이 페이지는 1세대 Horizon Cloud Service 배포에 적용됩니다. 이 페이지에서는 1세대 Horizon Universal Console 관리 기능을 자유롭게 사용하는 데 필요한 Active Directory 도메인 정보를 구성하기 위한 다단계 워크플로를 설명합니다.
이 등록 흐름을 완료하면 1세대 테넌트 환경에 적합한 모든 콘솔의 관리 기능을 자유롭게 사용할 수 있습니다.
용도
해당 포드가 Horizon Cloud on Microsoft Azure 배포인지 아니면 Horizon Cloud Connector를 포함하는 Horizon 포드의 배포인지에 관계없이 이 워크플로를 즉시 완료하거나 첫 번째 포드를 테넌트의 포드 그룹에 추가한 직후에 완료하는 것이 가장 좋습니다.
이 워크플로는 콘솔의 관리 기능을 자유롭게 사용할 수 있게 하므로 완료하는 것이 좋습니다. 테넌트에 하나 이상의 Active Directory 도메인이 구성될 때까지 거의 모든 콘솔의 관리 기능이 회색으로 표시되고 잠깁니다.
개략적인 개요
전체 도메인 등록 워크플로에는 다음과 같은 개략적인 순서가 있습니다.
- cloud.horizon.vmware.com에서 화면을 따라 콘솔에 로그인합니다. 그런 다음 콘솔에서 Active Directory 구성 워크플로를 시작합니다.
- 도메인 바인딩 단계의 경우 테넌트가 Active Directory 도메인을 쿼리하는 데 사용할 수 있는 도메인 바인딩 서비스 계정의 Active Directory 도메인 이름 관련 정보, 프로토콜 관련 정보, 자격 증명을 지정합니다. 기본 및 보조 계정을 모두 지정해야 합니다. 해당 도메인 바인딩 계정에 대해 Horizon Cloud가 요구하는 항목에 대한 내용은 도메인 바인딩 계정 - 필수 특성 항목을 참조하십시오.
- 도메인 가입 정보는 Horizon Cloud on Microsoft Azure 배포에 필요합니다. 이 단계에서는 서비스가 테넌트의 시스템 이름을 확인할 수 있도록 허용하는 DNS 서버의 IP 주소, 포드 프로비저닝된 다중 세션 및 VM(단일 세션 시스템)을 생성하려는 기본 OU(조직 구성 단위) 및 테넌트가 해당 VM을 Active Directory 도메인에 가입하는 데 사용할 수 있는 도메인 가입 서비스 계정의 자격 증명을 제공합니다. 이러한 VM에는 가져온 VM, 팜 RDSH 인스턴스 및 VDI 데스크톱 인스턴스 등이 포함됩니다. 테넌트가 해당 도메인 가입 계정에 요구하는 항목은 도메인 가입 계정 - 필수 특성 항목을 참조하십시오.
테넌트의 첫 번째 포드가 Horizon Connection Server 포드 유형인 경우 도메인 가입 계정 정보 입력을 건너뛰도록 선택할 수 있으며 이러한 포드에 클라우드부 서비스가 제대로 작동합니다. 그러나 이 작업을 수행한 다음, 나중에 Horizon Cloud 포드 배포를 동일한 테넌트에 추가하고 해당 포드가 동일한 도메인의 최종 사용자의 리소스를 프로비저닝하려면 해당 포드를 배포한 후에 도메인 가입 정보를 구성해야 합니다. 콘솔은 Horizon Cloud 포드를 배포한 후 도메인 가입 정보가 구성되지 않았음을 자동으로 알리지 않습니다.
- 워크플로의 최종 관리자 추가 단계에서 Active Directory 도메인 그룹에 Horizon Cloud 슈퍼 관리자 역할을 할당합니다.
- 관리자 정보를 저장하면 콘솔에서 자동으로 로그아웃됩니다. 이 단계는 이전 단계에서 식별된 도메인 그룹의 관리자만 콘솔의 관리 기능에 액세스할 수 있도록 허용합니다.
그런 다음, 하나의 Active Directory 도메인에 대해 워크플로가 완료되면 나중에 조직의 요구에 맞게 추가 Active Directory 도메인을 구성할 수 있습니다.
주요 고려 사항
- 콘솔의 다른 페이지로 이동하려면 먼저 하나 이상의 도메인에 대해 이 전체 워크플로를 완료해야 합니다. 이러한 작업을 완료할 때까지 주 서비스가 잠깁니다.
- 지원되는 콘솔 기능을 사용하려면 Active Directory 도메인 그룹에 슈퍼 관리자 역할을 할당하는 워크플로 단계를 완료해야 합니다. 해당 단계를 완료하기 전에 마법사를 취소하는 경우 콘솔의 [시작] 페이지에서 구성 버튼을 클릭하여 Active Directory 등록 마법사를 다시 열고 해당 역할 할당을 완료합니다.
- v2202 서비스 릴리스부터 Horizon Cloud on Microsoft Azure 배포에 대해 LDAPS 사용이 지원됩니다. 이 기능을 사용하려면 테넌트를 명시적으로 사용하도록 설정해야 하며 테넌트의 첫 번째 포드 및 후속 포드에서 v2201 릴리스 매니페스트 수준을 실행해야 합니다. 자세한 내용은 Horizon Cloud on Microsoft Azure 및 LDAPS 지원을 참조하십시오.
- 분산 그룹은 보안 그룹 아래에 중첩되어 있더라도 지원되지 않습니다. Active Directory 그룹을 생성할 때는 그룹 유형에 대해 보안을 항상 선택합니다.
- 기본 및 보조 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 지정된 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.
- Active Directory 서버의 클럭 오차가 4분 미만인지 확인합니다. 매니페스트 2474.x부터 시스템은 등록된 Active Directory 서버의 클럭 오차가 4분 미만인지 확인합니다. 이 오차가 4분을 초과하면 "클럭 오차가 너무 큼"이라는 예외를 나타내며 시스템의 도메인 서버 검색이 실패합니다. 시스템의 도메인 서버 검색이 실패할 경우 최종 사용자 데스크톱 연결 요청에 영향을 미칠 수 있습니다.
- 나중에 이 테넌트의 포드 그룹에 추가 포드 배포를 추가하려는 경우 해당 포드를 연결하거나 배포할 때 해당 포드가 이 동일한 Active Directory 도메인에 연결되어 있어야 합니다.
- 또한 알려진 문제로 인해 Horizon Cloud Connector를 사용하여 Horizon 포드에 연결할 경우 첫 번째 포드에 대한 이 Active Directory 도메인 등록 프로세스를 완료하지 않은 상태로 후속 포드에 대한 Cloud Connector 클라우드 연결 워크플로를 실행하려고 하면 예기치 않은 결과가 발생할 수 있습니다. 클라우드 연결 워크플로가 Horizon Cloud와의 첫 번째 Active Directory 도메인 등록을 완료하기 전에 여러 포드에 대한 연결을 허용하더라도 첫 번째 도메인 등록을 완료하지 못한 상태에서 다음 포드의 클라우드 연결 프로세스를 실행하려고 하면 이 도메인 등록 프로세스가 실패할 수 있습니다. 이러한 경우 먼저 Horizon Cloud Connector 구성 포털에서 분리를 사용하여 단일 클라우드 연결 포드로 내려갈 때까지 각 클라우드 연결 포드 간 연결을 제거합니다. 그런 다음, 실패한 Active Directory 등록을 제거하고, 해당 단일 클라우드 연결 포드에 도메인 등록 프로세스를 완료한 후 후속 포드에서 Horizon Cloud Connector 워크플로를 다시 실행합니다.
콘솔에서 워크플로를 실행하기 전
- 첫 번째 포드가 성공적으로 배포되었는지 확인합니다. 콘솔의 시작 마법사에서는 녹색 확인 표시 아이콘()을 표시하여 첫 번째 포드가 성공적으로 배포되었는지 나타냅니다.
- 등록하려는 도메인에 Active Directory 도메인의 NetBIOS 이름 및 DNS 도메인 이름을 가져옵니다. 이 워크플로의 첫 번째 단계에서 콘솔의 Active Directory 등록 창에 이러한 값을 제공합니다. 이러한 값을 찾는 방법에 대한 예는 NETBIOS 이름 및 DNS 도메인 이름 정보 확인을 참조하십시오. 도메인 이름이 없는 사용자 로그온 이름과 같은 계정 이름 자체(예:
ouraccountname
)를 필드에 입력합니다. - 필요한 기본 및 보조 도메인 바인딩 계정과 도메인 가입 계정에서 콘솔의 필수 필드에 입력할 수 있는 유효한 정보를 얻습니다. 해당 계정이 도메인에 있는지와 Horizon Cloud의 해당 작업에 필요한 서비스 계정에 설명된 요구 사항을 준수하는지 확인합니다. 서비스는 콘솔 워크플로의 일부로, 입력한 계정 정보의 유효성을 검사합니다.
- 도메인 가입 계정 단계가 실패하는 것을 방지하려면 Active Directory 인프라가 정확한 시간 소스와 동기화되었는지 확인합니다. 오류가 있는 경우에는 VMware 지원팀에 지원을 문의해야 할 수 있습니다. 도메인 바인딩 단계는 성공하지만 도메인 가입 단계는 실패할 경우 도메인을 재설정하고 시간 소스를 조정해야 하는지 여부를 조사할 수 있습니다. 도메인을 재설정하려면 Active Directory 도메인 등록 제거의 단계를 참조하십시오.
로그인 및 워크플로 시작
- https://cloud.horizon.vmware.com/의 Horizon Universal Console 포털 URL로 이동하여 콘솔에 로그인합니다.
이 URL을 통해 다음 스크린샷에서 보여주는 VMware Cloud Services 로그인 화면으로 리디렉션됩니다. Horizon Cloud 테넌트와 연결된 자격 증명을 사용하여 로그인합니다. 화면 흐름을 따릅니다.
이전에 이러한 자격 증명을 사용하여 서비스 약관에 동의하지 않은 경우 로그인 버튼을 클릭하면 서비스 약관 알림 상자가 표시됩니다. 계속하려면 서비스 약관에 동의합니다.
로그인이 성공적으로 인증되면 콘솔이 열리고 [시작] 페이지가 표시됩니다.
- 시작 마법사에서 일반 설정 섹션이 아직 열리지 않았으면 엽니다.
- Active Directory에서 구성을 클릭합니다.
콘솔에 Active Directory 등록 워크플로의 시작 창이 표시됩니다. 이 창의 모양은 테넌트가 Horizon Connection Server 포드 유형으로 시작하는지 또는 Horizon Cloud on Microsoft Azure 배포로 시작하는지에 따라 달라집니다.
도메인 바인딩 - Horizon Connection Server 포드
콘솔 창에서 요청된 정보를 제공한 다음, 도메인 바인딩을 클릭하여 저장합니다. 각 바인딩 계정 이름을 입력할 때 사용자 로그온 이름(예:ouraccountname
)과 같이 도메인 이름이 없는 계정 이름을 입력합니다.
필드 | 설명 |
---|---|
NETBIOS 이름 | 콘솔은 이 단계에서 Horizon 포드에서 볼 수 있는 모든 Active Directory 도메인의 이름으로 채워진 선택 메뉴를 표시합니다. 먼저 등록하려는 Active Directory 도메인을 선택합니다. |
DNS 도메인 이름 | 읽기 전용입니다. 콘솔에 NETBIOS 이름으로 선택된 Active Directory 도메인의 정규화된 DNS 도메인 이름이 자동으로 표시됩니다. |
프로토콜 | 이 포드 유형에 대해 지원되는 프로토콜인 LDAP가 자동으로 표시됩니다. |
바인딩 사용자 이름 및 바인딩 암호 | 선택한 도메인에 사용할 서비스에 대한 도메인 바인딩 서비스 계정의 자격 증명을 제공합니다. |
보조 계정 #1 | 바인딩 사용자 이름 및 바인딩 암호 필드에 보조 LDAP 바인딩 계정으로 사용할 도메인의 사용자 계정과 관련 암호를 입력합니다. |
고급 속성 | 기본값을 변경하지 않는 한, 서비스는 콘솔에 표시된 기본값을 사용합니다.
|
도메인 바인딩 - Horizon Cloud on Microsoft Azure 배포
콘솔 창에서 요청된 정보를 제공한 다음, 도메인 바인딩을 클릭하여 저장합니다. 각 바인딩 계정 이름을 입력할 때 사용자 로그온 이름(예:ouraccountname
)과 같이 도메인 이름이 없는 계정 이름을 입력합니다.
필드 | 설명 |
---|---|
NETBIOS 이름 | 시스템에 텍스트 상자가 표시됩니다. 포드에 표시되는 AD 도메인의 NetBIOS 이름을 입력합니다. 일반적으로 이 이름은 마침표를 포함하지 않습니다. Active Directory 도메인 환경에서 사용할 값을 찾는 방법에 대한 예는 NETBIOS 이름 및 DNS 도메인 이름 정보 확인을 참조하십시오. |
DNS 도메인 이름 | NETBIOS 이름으로 사용자가 지정한 AD 도메인의 정규화된 DNS 도메인 이름을 입력합니다. |
프로토콜 | 이 포드 유형에 대해 지원되는 프로토콜인 LDAP가 자동으로 표시됩니다. |
바인딩 사용자 이름 및 바인딩 암호 | 선택한 도메인에 사용할 서비스에 대한 도메인 바인딩 서비스 계정의 자격 증명을 제공합니다. |
보조 계정 #1 | 바인딩 사용자 이름 및 바인딩 암호 필드에 보조 LDAP 바인딩 계정으로 사용할 도메인의 사용자 계정과 관련 암호를 입력합니다. |
고급 속성 | 선택 사항입니다. 기본값을 변경하지 않는 한, 서비스는 콘솔에 표시된 기본값을 사용합니다.
|
다음 스크린샷은 첫 번째 클라우드 연결 포드가 Microsoft Azure에 있는 Active Directory 등록 창을 보여 줍니다. 필드에는 NetBIOS 이름이 ENAUTO
이고 DNS 도메인 이름이 ENAUTO.com
인 예시 Active Directory 도메인 값이 표시됩니다.
도메인 가입
도메인 바인딩 단계가 성공적으로 수행되면 콘솔에 [도메인 가입] 대화 상자가 자동으로 표시됩니다. 계정 자격 증명의 경우, 전제 조건에 설명된 도메인 가입 계정의 지침에 부합되는 Active Directory 계정을 사용하십시오.
이 마법사 단계에서 필수 필드를 완료하는 것이 가장 좋습니다. 이 릴리스에서는 도메인 가입 계정이 Microsoft Azure 포드에 있는 VM 관련 시스템 작업에 주로 사용되지만, 이 단계를 완료하면 콘솔에 슈퍼 관리자 역할을 부여하는 후속 단계를 완료하라는 메시지가 표시됩니다.
- [도메인 가입] 대화상자에 필수 정보를 입력합니다.
옵션 설명 기본 DNS 서버 IP Horizon Cloud에서 시스템 이름을 확인하는 데 사용하도록 하려는 기본 DNS 서버의 IP 주소입니다. Microsoft Azure에 있는 포드의 경우 이 DNS 서버는 Microsoft Azure 클라우드 내부의 시스템 이름을 확인할 수 있을 뿐 아니라 외부 이름을 확인할 수 있어야 합니다.
보조 DNS 서버 IP (선택 사항) 보조 DNS 서버의 IP 주소 기본 OU 가져온 VM, 팜 RDSH VM, VDI 데스크톱 인스턴스와 같은 포드의 데스크톱 관련 가상 시스템에서 사용하려는 Active Directory OU(조직 구성 단위)입니다. Active Directory OU는 OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent
와 같은 형식을 갖습니다. 시스템 기본값은CN=Computers
입니다. 필요에 맞게 기본값을 변경할 수 있습니다(예:CN=myexample
).참고: 중첩된 조직 이름에 대한 설명은 중첩된 Active Directory 도메인 조직 구성 단위를 사용하기 위한 고려 사항 항목을 참조하십시오. 입력한 각 개별 OU는 항목의 OU= 부분을 제외하고 64자 이하여야 합니다. Microsoft에서는 개별 OU를 64자 이하로 제한합니다. 64자보다 길지만 64자를 초과하는 개별 OU가 없는 OU 경로는 유효합니다. 그러나 각각의 개별 OU는 64자 이하여야 합니다.가입 사용자 이름 및 가입 암호 해당 Active Directory 도메인에 컴퓨터를 가입시킬 수 있는 권한이 있는 Active Directory의 사용자 계정입니다. 사용자 이름 및 관련 암호를 제공합니다. 참고: 사용자 이름 자체만 입력하십시오. 여기에 도메인 이름을 포함하지 마십시오.보조 가입 사용자 이름 및 보조 가입 암호 선택 사항입니다. 보조 도메인 가입 계정을 지정합니다. 지정한 기본 도메인 가입 계정에 액세스할 수 없으면 시스템에서는 Microsoft Azure 포드의 작업 중에서 이미지 VM 가져오기, 팜 RDSH 인스턴스 생성, VDI 데스크톱 인스턴스 생성 등과 같이 도메인에 가입해야 하는 작업을 수행하기 위해 보조 도메인 가입 계정을 사용합니다.
전제 조건에 설명된 기본 도메인 가입 계정의 동일한 지침에 부합되는 Active Directory 계정을 사용하십시오. 두 계정 모두 만료되지 않음으로 설정된 경우가 아니면, 이 보조 도메인 가입 계정의 만료 시간은 기본 도메인 가입 계정과 달라야 합니다. 기본 및 보조 도메인 가입 계정이 동시에 만료되면 이미지 봉인과 팜 RDSH VM 및 VDI 데스크톱 VM 프로비저닝을 위한 시스템 작업이 실패합니다.
이번에 보조 도메인 가입 계정을 추가하지 않으면 나중에 하나를 추가할 수 있습니다. 지금 추가하는 경우 나중에 업데이트하거나 제거할 수 있습니다. 보조 도메인 가입 계정은 하나만 추가할 수 있습니다.
- 저장을 클릭합니다.
도메인 가입 단계가 성공적으로 수행되면 [관리자 추가] 대화상자가 나타나며, AD 도메인의 관리자 그룹에 슈퍼 관리자 역할을 추가하는 단계를 계속 진행해야 합니다.
중요: 도메인 가입 단계가 실패하면 등록 프로세스는 완전히 완료된 것이 아닙니다. 이러한 상황이 발생할 경우 Active Directory 도메인 등록 제거의 단계를 따른 후 4단계를 다시 시작합니다.
AD 그룹에 슈퍼 관리자 역할 추가
- [관리자 추가] 대화상자에서 Active Directory 검색 기능을 사용하여 이 콘솔을 통해 환경에서 관리 작업을 수행하려는 Active Directory 관리자 그룹을 선택합니다. Active Directory 도메인이 이 고객 계정에 대해 구성되어 있으므로, 이 할당은 하나 이상의 Active Directory 도메인 사용자 계정에 이 콘솔에서 로그인할 수 있는 권한이 부여되도록 합니다.
- 저장을 클릭합니다.
저장을 클릭하면 시스템에서 자동으로 로그아웃됩니다. 이제 Active Directory 도메인에 포드를 등록했으면 VMware 계정 자격 증명과 함께 Active Directory 계정을 사용하려면 다시 로그인해야 한다는 메시지가 표시됩니다. 예를 들어 이번에는 VMware 계정 자격 증명으로 로그인한 다음, 슈퍼 관리자 역할이 할당된 Active Directory 그룹에 있는 사용자의 Active Directory 계정 자격 증명을 사용하여 로그인합니다.
프로세스 완료 결과
마법사의 모든 단계가 완료되면 다음 항목이 준비됩니다.
- Active Directory 도메인은 클라우드부에서 이 Horizon Cloud 고객 계정에 연결된 첫 번째 클라우드 구성 Active Directory 도메인으로 구성됩니다.
- Horizon Cloud에는 가상 시스템을 해당 도메인(Horizon Cloud 포드)에 가입하는 것과 관련된 시스템 작업에 필요한 도메인 가입 계정이 있습니다.
- 이제 콘솔의 관리 작업에 액세스할 수 있습니다.
- 이제 Horizon Cloud 테넌트에 첫 번째로 등록된 Active Directory 도메인이 있기 때문에 콘솔에 로그인할 때 로그인 흐름이 변경됩니다. 로그인 흐름의 개요는 Horizon Cloud 테넌트 환경에 대한 인증 정보 항목을 참조하십시오.
- 슈퍼 관리자 역할을 부여한 그룹의 사용자가 첫 번째 로그인 화면을 위해 연결된 VMware 계정 자격 증명을 사용하여 로그인할 때 콘솔에 액세스하고 관리 작업을 수행할 수 있습니다. 해당 관리자가 자신의 VMware 계정 자격 증명을 사용하여 Horizon Cloud에서 인증을 받도록 하려면 Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여에 설명된 단계를 완료합니다.
- Microsoft Azure 포드 리소스와 관련된 할당을 위해 등록된 Active Directory 도메인의 사용자 계정을 선택할 수 있습니다.
- 등록된 해당 Active Directory 도메인의 사용자 계정으로 콘솔의 헬프 데스크 기능을 사용할 수 있습니다.
다음에 수행할 작업
이때 일반적으로 다음 작업을 수행합니다.
- 이 Active Directory 도메인 구성에 추가 보조 바인딩 계정을 추가합니다. 지정한 첫 번째 기본 바인딩 계정에 액세스할 수 없게 되면 시스템은 다음 보조 바인딩 계정을 사용하여 Active Directory에 연결합니다. 보조 바인딩 계정이 있으면 Active Directory 도메인에서 기본 바인딩 계정에 액세스할 수 없는 상황일 때 관리자가 콘솔로부터 차단되는 경우를 방지할 수 있습니다. Horizon Cloud에서 클라우드 구성 Active Directory 도메인에 대한 추가 보조 바인딩 계정 추가를 참조하십시오.
- 사용자 환경을 관리하기 위해 추가 사용자에게 액세스 권한을 부여합니다. 먼저 연결된 Horizon Cloud 역할이 있는 VMware 계정을 추가한 다음 해당 Active Directory 계정에 적절한 Horizon Cloud 역할을 부여합니다. Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여 및 Horizon Cloud 테넌트 환경에서 인증을 받은 후 해당 그룹의 사용자에 대해 활성화되는 Horizon Universal Console 영역을 제어하는 Active Directory 그룹에 역할 할당 항목을 참조하십시오.
- 시작 마법사의 단계를 계속 진행합니다. Horizon Cloud 시작 마법사 - 개요 항목을 참조하십시오.
- 콘솔의 [대시보드] 및 기타 영역으로 이동하여 기능을 알아보거나 다른 관리 작업을 수행합니다. 1세대 테넌트 - 1세대 Horizon Universal Console 둘러보기 항목을 참조하십시오.
- 콘솔에 대해 관리 액세스 권한을 부여하려는 사용자나 할당을 제공하려는 최종 사용자가 있는 추가 Active Directory 도메인이 있는 경우 해당 Active Directory 도메인도 등록할 수 있습니다. Horizon Cloud 테넌트 환경에 추가 Active Directory 도메인을 클라우드 구성 Active Directory 도메인으로 등록 항목을 참조하십시오.
- 콘솔에 대해 읽기 전용 액세스 권한을 부여할 이 도메인의 사용자에게 데모 관리자 역할을 할당합니다. 콘솔을 사용하여 Horizon Cloud 환경에서 작업하도록 하기 위해 사용자에게 제공하는 두 가지 유형의 역할에 대한 모범 사례 및 Horizon Cloud 테넌트 환경에서 인증 받은 후에 해당 그룹의 개인에 대해 활성화된 콘솔의 영역을 제어하는 Active Directory 그룹에 역할 할당을 참조하십시오.