サービス継続性
サービス継続性により、ユーザーは、停止やネットワーク接続の問題などにより、Citrix Workspace™またはDaaSに接続できない場合でも、DaaSアプリやデスクトップに接続できます。
サービス継続性は、接続リース(有効期間の長い認証トークン)をローカルデバイスに安全にキャッシュすることで機能します。ユーザーがCitrix Workspaceに初めてサインインすると、ユーザーに公開されている各リソースの接続リースファイルがユーザープロファイルに保存されます。Workspace接続リースファイルは署名および暗号化されており、ユーザーとユーザーのデバイスに関連付けられています。デフォルトでは、接続リースによりユーザーは7日間アプリとデスクトップにアクセスできますが、これを最大30日間に変更できます。
ユーザーがCitrix Workspaceアプリを終了すると、Citrix Workspaceアプリは閉じますが、Workspace接続リースは保持されます。ユーザーがログアウトボタンをクリックしてCitrix Workspaceから明示的にログアウトしたときに、Workspace接続リースを削除または保持するようにサービス継続性を構成できます。デフォルトでは、ユーザーがログアウトボタンをクリックしてログアウトすると、Workspace接続リースはユーザーデバイスから削除されます。
Citrix Workspaceアプリが仮想デスクトップにインストールされている場合、サービス継続性はダブルホップシナリオでサポートされます。
サービス継続性を含むCitrix Cloudの回復性機能に関する詳細な技術記事については、「Citrix Cloudの回復性」を参照してください。
注:
非推奨のCitrix DaaS™機能である「接続リース」は、停止時の接続回復性を向上させる点でWorkspace接続リースに似ています。それ以外では、この非推奨機能はサービス継続性とは関係ありません。
ユーザーデバイスのセットアップ
停止中にサービス継続性を使用してリソースにアクセスするには、ユーザーは以前にCitrix WorkspaceアプリまたはCitrix Web拡張機能がインストールされたWebブラウザを使用してCitrix Workspaceにサインインしている必要があります。
Citrix Workspaceアプリを使用するには、ユーザーはデバイスで次の手順を実行する必要があります。
- サポートされているバージョンのCitrix Workspaceアプリをダウンロードしてインストールします。
- 組織のWorkspace URLをCitrix Workspaceアプリに追加します(例:
https://example.cloud.com)。 - Citrix Workspaceにログインします。
Webブラウザを使用する場合:
- サポートされているバージョンのCitrix Workspaceアプリをダウンロードしてインストールします。
- ブラウザにCitrix Web拡張機能を追加します。
- ブラウザでWorkspace URLを開きます。
- ログインします。
このビデオでは、ブラウザでのサービス継続性のインストール方法と使用方法について説明します。
ユーザーがCitrix Workspaceに初めてサインインすると、サービス継続性によりWorkspace接続リースがユーザーデバイスにダウンロードされます。Workspace接続リースのダウンロードには、初回サインイン時に最大15分かかる場合があります。ユーザーはダウンロード期間中も公開リソースの起動を継続できます。
停止中のユーザーエクスペリエンス
サービス継続性が有効になっている場合、停止中のユーザーエクスペリエンスは、次の要因によって異なります。
- 停止の種類
- Citrix Workspaceアプリがドメインパススルー認証で構成されているかどうか
- ユーザーが接続するアプリまたはデスクトップでセッション共有が有効になっているかどうか
一部の停止では、ユーザーはユーザーエクスペリエンスに変更なくDaaSへのアクセスを継続できます。その他の停止では、ユーザーはWorkspaceの表示方法に変更があるか、何らかのアクションを実行するように求められる場合があります。
この表は、サービス継続性がさまざまな種類の停止中にユーザーがアプリやデスクトップにアクセスするのにどのように役立つかをまとめたものです。
| 停止が発生する場所 | サービス継続性がユーザーアクセスを維持する方法 | 停止中のユーザーエクスペリエンス |
|---|---|---|
| Citrix Workspace | Citrix Workspaceアプリは、ユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙します。 | 利用できないアプリとデスクトップのアイコンは薄暗く表示されます。ユーザーは、薄暗くないアイコンのアプリとデスクトップには引き続きアクセスできます。薄暗くないアイコンをクリックした後、ユーザーはVDAで資格情報を再入力するように求められる場合があります。すべてのアプリとデスクトップへのアクセスを回復するには、ユーザーは「Reconnect to Workspace」リンクをクリックしてWorkspaceへの接続を確立しようとすることができます。 |
| IDプロバイダー | Citrix Workspaceアプリは、ユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙します。 | ユーザーはWorkspaceにログインできない場合があります。ユーザーは「Use Workspace offline」リンクをクリックして、Workspaceサービス停止時と同じエクスペリエンスで一部のアプリとデスクトップにアクセスします。 |
| Citrix Cloud™ Broker Service | コネクタに登録されているVDAの場合、Cloud ConnectorのHigh Availability Serviceがブローカリングを引き継ぎます。Cloud Broker Serviceに登録されていたすべてのVDAは、High Availability Serviceに登録されます。コネクタレスVDAの場合、セッションのブローカリングはVirtual Delivery Agent(VDA)を介して行われます。 | VDAがHigh Availability Serviceに登録されている間、一部のユーザーは仮想リソースにアクセスできない場合があります。既存のセッションは影響を受けません。ユーザーによる操作は不要です。 |
| Secure Ticket Authority | Workspace接続リースは、ICA®ファイルが利用できない場合に仮想リソースへのアクセスを提供します。 | セッションの起動に数秒長くかかる場合があります。ユーザーによる操作は不要です。 |
| Citrix Gatewayサービス | ネットワークトラフィックは、最も近い正常なCitrix Gatewayサービスポイントオブプレゼンス(POP)にフェールオーバーします。 | 既存のセッションの再接続に数秒かかる場合があります。ユーザーによる操作は不要です。 |
| LAN上のインターネット接続 | Citrix Workspaceアプリは、ユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙します。ユーザーがリソースの場所に直接ネットワーク接続している場合、ユーザーが薄暗くないアイコンをクリックすると、Citrix WorkspaceアプリはCitrix Gatewayサービスをバイパスします。Citrix WorkspaceアプリはTCP 2598を介してCloud Connectorに接続し、TCP 2598またはUDP 2598を介してVDAに接続します。 | 利用できないアプリとデスクトップのアイコンは薄暗く表示されます。ユーザーは、薄暗くないアイコンのアプリとデスクトップには引き続きアクセスできます。薄暗くないアイコンをクリックした後、ユーザーはVDAで資格情報を再入力するように求められる場合があります。すべてのアプリとデスクトップへのアクセスを回復するには、ユーザーは「Reconnect to Workspace」リンクをクリックしてWorkspaceへの接続を確立しようとすることができます。 |
Citrix Workspaceの停止
Citrix Workspaceの停止中、ユーザーはCitrix Workspaceのホームページの上部に「一部のリソースに接続できません。一部の仮想アプリとデスクトップは引き続き利用できる場合があります。」というメッセージが表示されます。ユーザーは停止中に接続できるアプリとデスクトップを確認できます。アプリまたはデスクトップが利用できない場合、アイコンは薄暗く表示されます。
停止中に利用可能なリソースにアクセスするには、ユーザーは薄暗くないリソースアイコンを選択します。
リソースの起動
Citrix WorkspaceアプリとVDAの構成方法によっては、停止中にVDAがWindowsログオンユーザーインターフェイスに資格情報を入力するようにユーザーに求める場合があります。このプロンプトが表示された場合、ユーザーはActive Directory(AD)資格情報またはスマートカードPINを入力してアプリまたはデスクトップにアクセスします。
Citrix Workspaceアプリfor Windowsがドメインパススルー認証で構成されている場合、ユーザーはAD資格情報を入力せずにリソースにアクセスできます。詳細については、「グラフィカルユーザーインターフェイスを使用したシングルサインオンの構成」を参照してください。
セッション共有が有効になっている場合、ユーザーはVDA上の1つのリソースの資格情報を提供した後、同じVDAでホストされているアプリまたはデスクトップにアクセスできます。セッション共有は、VDA上のリソースを含むアプリケーショングループに対して構成されます。アプリケーショングループの構成については、「アプリケーショングループの作成」を参照してください。
その他のすべての構成では、ユーザーはリソースにアクセスする前にVDAでAD資格情報を再入力するように求められます。
IDプロバイダーの停止
Workspace認証用のIDプロバイダーで停止が発生した場合、ユーザーはWorkspaceログインページからCitrix Workspaceにログインできない場合があります。
Citrix Workspaceアプリを使用している場合、40秒後にこのメッセージがウィンドウの上部に表示されます。
Webブラウザを使用している場合、60秒後に次のポップアップが表示されます。
その後、Citrix Workspaceのホームページが表示されます。ユーザーはCitrix Workspaceの停止中と同様にリソースにアクセスします。
終了とログアウトの動作
停止の種類に関係なく、ユーザーはデバイスを再起動した後でも、Citrix Workspaceアプリまたはブラウザを終了して再起動すれば、リソースへのアクセスを継続できます。
サービス継続性のデフォルト構成では、ユーザーがCitrix Workspaceから明示的にログアウトすると、リソースへのアクセスを失います。ユーザーがサインアウトした後もリソースへのアクセスを保持させたい場合は、ユーザーがログアウトしたときにWorkspace接続リースを保持するように指定します。「サービス継続性の構成」を参照してください。
停止中のブラウザユーザーエクスペリエンス
利用可能なアプリとデスクトップにオフラインでアクセスするには、ユーザーはオフラインモードを使用をクリックします。
オフラインモードのプロンプトを管理するには、ユーザーデバイスのブラウザでCitrix Web拡張機能をクリックします。次の画面が表示されます。
ユーザーはオフラインで作業オプションを使用して、オフラインモードのプロンプトを60秒待たずに手動でオフラインモードに切り替えることができます。
一部の停止中、拡張機能がWorkspace側の問題を検出すると、ユーザーにオフラインで作業するように促す警告ウィンドウが自動的に表示されます。ユーザーは、アクションを実行したり、ログインタイムアウト間隔を待ったりする必要はありません。
要件と制限
サイト要件
- Citrix Workspaceを備えたCitrix DaaSのすべてのエディションでサポートされます。
- オンプレミスのVirtual Apps and Desktopsへのサイト集約を伴うCitrix Workspaceではサポートされません。
- オンプレミスのCitrix GatewayがICAプロキシとして使用されている場合はサポートされません。(Workspace認証方法としてCitrix Gatewayサービスを使用することはサポートされています。)
ユーザーデバイスの要件
サポートされているCitrix Workspaceアプリの最小バージョン:
- Citrix Workspaceアプリfor Windows 2106
- Citrix Workspaceアプリfor Linux 2106
- Citrix Workspaceアプリfor Mac 2106
- Citrix Workspaceアプリfor Android 22.2.0
- Citrix Workspaceアプリfor iOS 22.4.5
- Citrix Workspaceアプリfor ChromeOS 2301
ブラウザを使用してアプリやデスクトップにアクセスするユーザーの場合:
- Citrix Workspaceアプリfor Windows 2109以降。Google ChromeおよびMicrosoft Edgeでサポートされます。
- Google Chromeで使用する場合は、Citrix Workspaceアプリfor Macバージョン2112以降。
- Citrix Workspaceアプリfor Windows(Store)はサポートされていません。
コネクタレスVDAを使用する場合:
- Citrix Workspaceアプリfor Windows 2309以降
デバイスごとに1人のユーザーのみがサポートされます。キオスクまたは「ホットデスク」ユーザーデバイスはサポートされていません。
Webブラウザの要件と制限
Webブラウザを介してストアにアクセスする場合、ユーザーはCitrix Web拡張機能でサポートされているブラウザを使用する必要があります。
停止中にユーザーがブラウザのCookieやその他のサイトデータをクリアした場合、再度Workspaceに認証するまでサービス継続性は機能しません。
サービス継続性は、シークレットモードまたはInPrivateモードではサポートされていません。
サポートされているWorkspace認証方法
- Active Directory
- Active Directoryとトークン
- Microsoft Entra ID
- Okta
- Citrix Gateway(プライマリユーザー要求はADからのものである必要があります)
- SAML 2.0
- 条件付き認証
認証の制限
- Citrix Federated Authentication Service(FAS)を使用したシングルサインオンはサポートされていません。ユーザーはVDA上のWindowsログオンユーザーインターフェイスにAD資格情報を入力します。
- キャッシュされたActive Directory資格情報を使用したVDAへのシングルサインオンはサポートされていません。
- ローカルマップされたアカウントはサポートされていません。
- VDAはMicrosoft Entra ID参加またはAD参加にできます。ハイブリッド参加マシンはサポートされていません。
- アダプティブ認証を使用している場合、サービス継続性が機能するには、アダプティブ認証またはサービスに到達可能である必要があります。
- デバイスポスチャサービスを使用している場合、サービス継続性が機能するには、デバイスポスチャサービスに到達可能である必要があります。セキュリティを維持するため、サービス継続性はセッションを起動する前にデバイスのポスチャの最新スキャンの結果を検証します。スキャンの結果が利用できないか古くなっている場合、サービス継続性はセッションの起動を防止し、セキュリティポリシーへの準拠を保証します。
- コネクタレスVDAの場合、仮想デスクトップでのWindows Helloを使用したサインインはサポートされていません。現在、ユーザー名とパスワードのみがサポートされています。ユーザーがいずれかのWindows Helloメソッドでログインしようとすると、「ブローカーされたユーザーではありません」というエラーが表示され、セッションが切断されます。関連するメソッドには、PIN、FIDO2キー、MFAなどが含まれます。
Citrix Cloud Connector™の規模とサイズ
- 4 vCPU以上
- 6 GBメモリ以上
Citrix Cloud Connectorの接続
Citrix Cloud Connector は https://rootoftrust-ap-s.apps.cloud.com、https://rootoftrust-eu.apps.cloud.com、および https://rootoftrust.apps.cloud.com に到達できる必要があります。詳細については、Citrix Cloud ドキュメントの「システムおよび接続要件」を参照してください。
接続最適化の制限事項
Advanced Endpoint Analysis (EPA) はサポートされていません。
Enlightened Data Transport (EDT) は、停止中はサポートされません。
VDA の要件と制限事項
- コネクタに登録されている VDA: 7.15 LTSR 以降。コネクタレス VDA の場合: 2402 以降。
- 停止中にユーザーが VDA リソースにアクセスするには、VDA がオンラインである必要があります。サービス継続性は、Azure や AWS など、VDA をホストするプラットフォームの停止から保護するものではありません。
- コネクタに登録されている VDA の場合、停止中にサポートされるワークロード:
- ホストされた共有アプリとデスクトップ
- 電源管理機能を備えたランダムな非永続デスクトップ (プールされた VDI デスクトップ)
- 静的な非永続デスクトップ
- Remote PC Access を含む静的な永続デスクトップ
注:
停止中は、初回使用時の割り当てはサポートされません。Cloud Connector が Citrix Cloud との接続を失った場合、デリバリーグループに
ReuseMachinesWithoutShutdownInOutageが構成されていない限り、電源管理機能を備えたランダムな非永続デスクトップはデフォルトで利用できません。詳細については、「アプリケーションとデスクトップのサポート」を参照してください。 - Rendezvous V2 を使用するコネクタレス VDA の場合、停止中にサポートされるワークロード:
- 静的な永続デスクトップ
停止中の利用可能な VDA 機能の詳細については、「停止中の VDA 管理」を参照してください。
ローカルキーボードマッピングの要件と制限事項
VDA でユーザーに再認証を促す Windows ログオンユーザーインターフェイスは、ローカルキーボード言語マッピングをサポートしていません。デバイスにローカルキーボード言語マッピングが設定されているユーザーが停止中に再認証できるようにするには、これらのユーザーが必要とするキーボードレイアウトをプリロードします。
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるなど、深刻な問題が発生する可能性があります。Citrix は、レジストリエディターの誤った使用によって生じる問題を解決できることを保証できません。レジストリエディターはご自身の責任において使用してください。編集する前にレジストリをバックアップしてください。
VDA イメージでこのレジストリキーを編集します。
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
仮想デスクトップイメージに対応する言語パックがインストールされている必要があります。
キーボード言語に関連付けられているキーボード識別子のリストについては、「Windows のキーボード識別子と入力方式エディター」を参照してください。
サービス継続性のためのリソースロケーションネットワーク接続の構成
リソースロケーションは、LAN 内、LAN 外、またはその両方からの接続を受け入れるように構成できます。
LAN 内からの接続を構成する
- Citrix Cloud メニューから、[Workspace Configuration] > [Access] に移動します。
- [Configure Connectivity] を選択します。
- 接続タイプとして [Internal Only] を選択します。
- [Save] をクリックします。
Citrix Cloud Connector および VDA ファイアウォールを構成して、Common Gateway Protocol (CGP) TCP ポート 2598 経由の接続を受け入れます。この構成はデフォルト設定です。
LAN 外からの接続を構成する
- Citrix Cloud メニューから、[Workspace Configuration] > [Access] に移動します。
- [Configure Connectivity] を選択します。
- 接続タイプとして [Gateway Service] を選択します。
- [Save] をクリックします。
サービス継続性の構成
サイトでサービス継続性を有効にするには:
- Citrix Cloud メニューから、[Workspace Configuration] > [Service Continuity] に移動します。
-
[Connection leasing for the Workspace] を [Enable] に設定します。
- [Connection lease period] を、Workspace 接続リースを使用して接続を維持できる日数に設定します。Workspace 接続リース期間は、サイトを介したすべての Workspace 接続リースに適用されます。Workspace 接続リース期間は、ユーザーが Citrix Cloud Workspace ストアに初めてサインインしたときに開始されます。Workspace 接続リースは、ユーザーがサインインするたびに、1 日 1 回まで更新されます。Workspace 接続リース期間は 1 日から 30 日まで設定できます。デフォルトは 7 日です。
- [Save] をクリックします。
サービス継続性を有効にすると、サイト内のすべてのデリバリーグループで有効になります。デリバリーグループのサービス継続性を無効にするには、次の PowerShell コマンドを使用します。
Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false
<deliverygroup> をデリバリーグループの名前に置き換えます。
デフォルトでは、停止中にユーザーが Citrix Workspace からログアウトすると、Workspace 接続リースはユーザーデバイスから削除されます。ユーザーがログアウトした後も Workspace 接続リースをユーザーデバイスに残したい場合は、次の PowerShell コマンドを使用します。
Set-BrokerSite -DeleteResourceLeasesOnLogOff $false
注:
- Citrix Workspace app for Mac を使用して接続するユーザーの場合、ユーザーがログアウトした後も Workspace 接続リースをユーザーデバイスに残すように設定することはできません。Citrix Workspace for Mac は、
DeleteResourceLeaseOnLogOffプロパティの値を読み取ることができません。- 設定が構成された後、Workspace アプリクライアントが更新されるまでに最大 12 時間かかる場合があります。
コネクタレスワークロードのサービス継続性の構成
コネクタレスワークロードのサービス継続性は、リソースロケーションごとに構成する必要があります。
-
Microsoft Entra ID に参加している VDA 用に VDA 2402 をインストールします。
- 次のレジストリキーを構成して VDA で CLXMTP サービスを有効にし、VDA を再起動します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ClxMtpService] "ClxMtpSvcEnabled"=dword:00000001 "ClxMtpTimeoutInMilliSeconds"=dword:00035000 "ClxMtpFsmLogLevel"=dword:00000003 <!--NeedCopy-->注:
MCS でプロビジョニングされた VDA の場合は、マスターイメージでこれらのレジストリキーを設定することを検討してください。
- Microsoft Entra ID に参加しているカタログを作成します。
-
デリバリーグループを作成します。
注
専用デスクトップのみがサポートされます。デスクトップをユーザーに割り当てます。
- サービス継続性を有効にします。
- 次の PowerShell を実行して、コネクタレスリソースロケーションでコネクタレスワークロードのサービス継続性を有効にします。
powershell
Set-ConfigZone -Name <zoneName> -EnableVdaConnectivityForResourceLeases $true
<!--NeedCopy-->
サービス継続性の仕組み
停止がない場合、ユーザーは ICA ファイルを使用して仮想アプリとデスクトップにアクセスします。Citrix Workspace は、ユーザーが仮想アプリまたはデスクトップアイコンを選択するたびに、一意の ICA ファイルを生成します。各 ICA ファイルには、仮想リソースへの認証済みアクセスを取得するために 1 回だけ引き換え可能な Secure Ticket Authority (STA) チケットとログオンチケットが含まれています。各 ICA ファイルのチケットは約 90 秒後に期限切れになります。ICA ファイル内のチケットが使用されたか期限切れになった後、ユーザーはリソースにアクセスするために Citrix Workspace から別の ICA ファイルを必要とします。サービス継続性が有効になっていない場合、Citrix Workspace が ICA ファイルを生成できないと、停止によってユーザーがリソースにアクセスできなくなる可能性があります。
サービス継続性が有効になっているかどうかにかかわらず、ユーザーが仮想アプリとデスクトップを起動すると、Citrix Workspace は ICA ファイルを生成します。サービス継続性が有効になっている場合、Citrix Workspace は、Workspace 接続リースを構成する一意のファイルセットも生成します。ICA ファイルとは異なり、Workspace 接続リースファイルは、ユーザーがリソースを起動するときではなく、Citrix Workspace にサインインするときに生成されます。ユーザーが Citrix Workspace にサインインすると、そのユーザーに公開されているすべてのリソースに対して接続リースファイルが生成されます。Workspace 接続リースには、ユーザーが仮想リソースにアクセスするための情報が含まれています。停止によってユーザーが Citrix Workspace にサインインしたり、ICA ファイルを使用してリソースにアクセスしたりできない場合、接続リースはリソースへの認証済みアクセスを提供します。
停止中のセッション起動の仕組み
停止中にユーザーがアプリまたはデスクトップのアイコンをクリックすると、Citrix Workspace アプリはユーザーデバイス上の対応する Workspace 接続リースを見つけます。その後、Citrix Workspace アプリは接続を開きます。アプリまたはデスクトップをホストするリソースロケーションへの接続が LAN 外からの接続を受け入れるように構成されている場合、Citrix Gateway Service への接続が開きます。アプリまたはデスクトップをホストするリソースロケーションへの接続が LAN 内からの接続のみを受け入れるように構成されている場合、Cloud Connector への接続が開きます。
Web ブラウザーでワークスペースを開く場合、ブラウザーは Citrix Web 拡張機能を使用して、ブラウザー拡張機能用のネイティブメッセージングホストプロトコルを使用して Citrix Workspace アプリと通信します。
Citrix Cloud ブローカーがオンラインの場合、Cloud Connector は Citrix Cloud ブローカーを使用して、どの VDA が利用可能かを解決します。Citrix Cloud ブローカーがオフラインの場合、Cloud Connector のセカンダリブローカー (高可用性サービスとも呼ばれる) が接続要求をリッスンして処理します。
停止が発生したときに接続されているユーザーは、中断することなく作業を継続できます。再接続と新規接続では、接続遅延が最小限に抑えられます。この機能はローカルホストキャッシュに似ていますが、オンプレミスの StoreFront は必要ありません。
停止中にユーザーがセッションを起動すると、Workspace 接続リースがセッション起動に使用されたことを示すこのウィンドウが表示されます。
ユーザーがセッションへのサインインを完了すると、Workspace Connection Center にこれらのプロパティが表示されます。
起動モードプロパティは、セッションの起動に使用された Workspace 接続リースに関する情報を提供します。
Citrix Workspace app for Mac を実行しているデバイスでは、Citrix Viewer に、Workspace 接続リースがセッション起動に使用されたことを示す情報が表示されます。
セキュリティの仕組み
Workspace 接続リースファイル内のすべての機密情報は、AES-256 暗号で暗号化されます。Workspace 接続リースは、特定のクライアントデバイスに一意に関連付けられた公開/秘密鍵ペアにバインドされており、別のデバイスでは使用できません。組み込みの暗号化メカニズムにより、各デバイスで一意のキーペアの使用が強制されます。
Workspace 接続リースは、ユーザーデバイスの AppData\Local\Citrix\SelfService\ConnectionLeases に保存されます。
サービス継続性のセキュリティアーキテクチャは、公開鍵暗号に基づいて構築されており、公開鍵インフラストラクチャ (PKI) に似ていますが、証明書チェーンや認証局はありません。代わりに、すべてのコンポーネントは、認証局のように機能するルートオブトラストと呼ばれる新しい Citrix Cloud サービスに依存することで、推移的な信頼を確立します。
接続リースのブロック
ユーザーデバイスが紛失または盗難された場合、あるいはユーザーアカウントが閉鎖または侵害された場合、Workspace 接続リースをブロックできます。ユーザーに関連付けられた Workspace 接続リースをブロックすると、そのユーザーはリソースに接続できなくなります。Citrix Cloud は、そのユーザーの Workspace 接続リースを生成または同期しなくなります。
ユーザーアカウントに関連付けられた Workspace 接続リースをブロックすると、そのアカウントに関連付けられたすべてのデバイスでのそのアカウントへの接続がブロックされます。ユーザーまたはユーザーグループ内のすべてのユーザーに対して Workspace 接続リースをブロックできます。
単一のユーザーまたはユーザーグループの Workspace 接続リースを取り消すには、次の PowerShell コマンドを使用します。
Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days
<username> を、接続をブロックするアカウントに関連付けられたユーザーに置き換えます。ユーザーグループ内のすべてのアカウントからの接続をブロックするには、<username> をユーザーグループに置き換えます。<Days> を、接続がブロックされる日数に置き換えます。
たとえば、xd.local/user1 の接続を今後 7 日間ブロックするには、次のように入力します。
Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7
Workspace接続リースが取り消される期間を表示するには、次のPowerShellコマンドを使用します。
Get-BrokerConnectionLeaseRevocationDate -Name username
usernameを、期間を表示するユーザーまたはユーザーグループに置き換えます。
たとえば、xd.local/user1のWorkspace接続リースが取り消される期間を表示するには、次のように入力します。
Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2
次の情報が表示されます。
FullName :
Name : XD\user2
UPN :
Sid : S-1-5-21-nnnnnn
LeaseRevocationDays : 2
LeaseRevocationDateTimeInUtc : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc : 2020-12-19T17:34:25Z
この出力から、ユーザーxd.local/user2のWorkspace接続リースが2020年12月17日から2020年12月19日までの2日間、毎日17:34:25 UTCに取り消されていることがわかります。
Workspace接続リースが取り消されたユーザーアカウントが再度接続を受信できるようにするには、次のPowerShellコマンドを使用してブロックを解除します。
Remove-BrokerConnectionLeaseRevocationDate -Name username
usernameを、接続を受信させたいブロックされたユーザーまたはユーザーグループに置き換えます。ブロックされたすべてのユーザーアカウントが接続を受信できるようにするには、Nameオプションを省略します。
ダブルホップシナリオ
サービス継続性により、ユーザーは停止が発生する前にCitrix Workspaceにサインインしていれば、ダブルホップシナリオでの停止中に仮想リソースにアクセスできます。ダブルホップシナリオでは、物理ユーザーデバイスがCitrix Workspaceアプリがインストールされている仮想デスクトップに接続します。その後、仮想デスクトップは別の仮想リソースに接続します。
ダブルホップシナリオでは、サービス継続性により、仮想デスクトップの種類に関係なく、停止中にユーザーが仮想リソースにアクセスできます。仮想デスクトップがユーザーの変更を保持している場合、サービス継続性は、ユーザーがサインインしていない間に発生する停止中にも仮想リソースへのアクセスを提供できます。
サービス継続性は、ダブルホップシナリオにおける物理ユーザーデバイスと仮想デバイスを個別のクライアントエンドポイントとして扱います。各デバイスには、独自のWorkspace接続リースのセットがあります。ユーザーが物理デバイスでCitrix Workspaceにサインインすると、Workspace接続リースファイルがダウンロードされ、物理デバイスのユーザープロファイルに保存されます。その後、ユーザーは仮想デスクトップにアクセスし、仮想デスクトップでCitrix Workspaceにサインインします。この時点で、別のWorkspace接続リースのセットがダウンロードされ、仮想デスクトップのユーザープロファイルに保存されます。Workspace接続リースファイルは、ダウンロードされたデバイスに関連付けられています。Workspace接続リースファイルは、同じユーザーであっても、別のデバイスにコピーして再利用することはできません。したがって、仮想デスクトップがユーザーセッション中に行われた変更を破棄する場合、セッション終了後に発生する停止中にサービス継続性がリソースへのアクセスを提供することはできません。この種類の仮想デスクトップの場合、Workspace接続リースは破棄される変更の一部です。
サポートされている各種類の仮想デスクトップでのダブルホップシナリオにおけるサービス継続性の動作は次のとおりです。
| 含まれるダブルホップ… | サービス継続性は、停止中に仮想リソースへのアクセスを提供できます… |
|---|---|
| ホスト型共有デスクトップ | 停止がユーザーが仮想デスクトップにサインインしている間に発生した場合 |
| ランダム非永続デスクトップ(プールされたVDIデスクトップ) | 停止がユーザーが仮想デスクトップにサインインしている間に発生した場合 |
| 静的非永続デスクトップ | ユーザーが最後にログインしてから仮想デスクトップが再起動されていない場合 |
| 静的永続デスクトップ | 停止が発生したいつでも |
停止中のVDA管理
コネクタに登録されているVDAの場合、サービス継続性はCitrix Cloud Connector内のローカルホストキャッシュ機能を使用します。ローカルホストキャッシュにより、Cloud Delivery ControllerとCloud Connector間の接続が失敗した場合でも、サイトでの接続ブローカーを継続できます。サービス継続性はローカルホストキャッシュに依存しているため、ローカルホストキャッシュといくつかの制限を共有します。
注:
サービス継続性はCloud Connector内でローカルホストキャッシュを使用しますが、ローカルホストキャッシュとは異なり、オンプレミスのStoreFrontではサポートされていません。
コネクタレスワークロードのサービス継続性は、セッションのブローカーがCloud ConnectorではなくVirtual Delivery Agent(VDA)を介して行われる点でサービス継続性とは異なります。VDAはCitrix Cloudバックエンドサービスと通信し、そのリソースロケーションに構成された設定に応じて、直接接続またはGateway Serviceを介してユーザーのセッションをブローカーします。サービス継続性のリソースロケーションネットワーク接続の構成方法に関する詳細については、「サービス継続性のリソースロケーションネットワーク接続の構成」を参照してください。
停止中のVDAの電源管理
Cloud ConnectorがCitrix Cloudへの接続を失うと、ConnectorはCitrix Cloudからハイパーバイザーの資格情報を受信できなくなります。これは次のことを意味します。
- 停止中、すべてのマシンは不明な電源状態になり、電源操作を発行できません。ただし、ホスト上で電源がオンになっているVMは、接続要求に使用できます。
デフォルトでは、ShutdownDesktopsAfterUseプロパティが有効になっているプールされたデリバリーグループ内の電源管理されたデスクトップVDAは、Cloud ConnectorがCitrix Cloudへの接続を失った場合、新しい接続には利用できません。デリバリーグループでReuseMachinesWithoutShutdownInOutageフラグを構成することにより、Cloud ConnectorがCitrix Cloudへの接続を失った場合にこれらのデスクトップを使用できるようにこの設定を変更できます。ReuseMachinesWithoutShutdownInOutageパラメーターを$trueに変更すると、VDAが再起動されるまで、以前のユーザーセッションのデータがVDAに残る可能性があります。
電源管理は、停止後に通常の操作が再開されると再開されます。
マシンの割り当てと自動登録
割り当てられたマシンは、割り当てが通常の操作中に発生した場合にのみ使用できます。停止中に新しい割り当てを行うことはできません。
Remote PC Accessマシンの自動登録と構成はできません。ただし、通常の操作中に登録および構成されたマシンは使用可能です。
異なるゾーンのVDAリソース
リソースが異なるゾーンにある場合、サーバーホスト型アプリケーションおよびデスクトップユーザーは、構成されたセッション制限よりも多くのセッションを使用する可能性があります。
ローカルホストキャッシュとは異なり、サービス継続性は、リソースが複数のゾーンで公開されている場合、異なるゾーンの登録済みVDAからアプリとデスクトップを起動できます。Citrix Workspaceアプリは、Workspace接続リース内のすべてのゾーンを順番に循環するため、正常なゾーンを見つけるのに時間がかかる場合があります。
監視とトラブルシューティング
サービス継続性は、主に次の2つのアクションを実行します。
- Workspace接続リースをユーザーデバイスにダウンロードします。Workspace接続リースは生成され、Citrix Workspaceアプリと同期されます。
- Workspace接続リースを使用して仮想デスクトップとアプリを起動します。
Workspace接続リースダウンロードのトラブルシューティング
ユーザーデバイスの次の場所でWorkspace接続リースを表示できます。
Windowsデバイスの場合:
C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases
Usernameはユーザー名です。
Store GUIDはWorkspaceストアのグローバル一意識別子です。
User GUIDはユーザーのグローバル一意識別子です。
Macデバイスの場合:
$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot
例:/Users/luca/Library/Application Support/Citrix Receiver/CLSyncRootを開きます。
Linuxの場合:
$HOME/.ICAClient/cache/ConnectionLease
例:/home/user1/.ICAClient/cache/ConnectionLeaseを開きます。
Workspace接続リースは、Citrix WorkspaceアプリがWorkspaceストアに接続するときに生成されます。ユーザーデバイスのレジストリキー値を表示して、Citrix WorkspaceアプリがCitrix CloudのWorkspace接続リースサービスに正常に接続したかどうかを判断します。
ユーザーデバイスでregeditを開き、次のキーを表示します。
HKCU\Software\Citrix\Dazzle\Sites\store-xxxx
これらの値がレジストリキーに表示される場合、Citrix WorkspaceアプリはWorkspace接続リースサービスに接続したか、接続を試みました。
leaseLastCallHomeTimeleaseLastSyncStatus
Citrix WorkspaceアプリがWorkspace接続リースサービスへの接続に失敗した場合、leaseLastCallHomeTimeは無効なタイムスタンプのエラーを表示します。
leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM
leaseLastCallHomeTimeが初期化されていない場合、Citrix WorkspaceアプリはWorkspace接続リースサービスへの接続を試みたことがありません。この問題を解決するには、Citrix Workspaceアプリからアカウントを削除し、再度追加します。
Workspace接続リースに関するCitrix Workspaceアプリのエラーコード
ユーザーデバイスでサービス継続性エラーが発生すると、エラーメッセージにエラーコードが表示されます。一般的なエラーは次のとおりです。
| エラーコード | 説明 |
|---|---|
| 3000 | 接続リースファイルが存在しません |
| 3002 | 接続リースを読み取れないか、見つかりません |
| 3003 | リソースロケーションが見つかりません |
| 3004 | リースに接続の詳細がありません |
| 3005 | ICAファイルが空です |
| 3006 | 接続リースが期限切れです。Workspaceに再度ログインしてください |
| 3007 | 接続リースが無効です |
| 3008 | 接続リース検証結果:空 |
| 3009 | 接続リース検証結果:無効 |
| 3010 | パラメーターがありません |
| 3020 | 接続リース検証に失敗しました |
| 3021 | アプリが公開されているリソースロケーションが見つかりません |
| 3022 | 接続リース検証結果:拒否 |
| 3023 | Citrix Workspaceアプリがタイムアウトしました |
| 3024 | ユーザーが進行中のリースベースの起動をキャンセルしました |
| 3025 | 起動再試行回数を超過しました |
| 3026 | ネゴシエートされたリソース(アプリまたはデスクトップ)を起動できません |
selfservice.txtへのアクセス
セルフサービスによるトラブルシューティングのためにselfservice.txtファイルにアクセスするには、次の手順を実行します。
- 空のテキストファイルを作成し、
enableshieldandlogging.regという名前を付けます。 -
次のテキストをファイルにコピーして保存します。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle] "Tracing"="True" "AuxTracing"="True" "DefaultTracingConfiguration"="global all -detail" "ConnectionLeasingEnabled"="True" [HKEY_CURRENT_USER\Software\Citrix\Dazzle] "RemoteDebuggingPort"="8088" <!--NeedCopy--> - 保存したファイルをクライアントエンドポイントに配置します。
-
selfservice.txtファイルは、次のパスで検出できるようになります。%LocalAppData%\Citrix\SelfService
ブラウザユーザーのトラブルシューティング
Citrix Workspaceブラウザアプリのアカウント設定の[詳細設定]メニューで、アプリとデスクトップの起動設定の現在の方法が[Citrix Workspaceアプリを使用]に設定されていることを確認します。このオプションが[Webブラウザを使用]に設定されている場合、ブラウザではサービス継続性はサポートされません。
ブラウザがWorkspace URLを読み込んだ後、ブラウザの拡張機能アイコンが緑色で表示されることを確認します。
ログをダウンロードするには、ブラウザの拡張機能アイコンをクリックします。次に、[ログのダウンロード]をクリックします。