基于Active Directory ou的控制器发现
支持此Delivery Controller发现方法主要是为了向后兼容,仅对Windows Desktop OS的VDAs有效,对Windows Server OS的VDAs无效。
有关允许VDA向控制器注册的其他方法(包括推荐的方法)的信息,请参阅VDA向控制器注册。
基于活动目录的发现要求站点中的所有计算机都是域的成员,控制器使用的域和桌面使用的域之间存在相互信任关系。使用该方法时,必须在每个桌面注册表中配置OU的GUID。
执行基于ou的发现控制器的命令Set-ADControllerDiscovery.ps1控制器上的PowerShell脚本(每个控制器都在$Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts文件夹中包含该脚本)。要运行该脚本,您必须在父OU上具有createcchild权限,并具有完全的管理权限。
创建站点时,如果希望桌面通过Active Directory在站点中发现控制器,则需要在Active Directory中创建相应的OU (Organizational Unit)。可以在包含计算机的林中的任何域中创建OU。作为最佳实践,OU也应在站点中包含控制器,但这不是强制或要求的。具有适当权限的域管理员可以将OU创建为空容器,然后将该OU的管理权限委托给Citrix管理员。
该脚本创建了几个基本对象。只创建和使用标准的Active Directory对象。没有必要扩展模式。
A Controllers安全组。站点中所有控制器的计算机帐户必须是此安全组的成员。只有控制器是此安全组的成员,站点中的桌面才能接受来自控制器的数据。
确保在运行VDA的所有虚拟桌面中,所有控制器都具有“从网络访问此计算机”的特权。您可以通过授予Controllers安全组此特权来实现这一点。如果控制器没有此权限,VDAs将不会注册。
服务连接点(SCP)对象,它包含关于站点的信息,比如站点名称。如果使用Active Directory用户和计算机管理工具来检查站点OU,则可能需要启用“视图”菜单中的“高级功能”来查看SCP对象。
名为RegistrationServices的容器,它是在Site OU中创建的。它为站点中的每个Controller包含一个SCP对象。每当Controller启动时,它都会验证SCP的内容并在必要时进行更新。
如果多个管理员可能在初始安装后添加和删除Controllers,那么他们需要在RegistrationServices容器上创建和删除子节点的权限,以及Controllers安全组上的Write属性的权限。这些权限会自动授予运行Set-ADControllerDiscovery的管理员。ps1脚本。域管理员或初始安装管理员可以授予这些权限,Citrix建议设置一个安全组来完成这一任务。
当您使用站点OU时:
- 只有在安装或卸载该软件时,或者控制器启动并需要更新其SCP中的信息时(例如,因为控制器被重命名或通信端口被更改),信息才会被写入Active Directory。缺省情况下,Set-ADControllerDiscovery。ps1脚本适当地设置站点OU中的对象的权限,让每个Controller对其SCP具有写访问权。Site OU中对象的内容用于建立桌面与控制器之间的信任关系。确保:
- 只有授权管理员才能使用安全组的访问控制列表(ACL)从Controllers安全组中添加或删除计算机。
- 只有授权的管理员和各自的控制器才能更改控制器的SCP中的信息。
- 如果您的部署使用复制,请注意潜在的延迟。有关详细信息,请参阅Microsoft文档。如果在多个Active Directory站点中有域控制器的域中创建Site OU,这一点尤其重要。根据桌面、控制器和域控制器的位置,在初始创建站点OU、安装或卸载控制器时对Active Directory所做的更改,或更改控制器名称或通信端口可能对桌面不可见,直到该信息被复制到适当的域控制器。这种复制延迟的症状包括桌面无法与控制器建立联系,因此无法用于用户连接。
- 此软件使用活动目录中的几个标准计算机对象属性来管理桌面。根据您的部署,存储在桌面的Active Directory记录中的机器对象的完全限定域名,可以作为返回给用户以建立连接的连接设置的一部分。请确保此信息与DNS环境中的信息一致。
要使用基于ou的控制器发现将控制器移动到另一个站点,请按照上面的方向移动控制器。从旧站点中删除Controller(步骤2)后,运行PowerShell脚本设置ADControllerDiscovery–同步.该脚本将OU与当前的controller集同步。加入现有站点(步骤3)后,在新站点中的任意控制器上运行相同的脚本。
基于ou的发现需要的权限
创建Site时,执行脚本的Citrix管理员必须具有Site OU上的创建对象(SCP、容器、安全组)的权限。
如果Site OU不存在,管理员也需要有创建Site OU的权限。Citrix建议AD域管理员预先创建该OU,并将权限委派给Citrix Site管理员身份。此外,该脚本还可以创建Site OU。为此,管理员需要在新OU的父OU上创建“创建OU”。但是,如前所述,Citrix不建议这样做。
稍后,要从站点添加或删除控制器,Citrix管理员必须具有从安全组添加/删除计算机以及创建/删除SCP的权限。
正常操作时,controller和vda需要对OU及其以下所有对象具有读权限。VDAs访问OU作为自己的机器标识;该机器标识至少需要OU中的读权限才能发现Controllers。Controller还需要在容器中设置自己的SCP对象的属性的权限。
将Citrix管理员的完全权限授予子ou将允许所有这些操作。但是,如果您的部署有更严格的安全需求(例如限制谁可以为哪个操作使用脚本),那么您可以使用delegate of Control向导来设置特定的权限。下面的示例过程授予创建站点的权限。
- 创建包含子对象(SCP、容器和安全组)的OU。
- 选择OU,然后右键单击并选择委托控制.
- 在“委派控制”向导中,为OU指定委派控制的域用户。
- 在要委派的任务页面,选择创建要委托的自定义任务.
- 在对象类型页,接受默认值此文件夹、此文件夹中的现有对象以及在此文件夹中创建新对象.
- 在权限页面中,选择编写和创建所有子对象复选框。
- 完成向导以确认权限。