アクティブディレクトリ参加済み
Active Directoryは、認証と承認に必要です。Active DirectoryのKerberosインフラストラクチャは、Delivery Controllerとの通信の信頼性と機密性を保証するために使用されます。Kerberosの詳細については、Microsoftのドキュメントを参照してください。
(/ja-jp/citrix-virtual-apps-desktops/2407/system-requirements.html)の記事には、フォレストとドメインでサポートされている機能レベルが記載されています。ポリシーモデリングを使用するには、ドメインコントローラーがサポートされているすべてのサーバーOSで実行されている必要があります。これはドメインの機能レベルには影響しません。
この製品は以下をサポートします。
- ユーザーアカウントとコンピューターアカウントが単一のActive Directoryフォレスト内のドメインに存在する展開。 ユーザーアカウントとコンピューターアカウントは、単一フォレスト内の任意のドメインに存在できます。この種類の展開では、すべてのドメイン機能レベルとフォレスト機能レベルがサポートされます。
- ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントを含むActive Directoryフォレストとは異なるActive Directoryフォレストに存在する展開。 この種類の展開では、Controllerおよび仮想デスクトップのコンピューターアカウントを含むドメインは、ユーザーアカウントを含むドメインを信頼する必要があります。フォレスト信頼または外部信頼を使用できます。この種類の展開では、すべてのドメイン機能レベルとフォレスト機能レベルがサポートされます。
- Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントを含む1つ以上の追加のActive Directoryフォレストとは異なるActive Directoryフォレストに存在する展開。 この種類の展開では、Controllerのコンピューターアカウントを含むドメインと、仮想デスクトップのコンピューターアカウントを含むすべてのドメインとの間に双方向の信頼が存在する必要があります。この種類の展開では、Controllerまたは仮想デスクトップのコンピューターアカウントを含むすべてのドメインが「Windows 2000ネイティブ」機能レベル以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
- 書き込み可能なドメインコントローラー。 読み取り専用ドメインコントローラーはサポートされていません。
オプションで、Virtual Delivery Agent(VDA)は、Active Directoryで公開されている情報を使用して、登録できるControllerを決定できます(検出)。この方法は主に下位互換性のためにサポートされており、VDAがControllerと同じActive Directoryフォレストにある場合にのみ利用できます。この検出方法の詳細については、Active Directory OU ベースの検出およびCTX118976を参照してください。
注:
サイトの構成後、Delivery Controller™ のコンピューター名またはドメインメンバーシップを変更しないでください。
複数のActive Directoryフォレスト環境での展開
複数のフォレストを持つActive Directory環境で、一方向または双方向の信頼が確立されている場合、名前解決と登録のためにDNSフォワーダーまたは条件付きフォワーダーを使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、制御の委任ウィザードを使用します。このウィザードの詳細については、Microsoftのドキュメントを参照してください。
フォレスト間に適切なDNSフォワーダーが配置されている場合、DNSインフラストラクチャに逆引きDNSゾーンは必要ありません。
VDAとControllerが別々のフォレストにある場合、Active Directory名とNetBIOS名が異なるかどうかにかかわらず、SupportMultipleForestキーが必要です。VDAとDelivery Controllerにレジストリキーを追加するには、次の情報を使用してください。
注意:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターは自己責任で使用してください。編集する前にレジストリをバックアップしてください。
VDAで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest。
- 名前:
SupportMultipleForest - 種類:
REG_DWORD - データ:
0x00000001 (1)
すべてのDelivery Controllerで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest。
- 名前:
SupportMultipleForest - 種類:
REG_DWORD - データ:
0x00000001 (1)
Active DirectoryのDNS名前空間と異なる場合、逆引きDNS構成が必要になることがあります。
Kerberosよりも安全性の低いNTLM認証がVDAで意図せず有効になるのを避けるため、レジストリエントリが追加されました。このエントリは、後方互換性のために引き続き使用できるSupportMultipleForestエントリの代わりに使用できます。
VDAで、以下を構成します: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent。
- 名前:
SupportMultipleForestDdcLookup - 種類:
REG_DWORD - データ:
0x00000001 (1)
このレジストリキーは、双方向信頼の複数フォレスト環境でDDCルックアップを実行し、初期登録プロセス中にNTLMベースの認証を削除できるようにします。
セットアップ中に外部信頼が設定されている場合、ListOfSIDsレジストリキーが必要です。Active Directory FQDNがDNS FQDNと異なる場合、またはドメインコントローラーを含むドメインのNetBIOS名がActive Directory FQDNと異なる場合も、ListOfSIDsレジストリキーが必要です。レジストリキーを追加するには、次の情報を使用します。
VDAの場合、レジストリキーHKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDsを見つけます。
- 名前:
ListOfSIDs - 種類:
REG_SZ - データ: コントローラーのセキュリティ識別子 (SID)。(SIDは
Get-BrokerControllerコマンドレットの結果に含まれています。)
外部信頼が設定されている場合は、VDAで次の変更を行います。
- ファイル
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.configを見つけます。 - ファイルのバックアップコピーを作成します。
- メモ帳などのテキスト編集プログラムでファイルを開きます。
- テキスト
allowNtlm="false"を見つけて、テキストをallowNtlm="true"に変更します。 - ファイルを保存します。
ListOfSIDsレジストリキーを追加し、brokeragent.exe.configファイルを編集した後、Citrix Desktop Serviceを再起動して変更を適用します。
次の表に、サポートされている信頼の種類を示します。
| 信頼の種類 | 推移性 | 方向性 | このリリースでサポートされています |
|---|---|---|---|
| 親子関係 | 推移的 | 双方向 | はい |
| ツリー ルート | 推移的 | 双方向 | はい |
| 外部 | 非推移的 | 一方向または双方向 | はい |
| フォレスト | 推移的 | 一方向または双方向 | はい |
| ショートカット | 推移的 | 一方向または双方向 | はい |
| レルム | 推移的または非推移的 | 一方向または双方向 | いいえ |
複雑なActive Directory環境の詳細については、CTX134971を参照してください。