Servicio Citrix Virtual Apps and Desktops: implementación de Azure con Azure Active Directory Domain Services para CSP
Arquitectura
Servicios de dominio de Azure Active Directory es un servicio de Active Directory completamente administrado en Microsoft Azure. Para no confundirse con Azure AD, que es un servicio de identidad y autenticación basado en la nube para los servicios de Microsoft, Azure AD Domain Services (ADDS) proporciona controladores de dominio administrados. Azure ADDS incluye funciones empresariales como unión a dominios y directiva de grupo. Mientras que Azure AD aprovecha los protocolos modernos de autenticación y autorización como OpenID Connect y OAuth 2.0, Azure ADDS utiliza protocolos tradicionales que dependen de Active Directory, como LDAP y Kerberos. Azure AD Domain Services sincroniza automáticamente las identidades de Azure AD con su entorno de AD administrado.
Azure ADDS implementa y administra automáticamente controladores de dominio de Active Directory de alta disponibilidad en su suscripción a Azure. El acceso al controlador de dominio está restringido y solo puede administrar su dominio mediante la implementación de instancias de administración con herramientas de administración remota del servidor. Además, los permisos Administrador de dominio y Administrador de empresa no están disponibles en el servicio administrado. La instancia de Azure ADDS se implementa directamente en una red virtual (vNet) dentro de su suscripción, los recursos se pueden implementar en la misma red virtual o en diferentes VNET. Si los recursos se implementan en una VNet diferente, debe estar conectado a Azure ADDS VNet mediante un peering VNet.
Azure ADDS se puede implementar como un bosque bosque de usuariosde recursos o un bosque de recursos. Para esta implementación, estamos implementando Azure ADDS como bosque de usuarios, sin configurar una confianza en un entorno de AD local externo. Además, los recursos del servicio Citrix Virtual Apps and Desktops se implementan en función de nuestro Arquitectura de referencia CSP.
Caso de arquitectura 1
Este caso de implementación implica las siguientes consideraciones:
-
Azure AD:
- Arrendatario compartido de Azure AD para todos los clientes
-
Azure AGREGA:
- Instancia compartida de Azure ADDS para todos los clientes
-
Suscripciones:
- Suscripción compartida de Azure para clientes más pequeños
- Suscripciones dedicadas a Azure para clientes más grandes
-
Conectividad de red:
- VNET Peering desde suscripciones dedicadas a la suscripción compartida para conectividad de Azure ADDS
Caso de arquitectura 2
Este caso de implementación implica las siguientes consideraciones:
-
Azure AD:
- Arrendatario compartido de Azure AD para todos los clientes
- Arrendatario dedicado de Azure AD para clientes más grandes
-
Azure AGREGA:
- Instancia compartida de Azure ADDS para todos los clientes
-
Suscripciones:
- Suscripción compartida de Azure para clientes más pequeños
- Suscripciones dedicadas a Azure para clientes más grandes
-
Conectividad de red:
- VNET Peering desde suscripciones dedicadas a la suscripción compartida para conectividad de Azure ADDS
Caso de arquitectura 3
Este caso de implementación implica las siguientes consideraciones:
-
Azure AD:
- Arrendatario compartido de Azure AD para todos los clientes
- Arrendatario dedicado de Azure AD para clientes más grandes
-
Azure AGREGA:
- Instancia compartida de Azure ADDS para clientes pequeños
- Instancia dedicada de Azure ADDS para clientes más grandes
-
Suscripciones:
- Suscripción compartida de Azure para clientes más pequeños
- Suscripciones dedicadas a Azure para clientes más grandes
-
Conectividad de red:
- No hay peering de VNET desde suscripciones dedicadas a suscripciones compartidas
Jerarquía de recursos de Azure
Al diseñar y organizar los recursos de suscripción de Azure, tenga en cuenta la siguiente jerarquía de recursos:
Supuestos iniciales
Azure AGREGA
- Existe un arrendatario de Azure AD
- Existe una suscripción a Azure
- Hay disponible una cuenta de Azure AD con los siguientes permisos:
- Azure AD: administrador global
- Suscripción: Colaborador
- Azure ADDS se implementará como un bosque de usuarios independiente, no se configurará ninguna confianza
- Si bien es posible, los usuarios de AD existentes no se sincronizarán a través de Azure AD Connect
- Se implementará el restablecimiento de contraseñas de autoservicio para forzar el restablecimiento de contraseñas para la sincronización de hash de contraseñas
Citrix Cloud
- Hay disponible una suscripción a Citrix Cloud
- Se implementará Citrix Cloud Connector
- Se implementará la imagen maestra de VDA
- Se configurarán las conexiones de alojamiento de Azure
- Se configurarán el catálogo de máquinas y el grupo de entrega
Terminología
Los siguientes son los términos más comunes de Azure que debe comprender, tal y como se describe en la documentación de Azure:
- Suscripciones de Azure: las suscripciones de Azure son un acuerdo con Microsoft para usar los servicios de Azure. La facturación está vinculada a una suscripción basada en los recursos consumidos y los recursos no se pueden implementar sin una suscripción. Las suscripciones le permiten organizar el acceso a los recursos. Los tipos de suscripción incluyen prueba, pago según la marcha, Acuerdo Enterprise y MSDN, y cada uno puede tener una configuración de pago diferente. Las suscripciones de Azure deben estar vinculadas a un arrendatario de Azure AD.
- Azure AD: Azure AD es el servicio de administración de identidades basado en la nube de Microsoft para usuarios, grupos y dispositivos. Azure AD no debe considerarse un reemplazo de los Servicios de dominio tradicionales de Active Directory, ya que no admite LDAP o Kerberos. Varias suscripciones de Azure se pueden vincular a un único arrendatario de Azure AD. Azure AD ofrece diferentes tipos de licencias (Free, Premium 1 y Premium 2) que proporcionan diferentes funcionalidades según el nivel de licencia.
- Grupos de administración: los grupos de administración de Azure son contenedores que le permiten administrar el acceso, las directivas y el cumplimiento en varias suscripciones. Los grupos de administración pueden contener suscripciones u otros grupos de administración.
- Azure RBAC: Azure RBAC se utiliza para administrar la autorización de recursos de Azure. Azure RBAC contiene más de 70 roles integrados y le permite crear roles personalizados para administrar la autorización de recursos según sus requisitos. Los permisos se asignan en cascada de los grupos de administración a las suscripciones, de las suscripciones a los grupos de recursos y de los grupos de recursos a los recursos. La función RBAC de propietario proporciona el nivel más alto de permisos sobre un recurso de Azure y también le permite administrar permisos de recursos para otros usuarios.
- Roles de Azure AD: los roles de Azure AD se utilizan para administrar acciones relacionadas con Azure AD, como la creación de usuarios, grupos, registros de aplicaciones, interacción con API y mucho más. La función Administrador global otorga el nivel más alto de autorización en Azure AD, incluido el acceso a todas las funciones de Azure AD, la administración de roles y licencias para otros usuarios, y mucho más. La función Administrador global se asigna automáticamente al usuario que crea primero el arrendatario de Azure AD.
- Dominio personalizado de Azure AD: todos los nuevos arrendatarios de Azure AD se crean bajo el dominio onmicrosoft.com, los dominios personalizados se pueden configurar validando la propiedad con el registrador de dominios.
- Grupos de recursos: los grupos de recursos son contenedores lógicos utilizados para organizar recursos dentro de Azure y administrar sus permisos a través de RBAC. Normalmente, los recursos de un grupo de recursos comparten un ciclo de vida similar. Un grupo de recursos no puede contener otros grupos de recursos y no se pueden crear recursos de Azure a menos que especifique un grupo de recursos. Mientras un grupo de recursos se implementa en una región de Azure, puede contener recursos de diferentes regiones.
- VNET: Una VNET de Azure es una red definida por software que le permite administrar e implementar recursos en un espacio de direcciones aislado en Azure. Las redes virtuales permiten que los recursos se comuniquen con otros recursos en la misma VNET, Internet, recursos de otras redes virtuales o locales. El acceso a y desde las redes virtuales está protegido a través de Grupos de seguridad de red y también puede configurar rutas mediante la implementación de Rutas definidas por el usuario. Azure VNET son superposiciones de capa 3, por lo que no entienden ninguna semántica de capa 2 como VLAN o GARP. Todas las redes virtuales contienen un espacio de direcciones principal y deben contener al menos una subred con un espacio de direcciones dentro de ella. Las IP de VM en una VNET no están conectadas a la instancia de máquina virtual real, sino que se asignan a la NIC de VM, que se administra como un recurso independiente.
- Peering VNET: Un peering permite que 2 redes virtuales se conecten y se comuniquen a través de la red troncal de Azure, en lugar de la conexión tradicional de VNET a VNET, que enruta el tráfico a través de Internet público. Los pares permiten una latencia baja y se pueden configurar en diferentes regiones, diferentes suscripciones e incluso diferentes arrendatarios de Azure AD. Las conexiones de peering no son transitivas de forma predeterminada, se requiere una configuración avanzada para cambiar este comportamiento. En una arquitectura de hub y radio, una VNET radial solo puede comunicarse con el hub, pero no puede comunicarse con los recursos de otros radios.
- Grupo de seguridad de red: un grupo de seguridad de red (NSG) es un conjunto de reglas que le permiten controlar el acceso entrante y saliente a los recursos dentro de una VNET, que se pueden conectar a una subred o a una NIC. Las reglas entrantes y salientes de un grupo de seguridad de red se administran de forma independiente y todas las reglas deben tener una prioridad de 100 y 4096. De forma predeterminada, los Grupos de seguridad de red incluyen un conjunto de reglas predeterminadas que permiten el tráfico entre recursos en la misma VNET, acceso a Internet saliente, entre otros. Los grupos de seguridad de red no tienen ninguna relación con las configuraciones de firewall a nivel del sistema operativo y, como regla general, se recomienda un enfoque de confianza cero al diseñar los grupos de seguridad de red.
- Registro de aplicaciones: un registro de aplicación es una cuenta de Azure AD que permite a una aplicación externa interactuar con las API de Azure. Cuando se crea un registro de aplicación, Azure AD genera un ID de aplicación y un secreto, que actúan como nombre de usuario y contraseña. En esta implementación, se crea un registro de aplicaciones para permitir que Citrix Cloud interactúe con Azure y realice tareas de creación de máquinas y administración de energía.
Azure ADDS Consideraciones
- Azure ADDS sincroniza automáticamente las identidades de usuario de Azure AD
- La sincronización funciona desde Azure AD a Azure ADDS, no de la manera opuesta
- Puede aprovechar los usuarios creados en la nube o los usuarios sincronizados a través de Azure AD Connect
- Azure AD Connect no se puede instalar en un entorno de Azure ADDS para sincronizar objetos de nuevo con Azure AD
- Las funciones de escritura LDAP solo funcionan para objetos creados directamente en ADDS, no para usuarios sincronizados desde Azure AD
- Azure ADDS solo se puede utilizar como un dominio independiente (un bosque, un solo dominio), no como una extensión de un dominio local
- El servicio se implementa en las zonas de disponibilidad de Azure cuando esté disponible
- Azure ADDS se implementa como bosque de usuarios de forma predeterminada; en el momento de escribir esta escritura, el modelo de implementación del bosque de recursos está en vista previa
- Para los usuarios sincronizados desde Azure AD, el hash de contraseña no se sincroniza hasta que los usuarios restablecen su contraseña; Azure Self Service Password Restablecer se utiliza para ayudar a los usuarios a restablecer sus contraseñas.
- El grupo Administradores de AAD DC, que se crea cuando se implementa la instancia de Azure ADDS, no se puede modificar dentro de ADUC. El grupo Administradores de DC de AAD solo se puede modificar desde grupos de Azure AD en la consola de Azure
- Para los usuarios sincronizados desde Azure AD:
- La contraseña no se puede restablecer desde la consola de ADUC
- No se puede mover a una unidad organizativa diferente
- Estos usuarios se suelen utilizar para administrar la instancia de Azure ADDS como CSP, los usuarios de clientes finales se pueden crear dentro de ADUC
- Los GPO pueden crearse y vincularse a las unidades organizativas de AADDC Computers y Usuarios de AADC previamente creadas, no a otras unidades organizativas precreadas
- Puede crear su propia estructura de unidad organizativa e implementar GPO
- No se pueden crear GPO de dominio y sitio
- El bloqueo de unidad organizativa es posible mediante el Asistente para delegación de control en nuevas unidades organizativas
- No funciona en las OE precreadas
Consideraciones del proceso de inicio de sesión
Azure ADDS sincroniza las cuentas de usuario del arrendatario de Azure AD en el que se crea. Incluye cuentas creadas con un dominio personalizado, cuentas creadas con el dominio onmicrosoft.com inicial y cuentas B2B (cuentas externas agregadas a Azure AD como invitados). Según el tipo de cuenta de usuario, los usuarios tendrán una experiencia de inicio de sesión diferente:
- Cuentas de dominio personalizadas:
- Iniciar sesión mediante UPN (user@domain.com): Inicio de sesión correcto
- Iniciar sesión con NetBIOS (dominio\ usuario): Inicio de sesión correcto
- En cuentas de dominio de Microsoft:
- Iniciar sesión con UPN (user@domain.onmicrosoft.com): Iniciar sesión sin éxito (1)
- Iniciar sesión con NetBIOS (dominio\ usuario): Inicio de sesión correcto (2)
- Cuentas B2B (invitados):
- Iniciar sesión con UPN (user@domain.com): Iniciar sesión sin éxito
- Iniciar sesión con NetBIOS (dominio\ usuario): Iniciar sesión sin éxito (3)
NOTA:
(1) No se permite agregar un nombre UPN alternativo en Azure ADDS, por lo que estos usuarios no pueden iniciar sesión a través de UPN.
( 2) Esto funciona correctamente porque el nombre NetBIOS es el mismo para todos los usuarios.
( 3) Estos usuarios no pueden autenticarse con Azure Adds, aunque estén sincronizados, Azure no tiene acceso a su hash de contraseña.
Implementación
Componentes Azure
Paso 1: Crear un grupo de recursos para Azure ADDS
1- En el menú de Azure Portal, seleccione Grupos de recursos y haga clic en Agregar
Consideraciones:
- En este paso se supone que se ha creado una suscripción de Azure y está lista para implementar los recursos.
2- En la ficha Básicos, introduzca la siguiente información y haga clic en Revisar + Crear
- Suscripción
- Nombre del grupo de recursos
- Región del grupo de recursos
3- En la ficha Revisar + crear, haga clic en Crear
Consideraciones:
- Repita estos pasos para crear grupos de recursos para recursos de clientes, redes y mucho más.
- Si lo desea, puede crear previamente grupos de recursos para que los utilicen Citrix Machine Creation Services. Machine Creation Services (MCS) solo puede utilizar grupos de recursos vacíos.
Paso 2: Crear la red virtual de Azure ADDS
1- En el menú de Azure Portal, seleccione Redes virtualesy haga clic en Agregar.
2- En la ficha Básicos, introduzca la siguiente información y haga clic en Siguiente: Direcciones IP:
- Suscripción
- Nombre del grupo de recursos
- Nombre de VNET
- Región VNET
3- En la ficha Direcciones IP, introduzca la siguiente información y haga clic en Siguiente: Seguridad:
- Espacio de direcciones IPv4
- Agregar subredes
Consideraciones:
- Agregue subredes según lo determinado por sus decisiones de diseño de red. En este caso, estamos agregando una subred para el servicio ADDS y una subred para recursos de infraestructura compartida, incluidos Citrix Cloud Connectors, imágenes maestras, etc.
4- En la ficha Seguridad, configure DDoS y Firewall según sea necesario, y haga clic en Revisar + crear
5- En la ficha Revisar + crear, haga clic en Crear.
Consideraciones:
- Repita estos pasos para crear redes de clientes, tanto en la misma suscripción como en cualquier suscripción adicional.
Paso 3: Configurar los pares de VNet
1- En el menú de Azure Portal, seleccione Redes virtualesy seleccione la VNET donde se implementará ADDS.
Consideraciones:
- Para esta implementación, las redes están diseñadas en una arquitectura hub y radial. Se configurará un peering VNET desde la red ADDS de Azure (concentrador) a las redes de clientes (spokes).
- De forma predeterminada, los pares de VNET no son transitivos, por lo que las redes radiales no pueden comunicarse entre sí a menos que configurado intencionalmente.
- Si interconectan redes en diferentes suscripciones de Azure e arrendatarios de Azure AD:
- Los usuarios deben agregarse como usuarios invitados en la suscripción opuesta y tener permisos RBAC para redes de pares.
- Los grupos de seguridad de red deben estar configurados correctamente en ambos lados.
2- En el blade VNET, haga clic en Peerings y Add.
3- En Agregar hoja de peering, introduzca la siguiente información:
- Nombre del peering desde la VNET de origen a la VNET de destino
- Suscripción
- Red virtual de destino
- Nombre del peering desde la VNET de destino a la VNET de origen
4- Desplácese hacia abajo y haga clic en Aceptar
Consideraciones:
- Repita estos pasos para pear otras redes de clientes (radiales).
Paso 4: Crear la instancia de Azure AD Domain Services
1- En la barra de búsqueda de Azure, escriba Servicios de dominioy haga clic en Servicios de dominio de Azure AD
2- En la página Servicios de dominio de Azure AD, haga clic en + Agregar.
3- En la ficha Básicos, introduzca la siguiente información y haga clic en Siguiente:
- Suscripción
- Nombre del grupo de recursos
- Nombre de dominio DNS
- Región
- SKU
- Tipo de bosque
Consideraciones:
- La región de instancia de AAD DS debe coincidir con la de la red creada previamente en los pasos anteriores.
- Un bosque de usuarios es el tipo predeterminado de bosque en Azure ADDS, sincronizan todas las cuentas de usuario de Azure AD con Azure ADDS para autenticarse en la instancia de Azure ADDS. Este modelo supone que los hash de contraseña de usuario se pueden sincronizar.
- Un bosque de recursos: es un tipo de bosque admitido recientemente, que está en vista previa. Bajo este modelo de implementación, Azure ADDS se utiliza para administrar cuentas de máquina. Una confianza unidireccional se configura desde Azure ADDS (dominio de confianza) a un entorno de AD local (el dominio de confianza). Con esta configuración, las cuentas de usuario del entorno local pueden iniciar sesión en recursos alojados en Azure que se unen al dominio Azure ADDS. Este tipo de bosque supone que la conectividad de red con el dominio local está configurada.
4- En la ficha Redes, introduzca la siguiente información y haga clic en Siguiente:
- Red virtual
- Subred
5- En la ficha Administración, haga clic en Administrar pertenencia a grupos
6- En la hoja Miembros, haga clic en + Agregar miembros
7- En el blade Agregar miembros, busque las cuentas que desea agregar como miembros del grupo Administradores de DC de AAD.
8- Una vez agregados los usuarios, haga clic en Seleccionar
9- De vuelta en la ficha Administración, haga clic en Siguiente
Consideraciones:
- La pertenencia al grupo Administradores de DC de AAD solo se puede administrar desde Azure AD, no se puede administrar desde la consola ADUC en la instancia de Azure ADDS.
10- En la ficha Sincronización, haga clic en Siguiente
Consideraciones:
- Esta página se puede utilizar opcionalmente para seleccionar qué objetos de Azure AD desea sincronizar con Azure ADDS seleccionando el tipo de sincronización de ámbito.
11- En la ficha Revisar, haga clic en Crear
12- En la ventana emergente de confirmación, haga clic en Aceptar
Consideraciones:
- El proceso para crear la instancia de Azure ADDS puede tardar hasta 1 hora.
Paso 5: Configurar DNS para Azure ADDS VNET
1- Una vez creada la instancia de Azure ADDS, en Actualizar configuración del servidor DNS para su red virtual, haga clic en Configurar
Consideraciones:
- Este paso configura automáticamente la configuración DNS de la VNET donde se creó la instancia de Azure ADDS (red concentrador). Una vez configuradas, todas las consultas DNS se reenvían a los controladores de dominio administrados.
- Las redes de clientes (radios) deben tener su configuración DNS actualizada manualmente.
Paso 6: Configurar DNS para las redes de clientes
1- En el menú de Azure Portal, seleccione Redes virtualesy seleccione su cliente (radial) VNET.
2- En el blade VNET, haga clic en Servidores DNS, seleccione Personalizado, introduzca la dirección IP de los controladores de dominio administrados y haga clic en Guardar
Consideraciones:
- Repita estos pasos para cada cliente (radial) VNET y cualquier otra VNET externa que esté conectada a la VNET que aloja la instancia de Azure ADDS.
Paso 7: Configurar el restablecimiento de contraseña de autoservicio (SSPR)
1- En el menú de Azure Portal, seleccione Azure Active Directoryy haga clic en Restablecer contraseña
Consideraciones:
- Cuando los usuarios de Azure AD se sincronizan inicialmente con Azure ADDS, su hash de contraseña no se sincroniza, por lo tanto, los usuarios deben restablecer su contraseña para que esto ocurra. SSPR se utiliza para permitir a los usuarios restablecer sus contraseñas de una manera sencilla y segura.
- La autenticación de usuario con Azure ADDS no funciona hasta que se realice este paso.
- El paso para habilitar SSPR solo es necesario si no se ha configurado previamente.
- Este paso solo es necesario si los usuarios de Azure AD se administran desde Azure Portal (no usuarios sincronizados desde AD local a través de Azure AD Connect). Para los usuarios sincronizados desde AD local a través de Azure AD connect, siga estos pasos.
2- En el blade Propiedades, seleccione Todoy haga clic en Guardar.
Consideraciones:
- Si lo desea, puede seleccionar Selected (Selected) para habilitar SSPR solo para un subconjunto de usuarios.
- La próxima vez que los usuarios inicien sesión, se verán obligados a registrarse en SSPR.
Paso 8: Proceso de registro de usuarios de SSPR
1- Cuando un usuario inicia sesión, se redirige a la pantalla de registro de SSPR y configura sus métodos de autenticación.
Consideraciones:
- Los métodos de autenticación SSPR se pueden seleccionar en el blade de configuración de SSPR en Azure Portal.
- Para este ejemplo, SSPR se ha habilitado con la configuración básica, que requiere que se configure un teléfono y un correo electrónico.
2- Una vez que los usuarios introducen su información de autenticación, el proceso de inscripción de SSPR está completo.
3- Los usuarios ahora pueden navegar Autoservicio de restablecimiento de contraseñas hasta restablecer su contraseña.
Consideraciones:
- Una vez completado este paso y los usuarios restablecen su contraseña, el hash de contraseña se sincroniza desde Azure AD a Azure ADDS.
- Para los usuarios sincronizados, el ADUC no se puede utilizar para restablecer su contraseña.
Paso 9: Crear la máquina virtual de administración de AD
1- En el menú de Azure Portal, seleccione Máquinas virtualesy haga clic en Agregar
2- En la ficha Básicos, introduzca la siguiente información y haga clic en Siguiente: Discos:
- Suscripción
- Grupo de recursos
- Nombre de la VM
- Región
- Opciones de disponibilidad
- Imagen
- Tamaño
- Detalles de la cuenta de administrador
3- En la ficha Discos, introduzca el tipo de disco del sistema operativoy haga clic en Siguiente: Redes
4- En la ficha Redes, configure la siguiente información y haga clic en Siguiente: Administración:
- Red virtual
- Subred
- IP pública (si procede)
- Grupo de seguridad de red
5- En la ficha Administración, configure la siguiente información y haga clic en Siguiente: Avanzado:
- Supervisión
- Apagado automático
- Copia de seguridad
6- En la ficha Avanzadas, deje la configuración predeterminada y haga clic en Siguiente: Etiquetas
7- En la ficha Etiquetas, cree las etiquetas necesarias para la instancia de VM y haga clic en Siguiente: Revisar + create
8- En la ficha Revisar + crear, asegúrese de que toda la información sea correcta y haga clic en Crear
Consideraciones:
- Repita los pasos anteriores para crear todas las máquinas virtuales adicionales: Cloud Connectors, Master Images, etc., etc.
Paso 10: Unir la máquina virtual de administración al dominio
1- Conéctese a la instancia a través de RDP y abra el Administrador del servidor, y haga clic en Agregar roles y funciones
2- En el Asistente para agregar funciones y funciones, agregue las siguientes funciones:
- Herramientas de administración de roles
- Herramientas ADDS y AD LDS
- Módulo de Active Directory para Windows PowerShell
- Herramientas de AD DS
- Complementos y herramientas de línea de comandos de AD DS
- Consola de administración de directivas de grupo (GPMC)
- Administrador de DNS
3- Cuando finalice la instalación, úne la máquina virtual al dominio Azure ADDS.
Consideraciones:
- Repita los pasos anteriores para unir todas las demás máquinas virtuales al dominio de Azure ADDS.
- La instalación de herramientas RSAT solo es necesaria para las máquinas virtuales utilizadas para administrar la instancia de Azure ADDS.
- Asegúrese de que la contraseña de la cuenta de usuario utilizada para unir las máquinas virtuales al dominio de Azure ADDS se ha restablecido antes de intentar estos pasos.
Paso 11: Crear un registro de aplicación de Azure AD
1- En el menú Azure Portal, seleccione Azure Active Directory > Registros de aplicaciones > + Nuevo registro
2- En la hoja Registrar una aplicación, introduzca la siguiente información y haga clic en Registrar:
- Nombre de la aplicación
- Tipos de cuenta admitidos
- URL de redirección
- Web
"https://citrix.cloud.com"
3- En el blade Descripción general, copie los siguientes valores en un bloc de notas:
- ID de aplicación (cliente)
- ID de directorio (arrendatario)
Consideraciones:
- Los valores de ID de aplicación e ID de directorio se utilizarán más adelante al crear una conexión de alojamiento para Citrix MCS para administrar recursos de Azure.
4- Haga clic en Certificados y secretos y luego +Nuevo secreto del cliente
5- En la ventana emergente Agregar un secreto de cliente, introduzca una descripción y caducidady haga clic en Agregar
6- De vuelta en la pantalla Certificados y secretos, copie el valor del secreto del cliente
Consideraciones:
- Mientras que el ID de cliente actúa como nombre de usuario para el registro de la aplicación, Client Secret actúa como contraseña.
7- Haga clic en permisos de API y luego Agregar un permiso
8- En el blade Solicitar permisos de API, en API mi organización usa buscar Windows Azurey seleccione Windows Azure Active Directory
9- En el blade Azure Active Directory Graph API, seleccione Permisos delegados, asigne el permiso Leer todos los perfiles básicos de los usuarios y haga clic en Agregar permisos
10- Volver a la hoja de permisos de la API de solicitud, en API mi organización usa volver a buscar Windows Azure y seleccione API de administración de servicios de Windows Azure
11- En el blade de API de administración de servicios de Azure, seleccione Permisos delegados, asigne el permiso Acceder a Azure Service Management como usuarios de la organización y haga clic en Agregar permisos
12- En el menú de Azure Portal, haga clic en Suscripciones y copie el valor de su ID de suscripción
Consideraciones:
- Copie el valor de todas las suscripciones utilizadas para administrar recursos a través de Citrix MCS. La conexión de alojamiento para cada suscripción de Azure debe configurarse de forma independiente.
13- Seleccione su suscripción y seleccione Control de acceso (IAM) > +Agregar > Agregar asignación de rol
14- En el blade Agregar asignación de roles, asigne el rol Colaborador al nuevo registro de la aplicación y haga clic en Guardar
Consideraciones:
- Repita este paso para agregar permisos de Colaborador al registro en cualquier suscripción adicional.
- Si se utiliza una suscripción secundaria perteneciente a un arrendatario de Azure AD independiente, se debe configurar un nuevo registro de aplicación.
Componentes de Citrix
Paso 1: Instalar Cloud Connector
1- Conéctese a la máquina virtual de Cloud Connector a través de RDP y utilice un explorador web para navegar Citrix Cloud. Introduzca sus credenciales de Citrix Cloud y haga clic en Iniciar sesión
2- En Dominios, haga clic en Agregar nuevo
3- En la ficha Dominios en Administración de identidades y accesos, haga clic en +Dominio
4- En la ventana Agregar un Cloud Connector haga clic en Descargar
5- Guarde el archivo cwcconnector.exe en la instancia.
6- Haga clic con el botón derecho en el archivo cwcconnector.exe y seleccione Ejecutar como administrador
7- En la ventana Citrix Cloud Connector, haga clic en Iniciar sesión
8- En la ventana de inicio de sesión, introduzca sus credenciales de Citrix Cloud y haga clic en Iniciar sesión
9- Cuando finalice la instalación, haga clic en Cerrar
Consideraciones:
- La instalación de Cloud Connector puede tardar hasta 5 minutos.
- Como mínimo, se deben configurar 2 Cloud Connectors por ubicación de recurso.
Paso 2: Configurar la imagen maestra de VDA
1- Conéctese a la VM de imagen maestra de Citrix VDA a través de RDP y utilice un explorador web para navegar Descargas de Citrix y descargar la versión más reciente de Citrix VDA
Consideraciones:
- Las credenciales de Citrix son necesarias para descargar el software VDA.
- Puede instalarse la versión LTSR o CR.
- Se debe descargar un instalador de VDA independiente para las máquinas de SO de servidor y de escritorio.
2- Haga clic con el botón derecho en el archivo de instalación de VDA y seleccione Ejecutar como administrador
3- En la página Entorno, seleccione Crear una imagen MCS maestra
4- En la página Componentes principales, haga clic en Siguiente
5- En la página Componentes adicionales, seleccione los componentes que mejor se adapten a sus requisitos y haga clic en Siguiente
6- En la página Delivery Controller, introduzca la siguiente información y haga clic en Siguiente:
- Seleccione “Hazlo manualmente”
- Introduzca el FQDN de cada Cloud Connector
- Haga clic en Probar conexión y luego en Agregar
7- En la página Funciones, marque las casillas de las funciones que desea habilitar en función de sus necesidades de implementación y, a continuación, haga clic en Siguiente
8- En la página Firewall, seleccione Automáticamentey haga clic en Siguiente
9- En la página Resumen, asegúrese de que todos los detalles sean correctos y haga clic en Instalar
10- La máquina virtual se reiniciará durante la instalación
11- Una vez finalizada la instalación, en la página Diagnósticos, seleccione la opción que mejor se ajuste a sus necesidades de implementación y haga clic en Siguiente
12- En la página Finalizar, asegúrese de que Reiniciar máquina está marcada y haga clic en Finalizar
Paso 3: Crear una conexión de alojamiento de Azure
1- En el menú hamburguesa de Citrix Cloud, vaya a Mis servicios > Virtual Apps and Desktops
2- En Administrar, seleccione Configuración completa
3- En Citrix Studio, vaya a Citrix Studio > Configuración > Alojamientoy seleccione Agregar conexión y recursos
4- En la página Conexión, haga clic en el botón de opción situado junto a Crear una nueva conexión, introduzca la siguiente información y haga clic en Siguiente:
- Tipo de conexión
- Entorno de Azure
5- En la página Detalles de conexión, introduzca la siguiente información y haga clic en Usar existente:
- ID de suscripción
- Nombre de la conexión
6- En la página Principal de servicio existente, introduzca la siguiente información y haga clic en Aceptar:
- ID de Active Directory
- ID de aplicación
- Secreto de la aplicación
7- De vuelta en la página Detalles de conexión, haga clic en Siguiente
8- En la página Región, seleccione la región en la que se implementaron Cloud Connector y VDA y haga clic en Siguiente
9- En la página Red, introduzca un nombre para los recursos, seleccione la red virtual y subred adecuada y haga clic en Siguiente
10- En la página Resumen, asegúrese de que toda la información sea correcta y haga clic en Finalizar
Paso 4: Cree un catálogo de máquinas
1- En Citrix Studio, vaya a Citrix Studio > Catálogos de máquinasy seleccione Crear catálogo de máquinas
2- En la página Introducción, haga clic en Siguiente
3- En la página Sistema operativo, seleccione el sistema operativo apropiado y haga clic en Siguiente
Consideraciones:
- Las pantallas posteriores variarán ligeramente dependiendo del tipo de sistema operativo seleccionado en esta página.
4- En la página Administración de máquinas, seleccione la siguiente información y haga clic en Siguiente:
- El catálogo de máquinas utilizará: máquinas que están alimentadas administradas
- Implementación de máquinas mediante: Citrix Machine Creation Services (MCS)
- Recursos: seleccione su conexión de alojamiento de Azure
5- En la página Experiencia de escritorio, seleccione las opciones que mejor se ajusten a sus requisitos y haga clic en Siguiente
6- En la página Imagen maestra, seleccione la imagen maestra, el nivel funcional (versión VDA) y haga clic en Siguiente
7- En Tipos de almacenamiento y licencia, seleccione las opciones que mejor se ajusten a sus requisitos y haga clic en Siguiente.
8- En la página Máquinas virtuales, configure el número de máquinas virtuales que se implementarán, el tamaño de la máquina y haga clic en Siguiente
9- En la página Escribir caché atrás, seleccione las opciones de caché de escritura y haga clic en Siguiente
10- En la página Grupos de recursos, seleccione entre crear nuevos grupos de recursos para los recursos de Citrix MCS o utilizar grupos de recursos creados previamente.
Consideraciones:
- Solo aparecen grupos de recursos vacíos en la lista de grupos de recursos existentes.
11- En la página Tarjetas de interfaz de red, agregue NIC según sea necesario y haga clic en Siguiente
12- En la página Cuentas de equipo de Active Directory, configure las siguientes opciones y haga clic en Siguiente:
- Opción de cuenta: Crear nuevas cuentas de AD
- Dominio: selecciona su dominio
- OU: la unidad organizativa donde se almacenarán las cuentas de equipo
- Esquema de nomenclatura: convención de nomenclatura a utilizar
Consideraciones:
- Los números reemplazarán los signos de libra en el esquema de nomenclatura.
- Sea consciente del límite de 15 caracteres NetBIOS al crear un esquema de nomenclatura
13- En la página Credenciales de dominio, haga clic en Introducir credenciales
14- En la ventana emergente Seguridad de Windows, introduzca las credenciales de dominio y haga clic en Aceptar
15- En la página Resumen, introduzca un nombre y una descripción y haga clic en Finalizar
Paso 5: Cree un grupo de entrega
1- En Citrix Studio, vaya a Citrix Studio > Grupos de entregay seleccione Crear grupo de entrega
2- En la página Introducción, haga clic en Siguiente.
3- En la página Máquinas, seleccione el catálogo de máquinas, el número de máquinas y haga clic en Siguiente.
4- En la página Usuarios seleccione una opción de autenticación y haga clic en Siguiente
5- En la página Aplicaciones, haga clic en Agregar
6- En la página Agregar aplicaciones, seleccione las aplicaciones que desea publicar y haga clic en Aceptar
Consideraciones:
- Aunque la mayoría de las aplicaciones se mostrarán a través del menú Inicio, también puede agregar aplicaciones de forma opcional manualmente.
- Este paso se puede omitir si no necesita publicar aplicaciones sin fisuras.
7- De vuelta en la página Aplicaciones, haga clic en Siguiente
8- En la página Escritorios, haga clic en Agregar.
9- En la página Agregar escritorio, configure el escritorio y haga clic en Aceptar
Consideraciones:
- Este paso se puede omitir si no necesita publicar escritorios completos.
10- De vuelta en la página Escritorios, haga clic en Siguiente
11- En la página Resumen, introduzca un nombre, una descripción y haga clic en Finalizar