AD域控制服务器是Citrix环境的基础，Citrix几乎所有组件服务都需要AD域服务的支持；一个稳定的AD环境对Citrix桌面虚拟化/应用虚拟化环境的运行有着极大的帮助。

Citrix环境支持以下 Active Directory 林和域功能级别：

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

在实际的项目中，很多企业已经预先部署了Active Directory（简称AD），对于这样已经存在AD 的环境可以直接使用现有的即可，无需另建；本小节内容只针对没有AD的环境，通常考虑到AD域服务的安全、稳定、容错、登录效率通常至少要建立2台Dmoain Controller服务器（域控制器）；下面安装过程将演示两个Dmoain Controller的配置方法。

目录

• ? 第一台Dmoain Controller部署规划：
• ? 第一台Dmoain Controller部署过程：
• ? 第二台Dmoain Controller部署规划：
• ? 第二台Dmoain Controller部署过程：
• ? 微软OU配置（组织单位)：
• ? Citrix 超级管理员权限配置：
• ? 微软Active Directory证书服务部署：
• ? 微软DHCP服务部署：

? 第一台Dmoain Controller部署规划：

? 第一台Dmoain Controller部署过程：

1、新建一个Windows Server 2016虚拟机，虚拟机名称为VDI-ADDC-001，登录这台虚拟机，修改计算机名为VDI-ADDC-001 ，配置IP地址为规划的IP地址10.1.8.1

2、打开服务器管理器，点击 添加角色和功能；

3、勾选“Active Directory域服务”；

4、一路下一步后选择 安装

5、点击“将此服务器提升为域控制器”

6、选择“添加新林”，输入一个跟域名，我们这里输入规划的域名“ad.itdali.cn”

7、输入一个DSRM密码，DSRM代表目录服务还原模式，用于Windows Server安全模式启动后管理员修复或还原AD数据库使用；

8、下一步

9、下一步

10、下一步，更改ADDS数据库、日志文件、SYSVOL的默认路径意义不大，保持默认即可；

11、回顾继续之前的配置选择，确认无误后点击 下一步

12、开始安装，系统在这个过程中会自动重启

13、自动重启后登录这台服务器；

14、第一台Dmoain Controller部署完成

? 第二台Dmoain Controller部署规划：

? 第二台Dmoain Controller部署过程：

15、新建一个Windows Server 2016虚拟机，虚拟机名称为VDI-ADDC-002，登录这台虚拟机，修改计算机名为VDI-ADDC-002 ，配置IP地址为规划的IP地址10.1.8.2

16、打开服务器管理器，点击 添加角色和功能；

17、勾选“Active Directory域服务”；

18、一路下一步后选择 安装

19、点击“将此服务器提升为域控制器”

20、选择“将域控制器添加现有域”，输入一个当前的域名 ad.itdali.cn，点击 更改凭据

21、输入第一台AD的域管理员账号密码；

22、点击 下一步

23、输入一个DSRM密码，DSRM代表目录服务还原模式，用于Windows Server安全模式启动后管理员修复或还原AD数据库使用；

24、点击 下一步

25、点击 下一步

26、下一步，更改ADDS数据库、日志文件、SYSVOL的默认路径意义不大，保持默认即可；

27、回顾继续之前的配置选择，确认无误后点击 下一步

28、开始安装，系统在这个过程中会自动重启

29、自动重启后登录这台服务器；

30、第二台Dmoain Controller部署完成

? DNS Server 基础配置：

配置DNS转发：我当前的环境可以访问互联网，所有域内计算机需要访问互联网，因此需要为域内DNS Server增加公网DNS转发查询。

31、登录到任意一台Dmoain Controller服务器，我这里登陆到“VDI-ADDC-01”,打开 服务器管理器，点击 工具 —— DNS ；

32、在DNS服务器名称上右键然后点击 属性；

33、填入当前ISP提供的DNS地址或其它公共DNS地址；

配置反相查找区域：在Citrix环境中，除了需要确保VDA和DDC上的DNS设置正确，并且建议VDA和DDC之间均可通过DNS名称和反向查找相互解析；

34、右键点击“反向查找区域”，然后点击“新建反向查找区域”；

35、点击 下一步

36、点击 下一步

37、点击 下一步

38、点击 下一步

39、输入云桌面所用的网络IP段；

40、点击 下一步

41、点击 完成

42、当前网段反向查找区域配置完成，若云桌面使用了多个网段，请按此步骤依次添加。

? 微软OU配置（组织单位)：

配置OU的方法有很多种，个人建议用户组与部门、职能相结合，计算机组与应用场景向结合，因为同一部门或组织单元中的大多数用户、计算机使用相同程序集或应用相同的策略。

登录到任意一台Dmoain Controller服务器，打开“Active Directory用户和计算机”，在要创建OU的目录中点击右键选择“新建”——“组织单位”

在该手册环境中OU配置如下:（个人建议，能中文的就别用英文）

? Citrix 超级管理员权限配置：

为Citrix环境创建一个超级管理员用户，在以往的习惯中，我们习惯使用“CTXAdmin”、“VDIAdmin”、“XDAdmin” 这样的命名方式，在此次配置中定义“XDAdmin”用户为Citrix环境超级管理员，并赋予合适的用户权限；当然也可以使用其他名字，这个是无所谓的；我个人是不建议为Citrix环境超级管理员用户赋予“域管理员权限”（Domain Admins）; 只需要赋予Citrix环境需要的权限即可；另外建议另外单独创建一个账号用户安装SQL Server，我这里为SQL Server创建的用户名为“DBAdmin”；本环境的“XDAdmin”、“DBAdmin”账号都加入到了“Citrix管理员用户组”这个自定义的安全组中。

43、登录到任意一台Dmoain Controller服务器，我这里登陆到“VDI-ADDC-01”，打开“Active Directory用户和计算机”，点击 “查看”，勾选“高级功能”；

44、在该场景的Citrix环境最上层OU（当前环境OU名称为“Citrix桌面云环境”）处点击右键，点击“属性”；

45、点击“安全”——“添加”；

46、检索并选中“Citrix管理员用户组”（这是一个自定义安全组）；

47、为“Citrix管理员用户组”安全组分配“完全控制”权限；至此，Citrix 超级管理员权限配置完成。

48、在后面步骤中我们要配置SQL Server AlwaysOn场景，因此为该环境也提前做好响应的OU权限配置，在 “Computers” OU处点击右键，点击“属性”；

49、一样添加“Citrix管理员用户组”安全组，并分配“完全控制”权限；至此，OU权限配置完成。

? 微软Active Directory证书服务部署：

Active Directory证书服务在生产环境也是建议部署的一个角色服务。通过Active Directory证书服务为Citrix Delivery Controller、StoreFront等签发CA证书，通过SSL加密后台角色服务之间的通信流量。
Active Directory证书服务可以单独新建一台虚拟机部署，也可以部署到任意一台Dmoain Controller中；我这里将Active Directory证书服务部署到第一台Dmoain Controller中，也就是 VDI-ADDC-01这台虚拟机。

50、登录VDI-ADDC-01，打开服务器管理器，添加角色和功能；

51、勾选“Active Directory证书服务”

52、勾选“证书颁发机构”“证书颁发机构Web注册”

53、一路下一步后，点击安装

54、点击“配置目标服务器上的Active Directory证书服务”

55、保持默认使用域管理员凭据即可，点击 下一步

56、勾选“证书颁发机构”“证书颁发机构Web注册”

57、选择“企业CA”

58、选择“根CA”

59、下一步

60、选择“SHA256”签名算法

61、可以直接点击 下一步 ，也可以进行自定义名称修改；

62、默认有效期5年，可根据需要更改

63、下一步

64、点击 配置

65、配置完成 。

? 微软DHCP服务部署：

在Citrix项目中，DHCP服务是必不可少的，DHCP可以在网络交换机中启用，也可以在Windows Server虚拟机中启用；为了更直观地管理我个人的习惯在Windows Server中启用DHCP角色。

Windows DHCP是一个轻量级的应用，但是它很重要；在生产环境中强烈建议配置两个DHCP角色，并配置并配置故障转移。由于DHCP很轻量，考虑到管理的复杂性我建议将DHCP角色部署到AD或DDC服务器中；我这里将DHCP角色部署到了两台Dmoain Controller服务中了，即 VDI-ADDC-01、VDI-ADDC-02 。

如果物理服务器到交换机的端口模式为Trunk，并且允许多个VLAN通过，且多个VLAN在都需要开启DHCP的情况下，需要在交换机中为每个VLAN指定DHCP Server的IP，如下图所示：

DHCP角色部署 过程

66、登录VDI-ADDC-01，打开服务器管理器，添加角色和功能；

67、勾选“DHCP服务”

68、一路下一步后点击 安装

69、点击“完成DHCP配置”

70、下一步

71、点击 提交

72、DHCP配置完成，点击关闭

73、接下来登录VDI-ADDC-02，配置第二个DHCP角色，配置过程与上面相同 ……；

74、两个DHCP角色配置完成后，登录到任意一台DHCP所在的虚拟机，打开 服务器管理器，点击 工具 — DHCP ；

75、右键点击“IPv4”，点击“新建作用域”

76、输入一个名称，然后下一步

77、输入DHCP的IP地址范围

78、下一步

79、按照实际情况或需求更改IP地址租用周期，或保持默认

80、下一步

81、添加网关地址

82、确认DNS地址为两台DC的IP后点击下一步

83、下一步

84、下一步，配置完成；

85、接着配置DHCP故障转移群集，在刚刚创建的作用域上点击右键，然后点击“配置故障转移群集”

86、点击下一步

87、点击 “添加服务器”

88、选择另外一台DHCP服务器

89、点击下一步

90、取消勾选“启用消息验证” ，其它选项保持默认即可，然后点击下一步

91、点击完成

92、DHCP故障转移配置完成

93、另外一台DHCP服务作用域已经自动创建，如有多个网段，再次添加作用域及配置故障转移即可。