Documentação de produtos

Associado ao Active Directory

May 31, 2026
Contribuição de: 
C

O Active Directory é necessário para autenticação e autorização. A infraestrutura Kerberos no Active Directory é usada para garantir a autenticidade e a confidencialidade das comunicações com os Delivery Controllers. Para obter informações sobre Kerberos, consulte a documentação da Microsoft.

O artigo Requisitos do sistema lista os níveis funcionais suportados para a floresta e o domínio. Para usar o Policy Modeling, o controlador de domínio deve estar executando o Windows Server 2003 até o Windows Server 2012 R2. Isso não afeta o nível funcional do domínio.

Este produto oferece suporte a:

  • Implantações nas quais as contas de usuário e as contas de computador existem em domínios em uma única floresta do Active Directory. As contas de usuário e de computador podem existir em domínios arbitrários dentro de uma única floresta. Todos os níveis funcionais de domínio e níveis funcionais de floresta são suportados neste tipo de implantação.
  • Implantações nas quais as contas de usuário existem em uma floresta do Active Directory diferente da floresta do Active Directory que contém as contas de computador dos Controllers e dos desktops virtuais. Neste tipo de implantação, os domínios que contêm as contas de computador do Controller e do desktop virtual devem confiar nos domínios que contêm as contas de usuário. Podem ser usadas relações de confiança de floresta ou relações de confiança externas. Todos os níveis funcionais de domínio e níveis funcionais de floresta são suportados neste tipo de implantação.
  • Implantações nas quais as contas de computador para Controllers existem em uma floresta do Active Directory diferente de uma ou mais florestas adicionais do Active Directory que contêm as contas de computador dos desktops virtuais. Neste tipo de implantação, uma relação de confiança bidirecional deve existir entre os domínios que contêm as contas de computador do Controller e todos os domínios que contêm as contas de computador do desktop virtual. Neste tipo de implantação, todos os domínios que contêm contas de computador do Controller ou do desktop virtual devem estar no nível funcional “Windows 2000 nativo” ou superior. Todos os níveis funcionais de floresta são suportados.
  • Controladores de domínio graváveis. Controladores de domínio somente leitura não são suportados.

Opcionalmente, os Virtual Delivery Agents (VDAs) podem usar informações publicadas no Active Directory para determinar com quais Controllers eles podem se registrar (descoberta). Este método é suportado principalmente para compatibilidade com versões anteriores e está disponível apenas se os VDAs estiverem na mesma floresta do Active Directory que os Controllers. Para obter informações sobre este método de descoberta, consulte Descoberta baseada em OU do Active Directory e CTX118976.

Nota:

Não altere o nome do computador ou a associação ao domínio de um Delivery Controller™ depois que o site for configurado.

Implantar em um ambiente de várias florestas do Active Directory

Esta informação se aplica às versões mínimas XenDesktop 7.1 e XenApp 7.5. Não se aplica a versões anteriores do XenDesktop ou XenApp.

Em um ambiente do Active Directory com várias florestas, se houver relações de confiança unidirecionais ou bidirecionais, você poderá usar encaminhadores DNS ou encaminhadores condicionais para pesquisa e registro de nomes. Para permitir que os usuários apropriados do Active Directory criem contas de computador, use o assistente de Delegação de Controle. Consulte a documentação da Microsoft para obter detalhes sobre este assistente.

Nenhuma zona DNS reversa é necessária na infraestrutura DNS se houver encaminhadores DNS apropriados entre as florestas.

A chave SupportMultipleForest é necessária se o VDA e o Controller estiverem em florestas separadas, independentemente de os nomes do Active Directory e do NetBIOS serem diferentes. Use as informações a seguir para adicionar a chave de registro ao VDA e aos Delivery Controllers:

Cuidado:

A edição incorreta do registro pode causar sérios problemas que podem exigir a reinstalação do seu sistema operacional. A Citrix® não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Faça backup do registro antes de editá-lo.

No VDA, configure: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Em todos os Delivery Controllers, configure: HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest.

  • Nome: SupportMultipleForest
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Você pode precisar de configuração de DNS reverso se o seu namespace DNS for diferente do do Active Directory.

Uma entrada de registro foi adicionada para evitar a habilitação indesejada da autenticação NTLM em VDAs, que é menos segura que o Kerberos. Esta entrada pode ser usada em vez da entrada SupportMultipleForest, que ainda pode ser usada para compatibilidade com versões anteriores.

No VDA, configure: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent.

  • Nome: SupportMultipleForestDdcLookup
  • Tipo: REG_DWORD
  • Dados: 0x00000001 (1)

Esta chave de registro executa uma pesquisa DDC em um ambiente de múltiplas florestas com confiança bidirecional que permite remover a autenticação baseada em NTLM durante o processo de registro inicial.

Se houver confianças externas durante a configuração, a chave de registro ListOfSIDs é necessária. A chave de registro ListOfSIDs também é necessária se o FQDN do Active Directory for diferente do FQDN do DNS, ou se o domínio que contém o Controlador de Domínio tiver um nome NetBIOS diferente do FQDN do Active Directory. Para adicionar a chave de registro, use as seguintes informações:

Para o VDA, localize a chave de registro HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs.

  • Nome: ListOfSIDs
  • Tipo: REG_SZ
  • Dados: Identificador de Segurança (SID) dos Controladores. (Os SIDs estão incluídos nos resultados do cmdlet Get-BrokerController.)

Quando houver confianças externas, faça a seguinte alteração no VDA:

  1. Localize o arquivo Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config.
  2. Faça uma cópia de backup do arquivo.
  3. Abra o arquivo em um programa de edição de texto como o Bloco de Notas.
  4. Localize o texto allowNtlm="false" e altere o texto para allowNtlm="true".
  5. Salve o arquivo.

Após adicionar a chave de registro ListOfSIDs e editar o arquivo brokeragent.exe.config, reinicie o Serviço de Área de Trabalho Citrix para aplicar as alterações.

A tabela a seguir lista os tipos de confiança suportados:

Tipo de confiança Transitividade Direção Suportado nesta versão
Pai e filho Transitivo Bidirecional Sim
Raiz da árvore Transitivo Bidirecional Sim
Externo Não transitivo Unidirecional ou bidirecional Sim
Floresta Transitivo Unidirecional ou bidirecional Sim
Atalho Transitivo Unidirecional ou bidirecional Sim
Reino Transitivo ou não transitivo Unidirecional ou bidirecional Não

Para obter mais informações sobre ambientes complexos do Active Directory, consulte CTX134971.

Associado ao Active Directory
May 31, 2026
Contribuição de: 
C
May 31, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.