Product Documentation

Konfigurieren von Domänen-Passthrough-Authentifizierung

Nov 03, 2015

In diesem Abschnitt wird beschrieben, wie Sie Domänen-Passthrough-Authentifizierung für Citrix Receiver mit XenDesktop oder XenApp aktivieren.

Hinweis: In diesem Beispiel werden die Installation von Receiver, die Anwendung der Computerrichtlinie und die Konfiguration einer vertrauenswürdigen Site auf dem Clientbetriebssystem manuell ausgeführt. Wenn eine Vorlage für ein Gruppenrichtlinienobjekt (GPO) erstellt wurde, können Sie sie auf alle Domänen-Clientcomputer anwenden, auf denen Receiver installiert ist.
  1. Installieren Sie Citrix Receiver 4.x mit dem Schalter "/includeSSON".
    1. Installieren Sie mindestens einen StoreFront-Store. Sie können diesen Schritt auch später ausführen. Das Installieren von StoreFront-Stores ist keine Voraussetzung für das Einrichten von Domänen-Passthrough-Authentifizierung. Informationen zur Syntax zum Hinzufügen von StoreFront-Stores finden Sie unter Konfigurieren und Installieren von Receiver für Windows mit Befehlszeilenparametern.
    2. Überprüfen Sie, ob die Passthrough-Authentifizierung aktiviert ist, indem Sie Citrix Receiver starten und dann sicherstellen, dass der Prozess ssonsvr.exe ausgeführt wird.
  2. Fügen Sie die administrative Vorlage "ICA Client GPO" der Lokalen Computerrichtlinie auf der lokalen Maschine des Benutzers und/oder im "Golden Image" des VDA-Desktops hinzu:
    1. Öffnen Sie gpedit.msc.
      Hinweis: Das Snap-In für den Gruppenrichtlinien-Editor, gpedit.msc, ist in der Professional, Enterprise und Ultimate Edition von Windows 7 und Windows 8 verfügbar.
    2. Klicken Sie mit der rechten Maustaste auf Computerkonfiguration > Administrative Vorlagen und wählen Sie Vorlagen hinzufügen/entfernen.
    3. Fügen Sie die Vorlage C:\Programme\Citrix\ICA Client\Configuration\receiver.admx (oder receiver.adml) hinzu.
  3. Aktivieren Sie das Gruppenrichtlinienobjekt des lokalen Computers auf der lokalen Maschine des Benutzers und/oder im "Golden Image" des VDA-Desktops:
    1. Wählen Sie Local user name and password.
    2. Wählen Sie Aktiviert.
    3. Wählen Sie Enable pass-through authentication.
    4. Wählen Sie Allow pass-through authentication for all ICA connections.
    5. Klicken Sie auf OK.
    6. Starten Sie das Golden Image des VDA-Desktops neu.
  4. Melden Sie sich bei dem/den Delivery Controller(n) an, öffnen Sie Windows PowerShell und führen Sie die folgenden Befehle aus, damit der Delivery Controller von StoreFront gesendeten XML-Anfragen vertraut.
    1. Laden Sie ggf. die Citrix Cmdlets, indem Sie Add-PSSnapin Citrix* eingeben und die Eingabetaste drücken.
    2. Drücken Sie die Eingabetaste.
    3. Geben Sie dann Add-PSSnapin citrix.broker.admin.v2 ein und drücken Sie die Eingabetaste.
    4. Geben Sie anschließend Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True ein und drücken Sie die Eingabetaste.
    5. Schließen Sie PowerShell.
  5. Öffnen Sie Internet Explorer auf der lokalen Maschine und/oder im Golden Image des VDA-Desktops.
  6. Fügen Sie die vollständig qualifizierten Namen der StoreFront-Server (ohne den Storepfad) unter Internetoptionen > Sicherheit > Vertrauenswürdige Sites der Liste hinzu. Beispiel: https://storefront.example.com
    Hinweis: Sie können den StoreFront-Server auch mit einem Microsoft-Gruppenrichtlinienobjekt den vertrauenswürdigen Sites hinzufügen. Das Gruppenrichtlinienobjekt nennt sich Liste der Site zu Zonenzuweisungen und ist unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite.
  7. Melden Sie sich von Receiver ab und wieder an.

Wenn Citrix Receiver geöffnet wird und der aktuelle Benutzer an der Domäne angemeldet ist, werden die Anmeldeinformationen des Benutzers an StoreFront weitergeleitet und Apps und Desktops sowie das Startmenü des Benutzers werden innerhalb von Citrix Receiver angezeigt. Wenn der Benutzer auf ein Symbol klickt, leitet Receiver die Domänenanmeldeinformationen des Benutzers an den Delivery Controller weiter und die App oder der Desktop wird geöffnet.

Info über FastConnect-API und HTTP Basic-Authentifizierung

Die FastConnect-API verwendet die HTTP Basic-Authentifizierungsmethode, die oft mit den für Domänenpassthrough verwendeten Authentifizierungsmethoden Kerberos und IWA verwechselt wird. Citrix empfiehlt, dass Sie IWA auf StoreFront und in der ICA-Gruppenrichtlinie deaktivieren.