このページは、第 1 世代の Horizon Cloud Service デプロイに適用されます。このページでは、第 1 世代の Horizon Universal Console 管理機能のロックを解除するために必要な Active Directory ドメイン情報を構成するための複数ステップのワークフローについて説明します。
この登録フローを完了することにより、第 1 世代のテナントの環境に適したコンソールのすべての管理機能がロック解除されます。
目的
最初のポッドがテナントのポッド フリートに追加された直後またはすぐ後にこのワークフローを完了することがベスト プラクティスです。そのポッドが Horizon Cloud on Microsoft Azure デプロイであるか、または Horizon Cloud Connector を使用した Horizon ポッドのデプロイであるかは関係ありません。
完了がベスト プラクティスである理由は、このワークフローによってコンソールの管理機能がロック解除されるためです。テナントに少なくとも 1 つの Active Directory ドメインが設定されるまで、コンソールの管理機能のほとんどすべてがグレーアウトされ、ロックされます。
概要
ドメイン登録ワークフロー全体にこの高レベルのシーケンスがあります。
- cloud.horizon.vmware.com から、画面のプロンプトに従ってコンソールにログインします。次に、コンソールで Active Directory 構成ワークフローを開始します。
- ドメイン バインド手順では、テナントで Active Directory ドメインのクエリに使用できる Active Directory ドメインの名前関連情報、プロトコル関連情報、およびドメイン バインド サービス アカウントの資格情報を指定します。プライマリ アカウントと補助アカウントの両方を指定する必要があります。そのドメイン バインド アカウントに必要な Horizon Cloud については、ドメイン バインド アカウント - 必須の特性を参照してください。
- ドメイン参加情報は、Horizon Cloud on Microsoft Azure のデプロイに必要です。この手順では、サービスがテナントのマシン名を解決できるようにする DNS サーバの IP アドレス、ポッドがプロビジョニングされたマルチセッション マシンとシングルセッション マシン(仮想マシン)を作成するデフォルトの組織単位 (OU)、およびテナントがそれらの仮想マシンを Active Directory ドメインに参加させるために使用できるドメイン参加サービス アカウントの認証情報を指定します。このような仮想マシンには、インポートされた仮想マシン、ファーム RDSH インスタンス、および VDI デスクトップ インスタンスなどが含まれます。テナントでそのドメイン参加アカウントに必要なものについては、ドメイン参加アカウント - 必須の特性を参照してください。
テナントの最初のポッドが Horizon Connection Server タイプのポッドである場合は、ドメイン参加アカウント情報の入力を省略することができ、このようなポッドのクラウド プレーン サービスは正常に動作します。ただし、これを選択し、後でこの同じテナントに Horizon Cloud ポッド デプロイを追加し、そのポッドが同じドメイン内のエンド ユーザーにリソースをプロビジョニングする場合は、そのポッドをデプロイした後にドメイン参加情報を構成することを忘れないでください。Horizon Cloud ポッドをデプロイした後、ドメイン参加情報が構成解除されたことがコンソールから自動的に通知されることはありません。
- ワークフローの最後の [管理者の追加] の手順では、Active Directory ドメイン グループに Horizon Cloud スーパー管理者ロールを割り当てます。
- 管理者情報を保存すると、コンソールから自動的にログアウトされます。この手順により、前の手順で特定したドメイン グループの管理者のみがコンソールの管理機能にアクセスできるようになります。
1 つの Active Directory ドメインのワークフローが完了したら、組織のニーズに応じて、後で追加の Active Directory ドメインを構成できます。
重要な考慮事項
- コンソール内の他のページに移動するには、少なくとも 1 つのドメインでこのワークフロー全体を完了する必要があります。これらのタスクを完了しないと、主要なサービスを利用できません。
- コンソールの機能をサポートするには、スーパー管理者ロールを Active Directory ドメイン グループに割り当てるワークフロー手順を完了する必要があります。この手順を完了する前にウィザードをキャンセルした場合は、コンソールの [はじめに] ページで [構成] ボタンをクリックして Active Directory の登録ウィザードを再度開き、そのロールの割り当てを完了します。
- v2202 サービス リリース以降では、LDAPS の使用が Horizon Cloud on Microsoft Azure デプロイ環境でサポートされます。これを使用するためには、テナントを明示的に有効にし、テナントの最初のポッドと後続のポッドで v2201 リリース マニフェスト レベルを実行する必要があります。詳細については、Horizon Cloud on Microsoft Azure および LDAPS のサポートを参照してください。
- 配布グループは、セキュリティ グループにネストされていてもサポートされません。Active Directory グループを作成するときは、常に [グループ タイプ] に [セキュリティ] を選択します。
- プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。
- Active Directory サーバのクロック スキューが 4 分未満であることを確認します。マニフェスト 2474.x 以降では、システムは登録された Active Directory サーバのクロック スキューが 4 分未満かどうかをチェックします。このスキューが 4 分を超えると、「クロック スキューが大きすぎます」という例外が発生し、システムのドメイン サーバの検出に失敗します。システムのドメイン サーバの検出に失敗すると、エンド ユーザーのデスクトップ接続要求が影響を受ける可能性があります。
- 今後の検討のために、後でこのテナントのポッド フリートに追加のポッド デプロイを追加する予定の場合、これらのポッドを接続またはデプロイするときに、これらのポッドはこの同じ Active Directory ドメインを認識できる必要があることに注意してください。
- また、既知の問題により、Horizon Cloud Connector を使用して Horizon ポッドを接続するときに、この最初のポッドの Active Directory ドメイン登録プロセスを完了せずに後続のポッドでコネクタのクラウド ペアリング ワークフローを実行しようとすると、予期しない結果が発生する可能性があります。クラウド ペアリング ワークフローは、Horizon Cloud への最初の Active Directory ドメイン登録を完了する前に複数のポッドに対して実行することができますが、最初のドメイン登録を完了する前に次のポッドでそのクラウド ペアリング プロセスを実行しようとすると、このドメイン登録プロセスが失敗することがあります。その場合、まず、Horizon Cloud Connector 構成ポータルで [接続解除] を使用し、クラウド接続されたポッドが 1 つになるまでそれらのクラウド接続された各ポッド間の接続を解除します。次に、失敗した Active Directory の登録を削除し、そのクラウド接続された単一のポッドのドメイン登録プロセスを完了してから、後続のポッドで Horizon Cloud Connector ワークフローを再実行します。
コンソールでワークフローを実行する前に
- 最初のポッドが正常にデプロイされていることを確認します。コンソールの [はじめに] ウィザードでは、最初のポッドが正常にデプロイされたことを緑色のチェックマーク アイコン (
) で示します。 - 登録しているドメインの Active Directory ドメインの NetBIOS 名と DNS ドメイン名を取得します。これらの値は、このワークフローの最初のステップでコンソールの [Active Directory の登録] ウィンドウに入力します。これらの値を特定する方法の例については、NETBIOS 名と DNS ドメイン名情報の取得を参照してください。ドメイン名なしのユーザー ログイン名(
ouraccountnameなど)のように、アカウント名自体をフィールドに入力することに注意してください。 - 必須のプライマリ ドメイン バインド アカウントと補助ドメイン バインド アカウント、およびドメイン参加アカウントの、コンソールの必須フィールドに入力する準備ができている有効な情報を取得します。これらのアカウントがドメインに存在し、Horizon Cloud の運用に必要なサービス アカウントに記載されている要件を遵守していることを確認します。コンソールのワークフローの一部として、サービスは入力されたアカウント情報を検証します。
- ドメイン参加アカウントの手順が失敗しないようにするには、Active Directory インフラストラクチャが正確な時間のソースと同期していることを確認します。失敗した場合は、VMware のサポートに問い合わせる必要があります。[ドメイン バインド] 手順は成功したが、ドメイン参加の手順に失敗した場合、ドメインをリセットし、時間のソースを調整する必要があるかどうかを確認してみてください。ドメインをリセットするには、Active Directory ドメイン登録の削除の手順を参照してください。
ログインしてワークフローを開始する
- https://cloud.horizon.vmware.com/ の Horizon Universal Console ポータル URL に移動して、コンソールにログインします。
この URL は、以下のスクリーンショットに示すように、VMware Cloud Services ログイン画面にリダイレクトされます。Horizon Cloud テナントに関連付けられている認証情報を使用してログインします。画面に表示されるフローに従います。
これまでにこれらの認証情報を使用してサービスの利用規約に同意していなかった場合、[ログイン] ボタンをクリックした後にサービスの利用規約に関する通知ボックスが表示されます。利用規約に合意して続行します。
ログインが正常に認証されると、コンソールが開き、[はじめに] ページが表示されます。
- [はじめに] ページで、[全般的なセットアップ] セクションがまだ展開されていない場合は展開します。
- [Active Directory] で [構成] をクリックします。
コンソールに、Active Directory 登録ワークフローの開始ウィンドウが表示されます。このウィンドウの外観は、テナントが Horizon Connection Server タイプのポッドで開始するのか、Horizon Cloud on Microsoft Azure のデプロイで開始するのかによって異なります。
ドメイン バインド - Horizon Connection Server ポッド
コンソール ウィンドウで必要な情報を入力し、[ドメイン バインド] をクリックして保存します。各バインド アカウント名を入力する場合は、ドメイン名を含まないアカウント名(ouraccountname のようなユーザー ログイン名など)を入力します。
| フィールド | 説明 |
|---|---|
| [NETBIOS 名] | Horizon ポッドが認識できるすべての Active Directory ドメインの名前が入力された選択メニューが表示されます。最初に登録する Active Directory ドメインを選択します。 |
| [DNS ドメイン名] | 読み取り専用。コンソールに、[NETBIOS 名] で選択した Active Directory ドメインの完全修飾 DNS ドメイン名が自動的に表示されます。 |
| [プロトコル] | このポッド タイプでサポートされているプロトコルである LDAP が自動的に表示されます。 |
| [バインド ユーザー名] と [バインド パスワード] | 選択したドメインで使用するサービスのドメイン バインド サービス アカウントの認証情報を指定します。 |
| [補助アカウント #1] | [バインド ユーザー名] と [バインド パスワード] フィールドに、補助 LDAP バインド アカウントとして使用するドメイン内のユーザー アカウントとそれに関連するパスワードを入力します。 |
| [詳細プロパティ] | デフォルトを変更しない限り、サービスはコンソールに表示されるデフォルト値を使用します。
|
ドメイン バインド:Horizon Cloud on Microsoft Azure デプロイ
コンソール ウィンドウで必要な情報を入力し、[ドメイン バインド] をクリックして保存します。各バインド アカウント名を入力する場合は、ドメイン名を含まないアカウント名(ouraccountname のようなユーザー ログイン名など)を入力します。
| フィールド | 説明 |
|---|---|
| [NETBIOS 名] | テキスト ボックスが表示されます。ポッドが認識できる Active Directory ドメインの NetBIOS 名を入力します。通常、この名前にはピリオドは含まれません。Active Directory ドメイン環境から使用する値を見つける方法の例については、NETBIOS 名と DNS ドメイン名の情報を取得するを参照してください。 |
| [DNS ドメイン名] | [NETBIOS 名] に指定した Active Directory ドメインの完全修飾 DNS ドメイン名を入力します。 |
| [プロトコル] | このポッド タイプでサポートされているプロトコルである LDAP が自動的に表示されます。 |
| [バインド ユーザー名] と [バインド パスワード] | 選択したドメインで使用するサービスのドメイン バインド サービス アカウントの認証情報を指定します。 |
| [補助アカウント #1] | [バインド ユーザー名] と [バインド パスワード] フィールドに、補助 LDAP バインド アカウントとして使用するドメイン内のユーザー アカウントとそれに関連するパスワードを入力します。 |
| [詳細プロパティ] | 任意。デフォルトを変更しない限り、サービスはコンソールに表示されるデフォルト値を使用します。
|
次のスクリーン ショットは、Microsoft Azure が、最初のクラウドに接続されたポッドの場合、[Active Directory の登録] ウィンドウを示しています。フィールドには、ENAUTO の NetBIOS 名と ENAUTO.com の DNS ドメイン名の例 Active Directory ドメインの値があります。
![サンプル値を入力した [Active Directory の登録] ウィンドウのスクリーン ショット。](images/GUID-C9162EF6-D627-4FD9-92A9-05C2F931FFDF-low.png)
ドメイン参加
ドメイン バインドの手順が成功すると、コンソールに [ドメイン参加] ダイアログ ボックスが自動的に表示されます。アカウントの認証情報には、前提条件に説明されているドメイン参加アカウントのガイドラインに準拠した Active Directory アカウントを使用します。
ベスト プラクティスは、このウィザード手順の必須フィールドに入力することです。このリリースでは、ドメイン参加アカウントは主に Microsoft Azure のポッドにある仮想マシンを含むシステム操作に使用されますが、この手順を完了すると、コンソールから、スーパー管理者ロールを付与する次の手順を完了するように求められます。
- [ドメイン参加] ダイアログ ボックスで、必須の情報を入力します。
オプション 説明 [プライマリ DNS サーバ IP アドレス] Horizon Cloud でマシン名の解決に使用するプライマリ DNS サーバの IP アドレス。 Microsoft Azure のポッドの場合、この DNS サーバは、Microsoft Azure クラウド内のマシン名、および外部名を解決できる必要があります。
[セカンダリ DNS サーバ IP アドレス] (オプション)セカンダリ DNS サーバの IP アドレス [デフォルト OU] インポートされた仮想マシン、ファーム RDSH 仮想マシン、VDI デスクトップ インスタンスなど、ポッドのデスクトップ関連の仮想マシンで使用する Active Directory 組織単位 (OU)。Active Directory OU の形式は、 OU=NestedOrgName, OU=RootOrgName,DC=DomainComponentのようになります。システム デフォルトはCN=Computersです。CN=myexampleなど、必要に応じてデフォルトを変更できます。注: ネストされた組織の名前の説明については、 ネストされた Active Directory ドメイン組織単位の使用についての考慮事項を参照してください。入力した個々の OU は、 OU= の入力部分を除いて 64 文字以内の長さでなければなりません。Microsoft は、個々の OU を 64 文字以内に制限します。64 文字を超える OU パスは、個々の OU が 64 文字を超えていなければ、有効です。ただし、個々の OU はそれぞれ 64 文字以内である必要があります。[参加ユーザー名] と [参加パスワード] その Active Directory ドメインにコンピュータを参加させる権限を持つ Active Directory のユーザー アカウント。ユーザー名と関連するパスワードを入力します。 注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。[補助参加ユーザー名] と [補助参加パスワード] 任意。補助ドメイン参加アカウントを指定します。 指定したプライマリ ドメイン参加アカウントにアクセスできない場合、システムは、Microsoft Azure のポッドで、イメージ仮想マシンのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、ドメインに参加する必要がある操作に対して補助ドメイン参加アカウントを使用します。
前提条件に説明されているプライマリ ドメイン参加アカウントの同じガイドラインに準拠した Active Directory アカウントを使用します。両方のアカウントに [Never Expires(有効期限なし)] が設定されている場合を除き、この補助ドメイン参加アカウントの有効期限はプライマリ ドメイン参加アカウントとは異なることを確認します。プライマリおよび補助ドメイン参加アカウントの両方の有効期限が同時に切れる場合、ファーム RDSH 仮想マシンと VDI デスクトップ仮想マシンのプロビジョニングやイメージのシーリングにおけるシステム動作が失敗します。
この時点で補助ドメイン参加アカウントを追加しない場合、後で追加することができます。ここで追加した場合は、後で更新または削除できます。追加できる補助ドメイン参加アカウントは 1 つのみです。
- [保存] をクリックします。
ドメイン参加の手順が成功すると、[管理者の追加] ダイアログ ボックスが表示されます。この手順を続行して、Active Directory ドメインの管理者グループにスーパー管理者ロールを追加する必要があります。
重要: ドメイン参加の手順が失敗した場合、登録プロセスは完了していません。この状況が発生した場合、 Active Directory ドメイン登録の削除の手順を実施した後に、手順 4 を再度実行します。
Active Directory グループへのスーパー管理者ロールの追加
- [管理者の追加] ダイアログ ボックスで、Active Directory 検索機能を使用し、このコンソールを使用して環境で管理アクションを実行する Active Directory 管理者グループを選択します。この顧客アカウントの Active Directory ドメインが設定されたので、この割り当てにより、少なくとも 1 つの Active Directory ドメインのユーザー アカウントに対して、このコンソールにログインするための権限が付与されます。
- [保存] をクリックします。
[保存] をクリックすると、システムによって自動的にログアウトされます。ポッドを Active Directory ドメインに登録したので、システムはログインし直すことを要求します。これにより、VMware アカウントの認証情報とともに Active Directory アカウントの使用が強制されます。たとえば、この場合、VMware アカウントの認証情報を使用してログインし、次にスーパー管理者ロールを割り当てた Active Directory グループ内のユーザーの Active Directory アカウントの認証情報を使用してログインします。
プロセス完了の結果
ウィザードのすべての手順が完了すると、次の項目が配置されます。
- Active Directory ドメインは、この Horizon Cloud 顧客アカウントに関連付けられた最初のクラウド構成の Active Directory ドメインとしてクラウド プレーンに構成されます。
- Horizon Cloud には、Horizon Cloud ポッドに仮想マシンをドメインに参加させるシステム操作に必要なドメイン参加アカウントがあります。
- コンソールでの管理アクティビティにアクセス可能になりました。
- Horizon Cloud テナントには最初に登録された Active Directory ドメインが含まれるようになり、コンソールにログインするときのログイン フローが変更されました。ログイン フローの概要については、Horizon Cloud テナント環境への認証についてを参照してください。
- スーパー管理者ロールが付与されたグループ内のユーザーは、関連付けられた VMware アカウントの認証情報を使用してログインすると、コンソールにアクセスして管理アクティビティを実行できます。これらの管理者が自分の VMware アカウントの認証情報を使用して Horizon Cloud で認証できるようにするには、Horizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するで説明する手順を実行します。
- 登録された Active Directory ドメインからのユーザー アカウントは、Microsoft Azure のポッドからのリソースを含む割り当てに対して選択できます。
- コンソールのヘルプ デスク機能は、その登録された Active Directory ドメインのユーザー アカウントで使用できます。
次の手順
この時点から、通常は次のタスクを実行します。
- 追加の補助バインド アカウントをこの Active Directory ドメイン構成に追加します。指定したプライマリおよび最初のバインド アカウントがアクセス不可になった場合、システムでは次の補助バインド アカウントを使用して Active Directory に接続します。プライマリ バインド アカウントが Active Directory ドメインでアクセス不可になった場合に、補助バインド アカウントを持つことにより、管理者ユーザーがコンソールからロックアウトされないようになります。Horizon Cloud のクラウド構成の Active Directory ドメイン用に補助バインド アカウントを追加するを参照してください。
- 環境を管理する追加ユーザーにアクセス権限を付与します。まず関連付けられた Horizon Cloud ロールがある VMware アカウントを追加してから、それらの Active Directory アカウントに適切な Horizon Cloud ロールを付与します。Horizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するおよび Active Directory グループの個人が Horizon Cloud テナント環境に対して認証された後、その個人に対して Horizon Universal Console のどの部分を有効にするかを制御するロールをそのグループに割り当てるを参照してください。
- [はじめに] ウィザードの手順を続行します。Horizon Cloud の [はじめに] ウィザード - 概要を参照してください。
- コンソールのダッシュボードおよびその他の領域に移動して、他の管理タスクを確認または実行します。第 1 世代テナント - 第 1 世代 Horizon Universal Console のツアーを参照してください。
- コンソールへの管理アクセス権限を付与するユーザー、または割り当てを提供するエンド ユーザーがいる追加の Active Directory ドメインがある場合、これらの Active Directory ドメインも登録できます。追加の Active Directory ドメインをクラウド構成の Active Directory ドメインとして Horizon Cloud テナント環境に登録するを参照してください。
- コンソールへの読み取り専用アクセス権限を付与するこのドメイン内のユーザーにデモ管理者ロールを割り当てます。コンソールを使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスおよびActive Directory グループの個人が Horizon Cloud テナント環境に対して認証された後、その個人に対してコンソールのどの部分を有効にするかを制御するロールをそのグループに割り当てるを参照してください。
