如何在复杂Active Directory环境中成功部署XenDesktop

背景

在复杂的Active Directory环境中，场景可能是桌面交付控制器(DDC)位于与虚拟桌面代理(VDA)可能驻留的不同的林或域。对于连接到这些虚拟机的用户也可能是这样，这些虚拟机可能位于DDC和VDA机器可能驻留的不同林或域。

以下是被认为是复杂AD环境的环境示例:

• 具有双向或单向信任的多个林

• 具有选择性信任的多重森林

• 具有多个域的单个森林

请注意:对于使用Windows Server 2012和Windows Server 2016的VDI部署，双向信任是必须的。欲了解更多信息，请参考-Server 2012 VDI集合在添加外部域用户组时需要双向信任．

以下环境以XenDesktop 5. exe为例。x安装在所有的ddc和vda上。本文基于基于注册表的控制器发现——这是多林注册的推荐方法。

NetBIOS和FQDN可以不一样。例如，NetBIOS名称可以是BOB，但FQDN可以是parent1。local或NetBIOS名称与FQDN可以相同:
示例:NetBIOS名称为parent, FQDN为parent.local。
请注意: NetBIOS名称中不建议使用。

为成功创建机器，提供了适当的用户访问权限。在跨林设置中，使用代表团控制向导保持最低使用权限。必须授予DDC管理员在特定组织单元(OU)的不同林中创建机器的权限。成功创建机器需要以下最低权限:

1. 开放活动目录用户和计算机微软管理控制台(MMC)．

2. 右键单击OU并选择委托控制．

3. 在第一个屏幕上，单击下一个．

4. 在“用户和组”界面中，单击添加并选择要委派权限的用户或组，单击下一个．
   最佳实践是分配一个组而不是单个用户，因为这样更容易管理和审计。

5. 在任务委托屏幕上,选择创建要委派的自定义任务并点击下一个．

6. 在Active Directory对象类型屏幕上,选择文件夹中只有以下对象并选择计算机对象．

   

7. 选择在此文件夹中创建所选对象并点击下一个．

8. 在权限屏幕上,选择一般然后选择读和写．

9. 点击下一个．

   

10. 点击完成完成委托控制。

不同类型的活动目录设置

简单的单域部署

下图演示了XenDesktop在单个Active Directory域中的部署，其中ddc、vda和用户都在同一个域中。

在这个单一域设置中，所有相关组件和对象都基于一个单一域。vda向DDC的注册应该是成功的，并且不需要进行额外的配置，也就是说，不需要更改注册表项。

以下是检查VDA是否无法向DDC注册的列表：

1. 检查事件查看器在DDC和VDA上的错误。

2. 请确保VDA和DDC之间的80端口的防火墙是打开的。

3. 检查在VDA机器的注册表设置中DDC的FQDN是否正确。在VDA上，检查下面的Reg Key:
   谨慎！在使用注册表编辑器之前，请参阅本文末尾的免责声明。
   HKEY_LOCAL_MACHINE \ Citrix \ VirtualDesktopAgent \ \软件并确认参数ListOfDDCs有正确的FQDN。
   如果使用64位虚拟机，VDA注册键为HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Citrix \ VirtualDesktopAgent \ ListOfDDCs

4. 确保VDA和DDC上的DNS设置正确，两台计算机可以通过DNS名称和反向查找相互解析。使用XDPing工具，可从知识中心文章CTX123278 -下载xdp工具进一步解决。

5. 检查VDA和DDC的“Time”是否同步。
   有关进一步的故障排除，请参见处理虚拟桌面agent在XenDesktop中向控制器注册问题．

具有多个域的单林或具有快捷信任的多个域的单林

下面两张图演示了一个XenDesktop部署在一个具有多个域的单森林和一个具有多个具有快捷信任的域的单森林中——其中DDC、VDA和Users都基于不同的域。

以下是多域的插图:

下面是带有快捷信任的多个域的示例:

下图演示了XenDesktop在多森林部署中的部署。在这种情况下，DDC位于不同的活动目录林中，而最终用户和桌面既可以位于相同的林中，也可以位于单独的活动目录林中。
请注意:对于林信任，两个林必须在Win2003林功能级别中。

上面的插图显示了两个独立的Active Directory林，其中包含双向林信任。DDC和Users在同一个林中(parent.local)，但vda位于不同的林中(parent2.local)。

为位于单独森林的发展中国家提供支持;该值必须存在并设置为1。

注意:只有在仅使用外部信任时才需要下一步。

1. 如果Active Directory FQDN与DNS FQDN不匹配，或者DDC所在域的NetBIOS名称与Active Directory FQDN不一致，则必须在虚拟桌面代理计算机上添加以下注册表项。
   • 对于32位VDA: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
   • 对于64位VDA: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Citrix\VirtualDesktopAgent\ListOfSIDs

2. • 

listofsid注册表项包含DDC的DOMAIN SID。通过使用这个密钥，DNS查找将使用DDC的真实DNS名称。

要获得DDC的正确域SID，可以从交付控制器上的提升PowerShell提示符的PowerShell cmdlet Get-BrokerController的结果中找到域SID。
请注意:您必须重新启动Citrix Desktop Service才能生效。

具有单向选择性信任的多重森林

下图演示了使用单向选择信任的多森林部署中的XenDesktop部署。DDC位于另一个活动目录林中，而最终用户和现有vda(手动或通过替代方法创建)位于另一个活动目录林中。在单向选择性信任中，由于身份验证问题，通过DDC自动创建虚拟机将失败。
对于本例，每个Forest和域中的NetBIOS和FQDN是不同的。
请注意:对于单向选择性信任，两个林必须在Win2003林功能级别或以上。

选择性身份验证用于显式授予/允许用户对信任域中的服务器和资源进行身份验证的环境。此方法允许域管理员控制用户可以访问信任域上的服务的权限。看到启用森林信任的选择性身份验证浏览更多有关选择性信托的资料。

为使VDA成功注册到DDC，需配置以下参数:

1. 用于名称和反向查找的DNS。根据所采用的方法，使用DNS转发器和条件转发器、正向/反向查找区域和Stub区域都可以用于名称查找/解析。

2. 在相关域控制器上创建选择性信任。

3. 中提供的步骤具有信任的多重森林(外部信任—NTLM或森林信任Kerberos)一节。

4. vda肯定是授予认证访问监护系统。这是通过活动目录计算机和用户管理单元完成的。
   请注意:将vda添加到组中，方便管理(授予权限)。这是推荐的。
   a)在“Active Directory计算机和用户”中，浏览到ddc的位置。
   b)右键单击“DDC”，单击“属性”。
   c)单击“安全”页签。
   d)单击“添加”，单击“位置”，将域修改为vda所在的位置。
   e)单击“高级”，然后单击“对象类型”。选择“电脑”
   f)选择所有相关的VDA或Group(推荐)，单击“确定”。
   g)选择VDA’s或Group，并赋予权限—Read和Allowed to authenticate，如下图所示:
   

   1. 1. 

5. 在DDC上，选择“现有目录”并创建相关的“分配”。完成后，虚拟机应该显示在准备好了状态，如下图所示。

   

有关VDA未注册的进一步故障排除，请参见下面是检查VDA是否无法向DDC部分注册的列表．