-
-
Active Directory
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Active Directory
認証および承認にはActive Directoryが使用されます。Active DirectoryのKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。
「システム要件」で、フォレストとドメインでサポートされる機能レベルについて確認してください。ポリシーモデル作成機能を使用するには、ドメインコントローラーがWindows Server 2003~Windows Server 2012 R2上で動作している必要があります。これは、ドメインの機能レベルには影響しません。
以下の環境がサポートされています。
- ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば、ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような環境では、Controllerおよび仮想デスクトップのコンピューターアカウントのドメインが、ユーザーアカウントのドメインを信頼している必要があります。フォレストの信頼または外部の信頼を使用できます。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
- Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような環境では、Controllerのコンピューターアカウントのドメインと、仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。このような環境では、Controllerまたは仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが[Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
- 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。
必要に応じて、Virtual Delivery Agent(VDA)で登録可能なControllerを検出するときに、Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので、VDAとControllerが同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法について詳しくは、「Active Directory OUベースの検出」およびCTX118976を参照してください。
注:
サイトの構成後、コンピューター名やDelivery Controllerのドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
このトピックの内容は、XenDesktop 7.1以降およびXenApp 7.5以降に適用されます。これらの製品の以前のバージョンのXenDesktopまたはXenAppには適用されません。
複数のフォレストがあるActive Directory環境では、一方向または双方向の信頼関係が構成済みの場合に、DNSフォワーダーまたは条件付きフォワーダーによる名前参照や登録を使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、オブジェクト制御の委任ウィザードを使用します。このウィザードについて詳しくは、Microsoft社のドキュメントを参照してください。
適切なDNSフォワーダーがフォレスト間に存在する場合、DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。
VDAとControllerが別のフォレストにある場合、Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく、レジストリキーSupportMultipleForest
が必要です。以下の情報を使用して、レジストリキーをVDAおよびDelivery Controllerに追加します。
注意:
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
VDAで次を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
。
- 名前:
SupportMultipleForest
- 種類:
REG_DWORD
- データ:
0x00000001 (1)
すべてのDelivery Controllerで次を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest
。
- 名前:
SupportMultipleForest
- 種類:
REG_DWORD
- データ:
0x00000001 (1)
DNS名前空間がActive Directoryのそれと異なる場合、DNS逆引き構成が必要になることがあります。
Kerberosよりも安全性が低いNTLM認証をVDAで不要に有効化しないように、レジストリエントリが追加されました。このエントリは、SupportMultipleForest
エントリ(後方互換性があるため引き続き使用可能)の代わりに使用できます。
VDAで次を構成します:HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent
。
- 名前:
SupportMultipleForestDdcLookup
- 種類:
REG_DWORD
- データ:
0x00000001 (1)
このレジストリキーは、双方向の信頼がある複数フォレスト環境でDDCルックアップを実行します。この環境では、初期登録プロセス中にNTLMベースの認証を削除できます。
セットアップ時に外部信頼が構成済みの場合は、レジストリキーListOfSIDs
が必要になります。また、Active DirectoryのFQDNがDNS FQDNと異なる場合、またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も、レジストリキーListOfSIDs
が必要です。以下のレジストリキーを追加します。
VDAの場合、レジストリキーHKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
を検索します。
- 名前:
ListOfSIDs
- 種類:
REG_SZ
- データ:Controllerのセキュリティ識別子(SID)。(SIDは、
Get-BrokerController
コマンドレットの結果に含まれています。)
適切な外部の信頼が構成済みの場合、VDA上で以下の変更を行います:
- ファイル
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config
を検索します。 - ファイルのバックアップコピーを作成します。
- メモ帳などのテキストエディターを使ってファイルを開きます。
- テキスト
allowNtlm="false"
を検索して、テキストをallowNtlm="true"
に変更します。 - ファイルを保存します。
レジストリキーListOfSIDs
を追加してbrokeragent.exe.config
ファイルを編集したら、Citrix Desktop Serviceを再起動して変更を適用します。
次の表は、サポートされる信頼の種類を示しています。
信頼の種類 | 推移性 | Direction | このリリースでのサポート |
---|---|---|---|
親および子 | 推移的 | 双方向 | はい |
ツリールート | 推移的 | 双方向 | はい |
外部 | 非推移的 | 一方向または双方向 | はい |
フォレスト | 推移的 | 一方向または双方向 | はい |
ショートカット | 推移的 | 一方向または双方向 | はい |
領域 | 推移的または非推移的 | 一方向または双方向 | いいえ |
複雑なActive Directory環境での展開について詳しくは、CTX134971を参照してください。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.