Sie können optional zusätzliche Active Directory-Domänen mit Ihrem Horizon Cloud-Kundenkonto registrieren. Beim Registrieren der Active Directory-Domäne wird die entsprechende Domäne dem Satz der Cloud-konfigurierten Domänen hinzugefügt, die diesem Horizon Cloud-Kundenkonto zugeordnet sind. Wenn sich die Domäne in der Gruppe der Cloud-konfigurierten Domänen befindet, können Sie Benutzerkonten und Gruppen dieser Domäne aktivieren, um die vom System zur Verfügung gestellten Funktionen zu verwenden, z. B. können Helpdesk-Administratoren die Helpdesk-Funktionen verwenden oder Endbenutzer die Desktop-bezogenen Funktionen nutzen.

Wichtig: Geben Sie in den Textfeldern Benutzername für den Dienst und Benutzername für den Beitritt für die Domänendienst- und Domänenbeitrittskonten den Kontonamen selbst an, z. B. ouraccountname, und zwar in Form des Benutzernamens für die Anmeldung ohne den Domänennamen.
Hinweis: Verteilungsgruppen werden auch dann nicht unterstützt, wenn Sie unter einer Sicherheitsgruppe verschachtelt sind. Wählen Sie beim Erstellen von Active Directory-Gruppen für den Gruppentyp immer Sicherheit aus.

Voraussetzungen

Stellen Sie sicher, dass die Active Directory-Infrastruktur mit einer präzisen Zeitquelle synchronisiert ist, um zu vermeiden, dass der Domänenbeitrittsschritt für das Konto fehlschlägt. Im Falle eines solchen Fehlers müssen Sie sich gegebenenfalls an den VMware-Support wenden, um Unterstützung zu erhalten. Wenn der Schritt für die Bindung der Domäne erfolgreich abgeschlossen wurde, der Schritt für den Domänenbeitritt jedoch fehlschlägt, können Sie versuchen, die Domäne zurückzusetzen, und untersuchen, ob Sie die Zeitquelle anpassen müssen. Informationen zum Zurücksetzen der Domäne finden Sie in den Schritten unter Entfernen der Registrierung der Active Directory-Domäne.

Überprüfen Sie für das erforderliche primäre und Hilfsdomänendienstkonto, ob Sie über die Informationen für zwei Active Directory-Benutzerkonten verfügen, die die Anforderungen unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt erfüllen.

Vorsicht: Um versehentliche Sperrungen zu verhindern, durch die Sie sich nicht bei der cloudbasierten Konsole anmelden können, um Ihre Horizon Cloud-Umgebung zu verwalten, müssen Sie sicherstellen, dass Ihre Domänendienstkonten nicht ablaufen, geändert oder gesperrt werden können. Sie müssen diesen Typ der Kontokonfiguration verwenden, da das System das primäre Domänendienstkonto als Dienstkonto zum Abfragen der Active Directory-Domäne verwendet, um die Anmeldedaten zum Anmelden bei der Konsole zu überprüfen. Wenn aus irgendeinem Grund nicht auf das primäre Domänendienstkonto zugegriffen werden kann, wird das Hilfsdomänendienstkonto verwendet. Wenn sowohl das primäre Domänendienstkonto als auch das zusätzliche Dienstkonto abläuft oder nicht mehr zugänglich ist, können Sie sich nicht mehr bei der Konsole anmelden und die Konfiguration für die Verwendung eines zugänglichen Domänendienstkontos aktualisieren.

Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.

Stellen Sie für das Domänenbeitrittskonto sicher, dass das Konto den Anforderungen unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt erfüllt.
Vorsicht:
  • Wenn Sie nur eine Active Directory-Gruppe mit der Rolle „Superadministrator“ zugewiesen haben, entfernen Sie diese Gruppe nicht vom Active Directory-Server. Dies kann zu Problemen bei zukünftigen Anmeldungen führen.
  • Wenn Ihre Pod-Flotte über Horizon Cloud-Pods in Microsoft Azure verfügt, auf denen Manifeste vor 1600.0 ausgeführt werden, muss dem Domänenbeitrittskonto die Rolle „Superadministrator“ erteilt werden. Da die Rollen auf Gruppenebene gewährt werden, erstellen Sie eine Active Directory-Gruppe für dieses Konto und fügen Sie diese Gruppe zur Rolle „Superadministrator“ hinzu, wenn Sie über solche Pods verfügen und sich das im Schritt „Domänenbeitrittskonto der Active Directory-Domänenregistrierung“ bereitgestellte Domänenbeitrittskonto nicht bereits in einer der Domänengruppen befindet, denen die Rolle „Superadministrator“ zugewiesen werden kann. Auf diese Weise können Sie sicherstellen, dass die Rolle „Superadministrator“ diesem Domänenbeitrittskonto zugewiesen werden kann, wenn Ihre Pod-Flotte über Pods mit diesen älteren Manifesten verfügt.

Stellen Sie sicher, dass Sie über den NetBIOS-Namen und DNS-Domänennamen der Active Directory-Domäne verfügen. Sie geben diese Werte im Fenster „Active Directory registrieren“ der Konsole im ersten Schritt dieses Workflows an. Ein Beispiel für das Auffinden dieser Werte finden Sie unter Suchen der erforderlichen Informationen für die Horizon Cloud-Felder „NETBIOS-Name“ und „DNS-Domänenname“ bei der Active Directory-Workflow-Registrierung.

Vorsicht: Wenn Sie eine zusätzliche Active Directory-Domäne registrieren, stellen Sie sicher, dass diese Domäne für all Ihre Cloud-verbundenen Pods sichtbar ist. Allen Pods desselben Kundenkonto-Datensatzes müssen denselben Satz mit Cloud-konfigurierten Active Directory-Domänen erreichen können, die mit diesem Konto registriert sind. Alle Pods müssen dieselben Active Directory-Server erreichen können, und die DNS-Konfiguration muss alle diese Cloud-konfigurierten Active Directory-Domänen auflösen.

Prozedur

  1. Wählen Sie in der Konsole Einstellungen > Active Directory aus.
  2. Klicken Sie auf Registrieren.
  3. Geben Sie im Dialogfeld „Active Directory registrieren“ die angeforderten Registrierungsinformationen an.
    Wichtig: Verwenden Sie Active Directory-Konten, die den Richtlinien für primäre und Hilfsdomänendienstkonten wie in den Voraussetzungen beschrieben unterliegen.
    Option Beschreibung
    NETBIOS-Name
    • Wenn Sie über Cloud-verbundene Horizon-Pods verfügen, zeigt das System bei diesem Schritt ein Auswahlmenü an, das mit den Namen aller Active Directory-Domänen aufgefüllt wird, die für den Horizon-Pod sichtbar sind. Wählen Sie die Active Directory-Domäne aus, die Sie zuerst registrieren möchten.
    • Wenn sich Ihre Cloud-verbundenen Pods ausschließlich in Microsoft Azure befinden, zeigt das System bei diesem Schritt ein Textfeld an. Geben Sie den NetBIOS-Namen der Active Directory-Domäne ein, die Sie registrieren möchten. Dieser Name enthält in der Regel keinen Punkt. Ein Beispiel, wie Sie den zu verwendenden Wert aus Ihrer Active Directory-Domänenumgebung ermitteln können, finden Sie unter Suchen der erforderlichen Informationen für die Horizon Cloud-Felder „NETBIOS-Name“ und „DNS-Domänenname“ bei der Active Directory-Registrierung.
    DNS-Domänenname
    Protokoll Zeigt automatisch LDAP, das unterstützte Protokoll, an.
    Benutzername für den Dienst Benutzerkonto in der Domäne, das als primäres LDAP-Dienstkonto verwendet werden soll.
    Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.
    Bind-Kennwort Das Kennwort, das mit dem Namen im Textfeld Benutzername für den Dienst verknüpft ist.
    Hilfsdienstkonto-Nr.1 Geben Sie in den Feldern Benutzername für den Dienst und Bind-Kennwort ein Benutzerkonto der Domäne ein, das als Hilfs-LDAP-Dienstkonto verwendet werden soll, sowie das zugehörige Kennwort.
    Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.
  4. Klicken Sie auf Domänendienst.
    Wenn der Domänenbindungsschritt erfolgreich verläuft, wird das Dialogfeld „Domänenbeitritt“ angezeigt, und Sie können mit dem nächsten Schritt fortfahren.
  5. Geben Sie im Dialogfeld „Domänenbeitritt“ die erforderlichen Informationen an.
    Hinweis: Verwenden Sie ein Active Directory-Konto, das den Richtlinien für das Domänenbeitrittskonto entspricht, die in den Voraussetzungen beschrieben sind.
    Option Beschreibung
    Primäre DNS-Server-IP Die IP-Adresse des primären DNS-Servers, die Horizon Cloud zum Auflösen von Computernamen verwenden soll.

    Für einen Pod in Microsoft Azure muss dieser DNS-Server Computernamen innerhalb Ihrer Microsoft Azure-Cloud sowie externe Namen auflösen können.

    Sekundäre DNS-Server-IP (Optional) IP-Adresse eines sekundären DNS-Servers
    Standard-OE Active Directory-Organisationseinheit (OU), die von den Desktop-bezogenen virtuellen Maschinen des Pods verwendet werden soll, z. B. von importierten VMs, Farm-RDSH-VMs, VDI-Desktop-Instanzen. Eine Active Directory-Organisationseinheit hat das Format wie OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent. Die Standardeinstellung des Systems lautet CN=Computers. Sie können die Standardeinstellungen an Ihre Anforderungen anpassen, z. B. CN=myexample.
    Hinweis: Eine Beschreibung der geschachtelten Organisationsnamen finden Sie unter Überlegungen zur Verwendung verschachtelter Active Directory-Domänen-Organisationseinheiten. Jede einzelne eingegebene OE darf maximal 64 Zeichen lang sein, wobei der OE=-Teil Ihrer Eingabe nicht mitgezählt wird. Microsoft begrenzt eine einzelne OE auf 64 Zeichen oder weniger. Ein OE-Pfad, der länger als 64 Zeichen ist, aber keine einzelne OE mehr als 64 Zeichen hat, ist gültig. Jede einzelne OE muss jedoch maximal 64 Zeichen lang sein.
    Benutzername für den Beitritt Benutzerkonto im Active Directory, das über die nötigen Berechtigungen verfügt, um mit Computern zu dieser Active Directory-Domäne beizutreten.
    Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.
    Kennwort für den Beitritt Das mit dem Namen im Textfeld Benutzername für den Beitritt verknüpfte Kennwort.
  6. (Optional) Legen Sie ein Hilfskonto für den Domänenbeitritt fest.
    Wenn das von Ihnen angegebene primäre Domänenbeitrittskonto nicht mehr zugänglich ist, verwendet das System das zusätzliche Domänenbeitrittskonto für diese Vorgänge in Microsoft Azure-Pods, für die ein Domänenbeitritt erforderlich ist. Dazu zählen beispielsweise das Importieren von Image-VMs, das Erstellen von Farm-RDSH-Instanzen, VDI-Desktop-Instanzen usw.
    Hinweis:
    • Verwenden Sie ein Active Directory-Konto, das denselben Richtlinien für das primäre Domänenbeitrittskonto entspricht, die in den Voraussetzungen beschrieben sind. Sofern Sie nicht für beide Konten Läuft nie ab festgelegt haben, stellen Sie sicher, dass für das zusätzliche Domänenbeitrittskonto eine andere Ablaufzeit festgelegt ist, als für das primäre Domänenbeitrittskonto. Wenn das primäre und das zusätzliche Domänenbeitrittskonto zur gleichen Zeit ablaufen, schlagen Systemvorgänge für das Versiegeln von Images und die Bereitstellung von Farm-RDSH- und VDI-Desktop-VMs fehl.
    • Sie können für jedes mit Horizon Cloud registrierte Active Directory nur ein Hilfskonto für den Beitritt hinzufügen.
    • Wenn Sie jetzt kein Hilfskonto für den Domänenbeitritt hinzufügen möchten, können Sie dies später über die Konsole tun.
    • Sie können dieses Konto zu einem späteren Zeitpunkt aktualisieren oder löschen.
    • Die Agent-bezogene Software auf einer Desktop-bezogenen virtuellen Maschine – wie ein versiegeltes Image, eine Farm-RDSH-Instanz oder VDI-Desktop-Instanz – muss der Version 18.1 oder höher entsprechen, damit das System das zusätzliche Domänenbeitrittskonto für diese virtuelle Maschine verwenden kann.
    Option Beschreibung
    Benutzername für Hilfskonto für Beitritt Benutzerkonto im Active Directory, das über die nötigen Berechtigungen verfügt, um mit Systemen zu dieser Active Directory-Domäne beizutreten.
    Wichtig: Geben Sie in diesem Feld nur den Kontonamen an, z. B. ouraccountname, und zwar in Form des Benutzernamens für die Anmeldung ohne den Domänennamen. Wenn Sie Schrägstriche oder @-Zeichen eingeben, wird ein Fehler angezeigt.
    Kennwort für Hilfskonto für Beitritt Das mit dem Namen im Textfeld Benutzername für Hilfskonto für Beitritt verknüpfte Kennwort.
  7. Klicken Sie auf Speichern.
    Wenn an diesem Punkt der Domänenbeitrittsschritt erfolgreich verläuft, wird das Dialogfeld „Administrator hinzufügen“ angezeigt, und Sie können mit dem nächsten Schritt fortfahren.
  8. Wählen Sie über die Active Directory-Suchfunktion im Dialogfeld „Superadministrator hinzufügen“ die Active Directory-Administratorgruppe aus, die in Ihrer Umgebung die Verwaltungsaufgaben mit der Konsole ausführen soll.
    Durch diese Zuweisung wird sichergestellt, dass mindestens eines Ihrer Active Directory-Domänenbenutzerkonten die Berechtigungen zum Anmelden mit dem Standard-Workflow zur Anmeldung erhält, da die Active Directory-Domäne nun für dieses Kundenkonto konfiguriert ist.
    Wichtig: Wenn Ihre Pod-Flotte über Horizon Cloud-Pods in Microsoft Azure verfügt, auf denen Manifeste vor 1600.0 ausgeführt werden, müssen Sie die Active Directory-Gruppe mit dem Domänenbeitrittskonto zur Rolle „Superadministrator“ hinzufügen (siehe Beschreibung in den Voraussetzungen). Wenn in Ihrer Pod-Flotte Pods mit diesen alten Manifesten ausgeführt werden und sich das Domänenbeitrittskonto nicht in einer der Active Directory-Gruppen mit der Rolle „Superadministrator“ befindet, kann die Verwendung des Workflows zum Importieren von VMs mit diesen Pods fehlschlagen.
  9. Klicken Sie auf Speichern.

Ergebnisse

Folgende Elemente sind jetzt vorhanden:
  • Die Active Directory-Domäne ist eine der Cloud-konfigurierten Active Directory-Domänen, die diesem Horizon Cloud-Kundenkonto zugewiesen sind.
  • Für einen Pod in Microsoft Azure verfügt Horizon Cloud über das erforderliche Domänenbeitrittskonto, das für derartige Systemvorgänge benötigt wird, um Desktop-bezogene virtuelle Maschinen mit dieser Domäne zu verknüpfen.
  • Nachdem sie sich bei Horizon Cloud mit Ihren My VMware-Anmeldeinformationen angemeldet haben, können Benutzer in diesem Active Directory, denen eine Horizon Cloud-Rolle zugewiesen wurde, die Domäne auswählen, die ihrem Active Directory-Konto entspricht.
  • Benutzer der Gruppe, der Sie die Superadministrator-Rolle zugewiesen haben, können auf die Konsole zugreifen und Verwaltungsaktionen ausführen, wenn sie das zugehörige My VMware-Konto für den ersten Anmeldebildschirm verwenden. Damit diese Administratoren ihre eigenen My VMware-Kontoanmeldedaten für die ersten Anmeldung verwenden können, führen Sie die unter Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Universal Console beschriebenen Schritte aus.
  • Für Zuweisungen, die im Zusammenhang mit Ressourcen von Pods in Microsoft Azure stehen, können Benutzerkonten aus der registrierten Active Directory-Domäne ausgewählt werden.
  • Die Helpdesk-Funktionen der Konsole können mit Benutzerkonten aus dieser registrierten Active Directory-Domäne verwendet werden.

Nächste Maßnahme

Von diesem Punkt an führen Sie in der Regel folgende Aufgaben aus: