Citrix Cloud

コネクタアプライアンスを使用したActive Directory(プレビュー)

コネクタアプライアンスを使用して、Citrix Virtual Apps and Desktopsリソースを含まないフォレストにリソースの場所を接続できます。たとえば、Citrix Secure Private Accessの顧客や、一部のフォレストがユーザー認証にのみ使用されるCitrix Virtual Apps and Desktopsの顧客の場合。

コネクタアプライアンスを使用したマルチドメインActive Directoryのこのプレビューでは、次の制限が適用されます:

  • VDAを含むフォレストでは、Cloud Connectorの代わりにコネクタアプライアンスを使用することはできません。

要件

Active Directoryの要件

  • ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。詳しくは、「Active Directoryでのコネクタアプライアンスの展開シナリオ」を参照してください。
  • Citrix Cloudで使用する予定の各Active Directoryフォレストには、常に2つのコネクタアプライアンスがアクセスできるようにする必要があります。
  • コネクタアプライアンスは、フォレストルートドメインとCitrix Cloudで使用する予定のドメインの両方のドメインコントローラーにアクセスできる必要があります。詳しくは、次のMicrosoftのサポート文書を参照してください:
  • グローバルセキュリティグループの代わりに、ユニバーサルセキュリティグループを使用します。この構成により、ユーザーグループのメンバーシップをフォレスト内の任意のドメインコントローラーから確実に取得できます。
  • LDAPSがすべてのドメインコントローラーでサポートされていることを確認します。コネクタアプライアンスは、暗号化されたLDAPSプロトコルを使用してActive Directory接続を確立します。このプロトコルを有効にするには、フォレスト内のすべてのドメインコントローラーに有効な証明書がインストールされていることを確認してください。詳細については、「LDAP over SSLを有効にする」を参照してください。

    証明書がインストールされていない場合、ドメインへの参加は失敗し、「認証エラーが発生しました。資格情報を確認して再試行してください。」というメッセージが表示されます。

ネットワークの要件

  • リソースの場所で使用するリソースに接続できるネットワークに接続済み。
  • インターネットに接続済み。詳しくは、「システムおよび接続要件」を参照してください。

サポートされるActive Directoryの機能レベル

コネクタアプライアンスはテスト済みで、Active Directoryのフォレストとドメインの以下の機能レベルでサポートされます。

フォレスト機能レベル ドメイン機能レベル サポートされるドメインコントローラー
Windows Server 2016 Windows Server 2016 Windows Server 2019

ドメインコントローラ、フォレスト機能レベル、およびドメインの機能レベルの他の組み合わせは、コネクタアプライアンスではテストされていません。ただし、これらの組み合わせは正常に動作することが期待されており、このプレビューでもサポートされています。

コネクタアプライアンスを使用してActive DirectoryドメインをCitrix Cloudに接続する(プレビュー)

コネクタアプライアンスを介してCitrix Cloudに接続するようにActive Directoryを構成するには、次の手順を実行します:

  1. コネクタアプライアンスをリソースの場所にインストールします。

    コネクタアプライアンスの製品ドキュメントの情報を参照できます。

  2. コネクタアプライアンスコンソールで提供されるIPアドレスを使用して、Webブラウザーでコネクタアプライアンスの管理Webページに接続します。

  3. [Active Directoryドメイン] セクションで、 [+ Active Directoryドメインの追加] をクリックします。

  4. [ドメイン名] フィールドにドメイン名を入力します。[追加] をクリックします。

    コネクタアプライアンスはドメインをチェックします。チェックで問題がなければ、[Active Directoryに参加] ダイアログボックスが開きます。

  5. このドメインへの参加権限を持つActive Directoryユーザーのユーザー名とパスワードを入力します。

  6. コネクタアプライアンスからマシン名が提案されます。提案された名前を上書きして、独自のマシン名(最大15文字)を指定することもできます。

    このマシン名は、コネクタアプライアンスが参加したときにActive Directoryドメインに作成されます。

  7. [参加] をクリックします。

    これで、コネクタアプライアンスのユーザーインターフェイス [Active Directoryドメイン] セクションにドメインが一覧表示されます。

  8. Active Directoryドメインをさらに追加するには、[+ Active Directoryドメインの追加] を選択して、上記の手順を繰り返します。

  9. コネクタアプライアンスをまだ登録していない場合は、「コネクタアプライアンスをCitrix Cloudに登録する」で説明されている手順を続行します。

ドメインへの参加時にエラーが発生した場合は、お使いの環境がActive Directoryの要件ネットワークの要件を満たしていることを確認してください。

次の操作

  • このコネクタアプライアンスには、さらにドメインを追加できます。

    注:

    このプレビューの場合、コネクタアプライアンスは最大10個のフォレストでテストされています。

  • 耐障害性を向上させるため、各ドメインを各リソースの場所にある複数のコネクタアプライアンスに追加します。

Active Directory構成を表示する

リソースの場所のActive Directoryドメインとコネクタアプライアンスの構成は、次の場所で表示できます:

  • Citrix Cloudの場合:

    1. メニューで、[IDおよびアクセス管理]ページに移動します。
    2. [ドメイン] タブに移動します。

      Active Directoryドメインは、そのドメインが属しているリソースの場所とともに一覧表示されます。

  • コネクタアプライアンスのWebページの場合:

    1. コネクタアプライアンスコンソールで提供されるIPアドレスを使用して、コネクタアプライアンスのWebページに接続します。
    2. 初回登録時に作成したパスワードでログインします。
    3. ページの [Active Directoryドメイン] セクションには、このコネクタアプライアンスが参加しているActive Directoryドメインの一覧が表示されます。

コネクタアプライアンスからActive Directoryドメインを削除する

Active Directoryドメインから離脱するには、次の手順を実行します:

  1. コネクタアプライアンスコンソールで提供されるIPアドレスを使用して、コネクタアプライアンスのWebページに接続します。
  2. 初回登録時に作成したパスワードでログインします。
  3. ページの [Active Directoryドメイン] セクションにある、参加しているActive Directoryドメインの一覧で、離脱するドメインを探します。
  4. コネクタアプライアンスによって作成されたマシンアカウントの名前を記録します。
  5. ドメインの横にある削除アイコン(ごみ箱)をクリックします。確認ダイアログボックスが開きます。
  6. [続行] をクリックして、その操作を確認します。
  7. Active Directoryコントローラに移動します。
  8. コネクタアプライアンスによって作成されたマシンアカウントをコントローラから削除します。

Active Directoryでコネクタアプライアンスを使用した展開シナリオ

Cloud Connectorとコネクタアプライアンスの両方を使用して、Active Directoryコントローラに接続できます。使用するコネクタの種類は、展開によって異なります。

Active DirectoryでのCloud Connectorの使用について詳しくは、「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。

次の状況では、コネクタアプライアンスを使用してリソースの場所をActive Directoryフォレストに接続します:

  • Secure Private Accessを設定している。詳しくは、「コネクタアプライアンスを使用したSecure Private Access」を参照してください。
  • ユーザー認証にのみ使用されるフォレストが1つ以上ある
  • 複数のフォレストのサポートに必要なコネクタ数の削減を希望している
  • 他のユースケースにコネクタアプライアンスを必要としている

1つ以上のフォレストにユーザーのみが存在する場合に、すべてのフォレストに対して1セットのコネクタアプライアンスを展開

このシナリオは、Workspace Standardの顧客、またはSecure Private Accessのためにコネクタアプライアンスを使用する顧客に適用されます。

このシナリオでは、ユーザーオブジェクト(forest1.localforest2.local)のみを含むフォレストがいくつかあります。これらのフォレストにはリソースは含まれていません。単一のコネクタアプライアンスセットがリソースの場所に展開され、各フォレストのドメインに参加します。

  • 信頼関係:なし
  • [IDおよびアクセスの管理] に表示されるドメイン:forest1.localforest2.local
  • Citrix Workspaceにログオンできるユーザー:すべてのユーザー
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー

別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、すべてのフォレストに単一のコネクタアプライアンスセットを展開

このシナリオは、複数のフォレストを持つCitrix Virtual Apps and Desktopsの顧客に適用されます。

このシナリオでは、一部のフォレスト(resourceforest1.localresourceforest2.local)はリソース(VDAなど)を含み、一部のフォレスト(userforest1.localuserforest2.local)ユーザーのみを含みます。これらのフォレスト間には、ユーザーがリソースにログオンできる信頼関係が存在します。

単一のCloud Connectorセットがresourceforest1.localフォレストに展開されます。別のCloud Connectorセットがresourceforest2.localフォレスト内に展開されます。

単一のコネクタアプライアンスセットがuserforest1.localフォレストに展開され、その同じセットがuserforest2.localフォレスト内に展開されます。

  • 信頼関係:双方向のフォレストの信頼、またはリソースフォレストからユーザーフォレストへの一方向の信頼
  • [IDおよびアクセスの管理] に表示されるドメイン:resourceforest1.localresourceforest2.localuserforest1.localuserforest2.local
  • Citrix Workspaceにログオンできるユーザー:すべてのユーザー
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
コネクタアプライアンスを使用したActive Directory(プレビュー)