常。如果系统的域服务器发现失败,最终用户桌面连接请求可能会受到影响。
  • 为了将来考虑,请牢记,如果您打算以后向此租户的容器群添加其他容器部署,则在连接或部署这些容器时,这些容器将需要能够查看此同一个 Active Directory 域。
  • 此外,由于一个已知问题,如果没有先对第一个容器完成此 Active Directory 域注册过程,就尝试对后续容器运行连接器的云配对工作流,则当使用 Horizon Cloud Connector 连接 Horizon 容器时,可能会出现意外结果。尽管云配对工作流允许在完成 Horizon Cloud 中的第一个 Active Directory 域注册之前对多个容器运行该工作流,但如果尚未完成第一个域注册就对下一个容器运行该云配对过程,此域注册过程可能会失败。在这种情况下,您必须首先使用 Horizon Cloud Connector 配置门户中的断开连接移除每个连接到云的容器之间的连接,直至减少到剩余一个连接到云的容器为止。然后移除失败的 Active Directory 注册,完成单个连接到云的容器的域注册过程,并在后续容器上重新运行 Horizon Cloud Connector 工作流。

在控制台中运行工作流之前

  • 确认已成功部署第一个容器。控制台的“入门”向导显示绿色勾号图标 (带有勾号的绿色圆形图标,表示成功) 以指示是否成功部署第一个容器。
  • 为要注册的域获取 Active Directory 域的 NetBIOS 名称和 DNS 域名。您将在此工作流的第一个步骤中,在控制台的“注册 Active Directory”窗口中提供这两个值。有关如何查找这些值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息。请注意,您将在字段中输入帐户名称,如 ouraccountname,与不包含域名的用户登录名类似。
  • 为所需的主域绑定帐户和辅助域绑定帐户获取可输入到控制台中必填字段的有效信息。确保域中存在这些帐户,并满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求。作为控制台工作流的一部分,该服务将验证您输入的帐户信息。
  • 为防止域加入帐户步骤失败,请确保将 Active Directory 基础架构同步到准确的时间源。如果此过程失败,可能需要联系 VMware 技术支持团队寻求帮助。如果域绑定步骤成功,但域加入步骤失败,您可以尝试重置域,然后查看是否需要调整时间源。要重置域,请参阅移除 Active Directory 域注册中的相应步骤。
注: 如果您租户的第一个容器部署是 Horizon Connection ServerHorizon Cloud Connector 部署类型,并且您在运行此工作流时遇到问题,请确保您的部署运行的是受支持的 Horizon Connection ServerHorizon Cloud Connector 版本。

登录并启动工作流

  1. 导航到 Horizon Universal Console 门户 URL(网址为 https://cloud.horizon.vmware.com/)以登录到控制台。

    该 URL 将重定向到 VMware Cloud Services 登录屏幕,如以下屏幕截图中所示。使用与 Horizon Cloud 租户关联的凭据登录。请按照屏幕上的流程进行操作。


    Horizon Cloud on Microsoft Azure:初次登录时 VMware Cloud Services 登录屏幕的屏幕截图

    如果您之前没有使用这些凭据接受服务条款,那么在您单击登录按钮后会显示服务条款通知框。接受服务条款以继续。

    当您的登录成功通过身份验证后,控制台会打开并显示“入门”页面。

  2. 在“入门”页面中,展开常规设置部分(如果该部分尚未展开)。
  3. 在“Active Directory”下,单击配置

控制台会显示一个窗口,该窗口将启动 Active Directory 注册工作流。此窗口的外观会有所不同,具体取决于您的租户是开始使用 Horizon Connection Server 类型的容器,还是使用 Horizon Cloud on Microsoft Azure 部署。

域绑定 - Horizon Connection Server 容器

在控制台窗口中提供请求的信息,然后单击域绑定以保存该信息。键入每个绑定帐户名称时,请键入不包含域名的帐户名称,类似于用户登录名,如 ouraccountname

表 1. Horizon 容器 - 注册 Active Directory 字段
字段 说明
NETBIOS 名称 控制台会显示一个选择菜单,其中填充了 Horizon 容器可以看到的所有 Active Directory 域的名称。选择您想要首先注册的 Active Directory 域。
DNS 域名 只读。控制台将自动显示为 NETBIOS 名称选择的 Active Directory 域的完全限定 DNS 域名。
协议 自动显示 LDAP,即此容器类型支持的协议。
绑定用户名绑定密码 提供该该服务要用于选定域的域绑定服务帐户的凭据。
辅助帐户 1 绑定用户名绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。
高级属性 除非更改默认值,否则服务将使用控制台中显示的默认值。
  • 端口 - 默认值为 389,默认 LDAP 端口。除非您的域使用的是非标准 LDAP 端口,否则请保留此值。
  • 域控制器 IP - 如果您希望租户到此 Active Directory 域的流量使用特定的域控制器,请键入首选的域控制器 IP 地址(以逗号分隔)。如果将此文本框留空,该服务会使用此 Active Directory 域可用的任何域控制器。
  • 上下文 - 与 DNS 域名相关的 LDAP 命名上下文。此文本框会根据服务从 NetBIOS 名称中的域提取的信息以及 DNS 域名字段中自动显示信息自动填充。

域绑定 - Horizon Cloud on Microsoft Azure 部署

在控制台窗口中提供请求的信息,然后单击域绑定以保存该信息。键入每个绑定帐户名称时,请键入不包含域名的帐户名称,类似于用户登录名,如 ouraccountname

表 2. Horizon Cloud 容器 - 注册 Active Directory 字段
字段 说明
NETBIOS 名称 系统将显示一个文本框。键入容器可以看到的 AD 域的 NetBIOS 名称。通常情况下,该名称不包含句点。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息
DNS 域名 NETBIOS 名称键入您指定的 AD 域的完全限定 DNS 域名。
协议 自动显示 LDAP,即此容器类型支持的协议。
绑定用户名绑定密码 提供该该服务要用于选定域的域绑定服务帐户的凭据。
辅助帐户 1 绑定用户名绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。
高级属性 可选。除非更改默认值,否则服务将使用控制台中显示的默认值。
  • 端口 - 默认值为 389,默认 LDAP 端口。除非您的域使用的是非标准 LDAP 端口,否则请保留此值。
  • 域控制器 IP - 如果您希望租户到此 Active Directory 域的流量使用特定的域控制器,请键入首选的域控制器 IP 地址(以逗号分隔)。如果将此文本框留空,该服务会使用此 Active Directory 域可用的任何域控制器。
  • 上下文 - 与 DNS 域名相关的 LDAP 命名上下文。此文本框会根据服务从域 DNS 域名字段中提取的信息自动填充。

以下屏幕截图显示了当第一个已连接到云的容器位于 Microsoft Azure 中时的“注册 Active Directory”窗口。字段中包含示例 Active Directory 域的值,该域的 NetBIOS 名称为 ENAUTO,DNS 域名为 ENAUTO.com


已填写示例值的“注册 Active Directory”窗口的屏幕截图。

域加入

域绑定步骤成功完成后,控制台会自动显示“域加入”对话框。对于帐户凭据,请使用遵循必备条件中所述的域加入帐户准则的 Active Directory 帐户。

最佳做法是完成此向导步骤中的必填字段。尽管在此版本中,域加入帐户主要用于对位于 Microsoft Azure 中的容器上的虚拟机执行的系统操作,但完成此步骤可确保控制台提示您完成授予超级管理员角色的后续步骤。

重要说明: 如果域绑定步骤失败,但您继续添加域加入帐户,并且系统进入到超级管理员角色步骤,那么即使系统继续执行下一步,注册过程也不会完全完成。如果发生这种情况,请执行 移除 Active Directory 域注册中的步骤,然后再次从“域绑定”流程开始操作。
  1. 在“域加入”对话框中,提供所需的信息。
    选项 说明
    主 DNS 服务器 IP 您希望 Horizon Cloud 用来解析计算机名称的主 DNS 服务器的 IP 地址。

    对于 Microsoft Azure 中的容器,此 DNS 服务器必须能够解析 Microsoft Azure 云内部的计算机名称以及外部名称。

    辅助 DNS 服务器 IP (可选)辅助 DNS 服务器的 IP
    默认 OU 您希望由容器的桌面相关虚拟机(例如,导入的虚拟机、场 RDSH 虚拟机、VDI 桌面实例)使用的 Active Directory 组织单位 (OU)。Active Directory OU 采用如下格式:OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系统默认值为 CN=Computers。您可以根据需求更改该默认值,例如更改为 CN=myexample
    注: 有关嵌套的组织名称的说明,请参阅 关于使用嵌套 Active Directory 域组织单位的注意事项。每个输入的 OU 长度必须是 64 个字符或更少,不计入条目的 OU= 部分。Microsoft 将单个 OU 限制为 64 个字符或更少。如果 OU 路径长度超过 64 个字符,但单个 OU 不超过 64 个字符,则该路径有效。不过,每个 OU 必须是 64 个字符或更少。
    加入用户名加入密码 Active Directory 中有权将计算机加入该 Active Directory 域的用户帐户。提供用户名及其关联的密码。
    注: 只提供用户名本身。此处不要包含域名。
    辅助加入用户名辅助加入密码 可选。指定辅助域加入帐户。

    如果您指定的主域加入帐户变得无法访问,系统将使用辅助域加入帐户在 Microsoft Azure 上需要加入域的容器中执行这些操作,例如,导入映像虚拟机,创建场 RDSH 实例,创建 VDI 桌面实例,等等。

    使用的 Active Directory 帐户应遵循必备条件中对主域加入帐户所述的相同准则。请确保该辅助域加入帐户具有与主域加入帐户不同的过期时间,除非这两个帐户均设置为永不过期。如果主要和辅助域加入帐户同时过期,用于封装映像以及置备场 RDSH 虚拟机和 VDI 桌面虚拟机的系统操作将会失败。

    如果此时不添加辅助域加入帐户,可以稍后添加一个。如果现在添加一个帐户,您可以稍后更新或移除它。只能添加一个辅助域加入帐户。

  2. 单击保存

    域加入步骤成功完成后,将显示“添加管理员”对话框,您应该继续执行该步骤,以将超级管理员角色添加到 AD 域中的管理员组。

    重要说明: 如果域加入步骤失败,将不会完全完成注册过程。如果发生这种情况,请执行 移除 Active Directory 域注册中的步骤,然后再次从步骤 4 开始操作。

将超级管理员角色添加到 AD 组

  1. 在“添加管理员”对话框中,使用 Active Directory 搜索功能选择希望其使用此控制台在您的环境中执行管理操作的 Active Directory 管理员组。此分配可确保至少为 Active Directory 域的一个用户帐户授予登录到此控制台的权限,因为已经为此客户帐户配置了 Active Directory 域。
  2. 单击保存

单击保存时,系统会自动将您注销。由于您已经在 Active Directory 域中注册了容器,系统将要求您重新登录,以强制使用 Active Directory 帐户以及 VMware 帐户凭据。例如,此时,您可以使用 VMware 帐户凭据登录,然后使用刚刚为其分配了超级管理员角色的 Active Directory 组中的用户的 Active Directory 帐户凭据进行登录。

重要说明: 在为 Active Directory 组分配超级管理员角色后,切勿从 Active Directory 系统中移除指定的管理员组,或者更改其在 Active Directory 系统中显示的 GUID,除非已按照 将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活 Horizon Universal Console中的哪些区域中的描述为其他管理员组添加了此超级管理员角色。此超级管理员角色可控制哪些 AD 用户帐户可以登录到 Horizon Cloud 租户帐户并在控制台中执行管理操作。如果您从 Active Directory 系统中移除了该组或更改了其在 Active Directory 系统中的 GUID,所做更改将不会传递到 Horizon Cloud 控制平面,从而 Horizon Cloud 会错误地认为该 AD 组具有超级管理员角色。如果该组是分配到此超级管理员角色的唯一组,则之前具有超级管理员访问权限的所有 AD 帐户都将无法使用此权限登录 Horizon Cloud 租户帐户以执行管理操作。此时,只能使用域绑定帐户和辅助域绑定帐户的凭据进行登录,并将组添加到超级管理员角色。

完成流程的结果

完成所有向导步骤之后,以下项目都将准备就绪:

  • 该 Active Directory 域已在云平面配置为与此 Horizon Cloud 客户帐户关联的第一个云配置 Active Directory 域。
  • 对于 Horizon Cloud 容器,Horizon Cloud 具有执行涉及将虚拟机加入到该域的那些系统操作所需的域加入帐户。
  • 现在可以访问控制台中的管理活动。
  • 登录到控制台时的登录流程已更改,因为 Horizon Cloud 租户拥有其第一个注册的 Active Directory 域。有关登录流程的概述,请参阅关于对 Horizon Cloud 租户环境的身份验证
  • 如果您授予超级管理员角色的组中的用户在使用关联的 VMware 帐户凭据登录时,他们将能够访问控制台并执行管理活动。要使这些管理员能够使用他们自己的 VMware 帐户凭据在 Horizon Cloud 中进行身份验证,请完成为组织中的人员授予管理角色以使用 Horizon Universal Console登录到 Horizon Cloud 租户环境并在其中执行操作中所述的步骤。
  • 可以选择已注册的 Active Directory 域中的用户帐户进行 Microsoft Azure 中的容器内的资源相关分配。
  • 可以将控制台的技术支持功能用于该已注册的 Active Directory 域中的用户帐户。

后续操作

之后,您通常可执行以下任务:

小心: 如果您仅具有一个分配了超级管理员角色的 Active Directory 组,请不要从 Active Directory 服务器中移除该组。这样做可能会导致将来登录出现问题。