Después de emparejar correctamente el primer pod con Horizon Cloud, inicie sesión en Horizon Cloud en cloud.horizon.vmware.com para registrar un dominio de Active Directory con el entorno de Horizon Cloud. Cuando se completa el flujo de trabajo de registro, ese dominio de Active Directory es el primer dominio de Active Directory configurado en la nube de la cuenta de cliente de Horizon Cloud. El flujo de trabajo de registro general es un proceso de varios pasos.

Debe realizar este proceso de registro de dominio de Active Directory inmediatamente o poco después de emparejar en la nube el primer pod con Horizon Cloud. Un pod se empareja en la nube con Horizon Cloud cuando la implementación del pod se inició en Horizon Cloud (en el caso de los pods de Microsoft Azure), o bien cuando se inició a través de Horizon Cloud Connector (en el caso de los pods de Horizon local o VMware Cloud on AWS). Los pasos generales de este flujo de trabajo de registro son:

  1. Proporcione la información relacionada con el nombre del dominio de Active Directory, la información relacionada con el protocolo y las credenciales de una cuenta de servicio de enlace de dominio que Horizon Cloud pueda utilizar para consultar al dominio de Active Directory. Para obtener información sobre qué necesita Horizon Cloud para esa cuenta de enlace de dominio, consulte Requisitos de cuenta de enlace de dominio.
  2. Proporcione la dirección IP del servidor DNS que desee que Horizon Cloud utilice para resolver los nombres de máquina, la unidad organizativa (OU) en la que desea que se encuentren las máquinas virtuales relacionadas con el escritorio del pod, y las credenciales de una cuenta de servicio de unión de dominio que Horizon Cloud puede usar para unir las máquinas virtuales relacionadas con el escritorio. Dichas máquinas virtuales incluyen máquinas virtuales principales importadas, instancias de RDSH de granja, instancias de escritorio VDI, etc. Para obtener información sobre qué necesita Horizon Cloud para esa cuenta de unión de dominio, consulte Requisitos de cuenta de unión a dominio.
  3. Asigne la función de superadministrador de Horizon Cloud a un grupo de dominios de Active Directory.
Importante: Revise los siguientes puntos para comprender el flujo de trabajo de registro:
  • Para poder acceder a otras páginas de la consola, debe completarse el proceso de registro del primer dominio de Active Directory. Los servicios principales estarán bloqueados hasta que finalice estas tareas.
  • Debido a un problema conocido, cuando se conectan pods de Horizon local y Horizon on VMware Cloud on AWS a través de Horizon Cloud Connector y no se completa el proceso de registro del dominio de Active Directory para el primer pod antes de ejecutar el flujo de trabajo de emparejamiento en la nube del conector para los siguientes pods, pueden producirse resultados inesperados. Aunque el flujo de trabajo de emparejamiento en la nube se puede ejecutar en varios pods antes de completar el registro del primer dominio de Active Directory con Horizon Cloud, si no se ha completado este registro antes de ejecutar el proceso de emparejamiento en la nube en el pod siguiente, pueden producirse errores en el registro del dominio. En ese caso, tendrá que:
    1. Utilizar la acción Desconectar del portal de configuración de Horizon Cloud Connector para eliminar la conexión existente entre los distintos pods conectados a la nube hasta que solo quede uno.
    2. Seguir los pasos descritos en Eliminar el registro con errores del dominio de Active Directory desde Horizon Cloud para eliminar el registro con errores.
    3. Completar el proceso de registro del primer dominio de Active Directory relacionado con ese pod.
    4. Volver a ejecutar el flujo de trabajo de Horizon Cloud Connector en los otros pods.
  • Aunque, en los pods de esta versión, la cuenta de unión de dominio que se especifica en estos pasos se utiliza únicamente con los pods de Microsoft Azure, cuando solo hay pods de Horizon conectados a la nube en el entorno, se recomienda completar el paso de la cuenta de unión de dominio para garantizar la activación de la solicitud posterior para asignar la función de superadministrador. Asignar esa función a un grupo de dominios de Active Directory es un paso obligatorio para todos los tipos de pods conectados en la nube.
Importante: En los cuadros de texto Nombre de usuario de enlace y Nombre de usuario de unión relacionados con las cuentas de enlace de dominio y unión de dominio, proporcione el nombre de la cuenta propiamente dicho, por ejemplo ouraccountname, como el nombre de inicio de sesión de usuario sin el nombre de dominio.

Requisitos previos

Asegúrese de que la infraestructura de Active Directory esté sincronizada con un origen de hora preciso para evitar que se produzca un error en el paso de la cuenta de unión de dominio. En caso de error, puede que deba ponerse en contacto con el servicio de soporte de VMware para recibir asistencia. Si el paso de enlace a dominio se realiza correctamente, pero se produce un error en el paso de unión a dominio, pruebe a restablecer el dominio y, a continuación, investigue si es necesario ajustar el origen de la hora. Para restablecer el dominio, consulte los pasos descritos en Eliminar el registro del dominio de Active Directory.

Compruebe que el primer pod se haya implementado correctamente. La sección Capacidad del asistente Introducción indica si el primer pod se implementó correctamente mediante un icono de marca de verificación verde (Un icono verde circular con una marca de verificación blanca muestra que la tarea se realizó correctamente).

Para las cuentas de enlace de dominio principal y auxiliar, verifique que disponga de la información de dos cuentas de usuario de Active Directory que se ajusten a los requisitos descritos en Requisitos de cuenta de enlace de dominio.

Precaución: Para evitar bloqueos accidentales que le impidan iniciar sesión en la consola basada en la nube para administrar el entorno de Horizon Cloud, asegúrese de que sus cuentas de enlace de dominio no puedan caducar, cambiarse ni bloquearse. Debe usar este tipo de configuración de cuenta porque el sistema utiliza la cuenta de enlace de dominio principal como cuenta de servicio para realizar consultas al dominio de Active Directory, con el objetivo de verificar las credenciales de inicio de sesión en la consola. Si la cuenta de enlace a dominio principal se vuelve inaccesible por algún motivo, el sistema utilizará la cuenta de enlace a dominio auxiliar. Cuando las cuentas de enlace de dominio principal y auxiliar caducan o no es posible acceder a ellas, no se puede iniciar sesión en la consola ni actualizar la configuración para usar una cuenta de enlace de dominio que resulte accesible.

A las cuentas de enlace de dominio principal y auxiliar se les asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a las cuentas especificadas.

Para la cuenta de unión de dominio, compruebe que la cuenta cumpla los requisitos descritos en Requisitos de cuenta de unión a dominio. La cuenta de unión de dominio también debe estar en un grupo de Active Directory al que se asigne la función de superadministrador en la consola. Las funciones de Horizon Cloud solo pueden asignarse a nivel de grupo.
Precaución: Este punto es fundamental para las operaciones del sistema que implican pods de Microsoft Azure. Si la cuenta de unión de dominio proporcionada durante el registro del dominio de Active Directory no se encuentra en ninguno de los grupos de Active Directory a los que se puede asignar la función de superadministrador, cree un grupo de Active Directory para esa cuenta de modo que pueda garantizar que la función de superadministrador pueda asignarse a dicha cuenta de unión de dominio.

Si solo tiene un grupo de Active Directory con la función de superadministrador asignada, no elimine ese grupo del servidor de Active Directory. Si lo hace, es posible que se produzcan problemas con futuros inicios de sesión.

Importante: Para un pod en Microsoft Azure, esta cuenta de unión de dominio debe estar en uno de los grupos de Active Directory al que desee otorgar la función de superadministrador. Si la cuenta de unión de dominio no está en un grupo con la función de superadministrador, las operaciones del sistema que implican unir las máquinas virtuales del pod al dominio fallarán, como al importar imágenes principales o crear granjas y escritorios virtuales RDSH.

Compruebe que tenga el nombre de NetBIOS y el nombre de dominio DNS del dominio de Active Directory. Estos valores se deben especificar en la ventana Registrar Active Directory de la consola, en el primer paso de este flujo de trabajo. Para obtener un ejemplo de cómo encontrar estos valores, consulte Ubicación de la información requerida en los campos Nombre de NETBIOS y Nombre de dominio DNS del flujo de trabajo de registro de Active Directory de Horizon Cloud.

En el futuro, tenga en cuenta que, si tiene pensado usar la misma cuenta de cliente de Horizon Cloud más adelante para conectar otros pods de Horizon o implementar pods de Microsoft Azure en un entorno unificado, dichos pods deben tener una conexión directa con este mismo dominio de Active Directory en el momento en que se conecten o implementen.

Procedimiento

  1. En un navegador, vaya a cloud.horizon.vmware.com e inicie sesión en la consola basada en la nube con el método que prefiera.
    • En la sección Credenciales de My VMware de la página de inicio de sesión, introduzca las credenciales de la cuenta de My VMware. Las credenciales de cuenta son la dirección de correo electrónico principal, como user@example.com, y la contraseña que se establecen en el perfil de la cuenta. Esta opción envía la solicitud de autenticación al plano de control de Horizon Cloud.
    • En la sección VMware Cloud Services de la página de inicio de sesión, haga clic en INICIO DE SESIÓN DE VMWARE CLOUD. Al hacer clic en este botón, se redirecciona la solicitud de autenticación a VMware Cloud Services para que el proceso se efectúe conforme a la configuración de la organización. Es posible que la organización le solicite que acceda a su tenant de Horizon Cloud mediante VMware Cloud Services.
    En la siguiente captura de pantalla se muestra el inicio de sesión mediante la introducción de las credenciales de la cuenta de My VMware.
    Horizon Cloud on Microsoft Azure: captura de la pantalla de inicio de sesión en la cuenta de My VMware para el inicio de sesión inicial

    Si no ha aceptado previamente los términos del servicio de Horizon Cloud usando las credenciales de My VMware, aparecerá un cuadro de notificación de los términos del servicio después de hacer clic en el botón Inicio de sesión. Acepte los términos del servicio para continuar.
    Cuando el inicio de sesión se autentica correctamente, la consola se abre y muestra el asistente Introducción.

    Si no aparece el asistente Introducción la primera vez que inicie sesión, haga clic en Configuración > Introducción para abrirlo.

  2. En el asistente Introducción, expanda la sección Configuración general si aún no lo está.
  3. En Active Directory, haga clic en Configurar.
  4. En el cuadro de diálogo Registrar Active Directory, introduzca la información de registro necesaria.
    Importante: Use una cuenta de Active Directory que se ajuste a las directrices establecidas para las cuentas de enlace de dominio principal y auxiliar tal y como se describe en los requisitos previos.
    Opción Descripción
    Nombre de NETBIOS
    • Cuando el primer pod conectado a la nube de la cuenta de cliente es un pod de Horizon, en este paso, el sistema muestra un menú de selección en el que aparecen los nombres de todos los dominios de Active Directory que detecta el pod de Horizon. Seleccione el dominio de Active Directory que desee registrar primero.
    • Cuando el primer pod conectado en la nube de la cuenta de cliente es un pod de Microsoft Azure, en este paso, el sistema muestra un cuadro de texto. Escriba el nombre de NetBIOS del dominio de Active Directory que puede ver el pod. Por lo general, este nombre no contiene un punto. Para obtener un ejemplo de cómo encontrar el valor que debe usarse desde el entorno de dominio de Active Directory, consulte Ubicación de la información requerida en los campos Nombre de NETBIOS y Nombre de dominio DNS del flujo de trabajo de registro de Active Directory de Horizon Cloud.
    Nota: Tenga en cuenta que, si tiene pensado usar esta misma cuenta de cliente de Horizon Cloud para conectar otros pods de Horizon o implementar pods de Microsoft Azure en un entorno unificado, dichos pods deben tener una conexión directa con este mismo dominio de Active Directory en el momento en que se conecten o implementen.
    Nombre de dominio de DNS
    Protocolo Muestra automáticamente LDAP, el protocolo compatible.
    Nombre de usuario de enlace Cuenta de usuario de dominio que se usa como cuenta de enlace LDAP principal.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
    Contraseña de enlace La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de enlace.
    # 1 de cuenta auxiliar En los campos Nombre de usuario de enlace y Contraseña de enlace, escriba una cuenta de usuario en el dominio para usar como cuenta de enlace LDAP auxiliar y la contraseña asociada.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
    De forma opcional, puede establecer los valores de las propiedades avanzadas.
    Opción Descripción
    Puerto El predeterminado es LDAP -> 389. No es necesario modificar este cuadro de texto, a menos que se utilice un puerto que no sea el estándar.
    IP del controlador de dominio (Opcional) Si quiere que el tráfico de Active Directory use un controlador de dominio específico, escriba la dirección IP de controlador de dominio preferida, separada por comas. Si este cuadro de texto se deja en blanco, el sistema usará cualquier controlador de dominio disponible para este dominio de Active Directory.
    Contexto Contexto de nomenclatura LDAP. Este cuadro de texto se rellena automáticamente según la información proporcionada en el cuadro de texto Nombre de dominio DNS.
    La siguiente captura de pantalla muestra la ventana Registrar Active Directory cuando el primer pod conectado está en la nube de Microsoft Azure. Los campos tienen valores para un dominio de Active Directory de ejemplo con el nombre de NetBIOS de ENAUTO y el nombre de dominio DNS de ENAUTO.com.
    Captura de pantalla de la ventana Registrar Active Directory rellenada con valores de ejemplo.

  5. Haga clic en Enlace de dominio.
    Si el paso de enlace de dominio se realiza de manera correcta, aparecerá el cuadro de diálogo Unirse a un dominio y podrá continuar con el siguiente paso.
    Importante: Si se produce un error en el paso de enlace de dominio, pero se agrega la cuenta de unión de dominio y el sistema continúa con el paso de la función de superadministrador, el proceso de registro no se completará aunque el sistema continúe con el siguiente paso. Si se produce esta situación, siga los pasos de Eliminar el registro del dominio de Active Directory y, a continuación, comience por el paso 4.
  6. En el cuadro de diálogo Unirse a un dominio, proporcione la información necesaria.
    Nota:
    • Debe rellenar los campos requeridos en este paso cuando realice el proceso de registro del dominio de Active Directory independientemente del tipo de pod. Aunque en esta versión la cuenta de unión de dominio se utiliza principalmente para las operaciones del sistema relacionadas con las máquinas virtuales ubicadas en pods de Microsoft Azure, completar este paso garantiza que se complete el siguiente paso obligatorio para conceder la función de superadministrador.
    • Use una cuenta de Active Directory que se ajuste a las directrices establecidas para la cuenta de unión al dominio que aparecen descritas en los requisitos.
    Opción Descripción
    Dirección IP del servidor DNS principal La dirección IP del servidor DNS principal que desee que Horizon Cloud utilice para resolver los nombres de las máquinas.

    Para un pod de Microsoft Azure, este servidor DNS debe poder resolver los nombres de máquina dentro de la nube de Microsoft Azure además de resolver los nombres externos.

    Dirección IP del servidor DNS secundario (Opcional) Dirección IP de un servidor DNS secundario
    OU predeterminada La unidad organizativa de Active Directory que desea que utilicen las máquinas virtuales relacionadas con el escritorio del pod, como las máquinas virtuales importadas, las máquinas virtuales RDSH de granja, o las instancias de escritorio VDI. Una unidad organizativa de Active Directory tiene el formato como OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent. El recurso predeterminado del sistema es CN=Computers. Puede cambiar el valor predeterminado para que se ajuste a sus necesidades, como CN=myexample.
    Nota: Para obtener una descripción de los nombres de la organización anidados, consulte Consideraciones para usar unidades organizativas de dominios de Active Directory anidados. Cada OU individual introducido debe tener 64 caracteres de largo o menos, sin contar la porción de OU= de su entrada. Microsoft limita una OU individual a 64 caracteres o menos. Se considera válida na ruta de acceso de la unidad organizativa que tenga más de 64 caracteres, pero ninguna OU individual debe tener más de 64 caracteres. Por el contrario, cada unidad organizativa individual debe tener 64 caracteres o menos.
    Nombre de usuario de unión La cuenta de usuario de Active Directory que tiene permisos para unirse a equipos de ese dominio de Active Directory.
    Nota: Solo especifique el nombre de usuario en sí. No incluya el nombre del dominio aquí.
    Contraseña de unión La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de unión.
  7. (opcional) Especifique una cuenta de unión de dominio auxiliar.
    Si no se puede acceder a la cuenta de unión de dominio principal especificada, el sistema utilizará la cuenta de unión de dominio auxiliar para estas operaciones en los pods de Microsoft Azure que deban unirse al dominio, como la importación de máquinas virtuales de imagen, la creación de instancias de RDSH de granja, la creación de instancias de escritorio VDI, etc.
    Nota:
    • Use una cuenta de Active Directory que se ajuste a las mismas directrices establecidas para la cuenta de unión de dominio principal que aparecen descritas en los requisitos. Asegúrese de que esta cuenta de unión a dominio auxiliar tenga una hora de caducidad distinta de la cuenta de unión a dominio principal, a menos que ambas cuentas estén configuradas como Nunca caduca. Si tanto la cuenta de unión a dominio principal y como la auxiliar caducan al mismo tiempo, se producirá un error en las operaciones del sistema para sellar imágenes y aprovisionar máquinas virtuales de escritorio VDI y máquinas virtuales RDSH de granja.
    • Solo se puede agregar una cuenta de unión de dominio auxiliar para cada Active Directory que se registre en Horizon Cloud.
    • Si no desea agregar una cuenta de unión de dominio auxiliar en este momento, puede hacerlo más adelante desde la consola.
    • Puede actualizar o eliminar esta cuenta más tarde.
    • El software relacionado con el agente en una máquina virtual relacionada con el escritorio (como una imagen sellada, una instancia de RDSH de granja o una instancia de escritorio VDI) debe tener la versión 18.1 o posterior para que el sistema pueda usar la cuenta de unión de dominio auxiliar con esa máquina virtual.
    Opción Descripción
    Nombre de usuario de cuenta de unión auxiliar Cuenta de usuario de Active Directory que tiene permisos para unirse a sistemas de ese dominio de Active Directory.
    Importante: Proporcione solo el nombre de cuenta en este campo, por ejemplo ouraccountname, como el nombre de inicio de sesión de usuario sin el nombre de dominio. Si introduce barras diagonales o arrobas se mostrará un error.
    Contraseña de unión auxiliar La contraseña asociada al nombre en el cuadro de texto Nombre de usuario de cuenta de unión auxiliar.
  8. Haga clic en Guardar.
    Si el paso de unión de dominio se realiza de manera correcta, aparecerá el cuadro de diálogo Agregar superadministrador y podrá continuar con el siguiente paso.
    Importante: Si se produce un error en el paso de unión de dominio, el proceso de registro no se realiza por completo. Si se produce esta situación, siga los pasos de Eliminar el registro del dominio de Active Directory y, a continuación, comience por el paso 4.
  9. En el cuadro de diálogo Agregar superadministrador, use la función de búsqueda de Active Directory para seleccionar el grupo de administradores de este servicio que deben poder realizar acciones de administración en el entorno desde esta consola.
    Esta asignación garantiza la concesión a una de las cuentas de usuario (como mínimo) del dominio de Active Directory de los permisos necesarios para iniciar sesión en esta consola, ahora que esta cuenta de cliente está configurada en el dominio de Active Directory.
    Importante: A la función de superadministrador, agregue el grupo de Active Directory que incluye la cuenta de unión al dominio, tal como se describe en los requisitos previos. Si la cuenta de unión al dominio no está en ninguno de los grupos de Active Directory que tienen la función de superadministrador, se producirá un error en las operaciones del sistema de los pods de Microsoft Azure que implican unir las máquinas virtuales al dominio.
    Precaución: Después de asignar este grupo de Active Directory a la función de superadministrador, no elimine nunca el grupo de administradores especificado del sistema de Active Directory ni cambie su GUID tal como aparece en el sistema de Active Directory, a menos que haya agregado otro grupo de administradores a esta función de superadministrador, como se describe en Asignar funciones administrativas de Horizon Cloud a los grupos de Active Directory. Esta función de superadministrador controla qué cuentas de usuario de AD pueden iniciar sesión en su cuenta de tenant de Horizon Cloud y realizar operaciones administrativas en la consola. Si elimina el grupo del sistema de Active Directory o cambia su GUID en el sistema de Active Directory, el cambio no se comunicará al plano de control de Horizon Cloud, y Horizon Cloud dejará de detectar el grupo de AD que tenga la función de superadministrador. Si el grupo es el único que está asignado a esta función de superadministrador, ninguna de sus cuentas de AD que tenía acceso de superadministrador podrá iniciar sesión en la cuenta de tenant de Horizon Cloud con acceso para realizar operaciones administrativas, lo cual supondrá que quede bloqueada su capacidad de asignar la función a otro grupo de AD para recuperar el acceso administrativo. En este caso, tendrá que ponerse en contacto con el equipo de soporte técnico de VMware para que le ayude a recuperar el acceso administrativo a su cuenta de tenant.
  10. Haga clic en Guardar.
    Al hacer clic en Guardar, el sistema vuelve a la pantalla de inicio de sesión. Una vez que el pod ya está registrado en el dominio de Active Directory, el sistema exige el uso de una cuenta de este servicio junto con las credenciales de My VMware y, para ello, requiere que se vuelva a iniciar sesión. Por ejemplo, en esta ocasión, debería iniciar sesión con su cuenta de My VMware y, a continuación, utilizar las credenciales de la cuenta de Active Directory de un usuario que pertenezca al grupo al que acaba de asignar la función de superadministrador en dicho servicio.

Resultados

Los siguientes elementos están preparados:
  • El dominio de Active Directory se configura en el plano de nube como el primer dominio de Active Directory configurado en la nube asociado con la cuenta de cliente de Horizon Cloud.
  • Para un pod de Microsoft Azure, Horizon Cloud tiene la cuenta de unión de dominio necesaria para las operaciones del sistema que implican unir máquinas virtuales relacionadas con el escritorio a ese dominio. Además, la cuenta de unión de dominio tiene la función de superadministrador requerida para que las operaciones funcionen correctamente.
  • Las actividades de administración de la consola ya están disponibles.
  • Ahora que el tenant de Horizon Cloud tiene su primer dominio de Active Directory registrado, el flujo de inicio de sesión cambia cuando se inicia sesión en la consola. Para obtener una descripción general del flujo de inicio de sesión, consulte Acerca de la autenticación para un entorno de tenant de Horizon Cloud.
  • Los usuarios del grupo al que se asignó la función de superadministrador pueden acceder a la consola y realizar actividades de administración si inician sesión con la cuenta de My VMware asociada. Si desea permitir que estos administradores se autentiquen con Horizon Cloud utilizando las credenciales de sus propias cuentas de My VMware, siga los pasos descritos en Agregar administradores para iniciar sesión en el entorno de tenant de Horizon Cloud.
  • Las cuentas de usuario del dominio de Active Directory registrado pueden seleccionarse para asignaciones que implican recursos de los pods de Microsoft Azure.
  • Las funciones de soporte técnico de la consola pueden utilizarse con las cuentas de usuario del dominio de Active Directory registrado.

Qué hacer a continuación

A partir de este punto, lo normal es que realice estas tareas: