Product Documentation

Amazon Web Services virtualization environments

Sep 27, 2017

Dieser Artikel führt Sie durch die Einrichtung Ihres Amazon Web Services-Kontos als Ressourcenstandort zur Verwendung für XenApp und XenDesktop Service. Der Ressourcenstandort enthält eine Reihe grundlegender Komponenten, die sich ideal für Machbarkeitsstudien oder andere Bereitstellungen eignen, bei denen keine Ressourcenverteilung über mehrere Verfügbarkeitszonen erforderlich ist. Nachdem Sie die hier aufgeführten Aufgaben ausgeführt haben, können Sie VDAs installieren, Maschinen bereitstellen und Maschinenkataloge sowie Bereitstellungsgruppen erstellen. 

HINWEIS: Alternativ zu der in diesem Artikel beschriebenen Einrichtung können Sie Citrix Smart Tools verwenden. Weitere Informationen finden Sie im Handbuch Get Started with AWS. Das Handbuch enthält Anleitungen zu folgenden Aufgaben:

  • Erstellen eines AWS-Kontos und geeigneter Zugriffsschlüssel
  • Abonnieren von NetScaler VPX im Amazon-Marketplace
  • Konfigurieren und Bereitstellen von Maschinen am neuen Ressourcenspeicherort mit Smart Tools

Mit den im vorliegenden Artikel aufgeführten Aufgaben wird ein Ressourcenstandort mit folgenden Komponenten erstellt:

  • Virtuelle private Cloud (VPC) mit öffentlichen und privaten Subnetzen in einer einzelnen Availability Zone
  • Eine Instanz, die sowohl als Active Directory-Domänencontroller als auch als DNS-Server ausgeführt wird und im privaten Subnetz der VPC residiert
  • Zwei mit der Domäne verbundene Instanzen, auf denen Citrix Cloud Connector installiert ist und die im privaten Subnetz der VPC residieren
  • Eine Instanz, die als Bastion Host fungiert und im öffentlichen Subnetz der VPC residiert. Mit dieser Instanz werden RDP-Verbindungen zu den Instanzen im privaten Subnetz für Verwaltungszwecke initiiert. Wenn Sie den Ressourcenstandort eingerichtet haben, können Sie diese Instanz herunterfahren, sodass sie nicht mehr ohne Weiteres verfügbar ist. Wenn Sie andere Instanzen im privaten Subnetz verwalten müssen, z. B. VDA-Instanzen, können Sie die Bastion Host-Instanz neu starten.

Aufgabenüberblick

Einrichten einer virtuellen privaten Cloud (VPC) mit öffentlichen und privaten Subnetzen: Wenn Sie diese Aufgabe ausführen, stellt AWS eine NAT-Instanz mit einer Elastic IP-Adresse im öffentlichen Subnetz bereit, welche Instanzen im privaten Subnetz den Zugriff auf das Internet ermöglicht. Instanzen im öffentlichen Subnetz sind für eingehenden öffentlichen Datenverkehr zugänglich, Instanzen im privaten Subnetz dagegen nicht.

Konfigurieren von Sicherheitsgruppen: Sicherheitsgruppen fungieren als virtuelle Firewall und steuern den Datenverkehr für die Instanzen in der VPC. Sie fügen den Sicherheitsgruppen Regeln zur Kommunikation zwischen Instanzen im öffentlichen und im privaten Subnetz hinzu. Sie ordnen die Sicherheitsgruppen außerdem jeder Instanz in der VPC zu.

Erstellen eines DHCP-Optionssatzes: Bei Amazon-VPCc werden DHCP- und DNS-Dienste standardmäßig bereitgestellt, was sich auf Ihre Konfiguration von DNS auf dem Active Directory-Domänencontroller auswirkt. Amazon-DHCP kann nicht deaktiviert werden und das Amazon-DNS kann nur für die öffentliche DNS-Auflösung, nicht aber für die Active Directory-Namensauflösung verwendet werden. Um die Domänen- und Nameserver anzugeben, die Instanzen über DHCP übergeben werden sollen, erstellen Sie einen neuen DHCP-Optionssatz. Dieser weist das Active Directory-Domänensuffix zu und gibt den DNS-Server für alle Instanzen in der VPC an. Um sicherzustellen, dass Host- (A) und Reverse-Lookup-Datensätze (PTR-Datensätze) automatisch registriert werden, wenn Instanzen der Domäne beitreten, konfigurieren Sie die Netzwerkadaptereigenschaften für jede Instanz, die Sie dem privaten Subnetz hinzufügen.

Hinzufügen eines Bastion Hosts, Domänencontrollers und Citrix Cloud Connectors zur VPC: Über den Bastion Host können Sie sich bei Instanzen im privaten Subnetz anmelden, um die Domäne einzurichten, der Domäne Instanzen anzufügen und den Citrix Cloud Connector zu installieren.

Aufgabe 1: Einrichten der VPC

  1. Klicken Sie in der AWS Management Console auf VPC.
  2. Klicken Sie im VPC-Dashboard auf Start VPC Wizard.
  3. Wählen Sie VPC with Public and Private Subnets und klicken Sie auf Select.
  4. Geben Sie einen VPC-Namen ein und ändern Sie bei Bedarf den IP CIDRE-Block und die IP-Bereiche für das öffentliche und private Subnetz.
  5. Wenn ein NAT-Gateway ausgewählt ist, klicken Sie auf Use a NAT Instance instead.
  6. Geben Sie für die NAT-Instanz den Instanztyp und das Schlüsselpaar an, das Sie verwenden möchten. Mit dem Schlüsselpaar können Sie zu einem späteren Zeitpunkt eine sichere Verbindung zur Instanz herstellen.
  7. Lassen Sie für "Enable DNS hostnames" die Option Yes aktiviert.
  8. Klicken Sie auf Create VPC. AWS erstellt das öffentliche und private Subnetz, das Internetgateway, die Routingtabellen und die Standardsicherheitsgruppe. Außerdem wird eine NAT-Instanz erstellt und dieser eine Elastic IP-Adresse zugewiesen.

Aufgabe: Konfigurieren von Sicherheitsgruppen

Bei diesem Vorgang werden die folgenden Sicherheitsgruppen für die VPC erstellt und konfiguriert:

  • Eine Sicherheitsgruppe für die NAT-Instanz
  • Eine öffentliche Sicherheitsgruppe, der Instanzen im öffentlichen Subnetz zugeordnet werden
  • Eine private Sicherheitsgruppe, der Instanzen im privaten Subnetz zugeordnet werden

So erstellen Sie die Sicherheitsgruppen

  1. Klicken Sie im VPC-Dashboard auf Security Groups.
  2. Erstellen Sie eine Sicherheitsgruppe für die NAT-Instanz: Klicken Sie auf Create Security Group und geben Sie einen Namen und eine Beschreibung für die Gruppe ein. Wählen Sie unter "VPC" die VPC aus, die Sie zuvor erstellt haben. Klicken Sie auf Yes, Create.
  3. Wiederholen Sie Schritt 2, um eine öffentliche und eine private Sicherheitsgruppe zu erstellen.

Konfigurieren der NAT-Sicherheitsgruppe

Schritt 1: Wählen Sie in der Liste der Sicherheitsgruppen die NAT-Sicherheitsgruppe aus.

Schritt 2: Klicken Sie auf der Registerkarte Inbound Rules auf Edit, um die folgenden Regeln zu erstellen:

Type Source

ALL Traffic

Wählen Sie die private Sicherheitsgruppe.

22 (SSH)

0.0.0.0/0

Schritt 3: Wenn Sie fertig sind, klicken Sie auf Save.

Konfigurieren der öffentlichen Sicherheitsgruppe

Schritt 1: Wählen Sie in der Liste der Sicherheitsgruppen die private Sicherheitsgruppe aus.

Schritt 2: Klicken Sie auf der Registerkarte Inbound Rules auf "Edit", um die folgenden Regeln zu erstellen:

Type Source

ALL Traffic

Wählen Sie die private Sicherheitsgruppe.

ALL Traffic

Wählen Sie die öffentliche Sicherheitsgruppe.

ICMP

0.0.0.0/0

22 (SSH)

0.0.0.0/0

80 (HTTP)

0.0.0.0/0

443 (HTTPS)

0.0.0.0/0

1494 (ICA/HDX)

0.0.0.0/0

2598 (Sitzungszuverlässigkeit)

0.0.0.0/0

3389 (RDP)

0.0.0.0/0

Schritt 3: Wenn Sie fertig sind, klicken Sie auf Save.

Schritt 4: Klicken Sie auf der Registerkarte Inbound Rules auf Edit, um die folgenden Regeln zu erstellen:

Type Destination

ALL Traffic

Wählen Sie die private Sicherheitsgruppe.

ALL Traffic

0.0.0.0/0

ICMP

0.0.0.0/0

Schritt 5: Wenn Sie fertig sind, klicken Sie auf Save.

Konfigurieren der privaten Sicherheitsgruppe

Schritt 1: Wählen Sie in der Liste der Sicherheitsgruppen die private Sicherheitsgruppe aus.

Schritt 2: Klicken Sie auf der Registerkarte Inbound Rules auf Edit, um die folgenden Regeln zu erstellen:

Type Source

ALL Traffic

Wählen Sie die NAT-Sicherheitsgruppe.

ALL Traffic

Wählen Sie die private Sicherheitsgruppe.

ALL Traffic

Wählen Sie die öffentliche Sicherheitsgruppe.

ICMP

Wählen Sie die öffentliche Sicherheitsgruppe.

TCP 53 (DNS)

Wählen Sie die öffentliche Sicherheitsgruppe.

UDP 53 (DNS)

Wählen Sie die öffentliche Sicherheitsgruppe.

80 (HTTP)

Wählen Sie die öffentliche Sicherheitsgruppe.

TCP 135

Wählen Sie die öffentliche Sicherheitsgruppe.

TCP 389

Wählen Sie die öffentliche Sicherheitsgruppe.

UDP 389

Wählen Sie die öffentliche Sicherheitsgruppe.

443 (HTTPS)

Wählen Sie die öffentliche Sicherheitsgruppe.

TCP 1494 (ICA/HDX)

Wählen Sie die öffentliche Sicherheitsgruppe.

2598 (Sitzungszuverlässigkeit)

Wählen Sie die öffentliche Sicherheitsgruppe.

3389 (RDP)

Wählen Sie die öffentliche Sicherheitsgruppe.

TCP 49152-65535

Wählen Sie die öffentliche Sicherheitsgruppe.

Schritt 3: Wenn Sie fertig sind, klicken Sie auf Save.

Schritt 4: Klicken Sie auf der Registerkarte Inbound Rules auf Edit, um die folgenden Regeln zu erstellen:

Type Destination

ALL Traffic

Wählen Sie die private Sicherheitsgruppe.

ALL Traffic

0.0.0.0/0

ICMP

0.0.0.0/0

UDP 53 (DNS)

0.0.0.0/0

Schritt 5: Wenn Sie fertig sind, klicken Sie auf Save.

Aufgabe 3: Verknüpfen der NAT-Instanz mit der NAT-Sicherheitsgruppe

  1. Klicken Sie in der AWS-Verwaltungskonsole auf VPC.
  2. Klicken Sie im EC2-Dashboard auf Instances.
  3. Wählen Sie die NAT-Instanz und klicken Sie auf Actions > Networking > Change Security Groups.
  4. Deaktivieren Sie das Kontrollkästchen der Standardsicherheitsgruppe.
  5. Wählen Sie die zuvor erstellte NAT-Sicherheitsgruppe und klicken Sie auf Assign Security Groups.

Aufgabe 4: Starten von Instanzen

Im folgenden Verfahren werden vier EC2-Instanzen erstellt und das von Amazon generierte Standardadministratorkennwort entschlüsselt.

Schritt 1: Klicken Sie in der AWS-Verwaltungskonsole auf VPC.

Schritt 2: Klicken Sie im EC2-Dashboard auf Launch Instance.

Schritt 3: Wählen Sie ein Windows Server-Maschinenimage und einen Instanztyp.

Schritt 4: Geben Sie auf der Seite "Configure Instance Details" einen Namen für die Instanz ein und wählen Sie die zuvor eingerichtete VPC aus.

Schritt 5: Treffen Sie unter Subnet für jede Instanz folgende Auswahl:

  • Bastion host: Wählen Sie das öffentliche Subnetz.
  • Domain controller and Connectors: Wählen Sie das private Subnetz.

Schritt 6: Treffen Sie unter Auto-assign Public IP address für jede Instanz folgende Auswahl:

  • Bastion host: Wählen Sie Enable.
  • Domain controller and Connectors: Wählen Sie Use default setting oder Disable.

Schritt 7: Geben Sie für Netzwork Interfaces eine primäre IP-Adresse innerhalb des IP-Bereichs des privaten Subnetzes für die Domänencontroller- und Cloud Connector-Instanzen ein.

Schritt 8: Ändern Sie auf der Seite "Add Storage" bei Bedarf die Datenträgergröße.

Schritt 9: Geben Sie auf der Seite "Tag Instance" einen Anzeigenamen für jede Instanz ein.

Schritt 10: Wählen Sie auf der Seite "Security Groups" Select an existing security group und treffen Sie dann für jede Instanz die folgende Auswahl:

  • Bastion host: Wählen Sie die öffentliche Sicherheitsgruppe.
  • Domain controller and Connectors: Wählen Sie die private Sicherheitsgruppe.

Schritt 11: Überprüfen Sie Ihre Auswahl und klicken Sie auf Launch.

Schritt 12: Erstellen Sie ein neues Schlüsselpaar oder wählen Sie ein vorhandenes aus. Wenn Sie ein neues Schlüsselpaar erstellen, laden Sie die private Schlüsseldatei (.pem) herunter und bewahren Sie sie an einem sicheren Ort auf. Sie müssen den privaten Schlüssel angeben, wenn Sie das Standardadministratorkennwort für die Instanz beschaffen.

Schritt 13: Klicken Sie auf Launch Instances. Klicken Sie auf View Instance, um eine Liste Ihrer Instanzen anzuzeigen. Warten Sie, bis die neu gestartete Instanz alle Statusprüfungen bestanden hat, bevor Sie darauf zugreifen.

Schritt 14: Beschaffen Sie das Standardadministratorkennwort für jede Instanz:

  1. Wählen Sie die Instanz aus der Liste aus und klicken Sie auf Connect.
  2. Klicken Sie auf Get Password und geben Sie Ihre private Schlüsseldatei (.pem) an, wenn Sie dazu aufgefordert werden.
  3. Klicken Sie auf Decrypt Password. AWS zeigt das Standardkennwort an.

Schritt 15: Wiederholen Sie die Schritte 2-14, bis Sie vier Instanzen erstellt haben: eine Bastion Host-Instanz im öffentlichen Subnetz und drei Instanzen im privaten Subnetz, von denen eine als Domänencontroller und zwei als Cloud Connectors verwendet werden können.

Aufgabe 5: Erstellen eines DHCP-Optionssatzes

Schritt 1: Klicken Sie im VPC-Dashboard auf DHCP Options Sets.

Schritt 2: Geben Sie die folgenden Informationen ein:

  • Name tag: Geben Sie einen Anzeigenamen für den Satz ein.
  • Domain name: Geben Sie den vollqualifizierten Domänennamen ein, den Sie beim Konfigurieren der Domänencontrollerinstanz verwenden möchten.
  • Domain namen servers: Geben Sie die private IP-Adresse, die Sie der Domänencontrollerinstanz zugewiesen haben, und die Zeichenfolge AmazonProvidedDNS getrennt durch Kommas ein.
  • NTP servers: Lassen Sie dieses Feld leer.
  • NetBIOS name servers: Geben Sie die private IP-Adresse der Domänencontrollerinstanz ein.
  • NetBIOS node type: Geben Sie 2 ein.

Schritt 3: Klicken Sie auf Yes, Create.

Schritt 4: Verknüpfen des neuen Satzes mit der VPC:

  1. Klicken Sie im VPC Dashboard auf Your VPCs und wählen Sie dann die VPC aus, die Sie zuvor eingerichtet haben.
  2. Klicken Sie auf Actions > Edit DHCP Options Set.
  3. Wenn Sie dazu aufgefordert werden, wählen Sie den neuen Satz, den Sie erstellt haben, und klicken Sie auf Save.

Aufgabe 6: Konfigurieren der Instanzen

Schritt 1: Stellen Sie mithilfe eines RDP-Clients eine Verbindung mit der öffentlichen IP-Adresse der Bastion Host-Instanz her. Geben Sie die Anmeldeinformationen für das Administratorkonto ein, wenn Sie dazu aufgefordert werden.

Schritt 2: Starten Sie RDC auf der Bastion Host-Instanz und stellen Sie eine Verbindung zur privaten IP-Adresse der Instanz her, die Sie konfigurieren möchten. Geben Sie die Anmeldeinformationen für die Instanz ein, wenn Sie dazu aufgefordert werden.

Schritt 3: Konfigurieren Sie für alle Instanzen im privaten Subnetz folgende DNS-Einstellungen:

  1. Klicken Sie auf Start > Control Panel > Network and Internet > Network and Sharing Center > Change adapter settings. Doppelklicken Sie auf die angezeigte Netzwerkverbindung.
  2. Klicken Sie auf Properties,, wählen Sie Internet Protocol Version 4 (TCP/IPv4) und klicken Sie auf Properties.
  3. Klicken Sie auf Advanced und dann auf die Registerkarte DNS. Stellen Sie sicher, dass die folgenden Einstellungen aktiviert sind, und klicken Sie auf "OK":

Register this connection’s addresses in DNS
Use this connection’s DNS suffix in DNS registration

Schritt 4: Konfigurieren des Domänencontrollers:

  1. Fügen Sie mit Server-Manager die Active Directory-Domänendiensterolle mit allen Standardfeatures hinzu.
  2. Stufen Sie die Instanz auf einen Domänencontroller hoch. Aktivieren Sie im Rahmen der Heraufstufung DNS und verwenden Sie den Domänennamen, den Sie beim Erstellen des DHCP-Optionssatztes festgelegt haben. Starten Sie die Instanz neu, wenn Sie dazu aufgefordert werden.

Schritt 5: Konfigurieren des ersten Cloud Connectors:

  1. Fügen Sie die Instanz der Domäne an und führen Sie einen Neustart aus, wenn Sie dazu aufgefordert werden. Stellen Sie auf der Bastion Host-Instanz mithilfe von RDP die Verbindung zur Instanz wieder her.
  2. Melden Sie sich bei Citrix Cloud an. Wählen Sie im oberen linken Menü Ressourcenstandorte.
  3. Cloud Connector herunterladen
  4. Wenn Sie dazu aufgefordert werden, führen Sie die Datei cwcconnector.exe aus und geben Sie Ihre Citrix Cloud-Anmeldeinformationen ein. Folgen Sie die Anweisungen des Assistenten.
  5. Wenn Sie fertig sind, klicken Sie auf Aktualisieren, um die Seite "Ressourcenstandorte" anzuzeigen. Wenn der Cloud Connector registriert ist, wird die Instanz auf der Seite angezeigt.

Schritt 6: Wiederholen Sie Schritt 5 zum Konfigurieren des zweiten Cloud Connectors.

Erstellen einer Verbindung

Beim Herstellen einer Verbindung mit der XenApp und XenDesktop Service-Verwaltungskonsole gilt Folgendes:

  • Sie müssen den API-Schlüssel und die geheimen Schlüsselwerte angeben. Sie können die Schlüsseldatei mit diesen Werten aus AWS oder CloudPlatform exportieren und anschließend importieren. Sie müssen auch die Werte für Region, Availability Zone, VPC-Namen, Subnetzadressen, Domänenname, Namen der Sicherheitsgruppen und Anmeldeinformationen angeben.
  • Die für das AWS-Rootkonto von der AWS-Konsole abgerufene Anmeldeinformationsdatei hat nicht das gleiche Format wie die Anmeldeinformationsdateien, die für Standard-AWS-Benutzer heruntergeladen werden. Deshalb kann diese Datei von der XenApp und XenDesktop-Verwaltung nicht zum Ausfüllen der Felder "API-Schlüssel" und "Geheimer Schlüssel" verwendet werden. Verwenden Sie AWS IAM-Anmeldeinformationsdateien.

Mehr Informationen