Product Documentation

Konfigurieren der eingeschränkten Kerberos-Delegierung für XenApp 6.5

Jan 10, 2017

Verwenden Sie die Aufgabe Kerberos-Delegierung konfigurieren um anzugeben, ob in StoreFront die eingeschränkte Kerberos-Delegierung mit Einzeldomäne für die Authentifizierung bei Delivery Controllern verwendet werden soll.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

  1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Kerberos-Delegierung konfigurieren.
  3. Aktivieren oder deaktivieren Sie nach Bedarf das Kontrollkästchen Kerberos-Delegierung zum Authentifizieren bei Delivery Controllern verwenden, um die eingeschränkte Kerberos-Delegierung zu aktivieren bzw. zu deaktivieren.

Konfigurieren des StoreFront-Servers für die Delegierung

Verwenden Sie dieses Verfahren, wenn StoreFront nicht auf der gleichen Maschine wie XenApp installiert ist.

  1. Öffnen Sie auf dem Domänencontroller das MMC-Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.
  3. Klicken Sie im linken Bereich unter dem Domänennamen auf den Knoten Computer und wählen Sie den StoreFront-Server aus.
  4. Klicken Sie im Bereich Aktionen auf Eigenschaften.
  5. Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.
  7. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Servers ein, auf dem der Citrix XML-Dienst (XenApp) ausgeführt wird, und klicken Sie auf OK.
  8. Wählen Sie in der Liste den Diensttyp "HTTP" aus und klicken Sie auf OK.
  9. Übernehmen Sie die Änderungen und schließen Sie das Dialogfeld.

Konfigurieren des XenApp-Servers für die Delegierung

Konfigurieren Sie die vertrauenswürdige Active Directory-Delegierung für jeden XenApp-Server.

  1. Öffnen Sie auf dem Domänencontroller das MMC-Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich unter dem Domänennamen auf den Knoten Computer und wählen Sie den Server mit dem Citrix XML-Dienst (XenApp) aus, zu dem StoreFront eine Verbindung herstellen soll.
  3. Klicken Sie im Bereich Aktionen auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.
  6. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Servers ein, auf dem der Citrix XML-Dienst (XenApp) ausgeführt wird, und klicken Sie auf OK.
  7. Wählen Sie in der Liste den Diensttyp "HOST" aus, klicken Sie auf OK und klicken Sie auf Hinzufügen.
  8. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Domänencontrollers ein und klicken Sie dann auf OK.
  9. Wählen Sie die Diensttypen cifs und ldap aus der Liste aus und klicken Sie auf OK. Hinweis: Wenn für den Dienst ldap zwei Optionen angezeigt werden, wählen Sie die Option aus, die mit dem vollqualifizierten Domänennamen des Domänencontrollers übereinstimmt.
  10. Übernehmen Sie die Änderungen und schließen Sie das Dialogfeld.

Wichtige Hinweise

Bei der Entscheidung, ob Sie die eingeschränkte Kerberos-Delegierung verwenden sollten, berücksichtigen Sie die nachfolgenden Informationen.

  • Wichtige Hinweise:
    • Sie brauchen ssonsvr.exe nicht, es sei denn, Sie verwenden die Passthrough-Authentifizierung (oder die Passthrough-Authentifizierung mit Smartcard-PIN) ohne die eingeschränkte Kerberos-Delegierung.
  • Domänen-Passthrough bei StoreFront und Receiver für Web:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Fügen Sie den vollqualifizierten Domänennamen (FQDN) von StoreFront der Liste der vertrauenswürdigen Websites von Internet Explorer hinzu. Aktivieren Sie die Option Lokalen Benutzernamen verwenden für die vertrauenswürdige Zone in den Sicherheitseinstellungen von Internet Explorer.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode Domänen-Passthrough auf dem StoreFront-Server und aktivieren Sie diese auch für Receiver für Web.
  • StoreFront, Receiver für Web und Smartcardauthentifizierung mit PIN-Eingabeaufforderung:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Die Smartcardauthentifizierung wurde konfiguriert.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Authentifizierungsmethode Smartcard auf dem StoreFront-Server und aktivieren Sie diese auch für Receiver für Web.
    • Um sicherzustellen, dass die Smartcardauthentifizierung ausgewählt ist, aktivieren Sie die Option Lokalen Benutzernamen verwenden in den Sicherheitseinstellungen von Internet Explorer für die Zone der StoreFront-Website nicht.
    • Der Client muss in einer Domäne sein.
  • NetScaler Gateway, StoreFront, Receiver für Web und Smartcardauthentifizierung mit PIN-Eingabeaufforderung:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Die Smartcardauthentifizierung wurde konfiguriert.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Authentifizierungsmethode Passthrough-Authentifizierung von NetScaler Gateway auf dem StoreFront-Server und aktivieren Sie diese auch für Receiver für Web.
    • Um sicherzustellen, dass die Smartcardauthentifizierung ausgewählt ist, aktivieren Sie die Option Lokalen Benutzernamen verwenden in den Sicherheitseinstellungen von Internet Explorer für die Zone der StoreFront-Website nicht.
    • Der Client muss in einer Domäne sein.
    • Konfigurieren Sie NetScaler Gateway für die Smartcardauthentifizierung und konfigurieren Sie einen zusätzlichen virtuellen Server für den Start mit StoreFront HDX-Routing, um den ICA-Datenverkehr über den virtuellen NetScaler Gateway-Server ohne Authentifizierung zu leiten.
  • Receiver für Windows (AuthManager), Smartcardauthentifizierung mit PIN-Eingabeaufforderung und StoreFront:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode Smartcard auf dem StoreFront-Server.
  • Receiver für Windows (AuthManager), Kerberos und StoreFront:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Option Lokalen Benutzernamen verwenden für die vertrauenswürdige Zone in den Sicherheitseinstellungen von Internet Explorer.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode Domänen-Passthrough auf dem StoreFront-Server.
    • Stellen Sie sicher, dass der Registrierungsschlüssel auf folgende Einstellung festgelegt ist:
      Achtung: Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

      32-Bit-Maschinen: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows

      Name: SSONCheckEnabled
      Typ: REG_SZ
      Wert: true oder false

      64-Bit-Maschinen: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows

      Name: SSONCheckEnable
      Typ: REG_SZ
      Wert: true oder false