Product Documentation

Active Directory

Mar 25, 2016

認証および承認にはActive Directoryが使用されます。 Active DirectoryのKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。 Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。

システム要件」で、フォレストとドメインでサポートされる機能レベルについて確認してください。 ポリシーのモデル作成機能を使用するには、ドメインコントローラーでWindows Server 2003~Windows Server 2012 R2が動作している必要があります(ドメインの機能レベルには影響しません)。

以下の環境がサポートされています。
  • ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。 同一フォレスト内であれば、ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。 このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。 このような環境では、Controllerおよび仮想デスクトップのコンピューターアカウントのドメインが、ユーザーアカウントのドメインを信頼している必要があります。 フォレストの信頼または外部の信頼を使用できます。 このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。 このような環境では、Controllerのコンピューターアカウントのドメインと、仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。 このような環境では、Controllerまたは仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが[Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。 すべてのフォレスト機能レベルがサポートされます。
  • 書き込み可能なドメインコントローラー。 読み取り専用のドメインコントローラーはサポートされません。

必要に応じて、Virtual Delivery Agent(VDA)で登録可能なControllerを検出するときに、Active Directoryの情報を使用することもできます。 この機能は主に後方互換性を保持するためのもので、VDAとControllerが同じActive Directoryフォレストに属している場合のみ使用できます。 この検出方法について詳しくは、「Delivery Controller」およびCTX118976を参照してください。

ヒント:サイトの構成後、コンピューター名やControllerのドメインメンバーシップを変更しないでください。

複数のActive Directoryフォレスト環境での展開

注:このトピックの内容は、XenDesktop 7.1、およびXenApp 7.5以降に適用されます。 これらの製品の以前のバージョンには適用されません。

複数のフォレストがあるActive Directory環境では、一方向または双方向の信頼関係が構成済みの場合にDNSフォワーダーによる名前参照や登録を使用できます。 適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、オブジェクト制御の委任ウィザードを使用します。 このウィザードについて詳しくは、Microsoft社のドキュメントを参照してください。

適切なDNSフォワーダーがフォレスト間に存在する場合、DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。

VDAとControllerが別のフォレストにある場合、Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく、レジストリキーSupportMultipleForestが必要です。 SupportMultipleForestキーは、VDA上でのみ必要です。 以下のレジストリキーを追加してください。
注意:レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。 レジストリエディターは、お客様の責任と判断の範囲でご使用ください。 また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
  • HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
    • 値の名前:SupportMultipleForest
    • 種類:REG_DWORD
    • 値のデータ:0x00000001(1)

DNS名前空間がActive Directoryのそれと異なる場合、DNS逆引き構成が必要になることがあります。

セットアップ時に外部信頼が構成済みの場合は、レジストリキーListOfSIDsが必要になります。 また、Active DirectoryのFQDNがDNS FQDNと異なる場合、またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も、レジストリキーListOfSIDsが必要です。 以下のレジストリキーを追加します。
  • 32ビットまたは64ビットのVDA:HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
    • 値の名前:ListOfSIDs
    • 種類:REG_SZ
    • 値のデータ:Controllerのセキュリティ識別子(SID)
適切な外部信頼が構成済みの場合、VDA上で以下の変更を行います。
  1. \Citrix\Virtual Desktop Agent\brokeragentconfig.exe.configファイルを検索します。
  2. ファイルのバックアップコピーを作成します。
  3. メモ帳などのテキストエディターを使ってファイルを開きます。
  4. 「allowNtlm="false"」を「allowNtlm="true"」に変更します。
  5. ファイルを保存します。

ListOfSIDsレジストリキーを追加してbrokeragent.exe.configファイルを編集したら、Citrix Desktop Serviceを再起動して変更を適用します。

次の表は、サポートされる信頼の種類を示しています。
信頼の種類推移性方向このリリースでのサポート
親および子推移的双方向はい
ツリールート推移的双方向はい
外部非推移的一方向または双方向はい
フォレスト推移的一方向または双方向はい
ショートカット推移的一方向または双方向はい
領域推移的または非推移的一方向または双方向いいえ

複雑なActive Directory環境での展開について詳しくは、CTX134971を参照してください。