此頁面說明一項多步驟工作流程,以用來設定 Horizon Cloud 租用戶所需的 Active Directory 網域資訊。使用 Horizon Universal Console 完成此工作流程。這樣做將解除鎖定適用於您的租用戶環境的所有主控台管理功能。

最佳做法是立即完成此工作流程,或者在將第一個網繭新增至租用戶的網繭群組後不久,就完成此工作流程,不論該網繭是 Horizon Cloud on Microsoft Azure 部署,還是具有 Horizon Cloud ConnectorHorizon 網繭部署都是如此。

完成工作流程是最佳做法,其原因是,此工作流程將解除鎖定主控台的管理功能。在租用戶至少設定一個 Active Directory 網域之前,幾乎主控台的所有管理功能都呈現灰色並被鎖定。

高階概觀

整體網域登錄工作流程具有下列的高階順序。

  1. cloud.horizon.vmware.com,登入主控台,並啟動 Active Directory 組態工作流程。
  2. 在網域繫結步驟中,您可以指定 Active Directory 網域的名稱相關資訊、通訊協定相關資訊,以及可供您租用戶用來查詢該 Active Directory 網域的網域繫結服務帳戶認證。必須同時指定主要帳戶和輔助帳戶。如需該網域繫結帳戶需要何種 Horizon Cloud 的相關資訊,請參閱網域繫結帳戶 - 必要的特性
  3. Horizon Cloud on Microsoft Azure 部署需要網域加入資訊。在此步驟中,您將提供以下資訊:允許服務解析租用戶機器名稱的 DNS 伺服器 IP 位址、您想在其中建立網繭所佈建之多重工作階段和單一工作階段機器 (虛擬機器) 的預設組織單位 (OU),以及可供租用戶用來將這些虛擬機器加入至 Active Directory 網域之網域加入服務帳戶的認證。此類虛擬機器包含已匯入的虛擬機器、伺服器陣列 RDSH 執行個體,以及 VDI 桌面執行個體等。如需租用戶對該網域加入帳戶有何需求的相關資訊,請參閱網域加入帳戶 - 必要的特性

    如果您的租用戶的第一個網繭是 Horizon Connection Server 類型,您可以選擇跳過輸入網域加入帳戶資訊的步驟,且此類網繭的雲端平面服務仍可以正常運作。但是,如果您選擇先執行此動作,之後再將 Horizon Cloud Pod 部署新增至此同一租用戶,且該網繭會在同一網域中為使用者佈建資源,則在部署該網繭後,請務必記得設定網域加入資訊。部署 Horizon Cloud Pod 後,主控台並不會自動通知您網域加入資訊未設定。

  4. 在工作流程的最後一個步驟 [新增管理員] 中,您可以將 Horizon Cloud 超級管理員角色指派給 Active Directory 網域群組。
  5. 儲存管理員資訊後,主控台會自動將您登出。此步驟可確保只有在前一個步驟中從網域群組中所識別的管理員,能夠存取主控台的管理功能。

接著,為一個 Active Directory 網域完成工作流程後,之後您就可以根據組織需求,來設定其他的 Active Directory 網域。

重要注意事項

  • 您必須至少針對一個網域完成整個工作流程,才能前往主控台中的其他頁面。在您完成這些工作之前,系統會鎖定主要服務。
  • 為了支援使用主控台的功能,您必須完成此工作流程步驟,以將超級管理員角色指派給 Active Directory 網域群組。如果在完成該步驟之前取消精靈,請按一下主控台的 [開始使用] 頁面中的設定按鈕,以重新開啟 [登錄 Active Directory] 精靈,然後完成該角色指派。
  • 從 v2202 服務版本開始,Horizon Cloud on Microsoft Azure 部署支援使用 LDAPS。對於此用法,您的租用戶必須明確啟動該功能,且租用戶的第一個網繭和後續網繭必須執行 v2201 版本資訊清單層級。如需詳細資料,請參閱 Horizon Cloud on Microsoft Azure 和 LDAPS 支援
  • 不支援通訊群組,即使它們屬於安全群組下方的巢狀群組也是如此。建立 Active Directory 群組時,請一律為群組類型選取安全性
  • 系統一律會為主要和輔助網域繫結帳戶指派超級管理員角色,而授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取指定的網域繫結帳戶。
  • 確保 Active Directory 伺服器的時間誤差小於 4 分鐘。從資訊清單 2474.x 開始,系統將檢查已登錄的 Active Directory 伺服器的時間誤差是否小於 4 分鐘。如果誤差大於 4 分鐘,系統的網域伺服器探索將失敗,並出現「時間誤差過大」例外狀況。如果系統的網域伺服器探索失敗,使用者桌面連線要求可能會受到影響。
  • 為了將來考量,請謹記,如果您打算往後在此租用戶的網繭機群中新增其他網繭部署,則在連接或部署這些網繭時,這些網繭將需要能夠查看此同一個 Active Directory 網域。
  • 受到已知問題的影響,使用 Horizon Cloud Connector 連線 Horizon 網繭時,如果您在針對後續網繭嘗試執行連接器的雲端配對工作流程之前並未完成第一個網繭的此 Active Directory 網域登錄程序,則可能會發生非預期的結果。即使雲端配對工作流程可讓您在向 Horizon Cloud 完成第一個 Active Directory 網域登錄之前針對多個網繭來執行,如果您在下一個網繭上執行雲端配對程序之前尚未完成第一個網域登錄,則此網域登錄程序可能會失敗。在這種情況下,您必須先使用 Horizon Cloud Connector 組態入口網站中的拔除,移除每個雲端連線的網繭之間的連線,直到只剩下一個雲端連線的網繭為止。然後移除失敗的 Active Directory 登錄,針對該雲端連線的單一網繭,完成網域登錄程序,並在後續網繭上重新執行 Horizon Cloud Connector 工作流程。

在主控台中執行工作流程之前

  • 確認您的第一個網繭已成功部署。[開始使用] 精靈的 [容量] 區段會指出第一個網繭是否已成功部署,方法是顯示綠色核取記號圖示 (具有核取記號的圓形綠色圖示表示成功)。
  • 為要登錄的網域取得 Active Directory 網域的 NetBIOS 名稱和 DNS 網域名稱。此工作流程的第一個步驟中,您將在主控台的 [登錄 Active Directory] 視窗中提供這些值。如需有關如何找出這些值的範例,請參閱取得 NETBIOS 名稱和 DNS 網域名稱資訊。請注意,您將在欄位中輸入帳戶名稱,例如 ouraccountname,如同不包含網域名稱的使用者登入名稱一樣。
  • 針對所需的主要網域繫結帳戶和輔助網域繫結帳戶,取得可輸入到主控台必要欄位的有效資訊。請確定網域中存在這些帳戶,並遵循 Horizon Cloud 作業所需的服務帳戶中所述的需求。在執行主控台工作流程的過程中,服務會驗證您輸入的帳戶資訊。
  • 為防止網域加入帳戶步驟失敗,請確定已將 Active Directory 基礎結構同步到準確的時間來源。此類失敗可能需要您連絡 VMware 支援來尋求協助。如果網域繫結步驟成功,但網域加入步驟失敗,您可以嘗試重設網域,然後調查是否需要調整時間來源。若要重設網域,請參閱移除 Active Directory 網域登錄中的步驟。
備註: 如果您的租用戶的第一個網繭部署是 Horizon Connection ServerHorizon Cloud Connector 部署類型,且您在執行此工作流程時遇到問題,請確定您的部署執行的是支援的 Horizon Connection ServerHorizon Cloud Connector 版本。

登入並啟動工作流程

  1. 使用瀏覽器與您慣用的方法,透過 cloud.horizon.vmware.com 登入雲端式主控台。
    • 在登入頁面的 My VMware 認證區段中,輸入 My VMware 帳戶的認證。帳戶認證是主要電子郵件地址 (例如 user@example.com) 以及帳戶的設定檔中所設定的密碼。此選項會將驗證要求傳送至 Horizon Cloud 控制平面。
    • 在登入頁面的 VMware Cloud Services 區段中,按一下 VMWARE CLOUD 登入。按一下該按鈕會將驗證要求重新導向至 VMware Cloud Services,以根據組織在此處的組態對您進行驗證。您的組織可能已要求您使用 VMware Cloud Services 存取其 Horizon Cloud 租用戶。

    下列螢幕擷取畫面說明如何透過輸入 My VMware 帳戶的認證來進行登入。


    Horizon Cloud on Microsoft Azure:初次登入 My VMware 帳戶登入畫面的螢幕擷取畫面

    如果您先前未接受使用這些 My VMware My VMware 認證的服務條款,則在您按一下登入按鈕後,系統將顯示服務條款通知方塊。請接受服務條款以繼續作業。

    當您的登入成功通過驗證後,主控台會開啟並顯示 [開始使用] 頁面。

  2. 在 [開始使用] 精靈中展開一般設定區段 (如果尚未展開)。
  3. 在 Active Directory 下方,按一下設定

主控台會顯示視窗,這是 Active Directory 登錄工作流程的開頭。此視窗的外觀會因您的租用戶最先使用的是 Horizon Connection Server 類型的網繭,還是使用 Horizon Cloud on Microsoft Azure 部署而異。

網域繫結 - Horizon Connection Server 網繭

請在主控台視窗中提供所要求的資訊,然後按一下網域繫結,儲存該資訊。輸入每個繫結帳戶名稱時,請輸入不包含網域名稱的帳戶名稱,如同使用者登入名稱一樣,例如 ouraccountname

表 1. Horizon Pod - 登錄 Active Directory 欄位
欄位 說明
NETBIOS 名稱 主控台會顯示選取項目功能表,其中填入了 Horizon 網繭可以看到的所有 Active Directory 網域名稱。選取您想要先登錄的 Active Directory 網域。
DNS 網域名稱 唯讀。主控台會自動顯示您選給 NETBIOS 名稱之 Active Directory 網域的完整 DNS 網域名稱。
通訊協定 會自動顯示 LDAP,即此網繭類型支援的通訊協定。
繫結使用者名稱繫結密碼 提供網域繫結服務帳戶的認證,以供服務用於選取的網域。
輔助帳戶 #1 繫結使用者名稱繫結密碼欄位中,輸入要用作輔助 LDAP 繫結帳戶的網域使用者帳戶及其相關聯密碼。
進階內容 除非您變更預設值,否則服務將使用主控台中顯示的預設值。
  • 連接埠 - 預設值為 389,預設連接埠為 LDAP。除非您的網域使用的是非標準 LDAP 連接埠,否則請保留此值。
  • 網域控制站 IP - 如果您希望租用戶指向此 Active Directory 網域的流量使用特定的網域控制站,請輸入偏好的網域控制站 IP 位址 (以逗號分隔)。如果此文字方塊保留為空白,則服務會使用任何適用於此 Active Directory 網域的網域控制站。
  • 內容 - 與 DNS 網域名稱相關的 LDAP 命名內容。系統會根據服務從 NetBIOS 名稱中的網域所擷取的資訊以及 DNS 網域名稱欄位中自動顯示的資訊,在這個文字方塊中自動填入內容。

網域繫結 - Horizon Cloud on Microsoft Azure 部署

請在主控台視窗中提供所要求的資訊,然後按一下網域繫結,儲存該資訊。輸入每個繫結帳戶名稱時,請輸入不包含網域名稱的帳戶名稱,如同使用者登入名稱一樣,例如 ouraccountname

表 2. Horizon Cloud Pod - 登錄 Active Directory 欄位
欄位 說明
NETBIOS 名稱 系統會顯示文字方塊。輸入網繭可以看到的 AD 網域 NetBIOS 名稱。此名稱一般不包含句號。如需有關如何從 Active Directory 網域環境中找出要使用的值範例,請參閱取得 NETBIOS 名稱和 DNS 網域名稱資訊
DNS 網域名稱 針對您指定給 NETBIOS 名稱 的 AD 網域,輸入其完整 DNS 網域名稱。
通訊協定 會自動顯示 LDAP,即此網繭類型支援的通訊協定。
繫結使用者名稱繫結密碼 提供網域繫結服務帳戶的認證,以供服務用於選取的網域。
輔助帳戶 #1 繫結使用者名稱繫結密碼欄位中,輸入要用作輔助 LDAP 繫結帳戶的網域使用者帳戶及其相關聯密碼。
進階內容 選用。除非您變更預設值,否則服務將使用主控台中顯示的預設值。
  • 連接埠 - 預設值為 389,預設連接埠為 LDAP。除非您的網域使用的是非標準 LDAP 連接埠,否則請保留此值。
  • 網域控制站 IP - 如果您希望租用戶指向此 Active Directory 網域的流量使用特定的網域控制站,請輸入偏好的網域控制站 IP 位址 (以逗號分隔)。如果此文字方塊保留為空白,則服務會使用任何適用於此 Active Directory 網域的網域控制站。
  • 內容 - 與 DNS 網域名稱相關的 LDAP 命名內容。系統會根據服務從網域 DNS 網域名稱欄位擷取的資訊,在這個文字方塊中自動填入內容。

下列螢幕擷取畫面說明您的第一個雲端連線網繭在 Microsoft Azure 時的 [登錄 Active Directory] 視窗。欄位具有範例 Active Directory 網域的值,NetBIOS 名稱為 ENAUTO,DNS 網域名稱為 ENAUTO.com


填寫了範例值的 [登錄 Active Directory] 視窗螢幕擷取畫面。

網域加入

網域繫結步驟成功完成後,主控台會自動顯示 [網域加入] 對話方塊。對於帳戶認證,請根據先決條件中所述,使用符合網域加入帳戶準則的 Active Directory 帳戶。

最佳做法是完成此精靈步驟中的必要欄位。儘管在此版本中,網域加入帳戶主要用於涉及位於 Microsoft Azure 中網繭之虛擬機器的系統作業,但完成此步驟,可確保主控台會提示您完成授予超級管理員角色的後續步驟。

重要: 如果網域繫結步驟失敗,但您繼續新增網域加入帳戶,而系統直接進入超級管理員角色步驟,則即使系統繼續執行下一步,登錄程序仍未全部完成。如果發生這種情況,請遵循 移除 Active Directory 網域登錄中的步驟,然後再次從 [網域繫結] 流程開始進行。
  1. 在 [網域加入] 對話方塊中,提供必要資訊。
    選項 說明
    主要 DNS 伺服器 IP 您想要讓 Horizon Cloud 用來解析機器名稱之主要 DNS 伺服器的 IP 位址。

    對於 Microsoft Azure 中的網繭,此 DNS 伺服器必須能夠解析 Microsoft Azure 雲端內的機器名稱,且能夠解析外部名稱。

    次要 DNS 伺服器 IP (選用) 次要 DNS 伺服器的 IP
    預設 OU 您想要讓網繭之桌面相關虛擬機器使用的 Active Directory 組織單位 (OU),例如已匯入的虛擬機器、伺服器陣列 RDSH 虛擬機器和 VDI 桌面執行個體。Active Directory OU 的格式如同 OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系統預設值為 CN=Computers。您可以變更預設值以符合您的需求,例如 CN=myexample
    備註: 如需巢狀組織名稱的說明,請參閱 使用巢狀 Active Directory 網域組織單位的考量事項。每個輸入的個別 OU 長度皆必須在 64 個字元以內 (不計入您輸入的 OU= 部分)。Microsoft 將個別 OU 限制在 64 個字元以內。長度超過 64 個字元、但沒有任何個別 OU 的字元數超過 64 個的 OU 路徑仍為有效。不過,每個 OU 的長度皆必須為 64 個字元以內。
    加入使用者名稱加入密碼 Active Directory 中有權將電腦加入至該 Active Directory 網域的使用者帳戶。提供使用者名稱及其相關聯的密碼。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    輔助加入使用者名稱輔助加入密碼 選用。指定輔助網域加入帳戶。

    如果您指定的主要網域加入帳戶變得無法存取,則系統會使用輔助網域加入帳戶,此帳戶用於那些在 Microsoft Azure 中網繭需要加入網域的作業,例如匯入映像虛擬機器、建立伺服器陣列 RDSH 執行個體,以及建立 VDI 桌面執行個體等。

    根據先決條件中所述,使用符合主要網域加入帳戶相同準則的 Active Directory 帳戶。確保此輔助網域加入帳戶具有與主要網域加入帳戶不同的到期時間,除非這兩個帳戶已設定永不到期。如果主要和輔助網域加入帳戶同時到期,則系統用於密封映像並佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的作業將會失敗。

    如果您未在此時新增輔助網域加入帳戶,可稍後再新增一個。如果您是現在新增,則之後可以更新或移除它。只能新增一個輔助網域加入帳戶。

  2. 按一下儲存

    網域加入步驟成功完成後,會顯示 [新增管理員] 對話方塊,您應該繼續執行此步驟,以將超級管理員角色新增至 AD 網域中的管理員群組。

    重要: 如果網域加入步驟失敗,則登錄程序即無法全部完成。如果發生此情況,請遵循 移除 Active Directory 網域登錄中的步驟,然後從步驟 4 重新開始。

將超級管理員角色新增至 AD 群組

  1. 在 [新增管理員] 對話方塊中,使用 Active Directory 搜尋功能,以便選取您要使用此主控台針對環境執行管理動作的 Active Directory 管理員群組。此指派可確保至少有一個 Active Directory 網域的使用者帳戶獲授與權限,能夠登入此主控台,而現在已針對此客戶帳戶設定 Active Directory 網域。
  2. 按一下儲存

當您按一下儲存時,系統會讓您返回登入畫面。現在,您已向 Active Directory 網域登錄網繭,系統會要求您重新登入,以強制使用 Active Directory 帳戶以及 My VMware 認證。例如,在這段時間內,您可以使用 My VMware 帳戶登入,然後使用您剛為其指派超級管理員角色之 Active Directory 群組中使用者的 Active Directory 帳戶認證來登入。

重要: 將 Active Directory 群組指派給超級管理員角色後,切勿將指定的管理員群組從 Active Directory 系統中移除,或變更其在 Active Directory 系統中顯示的 GUID,除非您已將其他管理員群組新增至此超級管理員角色,如 將角色指派給 Active Directory 群組,以控制在這些群組中的個人向 Horizon Cloud 租用戶環境進行驗證後要為其啟用的 Horizon Universal Console區域中所述。此超級管理員角色可控制您的哪些 AD 使用者帳戶能夠登入 Horizon Cloud 租用戶帳戶,並在主控台中執行管理作業。如果您從 Active Directory 系統中移除該群組,或變更其在 Active Directory 系統中的 GUID,該變更將不會傳達至 Horizon Cloud 控制平面,且 Horizon Cloud 將無法辨識這個具有超級管理員角色的 AD 群組。如果該群組是指派給此超級管理員角色的唯一群組,則您用來取得超級管理員存取權的任何 AD 帳戶,都將能夠登入有權執行管理作業的 Horizon Cloud 租用戶帳戶。此時,僅能使用網域繫結帳戶和輔助網域繫結帳戶的認證來登入,以及將群組新增至超級管理員角色。

完成流程的結果

完成所有精靈步驟之後,下列項目都將準備就緒:

  • Active Directory 網域會在雲端平台中設定為與此 Horizon Cloud 客戶帳戶相關聯的第一個雲端設定 Active Directory 網域。
  • 對於 Horizon Cloud Pod,Horizon Cloud 具有網域加入帳戶,若有系統作業要將虛擬機器加入至該網域時,就需要用到此帳戶。
  • 主控台中的管理活動現在可供存取。
  • 當您登入主控台時,登入流程會發生變更,現在 Horizon Cloud 租用戶具有其第一個已登錄的 Active Directory 網域。如需登入流程的概觀,請參閱關於 Horizon Cloud 租用戶環境的驗證
  • 獲得您授與超級管理員角色之群組中的使用者使用相關聯的 My VMware 帳戶登入時,將能存取主控台並執行管理活動。若要讓那些管理員能夠將自己的 My VMware 帳戶認證用於驗證 Horizon Cloud,請完成將管理角色提供給組織中的個人以進行登入,以及在 Horizon Cloud 租用戶環境中使用 Horizon Universal Console執行動作中所述的步驟。
  • 您可以選取來自已登錄 Active Directory 網域的使用者帳戶,以針對涉及來自 Microsoft Azure 中網繭的資源進行指派。
  • 主控台的服務台功能可用於搭配來自該已登錄 Active Directory 網域的使用者帳戶。

下一步

此時,您通常會執行下列工作:

注意: 如果您只有一個已指派了超級管理員角色的 Active Directory 群組,請勿從 Active Directory 伺服器中移除該群組。執行此作業可能會導致日後發生登入問題。