Horizon Cloud 테넌트 환경에 추가 Active Directory 도메인을 클라우드 구성 Active Directory 도메인으로 등록

필요에 따라 Horizon Cloud 고객 계정에 추가 Active Directory 도메인을 등록할 수 있습니다. Active Directory 도메인을 등록하면 해당 도메인이 해당 Horizon Cloud 고객 계정에 연결된 클라우드 구성 도메인 집합에 추가됩니다. 도메인이 클라우드 구성 도메인 집합에 있는 경우 해당 도메인의 사용자 계정 및 그룹을 사용하도록 설정하여 시스템에서 제공하는 기능을 사용할 수 있습니다(예: 헬프 데스크 기능을 사용하는 헬프 데스크 관리자 또는 데스크톱 관련 기능을 사용하는 최종 사용자).

중요: 도메인 바인딩 및 도메인 가입 계정과 관련된 바인딩 사용자 이름 및 가입 사용자 이름 텍스트 상자에 사용자 로그온 이름과 같이 도메인 이름을 제외한 계정 이름 자체(예: ouraccountname)를 제공합니다.

참고: 분산 그룹은 보안 그룹 아래에 중첩되어 있더라도 지원되지 않습니다. Active Directory 그룹을 생성할 때는 그룹 유형에 대해 보안을 항상 선택합니다.

테넌트가 Horizon Cloud on Microsoft Azure 및 LDAPS 지원에 설명된 기능을 사용하도록 설정하면 3단계의 콘솔 화면이 여기에 설명된 것과 약간 다르게 보입니다. 테넌트에 해당 사용 설정이 있는 경우 대신 해당 페이지를 따르십시오.

사전 요구 사항

도메인 가입 계정 단계가 실패하는 것을 방지하려면 Active Directory 인프라가 정확한 시간 소스와 동기화되었는지 확인합니다. 이러한 오류로 인해 지원을 받으려면 Horizon Cloud 지원팀에 문의해야 할 수 있습니다. 도메인 바인딩 단계는 성공하지만 도메인 가입 단계는 실패할 경우 도메인을 재설정하고 시간 소스를 조정해야 하는지 여부를 조사할 수 있습니다. 도메인을 재설정하려면 Active Directory 도메인 등록 제거의 단계를 참조하십시오.

필수 기본 및 보조 도메인 바인딩 계정에 대해 다음을 비롯하여 Horizon Cloud 작업에 필요한 서비스 계정에 설명된 요구 사항에 맞는 두 개의 Active Directory 사용자 계정에 대한 정보가 있는지 확인합니다.

경고: 우발적인 잠금으로 인해 클라우드 기반 콘솔에 로그인하지 못하여 Horizon Cloud 환경을 관리할 수 없는 경우를 방지하기 위해서는 도메인 바인딩 계정이 만료되거나, 변경되거나, 잠길 수 없는지 확인해야 합니다. 시스템은 기본 도메인 바인딩 계정을 서비스 계정으로 사용하여 Active Directory 도메인에 쿼리하기 위해 콘솔에 로그인하기 위한 자격 증명을 확인하므로 이 유형의 계정 구성을 사용해야 합니다. 어떤 이유로 기본 도메인 바인딩 계정에 액세스할 수 없게 되면 시스템에서는 보조 도메인 바인딩 계정을 사용합니다. 기본 및 보조 도메인 바인딩 계정이 모두 만료되거나 액세스할 수 없는 경우 콘솔에 로그인하고, 액세스 가능한 도메인 바인딩 계정을 사용하도록 구성을 업데이트할 수 없습니다.

기본 및 보조 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 지정된 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.

도메인 가입 계정의 경우 계정이 Horizon Cloud 작업에 필요한 서비스 계정에 설명된 요구 사항을 충족하는지 확인합니다.

경고:

슈퍼 관리자 역할이 할당된 Active Directory 그룹이 하나만 있는 경우에는 Active Directory 서버에서 해당 그룹을 제거하지 마십시오. 이렇게 하면 향후 로그인 시 문제가 발생할 수 있습니다.
포드 그룹에 1600.0 이전의 매니페스트를 실행 중인 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 도메인 가입 계정에 슈퍼 관리자 역할이 부여되어야 합니다. 2298 이전 버전의 이러한 매니페스트는 지원되지 않으며 KB 86476에 설명된 대로 업데이트해야 합니다.

Active Directory 도메인의 NetBIOS 이름 및 DNS 도메인 이름이 있는지 확인합니다. 이 워크플로의 첫 번째 단계에서 콘솔의 Active Directory 등록 창에 이러한 값을 제공합니다. 이러한 값을 찾는 방법에 대한 예는 Horizon Cloud에서 Active Directory 워크플로의 NETBIOS 이름 및 DNS 도메인 이름 필드를 등록하는 데 필요한 정보 찾기를 참조하십시오.

경고: 추가 Active Directory 도메인을 등록할 경우 모든 클라우드 연결 포드가 해당 도메인에 연결되어 있어야 합니다. 모든 포드에서 동일한 고객 계정 레코드가 해당 계정에 등록된 동일한 클라우드 구성 Active Directory 도메인 집합에 도달할 수 있어야 합니다. 모든 노드는 동일한 Active Directory 서버에 연결할 수 있어야 하며 DNS 구성이 모든 Active Directory 도메인을 확인해야 합니다.

프로시저

콘솔에서 설정 > Active Directory를 선택합니다.
등록을 클릭합니다.

[Active Directory 등록] 대화상자에서 요청된 등록 정보를 입력합니다.

중요: 전제 조건에 설명된 대로 기본 및 보조 도메인 바인딩 계정에 대한 지침을 준수하는 Active Directory 계정을 사용합니다.

옵션	설명
NETBIOS 이름	클라우드 연결 Horizon 포드가 있는 경우 이 단계에서 Horizon 포드에서 볼 수 있는 모든 Active Directory 도메인의 이름으로 채워진 선택 메뉴가 표시됩니다. 먼저 등록하려는 Active Directory 도메인을 선택합니다. Microsoft Azure에 클라우드 연결 포드만 있는 경우 이 단계에서 텍스트 상자가 표시됩니다. 등록하려는 Active Directory 도메인의 NetBIOS 이름을 입력합니다. 일반적으로 이 이름은 마침표를 포함하지 않습니다. Active Directory 도메인 환경에서 사용할 값을 찾는 방법에 대한 예는 NETBIOS 이름 및 DNS 도메인 이름 정보 확인을 참조하십시오.
DNS 도메인 이름	클라우드 연결 Horizon 포드가 있는 경우 NETBIOS 이름에 대해 선택된 Active Directory 도메인에 대한 정규화된 도메인 이름이 자동으로 표시됩니다. Microsoft Azure에 클라우드 연결 포드만 있는 경우 시스템에 텍스트 상자가 표시됩니다. NETBIOS 이름으로 사용자가 지정한 Active Directory 도메인의 정규화된 DNS 도메인 이름을 입력합니다. Active Directory 도메인 환경에서 사용할 값을 찾는 방법에 대한 예는 NETBIOS 이름 및 DNS 도메인 이름 정보 확인을 참조하십시오.
프로토콜	지원되는 프로토콜인 `LDAP`를 자동으로 표시합니다.
바인딩 사용자 이름	기본 LDAP 바인딩 계정으로 사용할 도메인의 사용자 계정 참고: 사용자 이름 자체만 입력하십시오. 여기에 도메인 이름을 포함하지 마십시오.
바인딩 암호	바인딩 사용자 이름 텍스트 상자의 이름과 연결된 암호.
보조 계정 #1	바인딩 사용자 이름 및 바인딩 암호 필드에 보조 LDAP 바인딩 계정으로 사용할 도메인의 사용자 계정과 관련 암호를 입력합니다. 참고: 사용자 이름 자체만 입력하십시오. 여기에 도메인 이름을 포함하지 마십시오.

도메인 바인딩을 클릭합니다.
도메인 바인딩 단계가 성공적으로 수행되면 [도메인 가입] 대화상자가 나타나며 다음 단계를 계속 진행할 수 있습니다.

[도메인 가입] 대화상자에 필수 정보를 입력합니다.

참고: 전제 조건에 설명된 도메인 가입 계정의 지침에 부합되는 Active Directory 계정을 사용하십시오.

옵션	설명
기본 DNS 서버 IP	Horizon Cloud에서 시스템 이름을 확인하는 데 사용하도록 하려는 기본 DNS 서버의 IP 주소입니다. Microsoft Azure에 있는 포드의 경우 이 DNS 서버는 Microsoft Azure 클라우드 내부의 시스템 이름을 확인할 수 있을 뿐 아니라 외부 이름을 확인할 수 있어야 합니다.
보조 DNS 서버 IP	(선택 사항) 보조 DNS 서버의 IP 주소
기본 OU	가져온 VM, 팜 RDSH VM, VDI 데스크톱 인스턴스와 같은 포드의 데스크톱 관련 가상 시스템에서 사용하려는 Active Directory OU(조직 구성 단위)입니다. Active Directory OU는 `OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent`와 같은 형식을 갖습니다. 시스템 기본값은 `CN=Computers`입니다. 필요에 맞게 기본값을 변경할 수 있습니다(예: `CN=myexample`). 참고: 중첩된 조직 이름에 대한 설명은 중첩된 Active Directory 도메인 조직 구성 단위를 사용하기 위한 고려 사항을 참조하십시오. 입력한 각 개별 OU는 항목의 OU= 부분을 제외하고 64자 이하여야 합니다. Microsoft에서는 개별 OU를 64자 이하로 제한합니다. 64자보다 길지만 64자를 초과하는 개별 OU가 없는 OU 경로는 유효합니다. 그러나 각각의 개별 OU는 64자 이하여야 합니다.
가입 사용자 이름	해당 Active Directory 도메인에 컴퓨터를 가입시킬 수 있는 권한이 있는 Active Directory의 사용자 계정입니다. 참고: 사용자 이름 자체만 입력하십시오. 여기에 도메인 이름을 포함하지 마십시오.
가입 암호	가입 사용자 이름 텍스트 상자의 이름과 연결된 암호

(선택 사항) 보조 도메인 가입 계정을 지정합니다.

지정한 기본 도메인 가입 계정에 액세스할 수 없으면 시스템에서는 Microsoft Azure 포드의 작업 중에서 이미지 VM 가져오기, 팜 RDSH 인스턴스 생성, VDI 데스크톱 인스턴스 생성 등과 같이 도메인에 가입해야 하는 작업을 수행하기 위해 보조 도메인 가입 계정을 사용합니다.

참고:

전제 조건에 설명된 기본 도메인 가입 계정의 동일한 지침에 부합되는 Active Directory 계정을 사용하십시오. 두 계정 모두 만료되지 않음으로 설정된 경우가 아니면, 이 보조 도메인 가입 계정의 만료 시간은 기본 도메인 가입 계정과 달라야 합니다. 기본 및 보조 도메인 가입 계정이 동시에 만료되면 이미지 봉인과 팜 RDSH VM 및 VDI 데스크톱 VM 프로비저닝을 위한 시스템 작업이 실패합니다.
Horizon Cloud에 등록하는 각 Active Directory에 대해 보조 도메인 가입 계정을 하나만 추가할 수 있습니다.
이번에 보조 도메인 가입 계정을 추가하지 않으면 나중에 콘솔을 사용하여 하나를 추가할 수 있습니다.
나중에 이 계정을 업데이트하거나 제거할 수 있습니다.
데스크톱 관련 가상 시스템의 에이전트 관련 소프트웨어(예: 봉인된 이미지, 팜 RDSH 인스턴스 또는 VDI 데스크톱 인스턴스)는 시스템이 해당 가상 시스템에서 보조 도메인 가입 계정을 사용할 수 있으려면 버전 18.1 이상이어야 합니다.

옵션	설명
보조 가입 사용자 이름	해당 Active Directory 도메인에 시스템을 가입시킬 수 있는 권한이 있는 Active Directory의 사용자 계정 중요: 이 필드에는 도메인 이름 없는 사용자 로그온 이름과 같은 계정 이름(예: `ouraccountname`)만 제공하십시오. 슬래시 또는 @ 기호를 입력하면 오류가 표시됩니다.
보조 가입 암호	보조 가입 사용자 이름 텍스트 상자의 이름과 연결된 암호

저장을 클릭합니다.
이때 도메인 가입 단계가 성공적으로 수행되면 [관리자 추가] 대화상자가 나타나며 다음 단계를 계속 진행할 수 있습니다.
[슈퍼 관리자 추가] 대화상자에서 Active Directory 검색 기능을 사용하여 이 콘솔을 통해 환경에서 관리 작업을 수행하려는 Active Directory 관리자 그룹을 선택합니다.
Active Directory 도메인이 이 고객 계정에 대해 구성되어 있으므로, 이 할당은 하나 이상의 Active Directory 도메인 사용자 계정에 표준 로그인 워크플로를 사용하여 로그인할 수 있는 권한이 부여되도록 합니다.
중요: 포드 그룹에 1600.0보다 오래된 매니페스트를 실행하는 Microsoft Azure의 Horizon Cloud 포드가 있는 경우 전제 조건에 설명된 것과 같이 도메인 가입 계정이 포함된 Active Directory 그룹을 슈퍼 관리자 역할에 추가해야 합니다. 포드 그룹에 이러한 이전 매니페스트에서 실행 중인 포드가 있는 경우 도메인 가입 계정이 슈퍼 관리자 역할이 있는 Active Directory 그룹에 없는 경우 해당 포드에서 VM 가져오기 워크플로를 사용하지 못할 수 있습니다.
저장을 클릭합니다.

결과

이제 다음 항목이 구성됩니다.

Active Directory 도메인은 이 Horizon Cloud 고객 계정에 연결된 클라우드 구성 Active Directory 도메인 중 하나입니다.
Microsoft Azure에 있는 포드의 경우 Horizon Cloud에는 데스크톱 관련 가상 시스템이 해당 도메인에 가입되는 해당 시스템 작업에 필요한 도메인 가입 계정이 있습니다.
VMware 자격 증명을 사용하여 Horizon Cloud에 로그인한 후 Active Directory 로그인 창에서 Horizon Cloud 역할이 할당된 해당 Active Directory의 사용자가 Active Directory 계정에 해당하는 도메인을 선택할 수 있습니다.
슈퍼 관리자 역할을 부여한 그룹의 사용자가 첫 번째 로그인 화면을 위해 연결된 VMware 계정 자격 증명을 사용하여 로그인하는 경우 콘솔에 액세스하고 관리 작업을 수행할 수 있습니다. 해당 관리자가 첫 번째 로그인 단계를 위해 자신의 VMware 계정 자격 증명을 사용하도록 하려면 Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여에 설명된 단계를 완료합니다.
Microsoft Azure 포드 리소스와 관련된 할당을 위해 등록된 Active Directory 도메인의 사용자 계정을 선택할 수 있습니다.
등록된 해당 Active Directory 도메인의 사용자 계정으로 콘솔의 헬프 데스크 기능을 사용할 수 있습니다.

다음에 수행할 작업

이때 일반적으로 다음 작업을 수행합니다.

사용자 환경을 관리하기 위해 이 도메인의 추가 사용자에게 액세스 권한을 부여합니다. 먼저 연결된 Horizon Cloud 역할이 있는 VMware 계정을 추가한 다음 해당 Active Directory 계정에 적절한 Horizon Cloud 역할을 부여합니다. Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여 및 Horizon Cloud 테넌트 환경에서 인증을 받은 후 해당 그룹의 사용자에 대해 활성화되는 Horizon Universal Console 영역을 제어하는 Active Directory 그룹에 역할 할당의 내용을 참조하십시오.
콘솔에 대해 읽기 전용 액세스 권한을 부여할 이 도메인의 사용자에게 데모 관리자 역할을 할당합니다. 콘솔을 사용하여 Horizon Cloud 환경에서 작업하도록 하기 위해 사용자에게 제공하는 두 가지 유형의 역할에 대한 모범 사례 및 Horizon Cloud 테넌트 환경에서 인증 받은 후에 해당 그룹의 개인에 대해 활성화된 콘솔의 영역을 제어하는 Active Directory 그룹에 역할 할당을 참조하십시오.