Product Documentation

Verwenden von VDI-in-a-Box mit Active Directory

Sep 18, 2015

VDI-in-a-Box bietet zwei Optionen für die Benutzerauthentifizierung: Sie können entweder mit der integrierten Datenbank von VDI-in-a-Box den Arbeitsgruppenmodus für die Benutzerauthentifizierung einrichten oder Active Directory verwenden. Dieses Thema beschreibt die Verwendung von Active Directory mit VDI-in-a-Box.

Benutzer und Gruppen

Bei der Verwendung von VDI-in-a-Box mit Active Directory sollten Sie nach wie vor Benutzer über Active Directory verwalten. Die meisten Benutzer werden bereits Mitglied der Active Directory-Sicherheitsgruppen sein. Das heißt, Sie können diese Sicherheitsgruppen einfach zu VDI-in-a-Box hinzufügen und ihnen anstelle von individuellen Benutzerkonten Desktopvorlagen zuweisen. Mit VDI-in-a-Box können Sie sowohl Gruppen als auch Benutzer hinzufügen. Weitere Informationen über das Zuweisen von Vorlagen finden Sie unter Zuweisen von Vorlagen an Benutzer, Gruppen und IP-Adressen.

Es kann sinnvoll sein, in einer Testumgebung oder während einer Testphase, wenn nur wenige Benutzer auf die Desktops zugreifen, individuelle Benutzerkonten VDI-in-a-Box hinzuzufügen. In einer Produktionsumgebung mit weniger als 20 Benutzern ist es zwar möglich, Benutzer statt Sicherheitsgruppen hinzuzufügen, aber Citrix empfiehlt diese Vorgehensweise nicht. Active Directory ist auf die zentrale Verwaltung und Steuerung von Benutzern ausgelegt. Es besteht also keine Notwendigkeit, Benutzer doppelt zu verwalten.

VDI-in-a-Box unterstützt standardmäßige Active Directory-Domänenkonten und verschachtelte Active Directory-Gruppen:
  • Sie können integrierte Active Directory-Sicherheitsgruppen und -Benutzerkonten VDI-in-a-Box hinzufügen. Dies ist eine gute Lösung, wenn Sie vorhaben, allen Benutzern die gleiche VDI-in-a-Box-Desktopvorlage zur Verfügung zu stellen. Fügen Sie einfach die Domänenbenutzergruppe zu VDI-in-a-Box hinzu und weisen Sie ihr eine Desktopvorlage zu. Ähnlich können Sie mit dem Administrator-, dem Domänenadministrator- und allen anderen integrierten Konten verfahren.
  • Die Unterstützung von verschachtelten Gruppen ist hilfreich, wenn Benutzer Mitglieder von Gruppen sind, die wiederum Mitglieder von anderen Gruppen sind. Falls alle Mitglieder auf dieselbe(n) VDI-in-a-Box-Desktopvorlage(n) zugreifen müssen, fügen Sie einfach die Hauptgruppe mit allen anderen Gruppen und Benutzerkonten hinzu. Beispiel: Eine Gruppe namens Vertrieb enthält weitere Gruppen, wie z. B. Verkaufsgebiet Ost, Verkaufsgebiet Mitte und Verkaufsgebiet West. Jede dieser Gruppen enthält mehrere Benutzerkonten. Um den gleichen VDI-in-a-Box-Desktop an alle Vertriebsmitarbeiter zu verteilen (unabhängig von deren Standort und spezifischer Rolle), fügen Sie die Gruppe "Vertrieb" zu VDI-in-a-Box hinzu und weisen Sie ihr eine Desktopvorlage zu. Danach haben alle Gruppen und Benutzerkonten unter "Vertrieb" Zugriff auf diese Desktopvorlage.

VDI-in-a-Box fügt niemals Benutzer- und Gruppenobjekte in Active Directory hinzu oder aktualisiert oder löscht sie. Die Interaktion mit Active Directory-Benutzern und -Gruppen ist auf Lesezugriff beschränkt.

Computerobjekte

Jeder VDI-in-a-Box-Desktop benötigt ein gültiges Computerobjekt und ein Konto in Active Directory, um eine Vertrauensstellung herzustellen und Benutzern die Möglichkeit zu geben, sich zu authentifizieren. Ein Computerobjekt wird auch für ein Entwurfimage zu Testzwecken erstellt. Das Objekt wird jedoch sofort nach der Veröffentlichung des Images gelöscht.

Standardmäßig werden alle Computerobjekte (außer Domänencontroller) in den Container "Active Directory Computers" gesetzt. Citrix empfiehlt die Erstellung einer neuen Organisationseinheit (OU) für VDI-in-a-Box-Desktops. Dies ermöglicht das Trennen von virtuellen Desktops und das Anwenden von unterschiedlichen Gruppenrichtlinien. Sie können VDI-in-a-Box-Desktops in unterschiedliche Organisationseinheiten auf der Image-Ebene setzen. Sie können unterschiedliche Organisationseinheiten und untergeordnete Organisationseinheiten für jedes Image erstellen. Dies ist besonders für das Änderungsmanagement und in Testumgebungen sinnvoll.

Sie können den DN (eindeutigen Namen) als Teil der VDI-in-a-Box-Aufgabe für das Erstellen eines Images angeben. Beispiel: Es gibt eine Domäne namens company.com, in der Sie eine Organisationseinheit namens VDIdesktops erstellt haben. Sie geben dann den folgenden DN im Feld "OU" ein:OU=VDIdesktops,DC=company,DC=com

VDI-in-a-Box fügt selbst keine Computerobjekte in Active Directory hinzu. Dies erfolgt durch die Desktops, wenn sie der Domäne beitreten. VDI-in-a-Box entfernt Computerobjekte aus Active Directory, jedoch nur temporäre Computerobjekte, die von späteren Desktops nicht erneut verwendet werden.

Gruppenrichtlinien

Sie können Gruppenrichtlinien auf virtuelle VDI-in-a-Box-Desktops anwenden. Beachten Sie dies bei der Problembehandlung, denn bestimmte Gruppenrichtlinienobjekte können das Verhalten von virtuellen VDI-in-a-Box-Desktops stören. Wenn Sie beispielsweise eine Gruppenrichtlinie haben, die die TCP-Ports 1494 und 2598 deaktiviert, können Sie mit HDX keine Verbindung zu Desktops herstellen.

Um Probleme zu reduzieren und zu verhindern, dass Leistungsprobleme bei virtuellen VDI-in-a-Box-Desktops auftreten, blockieren Sie die Übernahme von nicht anwendbaren Gruppenrichtlinien. Stellen Sie sicher, dass die virtuellen Desktops die IT- und Sicherheitsrichtlinien Ihrer Organisation einhalten, und versuchen Sie auch, die Anzahl der Richtlinien zu reduzieren, die auf die virtuellen Desktops angewendet werden.

Führen Sie die standardmäßigen Microsoft-Problembehandlungsschritte für Gruppenrichtlinienobjekte durch, um Gruppenrichtlinienprobleme zu beheben. Mit Tools wie beispielsweise RSOP (Resultant Set of Policy, Richtlinienergebnissatz) und GPResult können Sie die Ursachen vieler Gruppenrichtlinienprobleme aufdecken.

Roamingbenutzerprofile

Active Directory kann auch "Roamingprofile" bereitstellen, sodass Konfigurationen für Benutzeranwendungen und deren Ordner "Eigene Dokumente" an einem zentralen Speicherort getrennt vom Desktop gespeichert werden. Die Citrix Profilverwaltung steht Benutzern von VDI-in-a-Box zur Verfügung, dennoch sind Roamingprofile oft eine geeignete Lösung für einfache Anwendungsfälle.

Struktur- und Domänen-Vertrauensstellungen

Sie können dieselbe Domäne für Desktops und Benutzer verwenden oder, falls Ihre Organisation mehrere Domänen für Computer und Benutzer verwendet, Desktops in einer anderen Domäne als Benutzer setzen. Sie können die Desktops auch zwischen mehreren Domänen aufteilen.

Sie haben beispielsweise ein Szenario, bei dem es eine Active Directory-Gesamtstruktur mit mehreren Domänen gibt. Eine einzelne Domäne, z. B. computers.company.com, wird verwendet, um unabhängig vom Standort alle Computerobjekte – sowohl physische als auch virtuelle – zu speichern. Eine Domäne, z. B. users.company.com, hat eine Vertrauensstellung mit anderen Domänen, z. B. east.users.company.com und west.users.company.com. Die tatsächlichen Benutzerkonten befinden sich in den Benutzerdomänen der jeweiligen Region, aber mit einer ordnungsgemäß konfigurierten Vertrauensstellung zwischen der Benutzerdomäne und der Computerdomäne können sich Benutzer bei Computerobjekten in der Domäne computers.company.com authentifizieren.

Wenn Ihre Benutzerdomäne Unterdomänen hat, können sich die Benutzer und Gruppen in den Unterdomänen auch bei VDI-in-a-Box authentifizieren, sofern der globale Katalog und die Vertrauensstellungen zwischen den Domänen ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX136845.

So konfigurieren Sie getrennte Benutzer- und Desktopdomänen

  1. Klicken Sie in der VDI-in-a-Box Manager-Konsole (VDI Manager) auf der Seite Admin auf Advanced Properties.
  2. Navigieren Sie auf den Abschnitt "Miscellaneous" und klicken Sie auf Specify alternate domains or workgroup for desktop und anschließend auf OK.

  3. Klicken Sie auf der Seite Admin auf Manage Computer Domains und klicken Sie anschließend im Dialogfeld "Manage Computer Domains" auf Add.

    Das Dialogfeld Specify Additional Domain for Desktops wird angezeigt.

  4. Geben Sie in das Feld Domain name den Domänennamen für Desktops ein.
  5. Geben Sie in die Felder User name und Password die Anmeldeinformationen des Administrators für die Domäne ein.
  6. Klicken Sie auf Add, geben Sie die IP-Adresse für die Domäne ein und klicken Sie auf Save, um die Adresse der Liste IP addresses hinzuzufügen.

  7. Wiederholen Sie zum Festlegen zusätzlicher Domänen die Schritte 4 bis 6.
  8. Klicken Sie auf Save und anschließend auf Close.

Nach der Konfiguration zusätzlicher Domänen für Desktops können Sie sie beim Vorbereiten von Images verwenden.

So bearbeiten oder löschen Sie Desktopdomänen

Wenn Sie zusätzliche Desktopdomänen konfiguriert haben, können Sie sie bearbeiten oder löschen. Sie können allerdings nicht die Domäne bearbeiten oder löschen, die Ihre Benutzer enthält.
  1. Klicken Sie auf der Seite "Admin" auf Advanced Properties und anschließend auf Manage Computer Domains.

  2. Klicken Sie zum Bearbeiten einer Domäne auf ihren Namen. Wenn die Details der Domäne angezeigt werden, bearbeiten Sie sie und klicken Sie dann auf Save. Hinweis: Wenn Sie die IP-Adresse einer Domäne ändern möchten, müssen Sie die vorhandene IP-Adresse löschen und eine neue Adresse hinzufügen.

    Klicken Sie zum Löschen einer Domäne auf Delete.

  3. Klicken Sie auf Close.

Active Directory-Failover

Mit Active Directory-Failover gewährleisten Sie, dass das Raster selbst dann voll funktionsfähig ist, wenn der primäre Server ausfällt.

VDI-in-a-Box verwendet den ersten von Ihnen aufgeführten Active Directory-Server. Wenn dieser Server ausfällt, verwendet VDI-in-a-Box den nächsten Active Directory-Server in der Liste. Dieser Prozess wird bei Bedarf mit jedem Active Directory-Server in der Liste wiederholt. Der primäre Server wird in regelmäßigen Abständen überprüft. Wenn er wiederhergestellt ist, wird er automatisch wieder für VDI-in-a-Box-Aktivitäten verwendet.

Wichtig: Jeder Active Directory-Server in der Liste muss identische Daten enthalten und synchronisiert sein, damit eine unterbrechungsfreie Desktopbereitstellung sichergestellt wird. VDI-in-a-Box bietet keinen Mechanismus, mit dem sichergestellt wird, dass verschiedene Active Directory-Server synchronisiert sind.

So konfigurieren Sie Active Directory-Failover

  1. Klicken Sie auf der Registerkarte Users der VDI Manager-Konsole auf Configure.

    Das Dialogfeld Specify Domain wird angezeigt.

  2. Klicken Sie auf Add, geben Sie die IP-Adresse eines Active Directory-Servers im Raster ein und klicken Sie auf Save.

    Die IP-Adresse wird der Liste IP addresses hinzugefügt.

  3. Wiederholen Sie Schritt 2 für alle Active Directory-Server, die Sie der Liste hinzufügen möchten.
  4. Mit den Pfeiltasten können Sie die Server in der Liste nach oben oder nach unten verschieben.

  5. Geben Sie im Feld Password das Domänenkennwort ein und klicken Sie auf Save.