本說明文件說明在 Horizon Universal Console 中完成在服務中登錄第一個 Active Directory 網域或登錄其他網域時所執行的步驟。

備註: 本說明文件頁面適用於您的環境將在 Microsoft Azure 中部署 Horizon Edge 的情況下,但不適用於 Horizon 8 部署和 Horizon Plus 訂閱。

Horizon Cloud Service 身分識別與存取管理中所述,該服務會將已登錄的 Active Directory 用於虛擬桌面和遠端應用程式的機器身分識別。

必要條件

Active Directory 需求
主控台的 網域登錄精靈會要求您輸入特定資訊。在主控台中執行這些步驟之前,請確認您或您的 IT 團隊已符合相關需求,如 部署 Microsoft Azure Edge 的需求檢查清單Active Directory 需求區段中所述的 Active Directory 相關需求。
特定於 LDAPS 的要點和需求
如果您計劃在部署中使用 LDAPS,請注意下列要點和需求。
  • PEM 編碼的根 CA 憑證和中繼 CA 憑證必須準備好上傳。
  • 不支援自我簽署憑證。
  • 服務會要求您的 DNS 具有設定成使用 LDAPS 之網域的 SRV 記錄。選擇對網域使用 LDAPS 時,將會隱含地要求使用 SRV 記錄。
  • 強烈建議您將 AD 環境設定成強制執行通道繫結。強制執行通道繫結是正確保護 LDAPS 的重要一環,尤其是在避免中間人 (MITM) 攻擊方面。
  • 您的防火牆組態必須允許使用以下連接埠和通訊協定,以建立從 Horizon Edge 閘道 到網域控制站的輸出連線,如Microsoft Azure 中 Horizon Cloud 部署的連接埠和通訊協定需求中所述。
    • 連接埠 88/TCP - Kerberos 驗證
    • 連接埠 636/TCP 和 3269/TCP - LDAPS 通訊
  • 您必須為信任鏈中除了根憑證以外的所有憑證,定義 HTTP 撤銷端點,且該端點必須可透過 HTTP 來連線。此需求包括以下幾點:
    • LDAP 不得用於撤銷端點。
    • 服務會使用憑證中定義的 OCSP 或 CRL HTTP URL 來執行撤銷檢查。
    • 如果憑證沒有為 HTTP 通訊協定定義 OCSP 或 CRL 端點,則服務無法執行撤銷檢查。在此情況下,LDAPS 連線會失敗。
    • 端點必須能夠查看撤銷。您的防火牆不得封鎖通過 HTTP 流往您撤銷端點的輸出流量。

程序

  1. 按一下左窗格中的整合,然後在身分識別與存取動態磚中,按一下管理
  2. 網域索引標籤上,按一下新增以啟動主控台的網域登錄精靈。
  3. 在精靈的第一步中,提供所指示的資訊
    欄位 說明
    名稱 Active Directory 網域的名稱。
    說明 選用說明。
    DNS 網域名稱 此 Active Directory 網域的完整名稱 (例如 our-ad.example.com)。
    預設 OU 輸入適當的預設 OU。

    此 OU 是 Active Directory 組織單位 (OU),您希望服務在新增為虛擬桌面和遠端應用程式建立的機器身分識別時,將其用作預設值。

    輸入 OU 的完整辨別名稱,例如 OU=MyOrg,DC=our-ad,DC=example,DC=com

    備註: 如果要使用預設值 CN=Computers,則必須將其輸入至欄位中。即使您可能會看到 UI 在該欄位中顯示此預設值,但除非您直接在欄位中輸入,否則精靈不會顯示 下一步按鈕。
    網域繫結帳戶 為您或您的 IT 團隊為此目的而設定的兩個服務帳戶提供使用者名稱和密碼,如部署 Microsoft Azure Edge 的需求檢查清單Active Directory 需求區段中所述。

    這些服務帳戶用於在 Active Directory 網域中執行查閱。第一個輸入的帳戶是服務出於此目的而使用的主要帳戶。輔助帳戶是主要帳戶的備份帳戶。

    請確保在此處輸入的帳戶符合需求檢查清單中詳述的需求。
    網域加入帳戶 為您或您的 IT 團隊為此目的而設定的兩個服務帳戶提供使用者名稱和密碼,如部署 Microsoft Azure Edge 的需求檢查清單Active Directory 需求區段中所述。

    這些服務帳戶用於將機器身分識別加入 Active Directory 網域並執行 Sysprep 作業。第一個輸入的帳戶是服務出於此目的而使用的主要帳戶。輔助帳戶是主要帳戶的備份帳戶。

    請確保在此處輸入的帳戶符合需求檢查清單中詳述的需求。
    通訊協定 選取要用來將 Active Directory 連線至 Horizon Edge 閘道 的通訊協定 (LDAPLDAPS)。

    如果選取 LDAPS,請使用瀏覽功能來上傳 PEM 編碼的根 CA 憑證和中繼 CA 憑證,此工作的必要條件中會提及這些憑證。
    輸入所有必要資訊後,系統會使 下一步按鈕變得可用。
  4. 下一步繼續進行精靈的下一個步驟。
    此時,精靈會使 儲存動作變得可用,以完成將網域資訊儲存至系統的程序。
    • 如果您沒有計劃使用 SSO,則可在此時按一下儲存以完成 UI 精靈。
    • 如果您計劃使用依賴於 VMware CA 或是 Microsoft 企業憑證授權機構以外的其他憑證授權機構的 SSO,則可在此時按一下儲存以完成 UI 精靈。稍後,您可以按照為 VMware CA 將 SSO 組態新增至 Horizon Cloud Service - next-gen中的步驟完成 SSO 組態。

結果

Horizon Edge 設定 Active Directory 的程序已完成。不過,在您繼續設定部署時,如果偵測到 Active Directory 出現連線問題,請參閱 診斷 Horizon Edges - Microsoft Azure 部署的 Active Directory 連線

下一步

完成上述步驟後,服務即具備在進行 Horizon Cloud on Microsoft Azure 部署時,所需的 Active Directory 網域資訊。

若要瞭解如何為使用者新增使用單一登入 (SSO) 存取其桌面和應用程式的功能,請參閱支援將 SSO 用於 Microsoft Azure 中的 Horizon Edge 的憑證授權機構類型