Citrix Virtual Apps and Desktops

Active Directory

Active Directory è necessario per l’autenticazione e l’autorizzazione. L’infrastruttura Kerberos presente in Active Directory viene utilizzata per garantire l’autenticità e la riservatezza delle comunicazioni con i Delivery Controller. Per informazioni su Kerberos, vedere la documentazione di Microsoft.

Nell’articolo Requisiti di sistema sono elencati i livelli di funzionalità supportati per la foresta e il dominio. Per utilizzare la modellazione dei criteri, il Controller di dominio deve essere in esecuzione sul server da Windows Server 2003 a Windows Server 2012 R2. Questo non influisce sul livello di funzionalità del dominio.

Questo prodotto supporta:

  • Distribuzioni in cui gli account utente e gli account computer sono presenti nei domini in una singola foresta Active Directory. Gli account utente e computer possono esistere in domini arbitrari all’interno di una singola foresta. In questo tipo di distribuzione sono supportati tutti i livelli di funzionalità del dominio e i livelli di funzionalità della foresta.
  • Distribuzioni in cui esistono account utente in una foresta di Active Directory diversa dalla foresta di Active Directory contenente gli account computer dei controller e dei desktop virtuali. In questo tipo di distribuzione, i domini contenenti gli account Controller e computer desktop virtuale devono considerare attendibili i domini contenenti account utente. È possibile utilizzare trust tra foreste o trust esterni. In questo tipo di distribuzione sono supportati tutti i livelli di funzionalità del dominio e i livelli di funzionalità della foresta.
  • Distribuzioni in cui esistono account computer in una foresta di Active Directory diversa dalla foresta o dalle ulteriori foreste di Active Directory contenenti gli account computer dei desktop virtuali. In questo tipo di distribuzione deve esistere un trust bidirezionale tra i domini contenenti gli account del computer Controller e tutti i domini contenenti gli account del computer desktop virtuale. In questo tipo di distribuzione, tutti i domini contenenti account Controller o computer desktop virtuale devono essere a livello funzionale “Windows 2000 nativo” o superiore. Sono supportati tutti i livelli funzionali della foresta.
  • Controller di dominio scrivibili. I controller di dominio di sola lettura non sono supportati.

Facoltativamente, i Virtual Delivery Agent (VDA) possono utilizzare le informazioni pubblicate in Active Directory per determinare con quali controller possono registrarsi (individuazione). Questo metodo è supportato principalmente per la compatibilità con le versioni precedenti ed è disponibile solo se i VDA si trovano nella stessa foresta di Active Directory in cui si trovano i controller. Per informazioni su questo metodo di rilevamento, vedere Individuazione basata su unità organizzativa di Active Directory e CTX118976.

Nota:

Non modificare il nome del computer o l’appartenenza al dominio di un Delivery Controller dopo la configurazione del sito.

Distribuire in un ambiente con più foreste Active Directory

Queste informazioni si applicano alle versioni minime di XenDesktop 7.1 e XenApp 7.5. Non si applicano alle versioni precedenti di XenDesktop o XenApp.

In un ambiente Active Directory con più foreste, se esistono trust unidirezionali o bidirezionali, è possibile utilizzare server di inoltro DNS o condizionali per la ricerca e la registrazione dei nomi. Per consentire agli utenti di Active Directory appropriati di creare account computer, utilizzare la Delega guidata del controllo. Per ulteriori informazioni su questa procedura guidata, vedere la documentazione Microsoft.

Non sono necessarie zone DNS inverse nell’infrastruttura DNS se sono presenti server di inoltro DNS appropriati tra le foreste.

La chiave SupportMultipleForest è necessaria se i VDA e i Controller si trovano in foreste separate, indipendentemente dal fatto che i nomi di Active Directory e NetBIOS siano diversi. Utilizzare le seguenti informazioni per aggiungere la chiave del Registro di sistema al VDA e ai Delivery Controller:

Attenzione:

La modifica non corretta del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso non corretto dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Eseguire il backup del Registro di sistema prima di modificarlo.

Sul VDA, configurare: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Data: 0x00000001 (1)

In tutti i Delivery Controller, configurare: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Data: 0x00000001 (1)

Potrebbe essere necessaria la configurazione DNS inversa se lo spazio dei nomi DNS è diverso da quello di Active Directory.

È stata aggiunta una voce del Registro di sistema per evitare l’attivazione indesiderata nei VDA dell’autenticazione NTLM, che è meno sicura di Kerberos. Questa voce può essere utilizzata al posto della voce SupportMultipleForest, che può essere comunque utilizzata per la compatibilità con le versioni precedenti.

Sul VDA configurare:HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.

  • Nome: SupportMultipleForestDdcLookup
  • Tipo: REG_DWORD
  • Data: 0x00000001 (1)

Questa chiave del Registro di sistema esegue una ricerca DDC in un ambiente a più foreste di trust bidirezionale che consente di rimuovere l’autenticazione basata su NTLM durante il processo di registrazione iniziale.

Se durante l’installazione sono presenti trust esterni, è necessaria la chiave ListOfSIDs del Registro di sistema. La chiave ListOfSIDs del Registro di sistema è inoltre necessaria se il nome di dominio completo di Active Directory è diverso dal nome FQDN DNS o se il dominio contenente il controller di dominio ha un nome NetBIOS diverso da quello di Active Directory FQDN. Per aggiungere la chiave del Registro di sistema, utilizzare le seguenti informazioni:

Per il VDA, individuare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.

  • Nome: ListOfSIDs
  • Tipo: REG_SZ
  • Dati: identificativo di sicurezza (SID) dei controller. I SID sono inclusi nei risultati del cmdlet Get-BrokerController.

Quando sono presenti trust esterni, apportare le seguenti modifiche al VDA:

  1. Individuare il file Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config.
  2. Effettuare una copia di backup del file.
  3. Aprire il file in un programma di modifica del testo, ad esempio Blocco note.
  4. Individuare il testo allowNtlm="false" e modificare il testo in allowNtlm="true".
  5. Salvare il file.

Dopo aver aggiunto la chiave ListOfSIDs del Registro di sistema e aver modificato il file brokeragent.exe.config, riavviare Citrix Desktop Service per applicare le modifiche.

Nella tabella seguente sono elencati i tipi di trust supportati:

Tipo di trust Transitività Direzione Supportato in questa versione
Elemento principale e secondario Transitivo Bidirezionale
Origine struttura Transitivo Bidirezionale
Esterno Non transitivo A senso unico o bidirezionale
Foresta Transitivo A senso unico o bidirezionale
Collegamento Transitivo A senso unico o bidirezionale
Area di autenticazione Transitivo o non transitivo A senso unico o bidirezionale No

Per ulteriori informazioni sugli ambienti Active Directory complessi, vedere CTX134971.

Active Directory