Referenzarchitektur: Citrix DaaS-Implementierung mit Azure Active Directory Domain Services für CSPs

Architektur

DieAzure Active Directory Domain Services sind ein vollständig verwalteter Active Directory-Dienst auf Microsoft Azure AD Domain Services (ADDS) ist nicht zu verwechseln mit Azure AD, einem Cloud-basierten Identitäts- und Authentifizierungsdienst für Microsoft-Dienste, sondern bietet verwaltete Domänencontroller. Azure ADDS enthält Unternehmensfunktionen wie Domain-Join und Gruppenrichtlinie. Während Azure AD moderne Authentifizierungs- und Autorisierungsprotokolle wie OpenID Connect und OAuth 2.0 nutzt, verwendet Azure ADDS traditionelle Protokolle, die auf Active Directory basieren, wie LDAP und Kerberos. Azure AD Domain Services synchronisiert automatisch Identitäten von Azure AD mit Ihrer verwalteten AD-Umgebung.

Azure ADDS stellt automatisch hochverfügbare Active Directory-Domänencontroller in Ihrem Azure-Abonnement bereit und verwaltet diese. Der Zugriff auf den Domänencontroller ist eingeschränkt, und Sie können Ihre Domäne nur verwalten, indem Sie Verwaltungsinstanzen mit Remote-Serveradministrationstools bereitstellen. Darüber hinaus sind die Berechtigungen für Domänenadministrator und Unternehmensadministrator unter dem verwalteten Service nicht verfügbar. Die Azure ADDS-Instanz wird direkt in einem virtuellen Netzwerk (VNet) innerhalb Ihres Abonnements bereitgestellt, Ressourcen können für dasselbe VNet oder in verschiedenen VNets bereitgestellt werden. Wenn Ressourcen für ein anderes VNet bereitgestellt werden, müssen es über ein VNet-Peering mit dem Azure ADDS VNet verbunden sein.

Azure ADDS kann als Benutzergesamtstrukturoder als Ressourcengesamtstruktur bereitgestellt werden. Für diese Implementierung implementieren wir Azure ADDS als Benutzergesamtlage, ohne ein Vertrauen in eine externe on-premises AD-Umgebung zu konfigurieren. Außerdem werden die Citrix DaaS-Ressourcen basierend auf unserer CSP-Referenzarchitekturbereitgestellt.

Architektur -Szenario 1

Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:

  • Azure AD:
    • Gemeinsamer Azure AD-Mandant für alle Kunden
  • Azure ADDS:
    • Gemeinsame Azure ADDS-Instanz für alle Kunden
  • Abonnements:
    • Gemeinsames Azure-Abonnement für kleinere Kunden
    • Dedizierte Azure-Abonnements für größere Kunden
  • Netzwerkkonnektivität:
    • VNET-Peering von dedizierten Abonnements für das gemeinsame Abonnement für Azure ADDS-Konnektivität

CSP-Image-001

Architektur Scenario 2

Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:

  • Azure AD:
    • Gemeinsamer Azure AD-Mandant für alle Kunden
    • Dedizierter Azure AD-Mandant für größere Kunden
  • Azure ADDS:
    • Gemeinsame Azure ADDS-Instanz für alle Kunden
  • Abonnements:
    • Gemeinsames Azure-Abonnement für kleinere Kunden
    • Dedizierte Azure-Abonnements für größere Kunden
  • Netzwerkkonnektivität:
    • VNET-Peering von dedizierten Abonnements für das gemeinsame Abonnement für Azure ADDS-Konnektivität

CSP-Image-002

Architektur Szenario 3

Dieses Bereitstellungsszenario beinhaltet die folgenden Überlegungen:

  • Azure AD:
    • Gemeinsamer Azure AD-Mandant für alle Kunden
    • Dedizierter Azure AD-Mandant für größere Kunden
  • Azure ADDS:
    • Gemeinsame Azure ADDS-Instanz für kleine Kunden
    • Dedizierte Azure ADDS-Instanz für größere Kunden
  • Abonnements:
    • Gemeinsames Azure-Abonnement für kleinere Kunden
    • Dedizierte Azure-Abonnements für größere Kunden
  • Netzwerkkonnektivität:
    • Kein VNET-Peering von dedizierten Abonnements zu einem gemeinsamen Abonnement

CSP-Image-003

Azure-Ressourcenhierarchie

Berücksichtigen Sie beim Entwerfen und Organisieren Ihrer Azure-Abonnementressourcen die folgende Ressourcenhierarchie:

CSP-Image-004

Anfängliche Annahmen

Azure ADDS

  • Azure AD-Mandant existiert
  • Azure-Abonnement existiert
  • Ein Azure AD-Konto mit den folgenden Berechtigungen ist verfügbar:
    • Azure AD: Globale Administration
    • Abonnement: Contributor
  • Azure ADDS wird als eigenständige Benutzergesamtlage bereitgestellt, es wird kein Vertrauen konfiguriert
  • Obwohl es möglich ist, werden bestehende AD-Benutzer nicht über Azure AD Connect synchronisiert
  • Das Zurücksetzen des Self-Service-Kennworts wird eingesetzt, um das Zurücksetzen von Kennwörtern für die Kennwort-H

Citrix Cloud

  • Ein Citrix Cloud-Abonnement ist verfügbar
  • Citrix Cloud Connector wird bereitgestellt
  • VDA-Masterimage wird bereitgestellt
  • Azure-Hosting-Verbindungen werden konfiguriert
  • Maschinenkatalog und Bereitstellungsgruppe werden konfiguriert

Terminologie

Im Folgenden sind die gebräuchlichsten Azure-Begriffe aufgeführt, die Sie verstehen müssen, wie in der Azure-Dokumentation beschrieben:

  • Azure-Abonnements: Azure-Abonnements sind eine Vereinbarung mit Microsoft zur Nutzung von Azure-Diensten. Die Abrechnung ist an ein Abonnement gebunden, das auf den verbrauchten Ressourcen basiert, und Ressourcen können nicht ohne Abonnement bereitgestellt werden. Abonnements ermöglichen es Ihnen, den Zugriff auf Ressourcen zu organisieren. Zu den Abonnementtypen gehören Testversion, Pay-Wonge-As you go, Enterprise Agreement und MSDN, und jeder kann eine andere Zahlungseinrichtung haben. Azure-Abonnements müssen an einen Azure AD-Mandanten gebunden sein.
  • Azure AD: Azure AD ist der Cloud-basierte Identitätsverwaltungsdienst von Microsoft für Benutzer, Gruppen und Geräte. Azure AD ist nicht als Ersatz für herkömmliche Active Directory-Domänendienste anzusehen, da es LDAP oder Kerberos nicht unterstützt. Mehrere Azure-Abonnements können an einen einzelnen Azure AD-Mandanten gebunden sein. Azure AD bietet verschiedene Arten von Lizenzen (Free, Premium 1 und Premium 2), die je nach Lizenzstufe unterschiedliche Funktionen bieten.
  • Verwaltungsgruppen: Azure Management Groups sind Container, mit denen Sie Zugriff, Richtlinien und Compliance über mehrere Abonnements hinweg verwalten können. Verwaltungsgruppen können Abonnements oder andere Verwaltungsgruppen enthalten.
  • Azure RBAC: Azure RBAC wird verwendet, um die Autorisierung für Azure-Ressourcen zu verwalten. Azure RBAC enthält über 70 integrierte Rollen und ermöglicht es Ihnen, benutzerdefinierte Rollen zu erstellen, um die Autorisierung für Ressourcen basierend auf Ihren Anforderungen zu verwalten. Berechtigungen werden von Verwaltungsgruppen auf Abonnements, von Abonnements zu Ressourcengruppen und von Ressourcengruppen zu Ressourcen kaskadiert. Die Rolle “Owner RBAC” bietet die höchste Berechtigungsstufe für eine Azure-Ressource und ermöglicht Ihnen auch die Verwaltung von Ressourcenberechtigungen für andere Benutzer.
  • Azure AD Rollen: Azure AD-Rollen werden verwendet, um Azure AD-bezogene Aktionen wie das Erstellen von Benutzern, Gruppen, App-Registrierungen, die Interaktion mit APIs und mehr zu verwalten. Die Rolle “Globaler Administrator” gewährt anderen Benutzern die höchste Berechtigungsstufe in Azure AD, einschließlich des Zugriffs auf alle Azure AD-Funktionen, der Verwaltung von Rollen und der Lizenzierung für andere Benutzer und vieles mehr. Die Rolle “Globaler Administrator” wird automatisch dem Benutzer zugewiesen, der zuerst den Azure AD-Mandanten erstellt hat.
  • Benutzerdefinierte Azure AD Domain: Alle neuen Azure AD-Mandanten werden unter der Domäne onmicrosoft.com erstellt. Benutzerdefinierte Domains können durch Validieren des Eigentums bei Ihrem Domain-Registrar konfiguriert werden.
  • Ressourcengruppen: Ressourcengruppen sind logische Container, die verwendet werden, um Ressourcen in Azure zu organisieren und ihre Berechtigungen über RBAC zu verwalten. In der Regel teilen sich Ressourcen innerhalb einer Ressourcengruppe einen ähnlichen Lebenszyklus. Eine Ressourcengruppe kann keine anderen Ressourcengruppen enthalten, und Azure-Ressourcen können nur erstellt werden, wenn Sie eine Ressourcengruppe angeben. Während eine Ressourcengruppe in einer Azure-Region bereitgestellt wird, kann sie Ressourcen aus verschiedenen Regionen enthalten.
  • VNET: Ein Azure VNET ist ein softwaredefiniertes Netzwerk, mit dem Sie Ressourcen unter einem isolierten Adressraum in Azure verwalten und bereitstellen können. Mit VNets können Ressourcen mit anderen Ressourcen im selben VNET, dem Internet, Ressourcen in anderen VNets oder on-premises kommunizieren. Der Zugriff auf und von VNets ist über Network Security Groups gesichert, und Sie können Routen auch konfigurieren, indem Sie benutzerdefinierte Routen implementieren. Azure VNets sind Layer-3-Overlays, daher verstehen sie keine Layer-2-Semantik wie VLANs oder GARP. Alle VNets enthalten einen Hauptadressraum und müssen mindestens ein Subnetz mit einem Adressraum enthalten. VM-IPs in einem VNET sind nicht mit der tatsächlichen VM-Instanz verbunden, sie werden der VM-NIC zugewiesen, die als unabhängige Ressource verwaltet wird.
  • VNET Peering: Ein Peering ermöglicht es 2 VNets, sich über das Azure-Backbone zu verbinden und zu kommunizieren, im Gegensatz zur herkömmlichen VNet-zu-VNet-Verbindung, die den Datenverkehr durch das öffentliche Internet leitet. Peerings ermöglichen eine niedrige Latenz und können in verschiedenen Regionen, verschiedenen Abonnements und sogar verschiedenen Azure AD-Mandanten konfiguriert werden. Peering-Verbindungen sind standardmäßig nicht transitiv, eine erweiterte Konfiguration ist erforderlich, um dieses Verhalten zu ändern. In einer Hub-and-Spoke-Architektur kann ein Speichen-VNET nur mit dem Hub kommunizieren, kann jedoch nicht mit Ressourcen in anderen Speichen kommunizieren.
  • Network Security Group: Eine Network Security Group (NSG) ist eine Reihe von Regeln, mit denen Sie den eingehenden und ausgehenden Zugriff auf Ressourcen innerhalb eines VNET steuern können. Sie können an ein Subnetz oder eine NIC angehängt werden. Eingehende und ausgehende Regeln innerhalb einer Network Security Group werden unabhängig verwaltet, und alle Regeln müssen eine Priorität von 100 und 4096 haben. Standardmäßig enthalten Netzwerksicherheitsgruppen eine Reihe von Standardregeln, die unter anderem den Datenverkehr zwischen Ressourcen im selben VNET, ausgehenden Internetzugriff, erlauben. Netzwerksicherheitsgruppen haben keinerlei Beziehung zu Firewall-Konfigurationen auf Betriebssystemebene, und als Faustregel wird beim Entwerfen Ihrer Netzwerksicherheitsgruppen ein Zero-Trust-Ansatz empfohlen.
  • App-Registrierung: Eine App-Registrierung ist ein Azure AD-Konto, das es einer externen Anwendung ermöglicht, mit Azure-APIs zu interagieren. Wenn eine App-Registrierung erstellt wird, generiert Azure AD eine App-ID und ein Geheimnis, das als Benutzername und Kennwort fungiert. In dieser Implementierung wird eine App-Registrierung erstellt, die es Citrix Cloud ermöglicht, mit Azure zu interagieren und Aufgaben zur Maschinenerstellung und Energieverwaltung durchzuführen.

Azure ADDS Überlegungen

  • Azure ADDS synchronisiert automatisch Benutzeridentitäten von Azure AD
  • Die Synchronisierung funktioniert von Azure AD zu Azure ADDS, nicht umgekehrt
  • Es kann Benutzer nutzen, die in der Cloud erstellt wurden, oder Benutzer, die über Azure AD Connect synchronisiert wurden
  • Azure AD Connect kann nicht in einer Azure ADDS Umgebung installiert werden, um Objekte zurück mit Azure AD zu synchronisieren
  • LDAP-Schreibfunktionen funktionieren nur für Objekte, die direkt auf ADDS erstellt wurden, nicht für Benutzer, die mit Azure AD synchronisiert wurden
  • Azure ADDS kann nur als eigenständige Domäne (nur eine Gesamtstruktur, nur eine Domäne) und nicht als Erweiterung einer on-premises Domäne verwendet werden
  • Der Dienst wird in Azure Availability Zones bereitgestellt, sofern verfügbar
  • Azure ADDS wird standardmäßig als Benutzergesamtlage bereitgestellt. Zum Zeitpunkt dieses Schreibens befindet sich das Ressourcengesamtstruktur-Bereitstellungsmodell in der Vorschau
  • Für Benutzer, die aus Azure AD synchronisiert werden, wird der Kennwort-Hash nicht synchronisiert, bis die Benutzer ihr Kennwort zurücksetzen. Azure Self Service Password Reset wird verwendet, um Benutzern beim Zurücksetzen ihrer Kennwörter zu helfen.
  • Die Gruppe AAD DC-Administratoren, die erstellt wird, wenn die Azure ADDS-Instanz bereitgestellt wird, kann innerhalb von ADUC nicht bearbeitet werden. Die Gruppe AAD DC-Administratoren kann nur in Azure AD-Gruppen in der Azure-Konsole bearbeitet werden
  • Für Benutzer, die aus Azure AD synchronisiert sind:
    • Das Kennwort kann nicht von der ADUC-Konsole zurückgesetzt werden
    • Kann nicht in eine andere Organisationseinheit verschoben werden
    • Diese Benutzer werden in der Regel verwendet, um die Azure ADDS-Instanz als CSP zu verwalten. Endkundenbenutzer können in ADUC erstellt werden
  • GPOs können erstellt und mit den vorgefertigten Organisationseinheiten von AADDC Computers und AADC Users verknüpft werden, nicht mit anderen vorab erstellten OUs
    • Sie können Ihre eigene OU-Struktur erstellen und GPOs bereitstellen
    • Gruppenrichtlinien- und Standortebene können nicht erstellt werden
  • OU Lockdown ist möglich, indem der Delegation of Control Wizard auf neuen Organisationseinheiten verwendet wird
    • Funktioniert nicht bei vorgefertigten OUs

Überlegungen zum Anmeldeprozess

Azure ADDS synchronisiert Benutzerkonten des Azure AD-Mandanten, unter dem erstellt wurde. Es umfasst Konten, die mit einer benutzerdefinierten Domäne erstellt wurden, Konten, die mit der anfänglichen onmicrosoft.com-Domain erstellt wurden, und B2B-Konten (externe Konten, die Azure AD als Gäste hinzugefügt wurden). Je nach Art des Benutzerkontos haben Benutzer eine andere Anmeldeerfahrung:

  • Benutzerdefinierte Domänenkonten:
    • Login mit UPN (user@domain.com): Login erfolgreich
    • Anmeldung mit NetBIOS (Domain\ user): Anmeldung erfolgreich
  • OnMicrosoft Domänenkonten:
    • Login mit UPN (user@domain.onmicrosoft.com): Anmeldung nicht erfolgreich (1)
    • Login mit NetBIOS (Domain\ user): Anmeldung erfolgreich (2)
  • B2B-Konten (Gäste):
    • Login mit UPN (user@domain.com): Anmeldung nicht erfolgreich
    • Anmeldung mit NetBIOS (Domain\ user): Anmeldung nicht erfolgreich (3)

HINWEIS:
(1) Das Hinzufügen eines alternativen UPN-Namens ist in Azure ADDS nicht zulässig, daher können sich diese Benutzer nicht über UPN anmelden.

( 2) Dies funktioniert einwandfrei, da der NetBIOS-Name für alle Benutzer gleich ist.

( 3) Diese Benutzer können sich nicht gegen Azure ADDs authentifizieren, obwohl sie synchronisiert sind, hat Azure keinen Zugriff auf ihren Kennworthash.

Implementierung

Azure-Komponenten

Schritt 1: Erstellen einer Ressourcengruppe für Azure ADDS

1- Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus und klicken Sie auf Hinzufügen

CSP-Image-005

Überlegungen:

  • In diesem Schritt wird davon ausgegangen, dass ein Azure-Abonnement erstellt wurde und bereit ist, die Ressourcen bereitzustellen.

2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Review + Erstellen

  • Abonnement
  • Ressourcengruppenname
  • Bereich Ressourcengruppe

CSP-Image-006

3- Klicken Sie auf der Registerkarte Review + create auf Erstellen

CSP-Image-007

Überlegungen:

  • Wiederholen Sie diese Schritte, um Ressourcengruppen für Kundenressourcen, Netzwerke und mehr zu erstellen.
  • Optional können Sie Ressourcengruppen vorab erstellen, die Citrix Machine Creation Services verwenden kann. Machine Creation Services (MCS) können nur leere Ressourcengruppen verwenden.

Schritt 2: Erstellen des Azure ADDS VNet

1- Wählen Sie im Azure-Portalmenü die Option Virtuelle Netzwerkeaus und klicken Sie auf Hinzufügen.

CSP-Image-008

2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter: IP-Adressen:

  • Abonnement
  • Ressourcengruppenname
  • VNET-Bezeichnung
  • VNET-Region

CSP-Image-009

3- Geben Sie auf der Registerkarte IP-Adressen die folgenden Informationen ein und klicken Sie auf Next: Security:

  • IPv4-Adressraum
  • Subnetze hinzufügen

CSP-Image-010

Überlegungen:

  • Fügen Sie Subnetze hinzu, wie von Ihren Netzwerkdesignentscheidungen festgelegt. In diesem Fall fügen wir ein Subnetz für den ADDS-Dienst und ein Subnetz für gemeinsam genutzte Infrastrukturressourcen hinzu, einschließlich Citrix Cloud Connectors, Masterimages usw.

4- Konfigurieren Sie auf der Registerkarte Sicherheit DDoS und Firewall nach Bedarf und klicken Sie auf Review + create

CSP-Image-011

5- Klicken Sie auf der Registerkarte Review + create auf Erstellen.

CSP-Image-012

Überlegungen:

  • Wiederholen Sie diese Schritte, um Kundennetzwerke zu erstellen, sowohl im selben Abonnement als auch in einem zusätzlichen Abonnement.

Schritt 3: Konfigurieren von VNet Peerings

1- Wählen Sie im Azure-Portalmenü die Option Virtuelle Netzwerkeund wählen Sie das VNET aus, in dem ADDS bereitgestellt werden soll.

CSP-Image-013

Überlegungen:

  • Für diese Implementierung wird die Vernetzung in einer Hub-and-Spoke-Architektur konzipiert. Ein VNET-Peering wird vom Azure ADDS-Netzwerk (Hub) zu den Kundennetzwerken (Speichen) konfiguriert.
  • Standardmäßig sind VNET-Peerings nicht transitiv, sodass gesprochene Netzwerke nur dann miteinander kommunizieren können, wenn sie absichtlich konfiguriert wurden.
  • Bei Peer-Netzwerken auf verschiedenen Azure-Abonnements und Azure AD-Mandanten:
    • Benutzer müssen im gegenüberliegenden Abonnement als Gastbenutzer hinzugefügt und mit RBAC-Berechtigungen für Peer-Netzwerke erteilt werden.
    • Netzwerksicherheitsgruppen müssen auf beiden Seiten ordnungsgemäß konfiguriert sein.

2- Klicken Sie auf der VNET-Blatte auf Peerings und Add.

CSP-Image-014

3- Geben Sie auf dem Add peering blade die folgenden Informationen ein:

  • Name des Peerings vom Quell-VNET zum Ziel-VNET
  • Abonnement
  • Virtuelles Zielnetzwerk
  • Name des Peerings vom Ziel-VNET zum Quell-VNET

CSP-Image-015

4- Scrollen Sie nach unten und klicken OK

CSP-Image-016

Überlegungen:

  • Wiederholen Sie diese Schritte, um andere Kunden- (Spoke-) Netzwerke zu nutzen.

Schritt 4: Erstellen der Azure AD Domain Services-Instanz

1- Geben Sie in der Azure-Suchleiste Domänendiensteein, und klicken Sie auf Azure AD Domain Services

CSP-Image-017

2- Klicken Sie auf der Seite Azure AD Domain Services auf + Hinzufügen.

CSP-Image-018

3- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter:

  • Abonnement
  • Ressourcengruppenname
  • DNS-Domainname
  • Region
  • SKU
  • Forest-Typ

CSP-Image-019

Überlegungen:

  • Die AAD DS-Instanzregion muss mit der des Netzwerks übereinstimmen, das Sie in den vorherigen Schritten erstellt haben.
  • Eine Benutzergesamtstruktur ist der Standardtyp der Gesamtstruktur von Azure ADDS. Sie synchronisiert alle Azure AD-Benutzerkonten mit Azure ADDS, damit sie sich gegen die Azure ADDS-Instanz authentifizieren. Dieses Modell geht davon aus, dass Hashes mit Benutzerkennwörtern synchronisiert werden können.
  • Eine Ressourcengesamtstruktur: ist eine kürzlich unterstützte Art von Gesamtstruktur, die sich in der Vorschau befindet. Nach diesem Bereitstellungsmodell wird Azure ADDS zur Verwaltung von Maschinenkonten verwendet. Eine unidirektionale Vertrauensstellung wird von Azure ADDS (vertrauensvolle Domäne) zu einer on-premises AD-Umgebung (der vertrauenswürdigen Domäne) konfiguriert. Mit dieser Konfiguration können sich Benutzerkonten aus der on-premises Umgebung bei in Azure gehosteten Ressourcen anmelden, die mit der Azure ADDS-Domäne verbunden sind. Bei dieser Art von Gesamtstruktur wird davon ausgegangen, dass die Netzwerkkonnektivität mit der on-premises Domäne konfiguriert ist.

4- Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein und klicken Sie auf Weiter:

  • Virtuelles Netzwerk
  • Subnetz

CSP-Image-020

5- Klicken Sie auf der Registerkarte Administration auf Gruppenzugehörigkeit verwalten

CSP-Image-021

6- Klicken Sie auf der Member Blade auf + Mitglieder hinzufügen

CSP-Image-022

7- Suchen Sie auf dem Blade Mitglieder hinzufügen nach den Konten, die Sie als Mitglieder der Gruppe AAD DC Administrators hinzufügen möchten.

CSP-Image-023

8- Sobald die Benutzer hinzugefügt wurden, klicken Sie auf Auswählen

CSP-Image-024

9- Klicken Sie auf der Registerkarte Administration auf Weiter

CSP-Image-025

Überlegungen:

  • Die Gruppenmitgliedschaft der AAD DC Administrators kann nur von Azure AD aus verwaltet werden, sie kann nicht von der ADUC-Konsole in der Azure ADDS-Instanz aus verwaltet werden.

10 - Klicken Sie auf der Registerkarte Synchronisierung auf Weiter

CSP-Image-026

Überlegungen:

  • Diese Seite kann optional verwendet werden, um auszuwählen, welche Azure AD-Objekte mit Azure ADDS synchronisiert werden sollen, indem Sie den Synchronisationstyp Bereich auswählen.

11- Klicken Sie auf der Registerkarte Review auf Erstellen

CSP-Image-027

12- Klicken Sie im Bestätigungs-Popup auf OK

CSP-Image-028

Überlegungen:

  • Der Prozess zum Erstellen der Azure ADDS-Instanz kann bis zu einer Stunde dauern.

Schritt 5: Konfigurieren von DNS für Azure ADDS VNET

1- Sobald die Azure ADDS-Instanz erstellt wurde, klicken Sie unter DNS-Servereinstellungen für Ihr virtuelles Netzwerk aktualisierenauf Konfigurieren

CSP-Image-029

Überlegungen:

  • Dieser Schritt konfiguriert automatisch die DNS-Einstellungen des VNET, in dem die Azure ADDS-Instanz erstellt wurde (Hub-Netzwerk). Nach der Konfiguration werden alle DNS-Abfragen an die verwalteten Domänencontroller weitergeleitet.
  • Kundennetzwerke (Speichen) müssen ihre DNS-Einstellungen manuell aktualisieren.

Schritt 6: Konfigurieren Sie DNS für die Kundennetzwerke

1- Wählen Sie im Azure-Portalmenü Virtuelle Netzwerkeund wählen Sie Ihren Kunden (Spoke) VNET aus.

CSP-Image-030

2- Klicken Sie auf dem VNET-Blade auf DNS-Server, wählen Sie Benutzerdefiniert, geben Sie die IP-Adresse der verwalteten Domänencontroller ein und klicken Sie auf Speichern

CSP-Image-031

Überlegungen:

  • Wiederholen Sie diese Schritte für jeden Kunden (Spoke) VNET und jede andere externe VNET, die auf das VNET mit der Azure ADDS-Instanz gepeist wird.

Schritt 7: Konfigurieren Sie Self Service Password Reset (SSPR)

1- Wählen Sie im Azure-Portalmenü Azure Active Directoryaus und klicken Sie auf Password Reset

CSP-Image-032

Überlegungen:

  • Wenn Azure AD-Benutzer anfänglich mit Azure ADDS synchronisiert werden, wird ihr Kennwort-Hash nicht synchronisiert. Daher müssen Benutzer ihr Kennwort zurücksetzen, damit dies geschieht. SSPR wird verwendet, um Benutzern das Zurücksetzen ihrer Kennwörter auf einfache und sichere Weise zu ermöglichen.
  • Die Benutzerauthentifizierung gegen Azure ADDS funktioniert erst, wenn dieser Schritt ausgeführt wird.
  • Der Schritt zur Aktivierung von SSPR ist nur erforderlich, wenn er noch nicht konfiguriert wurde.
  • Dieser Schritt ist nur erforderlich, wenn Azure AD-Benutzer über das Azure-Portal verwaltet werden (nicht Benutzer, die über Azure AD Connect von On-Prem AD synchronisiert werden). Gehen Sie folgendermaßen vor, damit Benutzer von On-Prem AD über Azure AD connect synchronisiert werden.

2- Wählen Sie auf dem Blade Eigenschaften die Option Alleaus, und klicken Sie auf Speichern.

CSP-Image-033

Überlegungen:

  • Sie können optional Ausgewählt wählen, um SSPR nur für eine Teilmenge von Benutzern zu aktivieren.
  • Wenn sich die Benutzer das nächste Mal anmelden, müssen sie sich bei SSPR registrieren.

Schritt 8: SSPR-Benutzerregistrierungsprozess

1- Wenn sich ein Benutzer anmeldet, wird er zum SSPR-Registrierungsbildschirm weitergeleitet und konfiguriert seine Authentifizierungsmethoden.

CSP-Image-034

Überlegungen:

  • SSPR-Authentifizierungsmethoden können auf dem SSPR-Konfigurations-Blade im Azure-Portal ausgewählt werden.
  • In diesem Beispiel wurde SSPR mit den Grundeinstellungen aktiviert, die die Konfiguration eines Telefons und einer E-Mail erfordern.

2- Sobald die Benutzer ihre Authentifizierungsinformationen eingegeben haben, ist der SSPR-Registrierungsprozess abgeschlossen.

CSP-Image-035

3- Benutzer können jetzt zu Self-Service Password Reset navigieren, um ihr Kennwort zurückzusetzen.

CSP-Image-036

Überlegungen:

  • Sobald dieser Schritt abgeschlossen ist und die Benutzer ihr Kennwort zurücksetzen, wird der Kennwort-Hash von Azure AD mit Azure ADDS synchronisiert.
  • Für synchronisierte Benutzer kann der ADUC nicht zum Zurücksetzen ihres Kennworts verwendet werden.

Schritt 9: Erstellen der AD-Verwaltungs-VM

1 - Wählen Sie im Azure-Portalmenü die Option Virtuelle Maschinenaus und klicken Sie auf Hinzufügen

CSP-Image-037

2- Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein und klicken Sie auf Weiter: Datenträger:

  • Abonnement
  • Ressourcengruppe
  • VM-Name
  • Region
  • Optionen für die Verfügbarkeit
  • Image
  • Größe
  • Admin-Kontodetails

CSP-Image-038

CSP-Image-039

3- Geben Sie auf der Registerkarte Datenträger den Betriebssystemdatenträgertyp ein und klicken Sie auf Weiter: Netzwerk

CSP-Image-040

4- Konfigurieren Sie auf der Registerkarte Netzwerk die folgenden Informationen und klicken Sie auf Weiter: Verwaltung:

  • Virtuelles Netzwerk
  • Subnetz
  • Öffentliche IP (falls zutreffend)
  • Netzwerksicherheitsgruppe

CSP-Image-041

5- Konfigurieren Sie auf der Registerkarte Verwaltung die folgenden Informationen und klicken Sie auf Weiter: Erweitert:

  • Überwachen
  • Automatisches Herunterfahren
  • Backup

CSP-Image-042

CSP-Image-043

6- Behalten Sie auf der Registerkarte Erweitert die Standardeinstellungen bei und klicken Sie auf Weiter: Tags

CSP-Image-044

7- Erstellen Sie auf der Registerkarte “Tags” alle erforderlichen Tags für die VM-Instanz und klicken Sie auf Weiter: Überprüfen + erstellen

CSP-Image-045

8- Stellen Sie auf der Registerkarte Review + create sicher, dass alle Informationen korrekt sind, und klicken Sie auf Erstellen

CSP-Image-046

Überlegungen:

  • Wiederholen Sie die vorherigen Schritte, um alle zusätzlichen VMs zu erstellen: Cloud Connectors, Master Images usw. und so weiter.

Schritt 10: Treten Sie der Management-VM der Domäne bei

1- Stellen Sie über RDP eine Verbindung mit der Instanz her, öffnen Sie den Server Manager und klicken Sie auf Rollen und Funktionen hinzufügen

CSP-Image-047

2- Fügen Sie im Assistenten zum Hinzufügen von Rollen und Funktionen die folgenden Funktionen hinzu:

  • Tools zur Rollenverwaltung
  • ADDS- und AD LDS-Tools
  • Active Directory-Modul für Windows PowerShell
  • AD DS Werkzeuge
  • AD DS Snap-Ins und Befehlszeilentools
  • Gruppenrichtlinien-Verwaltungskonsole (GPMC)
  • DNS-Manager

CSP-Image-048

3- Wenn die Installation abgeschlossen ist, verbinden Sie die VM mit der Azure ADDS-Domäne.

CSP-Image-049

Überlegungen:

  • Wiederholen Sie die vorherigen Schritte, um alle anderen VMs mit der Azure ADDS-Domäne zu verbinden.
  • Die Installation von RSAT-Tools ist nur für die VMs erforderlich, die zur Verwaltung der Azure ADDS-Instanz verwendet werden.
  • Stellen Sie sicher, dass das Kennwort des Benutzerkontos, das für den Beitritt der VMs mit der Azure ADDS-Domäne verwendet wurde, zurückgesetzt wurde, bevor Sie diese Schritte ausführen.

Schritt 11: Erstellen einer Azure AD App-Registrierung

1- Wählen Sie im Azure-Portalmenü Azure Active Directory > App-Registrierungen > + Neue Registrierung

CSP-Image-050

2- Geben Sie auf dem Blade Registrieren einer Anwendung die folgenden Informationen ein und klicken Sie auf Registrieren:

  • App-Name
  • Unterstützte Kontoarten
  • Umleitungs-URL
    • Web-Site
    • “https://citrix.cloud.com”

CSP-Image-051

3- Kopieren Sie auf dem Übersichtsblatt die folgenden Werte in einen Notizblock:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)

CSP-Image-052

Überlegungen:

  • Die Werte für die Anwendungs-ID und die Verzeichnis-ID werden später beim Erstellen einer Hosting-Verbindung für Citrix MCS zur Verwaltung von Azure-Ressourcen verwendet.

4- Klicken Sie auf Zertifikate & Geheimnisse und dann +Neues Kundengeheimnis

CSP-Image-053

5- Geben Sie im Popup-Fenster “Client-Geheimnis hinzufügen” eine Beschreibung und einen Ablauf ein undklicken Sie auf “ Hinzufügen

CSP-Image-054

6- Kopieren Sie auf dem Bildschirm “Zertifikate und Geheimnisse” den Wert des Kundengeheimnisses

CSP-Image-055

Überlegungen:

  • Während die Client-ID als Benutzername für die App-Registrierung fungiert, fungiert das Client Secret als Kennwort.

7- Klicken Sie auf API-Berechtigungen und dann auf Berechtigung hinzufügen

CSP-Image-056

8- Auf dem Blade “API-Berechtigungen anfordern” verwendet meine Organisation unter APIs die Suche nach Windows Azureund wählen Sie Windows Azure Active Directoryaus

CSP-Image-057

9- Wählen Sie auf dem Azure Active Directory Graph API-Blade Delegierte Berechtigungenaus, weisen Sie die Berechtigung “Grundprofile lesen “ zu und klicken Sie auf Berechtigungen hinzufügen

CSP-Image-058

10- Zurück auf dem Blade “API-Berechtigungen anfordern”, verwendet meine Organisation erneut die Suche nach Windows Azure und wählt Windows Azure Service Management APIaus

CSP-Image-059

11- Wählen Sie auf der Azure Service Management-API-Blade Delegierte Berechtigungenaus, weisen Sie die Berechtigung Access Azure Service Management als Benutzer der Organisation zu und klicken Sie auf Berechtigungen hinzufügen

CSP-Image-060

12- Klicken Sie im Azure-Portalmenü auf Abonnements und kopieren Sie den Wert Ihrer Abonnement-ID

CSP-Image-061

Überlegungen:

  • Kopieren Sie den Wert aller Abonnements, die zur Verwaltung von Ressourcen über Citrix MCS verwendet werden. Die Hosting-Verbindung für jedes Azure-Abonnement muss unabhängig konfiguriert werden.

13- Wählen Sie Ihr Abonnement aus und wählen Sie Zugriffssteuerung (IAM) > +Hinzufügen > Rollenzuweisung hinzufügen

CSP-Image-062

14- Weisen Sie auf dem Blade “Rollenzuweisung hinzufügen” die Rolle “ Mitwirkender “ der neuen App-Registrierung zu und klicken Sie auf Speichern

CSP-Image-063

Überlegungen:

  • Wiederholen Sie diesen Schritt, um der Registrierung für jedes zusätzliche Abonnement Berechtigungen für Mitwirkende hinzuzufügen.
  • Bei Verwendung eines sekundären Abonnements, das zu einem separaten Azure AD-Mandanten gehört, muss eine neue App-Registrierung konfiguriert werden.

Citrix Komponenten

Schritt 1: Installieren Sie den Cloud Connector

1- Stellen Sie über RDP eine Verbindung zur Cloud Connector-VM her und verwenden Sie einen Webbrowser, um zur Citrix Cloudzu navigieren. Geben Sie Ihre Citrix Cloud-Anmeldedaten ein und klicken Sie auf Sign in

CSP-Image-064

2- Klicken Sie unter Domains auf Neu hinzufügen

CSP-Image-065

3- Klicken Sie auf der Registerkarte Domains unter Identity and Access Management auf +Domain

CSP-Image-066

4- Klicken Sie im Fenster “Cloud Connector hinzufügen” auf Herunterladen

CSP-Image-067

5- Speichern Sie die Datei cwcconnector.exe in der Instanz.

CSP-Image-068

6- Klicken Sie mit der rechten Maustaste auf die Datei cwcconnector.exe und wählen Sie Als Administrator ausführen

CSP-Image-069

7- Klicken Sie im Citrix Cloud Connector-Fenster auf Anmelden

CSP-Image-070

8- Geben Sie im Anmeldefenster Ihre Citrix Cloud-Anmeldedaten ein und klicken Sie auf Anmelden

CSP-Image-071

9- Wenn die Installation abgeschlossen ist, klicken Sie auf Schließen

CSP-Image-072

Überlegungen:

  • Die Installation von Cloud Connector kann bis zu 5 Minuten dauern.
  • Mindestens müssen 2 Cloud Connectors pro Ressourcenstandort konfiguriert werden.

Schritt 2: Konfigurieren Sie das VDA-Masterimage

1- Stellen Sie über RDP eine Verbindung zur Citrix VDA-Master-Image-VM her und verwenden Sie einen Webbrowser, um zu Citrix Downloads zu navigieren und die neueste Citrix VDA-Versionherunterzuladen

CSP-Image-073

Überlegungen:

  • Citrix Anmeldeinformationen sind erforderlich, um die VDA-Software herunterzuladen.
  • Es kann entweder die LTSR- oder CR-Version installiert werden.
  • Für Server- und Desktopbetriebssystemmaschinen muss ein separates VDA-Installationsprogramm heruntergeladen werden.

2- Klicken Sie mit der rechten Maustaste auf die VDA-Installationsdatei und wählen Sie Als Administrator ausführen

CSP-Image-074

3- Wählen Sie auf der Seite Environment die Option Create a Master MCS-Image

CSP-Image-075

4- Klicken Sie auf der Seite “Kernkomponenten” auf Weiter

CSP-Image-076

5- Wählen Sie auf der Seite Zusätzliche Komponenten die Komponenten aus, die am besten für Ihre Anforderungen gelten, und klicken Sie auf Weiter

CSP-Image-077

6- Geben Sie auf der Seite Delivery Controller die folgenden Informationen ein und klicken Sie auf Weiter:

  • Wählen Sie “Mach es manuell”
  • Geben Sie den FQDN jedes Cloud Connector
  • Klicken Sie auf Verbindung testen und dann auf Hinzufügen

CSP-Image-078

7- Aktivieren Sie auf der Seite Funktionen die Kontrollkästchen der Funktionen, die Sie basierend auf Ihren Bereitstellungsanforderungen aktivieren möchten, und klicken Sie dann auf Weiter

CSP-Image-079

8- Wählen Sie auf der Firewall-Seite Automatischaus und klicken Sie auf Weiter

CSP-Image-080

9- Stellen Sie auf der Zusammenfassungsseite sicher, dass alle Details korrekt sind, und klicken Sie auf Installieren

CSP-Image-081

10- Die VM wird während der Installation neu gestartet

CSP-Image-082

11- Wählen Sie nach Abschluss der Installation auf der Seite Diagnose die Option aus, die Ihren Bereitstellungsanforderungen am besten entspricht, und klicken Sie auf Weiter

CSP-Image-083

12- Stellen Sie auf der Seite Fertig sicher, dass der Computer neu starten aktiviert ist, und klicken Sie auf Fertig stellen

CSP-Image-084

Schritt 3: Erstellen einer Azure Hosting-Verbindung

1- Navigieren Sie im Citrix Cloud-Hamburger-Menü zu Meine Dienste > DaaS

CSP-Image-085

2- Navigieren Sie in Web Studio zu Hostingund wählen Sie Verbindung und Ressourcen hinzufügenaus

CSP-Image-087

4- Klicken Sie auf der Seite Verbindung auf das Optionsfeld neben Neue Verbindung erstellen, geben Sie die folgenden Informationen einund klicken Sie auf Weiter:

  • Zone
  • Verbindungstyp
  • Azure-Umgebung

CSP-Image-088

5- Geben Sie auf der Seite “Verbindungsdetails” die folgenden Informationen ein und klicken Sie auf Bestehende verwenden:

  • Abonnement-ID
  • Verbindungsname

CSP-Image-089

6- Geben Sie auf der Seite Existing Service Principal die folgenden Informationen ein und klicken Sie auf OK:

  • Active Directory-ID
  • Anwendungs-ID
  • Anwendungsgeheimnis

CSP-Image-090

7- Klicken Sie auf der Seite Verbindungsdetails auf Weiter

CSP-Image-091

8- Wählen Sie auf der Seite Region die Region aus, in der Ihr Cloud Connector und VDA bereitgestellt wurden, und klicken Sie auf Weiter

CSP-Image-092

9- Geben Sie auf der Seite Netzwerk einen Namen für die Ressourcen ein, wählen Sie das entsprechende virtuelle Netzwerk und Subnetz aus und klicken Sie auf Weiter

CSP-Image-093

10- Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, und klicken Sie auf Fertig stellen

CSP-Image-094

Schritt 4: Erstellen eines Maschinenkatalogs

1- Navigieren Sie in Web Studio zu Maschinenkatalogeund wählen Sie Maschinenkatalog erstellen

CSP-Image-095

2- Klicken Sie auf der Einführungsseite auf Weiter

CSP-Image-096

3- Wählen Sie auf der Seite Betriebssystem das entsprechende Betriebssystem aus und klicken Sie auf Weiter

CSP-Image-097

Überlegungen:

  • Die nachfolgenden Bildschirme variieren je nach dem auf dieser Seite ausgewählten Betriebssystemtyp.

4- Wählen Sie auf der Seite “Maschinenverwaltung” die folgenden Informationen aus und klicken Sie auf Weiter:

  • Der Maschinenkatalog verwendet: Maschinen mit Energieverwaltung
  • Bereitstellen von Maschinen mit: Citrix Machine Creation Services (MCS)
  • Ressourcen: Wählen Sie Ihre Azure-Hosting-Verbindung

CSP-Image-098

5- Wählen Sie auf der Seite Desktop Experience die Optionen aus, die am besten an Ihre Anforderungen angepasst werden, und klicken Sie auf Weiter

CSP-Image-099

6- Wählen Sie auf der Seite Masterimage das Masterimage, die Funktionsebene (VDA-Version) aus und klicken Sie auf Weiter

CSP-Image-100

7- Wählen Sie unter Speicher- und Lizenztypen die Optionen aus, die Ihren Anforderungen am besten entsprechen, und klicken Sie auf Weiter

CSP-Image-101

8- Konfigurieren Sie auf der Seite Virtuelle Maschinen die Anzahl der bereitzustellenden virtuellen Maschinen, die Computergröße, und klicken Sie auf Weiter

CSP-Image-102

9- Fügen Sie auf der Seite “Netzwerkkarten” nach Bedarf NICs hinzu und klicken Sie auf Weiter

CSP-Image-105

10- Wählen Sie auf der Seite Write Back Cache Ihre Optionen für den Schreibcache aus und klicken Sie auf Weiter

CSP-Image-103

11- Wählen Sie auf der Seite “Ressourcengruppen” zwischen der Erstellung neuer Ressourcengruppen für die Citrix MCS-Ressourcen oder die Verwendung vorab erstellter Ressourcengruppen.

CSP-Image-104

Überlegungen:

  • Nur leere Ressourcengruppen werden in der Liste der vorhandenen Ressourcengruppen angezeigt.

12 - Konfigurieren Sie auf der Seite Active Directory-Computerkonten die folgenden Optionen und klicken Sie auf Weiter:

  • Kontooption: Neue AD-Konten erstellen
  • Domain: Wähle deine Domain
  • OU: Die OU, in der die Computerkonten gespeichert werden
  • Benennungsschema: Namenskonvention, die verwendet werden soll

CSP-Image-106

Überlegungen:

  • Zahlen ersetzen die Pfundzeichen auf dem Benennungsschema
  • Achten Sie beim Erstellen eines Benennungsschemas auf die 15-Zeichen-Beschränkung von NetBIOS

13 - Klicken Sie auf der Seite Domänenanmeldeinformationen

CSP-Image-107

14- Geben Sie im Popup-Fenster Windows-Sicherheit Ihre Domain-Anmeldeinformationen ein und klicken Sie auf Fertig

CSP-Image-108

15- Geben Sie auf der Seite “Zusammenfassung” einen Namen und eine Beschreibung ein und klicken Sie auf Fertig stellen

CSP-Image-109

Schritt 5: Erstellen einer Bereitstellungsgruppe

1- Navigieren Sie in Web Studio zu Bereitstellungsgruppenund wählen Sie Bereitstellungsgruppe erstellen

CSP-Image-110

2- Wählen Sie auf der Seite “Maschinen” Ihren Maschinenkatalog und die Anzahl der Maschinen aus und klicken Sie auf Weiter

CSP-Image-112

3- Wählen Sie auf der Seite Benutzer eine Authentifizierungsoption aus und klicken Sie auf Weiter

CSP-Image-113

4- Klicken Sie auf der Seite “Anwendungen” auf Hinzufügen

CSP-Image-114

5- Wählen Sie auf der Seite “Anwendungen hinzufügen” aus, welche Anwendungen Sie veröffentlichen möchten, und klicken Sie auf OK

CSP-Image-115

Überlegungen:

  • Während die meisten Anwendungen über das Startmenü angezeigt werden, können Sie optional Anwendungen auch manuell hinzufügen.
  • Dieser Schritt kann übersprungen werden, wenn Sie keine Seamless-Anwendungen veröffentlichen müssen.

7- Klicken Sie zurück auf der Seite “Anwendungen” auf Weiter

CSP-Image-116

8- Klicken Sie auf der Seite “Desktops” auf Add

CSP-Image-117

9- Konfigurieren Sie auf der Seite Add Desktop den Desktop und klicken Sie auf OK

CSP-Image-118

Überlegungen:

  • Dieser Schritt kann übersprungen werden, wenn Sie keine vollständigen Desktops veröffentlichen müssen.

10- Zurück auf der Seite Desktops, klicken Sie auf Weiter

CSP-Image-119

11- Geben Sie auf der Seite “Zusammenfassung” einen Namen und eine Beschreibung ein und klicken Sie auf Fertig stellen

CSP-Image-120

Referenzarchitektur: Citrix DaaS-Implementierung mit Azure Active Directory Domain Services für CSPs