-
Planificar y crear una implementación
-
Comunicación WebSocket entre el VDA y el Delivery Controller
-
Crear y administrar conexiones
-
-
Grupos de identidad de diferentes tipos de unión de identidad de máquinas
-
Grupo de identidades de la identidad de la máquina unida a Active Directory local
-
Grupo de identidades de la identidad de máquina unida a Azure Active Directory
-
Grupo de identidades de la identidad de la máquina unida a Azure Active Directory híbrido
-
Grupo de identidades de la identidad de máquina habilitada para Microsoft Intune
-
Grupo de identidades de la identidad de máquina no unida a ningún dominio
-
-
Servicio independiente Citrix Secure Ticketing Authority (STA)
-
Migrar cargas de trabajo entre ubicaciones de recursos mediante Image Portability Service
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Grupo de identidades de la identidad de la máquina unida a Azure Active Directory híbrido
Nota: No
En julio de 2023, Microsoft cambió el nombre de Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora hace referencia a Microsoft Entra ID.
En este artículo se describe cómo crear un grupo de identidades de máquinas unidas a Azure Active Directory híbrido mediante Citrix DaaS.
Para obtener información sobre los requisitos, las limitaciones y los aspectos a tener en cuenta, consulte Unidos a Azure Active Directory híbrido.
Usar Studio
La información siguiente complementa a las instrucciones del artículo Crear catálogos de máquinas. Para crear catálogos unidos a Azure AD híbrido, siga las instrucciones generales de ese artículo y tenga en cuenta los detalles específicos sobre los catálogos unidos a Azure AD híbrido.
En el asistente para la creación de catálogos:
-
En la página Identidades de máquinas:
- Seleccione el tipo de identidad como Unido Azure Active Directory híbrido.
-
Seleccione una opción de cuentas de Active Directory:
-
Crear cuentas de Active Directory:
- Si selecciona Crear cuentas de Active Directory y usa un grupo de identidades existente para crear cuentas, seleccione un dominio para esas cuentas y especifique un esquema de nomenclatura de cuentas.
- Si selecciona Crear cuentas de Active Directory y usa un grupo de identidades existente para crear cuentas, seleccione un grupo de identidades de la lista.
- Usar cuentas existentes de Active Directory: Puede buscar o importar desde un archivo CSV y restablecer la contraseña o especificar la misma contraseña para todas las cuentas.
-
Crear cuentas de Active Directory:
- Haga clic en Siguiente.
-
En la página Credenciales de dominio, seleccione una cuenta de servicio o introduzca las credenciales manualmente. El grupo de identidades unido a Azure AD híbrido también se puede asociar a una cuenta de servicio de AD local. Para obtener información sobre las cuentas de servicio, consulte Cuentas de servicio de Active Directory locales.
Usar PowerShell
Estos son los pasos en PowerShell equivalentes a las operaciones en Studio.
La diferencia entre los catálogos unidos a AD local y los unidos a Azure AD híbrido radica en la creación del grupo de identidades y las cuentas de máquina.
Para crear un grupo de identidades junto con las cuentas de los catálogos unidos a Azure AD híbrido:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Nota: No
$passwordes la contraseña correspondiente de una cuenta de usuario de AD con permisos de escritura.
Todos los demás comandos que se utilizan para crear catálogos unidos a Azure AD híbrido son los mismos que se usan para los catálogos tradicionales unidos a AD local.
También puede asociar una cuenta de servicio local a un catálogo de máquinas creado por MCS asociando una cuenta de servicio local al grupo de identidades. Puede crear un grupo de identidades o actualizar un grupo de identidades existente para asociarlo a una cuenta de servicio.
Por ejemplo: Para crear un nuevo grupo de identidades y asociarlo a una cuenta de servicio, ejecute lo siguiente:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Por ejemplo: Para actualizar un grupo de identidades existente y asociarlo a una cuenta de servicio, ejecute lo siguiente:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
<!--NeedCopy-->
Nota: No
$serviceAccountUiddebe ser un UID válido de una cuenta de servicio de Active Directory local.
También puede crear un catálogo de Azure AD híbrido usando una imagen preparada. Para ver el conjunto completo de comandos de PowerShell para crear la definición de imagen, versión de imagen y especificación de versión de imagen preparada, consulte:
-
Entorno de virtualización de Azure: Usar PowerShell.
-
Entorno de virtualización de VMware: Usar PowerShell
Después de crear la especificación de versión de imagen preparada, cree el grupo de identidades y el catálogo de máquinas. Por ejemplo:
New-AcctIdentityPool -IdentityPoolName "mypool" -NamingScheme ACC## -NamingSchemeType "Numeric" -ZoneUid $zoneuid -Domain $domainName -OU "OU=HAAD Computers,DC=haad,DC=link" -IdentityType "HybridAzureAD"
New-ProvScheme -ProvisioningSchemeName <name> -ImageVersionSpecUid <preparedVersionSpecUid> -HostingUnitUid <hostingUnitUid> -IdentityPoolUid <IdentityPoolUid> [-CleanOnBoot] -NetworkMapping @{"0"="XDHyp:\HostingUnits\<hostingunitName>\<region>.region\virtualprivatecloud.folder\<resourcegroupName>.resourcegroup\<vnetName>.virtualprivatecloud\<sunNetName>.network"} -ServiceOffering <serviceofferingPath> [-MachineProfile <machineProfilePath>] [-CustomProperties <>]
<!--NeedCopy-->
Ver el estado del proceso de unión a Azure AD híbrido
En Studio, el estado del proceso de unión a Azure AD híbrido es visible cuando las máquinas unidas a Azure AD híbrido de un grupo de entrega están encendidas. Para ver el estado, utilice Buscar para identificar esas máquinas y, a continuación, para cada una de ellas, compruebe la identidad de la máquina en la ficha Detalles del panel inferior. Esta información puede aparecer en Identidad de la máquina:
- Unida a Azure AD híbrido
- Aún no se ha unido a Azure AD
Nota: No
- Es posible que se produzca una demora en la unión a Azure AD híbrido cuando la máquina se enciende por primera vez. Esto se debe al intervalo de sincronización de identidad de máquina predeterminado (30 minutos de Azure AD Connect). La máquina se halla en estado unido a Azure AD híbrido solamente después de que las identidades de máquina se hayan sincronizado con Azure AD a través de Azure AD Connect.
- Si las máquinas no están unidas a Azure AD híbrido, no se registran en el Delivery Controller. Su estado de registro aparece como Inicialización.
Además, mediante la interfaz de Studio, puede averiguar por qué las máquinas no están disponibles. Para ello, haga clic en una máquina del nodo Buscar, marque Registro en la ficha Detalles del panel inferior y, a continuación, lea el texto de ayuda para obtener información adicional.
Solucionar problemas
Si las máquinas no logran unirse a Azure AD híbrido, haga lo siguiente:
-
Compruebe si la cuenta de máquina se ha sincronizado con Azure AD a través del portal de Microsoft Azure AD. Si se ha sincronizado, aparece Aún no se ha unido a Azure AD, que indica que el estado de registro está pendiente.
Para sincronizar las cuentas de máquina con Azure AD, asegúrese de lo siguiente:
- La cuenta de máquina está en la OU configurada para sincronizarse con Azure AD. Las cuentas de máquina sin el atributo userCertificate no se sincronizan con Azure AD aunque estén en la OU configurada para sincronizarse.
- El atributo userCertificate se rellena en la cuenta de la máquina. Utilice Active Directory Explorer para ver el atributo.
- Azure AD Connect debe haberse sincronizado al menos una vez después de haber creado la cuenta de máquina. Si no es el caso, ejecute manualmente el comando
Start-ADSyncSyncCycle -PolicyType Deltaen la consola de PowerShell de la máquina de Azure AD Connect para activar una sincronización inmediata.
-
Para comprobar si el par de claves de dispositivos administrados por Citrix para la unión a Azure AD híbrido se ha insertado correctamente en la máquina, consulte el valor de DeviceKeyPairRestored en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
Verifique que el valor sea 1. Si no es así, he aquí una serie de posibles razones:
-
IdentityTypedel grupo de identidades asociado al esquema de aprovisionamiento no está establecido enHybridAzureAD. Puede verificarlo ejecutandoGet-AcctIdentityPool. - La máquina no se aprovisiona con el mismo esquema de aprovisionamiento del catálogo de máquinas.
- La máquina no está unida al dominio local. La unión al dominio local es un requisito previo para la unión a Azure AD híbrido.
-
-
Para comprobar los mensajes de diagnóstico, ejecute el comando
dsregcmd /status /debugen la máquina aprovisionada por MCS.- Si la unión a Azure AD híbrido se realiza correctamente, AzureAdJoined y DomainJoined son YES en el resultado de la línea de comandos.
- De lo contrario, consulte la documentación de Microsoft para solucionar los problemas: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Si recibe el mensaje de error Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, ejecute el siguiente comando de PowerShell para reparar el certificado de usuario:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
Para obtener más información sobre el problema del certificado de usuario, consulte CTX566696.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.