已加入活动目录
Active Directory 对于执行身份验证和授权操作是必需的。Active Directory 中内置的 Kerberos 基础结构用于确保与 Delivery Controllers 之间通信的真实性和机密性。有关 Kerberos 的信息,请参阅 Microsoft 文档。
系统要求 文章列出了林和域支持的功能级别。要使用策略建模,域控制器必须在所有受支持的服务器操作系统上运行。这不影响域功能级别。
本产品支持:
- 用户帐户和计算机帐户存在于单个 Active Directory 林中的域中的部署。 用户和计算机帐户可以存在于单个林中的任意域中。此类部署支持所有域功能级别和林功能级别。
- 用户帐户存在于与包含控制器和虚拟桌面计算机帐户的 Active Directory 林不同的 Active Directory 林中的部署。 在此类部署中,包含控制器和虚拟桌面计算机帐户的域必须信任包含用户帐户的域。可以使用林信任或外部信任。此类部署支持所有域功能级别和林功能级别。
- 控制器计算机帐户存在于与包含虚拟桌面计算机帐户的一个或多个其他 Active Directory 林不同的 Active Directory 林中的部署。 在此类部署中,包含控制器计算机帐户的域与包含所有虚拟桌面计算机帐户的域之间必须存在双向信任。在此类部署中,所有包含控制器或虚拟桌面计算机帐户的域必须处于“Windows 2000 本机”功能级别或更高版本。支持所有林功能级别。
- 可写入的域控制器。 不支持只读域控制器。
(可选)虚拟投递代理 (VDA) 可以使用 Active Directory 中发布的信息来确定它们可以向哪些控制器注册(发现)。此方法主要用于向后兼容,并且仅当 VDA 与控制器位于同一 Active Directory 林中时才可用。有关此发现方法的信息,请参阅 基于 Active Directory OU 的发现 和 CTX118976。
注意:
站点配置完成后,请勿更改 Delivery Controller™ 的计算机名称或域成员身份。
在多个活动目录林环境中进行部署
在具有多个林的 Active Directory 环境中,如果存在单向或双向信任,则可以使用 DNS 转发器或条件转发器进行名称查找和注册。要允许相应的 Active Directory 用户创建计算机帐户,请使用“委派控制向导”。有关此向导的详细信息,请参阅 Microsoft 文档。
如果林之间存在适当的 DNS 转发器,则 DNS 基础结构中不需要反向 DNS 区域。
如果 VDA 和控制器位于不同的林中,无论 Active Directory 和 NetBIOS 名称是否不同,SupportMultipleForest 密钥都是必需的。使用以下信息将注册表项添加到 VDA 和 Delivery Controllers:
注意:
错误编辑注册表可能会导致严重问题,甚至可能需要重新安装操作系统。Citrix® 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份。
在 VDA 上,配置: HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\SupportMultipleForest。
- 名称:
SupportMultipleForest - 类型:
REG_DWORD - 数据:
0x00000001 (1)
在所有交付控制器上,配置:HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\SupportMultipleForest。
- 名称:
SupportMultipleForest - 类型:
REG_DWORD - 数据:
0x00000001 (1)
如果您的 DNS 命名空间与 Active Directory 的不同,您可能需要反向 DNS 配置。
已添加一个注册表项,以避免在 VDA 中意外启用 NTLM 身份验证,因为 NTLM 身份验证不如 Kerberos 安全。此条目可以替代 SupportMultipleForest 条目使用,后者仍可用于向后兼容。
在 VDA 上,配置: HKEY_LOCAL_MACHINE\Software\Policies\Citrix\VirtualDesktopAgent。
- 名称:
SupportMultipleForestDdcLookup - 类型:
REG_DWORD - 数据:
0x00000001 (1)
此注册表项在双向信任的多林环境中执行 DDC 查找,允许您在初始注册过程中移除基于 NTLM 的身份验证。
如果在设置过程中存在外部信任,则需要 ListOfSIDs 注册表项。如果 Active Directory FQDN 与 DNS FQDN 不同,或者包含域控制器的域的 NetBIOS 名称与 Active Directory FQDN 不同,则 ListOfSIDs 注册表项也是必需的。要添加注册表项,请使用以下信息:
对于 VDA,找到注册表项 HKEY_LOCAL_MACHINE\Software\Citrix\VirtualDesktopAgent\ListOfSIDs。
- 名称:
ListOfSIDs - 类型:
REG_SZ - 数据: 控制器的安全标识符 (SID)。(SID 包含在
Get-BrokerControllercmdlet 的结果中。)
如果存在外部信任,请在 VDA 上进行以下更改:
- 找到文件
Program Files\Citrix\Virtual Desktop Agent\brokeragent.exe.config。 - 创建文件的备份副本。
- 使用文本编辑程序(例如记事本)打开文件。
- 找到文本
allowNtlm="false"并将其更改为allowNtlm="true"。 - 保存文件。
添加 ListOfSIDs 注册表项并编辑 brokeragent.exe.config 文件后,重新启动 Citrix Desktop Service 以应用更改。
下表列出了支持的信任类型:
| 信任类型 | 可传递性 | 方向性 | 此版本中受支持 |
|---|---|---|---|
| 父级和子级 | 可传递 | 双向 | 是 |
| 树根域 | 可传递 | 双向 | 是 |
| 外部 | 不可传递 | 单向或双向 | 是 |
| 林 | 可传递的 | 单向或双向 | 是 |
| 快捷方式 | 可传递的 | 单向或双向 | 是 |
| 领域 | 可传递或不可传递 | 单向或双向 | 否 |
有关复杂的 Active Directory 环境的更多信息,请参阅 CTX134971。