VDA登録
はじめに
注:
オンプレミス環境でVDAを传送控制器に登録します。Citrix云サービス環境でVDAを云连接器に登録します。ハイブリッド環境では、一部のVDAが传送控制器に登録し、それ以外は云连接器に登録する場合があります。
VDAを使用するには、そのサイトの1.つまたは複数の控制器または云连接器に登録(接続を確立)する必要があります。VDAは名单
と呼ばれる一覧をチェックして控制器または连接器を見つけます。VDAの名单
には、そのVDAをサイトの控制器または云连接器にポイントする域名服务器エントリが含まれています。負荷分散のため、VDAは一覧のすべての控制器または云连接器で接続を自動的に分散させます。
VDA登録が重要な理由
- セキュリティの観点から,登録は慎重に行う必要があります。ControllerまたはCloud ConnectorとVDA間の接続を確立することになるからです。このように注意が必要な操作では、不完全なものが1つでもあればその接続を拒否する必要があります。実際には、2つの個別の通信チャネル(VDAからControllerまたはCloud Connector、ControllerまたはCloud ConnectorからVDA)を確立することになります。接続ではKerberosが使用されるため、時刻の同期およびドメインへの参加に関する問題は見過ごせないものになります。Kerberosではサービスプリンシパル名(SPN)が使用されるため、負荷分散されたIPやホスト名は使用できません。
- 控制器または云连接器の追加および削除は、VDAに正確かつ最新の控制器(または云连接器)の情報が設定されていないと、未登録の控制器または云连接器により仲介されたセッションの起動がVDAにより拒否される場合があります。また、無効なエントリにより、仮想デスクトップシステムソフトウェアの起動に遅延が生じることがあります。VDAでは、信頼されていない不明な控制器または云连接器からの接続は受け入れられません。
名单
に加えて、列表
(セキュリティID)により、名单
に記載されているどのマシンを信頼するかが指定されます。列表
は、活动目录での負荷を軽減したり、改ざんされた域名服务器サーバーからのセキュリティ上の脅威を防いだりするために使用できます。詳しくは、「列表“を参照してください。
名单
に複数の控制器または云连接器が指定されている場合、VDAはランダムな順序で接続を試行します。オンプレミスの展開では、名单
には控制器のグループを含めることもできます。VDAは,これらのグループ内の各控制器への接続を試行し,その後名单
のほかのエントリを試行します。
Citrix虚拟应用程序和桌面では,VDAのインストール中に構成済みの控制器または云连接器に対する接続が自動でテストされます。控制器または云连接器に接続できない場合は,エラーが表示されます。ControllerまたはCloud Connectorに接続できないことを示す警告を無視した場合(またはVDAのインストール中にControllerまたはCloud Connectorのアドレスを指定しなかった場合)は、メッセージが表示されます。
控制器または云连接器のアドレスの構成方法
VDAの初めての登録時(初回登録と呼びます)に、管理者は使用する構成方法を選択します。初回登録中に、VDA上に永続キャッシュが作成されます。以降の登録では、構成の変更が検出されない限り、VDAはこのローカルキャッシュから控制器または云连接器のリストを取得します。
以降の登録時にこのリストを取得する一番簡単な方法は,自動更新機能を使用することです。自動更新はデフォルトで有効になっています。詳しくは”,自動更新“を参照してください。
VDAで控制器または云连接器のアドレスを構成する方法は複数存在します。
- ポリシーベース(LGPO)またはGPO)
- レジストリベース(手動、グループポリシーの基本設定(GPP)、VDAのインストール中に指定)
- 活动目录の欧点ベース(旧欧点検出)
- MCSベース(personality.ini)
VDAをインストールするときに初回登録の方法を指定します(自動更新を無効にすると、初回以降の登録でVDAのインストール時に選択した方法が使用されます)。
次の画像に,VDAインストールウィザードの(交付控制器)ページを示します。
ポリシーベース(LGPO)またはGPO)
VDAの初回登録ではGPOを使用することを思杰公司ではお勧めします。この方法が最優先です(リスト上では自動更新が最優先となっていますが、自動更新は初回登録後にのみ使用します)。ポリシーベースの登録には、構成にグループポリシーを使用できるという集中化のメリットがあります。
この方法を指定するには、次の手順の両方を実行します。
- VDAインストールウィザードの(交付控制器)ページで,[あとで実行(上級)]を選択します。VDAのインストール中に控制器のアドレスの指定は行いませんが、ウィザードからこれらのアドレスを指定するように複数回促されます(VDA)の登録が非常に重要なためです)。
虚拟传递代理设置>控制器
設定で、思杰公司ポリシーを使用してポリシーベースのVDA登録を有効化または無効化します(セキュリティが最優先の場合、虚拟传递代理设置>控制器SID
設定を使用します)。
この設定はHKLM \ Software \ \ Citrix \ VirtualDesktopAgent政策(ListOfDDCs)
に格納されています。
レジストリベース
この方法を指定するには、次の手順のいずれかを実行します。
- VDAインストールウィザードの(交付控制器)ページで,(手動で指定する]を選択します。次に,インストール済みの控制器の完全修飾ドメイン名を入力し,[追加]をクリックします。追加の控制器をインストールした場合は、アドレスも追加します。
- コマンドラインでのVDAのインストールの場合は,/控制器オプションを使用してインストール済みの控制器または云连接器のFQDNを指定します。
この情報は、レジストリキーHKLM\Software\Citrix\VirtualDesktopAgent
またはHKLM\Software\Wow6432Node\Citrix\VirtualDesktopAgent
のレジストリ値名单
に格納されています。
また,このレジストリキーを手動で構成するか,グループポリシーの基本設定(GPP)を使用することもできます。この方法は,控制器または云连接器別に条件付きの処理を行う(例:コンピューター名がxdw - 001から始まる場合はxdc - 001を使用する)場合などは,ポリシーベースの方法よりも適しています。
サイトのすべての控制器または云连接器の完全修飾ドメイン名の一覧が設定されている、名单
レジストリキーを更新します。(このキーは活动目录サイトの組織単位に相当します)。
HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ ListOfDDCs (REG_SZ)
レジストリHKEY\U LOCAL\U MACHINE\Software\Citrix\VirtualDesktopAgent
に名单
と农场向导
のキーが両方ある場合、名单
が控制器または云连接器の検出に使用されます。农场向导
は、VDAのインストール時にサイト組織単位を指定した場合に作成されます(このキーは古い展開環境で使用する場合があります)。
オプションで、列表
レジストリキーを更新します(詳しくは”列表」を参照してください):
HKEY\U LOCAL\U MACHINE\Software\Citrix\VirtualDesktopAgent\ListofSID(注册号SZ)
注:思杰公司ポリシーによりポリシーベースのVDA登録も有効化している場合は、ポリシーベースの方法の方が優先度が高いため、VDAのインストール時に指定した設定がポリシーベースの設定で上書きされます。
活动目录の欧点ベース(旧)
この方法は主として後方互換性のためにサポートされているものであり、推奨されていません。現在もこの方法を使用している場合は、別の方法に変えることを思杰公司ではお勧めします。
この方法を指定するには、次の手順の両方を実行します。
- VDAインストールウィザードの(交付控制器)ページで,(Active Directoryから場所を選択する]を選択します。
Set-ADControllerDiscovery.ps1
スクリプトを使用します(各控制器上にあります)。また、各VDA上の农场向导
レジストリを,適切な組織単位を指すように構成します。この設定はグループポリシーを使用して行うことができます。
詳しくは、「活动目录の組織単位ベースの検出“を参照してください。
MCSベース
虚拟机のプロビジョニングにMCSのみを使用する予定の場合は、控制器または云连接器のリストを設定するようにMCSを構成することができます。この機能は自動更新と連携します。マシンカタログの作成時、MCSは初回プロビジョニングで控制器または云连接器の一覧を个性
ファイルに書き込みます。自動更新により、この一覧が最新状態に保たれます。
大規模な環境では、この方法の使用は推奨されていません。この方法は次の場合に使用することをお勧めします。
- 環境が小規模である
- サイト間でVDAを移動させない
- 虚拟机のプロビジョニングにMCSのみを使用する
- グループポリシーを使用しない
この方法を使用する場合は、VDAインストールウィザードの(交付控制器)ページで,[机器创建服务で指定する]を選択します。
レビューと推奨事項
ベストプラクティス:
- 初回登録にはグループポリシーによる登録方法を使用します。
- 自動更新(デフォルトで有効化されています)を使用して控制器のリストを最新に保ちます。
- マルチゾーン展開(控制器または云连接器が2つ以上)では,初回構成にグループポリシーを使用します。各ゾーンにローカルの控制器または云连接器に対してVDAをポイントします。自動更新を使用して,VDAを最新の状態に保ちます。自動更新により,サテライトゾーンにあるVDAの
名单
が自動で最適化されます。 控制器が利用不能な場合に登録の問題が発生しないようにするため、
名单
レジストリキーで複数の控制器をスペースで区切って指定します。次に例を示します:DDC7x.xd.local DDC7xHA.xd.local 32位:HKEY\U local\U MACHINE\Software\Citrix\VirtualDesktopAgent\Listofdcs HKEY\U local\U MACHINE\Software\Citrix\VirtualDesktopAgent\Listofdcs(REG\U SZ)<!--NeedCopy-->
- 起動時に登録がすみやかに行われるようにするため、
名单
に指定する値はすべて有効な完全修飾ドメイン名と対応させてください。
自動更新
自動更新(XenApp)およびXenDesktop 7.6で導入)は、デフォルトで有効化されています。これは、VDA登録を最新の状態に保つ最も効率的な方法です。初回登録では自動更新は使用しませんが、自動更新ソフトウェアにより、初回登録を行うときに名单
がダウンロードされ,永続キャッシュに格納されます。このプロセスは,VDAごとに実行されます。このキャッシュには,マシンポリシーの情報も格納されます。これにより,再起動後もポリシー設定が保持されます。
MCSまたはCitrix供应を使用してマシンをプロビジョニングする場合,自動更新がサポートされます。Citrix供应サーバーのキャッシュは除外されます。これは,自動更新キャッシュ用の永続的なストレージがないためです。
この方法を指定するには次の手順を実行します。
虚拟交付代理设置>启用控制器的自动更新
設定が含まれるCitrixポリシーで自動更新を有効または無効にします。この設定項目は,デフォルトで有効になっています。
自動更新の仕組みは次のとおりです。
- VDAの再登録の度(マシンの再起動後など)にキャッシュが更新されます。また、各控制器または云连接器も90分ごとにサイトのデータベースをチェックします。最後のチェック以降に控制器または云连接器が追加または削除されていた場合、またはVDA登録に影響するポリシー変更が行われていた場合、控制器または云连接器から控制器または云连接器に登録済みのVDAに最新のリストが送信され、キャッシュが更新されます。VDAは、最近キャッシュ化されたリストに含まれているすべての控制器または云连接器からの接続を受け入れます。
- VDAが受信したリストに登録先の控制器または云连接器が含まれていない場合(つまり、その控制器または云连接器がサイトから削除された場合)、
名单
のいずれかの控制器または云连接器にVDAが再登録されます。
例:
- 環境内に3.つの控制器A、B、Cがあります。VDAは(VDA)のインストール時に指定した)控制器Bに登録されています。
- その後、サイトに2.つの控制器(Dおよび(E)を追加します。90分以内に、更新されたリストがVDAに送信されます。これにより、VDAは控制器A、B、C、D、Eからの接続を受け入れるようになります(VDA)を再起動するまでは、すべての控制器間で負荷分散は行われません)。
- さらにそのあとで、控制器Bを別のサイトに移動します。前回のチェック以降にサイトの控制器に変更があったため、元のサイトのVDAは90分以内に更新済みのリストを受信します。初めに控制器B(リストから削除されています)に登録されていたVDAは、現在のリストに含まれる控制器(A、C、D、E)のいずれかに再登録されます。
マルチゾーン展開のサテライトゾーンでは、まず自動更新によりすべてのローカル控制器がキャッシュ化されます。プライマリゾーンの控制器はすべて、バックアップグループにキャッシュ化されます。サテライトゾーンのローカル控制器を利用できない場合、プライマリゾーンの控制器への登録が試みられます。
以下の例に示すように、キャッシュファイルにはホスト名およびセキュリティ身份证件のリスト(列表
)が含まれています。VDAはSIDを照会しないため,Active Directoryの負荷が抑えられます。
このキャッシュファイルは、WMI呼び出しを使用することで取得できます。ただし、このファイルは系统アカウントのみが読み取り可能な場所に格納されています。
重要:
この情報は説明のみを目的として紹介しています。このファイルは変更しないでください。このファイルまたはフォルダーを変更すると、構成はサポート対象外となります。
获取WmiObject-命名空间“Root\Citrix\DesktopInformation”-类“Citrix\u VirtualDesktopInfo”-属性“PersistentDataLocation”
セキュリティ上の理由で(Active Directory)の負荷の抑制とは異なる理由で)列表
を手動で構成する必要がある場合、自動更新は使用できません。詳しくは、「列表“を参照してください。
自動更新の優先度の例外
通常、自動更新はすべてのVDA登録方法の中で最も優先度が高くなっており、ほかの方法の設定を上書きしますが、例外も存在します。キャッシュの非自动的
要素により、初回のVDA構成方法が指定されます。自動更新ではこの情報を監視しています。初回登録の方法が変更されると、登録プロセスでは自動更新が省略され、優先度が次に高く構成されている方法が使用されます。このプロセスは、(障害復旧時など)VDAを別のサイトに移動する場合に役立ちます。
構成に関する考慮事項
一般的なVDA登録の構成をご覧ください。
VDA登録の手順をご覧ください。
VDA登録に影響を与える可能性のある設定を構成するときは,次の点を考慮してください。
控制器または云连接器のアドレス
控制器または云连接器の指定に使用する方法にかかわらず、思杰公司ではFQDNアドレスを使用することをお勧めします。知识产权アドレスは域名服务器レコードよりも侵害されやすいため、信頼性の高い構成とは言えません。列表
を手動で入力する場合は、名单
の知识产权を使用できます。ただし、この場合でもFQDNが推奨されています。
負荷分散
前述のとおりVDAは名单
に含まれるすべての控制器または云连接器で接続を自動的に分散させます。フェールオーバーおよび負荷分散機能は,Citrix代理协议(CBP)に組み込まれています。構成内で複数の控制器または云连接器を指定する場合,登録では必要に応じてこれらの控制器または云连接器間で自動的にフェールオーバーが行われます。自動更新を使用すると,すべてのVDAで自動フェールオーバーが自動的に行われます。
セキュリティ上の理由から、Citrix ADCなどのネットワークロードバランサーは使用できません。VDA登録ではKerberos相互認証を使用しており、クライアント(VDA)はその身元をサービス(控制员)に対して証明する必要があります。また、控制器または云连接器はその身元をVDAに対して証明する必要があります。つまり、VDAと控制器または云连接器は、サーバーであるのと同時にクライアントとしても動作するということです。本記事の初めに述べたように、通信チャネルには、VDAから控制器/云连接器と控制器/云连接器からVDAの2.つが存在します。
このプロセスのコンポーネントはサービスプリンシパル名(SPN)と呼ばれ,Active Directoryコンピューターオブジェクトにプロパティとして格納されます。VDAは,控制器または云连接器に接続する場合,通信相手を指定する必要があります。このアドレスがSPNです。負荷分散IPを使用する場合、Kerberos相互認証では、このIPが目的のControllerまたはCloud Connectorに属していないことが適切に認識されます。
詳しくは、次のトピックを参照してください:
CNAMEから自動更新への移行
自動更新機能は,バージョン7. x以前のXenAppおよびXenDesktopのCNAME (DNSエイリアス)機能に代わるものです。XenAppおよびXenDesktop 7以降では,CNAME機能は無効になっています。CNAMEの代わりに自動更新を使用してください(CNAMEを使用する必要がある場合は,CTX137960を参照してください。域名服务器エイリアスの動作の一貫性を保つため、自動更新とCNAMEの両方を同時に使用しないでください)。
控制器/云连接器グループ
特定のシナリオでは、優先グループと、すべての控制器/云连接器で障害が発生した場合のフェールオーバーに使用する別のグループを用意して、控制器または云连接器をグループで処理できます。控制器または云连接器はリストからランダムに選択されるものであるため、グループ化すると優先的な使用を指定しやすくなります。
これらのグループは、単一のサイト内(複数のサイトではなく)での使用を目的としています。
控制器または云连接器のグループを指定するにはかっこを使用します。たとえば控制器が4.つ(主に使用するものが2.つとバックアップ用が2.つ)ある場合、次のようにグループ化します。
(XDC-001.cdz.lan XDC-002.cdz.lan)(XDC-003.cdz.lan XDC-004.cdz.lan)
この例では、最初のグループの控制器(001と002)が初めに処理されます。両方で障害が発生した場合、2.番目のグループの控制器(003と004)が処理されます。
XenDesktop 7.0以降では,登録グループ機能を使用する場合、追加の手順を実施する必要があります。Citrix工作室で、[控制器の自動更新を有効にする]ポリシーを無効にしてください。
列表
登録時にVDAが通信可能な控制器をまとめたものが名单
です。VDAはどの控制器が信頼可能であるかも把握する必要があります。VDAは、名单
に含まれている控制器を自動的に信頼するわけではありません。列表
(セキュリティID)により、信頼可能な控制器が指定されます。VDAが登録を試みるのは、信頼されている控制器だけです。
ほとんどの環境では,列表
は名单
から自動で作成されます。它强调トレースを使用して列表
を読み取ることができます。
一般には、列表
を手動で変更する必要はありません。ただし、いくつかの例外があります。最初の2.つの例外は、新しいテクノロジーが使用可能になったため有効ではなくなりました。
- 控制器の役割の分離:塞纳普およびXenDesktop 7.7でゾーンが導入される前は、登録に控制器のサブセットのみを使用する場合
列表
を手動で構成していました。たとえば、XDC-001とXDC-002をXMLブローカーとして使用し、XDC-003とXDC-004をVDA登録に使用する場合、列表
にはすべての控制器を指定し,名单
にはxdc - 003とxdc - 004を指定していました。これは典型的な構成や推奨される構成ではありません。最新の環境では使用しないでください。代わりにゾーンが使用されています。 - 活动目录の負荷の削減:塞纳普およびXenDesktop 7.6で自動更新機能が導入される前は、ドメインコントローラーに対する負荷を抑えるために
列表
を使用していました。列表
を事前に指定しておくことで、域名服务器名から希德への解決を省略できます。しかし、自動更新機能では永続キャッシュに希德が含まれるようになったため、この作業を行う必要はなくなりました。自動更新機能は有効にしておくことを思杰公司ではお勧めします。 - セキュリティ:高度なセキュリティで保護された環境では、侵害された域名服务器サーバーからのセキュリティ上の脅威を防ぐために、信頼されている控制器の希德を手動で構成していました。ただし、この構成を行うには、自動更新機能を無効にする必要があります。無効にしない場合、永続キャッシュの構成が使用されます。
このため、特別な理由がない限り列表
は変更しないでください。
列表
を変更する必要がある場合,HKLM\Software\Citrix\VirtualDesktopAgent
にListOfSIDs (REG_SZ)
という名前のレジストリキーを作成します。値には,信頼できるSIDの一覧を指定します。SIDが複数ある場合はスペースで区切って指定します。
次の例では、1.つの控制器をVDAの登録に使用しますが(名单
), 2つの控制器は仲介に使用します(ListOfSIDs)。
VDA登録中の控制器の検索
VDAが登録しようとすると,经纪人代理は最初にローカルドメインでDNSルックアップを実行し,指定された控制器に到達できるようにします。
最初のルックアップで控制器が見つからない場合、经纪人は公元でフォールバックトップダウンクエリを開始することがあります。このクエリは、すべてのドメインを検索し、頻繁に繰り返します。控制器のアドレスが無効である場合(たとえば、管理者がVDAのインストール時に誤ったFQDNを入力した場合)、そのクエリのアクティビティにより、ドメインコントローラーで分散サービス拒否(DDoS)状態が発生する可能性があります。
次のレジストリキーは、经纪人が最初の検索時に控制器を検出できない場合に、フォールバックトップダウンクエリを使用するかどうかを制御します。
HKEY\U LOCAL\U MACHINE\Software\Policys\Citrix\VirtualDesktopAgent
- 値の名前:
DisableDdcWildcardNameLookup
- 種類:
德沃德
- 値:
1.
(デフォルト)または0
1.
に設定すると、フォールバック検索は無効になります。控制器の初回検索が失敗すると、经纪人は検索を停止します。これがデフォルトの設定です。0
に設定すると、フォールバック検索が有効になります。控制器の初回検索が失敗した場合、フォールバックトップダウン検索が開始されます。
VDA登録の問題のトラブルシューティング
先に述べたように、仲介セッションを起動する場合、対象の传送控制器または云连接器にVDAが登録されている必要があります。VDAが登録されていないと、登録されていれば使用されるはずの資源が使用されない場合があります。VDAが登録されない理由はさまざまですが、その多くは管理者がトラブルシューティングできます。演播室では、カタログ作成ウィザード内で、およびカタログをデリバリーグループに登録した後に、トラブルシューティング情報が提供されます。
マシンカタログの作成時に問題を特定する:カタログ作成ウィザードで、既存のマシンを追加すると、コンピューターアカウント名の一覧に、各マシンがカタログに追加するのに適しているかどうかが示されます。各マシンの横にあるアイコンにマウスを合わせると、そのマシンに関する情報メッセージが表示されます。
メッセージで問題のあるマシンが示された場合は、該当のマシンを([削除]ボタンを使って)削除することも、そのマシンを追加することもできます。たとえば、(登録されたことがないなどの理由により)マシンに関する情報が取得されていないことを示すメッセージが表示された場合は、そのマシンを追加する可能性があります。
カタログの機能レベルにより,どの製品機能がカタログにあるマシンで利用可能かが制御されます。新しい製品バージョンで導入された機能を使用するには,新しいVDAが必要な場合があります。機能レベルを設定すると,そのバージョン(機能レベルが変更されない場合はそのバージョン以降)で導入されたすべての機能がカタログで利用できるようになります。ただし,以前のVDAバージョンのカタログにあるマシンは登録できません。
デリバリーグループの作成後に問題を特定する:デリバリーグループを作成すると、そのグループと関連付けられているマシンの詳細が演播室に表示されます。
デリバリーグループの[詳細]ペインに、登録の必要があるのに登録されていないマシンの数が表示されます。つまり、電源が入っており保守モードでないはないのに、控制器に現在登録されていないマシンが1.台または複数台存在することが考えられます。「未登録だが登録する必要がある」のマシンが表示された場合は、[詳細]ペインの[トラブルシューティング]タブで、考えられる原因と推奨される修正アクションを確認します。
VDA登録のトラブルシューティングの詳細
機能レベルについて詳しくは、「VDAバージョンと機能レベル“を参照してください。
VDA登録のトラブルシューティングについて詳しくは、CTX136668を参照してください。
Citrix Scoutのヘルスチェックを使用して、VDA登録とセッションの開始に関するトラブルシューティングを行うことも可能です。詳しくは、「ヘルスチェックについて“を参照してください。