Citrix Virtual Apps and Desktops

Active Directory

Active Directory ist zum Authentifizieren und Autorisieren erforderlich. Mit der Kerberos-Infrastruktur in Active Directory wird die Authentizität und Vertraulichkeit der Kommunikation zwischen den Delivery Controllern garantiert. Informationen zu Kerberos finden Sie in der Dokumentation von Microsoft.

Der Artikel Systemanforderungen enthält die unterstützten Funktionsebenen für Gesamtstruktur und Domäne. Zum Verwenden der Richtlinienmodellierung muss der Domänencontroller unter Windows Server 2003 bis Windows Server 2012 R2 ausgeführt werden. Dies hat keine Auswirkung auf die Domänenfunktionsebene.

Dieses Produkt unterstützt Folgendes:

  • Bereitstellungen, in denen die Benutzerkonten und Computerkonten in Domänen in einer einzigen Active Directory-Gesamtstruktur bestehen. Benutzer- und Computerkonten können in beliebigen Domänen in einer Gesamtstruktur bestehen. Alle Domänen- und Gesamtstrukturebenen werden in diesem Bereitstellungstyp unterstützt.
  • Bereitstellungen, in denen die Benutzerkonten und die Computerkonten der Controller und virtuellen Desktops in unterschiedlichen Active Directory-Gesamtstrukturen bestehen. Bei diesem Bereitstellungstyp muss eine Vertrauensstellung zwischen den Domänen mit den Computerkonten der Controller und virtuellen Desktops und den Domänen mit den Benutzerkonten bestehen. Sie können Gesamtstruktur- oder externe Vertrauensstellungen verwenden. Alle Domänen- und Gesamtstrukturebenen werden in diesem Bereitstellungstyp unterstützt.
  • Bereitstellungen, in denen die Computerkonten für Controller in einer Active Directory-Gesamtstruktur bestehen, die sich von den zusätzlichen Active Directory-Gesamtstrukturen mit den Computerkonten für die virtuellen Desktops unterscheidet. Bei diesem Bereitstellungstyp muss eine bidirektionale Vertrauensstellung zwischen den Domänen mit den Computerkonten der Controller und allen Domänen mit den Computerkonten der virtuellen Desktops bestehen. Bei diesem Bereitstellungstyp müssen alle Domänen mit Computerkonten für Controller oder virtuelle Desktops mindestens auf der Funktionsebene “Windows 2000 native” sein. Alle Funktionsebenen der Gesamtstruktur werden unterstützt.
  • Beschreibbarer Domänencontroller. Schreibgeschützte Domänencontroller werden nicht unterstützt.

Virtual Delivery Agents (VDAs) können mit in Active Directory veröffentlichten Informationen die Contoller ermitteln, bei denen sie sich registrieren können (Discovery). Diese Methode wird primär für Abwärtskompatibilität unterstützt und ist nur verfügbar, wenn die VDAs und die Controller in derselben Active Directory-Gesamtstruktur sind. Weitere Informationen zu dieser Discoverymethode finden Sie unter Auf Organisationseinheiten von Active Directory basierende Discovery und CTX118976.

Hinweis:

Ändern Sie weder den Computernamen noch die Domänenmitgliedschaft eines Delivery Controllers, nachdem Sie die Site konfiguriert haben.

Bereitstellen in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen

Diese Informationen gelten für Versionen ab XenDesktop 7.1 und XenApp 7.5. Sie gelten nicht für ältere Versionen von XenDesktop und XenApp.

Bei einer Active Directory-Umgebung mit mehreren Gesamtstrukturen und unidirektionalen oder bidirektionalen Vertrauensstellungen können Sie DNS-Weiterleitungen oder bedingte Weiterleitungen zur Suche und Registrierung von Namen verwenden. Mit dem Assistenten zum Zuweisen der Objektverwaltung können Sie den entsprechenden Active Directory-Benutzern das Erstellen von Computerkonten ermöglichen. Weitere Informationen zu dem Assistenten finden Sie in der Microsoft-Dokumentation.

In der DNS-Infrastruktur sind keine Reverse-DNS-Zonen erforderlich, wenn die entsprechenden DNS-Weiterleitungen zwischen Gesamtstrukturen eingerichtet sind.

Der SupportMultipleForest-Schlüssel ist erforderlich, wenn der VDA und der Controller in unterschiedlichen Gesamtstrukturen eingerichtet sind, unabhängig davon, ob sich die Active Directory- und NetBIOS-Namen voneinander unterscheiden. Mit den folgenden Informationen fügen Sie zu VDA und Delivery Controllern einen Registrierungsschlüssel hinzu:

Achtung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie ein Backup der Registrierung, bevor Sie sie bearbeiten.

Konfigurieren Sie auf dem VDA Folgendes: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.

  • Name:SupportMultipleForest
  • Typ: REG_DWORD
  • Wert: 0x00000001 (1)

Konfigurieren Sie auf allen Delivery Controllern Folgendes: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.

  • Name:SupportMultipleForest
  • Typ: REG_DWORD
  • Wert: 0x00000001 (1)

Sie müssen möglicherweise die DNS-Konfiguration umkehren, wenn sich der DNS-Namespace vom Active Directory-Namespace unterscheidet.

Ein Registrierungseintrag wurde hinzugefügt, um das Aktivieren der NTLM-Authentifizierung in VDAs zu vermeiden, da dies weniger Sicherheit bietet als Kerberos. Dieser Eintrag kann anstelle des Eintrags SupportMultipleForest verwendet werden, der aus Gründen der Abwärtskompatibilität weiterhin verwendet werden kann.

Konfigurieren Sie Folgendes auf dem VDA: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.

  • Name:SupportMultipleForestDdcLookup
  • Typ: REG_DWORD
  • Wert: 0x00000001 (1)

Dieser Registrierungsschlüssel führt eine DDC-Suche in einer Umgebung mit mehreren Gesamtstrukturen und bidirektionaler Vertrauensstellung durch. Damit können Sie die NTLM-basierte Authentifizierung während der ersten Registrierung entfernen.

Wenn externe Vertrauensstellungen während des Setups vorhanden sind, ist der Registrierungsschlüssel ListOfSIDs erforderlich. Der Registrierungsschlüssel ListOfSIDs ist auch erforderlich, wenn Active Directory und DNS unterschiedliche vollqualifizierte Domänennamen (FQDN) verwenden, oder wenn die Domäne mit dem Domänencontroller einen anderen NetBIOS-Namen hat als der Active Directory-FQDN. Verwenden Sie zum Hinzufügen des Registrierungsschlüssels die folgenden Informationen:

Suchen Sie für den VDA den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.

  • Name:ListOfSIDs
  • Typ: REG_SZ
  • Daten: Sicherheits-ID (SID) der Controller (SIDs werden im Ergebnis des Cmdlets Get-BrokerController angezeigt.)

Wenn externe Vertrauensstellungen vorhanden sind, nehmen Sie die folgende Änderung auf dem VDA vor:

  1. Suchen Sie die Datei Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config.
  2. Erstellen Sie ein Backup der Datei.
  3. Öffnen Sie die Datei in einem Textbearbeitungsprogramm, z. B. Editor.
  4. Suchen Sie den Text allowNtlm="false" und ändern Sie ihn in allowNtlm="true".
  5. Speichern Sie die Datei.

Nach dem Hinzufügen des Registrierungsschlüssels ListOfSIDs und der Bearbeitung der Datei brokeragent.exe.config starten Sie den Citrix Desktopdienst neu, um die Änderungen anzuwenden.

In der folgenden Tabelle werden die unterstützten Vertrauenstypen aufgeführt:

Vertrauenstyp Transitivität Richtung In diesem Release unterstützt
Über-/untergeordnet Transitiv Bidirektional Ja
Strukturstamm Transitiv Bidirektional Ja
Externe Schicht Nicht transitiv Unidirektional oder bidirektional Ja
Gesamtstruktur Transitiv Unidirektional oder bidirektional Ja
Verknüpfung Transitiv Unidirektional oder bidirektional Ja
Bereich Transitiv oder nicht transitiv Unidirektional oder bidirektional Nein

Weitere Informationen über komplexe Active Directory-Umgebungen finden Sie unter CTX134971.

Active Directory