带 Connector Appliance 的 Active Directory
您可以使用 Connector Appliance 将资源位置连接到不包含 Citrix Virtual Apps and Desktops 资源的林。例如,对于某些林仅用于用户身份验证的 Citrix Secure Private Access 客户或 Citrix Virtual Apps and Desktops 客户。
将多域 Active Directory 与 Connector Appliance 配合使用时,以下限制适用:
- 在包含 VDA 的林中,无法使用 Connector Appliance 代替 Cloud Connector。
要求
Active Directory 要求
- 已加入一个 Active Directory 域,该域包含用于为用户创建产品/服务的资源和用户。有关详细信息,请参阅本文中的 Active Directory 中 Connector Appliance 的部署方案 。
- 您计划在 Citrix Cloud 上使用的每个 Active Directory 林必须始终可以通过两台 Connector Appliance 进行访问。
- Connector Appliance 必须能够访问林根域和您打算用于 Citrix Cloud 的域中的域控制器。有关详细信息,请参阅以下 Microsoft 支持文章:
- 如何配置域和信任
- 服务 概述和 Windows 网络端口要求中的“系统服务端口”部分
- 使用通用安全组而不是全局安全组。此配置确保可以从林中的任何域控制器获取用户组成员资格。
网络要求
- 已连接到可以联系您在资源位置使用的资源的网络。
- 已连接到 Internet。有关详细信息,请参阅系统和连接要求。
除了 Connector Appliance 通信中列出的端口外,Connector Appliance 还需要通过以下端口出站连接到 Active Directory 域:
服务 | 端口 | 支持的域协议 |
---|---|---|
Kerberos | 88 | TCP/UDP |
NetBIOS 名称服务 | 137 | UDP |
NetBIOS 数据报 | 138 | UDP |
NetBIOS 会话 | 139 | TCP |
LDAP | 389 | TCP/UDP |
TCP 上的 SMB | 445 | TCP |
Kerberos kpasswd | 464 | TCP/UDP |
全局目录 | 3268 | TCP |
动态 RPC 端口 | 49152–65535 | TCP |
Connector Appliance 使用 LDAP 签名来保护与域控制器的连接。这意味着不需要基于 SSL 的 LDAP (LDAPS)。有关 LDAP 签名的更多信息,请参阅如何在 Windows Server 中启用 LDAP 签名和 Microsoft 启用 LDAP 通道绑定和 LDAP 签名的指南。
支持的 Active Directory 功能级别
Connector Appliance 已经过测试,在 Active Directory 中受以下林和域功能级别的支持。
林功能级别 | 域功能级别 | 支持的域控制器 |
---|---|---|
Windows Server 2016 | Windows Server 2016 | Windows Server 2019 |
尚未使用 Connector Appliance 测试域控制器、林功能级别和域功能级别的其他组合。但是,这些组合应该起作用并且也受支持。
使用 Connector Appliance 将 Active Directory 域连接到 Citrix Cloud
当您连接到 Connector Appliance 管理网页时,Active Directory 域部分会显示两个选项卡。
-
加入域 -用于通过在域中为设备创建计算机帐户将 Connector Appliance 加入到 AD 域。可以通过单击已加入域右侧的省略号菜单来验证 Kerberos。需要在域中存在计算机帐户。
-
服务帐户 -用作 Secure Private Access (SPA) 解决方案的一部分,使用服务帐户而不是加入域时创建的计算机帐户来实现 Kerberos SSO。可以通过单击服务帐户右侧的省略号菜单来验证 Kerberos。拥有与计算机关联的特定域并不是强制性的。但是,即使 Connector Appliance 未连接到域,它仍然可以连接到域控制器。
要将 Active Directory 配置为通过 Connector Appliance 连接到 Citrix Cloud,请完成以下步骤。
-
在您的资源位置安装 Connector Appliance。
您可以按照 Connector Appliance 产品文档中的信息进行操作。
-
使用 Connector Appliance 控制台中提供的 IP 地址连接到浏览器中的 Connector Appliance 管理 Web 页面。
-
在 Active Directory 域名 部分中,导航到 已加入的域名 选项卡。
-
单击 + 添加 Active Directory 域名,将显示一个新的弹出窗口,用于输入域名。
Connector Appliance 会检查域。如果检查成功,则会打开“加入Active Directory”对话框。这个新窗口允许您输入用户名和密码以加入该域。
- 单击添加。
- 提供具有该域加入权限的 Active Directory 用户的用户名和密码。
-
Connector Appliance 会建议计算机名称。您可以选择覆盖建议的名称,并自行提供长度不超过 15 个字符的计算机名称。
此计算机名称是在 Connector Appliance 加入时在 Active Directory 域中创建的。
-
单击“加入”。
该域现在列在 Connector Appliance UI 的 Active Directory 域 部分中。
- 要添加更多 Active Directory 域,请选择 + 添加 Active Directory 域 并重复上述步骤。
-
前往 Citrix Cloud 控制台中的域名页面,然后选择 Connector Appliance 为您的域提供服务。
- 如果您尚未注册 Connector Appliance,请按照向 Citrix Cloud 注册 Connector Appliance 中所述继续执行步骤。
如果您在加入域时收到错误,请验证您的环境是否满足 Active Directory 要求和网络要求。
接下来做什么
-
您可以向此 Connector Appliance 添加更多域。
注意:
Connector Appliance 在多达 10 个林中进行了测试。
-
为了恢复能力,请将每个域添加到每个资源位置中的多个 Connector Appliance 中。
查看您的Active Directory 配置
您可以在资源位置的以下位置查看 Active Directory 域和 Connector Appliance 的配置:
-
在 Citrix Cloud 中:
- 在菜单中,转到 身份和访问管理 页面。
-
转到“域”选项卡。
列出了您的 Active Directory 域名以及它们所属的资源位置。
-
在 Connector Appliance Web 页面中:
- 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,您可以看到此 Connector Appliance 加入的 Active Directory 域的列表。
从 Connector Appliance 中删除 Active Directory 域
要退出 Active Directory 域,请完成以下步骤:
- 使用 Connector Appliance 控制台中提供的 IP 地址连接到 Connector Appliance 网页。
- 使用您首次注册时创建的密码登录。
- 在该页的 Active Directory 域 部分中,在已加入的 Active Directory 域列表中找到要保留的域。
- 记下 Connector Appliance 创建的计算机帐户的名称。
- 单击域旁边的删除图标(垃圾桶)。将显示确认对话框。
- 单击“继续”以确认操作。
- 转到您的Active Directory 控制器。
- 从控制器中删除 Connector Appliance 创建的计算机帐户。
将 Connector Appliance 与Active Directory 配合使用的部署方案
您可以同时使用 Cloud Connector 和 Connector Appliance 连接到 Active Directory 控制器。要使用的连接器类型取决于您的部署。
有关将 Cloud Connector 与 Active Directory 结合使用的详细信息,请参阅 Active Directory 中 Cloud Connector 的部署方案
在以下情况下,使用 Connector Appliance 将您的资源位置连接到 Active Directory 林:
- 您正在设置 Secure Private Access。有关详细信息,请参阅在 Connector Appliance 中配置 Secure Private Access。
- 您有一个或多个仅用于用户身份验证的林
- 您希望减少支持多个林所需的连接器数量
- 您需要 Connector Appliance 用于其他用例
仅限一个或多个林中的用户对所有林使用一套 Connector Appliance
此方案适用于 Workspace Standard 客户或使用适用于 Secure Private Access 的 Connector Appliance 的客户。
在这种情况下,有几个林仅包含用户对象 (forest1.local
、 forest2.local
)。这些森林不包含资源。一组 Connector Appliance 部署在资源位置中,并加入到每个林的域中。
- 信任关系:无
-
身份和访问管理中列出的域:
forest1.local
、forest2.local
- 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户
单独林中的用户和资源(受信任),使用一套适用于所有林的 Connector Appliance
此方案适用于具有多个林的 Citrix Virtual Apps and Desktops 客户。
在这种情况下,有些林 (resourceforest1.local
, resourceforest2.local
) 包含您的资源(例如 VDA),而一些林(userforest1.local
、 userforest2.local
)仅包含您的用户。这些林之间存在信任,允许用户登录到资源。
resourceforest1.local
林中部署了一组 Cloud Connector。在 resourceforest2.local
林中部署了一组单独的 Cloud Connector。
一组 Connector Appliance 部署在 userforest1.local
林中,同一组 Connector Appliance 部署在 userforest2.local
林中。
- 信任关系:双向林信任,或从资源林到用户林的单向信任
-
身份和访问管理中列出的域:
resourceforest1.local
、resourceforest2.local
、userforest1.local
、userforest2.local
- 用户登录到 Citrix Workspace:支持所有用户
- 用户登录到本地 StoreFront:支持所有用户