복잡한 Active Directory 환경의 조직에는 사용자 계정이 다른 포리스트의 도메인에 있고 도메인의 사용자가 다른 도메인의 리소스에 액세스할 수 있도록 허용하는 외부 또는 포리스트 신뢰가 있으면서 포드 프로비저닝된 리소스가 한 포리스트의 도메인에 가입되는 시나리오가 있을 수 있습니다. 이 항목에서는 해당 외부 신뢰 또는 서로 다른 포리스트의 도메인 사이에 있는 포리스트 신뢰를 트래버스 하기 위한 Horizon Cloud 지원에 대해 설명합니다.
관리 콘솔에서 사용자 및 그룹에 포드 프로비저닝된 리소스에 대한 권한을 부여하기 위해 할당을 생성합니다. 콘솔을 사용하여 VDI 데스크톱 할당 또는 팜을 생성하는 경우, 결과 데스크톱 VM 또는 팜 세션 호스트 VM을 찾을 클라우드 등록 도메인을 지정합니다. 또한 콘솔을 사용하여 Active Directory 도메인의 사용자 및 그룹에서 이러한 리소스를 사용할 수 있도록 하기 위한 할당을 구성합니다. 이러한 할당에 대해 복잡한 도메인 환경을 사용할 수 있도록 하기 위해 Horizon Cloud는 다음을 지원합니다.
- 한 포리스트의 도메인에 가입된 포드 프로비저닝된 리소스에 대한 권한을 다른 포리스트의 도메인에 가입된 사용자 및 그룹에 제공합니다.
- 단방향 신뢰.
중요:
Horizon Cloud 할당에 대해 도메인 로컬 그룹을 사용하는 것은 지원되지 않습니다. 다른 포리스트의 그룹에 동일한 할당에 대한 사용 권한을 부여하려면 각 포리스트에서 하나의 유니버설 그룹을 등록해야 합니다.
Horizon Cloud에서 외부 및 포리스트 신뢰를 지원하도록 하려면 다음을 수행해야 합니다.
- 클라우드 연결 포드에서 프로비저닝된 리소스에서 사용하려는 계정이 포함된 모든 포리스트의 모든 도메인을 Horizon Cloud에 등록합니다. 그룹의 도메인이 Horizon Cloud에 등록되어 있지 않으면 시스템에서 포리스트의 그룹을 검증할 수 없습니다. 1세대 테넌트 - Horizon Cloud 제어부 테넌트에 대해 첫 번째 필수 Active Directory 도메인 등록 수행 및 Horizon Cloud 테넌트 환경에 추가 Active Directory 도메인을 클라우드 구성 Active Directory 도메인으로 등록 항목을 참조하십시오. 해당 항목에 설명된 대로 모든 클라우드 연결 포드에서는 모든 클라우드 등록 Active Directory 도메인을 볼 수 있어야 합니다.
- 포리스트 신뢰의 양쪽에서 포리스트 루트 도메인을 등록합니다. 포리스트 루트 도메인에 사용자 또는 데스크톱이 없는 경우에도 이 요구 사항을 충족해야 합니다. 그럴 경우 Horizon Cloud에서 포리스트 루트에 연결하고 관련 TDO(트러스트된 도메인 개체)를 디코딩할 수 있습니다.
- 각 포리스트에 등록된 하나 이상의 도메인에 대해 글로벌 카탈로그를 사용하도록 설정합니다. 최적의 성능을 위해서는 등록된 모든 도메인에 글로벌 카탈로그가 사용되도록 설정되어야 합니다.
- 다른 포리스트의 그룹에 Horizon Cloud의 동일한 할당에 대한 사용 권한을 부여하려면 각 포리스트에서 하나 이상의 범용 그룹을 등록해야 합니다.
- 포리스트 도메인의 DNS 이름 및 루트 이름 지정 컨텍스트에 대한 계층 구조를 따릅니다. 예를 들어 상위 도메인을 example.edu라고 지칭할 경우 하위 도메인을 vpc.example.edu라고 지칭할 수 있으나 vpc.com이라고 지칭할 수는 없습니다.
- 외부에서 트러스트된 포리스트의 도메인에 등록된 다른 메인과 충돌하는 NETBIOS 이름을 사용하지 마십시오. 이러한 도메인은 시스템의 열거에서 제외됩니다. 등록된 NETBIOS 이름은 트러스트된 포리스트 도메인의 시스템 열거 중에 발견된 충돌하는 NETBIOS 이름보다 우선합니다.