Citrix Cloud Connectorの要件
Citrix Cloud Connectorは、Windows Server 2016、Windows Server 2019、またはWindows Server 2022にインストールされたWindowsサービスで構成されています。
システム要件
Cloud Connectorをホストするマシンは、次の要件を満たしている必要があります:高可用性を確保するため、Citrixでは、それぞれのリソースの場所にCloud Connectorを2つ以上インストールすることを強くお勧めします。
Citrix DaaSでのCloud Connectorマシンの構成に関するベストプラクティスについては、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。
オペレーティングシステム
次のオペレーティングシステムがサポートされています:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Cloud Connectorは、Windows Server Coreでの使用はサポートされていません。
.NETの要件
Microsoft .NET Framework 4.7.2以降が必要です。
サーバーの要件
次の要件は、Cloud Connectorがインストールされているすべてのマシンに適用されます。
- Cloud Connectorをホストするために専用のマシンを使用します。そのマシンには他のコンポーネントをインストールしないでください。
- マシンがActive Directoryドメインコントローラーとして構成されていないこと。ドメインコントローラーへのCloud Connectorのインストールはサポートされていません。
- サーバークロックを正しいUTC時間に設定済み。
- Internet Explorerのセキュリティ強化の構成(IE ESC)がオフになっていること。Internet Explorerのセキュリティ強化の構成が有効な場合、Cloud ConnectorがCitrix Cloud Japanとの接続を確立できないことがあります。
Windows Updateのガイダンス
Citrix Cloud Connectorをホストしているすべてのマシンで、Windows Updateを有効にすることをCitrixでは強くお勧めします。Citrix Cloud Connectorは、保留中の再起動がないか定期的にチェックします。保留中の再起動は、Windows Updateなどのさまざまな要因によって起動される場合があり、5分ごとに実行されます。検出された再起動は、リソースの場所に設定されている希望日のスケジュールに関係なく、ただちに実行されます。このプロアクティブなアプローチにより、Citrix Cloud Connectorが長期間更新が保留状態のままになることがなくなり、システムの安定性が維持されます。
Citrix Cloudプラットフォームは、可用性を維持するために再起動を管理します。一度に再起動できるCitrix Cloud Connectorは1つだけです。Windows Updateをセットアップするときは、営業時間外に更新プログラムを自動的にダウンロードしてインストールするようにWindowsが設定されていることを確認してください。ただし、Citrix Cloud Connectorが再起動プロセスを管理するための十分な時間を確保できるように、少なくとも4時間は自動再起動が許可されません。さらに、更新後にマシンを再起動する必要がある場合に備えて、グループポリシーまたはシステム管理ツールを使用してフォールバック再起動メカニズムを確立できます。詳しくは、「更新後のデバイスの再起動の管理」を参照してください。
注:
- お客様がCitrix Cloud Connectorを営業時間中に再起動する予定がない場合は、それに応じて営業時間外にWindows Updateをスケジュールすることをお勧めします。
- 各Citrix Cloud Connectorの再起動には約10分かかります。これには、Citrix Cloudプラットフォームと同期して、特定の時点で1つのCitrix Cloud Connectorのみが再起動されるようにするために必要な時間も含まれます。したがって、前述のように、推奨される自動再起動の最小遅延は4時間ですが、テナント内のCitrix Cloud Connectorの数に応じて、時間を短くしたり長くしたりするように調整できます。
証明書の検証要件
Cloud Connectorが通信するCloud Connectorバイナリとエンドポイントは、広く評価された商用証明機関(CA)が発行したX.509証明書で保護されています。公開キー基盤(PKI)の証明書の検証機能には、証明書失効一覧(CRL)があります。クライアントは証明書を受け取ると、証明機関の信頼性を検証し、証明書が証明書失効一覧(CRL)にあるかどうかを確認します。 証明書がCRLにある場合は失効し、有効であると表示された場合でも信頼できないと判断されます。
CRLサーバーは、ポート443のHTTPSではなくポート80のHTTPを使用します。Cloud Connectorコンポーネント自体は、外部のポート80とは通信しません。外部ポート80が必要となるのは、オペレーティングシステムが実行する証明書検証プロセスのためです。
X.509証明書は、Cloud Connectorのインストール時に検証されます。そのため、すべてのCloud Connectorマシンは、これらの証明書を信頼するように構成して、Cloud Connectorソフトウェアを正常にインストールできるようにする必要があります。
Citrix Cloud Japanエンドポイントは、DigiCertによって発行された証明書、またはAzureによって使用されるルート証明機関の1つにより保護されています。Azureで使用されるルート証明機関について詳しくは、https://docs.microsoft.com/ja-jp/azure/security/fundamentals/tls-certificate-changesを参照してください。
証明書を検証するには、各Cloud Connectorマシンが次の要件を満たしている必要があります:
- HTTPポート80が、以下のアドレスに対して開かれている。このポートは、Cloud Connectorのインストール時と定期的なCRLチェック中に使用されます。CRLおよびOCSP接続をテストする方法について詳しくは、DigiCert Webサイトのhttps://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htmを参照してください。
http://cacerts.digicert.com/http://dl.cacerts.digicert.com/http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.com
- 以下のアドレスとの通信が有効になっている:
https://*.digicert.com
- 以下のルート証明書がインストールされている:
https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crthttps://cacerts.digicert.com/DigiCertGlobalRootG2.crthttps://cacerts.digicert.com/DigiCertGlobalRootCA.crthttps://cacerts.digicert.com/DigiCertTrustedRootG4.crthttps://cacerts.digicert.com/BaltimoreCyberTrustRoot.crthttps://www.d-trust.net/cgi-bin/D-TRUST_Root_Class_3_CA_2_2009.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20EV%20ECC%20Root%20Certificate%20Authority%202017.crthttps://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
- 以下の中間証明書がインストールされている:
https://cacerts.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crthttps://cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt
いずれかの証明書がない場合、Cloud Connectorインストーラーはhttp://cacerts.digicert.comから該当する証明書をダウンロードします。
証明書をダウンロードおよびインストールする手順について詳しくは、CTX223828を参照してください。
Active Directoryの要件
- ユーザー用のオファリングを作成するために使用するリソースとユーザーを含むActive Directoryドメインに参加済み。
- Citrix Cloud Japanで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
- Cloud Connectorは、子ドメインコントローラーだけでなく親ドメインコントローラーにもアクセスできる必要があります。これは、Cloud ConnectorがインストールされているActive Directoryワークフローを完了するために不可欠です。
詳しくは、次のMicrosoftサポート記事を参照してください: - Active Directoryドメインと信頼のファイアウォールを構成する方法 - システムサービスのポート
ネットワークの要件
- リソースの場所で使用するリソースに接続できるネットワークに接続済み。詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。
- インターネットに接続済み。詳しくは、「インターネット接続の要件」を参照してください。
サポートされるActive Directoryの機能レベル
Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。
| フォレスト機能レベル | ドメイン機能レベル | サポートされるドメインコントローラー |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016、Windows Server 2019、Windows Server 2022 |
FIPS(Federal Information Processing Standard)のサポート
Cloud Connectorは現在、FIPS対応のマシンで使用される、FIPS検証済みの暗号化アルゴリズムをサポートしています。このサポートは、Citrix Cloud Japanで利用可能なCloud Connectorソフトウェアの最新バージョンにのみ含まれています。お使いの環境に既存のCloud Connectorマシンがあり(2018年11月より前にインストール)、そのマシンでFIPSモードを有効にする場合は、次の操作を実行します:
- リソースの場所にある各マシンでCloud Connectorソフトウェアをアンインストールします。
- 各マシンでFIPSモードを有効にします。
- FIPS対応の各マシンに最新バージョンのCloud Connectorをインストールします。
重要:
- 既存のCloud Connectorインストールを最新バージョンにアップグレードしないでください。必ず古いCloud Connectorをアンインストールしてから、新しいCloud Connectorをインストールします。
- 古いバージョンのCloud Connectorをホストするマシンでは、FIPSモードを有効にしないでください。バージョン5.102より古いCloud ConnectorはFIPSモードをサポートしていません。古いCloud ConnectorがインストールされているマシンでFIPSモードを有効にすると、Citrix Cloud JapanがCloud Connectorの定期的なメンテナンス更新を実行できなくなります。
Cloud Connectorの最新バージョンをダウンロードする手順については、「タスク3:Cloud Connectorのインストール」を参照してください。
Cloud Connectorで許可されているFQDN
Cloud Connectorがアクセスする完全修飾ドメイン名(FQDN)の完全な一覧については、次の場所にあるJSONファイルを参照してください:https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-japan/allowlist.json。この一覧は製品ごとに編成されており、FQDNのグループごとに変更ログがあります。
これらのFQDNの一部は、顧客に固有のものであり、角かっこで囲まれたテンプレート化されたセクションがあります。これらのテンプレート化されたセクションは、使用する前に実際の値に置き換える必要があります。たとえば、<CUSTOMER_ID>.xendesktop.netの場合、<CUSTOMER_ID>をCitrix Cloudアカウントの実際の顧客IDに置き換えます。顧客IDは、[IDおよびアクセス管理] の [APIアクセス] タブの上部に表示されます。
インストール要件
- Cloud Connectorソフトウェアは、Citrix Cloud Japanからのみダウンロードし、準備されたマシンにインストールします。デフォルトでは、Cloud Connectorインストーラーは、ダウンロード元のコントロールプレーンとの接続を試みます。そのため、Citrix Cloud(citrix.cloud.com)アカウントからダウンロードしたソフトウェアをインストールしようとすると、インストーラーはCitrix Cloud Japanに接続しません。
- Cloud Connectorソフトウェアがダウンロードされるように、ブラウザーが実行可能ファイルのダウンロードを許可するようにしておく必要があります。
クローンマシンに関する考慮事項
Cloud Connectorをホストする各マシンには、一意のSIDとコネクタIDが必要です。これにより、Citrix Cloud Japanがリソースの場所内のマシンと通信できるようになります。(複製前に)Cloud Connectorをマシンテンプレートにインストールすることはサポートされていません。Cloud Connectorをインストールしたマシンを複製すると、Cloud Connectorサービスが実行されなくなり、マシンはCitrix Cloud Japanに接続できなくなります。
リソースの場所の複数のマシンでCloud Connectorをホストし、クローンマシンを使用する場合は、次の手順を実行します:
- 使用環境に合わせてマシンテンプレートを準備します。
- Cloud Connectorとして使用する数のマシンをプロビジョニングします。
- 手動またはサイレントインストールモードを使用して、各マシンにCloud Connectorをインストールします。
使用に関する重要な注意事項
- すべてのCloud Connectorの電源を常にオンにして、Citrix Cloud Japanへの常時接続を確保します。
- 以前にインストールしたCloud Connectorを新しいバージョンにアップグレードしないでください。古いCloud Connectorをアンインストールしてから、新しいバージョンをインストールしてください。
- Cloud Connectorをホストしているすべてのマシンで、Windows Updateを有効にすることをCitrixでは強くお勧めします。
- 各リソースの場所に少なくとも2つのCloud ConnectorをインストールすることをCitrixでは強くお勧めします。一般に、インストールする必要があるCloud Connectorの数はN+1です。ここで、Nはリソースの場所内のインフラストラクチャをサポートし、いずれかのCloud Connectorが使用できなくなった場合でもCitrix Cloud Japanとリソースの場所の間の接続が損なわれないようにするために必要な処理能力を有する数です。
- Citrix Cloud Japanで使用する予定の各Active Directoryフォレストには、常に2つのCloud Connectorがアクセスできるようにする必要があります。
- インストール後、Cloud Connectorをホストしているマシンを別のドメインに移動しないでください。マシンが別のドメインに参加する必要がある場合は、Cloud Connectorをアンインストールし、ドメインに参加した後に再インストールします。
Cloud Connectorでインストールされるサービス
このセクションでは、Cloud Connectorとともにインストールされるサービスとそのシステム権限について説明します。
インストール中に、Citrix Cloud Connector実行可能ファイルがインストールされ、機能に必要なサービス構成がデフォルトに設定されます。デフォルトの構成を手動で変更すると、Cloud Connectorが正常に動作しない可能性があります。この場合、更新プロセスを処理するサービスが引き続き機能できると仮定すると、次のCloud Connector更新が発生したときに、構成はデフォルトの状態にリセットされます。
Citrix Cloud Agent Systemは、他のCloud Connectorサービスが機能するために必要なすべての呼び出しを昇格させ、ネットワーク上で直接通信しません。Cloud Connector上のサービスがローカルシステム権限が要求されるアクションを実行する必要がある場合、Citrix Cloud Agent Systemによって可能な事前定義された一連の操作によって実行します。
| サービス名 | 説明 | 実行アカウント |
|---|---|---|
| Citrix Cloud Agent System | オンプレミスエージェントに必要なシステムコールを処理します。インストール、再起動、レジストリアクセスが含まれます。Citrix Cloud Services Agent WatchDogによってのみ呼び出すことができます。 | ローカルシステム |
| Citrix Cloud Services Agent WatchDog | オンプレミスエージェント(エバーグリーン)を監視およびアップグレードします。 | ネットワークサービス |
| Citrix Cloud Services Agent Logger | Citrix Cloud Connectorサービスのサポートログフレームワークを提供します。 | ネットワークサービス |
| Citrix Cloud Services AD Provider | インストールされているActive Directoryドメインアカウントに割り当てられたリソースをCitrix Cloud Japanで容易に管理できます。 | ネットワークサービス |
| Citrix Cloud Services Agent Discovery | XenAppおよびXenDesktopのレガシーオンプレミス製品をCitrix Cloud Japanで容易に管理できます。 | ネットワークサービス |
| Citrix Cloud Services Credential Provider | 暗号化されたデータの保存と取得を処理します。 | ネットワークサービス |
| Citrix Cloud Services WebRelay Provider | WebRelay Cloudサービスから受信したHTTP要求をオンプレミスのWebサーバーに転送できます。 | ネットワークサービス |
| Citrix CDF Capture Service | すべての構成済み製品およびコンポーネントからCDFトレースをキャプチャします。 | ネットワークサービス |
| Citrix Config Synchronizer Service | 仲介の構成をローカルに高可用性モードでコピーします。 | ネットワークサービス |
| Citrix High Availability Service | 中央サイトの停止中にサービスの継続性を提供します。 | ネットワークサービス |
| Citrix ITSM Adapter Provider | Virtual Apps and Desktopsのプロビジョニングと管理を自動化します。 | ネットワークサービス |
| Citrix NetScaler Cloud Gateway | 受信ファイアウォール規則を開いたり、DMZにコンポーネントを展開したりする必要なく、オンプレミスのデスクトップおよびアプリケーションにインターネット接続を提供します。 | ネットワークサービス |
| Citrix Remote Broker Provider | ローカルのVDAおよびStoreFrontサーバーからリモートのBroker Serviceへの通信を有効にします。 | ネットワークサービス |
| Citrix Remote HCL Server | Delivery Controllerと1つまたは複数のハイパーバイザー間の通信をプロキシ接続します。 | ネットワークサービス |
| Citrix Session Manager Proxy | 匿名の事前起動セッションを管理し、セッション数情報をクラウドベースのセッションマネージャーサービスにアップロードします。 | ネットワークサービス |
| Citrix WEM Cloud Authentication Service | Citrix WEMエージェントがクラウドインフラストラクチャサーバーに接続するための認証サービスを提供します。 | ネットワークサービス |
| Citrix WEM Cloud Messaging Service | Citrix WEMクラウドサービスがクラウドインフラストラクチャサーバーからメッセージを受信するためのサービスを提供します。 | ネットワークサービス |
イベントメッセージとログ
Cloud Connectorは、Windowsイベントビューアーに表示できる特定のイベントメッセージを生成します。優先する監視ソフトウェアを有効にしてこれらのメッセージを検索する場合は、ZIPアーカイブとしてダウンロードできます。このZIPアーカイブは、次のXMLファイルにこれらのメッセージを含みます:
- Citrix.CloudServices.Agent.Core.dll.xml(Connector Agent Provider)
- Citrix.CloudServices.AgentWatchDog.Core.dll.xml(Connector AgentWatchDog Provider)
Cloud Connectorのイベントメッセージをダウンロードします。(ZIPファイル)
トラブルシューティング
Cloud Connectorの問題を診断するための最初の手順は、イベントメッセージとイベントログを確認することです。Cloud Connectorがリソースの場所に表示されない、または「接続していない」場合は、イベントログに初期情報が表示されます。
インストール
Cloud Connectorが「エラー」状態の場合、Cloud Connectorのホストに問題がある可能性があります。Cloud Connectorを新しいマシンにインストールしてください。問題が解決されない場合は、Citrixサポートに連絡してください。Cloud Connectorのインストールまたは使用に関する一般的な問題のトラブルシューティングについては、CTX221535を参照してください。