Active Directory OUベースのController検出
このDelivery Controller検出方法は主に後方互換性のためにサポートされており、VDA for Windows Desktop OSでのみ有効です(VDA for Windows Server OSでは使用できません)。
VDAをControllerに登録できるように構成できるその他の方法(推奨される方法を含む)については、「ControllerへのVDA登録」を参照してください。
この検出方法では、サイト内のすべてのコンピューターが同じActive Directoryドメインに属しており、Controllerとデスクトップで使用されるドメイン間に相互信頼関係が設定されている必要があります。この検出方法を使用する場合、各デスクトップのレジストリで組織単位(OU)のGUIDを構成する必要があります。
OUベースのコントローラの検出を実行するには、コントローラ上で Set-ADControllerDiscovery.ps1 PowerShell スクリプトを実行します(各コントローラには、$env: ProgramFiles\ Citrix\ Broker\ Service\ Setup Scripts フォルダーにこのスクリプトが含まれています)。スクリプトを実行するには、すべての管理タスクを実行できる権限に加えて、親OUでのCreateChild権限が必要です。
Active Directoryを使用してControllerが検出されるように構成する場合は、サイトを作成するときに、対応する組織単位(OU)をActive Directory内に作成する必要があります。このOUは、環境内のコンピューターが属しているフォレスト内のどのドメインにも作成できます。ベストプラクティスとしては、サイト内のControllerもこのOUに含まれている方が望ましいですが、これは必須ではありません。適切な権限を持つドメイン管理者はOUを空のコンテナとして作成して、そのOUの管理権限をほかのCitrix管理者に委任できます。
スクリプトを実行すると、以下の重要なオブジェクトが作成されます。これらのオブジェクトは、標準的なActive Directoryオブジェクトです。スキーマを拡張する必要はありません。
-
Controllerのセキュリティグループ。サイト内のすべてのControllerのコンピューターアカウントは、このセキュリティグループに属している必要があります。サイト内のデスクトップは、このセキュリティグループに属しているControllerからのみデータを受け入れます。
すべてのControllerで、VDAを実行するすべての仮想デスクトップに対する「ネットワーク経由でコンピューターへアクセス」権限が必要です。このため、Controllerのセキュリティグループにこの権限を追加します。Controllerにこの権限がない場合、VDAは登録されません。
-
サイトの名前など、サイトに関する情報を含むサービス接続ポイント(SCP)オブジェクト。[Active Directoryユーザーとコンピューター]管理ツールでサイトOUを確認する場合、SCPオブジェクトを表示するには[表示]メニューの[拡張機能]を有効にする必要があります。
-
サイトのOU内に作成されるRegistrationServicesという名前のコンテナ。このコンテナには、サイトの各Controllerについて1つのSCPオブジェクトが含まれます。Controllerが起動すると、そのSCPの内容が検証され、必要な場合は更新されます。
初回インストール後に複数の管理者がControllerを追加および削除する可能性がある場合は、RegistrationServicesコンテナで子を作成および削除する権限と、Controllerセキュリティグループのプロパティを書き込む権限が必要です。これらのアクセス許可は、Set-ADControllerDiscovery.ps1 スクリプトを実行する管理者に自動的に付与されます。これらの権限はドメイン管理者または初回インストール時の管理者が付与できます。また、これを行うためのセキュリティグループを設定することをお勧めします。
サイトOUを使用する場合、以下の項目が適用されます。
- Active Directoryに情報が書き込まれるのは、この製品をインストールまたはアンインストールするときや、起動したControllerのSCPの情報を更新するとき(Controllerの名前や通信ポートを変更した後など)のみです。デフォルトでは、Set-ADControllerDiscovery.ps1スクリプトによってサイトOU内のオブジェクトに関する権限が適切にセットアップされ、各ControllerにSCPへの書き込み権限が付与されます。サイトOU内のオブジェクトの内容は、デスクトップとControllerの間の信頼を確立するために使用されます。以下の点を確認してください。
- 許可された管理者のみが、セキュリティグループのアクセス制御リスト(ACL)を使用してControllerのセキュリティグループにコンピューターを追加したり削除したりできること。
- 許可された管理者と各Controllerのみが、ControllerのSCP内の情報を変更できること。
- 展開でレプリケーションを使用する場合は、潜在的な遅延に注意してください。詳しくは、Microsoft社のドキュメントを参照してください。複数のActive Directoryサイトにドメインコントローラーがあるドメイン内でサイトOUを作成する場合は、特に重要になります。デスクトップやController、ドメインコントローラーの場所によっては、サイトOUを最初に作成したり、Controllerをインストールまたはアンインストールしたり、Controller名や通信ポートを変更したりしたときのActive Directoryの変更内容が、適切なドメインコントローラーに複製されるまでデスクトップ側に反映されない場合があります。このような遅延が発生するときは、デスクトップがControllerとの接続を確立できないためにユーザーが仮想デスクトップに接続できないなどの問題が発生します。
- この製品では、Active Directoryの標準のコンピューターオブジェクトの属性を複数使用して、デスクトップを管理します。環境によっては、デスクトップのActive Directoryレコードに格納されるコンピューターオブジェクトの完全修飾ドメイン名(FQDN)が、接続を行うユーザーに返される接続設定の一部として含まれている場合があります。この情報がDNS環境の情報と一致していることを確認してください。
OUベースのController検出を使用してControllerをほかのサイトに移動するには、前述のControllerの移動に関する指示に従って操作します。古いサイトからControllerを削除した後(手順.2)、PowerShellスクリプトSet-ADControllerDiscovery –syncを実行します。このスクリプトにより、OUが現在のControllerの一覧と同期されます。移動先のサイトに参加した後(手順3.)、そのサイトの任意のController上で同じスクリプトを実行します。
OUベースの検出に必要な権限
サイトを作成するには、スクリプトを実行するCitrixサイト管理者が、サイトOUにオブジェクト(SCP、コンテナ、セキュリティグループ)を作成する権限を持っている必要があります。
サイト OU が存在しない場合は、管理者にも作成権限が必要です。ADドメイン管理者は、事前にサイトOUを作成して、Citrixサイト管理者IDに権限を割り当てることをお勧めします。必要な場合、このスクリプトはサイトOUも作成できます。このためには、管理者は、新しいOUの親OUに対する権限を作成する必要があります。ただし、前述のように、Citrix はこれを推奨しません。
後で、サイトにControllerを追加したり、サイトからControllerを削除したりするには、Citrix管理者にセキュリティグループのマシンを追加/削除する権限、およびSCPを作成/削除する権限が必要です。
通常の操作では、ControllerおよびVDAは、OUおよびその下部で、すべてのオブジェクトに対する読み取り権限が必要です。VDAは、そのマシンIDとしてOUにアクセスします。このマシンIDには、Controllerを検出できるように少なくともOUの読み取り権限が必要です。Controllerには、コンテナで現在のSCPオブジェクトにプロパティを設定する権限が必要です。
Citrix管理者の完全な権限を子OUに付与すると、これらのすべてのアクションが可能になります。ただし、セキュリティ要件が厳格な環境(スクリプトを実行できるユーザーやアクションの種類を制限しているなど)では、制御の委任ウィザードを使用して特定の権限を設定することができます。次に例を示す手順では、サイトを作成する権限を付与します。
- 子オブジェクト(サービス接続ポイント(SCP)、コンテナ、セキュリティグループ)を含むOUを作成します。
- OUを選択して右クリックし、[制御の委任]を選択します。
- 制御の委任ウィザードで、OUの制御を委任するドメインユーザーを指定します。
- [委任するタスク]ページで、[委任するカスタムタスクを作成する]を選択します。
- [Active Directoryオブジェクトの種類]ページで、デフォルトの[このフォルダ、このフォルダ内の既存のオブジェクト、およびこのフォルダ内の新しいオブジェクトの作成]を受け入れます。
- [アクセス許可] ページで、[すべての子オブジェクトの 作成] チェックボックスと [すべての子オブジェクトの作成] チェックボックスをオンにします。
- ウィザードを終了して、権限を確認します。