Active Directory
Active Directory è necessaria per l’autenticazione e l’autorizzazione. L’infrastruttura Kerberos in Active Directory viene utilizzata per garantire l’autenticità e la riservatezza delle comunicazioni con i Delivery Controller. Per informazioni su Kerberos, consultare la documentazione Microsoft.
L’articolo Requisiti di sistema elenca i livelli funzionali supportati per la foresta e il dominio. Per utilizzare Policy Modeling, il controller di dominio deve essere in esecuzione su Windows Server 2003 fino a Windows Server 2012 R2. Ciò non influisce sul livello funzionale del dominio.
Questo prodotto supporta:
- Distribuzioni in cui gli account utente e gli account computer esistono in domini all’interno di una singola foresta Active Directory. Gli account utente e computer possono esistere in domini arbitrari all’interno di una singola foresta. Tutti i livelli funzionali di dominio e di foresta sono supportati in questo tipo di distribuzione.
- Distribuzioni in cui gli account utente esistono in una foresta Active Directory diversa dalla foresta Active Directory che contiene gli account computer dei Controller e dei desktop virtuali. In questo tipo di distribuzione, i domini che contengono gli account computer dei Controller e dei desktop virtuali devono considerare attendibili i domini che contengono gli account utente. È possibile utilizzare trust di foresta o trust esterni. Tutti i livelli funzionali di dominio e di foresta sono supportati in questo tipo di distribuzione.
- Distribuzioni in cui gli account computer per i Controller esistono in una foresta Active Directory diversa da una o più foreste Active Directory aggiuntive che contengono gli account computer dei desktop virtuali. In questo tipo di distribuzione deve esistere un trust bidirezionale tra i domini che contengono gli account computer dei Controller e tutti i domini che contengono gli account computer dei desktop virtuali. In questo tipo di distribuzione, tutti i domini che contengono account computer di Controller o desktop virtuali devono essere a livello funzionale “Windows 2000 native” o superiore. Tutti i livelli funzionali di foresta sono supportati.
- Controller di dominio scrivibili. I controller di dominio di sola lettura non sono supportati.
Facoltativamente, i Virtual Delivery Agent (VDA) possono utilizzare le informazioni pubblicate in Active Directory per determinare a quali Controller possono registrarsi (individuazione). Questo metodo è supportato principalmente per la compatibilità con le versioni precedenti ed è disponibile solo se i VDA si trovano nella stessa foresta Active Directory dei Controller. Per informazioni su questo metodo di individuazione, consultare Individuazione basata su OU di Active Directory e CTX118976.
Nota:
Non modificare il nome del computer o l’appartenenza al dominio di un Delivery Controller™ dopo la configurazione del sito.
Distribuzione in un ambiente Active Directory con più foreste
Queste informazioni si applicano alle versioni minime XenDesktop 7.1 e XenApp 7.5. Non si applicano alle versioni precedenti di XenDesktop o XenApp.
In un ambiente Active Directory con più foreste, se sono presenti trust unidirezionali o bidirezionali, è possibile utilizzare i forwarder DNS o i forwarder condizionali per la risoluzione dei nomi e la registrazione. Per consentire agli utenti di Active Directory appropriati di creare account computer, utilizzare la procedura guidata Delega controllo. Consultare la documentazione Microsoft per i dettagli su questa procedura guidata.
Non sono necessarie zone DNS inverse nell’infrastruttura DNS se sono presenti forwarder DNS appropriati tra le foreste.
La chiave SupportMultipleForest è necessaria se il VDA e il Controller si trovano in foreste separate, indipendentemente dal fatto che i nomi Active Directory e NetBIOS siano diversi. Utilizzare le seguenti informazioni per aggiungere la chiave del Registro di sistema al VDA e ai Delivery Controller:
Attenzione:
La modifica errata del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix® non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Eseguire il backup del Registro di sistema prima di modificarlo.
Sul VDA, configurare: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.
- Nome:
SupportMultipleForest - Tipo:
REG_DWORD - Dati:
0x00000001 (1)
Su tutti i Delivery Controller, configurare: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.
- Nome:
SupportMultipleForest - Tipo:
REG_DWORD - Dati:
0x00000001 (1)
Potrebbe essere necessaria una configurazione DNS inversa se lo spazio dei nomi DNS è diverso da quello di Active Directory.
È stata aggiunta una voce del Registro di sistema per evitare l’abilitazione indesiderata dell’autenticazione NTLM nei VDA, che è meno sicura di Kerberos. Questa voce può essere utilizzata al posto della voce SupportMultipleForest, che può comunque essere utilizzata per la compatibilità con le versioni precedenti.
Sul VDA, configurare: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.
- Nome:
SupportMultipleForestDdcLookup - Tipo:
REG_DWORD - Dati:
0x00000001 (1)
Questa chiave del Registro di sistema esegue una ricerca DDC in un ambiente a più foreste con trust bidirezionale che consente di rimuovere l’autenticazione basata su NTLM durante il processo di registrazione iniziale.
Se sono presenti trust esterni durante la configurazione, è necessaria la chiave del Registro di sistema ListOfSIDs. La chiave del Registro di sistema ListOfSIDs è necessaria anche se l’FQDN di Active Directory è diverso dall’FQDN DNS, o se il dominio che contiene il Controller di dominio ha un nome NetBIOS diverso dall’FQDN di Active Directory. Per aggiungere la chiave del Registro di sistema, utilizzare le seguenti informazioni:
Per il VDA, individuare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.
- Nome:
ListOfSIDs - Tipo:
REG_SZ - Dati: Identificatore di sicurezza (SID) dei Controller. (I SID sono inclusi nei risultati del cmdlet
Get-BrokerController.)
Quando sono presenti trust esterni, apportare la seguente modifica sul VDA:
- Individuare il file
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config. - Creare una copia di backup del file.
- Aprire il file in un programma di modifica del testo come Blocco note.
- Individuare il testo
allowNtlm="false"e modificarlo inallowNtlm="true". - Salvare il file.
Dopo aver aggiunto la chiave del Registro di sistema ListOfSIDs e modificato il file brokeragent.exe.config, riavviare il servizio Citrix Desktop per applicare le modifiche.
La tabella seguente elenca i tipi di trust supportati:
| Tipo di trust | Transitività | Direzione | Supportato in questa versione |
|---|---|---|---|
| Padre e figlio | Transitivo | Bidirezionale | Sì |
| Radice dell’albero | Transitivo | Bidirezionale | Sì |
| Esterno | Non transitivo | Unidirezionale o bidirezionale | Sì |
| Foresta | Transitivo | Unidirezionale o bidirezionale | Sì |
| Collegamento | Transitivo | Unidirezionale o bidirezionale | Sì |
| Realm | Transitivo o non transitivo | Unidirezionale o bidirezionale | No |
Per maggiori informazioni sugli ambienti Active Directory complessi, consultare CTX134971.