Dienstkontinuität

Die Dienstkontinuität ermöglicht es Benutzern, sich mit ihren DaaS-Anwendungen und -Desktops zu verbinden, wenn sie keine Verbindung zu Citrix Workspace™ oder DaaS herstellen können, beispielsweise aufgrund eines Ausfalls oder eines Netzwerkverbindungsproblems.

Die Dienstkontinuität funktioniert, indem Verbindungspachtverträge (langfristige Autorisierungstoken) sicher auf dem lokalen Gerät zwischengespeichert werden. Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, speichert es Verbindungspachtdateien für jede dem Benutzer veröffentlichte Ressource im Benutzerprofil. Workspace-Verbindungspachtdateien sind signiert und verschlüsselt und sind dem Benutzer und dem Gerät des Benutzers zugeordnet. Standardmäßig ermöglicht der Verbindungspachtvertrag Benutzern den Zugriff auf Anwendungen und Desktops für sieben Tage, Sie können dies jedoch auf bis zu 30 Tage ändern.

Wenn Benutzer die Citrix Workspace-App beenden, wird die Citrix Workspace-App geschlossen, aber die Workspace-Verbindungspachtverträge bleiben erhalten. Sie können die Dienstkontinuität so konfigurieren, dass Workspace-Verbindungspachtverträge gelöscht oder beibehalten werden, wenn Benutzer sich explizit von Citrix Workspace abmelden, indem sie auf die Schaltfläche Abmelden klicken. Standardmäßig werden Workspace-Verbindungspachtverträge von Benutzergeräten gelöscht, wenn Benutzer sich durch Klicken auf die Schaltfläche Abmelden abmelden.

Die Dienstkontinuität wird für Double-Hop-Szenarien unterstützt, wenn die Citrix Workspace-App auf einem virtuellen Desktop installiert ist.

Einen ausführlichen technischen Artikel zu den Resilienzfunktionen von Citrix Cloud, einschließlich der Dienstkontinuität, finden Sie unter Citrix Cloud Resilienz.

Hinweis:

Die veraltete Citrix DaaS™-Funktion namens „Verbindungsleasing“ ähnelt den Workspace-Verbindungspachtverträgen insofern, als sie die Verbindungsresilienz während Ausfällen verbesserte. Ansonsten ist diese veraltete Funktion nicht mit der Dienstkontinuität verwandt.

Einrichtung des Benutzergeräts

Um während eines Ausfalls über die Dienstkontinuität auf Ressourcen zuzugreifen, muss sich ein Benutzer zuvor über die Citrix Workspace-App oder seinen Webbrowser mit der Citrix Web Extension bei Citrix Workspace angemeldet haben.

Um die Citrix Workspace-App zu verwenden, müssen Benutzer die folgenden Schritte auf ihren Geräten ausführen:

1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
2. Fügen Sie die Workspace-URL Ihrer Organisation zur Citrix Workspace-App hinzu (z. B. https://example.cloud.com).
3. Melden Sie sich bei Citrix Workspace an.

Bei Verwendung eines Webbrowsers:

1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
2. Fügen Sie die Citrix Web Extensions zu ihrem Browser hinzu.
3. Öffnen Sie die Workspace-URL in ihrem Browser.
4. Melden Sie sich an.

Dieses Video zeigt, wie die Dienstkontinuität im Browser installiert und verwendet wird.

Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, lädt die Dienstkontinuität Workspace-Verbindungspachtverträge auf das Benutzergerät herunter. Das Herunterladen von Workspace-Verbindungspachtverträgen kann bei der ersten Anmeldung bis zu 15 Minuten dauern. Benutzer können während des Downloadzeitraums weiterhin veröffentlichte Ressourcen starten.

Benutzererfahrung während eines Ausfalls

Wenn die Dienstkontinuität aktiviert ist, variiert die Benutzererfahrung während eines Ausfalls je nach:

• Der Art des Ausfalls
• Ob die Citrix Workspace-App mit Domänen-Pass-Through-Authentifizierung konfiguriert ist
• Ob die Sitzungsfreigabe für die Anwendung oder den Desktop, mit der sich der Benutzer verbindet, aktiviert ist

Bei einigen Ausfällen können Benutzer weiterhin auf ihre DaaS zugreifen, ohne dass sich ihre Benutzererfahrung ändert. Bei anderen Ausfällen kann es vorkommen, dass sich das Erscheinungsbild von Workspace ändert oder der Benutzer aufgefordert wird, eine Aktion auszuführen.

Diese Tabelle fasst zusammen, wie die Dienstkontinuität Benutzern den Zugriff auf Anwendungen und Desktops während verschiedener Arten von Ausfällen ermöglicht.

Citrix Workspace-Ausfall

Während eines Citrix Workspace-Ausfalls sehen Benutzer diese Meldung oben auf der Citrix Workspace-Startseite: „Unable to connect to some of your resources. Some virtual apps and desktop may still be available.“ Benutzer sehen Anwendungen und Desktops, mit denen sie sich während des Ausfalls verbinden können. Wenn die Anwendung oder der Desktop nicht verfügbar ist, erscheint das Symbol ausgegraut.

Um während eines Ausfalls auf verfügbare Ressourcen zuzugreifen, wählen Benutzer ein Ressourcensymbol aus, das nicht ausgegraut ist.

Starten von Ressourcen

Je nachdem, wie die Citrix Workspace-App und die VDAs konfiguriert sind, kann der VDA während eines Ausfalls Benutzer auffordern, ihre Anmeldeinformationen in die Windows-Anmeldeoberfläche einzugeben. Wenn diese Aufforderung erscheint, geben Benutzer ihre Active Directory (AD)-Anmeldeinformationen oder ihre Smartcard-PIN ein, um auf die Anwendung oder den Desktop zuzugreifen.

Benutzer können auf Ressourcen zugreifen, ohne ihre AD-Anmeldeinformationen einzugeben, wenn die Citrix Workspace-App für Windows mit Domänen-Pass-Through-Authentifizierung konfiguriert ist. Weitere Informationen finden Sie unter Konfigurieren des Single Sign-On über die grafische Benutzeroberfläche.

Wenn die Sitzungsfreigabe aktiviert ist, können Benutzer auf Anwendungen oder Desktops zugreifen, die auf demselben VDA gehostet werden, nachdem sie ihre Anmeldeinformationen für eine Ressource auf diesem VDA angegeben haben. Die Sitzungsfreigabe wird für die Anwendungsgruppe konfiguriert, die die Ressource auf dem VDA enthält. Informationen zum Konfigurieren von Anwendungsgruppen finden Sie unter Anwendungsgruppen erstellen.

In allen anderen Konfigurationen werden Benutzer aufgefordert, ihre AD-Anmeldeinformationen am VDA erneut einzugeben, bevor sie auf Ressourcen zugreifen.

Ausfälle des Identitätsanbieters

Während eines Ausfalls des Identitätsanbieters für die Workspace-Authentifizierung können Benutzer sich möglicherweise nicht über die Workspace-Anmeldeseite bei Citrix Workspace anmelden.

Bei Verwendung der Citrix Workspace-App erscheint nach 40 Sekunden diese Meldung oben im Fenster.

Bei Verwendung eines Webbrowsers erscheint nach 60 Sekunden das folgende Pop-up.

Danach erscheint die Citrix Workspace-Startseite. Benutzer greifen dann auf Ressourcen zu, wie sie es bei einem Citrix Workspace-Ausfall tun würden.

Verhalten beim Beenden und Abmelden

Unabhängig von der Art des Ausfalls können Benutzer weiterhin auf Ressourcen zugreifen, wenn sie die Citrix Workspace-App oder den Browser beenden und neu starten, auch nach dem Neustart ihrer Geräte.

In der Standardkonfiguration der Dienstkontinuität verlieren Benutzer den Zugriff auf ihre Ressourcen, wenn sie sich explizit von Citrix Workspace abmelden. Wenn Benutzer den Zugriff auf ihre Ressourcen nach der Abmeldung behalten sollen, geben Sie an, dass Workspace-Verbindungspachtverträge beim Abmelden beibehalten werden. Siehe Dienstkontinuität konfigurieren.

Browser-Benutzererfahrung während Ausfällen

Um offline auf verfügbare Anwendungen und Desktops zuzugreifen, können Benutzer auf Offline-Modus verwenden klicken.

Um die Aufforderung zum Offline-Modus zu verwalten, klicken Sie im Browser auf dem Benutzergerät auf die Citrix Web Extension. Der folgende Bildschirm erscheint:

Benutzer können die Option Offline arbeiten verwenden, um manuell in den Offline-Modus zu wechseln, ohne 60 Sekunden auf die Aufforderung zum Offline-Modus warten zu müssen.

Bei einigen Ausfällen erscheint das Warnfenster, das Benutzer zum Offline-Arbeiten auffordert, automatisch, wenn die Erweiterung Workspace-seitige Probleme erkennt. Der Benutzer muss keine Maßnahmen ergreifen oder die Anmelde-Timeout-Periode abwarten.

Anforderungen und Einschränkungen

Site-Anforderungen

• Unterstützt in allen Editionen von Citrix DaaS mit Citrix Workspace.

• Nicht unterstützt für Citrix Workspace mit Site-Aggregation zu lokalen Virtual Apps and Desktops.

• Nicht unterstützt, wenn ein lokales Citrix Gateway als ICA-Proxy verwendet wird. (Die Verwendung des Citrix Gateway Service als Workspace-Authentifizierungsmethode wird unterstützt.)

Anforderungen an Benutzergeräte

Mindestens unterstützte Versionen der Citrix Workspace-App:

• Citrix Workspace-App für Windows 2106
• Citrix Workspace-App für Linux 2106
• Citrix Workspace-App für Mac 2106
• Citrix Workspace-App für Android 22.2.0
• Citrix Workspace-App für iOS 22.4.5
• Citrix Workspace-App für ChromeOS 2301

Für Benutzer, die über Browser auf ihre Anwendungen und Desktops zugreifen:

• Citrix Workspace-App 2109 für Windows mindestens. Unterstützt mit Google Chrome und Microsoft Edge.
• Citrix Workspace-App für Mac Version 2112 mindestens für die Verwendung mit Google Chrome.
• Citrix Workspace-App für Windows (Store) wird nicht unterstützt.

Bei Verwendung von connectorlosen VDAs:

• Citrix Workspace-App für Windows 2309 oder höher

Es wird nur ein Benutzer pro Gerät unterstützt. Kiosk- oder „Hot-Desk“-Benutzergeräte werden nicht unterstützt.

Anforderungen und Einschränkungen für Webbrowser

Beim Zugriff auf einen Store über einen Webbrowser müssen Benutzer einen von Citrix Web Extensions unterstützten Browser verwenden.

Wenn Benutzer während eines Ausfalls Cookies und andere Site-Daten in ihren Browsern löschen, funktioniert die Dienstkontinuität erst wieder, wenn sie sich erneut bei Workspace authentifizieren.

Die Dienstkontinuität wird im Inkognito- oder InPrivate-Modus nicht unterstützt.

Unterstützte Workspace-Authentifizierungsmethoden

• Active Directory
• Active Directory plus Token
• Microsoft Entra ID
• Okta
• Citrix Gateway (primärer Benutzeranspruch muss von AD stammen)
• SAML 2.0
• Bedingte Authentifizierung

Authentifizierungseinschränkungen

• Single Sign-On mit Citrix Federated Authentication Service (FAS) wird nicht unterstützt. Benutzer geben ihre AD-Anmeldeinformationen in die Windows-Anmeldeoberfläche auf dem VDA ein.
• Single Sign-On zum VDA unter Verwendung zwischengespeicherter Active Directory-Anmeldeinformationen wird nicht unterstützt.
• Lokal zugeordnete Konten werden nicht unterstützt.
• VDAs können Microsoft Entra ID- oder AD-verbunden sein. Hybrid verbundene Maschinen werden nicht unterstützt.
• Bei Verwendung der adaptiven Authentifizierung müssen der adaptive Authentifizierungsdienst oder der Dienst erreichbar bleiben, damit die Dienstkontinuität funktioniert.
• Bei Verwendung des Device Posture-Dienstes muss der Device Posture-Dienst erreichbar bleiben, damit die Dienstkontinuität funktioniert. Um die Sicherheit zu gewährleisten, überprüft die Dienstkontinuität die Ergebnisse des letzten Scans der Gerätehaltung, bevor eine Sitzung gestartet wird. Wenn die Ergebnisse des Scans nicht verfügbar oder veraltet sind, verhindert die Dienstkontinuität den Sitzungsstart und gewährleistet so die Einhaltung der Sicherheitsrichtlinien.
• Für connectorlose VDAs wird die Anmeldung mit Windows Hello im virtuellen Desktop nicht unterstützt. Derzeit werden nur Benutzername und Kennwort unterstützt. Wenn Benutzer versuchen, sich mit einer Windows Hello-Methode anzumelden, erhalten sie eine Fehlermeldung, dass sie nicht der vermittelte Benutzer sind, und die Sitzung wird getrennt. Zugehörige Methoden umfassen PIN, FIDO2-Schlüssel, MFA usw.

Skalierung und Größe des Citrix Cloud Connector™

• 4 vCPU oder mehr
• 6 GB Arbeitsspeicher oder mehr

Konnektivität des Citrix Cloud Connector

Citrix Cloud Connector muss in der Lage sein, https://rootoftrust-ap-s.apps.cloud.com, https://rootoftrust-eu.apps.cloud.com und https://rootoftrust.apps.cloud.com zu erreichen. Weitere Informationen finden Sie unter System- und Konnektivitätsanforderungen in der Citrix Cloud-Dokumentation.

Einschränkungen bei der Konnektivitätsoptimierung

Erweiterte Endpunktanalyse (EPA) wird nicht unterstützt.

Enlightened Data Transport (EDT) wird während Ausfällen nicht unterstützt.

VDA-Anforderungen und -Einschränkungen

• Mit Connectors registrierte VDAs: 7.15 LTSR oder höher. Für connectorlose VDAs: 2402 oder höher.
• VDAs müssen online sein, damit Benutzer während eines Ausfalls auf VDA-Ressourcen zugreifen können. Die Dienstkontinuität schützt nicht vor Ausfällen von Plattformen, die die VDAs hosten, wie Azure oder AWS.
• Für mit Connectors registrierte VDAs, unterstützte Workloads während Ausfällen:
  • Gehostete freigegebene Apps und Desktops
  • Zufällige nicht-persistente Desktops (gepoolter VDI-Desktop) mit Energieverwaltung
  • Statische nicht-persistente Desktops
  • Statische persistente Desktops, einschließlich Remote-PC-Zugriff

  Hinweis:

  Die Zuweisung bei erster Verwendung wird während Ausfällen nicht unterstützt. Zufällige nicht-persistente Desktops mit Energieverwaltung sind standardmäßig nicht verfügbar, wenn Cloud Connectors die Konnektivität mit Citrix Cloud verlieren, es sei denn, ReuseMachinesWithoutShutdownInOutage ist für die Bereitstellungsgruppe konfiguriert. Weitere Informationen finden Sie unter Anwendungs- und Desktop-Unterstützung.

• Für connectorlose VDAs, die Rendezvous V2 verwenden, unterstützte Workloads während Ausfällen:
  • Statische persistente Desktops

Weitere Informationen zu verfügbaren VDA-Funktionen während Ausfällen finden Sie unter VDA-Verwaltung während Ausfällen.

Anforderungen und Einschränkungen für die lokale Tastaturbelegung

Die Windows-Anmeldebenutzeroberfläche, die Benutzer zur erneuten Authentifizierung am VDA auffordert, unterstützt keine lokale Tastatursprachenzuordnung. Um Benutzern die erneute Authentifizierung während eines Ausfalls zu ermöglichen, wenn sie eine lokale Tastatursprachenzuordnung auf ihren Geräten haben, laden Sie die von diesen Benutzern benötigten Tastaturlayouts vorab.

Warnung:

Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, gelöst werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Bearbeiten Sie diesen Registrierungsschlüssel im VDA-Image:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Das entsprechende Sprachpaket im virtuellen Desktop-Image muss installiert sein.

Eine Liste der Tastaturbezeichner, die Tastatursprachen zugeordnet sind, finden Sie unter Tastaturbezeichner und Eingabemethoden-Editoren für Windows.

Netzwerkkonnektivität des Ressourcenstandorts für Dienstkontinuität konfigurieren

Sie können Ihren Ressourcenstandort so konfigurieren, dass er Verbindungen aus Ihrem LAN, außerhalb Ihres LANs oder beidem akzeptiert.

Für Verbindungen innerhalb Ihres LANs konfigurieren

1. Gehen Sie im Citrix Cloud-Menü zu Workspace-Konfiguration > Zugriff.
2. Wählen Sie Konnektivität konfigurieren.
3. Wählen Sie Nur intern als Konnektivitätstyp.
4. Klicken Sie auf Speichern.

Konfigurieren Sie Ihre Citrix Cloud Connector- und VDA-Firewalls so, dass sie Verbindungen über den Common Gateway Protocol (CGP) TCP-Port 2598 akzeptieren. Diese Konfiguration ist die Standardeinstellung.

Für Verbindungen außerhalb Ihres LANs konfigurieren

1. Gehen Sie im Citrix Cloud-Menü zu Workspace-Konfiguration > Zugriff.
2. Wählen Sie Konnektivität konfigurieren.
3. Wählen Sie Gateway-Dienst als Konnektivitätstyp.
4. Klicken Sie auf Speichern.

Dienstkontinuität konfigurieren

So aktivieren Sie die Dienstkontinuität für Ihre Site:

1. Gehen Sie im Citrix Cloud-Menü zu Workspace-Konfiguration > Dienstkontinuität.

2. Setzen Sie Verbindungsleasing für den Workspace auf Aktivieren.

   

3. Legen Sie die Verbindungsleasingdauer auf die Anzahl der Tage fest, für die ein Workspace-Verbindungsleasing zur Aufrechterhaltung einer Verbindung verwendet werden kann. Die Workspace-Verbindungsleasingdauer gilt für alle Workspace-Verbindungsleasings über Ihre Site. Die Workspace-Verbindungsleasingdauer beginnt, wenn sich ein Benutzer zum ersten Mal beim Citrix Cloud Workspace Store anmeldet. Workspace-Verbindungsleasings werden jedes Mal aktualisiert, wenn sich der Benutzer anmeldet, bis zu einmal täglich. Die Workspace-Verbindungsleasingdauer kann zwischen einem und 30 Tagen liegen. Der Standardwert ist sieben Tage.
4. Klicken Sie auf Speichern.

Wenn Sie die Dienstkontinuität aktivieren, wird sie für alle Bereitstellungsgruppen in Ihrer Site aktiviert. Um die Dienstkontinuität für eine Bereitstellungsgruppe zu deaktivieren, verwenden Sie den folgenden PowerShell-Befehl:

Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false

Ersetzen Sie deliverygroup durch den Namen der Bereitstellungsgruppe.

Standardmäßig werden Workspace-Verbindungsleasings vom Benutzergerät gelöscht, wenn sich der Benutzer während eines Ausfalls von Citrix Workspace abmeldet. Wenn Sie möchten, dass Workspace-Verbindungsleasings nach der Abmeldung der Benutzer auf den Benutzergeräten verbleiben, verwenden Sie den folgenden PowerShell-Befehl:

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

Hinweise:

• Workspace-Verbindungsleasings können für Benutzer, die sich mit der Citrix Workspace-App für Mac verbinden, nicht so eingestellt werden, dass sie nach der Abmeldung der Benutzer auf den Benutzergeräten verbleiben. Citrix Workspace für Mac kann den Wert der Eigenschaft DeleteResourceLeaseOnLogOff nicht lesen.
• Es kann bis zu 12 Stunden dauern, bis sich die Workspace-App-Clients nach der Konfiguration der Einstellung aktualisieren.

Dienstkontinuität für connectorlose Workloads konfigurieren

Die Dienstkontinuität für connectorlose Workloads muss pro Ressourcenstandort konfiguriert werden.

1. Installieren Sie VDA 2402 für Microsoft Entra ID-verbundene VDAs.

2. Aktivieren Sie den CLXMTP-Dienst auf den VDAs, indem Sie den folgenden Registrierungsschlüssel konfigurieren und den VDA anschließend neu starten:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ClxMtpService]
   "ClxMtpSvcEnabled"=dword:00000001
   "ClxMtpTimeoutInMilliSeconds"=dword:00035000
   "ClxMtpFsmLogLevel"=dword:00000003
       
   <!--NeedCopy-->
   

   Hinweis:

   Für MCS-bereitgestellte VDAs sollten Sie diese Registrierungsschlüssel im Master-Image festlegen.

3. Erstellen Sie einen Microsoft Entra ID-verbundenen Katalog.

4. Erstellen Sie eine Bereitstellungsgruppe.

   Hinweis

   Nur dedizierte Desktops werden unterstützt. Weisen Sie den Desktop einem Benutzer zu.

5. Aktivieren Sie die Dienstkontinuität.

6. Aktivieren Sie die Dienstkontinuität für connectorlose Workloads am connectorlosen Ressourcenstandort, indem Sie das folgende PowerShell-Skript ausführen.

   Set-ConfigZone -Name <zoneName> -EnableVdaConnectivityForResourceLeases $true
   <!--NeedCopy-->
   

Funktionsweise der Dienstkontinuität

Wenn kein Ausfall vorliegt, greifen Benutzer über ICA-Dateien auf virtuelle Apps und Desktops zu. Citrix Workspace generiert jedes Mal eine eindeutige ICA-Datei, wenn ein Benutzer ein Symbol für eine virtuelle App oder einen Desktop auswählt. Jede ICA-Datei enthält ein Secure Ticket Authority (STA)-Ticket und ein Anmeldeticket, die nur einmal eingelöst werden können, um autorisierten Zugriff auf virtuelle Ressourcen zu erhalten. Die Tickets in jeder ICA-Datei verfallen nach etwa 90 Sekunden. Nachdem das Ticket in einer ICA-Datei verwendet wurde oder abgelaufen ist, benötigt der Benutzer eine weitere ICA-Datei von Citrix Workspace, um auf Ressourcen zuzugreifen. Wenn die Dienstkontinuität nicht aktiviert ist, können Ausfälle Benutzer daran hindern, auf Ressourcen zuzugreifen, wenn Citrix Workspace keine ICA-Datei generieren kann.

Citrix Workspace generiert ICA-Dateien, wenn Benutzer virtuelle Apps und Desktops starten, unabhängig davon, ob die Dienstkontinuität aktiviert ist. Wenn die Dienstkontinuität aktiviert ist, generiert Citrix Workspace auch den eindeutigen Satz von Dateien, die ein Workspace-Verbindungsleasing bilden. Im Gegensatz zu ICA-Dateien werden Workspace-Verbindungsleasingdateien generiert, wenn sich der Benutzer bei Citrix Workspace anmeldet, nicht wenn der Benutzer die Ressource startet. Wenn sich ein Benutzer bei Citrix Workspace anmeldet, werden Verbindungsleasingdateien für jede Ressource generiert, die diesem Benutzer veröffentlicht wurde. Workspace-Verbindungsleasings enthalten Informationen, die dem Benutzer Zugriff auf virtuelle Ressourcen ermöglichen. Wenn ein Ausfall einen Benutzer daran hindert, sich bei Citrix Workspace anzumelden oder über eine ICA-Datei auf Ressourcen zuzugreifen, bietet das Verbindungsleasing autorisierten Zugriff auf die Ressource.

So werden Sitzungen während Ausfällen gestartet

Wenn Benutzer während eines Ausfalls auf ein Symbol für eine App oder einen Desktop klicken, findet die Citrix Workspace-App das entsprechende Workspace-Verbindungsleasing auf dem Benutzergerät. Die Citrix Workspace-App öffnet dann eine Verbindung. Wenn die Konnektivität zum Ressourcenstandort, der die App oder den Desktop hostet, so konfiguriert ist, dass Verbindungen von außerhalb Ihres LANs akzeptiert werden, wird eine Verbindung zum Citrix Gateway Service geöffnet. Wenn Sie die Konnektivität zum Ressourcenstandort, der die App oder den Desktop hostet, so konfigurieren, dass nur Verbindungen innerhalb Ihres LANs akzeptiert werden, wird eine Verbindung zum Cloud Connector geöffnet.

Beim Öffnen des Workspaces in einem Webbrowser verwendet der Browser die Citrix Web Extension, um mit der Citrix Workspace-App über das native Messaging-Host-Protokoll für Browsererweiterungen zu kommunizieren.

Wenn der Citrix Cloud Broker online ist, verwendet der Cloud Connector den Citrix Cloud Broker, um zu ermitteln, welcher VDA verfügbar ist. Wenn der Citrix Cloud Broker offline ist, lauscht der sekundäre Broker für den Cloud Connector (auch bekannt als High Availability Service) auf Verbindungsanfragen und verarbeitet diese.

Benutzer, die während eines Ausfalls verbunden sind, können ununterbrochen weiterarbeiten. Wiederverbindungen und neue Verbindungen erfahren minimale Verbindungsverzögerungen. Diese Funktionalität ähnelt dem Local Host Cache, erfordert jedoch keinen lokalen StoreFront.

Wenn ein Benutzer während eines Ausfalls eine Sitzung startet, wird dieses Fenster angezeigt, das darauf hinweist, dass Workspace-Verbindungsleasings für den Sitzungsstart verwendet wurden:

Nachdem der Benutzer die Anmeldung an der Sitzung abgeschlossen hat, werden diese Eigenschaften im Workspace Connection Center angezeigt:

Die Eigenschaft “Startmodus” liefert Informationen über die Workspace-Verbindungsleasings, die zum Starten der Sitzung verwendet wurden.

Auf Geräten, auf denen die Citrix Workspace-App für Mac ausgeführt wird, zeigt Citrix Viewer Informationen an, die zeigen, dass Workspace-Verbindungsleasings für den Sitzungsstart verwendet wurden:

Was macht es sicher

Alle sensiblen Informationen in den Workspace-Verbindungsleasingdateien werden mit dem AES-256-Algorithmus verschlüsselt. Workspace-Verbindungsleasings sind an ein eindeutig mit dem spezifischen Clientgerät verbundenes Public/Private-Schlüsselpaar gebunden und können nicht auf einem anderen Gerät verwendet werden. Ein integrierter kryptografischer Mechanismus erzwingt die Verwendung des eindeutigen Schlüsselpaars auf jedem Gerät.

Workspace-Verbindungsleasings werden auf dem Benutzergerät unter AppData\Local\Citrix\SelfService\ConnectionLeases gespeichert.

Die Sicherheitsarchitektur der Dienstkontinuität basiert auf Public-Key-Kryptographie, ähnlich einer Public Key Infrastructure (PKI), jedoch ohne Zertifikatsketten und Zertifizierungsstellen. Stattdessen etablieren alle Komponenten ein transitives Vertrauen, indem sie sich auf einen neuen Citrix Cloud-Dienst namens “Root of Trust” verlassen, der wie eine Zertifizierungsstelle fungiert.

Verbindungsleasings blockieren

Wenn ein Benutzergerät verloren geht oder gestohlen wird oder ein Benutzerkonto geschlossen oder kompromittiert wird, können Sie Workspace-Verbindungsleasings blockieren. Wenn Sie Workspace-Verbindungsleasings blockieren, die einem Benutzer zugeordnet sind, kann der Benutzer keine Verbindung zu Ressourcen herstellen. Citrix Cloud generiert oder synchronisiert keine Workspace-Verbindungsleasings mehr für den Benutzer.

Wenn Sie Workspace-Verbindungsleasings blockieren, die einem Benutzerkonto zugeordnet sind, blockieren Sie Verbindungen zu diesem Konto auf allen damit verbundenen Geräten. Sie können Workspace-Verbindungsleasings für einen Benutzer oder für alle Benutzer in einer Benutzergruppe blockieren.

Um Workspace-Verbindungsleasings für einen einzelnen Benutzer oder eine Benutzergruppe zu widerrufen, verwenden Sie diesen PowerShell-Befehl:

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

Ersetzen Sie username durch den Benutzer, der dem Konto zugeordnet ist, dessen Verbindung Sie blockieren möchten. Ersetzen Sie username durch eine Benutzergruppe, um die Verbindung von allen Konten in der Benutzergruppe zu blockieren. Ersetzen Sie Days durch die Anzahl der Tage, für die Verbindungen blockiert werden.

Um beispielsweise Verbindungen für xd.local/user1 für die nächsten 7 Tage zu blockieren, geben Sie Folgendes ein:

Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Um den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases widerrufen werden, verwenden Sie diesen PowerShell-Befehl:

Get-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den Benutzer oder die Benutzergruppe, für die Sie den Zeitraum anzeigen möchten.

Um beispielsweise den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases für xd.local/user1 widerrufen werden, geben Sie Folgendes ein:

Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

Diese Informationen werden angezeigt:

FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

Aus dieser Ausgabe können Sie ersehen, dass für den Benutzer xd.local/user2 die Workspace-Verbindungsleases für zwei Tage, vom 17. Dezember 2020 bis zum 19. Dezember 2020, jeweils um 17:34:25 UTC widerrufen wurden.

Um einem Benutzerkonto, dessen Workspace-Verbindungsleases widerrufen wurden, den erneuten Empfang von Verbindungen zu ermöglichen, entfernen Sie die Blockierung mit diesem PowerShell-Befehl:

Remove-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den blockierten Benutzer oder die Benutzergruppe, die Verbindungen empfangen soll. Um allen blockierten Benutzerkonten den Empfang von Verbindungen zu ermöglichen, lassen Sie die Option Name weg.

Double-Hop-Szenarien

Die Dienstkontinuität ermöglicht Benutzern den Zugriff auf virtuelle Ressourcen während Ausfällen in Double-Hop-Szenarien, wenn sie vor dem Ausfall bei Citrix Workspace angemeldet sind. In einem Double-Hop-Szenario verbindet sich ein physisches Benutzergerät mit einem virtuellen Desktop, auf dem die Citrix Workspace-App installiert ist. Der virtuelle Desktop verbindet sich dann mit einer anderen virtuellen Ressource.

Im Double-Hop-Szenario kann die Dienstkontinuität Benutzern den Zugriff auf virtuelle Ressourcen während eines Ausfalls ermöglichen, unabhängig vom Typ des virtuellen Desktops. Wenn der virtuelle Desktop Benutzeränderungen beibehält, kann die Dienstkontinuität auch den Zugriff auf virtuelle Ressourcen während Ausfällen ermöglichen, die auftreten, während der Benutzer nicht angemeldet ist.

Die Dienstkontinuität behandelt das physische Benutzergerät und das virtuelle Gerät in einem Double-Hop-Szenario als individuelle Client-Endpunkte. Jedes Gerät verfügt über einen eigenen Satz von Workspace-Verbindungsleases. Wenn sich ein Benutzer bei Citrix Workspace auf einem physischen Gerät anmeldet, werden Workspace-Verbindungsleasedateien heruntergeladen und im Benutzerprofil auf dem physischen Gerät gespeichert. Der Benutzer greift dann auf einen virtuellen Desktop zu und meldet sich bei Citrix Workspace auf dem virtuellen Desktop an. Zu diesem Zeitpunkt wird ein anderer Satz von Workspace-Verbindungsleases heruntergeladen und im Benutzerprofil auf dem virtuellen Desktop gespeichert. Workspace-Verbindungsleasedateien sind mit dem Gerät verknüpft, auf das sie heruntergeladen werden. Workspace-Verbindungsleasedateien können nicht auf ein anderes Gerät kopiert und wiederverwendet werden, selbst nicht vom selben Benutzer. Daher kann die Dienstkontinuität keinen Zugriff auf Ressourcen während Ausfällen ermöglichen, die nach dem Ende der Sitzung auftreten, wenn der virtuelle Desktop Änderungen verwirft, die während einer Benutzersitzung vorgenommen wurden. Für diesen Typ von virtuellem Desktop gehören Workspace-Verbindungsleases zu den verworfenen Änderungen.

So funktioniert die Dienstkontinuität in Double-Hop-Szenarien mit jedem unterstützten Typ von virtuellem Desktop:

VDA-Verwaltung während Ausfällen

Für VDAs, die bei Connectors registriert sind, verwendet die Dienstkontinuität die Funktion Local Host Cache innerhalb des Citrix Cloud Connectors. Der Local Host Cache ermöglicht die Fortsetzung des Verbindungsbrokerings an einem Standort, wenn die Verbindung zwischen dem Cloud Delivery Controller und dem Cloud Connector fehlschlägt. Da die Dienstkontinuität auf dem Local Host Cache basiert, teilt sie einige Einschränkungen mit dem Local Host Cache.

Hinweis:

Obwohl die Dienstkontinuität den Local Host Cache innerhalb des Cloud Connectors verwendet, wird die Dienstkontinuität im Gegensatz zum Local Host Cache nicht mit lokalem StoreFront unterstützt.

Die Dienstkontinuität für connectorlose Workloads unterscheidet sich von der Dienstkontinuität dadurch, dass das Brokering der Sitzung über den Virtual Delivery Agent (VDA) und nicht über Cloud Connectors erfolgt. Der VDA kommuniziert mit den Citrix Cloud-Backend-Diensten, um die Sitzung für den Benutzer entweder über eine direkte Verbindung oder den Gateway Service zu vermitteln, abhängig von den für diesen Ressourcenstandort konfigurierten Einstellungen. Weitere Informationen zur Konfiguration der Netzwerkverbindung des Ressourcenstandorts für die Dienstkontinuität finden Sie unter Konfigurieren der Netzwerkverbindung des Ressourcenstandorts für die Dienstkontinuität.

Energieverwaltung von VDAs während Ausfällen

Wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren, können Connectors keine Hypervisor-Anmeldeinformationen von Citrix Cloud empfangen. Dies bedeutet:

• Während eines Ausfalls befinden sich alle Maschinen im unbekannten Energiezustand, und es können keine Energieoperationen ausgeführt werden. VMs auf dem Host, die eingeschaltet sind, können jedoch für Verbindungsanfragen verwendet werden.

Standardmäßig sind energieverwaltete Desktop-VDAs in gepoolten Bereitstellungsgruppen, bei denen die Eigenschaft ShutdownDesktopsAfterUse aktiviert ist, für neue Verbindungen nicht verfügbar, wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren. Sie können diese Einstellung ändern, um die Verwendung dieser Desktops zu ermöglichen, wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren, indem Sie das Flag ReuseMachinesWithoutShutdownInOutage in Ihren Bereitstellungsgruppen konfigurieren. Das Ändern des Parameters ReuseMachinesWithoutShutdownInOutage auf $true kann dazu führen, dass Daten aus früheren Benutzersitzungen auf dem VDA vorhanden sind, bis dieser neu gestartet wird.

Die Energieverwaltung wird fortgesetzt, wenn der normale Betrieb nach einem Ausfall wieder aufgenommen wird.

Maschinenzuweisung und automatische Registrierung

Eine zugewiesene Maschine kann nur verwendet werden, wenn die Zuweisung während des normalen Betriebs erfolgte. Neue Zuweisungen können während eines Ausfalls nicht vorgenommen werden.

Die automatische Registrierung und Konfiguration von Remote PC Access-Maschinen ist nicht möglich. Maschinen, die während des normalen Betriebs registriert und konfiguriert wurden, sind jedoch nutzbar.

VDA-Ressourcen in verschiedenen Zonen

Servergehostete Anwendungen und Desktop-Benutzer können mehr Sitzungen nutzen, als ihre konfigurierten Sitzungslimits zulassen, wenn sich die Ressourcen in verschiedenen Zonen befinden.

Im Gegensatz zum Local Host Cache kann die Dienstkontinuität Apps und Desktops von registrierten VDAs in verschiedenen Zonen starten, vorausgesetzt, die Ressource ist in mehr als einer Zone veröffentlicht. Die Citrix Workspace-App benötigt möglicherweise länger, um eine fehlerfreie Zone zu finden, da sie sequenziell alle Zonen im Workspace-Verbindungslease durchläuft.

Überwachung und Fehlerbehebung

Die Dienstkontinuität führt zwei Hauptaktionen aus:

• Herunterladen von Workspace-Verbindungsleases auf das Benutzergerät. Workspace-Verbindungsleases werden generiert und mit der Citrix Workspace-App synchronisiert.
• Starten virtueller Desktops und Apps mithilfe von Workspace-Verbindungsleases.

Fehlerbehebung beim Herunterladen von Workspace-Verbindungsleases

Sie können Workspace-Verbindungsleases an diesem Speicherort auf dem Benutzergerät anzeigen:

Auf Windows-Geräten:

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Username ist der Benutzername.

Store GUID ist der global eindeutige Bezeichner des Workspace Stores.

User GUID ist der global eindeutige Bezeichner des Benutzers.

Auf Mac-Geräten:

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

Zum Beispiel öffnen Sie /Users/luca/Library/Application Support/Citrix Receiver/CLSyncRoot

Auf Linux:

$HOME/.ICAClient/cache/ConnectionLease

Zum Beispiel öffnen Sie /home/user1/.ICAClient/cache/ConnectionLease

Workspace-Verbindungsleases werden generiert, wenn die Citrix Workspace-App eine Verbindung zum Workspace Store herstellt. Zeigen Sie die Registrierungsschlüsselwerte auf dem Benutzergerät an, um festzustellen, ob die Citrix Workspace-App den Workspace-Verbindungsleasedienst in Citrix Cloud erfolgreich kontaktiert hat.

Öffnen Sie regedit auf dem Benutzergerät und zeigen Sie diesen Schlüssel an:

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

Wenn diese Werte im Registrierungsschlüssel angezeigt werden, hat die Citrix Workspace-App den Workspace-Verbindungsleasedienst kontaktiert oder versucht, ihn zu kontaktieren:

• leaseLastCallHomeTime
• leaseLastSyncStatus

Wenn die Citrix Workspace-App den Workspace-Verbindungsleasedienst erfolglos kontaktiert hat, zeigt leaseLastCallHomeTime einen Fehler mit einem ungültigen Zeitstempel an:

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

Wenn leaseLastCallHomeTime nicht initialisiert ist, hat die Citrix Workspace-App nie versucht, den Workspace-Verbindungsleasedienst zu kontaktieren. Um dieses Problem zu beheben, entfernen Sie das Konto aus der Citrix Workspace-App und fügen Sie es erneut hinzu.

Fehlercodes der Citrix Workspace-App für Workspace-Verbindungsleases

Wenn ein Dienstkontinuitätsfehler auf dem Benutzergerät auftritt, wird ein Fehlercode in der Fehlermeldung angezeigt. Häufige Fehler sind:

Zugriff auf selfservice.txt

Um auf die Datei selfservice.txt zur Selbsthilfe bei der Fehlerbehebung zuzugreifen, führen Sie die folgenden Schritte aus:

1. Erstellen Sie eine leere Textdatei und nennen Sie sie enableshieldandlogging.reg.

2. Kopieren Sie den folgenden Text in die Datei und speichern Sie ihn:

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle]
   "Tracing"="True"
   "AuxTracing"="True"
   "DefaultTracingConfiguration"="global all -detail"
   "ConnectionLeasingEnabled"="True"
   
   [HKEY_CURRENT_USER\Software\Citrix\Dazzle]
   "RemoteDebuggingPort"="8088"
   <!--NeedCopy-->
   

3. Legen Sie Ihre gespeicherte Datei auf Ihrem Client-Endpunkt ab.
4. Die Datei selfservice.txt ist nun unter folgendem Pfad auffindbar: %LocalAppData%\Citrix\SelfService.

Fehlerbehebung für Browser-Benutzer

Stellen Sie im Menü Erweitert der Kontoeinstellungen der Citrix Workspace Browser-App sicher, dass die aktuelle Methode für die Startpräferenz von Apps und Desktops auf Citrix Workspace-App verwenden eingestellt ist. Wenn diese Option auf Webbrowser verwenden eingestellt ist, wird die Dienstkontinuität im Browser nicht unterstützt.

Stellen Sie sicher, dass das Erweiterungssymbol im Browser grün angezeigt wird, nachdem der Browser die Workspace-URL geladen hat.

Um Protokolle herunterzuladen, klicken Sie auf das Erweiterungssymbol im Browser. Klicken Sie dann auf Protokolle herunterladen.