In Azure Active Directory eingebundene Kataloge erstellen
In diesem Artikel wird beschrieben, wie Sie mit Azure Active Directory (AD) verbundene Kataloge mit Citrix DaaS erstellen.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter In Azure Active Directory eingebunden.
Vor dem Erstellen des Maschinenkatalogs benötigen Sie Folgendes:
- Einen neuen Ressourcenstandort
- Wählen Sie in der Citrix Cloud-Verwaltungsoberfläche im Hamburgermenü oben links Ressourcenstandorte.
- Klicken Sie auf + Ressourcenstandort.
- Geben Sie den Namen für den neuen Ressourcenstandort ein und klicken Sie auf Speichern.
- Erstellen Sie eine Hostverbindung. Weitere Informationen finden Sie unter Verbindungen erstellen und verwalten. Beachten Sie beim Bereitstellen von Maschinen in Azure auch die Hinweise unter Verbindung mit Azure Resource Manager.
Sie können mit Azure AD verbundene Kataloge mit der Oberfläche “Vollständige Konfiguration” oder PowerShell erstellen.
Verwenden der Schnittstelle für die vollständige Konfiguration
Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Folgen Sie zum Erstellen eines Katalogs mit Azure AD-Einbindung den allgemeinen Anweisungen in dem Artikel. Beachten Sie besonders die spezifischen Details für Kataloge mit Azure AD-Einbindung.
Im Assistenten für die Katalogerstellung:
- Führen Sie auf der Seite Masterimage folgende Schritte aus:
- Wählen Sie 2106 oder höher als Funktionsebene.
- Wählen Sie Ein Maschinenprofil verwenden und dann in der Liste die entsprechende Maschine.
-
Wählen Sie auf der Seite Maschinenidentitäten die Option In Azure Active Directory eingebunden. Erstellte Maschinen gehören einer Organisation und sind mit einem Azure AD-Konto dieser Organisation angemeldet. Sie existieren nur in der Cloud.
Hinweis:
- Der Identitätstyp In Azure Active Directory eingebunden erfordert Version 2106 oder höher als minimale Funktionsebene für den Katalog.
- Die Maschinen werden in die Azure AD-Domäne eingebunden, die dem Mandanten zugeordnet ist, an den die Hostingverbindung gebunden ist.
- Den Benutzern muss explizit Zugriff in Azure zur Anmeldung bei den Maschinen mit ihren AAD-Anmeldeinformationen gewährt werden. Weitere Informationen finden Sie im Abschnitt In Azure Active Directory eingebunden.
Verwenden von PowerShell
Nachfolgend werden die den in “Vollständige Konfiguration” ausgeführten Schritten entsprechenden PowerShell-Schritte aufgeführt. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Einbindung liegt in der Erstellung des Identitätspools und des Provisioningschemas.
Zum Erstellen eines Identitätspools für Kataloge mit Azure AD-Einbindung gehen Sie folgendermaßen vor:
New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Zum Erstellen eines Provisioningschemas für Kataloge mit Azure AD-Einbindung ist der ParameterMachineProfile in New-ProvScheme erforderlich:
New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->
Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Einbindung sind mit denen für herkömmliche On-Premises-AD-Kataloge identisch.
Anzeigen des Status der Azure AD-Einbindung
In der Schnittstelle “Vollständige Konfiguration” wird der Status der Azure AD-Einbindung angezeigt, wenn die Maschinen mit Azure AD-Einbindung in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:
- In Azure AD eingebunden
- Noch nicht mit Azure AD verbunden
Hinweis:
Maschinen ohne Azure AD-Einbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.
In der Oberfläche “Vollständige Konfiguration” können Sie außerdem erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.
Bereitstellungsgruppe
Weitere Informationen finden Sie unter Bereitstellungsgruppen erstellen.
Aktivieren von Rendezvous
Wenn die Bereitstellungsgruppe erstellt ist, können Sie Rendezvous aktivieren. Weitere Informationen finden Sie unter Rendezvous V2.
Problembehandlung
Wenn Maschinen keine Azure AD-Einbindung aufweisen, gehen Sie wie folgt vor:
-
Überprüfen Sie, ob die vom System zugewiesene verwaltete Identität für die Maschinen aktiviert ist. Für mit MCS bereitgestellte Maschinen muss diese automatisch aktiviert sein. Wenn vom System keine verwaltete Identität zugewiesen wurde, schlägt die Einbindung in Azure AD fehl. Wenn die vom System zugewiesene verwaltete Identität für mit MCS bereitgestellte Maschinen nicht aktiviert ist, kann dies folgenden Grund haben:
-
IdentityTypedes Identitätspools, der dem Provisioningschema zugeordnet ist, ist nicht aufAzureADfestgelegt. Sie können dies überprüfen, indem SieGet-AcctIdentityPoolausführen.
-
-
Überprüfen Sie den Provisioningstatus der Erweiterung AADLoginForWindows für die Maschinen. MCS benötigt diese Erweiterung, um eine virtuelle Maschine in Azure AD einzubinden. Wenn die Erweiterung AADLoginForWindows nicht vorhanden ist, kann dies folgende Gründe haben:
-
IdentityTypedes Identitätspools, der dem Provisioningschema zugeordnet ist, ist nicht aufAzureADfestgelegt. Sie können dies überprüfen, indem SieGet-AcctIdentityPoolausführen. -
Die Installation der Erweiterung AADLoginForWindows wird von der Azure-Richtlinie blockiert.
-
-
Wenn das Provisioning der Erweiterung AADLoginForWindows fehlschlägt, können Sie zur Problembehandlung die Protokolle unter
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindowsauf der mit MCS bereitgestellten Maschine überprüfen. -
Führen Sie auf der mit MCS bereitgestellten Maschine den Befehl
dsregcmd /status /debugaus, um den Status der Azure AD-Einbindung und Debugprotokolle zu überprüfen. -
Aktivieren Sie die Windows-Ereignisprotokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Benutzergeräteregistrierung.