簡介
本文檔介紹終端服務、Citrix和Umbrella與Active Directory的整合。
概觀
適用於:Windows終端服務和遠端案頭服務、Windows 10企業版多會話、Citrix XenApp和XenDesktop
終端服務和Citrix伺服器能夠在一個伺服器上託管多個同時客戶端會話。 有兩種不同的配置:
- 遠端案頭服務(RDS)。 多個使用者在同一伺服器上的單個虛擬機器上運行一個會話。 這些會話共用相同的OS和IP地址。 這通常稱為終端服務。
- 虛擬案頭基礎架構(VDI)。 伺服器運行一個虛擬機器池,每個使用者使用自己的作業系統和IP地址連線到一個唯一的VM
Web策略:適用於RDS和VDI
安全Web網關具有通過PAC檔案進行的基於SAML cookie的身份驗證、CDFW隧道和代理鏈支援多個使用者訪問單個IP地址。這意味著每個使用者Web策略實施支援虛擬案頭(Citrix/TS)。
DNS策略:RDS與AD整合
我們不支援RDS/遠端案頭會話主機/終端伺服器來識別每個使用者。這包括僅Azure Windows 10企業多會話作業系統。
在這些伺服器上託管的客戶端會話共用一個IP地址:屬於主機的。Umbrella Active Directory(AD)與虛擬裝置(VA)的整合依賴唯一的使用者到IP地址對映才能正常工作。 簡而言之,這意味著在使用者共用同一源IP地址的任何情況下,無法進行每使用者識別。
當多個登入使用者共用同一個IP時,這會對策略應用和報告產生不利影響。所有使用者都收到相同的策略,標識的使用者可以基於上次登入的使用者連續更改。
DNS策略:解決方案 — RDS與AD整合
解決此問題的最佳方法是為您的終端伺服器或Citrix伺服器的IP地址配置唯一策略。 這意味著終端伺服器的所有使用者都收到相同的、一致的策略。
- 在「Deployments > Internal Networks」中建立內部網路。 其中包括終端伺服器的/32 IP地址。 將網路分配給適用的虛擬裝置所在的Umbrella站點。
- 導航到Policy Wizard並建立新的Policy。
- 在Select Identities部分,選擇按一下「Sites」(站點),然後開啟相關的Umbrella站點。
- 選擇您先前建立的內部網路標識
- 按照正常方式配置策略
- 為終端伺服器建立策略後,請務必將此策略置於策略清單頂部,以便其優先於任何基於使用者的策略。
或者,也可以根據AD電腦標識為終端伺服器建立策略。 這種方法以相同的方式運行;伺服器的所有使用者都被標識為終端伺服器電腦名。 但是,為了保持一致運行,必須以最佳化主機到IP對映的方式配置VA。 有關更多詳細資訊,請參閱AD主機GUID超時說明,或聯絡Umbrella支援尋求幫助。
DNS策略:使用VDI與AD整合
VDI型別部署(其中為每個使用者運行了一個唯一的虛擬機器)仍然可以接收每個使用者的身份。 要求如下:
- 虛擬設備 — 每個使用者必須具有對虛擬裝置可見的唯一源IP。 源IP在到達裝置之前,不得接受「源NATing」。
- 漫遊客戶端 — 當漫遊客戶端安裝在每個虛擬機器上時,可以在漫遊客戶端中進行AD整合。 當每個使用者具有永續性(例如,個人)虛擬機器。
意見