Servicekontinuität

Durch die Servicekontinuität können Benutzer eine Verbindung zu ihren DaaS-Apps und -Desktops herstellen, wenn sie beispielsweise aufgrund eines Ausfalls oder eines Netzwerkverbindungsproblems keine Verbindung zu Citrix Workspace™ oder DaaS herstellen können.

Die Servicekontinuität funktioniert durch die sichere Zwischenspeicherung von Verbindungsleases (langlebige Autorisierungstoken) auf dem lokalen Gerät. Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, werden für jede für den Benutzer veröffentlichte Ressource Verbindungsleasedateien im Benutzerprofil gespeichert. Workspace-Verbindungsleasedateien werden signiert und verschlüsselt und dem Benutzer und dem Gerät des Benutzers zugeordnet. Standardmäßig ermöglicht das Verbindungsleasen den Benutzern sieben Tage lang den Zugriff auf Apps und Desktops. Sie können dies jedoch auf bis zu 30 Tage ändern.

Wenn Benutzer die Citrix Workspace-App beenden, wird nur die Citrix Workspace-App geschlossen. Die Workspace-Verbindungsleases werden beibehalten. Sie können die Dienstkontinuität so konfigurieren, dass Workspace-Verbindungsleases gelöscht oder beibehalten werden, wenn sich Benutzer explizit von Citrix Workspace abmelden, indem sie auf die Schaltfläche Abmelden klicken. Standardmäßig werden Workspace-Verbindungsleases von Benutzergeräten gelöscht, wenn sich Benutzer durch Klicken auf die Schaltfläche Abmelden abmelden.

Servicekontinuität wird für Double-Hop-Szenarien unterstützt, wenn die Citrix Workspace-App auf einem virtuellen Desktop installiert ist.

Einen ausführlichen technischen Artikel über Servicekontinuität und andere Citrix Cloud-Features zur Verbindungsstabilität finden Sie unter Resilienz von Citrix Cloud.

Hinweis:

Das veraltete Citrix DaaS™-Feature “Verbindungsleasing” ähnelt den Workspace-Verbindungsleasings, weil es die Verbindungsstabilität bei Ausfällen verbesserte. Ansonsten stehen das veraltete Feature und Servicekontinuität nicht im Zusammenhang.

Einrichten des Benutzergeräts

Um während eines Ausfalls mit Servicekontinuität auf Ressourcen zuzugreifen, muss sich ein Benutzer zuvor mit der Citrix Workspace-App oder seinem Webbrowser mit der Citrix-Weberweiterung bei Citrix Workspace angemeldet haben.

Um die Citrix Workspace-App zu verwenden, müssen Benutzer die folgenden Schritte auf ihren Geräten ausführen:

1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
2. Fügen Sie der Citrix Workspace-App die Workspace-URL für Ihre Organisation hinzu (z. B. https://example.cloud.com).
3. Melden Sie sich bei Citrix Workspace an.

Bei Verwendung eines Webbrowsers:

1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
2. Fügen Sie ihrem Browser Citrix-Weberweiterungen hinzu.
3. Öffnen Sie die Workspace-URL in ihrem Browser.
4. Anmelden.

Dieses Video zeigt, wie die Servicekontinuität im Browser installiert und verwendet wird.

Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, lädt die Servicekontinuität Workspace-Verbindungsleases auf sein Gerät herunter. Das Herunterladen von Workspace-Verbindungsleases kann bei der erstmaligen Anmeldung bis zu 15 Minuten dauern. Benutzer können während des Downloads weiterhin veröffentlichte Ressourcen starten.

Benutzererfahrung während eines Ausfalls

Bei aktivierter Servicekontinuität wird die Benutzererfahrung während eines Ausfalls von mehreren Faktoren bestimmt:

• Welche Art von Ausfall liegt vor?
• Ist die Citrix Workspace-App mit Domänen-Passthrough-Authentifizierung konfiguriert?
• Ist für die App oder den Desktop, mit dem bzw. der sich der Benutzer verbindet, die Sitzungsfreigabe aktiviert?

Bei einigen Ausfällen können Benutzer ohne Beeinträchtigung weiter auf DaaS zugreifen. Bei anderen Ausfällen ändert sich möglicherweise die Darstellung von Workspace oder der Benutzer wird aufgefordert, Maßnahmen zu ergreifen.

In dieser Tabelle wird zusammengefasst, wie die Servicekontinuität den Zugriff von Benutzern auf Apps und Desktops bei Ausfällen verschiedenen Typs unterstützt.

Citrix Workspace-Ausfall

Bei einem Ausfall von Citrix Workspace wird über der Citrix Workspace-Homepage folgende Meldung angezeigt: “Es kann keine Verbindung zu einigen Ihrer Ressourcen hergestellt werden. Einige virtuelle Apps und Desktops sind möglicherweise noch verfügbar.” Benutzer sehen Apps und Desktops, auf die sie während des Ausfalls zugreifen können. Wenn die App oder der Desktop nicht verfügbar ist, erscheint das Symbol abgeblendet.

Um auf Ressourcen zuzugreifen, die während eines Ausfalls verfügbar sind, wählen Benutzer ein Ressourcensymbol aus, das nicht abgeblendet ist.

Ressourcen starten

Je nach Konfiguration von Citrix Workspace-App und VDAs werden Benutzer bei einem Ausfall gegebenenfalls aufgefordert, ihre Anmeldeinformationen im Windows-Anmeldebildschirm einzugeben. In diesem Fall geben Benutzer ihre Active Directory (AD)-Anmeldeinformationen oder Ihre Smartcard-PIN ein, um auf Apps oder Desktops zuzugreifen.

Benutzer können auf Ressourcen zugreifen, ohne ihre AD-Anmeldeinformationen einzugeben, wenn die Citrix Workspace-App für Windows mit Domänen-Passthroughauthentifizierung konfiguriert ist. Weitere Informationen finden Sie unter Einmalige Anmeldung mit der grafischen Benutzeroberfläche konfigurieren.

Wenn die Sitzungsfreigabe aktiviert ist, können Benutzer auf Apps oder Desktops zugreifen, die auf demselben VDA gehostet werden, nachdem sie ihre Anmeldeinformationen für eine Ressource auf diesem VDA angegeben haben. Die Sitzungsfreigabe ist für die Anwendungsgruppe konfiguriert, die die Ressource auf dem VDA enthält. Informationen zum Konfigurieren von Anwendungsgruppen finden Sie unter Erstellen von Anwendungsgruppen.

In allen anderen Konfigurationen werden Benutzer aufgefordert, ihre AD-Anmeldeinformationen am VDA erneut einzugeben, bevor sie auf Ressourcen zugreifen.

Ausfälle des Identitätsanbieters

Während eines Ausfalls des Identitätsanbieters für die Workspaceauthentifizierung können sich Benutzer möglicherweise nicht über die Workspaceanmeldeseite bei Citrix Workspace anmelden.

Bei Verwendung der Citrix Workspace-App wird diese Meldung nach 40 Sekunden oben im Fenster angezeigt.

Bei Verwendung eines Webbrowsers wird nach 60 Sekunden das folgende Popup angezeigt.

Danach wird die Homepage von Citrix Workspace angezeigt. Der Zugriff auf Ressourcen erfolgt dann wie bei einem Ausfall von Citrix Workspace.

Beenden und Abmeldeverhalten

Unabhängig von der Art des Ausfalls können Benutzer weiterhin auf Ressourcen zugreifen, wenn sie die Citrix Workspace-App oder den Browser beenden und neu starten, auch nach einem Neustart ihrer Geräte.

In der Standardkonfiguration der Servicekontinuität verlieren Benutzer den Zugriff auf ihre Ressourcen, wenn sie sich explizit von Citrix Workspace abmelden. Wenn Benutzer nach der Abmeldung weiterhin Zugriff auf ihre Ressourcen haben sollen, geben Sie an, dass Workspace-Verbindungsleases beim Abmelden der Benutzer beibehalten werden. Siehe Konfigurieren von Servicekontinuität.

Browser-Benutzererfahrung bei Ausfall

Um offline auf verfügbare Apps und Desktops zuzugreifen, können Benutzer auf Offlinemodus verwenden klicken.

Um die Eingabeaufforderung für den Offlinemodus zu verwalten, klicken Sie im Browser auf dem Benutzergerät auf die Citrix-Weberweiterung. Der folgende Bildschirm wird angezeigt:

Benutzer können die Option Offline arbeiten verwenden, um manuell in den Offlinemodus zu wechseln, ohne 60 Sekunden auf die Aufforderung zum Offlinemodus warten zu müssen.

Bei einigen Ausfällen wird bei erkannten Workspace-Problemen automatisch das Fenster angezeigt, in dem Benutzer zur Offlinearbeit aufgefordert werden. Der Benutzer muss keine Maßnahmen ergreifen oder das Timeoutintervall für die Abmeldung abwarten.

Anforderungen und Einschränkungen

Site-Anforderungen

• Wird in allen Editionen von Citrix DaaS mit Citrix Workspace unterstützt.

• Nicht unterstützt für Citrix Workspace mit Siteaggregation für on-premises Virtual Apps und Desktops.

• Nicht unterstützt, On-Premises-Citrix Gateway als ICA-Proxy verwendet wird. (Die Verwendung des Citrix Gateway Service als Workspace-Authentifizierungsmethode wird unterstützt.)

Anforderungen für Benutzergeräte

Unterstützte Mindestversionen der Citrix Workspace-App:

• Citrix Workspace-App für Windows 2106
• Citrix Workspace-App für Linux 2106
• Citrix Workspace-App für Mac 2106
• Citrix Workspace-App für Android 22.2.0
• Citrix Workspace-App für iOS 22.4.5
• Citrix Workspace-App für ChromeOS 2301

Bei Zugriff auf Apps und Desktops über einen Browser:

• Citrix Workspace-App 2109 für Windows (Mindestversion). Unterstützt von Google Chrome und Microsoft Edge.
• Mindestens Citrix Workspace-App für Mac Version 2112 zur Verwendung mit Google Chrome.
• Die Citrix Workspace-App für Windows (Store) wird nicht unterstützt.

Bei Verwendung von VDAs ohne Connector:

• Citrix Workspace-App für Windows 2309 oder höher

Nur ein Benutzer pro Gerät unterstützt. Kiosk- oder “Hot Desk”-Benutzergeräte werden nicht unterstützt.

Anforderungen und Einschränkungen des Webbrowsers

Beim Zugriff auf einen Store über einen Webbrowser müssen Benutzer einen -Browser verwenden, der von Citrix Web Extensions unterstützt wird.

Wenn Benutzer während eines Ausfalls Cookies und andere Sitedaten im Browser löschen, funktioniert die Servicekontinuität erst, wenn Benutzer sich erneut bei Workspace authentifizieren.

Die Servicekontinuität wird im Inkognito- oder InPrivate-Modus nicht unterstützt.

Unterstützte Workspace-Authentifizierungsverfahren

• Active Directory
• Active Directory plus Token
• Microsoft Entra ID
• Okta
• Citrix Gateway (Anspruch des primären Benutzers muss von AD stammen)
• SAML 2.0
• Bedingte Authentifizierung

Authentifizierungsbeschränkungen

• Single Sign-On mit Citrix Verbundauthentifizierungsdienst (FAS) wird nicht unterstützt. Die Benutzer geben ihre AD-Anmeldeinformationen in die Windows-Benutzeroberfläche zur Anmeldung des VDAs ein.
• Single Sign-On bei VDA mit zwischengespeicherten Active Directory-Anmeldeinformationen wird nicht unterstützt.
• Lokale zugeordnete Konten werden nicht unterstützt.
• VDAs können über eine Microsoft Entra-ID oder ein AD verbunden sein. Hybrid verbundene Maschinen werden nicht unterstützt
• Bei Verwendung der adaptiven Authentifizierung muss die adaptive Authentifizierung oder der Dienst erreichbar bleiben, damit die Dienstkontinuität gewährleistet ist.
• Wenn Sie den Gerätestatusdienst verwenden, muss der Gerätestatusdienst erreichbar bleiben, damit die Servicekontinuität gewährleistet ist. Um die Sicherheit zu gewährleisten, überprüft die Dienstkontinuität die Ergebnisse des letzten Scans der Geräteposition, bevor eine Sitzung gestartet wird. Wenn die Ergebnisse des Scans nicht verfügbar oder veraltet sind, verhindert die Servicekontinuität den Sitzungsstart und stellt die Einhaltung der Sicherheitsrichtlinien sicher.
• Bei VDAs ohne Connector wird die Anmeldung mit Windows Hello im virtuellen Desktop nicht unterstützt. Derzeit werden nur Benutzername und Kennwort unterstützt. Wenn ein Benutzer versucht, sich mit einem Windows Hello-Verfahren anzumelden, wird gemeldet, dass er nicht der vermittelte Benutzer ist, und die Sitzung wird getrennt. Zugeordnete Verfahren sind PIN, FIDO2-Schlüssel, Multifaktorauthentifizierung usw.

Skalierung und Größe von Citrix Cloud Connector™

• 4 vCPUs oder mehr
• 6 GB Speicher oder mehr

Citrix Cloud Connector-Konnektivität

Citrix Cloud Connector muss https://rootoftrust.apps.cloud.com erreichen können. Konfigurieren Sie Ihre Firewall entsprechend. Weitere Informationen zur Cloud Connector-Firewall finden Sie unter Konfiguration von Cloud Connector-Proxy und Firewall.

Einschränkungen bei der Verbindungsoptimierung

Advanced Endpoint Analysis (EPA) wird nicht unterstützt.

Enlightened Data Transport (EDT) wird bei Ausfällen nicht unterstützt.

VDA-Anforderungen und -Einschränkungen

• Bei Connectors registrierte VDAs: 7.15 LTSR oder höher. Für VDAs ohne Anschluss: 2402 oder höher.
• VDAs müssen online sein, damit Benutzer während eines Ausfalls auf VDA-Ressourcen zugreifen können. Die Servicekontinuität schützt nicht vor Ausfällen von Plattformen, auf denen die VDAs gehostet werden, wie etwa Azure oder AWS.
• Für bei Connectors registrierte VDAs werden bei Ausfällen folgende Workloads unterstützt:
  • Gehostete freigegebene Apps und Desktops
  • Zufällige, nicht beständige Desktops (gepoolte VDI-Desktops) mit Energieverwaltung
  • Statische, nicht beständige Desktops
  • Statische, permanente Desktops, einschließlich Remote-PC-Zugriff

  Hinweis:

  Eine Zuweisung bei erster Verwendung (Assign on First Use) wird bei Ausfällen nicht unterstützt. Zufällige nicht persistente Desktops mit Energieverwaltung sind standardmäßig nicht verfügbar, wenn Cloud Connectors die Verbindung mit Citrix Cloud verlieren, es sei denn, ReuseMachinesWithoutShutdownInOutage ist für die Bereitstellungsgruppe konfiguriert. Weitere Informationen finden Sie unter Unterstützung für Anwendungen und Desktops.

• Für VDAs ohne Connector, die Rendezvous V2 verwenden, werden bei Ausfällen folgende Workloads unterstützt:
  • Statisch beständige Desktops

Weitere Informationen zu verfügbaren VDA-Funktionen während Ausfällen finden Sie unter Verwaltung von VDAs bei Ausfällen.

Anforderungen und Einschränkungen für die lokale Tastaturzuordnung

Der Windows-Anmeldebildschirm, in dem Benutzer sich erneut auf dem VDA authentifizieren sollen, unterstützt keine lokale Tastaturzuordnung. Laden Sie im Voraus die von Benutzern benötigten Tastaturlayouts, damit Benutzer mit lokaler Tastaturzuordnung sich bei einem Ausfall erneut authentifizieren können.

Warnung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors erfolgt auf eigene Gefahr. Erstellen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Bearbeiten Sie diesen Registrierungsschlüssel im VDA-Image:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Das entsprechende Sprachpaket im Image des virtuellen Desktops muss installiert sein.

Eine Liste mit Tastatur-IDs für verschiedene Tastatursprachen finden Sie unter Keyboard Identifiers and Input Method Editors for Windows.

Konfigurieren der Netzwerkkonnektivität des Ressourcenstandorts für Servicekontinuität

Sie können Ihren Ressourcenstandort so konfigurieren, dass er Verbindungen von außerhalb und/oder innerhalb Ihres LANs akzeptiert.

Konfigurieren von Verbindungen innerhalb Ihres LANs

1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Zugriff.
2. Wählen Sie Konnektivität konfigurieren.
3. Wählen Sie Nur interne als Konnektivitätstyp.
4. Klicken Sie auf Speichern.

Konfigurieren Sie die Citrix Cloud Connector- und die VDA-Firewall so, dass sie Verbindungen über den TCP-Port 2598 des Common Gateway Protocol (CGP) akzeptieren. Diese Konfiguration ist die Standardeinstellung.

Konfigurieren von Verbindungen von außerhalb Ihres LANs

1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Zugriff.
2. Wählen Sie Konnektivität konfigurieren.
3. Wählen Sie Gateway Service als Konnektivitätstyp.
4. Klicken Sie auf Speichern.

Konfigurieren von Verbindungen sowohl von außerhalb als auch innerhalb Ihres LANs

Führen Sie folgenden PowerShell-Befehl aus:

Set-ConfigZone -InputObject (get-configzone -ExternalUid YourResourceLocationExternalUid) -EnableHybridConnectivityForResourceLeases $true

Ersetzen Sie YourResourceLocationExternalUid durch die externe UID des Ressourcenstandorts.

Dieser Befehl ermöglicht bei Ausfällen direkte Verbindungen zum FQDN des Citrix Cloud Connector über TCP 2598. Wenn diese Verbindung fehlschlägt, wird Gateway Service als Fallback verwendet. Zur Verringerung der Latenz ermöglichen Sie internen Benutzern, das Gateway zu umgehen und sich direkt mit dem Ressourcenstandort zu verbinden.

Hinweis:

Dieser PowerShell-Befehl ähnelt der direkten Workloadverbindung insofern, als er zur Optimierung der Workspace-Konnektivität internen Benutzern die Herstellung einer direkten Verbindung zu VDAs unter Umgehung des Gateways ermöglicht. Bei aktivierter Servicekontinuität ist die direkte Workloadverbindung bei Ausfällen nicht verfügbar.

Konfigurieren von Servicekontinuität

So aktivieren Sie das Servicekontinuität-Feature für Ihre Site:

1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Servicekontinuität.

2. Setzen Sie Verbindungsleasing für den Workspace auf Aktiviert.

   

3. Legen Sie unter Verbindungsleasingzeitraum fest, wie viele Tage eine Verbindung mit einem Workspace-Verbindungslease aufrechterhalten werden kann. Der Workspace-Verbindungsleasingzeitraum gilt für alle Workspace-Verbindungsleases auf Ihrer Site. Der Workspace-Verbindungsleasingzeitraum beginnt mit der ersten Anmeldung eines Benutzers beim Citrix Cloud Workspace-Store. Workspace-Verbindungsleases werden mit jeder Anmeldung des Benutzers aktualisiert, bis zu einmal am Tag. Der Workspace-Verbindungsleasingzeitraum kann 1 bis 30 Tage lang sein. Der Standardwert beträgt sieben Tage.
4. Klicken Sie auf Speichern.

Wenn Sie die Servicekontinuität aktivieren, wird sie für alle Bereitstellungsgruppen Ihrer Site aktiviert. Verwenden Sie den folgenden PowerShell-Befehl, um die Servicekontinuität für eine Bereitstellungsgruppe zu deaktivieren:

Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false

Ersetzen Sie deliverygroup durch den Namen der Bereitstellungsgruppe.

Standardmäßig werden Workspace-Verbindungsleases vom Benutzergerät gelöscht, wenn sich der Benutzer während eines Ausfalls von Citrix Workspace abmeldet. Wenn Sie möchten, dass Workspace-Verbindungsleases auf Benutzergeräten verbleiben, nachdem sich Benutzer abgemeldet haben, verwenden Sie den folgenden PowerShell-Befehl:

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

Hinweise:

• Workspace-Verbindungsleasings können nicht so eingestellt werden, dass sie auf Benutzergeräten verbleiben, nachdem sich Benutzer für Benutzer abgemeldet haben, die eine Verbindung mit der Citrix Workspace-App für Mac herstellen. Citrix Workspace für Mac kann den Wert der Eigenschaft DeleteResourceLeaseOnLogOff nicht lesen.
• Nach der Konfiguration der Einstellung kann es bis zu 12 Stunden dauern, bis die Workspace-App-Clients aktualisiert werden.

Servicekontinuität für Workloads ohne Connector konfigurieren

Die Servicekontinuität für Workloads ohne Connector muss pro Ressourcenstandort konfiguriert werden.

1. Installieren Sie VDA 2402 für mit Microsoft Entra ID verbundene VDAs.

   1. Aktivieren Sie den CLXMTP-Dienst auf den VDAs, indem Sie den folgenden Registrierungsschlüssel festlegen:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ClxMtpService]
    "ClxMtpSvcEnabled"=dword:00000001
    "ClxMtpTimeoutInMilliSeconds"=dword:00035000
    "ClxMtpFsmLogLevel"=dword:00000003
   
    <!--NeedCopy-->
   

   Hinweis:

   Bei MCS-bereitgestellten VDAs sollten Sie diese Registrierungsschlüssel auf dem Masterimage festlegen

2. Erstellen Sie einen mit Microsoft Entra ID verknüpften Katalog.

3. Erstellen einer Bereitstellungsgruppe.

   Hinweis

   Es werden nur dedizierte Desktops unterstützt. Weisen Sie den Desktop einem Benutzer zu.

4. Servicekontinuität aktivieren.
5. Aktivieren Sie die Dienstkontinuität für Workloads ohne Connector am Standort der Ressource ohne Connector, indem Sie die folgende PowerShell ausführen.

     powershell
   Set-ConfigZone -Name <zoneName> -EnableVdaConnectivityForResourceLeases $true
   <!--NeedCopy-->

Funktionsweise von Servicekontinuität

Wenn kein Ausfall vorliegt, erfolgt der Benutzerzugriff auf virtuelle Apps und Desktops mit ICA-Dateien. Citrix Workspace generiert eine eindeutige ICA-Datei, sobald ein Benutzer das Symbol einer virtuellen App oder eines virtuellen Desktops auswählt. Jede ICA-Datei enthält ein STA-Ticket und ein Anmeldeticket, das jeweils nur einmal eingelöst werden kann, um autorisierten Zugriff auf virtuelle Ressourcen zu erhalten. Die Tickets in jeder ICA-Datei sind nur etwa 90 Sekunden gültig. Nachdem das Ticket in einer ICA-Datei verwendet wurde oder abläuft, benötigt der Benutzer eine andere ICA-Datei von Citrix Workspace, um auf Ressourcen zuzugreifen. Bei nicht aktivierter Servicekontinuität können Ausfälle den Benutzerzugriff auf Ressourcen verhindern, wenn Citrix Workspace keine ICA-Datei generieren kann.

Citrix Workspace generiert ICA-Dateien, wenn Benutzer virtuelle Apps und Desktops starten, unabhängig davon, ob Serviceaktivität aktiviert ist. Bei aktivierter Servicekontinuität generiert Citrix Workspace auch den eindeutigen Satz von Dateien, aus denen ein Workspace-Verbindungslease besteht. Im Gegensatz zu ICA-Dateien werden Workspace-Verbindungsleasedateien generiert, wenn der Benutzer sich bei Citrix Workspace anmeldet, nicht wenn der Benutzer die Ressource startet. Wenn ein Benutzer sich bei Citrix Workspace anmeldet, werden Verbindungsleasedateien für jede für diesen Benutzer veröffentlichte Ressource generiert. Workspace-Verbindungsleases enthalten Informationen, die dem Benutzer Zugriff auf virtuelle Ressourcen ermöglichen. Wenn ein Benutzer aufgrund eines Ausfalls sich weder bei Citrix Workspace anmelden noch mit einer ICA-Datei auf Ressourcen zugreifen kann, gewährt das Verbindungslease autorisierten Zugriff auf die Ressource.

Start von Sitzungen bei Ausfällen

Wenn Benutzer während eines Ausfalls auf das Symbol einer App oder eines Desktops klicken, findet die Citrix Workspace-App die entsprechende Workspace-Verbindungslease auf dem Benutzergerät. Die Citrix Workspace-App öffnet dann eine Verbindung. Wenn die Konnektivität mit dem Ressourcenstandort, der die App oder den Desktop hostet, so konfiguriert ist, dass LAN-externe Verbindungen akzeptiert werden, wird eine Verbindung zu Citrix Gateway Service hergestellt. Wenn Sie die Konnektivität mit dem Ressourcenstandort, der die App oder den Desktop hostet, so konfigurieren, dass nur LAN-interne Verbindungen akzeptiert werden, wird eine Verbindung zum Cloud Connector hergestellt.

Wenn Sie den Workspace in einem Webbrowser öffnen, verwendet der Browser die Citrix-Weberweiterung, um mit der Citrix Workspace-App über das native Messaging-Hostprotokoll für Browsererweiterungen zu kommunizieren.

Wenn der Citrix Cloud-Broker online ist, verwendet der Cloud Connector den Citrix Cloud-Broker, um zu ermitteln, welcher VDA verfügbar ist. Ist der Citrix Cloud-Broker offline, prüft der sekundäre Broker für den Cloud Connector (“Hochverfügbarkeitsdienst”) auf Verbindungsanfragen und verarbeitet sie.

Verbundene Benutzer können bei einem Ausfall ohne Unterbrechung weiterarbeiten. Bei Wiederverbindungen und neuen Verbindungen treten minimale Verbindungsverzögerungen auf. Diese Funktionalität ähnelt der des lokalen Hostcache, erfordert jedoch kein lokales StoreFront.

Wenn ein Benutzer eine Sitzung während eines Ausfalls startet, wird eine Meldung angezeigt, dass Workspace-Verbindungsleases für den Sitzungsstart verwendet wurden:

Wenn der Benutzer sich bei der Sitzung angemeldet hat, werden folgende Eigenschaften im Workspace Connection Center angezeigt:

Die Eigenschaft “Startmodus” enthält Informationen zu den Workspace-Verbindungsleases, die zum Starten der Sitzung verwendet wurden.

Auf Geräten mit der Citrix Workspace-App für Mac zeigt Citrix Viewer an, dass Workspace-Verbindungsleases für den Sitzungsstart verwendet wurden:

Sicherheitsgrundlagen

Alle vertraulichen Informationen in den Workspace-Verbindungsleasedateien werden mit AES-256 verschlüsselt. Workspace-Verbindungsleases sind an ein öffentliches/privates Schlüsselpaar gebunden, das eindeutig mit dem jeweiligen Clientgerät verknüpft ist und auf keinem anderen Gerät verwendet werden kann. Ein integrierter kryptografischer Mechanismus erzwingt die Verwendung des eindeutigen Schlüsselpaars auf jedem Gerät.

Workspace-Verbindungsleases werden auf dem Benutzergerät unter AppData\Local\Citrix\SelfService\ConnectionLeases gespeichert.

Die Sicherheitsarchitektur von Servicekontinuität basiert auf Public-Key-Kryptographie, ähnlich einer Public Key-Infrastruktur (PKI), jedoch ohne Zertifikatsketten und Zertifizierungsstellen. Stattdessen vertrauen alle Komponenten in transitiver Vertrauensstellung einem neuen Citrix Cloud Service, der als “Root of Trust” bezeichnet wird und als Zertifizierungsstelle agiert.

Blockieren von Verbindungsleases

Wenn ein Benutzergerät verloren oder gestohlen wird oder ein Benutzerkonto geschlossen oder manipuliert wurde, können Sie Workspace-Verbindungsleases blockieren. Wenn Sie mit einem Benutzer verknüpfte Workspace-Verbindungslease blockieren kann der Benutzer keine Verbindung zu Ressourcen herstellen. Citrix Cloud generiert oder synchronisiert für den Benutzer keine Workspace-Verbindungsleases mehr.

Wenn Sie die einem Benutzerkonto zugeordneten Workspace-Verbindungsleases blockieren, blockieren Sie die Verbindung mit diesem Konto auf allen damit verknüpften Geräten. Sie können Workspace-Verbindungsleases für einen Benutzer oder für alle Benutzer in einer Benutzergruppe blockieren.

Verwenden Sie diesen PowerShell-Befehl, um Workspace-Verbindungsleases für einen einzelnen Benutzer oder eine Benutzergruppe zu widerrufen:

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

Ersetzen Sie Benutzername durch den Benutzer, der mit dem Konto verknüpft ist, dessen Verbindung Sie sperren möchten. Ersetzen Sie Benutzername durch eine Benutzergruppe, um die Verbindung von allen Konten in der Benutzergruppe zu blockieren. Ersetzen Sie Tage durch die Anzahl der Tage, an denen Verbindungen blockiert sind.

Um beispielsweise Verbindungen für xd.local/user1 für die nächsten 7 Tage zu blockieren, geben Sie Folgendes ein:

  Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Mit dem folgenden PowerShell-Befehl können Sie den Zeitraum anzeigen, für den Workspace-Verbindungsleases widerrufen sind:

Get-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie Benutzername durch den Benutzer oder die Benutzergruppe, für die Sie den Zeitraum anzeigen möchten.

Um beispielsweise den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases für xd.local/user1 widerrufen sind, geben Sie Folgendes ein:

  Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

Diese Informationen werden angezeigt:

  FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

Anhand dieser Daten können Sie sehen, dass für Benutzer xd.local/user2 Workspace-Verbindungsleases für zwei Tage widerrufen sind, vom 17. Dezember 2020 bis zum 19. Dezember 2020, jeweils um 17:34:25 UTC.

Um für ein Benutzerkonto mit widerrufenen Workspace-Verbindungsleases Verbindungen erneut zuzulassen, verwenden Sie folgenden PowerShell-Befehl:

Remove-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie Benutzername durch den blockierten Benutzer oder die blockierte Benutzergruppe, für die eine Verbindung hergestellt werden soll. Um allen blockierten Benutzerkonten den Empfang von Verbindungen zu ermöglichen, lassen Sie die Option Name weg.

Double-Hop-Szenarios

Servicekontinuität kann Benutzern den Zugriff auf virtuelle Ressourcen während eines Ausfalls im Double-Hop-Szenario ermöglichen, wenn sie sich vor dem Ausfall bei Citrix Workspace angemeldet haben. In einem Double-Hop-Szenario stellt ein physisches Benutzergerät eine Verbindung zu einem virtuellen Desktop her, auf dem die Citrix Workspace-App installiert ist. Der virtuelle Desktop verbindet sich dann mit einer weiteren virtuellen Ressource.

Im Double-Hop-Szenario kann Servicekontinuität Benutzern unabhängig von der Art des virtuellen Desktops den Zugriff auf virtuelle Ressourcen während eines Ausfalls ermöglichen. Behält der virtuelle Desktop Benutzeränderungen bei, kann Servicekontinuität außerdem bei Ausfällen Zugriff auf virtuelle Ressourcen bieten, wenn ein Benutzer nicht angemeldet ist.

Servicekontinuität behandelt das physische Benutzergerät und das virtuelle Gerät in einem Double-Hop-Szenario als einzelne Clientendpunkte. Jedes Gerät hat eigene Workspace-Verbindungsleases. Wenn sich ein Benutzer auf einem physischen Gerät bei Citrix Workspace anmeldet, werden Workspace-Verbindungsleasedateien heruntergeladen und im Benutzerprofil auf dem physischen Gerät gespeichert. Der Benutzer greift dann auf einen virtuellen Desktop zu und meldet sich dort bei Citrix Workspace an. Es wird dann ein weiterer Satz Workspace-Verbindungsleases heruntergeladen und im Benutzerprofil auf dem virtuellen Desktop gespeichert. Workspace-Verbindungsleasedateien sind mit dem Gerät verknüpft, auf das sie heruntergeladen werden. Workspace-Verbindungsleasedateien können nicht auf ein anderes Gerät kopiert und wiederverwendet werden (auch nicht von demselben Benutzer). Daher kann Servicekontinuität bei Ausfällen nach Sitzungsende keinen Zugriff auf Ressourcen bieten, wenn der virtuelle Desktop während einer Benutzersitzung vorgenommene Änderungen nicht beibehält. Bei dieser Art von virtuellem Desktop gehören Workspace-Verbindungsleases zu den Änderungen, die verworfen werden.

Servicekontinuität funktioniert in Double-Hop-Szenarios bei den verschiedenen Typen unterstützter virtueller Desktops wie nachfolgend beschrieben.

Verwaltung von VDAs bei Ausfällen

Für VDAs mit registrierten Connectors verwendet die Servicekontinuität die Funktion Lokaler Hostcache innerhalb des Citrix Cloud Connectors. Der lokale Hostcache ermöglicht das fortgesetzte Verbindungsbrokering in einer Site, wenn die Verbindung zwischen dem Cloud Delivery Controller und dem Cloud Connector getrennt wird. Da Servicekontinuität den lokalen Hostcache verwendet, gelten für das Feature zum Teil dieselben Einschränkungen wie für den lokalen Hostcache.

Hinweis:

Obwohl Servicekontinuität den lokalen Hostcache innerhalb des Cloud Connector verwendet, wird das Feature anders als der lokale Hostcache nicht mit on-premises StoreFront unterstützt.

Die Servicekontinuität für Workloads ohne Connectors unterscheidet sich von der Servicekontinuität darin, dass die Vermittlung der Sitzung über den Virtual Delivery Agent (VDA) und nicht über Cloud Connectors erfolgt. Der VDA kommuniziert mit den Citrix Cloud-Back-End-Diensten, um die Sitzung für den Benutzer entweder über eine direkte Verbindung oder den Gatewaydienst zu vermitteln, je nach den für diesen Ressourcenstandort konfigurierten Einstellungen. Weitere Informationen dazu, wie die Netzwerkkonnektivität von Ressourcenstandorten für die Servicekontinuität konfiguriert werden kann, finden Sie unter Konfigurieren der Netzwerkkonnektivität von Ressourcenstandorten für die Servicekontinuität.

Energieverwaltung von VDAs bei Ausfällen

Wenn die Verbindung von Cloud Connectors zu Citrix Cloud getrennt wird, können die Connectors keine Hypervisor-Anmeldeinformationen von Citrix Cloud empfangen. Das bedeutet:

• Während eines Ausfalls befinden sich alle Maschinen im unbekannten Energiezustand und es können keine Energieverwaltungsvorgänge ausgeführt werden. Auf dem Host eingeschaltete VMs können jedoch für Verbindungsanfragen verwendet werden.

Standardmäßig sind energieverwaltete Desktop-VDAs in gepoolten Bereitstellungsgruppen, für die die Eigenschaft ShutdownDesktopsAfterUse aktiviert ist, bei einem Ausfall nicht für neue Verbindungen verfügbar, wenn die Verbindung zwischen Cloud Connectors und Citrix Cloud getrennt wird. Sie können diese Einstellung ändern, um die Verwendung dieser Desktops zuzulassen, wenn Cloud Connectors die Verbindung mit Citrix Cloud verlieren, indem Sie das Flag ReuseMachinesWithoutShutdownInOutage für Ihre Bereitstellungsgruppen konfigurieren. Das Ändern des Parameters ReuseMachinesWithoutShutdownInOutage in $true kann dazu führen, dass Daten aus vorherigen Benutzersitzungen auf dem VDA vorhanden sind, bis dieser neu gestartet wird.

Die Energieverwaltung wird fortgesetzt, sobald der Normalbetrieb nach einem Ausfall wieder aufgenommen wird.

Maschinenzuweisung und automatische Registrierung

Zugewiesene Maschinen können nur verwendet werden, wenn die Zuweisung während des normalen Betriebs erfolgte. Neue Zuweisungen sind bei einem Ausfall nicht möglich.

Die automatische Registrierung und Konfiguration von Remote-PC-Zugriff-Maschinen ist nicht möglich. Im normalen Betrieb registrierte und konfigurierte Maschinen können dagegen verwendet werden.

VDA-Ressourcen in verschiedenen Zonen

Benutzer servergehosteter Anwendungen und Desktops können möglicherweise mehr Sitzungen verwenden als das für sie konfigurierte Sitzungslimit zulässt, wenn die Ressourcen in verschiedenen Zonen sind.

Im Gegensatz zum lokalen Hostcache kann das Servicekontinuität-Feature Apps und Desktops von registrierten VDAs in verschiedenen Zonen starten, sofern die Ressource in mehr als einer Zone veröffentlicht ist. Die Citrix Workspace-App benötigt möglicherweise länger, um eine betriebsbereite Zone zu finden, da sie sequenziell alle Zonen im Workspace-Verbindungslease durchläuft.

Überwachung und Fehlersuche

Servicekontinuität führt primär zwei Aktionen aus:

• Download von Workspace-Verbindungsleases auf das Benutzergerät. Workspace-Verbindungsleases werden generiert und mit der Citrix Workspace-App synchronisiert.
• Virtuelle Desktops und Apps über Workspace-Verbindungsleases starten.

Problembehandlung beim Download von Workspace-Verbindungsleases

Sie können Workspace-Verbindungsleases an diesem Speicherort auf dem Benutzergerät anzeigen.

Windows-Geräte:

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Benutzername ist der Name des Benutzers.

Store-GUID ist die global eindeutige Kennung des Workspace-Stores.

Benutzer-GUID ist die global eindeutige Kennung des Benutzers.

Mac-Geräte:

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

Öffnen Sie beispielsweise /Benutzer/luca/Library/Application Support/Citrix Receiver/CLSyncRoot

Unter Linux:

$HOME/.ICAClient/cache/ConnectionLease

Öffnen Sie beispielsweise /home/user1/.ICAClient/cache/ConnectionLease

Workspace-Verbindungsleases werden generiert, wenn die Citrix Workspace-App sich mit dem Workspace-Store verbindet. Zeigen Sie Registrierungsschlüsselwerte auf dem Benutzergerät an, um festzustellen, ob die Citrix Workspace-App den Workspace-Verbindungsleasingdienst in Citrix Cloud erfolgreich kontaktiert hat.

Öffnen Sie regedit auf dem Benutzergerät und zeigen Sie diesen Schlüssel an:

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

Wenn diese Werte im Registrierungsschlüssel angezeigt werden, hat die Citrix Workspace-App den Workspace-Verbindungsleasingdienst kontaktiert oder versucht, ihn zu kontaktieren:

• leaseLastCallHomeTime
• leaseLastSyncStatus

Wenn die Citrix Workspace-App erfolglos versucht hat, den Workspace-Verbindungsleasingdienst zu kontaktieren, zeigt leaseLastCallHomeTime einen Fehler mit einem ungültigen Zeitstempel an:

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

Wenn leaseLastCallHomeTime nicht initialisiert ist, hat die Citrix Workspace-App nie versucht, den Workspace-Verbindungsleasingdienst zu kontaktieren. Um dieses Problem zu beheben, entfernen Sie das Konto aus der Citrix Workspace-App und fügen Sie es erneut hinzu.

Fehlercodes der Citrix Workspace-App für Workspace-Verbindungsleases

Bei einem Servicekontinuitätsfehler auf dem Benutzergerät wird in der Fehlermeldung ein Fehlercode angezeigt. Dies sind häufige Fehler:

Zugriff auf selfservice.txt

Um zur Self-Service-Fehlerbehebung auf die Datei selfservice.txt zuzugreifen, führen Sie die folgenden Schritte aus:

1. Erstellen Sie eine leere Textdatei und nennen Sie sie enableshieldandlogging.reg.

2. Kopieren Sie den folgenden Text in die Datei und speichern Sie sie:

     Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle]
   "Tracing"="True"
   "AuxTracing"="True"
   "DefaultTracingConfiguration"="global all -detail"
   "ConnectionLeasingEnabled"="True"
   
   [HKEY_CURRENT_USER\Software\Citrix\Dazzle]
   "RemoteDebuggingPort"="8088"
   <!--NeedCopy-->
   

3. Speichern Sie Ihre gespeicherte Datei auf dem Client-Endpunkt.
4. Die Datei selfservice.txt ist jetzt unter folgendem Pfad auffindbar: %LocalAppData%\Citrix\SelfService.

Fehlerbehebung an Browsern

Stellen Sie im Menü Erweitert der Kontoeinstellungen der Citrix Workspace-Browser-App sicher, dass die aktuelle Methode für die App- und Desktop-Startpräferenz auf Citrix Workspace-App verwenden eingestellt ist. Wenn diese Option auf Webbrowser verwenden eingestellt ist, wird die Servicekontinuität im Browser nicht unterstützt.

Vergewissern Sie sich, dass das Erweiterungssymbol im Browser grün angezeigt wird, nachdem der Browser die Workspace-URL geladen hat.

Um Protokolle herunterzuladen, klicken Sie im Browser auf das Erweiterungssymbol. Klicken Sie dann auf Protokolle herunterladen.