Product Documentation

Detección de Controllers basada en unidades organizativas de Active Directory

Nov 18, 2015

Este método de detección de Delivery Controllers se admite principalmente para la compatibilidad con versiones anteriores y solo es válido para Virtual Delivery Agents (VDA) para escritorios Windows, no VDA para servidores Windows. La detección basada en Active Directory requiere que todos los equipos de un sitio sean miembros de un dominio, con relaciones de confianza mutua entre el dominio que utiliza el Controller y el dominio o los dominios que utilizan los escritorios. Si utiliza este método, debe configurar el GUID de la unidad organizativa (OU) en el Registro de cada escritorio.

Para llevar a cabo una detección de Controllers basada en unidades organizativas, ejecute el script de PowerShell Set-ADControllerDiscovery.ps1 en el Controller (cada Controller contiene este script en la carpeta $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Para ejecutar el script, debe tener permisos CreateChild en una OU principal, además de derechos de administración total.

Cuando crea un sitio, debe crear una unidad organizativa correspondiente en Active Directory para que los escritorios detecten los Controllers del sitio a través de Active Directory. La OU puede crearse en cualquier dominio del bosque que contenga los equipos. También se recomienda que la OU contenga los Controllers del sitio, pero esto no es una obligación ni un requisito. Un administrador de dominio con los privilegios apropiados puede crear la OU como un contenedor vacío y, a continuación, delegar la autoridad de administración sobre la OU a un administrador Citrix.

El script crea varios objetos esenciales. Solo se crean y se usan objetos estándar de Active Directory. No es necesario ampliar el esquema.
  • Un grupo de seguridad de Controllers. La cuenta de equipo de todos los Controllers del sitio debe ser miembro de este grupo de seguridad. Los escritorios de un sitio aceptan datos de los Controllers únicamente si forman parte de este grupo de seguridad.

    Asegúrese de que todos los Controllers incluyen el privilegio "Acceder a este equipo desde la red" en todos los escritorios virtuales que ejecutan el VDA. Puede hacerlo concediendo este privilegio al grupo de seguridad de los Controllers. Si los Controllers no tienen este privilegio, los VDA no se registran.

  • Un objeto de punto de conexión de servicio (SCP) que contenga información acerca del sitio, como el nombre del sitio. Si utiliza la herramienta administrativa de Usuarios y equipos de Active Directory para inspeccionar la OU de un sitio, es posible que deba habilitar la opción Funciones avanzadas en el menú Ver para ver los objetos SCP.
  • Un contenedor denominado RegistrationServices, el cual se crea en la OU del sitio. Esto contiene un objeto SCP por cada Controller del sitio. Cada vez que se inicia el Controller, valida el contenido de su SCP y lo actualiza si es necesario.

Si existe la posibilidad de que varios administradores agreguen y eliminen Controllers después de completarse la instalación inicial, esos administradores necesitan permisos para crear y eliminar objetos secundarios en el contenedor RegistrationServices y propiedades de escritura en el grupo de seguridad de los Controllers (estos permisos se conceden automáticamente al administrador que ejecuta el script Set-ADControllerDiscovery.ps1). El administrador del dominio o el administrador que realizó la instalación original pueden conceder estos permisos. Citrix recomienda configurar un grupo de seguridad para hacerlo.

Al usar la OU de un sitio:
  • La información se escribe en Active Directory solo cuando se instala o desinstala este software o cuando un Controller se inicia y necesita actualizar la información de su SCP (por ejemplo, debido a un cambio en el nombre del Controller o en el puerto de comunicación). De forma predeterminada, el script Set-ADControllerDiscovery.ps1 establece permisos sobre los objetos en la OU del sitio de forma adecuada, con lo que proporciona acceso de escritura en el SCP a los Controllers. El contenido de los objetos en la OU del sitio se utiliza para establecer una relación de confianza entre los escritorios y los Controllers. Asegúrese de que:
    • Solo los administradores autorizados puedan agregar o quitar equipos en el grupo de seguridad de los Controllers mediante la lista de control de acceso del grupo de seguridad (ACL).
    • Solo los administradores autorizados y el Controller correspondiente puedan modificar la información en el SCP del Controller.
  • Si su implementación usa la replicación, tenga en cuenta posibles retrasos; consulte la documentación de Microsoft para obtener más detalles. Esto resulta especialmente importante si crea la OU de un sitio en un dominio que tiene controladores de dominio en varios sitios de Active Directory. Según la ubicación de los escritorios, los Controllers y los controladores de dominio, es posible que los cambios realizados en Active Directory al crear inicialmente la OU del sitio, instalar y desinstalar Controllers o modificar los nombres de los Controllers o los puertos de comunicación no sean visibles en los escritorios hasta que la información se replique en el controlador de dominio apropiado. Los síntomas de esa demora en la replicación incluyen escritorios que no pueden establecer contacto con los Controllers y, por lo tanto, no están disponibles para las conexiones de usuario.
  • Este software utiliza varios atributos de objeto de equipo estándar de Active Directory para administrar los escritorios. Según la implementación, el nombre de dominio completo del objeto de la máquina, como se almacena en el registro de Active Directory del escritorio, puede incluirse como parte de los parámetros de conexión que se devuelven al usuario para establecer una conexión. Asegúrese de que esta información sea coherente con la información en su entorno DNS.

Para mover un Controller a otro sitio mediante detección de Controllers basada en unidades organizativas

Siga las instrucciones en Para mover un Controller. Después de quitar el Controller del sitio anterior (paso 2), ejecute el script de PowerShell: Set-ADControllerDiscover –sync.

El script sincroniza la unidad organizativa con el conjunto actual de Controllers. Después de unirse al sitio existente (paso 4), ejecute el mismo script en cualquier Controller del nuevo sitio.