Découverte de Controller basée sur unité d’organisation Active Directory

Cette méthode de découverte Delivery Controller est prise en charge principalement pour la rétrocompatibilité, et est uniquement valide pour les Virtual Delivery Agent (VDA) pour OS Windows Desktop, et non pour les VDA pour OS Windows Desktop.

Pour plus d’informations sur les autres méthodes que vous pouvez configurer qui permettent aux VDA de s’inscrire auprès des Controller (y compris les méthodes recommandées), voir Enregistrement VDA auprès des Controller.

La découverte basée sur Active Directory exige que tous les ordinateurs d’un site soient membres d’un domaine ; par ailleurs, le domaine utilisé par le Controller doit entretenir des relations de confiance avec le ou les domaines utilisés par les bureaux. Si vous utilisez cette méthode, vous devez configurer le GUID de l’unité d’organisation dans chaque registre de bureau.

Pour effectuer une découverte de Controller basée sur l’unité d’organisation, exécutez le script PowerShell Set-ADControllerDiscovery.ps1 sur le Controller (chaque Controller contient ce script dans le dossier $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Pour exécuter le script, vous devez disposer des autorisations CreateChild sur une unité d’organisation parent, ainsi que des droits d’administration complets.

Lorsque vous créez un site, une unité d’organisation correspondante doit être créée dans Active Directory si vous souhaitez que les bureaux reconnaissent les Controller d’un site à l’aide d’Active Directory. L’unité d’organisation peut être créée dans n’importe quel domaine de la forêt contenant vos ordinateurs. À titre de pratique exemplaire, l’unité d’organisation doit également contenir les Contrôleurs dans le Site, mais cela n’est pas appliqué ou requis. Un administrateur de domaine disposant des privilèges appropriés peut créer l’unité d’organisation en tant que conteneur vide, puis déléguer l’autorité administrative sur l’unité d’organisation à un administrateur Citrix.

Le script crée plusieurs objets essentiels. Seuls les objets Active Directory standard sont créés et utilisés. Il n’est pas nécessaire d’étendre le schéma.

• Un groupe de sécurité pour les Controller. Le compte d’ordinateur de tous les Contrôleurs du Site doit être membre de ce groupe de sécurité. Les bureaux d’un site acceptent les données provenant de Controller uniquement s’ils appartiennent à ce groupe de sécurité.

  Vérifiez que tous les Controller disposent du privilège « Accéder à cet ordinateur à partir du réseau » sur l’ensemble des bureaux virtuels exécutant le VDA. Vous pouvez le faire en accordant ce privilège au groupe de sécurité Controllers. Si les Controller ne disposent pas de ce privilège, les VDA ne pourront pas s’enregistrer.

• Objet Service Connection Point (SCP) qui contient des informations sur le Site, telles que le nom du Site. Si vous utilisez l’outil d’administration Utilisateurs et ordinateurs Active Directory pour inspecter une unité d’organisation de site, vous devrez peut-être activer les fonctionnalités avancées dans le menu Affichage pour afficher les objets SCP.

• Conteneur appelé RegistrationServices, qui est créé dans l’unité d’organisation du site. Celui-ci contient un objet SCP pour chaque Controller du site. À chaque démarrage du Controller, il valide le contenu de son objet SCP et le met à jour si nécessaire.

Si différents administrateurs sont susceptibles d’ajouter et de supprimer des Controller une fois l’installation initiale effectuée, ils doivent disposer des autorisations requises pour créer et supprimer les enfants dans le conteneur RegistrationServices et les propriétés d’écriture sur le groupe de sécurité des Controller. Ces autorisations sont accordées automatiquement à l’administrateur qui exécute le script Set-adControllerDiscovery.ps1. L’administrateur de domaine ou l’administrateur à l’origine de l’installation peuvent accorder ces autorisations. Citrix recommande la configuration d’un groupe de sécurité à cette fin.

Lorsque vous utilisez une unité d’organisation de site :

• Les informations sont écrites dans Active Directory uniquement lorsque vous installez ou désinstallez ce logiciel, ou lorsqu’un Controller démarre et doit mettre à jour les informations dans son objet SCP (par exemple, lorsque le nom du Controller ou le port de communication a été modifié). Par défaut, le script Set-ADControllerDiscovery.ps1 définit les autorisations appropriées relatives aux objets de l’unité d’organisation d’un site, en accordant à chaque Controller un accès en écriture sur leurs objets SCP. Le contenu des objets de l’unité d’organisation du site permet d’établir une relation de confiance entre les bureaux et les Controller. Assurez-vous que :
  • Seuls les administrateurs autorisés peuvent ajouter ou supprimer des ordinateurs du groupe de sécurité Controllers, à l’aide de la liste de contrôle d’accès (ACL) du groupe de sécurité.
  • seuls les administrateurs autorisés et leur Controller respectif peuvent modifier les informations de l’objet SCP du Controller.
• Si votre déploiement utilise la réplication, soyez conscient des retards potentiels. Reportez-vous à la documentation Microsoft pour plus d’informations. Ce point est particulièrement important si vous créez l’unité d’organisation du site dans un domaine contenant des contrôleurs de domaine situés dans différents sites Active Directory. En fonction de l’emplacement des bureaux, des Controller et des contrôleurs de domaine, les modifications apportées à Active Directory lors de la création initiale de l’unité d’organisation du site, de l’installation ou de la désinstallation de Controller, de la modification d’un nom de Controller ou de ports de communication, peuvent ne pas être visibles sur les bureaux tant que les informations n’ont pas été répliquées dans le contrôleur de domaine approprié. Le retard de la réplication peut entraîner, entre autres, les conséquences suivantes : les bureaux ne peuvent pas établir de contact avec les Controller, et de ce fait, ne sont pas disponibles pour les connexions utilisateur.
• Ce logiciel utilise plusieurs attributs d’objet ordinateur standard dans Active Directory pour gérer les postes de travail. Selon votre déploiement, le nom de domaine complet de l’objet machine, tel qu’il est stocké dans l’enregistrement Active Directory du Bureau, peut être inclus dans les paramètres de connexion renvoyés à l’utilisateur pour établir une connexion. Assurez-vous que les informations sont cohérentes avec les informations dans votre environnement DNS.

Pour déplacer un Controller vers un autre site à l’aide de la découverte de Controller basée sur l’unité d’organisation, suivez les instructions ci-dessus pour le déplacement d’un Delivery Controller. Lorsque vous supprimez le Controller de l’ancien site (étape 2), exécutez le script PowerShell : Set-ADControllerDiscover –sync. Le script assure la synchronisation entre l’unité d’organisation et l’ensemble actuel des Controller. Après avoir rejoint le site existant (étape 3), exécutez le même script sur un Controller dans le nouveau site.

Autorisations requises pour la découverte basée sur l’UI

Pour créer un site, l’administrateur Citrix qui exécute le script doit posséder les droits appropriés sur l’unité d’organisation du site afin de créer des objets (SCP, conteneur et groupe de sécurité).

Si l’unité d’organisation du site n’est pas présente, l’administrateur doit également disposer des droits nécessaires pour la créer. Citrix recommande à l’administrateur de domaine AD de pré-créer cette unité d’organisation et d’en déléguer les droits à l’identité de l’administrateur du site Citrix. En option, le script peut également créer l’unité d’organisation du site. Pour ce faire, l’administrateur doit être autorisé à créer une unité d’organisation sur l’unité d’organisation parente de la nouvelle unité d’organisation. Cependant, comme indiqué, Citrix ne recommande pas cela.

Plus tard, pour ajouter ou supprimer un Delivery Controller dans le site, l’administrateur Citrix doit disposer des droits d’ajouter/supprimer une machine dans le groupe de sécurité, et de créer/supprimer un objet SCP.

En mode de fonctionnement normal, les Controller et les VDA doivent disposer des droits d’accès en lecture à tous les objets de l’unité d’organisation et des niveaux inférieurs. Les VDA accèdent à l’unité d’organisation sous leur propre identité de machine ; cette identité de machine doit disposer au minimum de droits en lecture dans l’unité d’organisation pour être en mesure de détecter les Controller. Un Controller a également besoin des droits pour définir des propriétés sur son propre objet SCP dans le conteneur.

Accorder à l’administrateur Citrix des droits complets sur les unités d’organisation enfants lui permettra d’effectuer toutes ces actions. Toutefois, si votre déploiement comporte des exigences de sécurité plus strictes (par exemple, en limitant les personnes qui peuvent utiliser le script pour quelle action), vous pouvez utiliser l’Assistant Délégation de contrôle pour définir des droits spécifiques. L’exemple suivant accorde les droits nécessaires pour créer le site.

1. Créez une unité d’organisation qui contient les objets enfants (SCP (Service Connection Point), conteneur et groupe de sécurité).
2. Sélectionnez l’unité d’organisation, puis cliquez avec le bouton droit et sélectionnez Délégation de contrôle.
3. Dans l’Assistant Délégation de contrôle, spécifiez l’utilisateur de domaine auquel déléguer le contrôle pour l’unité d’organisation.
4. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer.
5. Sur la page Type d’objet Active Directory, acceptez le paramètre par défaut De ce dossier et des objets qui s’y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier.
6. Sur la page Autorisations , activez les cases à cocher Écrire et créer tous les objets enfants.
7. Terminez l’Assistant pour confirmer les privilèges.