Citrix Cloud

Active Directory mit Connector Appliance

Sie können Connector Appliances verwenden, um einen Ressourcenstandort mit Gesamtstrukturen zu verbinden, die keine Citrix Virtual Apps and Desktops-Ressourcen enthalten. Zum Beispiel im Fall von Citrix Secure Private Access-Kunden oder Citrix Virtual Apps and Desktops-Kunden mit einigen Gesamtstrukturen, die nur für die Benutzerauthentifizierung verwendet werden.

Wenn Sie Active Directory mit mehreren Domänen mit Connector Appliance verwenden, gelten die folgenden Einschränkungen:

  • Connector Appliances können nicht anstelle von Cloud Connectors in Gesamtstrukturen verwendet werden, die VDAs enthalten.

Anforderungen

Active Directory-Anforderungen

  • Teil einer Active Directory-Domäne, die die Ressourcen und Benutzer enthält, die Sie zum Erstellen von Angeboten für Ihre Benutzer verwenden. Weitere Informationen finden Sie unter Bereitstellungsszenarios für Connector Appliances in Active Directory in diesem Artikel.
  • Jede Active Directory-Gesamtstruktur, die für Citrix Cloud verwendet werden soll, muss immer über zwei Connector Appliances erreichbar sein.
  • Die Connector Appliance muss Domänencontroller in der Stammdomäne der Gesamtstruktur und in den Domänen, die Sie mit Citrix Cloud verwenden möchten, erreichen können. Weitere Informationen hierzu finden Sie in den folgenden Microsoft-Supportartikeln:
  • Verwenden Sie universelle Sicherheitsgruppen anstelle von globalen Sicherheitsgruppen. Diese Konfiguration stellt sicher, dass die Benutzergruppenzugehörigkeit von jedem Domänencontroller in der Gesamtstruktur bezogen werden kann.

Netzwerkanforderungen

  • Mit einem Netzwerk verbunden, über das Zugriff auf die Ressourcen besteht, die Sie am Ressourcenstandort verwenden.
  • Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unter Anforderungen an System und Konnektivität.

Zusätzlich zu den unter Kommunikation der Connector Appliance aufgeführten Ports erfordert die Connector Appliance eine ausgehende Verbindung zur Active Directory-Domäne über folgende Ports:

Service Port Unterstütztes Domänenprotokoll
Kerberos 88 TCP/UDP
End Point Mapper (DCE/RPC Locator Service) 135 TCP
NetBIOS-Namensdienst 137 UDP
NetBIOS-Datagramm 138 UDP
NetBIOS-Sitzung 139 TCP
LDAP 389 TCP/UDP
SMB über TCP 445 TCP
Kerberos kpasswd 464 TCP/UDP
Globaler Katalog 3268 TCP
Dynamische RPC-Ports 49152–65535 TCP

Das Connectorgerät verwendet LDAP-Signatur zum Sichern von Verbindungen zum Domänencontroller. Dies bedeutet, dass LDAP über SSL (LDAPS) nicht erforderlich ist. Weitere Informationen zur LDAP-Signatur finden Sie unter How to enable LDAP signing in Windows Server und Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing.

Unterstützte Funktionsebenen von Active Directory

Die Connector Appliance wurde getestet und wird durch die folgenden Funktionsebenen für Active Directory-Gesamtstrukturen und -Domänen unterstützt.

Funktionsebene Domänenfunktionsebene Unterstützte Domänencontroller
Windows Server 2016 Windows Server 2016 Windows Server 2019

Andere Kombinationen aus Domänencontroller, Gesamtstrukturfunktionsebene und Domänenfunktionsebene wurden nicht mit der Connector Appliance getestet. Diese Kombinationen sollten jedoch funktionieren und werden unterstützt.

Active Directory-Domäne mit Citrix Cloud über die Connector Appliance verbinden

Wenn Sie eine Verbindung zur Verwaltungswebseite der Connector Appliance herstellen, werden im Abschnitt der Active Directory-Domänen zwei Registerkarten angezeigt.

  • Joined Domains: Wird verwendet, um die Connector Appliance mit AD-Domänen zu verbinden, indem ein Maschinenkonto für die Appliance in der Domäne erstellt wird. Kerberos kann validiert werden, indem Sie auf die Auslassungspunkte rechts neben der verbundenen Domäne klicken. Das Vorhandensein eines Maschinenkontos in der Domäne ist erforderlich.

  • Service Accounts: Wird als Teil einer Secure Private Access-Lösung (SPA) verwendet, um Kerberos-SSO über ein Dienstkonto anstelle des Maschinenkontos, das durch den Beitritt zur Domäne erstellt wurde, zu implementieren. Kerberos kann validiert werden, indem Sie auf die Auslassungspunkte rechts neben dem Dienstkonto klicken. Es ist nicht zwingend erforderlich, dass der Maschine eine bestimmte Domäne zugeordnet ist. Selbst wenn die Connector Appliance nicht mit der Domäne verbunden ist, kann sie eine Verbindung zum Domänencontroller herstellen.

Verbundene Domänen

Dienstdomänen

Führen Sie die folgenden Schritte aus, um Active Directory für die Verbindung mit Citrix Cloud über die Connector Appliance zu konfigurieren.

  1. Installieren Sie eine Connector Appliance an Ihrem Ressourcenstandort.

    Sie können den Informationen in der Produktdokumentation zur Connector Appliance folgen.

  2. Stellen Sie in Ihrem Browser über die in der Connector Appliance-Konsole angegebene IP-Adresse eine Verbindung zur Connector Appliance-Verwaltungsseite her.

  3. Gehen Sie im Abschnitt Active Directory domains zur Registerkarte Joined domains.

  4. Klicken Sie auf + Add Active Directory domain. Ein Popup-Fenster zum Eingeben des Domänennamens wird angezeigt.

    Die Connector Appliance überprüft die Domäne. Wenn die Prüfung erfolgreich ist, wird das Dialogfeld Active Directory beitreten geöffnet. In diesem Fenster können Sie den Benutzernamen und das Kennwort für den Domänenbetritt eingeben.

  5. Klicken Sie auf Hinzufügen.
  6. Geben Sie den Benutzernamen und das Kennwort eines Active Directory-Benutzers ein, der über eine Beitrittsberechtigung für die Domäne verfügt.
  7. Die Connector Appliance schlägt einen Maschinennamen vor. Sie können den vorgeschlagenen Namen überschreiben und Ihren eigenen Maschinennamen mit einer Länge von bis zu 15 Zeichen angeben.

    Dieser Maschinenname wird in der Active Directory-Domäne erstellt, wenn die Connector Appliance beitritt.

  8. Klicken Sie auf Beitreten.

    Die Domäne wird jetzt im Abschnitt Active Directory-Domänen der Benutzeroberfläche der Connector Appliance aufgeführt.

  9. Zum Hinzufügen weiterer Active Directory-Domänen wählen Sie + Active Directory-Domäne hinzufügen aus, und wiederholen Sie die vorherigen Schritte.
  10. Gehen Sie zur Seite “Domänen” in der Citrix Cloud-Konsole und wählen Sie Connector Appliance, um Ihre Domänen zu warten.

  11. Wenn Sie Ihre Connector Appliance noch nicht registriert haben, fahren Sie mit den unter Connector Appliance bei Citrix Cloud registrieren beschriebenen Schritten fort.

Tritt beim Domänenbeitritt ein Fehler auf, vergewissern Sie sich, dass Ihre Umgebung die Anforderungen an Active Directory und Netzwerk erfüllt.

Nächste Schritte

  • Sie können dieser Connector Appliance weitere Domänen hinzufügen.

    Hinweis:

    Die Connector Appliance wurde mit bis zu 10 Gesamtstrukturen getestet.

  • Fügen Sie aus Gründen der Ausfallsicherheit jede Domäne mehr als einer Connector Appliance an jedem Ressourcenstandort hinzu.

Anzeigen der Active Directory-Konfiguration

Sie können die Konfiguration der Active Directory-Domänen und Connector Appliances an Ihren Ressourcenstandorten an folgenden Stellen anzeigen:

  • In Citrix Cloud:

    1. Gehen Sie im Menü zur Seite Identitäts- und Zugriffsverwaltung.
    2. Gehen Sie zur Registerkarte Domänen.

      Ihre Active Directory-Domänen werden mit den Ressourcenstandorten aufgeführt, zu denen sie gehören.

  • Auf der Connector Appliance-Webseite:

    1. Stellen Sie über die in der Connector Appliance-Konsole angegebene IP-Adresse eine Verbindung zur Connector Appliance-Webseite her.
    2. Melden Sie sich mit dem Kennwort an, das Sie bei Ihrer ersten Registrierung erstellt haben.
    3. Im Abschnitt Active Directory-Domänen der Seite sehen Sie die Liste der Active Directory-Domänen, mit denen diese Connector Appliance verbunden ist.

Active Directory-Domäne von einer Connector Appliance entfernen

Führen Sie die folgenden Schritte aus, um eine Active Directory-Domäne zu verlassen:

  1. Stellen Sie über die in der Connector Appliance-Konsole angegebene IP-Adresse eine Verbindung zur Connector Appliance-Webseite her.
  2. Melden Sie sich mit dem Kennwort an, das Sie bei Ihrer ersten Registrierung erstellt haben.
  3. Suchen Sie im Abschnitt Active Directory-Domänen der Seite in der Liste der verbundenen Active Directory-Domänen die Domäne, die Sie verlassen möchten.
  4. Notieren Sie den Namen des Maschinenkontos, das von Ihrer Connector Appliance erstellt wurde.
  5. Klicken Sie auf das Symbol zum Löschen (Papierkorb) neben der Domäne. Ein Bestätigungsdialogfeld wird angezeigt.
  6. Klicken Sie auf Weiter, um die Aktion zu bestätigen.
  7. Gehen Sie zu Ihrem Active Directory-Controller.
  8. Löschen Sie das von Ihrer Connector Appliance erstellte Maschinenkonto aus dem Controller.

Bereitstellungsszenarios für die Verwendung von Connector Appliances mit Active Directory

Sie können sowohl über Cloud Connector als auch Connector Appliances eine Verbindung zu Active Directory-Controllern herstellen. Welche Art von Connector verwendet werden sollte, hängt von Ihrer Bereitstellung ab.

Weitere Informationen zur Verwendung von Cloud Connectors mit Active Directory finden Sie unter Bereitstellungsszenarios für Cloud Connectors in Active Directory.

Verwenden Sie die Connector Appliance, um Ihren Ressourcenstandort in den folgenden Situationen mit der Active Directory-Gesamtstruktur zu verbinden:

  • Sie richten Secure Private Access ein. Weitere Informationen finden Sie unter Secure Private Access mit Connector Appliance.
  • Eine oder mehrere Ihrer Gesamtstrukturen werden nur für die Benutzerauthentifizierung verwendet.
  • Sie möchten die Anzahl der für die Unterstützung mehrerer Gesamtstrukturen erforderlichen Connectors reduzieren.
  • Sie benötigen eine Connector Appliance für andere Anwendungsfälle

Nur Benutzer in einer oder mehreren Gesamtstrukturen mit einem einzigen Connector Appliances-Satz für alle Gesamtstrukturen

Dieses Szenario gilt für Kunden der Standardversion von Workspace oder Kunden, die Connector Appliances für Secure Private Access verwenden.

In diesem Szenario gibt es mehrere Gesamtstrukturen, die nur Benutzerobjekte (forest1.local, forest2.local) enthalten. Diese Gesamtstrukturen enthalten keine Ressourcen. Ein Satz von Connector Appliances wird innerhalb eines Ressourcenstandorts bereitgestellt und mit den Domänen für jede dieser Gesamtstrukturen verbunden.

  • Vertrauensstellung: Ohne
  • In Identitäts- und Zugriffsverwaltung aufgeführte Domänen: forest1.local, forest2.local
  • Benutzeranmeldungen bei Citrix Workspace: Für alle Benutzer unterstützt
  • Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt

Benutzer und Ressourcen in getrennten Gesamtstrukturen (mit Vertrauensstellung) mit einem einzigen Connector Appliances-Satz für alle Gesamtstrukturen

Dieses Szenario gilt für Kunden von Citrix Virtual Apps and Desktops mit mehreren Gesamtstrukturen.

In diesem Szenario enthalten einige Gesamtstrukturen (resourceforest1.local, resourceforest2.local) Ihre Ressourcen (z. B. VDAs), und einige Gesamtstrukturen (userforest1.local, userforest2.local) enthalten nur Ihre Benutzer. Zwischen diesen Gesamtstrukturen besteht eine Vertrauensstellung, sodass Benutzer sich an Ressourcen anmelden können.

Ein Cloud Connector-Satz wird innerhalb der Gesamtstruktur resourceforest1.local bereitgestellt. Ein separater Cloud Connector-Satz wird innerhalb der Gesamtstruktur resourceforest2.local bereitgestellt.

Ein Connector Appliances-Satz wird innerhalb der Gesamtstruktur userforest1.local bereitgestellt, und derselbe Satz wird innerhalb der Gesamtstruktur userforest2.local bereitgestellt.

  • Vertrauensstellung: Bidirektionale Gesamtstruktur-Vertrauensstellung oder unidirektionale Vertrauensstellung von den Ressourcengesamtstrukturen zu den Benutzergesamtstrukturen
  • In Identitäts- und Zugriffsverwaltung aufgeführte Domänen: resourceforest1.local, resourceforest2.local, userforest1.local, userforest2.local
  • Benutzeranmeldungen bei Citrix Workspace: Für alle Benutzer unterstützt
  • Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt