活动目录
身份验证和授权需要使用Active Directory。Active Directory中的Kerberos基础结构用于保证与交付控制器通信的真实性和机密性。有关Kerberos的信息,请参阅Microsoft文档。
的系统需求文章列出了林和域的支持的功能级别。要使用策略建模,域控制器必须在Windows Server 2003上运行到Windows Server 2012 R2。这不会影响域功能级别。
本产品支持:
- 单个Active Directory林中存在用户帐户和计算机帐户的部署。用户和计算机帐户可以存在于单个林中的任意域中。在这种类型的部署中,支持所有域功能级别和林功能级别。
- 部署时,用户帐户存在于与包含控制器和虚拟桌面计算机帐户的活动目录林中不同的活动目录林中。在这种类型的部署中,包含Controller和虚拟桌面计算机帐户的域必须信任包含用户帐户的域。可以使用森林信托或外部信托。在这种类型的部署中,支持所有域功能级别和林功能级别。
- 部署时,控制器的计算机帐户位于Active Directory林中,该Active Directory林与包含虚拟桌面计算机帐户的一个或多个额外Active Directory林不同。在这种类型的部署中,在包含控制器计算机帐户的域和包含虚拟桌面计算机帐户的所有域之间,必须存在双向信任。在这种类型的部署中,包含控制器或虚拟桌面计算机帐户的所有域都必须处于“Windows 2000本机”功能级别或更高版本。支持所有森林功能水平。
- 可写域控制器。不支持只读域控制器。
可选地,虚拟交付代理(VDAs)可以使用Active Directory中发布的信息来确定它们可以向哪些控制器注册(发现)。支持此方法主要是为了向后兼容,并且只有当vda与控制器位于同一个Active Directory林中时才可用。有关此发现方法的信息,请参见基于Active Directory ou的发现和CTX118976.
注意:
在配置网站后,请勿更改电源控制器的计算机名称或域成员身份。
在多个Active Directory林环境中部署
此信息适用于最低版本XenDesktop 7.1和XenApp 7.5。不适用于较早版本的XenDesktop或XenApp。
在具有多个森林的Active Directory环境中,如果有单向或双向信任,您可以使用DNS转发器或有条件的转发器进行名称查找和注册。要允许适当的Active Directory用户创建计算机帐户,请使用“控制向导”委派。有关此向导的详细信息,请参阅Microsoft文档。
如果在森林之间适当的DNS转发器,则DNS基础设施中不需要反向DNS区域。
的支持的方法如果VDA和Controller在不同的林中,无论Active Directory和NetBIOS名称是否不同,都必须使用key。使用以下信息将注册表项添加到VDA和交付控制器中:
警告:
不正确地编辑注册表可能会导致严重的问题,可能需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而导致的问题能够得到解决。请自行承担使用注册表编辑器的风险。在编辑注册表之前备份注册表。
在VDA中配置:HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ SupportMultipleForest.
- 名称:
支持的方法 - 类型:
REG_DWORD - 数据:
0 x00000001 (1)
在所有交付控制器上,配置:HKEY_LOCAL_MACHINE \ Software \ Citrix \ DesktopServer \ SupportMultipleForest.
- 名称:
支持的方法 - 类型:
REG_DWORD - 数据:
0 x00000001 (1)
如果DNS命名空间与Active Directory的不同之处,您可能需要反向DNS配置。
添加了一个注册表项,以避免在VDAs中启用NTLM身份验证,这比Kerberos更不安全。这个条目可以用来代替支持的方法条目,它仍然可以用于向后兼容。
在VDA中配置:HKEY_LOCAL_MACHINE \ Software \ \ Citrix \ VirtualDesktopAgent政策.
- 名称:
SupportMultipleForestDdcLookup - 类型:
REG_DWORD - 数据:
0 x00000001 (1)
此注册表项以双向信任多林环境执行DDC查找,允许您在初始注册过程中删除基于NTLM的身份验证。
如果在设置过程中存在外部信任,则listofsids.注册表项是必需的。的listofsids.如果Active Directory FQDN与DNS FQDN不同,或者包含域控制器的域具有与Active Directory FQDN不同的NetBIOS名称,则注册表项也是必要的。添加注册表项,使用以下信息:
对于VDA,找到注册表项HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ ListOfSIDs.
- 名称:
listofsids. - 类型:
REG_SZ - 数据:控制器的安全标识符(SID)。(SIDS包含在结果的结果中
get-brokercontroller.cmdlet。)
当存在外部信任时,在VDA上做以下更改:
- 找到文件
程序文件Citrix\虚拟桌面代理\broker .exe.config. - 把这个文件备份一份。
- 用文本编辑程序(如记事本)打开文件。
- 定位文本
allowntlm =“假”并将文本更改为allowNtlm = " true ". - 保存文件。
后添加listofsids.注册表项并编辑brokeragent.exe.config文件,重新启动Citrix桌面服务以应用更改。
支持的信任类型如下表所示:
| 信任类型 | 传递性 | 方向 | 本版本支持 |
|---|---|---|---|
| 父母和孩子 | 传递 | 双向 | 是的 |
| 树根 | 传递 | 双向 | 是的 |
| 外部 | Nontransitive | 单向或双向 | 是的 |
| 森林 | 传递 | 单向或双向 | 是的 |
| 捷径 | 传递 | 单向或双向 | 是的 |
| 领域 | 传递或非转变 | 单向或双向 | 没有 |
有关复杂活动目录环境的更多信息,请参见CTX134971.