Citrix Workspace™

Dienstkontinuität

Dienstkontinuität ermöglicht Benutzern, sich mit ihren DaaS-Apps und -Desktops zu verbinden, wenn sie keine Verbindung zu Citrix Workspace™ oder DaaS herstellen können, zum Beispiel aufgrund eines Ausfalls oder eines Problems mit der Netzwerkverbindung.

Dienstkontinuität funktioniert, indem Verbindungs-Leases (langlebige Autorisierungstoken) sicher auf dem lokalen Gerät zwischengespeichert werden. Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, speichert es Verbindungs-Lease-Dateien im Benutzerprofil für jede dem Benutzer zugewiesene Ressource. Workspace-Verbindungs-Lease-Dateien sind signiert und verschlüsselt und sind dem Benutzer und dem Gerät des Benutzers zugeordnet. Standardmäßig ermöglicht das Verbindungs-Lease Benutzern den Zugriff auf Apps und Desktops für sieben Tage, aber Sie können dies auf bis zu 30 Tage ändern.

When users exit Citrix Workspace app, Citrix Workspace app closes but the Workspace connection leases are retained. You can configure service continuity to delete or retain Workspace connection leases when users explicitly logs out of Citrix Workspace by clicking the log out button. By default, Workspace connection leases are deleted from user devices when users log out by clicking the log out button.

Service continuity is supported for double hop scenarios when Citrix Workspace app is installed on a virtual desktop.

Einen ausführlichen technischen Artikel zu den Resilienzfunktionen von Citrix Cloud, einschließlich Dienstkontinuität, finden Sie unter Citrix Cloud Resiliency.

Hinweis:

Die veraltete Citrix DaaS™-Funktion namens „Connection Leasing“ ähnelt den Workspace-Verbindungs-Leases insofern, als sie die Verbindungsresilienz bei Ausfällen verbesserte. Ansonsten ist diese veraltete Funktion nicht mit der Dienstkontinuität verwandt.

Einrichtung des Benutzergeräts

Um während eines Ausfalls über die Dienstkontinuität auf Ressourcen zugreifen zu können, muss sich ein Benutzer zuvor bei Citrix Workspace über die Citrix Workspace-App oder seinen Webbrowser mit der Citrix-Weberweiterung angemeldet haben.

Um die Citrix Workspace-App zu verwenden, müssen Benutzer die folgenden Schritte auf ihren Geräten ausführen:

  1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
  2. Fügen Sie die Workspace-URL für Ihre Organisation zur Citrix Workspace-App hinzu (z. B. https://example.cloud.com).
  3. Melden Sie sich bei Citrix Workspace an.

Bei Verwendung eines Webbrowsers:

  1. Laden Sie eine unterstützte Version der Citrix Workspace-App herunter und installieren Sie sie.
  2. Fügen Sie Citrix Weberweiterungen zu ihrem Browser hinzu.
  3. Öffnen Sie die Workspace-URL in ihrem Browser.
  4. Melden Sie sich an.

Dieses Video zeigt, wie Sie die Dienstkontinuität im Browser installieren und verwenden.

Wenn sich ein Benutzer zum ersten Mal bei Citrix Workspace anmeldet, lädt die Dienstkontinuität Workspace-Verbindungsleases auf das Benutzergerät herunter. Das Herunterladen von Workspace-Verbindungsleases kann bei der ersten Anmeldung bis zu 15 Minuten dauern. Benutzer können während des Downloadzeitraums weiterhin veröffentlichte Ressourcen starten.

Benutzererfahrung während eines Ausfalls

Wenn die Dienstkontinuität aktiviert ist, variiert die Benutzererfahrung während eines Ausfalls je nach:

  • Der Art des Ausfalls
  • Ob die Citrix Workspace-App mit Domänen-Pass-Through-Authentifizierung konfiguriert ist
  • Ob die Sitzungsfreigabe für die App oder den Desktop aktiviert ist, mit der/dem sich der Benutzer verbindet

Bei einigen Ausfällen können Benutzer weiterhin auf ihr DaaS zugreifen, ohne dass sich ihre Benutzererfahrung ändert. Bei anderen Ausfällen können Benutzer eine Änderung im Erscheinungsbild von Workspace feststellen oder werden aufgefordert, eine Aktion auszuführen.

Diese Tabelle fasst zusammen, wie die Dienstkontinuität Benutzern hilft, während verschiedener Arten von Ausfällen auf Apps und Desktops zuzugreifen.

Wo der Ausfall auftritt Wie die Dienstkontinuität den Benutzerzugriff aufrechterhält Benutzererfahrung während eines Ausfalls
Citrix Workspace Die Citrix Workspace-App listet Apps und Desktops basierend auf dem lokalen Cache auf dem Benutzergerät auf. Symbole für nicht verfügbare Apps und Desktops werden abgeblendet angezeigt. Benutzer können weiterhin auf Apps und Desktops zugreifen, deren Symbole nicht abgeblendet sind. Nach dem Klicken auf ein nicht abgeblendetes Symbol werden Benutzer möglicherweise aufgefordert, ihre Anmeldeinformationen am VDA erneut einzugeben. Um den Zugriff auf alle ihre Apps und Desktops wiederherzustellen, können Benutzer versuchen, ihre Verbindung zu Workspace herzustellen, indem sie auf den Link „Reconnect to Workspace“ klicken.
Identitätsanbieter Die Citrix Workspace-App listet Apps und Desktops basierend auf dem lokalen Cache auf dem Benutzergerät auf. Benutzer können sich möglicherweise nicht bei Workspace anmelden. Benutzer klicken auf den Link „Use Workspace offline“, um auf einige Apps und Desktops in einer Erfahrung zuzugreifen, die einem Workspace-Dienstausfall gleicht.
Citrix Cloud™ Broker Service Für VDAs, die bei Connectors registriert sind, übernimmt der High Availability Service im Cloud Connector das Brokering. Alle VDAs, die beim Cloud Broker Service registriert waren, registrieren sich beim High Availability Service. Bei connectorlosen VDAs erfolgt das Brokering der Sitzung über den Virtual Delivery Agent (VDA). Einige Benutzer können möglicherweise nicht auf virtuelle Ressourcen zugreifen, während sich VDAs beim High Availability Service registrieren. Bestehende Sitzungen sind nicht betroffen. Keine Benutzeraktion erforderlich.
Secure Ticket Authority Workspace-Verbindungsleases ermöglichen den Zugriff auf virtuelle Ressourcen, wenn ICA®-Dateien dies nicht können. Der Start von Sitzungen kann einige Sekunden länger dauern. Keine Benutzeraktion erforderlich.
Citrix Gateway Service Der Netzwerkverkehr wird zum nächstgelegenen fehlerfreien Citrix Gateway Service Point of Presence (POP) umgeleitet. Bestehende Sitzungen benötigen möglicherweise einige Sekunden zur Wiederherstellung der Verbindung. Keine Benutzeraktion erforderlich.
Internetverbindung im LAN Die Citrix Workspace-App listet Apps und Desktops basierend auf dem lokalen Cache auf dem Benutzergerät auf. Wenn ein Benutzer eine direkte Netzwerkverbindung zum Ressourcenstandort hat, umgeht die Citrix Workspace-App den Citrix Gateway-Dienst, wenn der Benutzer auf nicht ausgegraute Symbole klickt. Die Citrix Workspace-App kontaktiert den Cloud Connector über TCP 2598 und VDAs über TCP 2598 oder UDP 2598. Symbole für nicht verfügbare Apps und Desktops werden ausgegraut angezeigt. Benutzer können weiterhin auf Apps und Desktops zugreifen, die nicht ausgegraute Symbole haben. Nach dem Klicken auf ein nicht ausgegrautes Symbol werden Benutzer möglicherweise aufgefordert, ihre Anmeldeinformationen am VDA erneut einzugeben. Um den Zugriff auf alle ihre Apps und Desktops wiederherzustellen, können Benutzer versuchen, ihre Verbindung zu Workspace herzustellen, indem sie auf den Link “Reconnect to Workspace” klicken.

Citrix Workspace-Ausfall

Während eines Citrix Workspace-Ausfalls sehen Benutzer oben auf der Citrix Workspace-Startseite folgende Meldung: “Verbindung zu einigen Ihrer Ressourcen nicht möglich. Einige virtuelle Apps und Desktops sind möglicherweise weiterhin verfügbar.” Benutzer sehen Apps und Desktops, mit denen sie während des Ausfalls eine Verbindung herstellen können. Wenn die App oder der Desktop nicht verfügbar ist, wird das Symbol ausgegraut angezeigt.

Citrix Workspace-App-Startseite mit Meldung zum Service Continuity-Ausfall und Apps

Um während eines Ausfalls auf verfügbare Ressourcen zuzugreifen, wählen Benutzer ein Ressourcensymbol aus, das nicht ausgegraut ist.

Starten von Ressourcen

Je nachdem, wie die Citrix Workspace-App und die VDAs konfiguriert sind, fordert der VDA Benutzer während eines Ausfalls möglicherweise auf, ihre Anmeldeinformationen in die Windows-Anmeldeoberfläche einzugeben. Wenn diese Aufforderung erscheint, geben Benutzer ihre Active Directory (AD)-Anmeldeinformationen oder die Smartcard-PIN ein, um auf die App oder den Desktop zuzugreifen.

Benutzer können auf Ressourcen zugreifen, ohne ihre AD-Anmeldeinformationen einzugeben, wenn die Citrix Workspace-App für Windows mit der Domänen-Pass-Through-Authentifizierung konfiguriert ist. Weitere Informationen finden Sie unter Single Sign-On über die grafische Benutzeroberfläche konfigurieren.

Wenn die Sitzungsfreigabe aktiviert ist, können Benutzer auf Apps oder Desktops zugreifen, die auf demselben VDA gehostet werden, nachdem sie ihre Anmeldeinformationen für eine Ressource auf diesem VDA angegeben haben. Die Sitzungsfreigabe wird für die Anwendungsgruppe konfiguriert, die die Ressource auf dem VDA enthält. Informationen zum Konfigurieren von Anwendungsgruppen finden Sie unter Anwendungsgruppen erstellen.

In allen anderen Konfigurationen werden Benutzer aufgefordert, ihre AD-Anmeldeinformationen am VDA erneut einzugeben, bevor sie auf Ressourcen zugreifen.

Ausfälle des Identitätsanbieters

Während eines Ausfalls des Identitätsanbieters für die Workspace-Authentifizierung können sich Benutzer möglicherweise nicht über die Workspace-Anmeldeseite bei Citrix Workspace anmelden.

Bei Verwendung der Citrix Workspace-App wird nach 40 Sekunden diese Meldung oben im Fenster angezeigt.

Anmeldeseite der Citrix Workspace-App

Bei Verwendung eines Webbrowsers wird nach 60 Sekunden das folgende Pop-up angezeigt.

Screenshot des Citrix Web Extension Pop-ups

Danach wird die Citrix Workspace-Startseite angezeigt. Benutzer greifen dann auf Ressourcen zu, wie sie es während eines Citrix Workspace-Ausfalls tun würden.

Verhalten beim Beenden und Abmelden

Unabhängig von der Art des Ausfalls können Benutzer weiterhin auf Ressourcen zugreifen, wenn sie die Citrix Workspace-App oder den Browser beenden und neu starten, auch nach dem Neustart ihrer Geräte.

In der Standardkonfiguration der Dienstkontinuität verlieren Benutzer den Zugriff auf ihre Ressourcen, wenn sie sich explizit von Citrix Workspace abmelden. Wenn Benutzer den Zugriff auf ihre Ressourcen nach der Abmeldung behalten sollen, geben Sie an, dass Workspace-Verbindungsleases beim Abmelden der Benutzer beibehalten werden. Siehe Dienstkontinuität konfigurieren.

Benutzererfahrung im Browser während Ausfällen

Um offline auf verfügbare Apps und Desktops zuzugreifen, können Benutzer auf Offlinemodus verwenden klicken.

Um die Eingabeaufforderung für den Offlinemodus zu verwalten, klicken Sie im Browser auf dem Benutzergerät auf die Citrix Web Extension. Der folgende Bildschirm wird angezeigt:

Bild

Benutzer können die Option Offline arbeiten verwenden, um manuell in den Offlinemodus zu wechseln, ohne 60 Sekunden auf die Eingabeaufforderung für den Offlinemodus zu warten.

Bei einigen Ausfällen wird das Warnfenster, das Benutzer zum Offline-Arbeiten auffordert, automatisch angezeigt, wenn die Erweiterung Probleme auf der Workspace-Seite erkennt. Der Benutzer muss keine Maßnahmen ergreifen oder das Anmelde-Timeout-Intervall abwarten.

Anforderungen und Einschränkungen

Site-Anforderungen

  • Unterstützt in allen Editionen von Citrix DaaS mit Citrix Workspace.

  • Nicht unterstützt für Citrix Workspace mit Site-Aggregation zu lokalen Virtual Apps and Desktops.

  • Nicht unterstützt, wenn ein lokales Citrix Gateway als ICA-Proxy verwendet wird. (Die Verwendung von Citrix Gateway Service als Workspace-Authentifizierungsmethode wird unterstützt.)

Anforderungen an Benutzergeräte

Mindestens unterstützte Versionen der Citrix Workspace-App:

  • Citrix Workspace-App für Windows 2106
  • Citrix Workspace-App für Linux 2106
  • Citrix Workspace-App für Mac 2106
  • Citrix Workspace-App für Android 22.2.0
  • Citrix Workspace-App für iOS 22.4.5
  • Citrix Workspace-App für ChromeOS 2301

Für Benutzer, die ihre Apps und Desktops über Browser aufrufen:

  • Mindestens Citrix Workspace-App 2109 für Windows. Unterstützt mit Google Chrome und Microsoft Edge.
  • Citrix Workspace-App für Mac Version 2112 (mindestens) zur Verwendung mit Google Chrome.
  • Die Citrix Workspace-App für Windows (Store) wird nicht unterstützt.

Bei Verwendung von connectorlosen VDAs:

  • Citrix Workspace-App für Windows 2309 oder höher

Es wird nur ein Benutzer pro Gerät unterstützt. Kiosk- oder „Hot-Desk“-Benutzergeräte werden nicht unterstützt.

Anforderungen und Einschränkungen für Webbrowser

Beim Zugriff auf einen Store über einen Webbrowser müssen Benutzer einen von Citrix Weberweiterungen unterstützten Browser verwenden.

Wenn Benutzer während eines Ausfalls Cookies und andere Websitedaten in ihren Browsern löschen, funktioniert die Dienstkontinuität erst wieder, wenn sie sich erneut bei Workspace authentifizieren.

Dienstkontinuität wird im Inkognito- oder InPrivate-Modus nicht unterstützt.

Unterstützte Workspace-Authentifizierungsmethoden

  • Active Directory
  • Active Directory plus Token
  • Microsoft Entra ID
  • Okta
  • Citrix Gateway (primärer Benutzeranspruch muss von AD stammen)
  • SAML 2.0
  • Bedingte Authentifizierung

Einschränkungen bei der Authentifizierung

  • Single Sign-On mit Citrix Federated Authentication Service (FAS) wird nicht unterstützt. Benutzer geben ihre AD-Anmeldeinformationen in die Windows-Anmeldeoberfläche auf dem VDA ein.
  • Single Sign-On bei VDA unter Verwendung zwischengespeicherter Active Directory-Anmeldeinformationen wird nicht unterstützt.
  • Lokal zugeordnete Konten werden nicht unterstützt.
  • VDAs können Microsoft Entra ID-verbunden, Microsoft Entra hybrid-verbunden oder AD-verbunden sein.
  • Bei Verwendung der adaptiven Authentifizierung müssen die adaptive Authentifizierung oder der Dienst erreichbar bleiben, damit die Dienstkontinuität funktioniert.
  • Bei Verwendung des Device Posture-Dienstes muss der Device Posture-Dienst erreichbar bleiben, damit die Dienstkontinuität funktioniert. Um die Sicherheit zu gewährleisten, überprüft die Dienstkontinuität die Ergebnisse des letzten Scans des Gerätezustands, bevor eine Sitzung gestartet wird. Wenn die Scanergebnisse nicht verfügbar oder veraltet sind, verhindert die Dienstkontinuität den Sitzungsstart und gewährleistet so die Einhaltung der Sicherheitsrichtlinien.
  • Für verbindungslose VDAs wird die Anmeldung mit Windows Hello im virtuellen Desktop nicht unterstützt. Derzeit werden nur Benutzername und Kennwort unterstützt. Wenn Benutzer versuchen, sich mit einer Windows Hello-Methode anzumelden, erhalten sie eine Fehlermeldung, dass sie nicht der vermittelte Benutzer sind, und die Sitzung wird getrennt. Zu den zugehörigen Methoden gehören PIN, FIDO2-Schlüssel, MFA usw.

Citrix Cloud Connector™ Skalierung und Größe

  • 4 vCPU oder mehr
  • 6 GB Arbeitsspeicher oder mehr

Citrix Cloud Connector-Konnektivität

Citrix Cloud Connector muss https://rootoftrust-ap-s.apps.cloud.com, https://rootoftrust-eu.apps.cloud.com und https://rootoftrust.apps.cloud.com erreichen können. Weitere Informationen finden Sie unter System- und Konnektivitätsanforderungen in der Citrix Cloud-Dokumentation. Konfigurieren Sie Ihre Firewall so, dass diese Verbindung zugelassen wird. Informationen zur Cloud Connector-Firewall finden Sie unter Cloud Connector-Proxy- und Firewallkonfiguration.

Einschränkungen der Konnektivitätsoptimierung

Advanced Endpoint Analysis (EPA) wird nicht unterstützt.

Enlightened Data Transport (EDT) wird während Ausfällen nicht unterstützt.

VDA-Anforderungen und -Einschränkungen

  • Mit Connectors registrierte VDAs: 7.15 LTSR oder höher. Für connectorlose VDAs: 2402 oder höher.
  • VDAs müssen online sein, damit Benutzer während eines Ausfalls auf VDA-Ressourcen zugreifen können. Die Service Continuity schützt nicht vor Ausfällen von Plattformen, die die VDAs hosten, wie Azure oder AWS.
  • Für mit Connectors registrierte VDAs werden während Ausfällen folgende Workloads unterstützt:
    • Gehostete freigegebene Apps und Desktops
    • Zufällige nicht-persistente Desktops (gepoolter VDI-Desktop) mit Energieverwaltung
    • Statische nicht-persistente Desktops
    • Statische persistente Desktops, einschließlich Remote-PC-Zugriff

    Hinweis:

    Die Zuweisung bei erster Verwendung wird während Ausfällen nicht unterstützt. Zufällige nicht-persistente Desktops mit Energieverwaltung sind standardmäßig nicht verfügbar, wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren, es sei denn, ReuseMachinesWithoutShutdownInOutage ist für die Bereitstellungsgruppe konfiguriert. Weitere Informationen finden Sie unter Anwendungs- und Desktop-Support.

  • Für connectorlose VDAs, die Rendezvous V2 verwenden, werden während Ausfällen folgende Workloads unterstützt:
    • Statische persistente Desktops

Weitere Informationen zu verfügbaren VDA-Funktionen während Ausfällen finden Sie unter VDA-Verwaltung während Ausfällen.

Anforderungen und Einschränkungen der lokalen Tastaturbelegung

Die Windows-Anmeldebenutzeroberfläche, die Benutzer zur erneuten Authentifizierung am VDA auffordert, unterstützt keine lokale Tastatursprachenzuordnung. Um Benutzern die erneute Authentifizierung während eines Ausfalls zu ermöglichen, wenn sie eine lokale Tastatursprachenzuordnung auf ihren Geräten haben, laden Sie die von diesen Benutzern benötigten Tastaturlayouts vor.

Warnung:

Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung, bevor Sie sie bearbeiten.

Bearbeiten Sie diesen Registrierungsschlüssel im VDA-Image:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Das entsprechende Sprachpaket im Image des virtuellen Desktops muss installiert sein.

Eine Liste der Tastaturbezeichner, die Tastatursprachen zugeordnet sind, finden Sie unter Tastaturbezeichner und Eingabemethoden-Editoren für Windows.

Netzwerkkonnektivität des Ressourcenstandorts für Dienstkontinuität konfigurieren

Sie können Ihren Ressourcenstandort so konfigurieren, dass er Verbindungen innerhalb Ihres LANs, außerhalb Ihres LANs oder beides akzeptiert.

Für Verbindungen innerhalb Ihres LANs konfigurieren

  1. Gehen Sie im Citrix Cloud-Menü zu Workspace Configuration > Access.
  2. Wählen Sie Configure Connectivity.
  3. Wählen Sie Internal Only als Verbindungstyp.
  4. Klicken Sie auf Speichern.

Konfigurieren Sie Ihre Citrix Cloud Connector- und VDA-Firewalls so, dass sie Verbindungen über den CGP-TCP-Port (Common Gateway Protocol) 2598 akzeptieren. Diese Konfiguration ist die Standardeinstellung.

Konfigurieren für Verbindungen von außerhalb Ihres LANs

  1. Gehen Sie im Citrix Cloud-Menü zu Workspace Configuration > Access.
  2. Wählen Sie Configure Connectivity.
  3. Wählen Sie Gateway Service als Ihren Verbindungstyp.
  4. Klicken Sie auf Speichern.

Dienstkontinuität konfigurieren

So aktivieren Sie die Dienstkontinuität für Ihre Site:

  1. Gehen Sie im Citrix Cloud-Menü zu Workspace Configuration > Service Continuity.
  2. Setzen Sie Connection leasing for the Workspace auf Enable.

    Konsole für Dienstkontinuität

  3. Legen Sie die Connection lease period (Verbindungsleasing-Dauer) auf die Anzahl der Tage fest, für die ein Workspace-Verbindungsleasing zur Aufrechterhaltung einer Verbindung verwendet werden kann. Die Workspace-Verbindungsleasing-Dauer gilt für alle Workspace-Verbindungsleasings über Ihre Site. Die Workspace-Verbindungsleasing-Dauer beginnt, wenn sich ein Benutzer zum ersten Mal beim Citrix Cloud Workspace Store anmeldet. Workspace-Verbindungsleasings werden bei jeder Anmeldung des Benutzers aktualisiert, bis zu einmal täglich. Die Workspace-Verbindungsleasing-Dauer kann zwischen einem und 30 Tagen liegen. Der Standardwert ist sieben Tage.
  4. Klicken Sie auf Speichern.

Wenn Sie die Dienstkontinuität aktivieren, wird sie für alle Bereitstellungsgruppen in Ihrer Site aktiviert. Um die Dienstkontinuität für eine Bereitstellungsgruppe zu deaktivieren, verwenden Sie den folgenden PowerShell-Befehl:

Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false

Ersetzen Sie deliverygroup durch den Namen der Bereitstellungsgruppe.

Standardmäßig werden Workspace-Verbindungsleases vom Benutzergerät gelöscht, wenn sich der Benutzer während eines Ausfalls von Citrix Workspace abmeldet. Wenn Sie möchten, dass Workspace-Verbindungsleases nach der Abmeldung der Benutzer auf den Benutzergeräten verbleiben, verwenden Sie den folgenden PowerShell-Befehl:

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

Hinweise:

  • Workspace-Verbindungsleases können für Benutzer, die sich mit der Citrix Workspace-App für Mac verbinden, nicht so eingestellt werden, dass sie nach der Abmeldung der Benutzer auf den Benutzergeräten verbleiben. Citrix Workspace für Mac kann den Wert der Eigenschaft DeleteResourceLeaseOnLogOff nicht lesen.
  • Es kann bis zu 12 Stunden dauern, bis die Workspace-App-Clients nach der Konfiguration der Einstellung aktualisiert werden.

Service Continuity für verbindungslose Workloads konfigurieren

Service Continuity für verbindungslose Workloads muss pro Ressourcenstandort konfiguriert werden.

  1. Installieren Sie VDA 2402 für Microsoft Entra ID-verbundene VDAs.

    1. Aktivieren Sie den CLXMTP-Dienst auf den VDAs, indem Sie den folgenden Registrierungsschlüssel konfigurieren und anschließend den VDA neu starten:
     [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ClxMtpService]
     "ClxMtpSvcEnabled"=dword:00000001
     "ClxMtpTimeoutInMilliSeconds"=dword:00035000
     "ClxMtpFsmLogLevel"=dword:00000003
    
     <!--NeedCopy-->
    

    Hinweis:

    Für MCS-bereitgestellte VDAs sollten Sie diese Registrierungsschlüssel im Master-Image festlegen.

  2. Erstellen Sie einen Microsoft Entra ID-verbundenen Katalog.
  3. Erstellen Sie eine Bereitstellungsgruppe.

    Hinweis

    Es werden nur dedizierte Desktops unterstützt. Weisen Sie den Desktop einem Benutzer zu.

  4. Aktivieren Sie Service Continuity.
  5. Aktivieren Sie Service Continuity für verbindungslose Workloads am verbindungsloseN Ressourcenstandort, indem Sie die folgende PowerShell ausführen.
   powershell
   Set-ConfigZone -Name <zoneName> -EnableVdaConnectivityForResourceLeases $true
   <!--NeedCopy-->

So funktioniert Service Continuity

Wenn kein Ausfall vorliegt, greifen Benutzer über ICA-Dateien auf virtuelle Apps und Desktops zu. Citrix Workspace generiert jedes Mal eine eindeutige ICA-Datei, wenn ein Benutzer ein Symbol für eine virtuelle App oder einen Desktop auswählt. Jede ICA-Datei enthält ein Secure Ticket Authority (STA)-Ticket und ein Anmeldeticket, das nur einmal eingelöst werden kann, um autorisierten Zugriff auf virtuelle Ressourcen zu erhalten. Die Tickets in jeder ICA-Datei verfallen nach etwa 90 Sekunden. Nachdem das Ticket in einer ICA-Datei verwendet wurde oder abgelaufen ist, benötigt der Benutzer eine weitere ICA-Datei von Citrix Workspace, um auf Ressourcen zuzugreifen. Wenn Service Continuity nicht aktiviert ist, können Ausfälle Benutzer daran hindern, auf Ressourcen zuzugreifen, wenn Citrix Workspace keine ICA-Datei generieren kann.

Citrix Workspace generiert ICA-Dateien, wenn Benutzer virtuelle Apps und Desktops starten, unabhängig davon, ob Service Continuity aktiviert ist. Wenn Service Continuity aktiviert ist, generiert Citrix Workspace auch den eindeutigen Satz von Dateien, die einen Workspace-Verbindungs-Lease bilden. Im Gegensatz zu ICA-Dateien werden Workspace-Verbindungs-Lease-Dateien generiert, wenn sich der Benutzer bei Citrix Workspace anmeldet, nicht wenn der Benutzer die Ressource startet. Wenn sich ein Benutzer bei Citrix Workspace anmeldet, werden Verbindungs-Lease-Dateien für jede Ressource generiert, die diesem Benutzer veröffentlicht wurde. Workspace-Verbindungs-Leases enthalten Informationen, die dem Benutzer Zugriff auf virtuelle Ressourcen ermöglichen. Wenn ein Ausfall einen Benutzer daran hindert, sich bei Citrix Workspace anzumelden oder über eine ICA-Datei auf Ressourcen zuzugreifen, bietet der Verbindungs-Lease autorisierten Zugriff auf die Ressource.

So werden Sitzungen während Ausfällen gestartet

Wenn Benutzer während eines Ausfalls auf ein Symbol für eine App oder einen Desktop klicken, findet die Citrix Workspace-App den entsprechenden Workspace-Verbindungs-Lease auf dem Benutzergerät. Die Citrix Workspace-App öffnet dann eine Verbindung. Wenn die Konnektivität zum Ressourcenstandort, der die App oder den Desktop hostet, so konfiguriert ist, dass Verbindungen von außerhalb Ihres LANs akzeptiert werden, wird eine Verbindung zum Citrix Gateway Service geöffnet. Wenn Sie die Konnektivität zum Ressourcenstandort, der die App oder den Desktop hostet, so konfigurieren, dass nur Verbindungen innerhalb Ihres LANs akzeptiert werden, wird eine Verbindung zum Cloud Connector geöffnet.

Beim Öffnen des Workspaces in einem Webbrowser verwendet der Browser die Citrix Web Extension, um über das native Messaging-Host-Protokoll für Browsererweiterungen mit der Citrix Workspace-App zu kommunizieren.

Wenn der Citrix Cloud Broker online ist, verwendet der Cloud Connector den Citrix Cloud Broker, um zu ermitteln, welcher VDA verfügbar ist. Wenn der Citrix Cloud Broker offline ist, lauscht der sekundäre Broker für den Cloud Connector (auch bekannt als High Availability Service) auf Verbindungsanfragen und verarbeitet diese.

Benutzer, die bei einem Ausfall verbunden sind, können ununterbrochen weiterarbeiten. Wiederverbindungen und neue Verbindungen erfahren minimale Verbindungsverzögerungen. Diese Funktionalität ähnelt dem Local Host Cache, erfordert jedoch kein lokales StoreFront.

Wenn ein Benutzer während eines Ausfalls eine Sitzung startet, wird dieses Fenster angezeigt, das darauf hinweist, dass Workspace-Verbindungs-Leases für den Sitzungsstart verwendet wurden:

Fenster für den Sitzungsstartfortschritt

Nachdem sich der Benutzer bei der Sitzung angemeldet hat, werden diese Eigenschaften im Workspace Connection Center angezeigt:

Eigenschaften des Workspace Connection Center

Die Eigenschaft des Startmodus liefert Informationen über die Workspace-Verbindungs-Leases, die zum Starten der Sitzung verwendet wurden.

Auf Geräten, auf denen die Citrix Workspace-App für Mac ausgeführt wird, zeigt Citrix Viewer Informationen an, die belegen, dass Workspace-Verbindungs-Leases für den Sitzungsstart verwendet wurden:

Citrix Viewer-Fenster

Was es sicher macht

Alle sensiblen Informationen in den Workspace-Verbindungs-Lease-Dateien werden mit dem AES-256-Verschlüsselungsalgorithmus verschlüsselt. Workspace-Verbindungs-Leases sind an ein eindeutig mit dem spezifischen Clientgerät verknüpftes Public/Private-Schlüsselpaar gebunden und können nicht auf einem anderen Gerät verwendet werden. Ein integrierter kryptografischer Mechanismus erzwingt die Verwendung des eindeutigen Schlüsselpaars auf jedem Gerät.

Workspace-Verbindungs-Leases werden auf dem Benutzergerät unter AppData\Local\Citrix\SelfService\ConnectionLeases gespeichert.

Die Sicherheitsarchitektur der Dienstkontinuität basiert auf Public-Key-Kryptografie, ähnlich einer Public Key Infrastructure (PKI), jedoch ohne Zertifikatsketten und Zertifizierungsstellen. Stattdessen stellen alle Komponenten ein transitives Vertrauen her, indem sie sich auf einen neuen Citrix Cloud-Dienst namens „Root of Trust“ verlassen, der wie eine Zertifizierungsstelle fungiert.

Verbindungs-Leases blockieren

Wenn ein Benutzergerät verloren geht oder gestohlen wird oder ein Benutzerkonto geschlossen oder kompromittiert wird, können Sie Workspace-Verbindungs-Leases blockieren. Wenn Sie Workspace-Verbindungs-Leases blockieren, die einem Benutzer zugeordnet sind, kann der Benutzer keine Verbindung zu Ressourcen herstellen. Citrix Cloud generiert oder synchronisiert keine Workspace-Verbindungs-Leases mehr für den Benutzer.

Wenn Sie Workspace-Verbindungs-Leases blockieren, die einem Benutzerkonto zugeordnet sind, blockieren Sie Verbindungen zu diesem Konto auf allen damit verbundenen Geräten. Sie können Workspace-Verbindungs-Leases für einen Benutzer oder für alle Benutzer in einer Benutzergruppe blockieren.

Um Workspace-Verbindungs-Leases für einen einzelnen Benutzer oder eine Benutzergruppe zu widerrufen, verwenden Sie diesen PowerShell-Befehl:

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

Ersetzen Sie username durch den Benutzer, der dem Konto zugeordnet ist, dessen Verbindung Sie blockieren möchten. Ersetzen Sie username durch eine Benutzergruppe, um die Verbindung von allen Konten in der Benutzergruppe zu blockieren. Ersetzen Sie Days durch die Anzahl der Tage, für die Verbindungen blockiert werden.

Um beispielsweise Verbindungen für xd.local/user1 für die nächsten 7 Tage zu blockieren, geben Sie Folgendes ein:

Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Um den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases widerrufen werden, verwenden Sie diesen PowerShell-Befehl:

Get-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den Benutzer oder die Benutzergruppe, für die Sie den Zeitraum anzeigen möchten.

Um beispielsweise den Zeitraum anzuzeigen, für den Workspace-Verbindungsleases für xd.local/user1 widerrufen werden, geben Sie Folgendes ein:

Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

Diese Informationen werden angezeigt:

FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

Aus dieser Ausgabe können Sie ersehen, dass dem Benutzer xd.local/user2 die Workspace-Verbindungsleases für zwei Tage, vom 17. Dezember 2020 bis zum 19. Dezember 2020, jeweils um 17:34:25 UTC, entzogen wurden.

Um einem Benutzerkonto, dessen Workspace-Verbindungsleases widerrufen wurden, den erneuten Verbindungsaufbau zu ermöglichen, entfernen Sie die Sperre mit diesem PowerShell-Befehl:

Remove-BrokerConnectionLeaseRevocationDate -Name username

Ersetzen Sie username durch den gesperrten Benutzer oder die Benutzergruppe, die Verbindungen empfangen soll. Um allen gesperrten Benutzerkonten den Empfang von Verbindungen zu ermöglichen, lassen Sie die Option Name weg.

Double-Hop-Szenarien

Die Dienstkontinuität kann Benutzern den Zugriff auf virtuelle Ressourcen während Ausfällen in Double-Hop-Szenarien ermöglichen, wenn sie vor dem Ausfall bei Citrix Workspace angemeldet sind. In einem Double-Hop-Szenario verbindet sich ein physisches Benutzergerät mit einem virtuellen Desktop, auf dem die Citrix Workspace-App installiert ist. Der virtuelle Desktop verbindet sich dann mit einer anderen virtuellen Ressource.

Im Double-Hop-Szenario kann die Dienstkontinuität Benutzern den Zugriff auf virtuelle Ressourcen während eines Ausfalls unabhängig vom Typ des virtuellen Desktops ermöglichen. Wenn der virtuelle Desktop Benutzeränderungen beibehält, kann die Dienstkontinuität auch den Zugriff auf virtuelle Ressourcen während Ausfällen ermöglichen, die auftreten, während der Benutzer nicht angemeldet ist.

Die Dienstkontinuität behandelt das physische Benutzergerät und das virtuelle Gerät in einem Double-Hop-Szenario als einzelne Client-Endpunkte. Jedes Gerät verfügt über einen eigenen Satz von Workspace-Verbindungsleases. Wenn sich ein Benutzer auf einem physischen Gerät bei Citrix Workspace anmeldet, werden Workspace-Verbindungsleasedateien heruntergeladen und im Benutzerprofil auf dem physischen Gerät gespeichert. Der Benutzer greift dann auf einen virtuellen Desktop zu und meldet sich bei Citrix Workspace auf dem virtuellen Desktop an. Zu diesem Zeitpunkt wird ein anderer Satz von Workspace-Verbindungsleases heruntergeladen und im Benutzerprofil auf dem virtuellen Desktop gespeichert. Workspace-Verbindungsleasedateien sind dem Gerät zugeordnet, auf das sie heruntergeladen werden. Workspace-Verbindungsleasedateien können nicht auf ein anderes Gerät kopiert und wiederverwendet werden, selbst nicht vom selben Benutzer. Daher kann die Dienstkontinuität keinen Zugriff auf Ressourcen während Ausfällen bieten, die nach dem Ende der Sitzung auftreten, wenn der virtuelle Desktop Änderungen verwirft, die während einer Benutzersitzung vorgenommen wurden. Für diesen Typ von virtuellem Desktop gehören Workspace-Verbindungsleases zu den verworfenen Änderungen.

So funktioniert die Dienstkontinuität in Double-Hop-Szenarien mit jedem unterstützten Typ von virtuellem Desktop.

Für Double-Hops, die Folgendes umfassen… Dienstkontinuität kann den Zugriff auf virtuelle Ressourcen während Ausfällen ermöglichen…
Gehostete freigegebene Desktops Wenn der Ausfall auftritt, während der Benutzer am virtuellen Desktop angemeldet ist.
Zufällige nicht-persistente Desktops (gepoolter VDI-Desktop) Wenn der Ausfall auftritt, während der Benutzer am virtuellen Desktop angemeldet ist.
Statische nicht-persistente Desktops Wenn der virtuelle Desktop seit der letzten Anmeldung des Benutzers nicht neu gestartet wurde.
Statische persistente Desktops Jederzeit bei einem Ausfall.

VDA-Verwaltung während Ausfällen

Für VDAs, die bei Connectors registriert sind, nutzt die Dienstkontinuität die Funktion Local Host Cache innerhalb des Citrix Cloud Connectors. Local Host Cache ermöglicht die Fortsetzung des Verbindungs-Brokerings an einem Standort, wenn die Verbindung zwischen dem Cloud Delivery Controller und dem Cloud Connector fehlschlägt. Da die Dienstkontinuität auf Local Host Cache basiert, teilt sie einige Einschränkungen mit Local Host Cache.

Hinweis:

Obwohl die Dienstkontinuität Local Host Cache innerhalb des Cloud Connectors verwendet, wird die Dienstkontinuität im Gegensatz zu Local Host Cache nicht mit lokalem StoreFront unterstützt.

Dienstkontinuität für connectorlose Workloads unterscheidet sich von der Dienstkontinuität dadurch, dass das Brokering der Sitzung über den Virtual Delivery Agent (VDA) statt über Cloud Connectors erfolgt. Der VDA kommuniziert mit den Citrix Cloud-Backend-Diensten, um die Sitzung für den Benutzer entweder über eine direkte Verbindung oder den Gateway Service zu vermitteln, abhängig von den für diesen Ressourcenstandort konfigurierten Einstellungen. Weitere Informationen zur Konfiguration der Netzwerkkonnektivität des Ressourcenstandorts für die Dienstkontinuität finden Sie unter Konfigurieren der Netzwerkkonnektivität des Ressourcenstandorts für die Dienstkontinuität.

Energieverwaltung von VDAs während Ausfällen

Wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren, können Connectors keine Hypervisor-Anmeldeinformationen von Citrix Cloud empfangen. Das bedeutet:

  • Während eines Ausfalls befinden sich alle Maschinen im unbekannten Energiezustand und es können keine Energieverwaltungsvorgänge ausgeführt werden. VMs auf dem Host, die eingeschaltet sind, können jedoch für Verbindungsanfragen verwendet werden.

Standardmäßig sind energieverwaltete Desktop-VDAs in gepoolten Bereitstellungsgruppen, bei denen die Eigenschaft ShutdownDesktopsAfterUse aktiviert ist, für neue Verbindungen nicht verfügbar, wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren. Sie können diese Einstellung ändern, um die Verwendung dieser Desktops zu ermöglichen, wenn Cloud Connectors die Verbindung zu Citrix Cloud verlieren, indem Sie das ReuseMachinesWithoutShutdownInOutage-Flag in Ihren Bereitstellungsgruppen konfigurieren. Das Ändern des ReuseMachinesWithoutShutdownInOutage-Parameters auf $true kann dazu führen, dass Daten aus früheren Benutzersitzungen auf dem VDA vorhanden sind, bis dieser neu gestartet wird.

Die Energieverwaltung wird wieder aufgenommen, wenn der normale Betrieb nach einem Ausfall wieder aufgenommen wird.

Maschinenzuweisung und automatische Registrierung

Eine zugewiesene Maschine kann nur verwendet werden, wenn die Zuweisung während des normalen Betriebs erfolgte. Neue Zuweisungen können während eines Ausfalls nicht vorgenommen werden.

Die automatische Registrierung und Konfiguration von Remote-PC-Zugriffsmaschinen ist nicht möglich. Maschinen, die während des normalen Betriebs registriert und konfiguriert wurden, sind jedoch nutzbar.

VDA-Ressourcen in verschiedenen Zonen

Servergehostete Anwendungen und Desktop-Benutzer können mehr Sitzungen nutzen, als ihre konfigurierten Sitzungslimits zulassen, wenn sich die Ressourcen in verschiedenen Zonen befinden.

Im Gegensatz zum Local Host Cache kann die Dienstkontinuität Apps und Desktops von registrierten VDAs in verschiedenen Zonen starten, vorausgesetzt, die Ressource ist in mehr als einer Zone veröffentlicht. Die Citrix Workspace-App benötigt möglicherweise länger, um eine fehlerfreie Zone zu finden, da sie sequenziell alle Zonen in der Workspace-Verbindungslease durchläuft.

Überwachung und Fehlerbehebung

Die Dienstkontinuität führt zwei Hauptaktionen aus:

  • Herunterladen von Workspace-Verbindungsleases auf das Benutzergerät. Workspace-Verbindungsleases werden generiert und mit der Citrix Workspace-App synchronisiert.
  • Starten von virtuellen Desktops und Apps mithilfe von Workspace-Verbindungsleases.

Fehlerbehebung beim Herunterladen von Workspace-Verbindungsleases

Sie können Workspace-Verbindungsleases an diesem Speicherort auf dem Benutzergerät anzeigen.

Auf Windows-Geräten:

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Username ist der Benutzername.

Store GUID ist der global eindeutige Bezeichner des Workspace Stores.

User GUID ist der global eindeutige Bezeichner des Benutzers.

Auf Mac-Geräten:

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

Öffnen Sie beispielsweise /Users/luca/Library/Application Support/Citrix Receiver/CLSyncRoot

Unter Linux:

$HOME/.ICAClient/cache/ConnectionLease

Öffnen Sie beispielsweise /home/user1/.ICAClient/cache/ConnectionLease

Workspace-Verbindungsleases werden generiert, wenn die Citrix Workspace-App eine Verbindung mit dem Workspace Store herstellt. Zeigen Sie die Registrierungsschlüsselwerte auf dem Benutzergerät an, um festzustellen, ob die Citrix Workspace-App den Workspace-Verbindungsleasingsdienst in Citrix Cloud erfolgreich kontaktiert hat.

Öffnen Sie regedit auf dem Benutzergerät und zeigen Sie diesen Schlüssel an:

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

Wenn diese Werte im Registrierungsschlüssel angezeigt werden, hat die Citrix Workspace-App den Workspace-Verbindungsleasingsdienst kontaktiert oder versucht, ihn zu kontaktieren:

  • leaseLastCallHomeTime
  • leaseLastSyncStatus

Wenn die Citrix Workspace-App erfolglos versucht hat, den Workspace-Verbindungsleasingsdienst zu kontaktieren, zeigt leaseLastCallHomeTime einen Fehler mit einem ungültigen Zeitstempel an:

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

Wenn leaseLastCallHomeTime nicht initialisiert ist, hat die Citrix Workspace-App nie versucht, den Workspace-Verbindungsleasingsdienst zu kontaktieren. Um dieses Problem zu beheben, entfernen Sie das Konto aus der Citrix Workspace-App und fügen Sie es erneut hinzu.

Fehlercodes der Citrix Workspace-App für Workspace-Verbindungsleases

Wenn ein Dienstkontinuitätsfehler auf dem Benutzergerät auftritt, wird ein Fehlercode in der Fehlermeldung angezeigt. Häufige Fehler sind:

Fehlercode Beschreibung
3000 Keine Verbindungsleasingdateien vorhanden
3002 Verbindungsleasing kann nicht gelesen oder gefunden werden
3003 Kein Ressourcenstandort gefunden
3004 Verbindungsdetails fehlen in den Leases
3005 ICA-Datei ist leer
3006 Verbindungs-Lease abgelaufen. Melden Sie sich erneut bei Workspace an.
3007 Verbindungs-Lease ist ungültig
3008 Validierungsergebnis des Verbindungs-Lease: leer
3009 Validierungsergebnis des Verbindungs-Lease: ungültig
3010 Parameter fehlt
3020 Validierung der Verbindungslease fehlgeschlagen
3021 Kein Ressourcenstandort gefunden, an dem die App veröffentlicht ist
3022 Ergebnis der Verbindungslease-Validierung: verweigert
3023 Citrix Workspace-App-Zeitüberschreitung
3024 Benutzer hat den lease-basierten Start während des Vorgangs abgebrochen
3025 Anzahl der Startwiederholungen überschritten
3026 Verhandelte Ressource (App oder Desktop) kann nicht gestartet werden

Auf selfservice.txt zugreifen

Um auf die selfservice.txt-Datei für die Self-Service-Fehlerbehebung zuzugreifen, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine leere Textdatei und nennen Sie sie enableshieldandlogging.reg.
  2. Kopieren Sie den folgenden Text in die Datei und speichern Sie ihn:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle]
    "Tracing"="True"
    "AuxTracing"="True"
    "DefaultTracingConfiguration"="global all -detail"
    "ConnectionLeasingEnabled"="True"
    
    [HKEY_CURRENT_USER\Software\Citrix\Dazzle]
    "RemoteDebuggingPort"="8088"
    <!--NeedCopy-->
    
  3. Legen Sie Ihre gespeicherte Datei in Ihrem Client-Endpunkt ab.
  4. Die selfservice.txt-Datei ist jetzt unter folgendem Pfad auffindbar: %LocalAppData%\Citrix\SelfService.

Fehlerbehebung für Browser-Benutzer

Stellen Sie im Menü Erweitert der Kontoeinstellungen der Citrix Workspace Browser-App sicher, dass die aktuelle Methode für die Startpräferenz von Apps und Desktops auf Citrix Workspace-App verwenden eingestellt ist. Wenn diese Option auf Webbrowser verwenden eingestellt ist, wird Dienstkontinuität im Browser nicht unterstützt.

Stellen Sie sicher, dass das Erweiterungssymbol im Browser grün angezeigt wird, nachdem der Browser die Workspace-URL geladen hat.

Um Protokolle herunterzuladen, klicken Sie auf das Erweiterungssymbol im Browser. Klicken Sie dann auf Protokolle herunterladen.