Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Active Directory

January 23, 2026
Contribuição de: 
C

O Active Directory é necessário para autenticação e autorização. A infraestrutura Kerberos no Active Directory é usada para garantir a autenticidade e a confidencialidade das comunicações com os Delivery Controllers. Para obter informações sobre o Kerberos, consulte a documentação da Microsoft.

O artigo Requisitos do sistema lista os níveis funcionais compatíveis para a floresta e o domínio. Para usar o Modelagem de Política, o controlador de domínio deve estar executando o Windows Server 2003 a Windows Server 2012 R2. Isso não afeta o nível funcional do domínio.

Este produto oferece suporte a:

  • Implantações em que as contas de usuário e as contas de computador existem em domínios em uma única floresta do Active Directory. As contas de usuário e computador podem existir em domínios arbitrários dentro de uma única floresta. Todos os níveis funcionais de domínio e níveis funcionais de floresta são compatíveis neste tipo de implantação.
  • Implantações em que as contas de usuário existem em uma floresta do Active Directory que é diferente da floresta do Active Directory que contém as contas de computador dos Controllers e dos desktops virtuais. Nesse tipo de implantação, os domínios que contêm as contas de computador do Controller e do desktop virtual devem confiar nos domínios que contêm as contas de usuário. Podem ser usadas relações de confiança de floresta ou relações de confiança externas. Todos os níveis funcionais de domínio e níveis funcionais de floresta são compatíveis neste tipo de implantação.
  • Implantações em que as contas de computador para Controllers existem em uma floresta do Active Directory que é diferente de uma ou mais florestas adicionais do Active Directory que contêm as contas de computador dos desktops virtuais. Nesse tipo de implantação, deve existir uma relação de confiança bidirecional entre os domínios que contêm as contas de computador do Controller e todos os domínios que contêm as contas de computador do desktop virtual. Nesse tipo de implantação, todos os domínios que contêm contas de computador do Controller ou do desktop virtual devem estar no nível funcional “Windows 2000 nativo” ou superior. Todos os níveis funcionais de floresta são compatíveis.
  • Controladores de domínio graváveis. Controladores de domínio somente leitura não são compatíveis.

Opcionalmente, os Virtual Delivery Agents (VDAs) podem usar informações publicadas no Active Directory para determinar com quais Controllers eles podem se registrar (descoberta). Esse método é compatível principalmente para compatibilidade com versões anteriores e está disponível somente se os VDAs estiverem na mesma floresta do Active Directory que os Controllers. Para obter informações sobre esse método de descoberta, consulte Descoberta baseada em OU do Active Directory e CTX118976.

Nota:

Não altere o nome do computador ou a associação ao domínio de um Delivery Controller™ depois que o site for configurado.

Implantar em um ambiente de várias florestas do Active Directory

Estas informações se aplicam à versão mínima do XenDesktop 7.1 e XenApp 7.5. Elas não se aplicam a versões anteriores do XenDesktop ou XenApp.

Em um ambiente do Active Directory com várias florestas, se houver relações de confiança unidirecionais ou bidirecionais, você poderá usar encaminhadores DNS ou encaminhadores condicionais para pesquisa e registro de nomes. Para permitir que os usuários apropriados do Active Directory criem contas de computador, use o assistente Delegação de Controle. Consulte a documentação da Microsoft para obter detalhes sobre este assistente.

Nenhuma zona DNS inversa é necessária na infraestrutura DNS se houver encaminhadores DNS apropriados entre as florestas.

A chave SupportMultipleForest é necessária se o VDA e o Controller estiverem em florestas separadas, independentemente de os nomes do Active Directory e do NetBIOS serem diferentes. Use as informações a seguir para adicionar a chave do Registro ao VDA e aos Delivery Controllers:

Cuidado:

A edição incorreta do Registro pode causar sérios problemas que podem exigir a reinstalação do sistema operacional. A Citrix® não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Faça backup do Registro antes de editá-lo.

No VDA, configure: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Em todos os Delivery Controllers, configure: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Você pode precisar de configuração de DNS reverso se o seu namespace DNS for diferente do Active Directory.

Uma entrada de Registro foi adicionada para evitar a habilitação indesejada da autenticação NTLM em VDAs, que é menos segura que o Kerberos. Esta entrada pode ser usada em vez da entrada SupportMultipleForest, que ainda pode ser usada para compatibilidade com versões anteriores.

No VDA, configure: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.

  • Nome: SupportMultipleForestDdcLookup
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Esta chave do Registro executa uma pesquisa DDC em um ambiente de várias florestas com relação de confiança bidirecional que permite remover a autenticação baseada em NTLM durante o processo de registro inicial.

Se houver relações de confiança externas durante a configuração, a chave do Registro ListOfSIDs será necessária. A chave do Registro ListOfSIDs também é necessária se o FQDN do Active Directory for diferente do FQDN do DNS, ou se o domínio que contém o Controlador de Domínio tiver um nome NetBIOS diferente do FQDN do Active Directory. Para adicionar a chave do Registro, use as informações a seguir:

Para o VDA, localize a chave do Registro HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.

  • Nome: ListOfSIDs
  • Tipo: REG_SZ
  • Dados: Identificador de Segurança (SID) dos Controllers. (Os SIDs estão incluídos nos resultados do cmdlet Get-BrokerController.)

Quando houver relações de confiança externas, faça a seguinte alteração no VDA:

  1. Localize o arquivo Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config.
  2. Faça uma cópia de backup do arquivo.
  3. Abra o arquivo em um programa de edição de texto, como o Bloco de Notas.
  4. Localize o texto allowNtlm="false" e altere-o para allowNtlm="true".
  5. Salve o arquivo.

Depois de adicionar a chave do Registro ListOfSIDs e editar o arquivo brokeragent.exe.config, reinicie o Citrix Desktop Service para aplicar as alterações.

A tabela a seguir lista os tipos de relação de confiança compatíveis:

Tipo de relação de confiança Transitividade Direção Compatível nesta versão
Pai e filho Transitiva Bidirecional Sim
Raiz da árvore Transitiva Bidirecional Sim
Externa Não transitiva Unidirecional ou bidirecional Sim
Floresta Transitiva Unidirecional ou bidirecional Sim
Atalho Transitiva Unidirecional ou bidirecional Sim
Realm Transitiva ou não transitiva Unidirecional ou bidirecional Não

Para obter mais informações sobre ambientes complexos do Active Directory, consulte CTX134971.

Active Directory
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.