設定 Active Directory 網域

在 Horizon Cloud Service - next-gen，請完成 Horizon Universal Console 中的下列步驟，以向服務登錄第一個 Active Directory 網域，或登錄其他 Active Directory 網域。

備註：本說明文件頁面適用於您的環境將在 Microsoft Azure 中部署 Horizon Edge 的情況下，但不適用於 Horizon 8 部署和 Horizon Plus 訂閱。

如 Horizon Cloud Service 身分識別與存取管理中所述，該服務會將已登錄的 Active Directory 用於虛擬桌面和遠端應用程式的機器身分識別。

必要條件

Active Directory 需求

主控台的網域登錄精靈會要求您輸入特定資訊。在主控台中執行這些步驟之前，請確認您或您的 IT 團隊已符合相關需求，如部署 Microsoft Azure Edge 的需求檢查清單的 Active Directory 需求區段中所述的 Active Directory 相關需求。

特定於 LDAPS 的要點和需求

如果您計劃在部署中使用 LDAPS，請注意下列要點和需求。

PEM 編碼的根 CA 憑證和中繼 CA 憑證必須準備好上傳。
不支援自我簽署憑證。
服務會要求您的 DNS 具有設定成使用 LDAPS 之網域的 SRV 記錄。選擇對網域使用 LDAPS 時，將會隱含地要求使用 SRV 記錄。
強烈建議您將 AD 環境設定成強制執行通道繫結。強制執行通道繫結是正確保護 LDAPS 的重要一環，尤其是在避免中間人 (MITM) 攻擊方面。
您的防火牆組態必須允許使用以下連接埠和通訊協定，以建立從 Horizon Edge 閘道到網域控制站的輸出連線，如Microsoft Azure 中 Horizon Cloud 部署的連接埠和通訊協定需求中所述。
- 連接埠 88/TCP - Kerberos 驗證
- 連接埠 636/TCP 和 3269/TCP - LDAPS 通訊
您必須為信任鏈中除了根憑證以外的所有憑證，定義 HTTP 撤銷端點，且該端點必須可透過 HTTP 來連線。此需求包括以下幾點：
- LDAP 不得用於撤銷端點。
- 服務會使用憑證中定義的 OCSP 或 CRL HTTP URL 來執行撤銷檢查。
- 如果憑證沒有為 HTTP 通訊協定定義 OCSP 或 CRL 端點，則服務無法執行撤銷檢查。在此情況下，LDAPS 連線會失敗。
- 端點必須能夠查看撤銷。您的防火牆不得封鎖通過 HTTP 流往您撤銷端點的輸出流量。

程序

按一下左窗格中的整合，然後在身分識別與存取動態磚中，按一下管理。
在網域索引標籤上，按一下新增以啟動主控台的網域登錄精靈。

在精靈的第一步中，提供所指示的資訊


欄位	說明
名稱	Active Directory 網域的名稱。
說明	選用說明。
DNS 網域名稱	此 Active Directory 網域的完整名稱 (例如 our-ad.example.com)。
預設 OU	輸入適當的預設 OU。此 OU 是 Active Directory 組織單位 (OU)，您希望服務在新增為虛擬桌面和遠端應用程式建立的機器身分識別時，將其用作預設值。輸入 OU 的完整辨別名稱，例如 OU=MyOrg,DC=our-ad,DC=example,DC=com。備註：如果要使用預設值 CN=Computers，則必須將其輸入至欄位中。即使您可能會看到 UI 在該欄位中顯示此預設值，但除非您直接在欄位中輸入，否則精靈不會顯示下一步按鈕。
網域繫結帳戶	為您或您的 IT 團隊為此目的而設定的兩個服務帳戶提供使用者名稱和密碼，如部署 Microsoft Azure Edge 的需求檢查清單的 Active Directory 需求區段中所述。這些服務帳戶用於在 Active Directory 網域中執行查閱。第一個輸入的帳戶是服務出於此目的而使用的主要帳戶。輔助帳戶是主要帳戶的備份帳戶。請確保在此處輸入的帳戶符合需求檢查清單中詳述的需求。
網域加入帳戶	為您或您的 IT 團隊為此目的而設定的兩個服務帳戶提供使用者名稱和密碼，如部署 Microsoft Azure Edge 的需求檢查清單的 Active Directory 需求區段中所述。這些服務帳戶用於將機器身分識別加入 Active Directory 網域並執行 Sysprep 作業。第一個輸入的帳戶是服務出於此目的而使用的主要帳戶。輔助帳戶是主要帳戶的備份帳戶。請確保在此處輸入的帳戶符合需求檢查清單中詳述的需求。
通訊協定	選取要用來將 Active Directory 連線至 Horizon Edge 閘道的通訊協定 (LDAP 或 LDAPS)。如果選取 LDAPS，請使用瀏覽功能來上傳 PEM 編碼的根 CA 憑證和中繼 CA 憑證，此工作的先決條件中會提及這些憑證。

輸入所有必要資訊後，系統會使下一步按鈕變得可用。

按下一步繼續進行精靈的下一個步驟。
此時，精靈會使儲存動作變得可用，以完成將網域資訊儲存至系統的程序。
- 如果您沒有計劃使用 SSO，則可在此時按一下儲存以完成 UI 精靈。
- 如果您計劃使用 True SSO 功能，請繼續執行此頁面中的下一個步驟。使用 True SSO 功能需要 Microsoft 企業憑證授權機構，如支援將 SSO 用於 Microsoft Azure 中的 Horizon Edge 的憑證授權機構類型中所述。
- 如果您計劃使用依賴於 VMware CA 或是 Microsoft 企業憑證授權機構以外的其他憑證授權機構的 SSO，則可在此時按一下儲存以完成 UI 精靈。稍後，您可以按照為 VMware CA 將 SSO 組態新增至 Horizon Cloud Service - next-gen中的步驟完成 SSO 組態。
(選擇性) 如果您計劃將 True SSO 與使用者的虛擬桌面和遠端應用程式搭配使用，請在精靈的網域註冊服務帳戶區段中，開啟使用註冊服務帳戶切換。

開啟該切換後，UI 將顯示相應欄位，供您輸入 True SSO 功能所需的網域註冊帳戶的帳戶認證。提供該資訊。

小心：如果您計劃使用依賴於 VMware CA 的 SSO，則可略過輸入網域註冊帳戶資訊的此一步驟。

網域註冊帳戶是一個註冊服務帳戶，True SSO 功能會使用該帳戶從 Microsoft AD CS (Active Directory 憑證服務) 取得短期憑證。True SSO 使用憑證進行驗證，以避免提示使用者輸入 Active Directory 認證。您可能會看到 Horizon Universal Console 互換使用「網域註冊帳戶」、「註冊服務帳戶」和「網域註冊服務帳戶」這三個詞彙。

完成這些欄位後，精靈會使儲存動作變得可用，以完成將網域資訊儲存至系統的程序。

按一下儲存以完成對您在精靈中提供的所有資訊進行儲存的程序。

結果

為 Horizon Edge 設定 Active Directory 的程序已完成。不過，在您繼續設定部署時，如果偵測到 Active Directory 出現連線問題，請參閱診斷 Horizon Edges - Microsoft Azure 部署的 Active Directory 連線。

下一步

完成上述步驟後，服務即具備在進行 Horizon Cloud on Microsoft Azure 部署時，所需的 Active Directory 網域資訊。

若要瞭解如何為使用者新增使用單一登入 (SSO) 存取其桌面和應用程式的功能，請參閱支援將 SSO 用於 Microsoft Azure 中的 Horizon Edge 的憑證授權機構類型。