Citrix DaaS

Identitätspool der hybriden, in Azure Active Directory eingebundenen Computeridentität

September 15, 2025

Beitrag von:

Hinweis

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jeder Verweis auf Azure Active Directory, Azure AD oder AAD jetzt auf die Microsoft Entra ID.

In diesem Artikel wird beschrieben, wie Sie mit Citrix DaaS einen Identitätspool für in Hybrid Azure Active Directory eingebundene Maschinen erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Azure Active Directory-Hybrideinbindung.

Studio verwenden

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Folgen Sie zum Erstellen eines Katalogs mit Azure AD-Hybrideinbindung den allgemeinen Anweisungen in dem Artikel. Achten Sie besonders auf die spezifischen Details für Kataloge mit Azure AD-Hybrideinbindung.

Im Assistenten für die Katalogerstellung:

Auf der Seite Maschinenidentitäten gehen Sie wie folgt vor:
1. Wählen Sie den Identitätstyp als Azure Active Directory-Hybrideinbindung aus.
2. Active Directory-Kontooption auswählen:
  - Neue Active Directory-Konten erstellen:
    - Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie eine Domäne für diese Konten aus und geben Sie ein Kontenbenennungsschema an.
    - Wenn Sie Neue Active Directory-Konten erstellen auswählen und einen vorhandenen Identitätspool verwenden, um neue Konten zu erstellen, wählen Sie einen Identitätspool aus der Liste aus.
  - Vorhandene Active Directory-Konten verwenden: Sie können eine CSV-Datei durchsuchen oder daraus importieren und das Kennwort zurücksetzen oder für alle Konten dasselbe Kennwort angeben.
3. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Domänenanmeldeinformationen ein Dienstkonto aus oder geben Sie die Anmeldeinformationen manuell ein. Der in Hybrid Azure AD eingebundene Identitätspool kann auch einem lokalen AD-Dienstkonto zugeordnet werden. Informationen zu Dienstkonten finden Sie unter Lokale Active Directory-Dienstkonten.

PowerShell verwenden

Die folgenden PowerShell-Schritte entsprechen den Vorgängen in Studio.

Der Unterschied zwischen mit einem On-Premises–AD verbundenen Katalogen und solchen mit Azure AD-Hybrideinbindung liegt in der Erstellung des Identitätspools und der Maschinenkonten.

Zum Erstellen eines Identitätspools mit den Konten für Kataloge mit Azure AD-Hybrideinbindung gehen Sie folgendermaßen vor:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
  New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
  Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis

$password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Hybrideinbindung sind mit denen für herkömmliche On-Premises–AD-Kataloge identisch.

Sie können ein lokales Dienstkonto auch einem von MCS erstellten Maschinenkatalog zuordnen, indem Sie dem Identitätspool ein lokales Dienstkonto zuordnen. Sie können einen Identitätspool erstellen oder einen vorhandenen Identitätspool aktualisieren, um ihn einem Dienstkonto zuzuordnen.

Beispiel: Um einen neuen Identitätspool zu erstellen und ihn einem Dienstkonto zuzuordnen, führen Sie den folgenden Befehl aus:

  New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Beispiel: Um einen vorhandenen Identitätspool zu aktualisieren, damit er einem Dienstkonto zugeordnet werden kann, führen Sie den folgenden Befehl aus:

  $identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid

  Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->

Hinweis

Die $serviceAccountUid muss eine gültige UID eines lokalen Active Directory-Dienstkontos sein.

Sie können auch einen Hybrid Azure AD-Katalog mit einem vorbereiteten Images erstellen. Den vollständigen Satz an PowerShell-Befehlen zum Erstellen der Imagedefinition, Imageversion und vorbereiteten Imageversionsspezifikation finden Sie hier:

Azure-Virtualisierungsumgebung: PowerShell verwenden.
VMware-Virtualisierungsumgebung: PowerShell verwenden

Nachdem Sie die vorbereitete Image-Versionsspezifikation erstellt haben, erstellen Sie den Identitätspool und den Maschinenkatalog. Beispiel:

  New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC##  -NamingSchemeType "Numeric"  -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"

  New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->

Anzeigen des Status der Azure AD-Hybrideinbindung

In Studio ist der Status des Hybrid Azure AD-Beitrittsprozesses sichtbar, wenn hybride, mit Azure AD verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

Azure AD-Hybrideinbindung
Noch nicht mit Azure AD verbunden

Hinweis

Möglicherweise kommt es beim ersten Einschalten einer Maschine zu einer verzögerten Azure AD-Hybrideinbindung. Ursache ist das standardmäßige Synchronisierungsintervall für die Maschinenidentität (30 Minuten in Azure AD Connect). Maschinen erhalten erst dann eine Azure AD-Hybrideinbindung, wenn die Maschinenidentität über Azure AD Connect mit Azure AD synchronisiert wurde.

Maschinen ohne Azure AD-Hybrideinbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe von Studio können Sie auch herausfinden, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Problembehandlung

Wenn Maschinen keine Azure AD-Hybrideinbindung aufweisen, gehen Sie wie folgt vor:

Überprüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Bei erfolgter Synchronisierung wird Noch nicht mit Azure AD verbunden angezeigt und die Registrierung ist ausstehend.

Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie Folgendes sicher:
- Das Maschinenkonto befindet sich in der Organisationseinheit, die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne userCertificate-Attribut werden nicht mit Azure AD synchronisiert, selbst wenn sie in der Organisationseinheit sind, die für die Synchronisierung konfiguriert ist.
- Das Attribut userCertificate wird im Maschinenkonto aufgefüllt. Verwenden Sie Active Directory Explorer, um das Attribut anzuzeigen.
- Azure AD Connect muss nach Erstellung des Maschinenkontos mindestens eine Synchronisierung ausgeführt haben. Ist dies nicht der Fall, führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta in der PowerShell-Konsole der Azure AD Connect-Maschine manuell aus, um eine sofortige Synchronisierung auszulösen.
Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für die Azure AD-Hybrideinbindung einwandfrei an die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix prüfen.

Vergewissern Sie sich, dass der Wert 1 ist. Wenn nicht, dann sind mögliche Gründe:
- IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD gesetzt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPoolausführen.
- Die Maschine wurde nicht mit dem Provisioningschema des Maschinenkatalogs bereitgestellt.
- Die Maschine ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für die Azure AD-Hybrideinbindung.
Überprüfen Sie Diagnosemeldungen mit dem Befehl dsregcmd /status /debug auf der per MCS bereitgestellten Maschine.
- War die Azure AD-Hybrideinbindung erfolgreich, lautet der Wert für AzureAdJoined und DomainJoined in der Befehlszeilenausgabe YES.
- Wenn nicht, lesen Sie in der Microsoft-Dokumentation nach, um die Probleme zu beheben: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
- Wird die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx angezeigt, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:
```
   Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 
```

Weitere Informationen zu dem Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Identitätspool der hybriden, in Azure Active Directory eingebundenen Computeridentität

September 15, 2025

Beitrag von:

September 15, 2025

Beitrag von:

In diesem Artikel

Studio verwenden
PowerShell verwenden
Anzeigen des Status der Azure AD-Hybrideinbindung
Problembehandlung

War dieser Artikel hilfreich?