Citrix Cloud Connectorの技術詳細
Citrix Cloud Connectorは、Citrix Cloudとリソースの場所の接続を確立するコンポーネントです。本記事では、展開の要件とシナリオ、Active DirectoryとFIPSサポート、およびトラブルシューティングのオプションについて説明します。
システム要件
Cloud Connectorをホストするマシンは、次の要件を満たしている必要があります:高可用性を確保するために、それぞれのリソースの場所に2つ以上のCloud Connectorが必要です。ベストプラクティスとして、Citrix Cloudとの高可用性接続を維持するために、Cloud Connectorを展開する場合は、N+1の冗長モデルを使用することをお勧めします。
ハードウェア要件
各Cloud Connectorには、少なくとも次のものが必要です:
- 仮想CPU×2
- 4GBのメモリ
- 20GBのディスクスペース
仮想CPUメモリを増やすと、Cloud Connectorをより大規模なサイトにスケールアップできます。推奨の構成については、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。
オペレーティングシステム
次のオペレーティングシステムがサポートされています:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2(廃止)
Cloud Connectorは、Windows Server Coreでの使用はサポートされていません。
.NETの要件
Microsoft .NET Framework 4.7.2以降が必要です。MicrosoftのWebサイトから最新バージョンをダウンロードします。
注:
Cloud ConnectorでMicrosoft .NET Coreを使用しないでください。.NET Frameworkの代わりに.NET Coreを使用すると、Cloud Connectorのインストールが失敗する場合があります。Cloud Connectorでは.NET Frameworkのみを使用してください。
サーバーの要件
Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)でCloud Connectorを使用している場合、マシン構成の手順については「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。
次の要件は、Cloud Connectorがインストールされているすべてのマシンに適用されます。
- Cloud Connectorをホストするために専用のマシンを使用します。そのマシンには他のコンポーネントをインストールしないでください。
- マシンがActive Directoryドメインコントローラーとして構成されていないこと。ドメインコントローラーへのCloud Connectorのインストールはサポートされていません。
- サーバークロックを正しいUTC時間に設定済み。
- グラフィカルインストーラーを使用する場合は、ブラウザーのインストールと、デフォルトのシステムブラウザーセットが必要です。
- Internet Explorerがデフォルトのシステムブラウザーである場合は、Internet Explorerセキュリティ強化の構成 (IE ESC)がオフになっていることを確認します。この設定が有効な場合、Cloud ConnectorがCitrix Cloudとの接続を確立できないことがあります。
- Cloud Connectorをホストしているすべてのマシンで、Windows Updateを有効にすることをCitrixでは強くお勧めします。Windows Updateを構成するときに、業務時間外に自動的に更新プログラムをダウンロードしてインストールするようにします。ただし、最低4時間は、自動再起動を許可しないでください。Citrix Cloudプラットフォームは、更新が再起動を待機していることを識別したときにマシンの再起動を処理し、一度に1つのCloud Connectorのみを再起動できるようにします。更新後にマシンを再起動する必要がある場合は、グループポリシーまたはシステム管理ツールを使用してフォールバック再起動を構成できます。詳しくは、https://docs.microsoft.com/en-us/windows/deployment/update/waas-restartを参照してください。
証明書の検証要件
Cloud Connectorが通信するCloud Connectorバイナリとエンドポイントは、広く評価された商用証明機関(CA)が発行したX.509証明書で保護されています。公開キー基盤(PKI)の証明書の検証機能には、証明書失効一覧(CRL)があります。証明書を受信すると、クライアントは証明書を発行したCAを信頼するか、および証明書がCRLに含まれるかをチェックします。証明書がCRLにある場合は失効し、有効であると表示された場合でも信頼できないと判断されます。
CRLサーバーは、ポート443のHTTPSではなくポート80のHTTPを使用します。Cloud Connectorコンポーネント自体は、外部のポート80とは通信しません。外部ポート80が必要となるのは、オペレーティングシステムが実行する証明書検証プロセスのためです。
X.509証明書は、Cloud Connectorのインストール時に検証されます。そのため、すべてのCloud Connectorマシンは、これらの証明書を信頼するように構成して、Cloud Connectorソフトウェアを正常にインストールできるようにする必要があります。
Citrix Cloudエンドポイントは、DigiCertによって発行された証明書、またはAzureによって使用されるルート認証局の1つにより保護されています。Azureで使用されるルート証明機関について詳しくは、https://docs.microsoft.com/en-us/azure/security/fundamentals/tls-certificate-changesを参照してください。
証明書を検証するには、各Cloud Connectorマシンが次の要件を満たしている必要があります:
- HTTPポート80が、以下のアドレスに対して開かれている。このポートは、Cloud Connectorのインストール時と定期的なCRLチェック中に使用されます。CRLおよびOCSP接続をテストする方法について詳しくは、DigiCert Webサイトのhttps://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htmを参照してください。
http://cacerts.digicert.com/http://dl.cacerts.digicert.com/http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.com
- 以下のアドレスとの通信が有効になっている:
https://*.digicert.com
- 以下のルート証明書がインストールされている:
https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crthttps://cacerts.digicert.com/DigiCertGlobalRootG2.crthttps://cacerts.digicert.com/DigiCertGlobalRootCA.crthttps://cacerts.digicert.com/DigiCertTrustedRootG4.crthttps://cacerts.digicert.com/BaltimoreCyberTrustRoot.crthttps://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
- 以下の中間証明書がインストールされている:
https://cacerts.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crthttps://cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt
いずれかの証明書がない場合、Cloud Connectorインストーラーはhttp://cacerts.digicert.comから該当する証明書をダウンロードします。
証明書をダウンロードおよびインストールする手順について詳しくは、CTX223828を参照してください。
Active Directoryの要件
- ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。マルチドメイン環境については、この記事の「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
- Citrix Cloudで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
- Cloud Connectorは、フォレストルートドメインとCitrix Cloudで使用する予定のドメインの両方のドメインコントローラーにアクセスできる必要があります。詳しくは、次のMicrosoftのサポート文書を参照してください:
- ドメインと信頼を構成する方法
- 「Windowsのサービス概要およびネットワークポート要件」の「システムサービスポート」セクション
- グローバルセキュリティグループの代わりに、ユニバーサルセキュリティグループを使用します。この構成により、ユーザーグループのメンバーシップをフォレスト内の任意のドメインコントローラーから確実に取得できます。
ネットワークの要件
- リソースの場所で使用するリソースに接続できるネットワークに接続済み。詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。
- インターネットに接続済み。詳しくは、「システムおよび接続要件」を参照してください。
サポートされるActive Directoryの機能レベル
Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。
| フォレスト機能レベル | ドメイン機能レベル | サポートされるドメインコントローラー |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016、Windows Server 2019、Windows Server 2022 |
FIPS(Federal Information Processing Standard)のサポート
Cloud Connectorは現在、FIPS対応のマシンで使用される、FIPS検証済みの暗号化アルゴリズムをサポートしています。このサポートは、Citrix Cloudで利用可能なCloud Connectorソフトウェアの最新バージョンにのみ含まれています。お使いの環境に既存のCloud Connectorマシンがあり(2018年11月より前にインストール)、そのマシンでFIPSモードを有効にする場合は、次の操作を実行します:
- リソースの場所にある各マシンでCloud Connectorソフトウェアをアンインストールします。
- 各マシンでFIPSモードを有効にします。
- FIPS対応の各マシンに最新バージョンのCloud Connectorをインストールします。
重要:
- 既存のCloud Connectorインストールを最新バージョンにアップグレードしないでください。必ず古いCloud Connectorをアンインストールしてから、新しいCloud Connectorをインストールします。
- 古いバージョンのCloud Connectorをホストするマシンでは、FIPSモードを有効にしないでください。バージョン5.102より古いCloud ConnectorはFIPSモードをサポートしていません。古いCloud ConnectorがインストールされているマシンでFIPSモードを有効にすると、Citrix CloudがCloud Connectorの定期的なメンテナンス更新を実行できなくなります。
Cloud Connectorの最新バージョンをダウンロードする手順については、「Cloud Connectorの入手場所」を参照してください。
Cloud Connectorでインストールされるサービス
このセクションでは、Cloud Connectorとともにインストールされるサービスとそのシステム権限について説明します。
インストール中に、Citrix Cloud Connector実行可能ファイルがインストールされ、機能に必要なサービス構成がデフォルトに設定されます。デフォルトの構成を手動で変更すると、Cloud Connectorが正常に動作しない可能性があります。この場合、更新プロセスを処理するサービスが引き続き機能できると仮定すると、次のCloud Connector更新が発生したときに、構成はデフォルトの状態にリセットされます。
Citrix Cloud Agent Systemは、他のCloud Connectorサービスが機能するために必要なすべての呼び出しを昇格させ、ネットワーク上で直接通信しません。Cloud Connector上のサービスがローカルシステム権限が要求されるアクションを実行する必要がある場合、Citrix Cloud Agent Systemによって可能な事前定義された一連の操作によって実行します。
| サービス名 | 説明 | 実行アカウント |
|---|---|---|
| Citrix Cloud Agent System | オンプレミスエージェントに必要なシステムコールを処理します。インストール、再起動、レジストリアクセスが含まれます。Citrix Cloud Services Agent WatchDogによってのみ呼び出すことができます。 | ローカルシステム |
| Citrix Cloud Services Agent WatchDog | オンプレミスエージェント(エバーグリーン)を監視およびアップグレードします。 | ネットワークサービス |
| Citrix Cloud Services Agent Logger | Citrix Cloud Connectorサービスのサポートログフレームワークを提供します。 | ネットワークサービス |
| Citrix Cloud Services AD Provider | インストールされているActive Directoryドメインアカウントに割り当てられたリソースのCitrix Cloudによる管理を容易にします。 | ネットワークサービス |
| Citrix Cloud Services Agent Discovery | XenAppおよびXenDesktopのレガシーオンプレミスCitrix製品のCitrix Cloudによる管理を容易にします。 | ネットワークサービス |
| Citrix Cloud Services Credential Provider | 暗号化されたデータの保存と取得を処理します。 | ネットワークサービス |
| Citrix Cloud Services WebRelay Provider | WebRelay Cloudサービスから受信したHTTP要求をオンプレミスのWebサーバーに転送できます。 | ネットワークサービス |
| Citrix CDF Capture Service | すべての構成済み製品およびコンポーネントからCDFトレースをキャプチャします。 | ネットワークサービス |
| Citrix Config Synchronizer Service | 仲介の構成をローカルに高可用性モードでコピーします。 | ネットワークサービス |
| Citrix Connection Lease Exchange Service | ワークスペースのサービス継続性のために、WorkspaceアプリとCloud Connector間で接続リースファイルを交換できるようにします | ネットワークサービス |
| Citrix High Availability Service | 中央サイトの停止中にサービスの継続性を提供します。 | ネットワークサービス |
| Citrix ITSM Adapter Provider | Virtual Apps and Desktopsのプロビジョニングと管理を自動化します。 | ネットワークサービス |
| Citrix NetScaler CloudGateway | 受信ファイアウォール規則を開いたり、DMZにコンポーネントを展開したりする必要なく、オンプレミスのデスクトップおよびアプリケーションにインターネット接続を提供します。 | ネットワークサービス |
| Citrix Remote Broker Provider | ローカルのVDAおよびStoreFrontサーバーからリモートのBroker Serviceへの通信を有効にします。 | ネットワークサービス |
| Citrix Remote HCL Server | Delivery Controllerとハイパーバイザー間の通信をプロキシ接続します。 | ネットワークサービス |
| Citrix WEM Cloud Authentication Service | Citrix WEMエージェントがクラウドインフラストラクチャサーバーに接続するための認証サービスを提供します。 | ネットワークサービス |
| Citrix WEM Cloud Messaging Service | Citrix WEMクラウドサービスがクラウドインフラストラクチャサーバーからメッセージを受信するためのサービスを提供します。 | ネットワークサービス |
Active DirectoryでのCloud Connector展開シナリオ
Cloud ConnectorとConnector Applianceの両方を使用して、Active Directoryコントローラに接続できます。使用するコネクタの種類は、展開によって異なります。
Active DirectoryでのConnector Applianceの使用について詳しくは、「Active DirectoryでのConnector Applianceの展開シナリオ」を参照してください。
安全な内部ネットワーク内にCloud Connectorをインストールします。
単一フォレストに単一ドメインがある場合、そのドメインにCloud Connectorをインストールするだけで、リソースの場所が確立されます。環境内に複数のドメインがある場合、利用可能なリソースにユーザーがアクセスできるよう、Cloud Connectorをインストールする場所を検討する必要があります。
ドメイン間の信頼が親と子の信頼でない場合、個別のドメインまたはフォレストごとにCloud Connectorをインストールする必要がある場合があります。この構成は、セキュリティグループを使用してリソースを割り当てるとき、またはいずれかのドメインからのVDAの登録を行うときに、リソースの列挙を処理するために必要になる場合があります。
注:
以下のリソースの場所は、ブループリントの一部となります。リソースがホストされている場所に応じて、他の物理的な場所でもこのブループリントを使用する必要がある場合があります。
単一フォレストに単一ドメインが存在する場合に、単一のCloud Connectorセットを展開
このシナリオでは、すべてのリソースとユーザーオブジェクトが1つのドメイン(forest1.local)に含まれています。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。
- 信頼関係:なし - 単一ドメイン
- [IDおよびアクセスの管理] に表示されるドメイン:forest1.local
- Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
注:
ハイパーバイザーインスタンスが別のドメインにある場合でも、ハイパーバイザーインスタンスとCloud Connectorが同じネットワークで到達可能な状態にある限りは、Cloud Connectorの単一のセットを展開できます。Citrix Cloudは、ホスティング接続と利用可能なネットワークを使用して、ハイパーバイザーとの通信を確立します。そのため、ハイパーバイザーが別のドメインにある場合でも、Citrix Cloudがハイパーバイザーと通信できるようにするために、そのドメインに別のCloud Connectorのセットを展開する必要はありません。
単一フォレストに親子ドメインが存在する場合に、単一のCloud Connectorセットを展開
このシナリオでは、親ドメイン(forest1.local)とその子ドメイン(user.forest1.local)が1つのフォレスト内に存在します。親ドメインはリソースドメインとして機能し、子ドメインはユーザードメインです。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。
- 信頼関係:親と子のドメインの信頼
- [IDおよびアクセスの管理] に表示されるドメイン:forest1.local、user.forest1.local
- Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
注:
Citrix Cloudが子ドメインを認識するには、Cloud Connectorの再起動が必要な場合があります。
別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、単一のCloud Connectorセットを展開
このシナリオでは、1つのフォレスト(forest1.local)にリソースドメインが含まれ、もう1つのフォレスト(forest2.local)にユーザードメインが含まれます。一方向の信頼関係は、リソースドメインを含むフォレストが、ユーザードメインを含むフォレストを信頼する場合に存在します。単一のCloud Connectorセットが1つのリソースの場所に展開され、forest1.localドメインに参加します。
- 信頼関係:一方向のフォレストの信頼
- [IDおよびアクセスの管理] に表示されるドメイン:forest1.local
- Citrix Workspaceにログオンできるユーザー:forest1.localのユーザーのみ
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
注:
2つのフォレスト間の信頼関係は、ユーザーフォレスト内のユーザーがリソースフォレスト内のマシンにログオンできるように設定する必要があります。
Cloud Connectorはフォレストレベルの信頼を通過できないため、Citrix Cloudコンソールの [IDおよびアクセスの管理] ページにforest2.localドメインは表示されず、クラウド側の機能はそのドメインを使用できません。そのため、次の制限事項が発生します:
- リソースは、Citrix Cloudのforest1.localに配置されたユーザーとグループにのみ公開できます。ただし、forest2.localのユーザーをforest1.localのセキュリティグループ内に入れ子にすることで、この問題に対処できます。
- Citrix Workspaceは、forest2.localドメインのユーザーを認証できません。
- Citrix DaaSの[監視]コンソールは、forest2.localドメインのユーザーを列挙できません。
これらの制限事項の回避策としては、「別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、Cloud Connectorセットを各フォレストに展開」の説明に従って、Cloud Connectorを展開します。
別々のフォレストにユーザーとリソースが存在する場合に(信頼関係あり)、Cloud Connectorセットを各フォレストに展開
このシナリオでは、1つのフォレスト(forest1.local)にリソースドメインが含まれ、もう1つのフォレスト(forest2.local)にユーザードメインが含まれます。一方向の信頼関係は、リソースドメインを含むフォレストが、ユーザードメインを含むフォレストを信頼する場合に存在します。単一のCloud Connectorセットがforest1.localドメインに展開され、2つ目のセットがforest2.localドメインに展開されます。
- 信頼関係:一方向のフォレストの信頼
- [IDおよびアクセスの管理] に表示されるドメイン:forest1.local、forest2.local
- Citrix Workspaceにログオンできるユーザー:すべてのユーザー
- オンプレミスStoreFrontにログオンできるユーザー : すべてのユーザー
Cloud Connectorの正常性を表示する
Cloud Cloudの[リソースの場所]ページには、リソースの場所にあるすべてのCloud Connectorの状態が表示されます。個々のCloud Connectorの高度なヘルスチェックデータを表示することもできます。詳しくは、「Cloud Connectorの高度なヘルスチェック」を参照してください。
イベントメッセージ
Cloud Connectorは、Windowsイベントビューアーで表示できる特定のイベントメッセージを生成します。優先する監視ソフトウェアを有効にしてこれらのメッセージを検索する場合は、ZIPアーカイブとしてダウンロードできます。このZIPダウンロードでは、次のXMLファイルにこれらのメッセージが含まれます:
- Citrix.CloudServices.Agent.Core.dll.xml(Connector Agent Provider)
- Citrix.CloudServices.AgentWatchDog.Core.dll.xml(Connector AgentWatchDog Provider)
Cloud Connectorのイベントメッセージをダウンロードします。
イベントログ
デフォルトでは、イベントログは、Cloud ConnectorをホストしているマシンのC:\ProgramData\Citrix\WorkspaceCloud\Logsディレクトリにあります。
トラブルシューティング
Cloud Connectorの問題を診断するための最初の手順は、イベントメッセージとイベントログを確認することです。Cloud Connectorがリソースの場所に表示されない、または「接続していない」場合は、イベントログに初期情報が表示されます。
Cloud Connector接続
Cloud Connectorが「切断」になっている場合、Cloud Connector接続チェックユーティリティによって、Citrix Cloudおよびその関連サービスに到達できることを検証できます。
Cloud Connector接続チェックユーティリティは、Cloud Connectorをホストしているマシンで実行されます。環境でプロキシサーバーを使用している場合、ユーティリティはすべての接続チェックをプロキシサーバー経由でトンネリングし、接続を検証できます。このユーティリティは、必要に応じて不足しているCitrixの信頼済みサイトをInternet Explorerの信頼済みサイトゾーンに追加することもできます。
このユーティリティのダウンロードおよび使用方法について詳しくは、CitrixサポートのKnowledge CenterでCTX260337を参照してください。
インストール
Cloud Connectorが「エラー」状態の場合、Cloud Connectorのホストに問題がある可能性があります。Cloud Connectorを新しいマシンにインストールしてください。問題が解決されない場合は、Citrixサポートに連絡してください。Cloud Connectorのインストールまたは使用に関する一般的な問題のトラブルシューティングについては、CTX221535を参照してください。
Secure Ticket AuthorityサーバーとしてのCloud Connectorの展開
Citrix ADCを使用して、複数のCloud ConnectorをSecure Ticket Authority(STA)サーバーとして使用している場合、各STAサーバーのIDは、ADC管理コンソールと、アプリケーションおよびデスクトップ起動用のICAファイルの両方で、CWSSTAとして表示されることがあります。その結果、STAチケットが正しくルーティングされず、セッションの起動に失敗します。この問題は、異なる顧客IDを持つ別々のCitrix CloudアカウントにCloud Connectorが展開されている場合に、発生することがあります。このシナリオでは、個別のアカウント間でチケットの不一致が発生し、セッションの作成が妨げられます。
この問題を解決するには、STAサーバーとしてバインドするCloud Connectorが、同じ顧客IDを持つ同じCitrix Cloudアカウントに属していることを確認してください。同じADC展開から複数のカスタマーアカウントをサポートする必要がある場合は、アカウントごとにGateway仮想サーバーを作成します。詳しくは、以下の記事を参照してください: