Citrix云连接器技术细节
Citrix Cloud Connector是一个组件,包含安装在Windows Server 2012 R2、Windows Server 2016或Windows Server 2019上的Windows服务集合。
系统需求
承载云连接器的计算机必须满足以下要求。Citrix强烈建议在每个资源位置至少安装两个云连接器,以确保高可用性。
硬件需求
每个云连接器至少需要:
- 2个vCPU
- 4gb内存
- 20gb磁盘空间
更多的vCPU内存使云连接器能够扩展到更大的站点。推荐配置请参见云连接器的规模和大小考虑因素.
操作系统
支持的操作系统如下:
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
云连接器不支持与Windows Server Core一起使用。
net的需求
要求Microsoft . net Framework 4.7.2或更高版本。下载最新版本来自微软网站。
注意:
不要将Microsoft . net Core与云连接器一起使用。如果你使用。net Core而不是。net Framework,安装云连接器可能会失败。只使用。net框架和云连接器。
服务器需求
如果您正在使用虚拟应用程序和桌面服务的云连接器,请参阅云连接器的规模和大小考虑因素用于机器配置指导。
以下要求适用于安装了云连接器的所有计算机:
- 使用专用机器托管云连接器。不要在这些机器上安装任何其他组件。
- 机器是不配置为Active Directory域控制器。不支持在域控制器上安装Cloud Connector。
- 服务器时钟设置为正确的UTC时间。
- IE ESC (Internet Explorer Enhanced Security Configuration)已关闭。如果打开此设置,则云连接器可能无法建立与Citrix Cloud的连接。
- 思杰强烈建议在所有托管云连接器的机器上启用Windows更新。在配置Windows更新时,请将Windows配置为在工作时间以外自动下载和安装更新,但不允许至少4小时内自动重新启动。当Citrix云平台识别到更新正在等待重新启动时,它会处理机器重新启动,一次只允许重新启动一个云连接器。当更新后必须重新启动计算机时,可以使用组策略或系统管理工具配置回退重启。有关更多信息,请参见https://docs.microsoft.com/en-us/windows/deployment/update/waas-restart.
证书验证要求
云连接器二进制文件和云连接器接触的端点受到广泛尊重的企业证书颁发机构(ca)颁发的X.509证书的保护。PKI (Public Key Infrastructure)中的证书验证包括证书吊销列表(Certificate Revocation List)。当客户端收到证书时,客户端将检查自己是否信任颁发证书的CA,以及该证书是否在CRL上。如果证书在CRL上,则该证书将被撤销并且不应受信任,即使它看起来是有效的。
CRL服务器使用80端口的HTTP协议,而不是443端口的HTTPS协议。云连接器组件本身不通过外部端口80进行通信。外部端口80的需求是操作系统执行的证书验证过程的副产品。
在安装Cloud Connector期间验证X.509证书。因此,必须将所有Cloud Connector计算机配置为信任这些证书,以确保可以成功安装Cloud Connector软件。
Citrix云端点受到DigiCert或Azure使用的根证书颁发机构之一颁发的证书的保护。有关Azure使用的根ca的更多信息,请参见https://docs.microsoft.com/en-us/azure/security/fundamentals/tls-certificate-changes
要验证证书,每台Cloud Connector机器必须满足以下要求:
- HTTP端口80对以下地址开放。该端口用于安装Cloud Connector和定期检查CRL时使用。有关如何测试CRL和OCSP连通性的详细信息,请参见https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htm在DigiCert网站上。
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.com
- 启用与以下地址的通信:
https:// * .digicert.com
- 安装证书如下:
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crthttps://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crthttps://cacerts.digicert.com/DigiCertGlobalRootG2.crthttps://cacerts.digicert.com/DigiCertGlobalRootCA.crthttps://cacerts.digicert.com/BaltimoreCyberTrustRoot.crthttps://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crt
有关下载和安装证书的完整说明,请参见CTX223828.
Active Directory需求
- 加入一个Active Directory域,该域包含您将用于为用户创建产品的资源和用户。关于多域环境,请参见Active Directory中云连接器的部署场景在本文中。
- 您计划与Citrix Cloud一起使用的每个活动目录林应始终由两个云连接器可访问。
- 云连接器必须能够到达林根域和打算与Citrix Cloud一起使用的域中的域控制器。有关更多信息,请参阅以下Microsoft支持文章:
- 如何配置域和信任
- “系统服务端口”部分Windows业务概述及网口要求
- 使用通用安全组,而不是全局安全组。此配置确保可以从林中的任何域控制器获得用户组成员资格。
网络需求
- 连接到可以联系您将在资源位置中使用的资源的网络。有关更多信息,请参见云连接器代理和防火墙配置.
- 连接到互联网。有关更多信息,请参见系统及连通性要求.
支持的Active Directory功能级别
Citrix Cloud Connector在Active Directory中支持以下林和域功能级别。
| 森林功能层次 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
联邦信息处理标准支持
云连接器目前支持在启用fips的机器上使用的经过fips验证的加密算法。只有Citrix Cloud中可用的云连接器软件的最新版本包含此支持。如果您的环境中有现有的云连接器机器(在2018年11月之前安装),并且您希望在这些机器上启用FIPS模式,请执行以下操作:
- 在资源位置的每台机器上卸载云连接器软件。
- 在每台机器上启用FIPS模式。
- 在每台启用fips的机器上安装最新版本的云连接器。
重要的是:
- 不要尝试将现有的云连接器安装升级到最新版本。总是先卸载旧的云连接器,然后再安装新的。
- 不要在托管旧云连接器版本的机器上启用FIPS模式。版本5.102以上的云连接器不支持FIPS模式。在安装了较旧的云连接器的计算机上启用FIPS模式,将阻止Citrix Cloud对云连接器执行定期维护更新。
有关下载云连接器最新版本的说明,请参见从哪里获取云连接器.
云连接器安装的服务
本节描述与Cloud Connector一起安装的服务及其系统特权。
在安装期间,Citrix Cloud Connector可执行文件将安装必要的服务配置,并将其设置为正常工作所需的默认设置。如果手动更改默认配置,则云连接器可能无法按预期执行。在这种情况下,当下一次Cloud Connector更新发生时,配置将重置为默认状态,假设处理更新过程的服务仍然可以正常工作。
Citrix Cloud Agent System促进了其他云连接器服务运行所需的所有提升调用,并且不在网络上直接通信。当云连接器上的服务需要执行需要本地系统权限的操作时,它通过一组预定义的操作来执行,Citrix云代理系统可以执行这些操作。
| 服务名称 | 描述 | 跑的一样 |
|---|---|---|
| Citrix云代理系统 | 处理本地代理所需的系统调用。包括安装、重新启动和注册表访问。只能由Citrix Cloud Services Agent WatchDog调用。 | 本地系统 |
| 思杰云服务代理看门狗 | 监视和升级本地代理(常青树)。 | 网络服务 |
| Citrix云服务代理记录器 | 为Citrix Cloud Connector服务提供支持日志框架。 | 网络服务 |
| 思杰云服务AD提供商 | 使Citrix Cloud能够方便地管理与所安装的Active Directory域帐户关联的资源。 | 网络服务 |
| Citrix Cloud Services代理发现 | 支持Citrix Cloud,方便管理XenApp和XenDesktop遗留的本地Citrix产品。 | 网络服务 |
| 思杰云服务凭证提供商 | 处理加密数据的存储和检索。 | 网络服务 |
| 思杰云服务网络中继提供商 | 使从WebRelay云服务接收的HTTP请求转发到本地Web服务器。 | 网络服务 |
| Citrix CDF捕获服务 | 从所有配置的产品和组件捕获CDF跟踪。 | 网络服务 |
| Citrix配置同步器服务 | 本地复制代理配置以实现高可用性模式。 | 网络服务 |
| Citrix连接租赁交换服务 | 启用连接租约文件在工作空间应用程序和云连接器之间交换,以确保工作空间的服务连续性 | 网络服务 |
| 思杰高可用性服务 | 在中心站点中断期间提供持续的服务。 | 网络服务 |
| Citrix ITSM适配器提供商 | 自动配置和管理虚拟应用程序和桌面。 | 网络服务 |
| Citrix NetScaler CloudGateway | 为本地桌面和应用程序提供Internet连接,而无需打开入站防火墙规则或在DMZ中部署组件。 | 网络服务 |
| Citrix远程代理提供者 | 支持从本地vda和StoreFront服务器到远程代理服务的通信。 | 网络服务 |
| Citrix远程HCL服务器 | 交付控制器和Hypervisor之间的代理通信。 | 网络服务 |
| Citrix WEM云认证服务 | 为Citrix WEM代理提供连接云基础架构服务器的认证服务。 | 网络服务 |
| 思杰WEM云消息服务 | 为Citrix WEM云服务提供服务,以接收来自云基础设施服务器的消息。 | 网络服务 |
Active Directory中云连接器的部署场景
在安全的内部网络中安装云连接器。
如果您在单个林中有单个域,那么在该域中安装Cloud Connectors就可以建立资源位置。如果您的环境中有多个域,则必须考虑在哪里安装云连接器,以便用户可以访问您提供的资源。
注意:
下面的资源位置构成了一个蓝图,可能需要在其他物理位置重复使用,具体取决于资源托管的位置。
具有一组云连接器的单个林中的单个域
在此场景中,单个域包含所有资源和用户对象(forest1.local)。一组云连接器部署在单个资源位置中,并连接到森林1。当地的域。
- 信任关系:无单一域
- 列于身份和访问管理: forest1.local
- 用户登录到Citrix工作区:支持所有用户
- 用户登录到本地StoreFront:支持所有用户
具有一组云连接器的单个林中的父域和子域
在这个场景中,父域(forest1.local)及其子域(user.forest1.local)位于单个林中。父域作为资源域,子域作为用户域。一组云连接器部署在单个资源位置中,并连接到森林1。当地的域。
- 信任关系:父/子域信任
- 列于身份和访问管理: forest1.local, user.forest1.local
- 用户登录到Citrix工作区:支持所有用户
- 用户登录到本地StoreFront:支持所有用户
注意:
您可能需要重新启动云连接器,以确保Citrix Cloud注册了子域。
使用一组云连接器的单独林中的用户和资源(带信任)
在这个场景中,一个林(forest1.local)包含您的资源域,一个林(forest2.local)包含您的用户域。这些森林之间存在信任关系,允许用户登录资源。一组云连接器部署在单个资源位置,并连接到森林1。当地的域。
- 信任关系:森林信任
- 列于身份和访问管理: forest1.local
- 用户登录到Citrix Workspace: forest1支持。仅限本地用户
- 用户登录到本地StoreFront:支持所有用户
注意:
两个林之间的信任关系需要允许用户林中的用户能够登录资源林中的机器。
因为云连接器不能遍历林级信任,forest2.;界面上不显示“本地域”身份和访问管理页面。这有以下限制:
- 资源只能发布给位于forest1中的用户和组。本地的Citrix Cloud。然而,forest2。本地用户可以嵌套在forest1中。本地安全组来缓解此问题。
- Citrix Workspace无法对来自forest2的用户进行身份验证。当地的域。
若要解决这些限制,请按照单独林中的用户和资源(带信任),每个林中都有一组云连接器.
单独林中的用户和资源(带信任),每个林中都有一组云连接器
在这个场景中,一个林(forest1.local)包含您的资源域,一个林(forest2.local)包含您的用户域。这些森林之间存在信任关系,允许用户登录资源。在forest1中部署了一组云连接器。本地域和第二个集部署在forest2中。当地的域。
- 信任关系:森林信任
- 列于身份和访问管理: forest1.local, forest2.local
- 用户登录到Citrix工作区:支持所有用户
- 用户登录到本地StoreFront:支持所有用户
查看云连接器的运行状况
Citrix Cloud中的资源位置页面显示资源位置中所有云连接器的健康状态。
事件消息
云连接器生成某些事件消息,您可以通过Windows事件查看器查看这些消息。如果您希望启用首选监控软件来查找这些消息,可以将它们作为ZIP存档文件下载。ZIP下载包含以下XML文件中的这些消息:
- xml(连接器代理提供者)
- Citrix.CloudServices.AgentWatchDog.Core.dll.xml(连接器AgentWatchDog Provider)
下载云连接器事件消息.
事件日志
默认情况下,事件日志位于托管云连接器的计算机的C:\ProgramData\Citrix\WorkspaceCloud\ logs目录中。
故障排除
诊断云连接器的任何问题的第一步是检查事件消息和事件日志。如果您在资源位置中没有看到列出的云连接器或“没有联系”,则事件日志将提供一些初始信息。
云连接器连接
如果云连接器“断开连接”,云连接器连接检查实用程序可以帮助您验证云连接器是否可以访问Citrix Cloud及其相关服务。
云连接器连通性检查实用程序运行在托管云连接器的机器上。如果在您的环境中使用代理服务器,该实用程序可以通过隧道检查所有连接,帮助您通过代理服务器验证连接。如果需要,该实用程序还可以将任何缺少的Citrix可信站点添加到Internet Explorer中的可信站点区域。
有关下载和使用此实用程序的详细信息,请参见CTX260337在Citrix支持知识中心。
安装
如果云连接器处于“错误”状态,则可能存在托管云连接器的问题。在新机器上安装云连接器。如果问题仍然存在,请联系Citrix Support。要解决安装或使用云连接器的常见问题,请参见CTX221535.
将云连接器部署为安全票据管理机构服务器
如果使用多个云连接器作为带有Citrix ADC的安全票据授权(STA)服务器,则每个STA服务器的ID可能显示为CWSSTA在ADC管理控制台和ICA文件中启动应用程序和桌面。导致STA票证路由不正确,无法启动会话。如果云连接器部署在具有不同客户id的单独Citrix Cloud帐户下,则可能发生此问题。在此场景中,单独的帐户之间会发生票务不匹配,从而阻止创建会话。
要解决此问题,请确保绑定为STA服务器的Cloud Connectors属于具有相同客户ID的相同Citrix Cloud帐户。如果需要在同一个ADC部署中支持多个客户帐户,请为每个帐户创建一个新的Gateway虚拟服务器。欲了解更多信息,请参阅以下文章: