带连接器设备的 Active Directory
您可以使用连接器设备将资源位置连接到不包含 Citrix Virtual Apps and Desktops 资源的林。例如,对于某些林仅用于用户身份验证的 Citrix Secure Private Access 客户或 Citrix Virtual Apps and Desktops 客户。
将多域 Active Directory 与连接器设备配合使用时,以下限制适用:
- 在包含 VDA 的林中,无法使用连接器设备代替云连接器。
要求
Active Directory 要求
- 已加入一个 Active Directory 域,该域包含用于为用户创建产品/服务的资源和用户。有关详细信息,请参阅本文 中的 Active Directory 中连接器设备的部署方案 。
- 您计划在 Citrix Cloud 上使用的每个 Active Directory 林必须始终可以通过两台连接器设备进行访问。
- 连接器设备必须能够访问林根域和您打算用于 Citrix Cloud 的域中的域控制器。有关详细信息,请参阅以下 Microsoft 支持文章:
- 如何配置域和信任
- 服务 概述和 Windows 网络端口要求中的“系统服务端口”部分
- 使用通用安全组而不是全局安全组。此配置确保可以从林中的任何域控制器获取用户组成员资格。
网络要求
- 已连接到可以联系您在资源位置使用的资源的网络。
- 已连接到 Internet。有关详细信息,请参阅系统和连接要求。
除了连接器设备通信中列出的端口外,连接器设备还需要通过以下端口出站连接到 Active Directory 域:
| 服务 | Port(端口) | 支持的域协议 |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| 端点映射器(DCE/RPC 定位器服务) | 135 | TCP |
| NetBIOS 名称服务 | 137 | UDP |
| NetBIOS 数据报 | 138 | UDP |
| NetBIOS 会话 | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| TCP 上的 SMB | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| 全局目录 | 3268 | TCP |
| 动态 RPC 端口 | 49152–65535 | TCP |
连接器设备使用 LDAP 签名来保护与域控制器的连接。这意味着不需要基于 SSL 的 LDAP (LDAPS)。有关 LDAP 签名的更多信息,请参阅如何在 Windows Server 中启用 LDAP 签名和 Microsoft 启用 LDAP 通道绑定和 LDAP 签名的指南。
支持的 Active Directory 功能级别
连接器设备已经过测试,在 Active Directory 中受以下林和域功能级别的支持。
| 林功能级别 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
尚未使用连接器设备测试域控制器、林功能级别和域功能级别的其他组合。但是,这些组合应该起作用并且也受支持。
使用连接器设备将 Active Directory 域连接到 Citrix Cloud
要将 Active Directory 配置为通过连接器设备连接到 Citrix Cloud,请完成以下步骤。
-
在您的资源位置安装连接器设备。
您可以按照 连接器设备产品文档中的信息进行操作。
-
使用连接器设备控制台中提供的 IP 地址连接到浏览器中的连接器设备管理网页。
-
在 Active Directory 域 部分中,单击 + 添加Active Directory 域。
-
在“域名”字段中输入 域名 。单击添加。
连接器设备会检查域。如果检查成功,则会打开“加入Active Directory”对话框。
-
输入对此域具有加入权限的 Active Directory 用户的用户名和密码。
-
连接器设备会建议计算机名称。您可以选择覆盖建议的名称,并自行提供长度不超过 15 个字符的计算机名称。
此计算机名称是在连接器设备加入时在 Active Directory 域中创建的。
-
单击“加入”。
该域现在列在连接器设备 UI 的 Active Directory 域 部分中。
-
要添加更多 Active Directory 域,请选择 + 添加 Active Directory 域 并重复上述步骤。
-
如果您尚未注册连接器设备,请按照向 Citrix Cloud 注册连接器设备中所述继续执行步骤。
如果您在加入域时收到错误,请验证您的环境是否满足 Active Directory 要求和网络要求。
接下来做什么
-
您可以向此连接器设备添加更多域。
注意:
连接器设备在多达 10 个林中进行了测试。
-
为了恢复能力,请将每个域添加到每个资源位置中的多个连接器设备中。
查看您的Active Directory 配置
您可以在资源位置的以下位置查看 Active Directory 域和连接器设备的配置:
-
在 Citrix Cloud 中:
- 在菜单中,转到 身份和访问管理 页面。
-
转到“域”选项卡。
列出了您的 Active Directory 域名以及它们所属的资源位置。
-
在连接器设备网页中:
- 使用连接器设备控制台中提供的 IP 地址连接到连接器设备网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,您可以看到此连接器设备加入的 Active Directory 域的列表。
从连接器设备中删除 Active Directory 域
要退出 Active Directory 域,请完成以下步骤:
- 使用连接器设备控制台中提供的 IP 地址连接到连接器设备网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,在已加入的 Active Directory 域列表中找到要保留的域。
- 记下连接器设备创建的计算机帐户的名称。
- 单击域旁边的删除图标(垃圾桶)。将显示确认对话框。
- 单击“继续”以确认操作。
- 转到您的Active Directory 控制器。
- 从控制器中删除连接器设备创建的计算机帐户。
将连接器设备与Active Directory 配合使用的部署方案
您可以同时使用 Cloud Connector 和连接器设备连接到 Active Directory 控制器。要使用的连接器类型取决于您的部署。
有关将云连接器与 Active Directory 结合使用的详细信息,请参阅 Active Directory 中 Cloud Connector 的部署方案
在以下情况下,使用连接器设备将您的资源位置连接到 Active Directory 林:
- 您正在设置 Secure Private Access。有关详细信息,请参阅在连接器设备中配置 Secure Private Access。
- 您有一个或多个仅用于用户身份验证的林
- 您希望减少支持多个林所需的连接器数量
- 您需要连接器设备用于其他用例
仅限一个或多个林中的用户对所有林使用一套连接器设备
此方案适用于 Workspace 标准版客户或使用连接器设备实现安全专用访问的客户。
在这种情况下,有几个林仅包含用户对象 (forest1.local、 forest2.local)。这些森林不包含资源。一组连接器设备部署在资源位置中,并加入到每个林的域中。
- 信任关系:无
-
身份和访问管理中列出的域:
forest1.local、forest2.local - 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户
单独林中的用户和资源(受信任),使用一套适用于所有林的连接器设备
此方案适用于具有多个林的 Citrix Virtual Apps and Desktops 客户。
在这种情况下,有些林 (resourceforest1.local, resourceforest2.local) 包含您的资源(例如 VDA),而一些林(userforest1.local、 userforest2.local)仅包含您的用户。这些林之间存在信任,允许用户登录到资源。
resourceforest1.local 林中部署了一组 Cloud Connector。在 resourceforest2.local 林中部署了一组单独的云连接器。
一组连接器设备部署在 userforest1.local 林中,同一组连接器设备部署在 userforest2.local 林中。
- 信任关系:双向林信任,或从资源林到用户林的单向信任
-
身份和访问管理中列出的域:
resourceforest1.local、resourceforest2.local、userforest1.local、userforest2.local - 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户