XenApp and XenDesktop

Active Directory

認証および承認にはActive Directoryが使用されます。Active DirectoryのKerberosインフラストラクチャにより、Delivery Controllerとの通信の機密性および整合性が保護されます。Kerberosについて詳しくは、Microsoft社のドキュメントを参照してください。

システム要件」で、フォレストとドメインでサポートされる機能レベルについて確認してください。ポリシーモデル作成機能を使用するには、ドメインコントローラーがWindows Server 2003~Windows Server 2012 R2上で動作している必要があります(ドメインの機能レベルには影響しません)。

以下の環境がサポートされています。

  • ユーザーアカウントおよびコンピューターアカウントが単一Active Directoryフォレスト内のドメインに属している。同一フォレスト内であれば、ユーザーアカウントとコンピューターアカウントが異なるドメインに属していても構いません。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • ユーザーアカウントが、Controllerおよび仮想デスクトップのコンピューターアカウントと異なるActive Directoryフォレストに属している。このような環境では、Controllerおよび仮想デスクトップのコンピューターアカウントのドメインが、ユーザーアカウントのドメインを信頼している必要があります。フォレストの信頼または外部の信頼を使用できます。このような環境では、すべてのドメイン機能レベルおよびフォレスト機能レベルがサポートされます。
  • Controllerのコンピューターアカウントが、仮想デスクトップのコンピューターアカウントが属している追加のActive Directoryフォレストと異なるフォレストに属している。このような環境では、Controllerのコンピューターアカウントのドメインと、仮想デスクトップのコンピューターアカウントのすべてのドメインとの間に相互信頼関係が必要です。このような環境では、Controllerまたは仮想デスクトップのコンピューターアカウントが属しているすべてのドメインが[Windows 2000ネイティブ]機能レベルまたはそれ以上である必要があります。すべてのフォレスト機能レベルがサポートされます。
  • 書き込み可能なドメインコントローラー。読み取り専用のドメインコントローラーはサポートされません。

必要に応じて、Virtual Delivery Agent(VDA)で登録可能なControllerを検出するときに、Active Directoryの情報を使用することもできます。この機能は主に後方互換性を保持するためのもので、VDAとControllerが同じActive Directoryフォレストに属している場合のみ使用できます。この検出方法について詳しくは、「Active Directory OUベースの検出」およびCTX118976を参照してください。

ヒント

サイトの構成後、コンピューター名やControllerのドメインメンバーシップを変更しないでください。

複数のActive Directoryフォレスト環境での展開

このトピックの内容は、XenDesktop 7.1以降およびXenApp 7.5以降に適用されます。これらの製品の以前のバージョンのXenDesktopまたはXenAppには適用されません。

複数のフォレストがあるActive Directory環境では、一方向または双方向の信頼関係が構成済みの場合にDNSフォワーダーによる名前参照や登録を使用できます。適切なActive Directoryユーザーがコンピューターアカウントを作成できるようにするには、オブジェクト制御の委任ウィザードを使用します。このウィザードについて詳しくは、Microsoft社のドキュメントを参照してください。

適切なDNSフォワーダーがフォレスト間に存在する場合、DNSインフラストラクチャにDNS逆引きゾーンは必要ありません。

VDAとControllerが別のフォレストにある場合、Active DirectoryとNetBIOSの名前が異なっているかどうかに関係なく、レジストリキーSupportMultipleForestが必要です。SupportMultipleForestキーは、VDA上でのみ必要です。以下のレジストリキーを追加してください。

注意:レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

  • HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
    • 値の名前:SupportMultipleForest
    • 種類:REG_DWORD
    • 値のデータ:0x00000001(1)

DNS名前空間がActive Directoryのそれと異なる場合、DNS逆引き構成が必要になることがあります。

セットアップ時に外部信頼が構成済みの場合は、レジストリキーListOfSIDsが必要になります。また、Active DirectoryのFQDNがDNS FQDNと異なる場合、またはドメインコントローラーのドメインがActive Directory FQDNとは異なるNetBIOS名を持っている場合も、レジストリキーListOfSIDsが必要です。以下のレジストリキーを追加します。

  • 32ビットまたは64ビットのVDA:HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
    • 値の名前:ListOfSIDs
    • 種類:REG_SZ
    • 値のデータ:Controllerのセキュリティ識別子(SID)

適切な外部信頼が構成済みの場合、VDA上で以下の変更を行います。

  1. <ProgramFiles>\Citrix\Virtual Desktop Agent\brokeragentconfig.exe.configファイルを検索します。
  2. ファイルのバックアップコピーを作成します。
  3. メモ帳などのテキストエディターを使ってファイルを開きます。
  4. 「allowNtlm=”false”」を「allowNtlm=”true”」に変更します。
  5. ファイルを保存します。

ListOfSIDsレジストリキーを追加してbrokeragent.exe.configファイルを編集したら、Citrix Desktop Serviceを再起動して変更を適用します。

次の表は、サポートされる信頼の種類を示しています。

信頼の種類 推移性 Direction このリリースでのサポート
親および子 推移的 双方向 はい
ツリールート 推移的 双方向 はい
外部 非推移的 一方向または双方向 はい
フォレスト 推移的 一方向または双方向 はい
ショートカット 推移的 一方向または双方向 はい
領域 推移的または非推移的 一方向または双方向 いいえ

複雑なActive Directory環境での展開について詳しくは、CTX134971を参照してください。

Active Directory