Citrix Virtual Apps and Desktops

Active Directory

进行身份验证和授权时需要使用 Active Directory。Active Directory 中的 Kerberos 基础结构用于保证与 Delivery Controller 通信的真实性和保密性。有关 Kerberos 的详细信息,请参阅 Microsoft 文档。

系统要求一文列出了支持的林和域功能级别。要使用策略建模,域控制器必须在 Windows Server 2003 到 Windows Server 2012 R2 上运行。这不会影响域功能级别。

本产品支持:

  • 具有以下特征的部署:用户帐户和计算机帐户所在的域位于同一 Active Directory 林中。用户和计算机帐户可以存在于同一林中的任意域内。所有域功能级别和林功能级别在这种类型的部署中都得到支持。
  • 具有以下特征的部署:用户帐户所在的 Active Directory 林不同于控制器和虚拟桌面的计算机帐户所在的 Active Directory 林。在此类部署中,包含控制器和虚拟桌面计算机帐户的域必须信任包含用户帐户的域。可以使用林信任和外部信任。所有域功能级别和林功能级别在这种类型的部署中都得到支持。
  • 具有以下特征的部署:在该部署中,控制器的计算机帐户所在的 Active Directory 林不同于虚拟桌面的计算机帐户所在的一个或多个附加 Active Directory 林。在此类部署中,在控制器计算机帐户所在的域与虚拟桌面计算机帐户所在的所有域之间必须存在双向信任关系。在此类部署中,包含控制器或虚拟桌面计算机帐户的所有域都必须处于“Windows 2000 本机”功能级别或更高级别。所有林功能级别都得到支持。
  • 可写域控制器。不支持只读域控制器。

或者,Virtual Delivery Agent (VDA) 可以使用在 Active Directory 中发布的信息来确定可以注册的控制器(发现)。支持此方法的目的主要是实现向后兼容,并且此方法仅在 VDA 与控制器位于相同的 Active Directory 林中时可用。有关此发现方法的信息,请参阅基于 Active Directory OU 的发现CTX118976

注意:

请勿在配置站点后更改 Delivery Controller 的计算机名称或域成员关系。

在多林 Active Directory 林环境中部署

此信息适用的最低版本为 XenDesktop 7.1 和 XenApp 7.5,不适用于早期版本的 XenDesktop 或 XenApp。

在具有多个林的 Active Directory 环境中,如果已配置单向或双向信任,则可以使用 DNS 转发器或条件转发器执行名称查找和注册。要允许相应的 Active Directory 用户创建计算机帐户,请使用控制委派向导。请参阅 Microsoft 文档,了解有关此向导的详细信息。

如果已在两个林之间配置相应的 DNS 转发器,则不需要在 DNS 基础结构中配置反向 DNS 区域。

无论 Active Directory 和 NetBIOS 名称是否相同,如果 VDA 和 Controller 位于不同的林中,则需要创建 SupportMultipleForest 注册表项。使用以下信息将注册表项添加到 VDA 和 Delivery Controller:

小心:

注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

在 VDA 上,配置: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest

  • 名称:SupportMultipleForest
  • 类型: REG_DWORD
  • 数据: 0x00000001 (1)

在所有 Delivery Controller 上,配置: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest

  • 名称:SupportMultipleForest
  • 类型: REG_DWORD
  • 数据: 0x00000001 (1)

如果 DNS 命名空间与 Active Directory 的命名空间不同,您可能需要反向 DNS 配置。

添加了一个注册表项,以避免在 VDA 中不必要地启用 NTLM 身份验证,该身份验证不如 Kerberos 安全。可以使用此注册表项来代替 SupportMultipleForest 注册表项,后者仍可用于向后兼容。

在 VDA 上,配置:HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent

  • 名称:SupportMultipleForestDdcLookup
  • 类型: REG_DWORD
  • 数据: 0x00000001 (1)

此注册表项在允许您在初始注册过程中删除基于 NTLM 的身份验证的双向信任多林环境中执行 DDC 查找。

如果设置期间已配置外部信任,则需要创建 ListOfSIDs 注册表项。如果 Active Directory NetBIOS 与 DNS FQDN 不同,或者如果包含域控制器的域具有的 Netbios 名称与 Active Directory FQDN 不同,也需要创建 ListOfSIDs 注册表项。要添加此注册表项,请使用以下信息:

对于 VDA,请找到注册表项 HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs

  • 名称:ListOfSIDs
  • 类型: REG_SZ
  • 数据:控制器的安全标识符 (SID)。(SID 包含在 Get-BrokerController cmdlet 的结果中。)

如果具有现有外部信任,应对 VDA 做以下更改:

  1. 找到文件 Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config
  2. 备份该文件。
  3. 在文本编辑程序(例如记事本)中打开该文件。
  4. 找到文本 allowNtlm="false" 并将文本更改为 allowNtlm="true"
  5. 保存该文件。

在添加 ListOfSIDs 注册表项并编辑 brokeragent.exe.config 文件之后,重新启动 Citrix Desktop Service 以应用所做的更改。

下表列出了支持的信任类型:

信任类型 传递性 方向 此版本支持
父与子 可传递 双向
树根 可传递 双向
外部 不可传递 单向或双向
可传递 单向或双向
快捷方式 可传递 单向或双向
领域 可传递或非可传递 单向或双向

有关复杂 Active Directory 环境的详细信息,请参阅 CTX134971

Active Directory