Connector Applianceを使用したActive Directory
Connector Applianceを使用して、Citrix Virtual Apps and Desktopsリソースを含まないフォレストにリソースの場所を接続できます。たとえば、Citrix Secure Private Accessの顧客や、一部のフォレストがユーザー認証にのみ使用されるCitrix Virtual Apps and Desktopsの顧客の場合。
Connector Applianceを使用したマルチドメインActive Directoryの場合、次の制限が適用されます:
- VDAを含むフォレストでは、Cloud Connectorの代わりにConnector Applianceを使用することはできません。
要件
Active Directoryの要件
- ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。詳しくは、「Active DirectoryでのConnector Applianceの展開シナリオ」を参照してください。
- Citrix Cloudで使用する予定の各Active Directoryフォレストには、常に2つのConnector Applianceがアクセスできるようにする必要があります。
- Connector Applianceは、フォレストルートドメインとCitrix Cloudで使用する予定のドメインの両方のドメインコントローラーにアクセスできる必要があります。詳しくは、次のMicrosoftのサポート文書を参照してください:
- ドメインと信頼を構成する方法
- 「Windowsのサービス概要およびネットワークポート要件」の「システムサービスポート」セクション
- グローバルセキュリティグループの代わりに、ユニバーサルセキュリティグループを使用します。この構成により、ユーザーグループのメンバーシップをフォレスト内の任意のドメインコントローラーから確実に取得できます。
ネットワークの要件
- リソースの場所で使用するリソースに接続できるネットワークに接続済み。
- インターネットに接続済み。詳しくは、「システムおよび接続要件」を参照してください。
「Connector Applianceの通信」に記載されているポートに加えて、Connector Applianceには、次のポートを介してActive Directoryドメインに送信接続する必要があります:
サービス | ポート | サポートされるドメインプロトコル |
---|---|---|
kerberos | 88 | TCP/UDP |
NetBIOSネームサービス | 137 | UDP |
NetBIOSデータグラム | 138 | UDP |
NetBIOSセッション | 139 | TCP |
LDAP | 389 | TCP/UDP |
SMB over TCP | 445 | TCP |
Kerberos kpasswd | 464 | TCP/UDP |
グローバルカタログ | 3268 | TCP |
動的RPCポート | 49152~65535 | TCP |
Connector Applianceは、LDAP署名を使用してドメインコントローラーへの接続をセキュリティで保護します。つまり、SSL経由のLDAP(LDAPS)は必要ありません。LDAP署名について詳しくは、「Windows ServerでLDAP署名を有効にする方法」および「LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス」を参照してください。
サポートされるActive Directoryの機能レベル
Connector Applianceはテスト済みで、Active Directoryのフォレストとドメインの以下の機能レベルでサポートされます。
フォレスト機能レベル | ドメイン機能レベル | サポートされるドメインコントローラー |
---|---|---|
Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
ドメインコントローラ、フォレスト機能レベル、およびドメインの機能レベルの他の組み合わせは、Connector Applianceではテストされていません。ただし、これらの組み合わせは正常に動作することが期待されており、サポートされています。
Connector Applianceを使用してActive DirectoryドメインをCitrix Cloudに接続する
Connector Appliance管理Webページに接続すると、Active Directoryドメインセクションに2つのタブが表示されます。
-
Joined Domains – Connector ApplianceをADドメインに参加させるために使用され、ドメイン内にアプライアンスのマシンアカウントを作成します。Kerberosを検証するには、参加したドメインの右側にある省略記号メニューをクリックします。ドメイン内にマシンアカウントが存在する必要があります。
-
Service Accounts – Secure Private Access(SPA)ソリューションの一部として使用され、ドメインに参加することで作成されたマシンアカウントの代わりにサービスアカウントを使用してKerberos SSOを実現します。Kerberosを検証するには、サービスアカウントの右側にある省略記号メニューをクリックします。特定のドメインをマシンに関連付けることは必須ではありません。ただし、Connector Applianceがドメインに接続されていない場合でも、ドメインコントローラーに接続できます。
Connector Applianceを介してCitrix Cloudに接続するようにActive Directoryを構成するには、次の手順を実行します。
-
Connector Applianceをリソースの場所にインストールします。
Connector Applianceの製品ドキュメントの情報を参照できます。
-
Connector Applianceコンソールで提供されるIPアドレスを使用して、WebブラウザーでConnector Applianceの管理Webページに接続します。
-
[Active Directoryドメイン] セクションで、[Joined domains] タブに移動します。
-
[+Active Directoryドメインの追加] をクリックすると、ドメイン名を入力するための新しいポップアップ ウィンドウが表示されます。
Connector Applianceはドメインをチェックします。チェックで問題がなければ、[Active Directoryに参加] ダイアログボックスが開きます。この新しいウィンドウでは、ドメインに参加するためのユーザー名とパスワードを入力できます。
- [追加] をクリックします。
- ドメインへの参加権限を持つActive Directoryユーザーのユーザー名とパスワードを入力します。
-
Connector Applianceからマシン名が提案されます。提案された名前を上書きして、独自のマシン名(最大15文字)を指定することもできます。
このマシン名は、Connector Applianceが参加したときにActive Directoryドメインに作成されます。
-
[参加] をクリックします。
これで、Connector Applianceのユーザーインターフェイス [Active Directoryドメイン] セクションにドメインが一覧表示されます。
- Active Directoryドメインをさらに追加するには、[+ Active Directoryドメインの追加] を選択して、上記の手順を繰り返します。
-
Citrix Cloudコンソールのドメインページに移動し、ドメインにサービスを提供する [Connector Appliance] を選択します。
- Connector Applianceをまだ登録していない場合は、「Connector ApplianceをCitrix Cloudに登録する」で説明されている手順を続行します。
ドメインへの参加時にエラーが発生した場合は、お使いの環境がActive Directoryの要件とネットワークの要件を満たしていることを確認してください。
次の操作
-
このConnector Applianceには、さらにドメインを追加できます。
注:
Connector Applianceは最大10個のフォレストでテストされています。
-
耐障害性を向上させるため、各ドメインを各リソースの場所にある複数のConnector Applianceに追加します。
Active Directory構成を表示する
リソースの場所のActive DirectoryドメインとConnector Applianceの構成は、次の場所で表示できます:
-
Citrix Cloudの場合:
- メニューで、[IDおよびアクセス管理]ページに移動します。
-
[ドメイン] タブに移動します。
Active Directoryドメインは、そのドメインが属しているリソースの場所とともに一覧表示されます。
-
Connector ApplianceのWebページの場合:
- Connector Applianceコンソールで提供されるIPアドレスを使用して、Connector ApplianceのWebページに接続します。
- 初回登録時に作成したパスワードでログインします。
- ページの [Active Directoryドメイン] セクションには、このConnector Applianceが参加しているActive Directoryドメインの一覧が表示されます。
Connector ApplianceからActive Directoryドメインを削除する
Active Directoryドメインから離脱するには、次の手順を実行します:
- Connector Applianceコンソールで提供されるIPアドレスを使用して、Connector ApplianceのWebページに接続します。
- 初回登録時に作成したパスワードでログインします。
- ページの [Active Directoryドメイン] セクションにある、参加しているActive Directoryドメインの一覧で、離脱するドメインを探します。
- Connector Applianceによって作成されたマシンアカウントの名前を記録します。
- ドメインの横にある削除アイコン(ごみ箱)をクリックします。確認ダイアログボックスが開きます。
- [続行] をクリックして、その操作を確認します。
- Active Directoryコントローラに移動します。
- Connector Applianceによって作成されたマシンアカウントをコントローラから削除します。
Active DirectoryでConnector Applianceを使用した展開シナリオ
Cloud ConnectorとConnector Applianceの両方を使用して、Active Directoryコントローラに接続できます。使用するコネクタの種類は、展開によって異なります。
Active DirectoryでのCloud Connectorの使用について詳しくは、「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
次の状況では、Connector Applianceを使用してリソースの場所をActive Directoryフォレストに接続します:
- Secure Private Accessを設定している。詳しくは、「Connector Applianceを使用したSecure Private Access」を参照してください。
- ユーザー認証にのみ使用されるフォレストが1つ以上ある
- 複数のフォレストのサポートに必要なコネクタ数の削減を希望している
- 他のユースケースにConnector Applianceを必要としている
1つ以上のフォレストにユーザーのみが存在する場合に、すべてのフォレストに対して1セットのConnector Applianceを展開
このシナリオは、Workspace Standardの顧客、またはSecure Private AccessのためにConnector Applianceを使用する顧客に適用されます。
このシナリオでは、ユーザーオブジェクト(forest1.local
、forest2.local
)のみを含むフォレストがいくつかあります。これらのフォレストにはリソースは含まれていません。単一のConnector Applianceセットがリソースの場所に展開され、各フォレストのドメインに参加します。
- 信頼関係:なし
-
[IDおよびアクセスの管理] に表示されるドメイン:
forest1.local
、forest2.local
- Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、すべてのフォレストに単一のConnector Applianceセットを展開
このシナリオは、複数のフォレストを持つCitrix Virtual Apps and Desktopsの顧客に適用されます。
このシナリオでは、一部のフォレスト(resourceforest1.local
、resourceforest2.local
)はリソース(VDAなど)を含み、一部のフォレスト(userforest1.local
、userforest2.local
)ユーザーのみを含みます。これらのフォレスト間には、ユーザーがリソースにログオンできる信頼関係が存在します。
単一のCloud Connectorセットがresourceforest1.local
フォレストに展開されます。別のCloud Connectorセットがresourceforest2.local
フォレスト内に展開されます。
単一のConnector Applianceセットがuserforest1.local
フォレストに展開され、その同じセットがuserforest2.local
フォレスト内に展開されます。
- 信頼関係:双方向のフォレストの信頼、またはリソースフォレストからユーザーフォレストへの一方向の信頼
-
[IDおよびアクセスの管理] に表示されるドメイン:
resourceforest1.local
、resourceforest2.local
、userforest1.local
、userforest2.local
- Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー