首次成功将第一个容器与 Horizon Cloud 进行配对后,您可以登录到 Horizon Cloud(网址为 cloud.horizon.vmware.com),以在 Horizon Cloud 环境中注册 Active Directory 域。完成注册工作流后,该 Active Directory 域即成为您的 Horizon Cloud 客户帐户中的第一个云配置 Active Directory 域。整个注册工作流过程包含多个步骤。

将第一个容器与 Horizon Cloud 进行云配对后,您应该立即或稍后执行此 Active Directory 域注册过程。在从 Horizon Cloud(对于 Microsoft Azure 中的容器)或使用 Horizon Cloud Connector(对于部署在内部或 VMware Cloud on AWS 中的 Horizon 容器)启动容器部署时,会将容器与 Horizon Cloud 进行云配对。此注册工作流的全部步骤包括:

  1. 提供 Active Directory 域名相关信息、协议相关信息,以及 Horizon Cloud 可用来查询该 Active Directory 域的域绑定服务帐户的凭据。有关 Horizon Cloud 对该域绑定帐户有哪些要求的信息,请参阅域绑定帐户要求
  2. 提供您希望 Horizon Cloud 用来解析计算机名称的 DNS 服务器的 IP 地址、您希望容器的桌面相关虚拟机 (Virtual Machine, VM) 所在的组织单位 (Organizational Unit, OU),以及 Horizon Cloud 可用来加入这些桌面相关虚拟机的域加入服务帐户的凭据。此类虚拟机包括导入的虚拟机、场 RDSH 实例和 VDI 桌面实例等。有关 Horizon Cloud 对该域加入帐户有哪些要求的信息,请参阅域加入帐户要求
  3. Horizon Cloud 超级管理员角色分配给 Active Directory 域组。
重要事项: 请查看以下几点以了解注册工作流。
  • 对于要注册的第一个域,您必须完成整个 Active Directory 注册过程,然后才能移到控制台中的其他页面。在完成这些任务之前,主要服务将处于锁定状态。
  • 此外,由于一个已知问题,如果没有先对第一个容器完成此 Active Directory 域注册过程,就尝试对后续容器运行连接器的云配对工作流,则当使用 Horizon Cloud Connector 连接部署在内部和 VMware Cloud on AWS 中的 Horizon 时,可能会出现意外结果。尽管云配对工作流允许在完成 Horizon Cloud 中的第一个 Active Directory 域注册之前对多个容器运行该工作流,但如果尚未完成第一个域注册就对下一个容器运行该云配对过程,此域注册过程可能会失败。在这种情况下,您将必须:
    1. 使用 Horizon Cloud Connector 租户门户中的断开连接操作移除每个连接到云的容器之间的连接,直至减少到剩余一个连接到云的容器为止。
    2. 按照Horizon Cloud 中移除失败的 Active Directory 域注册中的步骤,移除失败的注册。
    3. 完成与该容器相关的第一个 Active Directory 域注册过程。
    4. 在其他容器上重新运行 Horizon Cloud Connector 工作流。
  • 尽管在此版本的容器中,在这些步骤中指定的域加入帐户仅用于 Microsoft Azure 中的容器,但当您的环境中只有已连接到云的 Horizon 容器时,明智的做法也是要完成域加入帐户步骤,以确保激活随后的超级管理员角色分配提示。所有已连接到云的容器类型都需要完成将该角色分配给 Active Directory 域组的步骤。
  • 通讯组不受支持,即使它们嵌套在安全组下也是如此。创建 Active Directory 组时,对于组类型始终选择安全
重要事项: 在与域绑定和域加入帐户相关的 绑定用户名加入用户名文本框中,只提供帐户名称本身(例如 ouraccountname),这类似于不带域名的用户登录名。

前提条件

确保已将 Active Directory 基础架构同步到准确的时间源,以防止域加入帐户步骤失败。如果此过程失败,可能需要联系 VMware 技术支持团队寻求帮助。如果域绑定步骤成功,但域加入步骤失败,您可以尝试重置域,然后查看是否需要调整时间源。要重置域,请参阅移除 Active Directory 域注册中的相应步骤。

确认已成功部署第一个容器。“入门”向导的“容量”部分显示绿色勾号图标(带有勾号的绿色圆形图标,表示成功)以指示是否成功部署第一个容器。

对于所需的主域绑定帐户和辅助域绑定帐户,请确认您拥有符合域绑定帐户要求中所述要求的两个 Active Directory 用户帐户的信息。

小心: 为了防止发生导致您无法登录到基于云的控制台来管理 Horizon Cloud 环境的意外锁定,必须确保您的域绑定帐户不能过期、更改或被锁定。由于系统使用主域绑定帐户作为服务帐户来查询 Active Directory 域,以验证用于登录到控制台的凭据,因此,您必须使用此类型的帐户配置。如果主域绑定帐户由于某种原因而变得不可访问,则系统会使用辅助域绑定帐户。如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,则您将无法登录到控制台并更新配置以使用可访问的域绑定帐户。

主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。

对于域加入帐户,请确认该帐户满足 域加入帐户要求中所述的要求。域加入帐户还必须位于您在控制台中添加到超级管理员角色的 Active Directory 组中。只能在组级别分配 Horizon Cloud 角色。
小心: 对于涉及 Microsoft Azure 中的容器的系统操作,这一点至关重要。如果您在 Active Directory 域注册的域加入帐户步骤中提供的域加入帐户尚未位于可分配超级管理员角色的某个 Active Directory 组中,请为该帐户创建一个 Active Directory 组,以便确保可以将超级管理员角色分配给该域加入帐户。

如果您仅具有一个分配了超级管理员角色的 Active Directory 组,请不要从 Active Directory 服务器中移除该组。这样做可能会导致将来登录出现问题。

重要事项: 对于 Microsoft Azure 中的容器,此域加入帐户必须位于授予了超级管理员角色的某个 Active Directory 组中。如果域加入帐户没有位于授予了超级管理员角色的组中,则涉及将容器的虚拟机加入到域的系统操作将失败,例如在导入基础映像或创建 RDSH 场和虚拟桌面时。

确认您具有 Active Directory 域的 NetBIOS 名称和 DNS 域名。您将在此工作流的第一个步骤中,在控制台的“注册 Active Directory”窗口中提供这两个值。有关如何查找这两个值的示例,请参阅查找“Horizon Cloud 注册 Active Directory”工作流的“NETBIOS 名称”和“DNS 域名”字段所需的信息

为了将来考虑,请牢记,如果您打算以后使用同一个 Horizon Cloud 客户帐户连接其他 Horizon 容器,或将容器部署到 Microsoft Azure 中以形成一个统一的环境,则在连接或部署这些容器时,这些容器将需要能够查看此同一个 Active Directory 域。

过程

  1. 通过浏览器使用您的首选方法登录到基于云的控制台,网址为 cloud.horizon.vmware.com
    • 在登录页面的 My VMware 凭据部分中,输入 My VMware 帐户的凭据。帐户凭据包括主要电子邮件地址(例如 user@example.com),以及在帐户配置文件中设置的密码。此选项会将身份验证请求发送到 Horizon Cloud 控制平面。
    • 在登录页面的 VMware Cloud Services 部分中,单击 VMWARE CLOUD 登录。单击该按钮会将身份验证请求重定向到 VMware Cloud Services,以便在该处根据组织的配置对您进行身份验证。贵组织可能要求您使用 VMware Cloud Services 访问其 Horizon Cloud 租户。
    以下屏幕截图显示了通过输入 My VMware 帐户凭据进行登录的情景。
    Horizon Cloud on Microsoft Azure:初次登录时 My VMware 帐户登录界面的屏幕截图

    如果您之前没有使用这些 My VMware 凭据接受 Horizon Cloud 服务条款,那么在您单击 登录按钮后会显示服务条款通知框。接受服务条款以继续。
    当您的登录成功通过身份验证后,控制台会打开并显示“入门”向导。

    如果首次登录时未显示“入门”向导,请通过单击设置 > 入门打开该向导。

  2. 在“入门”向导中,展开常规设置部分(如果该部分尚未展开)。
  3. 在“Active Directory”下,单击配置
  4. 在“注册 Active Directory”对话框中,提供请求的注册信息。
    重要事项: 请使用遵循必备条件中所述的主域绑定帐户和辅助域绑定帐户准则的 Active Directory 帐户。
    选项 说明
    NETBIOS 名称
    • 当您客户帐户中的第一个已连接到云的容器是 Horizon 容器时,系统会在此步骤显示一个选择菜单,其中填充了 Horizon 容器可以看到的所有 Active Directory 域的名称。选择您想要首先注册的 Active Directory 域。
    • 当您客户帐户中的第一个已连接到云的容器是 Microsoft Azure 中的容器时,系统会在此步骤显示一个文本框。需键入容器可查看的 Active Directory 域的 NetBIOS 名称。通常情况下,该名称不包含句点。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅查找“Horizon Cloud 注册 Active Directory”工作流的“NETBIOS 名称”和“DNS 域名”字段所需的信息
    注: 请牢记,如果您打算使用此同一个 Horizon Cloud 客户帐户连接其他 Horizon 容器,或将容器部署到 Microsoft Azure 中以形成一个统一的环境,则在随后连接或部署这些容器时,这些容器将需要能够查看此同一个 Active Directory 域。
    DNS 域名
    • 当您客户帐户中的第一个已连接到云的容器是 Horizon 容器时,系统会自动显示为 NETBIOS 名称选定的 Active Directory 域的完全限定 DNS 域名。
    • 当您客户帐户中的第一个已连接到云的容器是 Microsoft Azure 中的容器时,系统会显示一个文本框。需为 NETBIOS 名称键入您指定的 Active Directory 域的完全限定 DNS 域名。有关如何从 Active Directory 域环境中查找要使用的值的示例,请参阅查找“Horizon Cloud 注册 Active Directory”工作流的“NETBIOS 名称”和“DNS 域名”字段所需的信息
    协议 自动显示 LDAP(支持的协议)。
    绑定用户名 域中要用作主 LDAP 绑定帐户的用户帐户。
    注: 只提供用户名本身。此处不要包含域名。
    绑定密码 绑定用户名文本框中的名称关联的密码。
    辅助帐户 1 绑定用户名绑定密码字段中,键入域中要用作辅助 LDAP 绑定帐户的用户帐户及其关联的密码。
    注: 只提供用户名本身。此处不要包含域名。
    您可以选择提供高级属性的值。
    选项 说明
    端口 默认值为 LDAP -> 389。除非使用的是非标准端口,否则,您不需要修改此文本框。
    域控制器 IP (可选)如果您希望 Active Directory 流量使用特定的域控制器,请键入所需的域控制器 IP 地址(以逗号分隔)。如果将此文本框留空,系统会使用此 Active Directory 域可用的任何域控制器。
    上下文 LDAP 命名上下文。此文本框会根据 DNS 域名文本框中提供的信息自动填充内容。
    以下屏幕截图显示了当第一个已连接到云的容器位于 Microsoft Azure 中时的“注册 Active Directory”窗口。字段中包含示例 Active Directory 域的值,该域的 NetBIOS 名称为 ENAUTO,DNS 域名为 ENAUTO.com
    已填写示例值的“注册 Active Directory”窗口的屏幕截图。

  5. 单击域绑定
    域绑定步骤成功完成后,系统会显示“域加入”对话框,此时您可以继续执行下一步。
    重要事项: 如果域绑定步骤失败,但您继续添加域加入帐户,并且系统进入到超级管理员角色步骤,那么即使系统继续执行下一步,注册过程也不会完全完成。如果发生这种情况,请执行 移除 Active Directory 域注册中的步骤,然后再次从步骤 4 开始操作。
  6. 在“域加入”对话框中,提供所需的信息。
    注:
    • 执行此 Active Directory 域注册过程时,无论何种容器类型,您都必须完成此步骤中的必填字段。尽管在此版本中,域加入帐户主要用于对位于 Microsoft Azure 中的容器上的虚拟机执行的系统操作,但完成此步骤可确保完成下一个必须完成的授予超级管理员角色的步骤。
    • 请使用遵循必备条件中所述的域加入帐户准则的 Active Directory 帐户。
    选项 说明
    主 DNS 服务器 IP 您希望 Horizon Cloud 用来解析计算机名称的主 DNS 服务器的 IP 地址。

    对于 Microsoft Azure 中的容器,此 DNS 服务器必须能够解析 Microsoft Azure 云内部的计算机名称以及外部名称。

    辅助 DNS 服务器 IP (可选)辅助 DNS 服务器的 IP
    默认 OU 您希望由容器的桌面相关虚拟机(例如,导入的虚拟机、场 RDSH 虚拟机、VDI 桌面实例)使用的 Active Directory 组织单位 (OU)。Active Directory OU 采用如下格式:OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系统默认值为 CN=Computers。您可以根据需求更改该默认值,例如更改为 CN=myexample
    注: 有关嵌套的组织名称的说明,请参阅 关于使用嵌套 Active Directory 域组织单位的注意事项。每个输入的 OU 长度必须是 64 个字符或更少,不计入条目的 OU= 部分。Microsoft 将单个 OU 限制为 64 个字符或更少。如果 OU 路径长度超过 64 个字符,但单个 OU 不超过 64 个字符,则该路径有效。不过,每个 OU 必须是 64 个字符或更少。
    加入用户名 Active Directory 中有权将计算机加入该 Active Directory 域的用户帐户。
    注: 只提供用户名本身。此处不要包含域名。
    加入密码 加入用户名文本框中的名称关联的密码。
  7. (可选) 指定辅助域加入帐户。
    如果您指定的主域加入帐户变得无法访问,系统将使用辅助域加入帐户在 Microsoft Azure 上需要加入域的容器中执行这些操作,例如,导入映像虚拟机,创建场 RDSH 实例,创建 VDI 桌面实例,等等。
    注:
    • 使用的 Active Directory 帐户应遵循必备条件中对主域加入帐户所述的相同准则。请确保该辅助域加入帐户具有与主域加入帐户不同的过期时间,除非这两个帐户均设置为永不过期。如果主要和辅助域加入帐户同时过期,用于封装映像以及置备场 RDSH 虚拟机和 VDI 桌面虚拟机的系统操作将会失败。
    • 您只能为在 Horizon Cloud 中注册的每个 Active Directory 添加一个辅助域加入帐户。
    • 如果此时不添加辅助域加入帐户,可以稍后使用控制台添加一个。
    • 您可以稍后更新或移除此帐户。
    • 桌面相关虚拟机(例如封装的映像、场 RDSH 实例或 VDI 桌面实例)上的代理相关软件版本必须为 18.1 或更高版本,系统才能对该虚拟机使用辅助域加入帐户。
    选项 说明
    辅助加入用户名 Active Directory 中有权将系统加入该 Active Directory 域的用户帐户。
    重要事项: 请在此字段中只提供帐户名称(例如 ouraccountname),这类似于不带域名的用户登录名。输入斜杠或 @ 符号时将显示错误。
    辅助加入密码 辅助加入用户名文本框中的名称关联的密码。
  8. 单击保存
    域加入步骤成功完成后,系统会显示“添加超级管理员”对话框,此时您可以继续执行下一步。
    重要事项: 如果域加入步骤失败,将不会完全完成注册过程。如果发生这种情况,请执行 移除 Active Directory 域注册中的步骤,然后再次从步骤 4 开始操作。
  9. 在“添加超级管理员”对话框中,使用 Active Directory 搜索功能选择希望其使用此控制台在您的环境中执行管理操作的 Active Directory 管理员组。
    此分配可确保至少为 Active Directory 域的一个用户帐户授予登录到此控制台的权限,因为已经为此客户帐户配置了 Active Directory 域。
    重要事项: 对于超级管理员角色,请添加包含域加入帐户的 Active Directory 组,如必备条件中所述。如果域加入帐户没有位于任何具有超级管理员角色的 Active Directory 组中,对 Microsoft Azure 中的容器执行的涉及将虚拟机加入该域的那些系统操作将失败。
    小心: 为此 Active Directory 组分配超级管理员角色后,切勿从 Active Directory 系统中移除指定的管理员组,或者更改其在 Active Directory 系统中显示的 GUID,除非已按照 将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活 Horizon Cloud 管理控制台中的哪些区域中的描述为其他管理员组添加了此超级管理员角色。此超级管理员角色可控制哪些 AD 用户帐户可以登录到 Horizon Cloud 租户帐户并在控制台中执行管理操作。如果您从 Active Directory 系统中移除了该组或更改了其在 Active Directory 系统中的 GUID,所做更改将不会传递到 Horizon Cloud 控制平面,从而 Horizon Cloud 会错误地认为该 AD 组具有超级管理员角色。如果该组是分配到此超级管理员角色的唯一组,则之前具有超级管理员访问权限的所有 AD 帐户都将无法使用此权限登录 Horizon Cloud 租户帐户以执行管理操作,进而您将无法将该角色分配给其他 AD 组以重新获取管理访问权限。此时,您必须与 VMware 技术支持团队联系,以请求其帮助您恢复对租户帐户的管理访问权限。
  10. 单击保存
    单击 保存时,系统将使您返回到登录屏幕。由于您已经在 Active Directory 域中注册了容器,系统将要求您重新登录,以强制使用 Active Directory 帐户以及 My VMware 凭据。例如,此时,您可以使用 My VMware 帐户登录,然后使用刚刚为其分配了超级管理员角色的 Active Directory 组中的用户的 Active Directory 帐户凭据进行登录。

结果

以下各项现已就绪:
  • 该 Active Directory 域已在云平面配置为与此 Horizon Cloud 客户帐户关联的第一个云配置 Active Directory 域。
  • 对于 Microsoft Azure 中的容器,Horizon Cloud 具有执行涉及将桌面相关虚拟机加入到该域的那些系统操作所需的必要域加入帐户。此外,域加入帐户具有所需的超级管理员角色,以便这些操作可正常执行。
  • 现在可以访问控制台中的管理活动。
  • 登录到控制台时的登录流程已更改,因为 Horizon Cloud 租户拥有其第一个注册的 Active Directory 域。有关登录流程的概述,请参阅关于对 Horizon Cloud 租户环境的身份验证
  • 如果您授予超级管理员角色的组中的用户在使用关联的 My VMware 帐户登录时,他们将能够访问控制台并执行管理活动。要使这些管理员能够使用他们自己的 My VMware 帐户凭据在 Horizon Cloud 中进行身份验证,请完成为组织中的人员授予管理角色以使用 Horizon Cloud 管理控制台登录到 Horizon Cloud 租户环境并在其中执行操作中所述的步骤。
  • 可以选择已注册的 Active Directory 域中的用户帐户进行 Microsoft Azure 中的容器内的资源相关分配。
  • 可以将控制台的技术支持功能用于该已注册的 Active Directory 域中的用户帐户。

后续步骤

之后,您通常可执行以下任务: