アクティブディレクトリの組織単位に基づくコントローラーの検出
このDelivery Controller™検出方法は、主に下位互換性のためにサポートされており、WindowsデスクトップOS用Virtual Delivery Agent (VDA) のみに有効であり、Windows Server OS用VDAには無効です。
VDAがコントローラーに登録できるように構成できる他の方法(推奨される方法を含む)については、「VDAのコントローラーへの登録」を参照してください。
Active Directoryベースの検出では、サイト内のすべてのコンピューターがドメインのメンバーであり、コントローラーが使用するドメインとデスクトップが使用するドメイン間に相互信頼関係がある必要があります。この方法を使用する場合、各デスクトップのレジストリでOUのGUIDを構成する必要があります。
OUベースのコントローラー検出を実行するには、コントローラーでSet-ADControllerDiscovery.ps1 PowerShellスクリプトを実行します(各コントローラーには、このスクリプトが$Env:ProgramFiles\Citrix\Broker\Service\Setup Scriptsフォルダーに含まれています)。スクリプトを実行するには、親OUに対するCreateChild権限と、完全な管理権限が必要です。
サイトを作成する際、デスクトップがActive Directoryを介してサイト内のコントローラーを検出できるようにするには、Active Directoryに対応する組織単位(OU)を作成する必要があります。OUは、コンピューターを含むフォレスト内の任意のドメインに作成できます。ベストプラクティスとして、OUにはサイト内のコントローラーも含まれているべきですが、これは強制または必須ではありません。適切な権限を持つドメイン管理者は、OUを空のコンテナーとして作成し、そのOUに対する管理権限をCitrix管理者に委任できます。
スクリプトはいくつかの重要なオブジェクトを作成します。標準のActive Directoryオブジェクトのみが作成および使用されます。スキーマを拡張する必要はありません。
-
コントローラーセキュリティグループ。サイト内のすべてのコントローラーのコンピューターアカウントは、このセキュリティグループのメンバーである必要があります。サイト内のデスクトップは、このセキュリティグループのメンバーである場合にのみ、コントローラーからのデータを受け入れます。
すべてのコントローラーが、VDAを実行しているすべての仮想デスクトップに対して「Access this computer from the network」権限を持っていることを確認してください。これは、コントローラーセキュリティグループにこの権限を付与することで実行できます。コントローラーにこの権限がない場合、VDAは登録されません。
-
サイト名などのサイトに関する情報を含むサービス接続ポイント(SCP)オブジェクト。Active Directoryユーザーとコンピューター管理ツールを使用してサイトOUを検査する場合、SCPオブジェクトを表示するには、[表示]メニューで[高度な機能]を有効にする必要がある場合があります。
-
サイトOUに作成されるRegistrationServicesというコンテナー。これには、サイト内の各コントローラーのSCPオブジェクトが1つ含まれています。コントローラーが起動するたびに、そのSCPの内容を検証し、必要に応じて更新します。
初期インストール後に複数の管理者がコントローラーを追加および削除する可能性がある場合、RegistrationServicesコンテナーで子を作成および削除する権限と、コントローラーセキュリティグループでプロパティを書き込む権限が必要です。これらの権限は、Set-ADControllerDiscovery.ps1スクリプトを実行する管理者に自動的に付与されます。ドメイン管理者または元のインストール管理者がこれらの権限を付与でき、Citrixはこれを行うためのセキュリティグループを設定することを推奨します。
サイトOUを使用する場合:
- 情報は、このソフトウェアのインストールまたはアンインストール時、あるいはコントローラーが起動してSCP内の情報を更新する必要がある場合にのみActive Directoryに書き込まれます(たとえば、コントローラーの名前が変更された、または通信ポートが変更されたため)。デフォルトでは、Set-ADControllerDiscovery.ps1スクリプトはサイトOU内のオブジェクトに対する権限を適切に設定し、各コントローラーにそのSCPへの書き込みアクセス権を付与します。サイトOU内のオブジェクトの内容は、デスクトップとコントローラー間の信頼を確立するために使用されます。以下を確認してください:
- 承認された管理者のみが、セキュリティグループのアクセス制御リスト(ACL)を使用して、コントローラーセキュリティグループからコンピューターを追加または削除できます。
- 許可された管理者のみ、およびそれぞれのControllerが、ControllerのSCP内の情報を変更できます。
- 展開でレプリケーションを使用している場合は、潜在的な遅延に注意してください。詳細については、Microsoftのドキュメントを参照してください。これは、複数のActive DirectoryサイトにドメインコントローラーがあるドメインにサイトOUを作成する場合に特に重要です。デスクトップ、Controller、およびドメインコントローラーの場所によっては、サイトOUを最初に作成するとき、Controllerをインストールまたはアンインストールするとき、またはController名や通信ポートを変更するときにActive Directoryに加えられた変更は、その情報が適切なドメインコントローラーにレプリケートされるまで、デスクトップに表示されない場合があります。このようなレプリケーション遅延の症状には、Controllerと連絡を確立できず、その結果ユーザー接続に利用できないデスクトップが含まれます。
- このソフトウェアは、Active Directoryのいくつかの標準的なコンピューターオブジェクト属性を使用してデスクトップを管理します。展開によっては、デスクトップのActive Directoryレコードに保存されているマシンオブジェクトの完全修飾ドメイン名が、ユーザーに返される接続設定の一部として含まれる場合があります。この情報がDNS環境の情報と一致していることを確認してください。
OUベースのController検出を使用してControllerを別のサイトに移動するには、Controllerの移動に関する上記の手順に従ってください。古いサイトからControllerを削除した後(手順2)、PowerShellスクリプト Set-ADControllerDiscovery –sync を実行します。このスクリプトは、OUを現在のControllerセットと同期します。既存のサイトに参加した後(手順3)、新しいサイトの任意のControllerで同じスクリプトを実行します。
OUベースの検出に必要な権限
サイトを作成するには、スクリプトを実行するCitrix管理者は、サイトOUに対してオブジェクト(SCP、コンテナー、およびセキュリティグループ)を作成する権限を持っている必要があります。
サイトOUが存在しない場合、管理者はそれを作成する権限も持っている必要があります。Citrixは、ADドメイン管理者がそのOUを事前に作成し、Citrixサイト管理者IDにその権限を委任することを推奨します。オプションで、スクリプトはサイトOUを作成することもできます。これを許可するには、管理者は新しいOUの親OUに対して「OUの作成」権限が必要です。ただし、前述のとおり、Citrixはこれを推奨しません。
後で、サイトからControllerを追加または削除するには、Citrix管理者は、セキュリティグループからマシンを追加/削除し、SCPを作成/削除する権限を持っている必要があります。
通常の操作中、ControllerとVDAは、OU内およびそれ以下のすべてのオブジェクトに対する読み取り権限が必要です。VDAは、自身のマシンIDとしてOUにアクセスします。そのマシンIDは、Controllerを検出できるように、OU内で少なくとも読み取り権限が必要です。Controllerは、コンテナー内の自身のSCPオブジェクトのプロパティを設定する権限も必要です。
Citrix管理者に子OUへの完全な権限を付与すると、これらすべての操作が可能になります。ただし、展開に厳格なセキュリティ要件がある場合(たとえば、どのユーザーがどの操作にスクリプトを使用できるかを制限するなど)、制御の委任ウィザードを使用して特定の権限を設定できます。次の例の手順では、サイトを作成する権限を付与します。
- 子オブジェクト(サービス接続ポイント(SCP)、コンテナー、およびセキュリティグループ)を格納するためのOUを作成します。
- OUを選択し、右クリックして Delegate Control を選択します。
- 制御の委任ウィザードで、OUの制御を委任するドメインユーザーを指定します。
- 委任するタスク ページで、カスタム委任タスクを作成 を選択します。
- 「Active Directory Object type」ページで、デフォルトの「このフォルダー、このフォルダー内の既存のオブジェクト、およびこのフォルダー内の新しいオブジェクトの作成」を受け入れます。
- 「Permissions」ページで、「すべての子オブジェクトの書き込みと作成」チェックボックスを選択します。
- ウィザードを完了して、権限を確認します。