Product Documentation

对于 Active Directory 环境的建议

Sep 14, 2015
Citrix 建议对具有 Active Directory 的服务器场使用以下配置:
  • XenApp 服务器处于自己的组织单位 (OU) 中。
  • 为应用程序仓库创建 OU,确保来自不同仓库的服务器组织在其自己的 OU 中。(但是,您可以跨越多个 OU 创建应用程序仓库)。
  • 所有服务器位于同一个域。
  • 服务器场域与非 Active Directory 域之间无信任关系,否则可能影响需要受信任域的操作。
  • 服务器场处于单一 Active Directory 林中。如果您场中的服务器属于多个林,则用户无法通过输入用户主体名称 (UPN) 登录。
    UPN 登录使用用户名@UPN 标识符格式。有了 Active Directory,UPN 登录不要求指定域,因为 Active Directory 可在目录中定位完整的 UPN 登录。但是,如果该服务器场有多个林,那么当同一 UPN 标识符存在于不同林的两个域中时,会发生问题。
    重要: 如果一个服务器场跨越多个 Active Directory 林,则 Citrix XenApp 不支持 UPN 登录。

Active Directory 用户权限

Active Directory 安全组可能会影响对已发布应用程序或管理控制台的身份验证。下表中提供了最佳做法指导。

此外,如果用户是域本地组的成员,则仅当用户登录到与该域本地组位于相同域中的计算机时,此组才会列在该用户的安全令牌中。基于信任的路由不能保证将用户登录请求发送到与域本地组位于相同域中的服务器。

网络配置不会影响对管理控制台的身份验证,因为该控制台只允许直通身份验证。

域全局组  
对已发布应用程序进行身份验证 无不利影响
对管理控制台进行身份验证 无不利影响
域本地组  
对已发布应用程序进行身份验证 建议:如果域本地组有权使用某个应用程序,则对该应用程序进行负载平衡的所有服务器必须位于同一域中。

理由:分配给应用程序的域本地组必须来自所有负载平衡服务器的公共主域。发布应用程序时,如果满足上述条件则域本地组显示在帐户列表中,而且还会显示公共主域中的帐户。如果已发布应用程序包含任意域本地组中的用户,并且您添加了另一域中的服务器,则域本地组将会从配置的用户列表中删除,因为所有服务器都必须能够对有权运行该应用程序的任何用户进行验证。

对管理控制台进行身份验证 建议:如果用户仅因为拥有域本地组成员身份而成为 Citrix 管理员,则该用户必须将控制台连接到与该域本地组位于相同域中的服务器。

理由:如果用户将控制台连接到与该域本地组位于不同域的服务器,则该用户对控制台的访问将被拒绝,原因是此域本地组未列在该用户的安全令牌中。

通用组  
对已发布应用程序进行身份验证 建议:如果通用组拥有应用程序访问权限,则管理该应用程序的所有服务器都必须位于 Active Directory 域中。

理由:非 Active Directory 域中的服务器可能对要运行该应用程序的用户进行身份验证。在这种情况下,通用组不列在用户的安全令牌中,因此,该用户被拒绝访问该应用程序。非 Active Directory 域中的服务器可以与 Active Directory 域中的服务器一起对应用程序进行负载平衡,前提是这些域具有显式信任关系。

对管理控制台进行身份验证 建议:如果针对控制台对用户进行验证身份,并且该用户仅因为拥有通用组成员身份而成为 Citrix 管理员,则必须将控制台连接到属于通用组林中 Active Directory 域的服务器。

理由:非 Active Directory 域控制器和通用组林外部的域不包含关于通用组的任何信息。

Active Directory 联合服务

XenApp 与 Citrix Web Interface 结合使用时,支持 Active Directory 联合服务 (AD FS)。如果您需要为业务合作伙伴提供对已发布应用程序的访问权限,那么与在企业域中创建多个新用户帐户相比,AD FS 可能是更好的方式。如果您计划将 AD FS 与 XenApp 结合使用,Citrix 建议:
  • 当在场中的每个服务器上安装 XenApp 时,请确保与 IIS 选项共享端口,并确保将 IIS 配置为支持 HTTPS;有关详细信息,请参阅系统要求
  • 设置运行 Web Interface 的服务器与场中其他任何通过 Citrix XML Broker 与 Web Interface 通信的服务器之间的信任关系。Web Interface 必须能够访问联合服务器所用证书颁发机构的证书吊销列表 (CRL)。
  • 如果您要通过映像来设置场,请在使用映像之前,在服务器上配置信任请求。必须在场中每个服务器上启用这些信任请求,您无法在场级别设置这些请求。
  • 要阻止外部用户未经授权而访问场服务器上的服务,请将所有 XenApp 服务器配置为进行受限委派。要向用户提供对这些服务器上的资源的访问权限,请使用 MMC Active Directory 用户和计算机管理单元将相关服务添加到“服务”列表中。

有关配置 AD FS 支持的详细信息,请参阅 Web Interface 的相关文档。