Einrichten Ihrer Active Directory-Domäne

Führen Sie in Horizon Cloud Service - next-gen die folgenden Schritte in der Horizon Universal Console aus, um die erste Active Directory-Domäne beim Dienst zu registrieren oder zusätzliche Active Directory Domänen zu registrieren.

Hinweis: Diese Dokumentationsseite gilt, wenn Ihre Umgebung über eine Horizon Edge-Bereitstellung in Microsoft Azure verfügt. Sie gilt weder für Horizon 8-Bereitstellungen noch für das Horizon Plus-Abonnement.

Wie in Identitäts- und Zugriffsverwaltung des Horizon Cloud Service beschrieben, verwendet der Dienst das registrierte Active Directory für die Maschinenidentität für die virtuellen Desktops und Remoteanwendungen.

Voraussetzungen

Active Directory-Anforderungen

Der Assistent Domänenregistrierung der Konsole erfordert die Eingabe bestimmter Informationen. Bevor Sie diese Schritte in der Konsole ausführen, vergewissern Sie sich, dass Sie oder Ihr IT-Team die Active Directory-bezogenen Anforderungen erfüllt haben, wie im Abschnitt Active Directory-Anforderungen in der Checkliste der Anforderungen für die Bereitstellung eines Microsoft Azure Edge beschrieben.

LDAPS-spezifische Eckpunkte und Anforderungen

Wenn Sie LDAPS in Ihrer Bereitstellung verwenden möchten, beachten Sie die folgenden wichtigen Punkte und Anforderungen.

PEM-kodierte Root- und Zwischen-CA-Zertifikate müssen zum Hochladen bereitstehen.
Selbstsignierte Zertifikate werden nicht unterstützt.
Der Dienst erfordert, dass Ihr DNS über SRV-Datensätze für die Domänen verfügt, die für die Verwendung von LDAPS konfiguriert sind. Wenn Sie sich für die Verwendung von LDAPS für eine Domäne entscheiden, ist die Verwendung von SRV-Datensätzen implizit erforderlich.
Es wird dringend empfohlen, Ihre AD-Umgebung so zu konfigurieren, dass die Kanalbindung erzwungen wird. Die Erzwingung der Kanalbindung ist ein wesentlicher Bestandteil der ordnungsgemäßen Absicherung von LDAPS, insbesondere zur Verhinderung von Man-in-the-Middle-Angriffen (MITM).
Ihre Firewall-Konfiguration muss ausgehende Verbindungen von Horizon Edge Gateway zu Ihren Domänencontrollern mit den folgenden Ports und Protokollen zulassen, wie in Port- und -Protokollanforderungen für Ihre Horizon Cloud-Bereitstellung in Microsoft Azurebeschrieben.
- Port 88/TCP – Kerberos-Authentifizierung
- Ports 636/TCP und 3269/TCP – LDAPS-Kommunikation
Sie müssen einen HTTP-Widerruf-Endpoint für alle Zertifikate in der Vertrauenskette außer dem Stammzertifikat definiert haben, und dieser Endpoint muss über HTTP erreichbar sein. Diese Anforderung umfasst die folgenden Punkte:
- LDAP darf nicht für Widerruf-Endpoints verwendet werden.
- Der Dienst führt Widerrufsprüfungen anhand der OCSP- oder CRL-HTTP-URLs durch, die in Ihren Zertifikaten definiert sind.
- Der Dienst kann keine Widerrufsprüfung durchführen, wenn ein Zertifikat keinen OCSP- oder CRL-Endpoint für das HTTP-Protokoll definiert. In diesem Fall schlägt die LDAPS-Verbindung fehl.
- Der Widerruf der Sichtverbindung muss für die Endpoints verfügbar sein. Ihre Firewalls dürfen ausgehenden Datenverkehr über HTTP zu Ihrem Widerruf-Endpoint nicht blockieren.

Prozedur

Klicken Sie im linken Fensterbereich auf Integrationen und in der Kachel Identität und Zugriff auf Verwalten.
Starten Sie auf der Registerkarte Domänen den Assistenten Domänenregistrierung der Konsole, indem Sie auf Hinzufügen klicken.

Geben Sie im ersten Schritt des Assistenten die angegebenen Informationen an


Bereich	Beschreibung
Name	Der Name der Active Directory-Domäne.
Beschreibung	(Optional) Beschreibung.
DNS-Domänenname	Der vollqualifizierte Name für diese Active Directory-Domäne (z. B. our-ad.example.com).
Standard-OE	Geben Sie eine geeignete Standard-OE ein. Diese OE ist die Active Directory-Organisationseinheit (OE), die der Dienst standardmäßig verwenden soll, wenn er die für die virtuellen Desktops und Remoteanwendungen erstellten Maschinenidentitäten hinzufügt. Geben Sie den vollständigen definierten Namen der OE ein, z. B. OU=MyOrg,DC=our-ad,DC=example,DC=com. Hinweis: Wenn Sie den Standardwert CN=Computers verwenden möchten, müssen Sie dies in das Feld eingeben. Auch wenn die Benutzeroberfläche diesen Standardwert im Feld anzeigt, stellt der Assistent die Schaltfläche Weiter nur dann zur Verfügung, wenn Sie sie direkt in dieses Feld eingeben.
Domänendienstkonten	Geben Sie die Benutzernamen und Kennwörter für die beiden Dienstkonten an, die Sie oder Ihr IT-Team zu diesem Zweck konfiguriert haben. Siehe den Abschnitt Active Directory-Anforderungen in der Checkliste der Anforderungen für die Bereitstellung eines Microsoft Azure Edge. Diese Dienstkonten werden zur Durchführung von Suchvorgängen in der Active Directory-Domäne verwendet. Das erste eingegebene Konto ist das primäre Konto, das der Dienst zu diesem Zweck verwendet. Das Hilfskonto ist ein Backup des primären Kontos. Stellen Sie sicher, dass die hier eingegebenen Konten die in der Checkliste der Anforderungen aufgeführten Anforderungen erfüllen.
Domänenbeitrittskonten	Geben Sie die Benutzernamen und Kennwörter für die beiden Dienstkonten an, die Sie oder Ihr IT-Team zu diesem Zweck konfiguriert haben. Siehe den Abschnitt Active Directory-Anforderungen in der Checkliste der Anforderungen für die Bereitstellung eines Microsoft Azure Edge. Diese Dienstkonten werden verwendet, um die Maschinenidentitäten mit der Active Directory-Domäne zu verbinden und Sysprep-Vorgänge durchzuführen. Das erste eingegebene Konto ist das primäre Konto, das der Dienst zu diesem Zweck verwendet. Das Hilfskonto ist ein Backup des primären Kontos. Stellen Sie sicher, dass die hier eingegebenen Konten die in der Checkliste der Anforderungen aufgeführten Anforderungen erfüllen.
Protokoll	Wählen Sie das Protokoll, LDAP oder LDAPS, das Sie für die Verbindung Ihres Active Directory mit Horizon Edge Gateway verwenden möchten. Wenn Sie LDAPS wählen, verwenden Sie die Funktion Durchsuchen, um Ihre PEM-kodierten Stamm- und Zwischen-CA-Zertifikate hochzuladen, auf die in den Voraussetzungen für diese Aufgabe verwiesen wird.

Wenn Sie alle erforderlichen Informationen eingegeben haben, stellt das System die Schaltfläche Weiter zur Verfügung.

Fahren Sie mit dem nächsten Schritt des Assistenten fort, indem Sie auf Weiter klicken.
An diesem Punkt stellt der Assistent die Aktion Speichern zur Verfügung, um das Speichern der Domäneninformationen auf dem System abzuschließen.
- Wenn Sie nicht vorhaben, SSO zu verwenden, können Sie den Benutzeroberflächenassistenten durch Klicken auf Speichern an dieser Stelle abschließen.
- Wenn Sie die True SSO-Funktion verwenden möchten, fahren Sie mit dem nächsten Schritt auf dieser Seite fort. Die Verwendung der True SSO-Funktion erfordert eine Microsoft Enterprise-Zertifizierungsstelle, wie unter Unterstützte Zertifizierungsstellentypen für die Verwendung von SSO mit einem Horizon Edge in Microsoft Azure beschrieben.
- Wenn Sie SSO verwenden möchten, das sich auf die VMware CA oder andere Zertifizierungsstellen als eine Microsoft Enterprise-Zertifizierungsstelle stützt, können Sie den Benutzeroberflächenassistenten an dieser Stelle durch Klicken auf Speichern abschließen. Später können Sie diese SSO-Konfiguration mithilfe der Schritte unter Hinzufügen einer SSO-Konfiguration zum Horizon Cloud Service – next-gen für eine VMware CA abschließen.
(Optional) Wenn Sie True SSO mit den virtuellen Desktops und Remoteanwendungen Ihrer Endbenutzer verwenden möchten, aktivieren Sie im Abschnitt Domänendienstkonto für die Registrierung des Assistenten die Umschaltoption Registrierungsdienstkonto verwenden.

Wenn diese Umschaltoption aktiviert ist, zeigt die Benutzeroberfläche Felder an, in die Sie die Anmeldedaten für die Domänenregistrierungskonten eingeben können, die für die True SSO-Funktion erforderlich sind. Geben Sie diese Informationen ein.

Achtung: Wenn Sie stattdessen SSO verwenden möchten, das sich auf die VMware CA stützt, können Sie diesen Schritt der Eingabe von Kontoinformationen für die Domänenregistrierung überspringen.

Ein Domänenregistrierungskonto ist ein Registrierungsdienstkonto, das die True SSO-Funktion verwendet, um kurzfristige Zertifikate von Microsoft AD CS (Active Directory-Zertifikatdienste) zu erhalten. True SSO verwendet die Zertifikate für die Authentifizierung, um zu vermeiden, dass die Benutzer zur Eingabe von Active Directory-Anmeldedaten aufgefordert werden. In der Horizon Universal Console werden die Begriffe Domänenregistrierungskonto, Registrierungsdienstkonto und Domänendienstkonto für die Registrierung möglicherweise austauschbar verwendet.

Nachdem Sie die Felder ausgefüllt haben, stellt der Assistent die Aktion Speichern zur Verfügung, um das Speichern der Domäneninformationen auf dem System abzuschließen.

Klicken Sie auf Speichern, um das Speichern aller Informationen, die Sie im Assistenten eingegeben haben, abzuschließen.

Ergebnisse

Ihre Konfiguration von Active Directory mit Horizon Edge ist abgeschlossen. Wenn Sie jedoch bei der weiteren Konfiguration Ihrer Bereitstellung Probleme mit der Active Directory-Verbindung feststellen, lesen Sie den Abschnitt Diagnose von Horizon Edges – Active Directory-Konnektivität für Microsoft Azure-Bereitstellungen.

Nächste Maßnahme

Nach Abschluss der vorangegangenen Schritte verfügt der Dienst über die Active Directory-Domäneninformationen, die er für eine Horizon Cloud on Microsoft Azure-Bereitstellung benötigt.

Weitere Informationen darüber, wie Sie Ihren Endbenutzern die Verwendung von Single Sign-On (SSO) beim Zugriff auf ihre Desktops und Anwendungen ermöglichen, finden Sie unter Unterstützte Zertifizierungsstellentypen für die Verwendung von SSO mit einem Horizon Edge in Microsoft Azure.