Active Directory joined
Active Directory は認証と承認に必要です。Active Directory の Kerberos インフラストラクチャは、Delivery Controller との通信の信頼性と機密性を保証するために使用されます。Kerberos の詳細については、Microsoft のドキュメントを参照してください。
システム要件の記事には、フォレストとドメインでサポートされている機能レベルが記載されています。ポリシーモデリングを使用するには、ドメインコントローラーがサポートされているすべてのサーバーOSで実行されている必要があります。これはドメインの機能レベルには影響しません。
この製品は以下をサポートします。
- ユーザーアカウントとコンピューターアカウントが単一のActive Directoryフォレスト内のドメインに存在する展開。 ユーザーアカウントとコンピューターアカウントは、単一のフォレスト内の任意のドメインに存在できます。この種類の展開では、すべてのドメイン機能レベルとフォレスト機能レベルがサポートされます。
- Deployments in which user accounts exist in an Active Directory forest that is different from the Active Directory forest containing the computer accounts of the Controllers and virtual desktops. In this type of deployment, the domains containing the Controller and virtual desktop computer accounts must trust the domains containing user accounts. Forest trusts or external trusts can be used. All domain functional levels and forest functional levels are supported in this type of deployment.
- Deployments in which the computer accounts for Controllers exist in an Active Directory forest that is different from one or more additional Active Directory forests that contain the computer accounts of the virtual desktops. In this type of deployment a bi-directional trust must exist between the domains containing the Controller computer accounts and all domains containing the virtual desktop computer accounts. In this type of deployment, all domains containing Controller or virtual desktop computer accounts must be at “Windows 2000 native” functional level or higher. All forest functional levels are supported.
- 書き込み可能なドメインコントローラー。 読み取り専用ドメインコントローラーはサポートされていません。
オプションで、Virtual Delivery Agent (VDA) は、Active Directory で公開されている情報を使用して、どのコントローラーに登録できるか(検出)を判断できます。この方法は主に下位互換性のためにサポートされており、VDA がコントローラーと同じActive Directoryフォレストにある場合にのみ利用できます。この検出方法の詳細については、Active Directory OUベースの検出 および CTX118976 を参照してください。
注:
サイトが構成された後で、Delivery Controller™ のコンピューター名またはドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
複数のフォレストを持つActive Directory環境で、一方向または双方向の信頼が確立されている場合、名前解決と登録にDNSフォワーダーまたは条件付きフォワーダーを使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、制御の委任ウィザードを使用します。このウィザードの詳細については、Microsoftのドキュメントを参照してください。
フォレスト間に適切なDNSフォワーダーが設定されている場合、DNSインフラストラクチャに逆引きDNSゾーンは必要ありません。
VDAとControllerが別々のフォレストにある場合、Active Directory名とNetBIOS名が異なるかどうかにかかわらず、SupportMultipleForest キーが必要です。VDAとDelivery Controllersにレジストリキーを追加するには、以下の情報を使用してください。
注意:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になる深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターは自己責任で使用してください。編集する前にレジストリをバックアップしてください。
VDAで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest。
- 名前:
SupportMultipleForest - 種類:
REG_DWORD - データ:
0x00000001 (1)
すべてのDelivery Controllerで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest。
- 名前:
SupportMultipleForest - 種類:
REG_DWORD - データ:
0x00000001 (1)
DNS名前空間がActive Directoryのものと異なる場合、逆引きDNS構成が必要になることがあります。
Kerberosよりも安全性の低いNTLM認証がVDAで意図せず有効になるのを避けるため、レジストリエントリが追加されました。このエントリは、下位互換性のために引き続き使用できるSupportMultipleForestエントリの代わりに使用できます。
VDAで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent。
- 名前:
SupportMultipleForestDdcLookup - 種類:
REG_DWORD - データ:
0x00000001 (1)
このレジストリキーは、双方向信頼の複数フォレスト環境でDDCルックアップを実行し、初期登録プロセス中にNTLMベースの認証を削除できるようにします。
セットアップ中に外部信頼が設定されている場合、ListOfSIDs レジストリキーが必要です。Active Directory FQDNがDNS FQDNと異なる場合、またはドメインコントローラーを含むドメインのNetBIOS名がActive Directory FQDNと異なる場合も、ListOfSIDs レジストリキーが必要です。レジストリキーを追加するには、次の情報を使用します。
VDAの場合、レジストリキー HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs を見つけます。
- 名前:
ListOfSIDs - 種類:
REG_SZ - データ: コントローラーのセキュリティ識別子 (SID)。(SIDは
Get-BrokerControllerコマンドレットの結果に含まれています。)
外部信頼が設定されている場合は、VDAで次の変更を行います。
- ファイル
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.configを見つけます。 - ファイルのバックアップコピーを作成します。
- メモ帳などのテキスト編集プログラムでファイルを開きます。
- テキスト
allowNtlm="false"を見つけて、テキストをallowNtlm="true"に変更します。 - ファイルを保存します。
ListOfSIDs レジストリキーを追加し、brokeragent.exe.config ファイルを編集した後、Citrix Desktop Serviceを再起動して変更を適用します。
次の表に、サポートされている信頼の種類を示します。
| 信頼の種類 | 推移性 | 方向性 | このリリースでサポートされています |
|---|---|---|---|
| 親および子 | 推移的 | 双方向 | はい |
| ツリー ルート | 推移的 | 双方向 | はい |
| 外部 | 非推移的 | 一方向または双方向 | はい |
| フォレスト | 推移的 | 一方向または双方向 | はい |
| ショートカット | 推移的 | 一方向または双方向 | はい |
| レルム | 推移的または非推移的 | 一方向または双方向 | いいえ |
複雑なActive Directory環境の詳細については、CTX134971を参照してください。
次のステップ
オンプレミスActive Directory (AD) に参加しているマシンIDのIDプールを作成する方法については、「オンプレミスActive Directoryに参加しているマシンIDのIDプール」(/ja-jp/citrix-virtual-apps-desktops/2503/install-configure/identity-pools-different-machine-identity-join-types/identity-pool-on-premises-active-directory-joined.html)を参照してください。