Citrix Cloud

Active Directory con el Connector Appliance

Puede usar un Connector Appliance para conectar una ubicación de recursos a bosques que no contienen recursos de Citrix Virtual Apps and Desktops. Por ejemplo, en el caso de los clientes de Citrix Secure Private Access o los clientes de Citrix Virtual Apps and Desktops con algunos bosques que solo se utilizan para la autenticación de usuarios.

Al usar Active Directory multidominio con Connector Appliance, se aplican estas restricciones:

  • Connector Appliance no se puede usar en lugar de Cloud Connectors en bosques que contienen VDA.

Requisitos

Requisitos de Active Directory

  • La máquina debe estar unida a un dominio de Active Directory que contenga los recursos y los usuarios que se usan para crear ofertas para los usuarios. Para obtener más información, consulte Casos de implementación para Connector Appliances en Active Directory en este artículo.
  • Cada bosque de Active Directory que piense usar con Citrix Cloud debe ser siempre accesible desde dos Connector Appliances.
  • Connector Appliance debe poder llegar a los controladores de dominio, tanto en el dominio raíz del bosque como en los dominios que piensa utilizar con Citrix Cloud. Para obtener más información, consulte los siguientes artículos de asistencia de Microsoft:
  • Use grupos de seguridad universales, en lugar de grupos de seguridad globales. Esta configuración garantiza que la pertenencia a grupos de usuarios pueda obtenerse de cualquier controlador de dominio del bosque.

Requisitos de la red

  • Debe estar conectada a una red que pueda contactar con los recursos que se usan en la ubicación de recursos.
  • Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.

Además de los puertos que aparecen en la comunicación del Connector Appliance, el Connector Appliance requiere una conexión saliente al dominio de Active Directory a través de estos puertos:

Servicio Puerto Protocolo de dominio compatible
Kerberos 88 TCP/UDP
Servicio de nombres de NetBIOS 137 UDP
Datagrama de NetBIOS 138 UDP
Sesión de NetBIOS 139 TCP
LDAP 389 TCP/UDP
SMB por TCP 445 TCP
Contraseña de Kerberos 464 TCP/UDP
Catálogo global 3268 TCP
Puertos RPC dinámicos 49152–65535 TCP

El Connector Appliance utiliza la firma de LDAP para proteger las conexiones al controlador de dominio. Esto significa que no se requiere LDAP por SSL (LDAPS). Para obtener más información sobre la firma de LDAP, consulte How to enable LDAP signing in Windows Server y Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing.

Niveles funcionales admitidos de Active Directory

Connector Appliance se ha probado y es compatible con estos niveles funcionales de bosque y dominio en Active Directory.

Nivel funcional de bosque Nivel funcional de dominio Controladores de dominio admitidos
Windows Server 2016 Windows Server 2016 Windows Server 2019

No se han probado otras combinaciones de controlador de dominio, nivel funcional de bosque ni nivel funcional de dominio con el Connector Appliance. Sin embargo, se espera que estas combinaciones funcionen y también se admitan.

Conectar un dominio de Active Directory a Citrix Cloud mediante Connector Appliance

Al conectarse a la página web de administración de Connector Appliances, la sección de dominios de Active Directory muestra dos fichas.

  • Dominios unidos: Se utiliza para unir el Connector Appliance a dominios de AD mediante la creación de una cuenta de máquina para el dispositivo del dominio. Para validar Kerberos, haga clic en el menú de tres puntos de la parte derecha del dominio unido. Se requiere la presencia de una cuenta de máquina en el dominio.

  • Cuentas de servicio: Se utilizan como parte de una solución de Secure Private Access (SPA) para poder usar SSO de Kerberos mediante una cuenta de servicio en lugar de una cuenta de máquina creada al unirse al dominio. Para validar Kerberos, haga clic en el menú de tres puntos de la parte derecha de la cuenta de servicio. Tener un dominio específico asociado a la máquina no es obligatorio. Sin embargo, aunque el Connector Appliance no esté conectado al dominio, puede conectarse al controlador de dominio.

Dominios unidos

Dominios de servicio

Para configurar Active Directory de modo que se conecte a Citrix Cloud a través de Connector Appliance, complete estos pasos.

  1. Instale un Connector Appliance en la ubicación de recursos.

    Puede seguir la información indicada en la documentación de producto de Connector Appliance.

  2. Conéctese a la página web de administración de Connector Appliances en su explorador web mediante la dirección IP proporcionada en la consola de Connector Appliance.

  3. En la sección Dominios de Active Directory, vaya a la ficha Dominios unidos.

  4. Haga clic en + Agregar dominio de Active Directory, y aparecerá una nueva ventana emergente para introducir el nombre de dominio.

    Connector Appliance comprueba el dominio. Si la comprobación se realiza correctamente, se abre el cuadro de diálogo Unirse a Active Directory. Esta nueva ventana le permite introducir el nombre de usuario y la contraseña para unirse al dominio.

  5. Haga clic en Add.
  6. Proporcione el nombre de usuario y la contraseña de un usuario de Active Directory con permiso de unión para el dominio.
  7. Connector Appliance sugiere un nombre de máquina. Si quiere, puede reemplazar el nombre sugerido y proporcionar su propio nombre de máquina (hasta 15 caracteres de longitud).

    El nombre de esta máquina se crea en el dominio de Active Directory cuando el Connector Appliance se une a él.

  8. Haga clic en Unirse.

    Ahora el dominio aparece en la sección Dominios de Active Directory de la interfaz de usuario de Connector Appliance.

  9. Para agregar más dominios de Active Directory, seleccione + Agregar dominio de Active Directory y repita los pasos anteriores.
  10. Vaya a la página de dominios de la consola de Citrix Cloud y seleccione Connector Appliance para conectarse a sus dominios.

  11. Si aún no ha registrado su Connector Appliance, continúe con los pasos que se describen en Registrar el Connector Appliance en Citrix Cloud.

Si recibe un error al unirse al dominio, compruebe que su entorno cumpla con los requisitos de Active Directory y los requisitos de red.

A continuación

  • Puede agregar más dominios a este Connector Appliance.

    Nota:

    Connector Appliance se prueba con hasta 10 bosques.

  • Para mejorar la resiliencia, agregue cada dominio a más de un Connector Appliance en cada ubicación de recursos.

Ver la configuración de Active Directory

Puede ver la configuración de los dominios de Active Directory y los Connector Appliances en sus ubicaciones de recursos en estos lugares:

  • En Citrix Cloud:

    1. En el menú, vaya a la página Administración de acceso e identidad.
    2. Vaya a la ficha Dominios.

      Los dominios de Active Directory se enumeran con las ubicaciones de recursos de las que forman parte.

  • En la página web de Connector Appliance:

    1. Conéctese a la página web de Connector Appliance mediante la dirección IP proporcionada en la consola de Connector Appliance.
    2. Inicie sesión con la contraseña que creó al registrarse.
    3. En la sección Dominios de Active Directory de la página, puede ver la lista de dominios de Active Directory a los que se ha unido este Connector Appliance.

Quitar un dominio de Active Directory de un Connector Appliance

Para dejar un dominio de Active Directory, siga estos pasos:

  1. Conéctese a la página web de Connector Appliance mediante la dirección IP proporcionada en la consola de Connector Appliance.
  2. Inicie sesión con la contraseña que creó al registrarse.
  3. En la sección Dominios de Active Directory de la página, busque el dominio que quiere dejar en la lista de dominios de Active Directory a los que se ha unido.
  4. Anote el nombre de la cuenta de máquina creada por su Connector Appliance.
  5. Haga clic en el icono de eliminación (papelera) que hay junto al dominio. Se muestra un cuadro de diálogo de confirmación.
  6. Haga clic en Continuar para confirmar la acción.
  7. Vaya a su controlador de Active Directory.
  8. Elimine la cuenta de máquina creada por el Connector Appliance del controlador.

Casos de implementación para usar el Connector Appliance con Active Directory

Puede usar Cloud Connectors y Connector Appliances para conectarse a los controladores de Active Directory. El tipo de conector que se va a utilizar depende de la implementación.

Para obtener más información sobre el uso de Cloud Connectors con Active Directory, consulte Casos de implementación para Cloud Connectors en Active Directory.

Use el Connector Appliance para conectar su ubicación de recursos al bosque de Active Directory en estas situaciones:

  • Quiere instalar Secure Private Access. Para obtener más información, consulte Secure Private Access con Connector Appliance.
  • Tiene al menos un bosque que solo se usa para la autenticación de usuarios
  • Quiere reducir la cantidad de conectores necesarios para admitir varios bosques
  • Necesita un Connector Appliance para otros casos de uso

Solo los usuarios de al menos un bosque con un único conjunto de Connector Appliances para todos los bosques

Este caso se aplica a los clientes de Workspace Standard o a los clientes que utilizan un Connector Appliance para Secure Private Access.

En este caso, hay varios bosques que contienen solamente objetos de usuario (forest1.local, forest2.local). Estos bosques no contienen recursos. Un conjunto de Connector Appliances se implementa en una ubicación de recursos y se une a los dominios de cada uno de estos bosques.

  • Relación de confianza: Ninguna
  • Dominios enumerados en Administración de acceso e identidad: forest1.local, forest2.local
  • Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios

Usuarios y recursos en bosques separados (con confianza) con un único conjunto de Connector Appliances para todos los bosques

Este caso se aplica a los clientes de Citrix Virtual Apps and Desktops con varios bosques.

En este caso, algunos bosques (resourceforest1.local, resourceforest2.local) contienen sus recursos (por ejemplo, VDA) y algunos bosques (userforest1.local, userforest2.local) contienen solo sus usuarios. Existe una relación de confianza entre estos bosques, lo que permite a los usuarios iniciar sesión en los recursos.

Se implementa un conjunto de Cloud Connectors en el bosque resourceforest1.local. Se implementa un conjunto separado de Cloud Connectors en el bosque resourceforest2.local.

Se implementa un conjunto de Connector Appliances en el bosque userforest1.local, y el mismo conjunto se implementa en el bosque userforest2.local.

  • Relación de confianza: Confianza bidireccional de bosques o confianza unidireccional de los bosques de recursos a los bosques de usuarios
  • Dominios enumerados en Administración de acceso e identidad: resourceforest1.local, resourceforest2.local, userforest1.local, userforest2.local
  • Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios
Active Directory con el Connector Appliance