Citrix DaaS

Creare cataloghi aggiunti ad Azure Active Directory ibrido

In questo articolo viene descritto come creare cataloghi aggiunti ad Azure Active Directory (AD) ibrida utilizzando Citrix DaaS.

È possibile creare cataloghi aggiunti ad Azure AD utilizzando l’interfaccia Full Configuration (Configurazione completa) o PowerShell.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Aggiunto ad Azure Active Directory ibrido.

Utilizzare l’interfaccia Full Configuration

Le seguenti informazioni sono un’aggiunta alle linee guida della sezione Creare cataloghi delle macchine. Per creare cataloghi aggiunti ad Azure AD ibrido, seguire le linee guida generali in quell’articolo, tenendo conto dei dettagli specifici per i cataloghi aggiunti ad Azure AD ibrido.

Nella procedura guidata per la creazione del catalogo:

  • Nella pagina Machine Identities (Identità computer), selezionare Hybrid Azure Active Directory joined (Aggiunto ad Azure Active Directory ibrido). Le macchine create sono di proprietà di un’organizzazione e hanno effettuato l’accesso con un account Active Directory Domain Services appartenente a tale organizzazione. Esistono nel cloud e on-premise.

Nota:

Se si seleziona Hybrid Azure Active Directory joined (Aggiunto ad Azure Active Directory ibrido) come tipo di identità, ogni macchina del catalogo deve disporre di un account computer AD corrispondente.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni nell’interfaccia Full Configuration. Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti ad Azure AD ibrido sta nella creazione del pool di identità e degli account macchina.

Per creare un pool di identità insieme agli account per i cataloghi aggiunti ad Azure AD ibrido:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Nota:

$password è la password corrispondente per un account utente AD con autorizzazioni di scrittura.

Tutti gli altri comandi utilizzati per creare cataloghi aggiunti ad Azure AD ibrido sono gli stessi dei tradizionali cataloghi aggiunti ad AD locale.

Visualizzare lo stato del processo di join di Azure AD ibrido

Nell’interfaccia Full Configuration (Configurazione completa), lo stato del processo di join di Azure AD ibrida è visibile quando le macchine aggiunte ad Azure AD ibrida in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Search (Cerca) per identificare tali macchine e quindi per ogni controllo Machine Identity (Identità macchina) nella scheda Details (Dettagli) nel riquadro inferiore. In Machine Identity (Identità macchina) possono essere visualizzate le seguenti informazioni:

  • Aggiunto ad Azure AD ibrido
  • Not yet joined to Azure AD (Non ancora aggiunta ad Azure AD)

Nota:

  • Si potrebbe riscontrare un ritardo nell’aggiunta ad Azure AD ibrido alla prima accensione della macchina. Questo è causato dall’intervallo di sincronizzazione dell’identità della macchina predefinita (30 minuti di Azure AD Connect). La macchina si trova nello stato Hybrid Azure AD joined (Aggiunta ad Azure AD ibrido) solo dopo che le identità delle macchine sono state sincronizzate con Azure AD tramite Azure AD Connect
  • Se le macchine non si trovano nello stato Hybrid Azure AD joined (Aggiunta ad Azure AD ibrido), non vengono registrate con il Delivery Controller. Il loro stato di registrazione viene visualizzato come Initialization (Inizializzazione).

Inoltre, utilizzando l’interfaccia Full Configuration (Configurazione completa), è possibile scoprire perché le macchine non sono disponibili. A tale scopo, fare clic su una macchina nel nodo Search (Cerca), selezionare Registration (Registrazione) nella scheda Details (Dettagli) nel riquadro inferiore, quindi leggere la descrizione comando per ulteriori informazioni.

Risoluzione dei problemi

Se l’aggiunta delle macchine ad Azure AD ibrido non va a buon fine, procedere come segue:

  • Controllare se l’account della macchina è stato sincronizzato con Azure AD tramite il portale Microsoft Azure AD. Se è sincronizzato, viene visualizzato il messaggio Not yet joined to Azure AD (Non ancora aggiunta ad Azure AD), a indicare lo stato della registrazione in sospeso.

    Per sincronizzare gli account delle macchine con Azure AD, assicurarsi che:

    • L’account della macchina si trovi nell’unità organizzativa configurata per la sincronizzazione con Azure AD. Gli account macchina senza l’attributo userCertificate non vengono sincronizzati con Azure AD anche se si trovano nell’unità organizzativa configurata per la sincronizzazione.
    • L’attributo userCertificate viene inserito nell’account della macchina. Utilizzare Active Directory Explorer per visualizzare l’attributo.
    • Azure AD Connect deve essere stato sincronizzato almeno una volta dopo la creazione dell’account della macchina. In caso contrario, eseguire manualmente il comando Start-ADSyncSyncCycle -PolicyType Delta nella console PowerShell della macchina Azure AD Connect per attivare una sincronizzazione immediata.
  • Verificare se la coppia di chiavi del dispositivo gestito da Citrix per il join di Azure AD ibrido è stata correttamente inviata alla macchina interrogando il valore di DeviceKeyPairRestored in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Verificare che il valore sia 1. In caso contrario, i possibili motivi sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su HybridAzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.
    • Il provisioning della macchina non viene eseguito utilizzando lo stesso schema di provisioning del catalogo delle macchine.
    • La macchina non è aggiunta al dominio locale. L’aggiunta a un dominio locale è un prerequisito del join di Azure AD ibrido.
  • Controllare i messaggi diagnostici eseguendo il comando dsregcmd /status /debug sulla macchina di cui è stato eseguito il provisioning con MCS.

    • Se il join di Azure AD ibrido ha esito positivo, AzureAdJoined e DomainJoined sono YES (Sì) nell’output della riga di comando.
    • In caso contrario, fare riferimento alla documentazione di Microsoft per risolvere i problemi: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
    • Se viene visualizzato il messaggio di errore Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (Messaggio del server: il certificato utente non è trovato sul dispositivo con id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx), eseguire il seguente comando PowerShell per riparare il certificato utente:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
       <!--NeedCopy-->
      

Per ulteriori informazioni sul problema del certificato utente, vedere CTX566696.

Creare cataloghi aggiunti ad Azure Active Directory ibrido