在您第一次成功配對第一個網繭與 Horizon Cloud 之後,您需要透過 cloud.horizon.vmware.com 登入 Horizon Cloud 以向 Horizon Cloud 環境登錄 Active Directory 網域。當登錄工作流程完成時,該 Active Directory 網域即為 Horizon Cloud 客戶帳戶中的第一個雲端設定 Active Directory 網域。整體登錄工作流程是一個多步驟程序。

您應立即或在雲端配對第一個網繭與 Horizon Cloud 不久之後執行此 Active Directory 網域登錄程序。若是 Microsoft Azure 中的網繭,則網繭會在網繭部署從 Horizon Cloud 初始化時與 Horizon Cloud 進行雲端配對,若是在 Horizon 網繭內部部署或 VMware Cloud on AWS 中,則會使用 Horizon Cloud Connector 進行初始化。此登錄工作流程的整體步驟如下:

  1. 提供 Active Directory 網域的名稱相關資訊、通訊協定相關資訊,以及 Horizon Cloud 可以用來查詢該 Active Directory 網域之網域繫結服務帳戶的認證。如需該網域繫結帳戶需要何種 Horizon Cloud 的相關資訊,請參閱網域繫結帳戶需求
  2. 提供您要讓 Horizon Cloud 用來解析組織單位 (OU) 之 DNS 伺服器的 IP 位址,而其中您想要網繭的桌面相關虛擬機器 (VM),以及 Horizon Cloud 可用來加入那些桌面相關虛擬機器的網域加入服務帳戶認證。此類虛擬機器包含已匯入的主要虛擬機器、伺服器陣列 RDSH 執行個體,以及 VDI 桌面執行個體等。如需該網域加入帳戶需要何種 Horizon Cloud 的相關資訊,請參閱網域加入帳戶需求
  3. Horizon Cloud 超級管理員角色指派給 Active Directory 網域群組。
重要: 請先檢閱下列幾點以瞭解登錄工作流程:
  • 您必須為所登錄的第一個網域完成整個 Active Directory 登錄程序,然後才能在主控台中移至其他頁面。在您完成這些工作之前,系統會鎖定主要服務。
  • 此外,受到已知問題的影響,在使用 Horizon Cloud Connector 之 VMware Cloud on AWS 網繭中連線 Horizon 內部部署和 Horizon 時,如果您在針對後續網繭嘗試執行連接器的雲端配對工作流程之前並未完成第一個網繭的此 Active Directory 網域登錄程序,則可能會發生非預期的結果。即使雲端配對工作流程可讓您在向 Horizon Cloud 完成第一個 Active Directory 網域登錄之前針對多個網繭來執行,如果您在下一個網繭上執行雲端配對程序之前尚未完成第一個網域登錄,則此網域登錄程序可能會失敗。在此情況下,您將必須:
    1. 使用 Horizon Cloud Connector 組態入口網站中的拔除動作,以移除每個雲端連線網繭之間的連線,除非您已進行到單一雲端連線網繭。
    2. 移除失敗的登錄,並依照Horizon Cloud 移除失敗的 Active Directory 網域登錄中的步驟。
    3. 完成與該網繭相關的第一個 Active Directory 網域登錄程。
    4. 在其他網繭上重新執行 Horizon Cloud Connector 工作流程。
  • 在此版本的網繭中,您在這些步驟中指定的網域加入帳戶僅會用於 Microsoft Azure 中的網繭,不過在您的環境僅有 Horizon 網繭連線到雲端時,較謹慎的做法是完成網域加入帳戶步驟,以確保在後續的提示中指派已啟用的超級管理員角色。將該角色指派至 Active Directory 網域群組是適用於所有雲端連線網繭類型的必要步驟。
重要: 在與網域繫結和網域加入帳戶相關的 繫結使用者名稱加入使用者名稱文字方塊中,請提供帳戶名稱本身,例如 ouraccountname,如同不含網域名稱的使用者登入名稱。

必要條件

確認 Active Directory 基礎結構與精確的時間來源同步化,以避免網域加入帳戶步驟失敗。此類失敗可能需要您連絡 VMware 支援來尋求協助。如果網域繫結步驟成功,但網域加入步驟失敗,您可以嘗試重設網域,然後調查是否需要調整時間來源。若要重設網域,請參閱移除 Active Directory 網域登錄中的步驟。

確認您的第一個網繭已成功部署。[開始使用] 精靈的 [容量] 區段會指出第一個網繭是否已成功部署,方法是顯示綠色核取記號圖示 (具有白色核取記號的圓形綠色圖示表示成功)。

對於所需的主要和輔助網域繫結帳戶,請確認您有兩個符合網域繫結帳戶需求中所述需求之 Active Directory 使用者帳戶的相關資訊。

注意: 若要防止會阻止您登入雲端式主控台以管理 Horizon Cloud 環境的意外鎖定,您必須確保網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶,以確認認證來登入主控台。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶都已到期或無法存取,則您將無法登入主控台並更新組態以使用可供存取的網域繫結帳戶。

系統一律會為主要和輔助網域繫結帳戶指派超級管理員角色,而授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取指定的網域繫結帳戶。

對於網域加入帳戶,請確認帳戶符合 網域加入帳戶需求中所述的需求。網域加入帳戶也必須位於您新增至主控台中超級管理員角色的 Active Directory 群組中。Horizon Cloud 角色只能在群組層級上指派。
注意: 對於涉及 Microsoft Azure 中網繭的系統作業而言這一點很重要。如果您在 Active Directory 網域登錄之網域加入帳戶步驟中提供的網域加入帳戶尚不屬於您可以指派超級管理員角色的 Active Directory 群組,請為該帳戶建立 Active Directory 群組,以確保可將超級管理員角色指派給該網域加入帳戶。

如果您只有一個已指派了超級管理員角色的 Active Directory 群組,請勿從 Active Directory 伺服器中移除該群組。執行此作業可能會導致日後發生登入問題。

重要: 對於 Microsoft Azure 中網繭,此網域加入帳戶必須位於您授與超級管理員角色的其中一個 Active Directory 群組。如果網域加入帳戶並非位於授與超級管理員角色的群組中,則涉及將網繭之虛擬機器加入至網域的系統作業將會失敗,例如在匯入主要映像,或建立 RDSH 伺服器陣列和虛擬桌面時。

確認您擁有 Active Directory 網域的 NetBIOS 名稱和 DNS 網域名稱。此工作流程的第一個步驟中,您將在主控台的 [登錄 Active Directory] 視窗中提供這些值。如需如何找出這些值的範例,請參閱尋找 Horizon Cloud 登錄 Active Directory 工作流程之 NETBIOS 名稱和 DNS 網域名稱欄位所需的資訊

為了未來的考量,請記住,如果您打算稍後使用相同的 Horizon Cloud 客戶帳戶來連線其他 Horizon 網繭,或將網繭部署至 Microsoft Azure 以形成一個整合的環境,則在您連線或部署那些網繭時,那些網繭必須對相同的 Active Directory 網域具有直視性。

程序

  1. 使用瀏覽器與您慣用的方法,透過 cloud.horizon.vmware.com 登入雲端式主控台。
    • 在登入頁面的 My VMware 認證區段中,輸入 My VMware 帳戶的認證。帳戶認證是主要電子郵件地址 (例如 user@example.com) 以及帳戶的設定檔中所設定的密碼。此選項會將驗證要求傳送至 Horizon Cloud 控制平面。
    • 在登入頁面的 VMware Cloud Services 區段中,按一下 VMWARE CLOUD 登入。按一下該按鈕會將驗證要求重新導向至 VMware Cloud Services,以根據組織在此處的組態對您進行驗證。您的組織可能已要求您使用 VMware Cloud Services 存取其 Horizon Cloud 租用戶。
    下列螢幕擷取畫面說明如何透過輸入 My VMware 帳戶的認證來進行登入。
    Horizon Cloud on Microsoft Azure:初次登入 My VMware 帳戶登入畫面的螢幕擷取畫面

    如果您先前未接受使用這些 My VMware 認證的 Horizon Cloud 服務條款,則在您按一下 登入按鈕後,系統將顯示服務條款通知方塊。請接受服務條款以繼續作業。
    當您的登入成功通過驗證後,主控台會開啟並顯示 [開始使用] 精靈。

    如果首次登入時並未顯示 [開始使用] 精靈,可按一下設定 > 開始使用來予以開啟。

  2. 在 [開始使用] 精靈中展開一般設定區段 (如果尚未展開)。
  3. 在 Active Directory 下方,按一下設定
  4. 在 [登錄 Active Directory] 對話方塊中,提供要求的登錄資訊。
    重要: 使用符合先決條件所述之主要和輔助網域繫結帳戶準則的 Active Directory 帳戶。
    選項 說明
    NETBIOS 名稱
    • 如果您在客戶帳戶中的第一個雲端連線網繭為 Horizon 網繭,則在此步驟中,系統會顯示一個選取項目功能表,其中會填入 Horizon 網繭可以看到的所有 Active Directory 網域名稱。選取您想要先登錄的 Active Directory 網域。
    • 如果您在客戶帳戶中的第一個雲端連線網繭為 Microsoft Azure 中的網繭,則在此步驟中,系統會顯示一個文字方塊。輸入要讓網繭能看到的 Active Directory 網域的 NetBIOS 名稱。此名稱一般不包含句號。如需如何從您的 Active Directory 網域環境尋找要使用之值的範例,請參閱尋找 Horizon Cloud 登錄 Active Directory 工作流程之 NETBIOS 名稱和 DNS 網域名稱欄位所需的資訊
    備註: 請記住,如果您打算使用此相同的 Horizon Cloud 客戶帳戶來連線其他 Horizon 網繭,或將網繭部署至 Microsoft Azure 以形成一個整合的環境,則在您連線或部署那些網繭時,那些後續網繭必須對相同的 Active Directory 網域具有直視性。
    DNS 網域名稱
    • 如果您在客戶帳戶中的第一個雲端連線網繭為 Horizon 網繭,系統會自動顯示為 NETBIOS 名稱所選取 Active Directory 網域的完整 DNS 網域名稱。
    • 如果您在客戶帳戶中的第一個雲端連線網繭為 Microsoft Azure 中的網繭,系統會顯示一個文字方塊。輸入您為 NETBIOS 名稱所指定 Active Directory 網域的完整 DNS 網域名稱。如需如何從您的 Active Directory 網域環境尋找要使用之值的範例,請參閱尋找 Horizon Cloud 登錄 Active Directory 工作流程之 NETBIOS 名稱和 DNS 網域名稱欄位所需的資訊
    通訊協定 自動顯示支援的通訊協定 LDAP
    繫結使用者名稱 網域中要用作主要 LDAP 繫結帳戶的使用者帳戶。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    繫結密碼 繫結使用者名稱文字方塊中名稱相關聯的密碼。
    輔助帳戶 #1 繫結使用者名稱繫結密碼欄位中,輸入要用作輔助 LDAP 繫結帳戶的網域使用者帳戶及其相關聯密碼。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    您可以選擇性地提供進階內容的值。
    選項 說明
    連接埠 預設值為 LDAP -> 389。除非您使用的是非標準連接埠,否則不需要修改此文字方塊。
    網域控制站 IP (選用) 如果您要讓 Active Directory 流量使用特定的網域控制站,請輸入偏好的網域控制站 IP 位址,並以逗號分隔。如果此文字方塊保留為空白,則系統會使用任何適用於此 Active Directory 網域的網域控制站。
    內容 LDAP 命名內容。此文字方塊會根據 DNS 網域名稱文字方塊中提供的資訊來自動填入。
    下列螢幕擷取畫面說明您的第一個雲端連線網繭在 Microsoft Azure 時的 [登錄 Active Directory] 視窗。欄位具有範例 Active Directory 網域的值,NetBIOS 名稱為 ENAUTO,DNS 網域名稱為 ENAUTO.com
    填寫了範例值的 [登錄 Active Directory] 視窗螢幕擷取畫面。

  5. 按一下網域繫結
    當網域繫結步驟成功時,將會顯示 [網域加入] 對話方塊,且您可以繼續進行下一個步驟。
    重要: 如果網域繫結步驟失敗,但您繼續新增網域加入帳戶,而系統直接進入超級管理員角色步驟,則即使系統繼續執行下一步,登錄程序仍未全部完成。如果發生此情況,請遵循 移除 Active Directory 網域登錄中的步驟,然後從步驟 4 重新開始。
  6. 在 [網域加入] 對話方塊中,提供必要資訊。
    備註:
    • 無論網繭類型為何,執行此 Active Directory 網域登錄程序時,您必須完成此步驟中的必要欄位。即使在此版本中的網域加入帳戶主要用於涉及位於 Microsoft Azure 中網繭之虛擬機器的系統作業,完成此步驟可確保完成下一個授與超級管理員角色的必要步驟。
    • 根據先決條件中所述,使用符合網域加入帳戶準則的 Active Directory 帳戶。
    選項 說明
    主要 DNS 伺服器 IP 您想要讓 Horizon Cloud 用來解析機器名稱之主要 DNS 伺服器的 IP 位址。

    對於 Microsoft Azure 中的網繭,此 DNS 伺服器必須能夠解析 Microsoft Azure 雲端內的機器名稱,且能夠解析外部名稱。

    次要 DNS 伺服器 IP (選用) 次要 DNS 伺服器的 IP
    預設 OU 您想要讓網繭之桌面相關虛擬機器使用的 Active Directory 組織單位 (OU),例如已匯入的虛擬機器、伺服器陣列 RDSH 虛擬機器和 VDI 桌面執行個體。Active Directory OU 的格式如同 OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系統預設值為 CN=Computers。您可以變更預設值以符合您的需求,例如 CN=myexample
    備註: 如需巢狀組織名稱的說明,請參閱 使用巢狀 Active Directory 網域組織單位的考量事項。每個輸入的個別 OU 長度皆必須在 64 個字元以內 (不計入您輸入的 OU= 部分)。Microsoft 將個別 OU 限制在 64 個字元以內。長度超過 64 個字元、但沒有任何個別 OU 的字元數超過 64 個的 OU 路徑仍為有效。不過,每個 OU 的長度皆必須為 64 個字元以內。
    加入使用者名稱 Active Directory 中有權將電腦加入至該 Active Directory 網域的使用者帳戶。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    加入密碼 加入使用者名稱文字方塊中名稱相關聯的密碼。
  7. (選擇性) 指定輔助網域加入帳戶。
    如果您指定的主要網域加入帳戶變得無法存取,則系統會使用輔助網域加入帳戶,此帳戶用於那些在 Microsoft Azure 中網繭需要加入網域的作業,例如匯入映像虛擬機器、建立伺服器陣列 RDSH 執行個體,以及建立 VDI 桌面執行個體等。
    備註:
    • 根據先決條件中所述,使用符合主要網域加入帳戶相同準則的 Active Directory 帳戶。確保此輔助網域加入帳戶具有與主要網域加入帳戶不同的到期時間,除非這兩個帳戶已設定永不到期。如果主要和輔助網域加入帳戶同時到期,則系統用於密封映像並佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的作業將會失敗。
    • 您僅能為每個登錄至 Horizon Cloud 的 Active Directory 新增一個輔助網域加入帳戶。
    • 如果您未在此時新增輔助網域加入帳戶,則可以稍後再使用主控台新增一個。
    • 您可於後續更新或移除此帳戶。
    • 桌面相關虛擬機器上的代理程式相關軟體,例如密封的映像、伺服器陣列 RDSH 執行個體,或 VDI 桌面執行個體,皆必須為 18.1 版或更新版本,如此系統才能使用輔助網域加入帳戶來搭配該虛擬機器。
    選項 說明
    輔助加入使用者名稱 Active Directory 中有權將系統加入至該 Active Directory 網域的使用者帳戶。
    重要: 僅在此欄位中提供帳戶名稱,例如 ouraccountname,如同不含網域名稱的使用者登入名稱。輸入斜線或 @ 記號將會顯示錯誤。
    輔助加入密碼 輔助加入使用者名稱文字方塊中的名稱相關聯的密碼。
  8. 按一下儲存
    當網域加入步驟成功時,將會顯示 [新增超級管理員] 對話方塊,且您可以繼續進行下一個步驟。
    重要: 如果網域加入步驟失敗,則登錄程序即無法全部完成。如果發生此情況,請遵循 移除 Active Directory 網域登錄中的步驟,然後從步驟 4 重新開始。
  9. 在 [新增超級管理員] 對話方塊中,使用 Active Directory 搜尋功能,以便選取您要使用此主控台針對環境執行管理動作的 Active Directory 管理員群組。
    此指派可確保至少有一個 Active Directory 網域的使用者帳戶獲授與權限,能夠登入此主控台,而現在已針對此客戶帳戶設定 Active Directory 網域。
    重要: 為超級管理員角色新增包含網域加入帳戶的 Active Directory 群組,如先決條件中所述。如果網域加入帳戶不屬於任何具有超級管理員角色的 Active Directory 群組,則那些針對 Microsoft Azure 中網繭而涉及將虛擬機器加入網域的系統作業將會失敗。
    注意: 將此 Active Directory 群組指派給超級管理員角色後,切勿將指定的管理員群組從 Active Directory 系統中移除,或變更其在 Active Directory 系統中顯示的 GUID,除非您已將其他管理員群組新增至此超級管理員角色,如 指派 Horizon Cloud 管理角色給 Active Directory 群組中所述。此超級管理員角色可控制您的哪些 AD 使用者帳戶能夠登入 Horizon Cloud 租用戶帳戶,並在主控台中執行管理作業。如果您從 Active Directory 系統中移除該群組,或變更其在 Active Directory 系統中的 GUID,該變更將不會傳達至 Horizon Cloud 控制平面,且 Horizon Cloud 將無法辨識這個具有超級管理員角色的 AD 群組。如果該群組是指派給此超級管理員角色的唯一群組,則您用來取得超級管理員存取權的任何 AD 帳戶,都將無法登入有權執行管理作業的 Horizon Cloud 租用戶帳戶,這將使您無法將角色指派給另一個 AD 群組以重新取得管理存取權。此時,您必須連絡 VMware 支援,以協助您復原對租用戶帳戶的管理存取權。
  10. 按一下儲存
    當您按一下 儲存時,系統會讓您返回登入畫面。現在,您已向 Active Directory 網域登錄網繭,系統會要求您重新登入,以強制使用 Active Directory 帳戶以及 My VMware 認證。例如,在這段時間內,您可以使用 My VMware 帳戶登入,然後使用您剛為其指派超級管理員角色之 Active Directory 群組中使用者的 Active Directory 帳戶認證來登入。

結果

現在下列項目已準備就緒:
  • Active Directory 網域會在雲端平台中設定為與此 Horizon Cloud 客戶帳戶相關聯的第一個雲端設定 Active Directory 網域。
  • 對於 Microsoft Azure 中的網繭,Horizon Cloud 具有那些涉及將桌面相關虛擬機器加入該網域中之系統作業所需的必要網域加入帳戶。此外,網域加入帳戶具有必要的超級管理員角色,如此一來那些作業便可正確運作。
  • 主控台中的管理活動現在可供存取。
  • 當您登入主控台時,登入流程會發生變更,現在 Horizon Cloud 租用戶具有其第一個已登錄的 Active Directory 網域。如需登入流程的概觀,請參閱關於 Horizon Cloud 租用戶環境的驗證
  • 獲得您授與超級管理員角色之群組中的使用者使用相關聯的 My VMware 帳戶登入時,將能存取主控台並執行管理活動。若要讓那些管理員能夠將自己的 My VMware 帳戶認證用於驗證 Horizon Cloud,請完成新增登入 Horizon Cloud 租用戶環境的管理員中所述的步驟。
  • 您可以選取來自已登錄 Active Directory 網域的使用者帳戶,以針對涉及來自 Microsoft Azure 中網繭的資源進行指派。
  • 主控台的服務台功能可用於搭配來自該已登錄 Active Directory 網域的使用者帳戶。

後續步驟

此時,您通常會執行下列工作: