活动目录
認証および承認にはActive Directoryが使用されます。活动目录のKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。
「システム要件「││││││││││││││││││││││││││││││││││││││││││││││││││││││├は,ドメインの机能レベルには影响しません。
以下の環境がサポートされています。
- ユーザーアカウントおよびコンピューターアカウントが単一的Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば,ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では,すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- ユーザーアカウントが,控制器および仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような环境は,控制器および仮想デスクトップのコンピューターのドメインが,ユーザーアカウントののを頼しいる必要がますます。ドメイン机能レベルおよびフォレスト机能レベルがサポートされます。
- 控制器のコンピューターアカウントが,仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような环境は,控制器ののアカウントのドメインと,仮想デスクトップのコンピューターアカウントのすべてドメインとのに相互函数关键词が必要ですはこの必要环境は,控制器または仮想デスクトップはコンピューターアカウント属し属しいるすべてのドメインが[Windows 2000中ネイティブ]机能レベルまたはそれ以上である必要があります。すべてのフォレスト机能レベルがサポートされます。
- 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。
必要に応じて、虚拟投递代理(VDA)で登録可能な控制器を検出するときに,Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので,VDAと控制器が同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法の詳細については,”Active Directoryの組織単位ベースの検出「CTX118976.を参照してください。
注:
サイトの构成后,コンピューター名や交付控制器のドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
Xendesktop 7.1以降およびXenapp 7.5以降に适およびれますXendesktopまたはXenappにのののまたはまたはのののまたはまたはののののまたはまたはのxendsktop 7.5。
服务目录环境では,一方面または双方向の信息关键词が済みの场に,dnsフォワーダーまたは条件付きフォワーダー名前参照や登录を使。作者:郝建军
适切なdnsフォワーダーががフォレスト间に存场场,dnsインフラストラクチャにdns逆引きゾーンはありありん。
VDAと控制器が別のフォレストにある場合,Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく,レジストリキー支持的方法が必要です。以下の情報を使用して,レジストリキーをVDAおよび交付控制器に追加します。
注意:
レジストリエディターの使使をと,深刻な问题が発生する可性があり,オペレーティングシステムシステム再ありがになる误もに対してます。。レジストリエディターは,お客様の责任との范囲でご使使。
VDAで次を構成します:HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ SupportMultipleForest。
- 値の名前:
支持的方法 - 種類:
REG_DWORD - データ:
0 x00000001 (1)
すべての交付控制器で次を构成し:HKEY_LOCAL_MACHINE \ Software \ Citrix \ DesktopServer \ SupportMultipleForest。
- 値の名前:
支持的方法 - 種類:
REG_DWORD - データ:
0 x00000001 (1)
DNS名前空間がActive Directoryのそれと異なる場合,DNS逆引き構成が必要になることがあります。
Kerberosよりも安全性低いntlm认证认证vdaでで不成而明,ないないに,レジストリエントリがは,支持的方法エントリ(後方互換性があるため引き続き使用可能)の代わりに使用できます。
VDAで次を構成します:HKEY_LOCAL_MACHINE \ Software \ \ Citrix \ VirtualDesktopAgent政策。
- 値の名前:
SupportMultipleForestDdcLookup - 種類:
REG_DWORD - データ:
0 x00000001 (1)
このレジストリキーは,双方向の信頼がある複数フォレスト環境でDDCルックアップを実行します。この環境では,初期登録プロセス中にNTLMベースの認証を削除できます。
セットアップ時に外部信頼が構成済みの場合は,レジストリキーListOfSIDsが必要になります。また,Active DirectoryのFQDNがDNS FQDNと異なる場合,またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も,レジストリキーListOfSIDsが必要です。以下のレジストリキーを追加します。
VDAの場合,レジストリキーHKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ ListOfSIDsを検索します。
- 値の名前:
ListOfSIDs - 種類:
reg_sz. - データ:控制器のセキュリティ識別子(SID)。(SIDは,
get-brokercontroller.コマンドレットコマンドレットの结果にに含まれいい。)
適切な外部の信頼が構成済みの場合,VDA上で以下の変更を行います:
- ファイル
程序文件Citrix\虚拟桌面代理\broker .exe.configを検索します。 - ファイルのバックアップコピーを作物成し。
- メモ帳などのテキストエディターを使ってファイルを開きます。
- テキスト
allowNtlm = " false "を検索して,テキストをallowntlm =“真实”に変更します。 - ファイルを保存します。
レジストリキーListOfSIDsを加加してbrokeragent.exe.configファイルを編集したら,思杰桌面服务を再起動して変更を適用します。
次の表は,サポートされる信頼の種類を示しています。
| 信息の种类 | 推移性 | 方向 | このリリースでのサポート |
|---|---|---|---|
| 亲および子 | 推移的 | 双方向 | はい |
| ツリールート | 推移的 | 双方向 | はい |
| 外部 | 非推移的 | 一方面または双方向 | はい |
| フォレスト | 推移的 | 一方面または双方向 | はい |
| ショートカット | 推移的 | 一方面または双方向 | はい |
| 領域 | 推移的または非推移的 | 一方面または双方向 | いいえ |
复雑な活动目录环境での展开について详しくは,CTX134971を参照してください。