活动目录
認証および承認にはActive Directoryが使用されます。活动目录のKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。
「システム要件“でフォレストとドメインでサポートされる機能レベルについて確認してください。ポリシーモデル作成機能を使用するには、ドメインコントローラーがWindows Server 2003~Windows Server 2012 R2上で動作している必要があります(ドメインの機能レベルには影響しません)。
以下の環境がサポートされています。
- ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば,ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では,すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- ユーザーアカウントが,控制器および仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような環境では,控制器および仮想デスクトップのコンピューターアカウントのドメインが,ユーザーアカウントのドメインを信頼している必要があります。フォレストの信頼または外部の信頼を使用できます。このような環境では,すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- 控制器のコンピューターアカウントが,仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような環境では,控制器のコンピューターアカウントのドメインと,仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。このような環境では,控制器または仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが(Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
- 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。
必要に応じて、虚拟投递代理(VDA)で登録可能な控制器を検出するときに,Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので,VDAと控制器が同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法について詳しくは,”Active Directory OUベースの検出“およびCTX118976を参照してください。
ヒント
サイトの構成後,コンピューター名や控制器のドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
このトピックの内容は,XenDesktop 7.1以降およびXenApp 7.5以降に適用されます。これらの製品の以前のバージョンのXenDesktopまたはXenAppには適用されません。
複数のフォレストがあるActive Directory環境では,一方向または双方向の信頼関係が構成済みの場合にDNSフォワーダーによる名前参照や登録を使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには,オブジェクト制御の委任ウィザードを使用します。このウィザードについて詳しくは,微软社のドキュメントを参照してください。
適切なDNSフォワーダーがフォレスト間に存在する場合,DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。
VDAと控制器が別のフォレストにある場合,Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく,レジストリキーSupportMultipleForestが必要です。SupportMultipleForestキーは,VDA上でのみ必要です。以下のレジストリキーを追加してください。
注意:レジストリエディターの使用を誤ると,深刻な問題が発生する可能性があり,Windowsの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して,シトリックスでは一切責任を負いません。レジストリエディターは,お客様の責任と判断の範囲でご使用ください。また,レジストリファイルのバックアップを作成してから,レジストリを編集してください。
- HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ SupportMultipleForest
- 値の名前:SupportMultipleForest
- 種類:REG_DWORD
- 値のデータ:0 x00000001 (1)
DNS名前空間がActive Directoryのそれと異なる場合,DNS逆引き構成が必要になることがあります。
セットアップ時に外部信頼が構成済みの場合は,レジストリキーListOfSIDsが必要になります。また,Active DirectoryのFQDNがDNS FQDNと異なる場合,またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も,レジストリキーListOfSIDsが必要です。以下のレジストリキーを追加します。
- 64年32ビットまたはビットのVDA: HKEY_LOCAL_MACHINE \ Software \ Citrix \ VirtualDesktopAgent \ ListOfSIDs
- 値の名前:ListOfSIDs
- 種類:REG_SZ
- 値のデータ:控制器のセキュリティ識別子(SID)
適切な外部信頼が構成済みの場合,VDA上で以下の変更を行います。
- < ProgramFiles > \ Citrix \虚拟桌面代理\ brokeragentconfig.exe.configファイルを検索します。
- ファイルのバックアップコピーを作成します。
- メモ帳などのテキストエディターを使ってファイルを開きます。
- “allowNtlm = " false "を“allowNtlm = " true "に変更します。
- ファイルを保存します。
ListOfSIDsレジストリキーを追加してbrokeragent.exe。配置ファイルを編集したら,思杰桌面服务を再起動して変更を適用します。
次の表は,サポートされる信頼の種類を示しています。
| 信頼の種類 | 推移性 | 方向 | このリリースでのサポート |
|---|---|---|---|
| 親および子 | 推移的 | 双方向 | はい |
| ツリールート | 推移的 | 双方向 | はい |
| 外部 | 非推移的 | 一方向または双方向 | はい |
| フォレスト | 推移的 | 一方向または双方向 | はい |
| ショートカット | 推移的 | 一方向または双方向 | はい |
| 領域 | 推移的または非推移的 | 一方向または双方向 | いいえ |
複雑なActive Directory環境での展開について詳しくは,CTX134971を参照してください。