Servicekontinuität

Das Servicekontinuität-Feature beseitigt oder minimiert die Abhängigkeit von bestimmten am Verbindungsprozess beteiligten Komponenten. Benutzer können so ihre virtuellen Apps und Desktops unabhängig vom Integritätsstatus der Cloud-Dienste starten.

Servicekontinuität ermöglicht Benutzern auch bei Ausfällen den Zugriff auf virtuelle Apps und Desktops, solange eine Netzwerkverbindung zwischen Benutzergerät und Ressourcenstandort besteht. Bei Ausfällen in Citrix Cloud-Komponenten oder öffentlichen und privaten Clouds können Benutzer sich weiterhin mit virtuellen Apps und Desktops verbinden. Benutzer können sich direkt mit dem Ressourcenstandort oder über den Citrix Gateway Service verbinden.

Durch Einsatz der Service Worker-Technologie von Progressive Web Apps werden Ressourcen in der Benutzeroberfläche zwischengespeichert, was die visuelle Darstellung veröffentlichter Ressourcen bei Ausfällen verbessert.

Servicekontinuität verwendet Workspace-Verbindungsleases, um Benutzern bei einem Ausfall den Zugriff auf Apps und Desktops zu ermöglichen. Workspace-Verbindungsleases sind langlebige Autorisierungstoken. Die Workspace-Verbindungsleasedateien werden im Cache des Benutzergeräts gespeichert. Wenn ein Benutzer sich bei Citrix Workspace anmeldet, werden im Benutzerprofil Workspace-Verbindungsleasedateien für jede für den Benutzer veröffentlichte Ressource gespeichert. Mit Servicekontinuität können Benutzer während eines Ausfalls selbst dann auf Apps und Desktops zugreifen, wenn sie eine App oder einen Desktop nie zuvor gestartet haben. Workspace-Verbindungsleasedateien sind signiert, verschlüsselt und mit dem Benutzer und dem Benutzergerät verknüpft. Bei aktivierter Servicekontinuität ermöglicht ein Workspace-Verbindungslease Benutzern standardmäßig für sieben Tage den Zugriff auf Apps und Desktops. Sie können Workspace-Verbindungsleases so konfigurieren, dass sie den Zugriff für bis zu 30 Tage ermöglichen.

Wenn Benutzer die Citrix Workspace-App beenden, wird nur die Citrix Workspace-App geschlossen. Die Workspace-Verbindungsleases werden beibehalten. Benutzer beenden die Citrix Workspace-App, indem sie mit der rechten Maustaste auf das Symbol in der Taskleiste klicken oder das Benutzergerät neu starten. Sie können Servicekontinuität so konfigurieren, dass Workspace-Verbindungsleases gelöscht oder beibehalten werden, wenn Benutzer sich während eines Ausfalls bei Citrix Workspace abmelden. Standardmäßig werden Workspace-Verbindungsleases von Benutzergeräten gelöscht, wenn Benutzer sich während eines Ausfalls abmelden.

Servicekontinuität wird für Double-Hop-Szenarien unterstützt, wenn die Citrix Workspace-App auf einem virtuellen Desktop installiert ist.

Das Servicekontinuität-Feature wird für die Citrix Workspace-App nur in nativer App unterstützt. Browsererweiterungen, die Servicekontinuität unterstützen, sind als Technical Preview verfügbar.

Einen ausführlichen technischen Artikel über Servicekontinuität und andere Citrix Cloud-Features zur Verbindungsstabilität finden Sie unter Resilienz von Citrix Cloud.

Hinweis:

Das veraltete Citrix Virtual Apps and Desktops-Feature “Verbindungsleasing” ähnelt Workspace-Verbindungsleases insofern, als dass es ebenfalls die Verbindungsstabilität bei Ausfällen verbesserte. Ansonsten stehen das veraltete Feature und Servicekontinuität nicht im Zusammenhang.

Einrichten des Benutzergeräts

Damit Benutzer während eines Ausfalls auf Ressourcen zugreifen zu können, müssen sie sich vor dem Ausfall bei Citrix Workspace anmelden. Wenn Sie das Servicekontinuität-Feature aktivieren, müssen Benutzer die folgenden Schritte auf ihren Geräten ausführen:

  1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.

  2. Hinzufügen der Workspace-URL für Ihre Organisation zur Citrix Workspace-App (z. B. https://example.cloud.com).

  3. Anmelden bei Citrix Workspace.

Benutzererfahrung während eines Ausfalls

Bei aktivierter Servicekontinuität wird die Benutzererfahrung während eines Ausfalls von mehreren Faktoren bestimmt:

  • Welche Art von Ausfall liegt vor?
  • Ist die Citrix Workspace-App mit Domänen-Passthrough-Authentifizierung konfiguriert?
  • Ist für die App oder den Desktop, mit dem bzw. der sich der Benutzer verbindet, die Sitzungsfreigabe aktiviert?

Bei einigen Ausfällen können Benutzer ohne Beeinträchtigung weiter auf ihre virtuellen Apps und Desktops zugreifen.

Je nach Konfiguration von Citrix Workspace-App und VDAs werden Benutzer bei einem Ausfall gegebenenfalls aufgefordert, ihre Anmeldeinformationen im Windows-Anmeldebildschirm einzugeben. In diesem Fall geben Benutzer ihre Active Directory (AD)-Anmeldeinformationen oder Ihre Smartcard-PIN ein, um auf Apps oder Desktops zuzugreifen. Dieser Schritt ist erforderlich, wenn Benutzeranmeldeinformationen bei einem Ausfall nicht weitergegeben werden. Benutzer müssen sich erneut beim VDA authentifizieren, bevor sie auf Apps oder Desktops zugreifen können.

In folgenden Fällen können Benutzer auch ohne Eingabe ihrer AD-Anmeldedaten auf Ressourcen zugreifen:

  • Citrix Workspace wird während der Installation für Single Sign-On konfiguriert, indem Sie das Kontrollkästchen für den Single Sign-On aktivieren.

    Kontrollkästchen für Single Sign-On

  • Die Citrix Workspace-App ist mit Domänen-Passthrough-Authentifizierung konfiguriert. Benutzer können während eines Citrix Workspace-Ausfalls auf alle verfügbaren Ressourcen zugreifen, ohne ihre Anmeldeinformationen einzugeben. Informationen zum Konfigurieren der Domänen-Passthrough-Authentifizierung für die Citrix Workspace-App für Windows finden Sie unter Konfigurieren von Single Sign-On über die grafische Benutzeroberfläche (siehe Dokumentation zur Authentifizierung).

    Hinweis:

    StoreFront ist nicht erforderlich, um während eines Ausfalls Single Sign-On auf Ihrem VDA zuzulassen.

  • Die Sitzungsfreigabe ist aktiviert. Benutzer können auf diverse Apps oder Desktops auf einem VDA zugreifen, nachdem sie ihre Anmeldeinformationen für eine einzelne Ressource auf diesem VDA bereitgestellt haben. Die Sitzungsfreigabe ist für die Anwendungsgruppe konfiguriert, die die Ressource auf dem VDA enthält. Informationen zum Konfigurieren von Anwendungsgruppen finden Sie unter Erstellen von Anwendungsgruppen.

In allen anderen Konfigurationen werden Benutzer aufgefordert, ihre AD-Anmeldeinformationen am VDA erneut einzugeben, bevor sie auf Ressourcen zugreifen.

Bei einem Ausfall von Citrix Workspace wird über der Citrix Workspace-Homepage folgende Meldung angezeigt: “Es kann keine Verbindung zu einigen Ihrer Ressourcen hergestellt werden. Einige virtuelle Apps und Desktops sind möglicherweise noch verfügbar.” Benutzer sehen Apps und Desktops, auf die sie während des Ausfalls zugreifen können. Wenn die App oder der Desktop nicht verfügbar ist, erscheint das Symbol abgeblendet. Homepage der Citrix Workspace-App mit Meldung zu Serviceausfall und Apps

Um auf Ressourcen zuzugreifen, die während eines Ausfalls verfügbar sind, wählen Benutzer ein Ressourcensymbol aus, das nicht abgeblendet ist. Nach Aufforderung geben Benutzer ihre AD-Anmeldeinformationen am VDA erneut ein, bevor sie auf Ressourcen zugreifen.

Bei einem Ausfall des Identitätsanbieters für die Workspace-Authentifizierung können Benutzer sich möglicherweise nicht über die Workspace-Anmeldeseite bei Citrix Workspace anmelden. Die Benutzer müssen die Workspace-Anmeldeseite schließen, indem sie links oben auf das X klicken. Anmeldeseite der Citrix Workspace-App

Danach wird die Homepage von Citrix Workspace angezeigt. Der Zugriff auf Ressourcen erfolgt dann wie bei einem Ausfall von Citrix Workspace.

Unabhängig von der Art des Ausfalls können Benutzer weiterhin auf Ressourcen zugreifen, wenn sie die Citrix Workspace-App beenden und neu starten. Benutzer können ihre Benutzergeräte neu starten, ohne den Zugriff auf Ressourcen zu verlieren.

In der Standardkonfiguration der Servicekontinuität verlieren Benutzer den Zugriff auf ihre Ressourcen, wenn sie sich bei Citrix Workspace abmelden. Wenn Sie möchten, dass die Benutzer nach dem Abmelden weiterhin Zugriff auf ihre Ressourcen haben, geben Sie an, dass Workspace-Verbindungsleases beibehalten werden, wenn sich die Benutzer abmelden. Siehe Konfigurieren von Servicekontinuität.

Anforderungen und Einschränkungen

Site-Anforderungen

  • Wird in allen Editionen von Citrix Virtual Apps and Desktops Service und von Citrix Virtual Apps and Desktops Standard für Azure bei Verwendung der Workspace-Benutzeroberfläche unterstützt.

  • Nicht unterstützt für Citrix Workspace mit Siteaggregation für on-premises Virtual Apps und Desktops.

  • Nicht unterstützt für on-premises Citrix Gateway.

Benutzeranforderungen

  • Mindestens Citrix Workspace-App 2106 für Windows, Citrix Workspace-App 2106 für Mac oder Citrix Workspace-App 2106 für Linux.

Hinweis:

Die Version der Citrix Workspace-App für Linux zur Verwendung mit Servicekontinuität ist ein Technical Preview.

Informationen zur Installation der Citrix Workspace-App für Linux und zu ihrer Verwendung mit Servicekontinuität finden Sie unter Citrix Workspace-App für Linux.

  • Nur für Citrix Workspace-App in nativer App unterstützt. Keine Unterstützung für Citrix Workspace-App für Web.

  • Nur ein Benutzer pro Gerät unterstützt. Kiosk- oder “Hot Desk”-Benutzergeräte werden nicht unterstützt.

  • Browsererweiterungen, die Servicekontinuität unterstützen, sind als Technical Preview verfügbar. Siehe Unterstützung für Servicekontinuität im Browser (Technical Preview).

Unterstützte Workspace-Authentifizierungsverfahren

  • Active Directory
  • Active Directory plus Token
  • Azure Active Directory
  • Okta
  • Citrix Gateway (Anspruch des primären Benutzers muss von AD stammen)
  • SAML 2.0

Authentifizierungsbeschränkungen

  • Single Sign-On mit Citrix Verbundauthentifizierungsdienst (FAS) wird nicht unterstützt. Die Benutzer geben ihre AD-Anmeldeinformationen in die Windows-Benutzeroberfläche zur Anmeldung des VDAs ein.
  • Single Sign-On bei VDA wird nicht unterstützt.
  • Lokale zugeordnete Konten werden nicht unterstützt.
  • Mit Azure AD verbundene VDAs werden nicht unterstützt. Alle VDAs müssen einer AD-Domäne beigetreten sein.

Skalierung und Größe von Citrix Cloud Connector

  • 4 vCPUs oder mehr
  • 4 GB Speicher oder mehr

Citrix Cloud Connector-Konnektivität

Citrix Cloud Connector muss https://rootoftrust.apps.cloud.com erreichen können. Konfigurieren Sie Ihre Firewall entsprechend. Weitere Informationen zur Cloud Connector-Firewall finden Sie unter Konfiguration von Cloud Connector-Proxy und Firewall.

Einschränkungen bei der Verbindungsoptimierung

Advanced Endpoint Analysis (EPA) wird nicht unterstützt.

Enlightened Data Transport (EDT) wird bei Ausfällen nicht unterstützt.

VDA-Anforderungen und -Einschränkungen

  • Unterstützt wird VDA 7.15 LTSR oder eine andere aktuelle Version, die noch nicht das EOL (Ende des Lebenszyklus) erreicht hat.
  • Mit Azure AD verbundene VDAs werden nicht unterstützt. Alle VDAs müssen einer AD-Domäne beigetreten sein.
  • VDAs müssen online sein, damit Benutzer während eines Ausfalls auf VDA-Ressourcen zugreifen können. VDA-Ressourcen sind bei einem Ausfall folgender Komponenten nicht verfügbar:
    • AWS
    • Azure
    • Cloud Delivery Controller, es sei denn, Autoscale ist für die Bereitstellungsgruppe aktiviert, die die Ressource bereitstellt

Hinweis:

Wenn Sie Citrix Hypervisor oder vSphere mit AutoScale verwenden, ist die Energieverwaltung auch bei Ausfällen des Cloud Delivery Controller verfügbar.

  • Während eines Ausfalls unterstützte VDA-Workloads:
    • Gehostete freigegebene Apps und Desktops
    • Zufällige, nicht beständige Desktops (gepoolte VDI-Desktops) mit Energieverwaltung
    • Statische, nicht beständige Desktops
    • Statische, permanente Desktops, einschließlich Remote-PC-Zugriff

    Hinweis:

    Eine Zuweisung bei erster Verwendung (Assign on First Use) wird bei Ausfällen nicht unterstützt.

Weitere Informationen zu verfügbaren VDA-Funktionen während Ausfällen finden Sie unter Verwaltung von VDAs bei Ausfällen.

Einschränkungen beim App-Schutz

Wenn App-Schutzrichtlinien für eine App oder einen Desktop aktiviert sind, wird das Symbol für die App bzw. den Desktop während eines Ausfalls nicht auf der Citrix Workspace-Homepage angezeigt. Die Benutzer können bei Ausfällen nicht auf diese Ressourcen zugreifen.

Weitere Informationen zu App-Schutzrichtlinien finden Sie unter App-Schutz.

Anforderungen und Einschränkungen für Unicode- und ASCII-Benutzernamen

Die Servicekontinuität unterstützt möglicherweise nicht alle Benutzer, die Unicode-Benutzernamen auf ihren Windows-Geräten und ASCII-Benutzernamen für ihr Citrix Workspace-Konto haben. Wenn der Unicode-Benutzername kyrillische oder ostasiatische Zeichen enthält, können Workspace-Verbindungsleasings für diese Benutzer nicht gestartet werden.

Anforderungen und Einschränkungen für die lokale Tastaturzuordnung

Der Windows-Anmeldebildschirm, in dem Benutzer sich erneut auf dem VDA authentifizieren sollen, unterstützt keine lokale Tastaturzuordnung. Laden Sie im Voraus die von Benutzern benötigten Tastaturlayouts, damit Benutzer mit lokaler Tastaturzuordnung sich bei einem Ausfall erneut authentifizieren können.

Warnung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Bearbeiten Sie diesen Registrierungsschlüssel im VDA-Image:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Das entsprechende Sprachpaket im Image des virtuellen Desktops muss installiert sein.

Eine Liste mit Tastatur-IDs für verschiedene Tastatursprachen finden Sie unter Keyboard Identifiers and Input Method Editors for Windows.

Konfigurieren der Netzwerkkonnektivität des Ressourcenstandorts für Servicekontinuität

Sie können Ihren Ressourcenstandort so konfigurieren, dass er Verbindungen von außerhalb oder innerhalb Ihres LANs akzeptiert.

Konfigurieren von Verbindungen von außerhalb Ihres LANs:

  1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Zugriff.
  2. Wählen Sie Konnektivität konfigurieren.
  3. Wählen Sie Gateway Service als Konnektivitätstyp.
  4. Klicken Sie auf Speichern.

Konfigurieren von Verbindungen innerhalb Ihres LANs:

  1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Zugriff.
  2. Wählen Sie Konnektivität konfigurieren.
  3. Wählen Sie Nur interne als Konnektivitätstyp.
  4. Klicken Sie auf Speichern.

Konfigurieren Sie die Citrix Cloud Connector- und die VDA-Firewall so, dass sie Verbindungen über den TCP-Port 2598 des Common Gateway Protocol (CGP) akzeptieren. Diese Konfiguration ist die Standardeinstellung.

Optimieren der Konnektivität mit Workspaces

Bei aktivierter Servicekontinuität ist die direkte Workloadverbindung bei Ausfällen nicht verfügbar. (Mit der direkten Workloadverbindung können interne Benutzer das Gateway umgehen und sich direkt mit VDAs verbinden, was die Latenz für den internen Netzwerkverkehr verringert. Weitere Informationen finden Sie unter Optimieren der Konnektivität zu Workspaces mit einer direkten Workloadverbindung.)

Wenn Sie Apps oder Desktops von einem Ressourcenstandort aus veröffentlichen, auf den intern und extern zugegriffen werden kann, können Sie die Latenz für den internen Netzwerkverkehr reduzieren. Zur Verringerung der Latenz ermöglichen Sie internen Benutzern, das Gateway zu umgehen und sich direkt mit dem Ressourcenstandort zu verbinden.

Verwenden Sie dieses PowerShell-Cmdlet:

Set-ConfigZone -InputObject (get-configzone -ExternalUid resourceLocation GUID ) -EnableHybridConnectivityForResourceLeases $true

Ersetzen Sie resourceLocation GUID durch den global eindeutigen Bezeichner des Ressourcenstandorts.

Dieser Befehl ermöglicht bei Ausfällen direkte Verbindungen zum FQDN des Citrix Cloud Connector über TCP 2598. Wenn diese Verbindung fehlschlägt, wird Gateway Service als Fallback verwendet.

Konfigurieren von Servicekontinuität

So aktivieren Sie das Servicekontinuität-Feature für Ihre Site:

  1. Gehen Sie im Citrix Cloud-Menü zu Workspacekonfiguration > Servicekontinuität.
  2. Setzen Sie Verbindungsleasing für den Workspace auf Aktiviert. Seite "Servicekontinuität" der Konsole
  3. Legen Sie unter Verbindungsleasingzeitraum fest, wie viele Tage eine Verbindung mit einem Workspace-Verbindungslease aufrechterhalten werden kann. Der Workspace-Verbindungsleasingzeitraum gilt für alle Workspace-Verbindungsleases auf Ihrer Site. Der Workspace-Verbindungsleasingzeitraum beginnt mit der ersten Anmeldung eines Benutzers beim Citrix Cloud Workspace-Store. Workspace-Verbindungsleases werden mit jeder Anmeldung des Benutzers aktualisiert, bis zu einmal am Tag. Der Workspace-Verbindungsleasingzeitraum kann 1 bis 30 Tage lang sein. Der Standardwert beträgt sieben Tage.
  4. Klicken Sie auf Speichern.

Standardmäßig werden Workspace-Verbindungsleases von einem Benutzergerät gelöscht, wenn der Benutzer sich während eines Ausfalls von Citrix Workspace abmeldet. Um Workspace-Verbindungsleases auf Benutzergeräten nach dem Abmelden von Benutzern aufrechtzuerhalten, verwenden Sie folgenden PowerShell-Befehl:

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

Hinweis:

Workspace-Verbindungsleasings können für Verbindungen per Citrix Workspace-App für Mac nicht so eingestellt werden, dass sie nach der Abmeldung auf Benutzergeräten verbleiben. Citrix Workspace für Mac kann den Wert der Eigenschaft DeleteResourceLeaseOnLogOff nicht lesen.

Funktionsweise von Servicekontinuität

Wenn kein Ausfall vorliegt, erfolgt der Benutzerzugriff auf virtuelle Apps und Desktops mithilfe von ICA-Dateien. Citrix Workspace generiert eine eindeutige ICA-Datei, sobald ein Benutzer das Symbol einer virtuellen App oder eines virtuellen Desktops auswählt. Jede ICA-Datei enthält ein STA-Ticket und ein Anmeldeticket, das jeweils nur einmal eingelöst werden kann, um autorisierten Zugriff auf virtuelle Ressourcen zu erhalten. Die Tickets in jeder ICA-Datei sind nur etwa 90 Sekunden gültig. Nachdem das Ticket in einer ICA-Datei verwendet wurde oder abläuft, benötigt der Benutzer eine andere ICA-Datei von Citrix Workspace, um auf Ressourcen zuzugreifen. Bei nicht aktivierter Servicekontinuität können Ausfälle den Benutzerzugriff auf Ressourcen verhindern, wenn Citrix Workspace keine ICA-Datei generieren kann.

Citrix Workspace generiert ICA-Dateien, wenn Benutzer virtuelle Apps und Desktops starten, unabhängig davon, ob Serviceaktivität aktiviert ist. Bei aktivierter Servicekontinuität generiert Citrix Workspace auch den eindeutigen Satz von Dateien, aus denen ein Workspace-Verbindungslease besteht. Im Gegensatz zu ICA-Dateien werden Workspace-Verbindungsleasedateien generiert, wenn der Benutzer sich bei Citrix Workspace anmeldet, nicht wenn der Benutzer die Ressource startet. Wenn ein Benutzer sich bei Citrix Workspace anmeldet, werden Verbindungsleasedateien für jede für diesen Benutzer veröffentlichte Ressource generiert. Workspace-Verbindungsleases enthalten Informationen, die dem Benutzer Zugriff auf virtuelle Ressourcen ermöglichen. Wenn ein Benutzer aufgrund eines Ausfalls sich weder bei Citrix Workspace anmelden noch mit einer ICA-Datei auf Ressourcen zugreifen kann, gewährt das Verbindungslease autorisierten Zugriff auf die Ressource.

Start von Sitzungen bei Ausfällen

Wenn Benutzer während eines Ausfalls auf das Symbol einer App oder eines Desktops klicken, findet die Citrix Workspace-App die entsprechende Workspace-Verbindungslease auf dem Benutzergerät. Die Citrix Workspace-App öffnet dann eine Verbindung. Wenn die Konnektivität mit dem Ressourcenstandort, der die App oder den Desktop hostet, so konfiguriert ist, dass LAN-externe Verbindungen akzeptiert werden, wird eine Verbindung zu Citrix Gateway Service hergestellt. Wenn Sie die Konnektivität mit dem Ressourcenstandort, der die App oder den Desktop hostet, so konfigurieren, dass nur LAN-interne Verbindungen akzeptiert werden, wird eine Verbindung zum Cloud Connector hergestellt.

Wenn der Citrix Cloud-Broker online ist, verwendet der Cloud Connector den Citrix Cloud-Broker, um zu ermitteln, welcher VDA verfügbar ist. Ist der Citrix Cloud-Broker offline, prüft der sekundäre Broker für den Cloud Connector (“Hochverfügbarkeitsdienst”) auf Verbindungsanfragen und verarbeitet sie.

Verbundene Benutzer können bei einem Ausfall ohne Unterbrechung weiterarbeiten. Bei Wiederverbindungen und neuen Verbindungen treten minimale Verbindungsverzögerungen auf. Diese Funktionalität ähnelt der des lokalen Hostcache, erfordert jedoch kein lokales StoreFront.

Wenn ein Benutzer eine Sitzung während eines Ausfalls startet, wird eine Meldung angezeigt, dass Workspace-Verbindungsleases für den Sitzungsstart verwendet wurden:

Fortschrittsanzeige für Sitzungsstarts

Wenn der Benutzer sich bei der Sitzung angemeldet hat, werden folgende Eigenschaften im Workspace Connection Center angezeigt:

Eigenschaften im Workspace Connection Center

Die Eigenschaft “Startmodus” enthält Informationen zu den Workspace-Verbindungsleases, die zum Starten der Sitzung verwendet wurden.

Sicherheitsgrundlagen

Alle vertraulichen Informationen in den Workspace-Verbindungsleasedateien werden mit AES-256 verschlüsselt. Workspace-Verbindungsleases sind an ein öffentliches/privates Schlüsselpaar gebunden, das eindeutig mit dem jeweiligen Clientgerät verknüpft ist und auf keinem anderen Gerät verwendet werden kann. Ein integrierter kryptografischer Mechanismus erzwingt die Verwendung des eindeutigen Schlüsselpaars auf jedem Gerät.

Workspace-Verbindungsleases werden auf dem Benutzergerät unter AppData\Local\Citrix\SelfService\ConnectionLeases gespeichert.

Die Sicherheitsarchitektur von Servicekontinuität basiert auf Public-Key-Kryptographie, ähnlich einer Public Key-Infrastruktur (PKI), jedoch ohne Zertifikatsketten und Zertifizierungsstellen. Stattdessen vertrauen alle Komponenten in transitiver Vertrauensstellung einem neuen Citrix Cloud-Dienst, der als “Root of Trust” bezeichnet wird und als Zertifizierungsstelle agiert.

Blockieren von Verbindungsleases

Wenn ein Benutzergerät verloren oder gestohlen wird oder ein Benutzerkonto geschlossen oder manipuliert wurde, können Sie Workspace-Verbindungsleases blockieren. Wenn Sie mit einem Benutzer verknüpfte Workspace-Verbindungslease blockieren kann der Benutzer keine Verbindung zu Ressourcen herstellen. Citrix Cloud generiert oder synchronisiert für den Benutzer keine Workspace-Verbindungsleases mehr.

Wenn Sie die einem Benutzerkonto zugeordneten Workspace-Verbindungsleases blockieren, blockieren Sie die Verbindung mit diesem Konto auf allen damit verknüpften Geräten. Sie können Workspace-Verbindungsleases für einen Benutzer oder für alle Benutzer in einer Benutzergruppe blockieren.

Verwenden Sie diesen PowerShell-Befehl, um Workspace-Verbindungsleases für einen einzelnen Benutzer oder eine Benutzergruppe zu widerrufen:

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

Ersetzen Sie username durch den Benutzer, der mit dem Konto verknüpft ist, für das Sie Verbindungen blockieren möchten. Ersetzen Sie username durch eine Benutzergruppe, um die Verbindung von allen Konten in der Benutzergruppe zu blockieren. Ersetzen Sie Days durch die Anzahl an Tagen, die die Verbindungen gesperrt sind.

Um beispielsweise Verbindungen für xd.local/user1 für die nächsten 7 Tage zu blockieren, geben Sie Folgendes ein:

Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Mit dem folgenden PowerShell-Befehl können Sie den Zeitraum anzeigen, für den Workspace-Verbindungsleases widerrufen sind:

Get-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den Benutzer oder die Benutzergruppe, für die Sie den Zeitraum anzeigen möchten.

Um beispielsweise den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases für xd.local/user1 widerrufen sind, geben Sie Folgendes ein:

Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

Diese Informationen werden angezeigt:

FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

Anhand dieser Daten können Sie sehen, dass für Benutzer xd.local/user2 Workspace-Verbindungsleases für zwei Tage widerrufen sind, vom 17. Dezember 2020 bis zum 19. Dezember 2020, jeweils um 17:34:25 UTC.

Um für ein Benutzerkonto mit widerrufenen Workspace-Verbindungsleases Verbindungen erneut zuzulassen, verwenden Sie folgenden PowerShell-Befehl:

Remove-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den blockierten Benutzer oder die blockierte Benutzergruppe, die Verbindungen empfangen sollen. Um allen blockierten Benutzerkonten den Verbindungsempfang zu gestatten, lassen Sie die Option Name weg.

Double-Hop-Szenarios

Servicekontinuität kann Benutzern den Zugriff auf virtuelle Ressourcen während eines Ausfalls im Double-Hop-Szenario ermöglichen, wenn sie sich vor dem Ausfall bei Citrix Workspace angemeldet haben. In einem Double-Hop-Szenario stellt ein physisches Benutzergerät eine Verbindung zu einem virtuellen Desktop her, auf dem die Citrix Workspace-App installiert ist. Der virtuelle Desktop verbindet sich dann mit einer weiteren virtuellen Ressource.

Im Double-Hop-Szenario kann Servicekontinuität Benutzern unabhängig von der Art des virtuellen Desktops den Zugriff auf virtuelle Ressourcen während eines Ausfalls ermöglichen. Behält der virtuelle Desktop Benutzeränderungen bei, kann Servicekontinuität außerdem bei Ausfällen Zugriff auf virtuelle Ressourcen bieten, wenn ein Benutzer nicht angemeldet ist.

Servicekontinuität behandelt das physische Benutzergerät und das virtuelle Gerät in einem Double-Hop-Szenario als einzelne Clientendpunkte. Jedes Gerät hat eigene Workspace-Verbindungsleases. Wenn sich ein Benutzer auf einem physischen Gerät bei Citrix Workspace anmeldet, werden Workspace-Verbindungsleasedateien heruntergeladen und im Benutzerprofil auf dem physischen Gerät gespeichert. Der Benutzer greift dann auf einen virtuellen Desktop zu und meldet sich dort bei Citrix Workspace an. Es wird dann ein weiterer Satz Workspace-Verbindungsleases heruntergeladen und im Benutzerprofil auf dem virtuellen Desktop gespeichert. Workspace-Verbindungsleasedateien sind mit dem Gerät verknüpft, auf das sie heruntergeladen werden. Workspace-Verbindungsleasedateien können nicht auf ein anderes Gerät kopiert und wiederverwendet werden (auch nicht von demselben Benutzer). Daher kann Servicekontinuität bei Ausfällen nach Sitzungsende keinen Zugriff auf Ressourcen bieten, wenn der virtuelle Desktop während einer Benutzersitzung vorgenommene Änderungen nicht beibehält. Bei dieser Art von virtuellem Desktop gehören Workspace-Verbindungsleases zu den Änderungen, die verworfen werden.

Servicekontinuität funktioniert in Double-Hop-Szenarios bei den verschiedenen Typen unterstützter virtueller Desktops wie nachfolgend beschrieben.

Double-Hop-Umgebung Servicekontinuität bietet Zugriff auf virtuelle Ressourcen
Gehostete gemeinsam genutzte Desktops Wenn der Ausfall auftritt, während der Benutzer beim virtuellen Desktop angemeldet ist.
Zufällige, nicht beständige Desktops (gepoolte VDI-Desktops) Wenn der Ausfall auftritt, während der Benutzer beim virtuellen Desktop angemeldet ist.
Statische, nicht beständige Desktops Wenn der virtuelle Desktop seit der letzten Anmeldung des Benutzers nicht neu gestartet wurde
Statisch beständige Desktops Jederzeit bei einem Ausfall

Verwaltung von VDAs bei Ausfällen

Servicekontinuität verwendet die Funktion Lokaler Hostcache innerhalb des Citrix Cloud Connector. Der lokale Hostcache ermöglicht das fortgesetzte Verbindungsbrokering in einer Site, wenn die Verbindung zwischen dem Cloud Delivery Controller und dem Cloud Connector getrennt wird. Da Servicekontinuität den lokalen Hostcache verwendet, gelten für das Feature zum Teil dieselben Einschränkungen wie für den lokalen Hostcache.

Hinweis:

Obwohl Servicekontinuität den lokalen Hostcache innerhalb des Cloud Connector verwendet, wird das Feature anders als der lokale Hostcache nicht mit on-premises StoreFront unterstützt.

Energieverwaltung von VDAs bei Ausfällen

Wenn Ihre Site Citrix Hypervisor oder vSphere verwendet, kann Citrix Hostdienst Hypervisor-Anmeldeinformationen für Cloud Connector bereitstellen. Wenn Ihre Website einen anderen Hypervisor verwendet, z. B. in Azure gespeicherte VMs, kann Citrix Hostdienst keine Hypervisor-Anmeldeinformationen für den Cloud Connector bereitstellen. Das bedeutet:

  • Bei Verwendung von Citrix Hypervisor oder vSphere in Ihrer Site: Der Cloud Connector kann während eines Ausfalls Energieverwaltungsvorgänge ausführen (einschließlich gepoolte VDI).
  • Bei Verwendung eines anderen Hypervisors in Ihrer Site: Während eines Ausfalls befinden sich alle Computer im unbekannten Energiezustand und es können keine Energieverwaltungsvorgänge ausgeführt werden. Auf dem Host eingeschaltete VMs können jedoch für Verbindungsanfragen verwendet werden.

Standardmäßig werden energieverwaltete Desktop-VDAs in gepoolten Bereitstellungsgruppen, für die die Eigenschaft ShutdownDesktopsAfterUse aktiviert ist, bei einem Ausfall im von Citrix verwalteten Broker in den Wartungsmodus versetzt. Sie können diese Einstellung ändern, damit solche Desktops während eines Ausfalls verwendet werden können. Die Energieverwaltung ist jedoch nur während eines Ausfalls verfügbar, wenn Sie AutoScale mit Citrix Hypervisor oder vSphere verwenden. Wenn diese Desktops während eines Ausfalls verwendet werden, können sie Daten vom vorherigen Benutzer enthalten, da sie nicht neu gestartet wurden.

Die Energieverwaltung wird fortgesetzt, sobald der Normalbetrieb nach einem Ausfall wieder aufgenommen wird.

Maschinenzuweisung und automatische Registrierung

Zugewiesene Maschinen können nur verwendet werden, wenn die Zuweisung während des normalen Betriebs erfolgte. Neue Zuweisungen sind bei einem Ausfall nicht möglich.

Die automatische Registrierung und Konfiguration von Remote-PC-Zugriff-Maschinen ist nicht möglich. Im normalen Betrieb registrierte und konfigurierte Maschinen können dagegen verwendet werden.

VDA-Ressourcen in verschiedenen Zonen

Benutzer servergehosteter Anwendungen und Desktops können möglicherweise mehr Sitzungen verwenden als das für sie konfigurierte Sitzungslimit zulässt, wenn die Ressourcen in verschiedenen Zonen sind.

Im Gegensatz zum lokalen Hostcache kann das Servicekontinuität-Feature Apps und Desktops von registrierten VDAs in verschiedenen Zonen starten, sofern die Ressource in mehr als einer Zone veröffentlicht ist. Die Citrix Workspace-App benötigt möglicherweise länger, um eine betriebsbereite Zone zu finden, da sie sequenziell alle Zonen im Workspace-Verbindungslease durchläuft.

Überwachung und Fehlersuche

Servicekontinuität führt primär zwei Aktionen aus:

  • Download von Workspace-Verbindungsleases auf das Benutzergerät. Workspace-Verbindungsleases werden generiert und mit der Citrix Workspace-App synchronisiert.
  • Starten Sie virtuelle Desktops und Apps mithilfe von Workspace-Verbindungsleases.

Problembehandlung beim Download von Workspace-Verbindungsleases

Sie können Workspace-Verbindungsleases an diesem Speicherort auf dem Benutzergerät anzeigen.

Windows-Geräte:

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Username ist der Benutzername.

Store GUID ist der global eindeutige Bezeichner des Workspace-Stores.

User GUID ist der global eindeutige Bezeichner des Benutzers.

Mac-Geräte:

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

Öffnen Sie zum Beispiel /Users/luca/Library/Application Support/Citrix Receiver/CLSyncRoot.

Unter Linux:

$HOME/.ICAClient/cache/ConnectionLease

Öffnen Sie zum Beispiel /home/user1/.ICAClient/cache/ConnectionLease.

Hinweis:

Die Version der Citrix Workspace-App für Linux zur Verwendung mit Servicekontinuität ist ein Technical Preview.

Workspace-Verbindungsleases werden generiert, wenn die Citrix Workspace-App sich mit dem Workspace-Store verbindet. Zeigen Sie Registrierungsschlüsselwerte auf dem Benutzergerät an, um festzustellen, ob die Citrix Workspace-App den Workspace-Verbindungsleasingdienst in Citrix Cloud erfolgreich kontaktiert hat.

Öffnen Sie regedit auf dem Benutzergerät und zeigen Sie diesen Schlüssel an:

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

Wenn diese Werte im Registrierungsschlüssel angezeigt werden, hat die Citrix Workspace-App den Workspace-Verbindungsleasingdienst kontaktiert oder versucht, ihn zu kontaktieren:

  • leaseLastCallHomeTime
  • leaseLastSyncStatus

Wenn die Citrix Workspace-App erfolglos versucht hat, den Workspace-Verbindungsleasingdienst zu kontaktieren, zeigt leaseLastCallHomeTime einen Fehler mit ungültigem Zeitstempel an:

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

Wenn leaseLastCallHomeTime nicht initialisiert ist, hat die Citrix Workspace-App nie versucht, den Workspace-Verbindungsleasingdienst zu kontaktieren. Um dieses Problem zu beheben, entfernen Sie das Konto aus der Citrix Workspace-App und fügen Sie es erneut hinzu.

Fehlercodes der Citrix Workspace-App für Workspace-Verbindungsleases

Bei einem Servicekontinuitätsfehler auf dem Benutzergerät wird in der Fehlermeldung ein Fehlercode angezeigt. Dies sind häufige Fehler:

Fehlercode Beschreibung
3000 Keine Verbindungsleasedateien vorhanden
3002 Verbindungslease kann nicht gelesen oder gefunden werden
3003 Kein Ressourcenstandort gefunden
3004 Keine Verbindungsdetails in Leases vorhanden
3005 ICA-Datei ist leer
3006 Verbindungslease ist abgelaufen. Melden Sie sich erneut bei Workspace an.
3007 Verbindungslease ist ungültig
3008 Ergebnis der Verbindungsleasevalidierung: leer
3009 Ergebnis der Verbindungsleasevalidierung: ungültig
3010 Parameter fehlt
3020 Verbindungsleasevalidierung fehlgeschlagen
3021 Kein Ressourcenstandort gefunden, wo die App veröffentlicht ist
3022 Ergebnis der Verbindungsleasevalidierung: verweigert
3023 Timeout der Citrix Workspace-App

Unterstützung für Servicekontinuität im Browser (Technical Preview)

Hinweis:

Dieses Feature ist derzeit als Technical Preview verfügbar. Dieses Feature steht allen Kunden zur Verfügung. Eine Anmeldung ist nicht erforderlich. Citrix empfiehlt, das Feature nur in Nicht-Produktionsumgebungen zu verwenden.

Erweiterungen für Google Chrome und Microsoft Edge bieten Servicekontinuität für Benutzer, die über diese Browser auf ihre Apps und Desktops zugreifen. Die Erweiterungen heißen Citrix Workspace Web und sind im Chrome Web Store bzw. auf der Microsoft Edge Add-On-Website verfügbar.

Diese Browsererweiterungen erfordern eine native Citrix Workspace-App auf dem Benutzergerät, um die Servicekontinuität zu unterstützen. Dieser Technical Preview erfordert die Citrix Workspace-App 2106 für Windows.

Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, lädt die Servicekontinuität Workspace-Verbindungsleases auf sein Gerät herunter. Auf Windows-Geräten werden Verbindungsleases in C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases gespeichert.

Hinweis:

Das Herunterladen von Workspace-Verbindungsleases kann bei der erstmaligen Anmeldung bis zu 15 Minuten dauern.

Die native Workspace-App kommuniziert mit der Citrix Workspace Web-Erweiterung unter Verwendung des nativen Messaging-Hostprotokolls für Browsererweiterungen. Die native Workspace-App und die Workspace Web-Erweiterung verwenden gemeinsam Workspace-Verbindungsleases, um bei Ausfällen den Zugriff auf Apps und Desktops über einen Browser zu ermöglichen.

Benutzergeräteeinrichtung für Browserbenutzer

Um das Servicekontinuität-Feature in einem Browser zu verwenden, müssen Benutzer die folgenden Schritte auf ihren Geräten ausführen:

  1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie. Dieser Technical Preview erfordert die Citrix Workspace-App 2106 für Windows.

  2. Laden Sie außerdem die Citrix Workspace Web-Erweiterung für Chrome oder Edge herunter und installieren Sie sie.

Browser-Benutzererfahrung

Wenn Benutzer auf ihre Apps oder Desktops klicken, werden diese sofort geöffnet, ohne dass Benutzer zuvor Citrix Workspace Launcher öffnen müssen.

Browser-Benutzererfahrung bei Ausfall

Benutzer können bei Ausfällen per Browser auf Apps und Desktops zugreifen, sofern eine Netzwerkverbindung zwischen Benutzergerät und einem Ressourcenstandort besteht.

Wenn ein Ausfall auftritt, während der Benutzer über einen Browser bei Workspace angemeldet ist, wird diese Meldung oben im Browserfenster angezeigt:

Workspace-Browserseite mit Ausfallmeldung

Benutzer können auf Apps und Desktops zugreifen, die offline verfügbar sind, indem sie auf ein beliebiges Symbol klicken, das nicht abgeblendet ist. Benutzer können auch versuchen, die Verbindung wiederherzustellen, indem sie auf Verbindung mit Workspace wiederherstellen klicken.

Wenn Benutzer sich bei einem Ausfall nicht über einen Browser bei Workspace anmelden können, werden sie aufgefordert, offline weiterzuarbeiten oder sich neu anzumelden. Um auf verfügbare Apps und Desktops offline zuzugreifen, klicken Benutzer auf Workspace offline verwenden.

Browserfenster zur Anmeldungswiederholung

Wenn Benutzer sich bei einem Ausfall nicht bei Workspace anmelden können, nachdem sie die Workspace-URL aufrufen, wird das Fenster nach einem festgelegten Timeoutintervall angezeigt. Standardmäßig wird das Fenster 30 Sekunden nach dem Aufrufen der Workspace-URL angezeigt. Sie können diesen Wert auf 15, 30, 45 oder 60 Sekunden festlegen. Sie können das Anmeldetimeout auch deaktivieren. Bei deaktiviertem Anmeldetimeout werden Benutzer beim Aufrufen der Workspace-URL aufgefordert, offline zu arbeiten.

Um das Anmeldetimeout zu konfigurieren, klicken Sie auf dem Benutzergerät auf das Erweiterungssymbol im Browser. Aktivieren oder deaktivieren Sie im angezeigten Fenster das Anmeldetimeout und legen Sie die Timeoutdauer fest:

Browserfenster zur Erweiterungskonfiguration

Benutzer können sich bei einem Ausfall möglicherweise nicht anmelden, wenn der Browser an die Authentifizierungssite eines externen Identitätsanbieters umgeleitet wurde. In diesem Fall kann der Benutzer die Workspace-URL in den Browser eingeben und wird dann aufgefordert, offline zu arbeiten. Der Benutzer muss nicht das Intervall des Anmeldetimeouts abwarten, bis das entsprechende Fenster angezeigt wird.

Benutzer können auf diese Weise auch während eines Ausfalls auf verfügbare Apps und Desktops zugreifen:

  1. Klicken Sie im Browser auf das Erweiterungssymbol.

  2. Klicken Sie im angezeigten Fenster auf die Schaltfläche unter Offline arbeiten. Auf der Schaltfläche steht Gehe zu und der Name des Workspace-Stores.

  3. Klicken Sie im angezeigten Fenster auf Workspace offline verwenden.

Bei einigen Ausfällen wird bei erkannten Workspace-Problemen automatisch das Fenster angezeigt, in dem Benutzer zur Offlinearbeit aufgefordert werden. Der Benutzer muss keine Aktion ausführen und nicht das Intervall für das Anmeldetimeout abwarten.

Browser-Einschränkungen

Wenn Benutzer während eines Ausfalls Cookies und andere Sitedaten im Browser löschen, funktioniert die Servicekontinuität erst, wenn Benutzer sich erneut bei Workspace authentifizieren.

Der Benutzer muss die Ausführung im Incognito-Modus für die Erweiterung aktivieren, damit die Servicekontinuität in diesem Modus unterstützt wird.

Fehlerbehebung an Browsern

Das Erweiterungssymbol im Browser muss grün angezeigt werden.

Um Protokolle herunterzuladen, klicken Sie im Browser auf das Erweiterungssymbol. Klicken Sie dann auf Protokolle herunterladen.

Stellen Sie sicher, dass im Menü Erweitert der Kontoeinstellungen der Citrix Workspace-Browser-App die Einstellung “Startpräferenz für Apps und Desktops” auf Citix Workspace App verwenden festgelegt ist. Wenn diese Option auf Webbrowser verwenden eingestellt ist, wird die Servicekontinuität im Browser nicht unterstützt.