为 XenApp 6.5 配置 Kerberos 约束委派
注意:
XenApp 6.5 已达到生命周期结束 (EOL) 状态,现在已包含在扩展支持计划中。
可以通过执行配置应用商店设置 > Kerberos 委派任务指定 StoreFront 是否使用单域 Kerberos 约束委派向 Delivery Controller 验证身份。
重要:在多服务器部署中,请一次仅使用一台服务器以更改服务器组的配置。确保 Citrix StoreFront 管理控制台未在部署中的任何其他服务器上运行。完成后,请将对配置所做的更改传播到服务器组,以便更新部署中的其他服务器。
- 在 Windows“开始”屏幕或“应用程序”屏幕中,找到并单击 Citrix StoreFront 磁贴。
- 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在“操作”窗格中,单击配置应用商店设置,然后单击“Kerberos 委派”。
- 选择启用或禁用“使用 Kerberos 委派对 Delivery Controller 进行身份验证”,以分别启用或禁用 Kerberos 约束委派。
配置 StoreFront 服务器的委派
StoreFront 未与 Citrix Virtual Apps 安装在同一计算机上时,请执行以下过程。
- 在域控制器上,打开 MMC Active Directory Users and Computers(MMC Active Directory 用户和计算机)管理单元。
- 在视图菜单上,单击高级功能。
- 在左侧窗格中,单击域名下方的计算机节点,然后选择 StoreFront 服务器。
- 在操作窗格中,单击属性。
- 在委派选项卡上,单击仅信任此计算机来委派指定的服务和使用任意身份验证协议,然后单击添加。
- 在添加服务对话框中,单击用户或计算机。
- 在选择用户或计算机对话框中的输入要选择的对象名称框中,键入运行 Citrix Virtual Apps and Desktops XML Service 的服务器的名称,然后单击确定。
- 从列表中选择 HTTP 服务类型,然后单击确定。
- 应用更改并关闭对话框。
配置 Citrix Virtual Apps 服务器的委派
为每个 Citrix Virtual Apps 服务器配置 Active Directory 可信委派。
- 在域控制器上,打开 MMC Active Directory Users and Computers(MMC Active Directory 用户和计算机)管理单元。
- 在左侧窗格中,单击域名下方的计算机节点,然后选择运行 StoreFront 被配置为与之通信的 Citrix Virtual Apps and Desktops XML Service 的服务器。
- 在操作窗格中,单击属性。
- 在委派选项卡上,单击仅信任此计算机来委派指定的服务和使用任意身份验证协议,然后单击添加。
- 在添加服务对话框中,单击用户或计算机。
- 在选择用户或计算机对话框中的输入要选择的对象名称框中,键入运行 Citrix Virtual Apps and Desktops XML Service 的服务器的名称,然后单击确定。
- 从列表中选择 HOST 服务类型,单击确定,然后单击添加。
- 在选择用户或计算机对话框中的输入要选择的对象名称框中,键入域控制器的名称,然后单击确定。
- 从列表中选择 cifs 和 ldap 服务类型,然后单击确定。注意:如果 ldap 服务显示两个选项,请选择一个与域控制器的 FQDN 匹配的选项。
- 应用更改并关闭对话框。
重要注意事项
决定是否使用 Kerberos 约束委派时,请考虑以下信息。
- 要点:
- 除非在无 Kerberos 约束委派的情况下执行直通身份验证(或智能卡 PIN 直通身份验证),否则无需 ssonsvr.exe。
- StoreFront 和 Citrix Receiver for Web 域直通:
- 客户端上无需 ssonsvr.exe。
- 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
- 需要 icaclient.adm 模板 Kerberos 设置。
- 将 StoreFront 完全限定的域名 (FQDN) 添加到 Internet Explorer 可信站点列表中。在关于可信区域的 Internet Explorer 安全设置中,选中“使用本地用户名”框。
- 客户端必须位于域中。
- 在 StoreFront 服务器上启用域直通身份验证方法,并对 Citrix Receiver for Web 启用该方法。
- StoreFront、Citrix Receiver for Web 和提示输入 PIN 的智能卡身份验证:
- 客户端上无需 ssonsvr.exe。
- 已配置智能卡身份验证。
- 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
- 需要 icaclient.adm 模板 Kerberos 设置。
- 在 StoreFront 服务器上启用智能卡身份验证方法,并对 Citrix Receiver for Web 启用该方法。
- 要确保已选择智能卡身份验证,请勿在 Internet Explorer 安全设置中针对 StoreFront 站点区域选中“使用本地用户名”框。
- 客户端必须位于域中。
- Citrix Gateway、StoreFront、Citrix Receiver for Web 和提示输入 PIN 的智能卡身份验证:
- 客户端上无需 ssonsvr.exe。
- 已配置智能卡身份验证。
- 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
- 需要 icaclient.adm 模板 Kerberos 设置。
- 在 StoreFront 服务器上启用 Citrix Gateway 直通身份验证方法,并对 Citrix Receiver for Web 启用该方法。
- 要确保已选择智能卡身份验证,请勿在 Internet Explorer 安全设置中针对 StoreFront 站点区域选中“使用本地用户名”框。
- 客户端必须位于域中。
- 使用 StoreFront HDX 路由配置 Citrix Gateway 的智能卡身份验证和其他虚拟服务器的启动,以通过未经身份验证的 Citrix Gateway 虚拟服务器路由 ICA 通信。
- Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序 (AuthManager)、提示输入 PIN 的智能卡身份验证和 StoreFront:
- 客户端上无需 ssonsvr.exe。
- 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
- 需要 icaclient.adm 模板 Kerberos 设置。
- 客户端必须位于域中。
- 在 StoreFront 服务器上启用智能卡身份验证方法。
- Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序 (AuthManager)、Kerberos 和 StoreFront:
- 客户端上无需 ssonsvr.exe。
- 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
- 需要 icaclient.adm 模板 Kerberos 设置。
- 在关于可信区域的 Internet Explorer 安全设置中,选中“使用本地用户名”框。
- 客户端必须位于域中。
- 在 StoreFront 服务器上启用域直通身份验证方法。
-
确保已设置以下注册表项:
小心:
注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。
对于 32 位计算机:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows 名称:SSONCheckEnabled 类型:REG_SZ 值:true 或 false
对于 64 位计算机:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows 名称:SSONCheckEnabled 类型:REG_SZ 值:true 或 false
为 XenApp 6.5 配置 Kerberos 约束委派
已复制!
失败!