为 XenApp 6.5 配置 Kerberos 约束委派

注意:

XenApp 6.5 已达到生命周期结束 (EOL) 状态,现在已包含在扩展支持计划中。

可以通过执行配置应用商店设置 > Kerberos 委派任务指定 StoreFront 是否使用单域 Kerberos 约束委派向 Delivery Controller 验证身份。

重要:在多服务器部署中,请一次仅使用一台服务器以更改服务器组的配置。确保 Citrix StoreFront 管理控制台未在部署中的任何其他服务器上运行。完成后,请将对配置所做的更改传播到服务器组,以便更新部署中的其他服务器。

  1. 在 Windows“开始”屏幕或“应用程序”屏幕中,找到并单击 Citrix StoreFront 磁贴。
  2. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在“操作”窗格中,单击配置应用商店设置,然后单击“Kerberos 委派”。
  3. 选择启用或禁用“使用 Kerberos 委派对 Delivery Controller 进行身份验证”,以分别启用或禁用 Kerberos 约束委派。

配置 StoreFront 服务器的委派

StoreFront 未与 Citrix Virtual Apps 安装在同一计算机上时,请执行以下过程。

  1. 在域控制器上,打开 MMC Active Directory 用户和计算机管理单元。
  2. 视图菜单上,单击高级功能
  3. 在左侧窗格中,单击域名下方的计算机节点,然后选择 StoreFront 服务器。
  4. 操作窗格中,单击属性
  5. 委派选项卡上,单击仅信任此计算机来委派指定的服务使用任意身份验证协议,然后单击添加
  6. 添加服务对话框中,单击用户或计算机
  7. 选择用户或计算机对话框中的输入要选择的对象名称框中,键入运行 Citrix Virtual Apps and Desktops XML Service 的服务器的名称,然后单击确定
  8. 从列表中选择 HTTP 服务类型,然后单击确定
  9. 应用更改并关闭对话框。

配置 Citrix Virtual Apps 服务器的委派

为每个 Citrix Virtual Apps 服务器配置 Active Directory 可信委派。

  1. 在域控制器上,打开 MMC Active Directory 用户和计算机管理单元。
  2. 在左侧窗格中,单击域名下方的计算机节点,然后选择运行 StoreFront 被配置为与之通信的 Citrix Virtual Apps and Desktops XML Service 的服务器。
  3. 操作窗格中,单击属性
  4. 委派选项卡上,单击仅信任此计算机来委派指定的服务使用任意身份验证协议,然后单击添加
  5. 添加服务对话框中,单击用户或计算机
  6. 选择用户或计算机对话框中的输入要选择的对象名称框中,键入运行 Citrix Virtual Apps and Desktops XML Service 的服务器的名称,然后单击确定
  7. 从列表中选择 HOST 服务类型,单击确定,然后单击添加
  8. 选择用户或计算机对话框中的输入要选择的对象名称框中,键入域控制器的名称,然后单击确定
  9. 从列表中选择 cifsldap 服务类型,然后单击确定。注意:如果 ldap 服务显示两个选项,请选择一个与域控制器的 FQDN 匹配的选项。
  10. 应用更改并关闭对话框。

重要注意事项

决定是否使用 Kerberos 约束委派时,请考虑以下信息。

  • 要点:
    • 除非在无 Kerberos 约束委派的情况下执行直通身份验证(或智能卡 PIN 直通身份验证),否则无需 ssonsvr.exe。
  • StoreFront 和 Citrix Receiver for Web 域直通:
    • 客户端上无需 ssonsvr.exe。
    • 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
    • 需要 icaclient.adm 模板 Kerberos 设置。
    • 将 StoreFront 完全限定的域名 (FQDN) 添加到 Internet Explorer 可信站点列表中。在关于可信区域的 Internet Explorer 安全设置中,选中“使用本地用户名”框。
    • 客户端必须位于域中。
    • 在 StoreFront 服务器上启用域直通身份验证方法,并对 Citrix Receiver for Web 启用该方法。
  • StoreFront、Citrix Receiver for Web 和提示输入 PIN 的智能卡身份验证:
    • 客户端上无需 ssonsvr.exe。
    • 已配置智能卡身份验证。
    • 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
    • 需要 icaclient.adm 模板 Kerberos 设置。
    • 在 StoreFront 服务器上启用智能卡身份验证方法,并对 Citrix Receiver for Web 启用该方法。
    • 要确保已选择智能卡身份验证,请勿在 Internet Explorer 安全设置中针对 StoreFront 站点区域选中“使用本地用户名”框。
    • 客户端必须位于域中。
  • Citrix Gateway、StoreFront、Citrix Receiver for Web 和提示输入 PIN 的智能卡身份验证:
    • 客户端上无需 ssonsvr.exe。
    • 已配置智能卡身份验证。
    • 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
    • 需要 icaclient.adm 模板 Kerberos 设置。
    • 在 StoreFront 服务器上启用 Citrix Gateway 直通身份验证方法,并对 Citrix Receiver for Web 启用该方法。
    • 要确保已选择智能卡身份验证,请勿在 Internet Explorer 安全设置中针对 StoreFront 站点区域选中“使用本地用户名”框。
    • 客户端必须位于域中。
    • 使用 StoreFront HDX 路由配置 Citrix Gateway 的智能卡身份验证和其他虚拟服务器的启动,以通过未经身份验证的 Citrix Gateway 虚拟服务器路由 ICA 通信。
  • Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序 (AuthManager)、提示输入 PIN 的智能卡身份验证和 StoreFront:
    • 客户端上无需 ssonsvr.exe。
    • 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
    • 需要 icaclient.adm 模板 Kerberos 设置。
    • 客户端必须位于域中。
    • 在 StoreFront 服务器上启用智能卡身份验证方法。
  • Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序 (AuthManager)、Kerberos 和 StoreFront:
    • 客户端上无需 ssonsvr.exe。
    • 可将 Citrix icaclient.adm 模板中的“Local username and password”(本地用户名和密码)设置为任何内容(控制 ssonsvr.exe 功能)。
    • 需要 icaclient.adm 模板 Kerberos 设置。
    • 在关于可信区域的 Internet Explorer 安全设置中,选中“使用本地用户名”框。
    • 客户端必须位于域中。
    • 在 StoreFront 服务器上启用域直通身份验证方法。
    • 确保已设置以下注册表项:

      小心:

      注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

      对于 32 位计算机:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows 名称:SSONCheckEnabled 类型:REG_SZ 值:true 或 false

      对于 64 位计算机:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows 名称:SSONCheckEnabled 类型:REG_SZ 值:true 或 false

为 XenApp 6.5 配置 Kerberos 约束委派