参考体系结构:使用面向 CSP 的 Azure Active Directory 域服务实现 Citrix DaaS

体系结构

Azure Active Directory 域服务 是Microsoft Azure 上完全托管的Active Directory 服务。不要与 Azure AD 混淆,它是针对Microsoft 服务的基于云的身份和身份验证服务,Azure AD 域服务 (ADDS) 提供托管域控制器。Azure ADDS 包括域加入和组策略等企业功能。尽管 Azure AD 利用了 OpenID Connect 和 OAuth 2.0 等现代身份验证和授权协议,但 Azure ADDS 利用依赖 Active Directory 的传统协议,例如 LDAP 和 Kerberos。Azure AD 域服务会自动将身份从 Azure AD 同步到托管 AD 环境。

Azure ADDS 会自动部署和管理 Azure 订阅上的高可用 Active Directory 域控制器。域控制器访问受到限制,您只能通过使用远程服务器管理工具部署管理实例来管理域。此外,在托管服务下,域管理员和企业管理员权限不可用。Azure ADDS 实例直接部署到订阅内的虚拟网络 (VNet),资源可以部署到同一 VNet 或不同的 VNet 中。如果资源部署到其他 VNet,则必须通过 VNet 对等连接到 Azure ADDS VNet。

Azure ADDS 可以部署为 用户林或资源林。对于此实施,我们将 Azure ADDS 部署为用户林,而不对外部本地 AD 环境配置信任。此外,Citrix DaaS 资源是根据我们的 CSP 参考体系结构部署的。

架构场景 1

此部署场景意味着以下注意事项:

  • Azure AD
    • 适用于所有客户的共享 Azure AD 租户
  • Azure ADDS
    • 面向所有客户的共享 Azure ADDS 实例
  • 订阅
    • 面向小客户的共享 Azure 订阅
    • 面向大型客户的专用 Azure 订阅
  • 网络连接
    • VNET 对等从专用订阅到 Azure ADDS 连接的共享订阅

CSP-Image-001

架构场景 2

此部署场景意味着以下注意事项:

  • Azure AD
    • 适用于所有客户的共享 Azure AD 租户
    • 面向大型客户的专用 Azure AD 租户
  • Azure ADDS
    • 面向所有客户的共享 Azure ADDS 实例
  • 订阅
    • 面向小客户的共享 Azure 订阅
    • 面向大型客户的专用 Azure 订阅
  • 网络连接
    • VNET 对等从专用订阅到 Azure ADDS 连接的共享订阅

CSP-Image-002

架构场景 3

此部署场景意味着以下注意事项:

  • Azure AD
    • 适用于所有客户的共享 Azure AD 租户
    • 面向大型客户的专用 Azure AD 租户
  • Azure ADDS
    • 面向小型客户的共享 Azure ADDS 实例
    • 面向大型客户的专用 Azure ADDS 实例
  • 订阅
    • 面向小客户的共享 Azure 订阅
    • 面向大型客户的专用 Azure 订阅
  • 网络连接
    • 没有从专用订阅到共享订阅的 VNET 对等

CSP-Image-003

Azure 资源层次结构

设计和组织 Azure 订阅资源时,请考虑以下资源层次结构:

CSP-Image-004

初步假设

Azure ADDS

  • Azure AD 租户存在
  • Azure 订阅存在
  • 具有以下权限的 Azure AD 帐户可用:
    • Azure AD:全局管理员
    • 订阅:贡献者
  • Azure ADDS 将作为独立用户林部署,不会配置任何信任
  • 虽然这是可能的,但现有 AD 用户将不会通过 Azure AD Connect 进行同步
  • 将部署自助服务密码重置以强制重置密码以进行密码哈希同步

Citrix Cloud

  • Citrix Cloud 订阅可用
  • 将部署 Citrix Cloud Connector
  • 将部署 VDA 主映像
  • Azure 托管连接将被配置
  • 将配置计算机目录和交付组

术语

以下是您需要理解的最常见的 Azure 术语,如 Azure 文档中所述:

  • Azure 订阅: Azure 订阅是与Microsoft 签订的使用 Azure 服务的协议。账单与基于所使用的资源的订阅相关联,如果没有订阅,则无法部署资源。通过订阅,您可以组织对资源的访问。订阅类型包括试用版、即用即付、企业协议和 MSDN,每种订阅类型都可以有不同的付款设置。Azure 订阅必须与 Azure AD 租户绑定。
  • Azure AD: Azure AD 是Microsoft 面向用户、组和设备的基于云的身份管理服务。Azure AD 不能被视为传统 Active Directory 域服务的替代品,因为它不支持 LDAP 或 Kerberos。多个 Azure 订阅可以绑定到单个 Azure AD 租户。Azure AD 提供不同类型的许可证(免费、高级版 1 和高级版 2),这些许可证根据许可级别提供不同的功能。
  • 管理组: Azure 管理组是允许您跨多个订阅管理访问、策略和合规性的容器。管理组可以包含订阅或其他管理组。
  • Azure RBAC: Azure RBAC 用于管理 Azure 资源的授权。Azure RBAC 包含 70 多个内置角色,允许您创建自定义角色以根据自己的要求管理资源的授权。权限从管理组级联到订阅、资源组的订阅以及从资源组到资源组的级联。所有者 RBAC 角色为 Azure 资源提供最高级别的权限,还允许您管理其他用户的资源权限。
  • Azure AD 角色: Azure AD 角色用于管理与 Azure AD 相关的操作,例如创建用户、组、应用程序注册、与 API 的交互等。全局管理员角色授予 Azure AD 中最高级别的授权,包括访问所有 Azure AD 功能、管理角色和其他用户的许可等。全局管理员角色会自动分配给首先创建 Azure AD 租户的用户。
  • 自定义 Azure AD 域: 所有新的 Azure AD 租户都在 onmicrosoft.com 域下创建,可以通过向域注册商验证所有权来配置自定义域。
  • 资源组: 资源组是逻辑容器,用于在 Azure 中组织资源并通过 RBAC 管理其权限。通常,资源组中的资源共享类似的生命周期。资源组不能包含其他资源组,除非指定资源组,否则无法创建 Azure 资源。资源组部署到 Azure 区域时,它可以包含来自不同区域的资源。
  • VNET: Azure VNET 是一种软件定义的网络,允许您在 Azure 中的隔离地址空间下管理和部署资源。VNet 允许资源与同一 VNET、互联网、其他 VNet 中的资源或本地的其他资源进行通信。VNet 的访问是通过网络安全组保护的,您还可以通过实施用户定义的路由来配置路由。Azure VNet 是第 3 层叠加层,因此他们无法理解 VLAN 或 GARP 等任何第 2 层语义。所有 VNet 都包含一个主地址空间,并且必须至少包含一个带有地址空间的子网。VNET 中的虚拟机 IP 未连接到实际的虚拟机实例,它们被分配给作为独立资源进行管理的虚拟机网卡。
  • VNET 对等互连: 对等互连允许 2 个 VNet 通过 Azure 骨干进行连接和通信,而传统的 VNET 到 VNet 连接则通过公共互联网路由流量。Peerings 允许低延迟,可以在不同区域、不同的订阅甚至不同的 Azure AD 租户之间进行配置。默认情况下,对等连接是非传递的,需要高级配置才能更改此行为。在中心和分支架构中,辐射式 VNET 只能与中心通信,但无法与其他辐条中的资源进行通信。
  • 网络安全组: 网络安全组 (NSG) 是一组规则,使您能够控制对 VNET 内资源的入站和出站访问,这些资源可以附加到子网或 NIC。网络安全组内的入站和出站规则是独立管理的,所有规则的优先级必须为 100 和 4096。默认情况下,网络安全组包括一组默认规则,允许同一 VNET 中的资源之间的流量、出站 Internet 访问等。网络安全组与操作系统级防火墙配置没有任何关系,作为经验法则,建议在设计网络安全组时采用零信任方法。
  • 应用程序注册: 应用程序注册是允许外部应用程序与 Azure API 交互的 Azure AD 帐户。创建应用程序注册后,Azure AD 会生成应用程序 ID 和密码,充当用户名和密码。在此实施中,将创建应用程序注册,以允许 Citrix Cloud 与 Azure 交互并执行计算机创建和电源管理任务。

Azure ADDS 注意事项

  • Azure ADDS 自动同步来自 Azure AD 的用户身份
  • 从 Azure AD 到 Azure ADDS 的同步工作,而不是相反的方式
  • 它可以利用在云中创建的用户,也可以利用通过 Azure AD Connect 同步的用户
  • Azure AD 连接无法安装在 Azure ADDS 环境中以将对象同步回 Azure AD
  • LDAP 写入函数仅适用于直接在 ADDS 上创建的对象,不适用于从 Azure AD 同步的用户
  • Azure ADDS 只能用作独立域(一个林,仅限一个域),而不能用作本地域的扩展
  • 该服务部署在 Azure 可用区域(如果可用)
  • 默认情况下 Azure ADDS 作为用户林部署,在撰写本文时,资源林部署模型处于预览状态
  • 对于从 Azure AD 同步的用户,密码哈希在用户重置密码之前不会同步,Azure 自助服务密码重置用于帮助用户重置密码。
  • 在部署 Azure ADDS 实例时创建的 AAD DC 管理员组无法在 ADUC 内编辑。AAD DC 管理员组只能从 Azure 控制台的 Azure AD 组中进行编辑
  • 对于从 Azure AD 同步的用户:
    • 无法从 ADUC 控制台重置密码
    • 无法移动到其他 OU
    • 这些用户通常用于作为 CSP 管理 Azure ADDS 实例,最终客户用户可以在 ADUC 内部创建
  • GPO 可以创建并链接到预先创建的 AADDC 计算机和 AADC 用户组织单位,而不是其他预先创建的 OU
    • 您可以创建自己的 OU 结构并部署 GPO
    • 无法创建域和站点级别的 GPO
  • 通过在新 OU 上使用控制委派向导可以实现 OU 锁定
    • 不适用于预先创建的 OU

登录过程注意事项

Azure ADDS 会从创建的 Azure AD 租户中同步用户帐户。它包括使用自定义域创建的帐户、使用初始 onmicrosoft.com 域创建的帐户以及 B2B 帐户(作为访客添加到 Azure AD 的外部帐户)。根据用户帐户的类型,用户将有不同的登录体验:

  • 自定义域帐户:
    • 使用 UPN (user@domain.com) 登录:登录成功
    • 使用 NetBIOS(域\ 用户)登录:登录成功
  • 在Microsoft 域名帐户:
    • 使用 UPN (user@domain.onmicrosoft.com) 登录:登录失败 (1)
    • 使用 NetBIOS(域\ 用户)登录:登录成功 (2)
  • B2B 帐户(来宾):
    • 使用 UPN (user@domain.com) 登录:登录失败
    • 使用 NetBIOS(域\ 用户)登录:登录失败 (3)

注意:
(1) Azure ADDS 上不允许添加备用 UPN 名称,因此这些用户无法通过 UPN 登录。

( 2) 这可以正常工作,因为 NetBIOS 名称对所有用户都是相同的。

( 3) 这些用户无法针对 Azure 添加进行身份验证,即使他们已同步,Azure 无权访问其密码哈希。

实现

Azure 组件

步骤 1:为 Azure 创建资源组 ADDS

1-在 Azure 门户菜单上,选择资源组,然后单击 添加

CSP-Image-005

注意事项:

  • 此步骤假定已创建 Azure 订阅并准备好部署资源。

2-在“基本信息”选项卡上,输入以下信息,然后单击“查看 + 创建

  • 订阅
  • 资源组名称
  • 资源组区域

CSP-Image-006

3-在评论 + 创建选项卡上,单击 创建

CSP-Image-007

注意事项:

  • 重复这些步骤为客户资源、网络等创建资源组。
  • 或者,您可以预先创建供 Citrix Machine Creation Services 使用的资源组。Machine Creation Services (MCS) 只能使用空资源组。

步骤 2:创建 Azure ADDS VNet

1-在 Azure 门户菜单上,选择 虚拟网络,然后单击 添加

CSP-Image-008

2-在“基本信息”选项卡上,输入以下信息,然后单击“下一步:IP 地址

  • 订阅
  • 资源组名称
  • VNET 名称
  • VNET 地区

CSP-Image-009

3-在“IP 地址”选项卡上,输入以下信息,然后单击“下一步:安全性:

  • IPv4 地址空间
  • 添加子网

CSP-Image-010

注意事项:

  • 根据您的网络设计决策添加子网。在这种情况下,我们将为 ADDS 服务添加一个子网,以及共享基础架构资源(包括 Citrix Cloud Connector、主映像等等)的子网。

4-在安全选项卡上,根据需要配置 DDoS 和防火墙 ,然后单击 查看 + 创建

CSP-Image-011

5-在“查看 + 创建”选项卡上,单击“创建”。

CSP-Image-012

注意事项:

  • 重复这些步骤以在同一订阅或任何其他订阅中创建客户网络。

步骤 3:配置 VNet Peerings

1-在 Azure 门户菜单上,选择 虚拟网络,然后选择将在其中部署 ADDS 的 VNET

CSP-Image-013

注意事项:

  • 对于此实施,网络是在中心和分支架构中设计的。VNET 对等互连将从 Azure ADDS 网络(中心)配置到客户网络(辐条)。
  • 默认情况下,VNET 对等体不是可传递的,因此除非有 意配置,否则分支网络无法相互通信。
  • 如果在不同的 Azure 订阅和 Azure AD 租户上对等网络:
    • 用户必须在相反订阅中添加为访客用户,并授予对等网络的 RBAC 权限。
    • 必须在两端正确配置网络安全组。

2-在 VNET 刀片式服务器上,单击 Peerings添加

CSP-Image-014

3-在添加对等互连刀片上,输入以下信息:

  • 从源 VNET 到目标 VNET 的对等互连的名称
  • 订阅
  • 目标虚拟网络
  • 从目标 VNET 到源 VNET 的对等互连的名称

CSP-Image-015

4-向下滚动并单击“确定”

CSP-Image-016

注意事项:

  • 重复这些步骤以对等其他客户(分支)网络。

步骤 4:创建 Azure AD 域服务实例

1-在 Azure 搜索栏上,键入 域服务,然后单击 Azure AD 域服务

CSP-Image-017

2-在 Azure AD 域服务页面上,单击 + 添加

CSP-Image-018

3-在“基础”选项卡上,输入以下信息,然后单击“下 步”:

  • 订阅
  • 资源组名称
  • DNS 域名
  • 地理区域
  • SKU
  • 森林类型

CSP-Image-019

注意事项:

  • AAD DS 实例区域必须与您在之前步骤中预先创建的网络的区域相匹配。
  • 户林 是 Azure ADDS 上的默认林类型,它们将所有 Azure AD 用户帐户同步到 Azure ADDS,以便他们根据 Azure ADDS 实例进行身份验证。此模型假定用户密码哈希可以同步。
  • 资源林: 是最近支持的森林类型,已预览。在此部署模型下,Azure ADDS 用于管理计算机帐户。单向信任是从 Azure ADDS(信任域)配置到本地 AD 环境(受信任域)的。使用此配置,本地环境中的用户帐户可以登录到 Azure 中托管的加入到 Azure ADDS 域的资源。这种类型的林假定已配置到本地域的网络连接。

4-在“网络”选项卡上,输入以下信息,然后单击“下 步”:

  • 虚拟网络
  • 子网

CSP-Image-020

5-在管理选项卡上,单击 管理组成员资格

CSP-Image-021

6-在成员刀片上,单击 + 添加成员

CSP-Image-022

7-在添加成员刀片上,搜索要添加为 AAD DC 管理员组成员的帐户。

CSP-Image-023

8-添加用户后,单击 选择

CSP-Image-024

9-返回“管理”选项卡,单击“下一步

CSP-Image-025

注意事项:

  • AAD DC 管理员组成员资格只能从 Azure AD 进行管理,无法通过 Azure ADDS 实例的 ADUC 控制台进行管理。

10-在同步选项卡上,单击下一步

CSP-Image-026

注意事项:

  • 通过选择范围的同步类型,可以选择此页面来选择要同步到 Azure ADDS 的 Azure AD 对象。

11-在评论选项卡上,单击 创建

CSP-Image-027

12-在确认弹出窗口中,单击 确定

CSP-Image-028

注意事项:

  • 创建 Azure ADDS 实例的过程最多可能需要 1 小时。

步骤 5:为 Azure 配置 DNS ADDS VNET

1-创建 Azure ADDS 实例后,在 更新虚拟网络的 DNS 服务器设置下,单击 配置

CSP-Image-029

注意事项:

  • 此步骤将自动配置创建 Azure ADDS 实例的 VNET 的 DNS 设置(中心网络)。配置完成后,所有 DNS 查询都将转发到受管域控制器。
  • 客户网络(辐条)必须手动更新其 DNS 设置。

步骤 6:为客户网络配置 DNS

1-在 Azure 门户菜单上,选择 虚拟网络,然后选择您的客户(辐条)VNET。

CSP-Image-030

2-在 VNET 刀片式服务器上,单击 DNS 服务器,选择 自定义,输入受管域控制器的 IP 地址,然后单击 保存

CSP-Image-031

注意事项:

  • 对每个客户(分支式)VNET 以及与托管 Azure ADDS 实例的 VNET 对等的任何其他外部 VNET 重复这些步骤。

步骤 7:配置自助服务密码重置 (SSPR)

1-在 Azure 门户菜单上,选择 Azure Active Directory,然后单击 密码重置

CSP-Image-032

注意事项:

  • 当 Azure AD 用户最初同步到 Azure ADDS 时,他们的密码哈希不会同步,因此,用户必须重置密码才能进行此操作。SSPR 用于允许用户以简单而安全的方式重置密码。
  • 在执行此步骤之前,针对 Azure ADDS 的用户身份验证不起作用。
  • 只有在之前未配置 SSPR 的情况下,才需要执行启用 SSPR 的步骤。
  • 仅当 Azure AD 用户是从 Azure 门户管理的(而不是通过 Azure AD Connect 从内部 AD 同步的用户)时,才需要执行此步骤。对于通过 Azure AD 连接从本地 AD 同步的用户,请按照以下步骤操作。

2-在属性刀片上,选择 全部,然后单击 保存

CSP-Image-033

注意事项:

  • 您可以选择选择“已选定”以仅对一部分用户启用 SSPR。
  • 用户下次登录时,他们将被迫注册到 SSPR。

步骤 8:SSPR 用户注册流程

1-当用户登录时,他们将被重定向到 SSPR 注册 屏幕并配置身份验证方法。

CSP-Image-034

注意事项:

  • 可以在 Azure 门户的 SSPR 配置刀片上选择 SSPR 身份验证方法。
  • 在本示例中,已使用基本设置启用了 SSPR,这需要配置电话和电子邮件。

2-一旦用户输入身份验证信息,SSPR 注册过程就完成。

CSP-Image-035

3-用户现在可以导航到 自助服务密码重置 以重置密码。

CSP-Image-036

注意事项:

  • 完成此步骤并且用户重置密码后,密码哈希将从 Azure AD 同步到 Azure ADDS。
  • 对于已同步的用户,无法使用 ADUC 重置密码。

步骤 9:创建 AD 管理虚拟机

1-在 Azure 门户菜单上,选择 虚拟机,然后单击 添加

CSP-Image-037

2-在“基础”选项卡上,输入以下信息,然后单击“下一步:磁盘

  • 订阅
  • 资源组
  • VM 名称
  • 地理区域
  • 可用性选项
  • 映像
  • 大小
  • 管理员帐户详情

CSP-Image-038

CSP-Image-039

3-在磁盘选项卡上,输入 操作系统磁盘类型,然后单击 下一步:网络连

CSP-Image-040

4-在网络选项卡上,配置以下信息,然后单击 下一步:管理

  • 虚拟网络
  • 子网
  • 公用 IP(如果适用)
  • 网络安全组

CSP-Image-041

5-在管理选项卡上,配置以下信息,然后单击 下一步:高级

  • 监视
  • 自动关机
  • 备份

CSP-Image-042

CSP-Image-043

6-在“高级”选项卡上,保留默认设置,然后单击“下一步:标签

CSP-Image-044

7-在标签选项卡上,为虚拟机实例创建任何必需的标签,然后单击 下一步:查看 + 创建

CSP-Image-045

8-在查看 + 创建选项卡上,确保所有信息都正确,然后单击 创建

CSP-Image-046

注意事项:

  • 重复上述步骤以创建所有其他虚拟机:Cloud Connector、主映像等等。

步骤 10:将管理虚拟机加入域

1-通过 RDP 连接到实例并打开服务器管理器,然后单击 添加角色和功能

CSP-Image-047

2-在添加角色和功能向导中,添加以下功能:

  • 角色管理工具
  • ADDS 和 AD LDS 工具
  • 适用于 Windows PowerShell 的 Active Directory 模块
  • AD DS 工具
  • AD DS 管理单元和命令行工具
  • 组策略管理控制台 (GPMC)
  • DNS 管理器

CSP-Image-048

3-安装完成后,将虚拟机加入 Azure ADDS 域。

CSP-Image-049

注意事项:

  • 重复上述步骤,将所有其他虚拟机加入 Azure ADDS 域。
  • 只有用于管理 Azure ADDS 实例的虚拟机才需要安装 RSAT 工具。
  • 在尝试执行这些步骤之前,请确保用于将虚拟机加入 Azure ADDS 域的用户帐户的密码已重置。

步骤 11:创建 Azure AD 应用程序注册

1-在 Azure 门户菜单上,选择 Azure Active Directory > 应用注册 > + 新注册

CSP-Image-050

2-在注册应用程序刀片上,输入以下信息,然后单击 注册

CSP-Image-051

3-在概览刀片上,将以下值复制到记事本:

  • 应用程序(客户端)ID
  • 目录(租户)ID

CSP-Image-052

注意事项:

  • 稍后将在为 Citrix MCS 创建托管连接以管理 Azure 资源时使用应用程序 ID 和目录 ID 值。

4-点击 证书和秘密 然后 + 新客户端密钥

CSP-Image-053

5-在添加客户端密钥弹出窗口中,输入 描述和过期,然后单击 添加

CSP-Image-054

6-返回证书和密钥屏幕,复制客户端密码的值

CSP-Image-055

注意事项:

  • 尽管客户端 ID 充当应用程序注册的用户名,但客户端密钥充当密码。

7-点击 API 权限 然后 添加权限

CSP-Image-056

8-在请求 API 权限刀片上,在 我的组织使用的 API 下搜索 Windows Azure,然后选择 Windows Azure Active Directory

CSP-Image-057

9-在 Azure Active Directory 图形 API 刀片上,选择 委派权限,分配 读取所有用户的基本配置文件 权限,然后单击 添加权限

CSP-Image-058

10-返回请求 API 权限刀片,在 我的组织再次使用搜索Windows Azure的 API 下,然后选择 Windows Azure 服务管理 API

CSP-Image-059

11-在 Azure 服务管理 API 刀片上,选择 委派权限,将 访问 Azure 服务管理作为组织用户 分配权限,然后单击 添加权限

CSP-Image-060

12-在 Azure 门户菜单上,单击 订阅 并复制订 阅 ID的值

CSP-Image-061

注意事项:

  • 复制用于通过 Citrix MCS 管理资源的所有订阅的值。每个 Azure 订阅的托管连接必须独立配置。

13-选择您的订阅,然后选择 访问控制 (IAM) > + 添加 > 添加角色分配

CSP-Image-062

14-在添加角色分配刀片上,将参与 角色分配给新应用程序注册,然后单击 保存

CSP-Image-063

注意事项:

  • 重复此步骤可将参与者权限添加到任何其他订阅的注册中。
  • 如果使用属于单独 Azure AD 租户的辅助订阅,则必须配置新的应用程序注册。

Citrix 组件

步骤 1:安装 Cloud Connector

1-通过 RDP 连接到 Cloud Connector 虚拟机,然后使用 Web 浏览器导航到 Citrix Cloud。输入您的 Citrix Cloud 凭据,然后单击 登录

CSP-Image-064

2-在域名下,点击 添加新

CSP-Image-065

3-在“身份和访问管理”下的域选项卡上,单击 + 域

CSP-Image-066

4-在添加 Cloud Connector 窗口中,单击 下载

CSP-Image-067

5-将 cwcconnector.exe 文件保存到实例中。

CSP-Image-068

6-右键单击 cwcconnector.exe 文件,然后选择 以管理员身份运行

CSP-Image-069

7-在 Citrix Cloud Connector 窗口中,单击 登录

CSP-Image-070

8-在登录窗口中,输入您的 Citrix Cloud 凭据,然后单击

CSP-Image-071

9-安装完成后,单击“关闭

CSP-Image-072

注意事项:

  • Cloud Connector 安装最多可能需要 5 分钟的时间。
  • 每个资源位置必须至少配置 2 个Cloud Connector。

步骤 2:配置 VDA 主映像

1-通过 RDP 连接到 Citrix VDA 主映像虚拟机,然后使用网络浏览器导航到 Citrix 下载 并下载最新的 Citrix VDA 版本

CSP-Image-073

注意事项:

  • 下载 VDA 软件需要 Citrix 凭据。
  • 可以安装 LTSR 或 CR 版本。
  • 必须为服务器和桌面操作系统计算机下载单独的 VDA 安装程序。

2-右击 VDA 安装程序文件,然后选择 以管理员身份运行

CSP-Image-074

3-在环境页面上,选择 创建主 MCS 映像

CSP-Image-075

4-在核心组件页面上,单击 下一步

CSP-Image-076

5-在其他组件页面上,选择最适合您的要求的组件,然后单击 下一步

CSP-Image-077

6-在 Delivery Controller 页面上,输入以下信息,然后单击 下一步

  • 选择“手动执行”
  • 输入每个 Cloud Connector 的 FQDN
  • 单击 测试连接 然后单击 添加

CSP-Image-078

7-在功能页面上,根据部署需求选中要启用的功能的复选框,然后单击 下一步

CSP-Image-079

8-在防火墙页面上,选择 自动,然后单击 下一步

CSP-Image-080

9-在摘要页面上,确保所有详细信息都正确无误,然后单击 安装

CSP-Image-081

10-虚拟机将在安装过程中重新启动

CSP-Image-082

11-安装完成后,在诊断页面上,选择最适合您的部署需求的选项,然后单击 下一步

CSP-Image-083

12-在“完成”页面上,确保选中“重启计算机”,然后单击“完成

CSP-Image-084

步骤 3:创建 Azure 托管连接

1-在 Citrix Cloud 汉堡包菜单上,导航到 我的服务 > DaaS

CSP-Image-085

2-在 Web Studio 中,导航到“托管”,然后选择“添加连接和资源

CSP-Image-087

4-在连接页面上,单击 创建新连接旁边的单选按钮,输入以下信息,然后单击 下一步

  • 区域
  • 连接类型
  • Azure 环境

CSP-Image-088

5-在连接详细信息页面上,输入以下信息,然后单击 使用现有信息:

  • 订阅 ID
  • 连接名称

CSP-Image-089

6-在现有服务主体页面上,输入以下信息,然 后单击确定

  • Active Directory ID
  • 应用程序 ID
  • 应用程序机密

CSP-Image-090

7-返回连接详细信息页面,单击 下一步

CSP-Image-091

8-在区域页面上,选择部署 Cloud Connector 和 VDA 的区域,然后单击 下一步

CSP-Image-092

9-在网络页面上,输入资源的名称,选择适当的虚拟网络和子网,然后单击 下一步

CSP-Image-093

10-在“摘要”页面上,确保所有信息正确无误,然后单击“完成

CSP-Image-094

步骤 4:创建计算机目录

1-在 Web Studio 中,导航到 计算机目录,然后选择 创建计算机目录

CSP-Image-095

2-在简介页面上,单击 下一步

CSP-Image-096

3-在操作系统页面上,选择适当的操作系统,然后单击 下一步

CSP-Image-097

注意事项:

  • 随后的屏幕将根据在此页面中选择的操作系统类型而略有不同。

4-在计算机管理页面上,选择以下信息,然后单击 下一步

  • 计算机目录将使用:受电源托管的计算机
  • 使用:Citrix Machine Creation Services (MCS) 部署计算机
  • 资源:选择您的 Azure 托管连接

CSP-Image-098

5-在桌面体验页面上,选择最适合您的要求的选项,然后单击 下一步

CSP-Image-099

6-在主映像页面上,选择主映像、功能级别(VDA 版本),然后单击 下一步

CSP-Image-100

7-在存储和许可证类型上,选择最适合您的要求的选项,然后单击 下一步

CSP-Image-101

8-在虚拟机页面上,配置要部署的虚拟机数量、机器大小,然后单击 下一步

CSP-Image-102

9-在网络接口卡页面上,根据需要添加 NIC ,然后单击 下一步

CSP-Image-105

10-在“写回缓存”页面上,选择写缓存选项,然后单击 下一步

CSP-Image-103

11-在资源组页面上,选择为 Citrix MCS 资源创建新资源组或使用预先创建的资源组。

CSP-Image-104

注意事项:

  • 现有资源组列表中仅显示空资源组。

12-在 Active Directory 计算机帐户页面上,配置以下选项,然后单击 下一步

  • 帐户选项:创建新的 AD 帐户
  • 域:选择您的域
  • OU:存储计算机帐户的 OU
  • 命名方案:要使用的命名约定

CSP-Image-106

注意事项:

  • 数字将取代命名方案上的英镑标志
  • 创建命名方案时,请注意 NetBIOS 的 15 个字符限制

13-在域凭证页面上,单击 输入凭据

CSP-Image-107

14-在 Windows 安全弹出窗口中,输入您的域凭据,然后单击“完成

CSP-Image-108

15-在摘要页面上,输入名称和描述,然后单击 完成

CSP-Image-109

步骤 5:创建交付组

1-在 Web Studio 中,导航到 交付组,然后选择 创建交付组

CSP-Image-110

2-在计算机页面上,选择计算机目录、计算机数量,然后单击 下一步

CSP-Image-112

3-在用户页面上选择一个身份验证选项,然后单击 下一步

CSP-Image-113

4-在应用程序页面上,单击 添加

CSP-Image-114

5-在添加应用程序页面上,选择要发布的应用程序,然 后单击确定

CSP-Image-115

注意事项:

  • 虽然大多数应用程序将通过开始菜单显示,但您也可以选择手动添加应用程序
  • 如果您不需要发布无缝应用程序,则可以跳过此步骤。

7-返回应用程序页面,单击 下一步

CSP-Image-116

8-在桌面页面上,单击 添加

CSP-Image-117

9-在添加桌面页面上,配置桌面,然 后单击确定

CSP-Image-118

注意事项:

  • 如果您不需要发布完整的桌面,则可以跳过此步骤。

10-返回桌面页面,单击 下一步

CSP-Image-119

11-在摘要页面上,输入名称和描述,然后单击 完成

CSP-Image-120

参考体系结构:使用面向 CSP 的 Azure Active Directory 域服务实现 Citrix DaaS