Durchführen der ersten Active Directory-Domänenregistrierung in der Horizon Cloud-Umgebung

Nach der ersten erfolgreichen Kopplung Ihres ersten Pods mit Horizon Cloud melden Sie sich bei Horizon Cloud unter „cloud.horizon.vmware.com“ an, um eine Active Directory-Domäne für Ihre Horizon Cloud-Umgebung zu registrieren. Nach Abschluss des Workflows für die Registrierung ist diese Active Directory-Domäne die erste Cloud-konfigurierte Active Directory-Domäne in Ihrem Horizon Cloud-Kundenkonto. Der gesamten Workflow für die Registrierung ist ein mehrstufiger Prozess.

Sie sollten diesen Registrierungsvorgang der Active Directory-Domäne sofort oder kurz nach der Cloud-Kopplung des ersten Pods mit Horizon Cloud ausführen. Ein Pod wird mit Horizon Cloud mit der Cloud gekoppelt, wenn die Pod-Bereitstellung von Horizon Cloud initiiert wurde (im Falle von Pods in Microsoft Azure) oder wenn sie mithilfe von Horizon Cloud Connector initiiert wird (im Falle von Horizon-Pods). Die Schritte dieses Workflows zur Registrierung lauten wie folgt:

Geben Sie Informationen zum Namen und Protokoll der Active Directory-Domäne sowie Anmeldeinformationen eines Domänenbindungskontos an, das Horizon Cloud zum Abfragen dieser Active Directory-Domäne verwenden kann. Weitere Informationen dazu, was in Horizon Cloud für dieses Domänendienstkonto erforderlich ist, finden Sie unter Domänendienstkonto – Erforderliche Eigenschaften.
Geben Sie die IP-Adresse für den DNS-Server an, den Horizon Cloud zum Auflösen von Computernamen verwenden soll. Geben Sie zudem die Organisationseinheit (OE) an, die die Desktop-bezogenen virtuellen Maschinen (VMs) enthalten soll, und geben Sie Anmeldeinformationen eines Domänendienstkontos an, das Horizon Cloud zum Hinzufügen dieser Desktop-bezogenen VMs verwenden kann. Zu solchen VMs gehören importierte VMs, Farm-RDSH-Instanzen, VDI-Desktop-Instanzen usw. Weitere Informationen dazu, was in Horizon Cloud für dieses Domänenbeitrittskonto erforderlich ist, finden Sie unter Domänenbeitrittskonto – Erforderliche Eigenschaften.
Weisen Sie die Rolle des Horizon Cloud-Superadministrators einer Active Directory-Domänengruppe zu.

Wichtig: Beachten Sie alle folgenden Aufzählungspunkte, um den Workflow für die Registrierung nachzuvollziehen:

Sie müssen die gesamte Active Directory-Registrierung für die erste registrierte Domäne abschließen, bevor Sie zu anderen Seiten der Konsole wechseln können. Bis zum Abschluss dieser Aufgaben sind die Hauptdienste gesperrt.
Aufgrund eines bekannten Problems können beim Verbinden von Horizon-Pods bei Verwendung von Horizon Cloud Connector unerwartete Ergebnisse auftreten, wenn Sie den Active Directory-Domänenregistrierungsprozess für den ersten Pod nicht abschließen, bevor Sie versuchen, den Workflow zur Cloud-Paarbildung vom Connector für nachfolgende Pods auszuführen. Selbst wenn Sie den Workflow für die Cloud-Kopplung für mehrere Pods ausführen können, bevor Sie die erste Active Directory-Domänenregistrierung mit Horizon Cloud abgeschlossen haben und Sie die erste Domänenregistrierung vor dem Ausführen dieses Cloud-Paarbildungsprozesses für den nächsten Pod noch nicht abgeschlossen haben, kann dieser Domänenregistrierungsprozess dennoch fehlschlagen. Gehen Sie in diesem Fall wie folgt vor:
1. Entfernen Sie mithilfe der Aktion Entfernen im Horizon Cloud Connector-Konfigurationsportal die Verbindung zwischen den einzelnen Cloud-verbundenen Pods, bis nur noch ein Cloud-verbundener Pod vorhanden ist.
2. Entfernen Sie die fehlgeschlagene Registrierung, indem Sie die Schritte unter Entfernen der fehlgeschlagenen Active Directory-Domänenregistrierung aus Horizon Cloud ausführen.
3. Führen Sie den ersten Active Directory-Domänenregistrierungsprozess für diesen Pod durch.
4. Führen Sie den Workflow Horizon Cloud Connector auf den anderen Pods erneut aus.
Obwohl in dieser Version Pods des Domänendienstkontos, die Sie in diesen Schritten angeben, nur für Pods in Microsoft Azure verwendet werden und wenn Sie nur über Cloud-verbundene Horizon-Pods für Ihre Umgebung verfügen, ist es ratsam, den Domänenbeitrittsschritt für das Konto durchzuführen, um sicherzustellen, dass die nachfolgende Eingabeaufforderung zum Zuweisen der Superadministrator-Rolle aktiviert wird. Das Zuweisen dieser Rolle zu einer Active Directory-Domänengruppe ist ein erforderlicher Schritt für alle Cloud-verbundenen Pod-Typen.
Verteilungsgruppen werden auch dann nicht unterstützt, wenn Sie unter einer Sicherheitsgruppe verschachtelt sind. Wählen Sie beim Erstellen von Active Directory-Gruppen für den Gruppentyp immer Sicherheit aus.

Wichtig: Geben Sie in den Textfeldern Benutzername für den Dienst und Benutzername für den Beitritt für die Domänendienst- und Domänenbeitrittskonten den Kontonamen selbst an, z. B. ouraccountname, und zwar in Form des Benutzernamens für die Anmeldung ohne den Domänennamen.

Voraussetzungen

Stellen Sie sicher, dass die Active Directory-Infrastruktur mit einer präzisen Zeitquelle synchronisiert ist, um zu vermeiden, dass der Domänenbeitrittsschritt für das Konto fehlschlägt. Im Falle eines solchen Fehlers müssen Sie sich gegebenenfalls an den VMware-Support wenden, um Unterstützung zu erhalten. Wenn der Schritt für die Bindung der Domäne erfolgreich abgeschlossen wurde, der Schritt für den Domänenbeitritt jedoch fehlschlägt, können Sie versuchen, die Domäne zurückzusetzen, und untersuchen, ob Sie die Zeitquelle anpassen müssen. Informationen zum Zurücksetzen der Domäne finden Sie in den Schritten unter Entfernen der Registrierung der Active Directory-Domäne.

Stellen Sie sicher, dass Ihr erster Pod erfolgreich bereitgestellt wurde. Im Abschnitt „Kapazität“ des Assistenten für die ersten Schritte wird durch ein grünes Häkchensymbol angezeigt, dass der erste Pod erfolgreich bereitgestellt ist ( ein rundes grünes Symbol mit weißem Häkchen zeigt die erfolgreiche Bereitstellung an ).

Wichtig: Wenn es sich bei dem ersten bereitgestellten Pod um einen Horizon-Pod handelt, stellen Sie sicher, dass Horizon 7.7 oder höher ausgeführt wird.

Überprüfen Sie für das erforderliche primäre und Hilfsdomänendienstkonto, ob Sie über die Informationen für zwei Active Directory-Benutzerkonten verfügen, die die Anforderungen unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt erfüllen.

Vorsicht: Um versehentliche Sperrungen zu verhindern, durch die Sie sich nicht bei der cloudbasierten Konsole anmelden können, um Ihre Horizon Cloud-Umgebung zu verwalten, müssen Sie sicherstellen, dass Ihre Domänendienstkonten nicht ablaufen, geändert oder gesperrt werden können. Sie müssen diesen Typ der Kontokonfiguration verwenden, da das System das primäre Domänendienstkonto als Dienstkonto zum Abfragen der Active Directory-Domäne verwendet, um die Anmeldedaten zum Anmelden bei der Konsole zu überprüfen. Wenn aus irgendeinem Grund nicht auf das primäre Domänendienstkonto zugegriffen werden kann, wird das Hilfsdomänendienstkonto verwendet. Wenn sowohl das primäre Domänendienstkonto als auch das zusätzliche Dienstkonto abläuft oder nicht mehr zugänglich ist, können Sie sich nicht mehr bei der Konsole anmelden und die Konfiguration für die Verwendung eines zugänglichen Domänendienstkontos aktualisieren.

Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.

Stellen Sie für das Domänenbeitrittskonto sicher, dass das Konto Anforderungen unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt erfüllt. Das Domänendienstkonto muss auch in einer Active Directory-Gruppe enthalten sein, die Sie der Superadministrator-Rolle in der Konsole hinzufügen. Die Horizon Cloud-Rollen können nur auf Gruppenebene vergeben werden.

Vorsicht: Dieser Punkt ist entscheidend für die Systemvorgänge im Zusammenhang mit Pods in Microsoft Azure. Wenn sich das Domänenbeitrittskonto, das Sie im Schritt für das Domänenbeitrittskonto im Rahmen der Active Directory-Domänenregistrierung angeben, nicht bereits in einer der Active Directory-Gruppen befindet, denen Sie die Rolle des Superadministrators zuweisen können, erstellen Sie eine Active Directory-Gruppe für dieses Konto, damit Sie sicherstellen können, dass die Rolle des Superadministrators diesem Domänenbeitrittskonto zugewiesen werden kann.

Wenn Sie nur eine Active Directory-Gruppe mit der Rolle „Superadministrator“ zugewiesen haben, entfernen Sie diese Gruppe nicht vom Active Directory-Server. Dies kann zu Problemen bei zukünftigen Anmeldungen führen.

Wichtig: Für einen Pod in Microsoft Azure muss dieses Domänenbeitrittskonto in einer der Active Directory-Gruppen enthalten sein, der Sie die Superadministrator-Rolle erteilen. Wenn sich das Domänenbeitrittskonto nicht in einer Gruppe befindet, der die Rolle des Superadministrators erteilt wurde, schlagen Systemvorgänge, die das Hinzufügen von virtuellen Maschinen zur Domäne beinhalten, fehl. Dazu zählen beispielsweise das Importieren von Basisimages oder das Erstellen von RDSH-Farmen und virtuellen Desktops.

Stellen Sie sicher, dass Sie über den NetBIOS-Namen und DNS-Domänennamen der Active Directory-Domäne verfügen. Sie geben diese Werte im Fenster „Active Directory registrieren“ der Konsole im ersten Schritt dieses Workflows an. Ein Beispiel für das Auffinden dieser Werte finden Sie unter Suchen der erforderlichen Informationen für die Horizon Cloud-Felder „NETBIOS-Name“ und „DNS-Domänenname“ bei der Active Directory-Workflow-Registrierung.

Wenn Sie künftig dasselbe Horizon Cloud-Kundenkonto zum Verbinden anderer Horizon-Pods oder zum Bereitstellen von Pods in Microsoft Azure für eine einheitliche Umgebung verwenden möchten, beachten Sie, dass diese Active Directory-Domäne zum Zeitpunkt der Pod-Verbindung oder -Bereitstellung für diese Pods sichtbar sein muss.

Prozedur

Melden Sie sich mithilfe eines Browsers und der von Ihnen bevorzugten Methode bei der Cloud-basierten Konsole unter cloud.horizon.vmware.com an.
- Geben Sie im Bereich My VMware-Anmeldedaten auf der Anmeldeseite die Anmeldedaten für das My VMware-Konto ein. Die Konto-Anmeldeinformationen sind die primäre E-Mail-Adresse, z. B. user@example.com, und das Kennwort, die im Profil für das Konto festgelegt sind. Mit dieser Auswahl wird die Authentifizierungsanforderung an die Horizon Cloud-Steuerungsebene gesendet.
- Klicken Sie im Abschnitt VMware Cloud Services der Anmeldeseite auf VMWARE CLOUD-ANMELDUNG. Wenn Sie auf diese Schaltfläche klicken, wird die Authentifizierungsanforderung an VMware Cloud Services umgeleitet, um Sie entsprechend der Konfiguration Ihres Unternehmens dort zu authentifizieren. Ihre Organisation hat Sie möglicherweise gebeten, mit VMware Cloud Services auf ihre Horizon Cloud-Mandanten zuzugreifen.
Der folgende Screenshot veranschaulicht die Anmeldung durch Eingabe von Anmeldedaten des My VMware-Kontos.

Wenn Sie die Horizon Cloud-Nutzungsbedingungen mithilfe dieser My VMware-Anmeldedaten noch nicht akzeptiert haben, wird ein Benachrichtigungsfeld über die Nutzungsbedingungen nach dem Klicken auf die Schaltfläche Anmelden angezeigt. Akzeptieren Sie die Nutzungsbedingungen, um fortzufahren.

Wenn Ihre Anmeldung erfolgreich authentifiziert wurde, wird die Konsole geöffnet und der Assistent „Erste Schritte“ wird angezeigt.
Wenn der Assistent für erste Schritte nach der ersten Anmeldung nicht angezeigt wird, öffnen Sie diesen durch Klicken auf Einstellungen > Erste Schritte.
Erweitern Sie im Assistenten für erste Schritte den Bereich Allgemeine Einrichtung, sofern er noch nicht erweitert ist.
Klicken Sie unter „Active Directory“ auf Konfigurieren.

Geben Sie im Dialogfeld „Active Directory registrieren“ die angeforderten Registrierungsinformationen an.

Wichtig: Verwenden Sie Active Directory-Konten, die den Richtlinien für primäre und Hilfsdomänendienstkonten wie in den Voraussetzungen beschrieben unterliegen.

Option	Beschreibung
NETBIOS-Name	Wenn der erste Cloud-verbundene Pod Ihres Kundenkontos ein Horizon-Pod ist, zeigt das System bei diesem Schritt ein Auswahlmenü an, das mit den Namen aller Active Directory-Domänen aufgefüllt wird, die für den Horizon-Pod sichtbar sind. Wählen Sie die Active Directory-Domäne aus, die Sie zuerst registrieren möchten. Wenn sich der erste Cloud-verbundene Pod in Ihrem Kundenkonto in Microsoft Azure befindet, zeigt das System bei diesem Schritt ein Textfeld an. Geben Sie den NetBIOS-Namen der Active Directory-Domäne ein, den der Pod sehen kann. Dieser Name enthält in der Regel keinen Punkt. Ein Beispiel, wie Sie den zu verwendenden Wert aus Ihrer Active Directory-Domänenumgebung ermitteln können, finden Sie unter Suchen der erforderlichen Informationen für die Horizon Cloud-Felder „NETBIOS-Name“ und „DNS-Domänenname“ bei der Active Directory-Registrierung. Hinweis: Wenn Sie dasselbe Horizon Cloud-Kundenkonto zum Verbinden anderer Horizon-Pods oder zum Bereitstellen von Pods in Microsoft Azure für eine einheitliche Umgebung verwenden möchten, beachten Sie, dass diese Active Directory-Domäne zum Zeitpunkt der Pod-Verbindung oder -Bereitstellung für diese nachfolgenden Pods sichtbar sein muss.
DNS-Domänenname	Wenn der erste Cloud-verbundene Pod in Ihrem Kundenkonto ein Horizon-Pod ist, zeigt das System automatisch den vollqualifizierten DNS-Domänenname für die Active Directory-Domäne an, die unter NETBIOS-Name ausgewählt wurde. Wenn sich der erste Cloud-verbundene Pod in Ihrem Kundenkonto in Microsoft Azure befindet, zeigt das System ein Textfeld an. Geben Sie den vollqualifizierten DNS-Domänennamen der Active Directory-Domäne ein, die Sie unter NETBIOS-Name angegeben haben. Ein Beispiel, wie Sie den zu verwendenden Wert aus Ihrer Active Directory-Domänenumgebung ermitteln können, finden Sie unter Suchen der erforderlichen Informationen für die Horizon Cloud-Felder „NETBIOS-Name“ und „DNS-Domänenname“ bei der Active Directory-Registrierung.
Protokoll	Zeigt automatisch `LDAP`, das unterstützte Protokoll, an.
Benutzername für den Dienst	Benutzerkonto in der Domäne, das als primäres LDAP-Dienstkonto verwendet werden soll. Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.
Bind-Kennwort	Das Kennwort, das mit dem Namen im Textfeld Benutzername für den Dienst verknüpft ist.
Hilfsdienstkonto-Nr.1	Geben Sie in den Feldern Benutzername für den Dienst und Bind-Kennwort ein Benutzerkonto der Domäne ein, das als Hilfs-LDAP-Dienstkonto verwendet werden soll, sowie das zugehörige Kennwort. Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.

Sie können optional auch Werte für erweiterte Eigenschaften festlegen.

Option	Beschreibung
Port	Die Standardeinstellung ist LDAP -> 389. Sofern Sie keinen Nicht-Standard-Port verwenden, müssen Sie die Einträge in diesem Textfeld nicht ändern.
Domänencontroller-IP-Adresse	(Optional) Wenn Sie möchten, dass Active Directory-Traffic einen bestimmten Domänencontroller verwendet, geben Sie die bevorzugten Domänencontroller-IP-Adressen durch Kommas getrennt ein. Falls dieses Textfeld leer bleibt, verwendet das System einen beliebigen Domänencontroller, der für diese Active Directory-Domäne verfügbar ist.
Kontext	LDAP-Namenskontext. Dieses Textfeld wird anhand der Informationen im Textfeld DNS-Domänenname automatisch gefüllt.

Der folgende Screenshot zeigt das Fenster „Active Directory registrieren“, wenn Ihr erster Cloud-verbundener Pod sich in Microsoft Azure befindet. Die Felder enthalten Werte für eine Beispiel-Active Directory-Domäne mit dem NetBIOS-Namen ENAUTO und dem DNS-Domänennamen ENAUTO.com.

Screenshot des Fensters „Active Directory registrieren“ mit ausgefüllten Beispielwerten.

Klicken Sie auf Domänendienst.
Wenn der Domänenbindungsschritt erfolgreich verläuft, wird das Dialogfeld „Domänenbeitritt“ angezeigt, und Sie können mit dem nächsten Schritt fortfahren.
Wichtig: Wenn der Domänenbindungsschritt fehlschlägt, Sie jedoch mit dem Hinzufügen des Domänendienstkontos fortfahren und das System zum Schritt der Superadministrator-Rolle wechselt, ist der Registrierungsvorgang nicht vollständig abgeschlossen. Dies ist selbst dann der Fall, wenn das System mit dem nächsten Schritt fortfährt. Führen Sie in dieser Situation die unter Löschen der Registrierung der Active Directory-Domäne beschriebenen Schritte durch und beginnen Sie wieder mit Schritt 4.

Geben Sie im Dialogfeld „Domänenbeitritt“ die erforderlichen Informationen an.

Hinweis:

Unabhängig vom Pod-Typ müssen Sie die erforderlichen Felder in diesem Schritt ausfüllen, wenn Sie diesen Active Directory-Domänenregistrierungsvorgang durchführen. Obwohl das Domänendienstkonto in dieser Version in erster Linie für Systemvorgänge im Zusammenhang mit virtuellen Maschinen in Pods in Microsoft Azure verwendet wird, gewährleistet der Abschluss dieses Schrittes, dass der nächste erforderliche Schritt zum Erteilen der Superadministrator-Rolle abgeschlossen wird.
Verwenden Sie ein Active Directory-Konto, das den Richtlinien für das Domänenbeitrittskonto entspricht, die in den Voraussetzungen beschrieben sind.

Option	Beschreibung
Primäre DNS-Server-IP	Die IP-Adresse des primären DNS-Servers, die Horizon Cloud zum Auflösen von Computernamen verwenden soll. Für einen Pod in Microsoft Azure muss dieser DNS-Server Computernamen innerhalb Ihrer Microsoft Azure-Cloud sowie externe Namen auflösen können.
Sekundäre DNS-Server-IP	(Optional) IP-Adresse eines sekundären DNS-Servers
Standard-OE	Active Directory-Organisationseinheit (OU), die von den Desktop-bezogenen virtuellen Maschinen des Pods verwendet werden soll, z. B. von importierten VMs, Farm-RDSH-VMs, VDI-Desktop-Instanzen. Eine Active Directory-Organisationseinheit hat das Format wie `OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent`. Die Standardeinstellung des Systems lautet `CN=Computers`. Sie können die Standardeinstellungen an Ihre Anforderungen anpassen, z. B. `CN=myexample`. Hinweis: Eine Beschreibung der geschachtelten Organisationsnamen finden Sie unter Überlegungen zur Verwendung verschachtelter Active Directory-Domänen-Organisationseinheiten. Jede einzelne eingegebene OE darf maximal 64 Zeichen lang sein, wobei der OE=-Teil Ihrer Eingabe nicht mitgezählt wird. Microsoft begrenzt eine einzelne OE auf 64 Zeichen oder weniger. Ein OE-Pfad, der länger als 64 Zeichen ist, aber keine einzelne OE mehr als 64 Zeichen hat, ist gültig. Jede einzelne OE muss jedoch maximal 64 Zeichen lang sein.
Benutzername für den Beitritt	Benutzerkonto im Active Directory, das über die nötigen Berechtigungen verfügt, um mit Computern zu dieser Active Directory-Domäne beizutreten. Hinweis: Geben Sie nur den Benutzernamen selbst ein. Geben Sie dabei nicht den Domänennamen ein.
Kennwort für den Beitritt	Das mit dem Namen im Textfeld Benutzername für den Beitritt verknüpfte Kennwort.

(Optional) Legen Sie ein Hilfskonto für den Domänenbeitritt fest.

Wenn das von Ihnen angegebene primäre Domänenbeitrittskonto nicht mehr zugänglich ist, verwendet das System das zusätzliche Domänenbeitrittskonto für diese Vorgänge in Microsoft Azure-Pods, für die ein Domänenbeitritt erforderlich ist. Dazu zählen beispielsweise das Importieren von Image-VMs, das Erstellen von Farm-RDSH-Instanzen, VDI-Desktop-Instanzen usw.

Hinweis:

Verwenden Sie ein Active Directory-Konto, das denselben Richtlinien für das primäre Domänenbeitrittskonto entspricht, die in den Voraussetzungen beschrieben sind. Sofern Sie nicht für beide Konten Läuft nie ab festgelegt haben, stellen Sie sicher, dass für das zusätzliche Domänenbeitrittskonto eine andere Ablaufzeit festgelegt ist, als für das primäre Domänenbeitrittskonto. Wenn das primäre und das zusätzliche Domänenbeitrittskonto zur gleichen Zeit ablaufen, schlagen Systemvorgänge für das Versiegeln von Images und die Bereitstellung von Farm-RDSH- und VDI-Desktop-VMs fehl.
Sie können für jedes mit Horizon Cloud registrierte Active Directory nur ein Hilfskonto für den Beitritt hinzufügen.
Wenn Sie jetzt kein Hilfskonto für den Domänenbeitritt hinzufügen möchten, können Sie dies später über die Konsole tun.
Sie können dieses Konto zu einem späteren Zeitpunkt aktualisieren oder löschen.
Die Agent-bezogene Software auf einer Desktop-bezogenen virtuellen Maschine – wie ein versiegeltes Image, eine Farm-RDSH-Instanz oder VDI-Desktop-Instanz – muss der Version 18.1 oder höher entsprechen, damit das System das zusätzliche Domänenbeitrittskonto für diese virtuelle Maschine verwenden kann.

Option	Beschreibung
Benutzername für Hilfskonto für Beitritt	Benutzerkonto im Active Directory, das über die nötigen Berechtigungen verfügt, um mit Systemen zu dieser Active Directory-Domäne beizutreten. Wichtig: Geben Sie in diesem Feld nur den Kontonamen an, z. B. `ouraccountname`, und zwar in Form des Benutzernamens für die Anmeldung ohne den Domänennamen. Wenn Sie Schrägstriche oder @-Zeichen eingeben, wird ein Fehler angezeigt.
Kennwort für Hilfskonto für Beitritt	Das mit dem Namen im Textfeld Benutzername für Hilfskonto für Beitritt verknüpfte Kennwort.

Klicken Sie auf Speichern.
Wenn der Schritt des Domänenbeitritts erfolgreich verläuft, wird das Dialogfeld „Superadministrator hinzufügen“ angezeigt, und Sie können mit dem nächsten Schritt fortfahren.
Wichtig: Wenn der Domänenbeitrittsschritt fehlschlägt, ist der Registrierungsvorgang nicht vollständig abgeschlossen. Führen Sie in dieser Situation die unter Löschen der Registrierung der Active Directory-Domäne beschriebenen Schritte durch und beginnen Sie wieder mit Schritt 4.
Wählen Sie über die Active Directory-Suchfunktion im Dialogfeld „Superadministrator hinzufügen“ die Active Directory-Administratorgruppe aus, die in Ihrer Umgebung die Verwaltungsaufgaben mit dieser Konsole ausführen soll.
Durch diese Zuweisung wird sichergestellt, dass mindestens eines Ihrer Active Directory-Domänenbenutzerkonten die Berechtigungen zum Anmelden bei dieser Konsole erhält, da die Active Directory-Domäne nun für dieses Kundenkonto konfiguriert ist.
Wichtig: Fügen Sie der Rolle „Superadministrator“ die Active Directory-Gruppe hinzu, die das Domänenbeitrittskonto enthält, wie in den Voraussetzungen beschrieben. Wenn sich das Domänenbeitrittskonto in keiner der Active Directory-Gruppen befindet, die die Rolle des Superadministrators haben, werden Systemoperationen für Pods in Microsoft Azure, bei denen virtuelle Maschinen der Domäne hinzugefügt werden, fehlschlagen.

Vorsicht: Nachdem Sie diese Active Directory-Gruppe der Rolle „Superadministrator“ zugewiesen haben, dürfen Sie die angegebene Administratorgruppe erst dann aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, nachdem Sie eine weitere Administratorgruppe zur Superadministratorrolle hinzugefügt haben, wie unter Zuweisen von Rollen zu Active Directory-Gruppen, die regeln, welche Bereiche der Horizon Cloud-Verwaltungskonsole für Einzelpersonen in diesen Gruppen aktiviert sind, nachdem Sie sich bei Ihrer Horizon Cloud-Mandantenumgebung authentifizieren beschrieben. Diese Superadministratorrolle regelt, welche Ihrer AD-Benutzerkonten sich bei Ihrem Horizon Cloud-Mandantenkonto anmelden und administrative Vorgänge in der Konsole durchführen können. Wenn Sie die Gruppe aus Ihrem Active Directory-System entfernen oder ihre GUID in Ihrem Active Directory-System ändern, wird diese Änderung nicht an die Horizon Cloud-Steuerungsebene übermittelt und Horizon Cloud „weiß“ nicht mehr, dass die AD-Gruppe über die Rolle „Superadministrator“ verfügt. Wenn diese Gruppe die einzige Gruppe ist, die dieser Superadministratorrolle zugewiesen ist, kann sich keines Ihrer AD-Konten mit Superadministratorzugriff mehr bei Ihrem Horizon Cloud-Mandantenkonto mit Zugriff auf Verwaltungsvorgänge anmelden. Dadurch haben Sie keine Möglichkeit mehr, die Rolle einer anderen AD-Gruppe zuzuweisen, um den administrativen Zugriff wiederherzustellen. In diesem Fall müssen Sie sich an den VMware Support wenden, damit er Sie bei der Wiederherstellung des administrativen Zugriffs auf Ihr Mandantenkonto unterstützt.
Klicken Sie auf Speichern.
Wenn Sie auf Speichern klicken, kehren Sie zur Anmeldeseite zurück. Da Sie den Pod nun mit Ihrer Active Directory-Domänen registriert haben, müssen Sie sich erneut anmelden, um die Verwendung eines Active Directory-Kontos sowie der My VMware-Anmeldedaten zu erzwingen. Beispielsweise melden Sie sich mit Ihrem My VMware-Konto und dann mit den Anmeldedaten des Active Directory-Kontos für einen Benutzer an, der sich in der Active Directory-Gruppe befindet, der Sie soeben die Rolle „Superadministrator“ zugewiesen haben.

Ergebnisse

Folgende Elemente sind jetzt vorhanden:

Die Active Directory-Domäne wird in der Cloud-Ebene als erste Cloud-konfigurierte Active Directory-Domäne konfiguriert, die diesem Horizon Cloud-Kundenkonto zugewiesen ist.
Für einen Pod in Microsoft Azure verfügt Horizon Cloud über das erforderliche Domänenbeitrittskonto, das für derartige Systemvorgänge benötigt wird, um Desktop-bezogene virtuelle Maschinen mit dieser Domäne zu verknüpfen. Das Domänenbeitrittskonto verfügt zudem über die erforderliche Superadministrator-Rolle, damit diese Vorgänge ordnungsgemäß ausgeführt werden.
Die Verwaltungsfunktionen in der Konsole sind jetzt verfügbar.
Der Anmeldeablauf, während Sie sich bei der Konsole anmelden, wird geändert, da der Horizon Cloud-Mandant nun über seine erste registrierte Active Directory-Domäne verfügt. Eine Übersicht über den Anmeldeablauf finden Sie unter Informationen zur Authentifizierung in einer Horizon Cloud-Mandantenumgebung.
Benutzer der Gruppe, der Sie die Superadministrator-Rolle zugewiesen haben, können auf die Konsole zugreifen und Verwaltungsaktionen ausführen, wenn sie sich mit dem zugehörigen My VMware-Konto anmelden. Damit diese Administratoren ihre eigenen My VMware-Kontoanmeldedaten für die Authentifizierung mit Horizon Cloud verwenden können, führen Sie die unter Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Cloud-Verwaltungskonsole beschriebenen Schritte aus.
Für Zuweisungen, die im Zusammenhang mit Ressourcen von Pods in Microsoft Azure stehen, können Benutzerkonten aus der registrierten Active Directory-Domäne ausgewählt werden.
Die Helpdesk-Funktionen der Konsole können mit Benutzerkonten aus dieser registrierten Active Directory-Domäne verwendet werden.

Nächste Maßnahme

Von diesem Punkt an führen Sie in der Regel folgende Aufgaben aus:

Fügen Sie dieser Active Directory-Domänenkonfiguration weitere Hilfsdomänendienstkonten hinzu. Wenn die von Ihnen angegebenen primären und ersten Dienstkonten keinen Zugriff ermöglichen, wird die Verbindung zum Active Directory über das nächste Hilfsdienstkonto hergestellt. Mit den Hilfsdienstkonten vermeiden Sie, dass die Konsole für Ihre Administratorbenutzer gesperrt wird, wenn das primäre Dienstkonto in der Active Directory-Domäne nicht mehr zugänglich ist. Weitere Informationen finden Sie unter Hinzufügen zusätzlicher Hilfsdienstkonten für eine cloudkonfigurierte Active Directory-Domäne in Horizon Cloud.
Erteilen Sie zusätzlichen Benutzern das Recht auf Verwaltung Ihrer Umgebung. Fügen Sie zuerst ihre My VMware-Konten mit den zugehörigen Horizon Cloud-Rollen hinzu und geben Sie dann ihren Active Directory-Konten die entsprechende Horizon Cloud-Rolle. Siehe Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Cloud-Verwaltungskonsole und Zuweisen von Rollen zu Active Directory-Gruppen, die regeln, welche Bereiche der Horizon Cloud-Verwaltungskonsole für Einzelpersonen in diesen Gruppen aktiviert sind, nachdem Sie sich bei Ihrer Horizon Cloud-Mandantenumgebung authentifizieren.
Fahren Sie mit dem Assistenten für erste Schritte fort. Siehe Info zum Horizon Cloud-Assistenten für erste Schritte.
Navigieren Sie zum Dashboard und anderen Bereichen der Konsole, um weitere Verwaltungsaufgaben kennen zu lernen oder auszuführen. Siehe Rundgang durch die Cloud-basierte Horizon Cloud-Verwaltungskonsole für administrative Aufgaben in Horizon Cloud.
Sie können auch zusätzliche Active Directory-Domänen registrieren, wenn Sie Benutzern in anderen Active Directory-Domänen den Verwaltungszugriff auf die Konsole gewähren oder für Endbenutzer in anderen Active Directory-Domänen Zuweisungen einrichten möchten. Siehe Registrieren zusätzlicher Active Directory-Domänen als Cloud-konfigurierte Active Directory-Domänen mit Ihrer Horizon Cloud-Mandantenumgebung.
Weisen Sie den Benutzern in dieser Domäne, denen Sie schreibgeschützten Zugriff auf die Konsole gewähren möchten, die Rolle „Demo-Administrator“ zu. Weitere Informationen finden Sie unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung der Horizon Cloud-Verwaltungskonsole in Ihrer Horizon Cloud-Umgebung zuweisen und Zuweisen von Rollen zu Active Directory-Gruppen, die steuern, welche Bereiche der Horizon Cloud Administration Console für Einzelpersonen in diesen Gruppen aktiviert sind, nachdem sie sich bei Ihrer Horizon Cloud-Mandantenumgebung authentifizieren.