Active Directory
認証および承認にはActive Directoryが使用されます。Active DirectoryのKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。
「システム要件」で、フォレストとドメインでサポートされる機能レベルについて確認してください。ポリシーモデル作成機能を使用するには、ドメインコントローラーがWindows Server 2003~Windows Server 2012 R2上で動作している必要があります(ドメインの機能レベルには影響しません)。
以下の環境がサポートされています。
- ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば、ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような環境では、Controllerおよび仮想デスクトップのコンピューターアカウントのドメインが、ユーザーアカウントのドメインを信頼している必要があります。フォレストの信頼または外部の信頼を使用できます。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような環境では、Controllerのコンピューターアカウントのドメインと、仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。このような環境では、Controllerまたは仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが[Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
- 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。
必要に応じて、Virtual Delivery Agent(VDA)で登録可能なControllerを検出するときに、Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので、VDAとControllerが同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法について詳しくは、「Active Directory OUベースの検出」およびCTX118976を参照してください。
ヒント
サイトの構成後、コンピューター名やControllerのドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
このトピックの内容は、XenDesktop 7.1以降およびXenApp 7.5以降に適用されます。これらの製品の以前のバージョンには適用されません。
複数のフォレストがあるActive Directory環境では、一方向または双方向の信頼関係が構成済みの場合にDNSフォワーダーによる名前参照や登録を使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、オブジェクト制御の委任ウィザードを使用します。このウィザードについて詳しくは、Microsoft社のドキュメントを参照してください。
適切なDNSフォワーダーがフォレスト間に存在する場合、DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。
VDAとControllerが別のフォレストにある場合、Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく、レジストリキーSupportMultipleForestが必要です。SupportMultipleForestキーは、VDA上でのみ必要です。以下のレジストリキーを追加してください。
注意:レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
- HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
- 値の名前:SupportMultipleForest
- 種類:REG_DWORD
- 値のデータ:0x00000001(1)
DNS名前空間がActive Directoryのそれと異なる場合、DNS逆引き構成が必要になることがあります。
セットアップ時に外部信頼が構成済みの場合は、レジストリキーListOfSIDsが必要になります。また、Active DirectoryのFQDNがDNS FQDNと異なる場合、またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も、レジストリキーListOfSIDsが必要です。以下のレジストリキーを追加します。
- 32ビットまたは64ビットのVDA:HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
- 値の名前:ListOfSIDs
- 種類:REG_SZ
- 値のデータ:Controllerのセキュリティ識別子(SID)
適切な外部信頼が構成済みの場合、VDA上で以下の変更を行います。
- <ProgramFiles>\Citrix\Virtual Desktop Agent\brokeragentconfig.exe.configファイルを検索します。
- ファイルのバックアップコピーを作成します。
- メモ帳などのテキストエディターを使ってファイルを開きます。
- 「allowNtlm=”false”」を「allowNtlm=”true”」に変更します。
- ファイルを保存します。
ListOfSIDsレジストリキーを追加してbrokeragent.exe.configファイルを編集したら、Citrix Desktop Serviceを再起動して変更を適用します。
次の表は、サポートされる信頼の種類を示しています。
信頼の種類 | 推移性 | 方向 | このリリースでのサポート |
---|---|---|---|
親および子 | 推移的 | 双方向 | はい |
ツリールート | 推移的 | 双方向 | はい |
外部 | 非推移的 | 一方向または双方向 | はい |
フォレスト | 推移的 | 一方向または双方向 | はい |
ショートカット | 推移的 | 一方向または双方向 | はい |
領域 | 推移的または非推移的 | 一方向または双方向 | いいえ |
複雑なActive Directory環境での展開について詳しくは、CTX134971を参照してください。