Dies ist eine allgemeine Liste der Schritte nach dem Erstellen Ihres ersten mit der Cloud verbundenen Pods, indem Sie den Pod-Bereitsteller ausgeführt haben, um einen Horizon Cloud-Pod in Ihrer Microsoft Azure-Kapazität bereitzustellen. Nachdem der erste Cloud-verbundene Pod vollständig bereitgestellt wurde und Sie die Schritte zum Registrieren von Horizon Cloud mit der geplanten Active Directory-Domäne des Pods abgeschlossen haben, können Sie alle Funktionen von Horizon Cloud verwenden, insbesondere für die Bereitstellung von VDI-Desktops, auf RDSH-Sitzungen basierenden Desktops oder RDSH-basierten Remoteanwendungen für Ihre Endbenutzer über diesen Pod. Wenn Ihr Kundenkonto für die Verwendung von App Volumes-Funktionen mit Ihren Pods in Microsoft Azure konfiguriert ist, können Sie auch Anwendungen über diese App Volumes-Funktionen bereitstellen und Ihren Endbenutzern dafür Berechtigungen erteilen.

Führen Sie die folgenden Schritte aus, wenn Sie Ihren ersten Cloud-verbundenen Pod bereitstellen und den Assistenten für die Pod-Bereitstellung in Microsoft Azure verwenden.

  1. Erfüllen Sie die Voraussetzungen. Siehe VMware Horizon Cloud Service on Microsoft Azure Checkliste der Anforderungen für neue Pod-Bereitstellungen – Aktualisiert für ab der Dienstversion vom Oktober 2020 bereitgestellte Pods.
  2. Führen Sie die vorbereitenden Aufgaben außerhalb von Horizon Cloud aus. Siehe Vorbereiten der Bereitstellung eines Horizon Cloud-Pods in Microsoft Azure.
  3. Stellen Sie sicher, dass die DNS-, Port- und Protokollanforderungen für die Bereitstellung des Pods erfüllt sind. Siehe Anforderungen an DNS für einen Horizon Cloud-Pod in Microsoft Azure und Port- und Protokollanforderungen für einen Horizon Cloud-Pod im Manifest der Version vom September 2019 oder höher.
  4. Stellen Sie den Pod bereit. Siehe Bereitstellen eines Horizon Cloud-Pods in Microsoft Azure.
  5. Registrieren Sie Ihre Active Directory-Domäne bei dem bereitgestellten Pod. Dabei wird auch der Name eines Domänenbeitrittskontos angegeben. Siehe Durchführen der ersten Active Directory-Domänenregistrierung im Administratorleitfaden.
  6. Geben Sie die Horizon Cloud-Rolle „Superadministrator“ an eine Active Directory-Gruppe, die dieses Domänenbeitrittskonto als Mitglied enthält.
    Wichtig: Sie müssen sicherstellen, dass das Domänenbeitrittskonto, das Sie bei der Registrierung der Domäne angeben, auch in einer der Active Directory-Gruppen liegt, denen Sie die Horizon Cloud-Rolle „Superadministrator“ zuweisen. Die Domänenbeitrittskonto-Vorgänge für den Pod des Systems hängen davon ab, ob das Domänenbeitrittskonto die Horizon Cloud-Rolle des Superadministrators hat. Siehe Zuweisen von Administrationsrollen zu Active Directory-Gruppen.
  7. Wählen Sie den Brokering-Typ aus, den die Pods Ihres Mandanten verwenden sollen, wenn diese von Pods bereitgestellte Ressourcen an Ihre Endbenutzer vermitteln. Weitere Informationen finden Sie unter Einführung in Universal Broker und Einzel-Pod-Brokering und in den zugehörigen Themen und Unterthemen im Administratorhandbuch.
    Achtung: Die Fertigstellung dieses Broker-Auswahlschritts vor dem Bereitstellen zusätzlicher Pods in Microsoft Azure ist eine Best Practice.
  8. Wenn Sie im vorherigen Schritt die Einzel-Pod-Brokering-Konfiguration auswählen und Workspace ONE Access mit dem Pod verwenden möchten oder wenn Sie möchten, dass Horizon Clients eine direkte Verbindung mit dem Pod herstellt (nicht über eine Pod-Gateway-Konfiguration), dann führen Sie folgende Schritte aus:
    • Ordnen Sie auf Ihrem DNS-Server der IP-Adresse für den Microsoft Azure-Lastausgleich des Pod-Managers einen vollqualifizierten Domänennamen (FQDN) zu.
    • Rufen Sie ein SSL-Zertifikat basierend auf diesem zugeordneten FQDN auf.

    Sie laden ein SSL-Zertifikat in den Pod hoch, der auf dem FQDN basiert, den Sie der IP-Adresse für den Microsoft Azure-Lastausgleich des Pod-Managers in Ihrem DNS zugeordnet haben, damit vertrauenswürdige Verbindungen mit den Pod-Manager-VMs hergestellt werden. Zu diesen Verbindungen gehören Horizon Clients für Ihre Benutzer, denen Sie den zugeordneten FQDN zuweisen, und der Workspace ONE Access Connector, der bei der Integration von Workspace ONE Access mit dem Pod in einer Einzel-Pod-Broker-Konfiguration verwendet wird. Der Workspace ONE Access Connector muss mithilfe eines FQDN, der der IP-Adresse für den Microsoft Azure-Lastausgleich des Pod-Managers zugeordnet ist, eine Verbindung mit dem Pod herstellen.

    Achtung: Wenn Ihre Umgebung für Einzel-Pod-Brokering konfiguriert ist und Sie Workspace ONE Access mit dem Pod integrieren, müssen Sie ein SSL-Zertifikat in den Pod hochladen und Workspace ONE Access Connector so konfigurieren, dass er auf den Pod verweist anstatt auf die Unified Gateway Access-Konfigurationen des Pods.

    Folgendes sollten Sie jedoch beachten: Wenn Sie ein SSL-Zertifikat hochgeladen haben, das auf Ihrem vom DNS zugeordneten FQDN basiert, und den FQDN direkt in einen Browser eingeben, um eine Verbindung herzustellen (anstatt über eine entsprechend konfigurierte Workspace ONE Access-Instanz), interpretiert der Browser diese Verwendung des FQDN als nicht vertrauenswürdige Verbindung. Der Grund dafür ist, dass es sich beim Laden dieses FQDN in einen Browser um eine Verbindung mit HTML Access (Blast) handelt und sich HTML Access (Blast) so verhält. Folglich wird beim Laden dieses FQDN in einen Browser der typische Fehler eines nicht vertrauenswürdigen Zertifikats angezeigt.

    Wenn Sie nicht über eine solche Workspace ONE Access-Konfiguration verfügen und vermeiden möchten, dass bei Verbindungen über HTML Access (Blast) – grundsätzlich mit einem Browser – der Fehler des nicht vertrauenswürdigen Zertifikats angezeigt wird, müssen Sie eine Gateway-Konfiguration auf dem Pod erstellen und für diese Verbindungen den Load Balancer und die Unified Access Gateway-Instanzen aus dieser Gateway-Konfiguration verwenden. Wenn Sie den FQDN nicht im Internet veröffentlichen möchten, können Sie eine interne Unified Access Gateway-Konfiguration bereitstellen. Diese interne Unified Access Gateway-Konfiguration verwendet einen internen Microsoft Azure-Lastausgleich, mit dem Endbenutzer innerhalb Ihres Unternehmensnetzwerks ihre Verbindungen herstellen können.

  9. Laden Sie ein SSL-Zertifikat über die Übersichtsseite des Pods in der Verwaltungskonsole direkt auf den Pod hoch, wenn Sie einen oder beide der im vorherigen Schritt beschriebenen Anwendungsfälle planen.Siehe Konfigurieren von SSL-Zertifikaten auf den Manager-VMs von Horizon Cloud-Pods.
    Tipp: Wenn der einzige Anwendungsfall für den Zugriff, den Sie jemals unterstützen möchten, darin besteht, dass Verbindungen zu den Unified Access Gateway-Instanzen des Pods über den mit diesen Instanzen verbundenen Lastausgleich erfolgen, dann ist das direkte Hochladen des SSL-Zertifikats auf den Pod überflüssig. Dennoch wird empfohlen, den vorherigen Schritt und diesen Schritt auszuführen, da so sichergestellt wird, dass Clients über vertrauenswürdige Verbindungen verfügen können, wenn Sie diesen FQDN irgendwann an Benutzer weitergeben, damit sie ihn in Horizon Clients eingeben. Durch das Ausführen des vorherigen Schritts und dieses Schritts können Sie den Pod in einer Einzel-Pod-Broker-Umgebung auch schneller mit Workspace ONE Access integrieren, da der FQDN zugeordnet und das SSL-Zertifikat bereits im Pod vorhanden ist.
  10. Importieren eines Basisimages. Verwenden Sie auf der Seite „Importierte VMs“ die Aktion Agent-Paarbildung zurücksetzen, um das neue Image mit Horizon Cloud zu koppeln. Siehe Erstellen von Desktop-Images für einen Horizon Cloud-Pod in Microsoft Azure.
    Hinweis: Tech Preview: Die Verwendung des Microsoft Windows 10 Enterprise-Betriebssystems für Mehrfachsitzungen mit App Volumes befindet sich zurzeit in der Tech Preview. Um ein Basisimage für diesen Anwendungsfall zu importieren, führen Sie stattdessen folgende Schritte aus: Tech Preview: So konfigurieren Sie eine Windows 10-VM für Mehrfachsitzungen für die Verwendung mit App Volumes-Funktionen in dieser Horizon Cloud-Version .
  11. Abhängig vom Typ der Endbenutzerzuweisung, für die das Image letztlich verwendet wird, führen Sie einen oder mehrere der folgenden Schritte aus.
    • Installieren Sie in einer Image-VM, die für die Bereitstellung von VDI-Desktops oder nativen Anwendungen verwendet werden soll, die Drittanbieteranwendungen, die Ihre Endbenutzer auf ihren VDI-Desktops verwenden sollen, und nehmen Sie ggf. weitere Anpassungen vor, z. B. Desktophintergrund festlegen, NVIDIA-GPU-Treiber installieren (für GPU-fähige Images) usw. Optimieren Sie das Image zudem für die Best Practices für Microsoft Sysprep, wenn dies nicht im Rahmen des Image-Importvorgangs durchgeführt wird. Weitere Informationen finden Sie unter Anpassen des Windows-Betriebssystems der Image-VM und in den Unterthemen sowie unter Installieren der NVIDIA-Grafiktreiber in ein GPU-fähiges Image im Administratorhandbuch.
      Tipp: Um die Image-VM weiter zu optimieren und eine verbesserte Konfiguration für die Verwendung von VMware Blast Extreme in VDI-Anwendungsfällen zu gewährleisten, empfiehlt es sich, das Optimierungshandbuch für VMware Blast Extreme zu lesen und zusätzliche Optimierungen für die Codec-Optionen im Image gemäß den Empfehlungen für den Codec durchzuführen.
    • Installieren Sie in einem RDS-fähigen Image, das für die Bereitstellung RDSH-basierter Sitzungs-Desktops und Remoteanwendungen verwendet werden soll, die Drittanbieteranwendungen, die Sie für Ihre Endbenutzer aus diesem RDS-Image zur Verfügung stellen möchten und nehmen Sie ggf. weitere Anpassungen vor, z. B. Desktophintergrund festlegen, NVIDIA-GPU-Treiber installieren (für GPU-fähige Images) usw. Optimieren Sie das Image zudem für die Best Practices für Microsoft Sysprep, wenn dies nicht im Rahmen des Image-Importvorgangs durchgeführt wird. Wenn die importierte VM eines der Mehrfachsitzungssysteme von Microsoft Windows 10 Enterprise ausführt, das standardmäßig Office 365 ProPlus enthält, sollten Sie sicherstellen, dass die VM für die Aktivierung des gemeinsam genutzten Computers für Office 365 ProPlus konfiguriert ist. Dies wird im Microsoft-Dokumentationsthema Übersicht über die Aktivierung gemeinsam genutzter Computer für Office 365 ProPlus beschrieben. Wenn Office 365 ProPlus nicht für die Aktivierung gemeinsam genutzter Computer in der importierten VM konfiguriert ist, verwenden Sie die in diesem Microsoft-Dokument beschriebene Methode, die für Ihre Situation geeignet ist. Weitere Informationen finden Sie unter Anpassen des Windows-Betriebssystems der Image-VM und in den Unterthemen sowie unter Installieren der NVIDIA-Grafiktreiber in ein GPU-fähiges Image im Administratorhandbuch.
      Tipp: Um die Image-VM weiter zu optimieren und eine verbesserte Konfiguration für die Verwendung von VMware Blast Extreme in VDI-Anwendungsfällen zu gewährleisten, empfiehlt es sich, das Optimierungshandbuch für VMware Blast Extreme zu lesen und zusätzliche Optimierungen für die Codec-Optionen im Image gemäß den Empfehlungen für den Codec durchzuführen.
  12. Konvertieren Sie dieses Image in ein zuweisungsfähiges Image, auch bekannt als Versiegeln oder Veröffentlichen des Images. Weitere Informationen finden Sie unter Konvertieren einer konfigurierten VM in ein zuweisbares Image im Administratorhandbuch.
  13. So stellen Sie sitzungsbasierte RDSH-Desktops und Remoteanwendungen aus einem veröffentlichten Server-Image bereit:
    1. Erstellen Sie eine Desktop-RDSH-Farm, um Sitzungsdesktops bereitzustellen, und erstellen Sie dann Zuweisungen, die Endbenutzer zur Verwendung dieser Desktops berechtigen. Weitere Informationen finden Sie unter Erstellen einer Farm und Erstellen einer Desktop-Zuweisung für eine RDSH-Sitzung im Administratorhandbuch.
    2. Erstellen Sie eine Anwendungs-RDSH-Farm, um Remoteanwendungen bereitzustellen, fügen Sie die Anwendungen Ihrem Anwendungsbestand hinzu und erstellen Sie dann Zuweisungen, die Endbenutzer zur Nutzung dieser Remoteanwendungen berechtigen. Weitere Informationen finden Sie unter Erstellen einer Farm, Importieren neuer Remoteanwendungen aus RDSH-Farmen und Erstellen einer Remoteanwendungszuweisung im Administratorhandbuch.
  14. Um VDI-Desktops aus einem veröffentlichten VDI-Desktop-Image bereitzustellen, müssen Sie eine dedizierte oder flexible VDI-Desktop-Zuweisung erstellen. Weitere Informationen hierzu finden Sie unter Info über Desktopzuweisungen für die Pods Ihrer Horizon Cloud-Umgebung in Microsoft Azure und den zugehörigen VDI-bezogenen Unterthemen im Administratorhandbuch.
  15. Um App Volumes-Anwendungen für Ihre Endbenutzer bereitzustellen, fügen Sie die App Volumes-Anwendungen zu Ihrem Anwendungsbestand hinzu und erstellen Sie eine Anwendungszuweisung, um Endbenutzern die Berechtigung zur Verwendung dieser Anwendungen zu erteilen. Erstellen Sie dann eine Desktop-Zuweisung, die auf demselben veröffentlichten Image basiert, um diesen Endbenutzern die Berechtigung für Desktops zu erteilen, in denen sie diese Anwendungen starten können. Weitere Informationen finden Sie unter App Volumes-Anwendungen – Übersicht und Voraussetzungen im Administratorhandbuch.
  16. Wenn ein Pod mit einer Gateway-Konfiguration bereitgestellt wurde, müssen Sie einen CNAME-Eintrag im DNS-Server erstellen, der den vollqualifizierten Domänennamen (FQDN), den Sie im Bereitstellungsassistenten angegeben haben, der entsprechenden Microsoft Azure-Lastausgleich-Ressource zuordnet, die im Pod für das entsprechende Gateway konfiguriert ist.
    • Für ein mit einer öffentlichen IP-Adresse aktiviertes externes Gateway ordnen Sie den FQDN, den Sie im Bereitstellungsassistenten eingegeben haben, dem automatisch generierten öffentlichen FQDN der Microsoft Azure-Lastausgleich-Ressource des Gateways zu. Der DNS-Serverdatensatz ordnet den automatisch generierten öffentlichen FQDN des Microsoft Azure-Lastausgleichs dem FQDN zu, den die Endbenutzer verwenden und der im hochgeladenen Zertifikat verwendet wird. Die folgende Codezeile zeigt ein Beispiel. Sie finden die zu verwendende ID auf der Detailseite des Pods in der Konsole, nachdem Sie die Active Directory-Domäne registriert haben. Wenn das externe Gateway in einem eigenen VNet bereitgestellt wurde, verwenden Sie die ID, die im Feld Bereitstellungs-ID angezeigt wird.
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.region.cloudapp.azure.com
    • Für ein internes Gateway oder ein externes Gateway ohne öffentliche IP-Adresse ordnen Sie den FQDN, den Sie im Bereitstellungsassistenten eingegeben haben, der privaten IP-Adresse des Microsoft Azure-Gateway-Lastausgleichs zu. Der DNS-Serverdatensatz ordnet die IP-Adresse des Microsoft Azure-Lastausgleichsdiensts dem FQDN zu, den die Endbenutzer verwenden und der im hochgeladenen Zertifikat verwendet wird. Die folgende Codezeile zeigt ein Beispiel.
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    Nach dem Onboarding des Pods haben Sie Zugriff auf die Seite „Kapazität“ in der Verwaltungskonsole. Navigieren Sie zu der Seite „Kapazität“, um nachzuprüfen, welcher vmw-hcs-ID-uag.region.cloudapp.azure.com-Wert erforderlich ist, um Ihren FQDN in Ihrem DNS zuzuordnen.

    Ausführliche Informationen zum Auffinden des FQDN des Microsoft Azure-Lastausgleichs in der Konsole finden Sie unter Abrufen der Lastausgleich-Informationen des Pods-Gateways für die Zuordnung im DNS-Server im Administratorhandbuch.

  17. Wenn ein Pod für die RADIUS-2-Faktor-Authentifizierung für die Gateways des Pods bereitgestellt wird, müssen Sie die folgenden Aufgaben ausführen:
    • Wenn Sie ein externes Gateway mit RADIUS-Einstellungen konfiguriert haben und der RADIUS-Server nicht innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, oder innerhalb der gepeerten VNet-Topologie, sofern Sie das externe Gateway in einem eigenen VNet bereitgestellt haben, überprüfen Sie, ob der RADIUS-Server Clientverbindungen von der IP-Adresse des Lastausgleichsdiensts des externen Gateways zulässt, und konfigurieren Sie ihn entsprechend. In einer externen Gateway-Konfiguration versuchen die Unified Access Gateway-Instanzen, mithilfe dieser Lastausgleich-Adresse Kontakt mit dem RADIUS-Server herzustellen. Um die Verbindungen zuzulassen, stellen Sie sicher, dass die IP-Adresse der Lastausgleich-Ressource in der Ressourcengruppe des entsprechenden externen Gateways als Client in Ihrer RADIUS-Serverkonfiguration angegeben ist.
    • Wenn Sie ein internes oder externes Gateway konfiguriert haben und Ihr RADIUS-Server innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, konfigurieren Sie den RADIUS-Server so, dass Verbindungen von den entsprechenden in der Gateway-Ressourcengruppe in Microsoft Azure erstellten Netzwerkkarten zulässig sind, die mit dem RADIUS-Server kommunizieren müssen. Ihr Netzwerkadministrator bestimmt die Netzwerksichtbarkeit des RADIUS-Servers für das virtuelle Azure-Netzwerk und die Subnetze des Pods. Ihr RADIUS-Server muss Clientverbindungen von den IP-Adressen dieser Gateway-Netzwerkkarten zulassen, die dem Subnetz entsprechen, für das Ihr Netzwerkadministrator dem RADIUS-Server Netzwerksichtbarkeit gewährt hat. Die Ressourcengruppe des Gateways in Microsoft Azure verfügt über vier Netzwerkkarten, die diesem Subnetz entsprechen: zwei, die derzeit für die beiden Unified Access Gateway-Instanzen aktiv sind, und zwei, die sich im Leerlauf befinden und aktiv werden, nachdem der Pod eine Aktualisierung durchlaufen hat. Um die Konnektivität zwischen dem Gateway und dem RADIUS-Server sowohl für laufende Pod-Vorgänge als auch nach jeder Pod-Aktualisierung zu unterstützen, stellen Sie sicher, dass die IP-Adressen dieser vier Netzwerkkarten als Clients in der RADIUS-Serverkonfiguration angegeben werden.

    Informationen zum Abrufen dieser IP-Adressen finden Sie unter Aktualisieren des RADIUS-Systems mit den erforderlichen Informationen zum Horizon Cloud-Pod-Gateway.

Nachdem die obigen Schritte ausgeführt wurden, können Ihre Endbenutzer den Horizon Client oder Horizon HTML Access (den Webclient) verwenden, um ihre berechtigten Desktops und Remoteanwendungen zu starten:

  • In einer mit Universal Broker konfigurierten Umgebung, indem sie Ihren Universal Broker-Brokering-FQDN in ihrem Client verwenden.
  • In einer mit Einzel-Pod-Brokering konfigurierten Umgebung, indem sie Ihren FQDN in ihrem Client verwenden, den Sie in Schritt 16 zugeordnet haben.

Detaillierte Informationen zu den einzelnen Schritten des Workflows finden unter den mit den obigen Schritten verknüpften Themen oder im Begleitdokument. Weitere Informationen finden Sie unter Verwaltung Ihrer Horizon Cloud-Mandantenumgebung und Ihrer gesamten Anzahl integrierter Pods und in den Unterthemen.