Product Documentation

Active Directory

Sep 29, 2015

Active Directory ist zum Authentifizieren und Autorisieren erforderlich. Mit der Kerberos-Infrastruktur in Active Directory wird die Authentizität und Vertraulichkeit der Kommunikation zwischen den Delivery Controllern garantiert. Informationen zu Kerberos finden Sie in der Dokumentation von Microsoft.

Für die Gesamtstruktur und Domäne benötigen Sie eine der folgenden Funktionsebenen:

  • Windows 2000 native
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Zur Verwendung der Gruppenrichtlinienmodellierung muss der Controller auf einem Server unter Windows 2003 oder höher bis Windows Server 2012 R2 ausgeführt werden. Dies wirkt sich nicht auf die Domänenfunktionsebene aus.

Dieses Produkt unterstützt Folgendes:
  • Bereitstellungen, in denen die Benutzerkonten und Computerkonten in Domänen in einer einzigen Active Directory-Gesamtstruktur bestehen. Benutzer- und Computerkonten können in beliebigen Domänen in einer Gesamtstruktur bestehen. Alle Domänen- und Gesamtstrukturebenen werden in diesem Bereitstellungstyp unterstützt.
  • Bereitstellungen, in denen die Benutzerkonten und die Computerkonten der Controller und virtuellen Desktops in unterschiedlichen Active Directory-Gesamtstrukturen bestehen. Bei diesem Bereitstellungstyp muss eine Vertrauensstellung zwischen den Domänen mit den Computerkonten der Controller und virtuellen Desktops und den Domänen mit den Benutzerkonten bestehen. Sie können Gesamtstruktur- oder externe Vertrauensstellungen verwenden. Alle Domänen- und Gesamtstrukturebenen werden in diesem Bereitstellungstyp unterstützt.
  • Bereitstellungen, in denen die Computerkonten für Controller in einer Active Directory-Gesamtstruktur bestehen, die sich von den zusätzlichen Active Directory-Gesamtstrukturen mit den Computerkonten für die virtuellen Desktops unterscheidet. Bei diesem Bereitstellungstyp muss eine bidirektionale Vertrauensstellung zwischen den Domänen mit den Computerkonten der Controller und allen Domänen mit den Computerkonten der virtuellen Desktops bestehen. Bei diesem Bereitstellungstyp müssen alle Domänen mit Computerkonten für Controller oder virtuelle Desktops mindestens auf der Funktionsebene "Windows 2000 native" sein. Alle Funktionsebenen der Gesamtstruktur werden unterstützt.
  • Beschreibbarer Domänencontroller. Schreibgeschützte Domänencontroller werden nicht unterstützt.

Virtual Delivery Agents (VDAs) können mit in Active Directory veröffentlichten Informationen die Contoller ermitteln, bei denen sie sich registrieren können (Discovery). Diese Methode wird primär für Abwärtskompatibilität unterstützt und ist nur verfügbar, wenn die VDAs und die Controller in derselben Active Directory-Gesamtstruktur sind. Informationen über diese Discovery-Methode finden Sie unter Active Directory-basierte Controller-Discovery und CTX118976.

Bereitstellen in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen

Aktualisiert: 2014-05-29

Hinweis: Diese Informationen gelten für Versionen ab XenDesktop 7.1 und XenApp 7.5. Sie gelten nicht für ältere Versionen von XenDesktop und XenApp.

Bei einer Active Directory-Umgebung mit mehreren Gesamtstrukturen und unidirektionalen oder bidirektionalen Vertrauensstellungen können Sie DNS-Weiterleitungen zur Suche und Registrierung von Namen verwenden. Mit dem Assistenten zum Zuweisen der Objektverwaltung können Sie den entsprechenden Active Directory-Benutzern das Erstellen von Computerkonten ermöglichen. Weitere Informationen zu diesem Assistenten finden Sie in der Dokumentation von Microsoft.

In der DNS-Infrastruktur sind keine Reverse-DNS-Zonen erforderlich, wenn die entsprechenden DNS-Weiterleitungen zwischen Gesamtstrukturen eingerichtet sind.

In diesem Release ist der SupportMultipleForest-Schlüssel erforderlich, wenn der Virtual Delivery Agent (VDA) und der Delivery Controller in unterschiedlichen Gesamtstrukturen sind, unabhängig davon, ob sich die Active Directory- und NetBIOS-Namen voneinander unterscheiden. Der Schlüssel "SupportMultipleForest" ist nur auf dem VDA nötig. Mit den folgenden Informationen fügen Sie einen Registrierungsschlüssel hinzu:
  • HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
    • Name: SupportMultipleForest
    • Typ: REG_DWORD
    • Wert: 0x00000001 (1)

Setzen Sie den Wert auf 1.

Sie müssen möglicherweise die DNS-Konfiguration umkehren, wenn sich der DNS-Namespace vom Active Directory-Namespace unterscheidet.

Achtung: Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.
Wenn externe Vertrauensstellungen während des Setups vorhanden sind, ist der Registrierungsschlüssel "ListOfSIDs" erforderlich. Der Registrierungsschlüssel "ListOfSIDs" ist auch erforderlich, wenn der vollqualifizierte Domänenname (FQDN) für Active Directory sich vom DNS-FQDN unterscheidet oder die Domäne mit dem Domänencontroller einen anderen Netbios-Namen hat als der Active Directory-FQDN. Verwenden Sie zum Hinzufügen des Registrierungsschlüssels die folgenden Informationen:
  • Für einen 32-Bit- oder 64-Bit-VDA verwenden Sie folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
    • Name: ListOfSIDs
    • Typ: REG_SZ
    • Daten: Sicherheits-ID (SID) der Controller

Verwenden Sie zum Abrufen Ihrer Domänen-SID ADExplorer oder XDPing.

Wenn externe Vertrauensbeziehungen vorhanden sind, müssen Sie zudem die folgenden Änderungen auf dem VDA vornehmen:
  1. Navigieren Sie zur folgenden Datei: \Citrix\Virtual Desktop Agent\brokeragentconfig.exe.config
  2. Erstellen Sie eine Sicherungskopie der Datei.
  3. Öffnen Sie die Datei in einem Textbearbeitungsprogramm, z. B. Notepad.
  4. Suchen Sie den Text allowNtlm="false" und ändern Sie den Text zu allowNtlm="true"
  5. Speichern Sie die Datei.

Nachdem der Registrierungsschlüssel "ListOfSIDs" hinzugefügt wurde und die Datei brokeragent.exe.config bearbeitet wurde, müssen Sie den Citrix Desktopdienst neu starten, damit die Änderungen angewendet werden.

Die folgende Tabelle enthält die unterstützten Vertrauenstypen:
Vertrauenstyp Transitivität Richtung In diesem Release unterstützt
Über-/untergeordnet Transitiv Bidirektional Ja
Strukturstamm Transitiv Bidirektional Ja
Extern Nicht transitiv Unidirektional oder bidirektional Ja
Gesamtstruktur Transitiv Unidirektional oder bidirektional Ja
Shortcut Transitiv Unidirektional oder bidirektional Ja
Bereich Transitiv oder nicht transitiv Unidirektional oder bidirektional Nein

Weitere Informationen über komplexe Active Directory-Umgebungen finden Sie unter CTX134971.