Active Directory
O Active Directory é necessário para autenticação e autorização. A infraestrutura Kerberos no Active Directory é usada para garantir a autenticidade e a confidencialidade das comunicações com os Delivery Controllers. Para obter informações sobre o Kerberos, consulte a documentação da Microsoft.
O artigo Requisitos do sistema lista os níveis funcionais suportados para a floresta e o domínio. Para usar a Modelagem de Políticas, o controlador de domínio deve estar em execução no Windows Server 2003 até o Windows Server 2012 R2. Isso não afeta o nível funcional do domínio.
Este produto suporta:
- Implantações nas quais as contas de usuário e as contas de computador existem em domínios em uma única floresta do Active Directory. Contas de usuário e computador podem existir em domínios arbitrários dentro de uma única floresta. Todos os níveis funcionais do domínio e níveis funcionais da floresta são suportados neste tipo de implantação.
- Implantações nas quais existem contas de usuário em uma floresta do Active Directory diferente da floresta do Active Directory que contém as contas de computador de Controllers e áreas de trabalho virtuais. Neste tipo de implantação, os domínios que contêm as contas de computador do Controller e da área de trabalho virtual devem confiar nos domínios que contêm contas de usuário. Relações de confiança de floresta ou externas podem ser usadas. Todos os níveis funcionais do domínio e níveis funcionais da floresta são suportados neste tipo de implantação.
- Implantações nas quais existam contas de computador para Controllers em uma floresta do Active Directory diferente de uma ou mais florestas adicionais do Active Directory que contêm as contas de computador das áreas de trabalho virtuais. Neste tipo de implantação deve existir uma confiança bidirecional entre os domínios que contêm as contas de computador do Controller e todos os domínios que contêm as contas de computador de área de trabalho virtual. Neste tipo de implantação, todos os domínios que contêm contas de computador do Controller ou de áreas de trabalho virtuais devem estar no nível funcional “Windows 2000 nativo” ou superior. Todos os níveis funcionais da floresta são suportados.
- Controladores de domínio graváveis. Os controladores de domínio somente leitura não são suportados.
Opcionalmente, os Virtual Delivery Agents (VDAs) podem usar informações publicadas no Active Directory para determinar em quais Controllers eles podem se registrar (descoberta). Esse método é suportado principalmente para compatibilidade com versões anteriores e está disponível somente se os VDAs estiverem na mesma floresta do Active Directory que os Controllers. Para obter informações sobre esse método de descoberta, consulte Detecção baseada em unidade organizacional do Active Directory e CTX118976.
Nota:
Não altere o nome do computador ou a associação de domínio de um Delivery Controller após a configuração do site.
Implantar em um ambiente multifloresta do Active Directory
Estas informações se aplicam às versões mínimas XenDesktop 7.1 e XenApp 7.5. Elas não se aplicam a versões anteriores do XenDesktop ou XenApp.
Em um ambiente do Active Directory com várias florestas, se houver relações de confiança unidirecionais ou bidirecionais, você pode usar encaminhadores de DNS ou encaminhadores condicionais para pesquisa de nomes e registro. Para permitir que os usuários apropriados do Active Directory criem contas de computador, use o Assistente para Delegação de Controle. Consulte a documentação da Microsoft para obter detalhes sobre esse assistente.
Nenhuma zona DNS inversa é necessária na infraestrutura DNS se os encaminhadores DNS apropriados estiverem incluídos entre as florestas.
A chave SupportMultipleForest
é necessária se o VDA e o Controller estiverem em florestas separadas, independentemente de os nomes do Active Directory e NetBIOS serem diferentes. Use as seguintes informações para adicionar a chave do registro ao VDA e aos Delivery Controllers:
Cuidado:
Editar o registro incorretamente pode causar sérios problemas que podem exigir que você reinstale seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Faça backup do registro antes de editá-lo.
No VDA, configure: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest
.
- Nome:
SupportMultipleForest
- Tipo:
REG_DWORD
- Dados:
0x00000001 (1)
Em todos os Delivery Controllers, configure: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest
.
- Nome:
SupportMultipleForest
- Tipo:
REG_DWORD
- Dados:
0x00000001 (1)
Você pode precisar da configuração de DNS reverso se o seu espaço de nome de DNS for diferente daquele do Active Directory.
Uma entrada de registro foi adicionada para evitar a ativação indesejada da autenticação NTLM em VDAs, o que é menos seguro que o Kerberos. Essa entrada pode ser usada em vez da entrada SupportMultipleForest
, que ainda pode ser usada para compatibilidade com versões anteriores.
No VDA, configure: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent
.
- Nome:
SupportMultipleForestDdcLookup
- Tipo:
REG_DWORD
- Dados:
0x00000001 (1)
Esta chave de registro executa uma pesquisa DDC em um ambiente multifloresta de confiança bidirecional que permite que você remova a autenticação baseada em NTLM durante o processo de registro inicial.
Se as relações de confiança externas estiverem em vigor durante a configuração, a chave de registro ListOfSIDs
é necessária. A chave de registro ListOfSIDs
também é necessária se o FQDN do Active Directory for diferente do FQDN do DNS ou se o domínio que contém o controlador de domínio tiver um nome NetBIOS diferente do FQDN do Active Directory. Para adicionar a chave de registro, use as seguintes informações:
Para o VDA, localize a chave de registro HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs
.
- Nome:
ListOfSIDs
- Tipo:
REG_SZ
- Dados: Identificador de Segurança (SID) dos Controllers. (SIDs são incluídos nos resultados do cmdlet
Get-BrokerController
.)
Quando houver relações de confiança externas em vigor, faça a seguinte alteração no VDA:
- Localize o arquivo
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config
. - Faça uma cópia de backup do arquivo.
- Abra o arquivo em um programa de edição de texto, como o Bloco de Notas.
- Localize o texto
allowNtlm="false"
e altere o texto paraallowNtlm="true"
. - Salve o arquivo.
Depois de adicionar a chave do registro ListOfSIDs
e editar o arquivo brokeragent.exe.config
, reinicie o Citrix Desktop Service para aplicar as alterações.
A tabela a seguir lista os tipos de confiança suportados:
Tipo de confiança | Transitividade | Direção | Suportado nesta versão |
---|---|---|---|
Pai e filho | Transitivo | Bidirecional | Sim |
Raiz da árvore | Transitivo | Bidirecional | Sim |
Externo | Não transitivo | Unidirecional ou bidirecional | Sim |
Floresta | Transitivo | Unidirecional ou bidirecional | Sim |
Atalho | Transitivo | Unidirecional ou bidirecional | Sim |
Realm | Transitivo ou não transitivo | Unidirecional ou bidirecional | Não |
Para obter mais informações sobre ambientes complexos do Active Directory, consulte CTX134971.