فهم الخدمات الطرفية ودمج Citrix و Umbrella مع Active Directory

المقدمة

يصف هذا المستند تكامل الخدمات الطرفية و Citrix و Umbrella مع Active Directory.

نظرة عامة

ينطبق على: خدمات Windows Terminal وخدمات سطح المكتب البعيد وWindows 10 Enterprise متعدد الجلسات وCitrix XenApp و XenDesktop

توفر الخدمات الطرفية وخوادم Citrix القدرة على إستضافة جلسات عمل متعددة ومتزامنة للعملاء على خادم واحد.  هناك تكوينان متميزان:

• خدمة سطح المكتب البعيد (RDS).  يقوم عدة مستخدمين بتشغيل جلسة عمل على جهاز ظاهري واحد على نفس الخادم.  تشترك كل هذه الجلسات في نفس نظام التشغيل وعنوان IP.  ويشار إلى هذا عادة باسم "الخدمات الطرفية".
• البنية الأساسية لأجهزة الكمبيوتر المكتبية الافتراضية (VDI).  يقوم الخادم بتشغيل مجموعة من الأجهزة الافتراضية ويقوم كل مستخدم بالاتصال بجهاز افتراضي (VM) فريد، وذلك باستخدام نظام التشغيل وعنوان بروتوكول الإنترنت (IP) الخاصين به

نهج ويب: قابل للتطبيق على RDS و VDI

بوابة الويب الآمنة المزودة بمصادقة تستند إلى ملفات تعريف الارتباط (SAML) عبر ملف PAC ونفق CDFW وسلسلة الوكيل تدعم عدة مستخدمين إلى عنوان IP واحد. وهذا يعني أن أجهزة الكمبيوتر المكتبية الافتراضية (Citrix/TS) مدعومة لكل مستخدم في تطبيق سياسة الويب.

نهج DNS: RDS مع تكامل AD

نحن لا ندعم RDS / مضيف جلسة عمل سطح المكتب البعيد / الخوادم الطرفية للتعرف على كل مستخدم. ويتضمن ذلك نظام تشغيل Windows 10 Enterprise متعدد الجلسات فقط من Azure. 

تشترك جلسات العميل المستضافة على هذه الخوادم في عنوان IP واحد: يعتمد تكامل Umbrella Active Directory (AD) مع الأجهزة الظاهرية (VAs) على تعيينات عناوين فريدة من المستخدم إلى IP للعمل بشكل صحيح.  وباختصار هذا يعني أن تعريف كل مستخدم غير ممكن في أي حالة يشارك فيها المستخدمون في عنوان IP للمصدر نفسه.

عندما يقوم العديد من المستخدمين الذين تم تسجيل دخولهم بالمشاركة في نفس IP، يؤثر ذلك سلبا على تطبيق النهج وإعداد التقارير. يتلقى جميع المستخدمين نفس النهج ويمكن للمستخدم المحدد التغيير باستمرار بناء على آخر مستخدم تم تسجيل دخوله.

سياسة DNS: الحل - RDS مع تكامل AD

أفضل طريقة لمعالجة هذه المشكلة هي تكوين سياسة فريدة لعنوان IP الخاص بالخادم الطرفي أو خادم Citrix.  وهذا يعني أن جميع مستخدمي الخادم الطرفي يتلقون نفس النهج المتسق.  

1. قم بإنشاء شبكة داخلية في 'عمليات النشر > الشبكات الداخلية'.  يغطي هذا عنوان /32 IP الخاص بالخادم الطرفي.  قم بتعيين الشبكة إلى موقع Umbrella نفسه كجهاز (أجهزة) ظاهري قابل للتطبيق.
2. انتقل إلى "معالج النهج" وقم بإنشاء نهج جديد.
3. في قسم تحديد الهويات، حدد انقر فوق 'مواقع' ثم افتح موقع Umbrella المناسب.
4. حدد هوية الشبكة الداخلية التي أنشأتها سابقا
5. قم بتكوين النهج كما تفعل عادة
6. بعد إنشاء النهج للخادم الطرفي، تأكد من ترتيب هذا النهج في أعلى قائمة السياسات حتى يكون له الأولوية على أي نهج تستند إلى المستخدم.

بدلا من ذلك، من الممكن إنشاء سياسة للخادم الطرفي استنادا إلى هوية كمبيوتر AD.  وتعمل هذه الطريقة بنفس الطريقة؛ يتم تعريف جميع مستخدمي الخادم كاسم كمبيوتر الخادم الطرفي.  ومع ذلك، لكي يعمل هذا بشكل متناسق، يجب تكوين VA بطريقة تعمل على تحسين تعيينات بروتوكول المضيف إلى IP.  الرجاء مراجعة إرشادات مهلة GUID لمضيف AD للحصول على مزيد من التفاصيل، أو الاتصال بدعم Umbrella للحصول على مساعدة.

سياسة DNS: إستخدام VDI مع تكامل AD

لا يزال بإمكان عمليات النشر من نوع VDI - حيث يوجد جهاز افتراضي فريد يعمل لكل مستخدم - تلقي هويات كل مستخدم.  والمتطلبات هي كما يلي:

• الجهاز الظاهري - يجب أن يكون لكل مستخدم IP مصدر فريد يمكن رؤيته للجهاز الظاهري.  يجب ألا يكون IP المصدر خاضعا ل "NATing المصدر" قبل أن يصل إلى الجهاز.
• العميل المتجول - يمكن تحقيق التكامل في العميل المتجول عند تثبيت العميل المتجول على كل جهاز ظاهري.  ويكون النشر على هذا النحو أكثر قابلية للتنفيذ عندما يكون لكل مستخدم نظام مستمر (على سبيل المثال. الجهاز الظاهري (الشخصي).