Citrix虚拟应用程序和桌面服务,使用Azure Active Directory域服务实施面向CSP的Azure

体系结构

Azure Active Directory域服务是微软Azure上的完全托管的Active Directory服务。不要与Azure广告混淆,它是针对微软服务的基于云的身份和身份验证服务,Azure AD域服务(添加)提供托管域控制器。Azure添加包括域加入和组策略等企业功能。尽管Azure广告利用了OpenID连接和OAuth 2.0等现代身份验证和授权协议,但Azure补充道利用依赖Active Directory的传统协议,例如LDAP和Kerberos。Azure AD域服务会自动将身份从Azure广告同步到托管广告环境。

Azure增加会自动部署和管理Azure订阅上的高可用Active Directory域控制器。域控制器访问受到限制，您只能通过使用远程服务器管理工具部署管理实例来管理域。此外，在托管服务下，域管理员和企业管理员权限不可用。Azure补充道实例直接部署到订阅内的虚拟网络 (VNet)，资源可以部署到同一 VNet 或不同的 VNet 中。如果资源部署到其他 VNet，则必须通过 VNet 对等连接到 Azure ADD VNet。

Azure添加可以部署为用户林或资源林。对于此实施,我们将Azure添加部署为用户林,而不对外部本地广告环境配置信任。此外,Citrix虚拟应用程序和桌面服务资源将根据我们的CSP参考体系结构部署。

架构场景 1

此部署场景意味着以下注意事项：

• Azure的广告：
  • 适用于所有客户的共享Azure广告租户
• Azure补充道：
  • 面向所有客户的共享Azure添加实例
• 订阅：
  • 面向小客户的共享Azure订阅
  • 面向大型客户的专用Azure订阅
• 网络连接：
  • 联接对等从专用订阅到Azure补充道连接的共享订阅

架构场景 2

此部署场景意味着以下注意事项：

• Azure的广告：
  • 适用于所有客户的共享Azure广告租户
  • 面向大型客户的专用Azure广告租户
• Azure补充道：
  • 面向所有客户的共享Azure添加实例
• 订阅：
  • 面向小客户的共享Azure订阅
  • 面向大型客户的专用Azure订阅
• 网络连接：
  • 联接对等从专用订阅到Azure补充道连接的共享订阅

架构场景 3

此部署场景意味着以下注意事项：

• Azure的广告：
  • 适用于所有客户的共享Azure广告租户
  • 面向大型客户的专用Azure广告租户
• Azure补充道：
  • 面向小型客户的共享Azure添加实例
  • 面向大型客户的专用Azure添加实例
• 订阅：
  • 面向小客户的共享Azure订阅
  • 面向大型客户的专用Azure订阅
• 网络连接：
  • 没有从专用订阅到共享订阅的联接对等

Azure资源层次结构

设计和组织Azure订阅资源时,请考虑以下资源层次结构:

初步假设

Azure添加

• Azure广告租户存在
• Azure订阅存在
• 具有以下权限的Azure广告帐户可用:
  • Azure广告:全局管理员
  • 订阅：贡献者
• Azure增加将作为独立用户林部署,不会配置任何信任
• 虽然这是可能的,但现有广告用户将不会通过Azure广告连接进行同步
• 将部署自助服务密码重置以强制重置密码以进行密码哈希同步

Citrix云

• CitCitrix云订阅可用
• 将部署Citrix云连接器
• 将部署VDA主映像
• Azure托管连接将被配置
• 将配置计算机目录和交付组

术语

以下是你需要理解的最常见的Azure术语,如Azure文档中所述:

• Azure订阅:Azure订阅是与微软签订的使用Azure服务的协议。账单与基于所使用的资源的订阅相关联，如果没有订阅，则无法部署资源。通过订阅，您可以组织对资源的访问。订阅类型包括试用版、即用即付、企业协议和 MSDN，每种订阅类型都可以有不同的付款设置。Azure 订阅必须与 Azure AD 租户绑定。
• Azure的广告:Azure广告是微软面向用户,组和设备的基于云的身份管理服务。Azure的广告不能被视为传统 Active Directory 域服务的替代品，因为它不支持 LDAP 或 Kerberos。多个 Azure 订阅可以绑定到单个 Azure AD 租户。Azure AD 提供不同类型的许可证（免费、高级版 1 和高级版 2），这些许可证根据许可级别提供不同的功能。
• 管理组：Azure管理组是允许你跨多个订阅管理访问,策略和合规性的容器。管理组可以包含订阅或其他管理组。
• Azure RBAC:Azure RBAC用于管理Azure资源的授权。Azure RBAC包含70多个内置角色,允许你创建自定义角色以根据自己的要求管理资源的授权。权限从管理组级联到订阅、资源组的订阅以及从资源组到资源组的级联。所有者RBAC角色为Azure资源提供最高级别的权限,还允许你管理其他用户的资源权限。
• Azure广告角色:Azure广告角色用于管理与Azure广告相关的操作,例如创建用户,组,应用程序注册,与API的交互等。全局管理员角色授予Azure广告中最高级别的授权,包括访问所有Azure广告功能,管理角色和其他用户的许可等。全局管理员角色会自动分配给首先创建Azure广告租户的用户。
• 自定义Azure AD域:所有新广告的Azure租户都在onmicrosoft.com域下创建,可以通过向域注册商验证所有权来配置自定义域。
• 资源组：资源组是逻辑容器,用于在Azure中组织资源并通过RBAC管理其权限。通常，资源组中的资源共享类似的生命周期。资源组不能包含其他资源组，除非指定资源组，否则无法创建 Azure 资源。资源组部署到 Azure 区域时，它可以包含来自不同区域的资源。
• 联接:Azure联接是一种软件定义的网络,允许你在Azure中的隔离地址空间下管理和部署资源。VNet允许资源与同一联接,互联网,其他联接中的资源或本地的其他资源进行通信。联接的访问是通过网络安全组保护的,您还可以通过实施用户定义的路由来配置路由。Azure联接是第3层叠加层,因此他们无法理解VLAN或GARP等任何第2层语义。所有联接都包含一个主地址空间,并且必须至少包含一个带有地址空间的子网。联接中的虚拟机 IP 未连接到实际的虚拟机实例，它们被分配给作为独立资源进行管理的虚拟机网卡。
• 联接对等互连:对等互连允许2个VNet通过Azure骨干进行连接和通信,而传统的联接到VNet连接则通过公共互联网路由流量。凝视允许低延迟,可以在不同区域,不同的订阅甚至不同的Azure广告租户之间进行配置。默认情况下，对等连接是非传递的，需要高级配置才能更改此行为。在中心和分支架构中,辐射式联接只能与中心通信,但无法与其他辐条中的资源进行通信。
• 网络安全组：网络安全组(NSG)是一组规则,使您能够控制对VNET内资源的入站和出站访问,这些资源可以附加到子网或网卡。网络安全组内的入站和出站规则是独立管理的，所有规则的优先级必须为 100 和 4096。默认情况下,网络安全组包括一组默认规则,允许同一联接中的资源之间的流量,出站网络访问等。网络安全组与操作系统级防火墙配置没有任何关系，作为经验法则，建议在设计网络安全组时采用零信任方法。
• 应用程序注册：应用程序注册是允许外部应用程序与Azure API交互的Azure广告帐户。创建应用程序注册后,Azure广告会生成应用程序ID和密码,充当用户名和密码。在此实施中,将创建应用程序注册,以允许Citrix云与Azure交互并执行计算机创建和电源管理任务。

Azure添加注意事项

• Azure广告自动同步来自Azure广告的用户身份
• 从Azure广告到Azure增加的同步工作,而不是相反的方式
• 它可以利用在云中创建的用户,也可以利用通过Azure广告连接同步的用户
• Azure广告连接无法安装在Azure添加环境中以将对象同步回Azure广告
• LDAP写入函数仅适用于直接在添加上创建的对象,不适用于从Azure广告同步的用户
• Azure添加只能用作独立域(一个林,仅限一个域),而不能用作本地域的扩展
• 该服务部署在Azure可用区域(如果可用)
• 默认情况下Azure添加作为用户林部署,在撰写本文时,资源林部署模型处于预览状态
• 对于从Azure广告同步的用户,密码哈希在用户重置密码之前不会同步,Azure自助服务密码重置用于帮助用户重置密码。
• 在部署Azure添加实例时创建的AAD直流管理员组无法在ADUC内编辑。AAD直流管理员组只能从Azure控制台的Azure广告组中进行编辑
• 对于从Azure广告同步的用户:
  • 无法从ADUC控制台重置密码
  • 无法移动到其他OU
  • 这些用户通常用于作为CSP管理Azure添加实例,最终客户用户可以在ADUC内部创建
• GPO可以创建并链接到预先创建的AADC计算机和AADC用户组织单位,而不是其他预先创建的OU
  • 您可以创建自己的OU结构并部署GPO
  • 无法创建域和站点级别的GPO
• 通过在新欧上使用控制委派向导可以实现OU锁定
  • 不适用于预先创建的OU

登录过程注意事项

Azure补充说会从创建的Azure广告租户中同步用户帐户。它包括使用自定义域创建的帐户,使用初始onmicrosoft.com域创建的帐户以及B2B帐户(作为访客添加到Azure广告的外部帐户)。根据用户帐户的类型，用户将有不同的登录体验：

• 自定义域帐户：
  • 使用隐喻(user@domain.com)登录:登录成功
  • 使用NetBIOS(域\用户)登录:登录成功
• 在微软域名帐户：
  • 使用隐喻(user@domain.onmicrosoft.com)登录:登录失败(1）
  • 使用NetBIOS(域\用户)登录:登录成功（2)
• B2B帐户(来宾):
  • 使用隐喻(user@domain.com)登录:登录失败
  • 使用NetBIOS(域\用户)登录:登录失败（3)

注意：
(1）Azure添加上不允许添加备用UPN名称,因此这些用户无法通过UPN登录。

(2)这可以正常工作,因为NetBIOS名称对所有用户都是相同的。

(3)这些用户无法针对Azure添加进行身份验证,即使他们已同步,Azure无权访问其密码哈希。

实现

Azure组件

第1步骤:为Azure创建资源组补充道

1 -在Azure门户菜单上,选择资源组,然后单击添加

注意事项：

• 此步骤假定已创建Azure订阅并准备好部署资源。

2 -在“基本信息”选项卡上,输入以下信息,然后单击”查看 + 创建”

• 订阅
• 资源组名称
• 资源组区域

3-在评论 + 创建选项卡上，单击创建

注意事项：

• 重复这些步骤为客户资源、网络等创建资源组。
• 或者,您可以预先创建供Citrix计算机创建服务使用的资源组。计算机创建服务(MCS)只能使用空资源组。

第二步骤:创建Azure添加联接

1 -在Azure门户菜单上,选择虚拟网络，然后单击添加。

2 -在“基本信息”选项卡上,输入以下信息,然后单击”下一步:IP地址：

• 订阅
• 资源组名称
• VNET名称
• VNET地区

3 -在“IP地址”选项卡上,输入以下信息,然后单击”下一步：安全性：

• IPv4地址空间
• 添加子网

注意事项：

• 根据您的网络设计决策添加子网。在这种情况下,我们将为补充道服务添加一个子网,以及共享基础架构资源(包括Citrix云连接器,主映像等等)的子网。

4-在安全选项卡上，根据需要配置DDoS和防火墙，然后单击查看 + 创建

5 -在“查看+创建“选项卡上,单击”创建”。

注意事项：

• 重复这些步骤以在同一订阅或任何其他订阅中创建客户网络。

第三步骤:配置VNet凝视

1 -在Azure门户菜单上,选择虚拟网络,然后选择将在其中部署的补充道联接。

注意事项：

• 对于此实施，网络是在中心和分支架构中设计的。联接对等互连将从 Azure ADDS 网络（中心）配置到客户网络（辐条）。
• 默认情况下,联接对等体不是传递的,因此,除非故意配置，否则分支网络无法相互通信。
• 如果在不同的Azure订阅和Azure广告租户上对等网络:
  • 用户必须在相反订阅中添加为访客用户,并授予对等网络的RBAC权限。
  • 必须在两端正确配置网络安全组。

2 -在VNET刀片式服务器上,单击凝视和添加。

3-在添加对等互连刀片上，输入以下信息：

• 从源联接到目标联接的对等互连的名称
• 订阅
• 目标虚拟网络
• 从目标联接到源联接的对等互连的名称

4 -向下滚动并单击”确定”

注意事项：

• 重复这些步骤以对等其他客户（分支）网络。

第四步骤:创建Azure AD域服务实例

1 -在Azure搜索栏上,键入域服务，然后单击Azure AD域服务

2 -在Azure AD域服务页面上,单击+ 添加。

3 -在“基础”选项卡上,输入以下信息,然后单击”下一步”:

• 订阅
• 资源组名称
• DNS域名
• 地理区域
• SKU
• 森林类型

注意事项：

• AAD DS实例区域必须与您在之前步骤中预先创建的网络的区域相匹配。
• 用户林是Azure添加上的默认林类型,它们将所有Azure广告用户帐户同步到Azure补充道,以便他们根据Azure添加实例进行身份验证。此模型假定用户密码哈希可以同步。
• 资源林：是最近支持的森林类型，已预览。在此部署模型下,Azure补充道用于管理计算机帐户。单向信任是从Azure ADD(信任域)配置到本地广告环境(受信任域)的。使用此配置,本地环境中的用户帐户可以登录到Azure中托管的加入到Azure添加域的资源。这种类型的林假定已配置到本地域的网络连接。

4 -在“网络”选项卡上,输入以下信息,然后单击”下一步”:

• 虚拟网络
• 子网

5-在管理选项卡上，单击管理组成员资格

6-在成员刀片上，单击+ 添加成员

7 -在添加成员刀片上,搜索要添加为AAD直流管理员组成员的帐户。

8-添加用户后，单击选择

9 -返回“管理”选项卡,单击”下一步”

注意事项：

• AAD直流管理员组成员资格只能从Azure广告进行管理,无法通过Azure添加实例的ADUC控制台进行管理。

10-在同步选项卡上，单击下一步

注意事项：

• 通过选择范围的同步类型,可以选择此页面来选择要同步到Azure添加的Azure广告对象。

11-在评论选项卡上，单击创建

12-在确认弹出窗口中，单击确定

注意事项：

• 创建Azure添加实例的过程最多可能需要1小时。

第五步骤:为Azure配置DNS添加联接

1 -创建Azure添加实例后,在更新虚拟网络的DNS服务器设置下，单击配置

注意事项：

• 此步骤将自动配置创建Azure添加实例的联接的DNS设置(中心网络)。配置完成后,所有DNS查询都将转发到受管域控制器。
• 客户网络(辐条)必须手动更新其DNS设置。

第六步骤:为客户网络配置DNS

1 -在Azure门户菜单上,选择虚拟网络,然后选择你的客户(辐条)联接。

2 -在VNET刀片式服务器上,单击DNS服务器，选择自定义,输入受管域控制器的IP地址,然后单击保存

注意事项：

• 对每个客户(分支式)联接以及与托管Azure添加实例的联接对等的任何其他外部VNET重复这些步骤。

第七步骤:配置自助服务密码重置(SSPR)

1 -在Azure门户菜单上,选择Azure活动目录，然后单击密码重置

注意事项：

• 当蔚蓝广告用户最初同步到Azure增加时,他们的密码哈希不会同步,因此,用户必须重置密码才能进行此操作。SSPR用于允许用户以简单而安全的方式重置密码。
• 在执行此步骤之前,针对Azure补充说的用户身份验证不起作用。
• 只有在之前未配置SSPR的情况下,才需要执行启用SSPR的步骤。
• 仅当Azure广告用户是从Azure门户管理的(而不是通过Azure广告连接从内部广告同步的用户)时,才需要执行此步骤。对于通过Azure广告连接从本地广告同步的用户,请按照以下步骤操作。

2-在属性刀片上，选择全部，然后单击保存。

注意事项：

• 您可以选择选择“已选定”以仅对一部分用户启用SSPR。
• 用户下次登录时,他们将被迫注册到SSPR。

第8步骤:SSPR用户注册流程

1-当用户登录时，他们将被重定向到SSPR注册屏幕并配置身份验证方法。

注意事项：

• 可以在Azure门户的SSPR配置刀片上选择SSPR身份验证方法。
• 在本示例中,已使用基本设置启用了SSPR,这需要配置电话和电子邮件。

2 -一旦用户输入身份验证信息,SSPR注册过程就完成。

3-用户现在可以导航自助服务密码重置到重置密码。

注意事项：

• 完成此步骤并且用户重置密码后,密码哈希将从Azure广告同步到Azure补充道。
• 对于已同步的用户,无法使用ADUC重置密码。

第9步骤:创建广告管理虚拟机

1 -在Azure门户菜单上,选择虚拟机，然后单击添加

2 -在“基础”选项卡上,输入以下信息,然后单击”下一步：磁盘：

• 订阅
• 资源组
• 虚拟机名称
• 地理区域
• 可用性选项
• 图片
• 大小
• 管理员帐户详情

3-在磁盘选项卡上，输入操作系统磁盘类型，然后单击下一步：网络连接

4-在网络选项卡上，配置以下信息，然后单击下一步：管理：

• 虚拟网络
• 子网
• 公共知识产权（如果适用）
• 网络安全组

5-在管理选项卡上，配置以下信息，然后单击下一步：高级：

• 监视
• 自动关机
• 备份

6 -在“高级”选项卡上,保留默认设置,然后单击”下一步：标签”

7-在标签选项卡上，为虚拟机实例创建任何必需的标签，然后单击下一步：查看 + 创建

8-在查看 + 创建选项卡上，确保所有信息都正确，然后单击创建

注意事项：

• 重复上述步骤以创建所有其他虚拟机：云连接器、主映像等等。

步骤 10：将管理虚拟机加入域

1 -通过RDP连接到实例并打开服务器管理器,然后单击添加角色和功能

2-在添加角色和功能向导中，添加以下功能：

• 角色管理工具
• 添加和像工具
• 适用于Windows PowerShell的Active Directory模块
• AD DS工具
• AD DS管理单元和命令行工具
• 组策略管理控制台(GPMC)
• DNS管理器

3 -安装完成后,将虚拟机加入Azure添加域。

注意事项：

• 重复上述步骤,将所有其他虚拟机加入Azure添加域。
• 只有用于管理Azure添加实例的虚拟机才需要安装RSAT工具。
• 在尝试执行这些步骤之前,请确保用于将虚拟机加入Azure添加域的用户帐户的密码已重置。

步骤11:创建Azure广告应用程序注册

1 -在Azure门户菜单上,选择Azure Active Directory >应用注册> +新注册

2-在注册应用程序刀片上，输入以下信息，然后单击注册：

• 应用程序名称
• 支持的账户类型
• 重定向URL
  • 网络
  • https://citrix.cloud.com

3-在概览刀片上，将以下值复制到记事本：

• 应用程序(客户端)ID
• 目录(租户)ID

注意事项：

• 稍后将在为Citrix MCS创建托管连接以管理Azure资源时使用应用程序ID和目录ID值。

4-点击证书和秘密然后+ 新客户端密钥

5-在添加客户端密钥弹出窗口中，输入描述和过期，然后单击添加

6-返回证书和密钥屏幕，复制客户端密码的值

注意事项：

• 尽管客户端ID充当应用程序注册的用户名,但客户端密钥充当密码。

7-点击API权限然后添加权限

8 -在请求API权限刀片上,在我的组织使用的API下搜索Windows Azure，然后选择Windows Azure活动目录

9 -在Azure Active Directory图形API刀片上,选择委派权限，分配读取所有用户的基本配置文件权限，然后单击添加权限

10 -返回请求API权限刀片,在我的组织再次使用搜索Windows Azure下的API,然后选择Windows Azure服务管理API

11 -在Azure服务管理API刀片上,选择委派权限，将访问Azure服务管理作为组织用户分配权限，然后单击添加权限

12 -在Azure门户菜单上,单击订阅并复制订阅ID的值

注意事项：

• 复制用于通过Citrix MCS管理资源的所有订阅的值。每个Azure订阅的托管连接必须独立配置。

13-选择您的订阅，然后选择访问控制(IAM) > +添加>添加角色分配

14-在添加角色分配刀片上，将参与者角色分配给新应用程序注册，然后单击保存

注意事项：

• 重复此步骤可将参与者权限添加到任何其他订阅的注册中。
• 如果使用属于单独Azure广告租户的辅助订阅,则必须配置新的应用程序注册。

Citrix组件

第1步骤:安装云连接器

1 -通过RDP连接连接器到云虚拟机,然后使用网页浏览器导航到Citrix云。输入您的Citrix云凭据,然后单击登录

2-在域名下，点击添加新

3 -在“身份和访问管理”下的域选项卡上,单击+ 域

4 -在添加云连接器窗口中,单击下载

5 -将cwcconnector.exe文件保存到实例中。

6-右键单击cwcconnector.exe文件，然后选择以管理员身份运行

7 -在Citrix云连接器窗口中,单击登录

8-在登录窗口中，输入您的Citrix云凭据，然后单击登录

9 -安装完成后,单击”关闭”

注意事项：

• 云连接器安装最多可能需要5分钟的时间。
• 每个资源位置必须至少配置 2 个云连接器。

第二步骤:配置VDA主映像

1 -通过RDP连接到Citrix VDA主映像虚拟机,然后使用网页浏览器导航Citrix下载并下载最新的Citrix VDA版本

注意事项：

• 下载VDA软件需要Citrix凭据。
• 可以安装LTSR或CR版本。
• 必须为服务器和桌面操作系统计算机下载单独的VDA安装程序。

2 -右击VDA安装程序文件,然后选择以管理员身份运行

3-在环境页面上，选择创建主MCS映像

4-在核心组件页面上，单击下一步

5-在其他组件页面上，选择最适合您的要求的组件，然后单击下一步

6 -在交付控制器页面上,输入以下信息,然后单击下一步：

• 选择“手动执行”
• 输入每个云连接器的FQDN
• 单击测试连接然后单击添加

7-在功能页面上，根据部署需求选中要启用的功能的复选框，然后单击下一步

8-在防火墙页面上，选择自动，然后单击下一步

9-在摘要页面上，确保所有详细信息都正确无误，然后单击安装

10-虚拟机将在安装过程中重新启动

11-安装完成后，在诊断页面上，选择最适合您的部署需求的选项，然后单击下一步

12 -在“完成“页面上,确保选中”重启计算机”,然后单击”完成”

第三步骤:创建Azure托管连接

1 -在Citrix云汉堡包菜单上,导航到我的服务>虚拟应用程序和桌面

2-在管理下，选择完整配置

3 -在Citrix工作室中,导航到Citrix工作室>配置>托管，然后选择添加连接和资源

4-在连接页面上，单击创建新连接旁边的单选按钮，输入以下信息，然后单击下一步：

• 连接类型
• Azure环境

5-在连接详细信息页面上，输入以下信息，然后单击使用现有信息：

• 订阅ID
• 连接名称

6-在现有服务主体页面上，输入以下信息，然后单击确定：

• 活动目录ID
• 应用程序ID
• 应用程序机密

7-返回连接详细信息页面，单击下一步

8 -在区域页面上,选择部署云连接器和共识的区域,然后单击下一步

9-在网络页面上，输入资源的名称，选择适当的虚拟网络和子网，然后单击下一步

10 -在“摘要“页面上,确保所有信息正确无误,然后单击”完成”

步骤 4：创建计算机目录

1 -在Citrix工作室中,导航到Citrix工作室>计算机目录，然后选择创建计算机目录

2-在简介页面上，单击下一步

3-在操作系统页面上，选择适当的操作系统，然后单击下一步

注意事项：

• 随后的屏幕将根据在此页面中选择的操作系统类型而略有不同。

4-在计算机管理页面上，选择以下信息，然后单击下一步：

• 计算机目录将使用：受电源托管的计算机
• 使用:Citrix计算机创建服务(MCS)部署计算机
• 资源:选择你的Azure托管连接

5-在桌面体验页面上，选择最适合您的要求的选项，然后单击下一步

6 -在主映像页面上,选择主映像,功能级别(VDA版本),然后单击下一步

7-在存储和许可证类型上，选择最适合您的要求的选项，然后单击下一步

8-在虚拟机页面上，配置要部署的虚拟机数量、机器大小，然后单击下一步

9 -在“写回缓存”页面上,选择写缓存选项,然后单击下一步

10 -在资源组页面上,选择为Citrix MCS资源创建新资源组或使用预先创建的资源组。

注意事项：

• 现有资源组列表中仅显示空资源组。

11-在网络接口卡页面上，根据需要添加网卡，然后单击下一步

12 -在Active Directory计算机帐户页面上,配置以下选项,然后单击下一步：

• 账户选项:创建新广告的账户
• 域：选择你的域
• 或者:存储计算机帐户的你
• 命名方案：要使用的命名约定

注意事项：

• 数字将取代命名方案上的英镑标志
• 创建命名方案时,请注意NetBIOS的15个字符限制

13-在域凭证页面上，单击输入凭据

14 -在Windows安全弹出窗口中,输入域凭据,然后单击确定

15-在摘要页面上，输入名称和描述，然后单击完成

步骤 5：创建交付组

1 -在Citrix工作室中,导航到Citrix工作室>交付组，然后选择创建交付组

2-在入门页面上，单击下一步

3-在计算机页面上，选择计算机目录、计算机数量，然后单击下一步

4-在用户页面上选择一个身份验证选项，然后单击下一步

5-在应用程序页面上，单击添加

6-在添加应用程序页面上，选择要发布的应用程序，然后单击确定

注意事项：

• 虽然大多数应用程序将通过开始菜单显示，但您也可以选择手动添加应用程序
• 如果您不需要发布无缝应用程序，则可以跳过此步骤。

7-返回应用程序页面，单击下一步

8-在桌面页面上，单击添加

9-在添加桌面页面上，配置桌面，然后单击确定

注意事项：

• 如果您不需要发布完整的桌面，则可以跳过此步骤。

10-返回桌面页面，单击下一步

11-在摘要页面上，输入名称和描述，然后单击完成