此页面适用于第一代 Horizon Cloud Service 部署。此页面介绍了一个多步骤工作流,此工作流用于配置在解锁第一代 Horizon Universal Console 管理功能时所需的 Active Directory 域信息。
完成此注册流程将解锁控制台中适用于第一代租户环境的所有管理功能。
用途
最佳做法是立即完成此工作流,或者在将第一个容器添加到租户的容器群后不久完成此工作流,不论该容器是 Horizon Cloud on Microsoft Azure 部署,还是具有 Horizon Cloud Connector 的 Horizon 容器部署。
完成工作流是最佳做法,其原因是,此工作流将解锁控制台的管理功能。在租户至少配置一个 Active Directory 域之前,几乎控制台的所有管理功能都呈现灰显状态并被锁定。
简要概述
整个域注册工作流包含以下一系列简要步骤。
- 从 cloud.horizon.vmware.com 中,按照屏幕上的提示登录到控制台。然后,在控制台中启动 Active Directory 配置工作流。
- 在域绑定步骤中,您可以指定 Active Directory 域名相关信息、协议相关信息,以及您的租户可用来查询该 Active Directory 域的域绑定服务帐户的凭据。必须同时指定主帐户和辅助帐户。有关 Horizon Cloud 对该域绑定帐户有哪些要求的信息,请参阅域绑定帐户 - 所需的特征。
- Horizon Cloud on Microsoft Azure 部署需要域加入信息。在此步骤中,您需提供以下内容:将允许该服务解析租户计算机名称的 DNS 服务器的 IP 地址、想要在其中创建容器置备的多会话和单会话计算机 (VM) 的默认组织单位 (Organizational Unit, OU),以及租户可用于将这些虚拟机加入 Active Directory 域的域加入服务帐户的凭据。此类虚拟机包括导入的虚拟机、场 RDSH 实例和 VDI 桌面实例等。有关租户对该域加入帐户有哪些要求的信息,请参阅域加入帐户 - 所需的特征。
如果您的租户的第一个容器是 Horizon Connection Server 类型,您可以选择跳过输入域加入帐户信息的步骤,而且此类容器的云平面服务可以正常工作。但是,如果您选择先执行此操作,稍后再将 Horizon Cloud 容器部署添加到此同一租户,并且该容器将为同一域中的最终用户置备资源,则必须记得在部署该容器后配置域加入信息。部署 Horizon Cloud 容器后,控制台不会自动向您发送域加入信息未配置的通知。
- 在工作流的最后一个步骤“添加管理员”中,您可以将 Horizon Cloud 超级管理员角色分配给 Active Directory 域组。
- 保存管理员信息后,控制台会自动将您注销。执行此步骤可确保只允许在上一步中标识的域组中的管理员访问控制台的管理功能。
此后,在为一个 Active Directory 域完成工作流后,您可以稍后根据组织需求配置其他 Active Directory 域。
关键注意事项
- 您必须至少为一个域完成整个工作流,然后才能进入到控制台中的其他页面。在完成这些任务之前,主要服务将处于锁定状态。
- 为支持使用控制台的功能,必须完成将超级管理员角色分配给 Active Directory 域组的工作流步骤。如果在完成该步骤之前取消向导,请单击控制台“入门”页面中的配置按钮重新打开“注册 Active Directory”向导,然后完成该角色分配。
- 从 v2202 服务版本开始,Horizon Cloud on Microsoft Azure 部署支持使用 LDAPS。对于此用法,您的租户必须明确启动该功能,并且租户的第一个容器和后续容器必须运行 v2201 版本清单级别。有关详细信息,请参阅 Horizon Cloud on Microsoft Azure 和 LDAPS 支持。
- 通讯组不受支持,即使它们嵌套在安全组下也是如此。创建 Active Directory 组时,对于组类型始终选择安全。
- 主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。
- 确保 Active Directory 服务器的时钟偏移小于 4 分钟。从清单 2474.x 开始,系统将检查已注册的 Active Directory 服务器的时钟偏移是否小于 4 分钟。如果此偏移大于 4 分钟,系统的域服务器发现将失败,并出现“时钟偏移太大 (Clock skew is too large)”异常。如果系统的域服务器发现失败,最终用户桌面连接请求可能会受到影响。
- 为了将来考虑,请牢记,如果您打算以后向此租户的容器群添加其他容器部署,则在连接或部署这些容器时,这些容器将需要能够查看此同一个 Active Directory 域。
- 此外,由于一个已知问题,如果没有先对第一个容器完成此 Active Directory 域注册过程,就尝试对后续容器运行连接器的云配对工作流,则当使用 Horizon Cloud Connector 连接 Horizon 容器时,可能会出现意外结果。尽管云配对工作流允许在完成 Horizon Cloud 中的第一个 Active Directory 域注册之前对多个容器运行该工作流,但如果尚未完成第一个域注册就对下一个容器运行该云配对过程,此域注册过程可能会失败。在这种情况下,您必须首先使用 Horizon Cloud Connector 配置门户中的断开连接移除每个连接到云的容器之间的连接,直至减少到剩余一个连接到云的容器为止。然后移除失败的 Active Directory 注册,完成单个连接到云的容器的域注册过程,并在后续容器上重新运行 Horizon Cloud Connector 工作流。
在控制台中运行工作流之前
- 确认已成功部署第一个容器。控制台的“入门”向导显示绿色勾号图标 (
) 以指示是否成功部署第一个容器。 - 为要注册的域获取 Active Directory 域的 NetBIOS 名称和 DNS 域名。您将在此工作流的第一个步骤中,在控制台的“注册 Active Directory”窗口中提供这两个值。有关如何查找这些值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息。请注意,您将在字段中输入帐户名称,如
ouraccountname,与不包含域名的用户登录名类似。 - 为所需的主域绑定帐户和辅助域绑定帐户获取可输入到控制台中必填字段的有效信息。确保域中存在这些帐户,并满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求。作为控制台工作流的一部分,该服务将验证您输入的帐户信息。
- 为防止域加入帐户步骤失败,请确保将 Active Directory 基础架构同步到准确的时间源。如果此过程失败,可能需要联系 VMware 技术支持团队寻求帮助。如果域绑定步骤成功,但域加入步骤失败,您可以尝试重置域,然后查看是否需要调整时间源。要重置域,请参阅移除 Active Directory 域注册中的相应步骤。
登录并启动工作流
- 导航到 Horizon Universal Console 门户 URL(网址为 https://cloud.horizon.vmware.com/)以登录到控制台。
该 URL 将重定向到 VMware Cloud Services 登录屏幕,如以下屏幕截图中所示。使用与 Horizon Cloud 租户关联的凭据登录。请按照屏幕上的流程进行操作。
如果您之前没有使用这些凭据接受服务条款,那么在您单击登录按钮后会显示服务条款通知框。接受服务条款以继续。
当您的登录成功通过身份验证后,控制台会打开并显示“入门”页面。
- 在“入门”页面中,展开常规设置部分(如果该部分尚未展开)。
- 在“Active Directory”下,单击配置。
控制台会显示一个窗口,该窗口将启动 Active Directory 注册工作流。此窗口的外观会有所不同,具体取决于您的租户是开始使用 Horizon Connection Server 类型的容器,还是使用 Horizon Cloud on Microsoft Azure 部署。
域绑定 - Horizon Connection Server 容器
在控制台窗口中提供请求的信息,然后单击域绑定以保存该信息。键入每个绑定帐户名称时,请键入不包含域名的帐户名称,类似于用户登录名,如 ouraccountname。
| 字段 | 说明 |
|---|---|
| NETBIOS 名称 | 控制台会显示一个选择菜单,其中填充了 Horizon 容器可以看到的所有 Active Directory 域的名称。选择您想要首先注册的 Active Directory 域。 |
| DNS 域名 | 只读。控制台将自动显示为 NETBIOS 名称选择的 Active Directory 域的完全限定 DNS 域名。 |
| 协议 | 自动显示 LDAP,即此容器类型支持的协议。 |
| 绑定用户名和绑定密码 | 提供该该服务要用于选定域的域绑定服务帐户的凭据。 |
| 辅助帐户 1 | 在绑定用户名和绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。 |
| 高级属性 | 除非更改默认值,否则服务将使用控制台中显示的默认值。
|
域绑定 - Horizon Cloud on Microsoft Azure 部署
在控制台窗口中提供请求的信息,然后单击域绑定以保存该信息。键入每个绑定帐户名称时,请键入不包含域名的帐户名称,类似于用户登录名,如 ouraccountname。
| 字段 | 说明 |
|---|---|
| NETBIOS 名称 | 系统将显示一个文本框。键入容器可以看到的 AD 域的 NetBIOS 名称。通常情况下,该名称不包含句点。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅获取 NETBIOS 名称和 DNS 域名信息。 |
| DNS 域名 | 为 NETBIOS 名称键入您指定的 AD 域的完全限定 DNS 域名。 |
| 协议 | 自动显示 LDAP,即此容器类型支持的协议。 |
| 绑定用户名和绑定密码 | 提供该该服务要用于选定域的域绑定服务帐户的凭据。 |
| 辅助帐户 1 | 在绑定用户名和绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。 |
| 高级属性 | 可选。除非更改默认值,否则服务将使用控制台中显示的默认值。
|
以下屏幕截图显示了当第一个已连接到云的容器位于 Microsoft Azure 中时的“注册 Active Directory”窗口。字段中包含示例 Active Directory 域的值,该域的 NetBIOS 名称为 ENAUTO,DNS 域名为 ENAUTO.com。
域加入
域绑定步骤成功完成后,控制台会自动显示“域加入”对话框。对于帐户凭据,请使用遵循必备条件中所述的域加入帐户准则的 Active Directory 帐户。
最佳做法是完成此向导步骤中的必填字段。尽管在此版本中,域加入帐户主要用于对位于 Microsoft Azure 中的容器上的虚拟机执行的系统操作,但完成此步骤可确保控制台提示您完成授予超级管理员角色的后续步骤。
- 在“域加入”对话框中,提供所需的信息。
选项 说明 主 DNS 服务器 IP 您希望 Horizon Cloud 用来解析计算机名称的主 DNS 服务器的 IP 地址。 对于 Microsoft Azure 中的容器,此 DNS 服务器必须能够解析 Microsoft Azure 云内部的计算机名称以及外部名称。
辅助 DNS 服务器 IP (可选)辅助 DNS 服务器的 IP 默认 OU 您希望由容器的桌面相关虚拟机(例如,导入的虚拟机、场 RDSH 虚拟机、VDI 桌面实例)使用的 Active Directory 组织单位 (OU)。Active Directory OU 采用如下格式: OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系统默认值为CN=Computers。您可以根据需求更改该默认值,例如更改为CN=myexample。注: 有关嵌套的组织名称的说明,请参阅 关于使用嵌套 Active Directory 域组织单位的注意事项。每个输入的 OU 长度必须是 64 个字符或更少,不计入条目的 OU= 部分。Microsoft 将单个 OU 限制为 64 个字符或更少。如果 OU 路径长度超过 64 个字符,但单个 OU 不超过 64 个字符,则该路径有效。不过,每个 OU 必须是 64 个字符或更少。加入用户名和加入密码 Active Directory 中有权将计算机加入该 Active Directory 域的用户帐户。提供用户名及其关联的密码。 注: 只提供用户名本身。此处不要包含域名。辅助加入用户名和辅助加入密码 可选。指定辅助域加入帐户。 如果您指定的主域加入帐户变得无法访问,系统将使用辅助域加入帐户在 Microsoft Azure 上需要加入域的容器中执行这些操作,例如,导入映像虚拟机,创建场 RDSH 实例,创建 VDI 桌面实例,等等。
使用的 Active Directory 帐户应遵循必备条件中对主域加入帐户所述的相同准则。请确保该辅助域加入帐户具有与主域加入帐户不同的过期时间,除非这两个帐户均设置为永不过期。如果主要和辅助域加入帐户同时过期,用于封装映像以及置备场 RDSH 虚拟机和 VDI 桌面虚拟机的系统操作将会失败。
如果此时不添加辅助域加入帐户,可以稍后添加一个。如果现在添加一个帐户,您可以稍后更新或移除它。只能添加一个辅助域加入帐户。
- 单击保存。
域加入步骤成功完成后,将显示“添加管理员”对话框,您应该继续执行该步骤,以将超级管理员角色添加到 AD 域中的管理员组。
重要说明: 如果域加入步骤失败,将不会完全完成注册过程。如果发生这种情况,请执行 移除 Active Directory 域注册中的步骤,然后再次从步骤 4 开始操作。
将超级管理员角色添加到 AD 组
- 在“添加管理员”对话框中,使用 Active Directory 搜索功能选择希望其使用此控制台在您的环境中执行管理操作的 Active Directory 管理员组。此分配可确保至少为 Active Directory 域的一个用户帐户授予登录到此控制台的权限,因为已经为此客户帐户配置了 Active Directory 域。
- 单击保存。
单击保存时,系统会自动将您注销。由于您已经在 Active Directory 域中注册了容器,系统将要求您重新登录,以强制使用 Active Directory 帐户以及 VMware 帐户凭据。例如,此时,您可以使用 VMware 帐户凭据登录,然后使用刚刚为其分配了超级管理员角色的 Active Directory 组中的用户的 Active Directory 帐户凭据进行登录。
完成流程的结果
完成所有向导步骤之后,以下项目都将准备就绪:
- 该 Active Directory 域已在云平面配置为与此 Horizon Cloud 客户帐户关联的第一个云配置 Active Directory 域。
- 对于 Horizon Cloud 容器,Horizon Cloud 具有执行涉及将虚拟机加入到该域的那些系统操作所需的域加入帐户。
- 现在可以访问控制台中的管理活动。
- 登录到控制台时的登录流程已更改,因为 Horizon Cloud 租户拥有其第一个注册的 Active Directory 域。有关登录流程的概述,请参阅关于对 Horizon Cloud 租户环境的身份验证。
- 如果您授予超级管理员角色的组中的用户在使用关联的 VMware 帐户凭据登录时,他们将能够访问控制台并执行管理活动。要使这些管理员能够使用他们自己的 VMware 帐户凭据在 Horizon Cloud 中进行身份验证,请完成为组织中的人员授予管理角色以使用 Horizon Universal Console登录到 Horizon Cloud 租户环境并在其中执行操作中所述的步骤。
- 可以选择已注册的 Active Directory 域中的用户帐户进行 Microsoft Azure 中的容器内的资源相关分配。
- 可以将控制台的技术支持功能用于该已注册的 Active Directory 域中的用户帐户。
后续操作
之后,您通常可执行以下任务:
- 向此 Active Directory 域配置中添加其他辅助绑定帐户。如果您指定的主绑定帐户和第一个辅助绑定帐户变得不可访问,系统会使用下一个辅助绑定帐户连接到 Active Directory。通过添加辅助绑定帐户,可以避免当 Active Directory 域中的主绑定帐户不可访问时锁定管理员用户,而使其无法访问控制台。请参阅在 Horizon Cloud 中为云配置 Active Directory 域添加其他辅助绑定帐户。
- 向其他用户授予管理您的环境的访问权限。首先,为其添加具有关联的 Horizon Cloud 角色的 VMware 帐户,然后为其 Active Directory 帐户授予相应的 Horizon Cloud 角色。请参阅为组织中的人员授予管理角色以使用 Horizon Universal Console登录到 Horizon Cloud 租户环境并在其中执行操作和将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活 Horizon Universal Console中的哪些区域。
- 继续执行“入门”向导中的步骤。请参阅Horizon Cloud“入门”向导 - 概述。
- 导航到控制台的“仪表板”和其他区域以探知或执行其他管理任务。请参阅第一代租户 - 第一代 Horizon Universal Console 的概览。
- 如果其他 Active Directory 域中包含希望授予控制台管理访问权限的用户,或者包含要为其提供分配的最终用户,则还可以注册这些 Active Directory 域。请参阅将其他 Active Directory 域注册为 Horizon Cloud 租户环境中的云配置 Active Directory 域。
- 为此域中希望授予控制台只读访问权限的用户分配演示管理员角色。请参阅关于为要使用控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践和将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活控制台中的哪些区域。
