アドバンスト構成
Director は、ユーザー、Delivery Controller (DC)、VDA、および Director が異なるフォレストに配置されているフォレスト構成にまたがるマルチフォレスト環境をサポートできます。これには、フォレスト間の信頼関係と構成設定の適切なセットアップが必要です。
マルチフォレスト環境での推奨構成
推奨される構成では、ドメイン全体の認証を使用して、フォレスト間で送信および受信フォレスト信頼関係を作成する必要があります。
Director からの信頼関係により、異なるフォレストに配置されているユーザーセッション、VDA、および Delivery Controller の問題をトラブルシューティングできます。
Director が複数のフォレストをサポートするために必要な高度な構成は、Internet Information Services (IIS) マネージャーで定義された設定によって制御されます。
重要:
IIS で設定を変更すると、Director サービスが自動的に再起動し、ユーザーはログオフされます。
IIS を使用して高度な設定を構成するには:
- インターネット インフォメーション サービス (IIS) マネージャーコンソールを開きます。
- デフォルトの Web サイトの下にある Director Web サイトに移動します。
- アプリケーション設定をダブルクリックします。
- 設定をダブルクリックして編集します。
- 追加をクリックして新しい設定を追加します。
Director は Active Directory を使用してユーザーを検索し、ユーザーとマシンの詳細情報を参照します。デフォルトでは、Director は次のドメインまたはフォレストを検索します。
- 管理者アカウントがメンバーである。
- Director Web サーバーがメンバーである(異なる場合)。
Director は Active Directory グローバルカタログを使用して、フォレストレベルで検索を実行しようとします。フォレストレベルで検索する権限がない場合、ドメインのみが検索されます。
別の Active Directory ドメインまたはフォレストからデータを検索または参照するには、検索するドメインまたはフォレストを明示的に設定する必要があります。IIS マネージャーで Director Web サイトに次のアプリケーション設定を構成します。
Connector.ActiveDirectory.Domains = (user),(server)
値属性の user と server は、それぞれ Director ユーザー(管理者)と Director サーバーのドメインを表します。
追加のドメインまたはフォレストからの検索を有効にするには、この例に示すように、ドメイン名をリストに追加します。
Connector.ActiveDirectory.Domains = (user),(server),\<domain1\>,\<domain2\>
リスト内の各ドメインについて、Director はフォレストレベルで検索を実行しようとします。フォレストレベルで検索する権限がない場合、ドメインのみが検索されます。
ドメインローカルグループの構成
ほとんどの Citrix Service Provider (CSP) は、インフラストラクチャフォレストに VDA、DC、Director を含む同様の環境設定を持っています。ユーザーまたはユーザーグループのレコードは顧客フォレストに属します。インフラストラクチャフォレストから顧客フォレストへの一方向の送信信頼が存在します。
CSP 管理者は通常、インフラストラクチャフォレストにドメインローカルグループを作成し、顧客フォレストのユーザーまたはユーザーグループをこのドメインローカルグループに追加します。
推奨されるマルチフォレストサイト構成(/ja-jp/citrix-virtual-apps-desktops/2311/media/domainlocalgroup-config.png)
Director はこのようなマルチフォレスト設定をサポートし、ドメインローカルグループを使用して構成されたユーザーのセッションを監視できます。
-
IIS マネージャーで Director Web サイトに次のアプリケーション設定を追加します。
Connector.ActiveDirectory.DomainLocalGroupSearch= true DomainLocalGroupSearchDomains= \<domain1\>,\<domain2\><domain1><domain2> は、ドメインローカルグループが存在するフォレストの名前です。
-
ドメインローカルグループをWeb Studioのデリバリーグループに割り当てます。
-
変更を有効にするには、IISを再起動し、Directorに再度ログオンします。これで、Directorはこれらのユーザーのセッションを監視し、表示できるようになります。
Directorにサイトを追加する
Directorがすでにインストールされている場合は、複数のサイトで動作するように構成します。構成するには、各DirectorサーバーでIISマネージャーコンソールを使用して、アプリケーション設定のサーバーアドレスのリストを更新します。
各サイトのコントローラーのアドレスを次の設定に追加します。
Service.AutoDiscoveryAddresses = SiteAController,SiteBController
<!--NeedCopy-->
SiteAControllerとSiteBControllerは、2つの異なるサイトからのデリバリーコントローラーのアドレスです。
アクティビティマネージャーで実行中のアプリケーションの可視性を無効にする
デフォルトでは、Directorのアクティビティマネージャーは、ユーザーセッションのすべての実行中のアプリケーションのリストを表示します。この情報は、Directorのアクティビティマネージャー機能にアクセスできるすべての管理者が表示できます。委任された管理者ロールの場合、これにはフル管理者、デリバリーグループ管理者、およびヘルプデスク管理者が含まれます。
ユーザーのプライバシーと実行中のアプリケーションを保護するために、アプリケーションタブを無効にして、実行中のアプリケーションを一覧表示しないようにすることができます。
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような重大な問題を引き起こす可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証しません。レジストリエディターはご自身の責任において使用してください。編集する前に必ずレジストリをバックアップしてください。
- VDAで、HKEY_LOCAL_MACHINE\Software\Citrix\Director\TaskManagerDataDisplayedにあるレジストリキーを変更します。デフォルトでは、このキーは1に設定されています。値を0に変更します。これは、情報がVDAから収集されず、アクティビティマネージャーに表示されないことを意味します。
- Directorがインストールされているサーバーで、実行中のアプリケーションの可視性を制御する設定を変更します。デフォルトでは、値は「true」であり、アプリケーションタブで実行中のアプリケーションの可視性を許可します。値を「false」に変更すると、可視性が無効になります。このオプションは、VDAではなく、Directorのアクティビティマネージャーのみに影響します。 次の設定の値を変更します。 UI.TaskManager.EnableApplications = false
重要:
実行中のアプリケーションの表示を無効にするには、両方の変更を行い、データがアクティビティマネージャーに表示されないようにしてください。