Advanced configuration
Directorは、ユーザー、Delivery Controller (DC)、VDA、およびDirectorが異なるフォレストに配置されているフォレスト構成にまたがるマルチフォレスト環境をサポートできます。これには、フォレスト間の信頼関係と構成設定の適切なセットアップが必要です。
マルチフォレスト環境での推奨構成
推奨される構成では、ドメイン全体の認証を使用して、フォレスト間で送信および受信フォレスト信頼関係を作成する必要があります。
Directorからの信頼関係により、異なるフォレストに配置されているユーザーセッション、VDA、およびDelivery Controllerの問題をトラブルシューティングできます。
Directorが複数のフォレストをサポートするために必要な高度な構成は、Internet Information Services (IIS) マネージャーで定義された設定によって制御されます。
重要:
IISで設定を変更すると、Directorサービスが自動的に再起動し、ユーザーがログオフされます。
IISを使用して高度な設定を構成するには:
- インターネット インフォメーション サービス (IIS) マネージャー コンソールを開きます。
- デフォルトのWebサイトの下にあるDirector Webサイトに移動します。
- アプリケーション設定をダブルクリックします。
- 設定をダブルクリックして編集します。
- 追加をクリックして新しい設定を追加します。
Director は Active Directory を使用してユーザーを検索し、より多くのユーザーおよびマシン情報を参照します。デフォルトでは、Director は以下のドメインまたはフォレストを検索します。
- 管理者アカウントがメンバーである。
- Director Web サーバーがメンバーである(異なる場合)。
Director は Active Directory グローバルカタログを使用して、フォレストレベルで検索を実行しようとします。フォレストレベルで検索する権限がない場合、ドメインのみが検索されます。
別の Active Directory ドメインまたはフォレストからデータを検索または参照するには、検索するドメインまたはフォレストを明示的に設定する必要があります。IIS マネージャーで Director Web サイトに次のアプリケーション設定を構成します。
Connector.ActiveDirectory.Domains = (user),(server)
値属性の user と server は、それぞれ Director ユーザー(管理者)と Director サーバーのドメインを表します。
追加のドメインまたはフォレストからの検索を有効にするには、この例に示すように、ドメイン名をリストに追加します。
Connector.ActiveDirectory.Domains = (user),(server),\<domain1\>,\<domain2\>
リスト内の各ドメインについて、Director はフォレストレベルで検索を実行しようとします。フォレストレベルで検索する権限がない場合、ドメインのみが検索されます。
ドメインローカルグループの構成
Most Citrix Service Providers (CSPs) have similar environment set-ups consisting of the VDAs, DCs, and Director in the Infrastructure forest. The users or user-group records belong to the Customer forest. A one-way outgoing trust exists from the Infrastructure forest to the Customer forest.
CSP 管理者は通常、インフラストラクチャフォレストにドメインローカルグループを作成し、顧客フォレスト内のユーザーまたはユーザーグループをこのドメインローカルグループに追加します。
推奨されるマルチフォレストサイト構成(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/domainlocalgroup-config.png)
Director はこのようなマルチフォレスト設定をサポートし、ドメインローカルグループを使用して構成されたユーザーのセッションを監視できます。
-
IIS マネージャーで Director Web サイトに次のアプリケーション設定を追加します。
Connector.ActiveDirectory.DomainLocalGroupSearch= true DomainLocalGroupSearchDomains= \<domain1\>,\<domain2\><domain1><domain2> は、ドメインローカルグループが存在するフォレストの名前です。
-
ドメインローカルグループをWeb Studioのデリバリーグループに割り当てます。
-
変更を有効にするには、IISを再起動し、Directorに再度ログオンします。これで、Directorはこれらのユーザーのセッションを監視し、表示できるようになります。
Directorにサイトを追加する
Directorがすでにインストールされている場合は、複数のサイトで動作するように構成します。構成するには、各DirectorサーバーでIISマネージャーコンソールを使用して、アプリケーション設定のサーバーアドレスのリストを更新します。
各サイトのControllerのアドレスを次の設定に追加します。
Service.AutoDiscoveryAddresses = SiteAController,SiteBController
<!--NeedCopy-->
SiteAControllerとSiteBControllerは、2つの異なるサイトのデリバリーコントローラーのアドレスです。
アクティビティマネージャーで実行中のアプリケーションの表示を無効にする
デフォルトでは、Directorのアクティビティマネージャーには、ユーザーセッションのすべての実行中のアプリケーションのリストが表示されます。この情報は、Directorのアクティビティマネージャー機能にアクセスできるすべての管理者が表示できます。委任された管理者ロールの場合、これには完全管理者、デリバリーグループ管理者、およびヘルプデスク管理者が含まれます。
ユーザーのプライバシーと実行中のアプリケーションを保護するために、Applicationsタブを無効にして、実行中のアプリケーションを一覧表示しないようにすることができます。
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証しません。レジストリエディターは自己責任で使用してください。編集する前に必ずレジストリをバックアップしてください。
- VDAで、HKEY_LOCAL_MACHINE\Software\Citrix\Director\TaskManagerDataDisplayedのレジストリキーを変更します。デフォルトでは、キーは1に設定されています。値を0に変更すると、情報がVDAから収集されず、アクティビティマネージャーに表示されなくなります。
- Directorがインストールされているサーバーで、実行中のアプリケーションの表示を制御する設定を変更します。デフォルトでは、値は「true」であり、Applicationsタブで実行中のアプリケーションの表示が許可されます。値を「false」に変更すると、表示が無効になります。このオプションは、VDAではなく、Directorのアクティビティマネージャーのみに影響します。 次の設定の値を変更します。 UI.TaskManager.EnableApplications = false
重要:
実行中のアプリケーションの表示を無効にするには、データがアクティビティマネージャーに表示されないように、両方の変更を行います。