Konfigurieren der eingeschränkten Kerberos-Delegierung für XenApp 6.5

Hinweis:

XenApp 6.5 hat das Ende des Lebenszyklus (EOL) erreicht und wird jetzt vom Extended Support-Programm abgedeckt.

Verwenden Sie die Aufgabe Storeeinstellungen konfigurieren > Kerberos-Delegierung um anzugeben, ob in StoreFront die eingeschränkte Kerberos-Delegierung mit Einzeldomäne für die Authentifizierung bei Delivery Controllern verwendet werden soll.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Zum Abschluss übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

  1. Klicken Sie auf der Windows-Startseite oder auf der Seite Apps auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Bereich “Aktionen” auf Storeeinstellungen konfigurieren und dann auf “Kerberos-Delegierung”.
  3. Aktivieren oder deaktivieren Sie nach Bedarf “Kerberos-Delegierung zum Authentifizieren bei Delivery Controllern verwenden”, um die eingeschränkte Kerberos-Delegierung zu aktivieren bzw. zu deaktivieren.

Konfigurieren des StoreFront-Servers für die Delegierung

Verwenden Sie dieses Verfahren, wenn StoreFront nicht auf der gleichen Maschine wie Citrix Virtual Apps installiert ist.

  1. Öffnen Sie auf dem Domänencontroller das MMC-Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.
  3. Klicken Sie im linken Bereich unter dem Domänennamen auf den Knoten Computer und wählen Sie den StoreFront-Server aus.
  4. Klicken Sie im Bereich Aktionen auf Eigenschaften.
  5. Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.
  7. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Servers ein, auf dem der XML-Dienst von Citrix Virtual Apps and Desktops ausgeführt wird, und klicken Sie auf OK.
  8. Wählen Sie in der Liste den Diensttyp “HTTP” aus und klicken Sie auf OK.
  9. Übernehmen Sie die Änderungen und schließen Sie das Dialogfeld.

Konfigurieren des Citrix Virtual Apps-Servers für die Delegierung

Konfigurieren Sie die vertrauenswürdige Active Directory-Delegierung für jeden Citrix Virtual Apps-Server.

  1. Öffnen Sie auf dem Domänencontroller das MMC-Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich unter dem Domänennamen auf den Knoten Computer und wählen Sie den Server mit dem XML-Dienst von Citrix Virtual Apps and Desktops aus, mit dem StoreFront eine Verbindung herstellen soll.
  3. Klicken Sie im Bereich Aktionen auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer.
  6. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Servers ein, auf dem der XML-Dienst von Citrix Virtual Apps and Desktops ausgeführt wird, und klicken Sie auf OK.
  7. Wählen Sie in der Liste den Diensttyp “HOST” aus, klicken Sie auf OK und klicken Sie auf Hinzufügen.
  8. Geben Sie im Dialogfeld Benutzer oder Computer auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Domänencontrollers ein und klicken Sie dann auf OK.
  9. Wählen Sie die Diensttypen cifs und ldap aus der Liste aus und klicken Sie auf OK. Hinweis: Wenn für den LDAP-Dienst zwei Optionen angezeigt werden, wählen Sie die Option aus, die mit dem vollqualifizierten Domänennamen des Domänencontrollers übereinstimmt.
  10. Übernehmen Sie die Änderungen und schließen Sie das Dialogfeld.

Wichtige Überlegungen

Bei der Entscheidung, ob Sie die eingeschränkte Kerberos-Delegierung verwenden sollten, berücksichtigen Sie die nachfolgenden Informationen.

  • Wichtige Hinweise:
    • Sie brauchen ssonsvr.exe nicht, es sei denn, Sie verwenden die Passthrough-Authentifizierung (oder die Passthrough-Authentifizierung mit Smartcard-PIN) ohne die eingeschränkte Kerberos-Delegierung.
  • Domänenpassthrough bei StoreFront und Citrix Receiver für Web:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Fügen Sie den vollqualifizierten Domänennamen (FQDN) von StoreFront der Liste der vertrauenswürdigen Websites von Internet Explorer hinzu. Aktivieren Sie die Option Lokalen Benutzernamen verwenden für die vertrauenswürdige Zone in den Sicherheitseinstellungen von Internet Explorer.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode “Domänen-Passthrough” auf dem StoreFront-Server und aktivieren Sie diese auch für Citrix Receiver für Web.
  • StoreFront, Citrix Receiver für Web und Smartcardauthentifizierung mit PIN-Eingabeaufforderung:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Die Smartcardauthentifizierung wurde konfiguriert.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Authentifizierungsmethode “Smartcard” auf dem StoreFront-Server und aktivieren Sie diese auch für Citrix Receiver für Web.
    • Um sicherzustellen, dass die Smartcardauthentifizierung ausgewählt ist, aktivieren Sie die Option Lokalen Benutzernamen verwenden in den Sicherheitseinstellungen von Internet Explorer für die Zone der StoreFront-Website nicht.
    • Der Client muss in einer Domäne sein.
  • Citrix Gateway, StoreFront, Citrix Receiver für Web und Smartcardauthentifizierung mit PIN-Eingabeaufforderung:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Die Smartcardauthentifizierung wurde konfiguriert.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Authentifizierungsmethode “Passthrough-Authentifizierung von Citrix Gateway” auf dem StoreFront-Server und aktivieren Sie diese auch für Citrix Receiver für Web.
    • Um sicherzustellen, dass die Smartcardauthentifizierung ausgewählt ist, aktivieren Sie die Option Lokalen Benutzernamen verwenden in den Sicherheitseinstellungen von Internet Explorer für die Zone der StoreFront-Website nicht.
    • Der Client muss in einer Domäne sein.
    • Konfigurieren Sie Citrix Gateway für die Smartcardauthentifizierung und konfigurieren Sie einen zusätzlichen virtuellen Server für den Start mit StoreFront HDX-Routing, um den ICA-Datenverkehr über den virtuellen Citrix Gateway-Server ohne Authentifizierung zu leiten.
  • Citrix Receiver für Windows bzw. Citrix Workspace-App für Windows (AuthManager), Smartcardauthentifizierung mit PIN-Eingabeaufforderung und StoreFront:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode Smartcard auf dem StoreFront-Server.
  • Citrix Receiver für Windows bzw. Citrix Workspace-App für Windows (AuthManager), Kerberos und StoreFront:
    • Sie brauchen ssonsvr.exe auf dem Client nicht.
    • Sie können den Parameter Local username and password in der Citrix Vorlage icaclient.adm auf einen beliebigen Wert setzen (steuert ssonsvr.exe-Funktion).
    • Die Einstellung Kerberos der Vorlage icaclient.adm ist erforderlich.
    • Aktivieren Sie die Option Lokalen Benutzernamen verwenden für die vertrauenswürdige Zone in den Sicherheitseinstellungen von Internet Explorer.
    • Der Client muss in einer Domäne sein.
    • Aktivieren Sie die Authentifizierungsmethode Domänen-Passthrough auf dem StoreFront-Server.
    • Stellen Sie sicher, dass der Registrierungsschlüssel auf folgende Einstellung festgelegt ist:

      Achtung:

      Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

      32-Bit-Maschinen: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows Name: SSONCheckEnabled Type: REG_SZ Wert: true oder false

      64-Bit-Maschinen: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows Name: SSONCheckEnabled Type: REG_SZ Wert: true oder false