-
Installazione e configurazione
-
Pool di identità di diversi tipi di join di identità delle macchine
-
Pool di identità di macchine unite ad Active Directory locali
-
Pool di identità di macchine unite ad Azure Active Directory ibrido
-
-
Servizio Cloud Connector Standalone Citrix Secure Ticketing Authority (STA)
-
-
-
-
-
-
Raccogliere una traccia CDF (Citrix Diagnostic Facility) all'avvio del sistema
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Pool di identità delle identità macchina aggiunte ad Azure Active Directory ibrido
Nota:
Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. In questo documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD si riferisce ora a Microsoft Entra ID.
Questo articolo descrive come creare un pool di identità di:
- cataloghi aggiunti ad Azure Active Directory (AD) ibrido
- cataloghi aggiunti ad Azure AD ibrido registrati in Microsoft Intune
Per informazioni su requisiti, limitazioni e considerazioni, vedere Aggiunto ad Azure Active Directory ibrido.
Creare cataloghi aggiunti ad Azure Active Directory (AD) ibrido
Utilizzare Web Studio
Le seguenti informazioni sono un supplemento alle linee guida in Creare cataloghi di macchine.
Nella pagina Identità macchina della procedura guidata di creazione del catalogo:
-
Selezionare Aggiunto ad Azure Active Directory ibrido. Le macchine create sono di proprietà di un’organizzazione e vi si accede con un account Active Directory appartenente a tale organizzazione.
-
Per registrare le macchine create in Microsoft Intune (incluso Configuration Manager) per la gestione dei dispositivi, selezionare Registra le macchine in Microsoft Intune con Configuration Manager. Per evitare errori durante la creazione del catalogo, assicurarsi che l’immagine master soddisfi i seguenti requisiti:
- Abbia installato VDA versione 2405 o successiva.
- Abbia il client di Configuration Manager installato con il codice del sito non assegnato. Per maggiori informazioni, consultare questo articolo Microsoft.
Nota:
Se si seleziona Aggiunto ad Azure Active Directory ibrido come tipo di identità, ogni macchina nel catalogo deve avere un account computer AD corrispondente.
Utilizzare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni in Web Studio. Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
La differenza tra i cataloghi aggiunti ad AD locale e quelli aggiunti ad Azure AD ibrido risiede nella creazione del pool di identità e degli account macchina.
Per creare un pool di identità insieme agli account per i cataloghi aggiunti ad Azure AD ibrido:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
Nota:
$passwordè la password corrispondente per un account utente AD con autorizzazioni di scrittura.
Tutti gli altri comandi utilizzati per creare cataloghi aggiunti ad Azure AD ibrido sono gli stessi di quelli per i cataloghi tradizionali aggiunti ad AD locale.
Visualizzare lo stato del processo di aggiunta ad Azure AD ibrido
In Web Studio, lo stato del processo di aggiunta ad Azure AD ibrido è visibile quando le macchine aggiunte ad Azure AD ibrido in un gruppo di consegna sono in stato di accensione. Per visualizzare lo stato, utilizzare Cerca per identificare tali macchine e quindi per ciascuna controllare Identità macchina nella scheda Dettagli nel riquadro inferiore. Le seguenti informazioni possono apparire in Identità macchina:
- Aggiunto ad Azure AD ibrido
- Non ancora aggiunto ad Azure AD
Nota:
- Potrebbe verificarsi un ritardo nell’aggiunta ad Azure AD ibrido quando la macchina si accende inizialmente. Ciò è causato dall’intervallo di sincronizzazione predefinito dell’identità della macchina (30 minuti di Azure AD Connect). La macchina si trova nello stato di aggiunta ad Azure AD ibrido solo dopo che le identità della macchina sono state sincronizzate con Azure AD tramite Azure AD Connect.
- Se le macchine non riescono a raggiungere lo stato di aggiunta ad Azure AD ibrido, non vengono registrate con il Delivery Controller. Il loro stato di registrazione appare come Inizializzazione.
Inoltre, utilizzando Web Studio, è possibile scoprire perché le macchine non sono disponibili. Per farlo, fare clic su una macchina nel nodo Cerca, controllare Registrazione nella scheda Dettagli nel riquadro inferiore e quindi leggere il tooltip per ulteriori informazioni.
Risoluzione dei problemi
Se le macchine non riescono a essere aggiunte ad Azure AD ibrido, eseguire le seguenti operazioni:
-
Verificare se l’account macchina è stato sincronizzato con Azure AD tramite il portale di Microsoft Azure AD. Se sincronizzato, appare Non ancora aggiunto ad Azure AD, indicando lo stato di registrazione in sospeso.
Per sincronizzare gli account macchina con Azure AD, assicurarsi che:
- L’account macchina si trovi nell’unità organizzativa (OU) configurata per la sincronizzazione con Azure AD. Gli account macchina senza l’attributo userCertificate non vengono sincronizzati con Azure AD anche se si trovano nell’unità organizzativa configurata per la sincronizzazione.
- L’attributo userCertificate sia popolato nell’account macchina. Utilizzare Active Directory Explorer per visualizzare l’attributo.
- Azure AD Connect sia stato sincronizzato almeno una volta dopo la creazione dell’account macchina. In caso contrario, eseguire manualmente il comando
Start-ADSyncSyncCycle -PolicyType Deltanella console PowerShell della macchina Azure AD Connect per attivare una sincronizzazione immediata.
-
Verificare se la coppia di chiavi del dispositivo gestito da Citrix per l’aggiunta ad Azure AD ibrido è stata correttamente inviata alla macchina interrogando il valore di DeviceKeyPairRestored sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
Verificare che il valore sia 1. In caso contrario, le possibili ragioni sono:
-
IdentityTypedel pool di identità associato allo schema di provisioning non è impostato suHybridAzureAD. È possibile verificarlo eseguendoGet-AcctIdentityPool. - La macchina non è stata sottoposta a provisioning utilizzando lo stesso schema di provisioning del catalogo macchine.
- La macchina non è aggiunta al dominio locale. L’aggiunta al dominio locale è un prerequisito per l’aggiunta ad Azure AD ibrido.
-
-
Controllare i messaggi diagnostici eseguendo il comando
dsregcmd /status /debugsulla macchina sottoposta a provisioning MCS.-
Se l’aggiunta ad Azure AD ibrido ha successo, AzureAdJoined e DomainJoined sono YES nell’output della riga di comando.
-
In caso contrario, fare riferimento alla documentazione Microsoft per risolvere i problemi: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
Se si riceve il messaggio di errore Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, eseguire il seguente comando PowerShell per riparare il certificato utente:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->
Per maggiori informazioni sul problema del certificato utente, vedere CTX566696.
-
Creare cataloghi aggiunti ad Azure AD ibrido registrati in Microsoft Intune
È possibile creare cataloghi abilitati alla cogestione per cataloghi aggiunti ad Azure AD ibrido registrati in Microsoft Intune per VM persistenti a sessione singola e multipla. È possibile creare cataloghi abilitati alla cogestione utilizzando sia Studio che PowerShell.
Utilizzare Web Studio
Le seguenti informazioni sono un supplemento alle linee guida in Creare cataloghi di macchine.
Nella procedura guidata Configurazione catalogo macchine:
- Nella pagina Identità macchina, selezionare Aggiunto ad Azure Active Directory ibrido e quindi Registra le macchine in Microsoft Intune con Configuration Manager. Con questa azione, Configuration Manager e Microsoft Intune (ovvero, cogestiti) gestiscono le VM.
Utilizzare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti ai passaggi in Studio.
Per registrare le macchine in Microsoft Intune con Configuration Manager utilizzando l’SDK Remote PowerShell, utilizzare il parametro DeviceManagementType in New-AcctIdentityPool. Questa funzionalità richiede che il catalogo sia aggiunto ad Azure AD ibrido e che Azure AD possieda la licenza Microsoft Intune corretta.
La differenza tra i cataloghi aggiunti ad Azure AD ibrido e quelli abilitati alla cogestione risiede nella creazione del pool di identità. Ad esempio:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
Risoluzione dei problemi
Se le macchine non riescono a registrarsi in Microsoft Intune o non riescono a raggiungere lo stato di cogestione, eseguire le seguenti operazioni:
-
Controllare la licenza Intune
Verificare se al tenant di Azure AD è assegnata la licenza Intune appropriata. Vedere Licenze di Microsoft Intune per i requisiti di licenza di Microsoft Intune.
-
Controllare lo stato di aggiunta ad Azure AD ibrido
Verificare se le macchine sottoposte a provisioning MCS sono aggiunte ad Azure AD ibrido. Le macchine non sono idonee per la cogestione se non sono aggiunte ad Azure AD ibrido. Vedere Risoluzione dei problemi per risolvere i problemi di aggiunta ad Azure AD ibrido.
-
Controllare l’idoneità alla cogestione
-
Verificare se le macchine sottoposte a provisioning MCS sono correttamente assegnate al sito di Configuration Manager previsto. Per ottenere il sito assegnato, eseguire il seguente comando PowerShell sulle macchine interessate.
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
Se nessun sito è assegnato alla VM, utilizzare il seguente comando per verificare se il sito di Configuration Manager può essere rilevato automaticamente.
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
Assicurarsi che i limiti e i gruppi di limiti siano ben configurati nell’ambiente di Configuration Manager se non è possibile rilevare alcun codice del sito. Vedere Considerazioni per i dettagli.
-
Controllare
C:\Windows\CCM\Logs\ClientLocation.logper eventuali problemi di assegnazione del sito client di Configuration Manager. -
Controllare gli stati di cogestione delle macchine. Aprire il pannello di controllo di Configuration Manager sulle macchine interessate e andare alla scheda Generale. Il valore della proprietà Cogestione deve essere Abilitato. In caso contrario, controllare i log sotto
C:\Windows\CCM\Logs\CoManagementHandler.log.
-
-
Controllare la registrazione Intune
Le macchine potrebbero non riuscire a registrarsi in Microsoft Intune anche se tutti i prerequisiti sono soddisfatti. Controllare i registri eventi di Windows sotto Registri applicazioni e servizi > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider per problemi di registrazione Intune.
Condividi
Condividi
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.