Product Documentation

Active Directory

Jul 25, 2017

Active Directory est requis pour l'authentification et l'autorisation. L'infrastructure Kerberos dans Active Directory est utilisée pour garantir l'authenticité et la confidentialité des communications avec les Delivery Controller. Pour de plus amples informations sur Kerberos, veuillez consulter la documentation Microsoft.

L'article Configuration système requise répertorie les niveaux fonctionnels pris en charge de la forêt et du domaine. Pour utiliser la modélisation de stratégie, le contrôleur de domaine doit s'exécuter sur Windows Server 2003 à Windows Server 2012 R2 ; cela n'affecte pas le niveau fonctionnel du domaine.

Ce produit prend en charge ce qui suit :
  • Déploiements dans lesquels les comptes d'utilisateurs et les comptes d'ordinateurs existent dans les domaines d'une forêt Active Directory unique. Les comptes d'utilisateurs et d'ordinateurs peuvent exister dans des domaines arbitraires d'une forêt unique. Tous les niveaux fonctionnels de domaine et de forêt sont pris en charge dans ce type de déploiement.
  • Déploiements dans lesquels les comptes d'utilisateurs existent dans une forêt Active Directory qui est différente de celle contenant les comptes d'ordinateurs des contrôleurs et des bureaux virtuels. Dans ce type de déploiement, les domaines contenant les comptes d'ordinateurs des contrôleurs et des bureaux virtuels doivent établir l'approbation des domaines dans lesquels figurent les comptes d'utilisateurs. Des approbations de forêt ou des approbations externes peuvent être utilisées. Tous les niveaux fonctionnels de domaine et de forêt sont pris en charge dans ce type de déploiement.
  • Déploiements dans lesquels les comptes d'ordinateurs des contrôleurs figurent dans une forêt Active Directory différente d'une ou de plusieurs forêts Active Directory supplémentaires contenant les comptes d'ordinateurs des bureaux virtuels. Dans ce type de déploiement, une approbation bilatérale doit exister entre les domaines contenant les comptes d'ordinateurs des contrôleurs et l'ensemble des domaines contenant les comptes d'ordinateurs des bureaux virtuels. Dans ce type de déploiement, tous les domaines contenant les comptes d'ordinateurs des contrôleurs ou des bureaux virtuels doivent figurer au niveau fonctionnel « natif de Windows 2000 » ou supérieur. Tous les niveaux fonctionnels de forêt sont pris en charge.
  • Contrôleurs de domaine accessibles en écriture. Les contrôleurs de domaine en lecture seule ne sont pas pris en charge.

Facultativement, les VDA (Virtual Delivery Agents) peuvent utiliser des informations publiées dans Active Directory pour déterminer les Controller avec lesquels ils peuvent s'enregistrer (découverte). Cette méthode est principalement prise en charge pour la rétrocompatibilité, et est uniquement disponible si les VDA se trouvent dans la même forêt Active Directory que les Controller. Pour de plus amples informations sur cette méthode de découverte, veuillez consulter l'article Delivery Controller et CTX118976.

Conseil : ne modifiez pas le nom de l'ordinateur ou l'appartenance à un domaine d'un Controller une fois que le site est configuré.

Déployer dans un environnement Active Directory avec des forêts multiples

Remarque : ces informations s'appliquent à XenDesktop 7.1 et XenDesktop 7.5 (versions minimum). Elles ne s'appliquent pas aux versions antérieures de XenDesktop ou XenApp.

Dans un environnement Active Directory avec plusieurs forêts, si des approbations à sens unique ou bidirectionnelles sont en place, vous pouvez utiliser les redirecteurs DNS pour la recherche de nom et l'enregistrement. Pour autoriser les utilisateurs Active Directory appropriés à créer des comptes d'ordinateurs, utilisez l’Assistant Délégation de contrôle. Référez-vous à la documentation Microsoft pour plus d'informations sur cet assistant.

Aucune zone DNS inversée n'est nécessaire dans l'infrastructure DNS si des redirecteurs DNS appropriés sont en place entre les forêts.

La clé SupportMultipleForest n'est nécessaire que si le VDA et le Controller se trouvent dans des forêts différentes que les noms Active Directory et NetBios soient différents ou non. La clé SupportMultipleForest est uniquement nécessaire sur le VDA. Utilisez les informations suivantes pour ajouter la clé de registre :
Avertissement : toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d'une mauvaise utilisation de l'Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.
  • HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
    • Nom : SupportMultipleForest
    • Type : REG_DWORD
    • Données : 0x00000001 (1)

Vous aurez peut-être besoin d'utiliser une configuration DNS inversée si l'espace de noms DNS est différent de celui d'Active Directory.

Si des approbations externes sont en place au cours de l'installation, la clé de registre ListOfSIDs est requise. La clé de registre ListOfSIDs est également nécessaire si le nom de domaine complet (FQDN) Active Directory est différent du FQDN DNS ou si le domaine contenant le contrôleur de domaine porte un nom NetBIOS autre que le FQDN Active Directory. Pour ajouter la clé de registre, utilisez les informations suivantes :
  • Pour un VDA 32 bits ou 64 bits, accédez à la clé de registre : HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
    • Nom : ListOfSIDs
    • type : REG_SZ
    • Données : identificateur de sécurité (SID) des Controller
Lorsque des approbations externes sont en place, apportez les modifications suivantes sur le VDA :
  1. Recherchez le fichier \Citrix\Virtual Desktop Agent\brokeragentconfig.exe.config
  2. Créez une copie de sauvegarde du fichier.
  3. Ouvrez le fichier dans un éditeur de texte tel que le Bloc-notes.
  4. Recherchez le texte allowNtlm="false" et modifiez le texte en allowNtlm="true".
  5. Enregistrez le fichier.

Après l'ajout de la clé de registre ListOfSIDs et la modification du fichier brokeragent.exe.config, redémarrez le service Citrix Desktop pour appliquer les modifications.

Le tableau suivant dresse la liste des types de prise en charge de l'approbation :
Type d’approbation Transitivité Sens Pris en charge dans cette version
Parent et enfant Transitive Bidirectionnelle Oui
Racine d'arborescence Transitive Bidirectionnelle Oui
Externe Non transitive Unidirectionnelle ou bidirectionnelle Oui
Forêt Transitive Unidirectionnelle ou bidirectionnelle Oui
Raccourci Transitive Unidirectionnelle ou bidirectionnelle Oui
Domaine Transitive ou non transitive Unidirectionnelle ou bidirectionnelle Non

Pour de plus amples informations sur les environnements Active Directory complexes, consultez l'article CTX134971.