Citrix Cloud Connectorの要件

Citrix Cloud Connectorは、Windows Server 2016、Windows Server 2019、またはWindows Server 2022にインストールされたWindowsサービスで構成されています。

システム要件

Cloud Connectorをホストするマシンは、次の要件を満たしている必要があります:高可用性を確保するため、Citrixでは、それぞれのリソースの場所にCloud Connectorを2つ以上インストールすることを強くお勧めします。

Citrix DaaSでのCloud Connectorマシンの構成に関するベストプラクティスについては、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。

オペレーティングシステム

次のオペレーティングシステムがサポートされています:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Cloud Connectorは、Windows Server Coreでの使用はサポートされていません。

.NETの要件

Microsoft .NET Framework 4.7.2以降が必要です。

サーバーの要件

次の要件は、Cloud Connectorがインストールされているすべてのマシンに適用されます。

  • Cloud Connectorをホストするために専用のマシンを使用します。そのマシンには他のコンポーネントをインストールしないでください。
  • マシンがActive Directoryドメインコントローラーとして構成されていないこと。ドメインコントローラーへのCloud Connectorのインストールはサポートされていません。
  • サーバークロックを正しいUTC時間に設定済み。
  • Internet Explorerのセキュリティ強化の構成(IE ESC)がオフになっていること。Internet Explorerのセキュリティ強化の構成が有効な場合、Cloud ConnectorがCitrix Cloud Japanとの接続を確立できないことがあります。
  • Cloud Connectorをホストしているすべてのマシンで、Windows Updateを有効にすることをCitrixでは強くお勧めします。Windows Updateを構成するときに、自動的に更新プログラムをダウンロードしてインストールするようにしてください。ただし、自動再起動は許可しないでください。Citrix Cloud Japanプラットフォームの処理により、必要に応じて一度に1つのCloud Connectorのみに対応してマシンの再起動が行われます。グループポリシーを使用して更新後にマシンが再起動するタイミングを制御することもできます。詳しくは、https://docs.microsoft.com/en-us/windows/deployment/update/waas-restartを参照してください。

証明書の検証要件

Cloud Connectorが通信するCloud Connectorバイナリとエンドポイントは、広く評価された商用証明機関(CA)が発行したX.509証明書で保護されています。公開キー基盤(PKI)の証明書の検証機能には、証明書失効一覧(CRL)があります。クライアントは証明書を受け取ると、証明機関の信頼性を検証し、証明書が証明書失効一覧(CRL)にあるかどうかを確認します。 証明書がCRLにある場合は失効し、有効であると表示された場合でも信頼できないと判断されます。

CRLサーバーは、ポート443のHTTPSではなくポート80のHTTPを使用します。Cloud Connectorコンポーネント自体は、外部のポート80とは通信しません。外部ポート80が必要となるのは、オペレーティングシステムが実行する証明書検証プロセスのためです。

X.509証明書は、Cloud Connectorのインストール時に検証されます。そのため、すべてのCloud Connectorマシンは、これらの証明書を信頼するように構成して、Cloud Connectorソフトウェアを正常にインストールできるようにする必要があります。

Citrix Cloud Japanエンドポイントは、DigiCertによって発行された証明書、またはAzureによって使用されるルート証明機関の1つにより保護されています。Azureで使用されるルート証明機関について詳しくは、https://docs.microsoft.com/ja-jp/azure/security/fundamentals/tls-certificate-changesを参照してください。

証明書を検証するには、各Cloud Connectorマシンが次の要件を満たしている必要があります:

  • HTTPポート80が、以下のアドレスに対して開かれている。このポートは、Cloud Connectorのインストール時と定期的なCRLチェック中に使用されます。CRLおよびOCSP接続をテストする方法について詳しくは、DigiCert Webサイトのhttps://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htmを参照してください。
    • http://cacerts.digicert.com/
    • http://dl.cacerts.digicert.com/
    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://www.d-trust.net
    • http://root-c3-ca2-2009.ocsp.d-trust.net
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com
  • 以下のアドレスとの通信が有効になっている:
    • https://*.digicert.com
  • 以下のルート証明書がインストールされている:
    • https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootCA.crt
    • https://cacerts.digicert.com/DigiCertTrustedRootG4.crt
    • https://cacerts.digicert.com/BaltimoreCyberTrustRoot.crt
    • https://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
  • 以下の中間証明書がインストールされている:
    • https://cacerts.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt
    • https://cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt

いずれかの証明書がない場合、Cloud Connectorインストーラーはhttp://cacerts.digicert.comから該当する証明書をダウンロードします。

証明書をダウンロードおよびインストールする手順について詳しくは、CTX223828を参照してください。

Active Directoryの要件

  • ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。
  • Citrix Cloud Japanで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
  • Cloud Connectorは、子ドメインコントローラーだけでなく親ドメインコントローラーにもアクセスできる必要があります。これは、Cloud ConnectorがインストールされているActive Directoryワークフローを完了するために不可欠です。

詳しくは、次のMicrosoftサポート記事を参照してください: - Active Directoryドメインと信頼のファイアウォールを構成する方法 - システムサービスのポート

ネットワークの要件

サポートされるActive Directoryの機能レベル

Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。

フォレスト機能レベル ドメイン機能レベル サポートされるドメインコントローラー
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016、Windows Server 2019、Windows Server 2022

FIPS(Federal Information Processing Standard)のサポート

Cloud Connectorは現在、FIPS対応のマシンで使用される、FIPS検証済みの暗号化アルゴリズムをサポートしています。このサポートは、Citrix Cloud Japanで利用可能なCloud Connectorソフトウェアの最新バージョンにのみ含まれています。お使いの環境に既存のCloud Connectorマシンがあり(2018年11月より前にインストール)、そのマシンでFIPSモードを有効にする場合は、次の操作を実行します:

  1. リソースの場所にある各マシンでCloud Connectorソフトウェアをアンインストールします。
  2. 各マシンでFIPSモードを有効にします。
  3. FIPS対応の各マシンに最新バージョンのCloud Connectorをインストールします。

重要:

  • 既存のCloud Connectorインストールを最新バージョンにアップグレードしないでください。必ず古いCloud Connectorをアンインストールしてから、新しいCloud Connectorをインストールします。
  • 古いバージョンのCloud Connectorをホストするマシンでは、FIPSモードを有効にしないでください。バージョン5.102より古いCloud ConnectorはFIPSモードをサポートしていません。古いCloud ConnectorがインストールされているマシンでFIPSモードを有効にすると、Citrix Cloud JapanがCloud Connectorの定期的なメンテナンス更新を実行できなくなります。

Cloud Connectorの最新バージョンをダウンロードする手順については、「タスク3:Cloud Connectorのインストール」を参照してください。

Cloud Connectorで許可されているFQDN

Cloud Connectorがアクセスする完全修飾ドメイン名(FQDN)の完全な一覧については、次の場所にあるJSONファイルを参照してください:https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-japan/allowlist.json。この一覧は製品ごとに編成されており、FQDNのグループごとに変更ログがあります。

これらのFQDNの一部は、顧客に固有のものであり、角かっこで囲まれたテンプレート化されたセクションがあります。これらのテンプレート化されたセクションは、使用する前に実際の値に置き換える必要があります。たとえば、<CUSTOMER_ID>.xendesktop.netの場合、<CUSTOMER_ID>をCitrix Cloudアカウントの実際の顧客IDに置き換えます。顧客IDは、[IDおよびアクセス管理][APIアクセス] タブの上部に表示されます。

インストール要件

  • Cloud Connectorソフトウェアは、Citrix Cloud Japanからのみダウンロードし、準備されたマシンにインストールします。デフォルトでは、Cloud Connectorインストーラーは、ダウンロード元のコントロールプレーンとの接続を試みます。そのため、Citrix Cloud(citrix.cloud.com)アカウントからダウンロードしたソフトウェアをインストールしようとすると、インストーラーはCitrix Cloud Japanに接続しません。
  • Cloud Connectorソフトウェアがダウンロードされるように、ブラウザーが実行可能ファイルのダウンロードを許可するようにしておく必要があります。

クローンマシンに関する考慮事項

Cloud Connectorをホストする各マシンには、一意のSIDとコネクタIDが必要です。これにより、Citrix Cloud Japanがリソースの場所内のマシンと通信できるようになります。(複製前に)Cloud Connectorをマシンテンプレートにインストールすることはサポートされていません。Cloud Connectorをインストールしたマシンを複製すると、Cloud Connectorサービスが実行されなくなり、マシンはCitrix Cloud Japanに接続できなくなります。

リソースの場所の複数のマシンでCloud Connectorをホストし、クローンマシンを使用する場合は、次の手順を実行します:

  1. 使用環境に合わせてマシンテンプレートを準備します。
  2. Cloud Connectorとして使用する数のマシンをプロビジョニングします。
  3. 手動またはサイレントインストールモードを使用して、各マシンにCloud Connectorをインストールします。

使用に関する重要な注意事項

  • すべてのCloud Connectorの電源を常にオンにして、Citrix Cloud Japanへの常時接続を確保します。
  • 以前にインストールしたCloud Connectorを新しいバージョンにアップグレードしないでください。古いCloud Connectorをアンインストールしてから、新しいバージョンをインストールしてください。
  • Cloud Connectorをホストしているすべてのマシンで、Windows Updateを有効にすることをCitrixでは強くお勧めします。
  • 各リソースの場所に少なくとも2つのCloud ConnectorをインストールすることをCitrixでは強くお勧めします。一般に、インストールする必要があるCloud Connectorの数はN+1です。ここで、Nはリソースの場所内のインフラストラクチャをサポートし、いずれかのCloud Connectorが使用できなくなった場合でもCitrix Cloud Japanとリソースの場所の間の接続が損なわれないようにするために必要な処理能力を有する数です。
  • Citrix Cloud Japanで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
  • インストール後、Cloud Connectorをホストしているマシンを別のドメインに移動しないでください。マシンが別のドメインに参加する必要がある場合は、Cloud Connectorをアンインストールし、ドメインに参加した後に再インストールします。

Cloud Connectorでインストールされるサービス

このセクションでは、Cloud Connectorとともにインストールされるサービスとそのシステム権限について説明します。

インストール中に、Citrix Cloud Connector実行可能ファイルがインストールされ、機能に必要なサービス構成がデフォルトに設定されます。デフォルトの構成を手動で変更すると、Cloud Connectorが正常に動作しない可能性があります。この場合、更新プロセスを処理するサービスが引き続き機能できると仮定すると、次のCloud Connector更新が発生したときに、構成はデフォルトの状態にリセットされます。

Citrix Cloud Agent Systemは、他のCloud Connectorサービスが機能するために必要なすべての呼び出しを昇格させ、ネットワーク上で直接通信しません。Cloud Connector上のサービスがローカルシステム権限が要求されるアクションを実行する必要がある場合、Citrix Cloud Agent Systemによって可能な事前定義された一連の操作によって実行します。

サービス名 説明 実行アカウント
Citrix Cloud Agent System オンプレミスエージェントに必要なシステムコールを処理します。インストール、再起動、レジストリアクセスが含まれます。Citrix Cloud Services Agent WatchDogによってのみ呼び出すことができます。 ローカルシステム
Citrix Cloud Services Agent WatchDog オンプレミスエージェント(エバーグリーン)を監視およびアップグレードします。 ネットワークサービス
Citrix Cloud Services Agent Logger Citrix Cloud Connectorサービスのサポートログフレームワークを提供します。 ネットワークサービス
Citrix Cloud Services AD Provider インストールされているActive Directoryドメインアカウントに割り当てられたリソースをCitrix Cloud Japanで容易に管理できます。 ネットワークサービス
Citrix Cloud Services Agent Discovery XenAppおよびXenDesktopのレガシーオンプレミス製品をCitrix Cloud Japanで容易に管理できます。 ネットワークサービス
Citrix Cloud Services Credential Provider 暗号化されたデータの保存と取得を処理します。 ネットワークサービス
Citrix Cloud Services WebRelay Provider WebRelay Cloudサービスから受信したHTTP要求をオンプレミスのWebサーバーに転送できます。 ネットワークサービス
Citrix CDF Capture Service すべての構成済み製品およびコンポーネントからCDFトレースをキャプチャします。 ネットワークサービス
Citrix Config Synchronizer Service 仲介の構成をローカルに高可用性モードでコピーします。 ネットワークサービス
Citrix High Availability Service 中央サイトの停止中にサービスの継続性を提供します。 ネットワークサービス
Citrix ITSM Adapter Provider Virtual Apps and Desktopsのプロビジョニングと管理を自動化します。 ネットワークサービス
Citrix NetScaler Cloud Gateway 受信ファイアウォール規則を開いたり、DMZにコンポーネントを展開したりする必要なく、オンプレミスのデスクトップおよびアプリケーションにインターネット接続を提供します。 ネットワークサービス
Citrix Remote Broker Provider ローカルのVDAおよびStoreFrontサーバーからリモートのBroker Serviceへの通信を有効にします。 ネットワークサービス
Citrix Remote HCL Server Delivery Controllerと1つまたは複数のハイパーバイザー間の通信をプロキシ接続します。 ネットワークサービス
Citrix Session Manager Proxy 匿名の事前起動セッションを管理し、セッション数情報をクラウドベースのセッションマネージャーサービスにアップロードします。 ネットワークサービス
Citrix WEM Cloud Authentication Service Citrix WEMエージェントがクラウドインフラストラクチャサーバーに接続するための認証サービスを提供します。 ネットワークサービス
Citrix WEM Cloud Messaging Service Citrix WEMクラウドサービスがクラウドインフラストラクチャサーバーからメッセージを受信するためのサービスを提供します。 ネットワークサービス

イベントメッセージとログ

Cloud Connectorは、Windowsイベントビューアーに表示できる特定のイベントメッセージを生成します。優先する監視ソフトウェアを有効にしてこれらのメッセージを検索する場合は、ZIPアーカイブとしてダウンロードできます。このZIPアーカイブは、次のXMLファイルにこれらのメッセージを含みます:

  • Citrix.CloudServices.Agent.Core.dll.xml(Connector Agent Provider)
  • Citrix.CloudServices.AgentWatchDog.Core.dll.xml(Connector AgentWatchDog Provider)

Cloud Connectorのイベントメッセージをダウンロードします。(ZIPファイル)

トラブルシューティング

Cloud Connectorの問題を診断するための最初の手順は、イベントメッセージとイベントログを確認することです。Cloud Connectorがリソースの場所に表示されない、または「接続していない」場合は、イベントログに初期情報が表示されます。

インストール

Cloud Connectorが「エラー」状態の場合、Cloud Connectorのホストに問題がある可能性があります。Cloud Connectorを新しいマシンにインストールしてください。問題が解決されない場合は、Citrixサポートに連絡してください。Cloud Connectorのインストールまたは使用に関する一般的な問題のトラブルシューティングについては、CTX221535を参照してください。

Citrix Cloud Connectorの要件