Referenzarchitektur: Citrix DaaS-Implementierung mit Azure Active Directory Domain Services für CSPs
Architektur
DieAzure Active Directory Domain Services sind ein vollständig verwalteter Active Directory-Dienst auf Microsoft Azure AD Domain Services (ADDS) ist nicht zu verwechseln mit Azure AD, einem Cloud-basierten Identitäts- und Authentifizierungsdienst für Microsoft-Dienste, sondern bietet verwaltete Domänencontroller. Azure ADDS enthält Unternehmensfunktionen wie Domain-Join und Gruppenrichtlinie. Während Azure AD moderne Authentifizierungs- und Autorisierungsprotokolle wie OpenID Connect und OAuth 2.0 nutzt, verwendet Azure ADDS traditionelle Protokolle, die auf Active Directory basieren, wie LDAP und Kerberos. Azure AD Domain Services synchronisiert automatisch Identitäten von Azure AD mit Ihrer verwalteten AD-Umgebung.
Azure ADDS stellt automatisch hochverfügbare Active Directory-Domänencontroller in Ihrem Azure-Abonnement bereit und verwaltet diese. Der Zugriff auf den Domänencontroller ist eingeschränkt, und Sie können Ihre Domäne nur verwalten, indem Sie Verwaltungsinstanzen mit Remote-Serveradministrationstools bereitstellen. Darüber hinaus sind die Berechtigungen für Domänenadministrator und Unternehmensadministrator unter dem verwalteten Service nicht verfügbar. Die Azure ADDS-Instanz wird direkt in einem virtuellen Netzwerk (VNet) innerhalb Ihres Abonnements bereitgestellt, Ressourcen können für dasselbe VNet oder in verschiedenen VNets bereitgestellt werden. Wenn Ressourcen für ein anderes VNet bereitgestellt werden, müssen es über ein VNet-Peering mit dem Azure ADDS VNet verbunden sein.
Azure ADDS kann als Benutzergesamtstrukturoder als Ressourcengesamtstruktur bereitgestellt werden. Für diese Implementierung implementieren wir Azure ADDS als Benutzergesamtlage, ohne ein Vertrauen in eine externe on-premises AD-Umgebung zu konfigurieren. Außerdem werden die Citrix DaaS-Ressourcen basierend auf unserer CSP-Referenzarchitekturbereitgestellt.
Architektur -Szenario 1
Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:
-
Azure AD:
- Gemeinsamer Azure AD-Mandant für alle Kunden
-
Azure ADDS:
- Gemeinsame Azure ADDS-Instanz für alle Kunden
-
Abonnements:
- Gemeinsames Azure-Abonnement für kleinere Kunden
- Dedizierte Azure-Abonnements für größere Kunden
-
Netzwerkkonnektivität:
- VNET-Peering von dedizierten Abonnements für das gemeinsame Abonnement für Azure ADDS-Konnektivität
Architektur Scenario 2
Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:
-
Azure AD:
- Gemeinsamer Azure AD-Mandant für alle Kunden
- Dedizierter Azure AD-Mandant für größere Kunden
-
Azure ADDS:
- Gemeinsame Azure ADDS-Instanz für alle Kunden
-
Abonnements:
- Gemeinsames Azure-Abonnement für kleinere Kunden
- Dedizierte Azure-Abonnements für größere Kunden
-
Netzwerkkonnektivität:
- VNET-Peering von dedizierten Abonnements für das gemeinsame Abonnement für Azure ADDS-Konnektivität
Architektur Szenario 3
Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:
-
Azure AD:
- Gemeinsamer Azure AD-Mandant für alle Kunden
- Dedizierter Azure AD-Mandant für größere Kunden
-
Azure ADDS:
- Gemeinsame Azure ADDS-Instanz für kleine Kunden
- Dedizierte Azure ADDS-Instanz für größere Kunden
-
Abonnements:
- Gemeinsames Azure-Abonnement für kleinere Kunden
- Dedizierte Azure-Abonnements für größere Kunden
-
Netzwerkkonnektivität:
- Kein VNET-Peering von dedizierten Abonnements zu einem gemeinsamen Abonnement
Azure-Ressourcenhierarchie
Berücksichtigen Sie beim Entwerfen und Organisieren Ihrer Azure-Abonnementressourcen die folgende Ressourcenhierarchie:
Anfängliche Annahmen
Azure ADDS
- Azure AD-Mandant existiert
- Azure-Abonnement existiert
- Ein Azure AD-Konto mit den folgenden Berechtigungen ist verfügbar:
- Azure AD: Globale Administration
- Abonnement: Contributor
- Azure ADDS wird als eigenständige Benutzergesamtlage bereitgestellt, es wird kein Vertrauen konfiguriert
- Obwohl es möglich ist, werden bestehende AD-Benutzer nicht über Azure AD Connect synchronisiert
- Das Zurücksetzen des Self-Service-Kennworts wird eingesetzt, um das Zurücksetzen von Kennwörtern für die Kennwort-H
Citrix Cloud
- Ein Citrix Cloud-Abonnement ist verfügbar
- Citrix Cloud Connector wird bereitgestellt
- VDA-Masterimage wird bereitgestellt
- Azure-Hosting-Verbindungen werden konfiguriert
- Maschinenkatalog und Bereitstellungsgruppe werden konfiguriert
Terminologie
Im Folgenden sind die gebräuchlichsten Azure-Begriffe aufgeführt, die Sie verstehen müssen, wie in der Azure-Dokumentation beschrieben:
- Azure-Abonnements: Azure-Abonnements sind eine Vereinbarung mit Microsoft zur Nutzung von Azure-Diensten. Die Abrechnung ist an ein Abonnement gebunden, das auf den verbrauchten Ressourcen basiert, und Ressourcen können nicht ohne Abonnement bereitgestellt werden. Abonnements ermöglichen es Ihnen, den Zugriff auf Ressourcen zu organisieren. Zu den Abonnementtypen gehören Testversion, Pay-Wonge-As you go, Enterprise Agreement und MSDN, und jeder kann eine andere Zahlungseinrichtung haben. Azure-Abonnements müssen an einen Azure AD-Mandanten gebunden sein.
- Azure AD: Azure AD ist der Cloud-basierte Identitätsverwaltungsdienst von Microsoft für Benutzer, Gruppen und Geräte. Azure AD ist nicht als Ersatz für herkömmliche Active Directory-Domänendienste anzusehen, da es LDAP oder Kerberos nicht unterstützt. Mehrere Azure-Abonnements können an einen einzelnen Azure AD-Mandanten gebunden sein. Azure AD bietet verschiedene Arten von Lizenzen (Free, Premium 1 und Premium 2), die je nach Lizenzstufe unterschiedliche Funktionen bieten.
- Verwaltungsgruppen: Azure Management Groups sind Container, mit denen Sie Zugriff, Richtlinien und Compliance über mehrere Abonnements hinweg verwalten können. Verwaltungsgruppen können Abonnements oder andere Verwaltungsgruppen enthalten.
- Azure RBAC: Azure RBAC wird verwendet, um die Autorisierung für Azure-Ressourcen zu verwalten. Azure RBAC enthält über 70 integrierte Rollen und ermöglicht es Ihnen, benutzerdefinierte Rollen zu erstellen, um die Autorisierung für Ressourcen basierend auf Ihren Anforderungen zu verwalten. Berechtigungen werden von Verwaltungsgruppen auf Abonnements, von Abonnements zu Ressourcengruppen und von Ressourcengruppen zu Ressourcen kaskadiert. Die Rolle “Owner RBAC” bietet die höchste Berechtigungsstufe für eine Azure-Ressource und ermöglicht Ihnen auch die Verwaltung von Ressourcenberechtigungen für andere Benutzer.
- Azure AD Rollen: Azure AD-Rollen werden verwendet, um Azure AD-bezogene Aktionen wie das Erstellen von Benutzern, Gruppen, App-Registrierungen, die Interaktion mit APIs und mehr zu verwalten. Die Rolle “Globaler Administrator” gewährt anderen Benutzern die höchste Berechtigungsstufe in Azure AD, einschließlich des Zugriffs auf alle Azure AD-Funktionen, der Verwaltung von Rollen und der Lizenzierung für andere Benutzer und vieles mehr. Die Rolle “Globaler Administrator” wird automatisch dem Benutzer zugewiesen, der zuerst den Azure AD-Mandanten erstellt hat.
- Benutzerdefinierte Azure AD Domain: Alle neuen Azure AD-Mandanten werden unter der Domäne onmicrosoft.com erstellt. Benutzerdefinierte Domains können durch Validieren des Eigentums bei Ihrem Domain-Registrar konfiguriert werden.
- Ressourcengruppen: Ressourcengruppen sind logische Container, die verwendet werden, um Ressourcen in Azure zu organisieren und ihre Berechtigungen über RBAC zu verwalten. In der Regel teilen sich Ressourcen innerhalb einer Ressourcengruppe einen ähnlichen Lebenszyklus. Eine Ressourcengruppe kann keine anderen Ressourcengruppen enthalten, und Azure-Ressourcen können nur erstellt werden, wenn Sie eine Ressourcengruppe angeben. Während eine Ressourcengruppe in einer Azure-Region bereitgestellt wird, kann sie Ressourcen aus verschiedenen Regionen enthalten.
- VNET: Ein Azure VNET ist ein softwaredefiniertes Netzwerk, mit dem Sie Ressourcen unter einem isolierten Adressraum in Azure verwalten und bereitstellen können. Mit VNets können Ressourcen mit anderen Ressourcen im selben VNET, dem Internet, Ressourcen in anderen VNets oder on-premises kommunizieren. Der Zugriff auf und von VNets ist über Network Security Groups gesichert, und Sie können Routen auch konfigurieren, indem Sie benutzerdefinierte Routen implementieren. Azure VNets sind Layer-3-Overlays, daher verstehen sie keine Layer-2-Semantik wie VLANs oder GARP. Alle VNets enthalten einen Hauptadressraum und müssen mindestens ein Subnetz mit einem Adressraum enthalten. VM-IPs in einem VNET sind nicht mit der tatsächlichen VM-Instanz verbunden, sie werden der VM-NIC zugewiesen, die als unabhängige Ressource verwaltet wird.
- VNET Peering: Ein Peering ermöglicht es 2 VNets, sich über das Azure-Backbone zu verbinden und zu kommunizieren, im Gegensatz zur herkömmlichen VNet-zu-VNet-Verbindung, die den Datenverkehr durch das öffentliche Internet leitet. Peerings ermöglichen eine niedrige Latenz und können in verschiedenen Regionen, verschiedenen Abonnements und sogar verschiedenen Azure AD-Mandanten konfiguriert werden. Peering-Verbindungen sind standardmäßig nicht transitiv, eine erweiterte Konfiguration ist erforderlich, um dieses Verhalten zu ändern. In einer Hub-and-Spoke-Architektur kann ein Speichen-VNET nur mit dem Hub kommunizieren, kann jedoch nicht mit Ressourcen in anderen Speichen kommunizieren.
- Network Security Group: Eine Network Security Group (NSG) ist eine Reihe von Regeln, mit denen Sie den eingehenden und ausgehenden Zugriff auf Ressourcen innerhalb eines VNET steuern können. Sie können an ein Subnetz oder eine NIC angehängt werden. Eingehende und ausgehende Regeln innerhalb einer Network Security Group werden unabhängig verwaltet, und alle Regeln müssen eine Priorität von 100 und 4096 haben. Standardmäßig enthalten Netzwerksicherheitsgruppen eine Reihe von Standardregeln, die unter anderem den Datenverkehr zwischen Ressourcen im selben VNET, ausgehenden Internetzugriff, erlauben. Netzwerksicherheitsgruppen haben keinerlei Beziehung zu Firewall-Konfigurationen auf Betriebssystemebene, und als Faustregel wird beim Entwerfen Ihrer Netzwerksicherheitsgruppen ein Zero-Trust-Ansatz empfohlen.
- App-Registrierung: Eine App-Registrierung ist ein Azure AD-Konto, das es einer externen Anwendung ermöglicht, mit Azure-APIs zu interagieren. Wenn eine App-Registrierung erstellt wird, generiert Azure AD eine App-ID und ein Geheimnis, das als Benutzername und Kennwort fungiert. In dieser Implementierung wird eine App-Registrierung erstellt, die es Citrix Cloud ermöglicht, mit Azure zu interagieren und Aufgaben zur Maschinenerstellung und Energieverwaltung durchzuführen.
Azure ADDS Überlegungen
- Azure ADDS synchronisiert automatisch Benutzeridentitäten von Azure AD
- Die Synchronisierung funktioniert von Azure AD zu Azure ADDS, nicht umgekehrt
- Es kann Benutzer nutzen, die in der Cloud erstellt wurden, oder Benutzer, die über Azure AD Connect synchronisiert wurden
- Azure AD Connect kann nicht in einer Azure ADDS Umgebung installiert werden, um Objekte zurück mit Azure AD zu synchronisieren
- LDAP-Schreibfunktionen funktionieren nur für Objekte, die direkt auf ADDS erstellt wurden, nicht für Benutzer, die mit Azure AD synchronisiert wurden
- Azure ADDS kann nur als eigenständige Domäne (nur eine Gesamtstruktur, nur eine Domäne) und nicht als Erweiterung einer on-premises Domäne verwendet werden
- Der Dienst wird in Azure Availability Zones bereitgestellt, sofern verfügbar
- Azure ADDS wird standardmäßig als Benutzergesamtlage bereitgestellt. Zum Zeitpunkt dieses Schreibens befindet sich das Ressourcengesamtstruktur-Bereitstellungsmodell in der Vorschau
- Für Benutzer, die aus Azure AD synchronisiert werden, wird der Kennwort-Hash nicht synchronisiert, bis die Benutzer ihr Kennwort zurücksetzen. Azure Self Service Password Reset wird verwendet, um Benutzern beim Zurücksetzen ihrer Kennwörter zu helfen.
- Die Gruppe AAD DC-Administratoren, die erstellt wird, wenn die Azure ADDS-Instanz bereitgestellt wird, kann innerhalb von ADUC nicht bearbeitet werden. Die Gruppe AAD DC-Administratoren kann nur in Azure AD-Gruppen in der Azure-Konsole bearbeitet werden
- Für Benutzer, die aus Azure AD synchronisiert sind:
- Das Kennwort kann nicht von der ADUC-Konsole zurückgesetzt werden
- Kann nicht in eine andere Organisationseinheit verschoben werden
- Diese Benutzer werden in der Regel verwendet, um die Azure ADDS-Instanz als CSP zu verwalten. Endkundenbenutzer können in ADUC erstellt werden
- GPOs können erstellt und mit den vorgefertigten Organisationseinheiten von AADDC Computers und AADC Users verknüpft werden, nicht mit anderen vorab erstellten OUs
- Sie können Ihre eigene OU-Struktur erstellen und GPOs bereitstellen
- Gruppenrichtlinien- und Standortebene können nicht erstellt werden
- OU Lockdown ist möglich, indem der Delegation of Control Wizard auf neuen Organisationseinheiten verwendet wird
- Funktioniert nicht bei vorgefertigten OUs
Überlegungen zum Anmeldeprozess
Azure ADDS synchronisiert Benutzerkonten des Azure AD-Mandanten, unter dem erstellt wurde. Es umfasst Konten, die mit einer benutzerdefinierten Domäne erstellt wurden, Konten, die mit der anfänglichen onmicrosoft.com-Domain erstellt wurden, und B2B-Konten (externe Konten, die Azure AD als Gäste hinzugefügt wurden). Je nach Art des Benutzerkontos haben Benutzer eine andere Anmeldeerfahrung:
- Benutzerdefinierte Domänenkonten:
- Login mit UPN (user@domain.com): Login erfolgreich
- Anmeldung mit NetBIOS (Domain\ user): Anmeldung erfolgreich
- OnMicrosoft Domänenkonten:
- Login mit UPN (user@domain.onmicrosoft.com): Anmeldung nicht erfolgreich (1)
- Login mit NetBIOS (Domain\ user): Anmeldung erfolgreich (2)
- B2B-Konten (Gäste):
- Login mit UPN (user@domain.com): Anmeldung nicht erfolgreich
- Anmeldung mit NetBIOS (Domain\ user): Anmeldung nicht erfolgreich (3)
HINWEIS:
(1) Das Hinzufügen eines alternativen UPN-Namens ist in Azure ADDS nicht zulässig, daher können sich diese Benutzer nicht über UPN anmelden.
( 2) Dies funktioniert einwandfrei, da der NetBIOS-Name für alle Benutzer gleich ist.
( 3) Diese Benutzer können sich nicht gegen Azure ADDs authentifizieren, obwohl sie synchronisiert sind, hat Azure keinen Zugriff auf ihren Kennworthash.
Implementierung
Azure-Komponenten
Schritt 1: Erstellen einer Ressourcengruppe für Azure ADDS
1- Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus und klicken Sie auf Hinzufügen
Überlegungen:
- In diesem Schritt wird davon ausgegangen, dass ein Azure-Abonnement erstellt wurde und bereit ist, die Ressourcen bereitzustellen.
2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Review + Erstellen
- Abonnement
- Ressourcengruppenname
- Bereich Ressourcengruppe
3- Klicken Sie auf der Registerkarte Review + create auf Erstellen
Überlegungen:
- Wiederholen Sie diese Schritte, um Ressourcengruppen für Kundenressourcen, Netzwerke und mehr zu erstellen.
- Optional können Sie Ressourcengruppen vorab erstellen, die Citrix Machine Creation Services verwenden kann. Machine Creation Services (MCS) können nur leere Ressourcengruppen verwenden.
Schritt 2: Erstellen des Azure ADDS VNet
1- Wählen Sie im Azure-Portalmenü die Option Virtuelle Netzwerkeaus und klicken Sie auf Hinzufügen.
2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter: IP-Adressen:
- Abonnement
- Ressourcengruppenname
- VNET-Bezeichnung
- VNET-Region
3- Geben Sie auf der Registerkarte IP-Adressen die folgenden Informationen ein und klicken Sie auf Next: Security:
- IPv4-Adressraum
- Subnetze hinzufügen
Überlegungen:
- Fügen Sie Subnetze hinzu, wie von Ihren Netzwerkdesignentscheidungen festgelegt. In diesem Fall fügen wir ein Subnetz für den ADDS-Dienst und ein Subnetz für gemeinsam genutzte Infrastrukturressourcen hinzu, einschließlich Citrix Cloud Connectors, Masterimages usw.
4- Konfigurieren Sie auf der Registerkarte Sicherheit DDoS und Firewall nach Bedarf und klicken Sie auf Review + create
5- Klicken Sie auf der Registerkarte Review + create auf Erstellen.
Überlegungen:
- Wiederholen Sie diese Schritte, um Kundennetzwerke zu erstellen, sowohl im selben Abonnement als auch in einem zusätzlichen Abonnement.
Schritt 3: Konfigurieren von VNet Peerings
1- Wählen Sie im Azure-Portalmenü die Option Virtuelle Netzwerkeund wählen Sie das VNET aus, in dem ADDS bereitgestellt werden soll.
Überlegungen:
- Für diese Implementierung wird die Vernetzung in einer Hub-and-Spoke-Architektur konzipiert. Ein VNET-Peering wird vom Azure ADDS-Netzwerk (Hub) zu den Kundennetzwerken (Speichen) konfiguriert.
- Standardmäßig sind VNET-Peerings nicht transitiv, sodass gesprochene Netzwerke nur dann miteinander kommunizieren können, wenn sie absichtlich konfiguriert wurden.
- Bei Peer-Netzwerken auf verschiedenen Azure-Abonnements und Azure AD-Mandanten:
- Benutzer müssen im gegenüberliegenden Abonnement als Gastbenutzer hinzugefügt und mit RBAC-Berechtigungen für Peer-Netzwerke erteilt werden.
- Netzwerksicherheitsgruppen müssen auf beiden Seiten ordnungsgemäß konfiguriert sein.
2- Klicken Sie auf der VNET-Blatte auf Peerings und Add.
3- Geben Sie auf dem Add peering blade die folgenden Informationen ein:
- Name des Peerings vom Quell-VNET zum Ziel-VNET
- Abonnement
- Virtuelles Zielnetzwerk
- Name des Peerings vom Ziel-VNET zum Quell-VNET
4- Scrollen Sie nach unten und klicken OK
Überlegungen:
- Wiederholen Sie diese Schritte, um andere Kunden- (Spoke-) Netzwerke zu nutzen.
Schritt 4: Erstellen der Azure AD Domain Services-Instanz
1- Geben Sie in der Azure-Suchleiste Domänendiensteein, und klicken Sie auf Azure AD Domain Services
2- Klicken Sie auf der Seite Azure AD Domain Services auf + Hinzufügen.
3- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter:
- Abonnement
- Ressourcengruppenname
- DNS-Domainname
- Region
- SKU
- Forest-Typ
Überlegungen:
- Die AAD DS-Instanzregion muss mit der des Netzwerks übereinstimmen, das Sie in den vorherigen Schritten erstellt haben.
- Eine Benutzergesamtstruktur ist der Standardtyp der Gesamtstruktur von Azure ADDS. Sie synchronisiert alle Azure AD-Benutzerkonten mit Azure ADDS, damit sie sich gegen die Azure ADDS-Instanz authentifizieren. Dieses Modell geht davon aus, dass Hashes mit Benutzerkennwörtern synchronisiert werden können.
- Eine Ressourcengesamtstruktur: ist eine kürzlich unterstützte Art von Gesamtstruktur, die sich in der Vorschau befindet. Nach diesem Bereitstellungsmodell wird Azure ADDS zur Verwaltung von Maschinenkonten verwendet. Eine unidirektionale Vertrauensstellung wird von Azure ADDS (vertrauensvolle Domäne) zu einer on-premises AD-Umgebung (der vertrauenswürdigen Domäne) konfiguriert. Mit dieser Konfiguration können sich Benutzerkonten aus der on-premises Umgebung bei in Azure gehosteten Ressourcen anmelden, die mit der Azure ADDS-Domäne verbunden sind. Bei dieser Art von Gesamtstruktur wird davon ausgegangen, dass die Netzwerkkonnektivität mit der on-premises Domäne konfiguriert ist.
4- Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein und klicken Sie auf Weiter:
- Virtuelles Netzwerk
- Subnetz
5- Klicken Sie auf der Registerkarte Administration auf Gruppenzugehörigkeit verwalten
6- Klicken Sie auf der Member Blade auf + Mitglieder hinzufügen
7- Suchen Sie auf dem Blade Mitglieder hinzufügen nach den Konten, die Sie als Mitglieder der Gruppe AAD DC Administrators hinzufügen möchten.
8- Sobald die Benutzer hinzugefügt wurden, klicken Sie auf Auswählen
9- Klicken Sie auf der Registerkarte Administration auf Weiter
Überlegungen:
- Die Gruppenmitgliedschaft der AAD DC Administrators kann nur von Azure AD aus verwaltet werden, sie kann nicht von der ADUC-Konsole in der Azure ADDS-Instanz aus verwaltet werden.
10 - Klicken Sie auf der Registerkarte Synchronisierung auf Weiter
Überlegungen:
- Diese Seite kann optional verwendet werden, um auszuwählen, welche Azure AD-Objekte mit Azure ADDS synchronisiert werden sollen, indem Sie den Synchronisationstyp Bereich auswählen.
11- Klicken Sie auf der Registerkarte Review auf Erstellen
12- Klicken Sie im Bestätigungs-Popup auf OK
Überlegungen:
- Der Prozess zum Erstellen der Azure ADDS-Instanz kann bis zu einer Stunde dauern.
Schritt 5: Konfigurieren von DNS für Azure ADDS VNET
1- Sobald die Azure ADDS-Instanz erstellt wurde, klicken Sie unter DNS-Servereinstellungen für Ihr virtuelles Netzwerk aktualisierenauf Konfigurieren
Überlegungen:
- Dieser Schritt konfiguriert automatisch die DNS-Einstellungen des VNET, in dem die Azure ADDS-Instanz erstellt wurde (Hub-Netzwerk). Nach der Konfiguration werden alle DNS-Abfragen an die verwalteten Domänencontroller weitergeleitet.
- Kundennetzwerke (Speichen) müssen ihre DNS-Einstellungen manuell aktualisieren.
Schritt 6: Konfigurieren Sie DNS für die Kundennetzwerke
1- Wählen Sie im Azure-Portalmenü Virtuelle Netzwerkeund wählen Sie Ihren Kunden (Spoke) VNET aus.
2- Klicken Sie auf dem VNET-Blade auf DNS-Server, wählen Sie Benutzerdefiniert, geben Sie die IP-Adresse der verwalteten Domänencontroller ein und klicken Sie auf Speichern
Überlegungen:
- Wiederholen Sie diese Schritte für jeden Kunden (Spoke) VNET und jede andere externe VNET, die auf das VNET mit der Azure ADDS-Instanz gepeist wird.
Schritt 7: Konfigurieren Sie Self Service Password Reset (SSPR)
1- Wählen Sie im Azure-Portalmenü Azure Active Directoryaus und klicken Sie auf Password Reset
Überlegungen:
- Wenn Azure AD-Benutzer anfänglich mit Azure ADDS synchronisiert werden, wird ihr Kennwort-Hash nicht synchronisiert. Daher müssen Benutzer ihr Kennwort zurücksetzen, damit dies geschieht. SSPR wird verwendet, um Benutzern das Zurücksetzen ihrer Kennwörter auf einfache und sichere Weise zu ermöglichen.
- Die Benutzerauthentifizierung gegen Azure ADDS funktioniert erst, wenn dieser Schritt ausgeführt wird.
- Der Schritt zur Aktivierung von SSPR ist nur erforderlich, wenn er noch nicht konfiguriert wurde.
- Dieser Schritt ist nur erforderlich, wenn Azure AD-Benutzer über das Azure-Portal verwaltet werden (nicht Benutzer, die über Azure AD Connect von On-Prem AD synchronisiert werden). Gehen Sie folgendermaßen vor, damit Benutzer von On-Prem AD über Azure AD connect synchronisiert werden.
2- Wählen Sie auf dem Blade Eigenschaften die Option Alleaus, und klicken Sie auf Speichern.
Überlegungen:
- Sie können optional Ausgewählt wählen, um SSPR nur für eine Teilmenge von Benutzern zu aktivieren.
- Wenn sich die Benutzer das nächste Mal anmelden, müssen sie sich bei SSPR registrieren.
Schritt 8: SSPR-Benutzerregistrierungsprozess
1- Wenn sich ein Benutzer anmeldet, wird er zum SSPR-Registrierungsbildschirm weitergeleitet und konfiguriert seine Authentifizierungsmethoden.
Überlegungen:
- SSPR-Authentifizierungsmethoden können auf dem SSPR-Konfigurations-Blade im Azure-Portal ausgewählt werden.
- In diesem Beispiel wurde SSPR mit den Grundeinstellungen aktiviert, die die Konfiguration eines Telefons und einer E-Mail erfordern.
2- Sobald die Benutzer ihre Authentifizierungsinformationen eingegeben haben, ist der SSPR-Registrierungsprozess abgeschlossen.
3- Benutzer können jetzt zu Self-Service Password Reset navigieren, um ihr Kennwort zurückzusetzen.
Überlegungen:
- Sobald dieser Schritt abgeschlossen ist und die Benutzer ihr Kennwort zurücksetzen, wird der Kennwort-Hash von Azure AD mit Azure ADDS synchronisiert.
- Für synchronisierte Benutzer kann der ADUC nicht zum Zurücksetzen ihres Kennworts verwendet werden.
Schritt 9: Erstellen der AD-Verwaltungs-VM
1 - Wählen Sie im Azure-Portalmenü die Option Virtuelle Maschinenaus und klicken Sie auf Hinzufügen
2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter: Datenträger:
- Abonnement
- Ressourcengruppe
- VM-Name
- Region
- Optionen für die Verfügbarkeit
- Image
- Größe
- Admin-Kontodetails
3- Geben Sie auf der Registerkarte Datenträger den Betriebssystemdatenträgertyp ein und klicken Sie auf Weiter: Netzwerk
4- Konfigurieren Sie auf der Registerkarte Netzwerk die folgenden Informationen und klicken Sie auf Weiter: Verwaltung:
- Virtuelles Netzwerk
- Subnetz
- Öffentliche IP (falls zutreffend)
- Netzwerksicherheitsgruppe
5- Konfigurieren Sie auf der Registerkarte Verwaltung die folgenden Informationen und klicken Sie auf Weiter: Erweitert:
- Überwachen
- Automatisches Herunterfahren
- Backup
6- Behalten Sie auf der Registerkarte Erweitert die Standardeinstellungen bei und klicken Sie auf Weiter: Tags
7- Erstellen Sie auf der Registerkarte “Tags” alle erforderlichen Tags für die VM-Instanz und klicken Sie auf Weiter: Überprüfen + erstellen
8- Stellen Sie auf der Registerkarte Review + create sicher, dass alle Informationen korrekt sind, und klicken Sie auf Erstellen
Überlegungen:
- Wiederholen Sie die vorherigen Schritte, um alle zusätzlichen VMs zu erstellen: Cloud Connectors, Master Images usw. und so weiter.
Schritt 10: Treten Sie der Management-VM der Domäne bei
1- Stellen Sie über RDP eine Verbindung mit der Instanz her, öffnen Sie den Server Manager und klicken Sie auf Rollen und Funktionen hinzufügen
2- Fügen Sie im Assistenten zum Hinzufügen von Rollen und Funktionen die folgenden Funktionen hinzu:
- Tools zur Rollenverwaltung
- ADDS- und AD LDS-Tools
- Active Directory-Modul für Windows PowerShell
- AD DS Werkzeuge
- AD DS Snap-Ins und Befehlszeilentools
- Gruppenrichtlinien-Verwaltungskonsole (GPMC)
- DNS-Manager
3- Wenn die Installation abgeschlossen ist, verbinden Sie die VM mit der Azure ADDS-Domäne.
Überlegungen:
- Wiederholen Sie die vorherigen Schritte, um alle anderen VMs mit der Azure ADDS-Domäne zu verbinden.
- Die Installation von RSAT-Tools ist nur für die VMs erforderlich, die zur Verwaltung der Azure ADDS-Instanz verwendet werden.
- Stellen Sie sicher, dass das Kennwort des Benutzerkontos, das für den Beitritt der VMs mit der Azure ADDS-Domäne verwendet wurde, zurückgesetzt wurde, bevor Sie diese Schritte ausführen.
Schritt 11: Erstellen einer Azure AD App-Registrierung
1- Wählen Sie im Azure-Portalmenü Azure Active Directory > App-Registrierungen > + Neue Registrierung
2- Geben Sie auf dem Blade Registrieren einer Anwendung die folgenden Informationen ein und klicken Sie auf Registrieren:
- App-Name
- Unterstützte Kontoarten
- Umleitungs-URL
- Web-Site
- “https://citrix.cloud.com”
3- Kopieren Sie auf dem Übersichtsblatt die folgenden Werte in einen Notizblock:
- Anwendungs-ID (Client)
- Verzeichnis-ID (Mandant)
Überlegungen:
- Die Werte für die Anwendungs-ID und die Verzeichnis-ID werden später beim Erstellen einer Hosting-Verbindung für Citrix MCS zur Verwaltung von Azure-Ressourcen verwendet.
4- Klicken Sie auf Zertifikate & Geheimnisse und dann +Neues Kundengeheimnis
5- Geben Sie im Popup-Fenster “Client-Geheimnis hinzufügen” eine Beschreibung und einen Ablauf ein undklicken Sie auf “ Hinzufügen”
6- Kopieren Sie auf dem Bildschirm “Zertifikate und Geheimnisse” den Wert des Kundengeheimnisses
Überlegungen:
- Während die Client-ID als Benutzername für die App-Registrierung fungiert, fungiert das Client Secret als Kennwort.
7- Klicken Sie auf API-Berechtigungen und dann auf Berechtigung hinzufügen
8- Auf dem Blade “API-Berechtigungen anfordern” verwendet meine Organisation unter APIs die Suche nach Windows Azureund wählen Sie Windows Azure Active Directoryaus
9- Wählen Sie auf dem Azure Active Directory Graph API-Blade Delegierte Berechtigungenaus, weisen Sie die Berechtigung “Grundprofile lesen “ zu und klicken Sie auf Berechtigungen hinzufügen
10- Zurück auf dem Blade “API-Berechtigungen anfordern”, verwendet meine Organisation erneut die Suche nach Windows Azure und wählt Windows Azure Service Management APIaus
11- Wählen Sie auf der Azure Service Management-API-Blade Delegierte Berechtigungenaus, weisen Sie die Berechtigung Access Azure Service Management als Benutzer der Organisation zu und klicken Sie auf Berechtigungen hinzufügen
12- Klicken Sie im Azure-Portalmenü auf Abonnements und kopieren Sie den Wert Ihrer Abonnement-ID
Überlegungen:
- Kopieren Sie den Wert aller Abonnements, die zur Verwaltung von Ressourcen über Citrix MCS verwendet werden. Die Hosting-Verbindung für jedes Azure-Abonnement muss unabhängig konfiguriert werden.
13- Wählen Sie Ihr Abonnement aus und wählen Sie Zugriffssteuerung (IAM) > +Hinzufügen > Rollenzuweisung hinzufügen
14- Weisen Sie auf dem Blade “Rollenzuweisung hinzufügen” die Rolle “ Mitwirkender “ der neuen App-Registrierung zu und klicken Sie auf Speichern
Überlegungen:
- Wiederholen Sie diesen Schritt, um der Registrierung für jedes zusätzliche Abonnement Berechtigungen für Mitwirkende hinzuzufügen.
- Bei Verwendung eines sekundären Abonnements, das zu einem separaten Azure AD-Mandanten gehört, muss eine neue App-Registrierung konfiguriert werden.
Citrix Komponenten
Schritt 1: Installieren Sie den Cloud Connector
1- Stellen Sie über RDP eine Verbindung zur Cloud Connector-VM her und verwenden Sie einen Webbrowser, um zur Citrix Cloudzu navigieren. Geben Sie Ihre Citrix Cloud-Anmeldedaten ein und klicken Sie auf Sign in
2- Klicken Sie unter Domains auf Neu hinzufügen
3- Klicken Sie auf der Registerkarte Domains unter Identity and Access Management auf +Domain
4- Klicken Sie im Fenster “Cloud Connector hinzufügen” auf Herunterladen
5- Speichern Sie die Datei cwcconnector.exe in der Instanz.
6- Klicken Sie mit der rechten Maustaste auf die Datei cwcconnector.exe und wählen Sie Als Administrator ausführen
7- Klicken Sie im Citrix Cloud Connector-Fenster auf Anmelden
8- Geben Sie im Anmeldefenster Ihre Citrix Cloud-Anmeldedaten ein und klicken Sie auf Anmelden
9- Wenn die Installation abgeschlossen ist, klicken Sie auf Schließen
Überlegungen:
- Die Installation von Cloud Connector kann bis zu 5 Minuten dauern.
- Mindestens müssen 2 Cloud Connectors pro Ressourcenstandort konfiguriert werden.
Schritt 2: Konfigurieren Sie das VDA-Masterimage
1- Stellen Sie über RDP eine Verbindung zur Citrix VDA-Master-Image-VM her und verwenden Sie einen Webbrowser, um zu Citrix Downloads zu navigieren und die neueste Citrix VDA-Versionherunterzuladen
Überlegungen:
- Citrix Anmeldeinformationen sind erforderlich, um die VDA-Software herunterzuladen.
- Es kann entweder die LTSR- oder CR-Version installiert werden.
- Für Server- und Desktopbetriebssystemmaschinen muss ein separates VDA-Installationsprogramm heruntergeladen werden.
2- Klicken Sie mit der rechten Maustaste auf die VDA-Installationsdatei und wählen Sie Als Administrator ausführen
3- Wählen Sie auf der Seite Environment die Option Create a Master MCS-Image
4- Klicken Sie auf der Seite “Kernkomponenten” auf Weiter
5- Wählen Sie auf der Seite Zusätzliche Komponenten die Komponenten aus, die am besten für Ihre Anforderungen gelten, und klicken Sie auf Weiter
6- Geben Sie auf der Seite Delivery Controller die folgenden Informationen ein und klicken Sie auf Weiter:
- Wählen Sie “Mach es manuell”
- Geben Sie den FQDN jedes Cloud Connector
- Klicken Sie auf Verbindung testen und dann auf Hinzufügen
7- Aktivieren Sie auf der Seite Funktionen die Kontrollkästchen der Funktionen, die Sie basierend auf Ihren Bereitstellungsanforderungen aktivieren möchten, und klicken Sie dann auf Weiter
8- Wählen Sie auf der Firewall-Seite Automatischaus und klicken Sie auf Weiter
9- Stellen Sie auf der Zusammenfassungsseite sicher, dass alle Details korrekt sind, und klicken Sie auf Installieren
10- Die VM wird während der Installation neu gestartet
11- Wählen Sie nach Abschluss der Installation auf der Seite Diagnose die Option aus, die Ihren Bereitstellungsanforderungen am besten entspricht, und klicken Sie auf Weiter
12- Stellen Sie auf der Seite Fertig sicher, dass der Computer neu starten aktiviert ist, und klicken Sie auf Fertig stellen
Schritt 3: Erstellen einer Azure Hosting-Verbindung
1- Navigieren Sie im Citrix Cloud-Hamburger-Menü zu Meine Dienste > DaaS
2- Navigieren Sie in Web Studio zu Hostingund wählen Sie Verbindung und Ressourcen hinzufügenaus
4- Klicken Sie auf der Seite Verbindung auf das Optionsfeld neben Neue Verbindung erstellen, geben Sie die folgenden Informationen einund klicken Sie auf Weiter:
- Zone
- Verbindungstyp
- Azure-Umgebung
5- Geben Sie auf der Seite “Verbindungsdetails” die folgenden Informationen ein und klicken Sie auf Bestehende verwenden:
- Abonnement-ID
- Verbindungsname
6- Geben Sie auf der Seite Existing Service Principal die folgenden Informationen ein und klicken Sie auf OK:
- Active Directory-ID
- Anwendungs-ID
- Anwendungsgeheimnis
7- Klicken Sie auf der Seite Verbindungsdetails auf Weiter
8- Wählen Sie auf der Seite Region die Region aus, in der Ihr Cloud Connector und VDA bereitgestellt wurden, und klicken Sie auf Weiter
9- Geben Sie auf der Seite Netzwerk einen Namen für die Ressourcen ein, wählen Sie das entsprechende virtuelle Netzwerk und Subnetz aus und klicken Sie auf Weiter
10- Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, und klicken Sie auf Fertig stellen
Schritt 4: Erstellen eines Maschinenkatalogs
1- Navigieren Sie in Web Studio zu Maschinenkatalogeund wählen Sie Maschinenkatalog erstellen
2- Klicken Sie auf der Einführungsseite auf Weiter
3- Wählen Sie auf der Seite Betriebssystem das entsprechende Betriebssystem aus und klicken Sie auf Weiter
Überlegungen:
- Die nachfolgenden Bildschirme variieren je nach dem auf dieser Seite ausgewählten Betriebssystemtyp.
4- Wählen Sie auf der Seite “Maschinenverwaltung” die folgenden Informationen aus und klicken Sie auf Weiter:
- Der Maschinenkatalog verwendet: Maschinen mit Energieverwaltung
- Bereitstellen von Maschinen mit: Citrix Machine Creation Services (MCS)
- Ressourcen: Wählen Sie Ihre Azure-Hosting-Verbindung
5- Wählen Sie auf der Seite Desktop Experience die Optionen aus, die am besten an Ihre Anforderungen angepasst werden, und klicken Sie auf Weiter
6- Wählen Sie auf der Seite Masterimage das Masterimage, die Funktionsebene (VDA-Version) aus und klicken Sie auf Weiter
7- Wählen Sie unter Speicher- und Lizenztypen die Optionen aus, die Ihren Anforderungen am besten entsprechen, und klicken Sie auf Weiter
8- Konfigurieren Sie auf der Seite Virtuelle Maschinen die Anzahl der bereitzustellenden virtuellen Maschinen, die Computergröße, und klicken Sie auf Weiter
9- Fügen Sie auf der Seite “Netzwerkkarten” nach Bedarf NICs hinzu und klicken Sie auf Weiter
10- Wählen Sie auf der Seite Write Back Cache Ihre Optionen für den Schreibcache aus und klicken Sie auf Weiter
11- Wählen Sie auf der Seite “Ressourcengruppen” zwischen der Erstellung neuer Ressourcengruppen für die Citrix MCS-Ressourcen oder die Verwendung vorab erstellter Ressourcengruppen.
Überlegungen:
- Nur leere Ressourcengruppen werden in der Liste der vorhandenen Ressourcengruppen angezeigt.
12 - Konfigurieren Sie auf der Seite Active Directory-Computerkonten die folgenden Optionen und klicken Sie auf Weiter:
- Kontooption: Neue AD-Konten erstellen
- Domain: Wähle deine Domain
- OU: Die OU, in der die Computerkonten gespeichert werden
- Benennungsschema: Namenskonvention, die verwendet werden soll
Überlegungen:
- Zahlen ersetzen die Pfundzeichen auf dem Benennungsschema
- Achten Sie beim Erstellen eines Benennungsschemas auf die 15-Zeichen-Beschränkung von NetBIOS
13 - Klicken Sie auf der Seite Domänenanmeldeinformationen
14- Geben Sie im Popup-Fenster Windows-Sicherheit Ihre Domain-Anmeldeinformationen ein und klicken Sie auf Fertig
15- Geben Sie auf der Seite “Zusammenfassung” einen Namen und eine Beschreibung ein und klicken Sie auf Fertig stellen
Schritt 5: Erstellen einer Bereitstellungsgruppe
1- Navigieren Sie in Web Studio zu Bereitstellungsgruppenund wählen Sie Bereitstellungsgruppe erstellen
2- Wählen Sie auf der Seite “Maschinen” Ihren Maschinenkatalog und die Anzahl der Maschinen aus und klicken Sie auf Weiter
3- Wählen Sie auf der Seite Benutzer eine Authentifizierungsoption aus und klicken Sie auf Weiter
4- Klicken Sie auf der Seite “Anwendungen” auf Hinzufügen
5- Wählen Sie auf der Seite “Anwendungen hinzufügen” aus, welche Anwendungen Sie veröffentlichen möchten, und klicken Sie auf OK
Überlegungen:
- Während die meisten Anwendungen über das Startmenü angezeigt werden, können Sie optional Anwendungen auch manuell hinzufügen.
- Dieser Schritt kann übersprungen werden, wenn Sie keine Seamless-Anwendungen veröffentlichen müssen.
7- Klicken Sie zurück auf der Seite “Anwendungen” auf Weiter
8- Klicken Sie auf der Seite “Desktops” auf Add
9- Konfigurieren Sie auf der Seite Add Desktop den Desktop und klicken Sie auf OK
Überlegungen:
- Dieser Schritt kann übersprungen werden, wenn Sie keine vollständigen Desktops veröffentlichen müssen.
10- Zurück auf der Seite Desktops, klicken Sie auf Weiter
11- Geben Sie auf der Seite “Zusammenfassung” einen Namen und eine Beschreibung ein und klicken Sie auf Fertig stellen