Citrix DaaS

Kataloge mit Azure Active Directory-Hybrideinbindung erstellen

In diesem Artikel wird beschrieben, wie Sie Kataloge mit Azure Active Directory-Hybrideinbindung mit Citrix DaaS erstellen.

Sie können in Azure AD eingebundene Kataloge mit der Oberfläche “Vollständige Konfiguration” oder mit PowerShell erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Azure Active Directory-Hybrideinbindung.

Verwenden der Schnittstelle für die vollständige Konfiguration

Die folgenden Informationen ergänzen die Anweisungen unter Erstellen von Maschinenkatalogen. Folgen Sie zum Erstellen eines Katalogs mit Azure AD-Hybrideinbindung den allgemeinen Anweisungen in dem Artikel. Achten Sie besonders auf die spezifischen Details für Kataloge mit Azure AD-Hybrideinbindung.

Im Assistenten für die Katalogerstellung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option Azure Active Directory-Hybrideinbindung. Die erstellten Maschinen gehören einer Organisation und sind mit einem Active Directory Domain Services-Konto dieser Organisation angemeldet. Sie existieren in der Cloud und on-premises.

Hinweis:

Wenn Sie Azure Active Directory-Hybrideinbindung als Identitätstyp auswählen, benötigt jede Maschine im Maschinenkatalog ein AD-Computerkonto.

Verwenden von PowerShell

Nachfolgend sind die PowerShell-Schritte aufgeführt, die den Verfahren in “Vollständige Konfiguration” entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen mit einem On-Premises-AD verbundenen Katalogen und solchen mit Azure AD-Hybrideinbindung liegt in der Erstellung des Identitätspools und der Maschinenkonten.

Zum Erstellen eines Identitätspools mit den Konten für Kataloge mit Azure AD-Hybrideinbindung gehen Sie folgendermaßen vor:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das Kennwort für ein AD-Benutzerkonto mit Schreibberechtigung.

Alle anderen Befehle zum Erstellen von Katalogen mit Azure AD-Hybrideinbindung sind mit denen für herkömmliche On-Premises-AD-Kataloge identisch.

Anzeigen des Status der Azure AD-Hybrideinbindung

In der Schnittstelle “Vollständige Konfiguration” wird der Status der Azure AD-Hybrideinbindung angezeigt, wenn die Maschinen mit Azure AD-Hybrideinbindung in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, identifizieren Sie mit Suchen diese Maschinen und prüfen Sie dann die Maschinenidentität für jede Maschine auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Azure AD-Hybrideinbindung
  • Noch nicht mit Azure AD verbunden

Hinweis:

  • Möglicherweise kommt es beim ersten Einschalten einer Maschine zu einer verzögerten Azure AD-Hybrideinbindung. Ursache ist das standardmäßige Synchronisierungsintervall für die Maschinenidentität (30 Minuten in Azure AD Connect). Maschinen erhalten erst dann eine Azure AD-Hybrideinbindung, wenn die Maschinenidentität über Azure AD Connect mit Azure AD synchronisiert wurde.
  • Maschinen ohne Azure AD-Hybrideinbindung werden nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

In der Oberfläche “Vollständige Konfiguration” können Sie außerdem erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu im Knoten Suchen auf eine Maschine, aktivieren Sie im unteren Bereich auf der Registerkarte Details die Option Registrierung, und lesen Sie dann den Tooltip, um weitere Informationen zu erhalten.

Problembehandlung

Wenn Maschinen keine Azure AD-Hybrideinbindung aufweisen, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Bei erfolgter Synchronisierung wird Noch nicht mit Azure AD verbunden angezeigt und die Registrierung ist ausstehend.

    Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie Folgendes sicher:

    • Das Maschinenkonto befindet sich in der Organisationseinheit, die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne userCertificate-Attribut werden nicht mit Azure AD synchronisiert, selbst wenn sie in der Organisationseinheit sind, die für die Synchronisierung konfiguriert ist.
    • Das Attribut userCertificate wird im Maschinenkonto aufgefüllt. Verwenden Sie Active Directory Explorer, um das Attribut anzuzeigen.
    • Azure AD Connect muss nach Erstellung des Maschinenkontos mindestens eine Synchronisierung ausgeführt haben. Ist dies nicht der Fall, führen Sie in der PowerShell-Konsole der Azure AD Connect-Maschine den Befehl Start-ADSyncSyncCycle -PolicyType Delta manuell aus, um eine sofortige Synchronisierung auszulösen.
  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für die Azure AD-Hybrideinbindung einwandfrei an die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix prüfen.

    Vergewissern Sie sich, dass der Wert 1 ist. Falls nicht, sind folgende Gründe möglich:

    • IdentityType des Identitätspools, der dem Provisioningschema zugeordnet ist, ist nicht auf HybridAzureAD festgelegt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wurde nicht mit dem Provisioningschema des Maschinenkatalogs bereitgestellt.
    • Die Maschine ist nicht mit der lokalen Domäne verbunden. Die Verbindung mit der lokalen Domäne ist eine Voraussetzung für die Azure AD-Hybrideinbindung.
  • Überprüfen Sie Diagnosemeldungen mit dem Befehl dsregcmd /status /debug auf der per MCS bereitgestellten Maschine.

    • War die Azure AD-Hybrideinbindung erfolgreich, lautet der Wert für AzureAdJoined und DomainJoined in der Befehlszeilenausgabe YES.
    • Falls nicht, konsultieren Sie die Microsoft-Dokumentation zur Problembehandlung: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
    • Wird die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx angezeigt, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
       <!--NeedCopy-->
      

Weitere Informationen zu dem Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Kataloge mit Azure Active Directory-Hybrideinbindung erstellen