Citrix Virtual Apps and Desktops

Active Directory

認証および承認にはActive Directoryが使用されます。Active DirectoryのKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。

システム要件」で、フォレストとドメインでサポートされる機能レベルについて確認してください。ポリシーモデル作成機能を使用するには、ドメインコントローラーがWindows Server 2003~Windows Server 2012 R2上で動作している必要があります。これは、ドメインの機能レベルには影響しません。

以下の環境がサポートされています。

  • ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば、ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような環境では、Controllerおよび仮想デスクトップのコンピューターアカウントのドメインが、ユーザーアカウントのドメインを信頼している必要があります。フォレストの信頼または外部の信頼を使用できます。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような環境では、Controllerのコンピューターアカウントのドメインと、仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。このような環境では、Controllerまたは仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが[Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
  • 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。

必要に応じて、Virtual Delivery Agent(VDA)で登録可能なControllerを検出するときに、Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので、VDAとControllerが同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法について詳しくは、「Active Directory OUベースの検出」およびCTX118976を参照してください。

注:

サイトの構成後、コンピューター名やDelivery Controllerのドメインメンバーシップを変更しないでください。

複数のActive Directoryフォレスト環境での展開

このトピックの内容は、XenDesktop 7.1以降およびXenApp 7.5以降に適用されます。これらの製品の以前のバージョンのXenDesktopまたはXenAppには適用されません。

複数のフォレストがあるActive Directory環境では、一方向または双方向の信頼関係が構成済みの場合に、DNSフォワーダーまたは条件付きフォワーダーによる名前参照や登録を使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、オブジェクト制御の委任ウィザードを使用します。このウィザードについて詳しくは、Microsoft社のドキュメントを参照してください。

適切なDNSフォワーダーがフォレスト間に存在する場合、DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。

VDAとControllerが別のフォレストにある場合、Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく、レジストリキーSupportMultipleForestが必要です。以下の情報を使用して、レジストリキーをVDAおよびDelivery Controllerに追加します。

注意:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

VDAで次を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest

  • 名前:SupportMultipleForest
  • 種類:REG_DWORD
  • データ:0x00000001 (1)

すべてのDelivery Controllerで次を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest

  • 名前:SupportMultipleForest
  • 種類:REG_DWORD
  • データ:0x00000001 (1)

DNS名前空間がActive Directoryのそれと異なる場合、DNS逆引き構成が必要になることがあります。

Kerberosよりも安全性が低いNTLM認証をVDAで不要に有効化しないように、レジストリエントリが追加されました。このエントリは、SupportMultipleForestエントリ(後方互換性があるため引き続き使用可能)の代わりに使用できます。

VDAで次を構成します:HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent

  • 名前:SupportMultipleForestDdcLookup
  • 種類:REG_DWORD
  • データ:0x00000001 (1)

このレジストリキーは、双方向の信頼がある複数フォレスト環境でDDCルックアップを実行します。この環境では、初期登録プロセス中にNTLMベースの認証を削除できます。

セットアップ時に外部信頼が構成済みの場合は、レジストリキーListOfSIDsが必要になります。また、Active DirectoryのFQDNがDNS FQDNと異なる場合、またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も、レジストリキーListOfSIDsが必要です。以下のレジストリキーを追加します。

VDAの場合、レジストリキーHKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDsを検索します。

  • 名前:ListOfSIDs
  • 種類:REG_SZ
  • データ:Controllerのセキュリティ識別子(SID)。(SIDは、Get-BrokerControllerコマンドレットの結果に含まれています。)

適切な外部の信頼が構成済みの場合、VDA上で以下の変更を行います:

  1. ファイルProgram Files\Citrix\Virtual Desktop Agent\brokeragent.exe.configを検索します。
  2. ファイルのバックアップコピーを作成します。
  3. メモ帳などのテキストエディターを使ってファイルを開きます。
  4. テキストallowNtlm="false"を検索して、テキストをallowNtlm="true"に変更します。
  5. ファイルを保存します。

レジストリキーListOfSIDsを追加してbrokeragent.exe.configファイルを編集したら、Citrix Desktop Serviceを再起動して変更を適用します。

次の表は、サポートされる信頼の種類を示しています。

信頼の種類 推移性 方向 このリリースでのサポート
親および子 推移的 双方向 はい
ツリールート 推移的 双方向 はい
外部 非推移的 一方向または双方向 はい
フォレスト 推移的 一方向または双方向 はい
ショートカット 推移的 一方向または双方向 はい
領域 推移的または非推移的 一方向または双方向 いいえ

複雑なActive Directory環境での展開について詳しくは、CTX134971を参照してください。

Active Directory