Citrix Cloud

Citrix Cloud Connector 技术详细信息

Citrix Cloud Connector 是一个组件,用于在 Citrix Cloud 和您的资源位置之间建立连接。本文介绍部署要求和方案、Active Directory 和 FIPS 支持以及故障排除选项。

系统要求

托管Cloud Connector 计算机必须满足以下要求。为确保高可用性,每个资源位置至少需要两个 Cloud Connector。作为最佳实践,Citrix 建议在部署 Cloud Connector 时使用 N+1 冗余模型,以保持与 Citrix Cloud 的高可用连接。

硬件要求

每个Cloud Connector 至少需要:

  • 2 vCPU
  • 4 GB 内存
  • 20 GB 磁盘空间

更大的 vCPU 内存使Cloud Connector 能够针对更大的站点进行扩展。有关推荐配置,请参阅 Cloud Connector 的规模和大小注意事项

操作系统

支持以下操作系统:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Cloud Connector 不支持与 Windows Server 核心配合使用。

.NET 要求

需要 Microsoft .NET Framework 4.7.2 或更高版本。从 Microsoft Web 站点下载最新版本

注意:

不要将 Microsoft .NET Core 与 Cloud Connector 一起使用。如果您使用.NET Core 而不是 .NET Framework,则安装Cloud Connector 可能会失败。仅将 .NET 框架与Cloud Connector 一起使用。

服务器要求

如果您将 Cloud Connector 与 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)配合使用,请参阅 Cloud Connector 的扩展和大小注意事项以获取计算机配置指南。

以下要求适用于安装了 Cloud Connector 的所有计算机:

  • 使用专用计算机托管Cloud Connector。请勿在这些计算机上安装任何其他组件。
  • 计算机 配置为 Active Directory 域控制器。不支持在域控制器上安装Cloud Connector 器。
  • 服务器时钟设置为正确的 UTC 时间。
  • 如果您使用的是图形安装程序,则必须安装浏览器并设置默认系统浏览器。
  • Citrix 强烈建议您在托管 Cloud Connector 的所有计算机上启用 Windows Update。配置 Windows 更新时,请将 Windows 配置为在工作时间以外自动下载和安装更新,但至少在 4 小时内不允许自动重启。Citrix Cloud 平台在确定更新正在等待重启时处理计算机重启,一次只允许重启一个 Cloud Connector。您可以使用组策略或系统管理工具为更新后必须重新启动计算机的时间配置回退重新启动。有关更多信息,请参阅 https://docs.microsoft.com/en-us/windows/deployment/update/waas-restart

证书验证要求

Cloud Connector 联系的Cloud Connector 二进制文件和端点受广受尊敬的企业证书颁发机构 (CA) 颁发的 X.509 证书的保护。公钥基础设施 (PKI) 中的证书验证包括证书吊销列表 (CRL)。当客户端收到证书时,客户端会检查它是否信任颁发证书的 CA,以及证书是否在 CRL 上。如果证书位于 CRL 上,则该证书将被吊销且不可信任,即使它看起来是有效的。

CRL 服务器在端口 80 上使用 HTTP, 而在端口 443 上使用 HTTPS。Cloud Connector 组件本身不通过外部端口 80 进行通信。对外部端口 80 的需求是操作系统执行的证书验证过程的副产品。

X.509 证书将在Cloud Connector 安装期间进行验证。因此,必须将所有 Cloud Connector 计算机配置为信任这些证书,以确保可以成功安装 Cloud Connector 软件。

Citrix Cloud 端点受到 DigiCert 颁发的证书或 Azure 使用的根证书颁发机构之一的保护。有关 Azure 使用的根 CA 的更多信息,请参阅 https://docs.microsoft.com/en-us/azure/security/fundamentals/tls-certificate-changes

要验证证书,每台 Cloud Connector 计算机都必须满足以下要求:

  • HTTP 端口 80 对以下地址开放。此端口在 Cloud Connector 安装期间和定期 CRL 检查期间使用。有关如何测试 CRL 和 OCSP 连接的更多信息,请参阅 DigiCert 网站上的 https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htm
    • http://cacerts.digicert.com/
    • http://dl.cacerts.digicert.com/
    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://www.d-trust.net
    • http://root-c3-ca2-2009.ocsp.d-trust.net
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com
  • 已启用与以下地址的通信:
    • https://*.digicert.com
  • 安装了以下根证书:
    • https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
    • https://cacerts.digicert.com/DigiCertGlobalRootCA.crt
    • https://cacerts.digicert.com/DigiCertTrustedRootG4.crt
    • https://cacerts.digicert.com/BaltimoreCyberTrustRoot.crt
    • https://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crt
    • https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
  • 安装了以下中间证书:
    • https://cacerts.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt
    • https://cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt

如果缺少任何证书,Cloud Connector 安装程序将从 http://cacerts.digicert.com 中下载证书。

有关下载和安装证书的完整说明,请参阅 CTX223828

Citrix DaaS

使用 Cloud Connector 连接到 DaaS 资源需要安装额外的证书并授予对扩展 PKI 基础结构的访问权限。每台 Cloud Connector 计算机都必须满足以下要求:

  • HTTP 端口 80 对以下地址开放:
    • crl.*.amazontrust.com
    • ocsp.*.amazontrust.com
    • *.ss2.us
  • 已启用与以下地址的通信
    • https://*.amazontrust.com
    • https://*.ss2.us
  • 安装了以下根证书:
    • https://www.amazontrust.com/repository/AmazonRootCA1.cer
    • https://www.amazontrust.com/repository/AmazonRootCA2.cer
    • https://www.amazontrust.com/repository/AmazonRootCA3.cer
    • https://www.amazontrust.com/repository/AmazonRootCA4.cer
    • https://www.amazontrust.com/repository/SFSRootCAG2.cer
  • 安装了以下中间证书:
    • https://www.amazontrust.com/repository/G2-RootCA4.orig.cer
    • https://www.amazontrust.com/repository/R3-ServerCA3A.cer
    • https://www.amazontrust.com/repository/SFC2CA-SFSRootCAG2.cer
    • https://www.amazontrust.com/repository/SFC2CA-SFSRootCAG2.v2.cer
    • https://www.amazontrust.com/repository/G2-RootCA1.orig.cer
    • https://www.amazontrust.com/repository/R1-ServerCA1A.cer
    • https://www.amazontrust.com/repository/G2-RootCA3.cer
    • https://www.amazontrust.com/repository/R3-ServerCA3A.orig.cer
    • https://www.amazontrust.com/repository/G2-RootCA2.orig.cer
    • https://www.amazontrust.com/repository/G2-RootCA4.cer
    • https://www.amazontrust.com/repository/R2-ServerCA2A.cer
    • https://www.amazontrust.com/repository/R4-ServerCA4A.cer
    • https://www.amazontrust.com/repository/R1-ServerCA1A.orig.cer
    • https://www.amazontrust.com/repository/G2-RootCA1.cer
    • https://www.amazontrust.com/repository/G2-RootCA2.cer
    • https://www.amazontrust.com/repository/G2-RootCA3.orig.cer
    • https://www.amazontrust.com/repository/R4-ServerCA4A.orig.cer
    • https://www.amazontrust.com/repository/G2-ServerCA0A.cer
    • https://www.amazontrust.com/repository/G2-ServerCA0A.orig.cer
    • https://www.amazontrust.com/repository/SFSRootCA-SFSRootCAG2.cer

如果缺少任何证书,Cloud Connector 将从 https://www.amazontrust.com 中下载该证书

有关下载和安装证书的完整说明,请参阅 CTX223828

Active Directory 要求

  • 已加入一个 Active Directory 域,该域包含用于为用户创建产品/服务的资源和用户。对于多域环境,请参阅本文中的 Active Directory 中 Cloud Connector 的部署方案
  • 您计划在 Citrix Cloud 上使用的每个 Active Directory 林必须始终可以通过两个 Cloud Connector 进行访问。
  • Cloud Connector 必须能够访问林根域和您打算与 Citrix Cloud 配合使用的域中的域控制器。有关详细信息,请参阅以下 Microsoft 支持文章:
  • 使用通用安全组而不是全局安全组。此配置确保可以从林中的任何域控制器获取用户组成员资格。

网络要求

支持的 Active Directory 功能级别

Citrix Cloud Connector 支持 Active Directory 中的以下林和域功能级别。

林功能级别 域功能级别 支持的域控制器
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016、Windows Server 2019、Windows Server 2022

联邦信息处理标准 (FIPS) 支持

Cloud Connector 目前支持在启用 FIPS 的计算机上使用的经过 FIPS 验证的加密算法。只有 Citrix Cloud 中提供的最新版本的Cloud Connector 软件包含此支持。如果您的环境中有现有 Cloud Connector 计算机(在 2018 年 11 月之前安装),并且希望在这些计算机上启用 FIPS 模式,请执行以下操作:

  1. 在资源位置的每台计算机上卸载 Cloud Connector 软件。
  2. 在每台计算机上启用 FIPS 模式。
  3. 在每台启用 FIPS 的计算机上安装最新版本的 Cloud Connector。

重要提示:

  • 请勿尝试将现有的 Cloud Connector 安装升级到最新版本。务必先卸载旧的 Cloud Connector,然后安装较新的。
  • 请勿在托管较早版本的Cloud Connector 计算机上启用 FIPS 模式。早于 5.102 版本的 Cloud Connector 不支持 FIPS 模式。在安装了较旧的 Cloud Connector 的计算机上启用 FIPS 模式会阻止 Citrix Cloud 对Cloud Connector 执行定期维护更新。

有关下载最新版本的Cloud Connector 说明,请参阅 从何处获取Cloud Connector

Cloud Connector 安装的服务

本节介绍使用 Cloud Connector 安装的服务及其系统权限。

在安装过程中,Citrix Cloud Connector 可执行文件将安装所需的服务配置并将其设置为运行所需的默认设置。如果手动更改默认配置,则 Cloud Connector 可能无法按预期运行。在这种情况下,配置将在下一次 Cloud Connector 更新时重置为默认状态,前提是处理更新过程的服务仍然可以运行。

Citrix Cloud Agent System 简化了其他 Cloud Connector 服务正常运行所需的所有提升调用,并且不会直接在网络上进行通信。当 Cloud Connector 上的服务需要执行需要本地系统权限的操作时,它会通过 Citrix Cloud Agent 系统可以执行的一组预定义的操作来执行此操作。

服务名称 说明 运行方式
Citrix Cloud 代理系统 处理本地代理所需的系统调用。包括安装、重启和注册表访问。只能由 Citrix Cloud 服务代理监视程序调用。 本地系统
Citrix Cloud 服务代理监视程序 监视和升级本地代理(常绿)。 网络服务
Citrix Cloud 服务代理日志记录器 为 Citrix Cloud Connector 服务提供支持日志记录框架。 网络服务
Citrix Cloud Services AD 提供商 使 Citrix Cloud 能够简化与安装它的Active Directory 域帐户关联的资源的管理。 网络服务
Citrix Cloud 服务代理发现 使 Citrix Cloud 能够简化对 XenApp 和 XenDesktop 旧版本地 Citrix 产品的管理。 网络服务
Citrix Cloud 服务凭据提供商 处理加密数据的存储和检索。 网络服务
Citrix Cloud Services WebRelay 提供商 允许将从 WebRelay 云服务接收的 HTTP 请求转发到本地 Web 服务器。 网络服务
Citrix CDF 捕获服务 从所有配置的产品和组件中捕获 CDF 轨迹。 网络服务
Citrix Config Synchronizer Service 在本地复制代理配置以实现高可用性模式。 网络服务
Citrix 连接租赁交换服务 允许在 Workspace 应用程序和 Cloud Connector 之间交换连接租用文件以实现 Workspace 的服务连续性 网络服务
Citrix High Availability Service 在中心站点停机期间提供服务的连续性。 网络服务
Citrix ITSM 适配器提供商 自动配置和管理虚拟应用程序和桌面。 网络服务
Citrix NetScaler CloudGateway 提供与本地桌面和应用程序的 Internet 连接,而无需打开入站防火墙规则或在 DMZ 中部署组件。 网络服务
Citrix 远程代理提供商 允许从本地 VDA 和 StoreFront 服务器与远程代理服务进行通信。 网络服务
Citrix 远程 HCL 服务器 代理 Delivery Controller 与虚拟机管理程序之间的通信。 网络服务
Citrix WEM 云身份验证服务 为 Citrix WEM 代理提供身份验证服务,以连接到云基础架构服务器。 网络服务
Citrix WEM 云消息传递服务 为 Citrix WEM 云服务提供服务,以便从云基础架构服务器接收消息。 网络服务

Active Directory 中 Cloud Connector 的部署方案

您可以同时使用 Cloud Connector 和 Connector Appliance 连接到 Active Directory 控制器。要使用的连接器类型取决于您的部署。

有关在 Active Directory 中使用 Connector Appliance 的更多信息,请参阅 Active Directory 中 Connector Appliance 的部署

在安全的内部网络中安装Cloud Connector。

如果您在单个林中有单个域,则只需在该域中安装 Cloud Connectors 即可建立资源位置。如果您的环境中有多个域,则必须考虑在何处安装 Cloud Connector,以便您的用户可以访问您提供的资源。

如果域之间的信任不是父域/子域,则可能需要为每个单独的域或林安装 Cloud Connector。使用安全组分配资源或注册任一域中的 VDA 时,可能需要此配置来处理资源枚举。

注意:

以下资源位置构成了一个蓝图,您可能需要在其他物理位置重复该蓝图,具体取决于您的资源托管位置。

使用一组 Cloud Connector 的单个林中的单个域

在这种情况下,单个域包含所有资源和用户对象 (forest1.local)。一组 Cloud Connector 部署在单个资源位置内,并加入了 forest1.local 域。

  • 信任关系:无-单域
  • 身份识别和访问管理中列出的域:forest1.local
  • 用户登录到 Citrix Workspace:支持所有用户
  • 用户登录到本地 StoreFront:支持所有用户

注意:

如果您在单独的域中有一个虚拟机管理程序实例,那么只要虚拟机管理程序实例和 Cloud Connector 可以通过同一个网络访问,您仍然可以部署一组 Cloud Connector。Citrix Cloud 使用托管连接和可用网络与虚拟机管理程序建立通信。因此,即使虚拟机管理程序位于不同的域中,您也无需在该域中部署另一组 Cloud Connector 来确保 Citrix Cloud 可以与虚拟机管理程序通信。

使用一组 Cloud Connector 的单个林中的父域和子域

在这种情况下,父域 (forest1.local) 及其子域 (user.forest1.local) 驻留在单个林中。父域充当资源域,子域是用户域。一组 Cloud Connector 部署在单个资源位置内,并加入了 forest1.local 域。

  • 信任关系:父/子域信任
  • 身份识别和访问管理中列出的域:forest1.local、user.forest1.local
  • 用户登录到 Citrix Workspace:支持所有用户
  • 用户登录到本地 StoreFront:支持所有用户

注意:

您可能需要重新启动 Cloud Connector 以确保 Citrix Cloud 注册子域。

使用一组 Cloud Connector 将用户和资源置于独立林中(具有信任)

在这种情况下,一个林 (forest1.local) 包含您的资源域,一个林 (forest2.local) 包含您的用户域。存在单向信任,其中包含资源域的林信任包含用户域的林。一组 Cloud Connector 部署在单个资源位置并加入 forest1.local 域。

  • 信任关系:单向林信任
  • 身份识别和访问管理中列出的域:forest1.local
  • 用户登录到 Citrix Workspace:仅支持 forest1.local 用户
  • 用户登录到本地 StoreFront:支持所有用户

注意:

两个林之间的信任关系需要允许用户林中的用户能够登录到资源林中的计算机。

由于 Cloud Connectors 无法遍历林级信任,因此 forest2.local 域不会显示在 Citrix Cloud 控制台的身份识别和访问管理页面上,并且任何云端功能都无法使用 forest2.local域。这有以下限制:

  • 资源只能发布给位于 Citrix Cloud 中 forest1.local 中的用户和组。但是,如果您使用的是 StoreFront 应用商店,则可以将 forest2.local 用户嵌套到 forest1.local 安全组中以缓解此问题。
  • Citrix Workspace 无法对来自 forest2.local 域的用户进行身份验证。
  • Citrix DaaS 中的 Monitor 控制台无法枚举来自 forest2.local 域的用户。

要解决这些限制,请按照 用户和资源中的说明在单独的林中部署 Cloud Connector(信任),并在每个林中使用一组 Cloud Connector。

单独林中的用户和资源(受信任),每个林中都有一组 Cloud Connector

在这种情况下,一个林 (forest1.local) 包含您的资源域,一个林 (forest2.local) 包含您的用户域。存在单向信任,其中包含资源域的林信任包含用户域的林。一组 Cloud Connector 部署在 forest1.local 域中,第二组部署在 forest2.local 域中。

  • 信任关系:单向林信任
  • 身份识别和访问管理中列出的域:forest1.local、forest2.local
  • 用户登录到 Citrix Workspace:支持所有用户
  • 用户登录到本地 StoreFront:支持所有用户

在这种情况下,可以使用 Connector Appliance 代替用户林中的 Cloud Connector,而无需资源来降低成本和管理开支,尤其是在有多个用户林的情况下。有关更多信息,请参阅使用适用于所有林的单组 Connector Appliance(具有信任)中的用户和资源

查看 Cloud Connector 的运行状况

Citrix Cloud 中的“Resource Locations”(资源位置)页面显示您的资源位置中的所有 Cloud Connector 的运行状态。您还可以查看每个 Cloud Connector 的高级运行状况检查数据。有关更多信息,请参阅 Cloud Connector 高级运行状况检查

事件消息

Cloud Connector 会生成某些事件消息,您可以通过 Windows 事件查看器查看这些消息。如果要启用首选监视软件来查找这些邮件,可以将它们下载为 ZIP 存档。ZIP 下载将这些消息包含在以下 XML 文件中:

  • Citrix.CloudServices.Agent.Core.dll.xml(连接器代理提供商)
  • Citrix.CloudServices.AgentWatchDog.Core.dll.xml (Connector AgentWatchDog Provider)

下载 Cloud Connector 事件消息

事件日志

默认情况下,事件日志位于托管 Cloud Connector 的计算机的 C:\ProgramData\Citrix\WorkspaceCloud\Logs 目录中。

故障排除

对 Cloud Connector 出现的任何问题进行故障排除的第一个步骤是检查事件消息和事件日志。如果您未在资源位置中看到 Cloud Connector 列出,或者“未联系”,则事件日志会提供一些初始信息。

Cloud Connector 连接

如果Cloud Connector“已断开连接”,则Cloud Connector 检查实用程序可以帮助您验证Cloud Connector 是否可以访问 Citrix Cloud 及其相关服务。

Cloud Connector 连接检查实用程序在托管 Cloud Connector 的计算机上运行。如果您在环境中使用代理服务器,则该实用程序可以通过隧道进行所有连接检查来帮助您验证通过代理服务器的连通性。如果需要,该实用程序还可以将任何缺失的 Citrix 受信任站点添加到 Internet Explorer 中的“受信任站点”区域。

有关下载和使用此实用程序的更多信息,请参阅 Citrix 支持知识中心中的 CTX260337

安装

如果 Cloud Connector 处于“错误”状态,托管 Cloud Connector 时可能出现问题。请在新计算机上安装 Cloud Connector。如果问题仍然存在,请联系 Citrix 技术支持。要对安装或使用Cloud Connector 常见问题进行故障排除,请参阅 CTX221535

将 Cloud Connector 部署为 Secure Ticket Authority 服务器

如果在 Citrix ADC 中使用多个 Cloud Connector 作为 Secure Ticket Authority (STA) 服务器,则每个 STA 服务器的 ID 可能会在 ADC 管理控制台和应用程序和桌面启动的 ICA 文件中显示为 CWSSTA。因此,STA 票证路由不正确,启动会话失败。如果 Cloud Connector 部署在具有不同客户 ID 的不同 Citrix Cloud 帐户下,则可能会出现此问题。在这种情况下,单个帐户之间会出现票证不匹配,从而导致无法创建会话。

要解决此问题,请确保作为 STA 服务器绑定的 Cloud Connector 属于具有相同客户 ID 的 Citrix Cloud 帐户。如果您需要支持来自同一 ADC 部署的多个客户帐户,请为每个帐户创建一个 Gateway 虚拟服务器。有关更多信息,请参阅以下文章:

Citrix Cloud Connector 技术详细信息