Documentazione dei prodotti
Citrix DaaS
Visualizza PDF

Creare cataloghi aggiunti ad Azure Active Directory ibridi

January 31, 2023
Grazie al contributo di: 
C

In questo articolo viene descritto come creare cataloghi aggiunti ad Azure Active Directory (AD) ibrida utilizzando Citrix DaaS.

È possibile creare cataloghi aggiunti ad Azure AD utilizzando l’interfaccia Full Configuration (Configurazione completa) o PowerShell.

Per informazioni su requisiti, limitazioni e considerazioni, vedere Hybrid Azure Active Directory joined.

Utilizzare l’interfaccia Full Configuration

Le seguenti informazioni sono un’aggiunta alle linee guida della sezione Creare cataloghi delle macchine. Per creare cataloghi aggiunti ad Azure AD ibrida, seguire le linee guida generali in quell’articolo, tenendo conto dei dettagli specifici dei cataloghi aggiunti ad Azure AD ibrida.

Nella procedura guidata per la creazione del catalogo:

  • Nella pagina Machine Identities (Identità computer), selezionare Hybrid Azure Active Directory joined (Aggiunta ad Azure Active Directory ibrida). Le macchine create sono di proprietà di un’organizzazione e hanno effettuato l’accesso con un account Active Directory Domain Services appartenente a tale organizzazione. Esistono nel cloud e on-premise.

Nota:

Se si seleziona Hybrid Azure Active Directory joined (Aggiunta ad Azure Active Directory ibrida) come tipo di identità, ogni macchina nel catalogo deve disporre di un account computer AD corrispondente.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni nell’interfaccia Full Configuration (Configurazione completa). Per informazioni su come creare un catalogo utilizzando l’SDK di Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

La differenza tra i cataloghi aggiunti ad AD on-premise e quelli aggiunti ad Azure AD ibrida sta nella creazione del pool di identità e degli account macchina.

Per creare un pool di identità insieme agli account per i cataloghi aggiunti ad Azure AD ibrida:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

Nota:

$password è la password corrispondente per un account utente AD con autorizzazioni di scrittura.

Tutti gli altri comandi utilizzati per creare cataloghi aggiunti ad Azure AD ibrida sono gli stessi dei tradizionali cataloghi aggiunti ad AD on-premise.

Visualizzare lo stato del processo di join di Azure AD ibrida

Nell’interfaccia Full Configuration (Configurazione completa), lo stato del processo di join di Azure AD ibrida è visibile quando le macchine aggiunte ad Azure AD ibrida in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Search (Cerca) per identificare tali macchine e quindi per ogni controllo Machine Identity (Identità macchina) nella scheda Details (Dettagli) nel riquadro inferiore. In Machine Identity (Identità macchina) possono essere visualizzate le seguenti informazioni:

  • Aggiunte ad Azure AD ibride
  • Not yet joined to Azure AD (Non ancora aggiunta ad Azure AD)

Nota:

  • Si potrebbe riscontrare un ritardo nel join di Azure AD ibrida quando la macchina si accende inizialmente. Questo è causato dall’intervallo di sincronizzazione dell’identità della macchina predefinita (30 minuti di Azure AD Connect). La macchina si trova nello stato Hybrid Azure AD joined (Aggiunta ad Azure ID ibrida) solo dopo che le identità delle macchine sono state sincronizzate con Azure AD tramite Azure AD Connect
  • Se le macchine non si trovano nello stato Hybrid Azure AD joined (Aggiunta ad Azure ID ibrida), non vengono registrate con il Delivery Controller. Il loro stato di registrazione viene visualizzato come Initialization (Inizializzazione).

Inoltre, utilizzando l’interfaccia Full Configuration (Configurazione completa), è possibile scoprire perché le macchine non sono disponibili. A tale scopo, fare clic su una macchina nel nodo Search (Cerca), selezionare Registration (Registrazione) nella scheda Details (Dettagli) nel riquadro inferiore, quindi leggere la descrizione comando per ulteriori informazioni.

Risoluzione dei problemi

Se l’aggiunta delle macchine ad Azure AD ibrida non va a buon fine, procedere come segue:

  • Controllare se l’account della macchina è stato sincronizzato con Azure AD tramite il portale Microsoft Azure AD. Se è sincronizzato, viene visualizzato il messaggio Not yet joined to Azure AD (Non ancora aggiunta ad Azure AD), a indicare lo stato della registrazione in sospeso.

    Per sincronizzare gli account delle macchine con Azure AD, assicurarsi che:

    • L’account della macchina si trovi nell’unità organizzativa configurata per la sincronizzazione con Azure AD. Gli account macchina senza l’attributo userCertificate non vengono sincronizzati con Azure AD anche se si trovano nell’unità organizzativa configurata per la sincronizzazione.
    • L’attributo userCertificate viene inserito nell’account della macchina. Utilizzare Active Directory Explorer per visualizzare l’attributo.
    • Azure AD Connect deve essere stato sincronizzato almeno una volta dopo la creazione dell’account della macchina. In caso contrario, eseguire manualmente il comando Start-ADSyncSyncCycle -PolicyType Delta nella console PowerShell della macchina Azure AD Connect per attivare una sincronizzazione immediata.

  • Verificare se la coppia di chiavi del dispositivo gestito da Citrix per il join di Azure AD ibrida è stata correttamente inviata alla macchina interrogando il valore di DeviceKeyPairRestored in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    Verificare che il valore sia 1. In caso contrario, i possibili motivi sono:

    • IdentityType del pool di identità associato allo schema di provisioning non è impostato su HybridAzureAD. È possibile verificarlo eseguendo Get-AcctIdentityPool.
    • Il provisioning della macchina non viene eseguito utilizzando lo stesso schema di provisioning del catalogo delle macchine.
    • La macchina non è aggiunta al dominio locale. L’aggiunta a un dominio locale è un prerequisito del join di Azure AD ibrida.

  • Controllare i messaggi diagnostici eseguendo il comando dsregcmd /status /debug sulla macchina di cui è stato eseguito il provisioning con MCS.

    Se il join di Azure AD ibrida ha esito positivo, AzureAdJoined e DomainJoined sono YES (Sì) nell’output della riga di comando.

    In caso contrario, fare riferimento alla documentazione di Microsoft per risolvere i problemi: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.

Creare cataloghi aggiunti ad Azure Active Directory ibridi
January 31, 2023
Grazie al contributo di: 
C
January 31, 2023
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso
© 1999- Cloud Software Group, Inc. All rights reserved.