Citrix Cloud

Detalles técnicos de Citrix Cloud Connector

Citrix Cloud Connector es un componente con una colección de servicios Windows que se instala en un servidor Windows Server 2012 R2, Windows Server 2016 o Windows Server 2019.

Requisitos del sistema

Las máquinas que alojan al Cloud Connector deben cumplir los siguientes requisitos: Citrix recomienda instalar al menos dos Cloud Connectors en cada una de las ubicaciones de recursos para garantizar la alta disponibilidad.

Sistemas operativos

Están disponibles los siguientes sistemas operativos:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

El Cloud Connector no es compatible con Windows Server Core.

Requisitos de .NET

Se requiere Microsoft .NET Framework 4.7.2 o una versión posterior.

Requisitos del servidor

  • Utilice máquinas dedicadas para alojar al Cloud Connector. No instale ningún otro componente en estas máquinas.
  • Las máquinas no deben configurarse como controladores de dominio de Active Directory. No se admite la instalación del Cloud Connector en un controlador de dominio.
  • El reloj del servidor debe estar configurado con la hora UTC correcta.
  • La Configuración de seguridad mejorada de Internet Explorer (IE ESC) debe estar desactivada. Si este parámetro está activado, Cloud Connector puede tener problemas para establecer una conexión con Citrix Cloud.
  • Citrix recomienda habilitar Windows Update en todas las máquinas que alojan Cloud Connector. Al configurar Windows Update, descargue e instale actualizaciones automáticamente, pero no permita reinicios automáticos. La plataforma Citrix Cloud se ocupa de los reinicios de las máquinas, lo que permite tener solo un Cloud Connector a la vez cuando es necesario. Si lo prefiere, puede controlar cuándo reiniciar la máquina después de una actualización mediante Directivas de grupo. Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/deployment/update/waas-restart.

Requisitos de validación de certificados

Binarios y dispositivos de punto final de Cloud Connector cuyos contactos de Cloud Connector están protegidos por certificados X.509 que ha emitido DigiCert, una entidad de certificación (CA) empresarial de gran prestigio. La verificación de certificados en la infraestructura de clave pública (PKI) incluye la lista de revocación de certificados (CRL). Cuando un cliente recibe un certificado, el cliente comprueba si confía en la CA que emitió dicho certificado y si este se halla en una lista CRL. Si no está en ninguna lista CRL, el certificado se revoca y no se debe confiar en él, aunque parezca válido.

DigiCert emplea servidores CRL que utilizan HTTP en el puerto 80 en lugar de HTTPS en el puerto 443. Los componentes de Cloud Connector, por sí mismos, no se comunican a través del puerto externo 80. La necesidad del puerto externo 80 es un subproducto del proceso de verificación de certificados que realiza el sistema operativo.

Los certificados X.509 se verifican durante la instalación de Cloud Connector. Por lo tanto, todas las máquinas con Cloud Connectors deben estar configuradas para que confíen en estos certificados de modo que el software de Cloud Connector se pueda instalar correctamente.

Para validar los certificados, cada máquina con Cloud Connectors debe cumplir los requisitos siguientes:

  • El puerto HTTP 80 está abierto para *.digicert.com. Este puerto se utiliza durante la instalación de Cloud Connector y durante las comprobaciones periódicas de las listas CRL. Para obtener más información sobre cómo probar la conectividad de las listas CRL y del protocolo OCSP, consulte https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htm en el sitio web de DigiCert.
  • La comunicación con las direcciones siguientes está habilitada:
    • http://*.digicert.com
    • https://*.digicert.com
  • Se instalan los certificados siguientes:
    • https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
    • https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt

Para obtener instrucciones completas para descargar e instalar los certificados, consulte CTX223828.

Requisitos de Active Directory

  • La máquina debe estar unida a un dominio de Active Directory que contenga los recursos y los usuarios que se van a usar para crear ofertas a los usuarios. Para obtener información sobre entornos de varios dominios, consulte Casos de implementación para Cloud Connectors en Active Directory en este artículo.
  • Cada bosque de Active Directory que se vaya a usar con Citrix Cloud debe ser accesible desde dos Cloud Connectors en todo momento.
  • El Cloud Connector debe poder llegar a los controladores de dominio principales (raíz) y a los controladores de dominio secundarios en la infraestructura de Active Directory (para completar los flujos de trabajo de Active Directory) en los que está instalado el Cloud Connector. Para obtener más información, consulte los siguientes artículos de asistencia de Microsoft:

Requisitos de la red

Niveles funcionales admitidos de Active Directory

Citrix Cloud Connector admite los siguientes niveles funcionales de bosque y dominio de Active Directory.

Nivel funcional de bosque Nivel funcional de dominio Controladores de dominio admitidos
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

Soporte para FIPS

Cloud Connector admite actualmente los algoritmos criptográficos validados por FIPS que se utilizan en máquinas habilitadas para FIPS. Ahora bien, solo los admite la versión más reciente del software de Cloud Connector disponible en Citrix Cloud. Si tiene máquinas de Cloud Connector en el entorno (instaladas antes de noviembre de 2018) y quiere habilitar el modo FIPS en ellas, lleve a cabo estas acciones:

  1. Desinstale el software de Cloud Connector que hubiera presente en cada máquina de la ubicación de recursos.
  2. Habilite el modo FIPS en cada máquina.
  3. Instale la versión más reciente del Cloud Connector en cada máquina habilitada para FIPS.

Importante:

  • No intente actualizar las instalaciones existentes de Cloud Connector a la versión más reciente. Desinstale siempre el antiguo Cloud Connector primero y, a continuación, instale el más reciente.
  • No habilite el modo FIPS en una máquina que aloja una versión anterior del Cloud Connector. Los Cloud Connectors anteriores a la versión 5.102 no admiten el modo FIPS. Habilitar el modo FIPS en una máquina con un Cloud Connector anterior instalado impide que Citrix Cloud realice actualizaciones periódicas de mantenimiento para el Cloud Connector.

Para obtener instrucciones sobre cómo descargar la versión más reciente de Cloud Connector, consulte Dónde obtener el Cloud Connector.

Servicios instalados de Cloud Connector

En esta sección, se describen los servicios que se instalan con Cloud Connector y sus privilegios de sistema.

Durante la instalación, el archivo ejecutable de Citrix Cloud Connector instala y establece la configuración de servicio necesaria en la configuración predeterminada necesaria para funcionar. Si la configuración predeterminada se modifica manualmente, es posible que Cloud Connector no funcione de la manera prevista. En este caso, la configuración se restablece al estado predeterminado cuando tiene lugar la siguiente actualización de Cloud Connector, suponiendo que los servicios que manejan el proceso de actualización sigan funcionando.

Citrix Cloud Agent System facilita todas las llamadas elevadas necesarias para que los demás servicios de Cloud Connector funcionen y no se comunica directamente en la red. Cuando un servicio en Cloud Connector necesita realizar una acción que requiere permisos del sistema local, lo hace a través de un conjunto predefinido de operaciones que Citrix Cloud Agent System puede realizar.

Nombre del servicio Descripción Funciona como
Citrix Cloud Agent System Gestiona las llamadas al sistema necesarias para los agentes locales. Incluye instalación, reinicios y acceso al registro. Solo le puede llamar Citrix Cloud Services Agent WatchDog. Sistema local
Citrix Cloud Services Agent WatchDog Supervisa y actualiza los agentes locales (permanentes). Servicio de red
Citrix Cloud Services Agent Logger Proporciona un marco de registro de soporte para los servicios de Citrix Cloud Connector. Servicio de red
Citrix Cloud Services AD Provider Permite a Citrix Cloud facilitar la administración de los recursos asociados a las cuentas del dominio de Active Directory donde está instalado. Servicio de red
Citrix Cloud Services Agent Discovery Permite a Citrix Cloud facilitar la administración de los productos Citrix locales antiguos de XenApp y XenDesktop. Servicio de red
Citrix Cloud Services Credential Provider Gestiona el almacenamiento y la recuperación de datos cifrados. Servicio de red
Citrix Cloud Services WebRelay Provider Permite que las solicitudes HTTP recibidas desde el servicio WebRelay Cloud puedan ser redirigidas a los servidores web locales. Servicio de red
Citrix CDF Capture Service Captura los rastros CDF de todos los productos y componentes configurados. Servicio de red
Citrix Config Synchronizer Service Copia la configuración de broker localmente para el modo de alta disponibilidad Servicio de red
Citrix High Availability Service (Servicio de alta disponibilidad de Citrix): Proporciona continuidad del servicio durante la interrupción del sitio central. Servicio de red
Citrix ITSM Adapter Provider Automatiza el aprovisionamiento y la administración de aplicaciones y escritorios virtuales. Servicio de red
Citrix NetScaler Cloud Gateway Proporciona conectividad a Internet a aplicaciones y escritorios locales sin necesidad de abrir reglas de firewall de entrada ni de implementar componentes en la DMZ. Servicio de red
Citrix Remote Broker Provider Permite la comunicación con un servicio de Broker remoto desde los VDA locales y los servidores de StoreFront. Servicio de red
Citrix Remote HCL Server Sirve de proxy para las comunicaciones entre el Delivery Controller y los hipervisores. Servicio de red
Citrix Session Manager Proxy Administra sesiones anónimas preiniciadas y carga información de recuento de sesiones en el servicio Administrador de sesiones basado en la nube. Servicio de red
Citrix WEM Cloud Authentication Service Proporciona un servicio de autenticación para que los agentes WEM de Citrix se conecten a servidores de infraestructura en la nube. Servicio de red
Citrix WEM Cloud Messaging Service Proporciona servicio para que el servicio en la nube de Citrix WEM reciba mensajes desde servidores de infraestructura en la nube. Servicio de red

Casos de implementación para Cloud Connectors en Active Directory

Si tiene un solo dominio en un solo bosque, instalar Cloud Connectors en ese dominio es todo lo que necesita para establecer una ubicación de recursos. Si tiene varios dominios en el entorno, debe plantearse dónde instalar Cloud Connectors para que los usuarios puedan acceder a los recursos que ponga a su disposición.

Nota:

Las siguientes ubicaciones de recursos forman un modelo que puede ser necesario repetir en otras ubicaciones físicas, dependiendo de dónde estén alojados sus recursos.

Dominio único en un solo bosque con un único conjunto de Cloud Connectors

En este caso, un solo dominio contiene todos los objetos de usuario y recursos (forest1.local). Un conjunto de Cloud Connectors se implementa en una única ubicación de recursos y se une al dominio forest1.local.

  • Relación de confianza: Ninguna, dominio único
  • Dominios incluidos en Administración de acceso e identidad: forest1.local
  • Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios

Dominios primarios y secundarios en un solo bosque con un único conjunto de Cloud Connectors

En este caso, un dominio primario (forest1.local) y su dominio secundario (user.forest1.local) residen dentro de un solo bosque. El dominio primario actúa como dominio de recursos, mientras que el dominio secundario es el dominio de usuarios. Un conjunto de Cloud Connectors se implementa en una única ubicación de recursos y se une al dominio forest1.local.

  • Relación de confianza: Confianza entre dominios primarios y secundarios
  • Dominios incluidos en Administración de acceso e identidad: forest1.local, user.forest1.local
  • Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios

Nota:

Puede ser necesario reiniciar los Cloud Connectors para que Citrix Cloud registre el dominio secundario.

Usuarios y recursos en bosques independientes (con relación de confianza) con un único conjunto de Cloud Connectors

En este caso, un bosque (forest1.local) contiene el dominio de recursos, mientras que otro bosque (forest2.local) contiene el dominio de usuarios. Existe una relación de confianza entre estos bosques, que permite a los usuarios iniciar sesión en los recursos. Un conjunto de Cloud Connectors se implementa en una única ubicación de recursos y se une al dominio forest1.local.

  • Relación de confianza: Confianza de bosque
  • Dominios incluidos en Administración de acceso e identidad: forest1.local
  • Inicios de sesión de usuario en Citrix Workspace: Solo se admiten los usuarios de forest1.local
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios

Nota:

La relación de confianza entre los dos bosques debe permitir que el usuario que se encuentre en el bosque de usuarios inicie sesión en las máquinas del bosque de recursos.

Debido a que los Cloud Connectors no pueden atravesar las barreras que haya en las relaciones de confianza a nivel de bosque, el dominio forest2.local no se muestra en la página Administración de acceso e identidad de la consola de Citrix Cloud. Lo que conlleva las siguientes limitaciones:

  • Los recursos solo se pueden publicar para usuarios y grupos ubicados en forest1.local en Citrix Cloud. Sin embargo, los usuarios de forest2.local se pueden anidar en los grupos de seguridad de forest1.local para mitigar este problema.
  • Citrix Workspace no puede autenticar usuarios desde el dominio forest2.local.

Para evitar estas limitaciones, implemente los Cloud Connectors como se describe en Usuarios y recursos en bosques independientes (con relación de confianza) con un único conjunto de Cloud Connectors en cada bosque.

Usuarios y recursos en bosques independientes (con relación de confianza) con un único conjunto de Cloud Connectors en cada bosque

En este caso, un bosque (forest1.local) contiene el dominio de recursos, mientras que otro bosque (forest2.local) contiene el dominio de usuarios. Existe una relación de confianza entre estos bosques, que permite a los usuarios iniciar sesión en los recursos. Un conjunto de Cloud Connectors se implementa en el dominio forest1.local y un segundo conjunto se implementa en el dominio forest2.local.

  • Relación de confianza: Confianza de bosque
  • Dominios incluidos en Administración de acceso e identidad: forest1.local, forest2.local
  • Inicios de sesión de usuario en Citrix Workspace: Se admiten todos los usuarios
  • Inicios de sesión de usuario en una implementación local de StoreFront: Se admiten todos los usuarios

Ver el estado de Cloud Connector

En Citrix Cloud, la página “Ubicaciones de recursos” muestra el estado de todos los conectores Cloud Connectors en las ubicaciones de recursos.

Mensajes de eventos

Los mensajes de eventos se pueden consultar en el Visor de eventos de Windows de la máquina que aloja el Cloud Connector. Los registros de eventos de Windows que genera Cloud Connector se encuentran en los documentos siguientes:

Registros de eventos

De forma predeterminada, los registros de eventos se encuentran en el directorio C:\%ProgramData%\Citrix\WorkspaceCloud\Logs de la máquina donde se encuentra el Cloud Connector.

Solucionar problemas

El primer paso para diagnosticar problemas de Cloud Connector es consultar los registros de eventos y los mensajes de eventos. Si no ve el Cloud Connector en la ubicación de recursos, o aparece como que “no está en contacto”, los registros de eventos le proporcionarán información inicial.

Conectividad de Cloud Connector

Si Cloud Connector está “desconectado”, la utilidad de comprobación de la conectividad de Cloud Connector puede ayudarle a verificar que Cloud Connector puede acceder a Citrix Cloud y sus servicios relacionados.

La utilidad de comprobación de la conectividad de Cloud Connector se ejecuta en la máquina que aloja el Cloud Connector. Si utiliza un servidor proxy en su entorno, la utilidad puede ayudarle a comprobar la conectividad a través del servidor proxy canalizando todas las comprobaciones de conectividad. Si es necesario, la utilidad también puede agregar los sitios de confianza de Citrix que falten a la zona Sitios de confianza de Internet Explorer.

Para obtener más información sobre la descarga y el uso de esta utilidad, consulte CTX260337 en Knowledge Center de Citrix Support.

Instalación

Si Cloud Connector se encuentra en estado de “error”, es posible que exista algún problema relacionado con su alojamiento en la máquina. Instale Cloud Connector en una máquina nueva. Si el problema continúa, contacte con Citrix Support, el servicio de asistencia de Citrix. Para solucionar problemas habituales de instalación o de uso de Cloud Connector, consulte CTX221535.

Detalles técnicos de Citrix Cloud Connector