Connector Applianceを使用したActive Directory
Connector Applianceを使用して、Citrix Virtual Apps and Desktopsリソースを含まないフォレストにリソースの場所を接続できます。 たとえば、一部のフォレストがユーザー認証にのみ使用されるCitrix Virtual Apps and Desktopsの顧客の場合です。
Connector Applianceを使用したマルチドメインActive Directoryの場合、次の制限が適用されます:
- VDAを含むフォレストでは、Cloud Connectorの代わりにConnector Applianceを使用することはできません。
要件
Active Directoryの要件
- ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。 詳しくは、「Active DirectoryでのConnector Applianceの展開シナリオ」を参照してください。
- Citrix Cloudで使用する予定の各Active Directoryフォレストには、常に2つのConnector Applianceがアクセスできるようにする必要があります。
- Connector Applianceは、フォレストルートドメインとCitrix Cloudで使用する予定のドメインの両方のドメインコントローラーにアクセスできる必要があります。 詳しくは、次のMicrosoftのサポート文書を参照してください:
- ドメインと信頼を構成する方法
- 「Windowsのサービス概要およびネットワークポート要件」の「システムサービスポート」セクション
- グローバルセキュリティグループの代わりに、ユニバーサルセキュリティグループを使用します。 この構成により、ユーザーグループのメンバーシップをフォレスト内の任意のドメインコントローラーから確実に取得できます。
ネットワークの要件
- リソースの場所で使用するリソースに接続できるネットワークに接続済み。
- インターネットに接続済み。 詳しくは、「システムおよび接続要件」を参照してください。
「Connector Applianceの通信」に記載されているポートに加えて、Connector Applianceには、次のポートを介してActive Directoryドメインに送信接続する必要があります:
| サービス | ポート | サポートされるドメインプロトコル |
|---|---|---|
| kerberos | 88 | TCP/UDP |
| エンドポイントマッパー(DCE/RPCロケーターサービス) | 135 | TCP |
| NetBIOSネームサービス | 137 | UDP |
| NetBIOSデータグラム | 138 | UDP |
| NetBIOSセッション | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB over TCP | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| グローバルカタログ | 3268 | TCP |
| 動的RPCポート | 49152~65535 | TCP |
Connector Applianceは、LDAP署名を使用してドメインコントローラーへの接続をセキュリティで保護します。 つまり、SSL経由のLDAP(LDAPS)は必要ありません。 LDAP署名について詳しくは、「Windows ServerでLDAP署名を有効にする方法」および「LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス」を参照してください。
サポートされるActive Directoryの機能レベル
Connector Applianceはテスト済みで、Active Directoryのフォレストとドメインの以下の機能レベルでサポートされます。
| フォレスト機能レベル | ドメイン機能レベル | サポートされるドメインコントローラー |
|---|---|---|
| Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
ドメインコントローラ、フォレスト機能レベル、およびドメインの機能レベルの他の組み合わせは、Connector Applianceではテストされていません。 ただし、これらの組み合わせは正常に動作することが期待されており、サポートされています。
Connector Applianceを使用してActive DirectoryドメインをCitrix Cloudに接続する
Connector Appliance管理Webページに接続すると、Active Directoryドメインセクションに2つのタブが表示されます。
- Joined Domains – Connector ApplianceをADドメインに参加させるために使用され、ドメイン内にアプライアンスのマシンアカウントを作成します。 Kerberosを検証するには、参加したドメインの右側にある省略記号メニューをクリックします。 ドメイン内にマシンアカウントが存在する必要があります。
Connector Applianceを介してCitrix Cloudに接続するようにActive Directoryを構成するには、次の手順を実行します。
-
Connector Applianceをリソースの場所にインストールします。
Connector Applianceの製品ドキュメントの情報を参照できます。
-
Connector Applianceコンソールで提供されるIPアドレスを使用して、WebブラウザーでConnector Applianceの管理Webページに接続します。
-
[Active Directoryドメイン] セクションで、[Joined domains] タブに移動します。
-
[+Active Directoryドメインの追加] をクリックすると、ドメイン名を入力するための新しいポップアップ ウィンドウが表示されます。
Connector Applianceはドメインをチェックします。 チェックで問題がなければ、[Active Directoryに参加] ダイアログボックスが開きます。 この新しいウィンドウでは、ドメインに参加するためのユーザー名とパスワードを入力できます。
- [追加] をクリックします。
- ドメインへの参加権限を持つActive Directoryユーザーのユーザー名とパスワードを入力します。
-
Connector Applianceからマシン名が提案されます。 提案された名前を上書きして、独自のマシン名(最大15文字)を指定することもできます。
このマシン名は、Connector Applianceが参加したときにActive Directoryドメインに作成されます。
-
[参加] をクリックします。
これで、Connector Applianceのユーザーインターフェイス [Active Directoryドメイン] セクションにドメインが一覧表示されます。
- Active Directoryドメインをさらに追加するには、[+ Active Directoryドメインの追加] を選択して、上記の手順を繰り返します。
-
Citrix Cloudコンソールのドメインページに移動し、ドメインにサービスを提供する [Connector Appliance] を選択します。
- Connector Applianceをまだ登録していない場合は、「Connector ApplianceをCitrix Cloudに登録する」で説明されている手順を続行します。
(注)
ドメインへの参加を試行しているときにエラーが発生した場合は、お使いの環境がActive Directoryの要件とネットワークの要件network requirementsを満たしていることを確認してください。
次の操作
-
このConnector Applianceには、さらにドメインを追加できます。
注意:
Connector Applianceは最大10個のフォレストでテストされています。
-
耐障害性を向上させるため、各ドメインを各リソースの場所にある複数のConnector Applianceに追加します。
Active Directory構成を表示する
リソースの場所のActive DirectoryドメインとConnector Applianceの構成は、次の場所で表示できます:
-
Citrix Cloudの場合:
- メニューで、[IDおよびアクセス管理]ページに移動します。
-
[ドメイン] タブに移動します。
Active Directoryドメインは、そのドメインが属しているリソースの場所とともに一覧表示されます。
-
Connector ApplianceのWebページの場合:
- Connector Applianceコンソールで提供されるIPアドレスを使用して、Connector ApplianceのWebページに接続します。
- 初回登録時に作成したパスワードでログインします。
- ページの [Active Directoryドメイン] セクションには、このConnector Applianceが参加しているActive Directoryドメインの一覧が表示されます。
Connector ApplianceからActive Directoryドメインを削除する
Active Directoryドメインから離脱するには、次の手順を実行します:
- Connector Applianceコンソールで提供されるIPアドレスを使用して、Connector ApplianceのWebページに接続します。
- 初回登録時に作成したパスワードでログインします。
- ページの [Active Directoryドメイン] セクションにある、参加しているActive Directoryドメインの一覧で、離脱するドメインを探します。
- Connector Applianceによって作成されたマシンアカウントの名前を記録します。
- ドメインの横にある削除アイコン(ごみ箱)をクリックします。 確認ダイアログボックスが開きます。
- [続行] をクリックして、その操作を確認します。
- Active Directoryコントローラに移動します。
- Connector Applianceによって作成されたマシンアカウントをコントローラから削除します。
Active DirectoryでConnector Applianceを使用した展開シナリオ
Cloud ConnectorとConnector Applianceの両方を使用して、Active Directoryコントローラに接続できます。 使用するコネクタの種類は、展開によって異なります。
次の状況では、Connector Applianceを使用してリソースの場所をActive Directoryフォレストに接続します:
- ユーザー認証にのみ使用されるフォレストが1つ以上ある
- 複数のフォレストのサポートに必要なコネクタ数の削減を希望している
- 他のユースケースにConnector Applianceを必要としている
1つ以上のフォレストにユーザーのみが存在する場合に、すべてのフォレストに対して1セットのConnector Applianceを展開
このシナリオは、Workspace Standardの顧客、またはSecure Private AccessのためにConnector Applianceを使用する顧客に適用されます。
このシナリオでは、ユーザーオブジェクトのみを含むフォレストがいくつかあります(forest1.local、forest2.local)。 これらのフォレストにはリソースは含まれていません。 単一のConnector Applianceセットがリソースの場所に展開され、各フォレストのドメインに参加します。
- 信頼関係:なし
-
[IDおよびアクセスの管理] に表示されるドメイン:
forest1.local、forest2.local - Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、すべてのフォレストに単一のConnector Applianceセットを展開
このシナリオは、複数のフォレストを持つCitrix Virtual Apps and Desktopsの顧客に適用されます。
このシナリオでは、一部のフォレスト(resourceforest1.local、resourceforest2.local)にはリソース(VDAなど)が含まれ、一部のフォレスト(userforest1.local、userforest2.local)にはユーザーのみが含まれます。 これらのフォレスト間には、ユーザーがリソースにログオンできる信頼関係が存在します。
1セットのCloud Connectorがresourceforest1.localフォレスト内に展開されています。 別のセットのCloud Connectorがresourceforest2.localフォレスト内に展開されています。
1セットのConnector Applianceがuserforest1.localフォレスト内に展開され、同じセットがuserforest2.localフォレスト内に展開されています。
- 信頼関係:双方向のフォレストの信頼、またはリソースフォレストからユーザーフォレストへの一方向の信頼
-
[IDおよびアクセス管理]:
resourceforest1.local、resourceforest2.local、userforest1.local、userforest2.localに表示されているドメイン - Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー