Technische Daten zu Citrix Cloud Connector
Der Citrix Cloud Connector ist eine Komponente mit einer Sammlung von Windows-Diensten, die unter Windows Server 2012 R2, Windows Server 2016 oder Windows Server 2019 installiert ist.
Systemanforderungen
Die Maschine, auf der der Cloud Connector gehostet wird, muss die folgenden Anforderungen erfüllen: Für hohe Verfügbarkeit empfiehlt Citrix dringend, mindestens zwei Cloud Connectors an jedem Ressourcenstandort zu installieren.
Betriebssysteme
Folgende Betriebssysteme werden unterstützt:
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Die Verwendung des Cloud Connectors mit Windows Server Core wird nicht unterstützt.
.NET-Anforderungen
Microsoft .NET Framework 4.7.2 oder höher ist erforderlich.
Serveranforderungen
Wenn Sie Cloud Connectors mit Virtual Apps and Desktops Service verwenden, lesen Sie die Anweisungen zur Maschinenkonfiguration unter Überlegungen zur Skalierung und Größe für Cloud Connectors.
Die folgenden Anforderungen gelten für alle Maschinen, auf denen der Cloud Connector installiert ist:
- Verwenden Sie dedizierte Maschinen zum Hosten des Cloud Connectors. Installieren Sie keine anderen Komponenten auf diesen Maschinen.
- Die Maschinen sind nicht als Active Directory-Domänencontroller konfiguriert. Die Installation des Cloud Connectors auf einem Domänencontroller wird nicht unterstützt.
- Serveruhr auf die korrekte UTC-Zeit eingestellt
- Verstärkte Sicherheitskonfiguration für Internet Explorer (IE ESC) deaktiviert. Wenn diese Einstellung aktiviert ist, kann der Cloud Connector möglicherweise keine Verbindung mit Citrix Cloud herstellen.
- Citrix empfiehlt dringend, Windows-Updates auf allen Maschinen zu aktivieren, auf denen ein Cloud Connector gehostet wird. Wenn Sie Windows-Updates konfigurieren, aktivieren Sie das automatische Herunterladen und Installieren von Updates, jedoch nicht das automatische Neustarten von Maschinen. Die Citrix Cloud-Plattform führt Neustarts von Maschinen aus und erlaubt ggf. nur jeweils einem Cloud Connector den Neustart. Alternativ können Sie mit Gruppenrichtlinien steuern, wann eine Maschine nach einem Update neu gestartet wird. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/windows/deployment/update/waas-restart.
Anforderungen an die Zertifikatvalidierung
Cloud Connector-Binärdateien und Endpunkte, die der Cloud Connector kontaktiert, sind durch X.509-Zertifikate geschützt, die von weithin anerkannten Unternehmenszertifizierungsstellen (ZS) ausgestellt werden. Die Zertifikatsprüfung in der Public Key-Infrastruktur (PKI) umfasst die Zertifikatsperrliste (CRL). Wenn ein Client ein Zertifikat empfängt, überprüft der Client, ob er der ZS, die die Zertifikate ausgestellt hat, vertraut, und ob das Zertifikat auf einer Zertifikatsperrliste ist. Wenn das Zertifikat auf einer Zertifikatsperrliste ist, wird das Zertifikat gesperrt und ist nicht vertrauenswürdig, obwohl es gültig erscheint.
Die Zertifikatsperrlistenserver verwenden HTTP an Port 80 anstelle von HTTPS an Port 443. Cloud Connector-Komponenten selbst kommunizieren nicht über den externen Port 80. Die Notwendigkeit des externen Ports 80 ist ein Nebenprodukt des Prozesses der Zertifikatsprüfung, den das Betriebssystem ausführt.
Die X.509-Zertifikate werden während der Cloud Connector-Installation überprüft. Daher müssen alle Cloud Connector-Maschinen diesen Zertifikaten vertrauen. damit die Cloud Connector-Software erfolgreich installiert werden kann.
Citrix Cloud-Endpunkte werden durch Zertifikate geschützt, die von DigiCert oder von einer Azure-Stammzertifizierungsstelle ausgestellt wurden. Weitere Informationen zu den von Azure verwendeten Stammzertifizierungsstellen finden Sie unter https://docs.microsoft.com/en-us/azure/security/fundamentals/tls-certificate-changes.
Um die Zertifikate zu validieren, muss jede Cloud Connector-Maschine die folgenden Anforderungen erfüllen:
- HTTP-Port 80 ist für die folgenden Adressen offen. Dieser Port wird während der Cloud Connector-Installation und während der regelmäßigen Überprüfung der Zertifikatsperrlisten verwendet. Weitere Informationen zum Testen der Konnektivität für Zertikatsperrliste und OCSP finden Sie unter https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htmauf der DigiCert-Website.
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
- Die Kommunikation mit den folgenden Adressen ist aktiviert:
https://*.digicert.com
- Folgende Zertifikate werden installiert:
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
https://cacerts.digicert.com/DigiCertGlobalRootCA.crt
https://cacerts.digicert.com/BaltimoreCyberTrustRoot.crt
https://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crt
https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
https://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crt
Ausführliche Anweisungen zum Herunterladen und Installieren der Zertifikate finden Sie unter CTX223828.
Active Directory-Anforderungen
- Teil einer Active Directory-Domäne, die die Ressourcen und Benutzer enthält, die Sie zum Erstellen von Angeboten für Ihre Benutzer verwenden Informationen zu Umgebungen mit mehreren Domänen finden Sie unter Bereitstellungsszenarios für Cloud Connectors in Active Directory.
- Jede Active Directory-Gesamtstruktur, die für Citrix Cloud verwendet werden soll, muss jederzeit über zwei Cloud Connectors erreichbar sein.
- Der Cloud Connector muss Domänencontroller in der Stammdomäne der Gesamtstruktur und in den Domänen, die Sie mit Citrix Cloud verwenden möchten, erreichen können. Weitere Informationen hierzu finden Sie in den folgenden Microsoft-Supportartikeln:
- Konfigurieren von Domänen und Vertrauensstellungen
- Abschnitt “Ports für Systemdienste” in Dienstübersicht und Netzwerkportanforderungen für Windows
Netzwerkanforderungen
- Mit einem Netzwerk verbunden, über das Zugriff auf die Ressourcen besteht, die Sie am Ressourcenstandort verwenden möchten. Weitere Informationen finden Sie unter Konfiguration von Cloud Connector-Proxy und Firewall.
- Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unter Anforderungen an System und Konnektivität.
Unterstützte Funktionsebenen von Active Directory
Der Citrix Cloud Connector unterstützt die folgenden Funktionsebenen für Active Directory-Gesamtstrukturen und -Domänen:
Funktionsebene: | Domänenfunktionsebene | Unterstützte Domänencontroller |
---|---|---|
Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Unterstützung von FIPS (Federal Information Processing Standard)
Der Cloud Connector unterstützt derzeit die FIPS-validierten kryptografischen Algorithmen, die auf FIPS-aktivierten Maschinen verwendet werden. Nur die neueste Version der Cloud Connector-Software, die in Citrix Cloud verfügbar ist, unterstützt dies. Wenn Sie Cloud Connector-Maschinen haben, die vor November 2018 installiert wurden, und den FIPS-Modus dort aktivieren möchten, gehen Sie folgendermaßen vor:
- Deinstallieren Sie die Cloud Connector-Software von allen Maschinen an Ihrem Ressourcenstandort.
- Aktivieren Sie den FIPS-Modus auf jeder Maschine.
- Installieren Sie die neueste Cloud Connector-Version auf den FIPS-aktivierten Maschinen.
Wichtig:
- Führen Sie kein Upgrade der Cloud Connector-Installation auf die neueste Version durch. Deinstallieren Sie immer zuerst den alten Cloud Connector und installieren Sie dann die neue Version.
- Aktivieren Sie den FIPS-Modus nicht auf Maschinen, auf denen eine ältere Cloud Connector-Version gehostet wird. Cloud Connector-Versionen vor 5.102 unterstützen den FIPS-Modus nicht. Wenn Sie den FIPS-Modus auf einer Maschine mit einem älteren Cloud Connector aktivieren, kann Citrix Cloud keine regelmäßigen Wartungsupdates für den Cloud Connector durchführen.
Anweisungen zum Herunterladen der neuesten Cloud Connector-Version finden Sie unter Herunterladen des Cloud Connectors.
Mit Cloud Connector installierte Dienste
In diesem Abschnitt werden die mit dem Cloud Connector installierten Dienste und ihre Systemberechtigungen beschrieben.
Während der Installation des Citrix Cloud Connectors installiert die ausführbare Datei die erforderliche Dienstkonfiguration mit den notwendigen Standardeinstellungen. Wird diese Standardkonfiguration manuell geändert, kann dies die Funktion des Cloud Connectors beeinträchtigen. In diesem Fall wird die Konfiguration beim nächsten Cloud Connector-Update auf den Standardzustand zurückgesetzt, sofern die Dienste, die den Aktualisierungsprozess steuern, weiterhin funktionieren.
Das Citrix Cloud Agent System ermöglicht alle höheren Aufrufe, die für die Funktion der anderen Cloud Connector-Dienste erforderlich sind, und kommuniziert nicht direkt im Netzwerk. Wenn ein Dienst im Cloud Connector eine Aktion ausführen muss, für die lokale Systemberechtigungen erforderlich sind, nutzt er einen vordefinierten Satz von Vorgängen, die das Citrix Cloud Agent System ausführen kann.
Dienstname | Beschreibung | Ausgeführt als |
---|---|---|
Citrix Cloud Agent System | Verarbeitet die für On-premises-Agents erforderlichen Systemaufrufe. Umfasst Installation, Neustarts und Zugriff auf die Registrierung. Kann nur von Citrix Cloud Services Agent WatchDog aufgerufen werden. | Lokales System |
Citrix Cloud Services Agent WatchDog | Überwacht und aktualisiert die On-Premises-Agenten (Evergreen). | Netzwerkdienst |
Citrix Cloud Services Agent Logger | Bietet ein Support-Protokollierungsframework für die Citrix Cloud Connector-Dienste. | Netzwerkdienst |
Citrix Cloud Services AD Provider | Ermöglicht die Verwaltung von Ressourcen, die mit den Active Directory-Domänenkonten verbunden sind, in denen Citrix Cloud installiert ist. | Netzwerkdienst |
Citrix Cloud Services Agent Discovery | Ermöglicht die Verwaltung älterer On-Premises-Produkte von Citrix XenApp und XenDesktop in Citrix Cloud. | Netzwerkdienst |
Citrix Cloud Services Credential Provider | Ermöglicht das Speichern und Abrufen verschlüsselter Daten. | Netzwerkdienst |
Citrix Cloud Services WebRelay Provider | Ermöglicht die Weiterleitung von HTTP-Anfragen vom WebRelay Cloud-Dienst an On-Premises-Webserver. | Netzwerkdienst |
Citrix CDF Capture Service | Erfasst CDF-Traces von allen konfigurierten Produkten und Komponenten. | Netzwerkdienst |
Citrix Config Synchronizer Service | Kopiert die Brokerkonfiguration lokal für den Hochverfügbarkeitsmodus. | Netzwerkdienst |
Citrix Dienst für hohe Verfügbarkeit | Gewährleistet die Servicekontinuität bei einem Ausfall der zentralen Site. | Netzwerkdienst |
Citrix ITSM Adapter Provider | Automatisiert das Provisioning und die Verwaltung virtueller Apps und Desktops. | Netzwerkdienst |
Citrix NetScaler Cloud Gateway | Bietet Internetkonnektivität zu on-premises vorhandenen Desktops und Anwendungen ohne Öffnen eingehender Firewallregeln oder Bereitstellen von Komponenten in der DMZ. | Netzwerkdienst |
Citrix Remote Broker Provider | Ermöglicht die Kommunikation mit einem Remotebrokerdienst von lokalen VDAs und StoreFront-Servern aus. | Netzwerkdienst |
Citrix Remote HCL Server | Agiert als Proxy für die Kommunikation zwischen Delivery Controller und Hypervisor(en). | Netzwerkdienst |
Citrix Session Manager Proxy | Verwaltet anonyme vorab gestartete Sitzungen und lädt Informationen zur Sitzungsanzahl im cloudbasierten Sitzungsmanager-Dienst hoch. | Netzwerkdienst |
Citrix WEM Cloud Authentication Service | Stellt den Authentifizierungsdienst zur Verbindung von Citrix WEM-Agents mit Cloud-Infrastrukturservern bereit. | Netzwerkdienst |
Citrix WEM Cloud Messaging Service | Ermöglicht dem Citrix WEM-Clouddienst den Empfang von Nachrichten von Cloud-Infrastrukturservern. | Netzwerkdienst |
Bereitstellungsszenarios für Cloud Connectors in Active Directory
Wenn Sie eine Einzeldomäne in einer einzelnen Gesamtstruktur verwenden, müssen Sie Cloud Connectors nur in dieser Domäne installieren, um einen Ressourcenstandort einzurichten. Wenn Ihre Umgebung mehrere Domänen umfasst, müssen die Cloud Connectors so installiert werden, dass Benutzer auf die bereitgestellten Ressourcen zugreifen können.
Hinweis:
Die folgenden Ressourcenstandorte bilden einen Blueprint, der möglicherweise an anderen physischen Standorten wiederholt werden muss, je nachdem, wo Ihre Ressourcen gehostet werden.
Einzeldomäne in einer Gesamtstruktur mit einem Cloud Connectors-Satz
In diesem Szenario enthält eine Einzeldomäne alle Ressourcen- und Benutzerobjekte (forest1.local). Ein Cloud Connectors-Satz wird an einem einzigen Ressourcenstandort bereitgestellt und in die Domäne “forest1.local” eingebunden.
- Vertrauensstellung: Ohne - Einzeldomäne
- Aufgelistete Domänen in der Identitäts- und Zugriffsverwaltung: forest1.local
- Benutzeranmeldungen bei Citrix Workspace: Für alle Benutzer unterstützt
- Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt
Über- und untergeordnete Domänen in einer Gesamtstruktur mit einem Cloud Connectors-Satz
Dieses Szenario umfasst eine übergeordnete Domäne (forest1.local) und eine ihr untergeordnete Domäne (user.forest1.local) in einer einzelnen Gesamtstruktur. Die übergeordnete Domäne ist die Ressourcendomäne. Die untergeordnete Domäne ist die Benutzerdomäne. Ein Cloud Connectors-Satz wird an einem einzigen Ressourcenstandort bereitgestellt und in die Domäne “forest1.local” eingebunden.
- Vertrauensstellung: Übergeordnete/untergeordnete Domäne mit Vertrauensstellung
- Aufgelistete Domänen in der Identitäts- und Zugriffsverwaltung: forest1.local, user.forest1.local
- Benutzeranmeldungen bei Citrix Workspace: Für alle Benutzer unterstützt
- Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt
Hinweis:
Möglicherweise ist ein Neustart der Cloud Connectors erforderlich, damit Citrix Cloud die untergeordnete Domäne registriert.
Benutzer und Ressourcen in separaten Gesamtstrukturen (mit Vertrauensstellung) mit einem Cloud Connectors-Satz
In diesem Szenario enthält eine Gesamtstruktur (forest1.local) Ihre Ressourcendomäne und eine zweite Gesamtstruktur (forest2.local) Ihre Benutzerdomäne. Zwischen diesen Gesamtstrukturen besteht eine Vertrauensstellung, sodass Benutzer sich an Ressourcen anmelden können. Ein Cloud Connectors-Satz wird an einem einzigen Ressourcenstandort bereitgestellt und in die Domäne “forest1.local” eingebunden.
- Vertrauensstellung: Gesamtstruktur-Vertrauensstellung
- Aufgelistete Domänen in der Identitäts- und Zugriffsverwaltung: forest1.local
- Benutzeranmeldungen bei Citrix Workspace: Nur für “forest1.local”-Benutzer unterstützt
- Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt
Hinweis:
Die Vertrauensstellung zwischen den beiden Gesamtstrukturen muss es Benutzern in der Benutzergesamtstruktur ermöglichen, sich an Maschinen in der Ressourcengesamtstruktur anzumelden.
Da Cloud Connectors eine Vertrauensstellung auf Gesamtstrukturebene nicht nutzen können, wird die Domäne “forest2.local” auf der Seite Identitäts- und Zugriffsverwaltung in der Citrix Cloud-Konsole nicht angezeigt. Dies führt zu folgenden Einschränkungen:
- Ressourcen können nur für Benutzer und Gruppen in “forest1.local” in Citrix Cloud veröffentlicht werden. Durch Verschachteln von “forest2.local”-Benutzern in “forest1.local”-Sicherheitsgruppen lässt sich dieses Problem eventuell umgehen.
- Citrix Workspace kann Benutzer aus der Domäne “forest2.local” nicht authentifizieren.
Stellen Sie als Workaround die Cloud Connectors wie unter Benutzer und Ressourcen in separaten Gesamtstrukturen (mit Vertrauensstellung) mit je einem Cloud Connectors-Satz in jeder Gesamtstruktur beschrieben bereit.
Benutzer und Ressourcen in separaten Gesamtstrukturen (mit Vertrauensstellung) mit je einem Cloud Connectors-Satz in jeder Gesamtstruktur
In diesem Szenario enthält eine Gesamtstruktur (forest1.local) Ihre Ressourcendomäne und eine zweite Gesamtstruktur (forest2.local) Ihre Benutzerdomäne. Zwischen diesen Gesamtstrukturen besteht eine Vertrauensstellung, sodass Benutzer sich an Ressourcen anmelden können. Ein Cloud Connectors-Satz wird in der Domäne “forest1.local” bereitgestellt, ein zweiter Satz wird in der Domäne “forest2.local” bereitgestellt.
- Vertrauensstellung: Gesamtstruktur-Vertrauensstellung
- Aufgelistete Domänen in der Identitäts- und Zugriffsverwaltung: forest1.local, forest2.local
- Benutzeranmeldungen bei Citrix Workspace: Für alle Benutzer unterstützt
- Benutzeranmeldungen bei einem On-Premises-StoreFront: Für alle Benutzer unterstützt
Anzeigen der Integrität des Cloud Connectors
Auf der Seite “Ressourcenstandorte” in Citrix Cloud wird der Integritätsstatus aller Cloud Connectors in Ihren Ressourcenstandorten angezeigt.
Ereignismeldungen
Ereignismeldungen sind in der Windows-Ereignisanzeige auf der Maschine mit dem Cloud Connector verfügbar. Die für den Cloud Connector generierten Windows-Ereignisprotokolle sind in den folgenden Dokumenten:
- Connector Agent Provider [XML-Format]
- Connector AgentWatchDog Provider [XML-Format]
Ereignisprotokolle
Standardmäßig sind Ereignisprotokolle im Verzeichnis C:\ProgramData\Citrix\WorkspaceCloud\Logs auf der Maschine mit dem Cloud Connector.
Problembehandlung
Der erste Schritt bei der Diagnose von Problemen mit dem Cloud Connector ist die Überprüfung der Ereignismeldungen und Ereignisprotokolle. Wenn der Cloud Connector am Ressourcenstandort nicht aufgeführt wird oder als “nicht in Kontakt” angezeigt wird, enthalten die Ereignisprotokolle diverse anfängliche Informationen.
Cloud Connector-Konnektivität
Wenn die Verbindung zum Cloud Connector getrennt wird, können Sie mit dem Hilfsprogramm zur Cloud Connector-Konnektivitätsprüfung überprüfen, ob Citrix Cloud und die zugehörigen Dienste vom Cloud Connector erreicht werden können.
Das Hilfsprogramm zur Cloud Connector-Konnektivitätsprüfung wird auf der Hostmaschine des Cloud Connectors ausgeführt. Wenn Sie einen Proxyserver in Ihrer Umgebung verwenden, können Sie mit dem Hilfsprogramm durch Tunneln aller Verbindungstests die Konnektivität über Ihren Proxyserver überprüfen. Bei Bedarf kann das Hilfsprogramm auch fehlende vertrauenswürdige Sites von Citrix zur Zone vertrauenswürdiger Sites im Internet Explorer hinzufügen.
Weitere Informationen zum Herunterladen und Verwenden dieses Hilfsprogramms finden Sie im Citrix Support Knowledge Center unter CTX260337.
Installation
Wenn der Cloud Connector den Status “Fehler” hat, könnte es ein Problem beim Hosting des Cloud Connectors geben. Installieren Sie den Cloud Connector auf einer neuen Maschine. Wenn das Problem weiterhin besteht, wenden Sie sich an den Citrix Support. Informationen zum Beheben häufiger Probleme bei der Installation oder der Verwendung des Cloud Connectors finden Sie unter CTX221535.
In diesem Artikel
- Systemanforderungen
- Unterstützte Funktionsebenen von Active Directory
- Unterstützung von FIPS (Federal Information Processing Standard)
- Mit Cloud Connector installierte Dienste
- Bereitstellungsszenarios für Cloud Connectors in Active Directory
- Anzeigen der Integrität des Cloud Connectors
- Problembehandlung