In Active Directory eingebunden
Active Directory ist für die Authentifizierung und Autorisierung erforderlich. Die Kerberos-Infrastruktur in Active Directory wird verwendet, um die Authentizität und Vertraulichkeit der Kommunikation mit den Delivery Controllern zu gewährleisten. Informationen zu Kerberos finden Sie in der Microsoft-Dokumentation.
Der Artikel (/de-de/citrix-virtual-apps-desktops/2411/system-requirements.html) enthält die unterstützten Funktionsstufen für Gesamtstruktur und Domäne. Um die Richtlinienmodellierung zu verwenden, muss der Domänencontroller auf allen unterstützten Serverbetriebssystemen ausgeführt werden. Dies hat keine Auswirkungen auf die Domänenfunktionsstufe.
Dieses Produkt unterstützt:
- Bereitstellungen, bei denen die Benutzerkonten und Computerkonten in Domänen einer einzelnen Active Directory-Gesamtstruktur vorhanden sind. Benutzer- und Computerkonten können in beliebigen Domänen innerhalb einer einzelnen Gesamtstruktur vorhanden sein. Alle Domänenfunktionsstufen und Gesamtstrukturfunktionsstufen werden in diesem Bereitstellungstyp unterstützt.
- Bereitstellungen, bei denen Benutzerkonten in einer Active Directory-Gesamtstruktur vorhanden sind, die sich von der Active Directory-Gesamtstruktur unterscheidet, die die Computerkonten der Controller und virtuellen Desktops enthält. Bei diesem Bereitstellungstyp müssen die Domänen, die die Controller- und virtuellen Desktop-Computerkonten enthalten, den Domänen vertrauen, die Benutzerkonten enthalten. Gesamtstrukturvertrauensstellungen oder externe Vertrauensstellungen können verwendet werden. Alle Domänenfunktionsstufen und Gesamtstrukturfunktionsstufen werden in diesem Bereitstellungstyp unterstützt.
- Bereitstellungen, bei denen die Computerkonten für Controller in einer Active Directory-Gesamtstruktur vorhanden sind, die sich von einer oder mehreren zusätzlichen Active Directory-Gesamtstrukturen unterscheidet, die die Computerkonten der virtuellen Desktops enthalten. Bei diesem Bereitstellungstyp muss eine bidirektionale Vertrauensstellung zwischen den Domänen, die die Controller-Computerkonten enthalten, und allen Domänen, die die virtuellen Desktop-Computerkonten enthalten, bestehen. Bei diesem Bereitstellungstyp müssen alle Domänen, die Controller- oder virtuelle Desktop-Computerkonten enthalten, die Funktionsstufe „Windows 2000 native“ oder höher aufweisen. Alle Gesamtstrukturfunktionsstufen werden unterstützt.
- Beschreibbare Domänencontroller. Schreibgeschützte Domänencontroller werden nicht unterstützt.
Optional können Virtual Delivery Agents (VDAs) Informationen verwenden, die in Active Directory veröffentlicht wurden, um zu bestimmen, bei welchen Controllern sie sich registrieren können (Ermittlung). Diese Methode wird hauptsächlich zur Abwärtskompatibilität unterstützt und ist nur verfügbar, wenn sich die VDAs in derselben Active Directory-Gesamtstruktur wie die Controller befinden. Informationen zu dieser Ermittlungsmethode finden Sie unter Active Directory OU-basierte Ermittlung und CTX118976.
Hinweis:
Ändern Sie den Computernamen oder die Domänenmitgliedschaft eines Delivery Controller™ nicht, nachdem die Site konfiguriert wurde.
Bereitstellung in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen
In einer Active Directory-Umgebung mit mehreren Gesamtstrukturen können Sie bei vorhandenen Einweg- oder Zweiweg-Vertrauensstellungen DNS-Weiterleitungen oder bedingte Weiterleitungen für die Namensauflösung und -registrierung verwenden. Um den entsprechenden Active Directory-Benutzern das Erstellen von Computerkonten zu ermöglichen, verwenden Sie den Assistenten zum Delegieren von Berechtigungen. Details zu diesem Assistenten finden Sie in der Microsoft-Dokumentation.
Es sind keine umgekehrten DNS-Zonen in der DNS-Infrastruktur erforderlich, wenn entsprechende DNS-Weiterleitungen zwischen den Gesamtstrukturen vorhanden sind.
Der SupportMultipleForest Schlüssel ist erforderlich, wenn sich der VDA und der Controller in separaten Gesamtstrukturen befinden, unabhängig davon, ob die Active Directory- und NetBIOS-Namen unterschiedlich sind. Verwenden Sie die folgenden Informationen, um den Registrierungsschlüssel zum VDA und den Delivery Controllern hinzuzufügen:
Achtung:
Eine fehlerhafte Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus einer falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Die Verwendung des Registrierungs-Editors erfolgt auf eigenes Risiko. Sichern Sie die Registrierung, bevor Sie sie bearbeiten.
Konfigurieren Sie auf dem VDA: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.
- Name:
SupportMultipleForest - Typ:
REG_DWORD - Daten:
0x00000001 (1)
Konfigurieren Sie auf allen Delivery Controllern: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.
- Name:
SupportMultipleForest - Typ:
REG_DWORD - Daten:
0x00000001 (1)
Möglicherweise benötigen Sie eine Reverse-DNS-Konfiguration, wenn Ihr DNS-Namespace von dem des Active Directory abweicht.
Ein Registrierungseintrag wurde hinzugefügt, um das unerwünschte Aktivieren der NTLM-Authentifizierung in VDAs zu vermeiden, die weniger sicher ist als Kerberos. Dieser Eintrag kann anstelle des Eintrags SupportMultipleForest verwendet werden, der weiterhin für die Abwärtskompatibilität genutzt werden kann.
Konfigurieren Sie auf dem VDA: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.
- Name:
SupportMultipleForestDdcLookup - Typ:
REG_DWORD - Daten:
0x00000001 (1)
Dieser Registrierungsschlüssel führt eine DDC-Suche in einer bidirektionalen Vertrauensstellung in einer Umgebung mit mehreren Gesamtstrukturen durch, wodurch Sie die NTLM-basierte Authentifizierung während des anfänglichen Registrierungsprozesses entfernen können.
Wenn während der Einrichtung externe Vertrauensstellungen vorhanden sind, ist der Registrierungsschlüssel ListOfSIDs erforderlich. Der Registrierungsschlüssel ListOfSIDs ist auch dann erforderlich, wenn der Active Directory-FQDN vom DNS-FQDN abweicht oder wenn die Domäne, die den Domänencontroller enthält, einen anderen NetBIOS-Namen als der Active Directory-FQDN hat. Um den Registrierungsschlüssel hinzuzufügen, verwenden Sie die folgenden Informationen:
Suchen Sie für den VDA den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.
- Name:
ListOfSIDs - Typ:
REG_SZ - Daten: Sicherheits-ID (SID) der Controller. (SIDs sind in den Ergebnissen des
Get-BrokerController-Cmdlets enthalten.)
Wenn externe Vertrauensstellungen vorhanden sind, nehmen Sie die folgende Änderung am VDA vor:
- Suchen Sie die Datei
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config. - Erstellen Sie eine Sicherungskopie der Datei.
- Öffnen Sie die Datei in einem Textbearbeitungsprogramm wie Notepad.
- Suchen Sie den Text
allowNtlm="false"und ändern Sie ihn inallowNtlm="true". - Speichern Sie die Datei.
Nachdem Sie den Registrierungsschlüssel ListOfSIDs hinzugefügt und die Datei brokeragent.exe.config bearbeitet haben, starten Sie den Citrix Desktop Service neu, um die Änderungen zu übernehmen.
Die folgende Tabelle listet die unterstützten Vertrauensstellungstypen auf:
| Vertrauenstyp | Transitivität | Richtung | In dieser Version unterstützt |
|---|---|---|---|
| Übergeordnet und untergeordnet | Transitiv | Zwei-Wege | Ja |
| Baumstamm | Transitiv | Zwei-Wege | Ja |
| Extern | Nicht transitiv | Ein-Wege oder Zwei-Wege | Ja |
| Gesamtstruktur | Transitiv | Einseitig oder zweiseitig | Ja |
| Verknüpfung | Transitiv | Einseitig oder zweiseitig | Ja |
| Realm | Transitiv oder nicht-transitiv | Einseitig oder zweiseitig | Nein |
Weitere Informationen zu komplexen Active Directory-Umgebungen finden Sie unter CTX134971.
Nächste Schritte
Informationen zum Erstellen eines Identitätspools von lokalen Active Directory (AD)-verbundenen Maschinenidentitäten finden Sie unter Identitätspool von lokalen Active Directory-verbundenen Maschinenidentitäten.