Citrix Cloud Connectorの技術詳細

Citrix Cloud Connectorは、Windows Server 2012 R2、Windows Server 2016、またはWindows Server 2019にインストールされたWindowsサービスのコレクションのコンポーネントです。

システム要件

Cloud Connectorをホストするマシンは、次の要件を満たしている必要があります:高可用性を確保するために、各リソースの場所に少なくとも2つのCloud Connectorをインストールしてください。

オペレーティングシステム

次のオペレーティングシステムがサポートされています:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Cloud Connectorは、Windows Server Coreでの使用はサポートされていません。

.NETの要件

マイクロソフトの.NET Framework 4.7.2以降が必要です。

サーバーの要件

  • Cloud Connectorをホストするために専用のマシンを使用します。そのマシンには他のコンポーネントをインストールしないでください。
  • マシンがActive Directoryドメインコントローラーとして構成されていないこと。ドメインコントローラーへのCloud Connectorのインストールはサポートされていません。
  • サーバークロックを正しいUTC時間に設定済み。
  • Internet Explorerのセキュリティ強化の構成(IE ESC)がオフになっていること。この設定が有効な場合、Cloud ConnectorがCitrix Cloudとの接続を確立できないことがあります。
  • Cloud ConnectorをホストしているすべてのマシンでWindows Updateを有効にしてください。Windows Updateを構成するときに、自動的に更新プログラムをダウンロードしてインストールするようにしてください。ただし、自動再起動は許可しないでください。Citrix Cloudプラットフォームの処理により、必要に応じて一度に1つのCloud Connectorのみに対応してマシンの再起動が行われます。グループポリシーを使用して更新後にマシンが再起動するタイミングを制御することもできます。詳しくは、https://docs.microsoft.com/en-us/windows/deployment/update/waas-restartを参照してください。

証明書の検証要件

Cloud Connectorが通信するCloud Connectorバイナリとエンドポイントは、広く評価された商用証明機関(CA)であるDigiCertが発行したX.509証明書で保護されています。公開キー基盤(PKI)の証明書の検証機能には、証明書失効一覧(CRL)があります。証明書を受信すると、クライアントは証明書を発行したCAを信頼するか、および証明書がCRLに含まれるかをチェックします。証明書がCRLにある場合は失効し、有効であると表示された場合でも信頼できないと判断されます。

DigiCertは、CRLサーバーの採用にポート443のHTTPSではなくポート80のHTTPを使用しています。Cloud Connectorコンポーネント自体は、外部のポート80とは通信しません。外部ポート80が必要となるのは、オペレーティングシステムが実行する証明書検証プロセスのためです。

X.509証明書は、Cloud Connectorのインストール時に検証されています。そのため、すべてのCloud Connectorマシンは、これらの証明書を信頼するように構成して、Cloud Connectorソフトウェアを正常にインストールできるようにする必要があります。

証明書を検証するには、各Cloud Connectorマシンが次の要件を満たしている必要があります:

  • HTTPポート80が*.digicert.comに対して開かれている。このポートは、Cloud Connectorのインストール時と定期的なCRLチェック中に使用されます。CRLおよびOCSPの接続性をテストする方法について詳しくは、 DigiCertのWebサイトのhttps://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htmを参照してください。
  • 以下のアドレスとの通信が有効になります:
    • http://*.digicert.com
    • https://*.digicert.com
  • 以下の証明書がインストールされています:
    • https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
    • https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt

証明書をダウンロードおよびインストールする手順について詳しくは、CTX223828を参照してください。

Active Directoryの要件

  • ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。マルチドメイン環境の場合は、この記事の「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
  • Citrix Cloudで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
  • Active Directoryワークフローを完了するため、Cloud Connectorは、Cloud ConnectorがインストールされているActive Directoryインフラストラクチャ内の両方の親(ルート)ドメインコントローラーにアクセスできる必要があります。詳しくは、次のMicrosoftのサポート文書を参照してください:

ネットワークの要件

サポートされるActive Directoryの機能レベル

Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。

フォレスト機能レベル ドメイン機能レベル サポートされるドメインコントローラー
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

FIPS(Federal Information Processing Standard)のサポート

Cloud Connectorは現在、FIPS対応のマシンで使用される、FIPS検証済みの暗号化アルゴリズムをサポートしています。このサポートは、Citrix Cloudで利用可能なCloud Connectorソフトウェアの最新バージョンにのみ含まれています。お使いの環境に既存のCloud Connectorマシンがあり(2018年11月より前にインストール)、そのマシンでFIPSモードを有効にする場合は、次の操作を実行します:

  1. リソースの場所にある各マシンでCloud Connectorソフトウェアをアンインストールします。
  2. 各マシンでFIPSモードを有効にします。
  3. FIPS対応の各マシンに最新バージョンのCloud Connectorをインストールします。

重要:

  • 既存のCloud Connectorインストールを最新バージョンにアップグレードしないでください。必ず古いCloud Connectorをアンインストールしてから、新しいCloud Connectorをインストールします。
  • 古いバージョンのCloud Connectorをホストするマシンでは、FIPSモードを有効にしないでください。バージョン5.102より古いCloud ConnectorはFIPSモードをサポートしていません。古いCloud ConnectorがインストールされているマシンでFIPSモードを有効にすると、Citrix CloudがCloud Connectorの定期的なメンテナンス更新を実行できなくなります。

Cloud Connectorの最新バージョンをダウンロードする手順については、「Cloud Connectorの入手場所」を参照してください。

Active DirectoryでのCloud Connector展開シナリオ

単一フォレストに単一ドメインがある場合、そのドメインにCloud Connectorをインストールするだけで、リソースの場所が確立されます。環境内に複数のドメインがある場合、利用可能なリソースにユーザーがアクセスできるよう、Cloud Connectorをインストールする場所を検討する必要があります。

注:

以下のリソースの場所は、ブループリントの一部となります。リソースがホストされている場所に応じて、他の物理的な場所でもこのブループリントを使用する必要があります。

単一フォレストに単一ドメインが存在する場合に、単一のCloud Connectorセットを展開

このシナリオでは、すべてのリソースとユーザーオブジェクトが1つのドメイン(forest1.local)に含まれています。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。

  • 信頼関係:なし - 単一ドメイン
  • [IDおよびアクセスの管理] に表示されるドメイン:forest1.local
  • Citrix Workspaceにログオンできるユーザー:すべてのユーザー
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー

単一フォレストに親子ドメインが存在する場合に、単一のCloud Connectorセットを展開

このシナリオでは、親ドメイン(forest1.local)とその子ドメイン(user.forest1.local)が1つのフォレスト内に存在します。親ドメインはリソースドメインとして機能し、子ドメインはユーザードメインです。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。

  • 信頼関係:親と子のドメインの信頼
  • [IDおよびアクセスの管理] に表示されるドメイン:forest1.local、user.forest1.local
  • Citrix Workspaceにログオンできるユーザー:すべてのユーザー
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー

注:

Citrix Cloudが子ドメインを認識するには、Cloud Connectorの再起動が必要な場合があります。

別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、単一のCloud Connectorセットを展開

このシナリオでは、1つのフォレスト(forest1.local)にリソースドメインが含まれ、もう1つのフォレスト(forest2.local)にユーザードメインが含まれます。これらのフォレスト間には、ユーザーがリソースにログオンできる信頼関係が存在します。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。

  • 信頼関係: フォレストの信頼
  • [IDおよびアクセスの管理] に表示されるドメイン:forest1.local
  • Citrix Workspaceにログオンできるユーザー:forest1.localのユーザーのみ
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー

注:

2つのフォレスト間の信頼関係は、ユーザーフォレスト内のユーザーがリソースフォレスト内のマシンにログオンできるように設定する必要があります。

Cloud Connectorはフォレストレベルの信頼を通過できないため、Citrix Cloudコンソールの [IDおよびアクセスの管理] ページにforest2.localドメインは表示されません。そのため、次の制限事項が発生します:

  • リソースは、Citrix Cloudのforest1.localに配置されたユーザーとグループにのみ公開できます。ただし、forest2.localのユーザーをforest1.localのセキュリティグループ内に入れ子にすることで、この問題に対処できます。
  • Citrix Workspaceは、forest2.localドメインのユーザーを認証できません。

これらの制限を回避するには、「別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、Cloud Connectorセットを各フォレストに展開」の説明に従ってCloud Connectorを展開します。

別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、Cloud Connectorセットを各フォレストに展開

このシナリオでは、1つのフォレスト(forest1.local)にリソースドメインが含まれ、もう1つのフォレスト(forest2.local)にユーザードメインが含まれます。これらのフォレスト間には、ユーザーがリソースにログオンできる信頼関係が存在します。1つのCloud Connectorセットがforest1.localドメインに展開され、2つ目のセットがforest2.localドメインに展開されます。

  • 信頼関係: フォレストの信頼
  • [IDおよびアクセスの管理] に表示されるドメイン:forest1.local、forest2.local
  • Citrix Workspaceにログオンできるユーザー:すべてのユーザー
  • オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー

Cloud Connectorの正常性を表示する

Cloud Connectorの[リソースの場所]ページには、リソースの場所にあるすべてのCloud Connectorの状態が表示されます。

イベントメッセージ

イベントメッセージは、Cloud ConnectorマシンのWindowsイベントビューアに表示できます。Cloud Connectorが生成するWindowsイベントログは、次のドキュメントにあります:

イベントログ

デフォルトでは、イベントログは、Cloud ConnectorをホストしているマシンのC:\ProgramData\Citrix\WorkspaceCloud\Logsディレクトリにあります。

Cloud Connectorのトラブルシューティング

Cloud Connectorの問題を診断するための最初の手順は、イベントメッセージとイベントログを確認することです。Cloud Connectorがリソースの場所に表示されない、または「接続していない」場合は、イベントログに初期情報が表示されます。

Cloud Connectorが「切断」されていて、イベントログにCloud ConnectorがCitrix Cloudに接続できない理由が示されない場合は、シトリックスサポートに連絡してください。

Cloud Connectorが「エラー」状態の場合、Cloud Connectorのホストに問題がある可能性があります。Cloud Connectorを新しいマシンにインストールしてください。問題が解決されない場合は、シトリックスサポートに連絡してください。

Cloud Connectorのインストールまたは使用に関する一般的な問題のトラブルシューティングについては、CTX221535を参照してください。