Introduzione
Questo documento descrive l'integrazione di Servizi terminal, Citrix e Umbrella con Active Directory.
Panoramica
Si applica a: Servizi terminal e Servizi Desktop remoto di Windows, Windows 10 Enterprise multisessione, Citrix XenApp e XenDesktop
Servizi terminal e server Citrix consentono di ospitare più sessioni client simultanee su un unico server. Esistono due configurazioni distinte:
- Servizio Desktop remoto (RDS). Più utenti eseguono una sessione su una singola macchina virtuale sullo stesso server. Tutte le sessioni condividono lo stesso sistema operativo e lo stesso indirizzo IP. Questo tipo di configurazione viene comunemente denominato Servizi terminal.
- VDI (Virtual Desktop Infrastructure). Il server esegue un pool di macchine virtuali e ogni utente si connette a una VM univoca, con il proprio sistema operativo e indirizzo IP
Criterio Web: Applicabile a RDS e VDI
Secure Web Gateway con autenticazione basata su cookie SAML tramite file PAC, tunnel CDFW e catena di proxy supporta più utenti su un unico indirizzo IP. Significa che i desktop virtuali (Citrix/TS) sono supportati dall'applicazione dei criteri Web per utente.
Criteri DNS: RDS con integrazione AD
RDS/Host sessione Desktop remoto/Terminal Server non è supportato per l'identificazione per utente. Questo include il sistema operativo multisessione solo Azure Windows 10 Enterprise.
Le sessioni client ospitate in questi server condividono un unico indirizzo IP: quella appartenente al computer host. Per il corretto funzionamento, l'integrazione di Umbrella Active Directory (AD) con appliance virtuali (VA) si basa su mapping utente-indirizzo IP univoci. In breve, ciò significa che l'identificazione per utente non è possibile in nessuna situazione in cui gli utenti condividano lo stesso indirizzo IP di origine.
Quando più utenti connessi condividono lo stesso IP, ciò influisce negativamente sull'applicazione delle policy e sulla creazione di report. Tutti gli utenti ricevono lo stesso criterio e l'utente identificato può cambiare continuamente in base all'ultimo utente connesso.
Criteri DNS: soluzione - RDS con integrazione AD
Il modo migliore per risolvere questo problema è configurare una policy univoca per l'indirizzo IP del server terminal o del server Citrix. Ciò significa che tutti gli utenti di Terminal Server ricevono lo stesso criterio coerente.
- Creare una rete interna in 'Distribuzioni > Reti interne'. L'indirizzo IP /32 del server terminal. Assegnare la rete allo stesso sito Umbrella delle appliance virtuali applicabili.
- Passare alla Creazione guidata criteri e creare un nuovo criterio.
- Nella sezione Seleziona identità, selezionare "Siti" e aprire il sito Umbrella corrispondente.
- Selezionare l'identità della rete interna creata in precedenza
- Configurare il criterio normalmente
- Dopo aver creato il criterio per il server terminal, assicurarsi di ordinare il criterio all'inizio dell'elenco in modo che abbia la precedenza su qualsiasi criterio basato sull'utente.
In alternativa, è possibile creare un criterio per Terminal Server basato sull'identità del computer AD. Questo metodo funziona nello stesso modo; tutti gli utenti del server vengono identificati come nome del computer Terminal Server. Tuttavia, affinché questa operazione funzioni in modo coerente, la VA deve essere configurata in modo da ottimizzare i mapping da host a IP. Per ulteriori informazioni, vedere le istruzioni di timeout GUID host di Active Directory oppure contattare il supporto Umbrella per assistenza.
Criterio DNS: utilizzo di VDI con l'integrazione AD
Le distribuzioni di tipo VDI, in cui è presente una macchina virtuale univoca in esecuzione per ogni utente, possono ancora ricevere le identità per utente. I requisiti sono i seguenti:
- Appliance virtuale - Ogni utente deve disporre di un indirizzo IP di origine univoco visibile all'appliance virtuale. L'indirizzo IP di origine non deve essere soggetto a "NATing di origine" prima che raggiunga l'accessorio.
- Client di roaming - L'integrazione di Active Directory nel client di roaming è possibile quando il client di roaming è installato in ogni macchina virtuale. Questa modalità di distribuzione è più fattibile quando ogni utente dispone di un personal).