带 Connector Appliance 的 Active Directory
您可以使用 Connector Appliance 将资源位置连接到不包含 Citrix Virtual Apps and Desktops 资源的林。例如,对于某些林仅用于用户身份验证的 Citrix Secure Private Access 客户或 Citrix Virtual Apps and Desktops 客户。
将多域 Active Directory 与 Connector Appliance 配合使用时,以下限制适用:
- 在包含 VDA 的林中,无法使用 Connector Appliance 代替 Cloud Connector。
要求
Active Directory 要求
- 已加入一个 Active Directory 域,该域包含用于为用户创建产品/服务的资源和用户。有关详细信息,请参阅本文中的 Active Directory 中 Connector Appliance 的部署方案 。
- 您计划在 Citrix Cloud 上使用的每个 Active Directory 林必须始终可以通过两台 Connector Appliance 进行访问。
- Connector Appliance 必须能够访问林根域和您打算用于 Citrix Cloud 的域中的域控制器。有关详细信息,请参阅以下 Microsoft 支持文章:
- 如何配置域和信任
- 服务 概述和 Windows 网络端口要求中的“系统服务端口”部分
- 使用通用安全组而不是全局安全组。此配置确保可以从林中的任何域控制器获取用户组成员资格。
网络要求
- 已连接到可以联系您在资源位置使用的资源的网络。
- 已连接到 Internet。有关详细信息,请参阅系统和连接要求。
除了 Connector Appliance 通信中列出的端口外,Connector Appliance 还需要通过以下端口出站连接到 Active Directory 域:
| 服务 | 端口 | 支持的域协议 |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| 端点映射器(DCE/RPC 定位器服务) | 135 | TCP |
| NetBIOS 名称服务 | 137 | UDP |
| NetBIOS 数据报 | 138 | UDP |
| NetBIOS 会话 | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| TCP 上的 SMB | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| 全局目录 | 3268 | TCP |
| 动态 RPC 端口 | 49152–65535 | TCP |
Connector Appliance 使用 LDAP 签名来保护与域控制器的连接。这意味着不需要基于 SSL 的 LDAP (LDAPS)。有关 LDAP 签名的更多信息,请参阅如何在 Windows Server 中启用 LDAP 签名和 Microsoft 启用 LDAP 通道绑定和 LDAP 签名的指南。
支持的 Active Directory 功能级别
Connector Appliance 已经过测试,在 Active Directory 中受以下林和域功能级别的支持。
| 林功能级别 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
尚未使用 Connector Appliance 测试域控制器、林功能级别和域功能级别的其他组合。但是,这些组合应该起作用并且也受支持。
使用 Connector Appliance 将 Active Directory 域连接到 Citrix Cloud
当您连接到 Connector Appliance 管理网页时,Active Directory 域部分会显示两个选项卡。
-
加入域 -用于通过在域中为设备创建计算机帐户将 Connector Appliance 加入到 AD 域。可以通过单击已加入域右侧的省略号菜单来验证 Kerberos。需要在域中存在计算机帐户。
-
服务帐户 -用作 Secure Private Access (SPA) 解决方案的一部分,使用服务帐户而不是加入域时创建的计算机帐户来实现 Kerberos SSO。可以通过单击服务帐户右侧的省略号菜单来验证 Kerberos。拥有与计算机关联的特定域并不是强制性的。但是,即使 Connector Appliance 未连接到域,它仍然可以连接到域控制器。
要将 Active Directory 配置为通过 Connector Appliance 连接到 Citrix Cloud,请完成以下步骤。
-
在您的资源位置安装 Connector Appliance。
您可以按照 Connector Appliance 产品文档中的信息进行操作。
-
使用 Connector Appliance 控制台中提供的 IP 地址连接到浏览器中的 Connector Appliance 管理 Web 页面。
-
在 Active Directory 域名 部分中,导航到 已加入的域名 选项卡。
-
单击 + 添加 Active Directory 域名,将显示一个新的弹出窗口,用于输入域名。
Connector Appliance 会检查域。如果检查成功,则会打开“加入Active Directory”对话框。这个新窗口允许您输入用户名和密码以加入该域。
- 单击添加。
- 提供具有该域加入权限的 Active Directory 用户的用户名和密码。
-
Connector Appliance 会建议计算机名称。您可以选择覆盖建议的名称,并自行提供长度不超过 15 个字符的计算机名称。
此计算机名称是在 Connector Appliance 加入时在 Active Directory 域中创建的。
-
单击“加入”。
该域现在列在 Connector Appliance UI 的 Active Directory 域 部分中。
- 要添加更多 Active Directory 域,请选择 + 添加 Active Directory 域 并重复上述步骤。
-
前往 Citrix Cloud 控制台中的域名页面,然后选择 Connector Appliance 为您的域提供服务。
- 如果您尚未注册 Connector Appliance,请按照向 Citrix Cloud 注册 Connector Appliance 中所述继续执行步骤。
如果您在加入域时收到错误,请验证您的环境是否满足 Active Directory 要求和网络要求。
接下来做什么
-
您可以向此 Connector Appliance 添加更多域。
注意:
Connector Appliance 在多达 10 个林中进行了测试。
-
为了恢复能力,请将每个域添加到每个资源位置中的多个 Connector Appliance 中。
查看您的Active Directory 配置
您可以在资源位置的以下位置查看 Active Directory 域和 Connector Appliance 的配置:
-
在 Citrix Cloud 中:
- 在菜单中,转到 身份和访问管理 页面。
-
转到“域”选项卡。
列出了您的 Active Directory 域名以及它们所属的资源位置。
-
在 Connector Appliance Web 页面中:
- 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,您可以看到此 Connector Appliance 加入的 Active Directory 域的列表。
从 Connector Appliance 中删除 Active Directory 域
要退出 Active Directory 域,请完成以下步骤:
- 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,在已加入的 Active Directory 域列表中找到要保留的域。
- 记下 Connector Appliance 创建的计算机帐户的名称。
- 单击域旁边的删除图标(垃圾桶)。将显示确认对话框。
- 单击“继续”以确认操作。
- 转到您的Active Directory 控制器。
- 从控制器中删除 Connector Appliance 创建的计算机帐户。
将 Connector Appliance 与Active Directory 配合使用的部署方案
您可以同时使用 Cloud Connector 和 Connector Appliance 连接到 Active Directory 控制器。要使用的连接器类型取决于您的部署。
有关将 Cloud Connector 与 Active Directory 结合使用的详细信息,请参阅 Active Directory 中 Cloud Connector 的部署方案
在以下情况下,使用 Connector Appliance 将您的资源位置连接到 Active Directory 林:
- 您正在设置 Secure Private Access。有关详细信息,请参阅在 Connector Appliance 中配置 Secure Private Access。
- 您有一个或多个仅用于用户身份验证的林
- 您希望减少支持多个林所需的连接器数量
- 您需要 Connector Appliance 用于其他用例
仅限一个或多个林中的用户对所有林使用一套 Connector Appliance
此方案适用于 Workspace Standard 客户或使用适用于 Secure Private Access 的 Connector Appliance 的客户。
在这种情况下,有几个林仅包含用户对象 (forest1.local、 forest2.local)。这些森林不包含资源。一组 Connector Appliance 部署在资源位置中,并加入到每个林的域中。
- 信任关系:无
-
身份和访问管理中列出的域:
forest1.local、forest2.local - 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户
单独林中的用户和资源(受信任),使用一套适用于所有林的 Connector Appliance
此方案适用于具有多个林的 Citrix Virtual Apps and Desktops 客户。
在这种情况下,有些林 (resourceforest1.local, resourceforest2.local) 包含您的资源(例如 VDA),而一些林(userforest1.local、 userforest2.local)仅包含您的用户。这些林之间存在信任,允许用户登录到资源。
resourceforest1.local 林中部署了一组 Cloud Connector。在 resourceforest2.local 林中部署了一组单独的 Cloud Connector。
一组 Connector Appliance 部署在 userforest1.local 林中,同一组 Connector Appliance 部署在 userforest2.local 林中。
- 信任关系:双向林信任,或从资源林到用户林的单向信任
-
身份和访问管理中列出的域:
resourceforest1.local、resourceforest2.local、userforest1.local、userforest2.local - 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户