产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

已加入 Active Directory

March 18, 2026
投稿者: 
C

Active Directory 是身份验证和授权所必需的。Active Directory 中的 Kerberos 基础结构用于保证与 Delivery Controller 通信的真实性和机密性。有关 Kerberos 的信息,请参阅 Microsoft 文档。

系统要求一文列出了林和域支持的功能级别。要使用策略建模,域控制器必须在所有受支持的服务器操作系统上运行。这不影响域功能级别。

本产品支持:

  • 用户帐户和计算机帐户存在于单个 Active Directory 林中的域中的部署。用户帐户和计算机帐户可以存在于单个林中的任意域中。此类部署支持所有域功能级别和林功能级别。
  • 用户帐户存在于与包含 Controller 和虚拟桌面计算机帐户的 Active Directory 林不同的 Active Directory 林中的部署。在此类部署中,包含 Controller 和虚拟桌面计算机帐户的域必须信任包含用户帐户的域。可以使用林信任或外部信任。此类部署支持所有域功能级别和林功能级别。
  • Controller 的计算机帐户存在于与包含虚拟桌面计算机帐户的一个或多个其他 Active Directory 林不同的 Active Directory 林中的部署。在此类部署中,包含 Controller 计算机帐户的域与包含所有虚拟桌面计算机帐户的域之间必须存在双向信任。在此类部署中,所有包含 Controller 或虚拟桌面计算机帐户的域必须处于“Windows 2000 本机”功能级别或更高级别。支持所有林功能级别。
  • 可写入的域控制器。不支持只读域控制器。

或者,Virtual Delivery Agent (VDA) 可以使用 Active Directory 中发布的信息来确定它们可以向哪些 Controller 注册(发现)。此方法主要用于向后兼容,并且仅当 VDA 与 Controller 位于同一 Active Directory 林中时才可用。有关此发现方法的信息,请参阅基于 Active Directory OU 的发现CTX118976

注意:

配置站点后,请勿更改 Delivery Controller™ 的计算机名称或域成员身份。

在多 Active Directory 林环境中部署

在具有多个林的 Active Directory 环境中,如果存在单向或双向信任,则可以使用 DNS 转发器或条件转发器进行名称查找和注册。要允许相应的 Active Directory 用户创建计算机帐户,请使用“委派控制向导”。有关此向导的详细信息,请参阅 Microsoft 文档。

如果在林之间存在适当的 DNS 转发器,则 DNS 基础结构中不需要反向 DNS 区域。

如果 VDA 和 Controller 位于不同的林中,则无论 Active Directory 和 NetBIOS 名称是否不同,都需要使用 SupportMultipleForest 键。使用以下信息将注册表项添加到 VDA 和 Delivery Controller:

警告:

不正确地编辑注册表可能导致严重问题,可能需要重新安装操作系统。Citrix® 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。编辑注册表之前,请务必备份注册表。

在 VDA 上,配置:HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest

  • 名称:SupportMultipleForest
  • 类型:REG_DWORD
  • 数据:0x00000001 (1)

在所有 Delivery Controller 上,配置:HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest

  • 名称:SupportMultipleForest
  • 类型:REG_DWORD
  • 数据:0x00000001 (1)

如果您的 DNS 命名空间与 Active Directory 的命名空间不同,则可能需要反向 DNS 配置。

已添加一个注册表项,以避免在 VDA 中意外启用 NTLM 身份验证(其安全性低于 Kerberos)。此条目可以替代 SupportMultipleForest 条目使用,SupportMultipleForest 条目仍可用于向后兼容。

在 VDA 上,配置:HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent

  • 名称:SupportMultipleForestDdcLookup
  • 类型:REG_DWORD
  • 数据:0x00000001 (1)

此注册表项在双向信任的多林环境中执行 DDC 查找,允许您在初始注册过程中删除基于 NTLM 的身份验证。

如果在设置过程中存在外部信任,则需要 ListOfSIDs 注册表项。如果 Active Directory FQDN 与 DNS FQDN 不同,或者包含域控制器的域的 NetBIOS 名称与 Active Directory FQDN 不同,则 ListOfSIDs 注册表项也是必需的。要添加注册表项,请使用以下信息:

对于 VDA,找到注册表项 HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs

  • 名称:ListOfSIDs
  • 类型:REG_SZ
  • 数据:Controller 的安全标识符 (SID)。(SID 包含在 Get-BrokerController cmdlet 的结果中。)

存在外部信任时,请在 VDA 上进行以下更改:

  1. 找到文件 Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config
  2. 创建文件的备份副本。
  3. 使用文本编辑程序(例如 Notepad)打开文件。
  4. 找到文本 allowNtlm="false" 并将其更改为 allowNtlm="true"
  5. 保存文件。

添加 ListOfSIDs 注册表项并编辑 brokeragent.exe.config 文件后,重新启动 Citrix Desktop Service 以应用更改。

下表列出了支持的信任类型:

信任类型 传递性 方向 此版本中是否支持
父子 可传递 双向
树根 可传递 双向
外部 不可传递 单向或双向
可传递 单向或双向
快捷方式 可传递 单向或双向
领域 可传递或不可传递 单向或双向

有关复杂的 Active Directory 环境的详细信息,请参阅 CTX134971

后续步骤

有关如何创建本地 Active Directory (AD) 加入的计算机身份的身份池的信息,请参阅本地 Active Directory 加入的计算机身份的身份池

已加入 Active Directory
March 18, 2026
投稿者: 
C
March 18, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.