Produktdokumentation
Erweiterte Konzepte

Active Directory OU-basierte Controller-Ermittlung

June 16, 2026
Beitrag von: 
C C

Diese Delivery Controller™-Ermittlungsmethode wird hauptsächlich aus Gründen der Abwärtskompatibilität unterstützt und ist nur für Virtual Delivery Agents (VDAs) für Windows-Desktop-Betriebssysteme gültig, nicht für VDAs für Windows-Server-Betriebssysteme.

Informationen zu anderen konfigurierbaren Methoden, die VDAs die Registrierung bei Controllern ermöglichen (einschließlich empfohlener Methoden), finden Sie unter VDA-Registrierung bei Controllern.

Die Active Directory-basierte Ermittlung erfordert, dass alle Computer in einer Site Mitglieder einer Domäne sind, mit gegenseitigen Vertrauensstellungen zwischen der vom Controller verwendeten Domäne und den von den Desktops verwendeten Domänen. Wenn Sie diese Methode verwenden, müssen Sie die GUID der OU in jeder Desktop-Registrierung konfigurieren.

Um eine OU-basierte Controller-Ermittlung durchzuführen, führen Sie das PowerShell-Skript Set-ADControllerDiscovery.ps1 auf dem Controller aus (jeder Controller enthält dieses Skript im Ordner $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Um das Skript auszuführen, müssen Sie über CreateChild-Berechtigungen für eine übergeordnete OU sowie über vollständige Administratorrechte verfügen.

Wenn Sie eine Site erstellen, muss eine entsprechende Organisationseinheit (OU) in Active Directory erstellt werden, wenn Desktops die Controller in der Site über Active Directory ermitteln sollen. Die OU kann in jeder Domäne in der Gesamtstruktur erstellt werden, die Ihre Computer enthält. Als Best Practice sollte die OU auch die Controller in der Site enthalten, dies ist jedoch nicht zwingend erforderlich. Ein Domänenadministrator mit entsprechenden Berechtigungen kann die OU als leeren Container erstellen und dann die administrative Autorität über die OU an einen Citrix-Administrator delegieren.

Das Skript erstellt mehrere wesentliche Objekte. Es werden nur Standard-Active Directory-Objekte erstellt und verwendet. Eine Schemaerweiterung ist nicht erforderlich.

  • Eine Sicherheitsgruppe für Controller. Das Computerkonto aller Controller in der Site muss Mitglied dieser Sicherheitsgruppe sein. Desktops in einer Site akzeptieren Daten von Controllern nur, wenn diese Mitglieder dieser Sicherheitsgruppe sind.

    Stellen Sie sicher, dass alle Controller auf allen virtuellen Desktops, auf denen der VDA ausgeführt wird, über das Privileg „Auf diesen Computer vom Netzwerk aus zugreifen“ verfügen. Dies können Sie erreichen, indem Sie der Controller-Sicherheitsgruppe dieses Privileg erteilen. Wenn Controller dieses Privileg nicht haben, registrieren sich die VDAs nicht.

  • Ein Service Connection Point (SCP)-Objekt, das Informationen über die Site enthält, z. B. den Sitenamen. Wenn Sie das Verwaltungstool „Active Directory-Benutzer und -Computer“ verwenden, um eine Site-OU zu überprüfen, müssen Sie möglicherweise „Erweiterte Funktionen“ im Menü „Ansicht“ aktivieren, um SCP-Objekte anzuzeigen.

  • Ein Container namens RegistrationServices, der in der Site-OU erstellt wird. Dieser enthält ein SCP-Objekt für jeden Controller in der Site. Jedes Mal, wenn der Controller startet, validiert er den Inhalt seines SCP und aktualisiert ihn bei Bedarf.

Wenn mehrere Administratoren nach der Erstinstallation wahrscheinlich Controller hinzufügen und entfernen, benötigen sie Berechtigungen zum Erstellen und Löschen von untergeordneten Objekten im RegistrationServices-Container und Schreibberechtigungen für die Controller-Sicherheitsgruppe. Diese Berechtigungen werden dem Administrator, der das Skript Set-ADControllerDiscovery.ps1 ausführt, automatisch erteilt. Der Domänenadministrator oder der ursprüngliche Installationsadministrator kann diese Berechtigungen erteilen, und Citrix empfiehlt, hierfür eine Sicherheitsgruppe einzurichten.

Bei Verwendung einer Site-OU:

  • Informationen werden nur dann in Active Directory geschrieben, wenn diese Software installiert oder deinstalliert wird oder wenn ein Controller startet und die Informationen in seinem SCP aktualisieren muss (z. B. weil der Controller umbenannt wurde oder der Kommunikationsport geändert wurde). Standardmäßig richtet das Skript Set-ADControllerDiscovery.ps1 die Berechtigungen für die Objekte in der Site-OU entsprechend ein, wobei jedem Controller Schreibzugriff auf sein SCP gewährt wird. Der Inhalt der Objekte in der Site-OU wird verwendet, um Vertrauen zwischen Desktops und Controllern herzustellen. Stellen Sie sicher, dass:
    • Nur autorisierte Administratoren Computer zur Controller-Sicherheitsgruppe hinzufügen oder daraus entfernen können, indem sie die Zugriffssteuerungsliste (ACL) der Sicherheitsgruppe verwenden.
    • Nur autorisierte Administratoren und der jeweilige Controller können die Informationen im SCP des Controllers ändern.
  • Wenn Ihre Bereitstellung Replikation verwendet, beachten Sie mögliche Verzögerungen. Weitere Informationen finden Sie in der Microsoft-Dokumentation. Dies ist besonders wichtig, wenn Sie die Site-OU in einer Domäne erstellen, die Domänencontroller in mehreren Active Directory-Sites hat. Abhängig vom Standort der Desktops, Controller und Domänencontroller sind Änderungen, die in Active Directory vorgenommen werden, wenn Sie die Site-OU initial erstellen, Controller installieren oder deinstallieren oder Controller-Namen oder Kommunikationsports ändern, möglicherweise erst für Desktops sichtbar, wenn diese Informationen auf den entsprechenden Domänencontroller repliziert wurden. Zu den Symptomen einer solchen Replikationsverzögerung gehören Desktops, die keine Verbindung zu Controllern herstellen können und daher für Benutzerverbindungen nicht verfügbar sind.
  • Diese Software verwendet mehrere Standardattribute von Computerobjekten in Active Directory, um Desktops zu verwalten. Abhängig von Ihrer Bereitstellung kann der vollqualifizierte Domänenname des Maschinenobjekts, wie er im Active Directory-Eintrag des Desktops gespeichert ist, als Teil der Verbindungseinstellungen enthalten sein, die dem Benutzer für eine Verbindung zurückgegeben werden. Stellen Sie sicher, dass diese Informationen mit den Informationen in Ihrer DNS-Umgebung übereinstimmen.

Um einen Controller mithilfe der OU-basierten Controller-Ermittlung in eine andere Site zu verschieben, befolgen Sie die obigen Anweisungen zum Verschieben eines Controllers. Nachdem Sie den Controller aus der alten Site entfernt haben (Schritt 2), führen Sie das PowerShell-Skript Set-ADControllerDiscovery –sync aus. Dieses Skript synchronisiert die OU mit dem aktuellen Satz von Controllern. Nachdem Sie der vorhandenen Site beigetreten sind (Schritt 3), führen Sie dasselbe Skript auf jedem Controller in der neuen Site aus.

Berechtigungen, die für die OU-basierte Ermittlung erforderlich sind

Um eine Site zu erstellen, muss der Citrix-Administrator, der das Skript ausführt, Rechte über die Site-OU haben, um Objekte (SCP, Container und Sicherheitsgruppe) zu erstellen.

Wenn die Site-OU nicht vorhanden ist, muss der Administrator auch Rechte haben, diese zu erstellen. Citrix empfiehlt, dass der AD-Domänenadministrator diese OU vorab erstellt und die Rechte daran der Citrix Site-Administratoridentität delegiert. Optional kann das Skript auch die Site-OU erstellen. Um dies zu ermöglichen, benötigt der Administrator das Recht „OU erstellen“ für die übergeordnete OU der neuen OU. Wie jedoch erwähnt, empfiehlt Citrix dies nicht.

Später, um einen Controller zur Site hinzuzufügen oder daraus zu entfernen, muss der Citrix-Administrator Rechte haben, eine Maschine aus der Sicherheitsgruppe hinzuzufügen/zu entfernen und einen SCP zu erstellen/zu löschen.

Im normalen Betrieb benötigen Controller und VDAs Leserechte für alle Objekte in der OU und darunter. VDAs greifen als ihre eigene Maschinenidentität auf die OU zu; diese Maschinenidentität benötigt mindestens Leserechte in der OU, um Controller ermitteln zu können. Ein Controller benötigt auch die Rechte, Eigenschaften für sein eigenes SCP-Objekt im Container festzulegen.

Die Gewährung voller Rechte für die untergeordneten OUs an den Citrix-Administrator ermöglicht all diese Aktionen. Wenn Ihre Bereitstellung jedoch strengere Sicherheitsanforderungen hat (z. B. die Einschränkung, wer das Skript für welche Aktion verwenden darf), können Sie den Assistenten zur Delegierung von Berechtigungen verwenden, um spezifische Rechte festzulegen. Das folgende Beispielverfahren gewährt Rechte zum Erstellen der Site.

  1. Erstellen Sie eine OU, um die untergeordneten Objekte (Service Connection Point (SCP), Container und Sicherheitsgruppe) aufzunehmen.
  2. Wählen Sie die OU aus, klicken Sie dann mit der rechten Maustaste und wählen Sie Steuerung delegieren.
  3. Geben Sie im Assistenten zur Delegierung von Berechtigungen den Domänenbenutzer an, an den die Steuerung für die OU delegiert werden soll.
  4. Wählen Sie auf der Seite Zu delegierende Aufgaben die Option Benutzerdefinierte Aufgabe zur Delegierung erstellen.
  5. Akzeptieren Sie auf der Seite Active Directory-Objekttyp die Standardeinstellung Dieser Ordner, vorhandene Objekte in diesem Ordner und Erstellung neuer Objekte in diesem Ordner.
  6. Auf der Seite Berechtigungen aktivieren Sie die Kontrollkästchen Alle untergeordneten Objekte schreiben und erstellen.
  7. Schließen Sie den Assistenten ab, um die Berechtigungen zu bestätigen.
Active Directory OU-basierte Controller-Ermittlung
June 16, 2026
Beitrag von: 
C C
June 16, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.