此頁面說明服務如何支援將設定了 LDAPS 的 Active Directory 環境,與雲端平面租用戶搭配使用。

從服務版本 2201 開始,服務支援使用設定為使用 LDAPS 的 Active Directory (AD) 網域環境。若要使用此功能,您的租用戶必須明確啟用此功能,且網繭機群中的網繭必須僅包含執行 v2201 版本資訊清單層級的 Horizon Cloud Pod。若想要求啟用此功能,可按照 VMware 知識庫文章 2006985 中所述,提交支援要求。

此功能簡介

作為提供 VDI 的服務,此服務要求能夠使用網域繫結帳戶,在 AD 網域中執行查閱。當您為 AD 環境設定 LDAPS 時,此服務需要網域控制站的根 CA 憑證和選用的中繼 CA 憑證。您可以使用 Horizon Universal Console 來收集憑證,並將憑證儲存到系統中。

服務提供兩種方法來提供受信任的 CA 憑證給系統 - 自動探索和手動上傳。本頁將進一步介紹這兩種方法。

要點和需求

在您登錄設定了 LDAPS 的 AD 網域之前,請檢閱以下要點和需求。

  • 不支援自我簽署憑證。
  • 服務會要求您的 DNS 具有設定成使用 LDAPS 之網域的 SRV 記錄。選擇對網域使用 LDAPS 時,將會隱含地要求使用 SRV 記錄。
  • 強烈建議您將 AD 環境設定成強制執行通道繫結。強制執行通道繫結是正確保護 LDAPS 的重要一環,尤其是在避免中間人 (MITM) 攻擊方面。
  • 在服務的網域登錄工作流程中,如果您要指定可供服務使用的偏好網域控制站,必須使用其完整 DNS 主機名稱來指定它們。將這些偏好網域控制站輸入至 Horizon Universal Console 時,主控台會阻止輸入 IP 位址。最佳做法是至少指定兩個偏好 DC。
  • 如果未在主控台的 [網域繫結] 精靈中指定偏好 DC,則服務使用 DNS 來探索的 DC 必須可供每個網繭連接。
  • 您的防火牆組態必須允許使用下列連接埠和通訊協定,從每個網繭建立指向網域控制站的輸出連線:
    • 連接埠 88/TCP - Kerberos 驗證
    • 連接埠 636/TCP 和 3269/TCP - LDAPS 通訊
  • 您必須為信任鏈中除了根憑證以外的所有憑證,定義 HTTP 撤銷端點,且該端點必須可讓網繭透過 HTTP 來連線。此需求包括以下幾點:
    • LDAP 不得用於撤銷端點。
    • 服務會使用憑證中定義的 OCSP 或 CRL HTTP URL 來執行撤銷檢查。
    • 如果憑證沒有為 HTTP 通訊協定定義 OCSP 或 CRL 端點,則服務無法執行撤銷檢查。在這種情況下,LDAPS 連線將失敗。
    • 每個網繭都必須能夠查看撤銷端點。您的防火牆不得阻止透過 HTTP 從已部署網繭流向撤銷端點的輸出流量。

自動探索 - Microsoft CA

如果使用 Microsoft CA 來核發網域控制站憑證,則 Horizon Universal Console 會提供自動探索機制。此機制會自動找出 Active Directory 環境中的所有根憑證和中繼憑證,並將這些憑證顯示在主控台中,以供您確認並核准在系統中使用。您可以選擇全接受或都不接受所有自動探索到的憑證。不支援局部核准。

一旦在主控台中核准後,系統會存放核准的憑證,以便隨後用於同一樹系中的所有網域。當您對一個網域執行自動探索程序,並向服務登錄該網域之後,當您登錄同一樹系中的另一個網域時,您需要接受主控台中顯示之自動探索到的憑證,即使來自同一樹系的先前網域已經登錄也是如此。此流程提供一種方法,可在登錄新網域時發現是在樹系中建立了任何新憑證,還是在登錄前一個網域與同一樹系中下一個網域之間的這段時間內刪除了憑證。

主控台會在下列位置為您提供此自動探索路徑:

  • 在 AD 網域登錄流程 [網域繫結] 部分的 [通訊協定] 步驟中。在通訊協定方面若選取 LDAPS,則可以使用自動探索選項和按鈕,來自動探索憑證,並讓您核准使用它們。
  • [AD 憑證] 頁面上的設定 > AD 憑證 > 已自動探索。當您的租用戶至少存在一個現有已登錄 AD 網域時,主控台會顯示此頁面。此頁面會顯示自動探索到的憑證,以便您可以查看哪些憑證已獲得授權,並允許您透過刪除不在使用中的憑證,來清理憑證集。

手動上傳 - 非 Microsoft CA 或 Microsoft CA

如果使用非 Microsoft CA 來核發網域控制站憑證,或者使用不支援企業 CA 的 AADDS,則 Horizon Universal Console 會提供手動上傳路徑,來提供 CA 憑證給系統。在這種情況下,您必須使用主控台手動上傳 PEM 編碼的根憑證和中繼 CA 憑證。

即便您的環境正在使用 Microsoft CA,您也可以視需要,選擇使用手動上傳方式。

如果您已使用 certutil 等公用程式,將第三方非 Microsoft CA 憑證發佈到 Active Directory 網域,則自動探索方法可用來探索這些 CA 憑證。

主控台會在下列位置為您提供此手動上傳路徑:

  • 在 AD 網域登錄流程 [網域繫結] 部分的 [通訊協定] 步驟中。如果在通訊協定方面選取了 LDAPS,則可以使用上傳選項和按鈕來上傳憑證。
  • [AD 憑證] 頁面上的設定 > AD 憑證 > 已上傳。當您的租用戶至少存在一個現有已登錄 AD 網域時,主控台會顯示此頁面。在該頁面上,使用上傳按鈕來上傳每一份憑證。

撤銷檢查

服務會使用憑證中所定義的內容來執行憑證撤銷檢查:OCSP 或 CRL http:// URL。服務偏好透過 OCSP 進行檢查。如果無法連接至端點,服務會嘗試使用 CRL 正常進行檢查。

支援裝訂的 OCSP 回應。

記住: 如前面的〈要點和需求〉一節所述,必須將 CA 設定成使用 HTTP 來提供 OCSP 和/或 CRL。如果您不符合該需求,則服務檢查不會起作用。

新核發的 CA 憑證 - 需要更新網域登錄

核發新的 CA 憑證時,必須儘快更新系統,讓系統可以識別新核發的 CA 憑證。請使用以下方法之一,將 CA 憑證放到系統中

在網域登錄中使用手動上傳時
在新核發 CA 憑證後,必須立即將其上傳至系統。移至 設定 > AD 憑證 > 已上傳,然後使用 上傳
在網域登錄中使用自動探索時
使用此方法時,系統會自動偵測是否存在這類新核發的 CA 憑證。當系統偵測到新的 CA 憑證時,它會產生通知,並與主控台的標準通知一起顯示。此通知旨在提醒您需要將新的 CA 憑證儲存到系統。對於網域樹系,將針對每個樹系中的一個網域 (而不是為樹系中的每一個網域) 產生此通知,因為只要更新一個網域的登錄,就能滿足對所有樹系中網域的動作。

若要更新網域登錄,請啟動主控台的 [網域繫結] 精靈,然後使用精靈的 [通訊協定] 步驟中的自動探索按鈕,重複執行自動探索程序。

當 DC 憑證即將到期時 - 儘快修復

當服務偵測到網域控制站 (DC) 憑證即將到期時,會在主控台中建立通知,且會與主控台的標準通知一起顯示在主控台中。第一則通知會在到期前 21 天顯示。

重要: VMware 建議管理員儘快對這些通知採取動作。
  • 執行修復動作,以重新核發即將到期的 DC 憑證。
  • 如果修復動作涉及核發新的 CA 憑證,則必須先將新的 CA 憑證儲存至系統,才能使用該 CA 來核發新的 DC 憑證。有關將新 CA 憑證儲存至系統的指示,請參閱上一節。
「憑證即將到期」通知範例
以下螢幕擷取畫面顯示其中一則通知。對於網域樹系,將針對每個樹系中的一個網域 (而不是為樹系中的每一個網域) 產生此通知,因為只要更新一個網域,就能滿足對所有樹系中網域的動作。按一下超連結時會移至該網域的組態,您可以從中起始 [網域繫結] 精靈。
此螢幕擷取畫面說明其中一則即將到期的憑證通知

支援在 LDAP 和 LDAPS 之間切換

如果您的租用戶符合此頁面頂端所述的此項功能準則,且在使用一種通訊協定登錄 AD 網域後,您可以使用主控台來更新該現有網域繫結組態,以切換成其他通訊協定。例如,當您已將網域繫結設定成使用 LDAPS 通訊協定,且需要切換成 LDAP (反之亦然) 時,您可以移至 Active Directory > 網域繫結,然後編輯網域繫結資訊,以選取其他通訊協定。在您開始編輯網域繫結時,主控台會開啟 [網域繫結] 精靈。然後完成精靈,輸入必要資訊,並逐一完成步驟,以從目前通訊協定選項變更為另一個通訊協定選項。

從服務的 [已儲存的集合] 中刪除憑證

主控台會顯示目前已儲存至服務的所有憑證。為了讓您能夠從主控台顯示頁面中清除不再需要的憑證,主控台的設定 > AD 憑證頁面在自動探索已上傳憑證顯示畫面中,都會提供刪除動作。

為您的租用戶啟用 LDAPS 支援時的 [網域繫結] 精靈

啟用此功能後,畫面上的網域繫結流程將與未啟用此功能的網域繫結流程有所不同。啟用此功能時,其步驟如下所示。

  1. 登入主控台,其網址為 https://cloud.horizon.vmware.com
  2. 如果您的租用戶沒有登錄任何 AD 網域 (例如,當租用戶和第一個網繭是全新時),則只能從可存取的位置啟動網域繫結流程:主控台的開始使用 > 一般設定 > Active Directory > 設定

    如果您的租用戶已登錄一個 AD 網域 (如此一來,主控台將允許您存取其左側頁面功能表),則可以移至主控台的設定 > Active Directory 頁面,以開始輸入網域繫結資訊。

  3. 在您執行步驟 2 時,會顯示 [網域繫結] 精靈。此精靈包含三個部分:[網域繫結]、[通訊協定]、[摘要]。

    以下螢幕擷取畫面顯示該顯示畫面及三個部分,首先顯示的是 [網域繫結] 部分。


    此螢幕擷取畫面顯示主控台針對流程第一個步驟 ([網域繫結] 步驟) 顯示的內容
  4. 在精靈的第一個步驟中,提供所要求的資訊,然後按下一步,儲存該資訊,並移至下一步。輸入每個繫結帳戶名稱時,請輸入不包含網域名稱的帳戶名稱,如同使用者登入名稱一樣,例如 ouraccountname。如需服務對這些網域繫結帳戶有哪些要求的相關資訊,請參閱網域繫結帳戶 - 必要的特性
    欄位 說明
    NETBIOS 名稱 系統會顯示文字方塊。輸入網繭可以看到的 AD 網域 NetBIOS 名稱。此名稱一般不包含句號。如需有關如何從 Active Directory 網域環境中找出要使用的值範例,請參閱取得 NETBIOS 名稱和 DNS 網域名稱資訊
    DNS 網域名稱 針對您指定給 NETBIOS 名稱 的 AD 網域,輸入其完整 DNS 網域名稱。
    繫結使用者名稱繫結密碼 提供網域繫結服務帳戶的認證,以供服務用於選取的網域。
    輔助帳戶 #1 繫結使用者名稱繫結密碼欄位中,輸入要用作輔助 LDAP 繫結帳戶的網域使用者帳戶及其相關聯密碼。
  5. 在 [通訊協定] 步驟中,選取通訊協定,並選擇性地提供偏好的網域控制站,以供服務用來與您在第一個精靈步驟中輸入的 AD 網域通訊,以及提供其他資訊。在設定了 LDAPS 的 AD 環境中,您可以在精靈的這個步驟中,提供受信任的 CA 憑證。

    UI 會反映您的通訊協定選擇。以下螢幕擷取畫面顯示 LDAPS 選項和自動探索選項按鈕選擇。


    此螢幕擷取畫面顯示主控台的 [網域繫結 - 通訊協定] 精靈步驟。

    這些欄位均位於您在上一精靈步驟中指定的 AD 網域內容中。UI 會根據您的選擇動態變更。

    欄位 說明
    通訊協定 選擇 LDAPS 或 LDAP。
    網域控制站 選用。您可以使用此文字方塊來指定一份以逗點分隔的 DC 清單,以供服務用來存取您在第一個步驟中指定的 AD 網域。如果將此文字方塊留白,則該服務會使用任何適用於此 AD 網域的網域控制站。
    • 當選取 LDAPS 作為通訊協定時,必須使用完整 DNS 主機名稱來指定 DC。
    • 當選取 LDAP 作為通訊協定時,則可以使用 IP 位址或完整 DNS 主機名稱。
    內容 AD 網域的命名內容。系統會根據您在上一個精靈步驟中指定給 DNS 網域名稱的資訊,自動填入此文字方塊中。
    憑證 當選取 LDAPS 作為通訊協定時可用。選取向系統提供 CA 憑證的方式。如同此頁面之前所述,系統支援以下兩種方法:
    • 自動探索 CA 憑證。請參閱本說明文件頁面先前所述的〈自動探索 - Microsoft CA〉一節,以進一步瞭解您的 AD 網域環境是否支援使用此方法。
    • 手動上傳 CA 憑證。如果 AD 網域環境不支援使用自動探索方法,請選取此方法。

    在您選取 LDAPS 作為通訊協定,並在憑證中選取其中一個選項按鈕之後,請根據所選的憑證提供方法,執行下列其中一個步驟。在這兩種情況下,當 UI 顯示憑證時,請按照畫面上的提示進行。

    自動探索
    按一下 自動探索。如這個頁面先前幾節所述,系統會在 AD 網域指定的環境中偵測到 CA 憑證,以及偵測到輸入至相關精靈欄位中的網域控制站資訊。這些 CA 憑證會顯示在 UI 中。請按照畫面上的流程進行。UI 會提示您接受所有探索到的憑證。您必須先接受探索到的憑證集,精靈才能繼續執行其最後一個步驟。
    上傳
    使用此方法時,必須手動上傳 PEM 編碼的根憑證和中繼 CA 憑證。按一下 上傳,從本機系統上傳 CA 憑證檔。UI 將只接受具有 PEM 副檔名的檔案。

    當您看到精靈的下一步按鈕可供您點選時,請按下該按鈕,以移至最後一個步驟。

  6. 在 [摘要] 步驟中檢閱相應資訊,如果滿意,請按一下完成

    下列螢幕擷取畫面顯示當在上一個步驟中使用上傳方法來提供憑證時的摘要。在此範例中,上傳了八 (8) 份憑證。


    此螢幕擷取畫面說明主控台的 [網域繫結 - 摘要] 步驟。

在此流程結束時,會將 AD 網域的網域繫結組態儲存至系統。

在您為全新的 Horizon Cloud 租用戶登錄第一個 AD 網域的過程中,如果您已執行上述流程,則 UI 隨後會提示您完成 [網域加入] 流程和 [新增管理員] 流程。如需這兩個流程的相關資訊,請參閱執行您的第一個 Active Directory 網域登錄中的〈網域加入和新增超級管理員角色〉一節。

[AD 憑證] 頁面

將憑證儲存至系統後,主控台會在 [AD 憑證] 頁面顯示這些憑證。您可以使用此頁面,來查看目前儲存至系統的 CA 憑證,以及刪除您知道不再使用的憑證。僅出於說明目的,下列螢幕擷取畫面顯示管理員將憑證上傳到系統的情況。


此螢幕擷取畫面顯示一個範例,指出當 [已上傳] 視圖包含 6 份已上傳憑證時,主控台的 [AD 憑證] 頁面的外觀。