Horizon Cloud Service - next-gen에서 Horizon Universal Console의 다음 단계를 완료하여 첫 번째 Active Directory 도메인을 서비스에 등록하거나 추가 Active Directory 도메인을 등록합니다.
참고: 이 설명서 페이지는 환경의 Microsoft Azure에 Horizon Edge 배포가 있을 때 적용됩니다. Horizon 8 배포와 Horizon Plus 구독에는 적용되지 않습니다.
Horizon Cloud Service ID 및 액세스 관리에 설명된 대로 이 서비스는 가상 데스크톱 및 원격 애플리케이션의 시스템 ID에 등록된 Active Directory를 사용합니다.
사전 요구 사항
- Active Directory 요구 사항
- 콘솔의 도메인 등록 마법사에는 특정 정보를 입력해야 합니다. 콘솔에서 이러한 단계를 수행하기 전에 사용자 또는 IT 팀이 Microsoft Azure Edge 배포를 위한 체크리스트 요구 사항의 Active Directory 요구 사항 섹션에 설명된 대로 Active Directory 관련 요구 사항을 충족했는지 확인합니다.
- LDAPS 관련 주요 사항 및 요구 사항
-
배포에서 LDAPS를 사용하려는 경우 다음 주요 사항 및 요구 사항에 유의하십시오.
- PEM으로 인코딩된 루트 및 중간 CA 인증서를 업로드할 준비가 되어 있어야 합니다.
- 자체 서명된 인증서는 지원되지 않습니다.
- 서비스를 사용하려면 DNS에 LDAPS를 사용하도록 구성된 도메인에 대한 SRV 레코드가 있어야 합니다. 도메인에 LDAPS를 사용하도록 선택하면 SRV 레코드를 암시적으로 사용해야 합니다.
- 반드시 AD 환경을 채널 바인딩을 적용하도록 구성하는 것이 좋습니다. 채널 바인딩 적용은 LDAPS를 올바르게 보호하는 데 핵심적인 부분으로, 특히 중간자(MITM) 공격을 방지하는 데 필요합니다.
- 방화벽 구성은 Microsoft Azure에서 Horizon Cloud 배포에 대한 포트 및 프로토콜 요구 사항에 설명된 대로 다음 포트 및 프로토콜을 사용하여 Horizon Edge 게이트웨이에서 도메인 컨트롤러로의 아웃바운드 연결을 허용해야 합니다.
- 포트 88/TCP - Kerberos 인증
- 포트 636/TCP 및 3269/TCP - LDAPS 통신
- 루트 인증서를 제외한 신뢰 체인의 모든 인증서에 HTTP 해지 끝점을 정의해야 하며
HTTP
를 통해 해당 끝점에 연결할 수 있어야 합니다. 이 요구 사항에는 다음 사항이 포함됩니다.- LDAP를 해지 끝점에 사용하면 안 됩니다.
- 서비스는 인증서에 정의된 OCSP 또는 CRL
HTTP
URL을 사용하여 해지 검사를 수행합니다. - 인증서가 HTTP 프로토콜에 대한 OCSP 또는 CRL 끝점을 정의하지 않으면 서비스에서 해지 검사를 수행할 수 없습니다. 이 경우 LDAPS 연결이 실패합니다.
- 끝점에서 가시성 해지를 사용할 수 있어야 합니다. 방화벽은
HTTP
를 통해 해지 끝점에 대한 아웃바운드 트래픽을 차단하지 않아야 합니다.
프로시저
결과
다음에 수행할 작업
이전 단계가 완료되면 서비스에는 Horizon Cloud on Microsoft Azure 배포에 필요한 Active Directory 도메인 정보가 있습니다.
최종 사용자가 데스크톱 및 애플리케이션에 액세스할 때 SSO(Single Sign-On)를 사용할 수 있는 기능을 추가하는 방법을 알아보려면 Microsoft Azure의 Horizon Edge에서 SSO를 사용하기 위해 지원되는 인증 기관 유형 항목을 참조하십시오.