增强型域直通单点登录
增强型域直通单点登录使用 Kerberos,在使用已加入 Active Directory (AD) 域的客户端设备和 Citrix StoreFront 时,可实现 Citrix Workspace 应用程序以及虚拟应用程序和桌面会话的单点登录。
注意:
32 位操作系统不支持此功能。
此功能取代了基于 Citrix 单点登录服务 (ssonsvr.exe) 的旧版直通身份验证功能。
您不能将旧版域直通 (SSON) 身份验证和增强型域直通身份验证用于同一会话主机的身份验证。
旧版域直通 (SSON) 身份验证需要在组策略对象模板中启用为系统启用 MPR 通知策略。但是,增强型域直通允许直通身份验证,而无需启用此策略。
对于跨域身份验证,需要双向可传递信任才能在域边界之间获取服务票据。否则,Kerberos 委派将不起作用。
从适用于 Windows 的 Citrix Workspace™ 应用程序版本 2503 开始,系统默认以休眠模式安装 SSON。您可以在安装后使用组策略对象 (GPO) 策略启用 SSON。要启用,请导航到用户身份验证 > 本地用户名和密码,然后选中启用直通身份验证复选框。
-
注意:
-
-
更新 SSON 设置的 GPO 策略后,必须重新启动系统才能使设置生效。
-
系统要求
- 控制平面
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 或更高版本
- Virtual Delivery Agent
- Windows:版本 2308 或更高版本
- > **注意:**
- >
- > 如果会话主机或客户端设备运行的是 **Windows 11**,则需要 VDA 版本 **2407** 或更高版本,或者 **2402 LTSR CU2** 或更高版本。您可以从 Citrix [下载](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/)页面下载 VDA 版本。
- Citrix Workspace 应用程序:版本 2309 或更高版本
- > **注意:**
- >
> 如果会话主机或客户端设备运行的是 **Windows 11**,则需要 Workspace 应用程序版本 **2405.10** 或更高版本,或者 **2402 LTSR CU2** 或更高版本。
- 客户端设备
- 已加入 Active Directory 域
- Windows 10 64 位
- Windows 11 64 位
注意:
- 客户端设备必须与域控制器直接连接。如果设备在网络外部,则不支持单点登录。
- 多会话主机:
-
Windows Server 2016
注意:
-
-
> Windows Server 2016 不支持 VDA 版本 2407 及更高版本。- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise 多会话 22H2
- Windows 11 Enterprise 多会话 22H2 或更高版本
- 单会话主机:
- Windows 10 版本 22H2
- Windows 11 版本 22H2 或更高版本
注意:
增强型域直通单点登录依赖于远程凭据保护。请务必查阅 Microsoft 文档中有关远程凭据保护的要求和支持的身份验证方案。
已知问题
-
[第三方] 当客户端设备上启用了 Windows Defender Credential Guard 时,会话的单点登录将失败,并出现 Windows 安全提示,显示
您的凭据无效。Windows Defender Credential Guard 不允许使用 Windows 登录凭据。请输入您的凭据。作为一种解决方法,您可以禁用 Windows Defender Credential Guard。以下是禁用此功能的两种选项:-
使用组策略,在计算机配置 > 管理模板 > 系统 > 设备防护下配置设置打开基于虚拟化的安全性。
-
在注册表中,在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下,将LsaCfgFlags值设置为0。
注意: 这是 Windows 的限制,也会影响通过 RDP 使用远程凭据保护。如果您需要将增强型域直通用于 SSO 并启用 Windows Defender Credential Guard,我们建议向 Microsoft 提交请求以支持此场景。
-
StoreFront™ 配置
您必须为应用商店及其相应的网站启用域直通身份验证。
执行以下步骤以启用应用商店的域直通:
- 打开 StoreFront 管理控制台。
-
转到应用商店 > 管理身份验证方法。此时将显示管理身份验证方法 - Web 窗口。
-
选中域直通复选框。
- 单击确定。
执行以下步骤以启用网站的域直通:
-
- 打开 StoreFront 管理控制台。
- 打开应用商店 > 适用于网站的 Receiver 选项卡 > 管理适用于 Web 的 Receiver 站点 > 配置 > 身份验证方法。此时将显示编辑适用于 Web 的 Receiver 站点 - /Citrix/Web 窗口。
-
选中域直通复选框。
- 单击确定。
Citrix 策略配置
您必须使用 Citrix 策略启用此设置:
- 导航到 Citrix Studio 或 Web 控制台。
- 单击策略 > 创建策略。此时将显示创建策略对话框。
- 搜索增强型域直通单点登录策略。此时将显示编辑设置对话框。
-
选择允许选项以启用增强型域直通单点登录策略。
- 单击确定。
会话主机配置
使用 Citrix 策略启用增强型域直通单点登录功能后,您还必须在会话主机上启用 Windows 设置。您可以通过本地策略或 GPO 启用 Windows 设置:
- 导航到
计算机配置\策略\管理模板\系统\凭据委派。 -
启用远程主机允许委派不可导出凭据设置。
- 重新启动会话主机以使设置生效。
注意:
远程主机允许委派不可导出凭据设置在 Windows Server 2016 本地策略中不可用。如果您需要在会话主机上本地配置此设置而不是使用 GPO,则必须添加以下注册表值:
键: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- 值类型: DWORD
- 值名称: DisableRestrictedAdmin
- 值数据: 0
客户端设备配置
您必须在客户端设备上执行以下操作:
- 启用增强型域直通单点登录
- 信任 StoreFront 站点
启用增强型域直通单点登录
您必须在客户端设备上启用增强型域直通单点登录功能。您可以通过本地策略或 GPO 执行此操作。
- 导航到
计算机配置\策略\管理模板\Citrix 组件\Citrix Workspace\用户身份验证。 -
启用增强型域直通单点登录设置。
- 重新启动 Citrix Workspace 应用程序以使设置生效。
信任 StoreFront 站点
您必须确保客户端设备信任您的 StoreFront URL。如果该 URL 不属于已受信任的域,则必须将其添加为本地 Intranet 站点或受信任站点。您可以通过本地策略或 GPO 执行此操作。
- 导航到
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security页面。 -
启用站点到区域分配列表设置,并添加相应的 URL 和区域分配。
-
启用登录选项设置,并将其设置为使用当前用户名和密码进行自动登录。
