Auf Organisationseinheiten von Active Directory-basierte Controller-Discovery

Diese Delivery Controller-Erkennungsmethode wird vor allem unterstützt, um Abwärtskompatibilität zu gewährleisten. Sie gilt nur für Virtual Delivery Agents (VDAs) für Windows-Desktopbetriebssysteme, aber nicht für VDAs für Windows-Serverbetriebssysteme.

Informationen zu anderen Methoden, die Sie konfigurieren können, mit denen sich VDAs bei Controllern registrieren lassen (einschließlich der empfohlenen Methoden), finden Sie unter VDA-Registrierung bei Controllern.

Bei der Active Directory-basierten Discovery müssen alle Computer in einer Site Mitglied einer Domäne sein und zwischen der Domäne, die vom Controller verwendet wird, und den von den Desktops verwendeten Domänen muss eine Vertrauensstellung bestehen. Wenn Sie diese Methode verwenden, müssen Sie die GUID der Organisationseinheit in jeder Desktop-Registrierung konfigurieren.

Führen Sie zum Ausführen einer OU-basierten Controller-Ermittlung das Set-ADControllerDiscovery.ps1 PowerShell-Skript auf dem Controller aus (jeder Controller enthält dieses Skript im Ordner $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Um das Skript auszuführen, müssen Sie über CreateChild-Berechtigungen für eine übergeordnete Organisationseinheit verfügen sowie über vollständige Administratorrechte.

Wenn Sie eine Site erstellen, müssen Sie eine entsprechende Organisationseinheit in Active Directory erstellen, wenn Desktops die Controller in der Site mit Active Directory ermitteln sollen. Die Organisationseinheit kann in jeder Domäne in der Gesamtstruktur erstellt werden, die Ihre Computer enthält. Als bewährte Vorgehensweise sollte die Organisationseinheit auch die Controller in der Site enthalten, dies ist jedoch nicht erzwungen oder erforderlich. Ein Domänenadministrator mit entsprechenden Berechtigungen kann die Organisationseinheit als leerer Container erstellen und dann eine Verwaltungsautorität über die Organisationseinheit an einen Citrix Administrator delegieren.

Das Skript erstellt mehrere wesentliche Objekte. Es werden nur standardmäßige Active Directory-Objekte erstellt und verwendet. Es ist nicht notwendig, das Schema zu erweitern.

• Eine Controller-Sicherheitsgruppe. Das Computerkonto aller Controller in der Site muss Mitglied dieser Sicherheitsgruppe sein. Desktops in einer Site akzeptieren Daten von Controllern nur, wenn sie Mitglieder dieser Sicherheitsgruppe sind.

  Stellen Sie sicher, dass alle Controller auf allen virtuellen Desktops, auf denen der VDA ausgeführt wird, das Recht “Zugriff auf diesen Computer über das Netzwerk” verfügen. Sie können dies tun, indem Sie der Sicherheitsgruppe Controller diese Berechtigung erteilen. Wenn Controller nicht über diese Berechtigung verfügen, werden VDAs nicht registriert.

• Ein Service Connection Point (SCP) -Objekt, das Informationen über die Site enthält, z. B. den Standortnamen. Wenn Sie das Administratorprogramm Active Directory-Benutzer und -Computer verwenden, um eine Standort-Organisationseinheit zu überprüfen, müssen Sie möglicherweise erweiterte Funktionen im Menü Ansicht aktivieren, um SCP-Objekte anzuzeigen.

• Ein Container namens RegistrationServices, der in der Organisationseinheit des Standortes erstellt wird. Dies enthält ein SCP-Objekt für jeden Controller in der Site. Bei jedem Start des Controllers wird der Inhalt des Dienstverbindungspunkts geprüft und ggf. aktualisiert.

Wenn mehrere Administratoren wahrscheinlich Controller nach der Erstinstallation hinzufügen und entfernen, benötigen sie Berechtigungen zum Erstellen und Löschen von untergeordneten Objekten im RegistrationServices-Container und Schreibeigenschaften in der Sicherheitsgruppe Controller. Diese Berechtigungen werden automatisch dem Administrator erteilt, der das Set-ADControllerDiscovery.ps1-Skript ausführt. Der Domänenadministrator oder der Administrator der Originalinstallation kann diese Berechtigungen zuweisen; Citrix empfiehlt, dass Sie eine Sicherheitsgruppe für diesen Zweck einrichten.

Wenn Sie eine Standort-Organisationseinheit verwenden:

• Informationen werden nur bei der Installation oder Deinstallation dieser Software in Active Directory geschrieben oder wenn ein Controller startet und die Informationen in seinem SCP aktualisieren muss (z. B. weil der Controller umbenannt wurde oder weil der Kommunikationsport geändert wurde). Standardmäßig richtet das Set-ADControllerDiscovery.ps1-Skript Berechtigungen für die Objekte in der Standort-Organisationseinheit entsprechend ein, sodass jedem Controller Schreibzugriff auf seinen SCP gewährt wird. Der Inhalt der Objekte in der Standort-Organisationseinheit wird verwendet, um eine Vertrauensstellung zwischen Desktops und Controllern herzustellen. Stellen Sie Folgendes sicher:
  • Nur autorisierte Administratoren können Computer mithilfe der Zugriffssteuerungsliste (Access Control List, ACL) der Sicherheitsgruppe Controller hinzufügen oder daraus entfernen.
  • Nur autorisierte Administratoren und der relevante Controller können Informationen im Dienstverbindungspunkt des Controllers ändern.
• Wenn Ihre Bereitstellung Replikation verwendet, beachten Sie potenzielle Verzögerungen. Weitere Informationen hierzu finden Sie in der Microsoft Dokumentation. Dies ist besonders wichtig, wenn Sie die Organisationseinheit der Site in einer Domäne erstellen, die Domänencontroller in mehreren Active Directory-Sites enthält. Abhängig vom Speicherort von Desktops, Controllern und Domänencontrollern sind Änderungen, die an Active Directory vorgenommen werden, wenn Sie die Standort-Organisationseinheit anfänglich erstellen, Controller installieren oder deinstallieren oder Controller-Namen oder Kommunikationsports ändern, für Desktops möglicherweise erst sichtbar, wenn diese Informationen auf den entsprechenden Domänencontroller repliziert. Zu den Symptomen einer solchen Replikationsverzögerung gehören Desktops, die keinen Kontakt mit Controllern herstellen können und daher für Benutzerverbindungen nicht verfügbar sind.
• Diese Software verwendet mehrere Standard-Computerobjektattribute in Active Directory zum Verwalten von Desktops. Abhängig von Ihrer Bereitstellung kann der vollständig qualifizierte Domänenname des Maschinenobjekts, der im Active Directory-Datensatz des Desktops gespeichert ist, als Teil der Verbindungseinstellungen enthalten werden, die an den Benutzer zurückgegeben werden, um eine Verbindung herzustellen. Stellen Sie sicher, dass diese Informationen mit den Informationen in der DNS-Umgebung übereinstimmen.

Zum Verschieben eines Controllers in eine andere Site mit der OU-basierten Controller-Discovery folgen Sie den o. a. Anweisungen für das Verschieben von Controllern. Nach dem Entfernen des Controllers aus der alten Site (Schritt 2) führen Sie das PowerShell-Skript Set-ADControllerDiscovery –sync aus. Das Skript synchronisiert die Organisationseinheit mit dem aktuellen Satz an Controllern. Nach dem Beitritt zur vorhandenen Site (Schritt 3), führen Sie das gleiche Skript auf einem Controller in der neuen Site aus.

Erforderliche Berechtigungen für auf Organisationseinheiten basierende Discovery

Der Citrix Administrator, der das Skript zum Erstellen einer Site ausführt, muss für die Site-Organisationseinheit (OU) Berechtigungen zum Erstellen von Objekten (SCP, Container und Sicherheitsgruppen) haben.

Wenn keine Organisationseinheit für die Site vorhanden ist, benötigt der Administrator die Rechte, eine zu erstellen. Citrix empfiehlt, dass der AD-Domänenadministrator vorab eine OU erstellt und dem Citrix Siteadministrator die Berechtigungen überträgt. Das Skript kann auch die Organisationseinheit für die Site erstellen. Dazu benötigt der Administrator die Berechtigung zum Erstellen von Organisationseinheiten für die übergeordnete Organisationseinheit der neuen Organisationseinheit. Wie bereits erwähnt, empfiehlt Citrix dies jedoch nicht.

Zum späteren Hinzufügen oder Entfernen eines Controllers muss der Citrix Administrator die Berechtigungen zum Hinzufügen/Entfernen einer Maschine zur/aus der Sicherheitsgruppe und zum Erstellen/Löschen eines SCPs haben.

Bei normalen Vorgängen benötigen Controller und VDAs Leserechte für alle Objekte in der Organisationseinheit und darunter. VDAs greifen als eigene Computeridentität auf die Organisationseinheit zu. Diese Computeridentität benötigt mindestens Leserechte in der Organisationseinheit, um Controller erkennen zu können. Ein Controller benötigt auch die Rechte, um Eigenschaften für sein eigenes SCP-Objekt im Container festzulegen.

Wenn Sie dem Citrix Administrator volle Rechte für die untergeordneten OUs gewähren, werden alle diese Aktionen zugelassen. Wenn Ihre Bereitstellung jedoch strengere Sicherheitsanforderungen aufweist (z. B. einschränken, wer das Skript für welche Aktion verwenden kann), können Sie mit dem Assistenten zum Delegieren der Steuerung bestimmte Rechte festlegen. Im folgenden Beispiel werden die Rechte zum Erstellen der Site gewährt.

1. Erstellen Sie eine Organisationseinheit (OU) für die untergeordneten Objekte: Dienstverbindungspunkt (SCP), Container und Sicherheitsgruppe.
2. Wählen Sie die Organisationseinheit aus, klicken Sie mit der rechten Maustaste und wählen Sie Objektverwaltung zuweisen.
3. Geben Sie im Assistenten zum Zuweisen der Objektverwaltung den Domänenbenutzer für die Zuweisung der Objektverwaltung für die OU an.
4. Wählen Sie auf der Seite Zuzuweisende Aufgaben die Option Benutzerdefinierte Tasks zum Zuweisen erstellen.
5. Übernehmen Sie auf der Seite Active Directory-Objekttyp den Standardwert Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekten in diesem Ordner.
6. Aktivieren Sie auf der Seite Berechtigungen die Kontrollkästchen Alle untergeordneten Objekte schreiben und erstellen .
7. Beenden Sie den Assistenten, um die Berechtigungen zu bestätigen.