Detección de Controllers basada en unidades organizativas de Active Directory

Este método de detección de Delivery Controllers se admite principalmente para la compatibilidad con versiones anteriores y solo es válido en caso de agentes Virtual Delivery Agents (VDA) para escritorios con SO Windows, no VDA para servidores con SO Windows.

Para obtener información sobre otros métodos que puede configurar para permitir que los VDA se registren en Controllers (incluidos los métodos recomendados), consulte Registro de VDA con Controllers.

La detección basada en Active Directory requiere que todos los equipos de un sitio sean miembros de un dominio, con relaciones de confianza mutua entre el dominio que utiliza el Controller y el dominio o los dominios que utilizan los escritorios. Si utiliza este método, debe configurar el GUID de la unidad organizativa (OU) en el Registro de cada escritorio.

Para llevar a cabo una detección de Controllers basada en unidades organizativas, ejecute el script de PowerShell Set-ADControllerDiscovery.ps1 en el Controller (cada Controller contiene este script en la carpeta $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Para ejecutar el script, debe tener permisos CreateChild en una OU principal, además de derechos de administración total.

Cuando crea un sitio, debe crear una unidad organizativa correspondiente en Active Directory para que los escritorios detecten los Controllers del sitio a través de Active Directory. La OU puede crearse en cualquier dominio del bosque que contenga los equipos. También se recomienda que la OU contenga los Controllers del sitio, pero esto no es una obligación ni un requisito. Un administrador de dominio con los privilegios apropiados puede crear la OU como un contenedor vacío y, a continuación, delegar la autoridad de administración sobre la OU a un administrador Citrix.

El script crea varios objetos esenciales. Solo se crean y se usan objetos estándar de Active Directory. No es necesario ampliar el esquema.

• Un grupo de seguridad de Controllers. La cuenta de equipo de todos los Controllers del sitio debe ser miembro de este grupo de seguridad. Los escritorios de un sitio aceptan datos de los Controllers únicamente si forman parte de este grupo de seguridad.

  Asegúrese de que todos los Controllers incluyen el privilegio “Acceder a este equipo desde la red” en todos los escritorios virtuales que ejecutan el VDA. Puede hacerlo concediendo este privilegio al grupo de seguridad de los Controllers. Si los Controllers no tienen este privilegio, los VDA no se registran.

• Un objeto de punto de conexión de servicio (SCP) que contenga información acerca del sitio, como el nombre del sitio. Si utiliza la herramienta administrativa de Usuarios y equipos de Active Directory para inspeccionar la OU de un sitio, es posible que deba habilitar la opción Funciones avanzadas en el menú Ver para ver los objetos SCP.

• Un contenedor denominado RegistrationServices, el cual se crea en la OU del sitio. Esto contiene un objeto SCP por cada Controller del sitio. Cada vez que se inicia el Controller, valida el contenido de su SCP y lo actualiza si es necesario.

Si existe la posibilidad de que varios administradores agreguen y eliminen Controllers después de completarse la instalación inicial, esos administradores necesitan permisos para crear y eliminar objetos secundarios en el contenedor RegistrationServices y propiedades de escritura en el grupo de seguridad de los Controllers. Estos permisos se conceden automáticamente al administrador que ejecuta el script Set-ADControllerDiscovery.ps1. El administrador del dominio o el administrador que realizó la instalación original pueden conceder estos permisos. Citrix recomienda configurar un grupo de seguridad para hacerlo.

Al usar la OU de un sitio:

• La información se escribe en Active Directory solo cuando se instala o desinstala este software o cuando un Controller se inicia y necesita actualizar la información de su SCP (por ejemplo, debido a un cambio en el nombre del Controller o en el puerto de comunicación). De forma predeterminada, el script Set-ADControllerDiscovery.ps1 establece permisos sobre los objetos en la OU del sitio de forma adecuada, con lo que proporciona acceso de escritura en el SCP a los Controllers. El contenido de los objetos en la OU del sitio se utiliza para establecer una relación de confianza entre los escritorios y los Controllers. Compruebe que:
  • Solo los administradores autorizados puedan agregar o quitar equipos en el grupo de seguridad de los Controllers mediante la lista de control de acceso del grupo de seguridad (ACL).
  • Solo los administradores autorizados y el Controller correspondiente puedan modificar la información en el SCP del Controller.
• Si su implementación usa la replicación, tenga en cuenta posibles retrasos. Consulte la documentación de Microsoft para obtener más detalles. Esto resulta especialmente importante si crea la OU de un sitio en un dominio que tiene controladores de dominio en varios sitios de Active Directory. Según la ubicación de los escritorios, los Controllers y los controladores de dominio, es posible que los cambios realizados en Active Directory al crear inicialmente la OU del sitio, instalar y desinstalar Controllers o modificar los nombres de los Controllers o los puertos de comunicación no sean visibles en los escritorios hasta que la información se replique en el controlador de dominio apropiado. Los síntomas de esa demora en la replicación incluyen escritorios que no pueden establecer contacto con los Controllers y, por lo tanto, no están disponibles para las conexiones de usuario.
• Este software utiliza varios atributos de objeto de equipo estándar de Active Directory para administrar los escritorios. Según la implementación, el nombre de dominio completo del objeto de la máquina, como se almacena en el registro de Active Directory del escritorio, puede incluirse como parte de los parámetros de conexión que se devuelven al usuario para establecer una conexión. Asegúrese de que esta información sea coherente con la información en su entorno DNS.

Para mover un Controller a otro sitio mediante la detección de Controllers basada en unidades organizativas, siga las instrucciones anteriores para mover un Controller. Después de quitar el Controller del sitio anterior (paso 2), ejecute el script de PowerShell: Set-ADControllerDiscovery –sync. El script sincroniza la unidad organizativa con el conjunto actual de Controllers. Después de unirse al sitio existente (paso 3), ejecute el mismo script en cualquier Controller del nuevo sitio.

Permisos necesarios para la detección basada en unidades organizativas

Para crear un sitio, el administrador de Citrix que ejecuta el script debe tener derechos en la OU del sitio para crear objetos (SCP, contenedor y grupo de seguridad).

Si no está la unidad organizativa del sitio, el administrador debe tener permisos para crearla también. Citrix recomienda que el administrador de dominio de AD cree previamente esa unidad organizativa y delegue los derechos a la identidad de administrador del sitio de Citrix. De forma opcional, el script también puede crear la unidad organizativa del sitio. Para permitirlo, el administrador necesita el permiso “crear unidades organizativas” en la unidad organizativa principal de la nueva unidad organizativa. Sin embargo, como se ha indicado anteriormente, Citrix no lo recomienda.

Posteriormente, para agregar o quitar un Controller del sitio, el administrador Citrix debe tener derechos para agregar o quitar una máquina del grupo de seguridad, así como para crear o eliminar un objeto SCP.

Para las operaciones cotidianas, los Controllers y los agentes VDA necesitan permisos de lectura para todos los objetos de la OU y los elementos dependientes. Los agentes VDA acceden a la unidad organizativa con su propia identidad de máquina; dicha identidad necesita al menos los derechos de lectura en la unidad organizativa para detectar los Controllers. Un Controller también necesita los derechos de configurar propiedades en su propio objeto SCP del contenedor.

Asignar al administrador Citrix derechos totales en las unidades organizativas secundarias permitirá todas estas acciones. No obstante, si el entorno tiene requisitos de seguridad más estrictos (como aquellos que limitan quién puede usar el script para qué acción), puede usar el asistente para la delegación de control con el fin de establecer los permisos específicos. El siguiente procedimiento de ejemplo concede derechos para crear el sitio.

1. Cree una unidad organizativa que contenga los objetos secundarios (punto de conexión de servicio o SCP, contenedor y grupo de seguridad).
2. Seleccione la unidad organizativa, y haga clic con el botón secundario para seleccionar Delegar control.
3. En el asistente para la delegación de control, especifique el usuario de dominio al que delegar el control sobre la unidad organizativa.
4. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar.
5. En la página Tipo de objeto de Active Directory, acepte la opción predeterminada Esta carpeta, los objetos contenidos en la misma y la creación de nuevos objetos en esta carpeta.
6. En la página Permisos, active las casillas de verificación Escribir y crear todos los objetos secundarios.
7. Complete el asistente para confirmar los privilegios.