Produktdokumentation

Erstellen von Hybrid Azure Active Directory-verbundenen Katalogen

June 5, 2026
Beitrag von: 
C

Hinweis:

Seit Juli 2023 hat Microsoft Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt. In diesem Dokument bezieht sich jede Erwähnung von Azure Active Directory, Azure AD oder AAD nun auf Microsoft Entra ID.

Dieser Artikel beschreibt, wie Sie Hybrid Azure Active Directory (AD)-verbundene Kataloge erstellen.

Sie können Azure AD-verbundene Kataloge mit Web Studio oder PowerShell erstellen.

Informationen zu Anforderungen, Einschränkungen und Überlegungen finden Sie unter Hybrid Azure Active Directory-verbunden.

Web Studio verwenden

Die folgenden Informationen ergänzen die Anweisungen unter Maschinenkataloge erstellen. Um hybride Azure AD-verbundene Kataloge zu erstellen, befolgen Sie die allgemeinen Anweisungen in diesem Artikel und beachten Sie die Besonderheiten für hybride Azure AD-verbundene Kataloge.

Im Assistenten zur Katalogerstellung:

  • Wählen Sie auf der Seite Maschinenidentitäten die Option Hybrid Azure Active Directory-verbunden. Die erstellten Maschinen gehören einer Organisation und werden mit einem Active Directory Domain Services-Konto angemeldet, das zu dieser Organisation gehört. Sie existieren in der Cloud und lokal.

Hinweis:

Wenn Sie Hybrid Azure Active Directory-verbunden als Identitätstyp auswählen, muss jede Maschine im Katalog über ein entsprechendes AD-Computerkonto verfügen.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Vorgängen in Web Studio entsprechen. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Der Unterschied zwischen lokalen AD-verbundenen Katalogen und hybriden Azure AD-verbundenen Katalogen liegt in der Erstellung des Identitätspools und der Maschinenkonten.

So erstellen Sie einen Identitätspool zusammen mit den Konten für Hybrid Azure AD-verbundene Kataloge:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Hinweis:

$password ist das passende Kennwort für ein AD-Benutzerkonto mit Schreibberechtigungen.

Alle anderen Befehle, die zum Erstellen von Hybrid Azure AD-verbundenen Katalogen verwendet werden, sind dieselben wie für herkömmliche lokale AD-verbundene Kataloge.

Status des Hybrid Azure AD-Beitrittsprozesses anzeigen

Im Web Studio ist der Status des Hybrid Azure AD-Beitrittsprozesses sichtbar, wenn Hybrid Azure AD-verbundene Maschinen in einer Bereitstellungsgruppe eingeschaltet sind. Um den Status anzuzeigen, verwenden Sie Suchen, um diese Maschinen zu identifizieren, und überprüfen Sie dann für jede Maschine die Maschinenidentität auf der Registerkarte Details im unteren Bereich. Die folgenden Informationen können unter Maschinenidentität angezeigt werden:

  • Hybrid Azure AD-verbunden
  • Noch nicht mit Azure AD verbunden

Hinweis:

  • Es kann zu einer verzögerten Hybrid Azure AD-Verbindung kommen, wenn die Maschine zum ersten Mal eingeschaltet wird. Dies wird durch das standardmäßige Synchronisierungsintervall für Maschinenidentitäten (30 Minuten von Azure AD Connect) verursacht. Die Maschine befindet sich erst dann im Hybrid Azure AD-verbundenen Zustand, wenn die Maschinenidentitäten über Azure AD Connect mit Azure AD synchronisiert wurden.
  • Wenn Maschinen nicht in den Hybrid Azure AD-verbundenen Zustand wechseln, werden sie nicht beim Delivery Controller registriert. Ihr Registrierungsstatus wird als Initialisierung angezeigt.

Auch über das Web Studio können Sie erfahren, warum Maschinen nicht verfügbar sind. Klicken Sie dazu auf eine Maschine im Knoten Suchen, überprüfen Sie die Registrierung auf der Registerkarte Details im unteren Bereich und lesen Sie dann den Tooltip für weitere Informationen.

Problembehandlung

Wenn Maschinen nicht Hybrid Azure AD-verbunden werden, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob das Maschinenkonto über das Microsoft Azure AD-Portal mit Azure AD synchronisiert wurde. Wenn synchronisiert, wird Noch nicht mit Azure AD verbunden angezeigt, was einen ausstehenden Registrierungsstatus anzeigt.

    Um Maschinenkonten mit Azure AD zu synchronisieren, stellen Sie sicher:

    • Das Maschinenkonto befindet sich in der OU, die für die Synchronisierung mit Azure AD konfiguriert ist. Maschinenkonten ohne das Attribut userCertificate werden nicht mit Azure AD synchronisiert, selbst wenn sie sich in der für die Synchronisierung konfigurierten OU befinden.
    • Das Attribut userCertificate ist im Maschinenkonto vorhanden. Verwenden Sie den Active Directory Explorer, um das Attribut anzuzeigen.
    • Azure AD Connect muss mindestens einmal synchronisiert worden sein, nachdem das Maschinenkonto erstellt wurde. Falls nicht, führen Sie den Befehl Start-ADSyncSyncCycle -PolicyType Delta manuell in der PowerShell-Konsole der Azure AD Connect-Maschine aus, um eine sofortige Synchronisierung auszulösen.

  • Überprüfen Sie, ob das von Citrix verwaltete Geräteschlüsselpaar für den hybriden Azure AD-Beitritt korrekt auf die Maschine übertragen wurde, indem Sie den Wert von DeviceKeyPairRestored unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix abfragen.

    Vergewissern Sie sich, dass der Wert 1 ist. Falls nicht, sind mögliche Gründe:

    • IdentityType des Identitätspools, der dem Bereitstellungsschema zugeordnet ist, ist nicht auf HybridAzureAD festgelegt. Sie können dies überprüfen, indem Sie Get-AcctIdentityPool ausführen.
    • Die Maschine wird nicht mit demselben Bereitstellungsschema des Maschinenkatalogs bereitgestellt.
    • Die Maschine ist nicht der lokalen Domäne beigetreten. Der Beitritt zur lokalen Domäne ist eine Voraussetzung für den hybriden Azure AD-Beitritt.

  • Überprüfen Sie die Diagnosemeldungen, indem Sie den Befehl dsregcmd /status /debug auf der MCS-bereitgestellten Maschine ausführen.

    • Wenn der hybride Azure AD-Beitritt erfolgreich ist, sind AzureAdJoined und DomainJoined in der Ausgabe der Befehlszeile YES.

    • Falls nicht, lesen Sie die Microsoft-Dokumentation zur Problembehandlung: https://docs.microsoft.com/de-de/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

    • Wenn Sie die Fehlermeldung Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx erhalten, führen Sie den folgenden PowerShell-Befehl aus, um das Benutzerzertifikat zu reparieren:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      Weitere Informationen zum Problem mit dem Benutzerzertifikat finden Sie unter CTX566696.

Erstellen von Hybrid Azure Active Directory-verbundenen Katalogen
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.