产品文档
Citrix Cloud
查看 PDF

带 Connector Appliance 的 Active Directory

February 7, 2025
投稿者: 
C

您可以使用连接器设备将资源位置连接到不包含 Citrix Virtual Apps and Desktops 资源的林。 例如,对于某些林仅用于用户身份验证的 Citrix Secure Private Access 客户或 Citrix Virtual Apps and Desktops 客户。

将多域 Active Directory 与 Connector Appliance 结合使用时,适用以下限制:

  • 在包含 VDA 的林中,Connector Appliance 不能代替 Cloud Connector。

要求

Active Directory 要求

  • 已加入一个 Active Directory 域,该域包含用于为用户创建产品/服务的资源和用户。 有关详细信息,请参阅本文中的 Active Directory 中连接器设备的部署场景
  • 您计划与 Citrix Cloud 一起使用的每个 Active Directory 林必须始终可以通过两个 Connector Appliance 访问。
  • 连接器设备必须能够访问林根域和您打算与 Citrix Cloud 一起使用的域中的域控制器。 有关详细信息,请参阅以下 Microsoft 支持文章:
  • 使用通用安全组而不是全局安全组。 此配置确保可以从林中的任何域控制器获取用户组成员资格。

网络要求

  • 已连接到可以联系您在资源位置使用的资源的网络。
  • 已连接到 Internet。 有关详细信息,请参阅系统和连接要求

除了 Connector Appliance 通信中列出的端口之外,Connector Appliance 还需要通过以下端口建立与 Active Directory 域的出站连接:

服务 端口 支持的域协议
凯尔伯罗斯 88 TCP/UDP
NetBIOS 名称服务 137 UDP
NetBIOS 数据报 138 UDP
NetBIOS 会话 139 TCP
LDAP 389 TCP/UDP
TCP 上的 SMB 445 TCP
Kerberos 密码 464 TCP/UDP
全局目录 3268 TCP
动态 RPC 端口 49152–65535 TCP

Connector Appliance 使用 LDAP 签名来保护与域控制器的连接。 这意味着不需要 LDAP over SSL(LDAPS)。 有关 LDAP 签名的更多信息,请参阅 如何在 Windows Server 中启用 LDAP 签名有关启用 LDAP 通道绑定和 LDAP 签名的 Microsoft 指南

支持的 Active Directory 功能级别

Connector Appliance 已经过测试,并支持 Active Directory 中的以下林和域功能级别。

林功能级别 域功能级别 支持的域控制器
Windows Server 2016 Windows Server 2016 Windows Server 2019

域控制器、林功能级别和域功能级别的其他组合尚未使用连接器设备进行测试。 然而,这些组合预计能够起作用并且也受到支持。

使用 Connector Appliance 将 Active Directory 域连接到 Citrix Cloud

当您连接到 Connector Appliance 管理网页时,Active Directory 域部分会显示两个选项卡。

  • 加入域 – 用于通过在域中为设备创建机器账户将连接器设备加入 AD 域。 可以通过单击加入域右侧的省略号菜单来验证 Kerberos。 域中需要有机器帐户。

  • 服务帐户 – 用作安全私有访问 (SPA) 解决方案的一部分,使用服务帐户而不是加入域时创建的机器帐户来实现 Kerberos SSO。 可以通过单击服务帐户右侧的省略号菜单来验证 Kerberos。 与机器关联的特定域不是强制性的。 但是,即使 Connector Appliance 未连接到域,它仍然可以连接到域控制器。

加入的域

服务领域

要配置 Active Directory 以通过 Connector Appliance 连接到 Citrix Cloud,请完成以下步骤。

  1. 在您的资源位置安装连接器设备。

    您可以按照 Connector Appliance 产品文档中的信息进行操作。

  2. 使用 Connector Appliance 控制台中提供的 IP 地址连接到浏览器中的 Connector Appliance 管理网页。

  3. Active Directory 域 部分,导航到 加入域 选项卡。

  4. 单击 + 添加 Active Directory 域,将显示一个新的弹出窗口来输入域名。

    Connector Appliance 检查域。 如果检查成功,则会打开 加入 Active Directory 对话框。 这个新窗口允许您输入用户名和密码来加入域。

  5. 点击 添加
  6. 提供具有域加入权限的 Active Directory 用户的用户名和密码。

  7. 连接器设备建议一个机器名称。 您可以选择覆盖建议的名称并提供自己的机器名称,该名称最长为 15 个字符。

    当 Connector Appliance 加入 Active Directory 域时,会在其中创建此机器名称。

  8. 点击 加入

    该域现在列在 Connector Appliance UI 的 Active Directory 域 部分中。

  9. 要添加更多 Active Directory 域,请选择 + 添加 Active Directory 域 并重复上述步骤。

  10. 转到 Citrix Cloud Console 中的域页面,然后选择 Connector Appliance 来为您的域提供服务。

  11. 如果您尚未注册 Connector Appliance,请继续按照 中所述的步骤操作,并使用 Citrix Cloud注册 Connector Appliance。

如果在加入域时收到错误,请验证您的环境是否满足 Active Directory 要求网络要求

下一步

  • 您可以向此连接器设备添加更多域。

    注意:

    连接器设备最多可测试 10 个林。

  • 为了提高弹性,请将每个域添加到每个资源位置中的多个连接器设备。

查看 Active Directory 配置

您可以在以下位置查看资源位置中的 Active Directory 域和 Connector Appliance 的配置:

  • 在 Citrix Cloud 中:

    1. 在菜单中,转到 身份和访问管理 页面。

    2. 转到 选项卡。

      您的 Active Directory 域与其所属的资源位置一起列出。

  • 在 Connector Appliance 网页中:

    1. 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
    2. 使用您首次注册时创建的密码登录。
    3. 在页面的 Active Directory 域 部分,您可以看到此 Connector Appliance 加入的 Active Directory 域的列表。

从连接器设备中删除 Active Directory 域

要离开 Active Directory 域,请完成以下步骤:

  1. 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
  2. 使用您首次注册时创建的密码登录。
  3. 在页面的 Active Directory 域 部分中,找到您想要在加入的 Active Directory 域列表中保留的域。
  4. 记下您的 Connector Appliance 创建的机器帐户的名称。
  5. 单击域旁边的删除图标(垃圾桶)。 出现确认对话框。
  6. 单击 继续 确认操作。
  7. 转到您的 Active Directory 控制器。
  8. 从控制器中删除由 Connector Appliance 创建的机器帐户。

使用 Connector Appliance 与 Active Directory 的部署方案

您可以同时使用 Cloud Connector 和 Connector Appliance 连接到 Active Directory 控制器。 要使用的连接器类型取决于您的部署。

有关将 Cloud Connector 与 Active Directory 结合使用的更多信息,请参阅 Active Directory 中 Cloud Connector 的部署场景

在以下情况下,使用 Connector Appliance 将资源位置连接到 Active Directory 林:

  • 您正在设置安全私人访问。 有关更多信息,请参阅 使用 Connector Appliance 进行安全私有访问
  • 您有一个或多个仅用于用户身份验证的林
  • 您希望减少支持多个林所需的连接器数量
  • 您需要一个连接器设备来用于其他用例

仅限一个或多个林中的用户,且所有林都具有一组连接器设备

此场景适用于 Workspace Standard 客户或使用 Connector Appliance 进行安全私人访问的客户。

在这种情况下,有多个林仅包含用户对象(forest1.localforest2.local)。 这些森林不含有资源。 一组连接器设备部署在资源位置内,并加入到每个林的域中。

  • 信任关系:无
  • 身份和访问管理中列出的域: forest1.local, forest2.local
  • 用户登录到 Citrix Workspace:支持所有用户
  • 用户登录到本地 StoreFront:支持所有用户

独立林中的用户和资源(具有信任)具有适用于所有林的一组连接器设备

此场景适用于拥有多个林的 Citrix Virtual Apps and Desktops 客户。

在此场景中,一些林(resourceforest1.localresourceforest2.local)包含您的资源(例如,VDA),而一些林(userforest1.localuserforest2.local)仅包含您的用户。 这些林之间存在信任,允许用户登录资源。

一组云连接器部署在 resourceforest1.local 森林内。 在 resourceforest2.local 森林中部署了一组单独的云连接器。

一组连接器设备部署在 userforest1.local 森林中,同一组设备部署在 userforest2.local 森林中。

  • 信任关系:双向森林信任,或者从资源森林到用户森林的单向信任
  • 身份和访问管理中列出的域: resourceforest1.localresourceforest2.localuserforest1.localuserforest2.local
  • 用户登录到 Citrix Workspace:支持所有用户
  • 用户登录到本地 StoreFront:支持所有用户
带 Connector Appliance 的 Active Directory
February 7, 2025
投稿者: 
C
February 7, 2025
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.