Netzwerkverbindungen

Einführung

Dieser Artikel enthält Details zu mehreren Bereitstellungsszenarien, wenn Sie das von Citrix verwaltete Abonnement verwenden.

Beim Erstellen eines Katalogs geben Sie an, ob und wie Benutzer über die Citrix Virtual Apps and Desktops Standard für Azure-Desktops und -Apps auf Standorte und Ressourcen in ihrem lokalen Unternehmensnetzwerk zugreifen.

Bei Verwendung eines von Citrix verwalteten Azure-Abonnements stehen folgende Möglichkeiten zur Verfügung:

Wenn Sie eines Ihrer eigenen, vom Kunden verwalteten Azure-Abonnements verwenden, müssen Sie keine Verbindung zum Dienst herstellen. Sie fügen nur das Azure-Abonnement zum Dienst hinzu.

Sie können den Verbindungstyp eines Katalogs nicht ändern, nachdem der Katalog erstellt wurde.

Anforderungen für alle Netzwerkverbindungen

  • Wenn Sie eine Verbindung erstellen, müssen Sie gültige DNS-Servereinträge haben.
  • Wenn Sie Secure DNS oder einen DNS-Anbieter eines Drittanbieters verwenden, müssen Sie den Adressbereich, den Sie für die Verwendung durch den Dienst (angegeben beim Erstellen der Verbindung) den IP-Adressen des DNS-Anbieters in der Zulassungsliste hinzufügen.
  • Alle Dienstressourcen, die die Verbindung verwenden (domänengebundene Maschinen), müssen in der Lage sein, Ihren NTP-Server (Network Time Protocol) zu erreichen, um die Zeitsynchronisierung sicherzustellen.

Keine Konnektivität

Wenn ein Katalog mit Keine Konnektivität konfiguriert ist, können Benutzer nicht auf Ressourcen in ihren lokalen oder anderen Netzwerken zugreifen. Dies ist die einzige Wahl, wenn Sie einen Katalog mit Schnellerstellung erstellen.

Keine Verbindung zu anderen Netzwerken

Informationen zu Azure VNet-Peering-Verbindungen

Virtuelles Netzwerk-Peering verbindet nahtlos zwei virtuelle Azure-Netzwerke (VNets): Ihre und Citrix Virtual Apps and Desktops Standard für Azure VNet. Mit Peering können Benutzer auch auf Dateien und andere Elemente aus Ihren lokalen Netzwerken zugreifen.

Wie in der folgenden Grafik dargestellt, erstellen Sie eine Verbindung mit Azure VNet-Peering aus dem von Citrix verwalteten Azure-Abonnement zum VNet im Azure-Abonnement Ihres Unternehmens.

Bereitstellungsszenario mit lokalem Kundennetzwerk

Hier ist eine weitere Illustration von VNet-Peering.

VNet-Peering-Diagramm

Benutzer können auf ihre lokalen Netzwerkressourcen (z. B. Dateiserver) zugreifen, indem sie der lokalen Domäne beitreten, wenn Sie einen Katalog erstellen. (Das heißt, Sie treten der AD-Domäne bei, in der Dateifreigaben und andere benötigte Ressourcen gespeichert sind.) Ihr Azure-Abonnement stellt eine Verbindung zu diesen Ressourcen her (in der Grafik über ein VPN oder Azure ExpressRoute). Beim Erstellen des Katalogs geben Sie die Domäne, die Organisationseinheit und die Kontoanmeldeinformationen an.

Wichtig:

  • Erfahren Sie mehr über VNet-Peering, bevor Sie es in diesem Dienst verwenden.
  • Erstellen Sie eine VNet-Peering-Verbindung, bevor Sie einen Katalog erstellen, der ihn verwendet.

Benutzerdefinierte Azure VNet-Peering-Routen

Benutzerdefinierte oder benutzerdefinierte Routen überschreiben die Standardsystemrouten von Azure, um den Datenverkehr zwischen virtuellen Maschinen in einem VNet-Peering, lokalen Netzwerken und dem Internet zu leiten. Sie können benutzerdefinierte Routen verwenden, wenn Netzwerke vorhanden sind, auf die Citrix Virtual Apps and Desktops Standardressourcen zugreifen sollen, aber nicht direkt über VNet-Peering verbunden sind. Beispielsweise können Sie eine benutzerdefinierte Route erstellen, die den Datenverkehr über eine Netzwerk-Appliance zum Internet oder zu einem lokalen Netzwerksubnetz erzwingt.

So verwenden Sie benutzerdefinierte Routen:

  • Sie benötigen ein vorhandenes virtuelles Azure-Netzwerkgateway oder eine Netzwerk-Appliance wie Citrix SD-WAN in der Citrix Virtual Apps and Desktops Standard-Umgebung.
  • Wenn Sie benutzerdefinierte Routen hinzufügen, müssen Sie die Routingtabellen Ihres Unternehmens mit den Citrix Virtual Apps and Desktops Standard-VNet-Zielinformationen aktualisieren, um eine durchgängige Konnektivität sicherzustellen.
  • Benutzerdefinierte Routen werden in Citrix Virtual Apps and Desktops Standard in der Reihenfolge angezeigt, in der sie eingegeben werden. Diese Anzeigereihenfolge wirkt sich nicht auf die Reihenfolge aus, in der Azure Routen auswählt.

Bevor Sie benutzerdefinierte Routen verwenden, lesen Sie den Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs, um mehr über die Verwendung benutzerdefinierter Routen, nächster Hop-Typen und wie Azure Routen für ausgehenden Datenverkehr auswählt.

Sie können benutzerdefinierte Routen hinzufügen, wenn Sie eine Azure VNet-Peering-Verbindung erstellen oder vorhandene Routen in der Citrix Virtual Apps and Desktops Standard-Umgebung erstellen. Wenn Sie bereit sind, benutzerdefinierte Routen mit Ihrem VNet-Peering zu verwenden, lesen Sie die folgenden Abschnitte in diesem Artikel:

Azure VNet-Peering-Anforderungen und Vorbereitung

  • Anmeldeinformationen für einen Abonnementbesitzer von Azure Resource Manager. Dies muss ein Azure Active Directory Konto sein. Dieser Dienst unterstützt keine anderen Kontotypen, z. B. live.com oder externe Azure AD-Konten (in einem anderen Mandanten).
  • Ein Azure-Abonnement, eine Ressourcengruppe und ein virtuelles Netzwerk (VNet).
  • Richten Sie die Azure-Netzwerkrouten so ein, dass VDAs im von Citrix verwalteten Azure-Abonnement mit Ihren Netzwerkstandorten kommunizieren können.
  • Öffnen Sie Azure-Netzwerksicherheitsgruppen von Ihrem VNet bis zum angegebenen IP-Bereich.
  • Active Directory: Für Szenarien mit Domänenverknüpfungen wird empfohlen, dass Sie eine Form von Active Directory Diensten im Peered-VNet ausführen. Dies nutzt die Eigenschaften der niedrigen Latenz der Azure VNet-Peering-Technologie.

    Die Konfiguration kann beispielsweise Azure Active Directory Domänendienste (AADDS), eine Domänencontroller VM im VNet oder Azure AD Connect mit Ihrem lokalen Active Directory umfassen.

    Nachdem Sie AADDS aktiviert haben, können Sie Ihre verwaltete Domäne nicht in ein anderes VNet verschieben, ohne die verwaltete Domäne zu löschen. Daher ist es wichtig, das richtige VNet auszuwählen, um Ihre verwaltete Domain zu aktivieren. Bevor Sie fortfahren, lesen Sie den Microsoft-Artikel Netzwerküberlegungen für Azure AD-Domänendienste.

  • VNet-IP-Bereich: Beim Erstellen der Verbindung müssen Sie einen verfügbaren CIDR-Adressraum (IP-Adresse und Netzwerkpräfix) angeben, der zwischen den Netzwerkressourcen und den verbundenen Azure VNets eindeutig ist. Dies ist der IP-Bereich, der den VMs im Peered VNet von Citrix Virtual Apps and Desktops Standard zugewiesen ist.

    Stellen Sie sicher, dass Sie einen IP-Bereich angeben, der keine Adressen überlappt, die Sie in Azure und lokalen Netzwerken verwenden.

    • Wenn Ihr Azure VNet beispielsweise einen Adressraum von 10.0.0.0 /16 hat, erstellen Sie die VNet-Peering-Verbindung in Citrix Virtual Apps and Desktops Standard wie 192.168.0.0 /24.

    • In diesem Beispiel wird das Erstellen einer Peering-Verbindung mit einem IP-Bereich 10.0.0.0 /24 als überlappender Adressbereich betrachtet.

    Wenn sich Adressen überschneiden, wird die VNet-Peering-Verbindung möglicherweise nicht erfolgreich erstellt. Es funktioniert auch nicht ordnungsgemäß für Site-Administrationsaufgaben.

Weitere Informationen zum VNet-Peering finden Sie in den folgenden Microsoft-Artikeln.

Erstellen einer Azure VNet-Peering-Verbindung

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen. Wenn Sie bereits Verbindungen eingerichtet haben, werden diese aufgelistet.

    Liste der Verbindungen

  2. Klicken Sie auf Verbindung hinzufügen.
  3. Klicken Sie auf eine beliebige Stelle im Feld Azure-VNet-Peering hinzufügen .

    Hinzufügen einer VNet-Peering-Verbindung

  4. Klicken Sie auf Azure-Konto authentifizieren.

    Authentifizieren Sie Ihr Azure-Abonnement

  5. Der Dienst führt Sie automatisch zur Azure-Anmeldeseite, um Ihre Azure-Abonnements zu authentifizieren. Nachdem Sie sich bei Azure angemeldet haben (mit den Anmeldeinformationen des globalen Administratorkontos) und die Bedingungen akzeptiert haben, werden Sie zum Dialogfeld Details zur Erstellung der Verbindung zurückkehren.

    Felder zur Erstellung von VNet-Peering-Verbindungen

  6. Geben Sie einen Namen für den Azure VNet-Peer ein.
  7. Wählen Sie das Azure-Abonnement, die Ressourcengruppe und das VNet zum Peer aus.
  8. Geben Sie an, ob das ausgewählte VNet ein virtuelles Azure Network Gateway verwendet. Weitere Informationen finden Sie im Microsoft-Artikel Azure-VPN-Gateway.
  9. Geben Sie eine IP-Adresse ein, und wählen Sie eine Netzwerkmaske aus. Der zu verwendende Adressbereich sowie die Anzahl der Adressen, die der Bereich unterstützt, wird angezeigt. Stellen Sie sicher, dass der IP-Bereich keine Adressen überlappt, die Sie in Azure und lokalen Netzwerken verwenden.

    • Wenn Ihr Azure VNet beispielsweise einen Adressraum 10.0.0.0 /16 hat, erstellen Sie die VNet-Peering-Verbindung in Citrix Virtual Apps and Desktops Standard wie 192.168.0.0 /24.
    • In diesem Beispiel wird das Erstellen einer VNet-Peering-Verbindung mit einem IP-Bereich 10.0.0.0 /24 als überlappender Adressbereich betrachtet.

    Wenn sich Adressen überschneiden, wird die VNet-Peering-Verbindung möglicherweise nicht erfolgreich erstellt. Es funktioniert auch nicht ordnungsgemäß für Site-Administrationsaufgaben.

  10. Geben Sie an, ob Sie der VNet-Peering-Verbindung benutzerdefinierte Routen hinzufügen möchten. Wenn Sie Ja wählen, geben Sie die folgenden Informationen ein:
    1. Geben Sie einen Anzeigenamen für die benutzerdefinierte Route ein.
    2. Geben Sie die Ziel-IP-Adresse und das Netzwerkpräfix ein. Das Netzwerkpräfix muss zwischen 16 und 24 liegen.
    3. Wählen Sie einen nächsten Hop-Typ, an den der Datenverkehr weitergeleitet werden soll. Wenn Sie Virtuelle Applianceauswählen, geben Sie die interne IP-Adresse der Appliance ein.

      Benutzerdefinierte Routenerstellungsfelder

      Weitere Informationen zu den Next-Hop-Typen finden Sie unter Benutzerdefinierte Routen im Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs.

    4. Klicken Sie auf Route hinzufügen, um eine weitere benutzerdefinierte Route für die Verbindung zu erstellen.
  11. Klicken Sie auf VNet-Peering hinzufügen.

Nachdem die Verbindung erstellt wurde, wird sie auf der rechten Seite des Dashboards Verwalten unter Netzwerkverbindungen > Azure VNet Peers aufgeführt. Wenn Sie einen Katalog erstellen, ist diese Verbindung in der Liste der verfügbaren Netzwerkverbindungen enthalten.

Anzeigen von Azure VNet-Peering-Verbindungsdetails

VNet-Peering-Verbindungsdetails

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen.
  2. Wählen Sie die Azure VNet-Peering-Verbindung aus, die angezeigt werden soll.

Zu den Details gehören:

  • Die Anzahl der Kataloge, Maschinen, Images und Bastionen, die diese Verbindung verwenden.
  • Region, zugewiesener Netzwerkspeicher und Peered-VNets.
  • Die derzeit für die VNet-Peering-Verbindung konfigurierten Routen.

Verwalten benutzerdefinierter Routen für vorhandene Azure VNet-Peer-Verbindungen

Sie können einer vorhandenen Verbindung neue benutzerdefinierte Routen hinzufügen oder vorhandene benutzerdefinierte Routen ändern, einschließlich dem Deaktivieren oder Löschen benutzerdefinierter Routen.

Wichtig:

Durch das Ändern, Deaktivieren oder Löschen benutzerdefinierter Routen wird der Datenverkehr der Verbindung geändert und möglicherweise alle Benutzersitzungen unterbrochen, die möglicherweise aktiv sind.

So fügen Sie eine benutzerdefinierte Route hinzu:

  1. Wählen Sie in den VNet-Peering-Verbindungsdetails die Option Routen aus, und klicken Sie dann auf Route hinzufügen.
  2. Geben Sie einen Anzeigenamen, die Ziel-IP-Adresse und das Präfix sowie den nächsten Hop-Typ ein, den Sie verwenden möchten. Wenn Sie Virtuelle Appliance als Next-Hop-Typ auswählen, geben Sie die interne IP-Adresse der Appliance ein.
  3. Geben Sie an, ob Sie die benutzerdefinierte Route aktivieren möchten. Standardmäßig ist die benutzerdefinierte Route aktiviert.
  4. Klicken Sie auf Route hinzufügen.

So ändern oder deaktivieren Sie eine benutzerdefinierte Route:

  1. Wählen Sie in den VNet-Peering-Verbindungsdetails die Option Routen aus, und suchen Sie dann die benutzerdefinierte Route, die Sie verwalten möchten.
  2. Wählen Sie im Ellipsenmenü die Option Bearbeiten aus.

    Registerkarte "Routen" in der VNet-Peering-Detailseite

  3. Nehmen Sie bei Bedarf alle erforderlichen Änderungen an der Ziel-IP-Adresse und -Präfix oder am nächsten Hop-Typ vor.
  4. Um eine benutzerdefinierte Route zu aktivieren oder zu deaktivieren, klicken Sie unter Diese Route aktivieren? die Option Ja oder Nein aus.
  5. Klicken Sie auf Speichern.

So löschen Sie eine benutzerdefinierte Route:

  1. Wählen Sie in den VNet-Peering-Verbindungsdetails die Option Routen aus, und suchen Sie dann die benutzerdefinierte Route, die Sie verwalten möchten.
  2. Wählen Sie im Ellipsenmenü die Option Löschen aus.
  3. Wählen Sie Route löschen kann aktive Sitzungen stören, um die Auswirkungen des Löschens der benutzerdefinierten Route zu bestätigen.
  4. Klicken Sie auf Route löschen.

Löschen einer Azure VNet-Peering-Verbindung

Bevor Sie einen Azure VNet-Peer löschen können, entfernen Sie alle zugehörigen Kataloge. Siehe Löschen eines Maschinenkatalogs.

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen.
  2. Wählen Sie die Verbindung aus, die Sie löschen möchten.
  3. Klicken Sie in den Verbindungsdetails auf Verbindung löschen.

Informationen zu SD-WAN-Verbindungen

Citrix SD-WAN optimiert alle Netzwerkverbindungen, die von Citrix Virtual Apps and Desktops Standard für Azure benötigt werden. Zusammen mit den HDX-Technologien bietet Citrix SD-WAN Servicequalität und Verbindungszuverlässigkeit für ICA- und Out-of-Band-Datenverkehr von Citrix Virtual Apps and Desktops Standard. Citrix SD-WAN unterstützt die folgenden Netzwerkverbindungen:

  • Multi-Stream-ICA-Verbindung zwischen Benutzern und ihren virtuellen Desktops
  • Internetzugriff vom virtuellen Desktop auf Websites, SaaS-Apps und andere Cloud-Eigenschaften
  • Zugriff vom virtuellen Desktop zurück auf lokale Ressourcen wie Active Directory, Dateiserver und Datenbankserver
  • Echtzeit/interaktiver Datenverkehr, der RTP von der Medien-Engine in der Workspace-App auf cloudgehostete Unified Communications-Dienste wie Microsoft Teams übertragen wird
  • Clientseitiges Abrufen von Videos von Websites wie YouTube und Vimeo

Wie in der folgenden Grafik gezeigt, erstellen Sie eine SD-WAN-Verbindung aus dem von Citrix verwalteten Azure-Abonnement für Ihre Websites. Während der Verbindungserstellung werden SD-WAN VPX-Appliances im Citrix verwalteten Azure-Abonnement erstellt. Aus Sicht des SD-WAN wird dieser Standort als Zweig behandelt.

SD-WAN-Verbindungen

Anforderungen an die SD-WAN-Verbindung und Vorbereitung

  • Wenn die folgenden Anforderungen nicht erfüllt sind, ist die SD-WAN-Netzwerkverbindungsoption nicht verfügbar.

    • Citrix Cloud-Berechtigungen: Citrix Virtual Apps and Desktops Standard für Azure und SD-WAN Orchestrator.
    • Eine installierte und konfigurierte SD-WAN-Bereitstellung. Die Bereitstellung muss einen Master Control Node (MCN) in der Cloud oder lokal enthalten und mit SD-WAN Orchestrator verwaltet werden.
  • VNet-IP-Bereich: Geben Sie einen verfügbaren CIDR-Adressraum (IP-Adresse und Netzwerkpräfix) an, der unter den Netzwerkressourcen eindeutig ist, die verbunden sind. Dies ist der IP-Bereich, der den VMs innerhalb des Citrix Virtual Apps and Desktops Standard VNet zugewiesen wird.

    Stellen Sie sicher, dass Sie einen IP-Bereich angeben, der keine Adressen überlappt, die Sie in Ihrer Cloud und lokalen Netzwerken verwenden.

    • Wenn Ihr Netzwerk beispielsweise über einen Adressraum 10.0.0.0 /16 verfügt, erstellen Sie die Verbindung in Citrix Virtual Apps and Desktops Standard wie 192.168.0.0 /24.
    • In diesem Beispiel wird das Erstellen einer Verbindung mit einem IP-Bereich 10.0.0.0 /24 als überlappender Adressbereich betrachtet.

    Wenn sich Adressen überschneiden, wird die Verbindung möglicherweise nicht erfolgreich erstellt. Es funktioniert auch nicht ordnungsgemäß für Site-Administrationsaufgaben.

  • Die Verbindungskonfiguration umfasst Aufgaben, die Sie (der Dienstadministrator) und der SD-WAN Orchestrator Administrator ausführen müssen. Außerdem benötigen Sie Informationen, die vom SD-WAN Orchestrator Administrator bereitgestellt werden.

    Es wird empfohlen, dass Sie beide die Anleitung in diesem Dokument sowie die SD-WAN-Dokumentation überprüfen, bevor Sie eine Verbindung herstellen.

Erstellen einer SD-WAN-Verbindung

Wichtig:

Weitere Informationen zur SD-WAN-Konfiguration finden Sie unter SD-WAN-Konfiguration für CMD-Integration.

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen.
  2. Klicken Sie auf Verbindung hinzufügen.
  3. Klicken Sie auf der Seite Netzwerkverbindung hinzufügen auf eine beliebige Stelle im Feld SD-WAN.
  4. Die nächste Seite fasst zusammen, was vor uns liegt. Wenn Sie mit dem Lesen fertig sind, klicken Sie auf Konfigurieren von SD-WAN starten.
  5. Geben Sie auf der Seite SD-WAN konfigurieren die vom SD-WAN Orchestrator Administrator bereitgestellten Informationen ein.

    • Bereitstellungsmodus: Wenn Sie Hochverfügbarkeit auswählen, werden zwei VPX-Appliances erstellt (empfohlen für Produktionsumgebungen). Wenn Sie Standalone auswählen, wird eine Appliance erstellt. Sie können diese Einstellung später nicht ändern. Um in den Bereitstellungsmodus zu wechseln, müssen Sie den Zweig und alle zugehörigen Kataloge löschen und neu erstellen.
    • Name: Geben Sie einen Namen für die SD-WAN-Site ein.
    • Durchsatz und Anzahl der Niederlassungen: Diese Informationen werden von Ihrem SD-WAN Orchestrator Administrator bereitgestellt.
    • Region: Die Region, in der die VPX-Appliances erstellt werden.
    • VDA-Subnetz und SD-WAN-Subnetz: Diese Informationen werden vom SD-WAN Orchestrator Administrator bereitgestellt. Weitere Informationen zum Vermeiden von Konflikten finden Sie unter Anforderungen an die SD-WAN-Verbindung und Vorbereitung.
  6. Wenn Sie fertig sind, klicken Sie auf Zweig erstellen.
  7. Die nächste Seite fasst zusammen, wonach Sie im Dashboard Verwalten suchen müssen. Wenn Sie mit dem Lesen fertig sind, klicken Sie auf Got it.
  8. Auf dem Dashboard Verwalten zeigt der neue SD-WAN-Eintrag unter Netzwerkverbindungen den Fortschritt des Konfigurationsprozesses an. Wenn der Eintrag mit der Meldung Warten Aktivierung durch SD-WAN-Administrator orange wird, benachrichtigen Sie Ihren SD-WAN Orchestrator Administrator.
  9. Informationen zu SD-WAN Orchestrator-Administratoraufgaben finden Sie in der SD-WAN Orchestrator-Produktdokumentation.
  10. Wenn der SD-WAN Orchestrator Administrator beendet ist, wird der SD-WAN-Eintrag unter Netzwerkverbindungen grün mit der Meldung Sie können Kataloge mit dieser Verbindung erstellen.

SD-WAN-Verbindungsdetails anzeigen

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen.
  2. Wählen Sie SD-WAN, wenn es nicht die einzige Auswahl ist.
  3. Klicken Sie auf die Verbindung, die angezeigt werden soll.

Das Display beinhaltet:

  • Registerkarte Details: Informationen, die Sie bei der Konfiguration der Verbindung angegeben haben.
  • Registerkarte Zweigkonnektivität: Name, Cloud-Konnektivität, Verfügbarkeit, Bandbreitenebene, Rolle und Standort für jede Zweigstelle und MCN.

Löschen einer SD-WAN-Verbindung

Bevor Sie eine SD-WAN-Verbindung löschen können, entfernen Sie alle zugehörigen Kataloge. Siehe Löschen eines Maschinenkatalogs.

  1. Erweitern Sie im Dashboard Verwalten im Dienst auf der rechten Seite Netzwerkverbindungen.
  2. Wählen Sie SD-WAN, wenn es nicht die einzige Auswahl ist.
  3. Klicken Sie auf die zu löschende Verbindung, um deren Details zu erweitern.
  4. Klicken Sie auf der Registerkarte Details auf Verbindung löschen .
  5. Bestätigen Sie die Löschung.