VDA登记
介绍
注意:
在内部环境中,VDAs向交付控制器注册。在Citrix云服务环境中,VDAs向云连接器注册。在混合环境中,一些VDAs注册到交付控制器,而另一些则注册到云连接器。
在使用VDA之前,它必须注册(建立通信)站点上的一个或多个控制器或云连接器。VDA通过检查名为ListofDDCs.的ListOfDDCs包含DNS条目,该条目将VDA指向站点上的控制器或云连接器。为了实现负载平衡,VDA会自动将连接分布到列表中的所有控制器或云连接器。
为什么VDA注册如此重要?
- 从安全角度来看,注册是一项敏感的操作。您正在控制器或云连接器与VDA之间建立连接。对于这样一个敏感的操作,预期的行为是在一切都不完美的情况下拒绝连接。您正在有效地建立两个独立的通信通道:VDA到控制器或云连接器,以及控制器或云连接器到VDA。连接使用Kerberos,因此时间同步和域成员身份问题是不可原谅的。Kerberos使用服务主体名称(SPN),因此不能使用负载平衡的IP\hostname。
- 如果在添加和删除控制器(或云连接器)时,VDA没有准确和当前的控制器或云连接器信息,则VDA可能会拒绝由未列出的控制器或云连接器代理的会话启动。无效的表项会延迟虚拟桌面系统软件的启动。VDA不会接受来自未知和不受信任的控制器或云连接器的连接。
除了ListofDDCs,列表(安全ID)指示系统中的哪些计算机ListofDDCs是可信的。的列表可用于减少Active Directory上的负载或避免来自受损DNS服务器的可能安全威胁。有关更多信息,请参见列表.
如果一个ListofDDCs指定多个控制器或云连接器,VDA尝试以随机顺序连接到它们。在本地部署中,ListofDDCs也可以包含控制器组。VDA在移动到组中的其他条目之前,会尝试连接到组中的每个控制器ListofDDCs.
Citrix虚拟应用程序和台式机在VDA安装期间自动测试与已配置控制器或云连接器的连接。如果无法连接到控制器或云连接器,则会显示错误。如果忽略无法联系控制器或云连接器的警告(或在VDA安装期间未指定控制器或云连接器地址),则会出现消息提醒您。
配置控制器或云连接器地址的方法
管理员选择VDA首次注册(初始注册)时使用的配置方法。在初始注册期间,将在VDA上创建持久缓存。在后续注册期间,VDA将从此本地缓存检索控制器或云连接器列表,除非检测到配置更改。
在后续注册期间检索该列表的最简单方法是使用自动更新功能。默认情况下启用自动更新。有关详细信息,请参见自动更新。
在VDA上配置控制器或云连接器地址有几种方法。
- 基于策略(LGPO或GPO)
- 基于注册表(手动,组策略首选项(GPP),在VDA安装期间指定)
- 基于Active Directory OU的(遗留OU发现)
- MCS-based (personality.ini)
安装VDA时指定初始注册方法。(如果禁用自动更新,则VDA安装期间选择的方法将用于后续注册。)
下图显示了传送控制器页面。
基于策略(LGPO \ GPO)
思杰建议在初始注册VDA时使用GPO。它具有最高的优先级。(尽管自动更新被列为最高优先级,但自动更新仅在初始注册后使用。)基于策略的注册提供了使用组策略进行配置的集中优势。
要指定此方法,请完成以下两个步骤:
- 在传送控制器页面在VDA安装向导中,选择以后再做(高级).向导多次提醒您指定Controller地址,即使您没有在VDA安装期间指定它们。(注册VDA很重要。)
- 启用或禁用基于策略的VDA注册通过Citrix策略
虚拟传递代理设置>控制器设置。(如果安全是你的首要任务,使用>控制器sid设置。)
此设置存储在HKLM\Software\Policys\Citrix\VirtualDesktopAgent(ListOFDDC).
基于注册
要指定此方法,请完成以下步骤之一:
- 在传送控制器页面在VDA安装向导中,选择手动操作. 然后,输入已安装控制器的FQDN,然后单击添加. 如果安装了更多控制器,请添加它们的地址。
- 对于命令行VDA安装,请使用/controllers选项并指定已安装控制器或云连接器的FQDN。
此信息存储在注册表值中ListOfDDCs在注册表键HKLM \ Software \ Citrix \ VirtualDesktopAgent或HKLM \ Software \ Wow6432Node \ Citrix \ VirtualDesktopAgent.
您也可以手动配置注册表项或使用组策略首选项(GPP)。此方法可能比基于策略的方法更好(例如,如果您想对不同的controller或Cloud Connectors进行条件处理,例如:对以XDW-001-开头的计算机名称使用XDC-001)。
更新ListOfDDCs注册表项,列出站点中所有控制器或云连接器的FQDN。(此密钥相当于Active Directory站点OU。)
HKEY\U LOCAL\U MACHINE\Software\Citrix\VirtualDesktopAgent\Listofdcs(注册号SZ)
如果HKEY_LOCAL_MACHINE \ \ Citrix \ VirtualDesktopAgent软件注册表位置包含两个ListOfDDCs和FarmGUID钥匙,ListOfDDCs用于控制器或云连接器发现。FarmGUID如果在VDA安装期间指定了站点OU,则存在。(这可能在遗留部署中使用。)
可选地,更新列表注册表项(有关更多信息,请参见列表:
HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ ListOfSIDs (REG_SZ)
请记住:如果您还通过Citrix策略启用基于策略的VDA注册,将覆盖您在VDA安装期间指定的设置,因为它是一个更高优先级的方法。
基于Active Directory ou的(遗留)
支持此方法主要是为了向后兼容,不推荐使用。如果您仍在使用它,Citrix建议更改为另一种方法。
要指定此方法,请完成以下两个步骤:
- 在传送控制器页面在VDA安装向导中,选择从活动目录中选择位置。
- 使用
Set-ADControllerDiscovery.ps1脚本(可在每个控制器上使用)。另外,配置FarmGuid每个VDA上的注册表项指向右侧OU。可以使用组策略配置此设置。
有关详细信息,请参见基于Active Directory ou的发现.
基于MCS的
如果只计划使用MCS发放虚拟机,可以指示MCS设置controller或Cloud Connectors列表。此功能适用于自动更新。在创建目录时,MCS将控制器或云连接器列表注入个性初始配置期间的文件。自动更新保持列表当前。
不建议在大型环境中使用此方法。你可以使用这个方法,如果你:
- 小环境
- 不会在站点之间移动VDAs
- 仅使用MCS配置虚拟机
- 不想使用组策略
要指定此方法,请在传送控制器页面在VDA安装向导中,选择让机器创造服务公司来做吧.
评论和建议
最佳实践:
- 使用组策略注册方法进行初始注册。
- 使用自动更新(默认情况下启用)使控制器列表保持最新。
- 在多区域部署中,使用Group Policy进行初始配置(至少有两个controller或Cloud Connectors)。将VDAs指向位于其区域内的本地控制器或云连接器。使用自动更新使它们保持最新。自动更新自动优化
ListofDDCs用于卫星区域中的VDA。 在服务器上列出多个控制器
ListOfDDCs注册表项,由空格分隔,用于在控制器不可用时防止注册问题。例如:DDC7x.xd。当地DDC7xHA.xd。本地32位:HKEY_LOCAL_MACHINE \Software\Citrix\VirtualDesktopAgent\ListOfDDCs (REG_SZ)- 确保下面列出的所有值
ListofDDCs映射到有效的完全限定域名以防止启动注册延迟。
自动更新
默认情况下启用自动更新(在XenApp和XenDesktop 7.6中引入)。这是保持VDA注册最新的最有效方法。虽然不用于初始注册,但自动更新软件下载并存储ListofDDCs在VDA上的持久缓存中。这个过程是为每个VDA完成的。缓存还保存机器策略信息,以确保在重新启动时保留策略设置。
当使用MCS或Citrix资源调配来调配计算机时,支持自动更新,Citrix资源调配服务器端缓存除外。服务器端缓存不是常见的场景,因为没有用于自动更新缓存的持久存储。
要指定此方法:
- 通过包含该设置的Citrix策略启用或禁用自动更新
虚拟交付代理设置>启用控制器自动更新. 默认情况下,此设置处于启用状态。
工作原理:
- 每次VDA重新注册时(例如,在机器重新启动后),缓存就会更新。每个Controller或Cloud Connector也每90分钟检查一次站点数据库。如果自上次检查以来添加或删除了控制器或云连接器,或者发生了影响VDA注册的策略更改,控制器或云连接器将向其注册的VDA发送更新列表,并更新缓存。VDA接受来自其最近缓存列表中的所有控制器或云连接器的连接。
- 如果VDA收到一个不包括它注册的控制器或云连接器的列表(换句话说,控制器或云连接器已从站点中删除),VDA将重新注册,并在控制器或云连接器中进行选择
ListofDDCs.
例子:
- 一个部署有三个控制器:A、B和c。VDA向控制器B注册(在安装VDA时指定)。
- 随后,站点添加了两个控制器D和E。在90分钟内,VDAs接收更新的列表,然后接受来自控制器A、B、C、D和e的连接(负载不会均匀地分布到所有控制器,直到VDAs重新启动)。
- 随后,控制器B被转移到其他站点。在90分钟内,原始站点的VDAs收到了更新的列表,因为自上次检查以来Controller发生了变化。最初注册到控制器B(不再在列表中)的VDA重新注册,在当前列表中的控制器(A、C、D和E)中进行选择。
在多区域部署中,卫星区域中的自动更新会首先自动缓存所有本地控制器。主区域的所有控制器都缓存在备份组中。如果卫星区域中没有可用的本地控制器,则尝试向主区域中的控制器注册。
如下面的示例所示,缓存文件包含主机名和安全id列表(列表).VDA不查询sid,减少了Active Directory的负载。
您可以使用WMI调用检索缓存文件。但是,它存储在一个只有SYSTEM帐户可读的位置。
重要的是:
此信息仅供参考之用。请勿修改此文件。对该文件或文件夹的任何修改都会导致不支持的配置。
Get-WmiObject -Namespace " Root\Citrix\DesktopInformation " -Class " Citrix_VirtualDesktopInfo " -Property " PersistentDataLocation "
如果需要手动配置列表出于安全原因(与减少Active Directory负载不同),您不能使用自动更新功能。有关详细信息,请参阅列表.
自动更新优先级异常
虽然自动更新通常在所有VDA注册方法中具有最高优先级,并覆盖其他方法的设置,但也有例外。这个非自动的缓存中的元素指定初始VDA配置方法。自动更新监视此信息。如果初始注册方法更改,则注册过程将跳过自动更新,并使用次高配置优先级的方法。当您将VDA移动到另一个站点时(例如,在灾难恢复期间),此过程可能会有所帮助。
配置注意事项
查看常见的VDA注册配置。
查看VDA注册步骤。
当配置可以影响VDA注册的项目时,请考虑以下事项。
控制器或云连接器地址
无论您使用哪种方法来指定控制器或云连接器,Citrix都建议使用FQDN地址。IP地址不被认为是受信任的配置,因为破坏IP比破坏DNS记录更容易。如果你填充列表您可以手动使用IP地址ListofDDCs. 但是,仍然建议使用FQDN。
负载平衡
如前所述,VDA会自动将连接分布到系统中的所有控制器或云连接器ListofDDCs. 故障切换和负载平衡功能内置于Citrix代理协议(CBP)中。如果您在配置中指定了多个控制器或云连接器,则如果需要,它们之间的注册会自动失败。通过自动更新,所有VDA都会自动进行自动故障切换。
出于安全考虑,不能使用网络负载均衡器,如Citrix ADC。VDA注册使用Kerberos相互身份验证,其中客户机(VDA)必须向服务(Controller)证明其身份。但是,控制器或云连接器必须向VDA证明其身份。这意味着VDA和Controller或Cloud Connector同时充当服务器和客户端。如本文开头所述,有两个通信通道:VDA到控制器/云连接器和控制器/云连接器到VDA。
此过程中的组件称为服务主体名称(SPN),它作为属性存储在Active Directory计算机对象中。当VDA连接到控制器或云连接器时,它必须指定要与谁通信。这个地址是一个SPN。如果使用负载平衡的IP,相互Kerberos身份验证将正确识别该IP不属于预期的控制器或云连接器。
有关详细信息,请参阅:
自动更新取代CNAME
自动更新特性替换了7.x之前的XenApp和XenDesktop版本中的CNAME (DNS别名)功能。从XenApp和XenDesktop 7开始,CNAME功能被禁用。使用自动更新代替CNAME。(如果必须使用CNAME,请参见CTX137960. 要使DNS别名一致工作,请不要同时使用自动更新和CNAME。)
控制器/云连接器组
在某些场景中,您可能希望分组处理Controllers或Cloud Connectors,首选一组,如果所有Controllers/Cloud Connectors都失败,则使用另一组进行故障转移。请记住,控制器或云连接器是从列表中随机选择的,因此分组可以帮助强制优先使用。
这些组用于单个站点(而不是多个站点)。
使用括号指定控制器/云连接器组。例如,对于四个控制器(两个主控制器和两个备份控制器),分组可能是:
(xdc - 001. - cdz。局域网xdc - 002. - cdz.lan) (xdc cdz——003.。局域网xdc - 004. - cdz.lan)
在本例中,首先处理第一组(001和002)中的控制器。如果两个控制器都失败,则处理第二组中的控制器(003和004)。
对于XenDesktop 7.0或更高版本,需要执行一个额外步骤才能使用注册组特色你需要禁止的启用控制器自动更新来自Citrix Studio的政策。
列表
VDA可以联系注册的控制器列表为ListofDDCs.VDA还必须知道应该信任哪些控制器;VDAs不会自动信任控制器ListofDDCs.的列表(安全ID)标识受信任的控制器。VDA尝试仅向受信任的控制器注册。
在大多数环境中列表是由ListofDDCs.您可以使用CDF跟踪来读取列表.
一般情况下,不需要手动修改列表. 有几个例外。前两个例外不再有效,因为有了更新的技术。
- 控制器的单独角色:在XenApp和XenDesktop 7.7中引入分区之前
列表在仅使用控制器子集进行注册时手动配置。例如,如果将XDC-001和XDC-002用作XML代理,并将XDC-003和XDC-004用作VDA注册,则在列表、XDC-003和XDC-004ListofDDCs. 这不是典型的或推荐的配置。不要在较新的环境中使用它。相反,使用分区。 - 减少Active Directory负载:在XenApp和XenDesktop 7.6中引入自动更新功能之前
列表用于减少域控制器上的负载。通过预先填充列表时,可以跳过DNS名称到sid的解析。但是,自动更新特性消除了这种工作的需要,因为这个持久缓存包含sid。Citrix建议启用自动更新功能。 - 安全:在某些高度安全的环境中,受信任控制器的SID是手动配置的,以避免来自受损DNS服务器的可能安全威胁。但是,如果执行此操作,还必须禁用自动更新功能。否则,将使用持久缓存中的配置。
因此,除非您有特定的原因,否则不要修改列表.
如果必须修改列表,创建一个名为SIDS列表(REG_SZ)下HKLM \ Software \ Citrix \ VirtualDesktopAgent.该值是受信任sid的列表,如果有多个,则用空格分隔。
在下面的示例中,一个Controller用于VDA注册(ListofDDCs),但是两个控制器用于代理(List ofsid)。
VDA注册期间的控制器搜索
当VDA尝试注册时,代理代理首先在本地域执行DNS查找,以确保可以到达指定的Controller。
如果初始查找没有找到Controller,代理代理可以在AD中启动一个回退自顶向下查询。该查询搜索所有域,并经常重复。如果Controller地址无效(例如,管理员在安装VDA时输入了错误的FQDN),该查询的活动可能会导致域控制器上的分布式拒绝服务(DDoS)情况。
以下注册表项控制代理在初始搜索期间找不到控制器时是否使用回退自顶向下查询。
HKEY_LOCAL_MACHINE \ Software \ \ Citrix \ VirtualDesktopAgent政策
- 姓名:
DisableDdcWildcardNameLookup - 类型:
德沃德 - 值:
1(默认)或0
当设置为1,则禁用回退搜索。如果对Controller的初始搜索失败,代理代理将停止查找。这是默认设置。当设置为0时,启用回退搜索。如果初始查找Controller失败,则启动自顶向下的回退搜索。
解决VDA注册问题
如前所述,在启动代理会话时,必须向交付控制器或云连接器注册VDA。未注册的VDA可能会导致其他可用资源的利用不足。VDA未注册有多种原因,管理员可以对其中许多原因进行故障排除。Studio在目录创建向导中以及创建传递组后提供疑难解答信息。
在创建机器目录期间识别问题:在目录创建向导中,添加现有计算机后,计算机帐户名列表将指示每台计算机是否适合添加到目录中。将鼠标悬停在每台机器旁边的图标上,以显示有关该机器的信息性消息。
如果消息识别出有问题的计算机,您可以删除该计算机(使用删除按钮),或添加机器。例如,如果一条消息表明没有获得关于某台机器的信息(可能是因为它从未注册过),您可以选择添加该机器。
目录的功能级别控制目录中的机器可以使用哪些产品功能。使用新产品版本中引入的功能可能需要新的VDA。设置功能级别将使目录中的计算机可以使用该版本(以及更高版本,如果功能级别不变)中引入的所有功能。但是,该目录中具有早期VDA版本的计算机将无法注册。
创建交付组后确定问题:创建交付组后,Studio将显示与该组关联的机器的详细信息。
传递组的详细信息窗格指示应注册但未注册的计算机数。换句话说,可能有一台或多台机器已通电且未处于维护模式,但当前未向控制器注册。查看“未注册,但应为”计算机时,请查看进行故障排除选项卡中的可能原因和建议的纠正措施。
有关VDA注册故障排除的更多信息
有关功能级别的更多信息,请参见VDA版本和功能级别.
有关VDA注册疑难解答的更多信息,请参阅CTX136668.
还可以使用Citrix Scout运行状况检查对VDA注册和会话启动进行故障排除。有关详细信息,请参见关于健康检查.