En Horizon Cloud Service - next-gen, complete los siguientes pasos de Horizon Universal Console para registrar el primer dominio de Active Directory en el servicio o registrar dominios de Active Directory adicionales.

Nota: Esta página de documentación se aplica cuando el entorno tendrá una implementación de Horizon Edge en Microsoft Azure. No se aplica a las implementaciones de Horizon 8 ni a la suscripción de Horizon Plus.

Como se describe en Administración de accesos e identidades de Horizon Cloud Service, el servicio usa la instancia registrada de Active Directory para la identidad de la máquina para los escritorios virtuales y las aplicaciones remotas.

Requisitos previos

Requisitos de Active Directory
El asistente Registro de dominio de la consola requiere la introducción de información específica. Antes de realizar estos pasos en la consola, compruebe que usted o su equipo de TI hayan cumplido los requisitos relacionados con Active Directory, como se describe en la sección Requisitos de Active Directory de la lista de comprobación de requisitos para implementar una instancia de Microsoft Azure Edge.
Puntos clave y requisitos específicos de LDAPS
Si tiene pensado utilizar LDAPS en su implementación, tenga en cuenta los siguientes requisitos y puntos clave.
  • Los certificados de CA intermedios y raíz con codificación PEM deben estar listos para la carga.
  • No se admiten certificados autofirmados.
  • El servicio requiere que el DNS tenga registros SRV de los dominios configurados para usar LDAPS. Si se decanta por utilizar LDAPS con un dominio, esto conlleva implícitamente el uso de registros SRV.
  • Recomendamos encarecidamente que el entorno de AD esté configurado para forzar el uso de enlaces de canal. Forzar el uso de enlaces de canal es fundamental para proteger LDAPS correctamente, sobre todo a la hora de evitar ataques de intermediarios (del inglés man-in-the-middle, MITM).
  • La configuración del firewall debe permitir las conexiones salientes desde Horizon Edge Gateway a los controladores de dominio, con los siguientes puertos y protocolos, como se describe en Requisitos de puertos y protocolos para la implementación de Horizon Cloud en Microsoft Azure.
    • Puerto 88/TCP: Autenticación Kerberos
    • Puertos 636/TCP y 3269/TCP: Comunicación de LDAPS
  • Debe tener un endpoint de revocación HTTP definido para todos los certificados de la cadena de confianza (excepto para el certificado raíz) y debe poder accederse al endpoint a través de HTTP. Este requisito conlleva los siguientes aspectos:
    • LDAP no debe utilizarse en endpoints de revocación.
    • El servicio realizará comprobaciones de revocación usando las URL HTTP de OCSP o CRL definidas en los certificados.
    • El servicio no puede realizar una comprobación de revocación si un certificado no define un extremo de OCSP o CRL para el protocolo HTTP. En ese caso, se produce un error en la conectividad LDAPS.
    • La revocación directa debe estar disponible para los endpoints. Los firewalls no deben bloquear el tráfico saliente hasta el endpoint de revocación a través de HTTP.

Procedimiento

  1. Haga clic en Integraciones, en el panel de la izquierda, y en el mosaico Identidad y acceso, haga clic en Administrar.
  2. En la pestaña Dominios, inicie el asistente Registro de dominios de la consola haciendo clic en Agregar.
  3. En el primer paso del asistente, proporcione la información indicada
    Campo Descripción
    Nombre El nombre del dominio de Active Directory.
    Descripción Descripción opcional.
    Nombre de dominio DNS El nombre completo de este dominio de Active Directory (por ejemplo, our-ad.example.com).
    OU predeterminada Escriba una unidad organizativa predeterminada adecuada.

    Esta OU es la unidad organizativa de Active Directory que desea que el servicio utilice como predeterminada cuando agregue las identidades de máquina que crea para los escritorios virtuales y las aplicaciones remotas.

    Escriba el nombre distintivo completo de la unidad organizativa, como OU=MyOrg,DC=our-ad,DC=example,DC=com.

    Nota: Si desea utilizar el valor predeterminado de CN=Computers, debe escribirlo en el campo. A pesar de que puede ver que la interfaz de usuario muestra este valor predeterminado en el campo, el asistente no hará que el botón Siguiente esté disponible a menos que lo escriba directamente en este campo.
    Cuentas de enlace de dominio Proporcione los nombres de usuario y las contraseñas de las dos cuentas de servicio que usted o su equipo de TI hayan configurado para este fin, como se describe en la sección Requisitos de Active Directory de la Lista de comprobación de requisitos para implementar Microsoft Azure Edge.

    Estas cuentas de servicio se utilizan para realizar búsquedas en el dominio de Active Directory. La primera cuenta introducida es la principal que utiliza el servicio para este fin. La cuenta auxiliar es una copia de seguridad de la principal.

    Asegúrese de que las cuentas introducidas aquí cumplen los requisitos detallados en la lista de comprobación de requisitos.
    Cuentas de unión de dominio Proporcione los nombres de usuario y las contraseñas de las dos cuentas de servicio que usted o su equipo de TI hayan configurado para este fin, como se describe en la sección Requisitos de Active Directory de la Lista de comprobación de requisitos para implementar Microsoft Azure Edge.

    Estas cuentas de servicio se utilizan para unir las identidades de máquina al dominio de Active Directory y para realizar operaciones de Sysprep. La primera cuenta introducida es la principal que utiliza el servicio para este fin. La cuenta auxiliar es una copia de seguridad de la principal.

    Asegúrese de que las cuentas introducidas aquí cumplen los requisitos detallados en la lista de comprobación de requisitos.
    Protocolo Seleccione el protocolo, LDAP o LDAPS, que se utilizará para conectar Active Directory a Horizon Edge Gateway.

    Si selecciona LDAPS, utilice la función Examinar para cargar los certificados de CA intermedios y raíz con codificación PEM, a los que se hace referencia en los requisitos previos para esta tarea.
    Cuando haya introducido toda la información necesaria, el sistema hace que el botón Siguiente esté disponible.
  4. Para continuar con el siguiente paso del asistente, haga clic en Siguiente.
    En este punto, el asistente pone a su disposición la acción Guardar para completar el guardado de la información del dominio en el sistema.
  5. (opcional) Si tiene pensado utilizar True SSO con los escritorios virtuales y las aplicaciones remotas de los usuarios finales, en la sección Cuenta de servicio de inscripción de dominio del asistente, active la opción Usar cuenta del servicio de inscripción.

    Cuando esta opción está activada, la interfaz de usuario muestra campos para que pueda introducir las credenciales de cuenta de las cuentas de inscripción de dominio que requiere la función True SSO. Proporcione esa información.

    Atención: Si, alternativamente, planea utilizar SSO dependiente de VMware CA, puede omitir este paso de introducir la información de la cuenta de inscripción del dominio.

    Una cuenta de inscripción de dominio es una cuenta de servicio de inscripción que la función True SSO utiliza para obtener certificados a corto plazo de Microsoft AD CS (Servicios de certificados de Active Directory). True SSO utiliza los certificados para la autenticación, para evitar solicitar a las credenciales de Active Directory. Es posible que en Horizon Universal Console observe que se utilizan indistintamente los términos cuenta de inscripción de dominio, cuenta de servicio de inscripción y servicio de inscripción de dominio.

    Después de completar los campos, el asistente pone a disposición la acción Guardar para completar el guardado de la información del dominio en el sistema.

    Haga clic en Guardar para terminar de guardar toda la información proporcionada en el asistente.

Resultados

Se completó la configuración de Active Directory con Horizon Edge. Sin embargo, a medida que siga configurando la implementación, si detecta problemas con la conexión de Active Directory, consulte Diagnóstico de Instancias de Horizon Edge: conectividad de Active Directory para implementaciones de Microsoft Azure.

Qué hacer a continuación

Al finalizar los pasos anteriores, el servicio tiene la información de dominio de Active Directory que requiere para una implementación de Horizon Cloud on Microsoft Azure.

Para obtener información sobre cómo agregar la capacidad de que los usuarios finales tengan inicio de sesión único (SSO) al acceder a sus escritorios y aplicaciones, consulte Tipos de entidad de certificación compatibles para usar SSO con Horizon Edge en Microsoft Azure.