このページでは、Horizon Cloud テナントに必要な Active Directory ドメイン情報を構成するための複数ステップのワークフローについて説明します。Horizon Universal Console を使用してこのワークフローを完了します。これにより、テナントの環境に適したコンソールのすべての管理機能がロック解除されます。

最初のポッドがテナントのポッド フリートに追加された直後またはすぐ後にこのワークフローを完了することがベスト プラクティスです。そのポッドが Horizon Cloud on Microsoft Azure デプロイであるか、または Horizon Cloud Connector を使用した Horizon ポッドのデプロイであるかは関係ありません。

完了がベスト プラクティスである理由は、このワークフローによってコンソールの管理機能がロック解除されるためです。テナントに少なくとも 1 つの Active Directory ドメインが設定されるまで、コンソールの管理機能のほとんどすべてがグレーアウトされ、ロックされます。

概要

ドメイン登録ワークフロー全体にこの高レベルのシーケンスがあります。

  1. Cloud.horizon.vmware.com からコンソールにログインし、Active Directory 構成ワークフローを開始します。
  2. ドメイン バインド手順では、テナントで Active Directory ドメインのクエリに使用できる Active Directory ドメインの名前関連情報、プロトコル関連情報、およびドメイン バインド サービス アカウントの資格情報を指定します。プライマリ アカウントと補助アカウントの両方を指定する必要があります。そのドメイン バインド アカウントに必要な Horizon Cloud については、ドメイン バインド アカウント - 必須の特性を参照してください。
  3. ドメイン参加情報は、Horizon Cloud on Microsoft Azure のデプロイに必要です。この手順では、サービスがテナントのマシン名を解決できるようにする DNS サーバの IP アドレス、ポッドがプロビジョニングされたマルチセッション マシンとシングルセッション マシン(仮想マシン)を作成するデフォルトの組織単位 (OU)、およびテナントがそれらの仮想マシンを Active Directory ドメインに参加させるために使用できるドメイン参加サービス アカウントの認証情報を指定します。このような仮想マシンには、インポートされた仮想マシン、ファーム RDSH インスタンス、および VDI デスクトップ インスタンスなどが含まれます。テナントでそのドメイン参加アカウントに必要なものについては、ドメイン参加アカウント - 必須の特性を参照してください。

    テナントの最初のポッドが Horizon Connection Server タイプのポッドである場合は、ドメイン参加アカウント情報の入力を省略することができ、このようなポッドのクラウド プレーン サービスは正常に動作します。ただし、これを選択し、後でこの同じテナントに Horizon Cloud ポッド デプロイを追加し、そのポッドが同じドメイン内のエンド ユーザーにリソースをプロビジョニングする場合は、そのポッドをデプロイした後にドメイン参加情報を構成することを忘れないでください。Horizon Cloud ポッドをデプロイした後、ドメイン参加情報が構成解除されたことがコンソールから自動的に通知されることはありません。

  4. ワークフローの最後の [管理者の追加] の手順では、Active Directory ドメイン グループに Horizon Cloud スーパー管理者ロールを割り当てます。
  5. 管理者情報を保存すると、コンソールから自動的にログアウトされます。この手順により、前の手順で特定したドメイン グループの管理者のみがコンソールの管理機能にアクセスできるようになります。

1 つの Active Directory ドメインのワークフローが完了したら、組織のニーズに応じて、後で追加の Active Directory ドメインを構成できます。

重要な考慮事項

  • コンソール内の他のページに移動するには、少なくとも 1 つのドメインでこのワークフロー全体を完了する必要があります。これらのタスクを完了しないと、主要なサービスを利用できません。
  • コンソールの機能をサポートするには、スーパー管理者ロールを Active Directory ドメイン グループに割り当てるワークフロー手順を完了する必要があります。この手順を完了する前にウィザードをキャンセルした場合は、コンソールの [はじめに] ページで [構成] ボタンをクリックして Active Directory の登録ウィザードを再度開き、そのロールの割り当てを完了します。
  • v2202 サービス リリース以降では、LDAPS の使用が Horizon Cloud on Microsoft Azure デプロイ環境でサポートされます。これを使用するためには、テナントを明示的に有効にし、テナントの最初のポッドと後続のポッドで v2201 リリース マニフェスト レベルを実行する必要があります。詳細については、Horizon Cloud on Microsoft Azure および LDAPS のサポートを参照してください。
  • 配布グループは、セキュリティ グループにネストされていてもサポートされません。Active Directory グループを作成するときは、常に [グループ タイプ][セキュリティ] を選択します。
  • プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。
  • Active Directory サーバのクロック スキューが 4 分未満であることを確認します。マニフェスト 2474.x 以降では、システムは登録された Active Directory サーバのクロック スキューが 4 分未満かどうかをチェックします。このスキューが 4 分を超えると、「クロック スキューが大きすぎます」という例外が発生し、システムのドメイン サーバの検出に失敗します。システムのドメイン サーバの検出に失敗すると、エンド ユーザーのデスクトップ接続要求が影響を受ける可能性があります。
  • 今後の検討のために、後でこのテナントのポッド フリートに追加のポッド デプロイを追加する予定の場合、これらのポッドを接続またはデプロイするときに、これらのポッドはこの同じ Active Directory ドメインを認識できる必要があることに注意してください。
  • また、既知の問題により、Horizon Cloud Connector を使用して Horizon ポッドを接続するときに、この最初のポッドの Active Directory ドメイン登録プロセスを完了せずに後続のポッドでコネクタのクラウド ペアリング ワークフローを実行しようとすると、予期しない結果が発生する可能性があります。クラウド ペアリング ワークフローは、Horizon Cloud への最初の Active Directory ドメイン登録を完了する前に複数のポッドに対して実行することができますが、最初のドメイン登録を完了する前に次のポッドでそのクラウド ペアリング プロセスを実行しようとすると、このドメイン登録プロセスが失敗することがあります。その場合、まず、Horizon Cloud Connector 構成ポータルで [接続解除] を使用し、クラウド接続されたポッドが 1 つになるまでそれらのクラウド接続された各ポッド間の接続を解除します。次に、失敗した Active Directory の登録を削除し、そのクラウド接続された単一のポッドのドメイン登録プロセスを完了してから、後続のポッドで Horizon Cloud Connector ワークフローを再実行します。

コンソールでワークフローを実行する前に

  • 最初のポッドが正常にデプロイされていることを確認します。[はじめに] ウィザードの [キャパシティ] セクションでは、最初のポッドが正常にデプロイされたことを緑色のチェックマーク アイコンで示します(緑色の丸いアイコンとチェックマークがデプロイの成功を示します)。
  • 登録しているドメインの Active Directory ドメインの NetBIOS 名と DNS ドメイン名を取得します。これらの値は、このワークフローの最初のステップでコンソールの [Active Directory の登録] ウィンドウに入力します。これらの値を特定する方法の例については、NETBIOS 名と DNS ドメイン名情報の取得を参照してください。ドメイン名なしのユーザー ログイン名(ouraccountname など)のように、アカウント名自体をフィールドに入力することに注意してください。
  • 必須のプライマリ ドメイン バインド アカウントと補助ドメイン バインド アカウント、およびドメイン参加アカウントの、コンソールの必須フィールドに入力する準備ができている有効な情報を取得します。これらのアカウントがドメインに存在し、Horizon Cloud の運用に必要なサービス アカウントに記載されている要件を遵守していることを確認します。コンソールのワークフローの一部として、サービスは入力されたアカウント情報を検証します。
  • ドメイン参加アカウントの手順が失敗しないようにするには、Active Directory インフラストラクチャが正確な時間のソースと同期していることを確認します。失敗した場合は、VMware のサポートに問い合わせる必要があります。[ドメイン バインド] 手順は成功したが、ドメイン参加の手順に失敗した場合、ドメインをリセットし、時間のソースを調整する必要があるかどうかを確認してみてください。ドメインをリセットするには、Active Directory ドメイン登録の削除の手順を参照してください。
注: テナントの最初のポッド デプロイが Horizon Connection Server および Horizon Cloud Connector デプロイ タイプで、このワークフローの実行中に問題が発生する場合は、デプロイでサポートされているバージョンの Horizon Connection Server および Horizon Cloud Connector が実行されていることを確認してください。

ログインしてワークフローを開始する

  1. ブラウザを使用し、希望の方法を使用して cloud.horizon.vmware.com にあるクラウドベースのコンソールにログインします。
    • ログイン ページの [My VMware の認証情報] セクションで、My VMware アカウントの認証情報を入力します。アカウントの認証情報は、user@example.com のようなプライマリ メール アドレスと、アカウントのプロファイルで設定されているパスワードです。この選択により、認証要求が Horizon Cloud 制御プレーンに送信されます。
    • ログイン ページの [VMware Cloud Services] セクションで、[VMware Cloud ログイン] をクリックします。このボタンをクリックすると、認証要求が VMware Cloud Services にリダイレクトされ、組織の構成に従って認証されます。VMware Cloud Services を使用して Horizon Cloud テナントにアクセスするように組織から依頼される場合があります。

    次のスクリーンショットは、My VMware アカウントの認証情報を入力してログインする方法を示しています。


    Horizon Cloud on Microsoft Azure:初回ログイン時の My VMware アカウントのログイン画面のスクリーンショット

    これまでにこれらの My VMware My VMware の認証情報を使用してサービスの利用条件に同意していなかった場合、[ログイン] ボタンをクリックした後にサービスの利用条件に関する通知ボックスが表示されます。利用規約に合意して続行します。

    ログインが正常に認証されると、コンソールが開き、[はじめに] ページが表示されます。

  2. [はじめに] ウィザードで、[全般的なセットアップ] セクションがまだ展開されていない場合は展開します。
  3. [Active Directory] で [構成] をクリックします。

コンソールに、Active Directory 登録ワークフローの開始ウィンドウが表示されます。このウィンドウの外観は、テナントが Horizon Connection Server タイプのポッドで開始するのか、Horizon Cloud on Microsoft Azure のデプロイで開始するのかによって異なります。

ドメイン バインド - Horizon Connection Server ポッド

コンソール ウィンドウで必要な情報を入力し、[ドメイン バインド] をクリックして保存します。各バインド アカウント名を入力する場合は、ドメイン名を含まないアカウント名(ouraccountname のようなユーザー ログイン名など)を入力します。

表 1. Horizon ポッド - [Active Directory の登録] フィールド
フィールド 説明
[NETBIOS 名] Horizon ポッドが認識できるすべての Active Directory ドメインの名前が入力された選択メニューが表示されます。最初に登録する Active Directory ドメインを選択します。
[DNS ドメイン名] 読み取り専用。コンソールに、[NETBIOS 名] で選択した Active Directory ドメインの完全修飾 DNS ドメイン名が自動的に表示されます。
[プロトコル] このポッド タイプでサポートされているプロトコルである LDAP が自動的に表示されます。
[バインド ユーザー名][バインド パスワード] 選択したドメインで使用するサービスのドメイン バインド サービス アカウントの認証情報を指定します。
[補助アカウント #1] [バインド ユーザー名][バインド パスワード] フィールドに、補助 LDAP バインド アカウントとして使用するドメイン内のユーザー アカウントとそれに関連するパスワードを入力します。
[詳細プロパティ] デフォルトを変更しない限り、サービスはコンソールに表示されるデフォルト値を使用します。
  • [ポート]:デフォルトで 389 (デフォルトの LDAP ポート)に設定されています。ドメインが標準以外の LDAP ポートを使用している場合を除き、この値を保持します。
  • [ドメイン コントローラの IP アドレス]:この Active Directory ドメインへのテナントのトラフィックで特定のドメイン コントローラを使用する場合は、優先ドメイン コントローラの IP アドレスをカンマで区切って入力します。このテキスト ボックスを空のままにしておくと、サービスではこの Active Directory ドメインに使用可能なドメイン コントローラが使用されます。
  • [コンテキスト]:DNS ドメイン名に関連する LDAP 命名コンテキスト。このテキスト ボックスは、サービスが [NetBIOS 名] のドメインから抽出した情報に基づいて自動入力され、[DNS ドメイン名] フィールドに自動的に表示されます。

ドメイン バインド:Horizon Cloud on Microsoft Azure デプロイ

コンソール ウィンドウで必要な情報を入力し、[ドメイン バインド] をクリックして保存します。各バインド アカウント名を入力する場合は、ドメイン名を含まないアカウント名(ouraccountname のようなユーザー ログイン名など)を入力します。

表 2. Horizon Cloud ポッド - [Active Directory の登録] フィールド
フィールド 説明
[NETBIOS 名] テキスト ボックスが表示されます。ポッドが認識できる Active Directory ドメインの NetBIOS 名を入力します。通常、この名前にはピリオドは含まれません。Active Directory ドメイン環境から使用する値を見つける方法の例については、NETBIOS 名と DNS ドメイン名の情報を取得するを参照してください。
[DNS ドメイン名] [NETBIOS 名] に指定した Active Directory ドメインの完全修飾 DNS ドメイン名を入力します。
[プロトコル] このポッド タイプでサポートされているプロトコルである LDAP が自動的に表示されます。
[バインド ユーザー名][バインド パスワード] 選択したドメインで使用するサービスのドメイン バインド サービス アカウントの認証情報を指定します。
[補助アカウント #1] [バインド ユーザー名][バインド パスワード] フィールドに、補助 LDAP バインド アカウントとして使用するドメイン内のユーザー アカウントとそれに関連するパスワードを入力します。
[詳細プロパティ] 任意。デフォルトを変更しない限り、サービスはコンソールに表示されるデフォルト値を使用します。
  • [ポート]:デフォルトで 389 (デフォルトの LDAP ポート)に設定されています。ドメインが標準以外の LDAP ポートを使用している場合を除き、この値を保持します。
  • [ドメイン コントローラの IP アドレス]:この Active Directory ドメインへのテナントのトラフィックで特定のドメイン コントローラを使用する場合は、優先ドメイン コントローラの IP アドレスをカンマで区切って入力します。このテキスト ボックスを空のままにしておくと、サービスではこの Active Directory ドメインに使用可能なドメイン コントローラが使用されます。
  • [コンテキスト]:DNS ドメイン名に関連する LDAP 命名コンテキスト。このテキスト ボックスは、サービスがドメインの [DNS ドメイン名] フィールドから抽出した情報に基づいて自動入力されます。

次のスクリーン ショットは、Microsoft Azure が、最初のクラウドに接続されたポッドの場合、[Active Directory の登録] ウィンドウを示しています。フィールドには、ENAUTO の NetBIOS 名と ENAUTO.com の DNS ドメイン名の例 Active Directory ドメインの値があります。


サンプル値を入力した [Active Directory の登録] ウィンドウのスクリーン ショット。

ドメイン参加

ドメイン バインドの手順が成功すると、コンソールに [ドメイン参加] ダイアログ ボックスが自動的に表示されます。アカウントの認証情報には、前提条件に説明されているドメイン参加アカウントのガイドラインに準拠した Active Directory アカウントを使用します。

ベスト プラクティスは、このウィザード手順の必須フィールドに入力することです。このリリースでは、ドメイン参加アカウントは主に Microsoft Azure のポッドにある仮想マシンを含むシステム操作に使用されますが、この手順を完了すると、コンソールから、スーパー管理者ロールを付与する次の手順を完了するように求められます。

重要: ドメイン バインドの手順が失敗し、そのままドメイン参加アカウントの追加を続行してシステムがスーパー管理者ロールの手順に進んだ場合、システムが次のステップに進んだとしても登録プロセスは完了しません。この状況が発生した場合、 Active Directory ドメイン登録の削除の手順を実施した後に、ドメイン バインドのフローを再度開始します。
  1. [ドメイン参加] ダイアログ ボックスで、必須の情報を入力します。
    オプション 説明
    [プライマリ DNS サーバ IP アドレス] Horizon Cloud でマシン名の解決に使用するプライマリ DNS サーバの IP アドレス。

    Microsoft Azure のポッドの場合、この DNS サーバは、Microsoft Azure クラウド内のマシン名、および外部名を解決できる必要があります。

    [セカンダリ DNS サーバ IP アドレス] (オプション)セカンダリ DNS サーバの IP アドレス
    [デフォルト OU] インポートされた仮想マシン、ファーム RDSH 仮想マシン、VDI デスクトップ インスタンスなど、ポッドのデスクトップ関連の仮想マシンで使用する Active Directory 組織単位 (OU)。Active Directory OU の形式は、OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent のようになります。システム デフォルトは CN=Computers です。CN=myexample など、必要に応じてデフォルトを変更できます。
    注: ネストされた組織の名前の説明については、 ネストされた Active Directory ドメイン組織単位の使用についての考慮事項を参照してください。入力した個々の OU は、 OU= の入力部分を除いて 64 文字以内の長さでなければなりません。Microsoft は、個々の OU を 64 文字以内に制限します。64 文字を超える OU パスは、個々の OU が 64 文字を超えていなければ、有効です。ただし、個々の OU はそれぞれ 64 文字以内である必要があります。
    [参加ユーザー名][参加パスワード] その Active Directory ドメインにコンピュータを参加させる権限を持つ Active Directory のユーザー アカウント。ユーザー名と関連するパスワードを入力します。
    注: ユーザー名のみを指定します。ここにドメイン名を含めないでください。
    [補助参加ユーザー名][補助参加パスワード] 任意。補助ドメイン参加アカウントを指定します。

    指定したプライマリ ドメイン参加アカウントにアクセスできない場合、システムは、Microsoft Azure のポッドで、イメージ仮想マシンのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、ドメインに参加する必要がある操作に対して補助ドメイン参加アカウントを使用します。

    前提条件に説明されているプライマリ ドメイン参加アカウントの同じガイドラインに準拠した Active Directory アカウントを使用します。両方のアカウントに [Never Expires(有効期限なし)] が設定されている場合を除き、この補助ドメイン参加アカウントの有効期限はプライマリ ドメイン参加アカウントとは異なることを確認します。プライマリおよび補助ドメイン参加アカウントの両方の有効期限が同時に切れる場合、ファーム RDSH 仮想マシンと VDI デスクトップ仮想マシンのプロビジョニングやイメージのシーリングにおけるシステム動作が失敗します。

    この時点で補助ドメイン参加アカウントを追加しない場合、後で追加することができます。ここで追加した場合は、後で更新または削除できます。追加できる補助ドメイン参加アカウントは 1 つのみです。

  2. [保存] をクリックします。

    ドメイン参加の手順が成功すると、[管理者の追加] ダイアログ ボックスが表示されます。この手順を続行して、Active Directory ドメインの管理者グループにスーパー管理者ロールを追加する必要があります。

    重要: ドメイン参加の手順が失敗した場合、登録プロセスは完了していません。この状況が発生した場合、 Active Directory ドメイン登録の削除の手順を実施した後に、手順 4 を再度実行します。

Active Directory グループへのスーパー管理者ロールの追加

  1. [管理者の追加] ダイアログ ボックスで、Active Directory 検索機能を使用し、このコンソールを使用して環境で管理アクションを実行する Active Directory 管理者グループを選択します。この顧客アカウントの Active Directory ドメインが設定されたので、この割り当てにより、少なくとも 1 つの Active Directory ドメインのユーザー アカウントに対して、このコンソールにログインするための権限が付与されます。
  2. [保存] をクリックします。

[保存] をクリックすると、ログイン画面に戻ります。ポッドを Active Directory ドメインに登録したので、システムはログインし直すことを要求します。これにより、My VMware の認証情報とともに Active Directory アカウントの使用が強制されます。たとえば、この場合、My VMware アカウントを使用してログインし、次にスーパー管理者ロールを割り当てた Active Directory グループ内のユーザーの Active Directory アカウントの認証情報を使用してログインします。

重要: Active Directory グループをスーパー管理者ロールに割り当てた後は、 Active Directory グループの個人が Horizon Cloud テナント環境に対して認証された後、その個人に対して Horizon Universal Console のどの部分を有効にするかを制御するロールをそのグループに割り当てるで説明するように、このスーパー管理者ロールに別の管理者グループを追加していない限り、指定した管理者グループを Active Directory システムから削除したり、Active Directory システムに表示される GUID を変更したりしないでください。このスーパー管理者ロールは、どの Active Directory ユーザー アカウントが Horizon Cloud テナント アカウントにログインしてコンソールで管理操作を実行できるかを管理します。Active Directory システムからグループを削除したり、Active Directory システム内でその GUID を変更したりしても、その変更は Horizon Cloud 制御プレーンに伝達されないため、Horizon Cloud はスーパー管理者の役割を持つ Active Directory グループを正しく認識できなくなります。そのグループがこのスーパー管理者ロールに割り当てられた唯一のグループである場合、以前はスーパー管理者のアクセス権を持っていた Active Directory アカウントは、管理操作を実行するためのアクセス権を持つ Horizon Cloud テナント アカウントにログインできなくなります。その時点で、ログインしてスーパー管理者ロールにグループを追加するために使用できるのは、ドメイン バインド アカウントと補助ドメイン バインド アカウントの認証情報のみです。

プロセス完了の結果

ウィザードのすべての手順が完了すると、次の項目が配置されます。

  • Active Directory ドメインは、この Horizon Cloud 顧客アカウントに関連付けられた最初のクラウド構成の Active Directory ドメインとしてクラウド プレーンに構成されます。
  • Horizon Cloud には、Horizon Cloud ポッドに仮想マシンをドメインに参加させるシステム操作に必要なドメイン参加アカウントがあります。
  • コンソールでの管理アクティビティにアクセス可能になりました。
  • Horizon Cloud テナントには最初に登録された Active Directory ドメインが含まれるようになり、コンソールにログインするときのログイン フローが変更されました。ログイン フローの概要については、Horizon Cloud テナント環境への認証についてを参照してください。
  • スーパー管理者ロールが付与されたグループ内のユーザーは、関連する My VMware アカウントを使用してログインするときに、コンソールにアクセスして管理アクティビティを実行できます。これらの管理者が自分の My VMware アカウント認証情報を使用して Horizon Cloud で認証できるようにするには、Horizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するで説明する手順を実行します。
  • 登録された Active Directory ドメインからのユーザー アカウントは、Microsoft Azure のポッドからのリソースを含む割り当てに対して選択できます。
  • コンソールのヘルプ デスク機能は、その登録された Active Directory ドメインのユーザー アカウントで使用できます。

次の手順

この時点から、通常は次のタスクを実行します。

注意: スーパー管理者ロールが割り当てられた Active Directory グループが 1 つしかない場合は、そのグループを Active Directory サーバから削除しないでください。これを行うと、以降のログインで問題が発生する可能性があります。