アクティブディレクトリ参加済み

認証と承認にはActive Directoryが必要です。Delivery Controllerとの通信の信頼性と機密性を保証するために、Active DirectoryのKerberosインフラストラクチャが使用されます。Kerberosの詳細については、Microsoftのドキュメントを参照してください。

システム要件の記事には、フォレストとドメインでサポートされている機能レベルが記載されています。ポリシーモデリングを使用するには、ドメインコントローラーがサポートされているすべてのサーバーOSで実行されている必要があります。これはドメインの機能レベルには影響しません。

この製品は以下をサポートします。

• ユーザーアカウントとコンピューターアカウントが単一のActive Directoryフォレスト内のドメインに存在する展開。 ユーザーアカウントとコンピューターアカウントは、単一フォレスト内の任意のドメインに存在できます。この種類の展開では、すべてのドメイン機能レベルとフォレスト機能レベルがサポートされます。
• ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントを含むActive Directoryフォレストとは異なるActive Directoryフォレストに存在する展開。 この種類の展開では、Controllerおよび仮想デスクトップのコンピューターアカウントを含むドメインは、ユーザーアカウントを含むドメインを信頼する必要があります。フォレスト信頼または外部信頼を使用できます。この種類の展開では、すべてのドメイン機能レベルとフォレスト機能レベルがサポートされます。
• Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントを含む1つ以上の追加のActive Directoryフォレストとは異なるActive Directoryフォレストに存在する展開。 この種類の展開では、Controllerコンピューターアカウントを含むドメインと、仮想デスクトップコンピューターアカウントを含むすべてのドメインとの間に双方向の信頼が存在する必要があります。この種類の展開では、Controllerまたは仮想デスクトップコンピューターアカウントを含むすべてのドメインが「Windows 2000ネイティブ」機能レベル以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
• 書き込み可能なドメインコントローラー。 読み取り専用ドメインコントローラーはサポートされていません。

オプションで、Virtual Delivery Agent（VDA）は、Active Directoryで公開されている情報を使用して、どのControllerに登録できるか（検出）を判断できます。この方法は主に下位互換性のためにサポートされており、VDAがControllerと同じActive Directoryフォレストにある場合にのみ利用できます。この検出方法の詳細については、Active Directory OUベースの検出およびCTX118976を参照してください。

注：

サイトが構成された後で、Delivery Controller™のコンピューター名またはドメインメンバーシップを変更しないでください。

複数のActive Directoryフォレスト環境での展開

複数のフォレストを持つActive Directory環境で、一方向または双方向の信頼が確立されている場合、名前解決と登録にDNSフォワーダーまたは条件付きフォワーダーを使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、制御の委任ウィザードを使用します。このウィザードの詳細については、Microsoftのドキュメントを参照してください。

フォレスト間に適切なDNSフォワーダーが設定されていれば、DNSインフラストラクチャに逆引きDNSゾーンは必要ありません。

VDAとControllerが別々のフォレストにある場合、Active Directory名とNetBIOS名が異なるかどうかにかかわらず、SupportMultipleForestキーが必要です。VDAおよびDelivery Controllerにレジストリキーを追加するには、以下の情報を使用してください。

注意:

レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になる深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤用によって生じる問題が解決されることを保証できません。レジストリエディターはご自身の責任において使用してください。編集する前にレジストリをバックアップしてください。

VDAで、以下を構成します。 HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest

• 名前: SupportMultipleForest
• 種類: REG_DWORD
• データ: 0x00000001 (1)

すべてのDelivery Controllerで、以下を構成します。 HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest

• 名前: SupportMultipleForest
• 種類: REG_DWORD
• データ: 0x00000001 (1)

DNS名前空間がActive Directoryのものと異なる場合、逆引きDNS構成が必要になることがあります。

Kerberosよりも安全性の低いNTLM認証がVDAで意図せず有効になるのを避けるため、レジストリエントリが追加されました。このエントリは、下位互換性のために引き続き使用できる SupportMultipleForest エントリの代わりに使用できます。

VDAで、以下を構成します。HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent

• 名前: SupportMultipleForestDdcLookup
• 種類: REG_DWORD
• データ: 0x00000001 (1)

このレジストリキーは、双方向信頼の複数フォレスト環境でDDCルックアップを実行し、初期登録プロセス中にNTLMベースの認証を削除できるようにします。

セットアップ中に外部信頼が設定されている場合、ListOfSIDs レジストリキーが必要です。Active Directory FQDNがDNS FQDNと異なる場合、またはドメインコントローラーを含むドメインのNetBIOS名がActive Directory FQDNと異なる場合も、ListOfSIDs レジストリキーが必要です。レジストリキーを追加するには、次の情報を使用します。

VDAの場合、レジストリキー HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs を見つけます。

• 名前: ListOfSIDs
• 種類: REG_SZ
• データ: コントローラーのセキュリティ識別子 (SID)。(SIDは Get-BrokerController コマンドレットの結果に含まれています。)

外部信頼が設定されている場合、VDAで次の変更を行います。

1. ファイル Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config を見つけます。
2. ファイルのバックアップコピーを作成します。
3. メモ帳などのテキスト編集プログラムでファイルを開きます。
4. テキスト allowNtlm="false" を見つけ、テキストを allowNtlm="true" に変更します。
5. ファイルを保存します。

ListOfSIDs レジストリキーを追加し、brokeragent.exe.config ファイルを編集した後、Citrix Desktop Serviceを再起動して変更を適用します。

次の表に、サポートされている信頼の種類を示します。

複雑なActive Directory環境の詳細については、CTX134971を参照してください。

次のステップ

オンプレミスActive Directory (AD) に参加しているマシンIDのIDプールを作成する方法については、「オンプレミスActive Directoryに参加しているマシンIDのIDプール」(/ja-jp/citrix-virtual-apps-desktops/2411/install-configure/identity-pools-different-machine-identity-join-types/identity-pool-on-premises-active-directory-joined.html)を参照してください。