-
Bereitstellung planen und erstellen
-
-
WebSocket-Kommunikation zwischen VDA und Delivery Controller™
-
Verbindungen erstellen und verwalten
-
Maschinenkataloge mit vorbereiteten Images erstellen
-
Vorbereitetes Image für Amazon WorkSpaces Core Managed Instances erstellen
-
Katalog von Amazon WorkSpaces Core Managed Instances erstellen
-
Maschinenkatalog mit vorbereitetem Image in AWS EC2 erstellen
-
Maschinenkatalog mit vorbereitetem Image in Red Hat OpenShift erstellen
-
Maschinenkatalog mit vorbereitetem Image in VMware erstellen
-
Maschinenkatalog mit vorbereitetem Image in XenServer erstellen
-
-
Identitätspools verschiedener Typen von Maschinenidentitätsbeitritten
-
Identitätspool für in lokale Active Directory eingebundene Maschinenidentität
-
Identitätspool für in Microsoft Entra eingebundene Maschinenidentität
-
Identitätspool für in Microsoft Entra hybrid eingebundene Maschinenidentität
-
Identitätspool für Microsoft Intune-fähige Maschinenidentität
-
Identitätspool für nicht in Domäne eingebundene Maschinenidentität
-
-
Eigenständiger Citrix Secure Ticketing Authority (STA)-Dienst
-
Workloads zwischen Ressourcenstandorten mit Image Portability Service migrieren
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Identitätspool für Microsoft Entra hybrid eingebundene Maschinenidentitäten
Dieser Artikel beschreibt, wie Sie mithilfe von Citrix DaaS einen Identitätspool für Microsoft Entra hybrid eingebundene Maschinenidentitäten erstellen.
Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Microsoft Entra hybrid joined.
Studio verwenden
Die folgenden Informationen ergänzen die Anleitung unter Maschinenkataloge erstellen. Um Microsoft Entra hybrid eingebundene Kataloge zu erstellen, folgen Sie der allgemeinen Anleitung in diesem Artikel und beachten Sie die spezifischen Details für Microsoft Entra hybrid eingebundene Kataloge.
Im Assistenten zur Katalogerstellung:
-
Auf der Seite Maschinenidentitäten:
- Wählen Sie den Identitätstyp als Microsoft Entra hybrid joined aus.
-
Wählen Sie eine Option für Active Directory-Konten:
-
Neue Active Directory-Konten erstellen:
- Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool zum Erstellen neuer Konten verwenden, wählen Sie eine Domäne für diese Konten aus und geben Sie ein Kontenbenennungsschema an.
- Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool zum Erstellen neuer Konten verwenden, wählen Sie einen Identitätspool aus der Liste aus.
- Vorhandene Active Directory-Konten verwenden: Sie können Konten durchsuchen oder aus einer CSV-Datei importieren und das Kennwort zurücksetzen oder dasselbe Kennwort für alle Konten angeben.
-
Neue Active Directory-Konten erstellen:
- Klicken Sie auf Weiter.
-
Wählen Sie auf der Seite Domänenanmeldeinformationen ein Dienstkonto aus oder geben Sie die Anmeldeinformationen manuell ein. Ein Microsoft Entra hybrid eingebundener Identitätspool kann auch einem lokalen AD-Dienstkonto zugeordnet werden. Informationen zu Dienstkonten finden Sie unter Lokale Active Directory-Dienstkonten.
PowerShell verwenden
Die folgenden PowerShell-Schritte entsprechen den Vorgängen in Studio.
Der Unterschied zwischen lokalen AD-verbundenen Katalogen und Microsoft Entra hybrid eingebundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.
Neuen Identitätspool erstellen
Beispiel: So erstellen Sie einen Identitätspool zusammen mit den Konten für Microsoft Entra hybrid eingebundene Kataloge:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Hinweis:
Das
$passwordist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.
Alle anderen Befehle, die zum Erstellen von Microsoft Entra hybrid eingebundenen Katalogen verwendet werden, sind dieselben wie für herkömmliche lokale AD-verbundene Kataloge.
Sie können auch ein lokales Dienstkonto einem von MCS erstellten Maschinenkatalog zuordnen, indem Sie ein lokales Dienstkonto dem Identitätspool zuordnen. Sie können einen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn einem Dienstkonto zuzuordnen.
Beispiel: So erstellen Sie einen neuen Identitätspool und ordnen ihn einem Dienstkonto zu:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Beispiel: So erstellen Sie einen neuen Identitätspool mit angegebenen Erweiterungsattributen und ordnen ihn einem Dienstkonto zu:
New-AcctIdentityPool -IdentityPoolName HybridAzureAD -NamingScheme ACC#### -NamingSchemeType Numeric -Domain "abc.local" -IdentityType HybridAzureAD -ServiceAccountUid $serviceAccountUid -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Wenn eine VM zum ersten Mal eingeschaltet wird, meldet sie nach dem Beitritt zu Microsoft Entra ID ihre Entra ID deviceId an MCS.
Beispiel: Um die EntraIDDeviceID zu überprüfen, führen Sie Get-AcctADAccount oder Get-AcctIdentity aus.
Get-AcctADAccount -IdentityPoolName MyPool
<!--NeedCopy-->
Nach einem Neustart bleibt die EntraIDDeviceID für persistente und nicht-persistente VMs gleich.
Hinweis:
MCS entfernt automatisch zugeordnete Geräte-IDs und Erweiterungsattribute, wenn Sie eine VM aus dem Katalog löschen, aber nicht aus Azure.
Vorhandenen Identitätspool aktualisieren
Beispiel: So aktualisieren Sie einen vorhandenen Identitätspool, um ihn einem Dienstkonto zuzuordnen:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Hinweis:
Die
$serviceAccountUidmuss eine gültige UID eines lokalen Active Directory-Dienstkontos sein.
Beispiel: So bearbeiten Sie Erweiterungsattribute für den vorhandenen Katalog:
Hinweis:
- Nach dem Upgrade vorhandener Katalog-VMs auf VDA-Version 2511 oder höher ist ein Neustart erforderlich. Dieser Neustart ermöglicht es der VM, ihre Entra ID deviceId an MCS zu melden, wodurch MCS dann die Erweiterungsattribute der VM konfigurieren kann.
- Der vorhandene Katalog sollte ein Dienstkonto vom Typ AzureAD mit der Berechtigung “Device.ReadWrite.All” haben.
Um neue Attribute hinzuzufügen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{"extensionAttribute1" = "val1"; "extensionAttribute2" = "val2"}
<!--NeedCopy-->
Um vorhandene Attribute zu entfernen:
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{}
<!--NeedCopy-->
ODER
Set-AcctIdentityPool -IdentityPoolName MyPool -EntraIDExtensionAttributes @{extensionAttribute1 = ""; extensionAttribute2 = ""}
<!--NeedCopy-->
Set-AcctIdentityPool aktualisiert auch die Erweiterungsattribute des Entra ID-Geräts für VMs, die bereits mit Entra ID verbunden sind und einen EntraIDDeviceID-Wert in ihren Identitäten besitzen.
Einen Hybrid Microsoft Entra-Katalog erstellen
Sie können auch einen Hybrid Microsoft Entra-Katalog mithilfe eines vorbereiteten Images erstellen. Den vollständigen Satz von PowerShell-Befehlen zum Erstellen von Image-Definition, Image-Version und vorbereiteter Image-Versionsspezifikation finden Sie unter:
-
Azure-Virtualisierungsumgebung: PowerShell verwenden.
-
VMware-Virtualisierungsumgebung: PowerShell verwenden
Nachdem Sie die vorbereitete Image-Versionsspezifikation erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Beispiel:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Status des Hybrid Microsoft Entra-Beitrittsprozesses anzeigen
In Studio ist der Status des Hybrid Microsoft Entra-Beitrittsprozesses sichtbar, wenn Microsoft Entra hybrid eingebundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie die Suche, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:
- Microsoft Entra hybrid joined
- Not yet joined to Microsoft Entra ID
Hinweis:
- Es kann zu einer verzögerten Hybrid Microsoft Entra-Verbindung kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das Standard-Synchronisierungsintervall für Maschinenidentitäten (30 Minuten von Microsoft Entra Connect) verursacht. Die Maschine befindet sich erst im Status “Microsoft Entra hybrid joined”, nachdem die Maschinenidentitäten über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden.
- Wenn Maschinen nicht in den Status “Microsoft Entra hybrid joined” gelangen, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.
Mithilfe von Studio können Sie auch erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für zusätzliche Informationen.
Fehlerbehebung
Wenn Maschinen nicht Microsoft Entra hybrid eingebunden werden können, gehen Sie wie folgt vor:
-
Überprüfen Sie, ob das Maschinenkonto über das Microsoft Entra-Portal mit Microsoft Entra ID synchronisiert wurde. Wenn synchronisiert, wird Not yet joined to Microsoft Entra ID angezeigt, was einen ausstehenden Registrierungsstatus anzeigt.
Um Maschinenkonten mit Microsoft Entra ID zu synchronisieren, stellen Sie sicher, dass:
- Das Maschinenkonto sich in der OU befindet, die für die Synchronisierung mit Microsoft Entra ID konfiguriert ist. Maschinenkonten ohne das Attribut userCertificate werden nicht mit Microsoft Entra ID synchronisiert, selbst wenn sie sich in der für die Synchronisierung konfigurierten OU befinden.
- Das Attribut userCertificate im Maschinenkonto ausgefüllt ist. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
- Microsoft Entra Connect mindestens einmal nach der Erstellung des Maschinenkontos synchronisiert wurde. Falls nicht, führen Sie den Befehl
Start-ADSyncSyncCycle -PolicyType Deltamanuell in der PowerShell-Konsole der Microsoft Entra Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.
-
Überprüfen Sie, ob das Citrix-verwaltete Geräteschlüsselpaar für den hybriden Microsoft Entra Join korrekt auf den Computer übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.
Stellen Sie sicher, dass der Wert 1 ist. Andernfalls sind mögliche Gründe:
-
IdentityTypedes Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht aufHybridAzureADeingestellt. Dies können Sie überprüfen, indem SieGet-AcctIdentityPoolausführen. - Der Computer wurde nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
- Der Computer ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für den hybriden Microsoft Entra Join.
-
-
Überprüfen Sie Diagnosemeldungen, indem Sie den Befehl
dsregcmd /status /debugauf dem MCS-bereitgestellten Computer ausführen.- Wenn der hybride Microsoft Entra Join erfolgreich ist, sind AzureAdJoined und DomainJoined im Ergebnis der Befehlszeile YES.
- Andernfalls lesen Sie die Microsoft-Dokumentation zur Fehlerbehebung: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.