Citrix Cloud

Détails techniques sur Citrix Cloud Connector

Le Citrix Cloud Connector est un composant comprenant divers services Windows installés sur Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019.

Configuration système requise

Les machines hébergeant Cloud Connector doivent satisfaire aux exigences suivantes : Citrix recommande fortement l’installation d’au moins deux logiciels Cloud Connector dans chaque emplacement de ressources afin de garantir une haute disponibilité.

Systèmes d’exploitation

Les systèmes d’exploitation suivants sont pris en charge :

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Le Cloud Connector n’est pas pris en charge pour une utilisation avec Windows Server Core.

Configuration requise pour .NET

Microsoft .NET Framework 4.7.2 ou version ultérieure est requis.

Éléments requis sur les serveurs

Si vous utilisez Cloud Connector avec Virtual Apps and Desktops Service, reportez-vous à la section Considérations sur le dimensionnement et la scalabilité des Cloud Connector pour obtenir des conseils sur la configuration de la machine.

Les exigences suivantes s’appliquent à toutes les machines sur lesquelles le Cloud Connector est installé :

  • Utilisez des machines dédiées pour héberger Cloud Connector. N’installez aucun autre composant sur ces machines.
  • Les machines ne sont pas configurées en tant que contrôleurs de domaine Active Directory. L’installation de Cloud Connector sur un contrôleur de domaine n’est pas prise en charge.
  • L’horloge du serveur doit être définie sur l’heure UTC correcte.
  • La configuration de sécurité renforcée d’Internet Explorer (IE ESC) est désactivée. Si cette configuration est activée, le Cloud Connector ne pourra pas se connecter à Citrix Cloud.
  • Citrix recommande vivement d’activer Windows Update sur toutes les machines hébergeant le Cloud Connector. Lors de la configuration de Windows Update, téléchargez et installez automatiquement les mises à jour, mais n’autorisez pas les redémarrages automatiques. La plate-forme Citrix Cloud se charge des redémarrages, et ne les autorise que pour un seul Cloud Connector à la fois, au besoin. Vous pouvez également contrôler quand la machine est redémarrée après une mise à jour à l’aide de la stratégie de groupe. Pour de plus amples informations, consultez https://docs.microsoft.com/en-us/windows/deployment/update/waas-restart.

Exigences relatives à la validation des certificats

Les fichiers binaires et les points de terminaison contactés par Cloud Connector sont protégés par des certificats X.509 émis par les autorités de certification d’entreprise (CA) les plus reconnues. La vérification des certificats dans l’infrastructure de clé publique (PKI) inclut la liste de révocation de certificats. Lorsqu’un client reçoit un certificat, le client vérifie s’il approuve l’autorité de certification qui a émis les certificats et si le certificat est sur une liste de révocation de certificats. Si le certificat figure sur une liste de révocation de certificats, le certificat est révoqué et ne doit pas être approuvé, même s’il apparaît valide.

Les serveurs de liste de révocation de certificats utilisent HTTP sur le port 80 au lieu de HTTPS sur le port 443. Les composants Cloud Connector, eux-mêmes, ne communiquent pas sur le port externe 80. Le besoin d’un port externe 80 est un sous-produit du processus de vérification du certificat effectué par le système d’exploitation.

Les certificats X.509 sont vérifiés lors de l’installation de Cloud Connector. Par conséquent, toutes les machines Cloud Connector doivent être configurées pour approuver ces certificats afin de garantir que le logiciel Cloud Connector peut être installé correctement.

Les points de terminaison Citrix Cloud sont protégés par des certificats émis par DigiCert ou par l’une des autorités de certification racine utilisées par Azure. Pour plus d’informations sur les autorités de certification racine utilisées par Azure, consultez https://docs.microsoft.com/fr-fr/azure/security/fundamentals/tls-certificate-changes

Pour valider les certificats, chaque machine Cloud Connector doit satisfaire aux exigences suivantes :

  • Le port HTTP 80 est ouvert aux adresses suivantes. Ce port est utilisé lors de l’installation du Cloud Connector et lors des vérifications périodiques des listes de révocation de certificats. Pour plus d’informations sur la façon de tester la connectivité entre les listes de révocation de certificats et OCSP, consultez https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htm sur le site Web DigiCert.
    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://www.d-trust.net
    • http://root-c3-ca2-2009.ocsp.d-trust.net
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com
  • La communication avec les adresses suivantes est activée :
    • https://*.digicert.com
  • Les certificats suivants sont installés :
    • https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
    • https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootCA.crt
    • https://cacerts.digicert.com/BaltimoreCyberTrustRoot.crt
    • https://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crt

Pour obtenir des instructions complètes sur le téléchargement et l’installation des certificats, reportez-vous à la section CTX223828.

Configuration requise pour Active Directory

Configuration réseau requise

Niveaux fonctionnels Active Directory pris en charge

Le Citrix Cloud Connector prend en charge les niveaux fonctionnels de forêt et de domaine suivants dans Active Directory.

Niveau fonctionnel de la forêt Niveau fonctionnel du domaine Contrôleurs de domaine pris en charge
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

Prise en charge de la norme FIPS (Federal Information Processing Standard)

Cloud Connector prend actuellement en charge les algorithmes cryptographiques validés par FIPS qui sont utilisés sur les machines compatibles FIPS. Seule la dernière version du logiciel Cloud Connector disponible dans Citrix Cloud inclut cette prise en charge. Si vous disposez de machines Cloud Connector dans votre environnement (installées avant novembre 2018) et que vous souhaitez activer le mode FIPS sur ces machines, effectuez les actions suivantes :

  1. Désinstallez le logiciel Cloud Connector sur chaque machine de votre emplacement de ressources.
  2. Activez le mode FIPS sur chaque machine.
  3. Installez la dernière version de Cloud Connector sur chaque machine compatible FIPS.

Important :

  • N’essayez pas de mettre à niveau des installations Cloud Connector existantes vers la dernière version. Commencez toujours par désinstaller l’ancien Cloud Connector, puis installez la version la plus récente.
  • N’activez pas le mode FIPS sur une machine hébergeant une ancienne version de Cloud Connector. Les logiciels Cloud Connector antérieurs à la version 5.102 ne prennent pas en charge le mode FIPS. L’activation du mode FIPS sur une machine avec un ancien Cloud Connector installé empêche Citrix Cloud d’effectuer des mises à jour de maintenance régulières sur Cloud Connector.

Pour obtenir des instructions sur le téléchargement de la dernière version de Cloud Connector, consultez la section Où obtenir le Cloud Connector ?.

Services installés Cloud Connector

Cette section décrit les services installés avec Cloud Connector et leurs privilèges système.

Pendant l’installation, l’exécutable Citrix Cloud Connector installe et définit la configuration de service nécessaire sur les paramètres par défaut requis pour fonctionner. Si la configuration par défaut est modifiée manuellement, Cloud Connector peut ne pas fonctionner comme prévu. Dans ce cas, la configuration se réinitialise à l’état par défaut lorsque la prochaine mise à jour Cloud Connector se produit, en supposant que les services qui gèrent le processus de mise à jour peuvent toujours fonctionner.

Citrix Cloud Agent System facilite tous les appels élevés nécessaires au fonctionnement des autres services Cloud Connector et ne communique pas directement sur le réseau. Lorsqu’un service sur Cloud Connector doit effectuer une action nécessitant des autorisations de système local, il le fait via un ensemble prédéfini d’opérations que Citrix Cloud Agent System peut effectuer.

Nom du service Description S’exécute en tant que
Citrix Cloud Agent System Gère les appels système nécessaires pour les agents locaux. Inclut l’installation, les redémarrages et l’accès au registre. Ne peut être appelé que par Citrix Cloud Services Agent WatchDog. Système local
Citrix Cloud Services Agent WatchDog Surveille et met à niveau les agents locaux (evergreen). Service réseau
Citrix Cloud Services Agent Logger Offre une infrastructure de journalisation dédiée aux services Citrix Cloud Connector. Service réseau
Citrix Cloud Services AD Provider Permet à Citrix Cloud de faciliter la gestion des ressources associées aux comptes de domaine Active Directory dans lesquels il est installé. Service réseau
Découverte de l’agent Citrix Cloud Services Permet à Citrix Cloud de faciliter la gestion des produits Citrix locaux existants XenApp et XenDesktop. Service réseau
Citrix Cloud Services Credential Provider Gère le stockage et la récupération des données chiffrées. Service réseau
Citrix Cloud Services WebRelay Provider Permet aux requêtes HTTP reçues depuis le service WebRelay Cloud d’être transférées aux serveurs Web locaux. Service réseau
Citrix CDF Capture Service Capture les traces CDF de tous les produits et composants configurés. Service réseau
Citrix Config Synchronizer Service Copie la configuration de négociation localement pour le mode de haute disponibilité. Service réseau
Citrix High Availability Service Assure la continuité du service pendant les interruptions du site central. Service réseau
Citrix ITSM Adapter Provider Automatise le provisioning et la gestion des applications et bureaux virtuels. Service réseau
Citrix NetScaler Cloud Gateway Fournit une connectivité Internet aux applications et bureaux locaux sans avoir besoin d’ouvrir les règles de trafic entrant du pare-feu ou de déployer des composants dans la DMZ. Service réseau
Citrix Remote Broker Provider Permet la communication avec un Remote Broker Service depuis des VDA locaux et des serveurs StoreFront. Service réseau
Citrix Remote HCL Server Communications par proxy entre le Delivery Controller et le(s) hyperviseur(s). Service réseau
Citrix Session Manager Proxy Gère les sessions anonymes pré-lancées et télécharge les informations liées au nombre de sessions vers le service de gestionnaire de session basé sur le cloud. Service réseau
Citrix WEM Cloud Authentication Service Fournit un service d’authentification aux agents Citrix WEM pour qu’ils se connectent aux serveurs d’infrastructure cloud. Service réseau
Citrix WEM Cloud Messaging Service Fournit un service cloud Citrix WEM pour recevoir des messages des serveurs d’infrastructure cloud. Service réseau

Scénarios de déploiement de Cloud Connector dans Active Directory

Si vous avez un seul domaine dans une même forêt, l’installation de Cloud Connector dans ce domaine est tout ce dont vous avez besoin pour établir un emplacement de ressources. Si vous avez plusieurs domaines dans votre environnement, vous devrez déterminer où installer les Cloud Connector afin que vos utilisateurs puissent accéder aux ressources que vous mettez à disposition.

Remarque :

Les emplacements de ressources ci-dessous constituent un schéma qui peut devoir être répété dans d’autres emplacements physiques en fonction de l’endroit où vos ressources sont hébergées.

Domaine unique dans une forêt unique avec un seul groupe de Cloud Connector

Dans ce scénario, un seul domaine contient tous les objets ressource et utilisateur (forest1.local). Un groupe de Cloud Connector est déployé dans un seul emplacement de ressources et joint au domaine forest1.local.

  • Relation d’approbation : aucune - domaine unique
  • Domaines répertoriés dans Gestion des identités et des accès : forest1.local
  • Connexions utilisateur à Citrix Workspace : pris en charge pour tous les utilisateurs
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs

Domaines parents et enfants dans une forêt unique avec un seul groupe de Cloud Connector

Dans ce scénario, un domaine parent (forest1.local) et son domaine enfant (user.forest1.local) résident dans une seule forêt. Le domaine parent agit en tant que domaine de ressources et le domaine enfant est le domaine utilisateur. Un groupe de Cloud Connector est déployé dans un seul emplacement de ressources et joint au domaine forest1.local.

  • Relation d’approbation : approbation du domaine parent/enfant
  • Domaines répertoriés dans Gestion des identités et des accès : forest1.local, user.forest1.local
  • Connexions utilisateur à Citrix Workspace : pris en charge pour tous les utilisateurs
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs

Remarque :

Vous devrez peut-être redémarrer les Cloud Connector pour vous assurer que Citrix Cloud enregistre le domaine enfant.

Utilisateurs et ressources dans des forêts distinctes (avec approbation) avec un seul groupe de Cloud Connector

Dans ce scénario, une forêt (forest1.local) contient votre domaine de ressources et une forêt (forest2.local) contient votre domaine utilisateur. Il existe entre ces forêts une approbation qui permet aux utilisateurs de se connecter aux ressources. Un groupe de Cloud Connector est déployé dans un seul emplacement de ressources et joint au domaine forest1.local.

  • Relation d’approbation : approbation de forêt
  • Domaines répertoriés dans Gestion des identités et des accès : forest1.local
  • Connexions utilisateur à Citrix Workspace : uniquement pris en charge pour les utilisateurs de forest1.local
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs

Remarque :

La relation d’approbation entre les deux forêts doit permettre à l’utilisateur dans la forêt utilisateur de se connecter aux machines de la forêt de ressources.

Étant donné que les Cloud Connector ne peuvent pas traverser les approbations au niveau de la forêt, le domaine forest2.local n’est pas affiché sur la page Gestion des identités et des accès dans la console Citrix Cloud. Cela comporte les limites suivantes :

  • Les ressources ne peuvent être publiées que pour les utilisateurs et les groupes situés dans forest1.local dans Citrix Cloud. Toutefois, les utilisateurs de forest2.local peuvent être imbriqués dans les groupes de sécurité de forest1.local pour atténuer ce problème.
  • Citrix Workspace ne peut pas authentifier les utilisateurs provenant du domaine forest2.local.

Pour contourner ces limitations, déployez les logiciels Cloud Connector comme décrit dans la section Utilisateurs et ressources dans des forêts distinctes (avec approbation) avec un groupe de Cloud Connector dans chaque forêt.

Utilisateurs et ressources dans des forêts distinctes (avec approbation) avec un groupe de Cloud Connector dans chaque forêt

Dans ce scénario, une forêt (forest1.local) contient votre domaine de ressources et une forêt (forest2.local) contient votre domaine utilisateur. Il existe entre ces forêts une approbation qui permet aux utilisateurs de se connecter aux ressources. Un groupe de Cloud Connector est déployé dans le domaine forest1.local et un second groupe est déployé dans le domaine forest2.local.

  • Relation d’approbation : approbation de forêt
  • Domaines répertoriés dans Gestion des identités et des accès : forest1.local, forest2.local
  • Connexions utilisateur à Citrix Workspace : pris en charge pour tous les utilisateurs
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs

Afficher l’état du Cloud Connector

La page Emplacements des ressources dans Citrix Cloud affiche l’état de tous les Cloud Connector dans vos emplacements de ressources.

Messages d’événements

Des messages d’événements sont disponibles dans l’Observateur d’événements Windows sur la machine Cloud Connector. Les journaux d’événements Windows générés par le Cloud Connector se trouvent dans les documents suivants :

Journaux d’événements

Par défaut, les journaux d’événements figurent dans le répertoire C:\ProgramData\Citrix\WorkspaceCloud\Logs de la machine hébergeant le Cloud Connector.

Résolution des problèmes

La première chose à faire pour diagnostiquer des problèmes avec le Cloud Connector est de vérifier les messages d’événements et les journaux d’événements. Si le Cloud Connector n’est pas répertorié dans votre emplacement de ressources ou qu’il n’est « pas en contact », les journaux d’événements fourniront des informations initiales.

Connectivité Cloud Connector

Si Cloud Connector est « déconnecté », l’utilitaire Cloud Connector Connectivity Check Utility peut vous aider à vérifier que Cloud Connector peut atteindre Citrix Cloud et ses services associés.

L’utilitaire Cloud Connector Connectivity Check Utility s’exécute sur la machine hébergeant le Cloud Connector. Si vous utilisez un serveur proxy dans votre environnement, l’utilitaire peut vous aider à vérifier la connectivité via votre serveur proxy en tunnelisant toutes les vérifications de connectivité. Si nécessaire, l’utilitaire peut également ajouter les sites de confiance Citrix manquants à la zone Sites de confiance dans Internet Explorer.

Pour plus d’informations sur le téléchargement et l’utilisation de cet utilitaire, consultez CTX260337 dans le centre de connaissances du support Citrix.

Installation

Si le Cloud Connector indique un état « d’erreur », il est possible qu’il y ait un problème d’hébergement du Cloud Connector. Installez le Cloud Connector sur une nouvelle machine. Si le problème persiste, contactez le support Citrix. Pour résoudre les problèmes d’installation ou d’utilisation de Cloud Connector, consultez l’article CTX221535.