Découverte de contrôleur basée sur l’unité d’organisation (OU) Active Directory

Cette méthode de découverte de Delivery Controller™ est prise en charge principalement pour la compatibilité descendante et n’est valide que pour les Virtual Delivery Agents (VDA) pour OS de bureau Windows, et non pour les VDA pour OS de serveur Windows.

Pour plus d’informations sur les autres méthodes que vous pouvez configurer pour permettre aux VDA de s’enregistrer auprès des contrôleurs (y compris les méthodes recommandées), consultez Enregistrement des VDA auprès des contrôleurs.

La découverte basée sur Active Directory exige que tous les ordinateurs d’un site soient membres d’un domaine, avec des relations d’approbation mutuelle entre le domaine utilisé par le contrôleur et le(s) domaine(s) utilisé(s) par les bureaux. Si vous utilisez cette méthode, vous devez configurer le GUID de l’unité d’organisation (OU) dans le registre de chaque bureau.

Pour effectuer une découverte de contrôleur basée sur l’unité d’organisation (OU), exécutez le script PowerShell Set-ADControllerDiscovery.ps1 sur le contrôleur (chaque contrôleur contient ce script dans le dossier $Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts). Pour exécuter le script, vous devez disposer des autorisations CreateChild sur une unité d’organisation (OU) parente, ainsi que des droits d’administration complets.

Lorsque vous créez un site, une unité d’organisation (OU) correspondante doit être créée dans Active Directory si vous souhaitez que les bureaux découvrent les contrôleurs du site via Active Directory. L’unité d’organisation (OU) peut être créée dans n’importe quel domaine de la forêt qui contient vos ordinateurs. En tant que bonne pratique, l’unité d’organisation (OU) doit également contenir les contrôleurs du site, mais cela n’est ni imposé ni requis. Un administrateur de domaine disposant des privilèges appropriés peut créer l’unité d’organisation (OU) en tant que conteneur vide, puis déléguer l’autorité administrative sur l’unité d’organisation (OU) à un administrateur Citrix.

Le script crée plusieurs objets essentiels. Seuls les objets Active Directory standard sont créés et utilisés. Il n’est pas nécessaire d’étendre le schéma.

• Un groupe de sécurité des contrôleurs. Le compte d’ordinateur de tous les contrôleurs du site doit être membre de ce groupe de sécurité. Les bureaux d’un site n’acceptent les données des contrôleurs que s’ils sont membres de ce groupe de sécurité.

  Assurez-vous que tous les contrôleurs disposent du privilège ‘Accéder à cet ordinateur depuis le réseau’ sur tous les bureaux virtuels exécutant le VDA. Vous pouvez le faire en accordant ce privilège au groupe de sécurité des contrôleurs. Si les contrôleurs ne disposent pas de ce privilège, les VDA ne s’enregistreront pas.

• Un objet Service Connection Point (SCP) qui contient des informations sur le site, telles que le nom du site. Si vous utilisez l’outil d’administration Utilisateurs et ordinateurs Active Directory pour inspecter une unité d’organisation (OU) de site, vous devrez peut-être activer les fonctionnalités avancées dans le menu Affichage pour voir les objets SCP.

• Un conteneur appelé RegistrationServices, qui est créé dans l’unité d’organisation (OU) du site. Celui-ci contient un objet SCP pour chaque contrôleur du site. Chaque fois que le contrôleur démarre, il valide le contenu de son SCP et le met à jour, si nécessaire.

Si plusieurs administrateurs sont susceptibles d’ajouter et de supprimer des contrôleurs après l’installation initiale, ils ont besoin d’autorisations pour créer et supprimer des enfants sur le conteneur RegistrationServices, et de propriétés d’écriture sur le groupe de sécurité des contrôleurs. Ces autorisations sont accordées automatiquement à l’administrateur qui exécute le script Set-ADControllerDiscovery.ps1. L’administrateur de domaine ou l’administrateur d’installation d’origine peut accorder ces autorisations, et Citrix recommande de configurer un groupe de sécurité pour ce faire.

Lorsque vous utilisez une unité d’organisation (OU) de site :

• Les informations sont écrites dans Active Directory uniquement lors de l’installation ou de la désinstallation de ce logiciel, ou lorsqu’un contrôleur démarre et doit mettre à jour les informations de son SCP (par exemple, parce que le contrôleur a été renommé ou parce que le port de communication a été modifié). Par défaut, le script Set-ADControllerDiscovery.ps1 configure les autorisations sur les objets de l’unité d’organisation (OU) du site de manière appropriée, donnant à chaque contrôleur un accès en écriture à son SCP. Le contenu des objets de l’unité d’organisation (OU) du site est utilisé pour établir la confiance entre les bureaux et les contrôleurs. Assurez-vous que :
  • Seuls les administrateurs autorisés peuvent ajouter ou supprimer des ordinateurs du groupe de sécurité des contrôleurs, en utilisant la liste de contrôle d’accès (ACL) du groupe de sécurité.
  • Seuls les administrateurs autorisés et le contrôleur respectif peuvent modifier les informations dans le SCP du contrôleur.
• Si votre déploiement utilise la réplication, soyez conscient des retards potentiels. Consultez la documentation Microsoft pour plus de détails. Ceci est particulièrement important si vous créez l’unité d’organisation (OU) du site dans un domaine qui possède des contrôleurs de domaine dans plusieurs sites Active Directory. Selon l’emplacement des bureaux, des contrôleurs et des contrôleurs de domaine, les modifications apportées à Active Directory lors de la création initiale de l’unité d’organisation du site, de l’installation ou de la désinstallation des contrôleurs, ou de la modification des noms de contrôleurs ou des ports de communication, peuvent ne pas être visibles pour les bureaux tant que ces informations ne sont pas répliquées vers le contrôleur de domaine approprié. Les symptômes d’un tel délai de réplication incluent des bureaux qui ne peuvent pas établir de contact avec les contrôleurs et ne sont donc pas disponibles pour les connexions utilisateur.
• Ce logiciel utilise plusieurs attributs d’objet ordinateur standard dans Active Directory pour gérer les bureaux. Selon votre déploiement, le nom de domaine complet de l’objet machine, tel que stocké dans l’enregistrement Active Directory du bureau, peut être inclus dans les paramètres de connexion renvoyés à l’utilisateur pour établir une connexion. Assurez-vous que ces informations sont cohérentes avec les informations de votre environnement DNS.

Pour déplacer un contrôleur vers un autre site à l’aide de la découverte de contrôleur basée sur l’unité d’organisation (OU), suivez les instructions ci-dessus pour déplacer un contrôleur. Après avoir supprimé le contrôleur de l’ancien site (étape 2), exécutez le script PowerShell Set-ADControllerDiscovery –sync. Ce script synchronise l’unité d’organisation avec l’ensemble actuel de contrôleurs. Après avoir rejoint le site existant (étape 3), exécutez le même script sur n’importe quel contrôleur du nouveau site.

Autorisations requises pour la découverte basée sur l’unité d’organisation (OU)

Pour créer un site, l’administrateur Citrix qui exécute le script doit disposer des droits sur l’unité d’organisation (OU) du site pour créer des objets (SCP, conteneur et groupe de sécurité).

Si l’unité d’organisation (OU) du site n’est pas présente, l’administrateur doit également disposer des droits pour la créer. Citrix recommande que l’administrateur de domaine AD pré-crée cette unité d’organisation et lui délègue des droits à l’identité de l’administrateur de site Citrix. En option, le script peut également créer l’unité d’organisation du site. Pour ce faire, l’administrateur a besoin du droit « créer une OU » sur l’unité d’organisation parente de la nouvelle OU. Cependant, comme indiqué, Citrix ne le recommande pas.

Plus tard, pour ajouter ou supprimer un contrôleur du site, l’administrateur Citrix doit disposer des droits pour ajouter/supprimer une machine du groupe de sécurité, et créer/supprimer un SCP.

Pendant les opérations normales, les contrôleurs et les VDA ont besoin de droits de lecture sur tous les objets de l’unité d’organisation et de ses sous-unités. Les VDA accèdent à l’unité d’organisation en tant que leur propre identité de machine ; cette identité de machine a besoin d’au moins des droits de lecture dans l’unité d’organisation pour pouvoir découvrir les contrôleurs. Un contrôleur a également besoin des droits pour définir les propriétés de son propre objet SCP dans le conteneur.

Accorder à l’administrateur Citrix des droits complets sur les unités d’organisation enfants permettra toutes ces actions. Cependant, si votre déploiement a des exigences de sécurité plus strictes (telles que la restriction de qui peut utiliser le script pour quelle action), vous pouvez utiliser l’assistant Délégation de contrôle pour définir des droits spécifiques. La procédure d’exemple suivante accorde les droits de création du site.

1. Créez une unité d’organisation (OU) pour contenir les objets enfants (point de connexion de service (SCP), conteneur et groupe de sécurité).
2. Sélectionnez l’unité d’organisation (OU), puis cliquez avec le bouton droit et sélectionnez Déléguer le contrôle.
3. Dans l’assistant Délégation de contrôle, spécifiez l’utilisateur de domaine auquel déléguer le contrôle pour l’unité d’organisation (OU).
4. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer.
5. Sur la page Type d’objet Active Directory, acceptez la valeur par défaut Ce dossier, les objets existants dans ce dossier et la création de nouveaux objets dans ce dossier.
6. Sur la page Autorisations, sélectionnez les cases à cocher Écrire et créer tous les objets enfants.
7. Terminez l’assistant pour confirmer les privilèges.