Opcionalmente, puede registrar dominios de Active Directory adicionales con su cuenta de cliente de Horizon Cloud. Al registrar el dominio de Active Directory este se agrega al conjunto de dominios configurados en la nube asociado con esa cuenta de cliente de Horizon Cloud. Cuando el dominio se encuentra en el conjunto de dominios configurados en la nube, puede habilitar los grupos y las cuentas de usuario de ese dominio para que utilicen las funciones que proporciona el sistema (por ejemplo, para que los administradores del departamento de soporte técnico utilicen las funciones de esta área o para que los usuarios finales utilicen las funciones relacionadas con el escritorio).

Importante: En los cuadros de texto Nombre de usuario de enlace y Nombre de usuario de unión relacionados con las cuentas de enlace de dominio y unión de dominio, proporcione el nombre de la cuenta propiamente dicho, por ejemplo ouraccountname, como el nombre de inicio de sesión de usuario sin el nombre de dominio.
Nota: No se admiten los grupos de distribución, aunque estén anidados en un grupo de seguridad. Al crear grupos de Active Directory, seleccione siempre Seguridad para Tipo de grupo.

Requisitos previos

Asegúrese de que la infraestructura de Active Directory esté sincronizada con un origen de hora preciso para evitar que se produzca un error en el paso de la cuenta de unión de dominio. En caso de error, puede que deba ponerse en contacto con el servicio de soporte de VMware para recibir asistencia. Si el paso de enlace a dominio se realiza correctamente, pero se produce un error en el paso de unión a dominio, pruebe a restablecer el dominio y, a continuación, investigue si es necesario ajustar el origen de la hora. Para restablecer el dominio, consulte los pasos descritos en Eliminar el registro del dominio de Active Directory.

Para las cuentas de enlace de dominio principal y auxiliar, verifique que disponga de la información de dos cuentas de usuario de Active Directory que se ajusten a los requisitos descritos en Requisitos de cuenta de enlace de dominio.

Precaución: Para evitar bloqueos accidentales que le impidan iniciar sesión en la consola basada en la nube para administrar el entorno de Horizon Cloud, asegúrese de que sus cuentas de enlace de dominio no puedan caducar, cambiarse ni bloquearse. Debe usar este tipo de configuración de cuenta porque el sistema utiliza la cuenta de enlace de dominio principal como cuenta de servicio para realizar consultas al dominio de Active Directory, con el objetivo de verificar las credenciales de inicio de sesión en la consola. Si la cuenta de enlace a dominio principal se vuelve inaccesible por algún motivo, el sistema utilizará la cuenta de enlace a dominio auxiliar. Cuando las cuentas de enlace de dominio principal y auxiliar caducan o no es posible acceder a ellas, no se puede iniciar sesión en la consola ni actualizar la configuración para usar una cuenta de enlace de dominio que resulte accesible.

A las cuentas de enlace de dominio principal y auxiliar se les asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a las cuentas especificadas.

Para la cuenta de unión de dominio, compruebe que la cuenta cumpla los requisitos descritos en Requisitos de cuenta de unión a dominio. La cuenta de unión de dominio también debe estar en un grupo de Active Directory al que se asigne la función de superadministrador en la consola. Las funciones de Horizon Cloud solo pueden asignarse a nivel de grupo.
Precaución: Este punto es fundamental para las operaciones del sistema que implican pods de Microsoft Azure. Si la cuenta de unión de dominio proporcionada durante el registro del dominio de Active Directory no se encuentra en ninguno de los grupos de Active Directory a los que se puede asignar la función de superadministrador, cree un grupo de Active Directory para esa cuenta de modo que pueda garantizar que la función de superadministrador pueda asignarse a dicha cuenta de unión de dominio.

Si solo tiene un grupo de Active Directory con la función de superadministrador asignada, no elimine ese grupo del servidor de Active Directory. Si lo hace, es posible que se produzcan problemas con futuros inicios de sesión.

Compruebe que tenga el nombre de NetBIOS y el nombre de dominio DNS del dominio de Active Directory. Estos valores se deben especificar en la ventana Registrar Active Directory de la consola, en el primer paso de este flujo de trabajo. Para obtener un ejemplo de cómo encontrar estos valores, consulte Ubicación de la información requerida en los campos Nombre de NETBIOS y Nombre de dominio DNS del flujo de trabajo de registro de Active Directory de Horizon Cloud.

Precaución: Al registrar un dominio de Active Directory adicional asegúrese de que todos los pods conectados a la nube tienen una conexión directa con ese dominio. Todos los pods del mismo registro de la cuenta de cliente debe poder comunicarse con el mismo conjunto de dominios de Active Directory configurado en la nube registrados con esa cuenta. Todos los pods deben poder conectarse a los mismos servidores de Active Directory, y la configuración de DNS debe resolver todos esos dominios de Active Directory configurados en la nube.

Procedimiento

  1. En la consola, seleccione Configuración > Active Directory.
  2. Haga clic en Registrar.
  3. En el cuadro de diálogo Registrar Active Directory, introduzca la información de registro necesaria.
    Importante: Use una cuenta de Active Directory que se ajuste a las directrices establecidas para las cuentas de enlace de dominio principal y auxiliar tal y como se describe en los requisitos previos.
    Opción Descripción
    Nombre de NETBIOS
    Nombre de dominio de DNS
    Protocolo Muestra automáticamente LDAP, el protocolo compatible.
    Nombre de usuario de enlace Cuenta de usuario de dominio que se usa como cuenta de enlace LDAP principal.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
    Contraseña de enlace La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de enlace.
    # 1 de cuenta auxiliar En los campos Nombre de usuario de enlace y Contraseña de enlace, escriba una cuenta de usuario en el dominio para usar como cuenta de enlace LDAP auxiliar y la contraseña asociada.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
  4. Haga clic en Enlace de dominio.
    Si el paso de enlace de dominio se realiza de manera correcta, aparecerá el cuadro de diálogo Unirse a un dominio y podrá continuar con el siguiente paso.
  5. En el cuadro de diálogo Unirse a un dominio, proporcione la información necesaria.
    Nota: Use una cuenta de Active Directory que se ajuste a las directrices establecidas para la cuenta de unión al dominio que aparecen descritas en los requisitos.
    Opción Descripción
    Dirección IP del servidor DNS principal La dirección IP del servidor DNS principal que desee que Horizon Cloud utilice para resolver los nombres de las máquinas.

    Para un pod de Microsoft Azure, este servidor DNS debe poder resolver los nombres de máquina dentro de la nube de Microsoft Azure además de resolver los nombres externos.

    Dirección IP del servidor DNS secundario (Opcional) Dirección IP de un servidor DNS secundario
    OU predeterminada La unidad organizativa de Active Directory que desea que utilicen las máquinas virtuales relacionadas con el escritorio del pod, como las máquinas virtuales importadas, las máquinas virtuales RDSH de granja, o las instancias de escritorio VDI. Una unidad organizativa de Active Directory tiene el formato como OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent. El recurso predeterminado del sistema es CN=Computers. Puede cambiar el valor predeterminado para que se ajuste a sus necesidades, como CN=myexample.
    Nota: Para obtener una descripción de los nombres de la organización anidados, consulte Consideraciones para usar unidades organizativas de dominios de Active Directory anidados. Cada OU individual introducido debe tener 64 caracteres de largo o menos, sin contar la porción de OU= de su entrada. Microsoft limita una OU individual a 64 caracteres o menos. Se considera válida na ruta de acceso de la unidad organizativa que tenga más de 64 caracteres, pero ninguna OU individual debe tener más de 64 caracteres. Por el contrario, cada unidad organizativa individual debe tener 64 caracteres o menos.
    Nombre de usuario de unión La cuenta de usuario de Active Directory que tiene permisos para unirse a equipos de ese dominio de Active Directory.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
    Contraseña de unión La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de unión.
  6. (opcional) Especifique una cuenta de unión de dominio auxiliar.
    Si no se puede acceder a la cuenta de unión de dominio principal especificada, el sistema utilizará la cuenta de unión de dominio auxiliar para estas operaciones en los pods de Microsoft Azure que deban unirse al dominio, como la importación de máquinas virtuales de imagen, la creación de instancias de RDSH de granja, la creación de instancias de escritorio VDI, etc.
    Nota:
    • Use una cuenta de Active Directory que se ajuste a las mismas directrices establecidas para la cuenta de unión de dominio principal que aparecen descritas en los requisitos. Asegúrese de que esta cuenta de unión a dominio auxiliar tenga una hora de caducidad distinta de la cuenta de unión a dominio principal, a menos que ambas cuentas estén configuradas como Nunca caduca. Si tanto la cuenta de unión a dominio principal y como la auxiliar caducan al mismo tiempo, se producirá un error en las operaciones del sistema para sellar imágenes y aprovisionar máquinas virtuales de escritorio VDI y máquinas virtuales RDSH de granja.
    • Solo se puede agregar una cuenta de unión de dominio auxiliar para cada Active Directory que se registre en Horizon Cloud.
    • Si no desea agregar una cuenta de unión de dominio auxiliar en este momento, puede hacerlo más adelante desde la consola.
    • Puede actualizar o eliminar esta cuenta más tarde.
    • El software relacionado con el agente en una máquina virtual relacionada con el escritorio (como una imagen sellada, una instancia de RDSH de granja o una instancia de escritorio VDI) debe tener la versión 18.1 o posterior para que el sistema pueda usar la cuenta de unión de dominio auxiliar con esa máquina virtual.
    Opción Descripción
    Nombre de usuario de cuenta de unión auxiliar Cuenta de usuario de Active Directory que tiene permisos para unirse a sistemas de ese dominio de Active Directory.
    Importante: Proporcione solo el nombre de cuenta en este campo, por ejemplo ouraccountname, como el nombre de inicio de sesión de usuario sin el nombre de dominio. Si introduce barras diagonales o arrobas se mostrará un error.
    Contraseña de unión auxiliar La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de cuenta de unión auxiliar.
  7. Haga clic en Guardar.
    En este punto, si el paso de unión de dominio se realiza de manera correcta, aparecerá el cuadro de diálogo Agregar administrador y podrá continuar con el siguiente paso.
  8. En el cuadro de diálogo Agregar superadministrador, use la función de búsqueda de Active Directory para seleccionar el grupo de administradores de este servicio que deben poder realizar acciones de administración en el entorno desde la consola.
    Esta asignación garantiza la concesión a una de las cuentas de usuario (como mínimo) del dominio de Active Directory de los permisos necesarios para iniciar sesión mediante el flujo de trabajo de inicio de sesión estándar, ahora que esta cuenta de cliente está configurada en el dominio de Active Directory.
    Importante: A la función de superadministrador, agregue el grupo de Active Directory que incluye la cuenta de unión al dominio, tal como se describe en los requisitos previos. Si la cuenta de unión al dominio no está en ninguno de los grupos de Active Directory que tienen la función de superadministrador, se producirá un error en las operaciones del sistema de los pods de Microsoft Azure que implican unir las máquinas virtuales al dominio.
  9. Haga clic en Guardar.

Resultados

Los siguientes elementos están preparados:
  • El dominio de Active Directory es uno de los dominios de Active Directory configurados en la nube asociados con la cuenta de cliente de Horizon Cloud.
  • Para un pod de Microsoft Azure, Horizon Cloud tiene la cuenta de unión de dominio necesaria para las operaciones del sistema que implican unir máquinas virtuales relacionadas con el escritorio a ese dominio. Además, la cuenta de unión de dominio tiene la función de superadministrador requerida para que las operaciones funcionen correctamente.
  • Después de iniciar sesión en Horizon Cloud usando las credenciales de My VMware, en la ventana de inicio de sesión de Active Directory, los usuarios de ese Active Directory que tengan una función de Horizon Cloud asignada pueden seleccionar el dominio que corresponda a su cuenta de Active Directory.
  • Los usuarios del grupo al que se asignó la función de superadministrador pueden acceder a la consola y realizar actividades de administración si utilizan la cuenta de My VMware asociada con la primera pantalla de inicio de sesión. Para que dichos administradores puedan utilizar sus propias credenciales de cuenta de My VMware para el primer paso de inicio de sesión, siga los pasos descritos en Otorgar funciones administrativas a las personas de la organización para iniciar sesión y realizar acciones en el entorno de arrendatario de Horizon Cloud con Consola administrativa de Horizon Cloud.
  • Las cuentas de usuario del dominio de Active Directory registrado pueden seleccionarse para asignaciones que implican recursos de los pods de Microsoft Azure.
  • Las funciones de soporte técnico de la consola pueden utilizarse con las cuentas de usuario del dominio de Active Directory registrado.

Qué hacer a continuación

A partir de este punto, lo normal es que realice estas tareas: