Active Directory con el Connector Appliance
Puede usar un Connector Appliance para conectar una ubicación de recursos a bosques que no contienen recursos de Citrix Virtual Apps and Desktops. Por ejemplo, en el caso de los clientes de Citrix Secure Private Access o los clientes de Citrix Virtual Apps and Desktops con algunos bosques que solo se utilizan para la autenticación de usuarios.
Al usar Active Directory multidominio con Connector Appliance, se aplican estas restricciones:
- Connector Appliance no se puede usar en lugar de Cloud Connectors en bosques que contienen VDA.
Requisitos
Requisitos de Active Directory
- La máquina debe estar unida a un dominio de Active Directory que contenga los recursos y los usuarios que se usan para crear ofertas para los usuarios. Para obtener más información, consulte Casos de implementación para Connector Appliances en Active Directory en este artículo.
- Cada bosque de Active Directory que piense usar con Citrix Cloud debe ser siempre accesible desde dos Connector Appliances.
- Connector Appliance debe poder llegar a los controladores de dominio, tanto en el dominio raíz del bosque como en los dominios que piensa utilizar con Citrix Cloud. Para obtener más información, consulte los siguientes artículos de asistencia de Microsoft:
- Cómo configurar dominios y relaciones de confianza
- Sección “Puertos de servicios de sistemas” en Introducción a los servicios y requisitos de puerto de red para Windows
- Use grupos de seguridad universales, en lugar de grupos de seguridad globales. Esta configuración garantiza que la pertenencia a grupos de usuarios pueda obtenerse de cualquier controlador de dominio del bosque.
Requisitos de la red
- Debe estar conectada a una red que pueda contactar con los recursos que se usan en la ubicación de recursos.
- Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.
Además de los puertos que aparecen en la comunicación del Connector Appliance, el Connector Appliance requiere una conexión saliente al dominio de Active Directory a través de estos puertos:
Servicio | Puerto | Protocolo de dominio compatible |
---|---|---|
Kerberos | 88 | TCP/UDP |
Servicio de nombres de NetBIOS | 137 | UDP |
Datagrama de NetBIOS | 138 | UDP |
Sesión de NetBIOS | 139 | TCP |
LDAP | 389 | TCP/UDP |
SMB por TCP | 445 | TCP |
Contraseña de Kerberos | 464 | TCP/UDP |
Catálogo global | 3268 | TCP |
Puertos RPC dinámicos | 49152–65535 | TCP |
El Connector Appliance utiliza la firma de LDAP para proteger las conexiones al controlador de dominio. Esto significa que no se requiere LDAP por SSL (LDAPS). Para obtener más información sobre la firma de LDAP, consulte How to enable LDAP signing in Windows Server y Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing.
Niveles funcionales admitidos de Active Directory
Connector Appliance se ha probado y es compatible con estos niveles funcionales de bosque y dominio en Active Directory.
Nivel funcional de bosque | Nivel funcional de dominio | Controladores de dominio admitidos |
---|---|---|
Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
No se han probado otras combinaciones de controlador de dominio, nivel funcional de bosque ni nivel funcional de dominio con el Connector Appliance. Sin embargo, se espera que estas combinaciones funcionen y también se admitan.
Conectar un dominio de Active Directory a Citrix Cloud mediante Connector Appliance
Al conectarse a la página web de administración de Connector Appliances, la sección de dominios de Active Directory muestra dos fichas.
-
Dominios unidos: Se utiliza para unir el Connector Appliance a dominios de AD mediante la creación de una cuenta de máquina para el dispositivo del dominio. Para validar Kerberos, haga clic en el menú de tres puntos de la parte derecha del dominio unido. Se requiere la presencia de una cuenta de máquina en el dominio.
-
Cuentas de servicio: Se utilizan como parte de una solución de Secure Private Access (SPA) para poder usar SSO de Kerberos mediante una cuenta de servicio en lugar de una cuenta de máquina creada al unirse al dominio. Para validar Kerberos, haga clic en el menú de tres puntos de la parte derecha de la cuenta de servicio. Tener un dominio específico asociado a la máquina no es obligatorio. Sin embargo, aunque el Connector Appliance no esté conectado al dominio, puede conectarse al controlador de dominio.
Para configurar Active Directory de modo que se conecte a Citrix Cloud a través de Connector Appliance, complete estos pasos.
-
Instale un Connector Appliance en la ubicación de recursos.
Puede seguir la información indicada en la documentación de producto de Connector Appliance.
-
Conéctese a la página web de administración de Connector Appliances en su explorador web mediante la dirección IP proporcionada en la consola de Connector Appliance.
-
En la sección Dominios de Active Directory, vaya a la ficha Dominios unidos.
-
Haga clic en + Agregar dominio de Active Directory, y aparecerá una nueva ventana emergente para introducir el nombre de dominio.
Connector Appliance comprueba el dominio. Si la comprobación se realiza correctamente, se abre el cuadro de diálogo Unirse a Active Directory. Esta nueva ventana le permite introducir el nombre de usuario y la contraseña para unirse al dominio.
- Haga clic en Add.
- Proporcione el nombre de usuario y la contraseña de un usuario de Active Directory con permiso de unión para el dominio.
-
Connector Appliance sugiere un nombre de máquina. Si quiere, puede reemplazar el nombre sugerido y proporcionar su propio nombre de máquina (hasta 15 caracteres de longitud).
El nombre de esta máquina se crea en el dominio de Active Directory cuando el Connector Appliance se une a él.
-
Haga clic en Unirse.
Ahora el dominio aparece en la sección Dominios de Active Directory de la interfaz de usuario de Connector Appliance.
- Para agregar más dominios de Active Directory, seleccione + Agregar dominio de Active Directory y repita los pasos anteriores.
-
Vaya a la página de dominios de la consola de Citrix Cloud y seleccione Connector Appliance para conectarse a sus dominios.
- Si aún no ha registrado su Connector Appliance, continúe con los pasos que se describen en Registrar el Connector Appliance en Citrix Cloud.
Si recibe un error al unirse al dominio, compruebe que su entorno cumpla con los requisitos de Active Directory y los requisitos de red.
A continuación
-
Puede agregar más dominios a este Connector Appliance.
Nota:
Connector Appliance se prueba con hasta 10 bosques.
-
Para mejorar la resiliencia, agregue cada dominio a más de un Connector Appliance en cada ubicación de recursos.
Ver la configuración de Active Directory
Puede ver la configuración de los dominios de Active Directory y los Connector Appliances en sus ubicaciones de recursos en estos lugares:
-
En Citrix Cloud:
- En el menú, vaya a la página Administración de acceso e identidad.
-
Vaya a la ficha Dominios.
Los dominios de Active Directory se enumeran con las ubicaciones de recursos de las que forman parte.
-
En la página web de Connector Appliance:
- Conéctese a la página web de Connector Appliance mediante la dirección IP proporcionada en la consola de Connector Appliance.
- Inicie sesión con la contraseña que creó al registrarse.
- En la sección Dominios de Active Directory de la página, puede ver la lista de dominios de Active Directory a los que se ha unido este Connector Appliance.
Quitar un dominio de Active Directory de un Connector Appliance
Para dejar un dominio de Active Directory, siga estos pasos:
- Conéctese a la página web de Connector Appliance mediante la dirección IP proporcionada en la consola de Connector Appliance.
- Inicie sesión con la contraseña que creó al registrarse.
- En la sección Dominios de Active Directory de la página, busque el dominio que quiere dejar en la lista de dominios de Active Directory a los que se ha unido.
- Anote el nombre de la cuenta de máquina creada por su Connector Appliance.
- Haga clic en el icono de eliminación (papelera) que hay junto al dominio. Se muestra un cuadro de diálogo de confirmación.
- Haga clic en Continuar para confirmar la acción.
- Vaya a su controlador de Active Directory.
- Elimine la cuenta de máquina creada por el Connector Appliance del controlador.
Casos de implementación para usar el Connector Appliance con Active Directory
Puede usar Cloud Connectors y Connector Appliances para conectarse a los controladores de Active Directory. El tipo de conector que se va a utilizar depende de la implementación.
Para obtener más información sobre el uso de Cloud Connectors con Active Directory, consulte Casos de implementación para Cloud Connectors en Active Directory.
Use el Connector Appliance para conectar su ubicación de recursos al bosque de Active Directory en estas situaciones:
- Quiere instalar Secure Private Access. Para obtener más información, consulte Secure Private Access con Connector Appliance.
- Tiene al menos un bosque que solo se usa para la autenticación de usuarios
- Quiere reducir la cantidad de conectores necesarios para admitir varios bosques
- Necesita un Connector Appliance para otros casos de uso
Solo los usuarios de al menos un bosque con un único conjunto de Connector Appliances para todos los bosques
Este caso se aplica a los clientes de Workspace Standard o a los clientes que utilizan un Connector Appliance para Secure Private Access.
En este caso, hay varios bosques que contienen solamente objetos de usuario (forest1.local
, forest2.local
). Estos bosques no contienen recursos. Un conjunto de Connector Appliances se implementa en una ubicación de recursos y se une a los dominios de cada uno de estos bosques.
- Relación de confianza: Ninguna
- Dominios enumerados en Administración de acceso e identidad:
forest1.local
,forest2.local
- Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
- Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios
Usuarios y recursos en bosques separados (con confianza) con un único conjunto de Connector Appliances para todos los bosques
Este caso se aplica a los clientes de Citrix Virtual Apps and Desktops con varios bosques.
En este caso, algunos bosques (resourceforest1.local
, resourceforest2.local
) contienen sus recursos (por ejemplo, VDA) y algunos bosques (userforest1.local
, userforest2.local
) contienen solo sus usuarios. Existe una relación de confianza entre estos bosques, lo que permite a los usuarios iniciar sesión en los recursos.
Se implementa un conjunto de Cloud Connectors en el bosque resourceforest1.local
. Se implementa un conjunto separado de Cloud Connectors en el bosque resourceforest2.local
.
Se implementa un conjunto de Connector Appliances en el bosque userforest1.local
, y el mismo conjunto se implementa en el bosque userforest2.local
.
- Relación de confianza: Confianza bidireccional de bosques o confianza unidireccional de los bosques de recursos a los bosques de usuarios
- Dominios enumerados en Administración de acceso e identidad:
resourceforest1.local
,resourceforest2.local
,userforest1.local
,userforest2.local
- Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
- Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios
En este artículo
- Requisitos
- Niveles funcionales admitidos de Active Directory
- Conectar un dominio de Active Directory a Citrix Cloud mediante Connector Appliance
- A continuación
- Ver la configuración de Active Directory
- Quitar un dominio de Active Directory de un Connector Appliance
- Casos de implementación para usar el Connector Appliance con Active Directory