Citrix DaaS

Azure Active Directory-Hybrideinbindung

Hinweis:

Dieses Feature wird phasenweise eingeführt. Es ist möglicherweise für Ihr Konto noch nicht aktiviert.

In diesem Artikel wird beschrieben, wie Sie Kataloge mit Azure Active Directory-Hybrideinbindung mit Citrix DaaS erstellen.

Maschinen mit Azure AD-Hybrideinbindung verwenden das On-Premises-AD als Authentifizierungsanbieter. Sie können sie Domänenbenutzern oder Gruppen im On-Premises-AD zuweisen. Um eine nahtlose SSO-Erfahrung für Azure AD zu ermöglichen, müssen die Domänenbenutzer mit Azure AD synchronisiert werden.

Anforderungen

  • Steuerungsebene: Citrix DaaS

  • VDA-Typ: VDA mit Einzel- oder Multisitzungs-OS

  • VDA-Version: 2112 oder höher

  • Provisioningtyp: Maschinenerstellungsdienste (MCS), persistent und nicht persistent

  • Zuweisungstyp: dediziert und gepoolt

  • Hostingplattform: Beliebiger Hypervisor oder Cloudservice

  • Master-VMs dürfen nicht mit Azure AD verbunden sein.

Einschränkungen

  • Wenn Sie den Citrix Verbundauthentifizierungsdienst (FAS) verwenden, wird Single Sign-On an das On-Premises-AD und nicht an Azure AD weitergeleitet.

Überlegungen

  • Master-VMs können mit dem On-Premises-AD verbunden oder nicht domänengebunden sein. Sie dürfen jedoch nicht mit Azure AD verbunden sein. Sie können dsregcmd /status auf Master-VMs ausführen, um den Status der Azure AD-Hybrideinbindung zu überprüfen, und dsregcmd /leave zum Trennen der Verbindung.

  • Zum Erstellen hybrider Maschinen mit Azure Active Directory-Einbindung ist die Berechtigung Write userCertificate in der Zieldomäne erforderlich. Stellen Sie sicher, dass Sie sich bei der Katalogerstellung als Administrator mit dieser Berechtigung anmelden.

  • Der Prozess der Azure AD-Hybrideinbindung wird von Citrix verwaltet. Sie müssen das von Windows gesteuerte autoWorkplaceJoin auf den Master-VMs wie folgt deaktivieren:

    1. Führen Sie gpedit.msc aus.
    2. Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Geräteregistrierung.
    3. Legen Sie für In die Domäne eingebundene Computer als Geräte registrieren die Option Deaktiviert fest.
  • Wählen Sie die für die Synchronisierung mit Azure AD konfigurierte Organisationseinheit, wenn Sie die Maschinenidentitäten erstellen.

Erstellen von Katalogen mit Azure AD-Hybrideinbindung

Sie können mit Azure AD verbundene Kataloge mit der Oberfläche “Vollständige Konfiguration” oder PowerShell erstellen.

Verwenden der Schnittstelle für die vollständige Konfiguration

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Befolgen Sie zum Erstellen eines Katalogs mit Azure AD-Hybrideinbindung die allgemeinen Anweisungen in dem Artikel unter besonderer Beachtung der spezifischen Details für Kataloge mit Azure AD-Hybrideinbindung.

Im Assistenten für die Katalogerstellung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option Azure Active Directory-Hybrideinbindung. Die erstellten Maschinen gehören einer Organisation und sind mit einem Active Directory Domain Services-Konto dieser Organisation angemeldet. Sie existieren in der Cloud und on-premises.

Hinweis:

Wenn Sie Azure Active Directory-Hybrideinbindung als Identittätstyp auswählen, benötigt jede Maschine im Maschinenkatalog ein AD-Computerkonto.

Verwenden von PowerShell

Nachfolgend werden die den in “Vollständige Konfiguration” ausgeführten Schritten entsprechenden PowerShell-Schritte aufgeführt. Informationen zum Erstellen eines Katalogs mithilfe des Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Hybrideinbindung liegt in der Erstellung des Identitätspools und der Maschinenkonten.

Zum Erstellen eines Identitätspools mit den Konten für Kataloge mit Azure AD-Hybrideinbindung gehen Sie folgendermaßen vor:

New-AcctIdentityPool -AllowUnicode -IdentityType="HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das Kennwort für ein AD-Benutzerkonto mit Schreibberechtigung.

Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Hybrideinbindung sind mit denen für herkömmliche On-Premises-AD-Kataloge identisch.

Anzeigen des Status der Azure AD-Hybrideinbindung

In der Schnittstelle “Vollständige Konfiguration” wird der Status der Azure AD-Hybrideinbindung angezeigt, wenn die Maschinen mit Azure AD-Hybrideinbindung in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Azure AD-Hybrideinbindung

  • Noch nicht mit Azure AD verbunden

Hinweis:

  • Möglicherweise kommt es beim ersten Einschalten einer Maschine zu einer verzögerten Azure AD-Hybrideinbindung. Ursache ist das standardmäßige Synchronisierungsintervall für die Maschinenidentität (30 Minuten in Azure AD Connect). Maschinen erhalten erst dann eine Azure AD-Hybrideinbindung, wenn die Maschinenidentität über Azure AD Connect mit Azure AD synchronisiert wurde.
  • Maschinen ohne Azure AD-Hybrideinbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Mithilfe der Oberfläche “Vollständige Konfiguration” können Sie außerdem erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Problembehandlung

Wenn Maschinen keine Azure AD-Hybrideinbindung aufweisen, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Bei erfolgter Synchronisierung wird Noch nicht mit Azure AD verbunden angezeigt und die Registrierung ist ausstehend.

    Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie Folgendes sicher:

    • Das Maschinenkonto befindet sich in der Organisationseinheit, die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne userCertificate-Attribut werden nicht mit Azure AD synchronisiert, selbst wenn sie in der Organisationseinheit sind, die für die Synchronisierung konfiguriert ist.

    • Das Attribut userCertificate wird im Maschinenkonto aufgefüllt. Verwenden Sie Active Directory Explorer, um das Attribut anzuzeigen.

    • Azure AD Connect muss nach Erstellung des Maschinenkontos mindestens eine Synchronisierung ausgeführt haben. Ist dies nicht der Fall, führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta in der PowerShell-Konsole der Azure AD Connect-Maschine manuell aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für die Azure AD-Hybrideinbindung einwandfrei an die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix prüfen.

    Vergewissern Sie sich, dass der Wert 1 ist. Falls nicht, sind folgende Gründe möglich:

    • Der IdentityType des mit dem Bereitstellungsschema verknüpften Identitätspools ist nicht auf HybridAzureAD festgelegt. Dies kann mit Get-IdentityPool überprüft werden.

    • Die Maschine wurde nicht mit dem Provisioningschema des Maschinenkatalogs bereitgestellt.

    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für die Azure AD-Hybrideinbindung.

  • Überprüfen Sie Diagnosemeldungen mit dem Befehl dsregcmd /status /debug auf der per MCS bereitgestellten Maschine.

    War die Azure AD-Hybrideinbindung erfolgreich, lautet der Wert für AzureAdJoined und DomainJoined in der Befehlszeilenausgabe YES.

    Falls nicht, konsultieren Sie die Microsoft-Dokumentation zur Problembehandlung: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

Azure Active Directory-Hybrideinbindung