StoreFront 3.15

Size: px

Start display at page:

Download "StoreFront 3.15"

ゆきかなり
5 years ago
Views:

1 StoreFront 3.15 Jun 04, 2018 StoreFront ではデータセンター内のXenApp XenDesktop XenMobile サーバーからユーザーデバイスへのデスクトップやアプリケーションの配信を管理できますユーザーがアクセス可能なデスクトップやアプリケーションは StoreFront ストア上に列挙集約されますユーザーはCitrix Receiverを使ったり WebブラウザーでCitrix Receiver for Webサイトやデスクトップアプライアンスサイトを表示したりすることでStoreFront ストアにアクセスできますシンクライアントやそのほかの対応デバイスのユーザーは XenApp Services サイト経由でStoreFront ストアにアクセスできます StoreFront では各ユーザーのアプリケーションのレコードが保持されデバイスが自動で更新されますユーザーにはスマートフォンタブレットラップトップデスクトップコンピューターを切り替えても一貫したエクスペリエンスが提供されます StoreFront はXenApp 7.xとXenDesktop 7.xの統合コンポーネントですがほかのバージョンのXenAppや XenDesktopでも使用できます StoreFront はからダウンロードしてインストールします StoreFront 3.15には複数の解決された問題と既知の問題があります Citrix Systems, Inc. All rights reserved. p.1

2 新機能 Jun 04, 2018 StoreFront 3.15 には複数の解決された問題と既知の問題があります Net Scaler Gat eway からのパススルー - ログオフ動作のマイナーな変更 NetScaler Gateway 認証からのパススルーを使用している場合ユーザーが Receiver for Web サイトからログオフすると NetScaler ログオフページにリダイレクトされるようになりました以前は認証ダイアログを表示されることがありました NetScaler ログオフページの動作は NetScaler の構成によって異なります例えばリダイレクトによって ID プロバイダーのログオフページに移動することもあればログオフに成功しましたというメッセージが表示されるだけの場合もあります以下の記事の一部を変更しましたシステム要件 ( 製品およびプラットフォームのサポートの変更 ) Citrix Systems, Inc. All rights reserved. p.2

3 解決された問題 Jun 04, 2018 次の問題はバージョン 3.14 以降で解決されています : デスクトップを自動的に起動する設定を有効にすると複数起動を防止するオプションが機能しないことがありますその結果それ以降のデスクトップの同じインスタンスを起動する要求が失敗します [#LC7430] 一部のアプリケーションで TWIMode が Off に設定されている場合 Citrix Receiver for Chrome を使用するとすべてのアプリケーションがウィンドウモードで起動されます [#LC7558] デフォルト以外のドライブにインストールされている StoreFront 2.6 をアップグレードするとユーザーのアプリケーションサブスクリプションデータが保持されないことがあります [#LC8046] StoreFront に複数のストアがある場合最初のストアまたは 2 番目のストアで [ リモートアクセス設定の構成 ] をクリックするとそのストア名が最近追加されたストアに複製されることがあります [#LC8089] StoreFront で共有認証を使用してストアを構成した場合新しい NetScaler アプライアンスをストアにリンクしようとすると既にリンクされている既存の NetScaler Gateway アプライアンスが削除されることがありますストアにログオンしようとすると次のエラーメッセージが表示されますログオンの有効期限が切れました続行するにはもう一度ログオンしてくださいさらに StoreFront コンソールには重複したストア名が表示されます [#LC8219] Import-STFConfiguration PowerShell コマンドを使用して HTML5 構成のストアをインポートするとインポートが正常に完了することがありますただし Citrix Receiver for HTML5 を使用してアプリケーションを起動しようとすると失敗します [#LC8290] StoreFront サーバーはコンソールの Receiver for Web サイトで NULL エントリを表示することがありますこの問題は URL のストア名が discovery で始まる場合に発生します [#LC8320] W3C ログサービスを有効にすると StoreFront 構成に変更を加えることができず次のエラーメッセージが表示されることがあります変更の保存時にエラーが発生しました [#LC8370] この修正は基本コンポーネント内のネットワークソケットの問題に対応しています [#LC8514] StoreFront MMCコンソールを再起動すると [ デスクトップビューアーを表示する ] チェックボックスの値が誤って表示されることがあります [#LC8520] StoreFront をカスタマイズするためのPNGファイル ( 透過性がサポートされている ) でSet - ST FWebReceiverSit est yle コマンドを実行すると PNGファイルはJPEGファイルに変換されますこのJPEG ファイル形式で透過性がサポートされないことがあります [#LC8677] Set -ST FWebReceiverApplicat ionshort cut s コマンドを実行してCitrix Receiver for Webサイトのアプリケーションショートカットに信頼される URL を設定すると URL の最後にスラッシュ (/) が追加されることがあります [#LC8761] Set -ST FWebReceiverSit est yle コマンドを使用してStoreFront をカスタマイズすると style.cssがcustomフォルダーで正しく変更されないことがありますその結果 StoreFront コンソールはカスタマイズ内容を読み取ることができません [#LC8776] Citrix Systems, Inc. All rights reserved. p.3

4 StoreFront サーバーで認証エラーが発生することがありますこの問題は TCP 動的ポートを使い果たすことによって発生します [#LC8795] Set -ST FWebReceiverSit est yle コマンドを使用してStoreFront ロゴを変更しようとすると失敗することがあります [#LC8994] OverrideIcaClient name が有効な場合リモートデスクトップクライアントからのリモートセッションの確立に失敗することがありますこの問題はライセンスが更新されていない場合に発生します次のエラーメッセージのいずれかが表示されることがあります : ライセンスを更新できなかったためリモートデスクトップクライアント WR_XxXXxXXX からリモートセッションを確立できませんでしたまたは一時ライセンスの有効期限が切れのためリモートデスクトップクライアント WR_XxXXxXXX からリモートセッションを確立できませんでした [#LC9246] Citrix Receiver for Web サイトのカスタムファイルディレクトリ内に読み取り専用ファイルが存在する場合 StoreFront をアップグレードしようとすると失敗することがあります [#LC9252] XenDesktop のセットアップ中構成されたサイトを選択すると StoreFront でデフォルトの認証サービスを使用するデフォルトのストアが作成されることがありますこのストアを削除すると Citrix Receiver for Windows ユーザーはストアを追加できなくなり次のエラーメッセージが表示されることがあります認証サービスとの通信中にプロトコルエラーが発生しました [#LC9404] StoreFront にログオンしようとすると [ 要求を完了できません ] エラーで失敗する可能性があります [#LC9521] StoreFront SDKを使用して特定の機能をカスタマイズしストアのアグリゲーションを構成すると [ 要求を完了できません ] エラーでログオンが失敗することがありますこの問題は公開アプリケーションに最小解像度のカスタムアイコンがある場合に発生します [#LC9561] Citrix Systems, Inc. All rights reserved. p.4

5 既知の問題 Feb 26, 2018 このリリースの既知の問題は次のとおりです.NET 以前を実行しているサーバーで TLS 1.0 が無効になっているとサーバーグループへの参加が機能しませんこの問題を回避するには.NET 以降にアップグレードしてください [# STF-687] StoreFront がインストールメディアから実行可能ファイルを使用してインストールされている場合以降のバージョンで全製品インストーラーを使用すると StoreFront はアップグレードの対象とされませんこの問題を回避するにはインストールメディアから実行可能ファイルを使用してStoreFront をアップグレードしてください [# DNA-47816] スマートカード認証と Microsoft Edge に関するサードパーティの既知の問題がありますこの問題を解決するには Internet Explorer を使用します [# DNA-47809] 7.12 以降のDelivery Controller からのアップグレード中 (Windows CEIPプロセスが夜間に実行される時に )StoreFront のアップグレードの問題が断続的に発生します次のエラーが表示されます StoreFront をアップグレードできません一部のファイルが以下のプログラムにより使用されていますプログラムを終了して再試行してくださいプログラム名 :CompatTelRunner この問題を回避するには画面の指示に従います [# DNA-51341] ワークスペースコントロールがワークスペースのすべてのアプリケーションではなく 1つのアプリケーションセッションにのみ再接続しますこの問題は Chrome でReceiver for Webサイトにアクセスした場合に報告されていますこの問題を回避するには切断されたアプリケーションごとに [ 接続 ] をクリックします [# DNA-25140, # DNA-22561] Citrix Systems, Inc. All rights reserved. p.5

7 システム要件 Jun 04, 2018 インストールを計画する時にサーバーにインストールされているその他の製品の要件に加えて StoreFront 用に少なくとも 2GBのRAMを使用できるかどうかを確認してくださいサブスクリプションストアサービスでは 5MB 以上の空きディスク領域が必要ですさらにアプリケーションのサブスクリプション1000 個について約 8MBが必要になります他のすべてのハードウェア仕様はインストールされているオペレーティングシステムの要件を満たしている必要があります Citrix 社では以下のプラットフォームへのStoreFront のインストールがテストされておりサポートが提供されます Windows Server 2016のDatacenter およびStandardエディション Windows Server 2012 R2のDatacenter およびStandardエディション StoreFront が動作するサーバー上のオペレーティングシステムをアップグレードすることはサポートされていません新しくインストールしたオペレーティングシステムにStoreFront をインストールすることをお勧めします複数サーバーの展開環境の各サーバーでは同じバージョンのオペレーティングシステムが動作しておりロケール設定が同一である必要があります StoreFront サーバーグループ内でオペレーティングシステムのバージョンやロケール設定が異なるサーバーを混在させることはサポートされていませんサーバーグループには最大で6つのサーバーを追加できますがシミュレーションでは4つ以上のサーバーをグループに追加しても顕著なキャパシティ向上は確認されていませんサーバーグループ内のすべてのサーバーは同じ場所に配置されている必要がありますサーバーにはMicrosoft インターネットインフォメーションサービス (IIS) とMicrosoft.NET Framework が必要ですこれらの必須コンポーネントがインストール済みでも無効である場合は StoreFront のインストーラーにより製品のインストール前に有効化されます StoreFront をインストールする前に WebサーバーにWindows PowerShell およびMicrosoft 管理コンソールをインストールしておく必要がありますこれらはWindows Serverのデフォルトのコンポーネントです StoreFront のIISでの相対パスがグループ内のすべてのサーバーで同じである必要があります StoreFront インストーラーにより必要なIIS 機能が追加されますこれらの機能を事前インストールする場合は以下が必要ですすべてのプラットフォーム : Web-Static-Content Web-Default-Doc Web-Http-Errors Web-Http-Redirect Web-Http-Logging Web-Mgmt-Console Web-Scripting-Tools Web-Windows-Auth Web-Basic-Auth Web-AppInit Windows Server 2012 R2サーバーの場合 : Web-Asp-Net45 Net-Wcf-Tcp-PortSharing45 Windows Server 2016の場合 : Citrix Systems, Inc. All rights reserved. p.7

8 Web-Asp-Net45 Net-Wcf-Tcp-PortSharing45 StoreFront では以下の通信ポートが使用されますファイアウォールや他のネットワークデバイスでこれらのポートへのアクセスが許可されることを確認してください TCPポート80および443はそれぞれHTTPおよびHTTPS 通信で使用されますこれらのポートは社内ネットワーク内部および外部からアクセスできる必要があります TCPポート808は StoreFront サーバー間の通信で使用されますこのポートは社内ネットワーク内部からアクセスできる必要がありますサーバーグループ内のStoreFront サーバー間の通信ではすべての未割り当てTCPポートからランダムに選択されるポートが使用されます StoreFront のインストール時に構成されるWindowsファイアウォール規則により StoreFront の実行可能ファイルへのアクセスが有効になりますただしその時に使用されるポートはランダムに選択されるため内部ネットワーク上のファイアウォールやほかのネットワークデバイスですべての未割り当てTCPポートへのトラフィックがブロックされないことを確認する必要があります Citrix Receiver for HTML5が有効な場合内部ネットワーク上のローカルユーザーからデスクトップやアプリケーションを提供するサーバーへの通信でTCPポート8008が使用されます StoreFront ではピュアIPv6ネットワークおよびデュアルスタックIPv4/IPv6 環境の両方がサポートされます Citrix では以下の Citrix インフラストラクチャ製品での StoreFront の使用がテストされておりサポートが提供されます Citrix サーバー製品の要件 StoreFront ストアでは以下の製品で提供されるデスクトップやアプリケーションを集約できます XenAppおよびXenDesktop 7.18 XenAppおよびXenDesktop 7.17 XenAppおよびXenDesktop 7.16 XenAppおよびXenDesktop 7.15 XenAppおよびXenDesktop 7.14 XenAppおよびXenDesktop 7.13 XenAppおよびXenDesktop 7.12 XenAppおよびXenDesktop 7.11 XenAppおよびXenDesktop 7.9 XenAppおよびXenDesktop 7.8 XenAppおよびXenDesktop 7.7 XenAppおよびXenDesktop 7.6 XenAppおよびXenDesktop 7.5 XenDesktop 7.1 XenDesktop 7 XenApp 6.5 NetScaler Gateway の要件公共のネットワーク上のユーザーがStoreFront にアクセスできるようにする場合以下のバージョンのNetScaler Gatewayを使用できます Citrix Systems, Inc. All rights reserved. p.8

9 NetScaler Gateway 12.0 NetScaler Gateway 11.x NetScaler Gateway 10.5 Citrix Receiver for HTML5 の要件 Citrix Receiver for Webサイト上で動作するCitrix Receiver for HTML5によるデスクトップやアプリケーションへのアクセスをユーザーに提供する場合以下の追加要件があります内部ネットワーク接続では Citrix Receiver for HTML5を使用して以下の製品で提供されているデスクトップやアプリケーションにアクセスできます XenAppおよびXenDesktop 7.18 XenAppおよびXenDesktop 7.17 XenAppおよびXenDesktop 7.16 XenAppおよびXenDesktop 7.15 XenAppおよびXenDesktop 7.14 XenAppおよびXenDesktop 7.13 XenAppおよびXenDesktop 7.12 XenAppおよびXenDesktop 7.11 XenAppおよびXenDesktop 7.9 XenAppおよびXenDesktop 7.8 XenAppおよびXenDesktop 7.7 XenAppおよびXenDesktop 7.6 XenAppおよびXenDesktop 7.5 XenDesktop 7.1 XenDesktop 7 XenApp 6.5 Feature Pack 2について XenApp 6.5 Feature Pack 1 for Windows Server 2008 R2(Hotfix XA650R01W2K8R2X64051 必須から入手可能 ) 社内ネットワーク外のリモートユーザーがCitrix Receiver for HTML5を使用する場合以下のバージョンのNetScaler Gatewayを介してデスクトップおよびアプリケーションにアクセスできます NetScaler Gateway 12.0 NetScaler Gateway 11.x NetScaler Gatewayを介した接続では Citrix Receiver for HTML5を使用して以下の製品で提供されているデスクトップやアプリケーションにアクセスできます XenAppおよびXenDesktop 7.18 XenAppおよびXenDesktop 7.17 XenAppおよびXenDesktop 7.16 XenAppおよびXenDesktop 7.15 XenAppおよびXenDesktop 7.14 XenAppおよびXenDesktop 7.13 XenAppおよびXenDesktop 7.12 XenAppおよびXenDesktop 7.11 XenAppおよびXenDesktop Citrix Systems, Inc. All rights reserved. p.9

10 XenAppおよびXenDesktop 7.8 XenAppおよびXenDesktop 7.7 XenAppおよびXenDesktop 7.6 XenAppおよびXenDesktop 7.5 XenDesktop 7.1 XenDesktop 7 XenApp 6.5 StoreFront にはユーザーがデスクトップおよびアプリケーションにアクセスするためのさまざまなオプションが用意されています Citrix Receiverのユーザーは Citrix Receiverを使用してストアにアクセスしたり WebブラウザーからストアのCitrix Receiver for Webサイトにログオンしたりできます Citrix Receiverをインストールできず HTML5 互換のWebブラウザーがあるユーザーの場合 Citrix Receiver for WebサイトでCitrix Receiver for HTML5を有効にして Webブラウザー内でのデスクトップおよびアプリケーションへの直接アクセスを有効にできますドメインに属していないデスクトップアプライアンスのユーザーは Webブラウザーでデスクトップアプライアンスサイトにアクセスして自分のデスクトップにアクセスしますドメインに属しているデスクトップアプライアンスのユーザー Citrix Desktop Lockを実行している再目的化されたPCのユーザーおよびアップグレードできない古いバージョンのCitrix クライアントのユーザーはストアのXenApp Services サイト経由で接続する必要がありますオフラインアプリケーションをユーザーに配信する場合は Citrix Receiver for Windowsに加えてOffline Plug-in が必要です Microsoft Application Virtualization(App-V) シーケンスをユーザーに配信する場合は適切なバージョンのMicrosoft Application Virtualization Desktop Client も必要です詳しくはストリーム配信されるアプリケーションの管理を参照してください Citrix Receiver for WebサイトからオフラインアプリケーションやApp-Vシーケンスにアクセスすることはできませんユーザーデバイスのハードウェア要件はインストールされているオペレーティングシステムのものに準じます Citrix Receiver 有効ストアの要件内部ネットワーク接続または外部ネットワークからNetScaler Gateway 経由でStoreFront ストアにアクセスする場合次のバージョンのCitrix Receiverを使用できます NetScaler Gateway 経由の接続は NetScaler Gateway Plug-in を使用しても使用しなくても ( クライアントレスアクセス ) 実行できます Citrix Receiver for Windows 4.5は Citrix Receiverエクスペリエンスが統合された完全なStoreFront を使用するために必要な最低のバージョンです統合されたCitrix Receiverエクスペリエンスのサポートを参照してください Citrix Receiver for Chrome 2.x Citrix Receiver for HTML5 2.x Citrix Receiver for Mac 12.x Citrix Receiver for Windows 4.x Citrix Receiver for Linux 13.x Citrix Receiver for Web サイトからストアにアクセスするための要件内部ネットワーク接続または外部ネットワークからNetScaler Gateway 経由でCitrix Receiver for Webサイトにアクセスする場合次のCitrix Receiver オペレーティングシステムおよびWebブラウザーの組み合わせが推奨されます NetScaler Gateway 経由の接続は NetScaler Gateway Plug-in を使用しても使用しなくても ( クライアントレスアクセス ) 実行できます Citrix Systems, Inc. All rights reserved. p.10

11 特に明記されていない限りブラウザーの最新バージョンを使用してください Citrix Receiver for Windows 4.5 以降 4.12 まで Windows 10(32 ビット版および 64 ビット版 ) Microsoft Edge Internet Explorer 11 Google Chrome Mozilla Firefox Windows 8.1(32 ビット版および 64 ビット版 ) Internet Explorer 11(32 ビットモード ) Google Chrome Mozilla Firefox Windows 8(32 ビット版および 64 ビット版 ) Internet Explorer 10(32 ビットモード ) Google Chrome Mozilla Firefox Windows 7 Service Pack 1(32 ビット版および 64 ビット版 ) Internet Explorer 9 10 または 11 Google Chrome Mozilla Firefox Windows Embedded Standard 7 Service Pack 1 または Windows Thin PC Internet Explorer 9 10 または 11 Citrix Receiver for Mac 12.4 Mac OS X El Capitan(10.11) Safari 9 Google Chrome Mozilla Firefox Mac OS X Yosemite(10.10) Safari 8 Google Chrome Mozilla Firefox Mac OS X Mavericks(10.9) Safari 7 Google Chrome Mozilla Firefox Citrix Receiver for Linux 13.x Ubuntu 12.04(32 ビット ) および LTS(32 ビット ) Google Chrome Mozilla Firefox Receiver for HTML5 を使用してデスクトップやアプリケーションにアクセスするための要件 Receiver for Web サイトで実行される Receiver for HTML5 を使用してデスクトップおよびアプリケーションにアクセスする場合次のオペレーティングシステムと Web ブラウザーが推奨されます内部ネットワーク接続および外部ネットワークから NetScaler Gateway 経由での接続の両方がサポートされていますただし内部ネットワークからの接続の場合 Receiver for HTML5 では特定の製品で提供されるリソースにのみアクセスできますさらに社内ネットワークの外から接続できるよ Citrix Systems, Inc. All rights reserved. p.11

12 うにするには特定のバージョンのNetScaler Gatewayが必要です詳しくはインフラストラクチャの要件を参照してください特に明記されていない限りブラウザーの最新バージョンを使用してください Webブラウザー Microsoft Edge Internet Explorer 11 Safari 7 Google Chrome Mozilla Firefox オペレーティングシステム Windows 10(32ビット版および64 ビット版 ) Windows 8.1(32ビット版および64 ビット版 ) Windows 8(32ビット版および64ビット版 ) Windows 7 Service Pack 1(32ビット版および64ビット版 ) Windows Vista Service Pack 2(32ビット版および64ビット版 ) Windows Embedded XP Mac OS X Yosemite(10.10) Mac OS X Mavericks(10.9) Mac OS X 10.8(Mountain Lion ) Google Chrome OS 48 Google Chrome OS 47 Ubuntu 12.04(32ビット ) デスクトップアプライアンスサイトからストアにアクセスするための要件内部ネットワークからデスクトップアプライアンスサイトにアクセスする場合次のCitrix Receiver オペレーティングシステムおよびWebブラウザーの組み合わせが推奨されます NetScaler Gateway 経由での接続はサポートされません Citrix Receiver for Windows 4.5 Windows 8.1(32ビット版および64 ビット版 ) Internet Explorer 11(32 ビットモード ) Windows 8(32ビット版および64ビット版 ) Internet Explorer 10(32ビットモード ) Windows 7 Service Pack 1(32ビット版および64ビット版 ) Windows Embedded Standard 7 Service Pack 1 または Windows Thin PC Internet Explorer 9(32ビットモード ) Internet Explorer 8(32ビットモード ) Windows Embedded XP Internet Explorer 8(32ビットモード ) XenApp Services サイトの URL からストアにアクセスするための要件前述したすべてのバージョンのCitrix Receiverを使用して XenApp Services サイトのURL 経由でStoreFront ストアにアクセスできます ( この場合一部の機能が制限されます ) NetScaler Gateway 経由の接続 ( サポートされる場合 ) は NetScaler Gateway Plug-in を使用しても使用しなくても ( クライアントレスアクセス ) 実行できますスマートカードの要件 Citrix Systems, Inc. All rights reserved. p.12

13 Cit rix Receiver f or Windows 4.x でスマートカードを使用するための要件 Citrix は National Institute of Standards and Technology Personal Identity Verification(NIST PIV) カードおよび一部の USB スマートカードトークンを対象として互換性をテストします USB Chip/Smart Card Interface Devices(CCID) 仕様に準拠し German Zentraler Kreditausschuss(ZKA) により Class 1 スマートカードリーダーとして分類される接触型カードリーダーを使用できます ZKA Class 1 接触型カードリーダーを使用するにはユーザーがリーダーにスマートカードを挿入する必要があります Class 2 リーダー (PIN を入力するためのテンキー付属 ) を含むそのほかの種類のスマートカードリーダー非接触型リーダーおよび Trusted Platform Module(TPM) チップに基づく仮想スマートカードはサポートされません Receiver for Windows のスマートカードのサポートは Microsoft の PC/SC(Personal Computer/Smart Card) 標準仕様に基づいています最小要件としてスマートカードおよびスマートカードリーダーがオペレーティングシステムでサポートされており Windows ハードウェア認定を取得している必要があります Citrix 互換のスマートカードとミドルウェアについて詳しくはを参照してください Net Scaler Gat eway を介した認証の要件公共のネットワーク上のユーザーがスマートカードで StoreFront にアクセスできるようにする場合以下のバージョンの NetScaler Gateway を使用できます NetScaler Gateway 12.0 NetScaler Gateway 11.x NetScaler Gateway Citrix Systems, Inc. All rights reserved. p.13

14 StoreFront の展開計画 Nov 27, 2017 StoreFront では Microsoft インターネットインフォメーションサービス (IIS) 上で動作するMicrosoft.NET テクノロジーを使用してリソースを集約してユーザーに配信するエンタープライズアプリケーションストアを提供します XenDesktop XenApp およびApp Controller 展開環境にStoreFront を統合してユーザーにデスクトップおよびアプリケーションに対する単一のセルフサービスアクセスポイントを提供できます StoreFront は次のコアコンポーネントにより構成されています認証サービスによりユーザーがMicrosoft Active Directory で認証されユーザーが再ログオンすることなくデスクトップやアプリケーションにアクセスできるようになります詳しくはユーザー認証を参照してくださいストアには XenDesktop XenApp およびApp Controller で配信されるデスクトップやアプリケーションが列挙および集約されますユーザーは Citrix Receiver Citrix Receiver for Webサイトデスクトップアプライアンスサイト XenApp Services サイトのURL 経由でストアにアクセスします詳しくはユーザーアクセスオプションを参照してくださいサブスクリプションストアサービスによりユーザーのアプリケーションサブスクリプションの詳細が記録されユーザーが複数のデバイスを使用しても一貫性のあるユーザーエクスペリエンスが提供されますユーザーのエクスペリエンスの向上について詳しくはユーザーエクスペリエンスの最適化を参照してください StoreFront では単一サーバーの展開環境または複数サーバーの展開環境を構成できます複数サーバーの環境では処理能力だけでなく可用性も向上します StoreFront のモジュラーアーキテクチャにより構成情報やユーザーのアプリケーションサブスクリプションの詳細がサーバーグループ内のすべてのサーバー上に格納され複製されますこのため何らかの理由でいずれかのStoreFront サーバーが停止してもユーザーはほかのサーバーを使用してストアにアクセスできます停止したサーバーが動作を再開してサーバーグループに再接続すると構成およびサブスクリプションのデータが自動的に更新されますサブスクリプションデータはサーバーがオンラインに復帰したときに更新されますがオフライン中の更新が反映されていない場合は管理者が構成の変更を反映させる必要がありますハードウェア障害などによりサーバーの交換が必要な場合でも新しいサーバーにStoreFront をインストールして既存のサーバーグループに追加するだけですこれにより新しいサーバーが自動的に構成され最新のアプリケーションサブスクリプションデータが同期されます次の図は一般的なStoreFront 展開環境を示しています Citrix Systems, Inc. All rights reserved. p.14

15 複数サーバーの展開環境の場合は NetScaler または Windows のネットワーク負荷分散などによる外部の負荷分散機能が必要です負荷分散環境を構成してサーバー間のフェールオーバーを有効にして耐障害性を向上できます NetScaler を使用した負荷分散について詳しくは負荷分散を参照してください Windows のネットワーク負荷分散について詳しくはを参照してください何千ものユーザーが使用したり特定の時間帯に多くのユーザーのログオンが集中するなど高負荷状態が発生したりする展開環境では StoreFront から XenDesktop サイトや XenApp ファームへの要求を負荷分散することをお勧めしますこの場合 NetScaler など XML の監視機能やセッションパーシステンス機能を持つロードバランサーを使用してください SSL 終了ロードバランサーを展開するかまたはトラブルシューティングの必要がある場合は PowerShell コマンドレットのSet -ST FWebReceiverCommunicat ion を使用できます構文 : Set -ST FWebReceiverCommunicat ion [-WebReceiverService] [[-Loopback] ] [[-LoopbackPort UsingHt t p] ] 有効な値は以下のとおりです On 新しいCitrix Receiver for Webサイトのデフォルト値です Citrix Receiver for Webはスキーマ (HTTPSまたは HTTP) およびベース URL のポート番号を使用しますがホストをループバック IP アドレスと置き換えて StoreFront Services と通信しますこれは単一サーバー展開および非 SSL 終了ロードバランサーがある展開で機能します OnUsingHt t p - Citrix Receiver for WebはHTTPおよびループバックIPアドレスを使用してStoreFront Services と通信します SSL 終了ロードバランサーを使用している場合はこの値を選択しますまたデフォルトのポート 80 でない場合は Citrix Systems, Inc. All rights reserved. p.15

16 HTTP ポートも指定する必要があります Of f - これはループバックをオフにし Citrix Receiver for WebはStoreFront ベースURLを使ってStoreFront Services と通信しますインプレースアップグレードを実行する場合は既存の展開に対する混乱を避けるためこれがデフォルトの値となりますたとえば SSL 終了ロードバランサーを使用していて HTTP に対してポート 81 を使用するように IIS が構成され Citrix Receiver for Web サイトのパスが /Citrix/StoreWeb の場合次のコマンドを使って Citrix Receiver for Web サイトを構成できます $wr = Get -ST FWebReceiverService -Virt ualpat h /Cit rix/st oreweb Set -ST FWebReceiverCommunicat ion -WebReceiverService $wr -Loopback OnUsingHt t p - LoopbackPort UsingHt t p 81 Citrix Receiver for Web および StoreFront Services 間のネットワークトラフィックをキャプチャするにはロープバックをオフにして Fiddler のような任意の Web プロキシツールを使用する必要があります単一サーバーの展開ではドメインに参加していないサーバーにStoreFront をインストールできます ( ただし利用できない機能があります ) それ以外の場合各 StoreFront サーバーは XenAppまたはXenDesktopサイト / ファームに対する認証の委任を有効にしない限りユーザーアカウントが属しているActive Directory ドメインまたはそのドメインと信頼関係があるドメインに属している必要があります同一デリバリーグループで使用するすべてのStoreFront サーバーが同じドメインに属している必要があります実務環境では StoreFront とユーザーデバイスの間の通信を保護するためにHTTPSを使用することをお勧めします HTTPS を使用するには認証サービスおよびストアをホストするIISインスタンスで HTTPSを有効にする必要があります IISで HTTPSが構成されていない場合 StoreFront の通信にHTTPが使用されます IISでHTTPSが適切に構成されている場合は必要に応じていつでもHTTPをHTTPSに変更できます社内ネットワーク外からのStoreFront へのアクセスを有効にする場合安全な接続をリモートユーザーに提供するには NetScaler Gatewayが必要です NetScaler Gatewayを社内ネットワークの外にNetScaler Gatewayを配置してファイアウォールで公共のネットワークと内部ネットワークの両方からそのNetScaler Gatewayを分離します NetScaler Gateway が StoreFront サーバーを含んでいるActive Directory フォレストにアクセスできることを確認してください StoreFront では Windows サーバーごとに異なる IIS Web サイトで異なるストアを展開できますこれによってストアごとにそれぞれホスト名と証明書のバインドを持つことができますデフォルトの Web サイトに加えて 2 つの Web サイト作成から始めます IIS で複数の Web サイトを作成してから PowerShe SDK を使用して IIS Web サイトにそれぞれ StoreFront 展開環境を作成します IIS での Web サイトの作成方法について詳しくは How to set up your first IIS Website を参照してください注 :StoreFront 管理コンソールとPowerShell コンソールを同時に開くことはできません StoreFront 管理コンソールを閉じてから PowerShell コンソールを開いてください同様に PowerShell のすべてのインスタンスを閉じてから StoreFront 管理コンソールを開いてください例 :2 つのIIS Webサイト環境 (1つはアプリケーション 1つはデスクトップ ) を作成します Citrix Systems, Inc. All rights reserved. p.16

17 1. Add-STFDeployment -SiteID 1 -HostBaseURL " 2. Add-STFDeployment -SiteID 2 -HostBaseURL " StoreFront は複数のサイトを検出すると管理コンソールを無効にしメッセージを表示します詳しくはインストールおよび構成する前にを参照してください単一のStoreFront サーバーグループでサポートされるCitrix Receiverユーザーの数は使用するハードウェアとユーザーアクティビティにより異なりますユーザーがログオンして1つのリソースを開始するシミュレーションにおいては 100 個の公開アプリケーションが列挙され基になるデュアルIntel Xeon L Ghzプロセッササーバーで実行中の2つの仮想 CPU の最小推奨仕様である単一のStoreFront サーバーが 1 時間あたり最大 30,000のユーザー接続を有効にするとされますグループ内に同様の2つの構成サーバーがあるサーバーグループでは 1 時間あたり最大で60,000のユーザー接続を有効にするとされます 3つのノードでは1 時間あたり最大で90,000の接続 4つのノードでは1 時間当たり最大で120,000の接続 5つのノードでは1 時間あたり最大で150,000の接続 6つのノードでは1 時間当たり最大で175,000の接続となりますまた 1 時間当たり最大で55,000のユーザー接続を有効にする4つの仮想 CPUと1 時間当たり80,000の接続を有効にする8つの仮想 CPUを使ってシステムにより多くの仮想 CPUを割り当てて単一のStoreFront サーバーのスループットを増やすこともできます各サーバーの最小推奨メモリ割り当ては3GBです Citrix Receiver for Webを使用する場合基本のメモリ割り当てに加えてリソースごとユーザーごとに700バイトを追加で割り当てます Citrix Receiver for Webを使用する場合リソースごとおよびユーザーごとにこのバージョンのStoreFront で基本の4GBメモリ要件に加えて追加の700バイトを使用できるよう環境を設計します実際のユーザーアクティビティは上記シミュレーションとは異なるためサーバーでサポートされるユーザー接続数は異なります重要 : サーバーグループ内のすべてのサーバーは同じ場所に配置されている必要があります StoreFront サーバーグループ内でオペレーティングシステムのバージョンやロケール設定が異なるサーバーを混在させることはサポートされていません場合によっては StoreFront ストアと接続先のサーバーの間でネットワークなどの問題が発生しユーザーにとっては遅延や障害が発生する可能性がありますこれを回避するために管理者はストアのタイムアウト設定を変更できますタイムアウトの設定を短く指定すると StoreFront はサーバーとの接続試行をいつまでも繰り返さずに別のサーバーに接続しようとしますこの設定はフェールオーバーを目的として複数のサーバーを構成している場合などに便利ですタイムアウトを長く設定すると StoreFront は1つのサーバーからの応答をその期間だけ待機しますこの設定はネットワークやサーバーの信頼性が保証されず遅延がよく発生する環境でメリットがあります Citrix Receiver for Webにもタイムアウトの設定があり Citrix Receiver for Webサイトがストアからの応答を待つ時間を制御しますこのタイムアウト値を変更するときはストアのタイムアウト以上の時間を設定しますタイムアウトの時間を長くすると耐障害性が向上しますがユーザーは長い遅延を経験する可能性がありますタイムアウトの時間を短くするとユーザーにとっての遅延は減りますが接続の失敗が増える可能性がありますタイムアウトの設定について詳しくは通信のタイムアウト期間およびサーバー再試行回数の構成および通信のタイムアウト期間および再試行回数の構成を参照してください Citrix Systems, Inc. All rights reserved. p.17

ユーザーアクセスのオプション Jun 04, 2018 ユーザーは以下の 4 つの方法で StoreFront ストアにアクセスできます Citrix Receiver - 適切なバージョンのCitrix Receiverのユーザーは Citrix Receiverのユーザーインターフェイスから StoreFront ストアにアクセスできます Citrix

18 ユーザーアクセスのオプション Jun 04, 2018 ユーザーは以下の 4 つの方法で StoreFront ストアにアクセスできます Citrix Receiver - 適切なバージョンのCitrix Receiverのユーザーは Citrix Receiverのユーザーインターフェイスから StoreFront ストアにアクセスできます Citrix Receiverからストアに透過的にアクセスできるため最も簡単でありより多くの機能が提供されます Citrix Receiver for Webサイト - 適切なバージョンのWebブラウザーのユーザーは Citrix Receiver for Webサイトから StoreFront ストアにアクセスすることができますデフォルトではデスクトップとアプリケーションにアクセスするために適切なバージョンのCitrix Receiverも必要ですただし管理者は Citrix ReceiverをインストールできないユーザーがHTML5 互換のWebブラウザーからデスクトップやアプリケーションに直接アクセスできるように Citrix Receiver for Webサイトを構成できますデフォルトでは管理者が新しいストアを作成するときにそのストアのCitrix Receiver for Webサイトが作成されます Desktop Appliance サイト - ドメインに参加していないデスクトップアプライアンスのユーザーは全画面モードのWebブラウザーでデスクトップアプライアンスサイトにアクセスして自分のデスクトップにアクセスします管理者がCitrix Studio でXenDesktop 環境の新しいストアを作成するとデフォルトでそのストアのデスクトップアプライアンスサイトが作成されます XenApp Services URL - ドメインに参加しているデスクトップアプライアンスのユーザー Citrix Desktop Lockを実行している再目的化されたPCのユーザーおよびアップグレードできない古いバージョンのCitrix クライアントのユーザーは XenApp Services サイトからストアに接続できますデフォルトでは新しいストアを作成するときに XenApp Services サイトのURLが有効になりますこの図はユーザーがStoreFront ストアにアクセスするためのオプションを示しています Citrix Receiverのユーザーインターフェイスでストアにアクセスすると最良のユーザーエクスペリエンスと多くの機能が提供されますこの方法でストアにアクセスできるCitrix Receiverのバージョンについてはシステム要件を参照してください Citrix Receiverではビーコンポイントとして内部 URLおよび外部 URLを使用しますこれらのビーコンポイントにCitrix Receiverでアクセスできるかどうかによりユーザーがローカルに接続されているのかパブリックネットワークに接続されているのかが識別されますユーザーがデスクトップやアプリケーションにアクセスするとそのリソースを提供するサーバー Citrix Systems, Inc. All rights reserved. p.18

19 がそのユーザーの位置情報に基づいて適切な接続詳細を Citrix Receiver に返しますこれによりユーザーが Citrix Receiver でデスクトップやアプリケーションにアクセスするときに再ログオンする必要がなくなります詳しくはビーコンポイントの構成を参照してください Citrix Receiver をインストールしたらデスクトップやアプリケーションのストアに接続するための構成を行う必要があります管理者は次のいずれかの方法を使用してユーザーによる構成操作を簡略化できます重要 : デフォルトでは Citrix Receiver はストアへの接続に HTTPS を必要とします StoreFront が HTTPS 用に構成されていない場合 Citrix Receiver で HTTP 接続が使用されるようにユーザーが構成を変更する必要があります実稼働環境では StoreFront へのすべてのユーザー接続が保護されるようにしてください詳しくはコマンドラインパラメーターを使用した Citrix Receiver for Windows の構成とインストールを参照してくださいプロビジョニングファイル管理者はストアへの接続情報が定義されたプロビジョニングファイルをユーザーに提供します Citrix Receiver をインストールした後で提供された CR ファイルをユーザーが開くとストアのアカウントが自動的に構成されます Citrix Receiver for Web サイトのデフォルトではそのサイトの単一ストア用のプロビジョニングファイルがユーザーに提供されます管理者は使用する各ストアの Receiver for Web サイトからプロビジョニングファイルをダウンロードするようユーザーに指示しますまたユーザーの設定をより詳細に管理するには Citrix StoreFront 管理コンソールで特定のストアの接続情報を定義したプロビジョニングファイルを生成できますその後でそれらのファイルを適切なユーザーに配布します詳しくはユーザーに対するストアプロビジョニングファイルのエクスポートを参照してくださいセットアップ URL の自動生成 Mac OSのユーザーには Citrix Receiver for Mac Setup URL Generatorを使ってストアの接続情報を含んでいるセットアップ URLを生成しそれをユーザーに提供できますユーザーがCitrix Receiverをインストールした後で管理者から提供された URLをクリックするとストアのアカウントが自動的に構成されます管理者は Citrix Receiver for Mac Setup URL Generator で展開環境の詳細を入力してURLを生成しそのURL をユーザーに配布しますユーザーによる構成ユーザーが Citrix Receiver の構成に慣れている場合は自分でストアの URL を入力して新しいアカウントを作成できます詳しくは Citrix Receiver のドキュメントを参照してくださいメールアドレスによるアカウント検出 Citrix Receiverをデバイスに初めてインストールするユーザーは Citrix 社のWebサイトまたは内部ネットワーク上のダウンロードページからCitrix Receiverをダウンロードして自分のメールアドレスを入力してアカウントをセットアップできます管理者は Microsoft Active Directory DNS(Domain Name System: ドメイン名システム ) サーバー上でNetScaler GatewayまたはStoreFront に対するサービスロケーション (SRV) ロケーターリソースレコードを構成しますユーザーはストアへのアクセス情報を知っている必要はありません代わりに Citrix Receiverの初回構成時に自分のメールアドレスを入力します Citrix Receiverはメールアドレスで指定されたドメインの DNSサーバーにアクセスして SRVリソースレコードに追加されている詳細を取得しますこれによりアクセスできるストアの一覧がCitrix Receiverに表示されますメールアドレスによるアカウント検出を有効にするとデバイスにCitrix Receiverを新規インストールしたユーザーが自分のメールアドレスを入力することでアカウントを自動的にセットアップできますユーザーがCitrix Receiverを Citrix 社のWebサイトまたは内部ネットワーク上のダウンロードページからダウンロードする場合はユーザーがストアへのアクセス方法を知っていなくてもCitrix Receiverをインストールして構成できます Citrix Receiverを Receiver for Webサイトなどのほかの場所からダウンロードする場合はメールアドレスによるアカウント検出を使用できます Citrix Receiver for Webからダウンロー Citrix Systems, Inc. All rights reserved. p.19

20 ドした ReceiverWeb.exe または ReceiverWeb.dmg ではストアの構成は求められませんこの場合もユーザーは [ アカウントの追加 ] を使用してメールアドレスを入力できます Citrix Receiver の初回構成時にユーザーのメールアドレスまたはストアの URL を入力するためのダイアログボックスが開きますユーザーがメールアドレスを入力すると Citrix Receiver はメールアドレスで指定されたドメインの Microsoft Active Directory DNS(Domain Name System: ドメイン名システム ) サーバーにアクセスしてユーザーが選択可能なストアの一覧を取得します Citrix Receiver でユーザーのメールアドレスからストアを検索できるようにするには DNS サーバー上で NetScaler Gateway または StoreFront に対するサービスロケーション (SRV) ロケーターリソースレコードを構成しますまたフォールバックとして discoverreceiver. domain という名前のサーバーに StoreFront を展開することもできます ( ここではユーザーのメールアカウントのドメインです ) 指定されたドメインに SRV レコードが見つからない場合 Citrix Receiver は discoverreceiver という名前のマシンを検索して StoreFront サーバーを検出しますメールアドレスによるアカウント検出を有効にするには NetScaler Gateway アプライアンスまたは StoreFront サーバー上に有効なサーバー証明書をインストールする必要がありますルート証明書へのチェーンのすべてが有効である必要もありますユーザーエクスペリエンスを向上させるにはサブジェクトまたはサブジェクトの別名 (SAN:Subject Alternative Name) エントリが discoverreceiver.domain である証明書をインストールします ( ここで <domain> はユーザーのメールアカウントのドメインです ) このドメインのワイルドカード証明書を使用することもできますがそのような証明書の使用が社内のセキュリティポリシーで許可されていることを確認してくださいユーザーのメールアカウントを含んでいるドメイン用のほかの証明書を使用することもできますがユーザーが Citrix Receiver で StoreFront サーバーに最初に接続したときに証明書に関する警告が表示されます上記以外の証明書を使用してメールアドレスによるアカウント検出機能を使用することはできません社内ネットワークの外から接続するユーザーに対してメールアドレスによるアカウント検出を有効にするには NetScaler Gateway で StoreFront 接続の詳細を構成する必要があります詳しくは Connecting to StoreFront by Using -Based Discovery を参照してください SRV レコードの DNS サーバーへの追加 1. Windowsの [ スタート ] 画面で [ 管理ツール ] をクリックして [ 管理ツール ] フォルダーの [DNS] をクリックします 2. DNS マネージャーの左側のペインで前方参照ゾーンまたは逆引き参照ゾーンのドメインを選択しますドメインを右クリックして [ その他の新しいレコード ] を選択します 3. [ リソースレコードの種類 ] ダイアログボックスで [ サービスロケーション (SRV )] を選択して [ レコードの作成 ] をクリックします 4. [ 新しいリソースレコード ] ダイアログボックスで [ サービス ] ボックスにホスト値の _cit rixreceiver を入力します 5. [ プロトコル ] ボックスに値 _t cp を入力します 6. [ このサービスを提供しているホスト ] ボックスに NetScaler Gatewayアプライアンス ( ローカルおよびリモートのユーザーをサポートする場合 ) または StoreFront サーバー ( ローカルユーザーのみをサポートする場合 ) の完全修飾ドメイン名 (Fully Qualified Domain Name:FQDN) とポートを servername.domain:port 形式で入力します環境内に内部 DNS サーバーと外部 DNS サーバーの両方がある場合は内部 DNS サーバー上に StoreFront サーバー FQDN の SRV レコードを追加し外部 DNS サーバー上に NetScaler Gateway FQDN の別の SRV レコードを追加できますこの構成によりリモートユーザーには NetScaler Gateway の接続情報が提供されローカルユーザーには StoreFront の接続情報が提供されます 7. NetScaler Gateway アプライアンスに SRV レコードを構成した場合セッションプロファイルまたはグローバル設定で StoreFront 接続の詳細を NetScaler Gateway に追加します Citrix Systems, Inc. All rights reserved. p.20

21 適切なバージョンのWebブラウザーのユーザーは Citrix Receiver for WebサイトからStoreFront ストアにアクセスすることができます管理者が新しいストアを作成するとそのストアのCitrix Receiver for Webサイトが自動的に作成されます Citrix Receiver for Webサイトのデフォルト構成ではデスクトップとアプリケーションにアクセスするためにユーザーが適切なバージョンのCitrix Receiverをインストールする必要があります Citrix Receiver for WebサイトでサポートされるCitrix Receiverと Webブラウザーのバージョンについて詳しくはユーザーデバイスの要件を参照してくださいデフォルトではユーザーがWindowsまたはMac OS Xが動作するコンピューターからCitrix Receiver for Webサイトにアクセスすると Citrix Receiverがユーザーデバイスにインストール済みであるかどうかが判別されます Citrix Receiverが検出されない場合はプラットフォームに適したCitrix Receiverをダウンロードしてインストールするためのページが開きますデフォルトのダウンロード元はCitrix 社のWebサイトですが StoreFront サーバーにインストールファイルをコピーしてユーザーにこれらのローカルファイルを提供することもできます Citrix Receiverのインストールファイルをローカルに保存すると古いバージョンのクライアントを使用しているユーザーに対して StoreFront サーバー上のCitrix Receiverにアップグレードするためのオプションを提供することもできます Citrix Receiver for WindowsおよびCitrix Receiver for Macの展開を構成する方法について詳しくは Citrix Receiver for Webサイトの構成を参照してください Citrix Receiver for HTML5 Citrix Receiver for HTML5はStoreFront のコンポーネントでありデフォルトでCitrix Receiver for Webサイトに統合されています Citrix Receiver for WebサイトのCitrix Receiver for HTML5を有効にすると Citrix Receiverをインストールできないユーザーもリソースにアクセスできるようになります Citrix Receiver for HTML5を使用するとデスクトップやアプリケーションにHTML5 互換のWebブラウザーからアクセスできますデバイスにCitrix Receiverをインストールする必要はありませんサイトのCitrix Receiver for HTML5はデフォルトで無効になります Citrix Receiver for HTML5の有効化について詳しくは citrix-receiver-download-page-template.html を参照してください Citrix Receiver for HTML5でデスクトップやアプリケーションにアクセスするには HTML5 互換のWebブラウザーで Citrix Receiver for Webサイトを開きます Citrix Receiver for HTML5でサポートされるオペレーティングシステムとWebブラウザーについて詳しくはユーザーデバイスの要件を参照してください Citrix Receiver for HTML5は内部ネットワーク上のユーザーとNetScaler Gateway 経由で接続するリモートユーザーの両方が使用できます内部ネットワークからの接続の場合 Citrix Receiver for HTML5では Citrix Receiver for Webサイトでサポートされる一部の製品で配信されるデスクトップおよびアプリケーションへのアクセスのみがサポートされます管理者が StoreFront を構成するときにCitrix Receiver for HTML5をオプションとして選択すると NetScaler Gateway 経由で接続するユーザーがより多くの製品で提供されたリソースにアクセスできるようになります Citrix Receiver for HTML5を使用する場合は特定のバージョンのNetScaler Gatewayが必要です詳しくはインフラストラクチャの要件を参照してくださいデフォルトでは内部ネットワーク上のローカルユーザーがXenDesktopやXenAppで提供されるリソースにCitrix Receiver fo HTML5でアクセスすることはできません Citrix Receiver for HTML5でデスクトップやアプリケーションへのローカルアクセスを有効にするには XenDesktopおよびXenAppのサーバー側でポリシーの [ICA WebSockets 接続 ] を有効にする必要がありますファイアウォールとそのほかのネットワースデバイスでポリシーで指定されたCitrix Receiver for HTML5ポートへのアクセスが許可されていることを確認してください詳しくは WebSocket のポリシー設定を参照してくださいデフォルトでは Citrix Receiver for HTML5は新しいブラウザータブでデスクトップやアプリケーションを起動しますただしユーザーがCitrix Receiver for HTML5を使用してショートカットからリソースを起動した場合既存のブラウザータブの Citrix Receiver for Webサイトが置き換わりそこでデスクトップまたはアプリケーションが起動します Receiver for Webサイトと同じタブでリソースが常に起動するようにCitrix Receiver for HTML5を構成することもできます詳しくは Citrix Receiver for HTML5のブラウザータブ使用の構成を参照してくださいリソースのショートカット Citrix Systems, Inc. All rights reserved. p.21

22 Citrix Receiver for WebサイトからアクセスできるデスクトップやアプリケーションのURLを生成できます生成した URLを内部ネットワーク上でホストされているWebサイトに埋め込んでユーザーがすばやくリソースにアクセスできるようにしますユーザーがリンクをクリックすると Receiver for WebサイトにリダイレクトされますここでユーザーがReceiver fo Webサイトにログオンしていない場合はログオンします Citrix Receiver for Webサイトではリソースが自動的に起動しますユーザーがサブスクライブしていないアプリケーションの場合は自動的にサブスクライブされますリソースのショートカットの生成について詳しくは Citrix Receiver for Webサイトの構成を参照してください Citrix Receiver for Webサイトからアクセスするデスクトップやアプリケーションと同様にショートカットを使用する場合もユーザーがCitrix Receiverまたは Citrix Receiver for HTML5を使用する必要があります Citrix Receiver for Webサイトで使用される方法 (Citrix Receiverまたは Receiver for HTML5) はサイトの構成 Citrix Receiverをユーザーのデバイスで検出できるかどうかおよびHTML5 互換のWebブラウザーを使用しているかどうかによって異なりますセキュリティ上の理由により Internet Explorer ユーザーにはショートカット経由でアクセスしたリソースの起動を確認するメッセージが表示される場合がありますこのメッセージが表示されなくなるようにするには Internet Explorer の [ ローカルイントラネット ] または [ 信頼済みサイト ] のゾーンにReceiver for Webサイトを追加するようユーザーに指示しますショートカット経由でCitrix Receiver for Webサイトにアクセスする場合ワークスペースコントロールとデスクトップの自動起動機能はどちらもデフォルトで無効になりますアプリケーションのショートカットを生成するときは Citrix Receiver for Webサイトで配信されているアプリケーションの名前が重複していないことを確認してくださいショートカットでは同じ名前を持つアプリケーションの複数のインスタンスを区別できません同様に単一のデスクトップグループの複数のデスクトップインスタンスをCitrix Receiver for Webサイトで配信する場合インスタンスごとに異なるショートカットを作成することはできませんショートカットではコマンドラインパラメーターをアプリケーションに渡すことはできませんアプリケーションのショートカットを生成するにはそのショートカットをホストする内部 WebサイトのURLを StoreFront で一覧に追加しますユーザーがWebサイト上のショートカットをクリックするとこの一覧が照会され要求が信頼される Webサイトからのものであるかどうか確認されますただし NetScaler Gateway 経由で接続するユーザーの場合 URLが StoreFront に渡されないためショートカットをホストしているWebサイトは検証されません信頼される内部 Webサイト上のショートカットにのみリモートユーザーがアクセスできるようにするにはこれらのサイトへのアクセスのみが許可されるようにNetScaler Gatewayを構成します詳しくはを参照してくださいサイトのカスタマイズ Citrix Receiver for Webサイトではユーザーインターフェイスをカスタマイズできます表示される文字列カスケーディングスタイルシートおよびJavaScript ファイルを編集できますまたログオン前やログオフ後にカスタムの画面を表示したり言語パックを追加したりすることもできます重要な注意事項ユーザーがCitrix Receiver for Webサイトからストアにアクセスする場合アプリケーションの同期機能など Citrix Receiver 内でのストアへのアクセスでサポートされる多くの機能を使用できます以下の制限事項を考慮して Citrix Receiver for Web サイトでユーザーにストアへのアクセスを提供するかどうかを決定してください 1つのCitrix Receiver for Webサイトから複数のストアにアクセスすることはできません Citrix Receiver for Webサイトでは SSL(Secure Sockets Layer) 仮想プライベートネットワーク (VPN) 接続を開始できません VPN 接続なしでNetScaler Gatewayを介してログオンしているユーザーは App Controller によりVPN 接続を要求されるWebアプリケーションにアクセスできません Citrix Receiver for Webサイトからストアにアクセスする場合サブスクライブしたアプリケーションはWindows の [ スタート ] 画面に追加されません Citrix Receiver for Webサイトを経由してアクセスするホストアプリケーションでファイルタイプの関連付けを使用して Citrix Systems, Inc. All rights reserved. p.22

23 ローカルドキュメントを開くことはできませんオフラインアプリケーションには Citrix Receiver for Webサイトからアクセスできません Citrix Receiver for Webサイトではストアに統合したCitrix Online 製品はサポートされません Citrix Receiver for WebサイトからCitrix Online 製品にアクセスできるようにするには App Controller で配信するかホストされるアプリケーションとして公開する必要があります VDAがXenApp 7.6またはXenDesktop 7.6でSSLが有効になっているまたはユーザーがNetScaler Gatewayを使って接続している場合 HTTPS 接続でCitrix Receiver for HTML5を使用できます Mozilla FirefoxでHTTPS 接続のCitrix Receiver for HTML5を使用するには Firefoxのアドレスバーに about:config と入力し [network.websocket.allowinsecurefromhttps] をtrueに設定しますドメイン不参加のデスクトップアプライアンスを使用するユーザーはデスクトップアプライアンスサイト経由でデスクトップにアクセスできますドメイン不参加のデバイスとは StoreFront サーバーを含んでいるMicrosoft Active Directory フォレスト内のドメインに属していないデバイスを意味します管理者がCitrix Studio でXenDesktop 環境の新しいストアを作成するとデフォルトでそのストアのデスクトップアプライアンスサイトが作成されますデスクトップアプライアンスサイトは StoreFront がXenDesktopの一部としてインストールおよび構成されている場合にのみデフォルトで作成されます管理者は Windows PowerShell コマンドを使用してデスクトップアプライアンスサイトを作成することもできます詳しくはデスクトップアプライアンスサイトの構成を参照してくださいデスクトップアプライアンスサイトではローカルデスクトップにログオンするときと同じようなユーザーエクスペリエンスが提供されますデスクトップアプライアンス上のWebブラウザーは全画面モードで起動してデスクトップアプライアンスサイトのログオン画面を表示するように構成されますデフォルトではユーザーがデスクトップアプライアンスサイトにログオンするとそのユーザーに提供されているデスクトップのうち ( アルファベット順で ) 最初のデスクトップが自動的に起動しますストアで複数のデスクトップをユーザーに提供する場合はデスクトップアプライアンスサイトに複数のデスクトップを表示してユーザーが選択できるように構成できます詳しくはデスクトップアプライアンスサイトの構成を参照してくださいデスクトップが起動すると全画面モードで表示され Webブラウザーは非表示になりますユーザーはデスクトップアプライアンスサイトから自動的にログアウトされますユーザーがデスクトップからログオフすると Webブラウザーが再度表示されデスクトップアプライアンスサイトのログオン画面が開きますデスクトップが起動するとデスクトップにアクセスできない場合にデスクトップを再起動するためのリンクを含んでいるメッセージが表示されますこの機能を有効にするには管理者がデリバリーグループを構成するときにユーザーによるデスクトップの再起動を許可する必要があります詳しくはデリバリーグループを参照してくださいデスクトップへのアクセスを提供するにはデスクトップアプライアンス上に適切なバージョンのCitrix Receiverが必要です通常 XenDesktop 互換のアプライアンスベンダーは Citrix Receiverを自社の製品に統合しています Windowsアプライアンスの場合は Citrix Desktop LockもインストールしてデスクトップアプライアンスサイトのURLを指定する必要があります Internet Explorer を使用する場合は [ ローカルイントラネット ] または [ 信頼済みサイト ] のゾーンにデスクトップアプライアンスサイトを追加する必要があります Citrix Desktop Lockについて詳しくはユーザーがローカルデスクトップにアクセスできないようにするを参照してください重要な注意事項デスクトップアプライアンスサイトはドメイン不参加のデスクトップアプライアンスからデスクトップにアクセスする内部ネットワーク上のローカルユーザーを対象としています以下の制限事項を考慮してデスクトップアプライアンスサイトでユーザーにストアへのアクセスを提供するかどうかを決定してください Citrix Systems, Inc. All rights reserved. p.23

24 ドメインに参加しているデスクトップアプライアンスや再目的化されたPCを展開する場合はそれらのアプライアンスや PCではストアにデスクトップアプライアンスサイト経由でアクセスするように構成しないでくださいストアのXenAp Services サイトのURLを使用してCitrix Receiverを構成できますがドメイン参加および不参加の使用例の両方に新しい Desktop Lockをお勧めします詳しくは Citrix Receiver Desktop Lock を参照してくださいデスクトップアプライアンスサイトでは社内ネットワーク外のリモートユーザーからの接続はサポートされません NetScaler Gatewayにログオンするユーザーはデスクトップアプライアンスサイトにアクセスできませんアップグレードできない古いバージョンのCitrix クライアントのユーザーはクライアントを構成するときにストアのXenApp Services サイトのURLを指定することによりストアにアクセスできるようになりますまた管理者はドメインに参加しているデスクトップアプライアンスのユーザーおよびCitrix Desktop Lockを実行している再目的化されたPCのユーザーが XenApp Services サイト経由でストアにアクセスできるように構成することもできますドメインに参加しているデバイスとは StoreFront サーバーを含んでいるActive Directory フォレスト内のドメインに属しているデバイスを意味します StoreFront では Citrix Receiverから XenApp Services サイトへの近接カードを使ったパススルー認証がサポートされます Citrix Fast Connect APIを使用するCitrix Readyパートナー製品では Citrix Receiver for WindowsからXenApp Services サイトを介して効率的にストアにログオンできますユーザーは近接カードを使ってワークステーションにログオンし XenDesktopおよびXenAppから提供されるデスクトップやアプリケーションに迅速に接続できます詳しくは最新のCitrix Receiver for Windowsのドキュメントを参照してくださいデフォルトでは管理者が新しいストアを作成するときにそのストアのXenApp Services URLが有効になりますストアの XenApp Services URLは http[s]://serveraddress/citrix/storename/pnagent/config.xml という形式になりますここで serveraddress はStoreFront 展開環境のサーバーまたは負荷分散環境の完全修飾ドメイン名であり storename はストアの作成時に指定した名前ですこれにより PNAgent プロトコルのみを使用できるCitrix Receiverが StoreFront に接続できます XenApp Services URLを経由してストアにアクセスできるクライアントについてはユーザーデバイスの要件を参照してください重要な注意事項 XenApp Services サイトのURLは Citrix Receiverにアップグレードできず代替のアクセス方法を使用できないユーザーをサポートするために使用されます以下の制限事項を考慮して XenApp Services サイトでユーザーにストアへのアクセスを提供するかどうかを決定してくださいストアのXenApp Services URLは変更できません構成ファイルconfig.xml を編集してXenApp Services URL 設定を変更することはできません XenApp Services サイトでは指定ユーザー認証ドメインパススルー認証スマートカード認証スマートカードパススルー認証がサポートされますデフォルトでは指定ユーザー認証が有効になります各 XenApp Services サイトに構成できる認証方法と各ストアで使用できるXenApp Services サイトはそれぞれ1つだけです複数の認証方法を有効にするには個別のストアを作成してそれらのXenApp Services サイトで異なる認証方法を有効にしますこの場合どのストアにアクセスすべきかをユーザーに通知してください詳しくは XML-based authentication を参照してください XenApp Services サイトではワークスペースコントロールが有効になりこの構成を変更したり無効にしたりすることはできませんユーザーのパスワード変更要求は StoreFront の認証サービスを介さずストアにデスクトップとアプリケーションを提供するXenDesktopおよびXenAppサーバーからドメインコントローラーに直接送信されます Citrix Systems, Inc. All rights reserved. p.24

25 ユーザー認証 Jun 04, 2018 StoreFront ではユーザーがストアにアクセスするときにさまざまな認証方法がサポートされますがユーザーのアクセス方法とネットワークの場所によっては一部の認証方法を使用できない場合がありますセキュリティ上の理由により最初のストアの作成時には一部の認証方法がデフォルトで無効になりますユーザーの認証方法の有効化および無効化について詳しくは認証サービスの作成および構成を参照してくださいユーザーはストアにアクセスするときに資格情報を入力すると認証されますデフォルトでは指定ユーザー認証が有効になります指定ユーザー認証はすべてのアクセス方法でサポートされますユーザーがNetScaler Gatewayを使用してCitrix Receiver for Webにアクセスする場合 NetScaler Gatewayによりログオンおよび期限切れパスワードの変更処理が行われますユーザーが自分でパスワードを変更する場合は Citrix Receiver for Webのユーザーインターフェイスを使用しますユーザーがパスワードを変更するとNetScaler Gatewayセッションが終了しますユーザーは再ログオンする必要があります Citrix Receiver for Linux ユーザーは有効期限切れのパスワードのみを変更できますユーザーはAccess Gatewayにログオンすることによって認証を受けストアにアクセスするときは自動的にログオンします StoreFront では NetScalerを経由することなく社内ネットワーク内でSAML 認証を直接サポートすることができます SAML(Security Assertion Markup Language: セキュリティアサーションマークアップランゲージ ) は Microsoft AD FS(Active Directory フェデレーションサービス ) などのIDおよび認証製品で採用されている公開標準規格です StoreFront とSAML 認証を統合することで管理者はたとえばユーザーが一度社内ネットワークへログオンすれば以降は公開アプリケーションにシングルサインオンできるようにすることができます要件 : 手順 5:Citrix Federated Authentication Service を再起動します SAML 2.0 準拠のIDプロバイダー (IdPs): SAMLバインドのみを使用するMicrosoft AD FS v4.0(windows Server 2016)(WSフェデレーションバインドは不可 ) 詳しくは Microsoft の AD FS 2016 Deployment および AD FS 2016 Operations を参照してください Microsoft Windows Server 2012 R2 NetScaler Gateway 構成 : StoreFront の管理コンソールを使用して SAML 認証を新しい展開環境 ( 新しい展開環境の作成を参照 ) または既存の展開環境 ( 認証サービスの構成を参照) で構成しますまた PowerShell コマンドレットを使用してSAML 認証を構成することもできます StoreFront SDK を参照してください Citrix Receiver for Windows(4.6 以降 ) またはCitrix Receiver for Web 現在 NetScalerでのSAML 認証の使用は Citrix Receiver for Webサイトでサポートされていますユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるためストアにアクセスするときは自動的にログオンできます StoreFront をインストールする際ドメインパススルー認証はデフォルトで無効になっていますドメインパススルー認証は Citrix Receiverおよび XenApp Services サイトからストアに接続するユーザーに対して有効にすることができます Citrix Receiver for Webサイトは Internet Explorer を使用する場合のみドメインパススルー認証をサ Citrix Systems, Inc. All rights reserved. p.25

26 ポートします管理コンソールのCitrix Receiver for Webサイトのノードでドメインパススルー認証を有効にし Citrix Receiver for Windows 上でSSONを構成する必要があります Citrix Receiver for HTML5ではドメイン資格情報のパススルー認証はサポートされませんドメインパススルー認証を使用するにはユーザーがCitrix Receiver for WindowsまたはOnline Plug-in for Windowsを使用する必要がありますまた Citrix Receiver for WindowsまたはOnline Plug-in for Windowsをユーザーのデバイスにインストールするときにパススルー認証を有効にする必要がありますユーザーは NetScaler Gateway にログオンするときに認証されるためストアにアクセスするときは自動的にログオンできます NetScaler Gateway からのパススルー認証はストアへのリモートアクセスを最初に構成するときにデフォルトで有効になりますユーザーは Citrix Receiver または Citrix Receiver for Web サイトを使用して NetScaler Gateway 経由でストアに接続できますデスクトップアプライアンスサイトでは NetScaler Gateway を経由する接続はサポートされません NetScaler Gateway を使用するための StoreFront の構成について詳しくは NetScaler Gateway 接続の追加を参照してください StoreFront は次の NetScaler Gateway 認証方法でのパススルーをサポートしますセキュリティトークン : ユーザーはセキュリティトークンから生成されるトークンコードから得られるパスコードを使用して NetScaler Gateway にログオンしますトークンコードと暗証番号を組み合わせてパスコードにする場合もありますセキュリティトークンのみによるパススルー認証を有効にする場合はユーザーに提供するリソースでほかの認証方法 (Microsoft Active Directory ドメインの資格情報など ) が使用されないようにしてくださいドメインおよびセキュリティトークン :NetScaler Gatewayにログオンするユーザーはドメイン資格情報とセキュリティトークンパスコードの両方を入力する必要がありますクライアント証明書 : ユーザーは NetScaler Gatewayに提示されるクライアント証明書の属性に基づいて認証を受け NetScaler Gateway にログオンしますユーザーがスマートカードを使用して NetScaler Gateway にログオンできるようにするにはクライアント証明書認証を構成しますクライアント証明書による認証はほかの種類の認証と共に 2 要素認証でも使用できます StoreFront ではリモートユーザーがストアにアクセスするときに資格情報を再入力しなくて済むように NetScaler Gateway の認証サービスを使用してリモートユーザーをパススルー認証しますただしデフォルトではパスワードを使用して NetScaler Gateway にログオンするユーザーに対してのみパススルー認証が有効になりますスマートカードユーザーに対して NetScaler Gateway から StoreFront へのパススルー認証を構成するには資格情報の検証を NetScaler Gateway に委任します詳しくは認証サービスの作成と構成を参照してください NetScaler Gateway Plug-in を使用すると SSL(Secure Sockets Layer) 仮想プライベートネットワーク (VPN) トンネルを介したパススルー認証で Citrix Receiver 内からストアに直接接続できます NetScaler Gateway Plug-in をインストールできないリモートユーザーもパススルー認証により Citrix Receiver 内からストアに接続できます ( クライアントレスアクセス ) クライアントレスアクセスを使ってストアに接続するにはクライアントレスアクセスをサポートするバージョンの Citrix Receiver が必要ですまた Citrix Receiver for Web サイトに対するパススルー認証によるクライアントレスアクセスを有効にできますこれを行うにはセキュアリモートプロキシとして動作するように NetScaler Gateway を構成する必要がありますユーザーは NetScaler Gateway に直接ログオンして Citrix Receiver for Web サイトを使用して再認証なしでアプリケーションにアクセスしますクライアントレスアクセスにより App Controller リソースに接続するユーザーは外部の SaaS(Software-as-a-Service) アプリケーションにのみアクセスできますリモートユーザーが内部の Web アプリケーションにアクセスするには NetScaler Gateway Plug-in を使用する必要があります Citrix Receiver 内でストアにアクセスするリモートユーザーに対して NetScaler Gateway での 2 要素認証を有効にする場合は NetScaler Gateway で 2 つの認証ポリシーを作成する必要がありますプライマリの認証方法として RADIUS(Remote Citrix Systems, Inc. All rights reserved. p.26

27 Authentication Dial-In User Service) を構成しセカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol) を構成しますセッションプロファイルでセカンダリの認証方法が使用されるように資格情報インデックスを変更して LDAP 資格情報がStoreFront に渡されるようにします NetScaler GatewayアプライアンスをStoreFront 構成に追加する場合は [ ログオンの種類 ] を [ ドメインおよびセキュリティトークン ] に設定します詳しくはを参照してください NetScaler GatewayからStoreFront への複数ドメイン認証を有効にするには各ドメインのNetScaler Gateway LDAP 認証ポリシーで [SSO Name Attribute] をuserPrincipalName に設定します使用されるLDAPポリシーが特定されるように NetScaler Gatewayのログオンページでユーザーにドメインを指定させることができます StoreFront に接続できるように NetScaler Gatewayセッションプロファイルを構成する場合はシングルサインオンドメインを指定しないでください管理者は各ドメイン間の信頼関係を構成する必要があります明示的に信頼されるドメインのみにアクセスを制限せずユーザーがどのドメインからもStoreFront へログオンできるようにします NetScaler Gateway 展開環境でサポートされる場合は SmartAccess 機能を使用して XenDesktopおよびXenAppリソースへのユーザーアクセスをNetScaler Gatewayセッションポリシーに基づいて制御できます SmartAccessについて詳しくは How SmartAccess works for XenApp and XenDesktop を参照してくださいユーザーはスマートカードとPINを使ってストアにアクセスします StoreFront をインストールする際スマートカード認証はデフォルトで無効になっていますスマートカード認証は Citrix Receiver Citrix Receiver for Web デスクトップアプライアンスサイトおよびXenApp Services サイトからストアに接続するユーザーに対して有効にすることができますスマートカード認証を使用するとユーザーのログオンプロセスを効率化して同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます社内ネットワークへのアクセスは公開キーのインフラストラクチャを使用した証明書ベースの2 要素認証によって保護されます秘密キーはハードウェアで保護されるためスマートカードの外に漏れることはありませんユーザーはスマートカードとPINを使用してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになりますスマートカードは XenDesktopおよびXenAppで提供されるデスクトップとアプリケーションのユーザー認証をStoreFront 経由で行うために使用できます StoreFront にスマートカードでログオンするユーザーは App Controller で提供されるアプリケーションにもアクセスできますただしクライアント証明書認証を使用するApp Controller Webアプリケーションにアクセスするには再度認証を受ける必要がありますスマートカード認証を有効にする場合 StoreFront サーバーが属しているMicrosoft Active Directory ドメインかそのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにユーザーのアカウントが属している必要があります双方向の信頼関係を含んでいるマルチフォレスト展開環境がサポートされます StoreFront のスマートカード認証の構成はユーザーデバイスインストールされているクライアントおよびデバイスがドメインに参加しているかどうかによって異なりますドメインに参加しているデバイスとは StoreFront サーバーを含んでいるActive Directory フォレスト内のドメインに属しているデバイスを意味します Citrix Receiver for Windows でのスマートカードの使用 Citrix Receiver for Windowsを実行しているデバイスのユーザーはスマートカードを使って直接またはNetScaler Gateway 経由で認証を受けることができますドメイン参加デバイスとドメイン不参加デバイスの両方でスマートカード認証を使用できますがユーザーエクスペリエンスがわずかに異なりますこの図は Citrix Receiver for Windowsを介したスマートカード認証を示しています Citrix Systems, Inc. All rights reserved. p.27

28 ドメインに参加しているデバイスのローカルユーザーには資格情報を再入力しなくて済むようにスマートカード認証を有効にしますユーザーがスマートカードと PIN を使ってデバイスにログオンしたらそれ以降 PIN を再入力する必要はありません StoreFront およびデスクトップやアプリケーションにアクセスするときの認証は透過的に行われます管理者は Citrix Receiver for Windows のパススルー認証を構成して StoreFront のドメインパススルー認証を有効にしますユーザーは PIN を使ってデバイスにログオンし Citrix Receiver for Windows の認証を受けますアプリケーションおよびデスクトップを開始するときに追加で PIN の入力を求められることはありませんドメイン不参加デバイスのユーザーは Citrix Receiver for Windows に直接ログオンするため管理者は指定ユーザー認証へのフォールバックを有効にすることができます管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合ユーザーは最初にスマートカードと PIN を使ったログオンを要求されますがスマートカードでログオンできない場合は指定ユーザー認証を選択することができますユーザーが NetScaler Gateway 経由でデスクトップやアプリケーションにアクセスする場合はスマートカードと PIN を使って最低でも 2 回ログオン操作を行う必要がありますこれはドメイン参加デバイスとドメイン不参加デバイスの両方に適用されますユーザーはスマートカードと PIN を使ってデバイスにログオンしデスクトップやアプリケーションにアクセスするときにもう一度 PIN を入力します管理者は NetScaler Gateway 認証の StoreFront へのパススルーを有効にして資格情報の検証を NetScaler Gateway に委任しますさらに NetScaler Gateway 仮想サーバーを追加してデスクトップやアプリケーションへのユーザー接続がその NetScaler Gateway 経由で行われるように構成しますドメインに参加しているデバイスに対しては Citrix Receiver for Windows のパススルー認証も構成する必要があります注 : Citrix Receiver for Windows 4.5 以降をお使いの場合 2つ目のvServerをセットアップし最適なゲートウェイルーティング機能を使用することでアプリケーションおよびデスクトップの開始時に PIN の入力を不要にすることができますユーザーはスマートカードと PIN を使ってまたは指定ユーザーの資格情報を使って NetScaler Gateway にログオンできま Citrix Systems, Inc. All rights reserved. p.28

すこれにより管理者はユーザーがNetScaler Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができますユーザーがStoreFront に透過的に認証されるように NetScaler GatewayからStoreFront へのパススルー認証を構成しスマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します

29 すこれにより管理者はユーザーがNetScaler Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができますユーザーがStoreFront に透過的に認証されるように NetScaler GatewayからStoreFront へのパススルー認証を構成しスマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任しますデスクトップアプライアンスサイトでのスマートカードの使用ドメイン不参加のWindowsデスクトップアプライアンスではユーザーがスマートカードを使用してデスクトップにログオンできるように構成できますアプライアンスにはCitrix Desktop Lockが必要でデスクトップアプライアンスサイトへのアクセスにはInternet Explorer を使用する必要がありますこの図はドメイン不参加のデスクトップアプライアンスからのスマートカード認証を示していますユーザーがデスクトップアプライアンスにアクセスすると Internet Explorer が全画面モードで起動しデスクトップアプライアンスサイトのログオン画面が表示されますユーザーはスマートカードとPINを使ってサイトの認証を受けますデスクトップアプライアンスサイトでパススルー認証が構成されている場合ユーザーはデスクトップやアプリケーションにアクセスするときに自動的に認証されます PINの再入力は要求されませんパススルー認証が構成されていない場合はデスクトップまたはアプリケーションにアクセスするときにPINをもう一度入力する必要があります管理者はスマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できますこれを行うにはデスクトップアプライアンスサイトにスマートカード認証と指定ユーザー認証の両方を構成しますこの構成ではスマートカード認証がプライマリのアクセス方法とみなされますそのためユーザーはまずPINの入力を要求されますただし指定ユーザーの資格情報でログオンするためのリンクも表示されます XenApp Services サイトでのスマートカードの使用ドメイン参加のデスクトップアプライアンスとCitrix Desktop Lockを実行している再目的化されたPCのユーザーはスマートカードを使って認証を受けることができますほかのアクセス方法とは異なりスマートカードのパススルー認証は XenApp Services サイトでスマートカード資格情報が構成されている場合には自動的に有効になりますこの図は Citrix Desktop Lockを実行しているドメイン参加のデバイスからのスマートカード認証を示しています Citrix Systems, Inc. All rights reserved. p.29

ユーザーはスマートカードとPINを使ってデバイスにログオンしますその後 Citrix Desktop Lockによりユーザーは XenApp Services サイトを介してサイレントにStoreFront に認証されますデスクトップやアプリケーションにアクセスするときは自動的に認証され PINの再入力が要求されることはありません Citrix Receiver for Web

30 ユーザーはスマートカードとPINを使ってデバイスにログオンしますその後 Citrix Desktop Lockによりユーザーは XenApp Services サイトを介してサイレントにStoreFront に認証されますデスクトップやアプリケーションにアクセスするときは自動的に認証され PINの再入力が要求されることはありません Citrix Receiver for Web でのスマートカードの使用 StoreFront の管理コンソールを使用して Citrix Receiver for Webでのスマートカード認証を有効にすることができます 1. 左ペインで [Citrix Receiver for Web] ノードを選択します 2. スマートカード認証を使用するサイトを選択します 3. 右ペインで [ 認証方法の選択 ] を選択します 4. ポップアップダイアログボックスでスマートカードのチェックボックスをオンにして [OK] をクリックしますドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用せずにストアにアクセスする場合 XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にするとその設定がストアのすべてのユーザーに適用されますデスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするにはこれらの認証方法について個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してくださいドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用してストアにアクセスする場合 XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にするとその設定がストアのすべてのユーザーに適用されます一部のユーザーに対してのみパススルー認証を有効にする場合はそれらのユーザー用に個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してください Citrix Receiver for ios および Android でのスマートカードの使用 Citrix Receiver for iosおよびcitrix Receiver for Android を実行しているデバイスのユーザーはスマートカードを使って直接またはNetScaler Gateway 経由で認証を受けることができますまたドメインに参加していないデバイスを使用することもできます Citrix Systems, Inc. All rights reserved. p.30

ローカルネットワーク上のデバイスの場合ユーザーは最低でも2 回ログオン操作を行う必要がありますユーザーが StoreFront で認証する場合または初めてストアを作成する場合はスマートカードPINの入力が求められますさらにユーザーがデスクトップやアプリケーションにアクセスするときにもう一度 PINを入力しますこの認証方法を構成するには StoreFront

31 ローカルネットワーク上のデバイスの場合ユーザーは最低でも2 回ログオン操作を行う必要がありますユーザーが StoreFront で認証する場合または初めてストアを作成する場合はスマートカードPINの入力が求められますさらにユーザーがデスクトップやアプリケーションにアクセスするときにもう一度 PINを入力しますこの認証方法を構成するには StoreFront でスマートカード認証を有効にして VDAにスマートカードドライバーをインストールしますこれらのCitrix Receiverに対してはスマートカード認証またはドメイン資格情報による認証のいずれかを指定する必要がありますスマートカード認証を有効にしてストアを作成した後でドメイン資格情報による接続を許可するにはスマートカード認証が無効な別のストアを追加する必要がありますユーザーがNetScaler Gateway 経由でデスクトップやアプリケーションにアクセスする場合はスマートカードとPINを使って最低でも2 回ログオン操作を行う必要がありますユーザーはスマートカードとPINを使ってデバイスにログオンしデスクトップやアプリケーションにアクセスするときにもう一度 PINを入力します管理者は NetScaler Gateway 認証の StoreFront へのパススルーを有効にして資格情報の検証をNetScaler Gatewayに委任しますさらにNetScaler Gateway 仮想サーバーを追加してデスクトップやアプリケーションへのユーザー接続がそのNetScaler Gateway 経由で行われるように構成しますユーザーは管理者が接続の認証をどう指定しているかに応じてスマートカードとPIN または指定ユーザー認証の資格情報を使用してNetScaler GatewayにログオンできますユーザーがStoreFront に透過的に認証されるように NetScaler GatewayからStoreFront へのパススルー認証を構成しスマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します認証方法を変更する場合は接続を削除し再作成する必要があります Citrix Receiver for Linux でのスマートカードの使用 Citrix Receiver for Linux を実行するデバイスを使用するユーザーはドメイン不参加のWindowsデバイスのユーザーと同様の方法でスマートカードを使用して認証できますユーザーがスマートカードを使用してLinux デバイスで認証されている場合にも Citrix Receiver for Linux には入力済みのPINを取得または再利用するメカニズムがありません Citrix Receiver for Windows 用に構成したときと同じ方法でサーバー側のコンポーネントのスマートカード認証を構成します詳しくはスマートカード認証の構成を参照してくださいまたスマートカードの使用方法について詳しくは Citrix Receiver for Linux を参照してくださいユーザーは最低でも1 回のログオン操作を行う必要がありますユーザーはスマートカードとPINを使ってデバイスにログオンし Citrix Receiver for Linux の認証を受けますユーザーがデスクトップやアプリケーションにアクセスするときにPINを再入力する必要はありません管理者は StoreFront のスマートカード認証を有効にしますユーザーはCitrix Receiver for Linux に直接ログオンするので管理者は指定ユーザー認証へのフォールバックを有効にすることができます管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合ユーザーは最初にスマートカードと PINを使ったログオンを要求されますがスマートカードでログオンできない場合は指定ユーザー認証を選択することができますユーザーがNetScaler Gateway 経由でデスクトップやアプリケーションにアクセスする場合はスマートカードとPINを使っ Citrix Systems, Inc. All rights reserved. p.31

32 て最低でも 1 回のログオン操作を行う必要がありますユーザーはスマートカードと PIN を使ってデバイスにログオンしますデスクトップやアプリケーションにアクセスするときに PIN を再入力する必要はありません管理者は NetScaler Gateway 認証の StoreFront へのパススルーを有効にして資格情報の検証を NetScaler Gateway に委任しますさらに NetScaler Gateway 仮想サーバーを追加してデスクトップやアプリケーションへのユーザー接続がその NetScaler Gateway 経由で行われるように構成しますユーザーはスマートカードと PIN を使ってまたは指定ユーザーの資格情報を使って NetScaler Gateway にログオンできますこれにより管理者はユーザーが NetScaler Gateway にログオンするときに指定ユーザー認証へのフォールバックを有効にすることができますユーザーが StoreFront に透過的に認証されるように NetScaler Gateway から StoreFront へのパススルー認証を構成しスマートカードユーザーの資格情報の検証を NetScaler Gateway に委任します Citrix Receiver for Linux で XenApp Services サポートサイトにアクセスする場合スマートカードはサポートされませんサーバーと Citrix Receiver の両方でスマートカードのサポートを有効にするとスマートカード証明書のアプリケーションポリシーで許可されていれば以下の目的でスマートカードを使用できますスマートカードによるログオン認証スマートカードを使って Citrix XenApp サーバーや XenDesktop サーバーにログオンするユーザーを認証しますスマートカード対応アプリケーションのサポートスマートカード対応の公開アプリケーションを使ってローカルのスマートカードリーダーにアクセスできます XenApp Services サポートサイトでのスマートカードの使用 XenApp Services サポートサイトにログオンしてアプリケーションやデスクトップを開始するユーザーはスマートカードを使って認証を受けることができます特定のハードウェアオペレーティングシステムおよび Citrix Receiver を使用する必要はありませんユーザーが XenApp Services サポートサイトにアクセスしてスマートカードと PIN を使ってログオンすると PNA がユーザー ID を決定して StoreFront での認証を行い使用できるリソースを返しますパススルーおよびスマートカード認証が正しく動作するためには [Citrix XML Service への要求を信頼する ] をオンにする必要があります Delivery Controller 上でローカルの管理者アカウントを使用して Windows PowerShell を起動してコマンドプロンプトで次のコマンドを実行しますこれにより StoreFront から送信された XML 要求を Delivery Controller が信頼するようになります次の手順は XenApp 7.5~7.8 および XenDesktop 7.0~7.8 に適用されます 1. asnp Citrix*. と入力して Citrix コマンドレットを読み込みます 2. Add-PSSnapin cit rix.broker.admin.v2 を実行します 3. Set -BrokerSit e -T rust Request ssent T ot hexmlserviceport $T rue を実行します 4. PowerShell を閉じます XenApp Services サポートのスマートカード認証方法の構成について詳しくは XenApp Services URL の認証の構成を参照してください重要な注意事項 StoreFront でのユーザー認証にスマートカードを使用する場合は次の要件と制限がありますスマートカード認証で仮想プライベートネットワーク (VPN) トンネルを使用するにはユーザーが NetScaler Gateway Plug-in をインストールして Web ページ経由でログオンする必要がありますこの場合各手順でスマートカードと PIN による認証が必要になりますスマートカードユーザーは NetScaler Gateway Plug-in を使用した StoreFront へのパススルー認証を使用できません Citrix Systems, Inc. All rights reserved. p.32

33 同一ユーザーデバイス上で複数のスマートカードやスマートカードリーダーを使用することのできますがスマートカードでのパススルー認証を有効にする場合はユーザーがデスクトップやアプリケーションにアクセスするときにスマートカードが1 枚のみ挿入されていることを確認する必要がありますアプリケーション内でスマートカードを使用する場合 ( デジタル署名または暗号化機能など ) スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがありますこれは同時に複数のスマートカードが挿入されている場合に発生しますまた構成設定 ( 通常グループポリシーを使用して構成されるPINキャッシュなどのミドルウェア設定 ) が原因で発生することもありますスマートカードをリーダーに挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は [ キャンセル ] をクリックする必要がありますただし PINの入力が求められた場合は PINを再入力する必要がありますドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用せずにストアにアクセスする場合 XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にするとその設定がストアのすべてのユーザーに適用されますデスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするにはこれらの認証方法について個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してくださいドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用してストアにアクセスする場合 XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にするとその設定がストアのすべてのユーザーに適用されます一部のユーザーに対してのみパススルー認証を有効にする場合はそれらのユーザー用に個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してください各 XenApp Services サイトに構成できる認証方法と各ストアで使用できるXenApp Services サイトはそれぞれ1つだけですスマートカード認証に加えてほかの認証方法を有効にする必要がある場合は認証方法ごとに個別のストアを作成しそれぞれのストアにXenApp Services サイトを1つずつ割り当てる必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してください StoreFront インストール時のMicrosoft インターネットインフォメーションサービス (IIS) のデフォルト構成では StoreFront 認証サービスの証明書認証 URLへのHTTPS 接続でのみクライアント証明書が要求されますそれ以外の StoreFront URLにはクライアント証明書は必要ありませんこの構成により管理者はスマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます適用されるWindowsポリシー設定によってはユーザーが再認証なしにスマートカードを取り出すこともできますすべてのStoreFront URLへのHTTPS 接続でクライアント証明書が必要になるようにIISを構成する場合は認証サービスとストアを同じサーバー上に配置する必要がありますこの場合すべてのストアに有効なクライアント証明書を使用する必要がありますこのIISサイト構成ではスマートカードユーザーがNetScaler Gateway 経由で接続できなくなり指定ユーザー認証にもフォールバックされませんまたスマートカードをデバイスから取り出す場合は再度ログオンする必要があります Citrix Systems, Inc. All rights reserved. p.33

34 ユーザーエクスペリエンスの最適化 Feb 26, 2018 StoreFront にはユーザーエクスペリエンスを向上させる機能がありますこれらの機能は新しいストアやそれに関連するCitrix Receiver for WebサイトデスクトップアプライアンスサイトおよびXenApp Services サイトの作成時にデフォルトで構成されますワークスペースコントロール機能を有効にするとユーザーがセッションの途中でデバイスを切り替えても新しいデバイス上でそのアプリケーションでの作業を継続できますユーザーは新しいデバイスにログオンするたびにすべてのアプリケーションを再起動する必要がなく複数のデバイスを切り替えながら同じアプリケーションインスタンスを使用できますこれによりたとえば病院で臨床医がワークステーションを切り替えて患者データにアクセスするときの時間を節約できます Citrix Receiver for WebサイトおよびXenApp Services サイト経由でストアに接続するとワークスペースコントロールがデフォルトで有効になりますユーザーがログオンすると実行したままのアプリケーションに自動的に再接続されますたとえばあるユーザーがCitrix Receiver for WebサイトまたはXenApp Services サイト経由でストアにログオンしていくつかのアプリケーションを起動しますその後ユーザーが別のデバイスで同じアクセス方法を使用して同じストアにログオンすると実行中のアプリケーションが自動的に新しいデバイスで使用可能になりますユーザーがストアで起動したすべてのアプリケーションはそのストアからログオフすると自動的に切断されますただしシャットダウンはされません Citrix Receiver for Webサイトの場合は同じWebブラウザーを使用してログオンアプリケーションの起動およびログオフを行う必要があります XenApp Services サイトではワークスペースコントロールの構成を変更したり無効にしたりすることはできません Citrix Receiver for Webサイトのワークスペースコントロールの構成について詳しくはワークスペースコントロールの構成を参照してください Citrix Receiver for Webサイトでワークスペースコントロールを使用する場合は次の要件と制限がありますホストされているデスクトップやアプリケーションからCitrix Receiver for Web サイトにアクセスする場合はワークスペースコントロールを使用できません Windows デバイスからCitrix Receiver for WebサイトにアクセスするユーザーについてはユーザーデバイスにCitrix Receiverがインストールされていることをサイトで検出できる場合および Citrix Receiver for HTML5が使用される場合にのみワークスペースコントロールが有効になります切断したアプリケーションに再接続するには Internet Explorer でCitrix Receiver for Webサイトにアクセスするユーザーは [ ローカルイントラネット ] または [ 信頼済みサイト ] のゾーンにサイトを追加する必要がありますただしワークスペースコントロールの設定にかかわらず Citrix Receiver for Webサイトで使用可能なデスクトップが1つのみの場合ユーザーのログオン時にそのデスクトップが自動的に起動するように構成するとアプリケーションは再接続されませんアプリケーションを切断するときに起動に使用したWebブラウザーを使用する必要があります別のWebブラウザーで起動したリソースやデスクトップや [ スタート ] メニューからCitrix Receiverで起動したリソースは Receiver for Web サイトで切断したりシャットダウンしたりできませんユーザーが適切なアプリケーションをサブスクライブしてある場合コンテンツリダイレクトによりユーザーデバイス上のローカルファイルがサブスクライブされたアプリケーションで開きますこのリダイレクトを有効にするには XenDesktop またはXenAppでアプリケーションを必要なファイルタイプと関連付けますコンテンツリダイレクトは新しいストアでデフォルトで有効になります詳しくはファイルタイプの関連付けを無効にするにはを参照してください Citrix Systems, Inc. All rights reserved. p.34

35 管理者は Microsoft Active Directory ドメインの資格情報でCitrix Receiver for Webサイトにログオンするユーザーがパスワードをいつでも変更できるように構成できますまたはパスワードの有効期限が切れたユーザーにのみパスワードの変更を許可することもできますこれによりユーザーがパスワードの失効によりデスクトップやアプリケーションにアクセスできなくなることを防ぐことができます Citrix Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように設定してある場合はパスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表示されますデフォルトではユーザーに対する通知期間は適用されるWindowsポリシーの設定によって決まりますパスワードの有効期限切れの警告は内部ネットワークから接続しているユーザーにのみ表示されますユーザーによるパスワードの変更を有効にする方法について詳しくは認証サービスの構成を参照してくださいデスクトップアプライアンスサイトにログオンするユーザーはパスワードをいつでも変更できるようになっている場合でも有効期限の切れたパスワードしか変更できませんデスクトップアプライアンスサイトにログオンした後ではパスワードを変更するためのオプションが提供されません認証サービスを作成したときのデフォルトの構成ではパスワードが失効しても Citrix Receiver for Webサイトのユーザーはパスワードを変更できませんこの機能を有効にする場合はサーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してくださいユーザーのパスワードを変更するには StoreFront はドメインコントローラーと通信する必要がありますユーザーによるパスワードの変更を有効にするとこの認証サービスを使用するストアにアクセスできるすべてのユーザーに慎重に扱うべきセキュリティ機能が公開されることになります組織のセキュリティポリシーによりユーザーパスワード変更機能が内部使用のみに制限される環境では社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください Citrix Receiver for Webサイトからデスクトップとアプリケーションの両方にアクセスできる場合デフォルトでデスクトップとアプリケーションが別々のビューで表示されますサイトにログオンすると最初にデスクトップビューが表示されます Citrix Receiver for Webサイトでユーザーがアクセスできるデスクトップが1つのみの場合アクセス可能なアプリケーションがあるかどうかにかかわらずユーザーのログオン時にそのデスクトップが自動的に起動します管理者は Citrix Receiver for Webサイトに表示するビューを指定したりデスクトップが自動的に起動するのを無効にしたりできます詳しくは Configure how resources are displayed for users を参照してください Citrix Receiver for Webサイトのビューの動作は配信されるリソースの種類により異なりますたとえばアプリケーションビューにアプリケーションが表示されるようにするにはユーザーがそのアプリケーションをサブスクライブする必要があります一方ユーザーが使用できるすべてのデスクトップは自動でデスクトップビューに表示されますこのためユーザーはデスクトップビューからデスクトップを削除できずデスクトップのアイコンをドラッグアンドドロップで並び替えることはできません XenDesktop 管理者がユーザーによるデスクトップの再起動を許可している場合はデスクトップビューにデスクトップを再起動するためのコントロールが表示されます単一のデスクトップグループの複数のデスクトップインスタンスがユーザーに提供される場合 Citrix Receiver for Webサイトではデスクトップ名に数字が追加されます Citrix Receiverや XenApp Services サイトでストアに接続するユーザーの場合デスクトップおよびアプリケーションの表示と動作は使用するCitrix クライアントにより異なります XenDesktop や XenApp でアプリケーションをユーザーに配信するときはストアのアプリケーションにアクセスするユーザーのエクスペリエンスを向上させるために次のオプションについて検討しますアプリケーションの配信について詳しくは Citrix Systems, Inc. All rights reserved. p.35

36 デリバリーグループアプリケーションの作成を参照してください使用できるリソースから必要なアプリケーションを簡単に見つけられるようにアプリケーションをフォルダー別に整理してユーザーに提供します XenDesktop および XenApp でアプリケーションをフォルダーで管理するとそのフォルダーがユーザーの Citrix Receiver でのアプリケーション一覧に反映されますフォルダーを使用するとアプリケーションの種類またはユーザーの役割に応じてアプリケーションをグループ化できますアプリケーションを簡単に識別できるようにアプリケーションを配信するときにわかりやすい説明を入力しますこの説明はユーザーの Citrix Receiver に表示されますアプリケーションの説明として文字列 KEYWORDS:Mandatory を追加するとそのアプリケーションはすべてのユーザーの Citrix Receiver のホーム画面に追加されユーザーがこれを削除できなくなりますただしユーザーはホーム画面にほかのアプリケーションを追加したりこのキーワードが指定されていないアプリケーションをホーム画面から削除したりできますアプリケーションを配信するときに説明として KEYWORDS:Auto という文字列を追加するとそのアプリケーションはストアのすべてのユーザーに自動的にサブスクライブされるようになりますこの場合ユーザーがストアにログオンするとそのアプリケーションを手動でサブスクライブしなくても自動的にプロビジョニングされます AppController で管理される Web アプリケーションや Software-as-a-Service(SaaS) アプリケーションがストアのすべてのユーザーに自動的にサブスクライブされるようにするにはアプリケーション設定を構成するときに [App is available in Receiver to all users automatically] チェックボックスをオンにしますユーザーが特定の XenDesktop アプリケーションに簡単にアクセスできるようにするためにそのアプリケーションをユーザーの Citrix Receiver の [ おすすめ ] 一覧に表示できますこれを行うにはアプリケーションの説明として文字列 KEYWORDS:Featured を追加します注 : 複数のキーワードを追加する場合は KEYWORDS:Auto Featured のようにスペースで区切ります Citrix Receiver for Web サイトのデフォルトでは XenDesktop および XenApp でホストされる共有デスクトップがほかの仮想デスクトップと同じように表示されますこの動作を変更するにはデスクトップの説明として KEYWORDS:TreatAsApp という文字列を追加しますこれによりそのデスクトップは Citrix Receiver for Web サイトのデスクトップビューではなくアプリケーションビューに表示されユーザーはそのデスクトップをサブスクライブする必要がありますまたそのデスクトップは Citrix Receiver for Web サイトへのログオン時に自動起動せず Desktop Viewer でアクセスできません Windows ユーザーに対してはローカルにインストールされたアプリケーションのバージョンとそれに相当する配信されたインスタンスの両方が使用可能な場合にローカルにインストールされたアプリケーションが優先的に使用されるように指定できますこれを行うにはアプリケーションの説明として KEYWORDS:pref er= "applicat ion" という文字列を追加しますここで application はショートカットファイル名として指定されたローカルアプリケーションの名前に含まれる単語または Start Menu フォルダーからローカルアプリケーションへの実行可能ファイル名を含む絶対パスですこのキーワードを持つアプリケーションをユーザーがサブスクライブすると指定された名前またはパスがユーザーのデバイス上で検索されアプリケーションがローカルにインストールされているかどうかが判断されますアプリケーションが見つかった場合ユーザーがアプリケーションをサブスクライブしてもショートカットは作成されませんこの場合サブスクライブしたアプリケーションを Citrix Receiver で起動するとローカルにインストールされたインスタンスが代わりに実行されます詳しくはアプリケーション配信の構成を参照してください XenApp および XenDesktop 7.17 ではユーザーが公開デスクトップで公開アプリケーションを起動する場合そのデスクトップセッションでアプリケーションを起動するのか同じデリバリーグループ内の公開アプリケーションとして起動するのかを制御できます制御には Broker Service の PowerShell コマンドレットと Citrix Receiver for Windows(vPrefer) のポリシー設定を使用しますこの機能は公開アプリケーションを Citrix Receiver for Windows で起動する場合のみ有効です公開アプリケーションが Web ブラウザーの StoreFront サイトから起動されている場合この機能によってアプリケーションをローカルで起動することはできません以前のリリースではダブルホップのアプリケーションの起動制御で Studio の KEYWORDS:Prefer タグを使用する必要がありました KEYWORDS:Prefer タグは引き続き使用できます KEYWORDS と vprefer の両方の方法が構成されている場合 vprefer が優先されます Citrix Systems, Inc. All rights reserved. p.36

38 StoreFront の高可用性とマルチサイト構成 Nov 27, 2017 StoreFront にはストアにリソースを提供している展開環境間の負荷分散とフェールオーバーを有効にするための機能が多数用意されていますまた障害回復専用の展開環境を指定して回復性を高めることもできますこれらの機能を使用すると StoreFront の分散展開環境を構成してストアの高可用性を有効にできます詳しくは可用性の高いマルチサイトストア構成のセットアップを参照してください StoreFront のデフォルトではストアにデスクトップとアプリケーションを配信するすべての展開環境が列挙されそのすべてのリソースが個別に扱われますこのため複数の展開環境から同じリソースが同じ名前で配信されていてもリソースごとにアイコンが表示されますストアの高可用性やマルチサイト構成を有効にすると同じデスクトップまたはアプリケーションを配信するXenDesktopおよびXenAppの展開環境をグループ化してそれらのリソースを集約してユーザーに提供できますグループ化された展開環境は同一である必要はありませんが集約対象のリソースは各サーバー上で名前とパスが同じである必要がありますこの機能によりすべてのXenDesktopおよびXenAppの展開環境で配信されているリソースがストアで集約されユーザーには1つのアイコンだけが表示されます App Controller アプリケーションは集約されませんユーザーが集約リソースを起動するとサーバーの可用性そのユーザーがアクティブなセッションを確立済みかどうかおよび管理者が指定した順番に基づいて対象リソースから最適なインスタンスが選択されます StoreFront では過負荷状態または一時的に使用できない状態などで要求に応答できないサーバーが動的に監視されますそのサーバーとの通信が再確立されるまで別のサーバー上のリソースインスタンスがユーザーに提供されますリソースの提供サーバーでサポートされている場合はユーザーが追加リソースを起動したときに既存のユーザーセッションの再利用が試行されますこのためユーザーが選択した追加リソースがそのユーザーの既存のセッションを実行している展開環境で提供されている場合そのセッション内で追加リソースが起動しますこれにより各ユーザーのセッション数が最小限に抑えられるため追加のデスクトップやアプリケーションの起動にかかる時間が短縮され製品ライセンスをより効率的に使用できますサーバーの可用性と既存のユーザーセッションを確認した後 StoreFront は指定された順番に基づいてユーザーが接続する展開環境を決定しますユーザーが使用できる同等の展開環境が複数ある場合は管理者の構成に基づいて一覧の最初の展開環境または任意の展開環境が選択されます一覧で最初に使用可能な展開環境が選択されるように構成すると現在のユーザー数に対して使用中の展開環境の数を最小限に抑えることができます一覧から展開環境がランダムに選択されるように構成すると使用可能な展開環境間でユーザー接続を均一に分散させることができます XenDesktopおよびXenAppで配信されるリソースでは一覧での展開環境の順序を無視してユーザーが特定の展開環境のデスクトップやアプリケーションに接続されるように設定できますこれにより特定のデスクトップやアプリケーションでは専用の展開環境に優先的にユーザーが接続されるようにしてほかのリソースでは別の展開環境に接続されるように構成できますこのように構成するには優先する展開環境のデスクトップやアプリケーションの説明に KEYWORDS:Primary という文字列を追加し別の展開環境のリソースに KEYWORDS:Secondary という文字列を追加しますこの場合管理者が指定した展開環境の順序にかかわらずユーザーは優先される展開環境 ( プライマリ ) に接続されます優先される展開環境が使用できない場合セカンダリリソースを提供する展開環境に接続されますデフォルトではストアにアクセスしているユーザーにはそのストア用に構成されているすべての展開環境から使用可能なすべてのリソースが集約されて表示されますユーザーごとに異なるリソースを提供するにはストアや StoreFront 展開環境を個別に構成できますマルチサイト構成による高可用性をセットアップすると Microsoft Active Directory グループの Citrix Systems, Inc. All rights reserved. p.38

39 ユーザーメンバーシップに基づいて特定の展開環境へのアクセスを提供することができますこれにより単一のストアでユーザーグループごとに異なるエクスペリエンスを構成できますたとえばすべてのユーザーに共通するリソースを1つの展開環境でグループ化し別の展開環境では経理 (Accounts) 部門用に財務アプリケーションをグループ化しますこのような構成では Accountsユーザーグループに属していないユーザーはこのストアにアクセスしても共通リソースしか表示されません Accountsユーザーグループのメンバーには共通リソースと財務アプリケーションの両方が表示されます別の例としてより高速で強力なハードウェアを使用するパワーユーザー用の展開環境を作成してほかの展開環境と同じリソースを提供しますこれによりエグゼクティブチームなどビジネスクリティカルなユーザーのエクスペリエンスを向上させることができますこのストアにアクセスするとすべてのユーザーに同じデスクトップやアプリケーションが表示されますが Executivesユーザーグループのメンバーはパワーユーザー用の展開環境のリソースに優先的に接続されます異なるStoreFront 展開環境内の類似のストアから同じアプリケーションにユーザーがアクセスできるようにした場合ユーザーのアプリケーションサブスクリプションをサーバーグループ間で同期する必要がありますサブスクリプションを同期しない場合あるStoreFront 展開環境のストアでアプリケーションをサブスクライブしたユーザーが別のストアにログオンしたときにそれらのアプリケーションをサブスクライブし直す必要があります異なるStoreFront 展開環境間を移動するユーザーにシームレスなエクスペリエンスを提供するため異なるサーバーグループのストア間でユーザーのアプリケーションサブスクリプションが定期的に同期されるように構成できます特定の間隔で同期したり 1 日の特定の時刻に同期したりできます詳しくはサブスクリプション同期の構成を参照してください管理者は障害回復専用の展開環境を構成できますこの展開環境はほかのすべての展開環境が使用できない場合にのみ使用されます通常障害回復用の展開環境はメインの展開環境とは異なる場所に配置しメインの展開環境のリソースのサブセットだけを提供しますまた障害回復用の展開環境では必要以上に高いユーザーエクスペリエンスを提供しません展開環境を障害回復用に使用することを指定した場合その展開環境を負荷分散やフェールオーバーの対象から除外しますほかのすべての展開環境が使用できなくならない限りユーザーは障害回復用の展開環境で提供されるデスクトップやアプリケーションにアクセスできませんメインの展開環境での障害が解決した後ではユーザーが障害回復用の展開環境のリソースを既に実行している場合でも追加のリソースはメインの展開環境で起動しますこの場合障害回復用の展開環境で実行しているリソースから切断されることはありませんただしユーザーがそのリソースを終了した後ではそのリソースを再度起動することはできなくなります同様にメインの展開環境での障害が解決した後では障害回復用の展開環境の既存のセッションが再利用されることはありません同一ストアの複数の展開環境で個別のNetScaler Gatewayアプライアンスを構成している場合はユーザーが各展開環境にアクセスするための最適なアプライアンスを定義できますたとえばそれぞれがNetScaler Gatewayアプライアンスを持つ地理的に異なる2つの場所からリソースを集約するストアを作成する場合一方の場所のNetScaler Gatewayを経由して接続しているユーザーはもう一方の場所のデスクトップやアプリケーションを起動できますただしデフォルトではユーザーが最初に接続したアプライアンス経由でリソースが配信されるためコーポレートWANを通過する必要がありますユーザーエクスペリエンスを向上させ WANを経由するトラフィックを削減するため展開環境ごとに最適なNetScaler Gatewayアプライアンスを指定できますこれによりユーザーがストアにアクセスするときに経由したアプライアンスにかかわらずリソースを提供する展開環境のローカルのアプライアンスにユーザー接続が自動的にルーティングされます内部ネットワーク上のローカルユーザーをNetScaler Gatewayにログオンさせてエンドポイント解析を行う場合でも最適な Citrix Systems, Inc. All rights reserved. p.39

40 NetScaler Gatewayアプライアンス機能を使用できますこの構成ではユーザーはNetScaler Gatewayアプライアンスを経由してストアに接続しますがユーザーが内部ネットワーク上にいるためリソースへの接続はNetScaler Gateway 経由である必要はありませんこの場合最適なNetScaler Gatewayアプライアンスは有効にしますが展開環境用のアプライアンスは指定しませんこのためデスクトップとアプリケーションへのユーザー接続はNetScaler Gateway 経由ではなく直接ルーティングされますまた NetScaler Gatewayアプライアンスに特定の内部仮想サーバー IPアドレスを構成する必要がある点に注意してくださいさらにローカルユーザーがアクセスできない内部ビーコンポイントを指定して Citrix Receiverがネットワーク上の場所にかかわらずNetScaler Gateway 経由でストアにアクセスするようにします StoreFront では単一のFQDN(Fully Qualified Domain Name: 完全修飾ドメイン名 ) を持つ複数のアプライアンスで構成される広域サーバー負荷分散用のNetScaler Gateway 展開環境がサポートされます StoreFront でユーザーを認証して適切なアプライアンスにユーザー接続をルーティングするためには負荷分散構成の各アプライアンスを識別できる必要がありますアプライアンスのFQDNは広域サーバー負荷分散構成で一意の識別子として使用できないためアプライアンスごとに一意のIPアドレスを使ってStoreFront を構成する必要があります通常これはNetScaler Gateway 仮想サーバーのIPアドレスになります負荷分散について詳しくは NetScalerによる負荷分散を参照してください可用性の高いマルチサイトストアを構成するかどうかを決定する場合は以下の要件と制限について考慮してくださいデスクトップとアプリケーションは集約対象の各サーバー上で名前とパスが同じである必要がありますさらにそれらのリソースのプロパティ ( 名前やアイコンなど ) も同じであることが必要ですプロパティが異なる場合 Citrix Receiverが使用可能なリソースを列挙するときにリソースプロパティの変更が発生することがあります割り当て済みのデスクトップ ( 事前割り当ておよび初回使用時割り当てのデスクトップ ) は集約しないでくださいこのようなデスクトップのデリバリーグループに集約対象のものと同じ名前およびパスが設定されていないことを確認してください App Controller アプリケーションは集約されません異なるStoreFront 展開環境のストア間でユーザーのアプリケーションサブスクリプションを同期する場合は各サーバーグループのストアに同じ名前を付ける必要がありますさらに両方のサーバーグループはユーザーアカウントが属しているActive Directory ドメインまたはそのドメインと信頼関係があるドメインのいずれかに属している必要があります同等展開環境グループ内のすべてのプライマリサイトが使用できない場合のみ障害回復用のバックアップ展開環境へのアクセスが提供されます複数の同等展開環境グループ間でバックアップ展開環境を共有する場合各グループのすべてのプライマリサイトが使用できなくなったときにのみ障害回復リソースにアクセスできるようになります Citrix Systems, Inc. All rights reserved. p.40

41 インストールセットアップアップグレードおよびアンインストール Jun 04, 2018 StoreFront をインストールして構成するには次の手順に従います 1. StoreFront で XenDesktop および XenApp のリソースをユーザーに配信する場合はユーザーアカウントが属している Microsoft Active Directory ドメインまたはそのドメインと信頼関係があるドメインのいずれかに StoreFront サーバーが属していることを確認してください重要 : - 単一サーバー展開ではドメインに参加していないサーバーに StoreFront をインストールできます - StoreFront をドメインコントローラー上にインストールすることはできません 2. StoreFront を使用するにはMicrosoft.NET Framework が必要ですこのフレームワークは Microsoft 社のWebサイトからダウンロードできます Microsoft.NET がインストールされていることを確認してから StoreFront をインストールしてください 3. 複数サーバーのStoreFront 展開環境を構成する計画の場合は必要に応じてStoreFront サーバーの負荷分散環境をセットアップします NetScalerを使用して負荷分散を行うには StoreFront サーバーのプロキシとなる仮想サーバーを定義します NetScalerを使用した負荷分散の構成について詳しくは NetScalerによる負荷分散を参照してください 1. NetScalerアプライアンスで負荷分散機能が有効になっていることを確認します 2. 必要に応じて各 StoreFront サーバーについて個別のHTTPまたはTLS 負荷分散サービス (StoreFront モニター ) を作成します 3. StoreFront に転送されるHTTP 要求のX-Forwarded-For ヘッダーにクライアントのIPアドレスが挿入されるようにサービスを構成してグローバルポリシーの設定を上書きします StoreFront ではユーザーのリソースへの接続を確立する時にそのユーザーのIPアドレスが必要です 4. 仮想サーバーを作成しこれらのサービスを仮想サーバーにバインドします 5. すべてのプラットフォームに最新のCitrix Receiverがインストールされていて Android をサポートする必要がない場合は仮想サーバーでクッキー挿入メソッドを使用してパーシステンスを構成しますそうでない場合はソースIPアドレスに基づいてパーシステンスを構成しますユーザーが必要な時間だけログオンし続けていられるように Time To Live(TTL) を十分に設定しますパーシステンス設定により最初のユーザー接続だけが負荷分散の対象になり同じユーザーのそれ以降の要求は同じ StoreFront サーバーに割り当てられるようになります 4. 必要に応じて以下の機能を有効にします [.NET Framework の機能 ]>[.NET Framework] [ASP.NET] 必要に応じて StoreFront サーバーで以下の役割と依存関係を有効にします [Webサーバー(IIS)]>[Webサーバー]>[HTTP 共通機能 ]>[ 既定のドキュメント ] [HTTP エラー ] [ 静的 Citrix Systems, Inc. All rights reserved. p.41

42 コンテンツ ] [HTTPリダイレクト] [Webサーバー(IIS)]>[Webサーバー]>[ 健全性と診断 ]>[HTTPログ] [Webサーバー(IIS)]>[Webサーバー]>[ セキュリティ ]>[ 要求のフィルタリング ] [Windows 認証 ] StoreFront のインストール時にこれらの機能や役割が有効になっているかどうかが検証されます 5. StoreFront をインストールしますサーバーをサーバーグループに含める場合は StoreFront のインストール場所設定と IIS Web サイト設定の両方で物理パスおよびサイト ID を一致させる必要があります 6. StoreFront とユーザーデバイス間の通信を HTTPS で保護する場合は Microsoft IIS( インターネットインフォメーションサービス ) で HTTPS を構成しますスマートカード認証を使用する場合は HTTPS が必要ですデフォルトでは Citrix Receiver はストアへの接続に HTTPS を必要とします IIS で HTTPS が適切に構成されている場合は StoreFront のインストール後に必要に応じていつでも HTTP を HTTPS に変更できます IIS で HTTPS を構成するには StoreFront サーバー上でインターネットインフォメーションサービス (IIS) マネージャーコンソールを使用してドメイン証明機関により署名されたサーバー証明書を作成します次に HTTPS バインドをデフォルトの Web サイトに追加します IIS でのサーバー証明書の作成について詳しくはを参照してください IIS サイトへの HTTPS バインドの追加について詳しくはを参照してください 7. ファイアウォールやほかのネットワークデバイスで社内ネットワーク内外からの TCP ポート 80 または 443 へのアクセスが許可されることを確認しますまた内部ネットワーク上のファイアウォールやほかのネットワークデバイスですべての未割り当て TCP ポートへのトラフィックがブロックされないことを確認します StoreFront のインストール時に Windows ファイアウォールで構成される規則によりすべての未割り当て TCP ポートからランダムに選択されるポートを介した StoreFront の実行可能ファイルへのアクセスが有効になりますこのポートはサーバーグループ内の StoreFront サーバー間の通信で使用されます 8. 複数のインターネットインフォメーションサービス (IIS)Web サイトを使用する場合 PowerShell SDK を使用して各 IIS Web サイトに StoreFront 展開環境を作成します詳しくは複数のインターネットインフォメーションサービス (IIS)Web サイトを参照してください注 :StoreFront は複数のサイトを検出すると管理コンソールを無効にしメッセージを表示します 9. Citrix StoreFront 管理コンソールを使用してサーバーを構成します Important StoreFront インストール時にエラーやデータの損失が発生するのを回避するためにすべてのアプリケーションが閉じられていてターゲットシステム上で他のタスクや操作が実行されていないことを確認します 1. ダウンロードページからインストーラーをダウンロードします 2. ローカルの管理者権限を持つアカウントでStoreFront サーバーにログオンします 3. 必要なMicrosoft.NET Framework がサーバー上にインストールされていることを確認します 4. ダウンロードパッケージを参照して CitrixStoreFront-x64.exe を管理者として実行します Citrix Systems, Inc. All rights reserved. p.42

43 5. ライセンス契約書を読み同意することを選択して [ 次へ ] をクリックします 6. [ 必須条件の確認 ] ページが開いた場合は [ 次へ ] をクリックします 7. [ インストールの開始 ] ページでインストール対象の必須ツールおよびStoreFront コンポーネントを確認して [ インストール ] をクリックしますコンポーネントがインストールされる前にサーバー上の以下の役割が必要に応じて自動的に有効になります [Webサーバー(IIS)]>[Webサーバー]>[HTTP 共通機能 ]>[ 既定のドキュメント ] [HTTP エラー ] [ 静的コンテンツ ] [HTTPリダイレクト] [Webサーバー(IIS)]>[Webサーバー]>[ 健全性と診断 ]>[HTTPログ] [Webサーバー(IIS)]>[Webサーバー]>[ セキュリティ ]>[ 要求のフィルタリング ] [Windows 認証 ] [Webサーバー(IIS)]>[ 管理ツール ]>[IIS 管理コンソール ] [IIS 管理スクリプトおよびツール ] 以下の機能が必要に応じて自動的に有効になります [.NET Framework の機能 ]>[.NET Framework] [ASP.NET] 8. インストールが完了したら [ 完了 ] をクリックします Citrix StoreFront 管理コンソールが自動的に起動しますまた [ 起動 ] 画面からStoreFront を開くこともできます 9. Citrix StoreFront 管理コンソールで [ 新しい展開環境の作成 ] をクリックします 1. [ ベース URL] ボックスにStoreFront サーバーのURLを指定します 2. [ ストア名 ] ページでストアの名前を指定して [ 次へ ] をクリックします 10. [Delivery Cont roller] ページにストアで使用できるようにするリソースを提供するインフラストラクチャ (XenAppまたは XenDesktop サービスの詳細 ) が一覧表示されますここにはダミーのサーバーを入力できますストアにはアプリケーションが表示されません 11. [ トランスポートの種類 ] および [ ポート ] を設定します HTTPおよびポート443を指定でき [OK] をクリックしますまたは既存の Web Interface または StoreFront 展開環境から設定をコピーします 12. [ リモートアクセス ] ページで [ なし ] を選択します NetScaler Gatewayを使用している場合は [VPNトンネルなし ] を選択しゲートウェイ詳細を入力します 13. [ リモートアクセス ] ページで [ 作成 ] を選択しますストアが作成されたら [ 完了 ] をクリックしますユーザーは Citrix Receiver for Web サイトを介してストアにアクセスできるようになりましたこれによりユーザーは Web ページからデスクトップやアプリケーションにアクセスできます新しいストアの Citrix Receiver for Web サイトの URL が表示されますたとえば example.net/citrix/marketingweb/ などですログオンして Citrix Receiver の新しいユーザーインターフェイスにアクセスします Citrix Systems, Inc. All rights reserved. p.43

Citrix のカスタマーエクスペリエンス向上プログラム (CEIP) に参加すると匿名の統計および使用状況情報が Citrix 製品の品質およびパフォーマンスを向上させる目的で送信されます StoreFront をインストールするとCEIPに自動的に登録されるようになりました StoreFront のインストールからおよそ7 日後に初回データアップロードが行われます

44 Citrix のカスタマーエクスペリエンス向上プログラム (CEIP) に参加すると匿名の統計および使用状況情報が Citrix 製品の品質およびパフォーマンスを向上させる目的で送信されます StoreFront をインストールするとCEIPに自動的に登録されるようになりました StoreFront のインストールからおよそ7 日後に初回データアップロードが行われますこのデフォルトはレジストリ設定で変更できます StoreFront インストールの前にレジストリ設定を変更するとその値が使用されます StoreFront インストールの前にレジストリ設定を変更するとその値が使用されます警告レジストリエディターの使用を誤ると深刻な問題が発生する可能性があり Windows の再インストールが必要になる場合もありますレジストリエディターの誤用による障害に対して Citrix では一切責任を負いませんレジストリエディターはお客様の責任と判断の範囲でご使用くださいまたレジストリファイルのバックアップを作成してからレジストリを編集してくださいインストール / アップグレード分析の自動アップロードを制御するレジストリ設定 ( デフォルト = 1): 場所 :HKLM:\Software\Citrix\Telemetry\CEIP 値の名前 :Enabled 種類 :REG_DWORD 値 :0 = 無効 1 = 有効デフォルトで Enabled プロパティはレジストリに表示されません未指定のままの場合自動アップロード機能は有効です PowerShell を使用する場合次のコマンドレットはCEIPへの登録を無効にします New-ItemProperty -Path HKLM:\SOFTWARE\Citrix\Telemetry\CEIP -Name Enabled -PropertyType DWORD -Value 0 注 : このレジストリ設定では同一サーバー上にあるすべてのコンポーネントの匿名の統計情報と使用状況情報の自動アップロードを制御しますたとえば Delivery Controller と同じサーバー上にStoreFront をインストールしレジストリ設定でCEIP への参加を無効にした場合両方のコンポーネントでCEIPへの参加が無効になります St orefront で収集される CEIP データ Citrix Systems, Inc. All rights reserved. p.44

45 次の表に収集される匿名情報の種類の例を示しますデータではお客様を特定するすべての詳細は含まれませんデータ説明 StoreFront のバージョンインストールされている StoreFront のバージョンを示す文字列例 : ストア数展開環境に含まれるストア数を表すカウンターサーバーグループ内のサーバー数サーバーグループに含まれるサーバー数を表すカウンターストアごとの Delivery Controller 数展開環境内の各ストアで利用可能な Delivery Controller の数を表す数値の一覧 HTTPS 有効展開で HTTPS が有効化されているかどうかを示す文字列 True または False です Citrix Receiver のクラシックエクスペリエンスの有効化各 Web Receiver でクラシックエクスペリエンスが有効にされているかどうかを示すブール値の一覧値は Web Receiver ごとに TRUE または FALSE となります Citrix Receiver の HTML5 設定各 Web Receiver の HTML5 の設定を示す文字列の一覧 Web Receiver ごとに常に有効フォールバックまたはオフとなります Citrix Receiver のワークスペースコントロールの有効化各 Web Receiver でワークスペースコントロールが有効にされているかどうかを示すブール値の一覧値は Web Receiver ごとに TRUE または FALSE となりますストアのリモートアクセスの有効化展開内の各ストアでリモートアクセスが有効になっているかどうかを示す文字列の一覧スコアごとに有効または無効となりますゲートウェイ数展開環境で構成されているゲートウェイの数を表すカウンターコマンドプロンプトから StoreFront をインストールするには 1. ローカルの管理者権限を持つアカウントでStoreFront サーバーにログオンします 2. StoreFront をインストールする前にすべてのインストール要件を満たしていることを確認してください詳しくはインストールおよび構成する前にを参照してください 3. インストールメディアの内容を参照するかパッケージをダウンロードして CitrixStoreFront-x64.exe をサーバー上の任意のフォルダーに一時的にコピーします 4. コマンドプロンプトでインストールファイルを含んでいるフォルダーに移動して次のコマンドを入力します CitrixStoreFront-x64.exe [-silent] [-INSTALLDIR installationlocation] [-WINDOWS_CLIENT filelocation\filename.exe] [-MAC_CLIENT filelocation\filename.dmg] StoreFront およびすべての必須コンポーネントをサイレントインストールするには -silent 引数を使用します StoreFront はデフォルトでC:\Program Files\Citrix\Receiver StoreFront\ にインストールされますただし -INSTALLDIR 引数を使用 Citrix Systems, Inc. All rights reserved. p.45

46 して別のインストール場所を指定することもできます installationlocation にはStoreFront のインストール先のフォルダーを指定しますサーバーをサーバーグループに含める場合は StoreFront のインストール場所設定とIIS Webサイト設定の両方で物理パスおよびサイトIDを一致させる必要があることに注意してくださいデフォルトではユーザーがWindowsまたはMac OS Xが動作するコンピューターからCitrix Receiver for Webサイトにアクセスすると Citrix Receiverがユーザーデバイスにインストール済みであるかどうかが判別されインストールされていない場合はプラットフォームに適したCitrix Receiverを Citrix 社のWebサイトからダウンロードしてインストールするためのメッセージが表示されますこの動作を変更して Citrix Receiverのインストールファイルを StoreFront サーバーからダウンロードできるように構成することもできます詳しくは Citrix Receiverインストールファイルをサーバーから入手できるようにするを参照してください Citrix Receiverのインストールファイルを StoreFront サーバーからダウンロードできるように構成する場合は - WINDOWS_CLIENT と-MAC_CLIENT 引数を指定して Citrix Receiver for WindowsとCitrix Receiver for MacのインストールファイルをStoreFront 展開環境の適切な場所にコピーしておきますここでfilelocation はコピー対象のインストールファイルが格納されているフォルダーを示し filename はCitrix Receiverのインストールファイルの名前を示します Citrix Receiver for Windows とCitrix Receiver for Macのインストールファイルは StoreFront のインストールメディアまたはダウンロードパッケージに収録されています既存の3.x 展開環境をこのバージョンのStoreFront にアップグレードするにはこのバージョンのStoreFront インストールファイルを実行しますアップグレード処理を開始した後では元に戻すことはできませんアップグレードが中断されたり完了できなかったりする場合 StoreFront はアップグレードされず既存の構成も削除されますアップグレードを行う前にユーザーをStoreFront 展開環境から切断しユーザーがアップグレード中にサーバーにアクセスできないようにしてくださいこれによりアップグレード時にインストーラーがすべてのStoreFront ファイルに確実にアクセスできるようになりますインストーラーからアクセスできないファイルがあるとそれらのファイルを置き換えることができないためアップグレードに失敗して既存の StoreFront 構成が削除されます StoreFront では複数の製品バージョンが混在する複数サーバー展開環境がサポートされないためグループ内のすべてのサーバーを同じバージョンにアップグレードしてから展開環境へのアクセスをユーザーに提供してください複数サーバー展開環境では同時アップグレードはサポートされません各サーバーを順番にアップグレードする必要がありますアップグレードを実行する前にデータをバックアップしておくことをお勧めします StoreFront をアンインストールすると認証サービスストアユーザーのアプリケーションサブスクリプション Citrix Receiver for WebサイトデスクトップアプライアンスサイトおよびXenApp Services のURLが削除されますつまり StoreFront をアンインストールした後でStoreFront を再インストールする場合サービスストアおよびサイトを手動で再作成する必要がありますアップグレードする場合はStoreFront 構成が保存されてユーザーのアプリケーションサブスクリプションデータはそのまま保持されるためすべてのアプリケーションのサブスクリプションを再度実行する必要はありません StoreFront が動作するサーバー上のオペレーティングシステムをアップグレードすることはサポートされていません新しくインストールしたオペレーティングシステムにStoreFront をインストールすることをお勧めします Important アップグレードを開始する前に以下の操作を行います StoreFrontサーバー上のすべてのアプリケーションを終了しますすべてのコマンドラインおよびPowerShell 画面を終了します Citrix Systems, Inc. All rights reserved. p.46

47 既存の St orefront 3.x をこのバージョンの St orefront にアップグレードするには 1. 負荷分散環境で展開へのアクセスを無効にします負荷分散 URLを無効にするとユーザーがアップグレードプロセス中に展開環境に接続できなくなります 2. サーバーグループ内のすべてのサーバーをバックアップします 3. 既存のサーバーグループから1つのサーバーを削除します 4. 削除したサーバーを再起動します並行ロードバランサーを使用して新しいサーバーグループを作成しながら確認できます可用性を最大化しさらにリスクを最小化するには元のサーバーグループから1つのサーバーのみを削除しアップグレードしますこれによって元のサーバーグループのマシンを使用するのではなく新しいマシンから新しいグループを作成できます 5. 他のStoreFront が実行中ではなく最低限の他のアプリケーションがある管理者アカウントを使用して削除したサーバーをアップグレードします 6. 削除したサーバーがアップグレードされたことを確認します 7. 既存のサーバーグループで別のサーバー 1つをロードバランサーから削除します 8. 手順 1と同様の理由で削除したサーバーを再起動します 9. 現在インストールされているStoreFront をアンインストールし新しいバージョンをインストールします 10. すべてのアップグレードされたサーバーと新たにインストールされたサーバーで構成された新しいサーバーグループに新しくインストールしたサーバーを追加し正しく機能することを確認します 11. 新しいサーバーグループが古いサーバーグループに置き換わるのに十分な容量になるまで手順 3~10を繰り返し新しいサーバーグループでロードバランサーを選択し正しく機能することを確認します 12. 残りのサーバーについても手順 3~10を繰り返しアップグレードが完了するたびにサーバーをロードバランサーに追加します注意新しいサーバーグループが使用可能になるまでアップグレードプロセスの間元のサーバーグループへのアクセスを維持して可用性を最大化できますこのためには次の操作を行います 1. 手順 1 をスキップします 2. 手順 11 でロードバランサーを使用して元のサーバーグループへのアクセスを無効にする手順を加えますサブスクリプションデータを元のサーバーグループからエクスポートして新しいサーバーグループにインポートしますロードバランサーを使用した新しいサーバーグループへのアクセスを有効にしますこれによって手順 4~ 手順 10 の間サブスクリプションの変更を新しいサーバーグループで使用できるようになります元のサーバーグループから 1 つのサーバーのみを削除してアップグレードし新しいサーバーグループの作成に元のサーバーグループから削除されたサーバーではなく新しいサーバーを使用することで可用性を最大化できます新しいサーバーグループが稼働中の場合は古いサーバーを破棄できます web.configファイルのバックアップをストアのデフォルトのIIS ディレクトリとは別の別の場所に保存します C:\inetpub\wwwroot\citrix\< ストア名 > のような場所にバックアップを保存しないでくださいストアのデフォルトの IIS ディレクトリと同じ場所にバックアップを保存すると StoreFront のアップグレードが妨げられます Citrix StoreFront 管理コンソールの初回起動時に 2つのオプションが表示されます新しい展開環境の作成新しいStoreFront 展開環境の最初のサーバーを構成します StoreFront を評価したり小規模な展開環境を作成したりするには単一サーバー環境が理想的です最初のStoreFront サーバーを構成した後ではいつでもサーバーをグループに追加して展開環境の許容能力を拡張できます Citrix Systems, Inc. All rights reserved. p.47

48 既存のサーバーグループへの参加既存の StoreFront 展開環境に別のサーバーを追加します StoreFront 展開環境の許容能力をすばやく拡張するにはこのオプションを選択します複数サーバーの展開環境には外部の負荷分散機能が必要です新しいサーバーを追加する管理者には展開環境内の既存のサーバーに対するアクセス権が必要です StoreFront をアンインストールすると StoreFront 自体のほか認証サービスストア Citrix Receiver for Web サイトデスクトップアプライアンスサイト XenApp Services サイトの URL および関連する構成が削除されますユーザーのアプリケーションサブスクリプションデータを含んでいるサブスクリプションストアサービスも削除されます単一サーバー環境ではこれによりユーザーのサブスクリプションデータが削除されてしまいます複数サーバーの展開環境の場合はこれらのデータは展開環境内のほかのサーバー上で保持されます.NET Framework の機能や Web サーバー (IIS) の役割サービスなど StoreFront インストーラーにより有効になった必須機能は StoreFront をアンインストールしても無効になりません 1. ローカルの管理者権限を持つアカウントで StoreFront サーバーにログオンします 2. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルを探しますタイルを右クリックして [ アンインストール ] を選択します 3. [ プログラムと機能 ] ダイアログボックスで [Cit rix St orefront ] を選択して [ アンインストール ] をクリックしますこれによりサーバーからすべての StoreFront コンポーネントが削除されます 4. [Cit rix St orefront のアンインストール ] ダイアログボックスで [ はい ] をクリックしますアンインストールが完了したら [OK] をクリックします Citrix Systems, Inc. All rights reserved. p.48

49 新しい展開環境の作成 Jun 04, 新しいサーバー上でCitrix StoreFront 管理コンソールを開きますこれを行うには Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの結果ペインで [ 新しい展開環境の作成 ] をクリックします 3. [ ベースURL] ボックスで StoreFront サーバーまたは負荷分散環境 ( 複数サーバーの展開環境の場合 ) のURLを指定します負荷分散環境をセットアップしていない場合はサーバーのURLを入力します展開環境のベースURL はいつでも変更できます Microsoft インターネットインフォメーションサービス (IIS) で HTTPS が正しく構成されている場合は StoreFront 管理コンソールの [ ベース URL の変更 ] タスクで HTTP を HTTPS に変更することもできます 4. [ 次へ ] を選択して認証サービスをセットアップしますこのサービスはユーザーを Microsoft Active Directory で認証します StoreFront とユーザーデバイス間の通信を HTTPS で保護するには Microsoft インターネットインフォメーションサービス (IIS) で HTTPS を構成する必要があります IIS で HTTPS が構成されていない場合 StoreFront の通信に HTTP が使用されますデフォルトでは Citrix Receiver はストアへの接続に HTTPS を必要とします StoreFront が HTTPS 用に構成されていない場合 Citrix Receiver で HTTP 接続が使用されるようにユーザーが構成を変更する必要がありますスマートカード認証を使用する場合は HTTPS が必要です IIS で HTTPS が適切に構成されている場合は StoreFront の構成後に必要に応じていつでも HTTP を HTTPS に変更できます詳しくはサーバーグループの構成を参照してください Microsoft インターネットインフォメーションサービス (IIS) で HTTPS が正しく構成されている場合は StoreFront 管理コンソールの [ ベース URL の変更 ] タスクでHTTPをHTTPSに変更することもできます 5. [ ストア名 ] ページでストアの名前を指定して非認証 ( 匿名 ) ユーザーのみにストアへのアクセスを許可するかしないかを指定し [ 次へ ] をクリックします StoreFront ストアではユーザーに提供するデスクトップとアプリケーションが集約されますストアの名前は Citrix Receiver でユーザーアカウントの下に表示されるためユーザーにとってわかりやすい名前を指定してください 6. [Controller] ページではリソースを提供するインフラストラクチャを一覧に追加しますストアにデスクトップとアプリケーションを追加するには以下の適切な手順に従います XenDesktop および XenApp の展開環境を自由に組み合わせてストアを作成できます必要に応じて手順を繰り返しストアにリソースを提供するすべての展開環境を追加します XenDesktop および XenApp のリソースのストアへの追加 7. 必要なリソースをすべてストアに追加したら [Controller] ページの [ 次へ ] をクリックします 8. [ リモートアクセス ] ページでは公共のネットワーク上のユーザーに内部リソースへのアクセス ( リモートアクセス ) を提供するかどうかおよびその方法を指定します公共のネットワーク上でストアをユーザーが使用できるようにするには [ リモートアクセスの有効化 ] チェックボックスをオンにしますこのチェックボックスをオフにすると内部ネットワークのローカルユーザーのみがストアにアクセスできるようになります NetScaler Gateway 経由でアクセスするユーザーにストアのリソースのみを提供するには [St orefront を介して配信されたリソースへのアクセスのみをユーザーに許可する (VPN トンネルなし )] を選択します SSL(Secure Sockets Layer) 仮想プライベートネットワーク (Virtual Private Network:VPN) トンネルを介して内部ネットワーク上のストアおよびそのほかのすべてのリソースへのアクセスを提供するには [ 内部ネットワーク上のすべてのリソースへのアクセスをユーザーに許可する ( 完全 VPN トンネル )] を選択しますこの場合ユーザーはVPN Citrix Systems, Inc. All rights reserved. p.49

50 トンネルを確立するための NetScaler Gateway Plug-in を使用する必要があることがあります NetScaler Gateway を経由するストアへのリモートアクセスを有効にすると認証方法として NetScaler Gateway からのパススルーが自動的に有効になりますユーザーは NetScaler Gateway にログオンする時に認証されるためストアにアクセスする時は自動的にログオンできます 9. リモートアクセスを有効にした場合はユーザーがストアにアクセスする時に使用する NetScaler Gateway 展開環境を一覧に追加します NetScaler Gateway 展開環境を追加するには以下の適切な手順に従います必要に応じて手順を繰り返し新しい展開環境を追加します NetScaler Gateway アプライアンスを介したストアへのリモートアクセスを有効にする 10. NetScaler Gateway の展開環境をすべて追加したら [NetScaler Gateway アプライアンス ] の一覧でユーザーがストアへのアクセスに使用する展開環境を選択します複数のゲートウェイ環境を介したアクセスを有効にする場合はデフォルトで使用されるアプライアンスを指定します [ 次へ ] をクリックします 11. [ 認証方法 ] ページでユーザーがストアへの認証に使用する方法を選択し [ 次へ ] をクリックします次の方法から選択できますユーザー名とパスワード : ユーザーはストアにアクセスする時に資格情報を入力すると認証されます SAML 認証 : ユーザーはNetScaler Gatewayにログオンする時に認証されるためストアにアクセスする時は自動的にログオンできますドメインパススルー : ユーザーはドメインに参加しているWindowsコンピューターにログオンする時に認証されるためストアにアクセスする時は自動的にログオンできますスマートカード : ユーザーはスマートカードとPINを使ってストアにアクセスします HT T P 基本認証 : ユーザー認証は StoreFront サーバーのIIS Webサーバーで実行されます Net Scaler Gat eway を介したパススルー : ストアにアクセスする場合 NetScaler Gatewayへの認証を実行して自動的にログオンされますリモートアクセスが有効になるとこれは自動的にチェックされます 12.[XenApp Services URL] ページで Program Neighborhood Agent を使ってアプリケーションおよびデスクトップにアクセスするユーザーの XenApp Service URL を構成します 13. ストアを作成した後は Citrix StoreFront 管理コンソールでさらに多くのオプションを使用できるようになります詳しくはさまざまな管理アーティクルを参照してくださいストアが作成されましたただし Citrix Receiver 側でもストアに接続するための詳細を構成する必要がありますユーザーによる Receiver の構成プロセスを簡単にするためにいくつかの方法が用意されています詳しくはユーザーアクセスオプションを参照してくださいまた Citrix Receiver for Web サイトを使用するとユーザーが Web ページからデスクトップやアプリケーションにアクセスできるようになります新しいストアにアクセスするための Citrix Receiver for Web サイトの URL はストアを作成する時に表示されますデフォルトでは新しいストアを作成する時に XenApp Services サイトの URL が有効になりますドメインに参加しているデスクトップアプライアンスのユーザー Citrix Desktop Lock を実行している再目的化された PC のユーザーおよびアップグレードできない古いバージョンの Citrix クライアントのユーザーは XenApp Services サイトから直接そのストアに接続できます XenApp Services URL の形式は http[s]://serveraddress/citrix/storename/pnagent/config.xml の形式ですここで serveraddress は StoreFront 展開環境のサーバーまたは負荷分散環境の完全修飾ドメイン名で storename は上記手順 5 で指定した名前です StoreFront の追加のインスタンスをインストールする時に既存のサーバーグループにサーバーを追加するオプションを選択することで展開環境に複数のサーバーをすばやく追加できます Citrix Systems, Inc. All rights reserved. p.50

51 XenAppおよびXenDesktopで提供されるデスクトップやアプリケーションを StoreFront サーバーの初回構成時に作成されるストアで使用できるようにするには次の手順に従いますこのトピック冒頭の新しい展開環境の作成の手順 1~6を完了しておいてください 1. StoreFront コンソールの [Controller] ページで [ 追加 ] をクリックします 2. [Controller の追加 ] ダイアログボックスでこの展開環境に対するわかりやすい名前を指定しリソースを提供するインフラストラクチャの種類 ([XenDesktop] [XenApp] または[XenMobile]) を選択します 3. サーバーの名前またはIPアドレスを [ サーバー ] の一覧に追加しますこの一覧に複数のサーバーを追加するとその順番に基づいてフェールオーバーされます XenDesktopサイトの場合は Controller の詳細を指定します XenAppファームの場合は Citrix XML Service を実行しているサーバーを一覧に追加します 4. [ トランスポートの種類 ] ボックスの一覧から StoreFront でサーバーとの通信に使用する接続の種類を選択します暗号化されていない接続でデータを送信するには [HTTP] を選択しますこのオプションを選択する場合は StoreFront とサーバー間の接続を何らかの方法で保護することを検討してください SSL(Secure Sockets Layer) またはTLS(Transport Layer Security) を使用する保護されたHTTP 接続でデータを送信するには [HTTPS] を選択します XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は Citrix XML Service がポートをIIS(Microsoft インターネットインフォメーションサービス ) と共有する設定になっていることと IISがHTTPSをサポートするように構成されていることを確認してください XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行するには [SSL Relay] を選択します注 :StoreFront とサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は [ サーバー ] ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー名と一致することを確認してください ( 大文字 / 小文字は区別されます ) 5. StoreFront がサーバーに接続する時に使用するポートを指定しますデフォルトでは HTTP 接続およびSSL Relay 接続では 80 HTTPS 接続では443が使用されます XenDesktopおよびXenAppサーバーの場合 Citrix XML Service で使用されるポート番号を指定する必要があります 6. StoreFront とXenAppサーバーの間の接続をSSL Relayで保護する場合は SSL RelayのTCPポートを [SSL Relayポート ] ボックスで指定しますデフォルトのTCPポートは443です SSL Relayを実行するすべてのサーバーで同じポートが構成されていることを確認してください XenDesktop XenApp およびXenMobile の展開環境を自由に組み合わせてストアを作成できます XenDesktopサイトまたはXenAppファームをさらに追加する場合は上記手順を繰り返します必要なリソースをすべてストアに追加したらこのトピック冒頭の新しい展開環境の作成の手順 7 以降に従います StoreFront サーバーの初回構成時に作成されるストアへの NetScaler Gatewayアプライアンスを介したリモートアクセスを構成するには次の手順に従いますこのトピック冒頭の新しい展開環境の作成の手順 1~9を完了しておいてください 1. StoreFront コンソールの [ リモートアクセス ] ページで [ 追加 ] をクリックします 2. [NetScaler Gatewayアプライアンスの追加 ] ダイアログボックスで NetScaler Gatewayアプライアンスにわかりやすい名前を指定しますここで指定する表示名がユーザーのCitrix Receiverに表示されますそのためユーザーが使用する NetScaler Gatewayを判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gatewayを簡単に特定できるように表示名に地理情報を含めることができます 3. アプライアンスの仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0の場合 ) のURLを入力します展開環境で使用する製品のバージョンを指定しますストアに内部および外部アクセスするための単一の完全修飾ドメイン名 (Fully Qualified Domain Name:FQDN) の作成について詳しくはストアに内部および外部アクセスするための単一のFQDNの作成を参照してください Citrix Systems, Inc. All rights reserved. p.51

52 4. スタンドアロンAccess Gateway 5.0アプライアンスを追加する場合は [ 展開モード ] の一覧で [ アプライアンス ] を選択しますそれ以外の場合は必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレスを指定しますこのサブネットアドレスは NetScaler Gatewayで内部ネットワークのサーバーと通信する時にユーザーデバイスを表すために使用するIPアドレスですこのアドレスは NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります StoreFront はサブネットIPアドレスを使用して受信要求が信頼されているデバイスから発信されているかどうかを検証します 5. NetScaler Gatewayのアプライアンスを追加する場合は [ ログオンの種類 ] の一覧から Citrix Receiverユーザー用にアプライアンスで構成した認証方法を選択します NetScaler Gatewayアプライアンスに関する構成情報はストアのプロビジョニングファイルに追加されますこれにより Citrix Receiverはアプライアンスへの初回接続時に適切な接続要求を送信できるようになりますユーザーのMicrosoft Active Directory ドメインの資格情報を入力させる場合は [ ドメイン ] を選択しますセキュリティトークンから取得するトークンコードを入力させる場合は [ セキュリティトークン ] を選択しますユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は [ ドメインおよびセキュリティトークン ] を選択しますテキストメッセージで送信されるワンタイムパスワードを入力させる場合は [SMS 認証 ] を選択しますスマートカードを挿入してPINを入力させる場合は [ スマートカード ] を選択しますスマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには [ スマートカードフォールバック ] の一覧から代替の認証方法を選択します 6. [ コールバックURL] ボックスに NetScaler Gateway 認証サービスのURLを入力します URLの標準的な部分は自動的に補完されます [ 次へ ] をクリックしますアプライアンスの内部 URLを入力します StoreFront はNetScaler Gateway 認証サービスに接続して NetScaler Gateway からの要求の送信元がそのアプライアンスであることを確認します 7. XenDesktopまたはXenAppが提供するリソースをストアで使用できるようにするには [Secure Ticket Authority(STA)] ページで STAを実行しているサーバーのURLを一覧に追加します一覧に複数のSTAのURLを追加するとその順番に基づいてフェールオーバーされます STAは XenDesktopおよびXenAppサーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktopおよびXenAppリソースへのアクセスを認証および承認するための基本機能です 8. Citrix Receiverが自動的に再接続を実行する間に切断したセッションを XenDesktopおよびXenAppで開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにします [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにするとセッションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないように StoreFront により2つの異なるSTAからセッションチケットが取得されます StoreFront がどちらのSTAにもアクセスできない場合は単一のSTAを使用するようにフォールバックされます 9. [ 作成 ] をクリックしますこれにより [ リモートアクセス ] ページの一覧にNetScaler Gatewayの展開環境が追加されます展開環境をさらに追加する場合は上記手順を繰り返します Access Gateway 5.0クラスターを介したリモートアクセスを構成するには Access Gateway 5.0クラスターを介したストアへのリモートアクセスを有効にするの手順に従います NetScaler Gatewayの展開環境をすべてストアに追加したらこのトピック冒頭の新しい展開環境の作成の手順 10. 以降に従います Citrix Systems, Inc. All rights reserved. p.52

53 StoreFront サーバーの初回構成時に作成されるストアへの Access Gateway 5.0クラスターを介したリモートアクセスを構成するには次の手順に従いますこのトピック冒頭の新しい展開環境の作成の手順 1~9を完了しておいてください 1. StoreFront コンソールの [ リモートアクセス ] ページで [ 追加 ] をクリックします 2. [NetScaler Gatewayアプライアンスの追加 ] ダイアログボックスでクラスターにわかりやすい名前を指定しますここで指定する表示名がユーザーのCitrix Receiverに表示されますそのためユーザーが使用する NetScaler Gatewayを判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gatewayを簡単に特定できるように表示名に地理情報を含めることができます 3. クラスターのユーザーログオンポイントのURLを入力して [ バージョン ] の一覧で [5.x] を選択します 4. [ 展開モード ] の一覧で [Access Controller] を選択して [ 次へ ] をクリックします 5. [ アプライアンス ] ページでクラスター内のアプライアンスのIPアドレスまたはFQDN(Fully Qualified Domain Names: 完全修飾ドメイン名 ) を一覧に追加して [ 次へ ] をクリックします 6. [ サイレント認証を有効にする ] ページで Access Controller サーバーで実行されている認証サービスのURLを一覧に追加します一覧に複数のサーバーのURLを追加するとその順番に基づいてフェールオーバーされます [ 次へ ] をクリックします StoreFront では認証サービスを使用してリモートユーザーが認証されるためリモートユーザーがストアにアクセスする時に資格情報を再入力する必要はありません 7. XenDesktopおよびXenAppが提供するリソースをストアで使用できるようにするには [Secure Ticket Authority(STA)] ページで STAを実行しているサーバーのURLを一覧に追加します一覧に複数のSTAのURLを追加するとその順番に基づいてフェールオーバーされます STAは XenDesktopおよびXenAppサーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktopおよびXenAppリソースへのアクセスを認証および承認するための基本機能です 8. Citrix Receiverが自動的に再接続を実行する間に切断したセッションを XenDesktopおよびXenAppで開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにします [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにするとセッションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないように StoreFront により2つの異なるSTAからセッションチケットが取得されます StoreFront がどちらのSTAにもアクセスできない場合は単一のSTAを使用するようにフォールバックされます 9. [ 作成 ] をクリックしますこれにより [ リモートアクセス ] ページの一覧にNetScaler Gatewayの展開環境が追加されますクラスターをさらに追加する場合は上記手順を繰り返します NetScaler GatewayまたはスタンドアロンのAccess Gatewa 5.0アプライアンスを介したリモートアクセスを構成するには NetScaler Gatewayアプライアンスを介したストアへのリモートアクセスを有効にするの手順に従います NetScaler Gatewayの展開環境をすべてストアに追加したらこのトピック冒頭の新しい展開環境の作成の手順 10. 以降に従います Citrix Systems, Inc. All rights reserved. p.53

54 既存のサーバーグループへの参加 Nov 27, 2017 StoreFront をインストールする前にグループに追加するサーバーのオペレーティングシステムのバージョンおよびロケール設定がグループ内のほかのサーバーと同じであることを確認してください StoreFront サーバーグループ内でオペレーティングシステムのバージョンやロケール設定が異なるサーバーを混在させることはサポートされていませんサーバーグループには最大で5つのサーバーを追加できますがシミュレーションでは4つ以上のサーバーをグループに追加しても顕著なキャパシティ向上は確認されていませんまた追加するサーバーのStoreFront のIISでの相対パスがグループ内のほかのサーバーと同じであることも確認してください Important サーバーグループに新しいサーバーを追加するとそのサーバーのローカル管理者グループにいくつかのStoreFrontサービスアカウントが追加されますこれはサーバーグループに参加したり情報を同期したりするためにこれらのサービスでローカル管理者権限が必要になるためですグループポリシーでローカル管理者グループへのアカウントの追加が禁止されている場合またはサーバーのローカル管理者グループの権限が制限されている場合 StoreFrontでサーバーをサーバーグループに追加できません 1. 新しいサーバー上で Citrix StoreFront 管理コンソールを開きますこれを行うには Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの結果ペインで [ 既存のサーバーグループへの参加 ] をクリックします 3. 参加先のStoreFront 展開環境のサーバーにログオンして Citrix StoreFront 管理コンソールを開きますコンソールの左ペインで [ サーバーグループ ] ノードを選択して [ 操作 ] ペインで [ サーバーの追加 ] をクリックします表示される承認コードをメモしておきます 4. 新しいサーバーに戻り [ サーバーグループへの参加 ] ダイアログボックスの [ 承認サーバー ] ボックスに既存のサーバーの名前を指定しますそのサーバーから取得した承認コードを入力して [ 参加 ] をクリックしますサーバーを既存のグループに追加するとそのサーバーの構成がグループの既存のサーバーの構成と一致するように更新されますまたグループ内のほかのすべてのサーバーは新しいサーバーの詳細情報で更新されます複数サーバー展開環境を管理する場合同時に複数のサーバー上でサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してくださいまた展開環境内で一貫した構成を保つため構成の変更内容をグループ内のほかのサーバーに反映させる必要があります StoreFront サーバーがサーバーグループのメンバーで削除されてしまった場合は Clear-DSConfiguration PowerShell コマンドレットを実行して StoreFront サーバーを工場出荷時の状態にリセットする必要があります切断されたサーバーで Clear DSConfiguration コマンドレットを実行した後サーバーを元のサーバーグループに戻したり別の新しく作成したサーバーグループに追加したりできます 1. サーバーグループ全体の管理に使用するプライマリStoreFront サーバーでStoreFront 管理コンソールを開きます 2. 左側のペインでサーバーグループノードを選択し削除するほかのサーバーを選択します 3. 選択したサーバーをサーバーグループから削除します 4. 操作ペインでサーバーグループメンバーの1つを切断するために使用したサーバーからの変更を反映させます残りのいずれのサーバーグループのメンバーにもグループからサーバーが削除されことが認識されます切断されたサーバーを工場出荷時設定にリセットしない限りそれがグループのメンバーではなくなったことが認識されません 5. 切断されたサーバーで管理コンソールを閉じます Citrix Systems, Inc. All rights reserved. p.54

55 6. 切断されたサーバーグループから削除された後でそのサーバー上でPowerShell セッションを開き次のものを使用する StoreFront PowerShellモジュールをインポートします & "$Env:PROGRAMFILES\Citrix\Receiver StoreFront\Scripts\ImportModules.ps1" 7. Clear-DSConfiguration コマンドを実行しますこれによりサーバーがデフォルト設定にリセットされます 8. StoreFront 管理コンソールを開き切断されたサーバーがリセットされほかのサーバーグループに追加される準備が整ったことを確認します Citrix Systems, Inc. All rights reserved. p.55

56 Web Interface 機能の StoreFront への移行 Nov 27, 2017 Web Interface のほとんどのカスタマイズは JavaScript を微調整したり Citrix が公開している API を使用したりまたは StoreFront 管理コンソールを使用したりすることで StoreFront 内で同等の設定ができますカスタマイズの概要とそれに対応する方法に関する基本的な情報を次の表に示しますスクリプトのカスタマイズの場合次の場所にある script.js ファイルに例を追加します : \Inet pub\wwwroot \Cit rix\st orenameweb スタイルのカスタマイズの場合次の場所にある style.css ファイルに例を追加します : \Inet pub\wwwroot \Cit rix\st orenameweb 動的コンテンツの場合次の場所にあるテキストファイルに動的コンテキストを追加します : \Inet pub\wwwroot \Cit rix\st orenameweb マルチサーバー展開環境の場合は StoreFront 管理コンソールや PowerShell を使って変更をほかのサーバーにも繰り返して適応させることができます注 :Web Interface では個々のユーザーがさまざまな設定をカスタマイズできます現在 StoreFront にはこの機能はありませんこれをサポートするためにより詳細なカスタマイズを追加することは可能ですがこのアーティクルではそれに焦点はあてません Web Int erf ace の機能 St orefront の同等のもの管理コンソールによるカスタマイズ低レイアウトのグラフィックフルレイアウトのグラフィックユーザーによる選択の許可該当なし StoreFront では UI は自動的に検出されデバイス画面に合わせて調整されます検索の有効化検索の無効化検索はデフォルトで有効になっています Disable: デスクトップまたは Web UI で検索ボックスを非表示にするには style.css に次のスタイルを追加します.search-cont ainer { } display: none; スマートフォン UI で検索ボックスを非表示にするには次のスタイルを追 Citrix Systems, Inc. All rights reserved. p.56

57 加します #searchbt nphone { } display: none; 更新の有効化デフォルトで有効になっています ( ブラウザー更新 ) 前のフォルダーに戻るデフォルトでは有効になっていません前のフォルダーに戻る - 現在のフォルダーを記憶して読み込み時にそこに戻るには次のものを script.js に追加します CT XS.Ext ensions.af t erdisplayhomescreen = f unct ion () { // check if view was saved last t ime CT XS.Ext ensionapi.localst orageget It em("view", f unct ion (view) { if (view) { } // if view was saved, change t o it CT XS.Ext ensionapi.changeview(view); if (view = = "st ore") { } // if view is st ore, see if f older was saved CT XS.Ext ensionapi.localst orageget It em("f older", ); f unct ion(f older) { } if (f older!= "") { } // if f older was saved, change t o it CT XS.Ext ensionapi.navigat etofolder(f older); Citrix Systems, Inc. All rights reserved. p.57

58 } ; // set up monit oring of f older CT XS.Ext ensions.onfolderchange = f unct ion(f older) { } ; CT XS.Ext ensionapi.localst orageset It em("f older", f older); // set up monit oring of view CT XS.Ext ensions.onviewchange = f unct ion(newview) { // don t ret ain search or appinf o views // inst ead, remember parent view. if ((newview!= "appinf o") && } } ; } ); (newview!= "search")) { CT XS.Ext ensionapi.localst orageset It em( "view", newview); ヒントの有効化アイコンビューツリービュー詳細ビューリストビューグループビューデフォルトビューの設定 ( 低グラフィックの ) アイコンビュー ( 低グラフィックの ) リストビュー ( 低グラフィックの ) デフォルトビュー Citrix Receiverはタッチデバイスと非タッチデバイスを対象としているためツールチップの使用は非常に限定化されたものになりますカスタムスクリプトを使うとツールチップを追加できます Citrix Receiverには異なる UIがあるためこれらについては適用されません StoreFront 管理コンソールを使ってビューを構成できます詳しくはアプリケーションとデスクトップへの異なるビューの指定を参照してください単一のタブ UI タブ付け UI アプリケーションタブ Citrix Receiver UI はデフォルトでタブ付けされていますアプリケーションとコンテンツは 1 つのタブにデスクトップは別のタブにありますまたオプションとしてお気に入りタブがあります Citrix Systems, Inc. All rights reserved. p.58

59 デスクトップタブコンテンツタブ ( タブ順 ) ヘッダーロゴ文字の色ヘッダー背景色ヘッダー背景画像 StoreFront 管理コンソールを使った同等の色とロゴ StoreFront 管理コンソールで [Webサイト外観のカスタマイズ] をクリックし表示される画面でカスタマイズを実行しますスタイルをカスタマイズしてヘッダーに背景画を設定できます例.t heme-header-bgcolor { } background-image: url('spirals.png'); 事前ログオンウェルカムメッセージ ( 事前ロケール ) タイトルテキストハイパーリンクボタンラベルデフォルトでは別個のログオン前画面はありませんこの例のスクリプトはクリックスルーメッセージボックスを追加します var doneclickt hrough = f alse; //Web ログインの前 CT XS.Ext ensions.bef orelogon = f unct ion (callback) { } ; doneclickt hrough = t rue; CT XS.Ext ensionapi.showmessage({ } ); messaget it le: "Welcome!", messagetext : "Only f or WWCo Employees", okbut t ontext : "Accept ", okact ion: callback // Bef ore main screen (f or nat ive client s) CT XS.Ext ensions.bef oredisplayhomescreen = f unct ion (callback) { if (! doneclickt hrough) { CT XS.Ext ensionapi.showmessage({ messaget it le: "Welcome!", Citrix Systems, Inc. All rights reserved. p.59

60 } ); } else { } messagetext : "Only f or WWCo Employees", okbut t ontext : "Accept ", okact ion: callback callback(); } ; ログオン画面タイトルログオン画面メッセージログオン画面システムメッセージログオン画面にはカスタマイズできる 4 つの領域があります画面の上部と下部 ( ヘッダーとフッター ) およびログオンボックス自体の上部と下部.cust omaut hheader.cust omaut hfoot er.cust omaut htop.cust omaut hbot t om { } t ext -align: cent er; color: whit e; f ont -size: 16px; スクリプト例 ( 静的コンテンツ ) $('.cust omaut hheader').ht ml("welcome t o ACME"); スクリプト例 ( 動的コンテンツ ) f unct ion set DynamicCont ent (t xt File, element ) { CT XS.Ext ensionapi.proxyrequest ({ url: "cust omweb/"+ t xt File, success: f unct ion(t xt ) { $(element ).ht ml(t xt );} } ); } set DynamicCont ent ("Message.t xt ", ".cust omaut htop"); 注 : ここでの変更によりすべてのクライアントで UI が強制的に再読み込みされるため動的コンテンツをスクリプトに明示的に含めたり cust om ディレクトリに置いたりしないでください動的コンテンツはcust omweb ディレクト Citrix Systems, Inc. All rights reserved. p.60

61 リにおいてくださいアプリケーション画面のウェルカムメッセージアプリケーション画面のシステムメッセージ前述したCust omaut h ウェルカム画面の例を参照してください前述の動的コンテンツの例を参照してくださいホーム画面にコンテンツを置くには.cust omaut htop ではなく #cust omtop を使いますフッター文字列 ( すべての画面 ) スクリプト例 : #cust ombot t om { 中央揃え } color: whit e; f ont -size: 16px; スクリプトを使った静的コンテンツ例 : $('#cust ombot t om').ht ml("welcome t o ACME"); 直接的に同等なものがない機能ヘッダーなしのログオン画面ヘッダーありのログオン画面 ( メッセージを含む ) StoreFront には直接同等するものがありませんただしカスタムヘッダーを作成することはできます前述のログオン画面のタイトルを参照してくださいユーザー設定デフォルトではユーザー設定はありません JavaScript からメニューやボタンを追加できますワークスペースコントロール管理者設定の同等の機能拡張 API により柔軟性が著しく向上しますを参照してください詳細なカスタマイズ ( コード ) ICA ファイル生成フックおよびそのほかのコールルーティングのカスタマイズ同等またはそれ以上の API Citrix Systems, Inc. All rights reserved. p.61

63 サーバーグループの構成 Nov 27, 2017 以下のタスクでは複数サーバーのStoreFront 展開環境の設定を変更します複数サーバー展開環境を管理する場合同時に複数のサーバー上でサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してくださいまた展開環境内で一貫した構成を保つため構成の変更内容をグループ内のほかのサーバーに反映させる必要があります StoreFront サーバーグループに含まれるサーバーは StoreFront のインストール場所の設定と IIS Web サイトの設定 ( 物理パスやサイト ID など ) の両方が同じになるように構成する必要があります [ サーバーの追加 ] タスクを使用して新しくインストールしたStoreFront サーバーを既存の展開環境に追加するための承認コードを取得します新しいサーバーを既存のStoreFront 展開環境に追加する方法について詳しくは既存のサーバーグループへの参加を参照してくださいグループ内のいくつのサーバーにアクセスする必要があるかについては StoreFront の展開計画のスケーラビリティの説明を参照してください複数サーバーの StoreFront 展開環境からサーバーを削除するには [ サーバーの削除 ] タスクを使用しますこのタスクでは StoreFront 管理コンソールを実行しているサーバー以外の任意のサーバーをグループから削除できますただし複数サーバーの展開環境からサーバーを削除する前にそのサーバーを負荷分散環境から削除しておく必要があります現在のサーバー上で行った変更内容を複数サーバーのStoreFront 展開環境内のほかのすべてのサーバーに反映させるには [ 変更の伝達 ] タスクを使用しますこれによりグループ内のほかのサーバー上で行ったすべての変更が破棄されますこのタスクの実行中はグループ内のすべてのサーバーが更新されるまで追加の変更を加えることはできません重要 : サーバーの構成を変更してからグループ内のほかのサーバーにその変更を反映させないと後で展開環境内の別のサーバーでの変更が反映された場合に元の変更内容が失われる可能性があります StoreFront 展開環境でホストされるストアやほかのStoreFront サービスのルートURLを変更するには [ ベースURLの変更 ] タスクを使用します複数サーバーの展開環境の場合は負荷分散 URLを指定します Microsoft インターネットインフォメーションサービス (IIS) でHTTPSが正しく構成されている場合は [ ベースURLの変更 ] タスクでHTTPをHTTPSに変更することもできます IISでHTTPSを構成するには StoreFront サーバー上でインターネットインフォメーションサービス (IIS) マネージャーコンソールを使用して Microsoft Active Directory ドメイン証明機関により署名されたサーバー証明書を作成します次に HTTPSバインドをデフォルトのWebサイトに追加します IISでのサーバー証明書の作成について詳しくはを参照してください IISサイトへのHTTPSバインドの追加について詳しくはを参照してくださいリソースを提供するサーバーの一部が使用できなくなったときのパフォーマンスを向上させるために応答しないサーバーが StoreFront により一時的にバイパスされますバイパスされたサーバーは StoreFront により無視されリソースのアクセスに使用されませんこのバイパスの期間は次のパラメーターで指定します Citrix Systems, Inc. All rights reserved. p.63

64 [ すべての失敗のバイパス時間 ] では特定のDelivery Controller のすべてのサーバーがバイパスされている場合に [ バイパス時間 ] の代わりに適用される短い期間を分単位で指定しますデフォルトは0 分です [ バイパス時間 ] では特定のサーバーへの接続に失敗した後で StoreFront がそのサーバーをバイパスする期間を分単位で指定しますデフォルトのバイパス時間は 60 分間です [ すべての失敗のバイパス時間 ] 指定時の考慮事項 [ すべての失敗のバイパス時間 ] を長く設定すると特定のDelivery Controller を使用できないことによる影響を小さくすることができますが一時的なネットワーク障害やサーバー障害の後でユーザーがこの Delivery Controller のリソースをその期間使用できなくなるという悪影響もあります多くの Delivery Controller を単一のストア用に構成している場合特に業務に重要ではないDelivery Controller の場合は [ すべての失敗のバイパス時間 ] の値を大きめにすることを検討してください [ すべての失敗のバイパス時間 ] を短くするとそのDelivery Controller で提供されるリソースの可用性は高まりますが単一のストアを構成する多くの Delivery Controller のうちの複数台が使用できない場合にクライアント側でタイムアウトが発生しやすくなります少数のファームを構成していて業務に重要な Delivery Controller の場合はデフォルト値の 0 分を使用することをお勧めしますストアのバイパスパラメーターを変更するには重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [Delivery Cont roller の管理 ] をクリックします 3. Controller を選択し [ 編集 ] をクリックして [Delivery Cont roller の編集 ] 画面の [ 設定 ] をクリックします 4. [ すべての失敗のバイパス時間 ] の行で2 列目をクリックしサーバーがすべて応答できなくなってからDelivery Controller がオフラインとみなされるまでの時間を分単位で入力します 5. [ バイパス時間 ] の行で2 列目をクリックし単一のサーバーが応答しなくってからオフラインとみなされるまでの時間を分単位で入力します Citrix Systems, Inc. All rights reserved. p.64

65 認証と委任の構成 Nov 27, 2017 自分の要件によって複数の認証と委任法方式があります認証サービスの構成認証サービスによりユーザーが Microsoft Active Directory で認証されユーザーが再ログオンすることなくデスクトップやアプリケーションにアクセスできるようになります XML サービスベースの認証 StoreFront が XenApp または XenDesktop と同じドメイン内にない場合また Active Directory の信頼を適切に配置できない場合には XenApp および XenDesktop XML Service を使ってユーザー名とパスワード資格情報を認証するように StoreFront を構成できます XenApp 6.5 の Kerberos 制約付き委任 StoreFront で Delivery Controller の認証に単一ドメイン Kerberos 制約付き委任を使用するかどうかを指定するには [Kerberos 委任の構成 ] タスクを使用しますスマートカード認証一般的な StoreFront 展開のすべてのコンポーネントに対するスマートカード認証をセットアップしますパスワードの有効期限切れ通知期間 Citrix Receiver for Web サイトのユーザーがいつでもパスワードを変更できるように設定してある場合はパスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表示されます Citrix Systems, Inc. All rights reserved. p.65

認証サービスの構成 Nov 27, 2017 認証方法の管理信頼されるユーザードメインの構成ユーザーがパスワードを変更できるようにするセルフサービスパスワードリセット共有認証サービス設定資格情報の検証をNetScaler Gatewayに委任するユーザーの認証方法を有効にしたり無効にしたりするには Citrix StoreFront 管理コンソールの結果ペインで認証方法を選択して [ 操作

66 認証サービスの構成 Nov 27, 2017 認証方法の管理信頼されるユーザードメインの構成ユーザーがパスワードを変更できるようにするセルフサービスパスワードリセット共有認証サービス設定資格情報の検証をNetScaler Gatewayに委任するユーザーの認証方法を有効にしたり無効にしたりするには Citrix StoreFront 管理コンソールの結果ペインで認証方法を選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 3. ユーザーに許可するアクセス方法を指定します指定ユーザー認証を有効にするには [ ユーザー名とパスワード ] チェックボックスをオンにしますこの場合ユーザーは資格情報を入力してストアにアクセスします SAML IDプロバイダーとの統合を有効にするには [SAML 認証 ] チェックボックスをオンにしますユーザーはAccess Gatewayにログオンすることによって認証を受けストアにアクセスする時は自動的にログオンします [ 設定 ] ボックスの一覧で次を選択します IDプロバイダー :IDプロバイダーの信頼性を構成する場合サービスプロバイダー : サービスプロバイダーの信頼性を構成する場合この情報は IDプロバイダーから要求されますユーザーデバイスから Active Directory ドメイン資格情報がパススルーされるようにするには [ ドメインパススルー ] チェックボックスをオンにしますこの場合ユーザーはドメインに参加している Windows コンピューターにログオンする時に認証されるためストアにアクセスする時は自動的にログオンできますこのオプションを使用する場合は Citrix Receiver for Windows をユーザーデバイスにインストールする時にパススルー認証を有効にする必要が Citrix Systems, Inc. All rights reserved. p.66

67 ありますスマートカード認証を有効にするには [ スマートカード ] チェックボックスをオンにしますユーザーはスマートカードとPINを使ってストアにアクセスします HTTP 基本認証を有効にするには [HTTP 基本 ] チェックボックスをオンにしますユーザー認証は StoreFrontサーバーのIIS Webサーバーで実行されます NetScaler Gatewayからのパススルー認証を有効にするには [NetScaler Gatewayからのパススルー ] チェックボックスをオンにしますユーザーは NetScaler Gatewayにログオンする時に認証されるためストアにアクセスする時は自動的にログオンできます NetScaler Gateway を経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには [ 認証の委任構成 ] タスクを使用します信頼されるユーザードメインの構成ドメインの資格情報を明示的に入力して ( 直接または NetScaler Gateway を介したパススルー認証で ) ログオンするユーザーのストアへのアクセスを制限するには [ 信頼されるドメイン ] タスクを使用します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインで認証方法を選択します [ 操作 ] ペインで [ 認証方法の管理 ] をクリックします 3. [ ユーザー名とパスワード ( 明示的 )]>[ 設定 ] ドロップダウンメニューから [ 信頼されるドメインの構成 ] を選択します 4. [ 信頼済みドメインのみ ] をクリックして [ 追加 ] をクリックし信頼されるドメインの名前を入力しますこの認証サービスを使用するすべてのストアではここで追加したドメインのアカウントでログオンできるようになりますドメイン名を変更するには [ 信頼されるドメイン ] の一覧でエントリを選択して [ 編集 ] をクリックします特定ドメインのユーザーアカウントでのアクセスを禁止するには一覧でそのドメインを選択して [ 削除 ] をクリックします管理者がドメイン名を指定する方法によりユーザーが資格情報の入力時に使用すべき形式が決まりますユーザーにドメインユーザー名形式で資格情報を入力させるには一覧に NetBIOS 名を追加しますユーザーにユーザープリンシパル名形式で資格情報を入力させるには一覧に完全修飾ドメイン名を追加しますユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには一覧に NetBIOS 名と完全修飾ドメイン名の両方を追加する必要があります 5. 信頼されるドメインを複数構成する場合はユーザーがログオンする時にデフォルトで選択されるドメインを [ デフォルトドメイン ] ボックスの一覧から選択します 6. ログオンページに信頼されるドメインを一覧表示するには [ ログオンページにドメイン一覧を表示する ] チェックボックスをオンにしますユーザーがパスワードを変更できるようにするドメインの資格情報を使ってデスクトップの Receiver と Receiver for Web サイトにログオンするユーザーがパスワードを変更できるようにするには [ パスワードオプションの管理 ] タスクを使用します認証サービスを作成した時のデフォルトの構成ではパスワードが失効しても Citrix Receiver と Citrix Receiver for Web サイトのユーザーはパスワードを変更できませんこの機能を有効にする場合はサーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してくださいユーザーによるパスワードの変更を有効にするとこの認証サービスを使用するストアにアクセスできるすべてのユーザーに慎重に扱うべきセキュリティ機能が公開されることになります組織のセキュリティポリシーによりユーザーパスワード変更機能が内部使用のみに制限される環境では社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください 1. Citrix Receiver for Web は選択的なパスワードの変更に加えて有効期限が切れた時のパスワードの変更をサポートしますすべてのデスクトップ Citrix Receiver は有効期限が切れた時にのみ NetScaler Gateway を介したパスワードの変更をサポートします Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をク Citrix Systems, Inc. All rights reserved. p.67

68 リックします 3. [ ユーザー名とパスワード ]>[ 設定 ] ドロップダウンメニューから [ パスワードオプションの管理 ] を選択しドメインの資格情報を使って Citrix Receiver for Web サイトにログオンするユーザーにパスワードの変更を許可する条件を指定しますユーザーがいつでもパスワードを変更できるようにするには [ 常時 ] を選択しますパスワードの期限切れが近いローカルユーザーにはログオン時に警告が表示されますパスワードの有効期限切れの警告は内部ネットワークから接続しているユーザーにのみ表示されますデフォルトではユーザーに対する通知期間は適用される Windows ポリシーの設定によって決まりますこの通知期間の設定について詳しくはパスワードの有効期限切れ通知期間の構成を参照してください Citrix Receiver for Web でのみサポートされます有効期限切れのパスワードだけをユーザーが変更できるようにするには [ 失効したとき ] を選択しますパスワードが失効してログオンできなくなったユーザーには [ パスワードの変更 ] ダイアログボックスが開きますデスクトップの Citrix Receiver と Citrix Receiver for Web でサポートされますユーザーによるパスワードの変更を禁止するには [ ユーザーにパスワードの変更を許可する ] の選択を解除しますこのオプションを選択しない場合はパスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります Citrix Receiver for Web サイトのユーザーがいつでもパスワードを変更できるように構成する場合は StoreFront サーバー上にすべてのユーザーのプロファイルを保存するための空き領域があることを確認してください StoreFront ではユーザーのパスワードの失効が近いかどうかを確認するためサーバー上に各ユーザーのローカルプロファイルが作成されますユーザーのパスワードを変更するには StoreFront はドメインコントローラーと通信する必要があります Cit rix Receiver St orefront で有効になっている場合ユーザーが有効期限切れのパスワードできるパスワードの有効期限が切れたらユーザーに通知される St orefront で有効になっている場合はパスワードの有効期限が切れる前にユーザーがそれを変更できる Windows: はい Mac: はい Android ios Linux: はい Web はいはいはいセルフサービスパスワードリセットによりエンドユーザーは自身のユーザーアカウントをより詳細に制御できるようになりますセルフサービスパスワードリセットが構成されるとエンドユーザーはシステムへのログオンで問題がある場合にいくつかのセキュリティの質問に答えることによってアカウントのロックを解除するかパスワードをリセットして新しいパスワードを設定できますセルフサービスパスワードリセットのセットアップ時に管理コンソールを使用してパスワードのリセットとアカウントのロック解除を許可するユーザーを指定します StoreFront でこれらの機能を有効にしてもセルフサービスパスワードリセットの設定で許可されていないユーザーはこれらの操作を行うことができませんセルフサービスパスワードリセットはユーザーがHTTPS 接続を使ってStoreFront にアクセスする場合にのみ使用できますユーザーは HTTP 接続とセルフサービスパスワードリセットを使用しても StoreFront にアクセスすることはできません Citrix Systems, Inc. All rights reserved. p.68

セルフサービスパスワードリセットはユーザー名とパスワードで StoreFront に直接認証する場合にのみ利用できますセルフサービスパスワードリセットでは username@domain.

69 セルフサービスパスワードリセットはユーザー名とパスワードで StoreFront に直接認証する場合にのみ利用できますセルフサービスパスワードリセットではなどの UPN ログオンはサポートされませんストアのセルフサービスパスワードリセットを設定する前に次のことを確認する必要がありますストアがユーザー名とパスワードによる認証を使用するように構成されているストアが 1 つのセルフサービスパスワードリセットのみを使用するように構成されている StoreFront が複数の同じドメインまたは信頼されているドメイン内にある複数のサーバーファームを使用するように構成されている場合はこれらすべてのドメインの資格情報を受け入れるようにセルフサービスパスワードリセットを構成する必要がありますストアがユーザーがパスワードを常時変更できるように構成されている ( パスワードのリセット機能を有効にする場合 ) StoreFront ストアを Receiver for Web サイトに割り当てる必要がありそのサイトが統合エクスペリエンスを使用するように構成する必要があるセルフサービスパスワードリセットを使用できるようにするにはインストールして構成する必要があります XenApp および XenDesktop のメディアで可能です詳しくはセルフサービスパスワードリセットを参照してください 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ]>[ ユーザー名とパスワード ] をクリックしドロップダウンメニューから [ パスワードオプションの管理 ] を選択します 2. パスワードの変更を許可するユーザーを選択し [OK] をクリックします 3. [ ユーザー名とパスワード ] ボックスの一覧で [ アカウントセルフサービスの設定 ] を選択しドロップダウンメニューで [Cit rix SSPR] を選択して [OK ] をクリックします 4. ユーザーに対してセルフサービスパスワードリセットを使用したパスワードのリセットおよびアカウントのロック解除を許可するかどうかを指定してパスワードリセットサービスのアカウントURLを追加し [OK] そして[OK ] をクリックしますこのオプションは StoreFront ベースのURLがHTTPS(HTTPではない ) の場合にのみ利用可能であり [ パスワードリセットを有効にする ] オプションは [ パスワードオプションの管理 ] を使用してユーザーがいつでもパスワードを変更できるようにした後でのみ利用可能です Citrix Systems, Inc. All rights reserved. p.69

Citrix Receiver または Citrix Receiver for Web への次回ユーザーログオン時にセキュリティ用の質問に対する回答を登録できるようになります [ 開始 ] をクリックするとユーザーが回答を登録する必要のある質問が表示されます

$[ アカウントのアンロック ] と [ パスワードのリセット ]( 両方とも利用可能な場合 ) の間で最初に選択する一連のフォームが表示されますラジオボタンを選択して [ 次へ ] をクリックすると次の画面ではドメインとユーザー名 ( ドメイン \ ユーザー )$ com などの UPN ログオンはサポートされないことに注意してくださいユーザーはセキュリティの質問に回答するように求められますすべての回答がユーザーが入力した回答と一致すると要求した操作 ( ロック解除またはリセット ) が実行され

com などの UPN ログオンはサポートされないことに注意してくださいユーザーはセキュリティの質問に回答するように求められますすべての回答がユーザーが入力した回答と一致すると要求した操作 ( ロック解除またはリセット ) が実行され

70 Citrix Receiver または Citrix Receiver for Web への次回ユーザーログオン時にセキュリティ用の質問に対する回答を登録できるようになります [ 開始 ] をクリックするとユーザーが回答を登録する必要のある質問が表示されます StoreFront での設定後 Citrix Receiver for Webのログオン画面に [ アカウントセルフサービス ] リンクが表示されるようになります ( ほかの Citrix Receiver ではボタンとして表示されます ) このリンクをクリックすると [ アカウントのアンロック ] と [ パスワードのリセット ]( 両方とも利用可能な場合 ) の間で最初に選択する一連のフォームが表示されますラジオボタンを選択して [ 次へ ] をクリックすると次の画面ではドメインとユーザー名 ( ドメイン \ ユーザー ) の入力を求められます ( この情報がログオンフォームで入力されていない場合 ) アカウントセルフサービスでは username@domain.com などの UPN ログオンはサポートされないことに注意してくださいユーザーはセキュリティの質問に回答するように求められますすべての回答がユーザーが入力した回答と一致すると要求した操作 ( ロック解除またはリセット ) が実行され操作に成功したことを示すメッセージが表示されます共有認証サービス設定共有認証サービス設定タスクを使ってストアを指定しストア間でシングルサインオンを有効にする認証サービスを共有します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします Citrix Systems, Inc. All rights reserved. p.70

71 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインで [ 認証方法の管理 ] をクリックします 3. [ 詳細 ] ドロップダウンメニューから [ 共有認証サービス設定 ] を選択します 4. [ 共有認証サービスを使用する ] チェックボックスをオンにして [ ストア ] 名ドロップダウンメニューからストアを選択します注 : 共有認証サービスと専用認証サービス間には機能的な差異はありません 2つ以上のストアによって共有される認証サービスは共有認証サービスとして扱われ構成の変更はいずれも共有認証サービスを使用するすべてのストアに対して適用されます資格情報の検証を NetScaler Gateway に委任する NetScaler Gateway を経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには [ 認証の委任構成 ] タスクを使用しますこのタスクは [NetScaler Gateway からのパススルー ] が有効でその認証方法が結果ペインで選択されている場合のみ使用できます資格情報の検証を NetScaler Gateway に委任した場合ユーザーはスマートカードを使って NetScaler Gateway にログオンしストアにアクセスする時は自動的に認証されますスマートカードユーザーのパススルー認証は管理者が NetScaler Gateway からのパススルー認証を有効にするとデフォルトで無効になるためユーザーがパスワードを使って NetScaler Gateway にログオンした場合にのみパススルー認証が発生します Citrix Systems, Inc. All rights reserved. p.71

72 XML サービスベースの認証 Nov 27, 2017 StoreFront がXenAppまたはXenDesktopと同じドメイン内にない場合また Active Directory の信頼を適切に配置できない場合には XenAppおよびXenDesktop XML Service を使ってユーザー名とパスワード資格情報を認証するようにStoreFront を構成できます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 3. [ 認証方法の管理 ] ページで [ ユーザー名とパスワード ]>[ 設定 ] ドロップダウンメニューから [ パスワード確認の構成 ] を選択します 4. [ パスワード検証方法 ] ドロップダウンメニューから [Delivery Cont roller] を選択し [ 構成 ] をクリックします 5. [Delivery Cont roller の構成 ] 画面に従って 1つまたは複数のDelivery Cont roller を追加してユーザー資格情報を確認し [OK] をクリックします 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 3. [ 認証方法の管理 ] ページで [ ユーザー名とパスワード ]>[ 設定 ] ドロップダウンメニューから [ パスワード確認の構成 ] を選択します 4. [ パスワード検証方法 ] ドロップダウンメニューから [Act ive Direct ory] を選択し [OK] をクリックします Citrix Systems, Inc. All rights reserved. p.72

73 XenApp 6.5 での Kerberos 制約付き委任の構成 Nov 27, 2017 [ ストア設定の構成 ]>[Kerberos 委任 ] タスクを使って StoreFront でDelivery Controller の認証に単一ドメインKerberos 制約付き委任を使用するかどうかを指定します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインで [ ストア設定の構成 ] をクリックし [Kerberos 委任 ] をクリックします 3. [Delivery Controller での認証に Kerberos 委任 ] を有効または無効にして Kerberos 制約付き委任を有効または無効にします StoreFront がXenAppと同じマシンにインストールされていない場合は次の手順に従います 1. ドメインコントローラーで MMCの [Active Directory ユーザーとコンピューター ] スナップインを開きます 2. [ 表示 ] メニューで [ 詳細 ] を選択します 3. コンソールツリーでドメイン名の下の [Computers] から StoreFront サーバーを選択します 4. [ 操作 ] ペインの [ プロパティ ] を選択します 5. [ 委任 ] タブで [ 指定されたサービスへの委任でのみこのユーザーを信頼する ] [ 任意の認証プロトコルを使う ] の順にクリックし [ 追加 ] をクリックします 6. [ サービスの追加 ] ダイアログボックスで [ ユーザーまたはコンピューター ] をクリックします 7. [ ユーザーまたはコンピューターの選択 ] ダイアログボックスの [ 選択するオブジェクト名を入力してください ] ボックスに Citrix XML Service(XenApp) サーバーの名前を入力し [OK] をクリックします 8. 一覧から HTTPサービスタイプを選択し [OK] をクリックします 9. 変更を適用しダイアログボックスを閉じます各 XenApp サーバーでの Active Directory の信頼済み委任を構成します 1. ドメインコントローラーで MMC の [Act ive Direct ory ユーザーとコンピューター ] スナップインを開きます 2. コンソールツリーでドメイン名の下の [Comput ers] から StoreFront が接続するCitrix XML Service(XenApp) のサーバーを選択します 3. [ 操作 ] ペインの [ プロパティ ] を選択します 4. [ 委任 ] タブで [ 指定されたサービスへの委任でのみこのユーザーを信頼する ] [ 任意の認証プロトコルを使う ] の順にクリックし [ 追加 ] をクリックします 5. [ サービスの追加 ] ダイアログボックスで [ ユーザーまたはコンピューター ] をクリックします 6. [ ユーザーまたはコンピューターの選択 ] ダイアログボックスの [ 選択するオブジェクト名を入力してください ] ボックスに Citrix XML Service(XenApp) サーバーの名前を入力し [OK] をクリックします 7. 一覧からHOSTサービスタイプを選択して [OK] [ 追加 ] の順にクリックします 8. [ ユーザーまたはコンピューターの選択 ] ダイアログボックスの [ 選択するオブジェクト名を入力してください ] ボックスにDomain Controller の名前を入力し [OK] をクリックします 9. 一覧からcif s およびldap サービスタイプを選択し [OK] をクリックします注 :ldapサービスが 2つある場合は使用するドメインコントローラーの完全修飾ドメイン名 (Fully Qualified Domain Name:FQDN) に一致する方を選択してくだ Citrix Systems, Inc. All rights reserved. p.73

74 さい 10. 変更を適用しダイアログボックスを閉じます重要な注意事項 Kerberos 制約付き委任を使用するかどうかを判断するときは以下の点に注意してください主な注意事項 : Kerberos 制約付き委任を使用しない状態でパススルー認証 ( スマートカードPINのパススルー認証 ) を行わない限り ssonsvr.exeは必要ありません StoreFrontとCitrix Receiver for Webのドメインパススルー : クライアントでは ssonsvr.exeは必要ありません Citrix icaclient.admテンプレートの [Local username and password] は ssonsvr.exe 機能を制御する任意のものに対して設定できます icaclient.admテンプレートの [Kerberos] 設定が必要です Internet Explorerの [ 信頼済みサイト ] 一覧にStoreFrontのFQDN を追加します Internet Explorerの信頼済みゾーンのセキュリティ設定の [Use local username] チェックボックスをオンにしますクライアントはドメイン内に配置する必要があります StoreFrontサーバーで [ ドメインパススルー ] 認証方法を有効にし Citrix Receiver for Webでも有効にします StoreFront Citrix Receiver for Web およびPINプロンプトによるスマートカード認証: クライアントでは ssonsvr.exeは必要ありませんスマートカード認証は構成済みです Citrix icaclient.admテンプレートの [Local username and password] は ssonsvr.exe 機能を制御する任意のものに対して設定できます icaclient.admテンプレートの [Kerberos] 設定が必要です StoreFrontサーバーで [ スマートカード ] 認証方法を有効にし Citrix Receiver for Webでも有効にしますスマートカード認証が選択されるようにするには Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で [Use local username] チェックボックスをオフにしますクライアントはドメイン内に配置する必要があります NetScaler Gateway StoreFront Citrix Receiver for Web およびPINプロンプトによるスマートカード認証: クライアントでは ssonsvr.exeは必要ありませんスマートカード認証は構成済みです Citrix icaclient.admテンプレートの [Local username and password] は ssonsvr.exe 機能を制御する任意のものに対して設定できます icaclient.admテンプレートの [Kerberos] 設定が必要です StoreFrontサーバーで [NetScaler Gatewayからのパススルー ] 認証方法を有効にし Citrix Receiver for Webでも有効にしますスマートカード認証が選択されるようにするには Internet ExplorerのStoreFrontサイトゾーンのセキュリティ設定で [Use local username] チェックボックスをオフにしますクライアントはドメイン内に配置する必要があります NetScaler Gatewayのスマートカード認証を構成し追加の仮想サーバーを構成しますこの認証不要なNetScaler Gateway 仮想サーバー経由でICAトラフィックがStoreFront HDXでルーティングされるように構成します Citrix Receiver for Windows(AuthManager) PINプロンプトによるスマートカード認証およびStoreFront: クライアントでは ssonsvr.exeは必要ありません Citrix icaclient.admテンプレートの [Local username and password] は ssonsvr.exe 機能を制御する任意のものに対して設定できます icaclient.admテンプレートの [Kerberos] 設定が必要ですクライアントはドメイン内に配置する必要があります StoreFrontサーバーで [ スマートカード ] 認証方法を有効にします Citrix Receiver for Windows(AuthManager) KerberosおよびStoreFront: クライアントでは ssonsvr.exeは必要ありません Citrix icaclient.admテンプレートの [Local username and password] は ssonsvr.exe 機能を制御する任意のものに対して設定できます icaclient.admテンプレートの [Kerberos] 設定が必要です Internet Explorerの信頼済みゾーンのセキュリティ設定の [Use local username] チェックボックスをオンにしますクライアントはドメイン内に配置する必要があります StoreFrontサーバーで [ ドメインパススルー ] 認証方法を有効にします次のレジストリキーが設定されていることを確認します注意 : レジストリエディターの使用を誤ると深刻な問題が発生する可能性があり Windowsの再インストールが必要になる場合もありますレジストリエディターの誤用による障害に対して Citrix では一切責任を負いませんレジストリエディターはお客様の責任と判断の範囲でご使用くださいまたレジストリファイルのバックアップを作成してからレジストリを編集してください 32 ビットマシンの場合 :HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows 名前 :SSONCheckEnabled Citrix Systems, Inc. All rights reserved. p.74

75 種類 :REG_SZ 値 :true or false 64ビットマシンの場合 : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows 名前 : SSONCheckEnabled 種類 : REG_SZ 値 :trueまたはfalse Citrix Systems, Inc. All rights reserved. p.75

76 スマートカード認証の構成 Jun 04, 2018 このトピックでは一般的なStoreFront 展開環境のすべてのコンポーネントでスマートカード認証を設定するための概要について説明します詳細と構成手順については各製品のドキュメントを参照してください Citrix 環境のスマートカード構成 This overview for configuring a Citrix deployment for smart cards uses a specific smart card type. Note that similar steps apply to smart cards from other vendors. StoreFront サーバーを展開するMicrosoft Active Directory ドメインかそのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにすべてのユーザーアカウントが属していることを確認しますスマートカードパススルー認証を有効にする場合はスマートカードリーダーの種類ミドルウェアの種類と構成およびミドルウェアのPINのキャッシュポリシーでパススルー認証が許可されることを確認しますユーザーのデスクトップやアプリケーションを提供する Virtual Delivery Agent が動作する仮想マシンや物理マシンにスマートカードのベンダーが提供するミドルウェアをインストールします XenDesktop 環境でスマートカードを使用する方法についてはスマートカードによる認証セキュリティを参照してください事前に公開キーインフラストラクチャが正しく構成されていることを確認しますアカウントマッピングのための証明書が Active Directory 環境に対して正しく構成されておりユーザー証明書の検証を正しく実行できることを確認します NetScaler Gatewayアプライアンスに証明機関からの署名入りサーバー証明書をインストールします詳しくは Installing and Managing Certificates を参照してくださいアプライアンスにスマートカードユーザーの証明書を発行した証明機関のルート証明書をインストールします詳しくは To install a root certificate on NetScaler Gateway を参照してくださいクライアント証明書認証用の仮想サーバーを作成して構成します証明書認証ポリシーを作成し証明書のユーザー名抽出オプションとして SubjectAltName:PrincipalName を指定しますさらにこのポリシーを仮想サーバーにバインドしてクライアント証明書を要求するように構成します詳しくは Configuring and Binding a Client Certificate Authentication Policy を参照してください証明機関のルート証明書を仮想サーバーにバインドします詳しくは To add a root certificate to a virtual server を参照してください資格情報を再入力せずにリソースに接続されるようにするには仮想サーバーをもう1つ作成し SSL(Secure Sockets Layer) パラメーターでクライアント認証を無効にします詳しくはスマートカード認証の構成を参照してください管理者は作成した仮想サーバー経由でユーザー接続がルーティングされるようにStoreFront を構成する必要もありますユーザーは最初の仮想サーバーにログオンします作成した (2つ目の) 仮想サーバーはリソースへの接続に使用されます接続時にNetScaler Gatewayにログオンする必要はありませんがデスクトップやアプリケーションへのログオン時に PINを入力する必要がありますスマートカードでの認証の失敗時に指定ユーザー認証を使用できるように設定する場合を除き 2つ目の仮想サーバーをリソースへのユーザー接続用に構成することは省略可能です NetScaler Gateway 経由でStoreFront に接続するためのセッションポリシーおよびセッションプロファイルを作成してそれらを適切な仮想サーバーにバインドします詳しくは Access to StoreFront Through NetScaler Gateway を参照してください StoreFront への接続用の仮想サーバーを構成するときにすべての通信がクライアント証明書で認証されるように指定した場合は StoreFront のコールバックURLを提供する仮想サーバーをさらに作成する必要がありますこの仮想サーバーは Citrix Systems, Inc. All rights reserved. p.76

77 StoreFront でNetScaler Gatewayアプライアンスからの要求を検証するためだけに使用されるため公開ネットワークからアクセス可能である必要はありませんクライアント証明書による認証が必要な場合は隔離された仮想サーバーが必要ですこれは認証用の証明書をStoreFront で提示できないためです詳しくは仮想サーバーの作成を参照してくださいスマートカード認証を有効にするには StoreFront とユーザーデバイス間の通信でHTTPSが使用されるように構成する必要があります Microsoft インターネットインフォメーションサービス (IIS) でHTTPSを構成しますこれを行うには IISでSSL 証明書を入手して HTTPSバインドをデフォルトのWebサイトに追加します IISでのサーバー証明書の作成について詳しくはを参照してください IISサイトへのHTTPSバインドの追加について詳しくはを参照してくださいすべてのStoreFront URLへのHTTPS 接続でクライアント証明書が要求されるようにするには StoreFront サーバー上でIIS を構成します StoreFront インストール時のIISのデフォルト構成では StoreFront 認証サービスの証明書認証 URLへのHTTPS 接続でのみクライアント証明書が要求されますこの構成はユーザーがスマートカードでログオンできない場合に指定ユーザー認証でログオンできるようにしたり再認証なしにスマートカードを取り出せるようにするために必要ですすべてのStoreFront URLへのHTTPS 接続でクライアント証明書が要求されるようにIISを構成するとスマートカードユーザーがNetScaler Gateway 経由で接続できなくなり指定ユーザー認証にもフォールバックされませんまたスマートカードをデバイスから取り出す場合は再度ログオンする必要がありますこのIISサイト構成を有効にするには認証サービスとストアを同じサーバー上に配置してすべてのストアに対して有効なクライアント証明書を使用する必要がありますまたすべてのStoreFront URLへのHTTPS 接続でクライアント証明書が要求されるようにIISを構成すると Citrix Receiver for Webクライアントでの認証に問題が生じますこのため Citrix Receiver for Webクライアントを使用しない場合のみこの構成を使用してください StoreFront をインストールして構成します必要に応じて認証サービスを作成しストアを追加します NetScaler Gatewayを介したリモートアクセスを有効にする場合は仮想プライベートネットワーク (VPN) 統合を有効にしないでください詳しくは StoreFront のインストールとセットアップを参照してください内部ネットワーク上のローカルユーザーに対して StoreFront へのスマートカード認証を有効にしますスマートカードユーザーがNetScaler Gateway 経由でストアにアクセスする場合は認証方法としてNetScaler Gatewayからのパススルーを有効にして資格情報の検証をNetScaler Gatewayに委任しますドメインに参加しているユーザーデバイスにCitrix Receiver for Windowsをインストールするときにパススルー認証を有効にする場合はドメインパススルー認証を有効にしておきます詳しくは認証サービスの構成を参照してください Citrix Receiver for Webクライアントでスマートカードによる認証を許可するには各 Citrix Receiver for Webサイトでこの認証方法を有効にする必要があります方法については Citrix Receiver for Webサイトの構成を参照してくださいスマートカード認証で指定ユーザー認証へのフォールバックを有効にする場合はユーザー名とパスワードを使用する認証方法を無効にしないでくださいドメインに参加しているユーザーデバイスにCitrix Receiver for Windowsをインストールするときにパススルー認証を有効にする場合はデスクトップやアプリケーションにアクセスするときにスマートカードの資格情報がパススルーされるようにストアのdefault.ica ファイルを編集します詳しくは Citrix Receiver for Windowsのスマートカードパススルー認証を有効にするを参照してくださいデスクトップやアプリケーションへのユーザー接続のみに使用されるNetScaler Gateway 仮想サーバーを追加した場合はその仮想サーバーを経由する最適なNetScaler Gatewayルーティングを構成します詳しくはストアの最適なHDX ルーティングの構成を参照してくださいドメインに不参加のWindowsデスクトップアプライアンスのユーザーがスマートカードを使用してデスクトップにログオ Citrix Systems, Inc. All rights reserved. p.77

78 ンできるようにするにはデスクトップアプライアンスサイトへのスマートカード認証を有効にします詳しくはデスクトップアプライアンスサイトの構成を参照してくださいデスクトップアプライアンスサイトでスマートカード認証および指定ユーザー認証の両方を有効にしてスマートカードでログオンできない場合は資格情報を入力してログオン ( 指定ユーザー認証 ) できるようにしますドメインに参加しているデスクトップアプライアンスのユーザーおよびCitrix Desktop Lockを実行している再目的化されたPCのユーザーがスマートカードを使用して認証できるようにするには XenApp Services サイトへのスマートカードパススルー認証を有効にします詳しくは XenApp Services URLの認証の構成を参照してくださいすべてのユーザーデバイスにスマートカードのベンダーが提供するミドルウェアをインストールしますユーザーがドメインに不参加のWindowsデスクトップアプライアンスを使用する場合は管理者権限を持つアカウントでReceiver for Windows Enterprise をインストールしますデバイスの電源を入れたときにInternet Explorer が全画面モードで起動してデスクトップアプライアンスサイトが表示されるように構成しますデスクトップアプライアンスサイトの URLでは大文字と小文字が区別されることに注意してくださいデスクトップアプライアンスサイトをInternet Explorer のローカルイントラネットまたは信頼済みサイトのゾーンに追加しますスマートカードを使用してデスクトップアプライアンスサイトにログオンしてストアからリソースにアクセスできることを確認した後で Citrix Desktop Lockをインストールします詳しくは Desktop Lockをインストールするにはを参照してくださいユーザーがドメインに参加しているデスクトップアプライアンスや再目的化されたPCを使用する場合は管理者権限を持つアカウントでReceiver for Windows Enterprise をインストールします Receiver for Windowsを構成するときに適切なストアのXenApp Services サイトのURLを指定しますスマートカードを使用してデバイスにログオンしてストアからリソースにアクセスできることを確認した後で Citrix Desktop Lockをインストールします詳しくは Desktop Lockをインストールするにはを参照してくださいそのほかの場合は適切なバージョンのCitrix Receiverをユーザーデバイスにインストールしますドメインに参加しているデバイスのユーザーがXenDesktopやXenAppに接続するときのスマートカードパススルー認証を有効にするには管理者アカウントを使ってReceiver for Windowsをコマンドラインでインストールしますこのときに /includesson オプションを指定します詳しくはコマンドラインパラメーターを使用したReceiver for Windowsの構成とインストールを参照してくださいドメインポリシーまたはローカルコンピューターポリシーでスマートカード認証が使用されるようにReceiver for Windowsが構成されていることを確認しますドメインポリシーはグループポリシー管理コンソールを使用してReceive for Windowsのグループポリシーオブジェクトのテンプレートファイルicaclient.adm をユーザーアカウントが属しているドメインのドメインコントローラーにインポートしますデバイスごとに構成する場合はそのデバイス上のグループポリシーオブジェクトエディターを使用してこのテンプレートを構成します詳しくはグループポリシーオブジェクトテンプレートによるReceiverの構成を参照してください [Smart card authentication] ポリシーを有効にしますスマートカードの資格情報が自動的に使用 ( パススルー ) されるようにするには [Use pass-through authentication for PIN] チェックボックスをオンにしますさらに XenDesktop およびXenAppにスマートカードの資格情報がパススルーされるようにするには [Local user name and password] ポリシーを有効にして [Allow pass-through authentication for all ICA connections] チェックボックスをオンにします詳しくは ICA Settings Reference を参照してくださいドメインに参加しているデバイスのユーザーがXenDesktopやXenAppに接続するときのスマートカードパススルー認証を有効にした場合はストアのURLをInternet Explorer のローカルイントラネットまたは信頼済みサイトのゾーンに追加しますこの場合そのゾーンのセキュリティ設定で [ 現在のユーザー名とパスワードで自動的にログオンする ] が選択されていることを確認してください必要な場合はストア ( 内部ネットワーク上のユーザーの場合 ) やNetScaler Gatewayアプライアンス ( リモートユーザーの場合 ) に接続するための詳細を適切な方法でユーザーに提供します構成情報のユーザーへの提供について詳しくは Citrix Systems, Inc. All rights reserved. p.78

79 Citrix Receiver を参照してくださいドメインに参加しているユーザーデバイスにReceiver for Windowsをインストールするときにパススルー認証 ( シングルサインオン ) を有効にできます XenDesktopおよびXenAppによってホストされているデスクトップおよびアプリケーションにアクセスするときにスマートカードの資格情報が自動的に使用 ( パススルー ) されるようにするにはストアのdefault. ストア用のデフォルトの.icaファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使ってストアのdefault テキストエディターを使ってストアのicaファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storename\App_Data\ フォルダーにありますここで storename はストアの作成時に指定した名前です 2. NetScaler Gatewayを使用しないでストアにアクセスするユーザーのスマートカード資格情報のパススルーを有効にするには次の設定を [Application] セクションに追加します DisableCtrlAltDel=Off この設定はストアのすべてのユーザーに適用されますデスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするにはこれらの認証方法について個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してください 3. NetScaler Gatewayを使用してストアにアクセスするユーザーのスマートカード資格情報のパススルーを有効にするには次の設定を [Application] セクションに追加します UseLocalUserAndPassword=On この設定はストアのすべてのユーザーに適用されます一部のユーザーに対してのみパススルー認証を有効にする場合はそれらのユーザー用に個別のストアを作成する必要がありますこの場合どのストアにアクセスすべきかをユーザーに通知してください Citrix Systems, Inc. All rights reserved. p.79

80 パスワードの有効期限切れ通知期間の構成 Nov 27, 2017 Citrix Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように設定してある場合はパスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表示されますデフォルトではユーザーに対する通知期間は適用されるWindowsポリシーの設定によって決まりますすべてのユーザーに対するカスタムの通知期間を設定するには認証サービスの構成ファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 3. [ 認証方法の管理 ] ページで [ ユーザー名とパスワード ]>[ 設定 ] ドロップダウンメニューから [ パスワードオプションの管理 ] を選択し [ ユーザーにパスワードの変更を許可する ] チェックボックスをオンにします 4. [ 常に許可...] を選択し [ パスワードの期限が切れる前にユーザーにリマインドする ] の下で項目を選択します注 :StoreFront では Active Directory の細かい設定が可能なパスワードポリシーはサポートされません Citrix Systems, Inc. All rights reserved. p.80

81 ストアの構成と管理 Nov 27, 2017 Citrix StoreFront では XenApp および XenDesktop からアプリケーションやデスクトップをまとめるストアを作成して管理しユーザーにリソースに対するセルフサービスアクセスをオンデマンドで提供できますストアの作成または削除必要とするできるだけ多くの追加ストアを構成します認証が不要なストアの作成追加の未認証のストアを構成し認証不要 ( 匿名 ) ユーザーのアクセスをサポートするユーザー用のストアプロビジョニングファイルのエクスポートストアに対して構成された NetScaler Gateway 展開やビーコンなどストアに対する接続の詳細を含んでいるファイルを生成しますストアの非表示とアドバタイズユーザーがメールアドレスによるアカウント検出機能または完全修飾ドメイン名 (FQDN) を使って Citrix Receiver を構成する場合ユーザーに表示されているストアがユーザーのアカウントに追加されないようにしますストアに表示するリソースの管理ストアからのリソースの追加と削除 NetScaler Gateway を介したストアへのリモートアクセスの管理公共のネットワークから接続するユーザーに対して NetScaler Gateway を介したストアへのアクセスを構成します Citrix Online アプリケーションのストアへの統合ストアに追加する Citrix Online アプリケーションを選択してユーザーが Citrix Online アプリケーションをサブスクライブしたときの Citrix Receiver の動作を指定します共通のサブスクリプションデータストアを共有する 2 つの StoreFront ストアの構成共通のサブスクリプションデータベースを共有する 2 つのストアの構成上級ストア設定上級ストア設定を構成します Citrix Systems, Inc. All rights reserved. p.81

82 ストアの作成または削除 Jun 04, 2018 追加のストアを構成するには [ ストアの作成 ] タスクを使用しますストアは必要なだけ作成できますたとえば特定のユーザーグループ用にストアを作成したり特定のリソースセットを集約するストアを作成したりできますまた認証が不要な匿名ユーザー用のストアを作成することもできますこの種類のサイトの作成方法については認証が不要なストアの作成を参照してくださいストアを作成するにはそのストアのユーザーにリソースを提供するサーバーを指定してその通信構成を行います次にリモートアクセスを有効にする場合は使用するNetScaler Gatewayアプライアンスを指定します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ ストアの作成 ] をクリックします 3. [ ストア名 ] ページでストアの名前を指定して [ 次へ ] をクリックしますストアの名前はCitrix Receiverでユーザーアカウントの下に表示されるためユーザーにとってわかりやすい名前を指定してください 4. [Delivery Controller] ページではリソースを提供するインフラストラクチャを一覧に追加します [ 追加 ] をクリックします 5. [Delivery Controller の追加 ] ダイアログボックスでこの展開環境に対するわかりやすい名前を指定しリソースを提供するインフラストラクチャの種類 ([XenDesktop] [XenApp] または[AppController]) を選択します App Controller を選択する場合は表示名として入力した文字列にスペースが含まれていないことを確認してください 6. インフラストラクチャの種類としてXenDesktopまたはXenAppサーバーを選択した場合は手順 7に進みます App Controller により管理されるアプリケーションをストアで使用できるようにするには App Controller 仮想アプライアンスの名前またはIPアドレスを [ サーバー ] ボックスに入力し App Controller への接続に使用するStoreFront のポートを指定しますデフォルトのTCPポートは443です手順 11に進みます 7. リソースを提供するインフラストラクチャの種類としてXenDesktop またはXenAppを選択した場合はサーバーの名前またはIPアドレスを [ サーバー ] 一覧に追加しますこの一覧に複数のサーバーを追加するとその順番に基づいてフェールオーバーされます XenDesktopサイトの場合は Delivery Controller の詳細を指定します XenAppファームの場合は Citrix XML Service を実行しているサーバーを一覧に追加します 8. [ トランスポートの種類 ] ボックスの一覧から StoreFront でサーバーとの通信に使用する接続の種類を選択します暗号化されていない接続でデータを送信するには [HTTP] を選択しますこのオプションを選択する場合は StoreFront とサーバー間の接続を何らかの方法で保護することを検討してください SSL(Secure Sockets Layer) またはTLS(Transport Layer Security) を使用する保護されたHTTP 接続でデータを送信するには [HTTPS] を選択します XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は Citrix XML Service がポートをIIS(Microsoft インターネットインフォメーションサービス ) と共有する設定になっていることと IISがHTTPSをサポートするように構成されていることを確認してください XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行するには [SSL Relay] を選択します注 :StoreFront とサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は [ サーバー ] ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー名と一致することを確認してください ( 大文字 / 小文字は区別されます ) Citrix Systems, Inc. All rights reserved. p.82

83 9. StoreFront がサーバーに接続する時に使用するポートを指定しますデフォルトでは HTTP 接続および SSL Relay 接続では 80 HTTPS 接続では 443 が使用されます XenDesktop および XenApp サーバーの場合 Citrix XML Service で使用されるポート番号を指定する必要があります 10. StoreFront と XenApp サーバーの間の接続を SSL Relay で保護する場合は SSL Relay の TCP ポートを [SSL Relay ポート ] ボックスで指定しますデフォルトの TCP ポートは 443 です SSL Relay を実行するすべてのサーバーで同じポートが構成されていることを確認してください 11. [OK] をクリックします XenDesktop XenApp および App Controller の展開環境を自由に組み合わせてストアを作成できます必要に応じて手順 4~11 を繰り返しストアにリソースを提供する展開環境を一覧に追加します必要なリソースをすべてストアに追加したら [ 次へ ] をクリックします 12. [ リモートアクセス ] ページでは公共のネットワーク上のユーザーに NetScaler Gateway を介したアクセス ( リモートアクセス ) を提供するかどうかおよびその方法を指定します公共のネットワーク上でストアをユーザーが使用できないようにするには [ リモートアクセスの有効化 ] チェックボックスをオフにしますこれにより内部ネットワークのローカルユーザーのみがストアにアクセスできるようになりますリモートアクセスを有効にするには [ リモートアクセスの有効化 ] をオンにします NetScaler Gateway 経由でアクセスするユーザーにストアのリソースのみを提供するには [VPN トンネルなし ] を選択しますこの場合ユーザーは NetScaler Gateway に直接ログオンするため NetScaler Gateway Plug-in を使用する必要はありません SSL 仮想プライベートネットワーク (VPN) トンネルを介して内部ネットワーク上のストアおよびそのほかのすべてのリソースへのアクセスを提供するには [ 完全 VPN トンネル ] を選択しますこの場合ユーザーは VPN トンネルを確立するための NetScaler Gateway Plug-in を使用する必要がありますストアへのリモートアクセスを有効にすると認証方法として NetScaler Gateway からのパススルーが自動的に有効になりますユーザーは NetScaler Gateway にログオンする時に認証されるためストアにアクセスする時は自動的にログオンできます 13. リモートアクセスを有効にした場合は次の手順に進んで NetScaler Gateway の展開環境を指定しますユーザーはこの展開環境を介してストアにアクセスできますリモートアクセスを有効にしない場合は [ リモートアクセス ] ページで [ 作成 ] をクリックしますストアが作成されたら [ 完了 ] をクリックします前の手順で作成したストアに NetScaler Gateway を介したリモートアクセスを構成するには次の手順に従います上記の手順が完了していることを前提としています 1. [ ストアの作成 ] ウィザードの [ リモートアクセス ] ページでユーザーがストアにアクセスする時に使用するゲートウェイ環境を [Net Scaler Gat eway アプライアンス ] 一覧で選択しますこの一覧にはほかのストアの作成時に追加したゲートウェイ環境が表示されます一覧にゲートウェイ環境を追加する場合は [ 追加 ] をクリックします追加しない場合は手順 12 に進みます 2. [Net Scaler Gat eway アプライアンスの追加 ] の [ 全般設定 ] ページで NetScaler Gateway 展開環境にわかりやすい名前を指定しますここで指定する表示名がユーザーの Citrix Receiver に表示されますそのためユーザーが使用する NetScaler Gateway を判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gateway を簡単に特定できるように表示名に地理情報を含めることができます 3. 展開環境の仮想サーバーまたはユーザーログオンポイントの URL を入力します展開環境で使用する製品のバージョンを指定します StoreFront 展開環境の FQDN(Fully Qualified Domain Name: 完全修飾ドメイン名 ) は一意で NetScaler Gateway 仮想サーバーの FQDN と異なるものである必要があります StoreFront と NetScaler Gateway 仮想サーバーに同じ FQDN を使用することはサポートされていません Citrix Systems, Inc. All rights reserved. p.83

84 4. 使用可能なオプションから NetScaler Gateway の使用法を選択します + 認証および HDX ルーティング :NetScaler Gatewayが認証とHDXセッションのルーティングの両方に使用されます + 認証のみ :NetScaler Gatewayが認証に使用されますが HDXセッションのルーティングには使用されません +HDX ルーティングのみ :NetScaler GatewayがHDXセッションのルーティングに使用されますが認証には使用されません 5. [Secure Ticket Authority(STA)] ページで XenDesktop または XenApp が提供するリソースをストアで使用できるようにするには STA を実行しているサーバーの [Secure Ticket Authority] ページの URL をすべて一覧に追加します一覧に複数の STA の URL を追加するとその順番に基づいてフェールオーバーされます STA は XenDesktop および XenApp サーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktop および XenApp リソースへのアクセスを認証および承認するための基本機能です 6. 負荷分散する Secure Ticket Authority を選択して設定します応答しない STA をバイパスするまでの間隔を指定することもできます 7. Citrix Receiver が自動的に再接続を実行する間に切断したセッションを XenDesktop および XenApp で開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は 2つの ST A にチケットを要求する ] チェックボックスをオンにしますセッションの途中で 1 つの STA が使用できなくなってもユーザーセッションが中断されないように StoreFront により 2 つの異なる STA からセッションチケットが取得されます StoreFront がどちらの STA にもアクセスできない場合は単一の STA を使用するようにフォールバックされます 8. [ 認証設定 ] ページで構成する NetScaler Gateway のバージョンを選択します 9. 必要に応じて NetScaler Gateway アプライアンスの仮想サーバーの IP アドレスを指定しますこの仮想サーバーの IP アドレスは NetScaler Gateway で内部ネットワークのサーバーと通信する時にユーザーデバイスを表すために使用する IP アドレスですこのアドレスは NetScaler Gateway アプライアンスのマップされた IP アドレスである場合もあります StoreFront は仮想サーバーの IP アドレスを使用して受信要求が信頼されているデバイスから発信されているかどうかを検証します 10. [ ログオンの種類 ] の一覧から Citrix Receiver ユーザー向けにアプライアンス上で構成した認証方法を選択します NetScaler Gateway アプライアンスに関する構成情報はストアのプロビジョニングファイルに追加されますこれにより Citrix Receiver はアプライアンスへの初回接続時に適切な接続要求を送信できるようになりますユーザーの Microsoft Active Directory ドメインの資格情報を入力させる場合は [ ドメイン ] を選択しますセキュリティトークンから取得するトークンコードを入力させる場合は [ セキュリティトークン ] を選択しますユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は [ ドメインおよびセキュリティトークン ] を選択しますテキストメッセージで送信されるワンタイムパスワードを入力させる場合は [SMS 認証 ] を選択しますスマートカードを挿入して PIN を入力させる場合は [ スマートカード ] を選択しますスマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには [ スマートカードフォールバック ] の一覧から代替の認証方法を選択します 11. [ コールバック URL] ボックスに NetScaler Gateway 認証サービスの URL を入力しますこれはオプションのフィールドです URL の標準的な部分は自動的に補完されますアプライアンスの内部 URL を入力します StoreFront は NetScaler Gateway 認証サービスに接続して NetScaler Gateway からの要求の送信元がそのアプライアンスであることを確認します 12. [ 作成 ] をクリックしますこれにより [ リモートアクセス ] ページの一覧に NetScaler Gateway の展開環境が追加されます必要に応じて手順 1~11 を繰り返し [NetScaler Gateway アプライアンス ] の一覧に NetScaler Gateway の展開環境を追加します一覧で複数のエントリを選択して複数のゲートウェイ環境を介したアクセスを有効にする場合はデフォルトで使用されるアプライアンスを選択します 13. [ リモートアクセス ] ページで [ 作成 ] をクリックしますストアが作成されたら [ 完了 ] をクリックします Citrix Systems, Inc. All rights reserved. p.84

85 ストアが作成されましたただし Citrix Receiver 側でもストアに接続するための詳細を構成する必要がありますユーザーによる Receiver の構成プロセスを簡単にするためにいくつかの方法が用意されています詳しくはユーザーアクセスオプションを参照してくださいまた Receiver for Web サイトを使用するとユーザーが Web ページからデスクトップやアプリケーションにアクセスできるようになります新しいストアにアクセスするための Receiver for Web サイトの URL はストアを作成する時に表示されますデフォルトでは新しいストアを作成する時に XenApp Services サイトの URL が有効になりますドメインに参加しているデスクトップアプライアンスのユーザー Citrix Desktop Lock を実行している再目的化された PC のユーザーおよびアップグレードできない古いバージョンの Citrix クライアントのユーザーは XenApp Services サイトから直接そのストアに接続できます XenApp Services サイトの URL は http[s]:///citrix//pnagent/config.xml の形式ですここでは StoreFront 展開環境のサーバーまたは負荷分散環境の完全修飾ドメイン名では上記手順 3 で指定した名前ですドメイン不参加サーバー上の単一のサーバー展開環境へのストアの作成 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ ストアの作成 ] をクリックします 3. [ ストア名 ] ページでストアの名前を指定して [ 次へ ] をクリックしますストアの名前は Citrix Receiver でユーザーアカウントの下に表示されるためユーザーにとってわかりやすい名前を指定してください 4. [Delivery Cont roller] ページではリソースを提供するインフラストラクチャを一覧に追加します [Add] をクリックします 5. [Delivery Cont roller の追加 ] ダイアログボックスでこの展開環境に対するわかりやすい名前を指定しリソースを提供するインフラストラクチャの種類 ([XenDesktop] [XenApp] または [AppController]) を選択します App Controller を選択する場合は表示名として入力した文字列にスペースが含まれていないことを確認してください 6. インフラストラクチャの種類として XenDesktop または XenApp サーバーを選択した場合は手順 7 に進みます App Controller により管理されるアプリケーションをストアで使用できるようにするには App Controller 仮想アプライアンスの名前または IP アドレスを [ サーバー ] ボックスに入力し App Controller への接続に使用する StoreFront のポートを指定しますデフォルトの TCP ポートは 443 です手順 11 に進みます 7. リソースを提供するインフラストラクチャの種類として XenDesktop または XenApp を選択した場合はサーバーの名前またはIPアドレスを [ サーバー ] ボックスに追加します XenDesktopサイトの場合は Delivery Controller の詳細を指定します XenApp ファームの場合は Citrix XML Service を実行しているサーバーを一覧に追加します 8. [ トランスポートの種類 ] ボックスの一覧から StoreFront でサーバーとの通信に使用する接続の種類を選択します暗号化されていない接続でデータを送信するには [HTTP] を選択しますこのオプションを選択する場合は StoreFront とサーバー間の接続を何らかの方法で保護することを検討してください SSL(Secure Sockets Layer) または TLS(Transport Layer Security) を使用する保護された HTTP 接続でデータを送信するには [HTTPS] を選択します XenDesktop または XenApp サーバーに対してこのオプションを選択する場合は Citrix XML Service がポートを IIS(Microsoft インターネットインフォメーションサービス ) と共有する設定になっていることと IIS が HTTPS をサポートするように構成されていることを確認してください XenApp サーバーとの通信で SSL Relay によるホスト認証とデータの暗号化を実行するには [SSL Relay] を選択します注 :StoreFront とサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は [ サーバー ] ボックスに指定したサーバー名がそのサーバーの証明書のサーバー名と一致することを確認してください ( 大文字 / 小文字は区別されます ) Citrix Systems, Inc. All rights reserved. p.85

86 9. StoreFront がサーバーに接続する時に使用するポートを指定しますデフォルトでは HTTP 接続および SSL Relay 接続では 80 HTTPS 接続では 443 が使用されます XenDesktop および XenApp サーバーの場合 Citrix XML Service で使用されるポート番号を指定する必要があります 10. StoreFront と XenApp サーバーの間の接続を SSL Relay で保護する場合は SSL Relay の TCP ポートを [SSL Relay ポート ] ボックスで指定しますデフォルトの TCP ポートは 443 です SSL Relay を実行するすべてのサーバーで同じポートが構成されていることを確認してください 11. [OK] をクリックします XenDesktop XenApp およびApp Controller の展開環境を自由に組み合わせてストアを作成できます必要に応じて手順 4~11 を繰り返しストアにリソースを提供する展開環境を一覧に追加します必要なリソースをすべてストアに追加したら [ 次へ ] をクリックします 12. [ リモートアクセス ] ページでは公共のネットワーク上のユーザーにNetScaler Gatewayを介したアクセス ( リモートアクセス ) を提供するかどうかおよびその方法を指定します公共のネットワーク上のユーザーにストアへのアクセスを禁止するには [ なし ] を選択しますこれにより内部ネットワークのローカルユーザーのみがストアにアクセスできるようになります NetScaler Gateway 経由でアクセスするユーザーにストアのリソースのみを提供するには [VPN トンネルなし ] を選択しますこの場合ユーザーは NetScaler Gateway に直接ログオンするため NetScaler Gateway Plug-in を使用する必要はありません SSL 仮想プライベートネットワーク (VPN) トンネルを介して内部ネットワーク上のストアおよびそのほかのすべてのリソースへのアクセスを提供するには [ 完全 VPN トンネル ] を選択しますこの場合ユーザーはVPNトンネルを確立するための NetScaler Gateway Plug-in を使用する必要がありますストアへのリモートアクセスを有効にすると認証方法として NetScaler Gateway からのパススルーが自動的に有効になりますユーザーは NetScaler Gateway にログオンする時に認証されるためストアにアクセスする時は自動的にログオンできます 13. リモートアクセスを有効にした場合は NetScaler Gateway を介したストアへのリモートアクセスを有効にするに進んで NetScaler Gateway の展開環境を指定しますユーザーはこの展開環境を介してストアにアクセスできますリモートアクセスを有効にしない場合は [ リモートアクセス ] ページで [ 次へ ] をクリックします 14. [ 認証方法の構成 ] ページでユーザーが認証とリソースへのアクセスに使用する方法を選択し [ 次へ ] をクリックします 15. [ パスワード検証の構成 ] ページでパスワード検証を行うDelivery Controller を選択して [ 次へ ] をクリックします 16. [XenApp Services URL] ページで PNAgent を使用してアプリケーションおよびデスクトップにアクセスするユーザーのURLを構成し [ 作成 ] をクリックします左側の [ サーバーグループノード ] ペインと [ アクション ] ペインが [ ベース URL の変更 ] に置き換わりますドメインに参加していないサーバーではサーバーグループを利用できないため使用できる唯一のオプションはベース URL を変更することですストアの削除ストアを削除するには [ ストアの削除 ] タスクを使用しますストアを削除すると関連付けられている Receiver for Web サイトデスクトップアプライアンスサイトおよび XenApp Services サイトもすべて削除されます重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します Citrix Systems, Inc. All rights reserved. p.86

87 認証が不要なストアの作成 Nov 27, 2017 認証不要 ( 匿名 ) ユーザーのアクセスをサポートする認証が不要なストアを追加で構成するには [ ストアの作成 ] タスクを使用しますこのストアは必要なだけ作成できますたとえば特定のユーザーグループ用にストアを作成したり特定のリソースセットを集約するストアを作成したりできます認証不要なストアでは NetScaler Gatewayを介したリモートアクセスは許可されません認証不要なストアを作成するにはそのストアのユーザーにリソースを提供するサーバーを指定してその通信構成を行います重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ ストアの作成 ] をクリックします 3. [ ストア名 ] ページでストアの名前を指定して [ このストアへのアクセスを非認証 ( 匿名 ) ユーザーにのみ許可する ] を選択し [ 次へ ] をクリックしますストアの名前は Citrix Receiver でユーザーアカウントの下に表示されるためユーザーにとってわかりやすい名前を指定してください 4. [Delivery Controller] ページではリソースを提供するインフラストラクチャを一覧に追加します [Add] をクリックします 5. [Delivery Controller の追加 ] ダイアログボックスでこの展開環境に対するわかりやすい名前を指定しストアで使用できるようにするリソースが [XenApp] または [AppController] で提供されるかどうかを指定します XenMobile(App Controller) を選択する場合は表示名として入力した文字列にスペースが含まれていないことを確認してください Controller を追加する時は匿名アプリ機能をサポートしていることを確認してください匿名アプリ機能をサポートしない Controller で認証不要なストアを構成するとストアから匿名アプリを使用できなくなります 6. XenApp サーバーの詳細を追加している場合は手順 7 に進みます App Controller により管理されるアプリケーションをストアで使用できるようにするには XenMobile(App Controller) 仮想アプライアンスの名前または XenMobile(App Controller) アドレスを [ サーバー ] ボックスに入力し XenMobile(App Controller) への接続に使用する IP のポートを指定しますデフォルトの TCP ポートは 443 です手順 10 に進みます 7. リソースを提供するインフラストラクチャの種類として XenApp を選択した場合はサーバーの名前または IP アドレスを [ サーバー ] 一覧に追加しますこの一覧に複数のサーバーを追加するとその順番に基づいてフェールオーバーされます XenDesktop サイトの場合は Controller の詳細を指定します XenApp ファームの場合は Citrix XML Service を実行しているサーバーを一覧に追加します 8. [ トランスポートの種類 ] ボックスの一覧から StoreFront でサーバーとの通信に使用する接続の種類を選択します暗号化されていない接続でデータを送信するには [HTTP] を選択しますこのオプションを選択する場合は StoreFront とサーバー間の接続を何らかの方法で保護することを検討してください SSL(Secure Sockets Layer) または TLS(Transport Layer Security) を使用する保護された HTTP 接続でデータを送信するには [HTTPS] を選択します XenDesktop または XenApp サーバーに対してこのオプションを選択する場合は Citrix XML Service がポートを IIS(Microsoft インターネットインフォメーションサービス ) と共有する設定になっていることと IIS が HTTPS をサポートするように構成されていることを確認してください注 :StoreFront とサーバーの間の通信を HTTPS で保護する場合は [ サーバー ] ボックスの一覧に指定したサーバー名が Citrix Systems, Inc. All rights reserved. p.87

88 そのサーバーの証明書のサーバー名と一致することを確認してください ( 大文字 / 小文字は区別されます ) 9. StoreFront がサーバーに接続する時に使用するポートを指定しますデフォルトでは HTTP 接続では80 HTTPS 接続では443が使用されます XenDesktopおよびXenAppサーバーの場合 Citrix XML Service で使用されるポート番号を指定する必要があります 10. [OK] をクリックします XenDesktop XenApp およびApp Controller の展開環境を自由に組み合わせてストアを作成できます必要に応じて手順 4~10を繰り返しストアにリソースを提供する展開環境を一覧に追加します必要なリソースをすべてストアに追加したら [ 作成 ] をクリックしますこれで認証不要なストアが作成されましたこのストアにユーザーがアクセスできるようにするには Citrix Receiverでアクセス情報を構成する必要がありますユーザーによるReceiverの構成プロセスを簡単にするためにいくつかの方法が用意されています詳しくはユーザーアクセスオプションを参照してくださいまた Receiver for Webサイトを使用するとユーザーがWebページからデスクトップやアプリケーションにアクセスできるようになります認証が不要なストアのデフォルトでは Receiver for Webにアプリケーションがフォルダー階層で表示されるようになりフォルダーパスの情報も表示されます新しいストアにアクセスするためのReceiver for WebサイトのURL はストアを作成する時に表示されますデフォルトでは新しいストアを作成する時に XenApp Services サイトのURLが有効になりますドメインに参加しているデスクトップアプライアンスのユーザー Citrix Desktop Lockを実行している再目的化されたPCのユーザーおよびアップグレードできない古いバージョンのCitrix クライアントのユーザーは XenApp Services サイトから直接そのストアに接続できます XenApp Services URLの形式は http[s]://serveraddress/citrix/storename/pnagent/config.xml の形式ですここで serveraddress はStoreFront 展開環境のサーバーまたは負荷分散環境の完全修飾ドメイン名で storename は上記手順 3で指定した名前です注 :web.config ファイルでパラメーター LogoffAction= terminate" を構成しても認証不要なストアにアクセスするCitirx Receiver for Webセッションは終了しませんこのweb.config ファイルは通常 C:\inetpub\wwwroot\Citrix\storename\ フォルダーにあります (storename はストア作成時に指定したストア名 ) これらのセッションが正しく終了するようにするにはストアのXenAppサーバーで [XML 要求を信頼する ] オプションが有効になっている必要があります (XenAppおよび XenDesktopドキュメントの Citrix XML Service のポートと信頼を設定するを参照 ) Citrix Systems, Inc. All rights reserved. p.88

89 ユーザー用のストアプロビジョニングファイルのエクスポート Nov 27, 2017 ストアで使用されるNetScaler Gateway 環境やビーコンポイントなどの詳細情報が定義されたプロビジョニングファイルを生成するには [ 複数ストアのプロビジョニングファイルのエクスポート ] および [ プロビジョニングファイルのエクスポート ] タスクを使用しますユーザーにプロビジョニングを提供するとユーザーがCitrix Receiverを簡単に構成できるようになります Citrix Receiverプロビジョニングファイルは Receiver for Webサイトから入手できるようにすることもできます重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択します 2. 複数のストアの詳細情報が定義されたプロビジョニングファイルを生成するには [ 操作 ] ペインの [ 複数ストアのプロビジョニングファイルのエクスポート ] をクリックして対象のサイトを選択します 3. [ エクスポート ] をクリックして拡張子が.crのプロビジョニングファイルをネットワーク上の適切な場所に保存します Citrix Systems, Inc. All rights reserved. p.89

90 ユーザーに対するストアの非表示および提供 Nov 27, 2017 ユーザーがメールアドレスによるアカウント検出機能または完全修飾ドメイン名 (FQDN) を使ってCitrix Receiverを構成する場合特定のストアがユーザーのアカウントに追加されないようにそのストアを非表示に設定できますこれを行うには [ ストアを表示しない ] タスクを使用します新規に作成するストアのデフォルトではユーザーがCitrix Receiverで StoreFront ストアを追加するときにオプションとしてそのストアが表示されますストアを非表示にしてもユーザーがストアにアクセスできなくなるわけではありませんユーザーはメールアドレスによるアカウント検出機能の代わりにCitrix Receiverでのストア接続を手作業で構成したりセットアップ URLやプロビジョニングファイルを使用したりする必要がありますストアの非表示状態を解除するには [ ストアのアドバタイズ ] タスクを使用します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [ ストア設定の構成 ]>[ ストアのアドバタイズ ] の順にクリックします 3. [ ストアのアドバタイズ ] ページで [ ストアのアドバタイズ ] または [ ストアの非表示 ] を選択します Citrix Systems, Inc. All rights reserved. p.90

91 ストアに表示するリソースの管理 Nov 27, 2017 XenDesktop XenApp および App Controller によって提供されたストアリソースから追加または削除したりこれらのリソースを提供するサーバーの詳細を変更したりするには [Controller の管理 ] タスクを使用します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインの [Delivery Controller の管理 ] をクリックします 3. ストアにデスクトップやアプリケーションを提供するXenDesktop XenApp またはApp Controller 展開環境を追加するには [Delivery Controller の管理 ] ダイアログボックスで [ 追加 ] をクリックします展開環境の設定を変更するには [Delivery Controller] ボックスの一覧でエントリを選択して [ 編集 ] をクリックします展開環境により提供されるリソースをストアから削除するにはボックスの一覧でエントリを選択して [ 削除 ] をクリックします 4. [Controller の追加 ] または [Controller の編集 ] ダイアログボックスでこの展開環境に対するわかりやすい名前を指定しリソースを提供するインフラストラクチャの種類 ([XenDesktop] [XenApp] または[AppController]) を選択します App Controller を選択する場合は表示名として入力した文字列にスペースが含まれていないことを確認してください 5. インフラストラクチャの種類としてXenDesktopまたはXenAppサーバーを選択した場合は手順 7. に進みます App Controller により管理されるアプリケーションをストアで使用できるようにするには App Controller 仮想アプライアンスの名前またはIPアドレスを [ サーバー ] ボックスに入力し App Controller への接続に使用するStoreFront のポートを指定しますデフォルトのTCPポートは443です手順 10. に進みます 6. XenDesktopまたはXenAppが提供するデスクトップやアプリケーションをストアに追加するには [ 追加 ] をクリックしてサーバーの名前またはIPアドレスを入力します複数のサーバーを指定すると web.config ファイルの構成に基づいて負荷分散またはフェールオーバーが有効になりますデフォルトでは負荷分散が構成されていますフェールオーバーを構成するとサーバーの一覧の順番に基づいてフェールオーバーされます XenDesktopサイトの場合は Delivery Controller の詳細を指定します XenAppファームの場合は Citrix XML Service を実行しているサーバーを一覧に追加しますサーバーの名前またはIPアドレスを変更するには [ サーバー ] ボックスの一覧でエントリを選択して [ 編集 ] をクリックします一覧からエントリを削除するにはそのエントリを選択して [ 削除 ] をクリックしますこれによりそのサーバーからのリソースがストアに列挙されなくなります 7. [ トランスポートの種類 ] ボックスの一覧から StoreFront でサーバーとの通信に使用する接続の種類を選択します暗号化されていない接続でデータを送信するには [HTTP] を選択しますこのオプションを選択する場合は StoreFront とサーバー間の接続を何らかの方法で保護することを検討してください SSL(Secure Sockets Layer) またはTLS(Transport Layer Security) を使用する保護されたHTTP 接続でデータを送信するには [HTTPS] を選択します XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は Citrix XML Service がポートをIIS(Microsoft インターネットインフォメーションサービス ) と共有する設定になっていることと IISがHTTPSをサポートするように構成されていることを確認してください XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行するには [SSL Relay] を選択します注 :StoreFront とサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は [ サーバー ] ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー名と一致することを確認してください ( 大文字 / 小文字は区別されます ) 8. StoreFront がサーバーに接続する時に使用するポートを指定しますデフォルトでは HTTP 接続およびSSL Relay 接続では80 HTTPS 接続では443が使用されます XenDesktopおよびXenAppサーバーの場合 Citrix XML Service で使用される Citrix Systems, Inc. All rights reserved. p.91

92 ポート番号を指定する必要があります 9. StoreFront とXenAppサーバーの間の接続をSSL Relayで保護する場合は SSL RelayのTCPポートを [SSL Relayポート ] ボックスで指定しますデフォルトのTCPポートは443です SSL Relayを実行するすべてのサーバーで同じポートが構成されていることを確認してください 10. [OK] をクリックします XenDesktop XenApp およびApp Controller の展開環境を自由に組み合わせてストアを作成できます必要に応じて手順 3.~10. を繰り返し [Delivery Controller] の一覧にほかの展開環境を追加したり既存のエントリを変更したりします Citrix Systems, Inc. All rights reserved. p.92

93 NetScaler Gateway を介したストアへのリモートアクセスの管理 Jun 04, 2018 公共のネットワークから接続するユーザーに対してNetScaler Gatewayを介したストアへのアクセスを構成するには [ リモートアクセス設定 ] タスクを使用します認証不要なストアでは NetScaler Gatewayを介したリモートアクセスは許可されません重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインで [ リモートアクセス設定の構成 ] をクリックします 3. [ リモートアクセス設定の構成 ] ダイアログボックスでは公共のネットワーク上のユーザーにNetScaler Gatewayを介したアクセスを提供するかどうかおよびその方法を指定します公共のネットワーク上でストアをユーザーが使用できないようにするには [ リモートアクセスの有効化 ] チェックボックスをオフにしますこれにより内部ネットワークのローカルユーザーのみがストアにアクセスできるようになりますリモートアクセスを有効にするには [ リモートアクセスの有効化 ] をオンにします NetScaler Gateway 経由でアクセスするユーザーにストアのリソースのみを提供するには [VPN トンネルなし ] を選択しますこの場合ユーザーは NetScaler Gateway に直接ログオンするため NetScaler Gateway Plug-in を使用する必要はありません SSL(Secure Sockets Layer) 仮想プライベートネットワーク (VPN) トンネルを介して内部ネットワーク上のストアやほかのリソースへのアクセスを提供するには [ 完全 VPN トンネル ] を選択しますこの場合ユーザーは VPN トンネルを確立するための NetScaler Gateway Plug-in を使用する必要がありますストアへのリモートアクセスを有効にすると認証方法として NetScaler Gateway からのパススルーが自動的に有効になりますユーザーは NetScaler Gateway にログオンするときに認証されるためストアにアクセスするときは自動的にログオンできます 4. リモートアクセスを有効にした場合はユーザーがストアにアクセスするときに使用する展開環境を [NetScaler Gateway アプライアンス ] 一覧から選択しますこの一覧にはこのストアやほかのストアの作成時に追加したゲートウェイ環境が表示されます一覧にゲートウェイ環境を追加する場合は [ 追加 ] をクリックします追加しない場合は手順 26. に進みます 5. [ 全般設定 ] ページで NetScaler Gateway 展開環境にわかりやすい名前を指定しますここで指定する表示名がユーザーの Citrix Receiver に表示されますそのためユーザーが使用する NetScaler Gateway を判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gateway を簡単に特定できるように表示名に地理情報を含めることができます 6. 展開環境の仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0 の場合 ) の URL を入力します展開環境で使用する製品のバージョンを指定します StoreFront 展開環境の FQDN(Fully Qualified Domain Name: 完全修飾ドメイン名 ) は一意で NetScaler Gateway 仮想サーバーの FQDN と異なるものである必要があります StoreFront と NetScaler Gateway 仮想サーバーに同じ FQDN を使用することはサポートされていません 7. 展開環境で Access Gateway 5.0 が実行されている場合は手順 9. に進みますそれ以外の場合は必要に応じて NetScaler Citrix Systems, Inc. All rights reserved. p.93

94 GatewayアプライアンスのサブネットIPアドレスを指定しますサブネットIPアドレスは Access Gateway 9.3アプライアンスの場合は必須ですがそれより後の製品バージョンではオプションですこのサブネットアドレスは NetScaler Gatewayで内部ネットワークのサーバーと通信する時にユーザーデバイスを表すために使用するIPアドレスですこのアドレスは NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります StoreFront はサブネットIPアドレスを使用して受信要求が信頼されているデバイスから発信されているかどうかを検証します 8. NetScaler Gatewayのアプライアンスを追加する場合は [ ログオンの種類 ] の一覧から Citrix Receiverユーザー用にアプライアンスで構成した認証方法を選択します NetScaler Gatewayアプライアンスに関する構成情報はストアのプロビジョニングファイルに追加されますこれにより Citrix Receiverはアプライアンスへの初回接続時に適切な接続要求を送信できるようになりますユーザーのMicrosoft Active Directory ドメインの資格情報を入力させる場合は [ ドメイン ] を選択しますセキュリティトークンから取得するトークンコードを入力させる場合は [ セキュリティトークン ] を選択しますユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は [ ドメインおよびセキュリティトークン ] を選択しますテキストメッセージで送信されるワンタイムパスワードを入力させる場合は [SMS 認証 ] を選択しますスマートカードを挿入してPINを入力させる場合は [ スマートカード ] を選択しますスマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには [ スマートカードフォールバック ] の一覧から代替の認証方法を選択します手順 10. に進みます 9. Access Gateway 5.0のアプライアンスを追加する場合はユーザーのログオンポイントのホスト ( スタンドアロンのアプライアンスまたはクラスターの一部であるAccess Controller サーバー ) を指定しますクラスターを追加する場合は [ 次へ ] をクリックして手順 11. に進みます 10. NetScaler GatewayまたはスタンドアロンのAccess Gateway 5.0アプライアンスを追加する場合は [ コールバックURL] ボックスにNetScaler Gateway 認証サービスのURLを入力します URLの標準的な部分は自動的に補完されます [ 次へ ] をクリックして手順 13. に進みますアプライアンスの内部 URLを入力します StoreFront はNetScaler Gateway 認証サービスに接続して NetScaler Gateway からの要求の送信元がそのアプライアンスであることを確認します 11. StoreFront にAccess Gateway 5.0クラスターを追加する場合は [ アプライアンス ] ページでクラスター内のアプライアンスのIPアドレスまたはFQDNを一覧に追加して [ 次へ ] をクリックします 12. [ サイレント認証を有効にする ] ページで Access Controller サーバーで実行されている認証サービスのURLを一覧に追加します一覧に複数のサーバーのURLを追加するとその順番に基づいてフェールオーバーされます [ 次へ ] をクリックします StoreFront では認証サービスを使用してリモートユーザーが認証されるためリモートユーザーがストアにアクセスするときに資格情報を再入力する必要はありません 13. すべての展開環境で XenDesktopまたはXenAppが提供するリソースをストアで使用できるようにするには [Secure Ticket Authority(STA)] ページで STAを実行しているサーバーのURLを一覧に追加します一覧に複数のSTAのURLを追加するとその順番に基づいてフェールオーバーされます STAは XenDesktopおよびXenAppサーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktopおよびXenAppリソースへのアクセスを認証および承認するための基本機能です 14. Citrix Receiverが自動的に再接続を実行する間に切断したセッションを XenDesktopおよびXenAppで開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにします [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにするとセッションの途中で1つのSTAが使用 Citrix Systems, Inc. All rights reserved. p.94

95 できなくなってもユーザーセッションが中断されないように StoreFront により2つの異なるSTAからセッションチケットが取得されます StoreFront がどちらのSTAにもアクセスできない場合は単一のSTAを使用するようにフォールバックされます 15. [ 作成 ] をクリックしますこれにより [ リモートアクセス設定 ] ダイアログボックスの一覧にNetScaler Gatewayの展開環境が追加されます 16. 必要に応じて手順 4.~15. を繰り返し [NetScaler Gatewayアプライアンス ] の一覧にNetScaler Gatewayの展開環境を追加します一覧で複数のエントリを選択して複数のゲートウェイ環境を介したアクセスを有効にする場合はデフォルトで使用されるアプライアンスを選択します Citrix Systems, Inc. All rights reserved. p.95

96 Citrix Online アプリケーションをストアに統合する Nov 27, 2017 注意 3.12からは StoreFront 管理コンソールでこの機能を構成することはできません StoreFront 3.12へのアップグレードでは引き続きこの機能を使用できます構成を変更するには PowerShellコマンドレットのUpdate-DSGenericApplications を使用します以前のバージョンのStoreFront 管理コンソールでこの機能を構成する方法について詳しくは StoreFront 3.11の記事の Citrix Online の統合を参照してください名前 Update-DSGenericApplications 概要ストアサービスの一般的なアプリケーション設定を更新します構文 Update-DSGenericApplications [[-StoreServiceSiteId] ] [[-StoreServiceVirtualPath] ] [[-GoToMeetingEnabled] ] [[- GoToMeetingDeliveryOption] ] [[-GoToWebinarEnabled] ] [[-GoToWebinarDeliveryOption] ] [[-GoToTrainingEnabled] ] [[- GoToTrainingDeliveryOption] ] [] 説明ストアサービスの一般的な (Citrix Online) 機能を更新するために使用されるコマンドレット Citrix Systems, Inc. All rights reserved. p.96

97 共通のサブスクリプションデータストアを共有する 2 つの StoreFront ストアの構成 Nov 27, 2017 StoreFront Version 2.0 以降ではサブスクリプションデータの管理にSQLデータベースを使用することはなくなりました SQLデータベースはWindowsデータストアに置き替えられていますこのデータストアは StoreFront を初めてインストールするときに追加の構成が必要ありませんこのWindowsデータストアは各 StoreFront サーバーにローカルにインストールされます StoreFront サーバーグループ環境では各サーバーでそのデータストアが使用するサブスクリプションデータのコピーも管理されますこのデータはほかのサーバーに反映されグループ全体でユーザーのサブスクリプションが管理されますデフォルトでは StoreFront は各ストアに対して1つのデータストアを作成します各サブスクリプションデータストアはストアごとに独立して更新されます異なる構成設定が必要な場合一般的には管理者が2つの異なるストアでStoreFront を構成しますストアの1つは NetScaler Gatewayを使用してリソースに外部アクセスするためもう1つは会社のLANを使用して内部アクセスするために設定しますストア用 web.configファイルに簡単な変更を加えることで共通のサブスクリプションデータストアを共有するように外部ストアと内部ストアの両方を構成できます 2つのストアとそれらのサブスクリプションデータストアを使用するデフォルトのシナリオではユーザーが同じリソースを 2 回サブスクライブする必要があります共通のサブスクリプションデータベースを共有するように2つのストアを構成するとユーザーが同じリソースに会社のネットワーク内外から簡単にアクセスできるようになりローミングエクスペリエンスが向上します共有サブスクリプションデータストアを使用すると新しいリソースを最初にサブスクライブするときにユーザーが外部ストアを使用しているのか内部ストアを使用しているのかは問題になりません各ストアの web.config ファイルはC:\inetpub\wwwroot\citrix\<storename> にあります各ストアの web.config には Subscription Store Service のクライアントエンドポイントが含まれています StoreName>" authenticationmode="windows" transfermode="streamed"> 各ストアのサブスクリプションデータは次の場所にあります C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\1 Citrix_<StoreName> 2 つのストアでサブスクリプションデータストアを共有するには一方のストアがもう一方のストアのサブスクリプションサービスエンドポイントを参照するように設定しますサーバーグループ展開環境ではすべてのサーバーが定義された同一の組み合わせのストアとこれらの両ストアが共有する共有データストアの同一のコピーを持ちます注 : 各ストアの XenApp XenDesktop および App Controller の構成は一致している必要があります構成が一致していない場合各ストアでのリソースのサブスクリプションが一貫しなくなることがありますデータストアの共有は 2 つのストアが同じ StoreFront サーバーまたはサーバーグループ展開環境に存在する場合にのみサポートされます St orefront サブスクリプションデータストアのエンドポイント 1. 単一 StoreFront 展開環境ではメモ帳を使用して外部ストアの web.config ファイルを開き clientendpoint を検索します例 : External" authenticationmode="windows" transfermode="streamed"> Citrix Systems, Inc. All rights reserved. p.97

98 2. 外部ストアエンドポイントを内部ストアエンドポイントと一致するように変更します Internal" authenticationmode="windows" transfermode="streamed"> 3. StoreFront サーバーグループを使用している場合はプライマリノードの web.config ファイルに対する変更をほかのすべてのノードに反映させます両ストアが内部ストアのサブスクリプションデータストアを共有するように設定されました Citrix Systems, Inc. All rights reserved. p.98

99 上級ストア設定 Nov 27, 2017 [ ストア設定の構成 ] の [ 詳細な設定 ] ページを使って詳細ストアのプロパティを構成できますアドレス解決の種類フォントスムージングを許可するセッションの再接続を許可する特殊なフォルダーのリダイレクトを許可するバックグラウンドヘルスチェックポーリング期間通信のタイムアウト期間接続タイムアウト拡張列挙機能を有効にするソケットプール機能の有効化リソースを除外キーワードでフィルターするリソースを包含キーワードでフィルターするリソースを種類でフィルターする同時列挙の最大数同時列挙の最小ファーム数 ICAクライアント名を上書きするトークンの整合性を要求するサーバー通信試行回数古いクライアントでDesktop Viewerを表示する Important 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択し真ん中のペインでストアを選択して [ 操作 ] Citrix Systems, Inc. All rights reserved. p.99

100 ペインで [ ストア設定の構成 ] を選択します 3. [ ストア設定の構成 ] ページで [ 詳細な設定 ] を選択して構成する詳細オプションを選択し必要な変更を加えて [OK] をクリックします [ 詳細な設定 ] タスクを使ってサーバーからの要求のアドレスの種類を指定しますデフォルトは [DnsPort] です [ 詳細な設定 ] の [ アドレス解決の種類 ] ドロップダウンメニューから以下のいずれかを選択します DNS DnsPort IPV4 IPV4Port ドット DotPort Uri 0 = 変更なし HDX セッションでフォントスムージングを行うかどうかを指定できますデフォルトは [On] です [ 詳細な設定 ] タスクを使用して [ フォントスムージングを許可する ] チェックボックスをチェックし [OK] をクリックします HDX セッションが再接続されるようにするかどうかを指定できますデフォルトは [On] です [ 詳細な設定 ] タスクを使用して [ セッションの再接続を許可する ] チェックボックスをチェックし [OK] をクリックしてセッションの再接続を有効にします [ 詳細な設定 ] タスクを使ってユーザーフォルダーのリダイレクトを有効または無効にしますユーザーフォルダーのリダイレクト機能によりサーバー上の Windows の特殊フォルダーがローカルコンピューター上のフォルダーにマップされますユーザーフォルダーという用語は [ ドキュメント ] [ デスクトップ ] などユーザー固有の Windows フォルダー ( 特殊フォルダー ) を指すもので Windows のバージョンが異なっていても同様のフォルダーが存在します [ 詳細な設定 ] タスクを使用して [ 特殊なフォルダーのリダイレクトを許可する ] チェックボックスをオンまたはオフにして特殊なフォルダーのリダイレクトを有効または無効にし [OK] をクリックします StoreFront は各 XenDesktop ブローカーや XenApp サーバー上で定期的にヘルスチェックを実行し断続的なサーバー可用性のインパクトを減少させますデフォルトは1 分毎 (00:01:00) です [ 詳細な設定 ] タスクを使用して [ バックグラウンドヘルスチェックポーリング期間 ] の時間を指定し [OK] をクリックしてヘルスチェックの頻度を制御しますデフォルトではストアにリソースを提供するサーバーへの StoreFront からの要求は 30 秒でタイムアウトします通信の試行が1 回失敗するとサーバーが使用できないとみなされます [ 詳細な設定 ] タスクを使用してデフォルトの時間に変 Citrix Systems, Inc. All rights reserved. p.100

更を行い [OK] をクリックしてこれらの設定を変更します Delivery Controller で最初の接続を確立するときに待機する秒数を指定できますデフォルトは 6 です [ 詳細な設定 ] タスクを使用して最初の接続を確立するときに待機する秒数を指定して [OK] をクリックします Delivery Controller で並列通信を有効 ( 無効 ) にすることができます

101 更を行い [OK] をクリックしてこれらの設定を変更します Delivery Controller で最初の接続を確立するときに待機する秒数を指定できますデフォルトは 6 です [ 詳細な設定 ] タスクを使用して最初の接続を確立するときに待機する秒数を指定して [OK] をクリックします Delivery Controller で並列通信を有効 ( 無効 ) にすることができますデフォルトは [On] です [ 詳細な設定 ] タスクを使用して [ 拡張列挙機能を有効にする ] チェックボックスをオン ( オフ ) にし [OK ] をクリックしますストアのソケットプール機能はデフォルトでは無効になっていますソケットプール機能を有効にすると StoreFront でソケットのプールが保持されますこれにより必要になるたびにソケットを作成して接続が閉じたときにオペレーティングシステムに戻すという処理が不要になりますこの機能を有効にすると特に SSL(Secure Sockets Layer) 接続でパフォーマンスが向上しますソケットプール機能を有効にするにはストアの構成ファイルを編集します [ 詳細な設定 ] タスクを使用し [ ソケットプール機能を有効にする ] チェックボックスをオンにして [OK] をクリックしてソケットプール機能を有効にします一致するリソースを除外キーワードでフィルターできます除外キーワードを指定するとそれまで構成されていた包含キーワードは削除されます既定値 :[ フィルターなし ]( どのリソースの種類も除外されません ) [ 詳細な設定 ] タスクを使用して [ リソースを除外キーワードでフィルターする ] を選択しその右側をクリックしてセミコロンで区切ったキーワードをキーワード入力用ボックスに入力してから [OK] をクリックします一致するリソースを包含キーワードでフィルターできます包含キーワードを指定するとそれまで構成されていた除外キーワードは削除されます既定値 :[ フィルターなし ]( どのリソースの種類も除外されません ) [ 詳細な設定 ] タスクを使用して [ リソースを包含キーワードでフィルターする ] を選択しその右側をクリックして Citrix Systems, Inc. All rights reserved. p.101

102 セミコロンで区切ったキーワードをキーワード入力用ボックスに入力してから [OK] をクリックしますリソースの列挙に含めるリソースの種類を選択します既定値 :[ フィルターなし ]( すべてのリソースの種類が含まれます ) [ 詳細な設定 ] タスクを使用して [ リソースを種類でフィルターする ] を選択しその右側をクリックして列挙に含めるリソースの種類を選択し [OK] をクリックします複数の Delivery Controller に送信する同時要求の最大数を指定します規定値は 0( 制限なし ) です [ 詳細な設定 ] タスクを使用して [ 同時列挙の最大数 ] を選択し [OK] をクリックします並列で列挙を行う Delivery Controller の最小数を指定しますデフォルトは [3] です [ 詳細な設定 ] タスクを使用して [ 同時列挙の最小ファーム数 ] を選択し数値を入力してから [OK] をクリックします.ica 起動ファイルのクライアント名設定を Citrix Receiver for Webで生成されたIDで上書きします無効にすると Citrix Receiverによってクライアント名が指定されますデフォルトは [Off] です [ 詳細な設定 ] タスクを使用して [ICA クライアント名を上書きする ] チェックボックスをオンにし [OK] をクリックします有効にすると StoreFront によって認証に使用されるゲートウェイとストア全体のゲートウェイとの整合性が強制されますこれらの値に不整合がある場合ユーザーは再認証を行う必要があります Smart Access ではこのオプションを有効にする必要がありますデフォルトは [On] です [ 詳細な設定 ] タスクを使用して [ トークンの整合性を要求する ] チェックボックスをオンにし [OK] をクリックします Delivery Controller が利用不可とマークされるまでの Delivery Controller との通信を試行する回数を指定しますデフォルトは [1] です [ 詳細な設定 ] タスクを使用して [ サーバー通信試行回数 ] を選択し数値を入力して [OK] をクリックしますユーザーが古いクライアントからデスクトップにアクセスする際に Citrix Desktop Viewer ウィンドウおよびツールバーを表示するかどうかを指定しますデフォルトは [Off] です [ 詳細な設定 ] タスクを使用して [ 古いクライアントで Deskt op Viewer を表示する ] チェックボックスをオンにし [OK] をクリックします Citrix Systems, Inc. All rights reserved. p.102

103 Citrix Receiver for Web サイトの管理 Nov 27, 2017 Citrix Receiver for Web を使ってさまざまなデバイスからアプリケーションデータデスクトップに簡単かつ安全にアクセスできます StoreFront を使って Citrix Receiver for Web に対する Citrix Receiver for Web アプリケーションを構成します StoreFront 管理コンソールを使って次の Citrix Receiver for Web 関連タスクを実行します Citrix Receiver for Web サイトの作成 Citrix Receiver for Web サイトを作成し Web ページを経由してストアにアクセスできます Citrix Receiver for Web サイトの構成 Receiver for Web サイトの設定を変更します統合 Receiver エクスペリエンスのサポートの構成 StoreFront はクラシックと統合の両方のユーザーエクスペリエンスをサポートします新しい統合エクスペリエンスは中央集中管理された HTML5 ユーザーエクスペリエンスおすすめのアプリケーションの作成および管理特定のカテゴリに関連するまたはそれと適合するエンドユーザーに対するお勧めのアプリケーショングループを作成しますワークスペースコントロールの構成ワークスペースコントロール機能を有効にするとユーザーがセッションの途中でデバイスを切り替えても新しいデバイス上でそのアプリケーションでの作業を継続できます Citrix Receiver for HTML5のブラウザータブ使用の構成ユーザーが Citrix Receiver for HTML5 を使用してショートカットからリソースを起動した場合新しいタブが表示されるのではなく既存のブラウザータブの Citrix Receiver for Web サイトが置き換わりそこでデスクトップまたはアプリケーションが起動するように指定します通信のタイムアウト期間および再試行回数の構成デフォルトでは Citrix Receiver for Web サイトからそのストアへの要求は 3 分でタイムアウトします通信の試行が 1 回失敗するとストアが使用できないとみなされますデフォルトの設定を変更できます Citrix Systems, Inc. All rights reserved. p.103

104 Citrix Receiver for Web サイトの作成 Nov 27, 2017 ユーザーが Web ページからストアにアクセスできるようにするには [Web サイトの作成 ] タスクを使用して Receiver for Web サイトを追加します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して Citrix Receiver for Web サイトを作成するストアを選択し [ 操作 ] ペインの [Receiver for Web サイトの管理 ] をクリックします 3. [ 追加 ] をクリックして新しいCitrix Reciver for Webサイトを作成します [Webサイトパス] ボックスに希望するURL を指定して [ 次へ ] をクリックします 4. Citrix Receiverエクスペリエンスを選択して [ 次へ ] をクリックします 5. 認証方法を選択して [ 作成 ] をクリックしサイトが作成されたら [ 完了 ] をクリックしますユーザーがこの Citrix Receiver for Web サイトにアクセスするための URL が表示されます Citrix Receiver for Web サイトの設定の変更について詳しくは Citrix Receiver for Web サイトの構成を参照してくださいデフォルトではユーザーが Windows または Mac OS X が動作するコンピューターから Receiver for Web サイトにアクセスすると Citrix Receiver がユーザーデバイスにインストール済みであるかどうかが判別されます Citrix Receiver が検出されない場合はプラットフォームに適した Citrix Receiver をダウンロードしてインストールするためのページが開きますこの動作を変更する方法については Citrix Receiver の検出と展開の無効化を参照してください Receiver for Web サイトのデフォルト構成ではデスクトップとアプリケーションにアクセスするためにユーザーが適切なバージョンの Citrix Receiver をインストールする必要があります Citrix Receiver for Web サイトの Receiver for HTML5 を有効にすると Citrix Receiver をインストールできないユーザーもリソースにアクセスできるようになります詳しくは Citrix Receiver for Web サイトの構成を参照してください Citrix Systems, Inc. All rights reserved. p.104

105 Citrix Receiver for Web サイトの構成 Nov 27, 2017 Citrix Receiver for Webサイトを構成するとユーザーがWebページからストアにアクセスできるようになります以下のタスクでは Citrix Receiver for Webサイトの設定を変更します一部の詳細設定を変更するにはサイトの構成ファイルを編集する必要があります詳しくは構成ファイルを使ったCitrix Receiver for Webサイトの構成を参照してください重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します Citrix Receiver for Web サイトに接続するユーザーの認証方法を指定するには [ 認証方法 ] タスクを使用しますこれにより各 Receiver for Web サイトでは認証方法のサブセットを指定できます 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します 3. [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックし [ 認証方法 ] を選択してユーザーに提供するアクセス方法を選択します指定ユーザー認証を有効にするには [ ユーザー名とパスワード ] チェックボックスをオンにしますこの場合ユーザーは資格情報を入力してストアにアクセスします SAML IDプロバイダーとの統合を有効にするには [SAML 認証 ] チェックボックスをオンにしますユーザーは Access Gateway にログオンすることによって認証を受けストアにアクセスする時は自動的にログオンします [ 設定 ] ボックスの一覧で次を選択します [ID プロバイダー ]:ID プロバイダーの信頼性を構成する場合サービスプロバイダー : サービスプロバイダーの信頼性を構成する場合この情報は IDプロバイダーから要求されますユーザーデバイスから Active Directory ドメイン資格情報がパススルーされるようにするには [ ドメインパススルー ] チェックボックスをオンにしますこの場合ユーザーはドメインに参加している Windows コンピューターにログオンする時に認証されるためストアにアクセスする時は自動的にログオンできますこのオプションを使用する場合は Citrix Receiver for Windows をユーザーデバイスにインストールする時にパススルー認証を有効にする必要があります Citrix Receiver for Web でのドメインパススルー認証は Windows 上の Chrome Firefox Internet Explorer Edge でのみサポートされることに注意してくださいスマートカード認証を有効にするには [ スマートカード ] チェックボックスをオンにしますユーザーはスマートカードと PIN を使ってストアにアクセスします NetScaler Gateway からのパススルー認証を有効にするには [NetScaler Gateway からのパススルー ] チェックボックスをオンにしますユーザーは NetScaler Gateway にログオンする時に認証されるためストアにアクセスする時は自動的にログオンできます 4. 認証方法を選択したら [OK] をクリックします認証方法の設定の変更について詳しくは認証サービスの構成を参照してください内部ネットワーク上でホストされているWebサイトからデスクトップやアプリケーションにすばやくアクセスできるようにするには [Webサイトへのショートカットの追加] タスクを使用します Citrix Receiver for Webサイトで配信するリソースのURLを生成してこれらのリンクをWebサイトに埋め込みますユーザーがリンクをクリックすると Receiver for WebサイトにリダイレクトされますここでユーザーがReceiver for Webサイトにログオンしていない場合はログオンします Receiver for Webサイトではリソースが自動的に起動しますユーザーがサブスクライブしていないアプリケーションの場 Citrix Systems, Inc. All rights reserved. p.105

106 合は自動的にサブスクライブされます 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでサイトを選択します 3. [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックし [Web サイトのショートカット ] を選択します 4. [ 追加 ] をクリックしてショートカットをホストしようとする Web サイトの URL を入力します URLは http[s]://hostname[:port], の形式で指定する必要がありますここで hostname は Web サイトホストの完全修飾ドメイン名です port はホストとの通信に使用するポートでプロトコルのデフォルトポートを使用できない場合に指定します Web サイトの特定のページへのパスを指定する必要はありません URL を変更するには [Web サイト ] の一覧でエントリを選択して [ 編集 ] をクリックします Citrix Receiver for Web サイトのホストのリソースへのショートカットを削除するには一覧で Web サイトを選択して [ 削除 ] をクリックします 5. [ ショートカットを取得 ] をクリックし変更内容の保存を確認するメッセージが表示されたら [ 保存 ] をクリックします 6. Web ブラウザーに表示された Citrix Receiver for Web サイトにログオンして必要な URL をコピーしますまた Citrix Receiver for Web サイト上のユーザーセッションはデフォルトでアイドル状態が 20 分続くとタイムアウトしますユーザーはセッションがタイムアウトしても既に実行中のデスクトップとアプリケーションを引き続き使用できますがアプリケーションのサブスクライブなどの Citrix Receiver for Web サイトの機能にアクセスするには再ログオンする必要があります [Receiver for Webサイトの管理 ] の [ セッションのタイムアウト ] タスクを使ってセッションのタイムアウト値を変更します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. 左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ] [ 構成 ] の順にクリックし [ セッション設定 ] を選択しますセッションタイムアウトの時間と分を指定できますすべての時間間隔の最小値は 1 です最大値は各時間間隔で 1 年に相当する値です [Receiver f or Web サイトの管理 ] の [Receiver f or Web でのアプリケーションおよびデスクトップ表示 ] タスクを使ってセッションのタイムアウト値を変更します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. 左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver for Webサイトの管理 ] [ 構成 ] の順にクリックし [ クライアントインターフェイス設定 ] を選択します 3. [ ビューの選択 ] および [ デフォルトビュー ] ドロップダウンメニューから表示するビューを選択しますフォルダービューを有効にするには次の手順を実行します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. 左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [ 詳細な設定 ] を選択し [ フォルダービューを有効にする ] をオンにしますデフォルトでは Citrix Receiver for Web サイトによりプロビジョニングファイルが提供されますユーザーはこのファイ Citrix Systems, Inc. All rights reserved. p.106

107 ルを使用して Citrix Receiver でストアを構成しますこのプロビジョニングファイルにはその Receiver for Web サイトのリソースを提供するストアに接続するための詳細 (NetScaler Gateway 展開環境やビーコンの詳細など ) が定義されています [Receiver f or Web サイトの管理 ] の [Receiver 構成を有効にする ] タスクを使ってセッションのタイムアウト値を変更します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. 左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックし [ クライアントインターフェイス設定 ] を選択します 3. [Receiver 構成を有効にする ] をオンにします Citrix Receiverをインストールしていない WindowsまたはMac OS Xユーザーがアクセスした時のCitrix Receiver for Web サイトの動作を構成するには [Citrix Receiver の展開 ] タスクを使用しますデフォルトでは Windows または Mac OS X を実行しているコンピューターからアクセスすると Citrix Receiver がインストールされているかどうかが自動的に判別されます Citrix Receiver が検出されない場合はプラットフォームに適した Citrix Receiver をダウンロードしてインストールするためのページが開きますデフォルトのダウンロード元は Citrix 社の Web サイトですが StoreFront サーバーにインストールファイルをコピーしてユーザーにこれらのローカルファイルを提供することもできます Citrix Receiver をインストールできないユーザーについては Citrix Receiver for Web サイトで Citrix Receiver for HTML5 を有効にできます Citrix Receiver for HTML5 を使用するとデスクトップやアプリケーションに HTML5 互換の Web ブラウザーからアクセスできますデバイスに Citrix Receiver をインストールする必要はありません内部ネットワーク接続および外部ネットワークから NetScaler Gateway 経由での接続の両方がサポートされていますただし内部ネットワークからの接続の場合 Citrix Receiver for HTML5 では特定の製品で提供されるリソースにのみアクセスできますさらに社内ネットワークの外から接続できるようにするには特定のバージョンの NetScaler Gateway が必要です詳しくはインフラストラクチャの要件を参照してくださいデフォルトでは内部ネットワーク上のローカルユーザーが XenDesktop や XenApp で提供されるリソースに Citrix Receiver fo HTML5 でアクセスすることはできません Citrix Receiver for HTML5 でデスクトップやアプリケーションへのローカルアクセスを有効にするには XenDesktop および XenApp のサーバー側でポリシーの [ICA WebSockets 接続 ] を有効にする必要があります XenDesktop および XenApp では Citrix Receiver for HTML5 での接続にポート 8008 が使用されますファイアウォールやほかのネットワークデバイスでこのポートへのアクセスが許可されることを確認してください詳しくは WebSocket のポリシー設定を参照してください Citrix Receiver for HTML5 は Internet Explorer では HTTP 接続でのみ使用できます Mozilla Firefox で HTTPS 接続の Citrix Receiver for HTML5を使用するには Firefoxのアドレスバーに about :config と入力し [net work.websocket.allowinsecurefromht T PS] をt rue に設定します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでサイトを選択します [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [Cit rix Receiver の展開 ] を選択しユーザーのデバイスでCitrix Receiverが検出されない場合の Citrix Receiver for Web サイトの動作を指定しますプラットフォームに適したCitrix Receiverをダウンロードしてインストールするためのページを表示するには [ ローカルにインストール ] を選択しますこの場合ユーザーがReceiver for Webサイトからデスクトップやアプリケーションにアクセスするには Citrix Receiver のインストールが必要になります [ ユーザーによる HDX エンジン ( プラグイン ) のダウンロードを許可する ] をオンにすると Citrix Receiverを使用できない場合は Citrix Receiver for Web によりユーザーは Citrix Receiver をエンドユーザークライアント上にダウンロード Citrix Systems, Inc. All rights reserved. p.107

108 してインストールできます [ ログオン時にプラグインをアップグレードする ] を選択すると Citrix Receiver for Webではユーザーのログオン時に Citrix Receiver クライアントがアップグレードされますこの機能を有効にするには StoreFront サーバー上で Citrix Receiver ファイル使用できるようにしてくださいドロップダウンメニューからソースを選択します Citrix Receiver をダウンロードしてインストールするためのメッセージが表示された時にインストールができない場合は Citrix Receiver for HTML5が使用できるように [ ローカルの Receiver が使用できない場合は Receiver f or HT ML5 を使用する ] を選択しますこの場合 Citrix Receiverをインストールしていないユーザーが Receiver for Webサイトにログオンするたびに Citrix Receiver をダウンロードしてインストールすることを求めるメッセージが表示されます Citrix Receiver をダウンロードしてインストールすることを求めるメッセージを表示せずに Citrix Receiver for HTML5 を使用してリソースにアクセスできるようにするには [ 常に Receiver f or HT ML5 を使用する ] を選択しますこの場合ユーザーは常に Citrix Receiver for HTML5 を使用してデスクトップやアプリケーションにアクセスしますただし HTML 互換の Web ブラウザーが必要です HTML5 互換の Web ブラウザーがない場合は通常の Citrix Receiver をインストールする必要がありますデフォルトではユーザーが Windows または Mac OS X が動作するコンピューターから Citrix Receiver for Web サイトにアクセスすると Citrix Receiver がユーザーデバイスにインストール済みであるかどうかが判別されます Citrix Receiver が検出されない場合はプラットフォームに適した Citrix Receiver をダウンロードしてインストールするためのページが開きます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでサイトを選択します [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [Cit rix Receiver の展開 ] および [Receivers のソース ] を選択しインストールファイルを指定しますユーザーのコンピューターに Citrix Receiver がまだインストールされていない場合 (Internet Explorer Firefox および Safari ユーザー ) またはユーザーが初めてサイトにアクセスした場合 (Chrome ユーザー ) Citrix Receiver for Web により StoreFront にログオンする前に最新の Citrix Receiver をインストールするよう求められます構成により異なりますがユーザーの Citrix Receiver インストールがアップグレード可能かどうかも表示される場合があります StoreFront へのログイン後にプロンプトを表示するように Citrix Receiver for Web を構成できます 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでサイトを選択します 3. [ 操作 ] ペインで [Receiver f or Web サイトの管理 ] [ 構成 ] の順にクリックします 4. [ 詳細な設定 ] を選択し [ ログオン後に Cit rix Receiver のインストールメッセージが表示されます ] をオンにします [ 操作 ] ペインで [Receiver f or Web サイトの管理 ] を使用してCitrix Receiver for Webサイトを削除しますサイトを削除するとユーザーはそのWebページを使用してストアにアクセスできなくなります Citrix Systems, Inc. All rights reserved. p.108

109 統合 Citrix Receiver エクスペリエンスのサポート Nov 27, 2017 StoreFront はクラシックと統合統合の両方のユーザーエクスペリエンスをサポートしますクラシックエクスペリエンスでは配信は各 Citrix Receiver のプラットフォームのユーザーエクスペリエンスに依存します新しい統合エクスペリエンスは集中管理された HTML5 ユーザーエクスペリエンスをすべての Web およびネイティブ Citrix Receiver に配信しますこれはカスタマイズとお勧めのアプリケーショングループの管理をサポートしていますこのバージョンの StoreFront を使って作成されたストアはデフォルトで統合エクスペリエンスを使用しますがアップグレードされたものについてはデフォルトでクラシックエクスペリエンスとなります統合エクスペリエンスをサポートするには StoreFront ストアを Receiver for Web サイトに割り当てる必要がありそのサイトが統合エクスペリエンスを使用するように構成する必要があります重要 : 制限付きゾーンにReceiver for Webサイトを追加した場合統合エクスペリエンスはサポートされません制限付きゾーンに Receiver for Web サイトを追加する必要がある場合クラシックエクスペリエンスを使用するようにストアを設定します StoreFront 管理コンソールを使って次の Citrix Receiver for Web 関連タスクを実行します Citrix Receiver for Web サイトの作成 Citrix Receiver for Web サイトエクスペリエンスの変更ストアに割り当てる統合 Citrix Receiver for Web サイトの選択 Receiver の外観をカスタマイズします重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します注意 XenApp 6.xを使用している場合統合エクスペリエンスが有効な [ クライアントにストリーム配信する ] または [ ストリーム配信できない場合はサーバー上で実行する ] に設定したアプリケーションはサポートされませんストアを作成すると Citrix Receiver for Webサイトが自動的に作成されますまた次のことを実行して追加のReceiver for Webサイトを作成することもできます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver for Webサイトの管理 ]>[ 追加 ] の順にクリックしてウィザードの指示に従います Citrix Receiver for WebのWebサイトがクラシッククラシックまたは統合統合エクスペリエンスを配信するかどうかを選択できますクラシックエクスペリエンスを有効にすると詳細なカスタマイズとお勧めのアプリケーショングループの管理ができなくなります 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします Citrix Systems, Inc. All rights reserved. p.109

110 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択し真ん中のペインで変更するストアを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ] 次に[ 構成 ] の順にクリックします 3. [Receiver エクスペリエンス ] を選択し [ クラシックエクスペリエンスの無効化 ] または [ クラシックエクスペリエンスの有効化 ] を選択しますストアに割り当てる統合 Citrix Receiver for Web サイトの選択 StoreFront を使って新しいストアが作成されると統合モードの Citrix Receiver for Web サイトが自動的に作成されストアに割り当てられますただし以前のバージョンの StoreFront からアップグレードした場合はデフォルトでクラシックエクスペリエンスに設定されます Citrix Receiver for Web サイトを選択してストアに統合エクスペリエンスを提供するにはクラシックエクスペリエンスを無効にして作成された Citrix Receiver for Web サイトが 1 つ以上必要です 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択し真ん中のペインでストアを選択して [ 操作 ] ペインで [ 統合エクスペリエンスの構成 ] をクリックしますストアのデフォルトとしては ( クラシックエクスペリエンスを無効にして ) 統合エクスペリエンスをサポートする Web サイトだけを使用できます作成された Citrix Receiver for Web の Web サイトがない場合は新しい Receiver for Web の Web サイトの作成へのリンクを含むメッセージが表示されますまた既存の Receiver for Web サイトを Receiver for Web の Web サイトに変更することもできます Citrix Receive エクスペリエンスを参照してください 3. Citrix Receiver for Webサイトを作成したらこのストアの [ 統合エクスペリエンスの構成 ] を選択し特定のWebサイトを選択します Important Receiver for Webサイト上で統合エクスペリエンスをクラシックエクスペリエンスに変更する場合ネイティブのCitrix Receiverクライアントに影響が及ぶ可能性がありますこのReceiver fot Webサイト上でエクスペリエンスを統合エクスペリエンスに戻してもネイティブのCitrix Receiverクライアントのエクスペリエンスが統合エクスペリエンスに更新されることはありません管理コンソールで [ ストア ] ノードの統合エクスペリエンスをリセットする必要があります Citrix Receiver の外観をカスタマイズするにはお使いの Citrix Receiver for Web の Web サイトでクラシック Citrix Receiver エクスペリエンスを無効にする必要があります 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [Receiver エクスペリエンス ]>[ クラシックエクスペリエンスの無効化 ] の順に選択します 4. [ 外観のカスタマイズ ] を選択し項目を選択してログオン後のWebサイトの表示方法をカスタマイズします Citrix Systems, Inc. All rights reserved. p.110

112 おすすめのアプリケーションの作成および管理 Nov 27, 2017 特定のカテゴリに関連するまたはそれと適合するエンドユーザーに対するお勧めのアプリケーショングループを作成できますたとえば営業部により使用されるアプリケーションを含む営業部におすすめのアプリケーショングループを作成できますアプリケーション名を使ったり Studio コンソールで定義されたキーワードまたはあプリケーションカテゴリを使ったりして StoreFront 管理コンソールでおすすめのアプリケーションを定義できます [ おすすめのアプリケーショングループ ] タスクを使っておすすめのアプリケーショングループを追加編集または削除します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新しますこの機能はクラシックエクスペリエンスを無効にした場合に限り使用できます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [ おすすめのアプリケーショングループ ] を選択します 4. [ おすすめのアプリケーショングループ ] ダイアログボックスで [ 作成 ] をクリックして新しいお勧めのアプリケーショングループを定義します 5. [ お勧めのアプリケーショングループの作成 ] ダイアログボックスでおすすめのアプリケーショングループ名説明 ( 任意 ) 背景およびおすすめのアプリケーショングループを定義する方法を指定しますキーワードアプリケーション名またはアプリケーションカテゴリを選択し [OK] をクリックしますオプション説明キーワード Studio でキーワードを定義しますアプリケーションカテゴリ Studio でアプリケーションカテゴリを定義しますアプリケーション名アプリケーション名を使っておすすめのアプリケーショングループを定義します [ お勧めのアプリケーショングループの作成 ] ダイアログボックスのここに含まれている名前と一致するすべてのアプリケーション名はおすすめのアプリケーショングループに含まれます StoreFront はアプリケーション名でワイルドカードをサポートしません一致する内容では大文字と小文字は区別されませんが全体が一致する必要がありますたとえば Excel と入力すると StoreFront では公開アプリケーション名のMicrosoft Excel 2013が一致となりますが Exc と入力しても一致するものはありませんたとえば次のように指定します Citrix Systems, Inc. All rights reserved. p.112

113 2 つのおすすめアプリケーショングループを作成しましたコラボレーション - Studio のCollaborat ion カテゴリに含まれるアプリケーションとの一致を指定することによって作成しました開発 - アプリケーショングループに名前を付けてアプリケーション名のコレクションを指定することによって作成しました Citrix Systems, Inc. All rights reserved. p.113

114 ワークスペースコントロールの構成 Nov 27, 2017 ワークスペースコントロール機能を有効にするとユーザーがセッションの途中でデバイスを切り替えても新しいデバイス上でそのアプリケーションでの作業を継続できますこれによりたとえば病院で臨床医がほかのワークステーションに移動しても移動先のデバイスでアプリケーションを起動し直す必要がなくなります Citrix Receiver for Webサイトではワークスペースコントロールがデフォルトで有効になりますワークスペースコントロールを無効にしたり設定を変更したりするにはサイトの構成ファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. 左ペインで [ ストア ] を選択し [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]> 構成の順にクリックします 3. [ ワークスペースコントロール ] を選択します 4. ワークスペースコントロールのデフォルト設定を構成します以下の設定が含まれますワークスペースコントロールの有効化セッション再接続オプションの設定ログオフ操作の指定 Citrix Systems, Inc. All rights reserved. p.114

115 Citrix Receiver for HTML5 のブラウザータブ使用の構成 Nov 27, 2017 デフォルトでは Citrix Receiver for HTML5は新しいブラウザータブでデスクトップやアプリケーションを起動しますただしユーザーがCitrix Receiver for HTML5を使用してショートカットからリソースを起動した場合既存のブラウザータブの Citrix Receiver for Webサイトが置き換わりそこでデスクトップまたはアプリケーションが起動します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. 左ペインで [ ストア ] を選択し [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]> 構成の順にクリックします 3. [Cit rix Receiver の展開 ] を選択します 4. [ 展開オプション ] ドロップダウンメニューから [ 常に HT ML 5 Receiver を使用する ] を選択しアプリケーションを起動するタブに応じて [Receiver f or Web と同じタブでアプリケーションを起動 ] をオンまたはオフにします Citrix Systems, Inc. All rights reserved. p.115

116 通信のタイムアウト期間および再試行回数の構成 Nov 27, 2017 デフォルトでは Citrix Receiver for Web サイトからそのストアへの要求は 3 分でタイムアウトします通信の試行が 1 回失敗するとストアが使用できないとみなされますデフォルトの設定を変更するには [ セッション設定 ] タスクを使用します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択し真ん中のペインでストアを選択して [ 操作 ] ペインで [Receiver f or Web サイトの管理 ]>[ 構成 ] の順にクリックします 3. [ セッション設定 ] を選択し変更を加えて [OK/ 適用 ] をクリックして変更を保存します Citrix Systems, Inc. All rights reserved. p.116

117 ユーザーアクセスの構成 Nov 27, 2017 このアーティクルは次の情報で構成されています XenApp Services サイトを介した接続のサポートすべてのCitrix Receiverに対するワークスペースコントロールの再接続を無効にするユーザーサブスクリプションの構成サブスクリプションデータの管理 Important 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します XenApp Services サイトのURLからストアにアクセスできるようにするには [XenApp Services サポートの構成 ] タスクを使用しますドメインに参加しているデスクトップアプライアンスのユーザー Citrix Desktop Lock を実行している再目的化された PC のユーザーおよびアップグレードできない古いバージョンの Citrix クライアントのユーザーは XenApp Services サイトから直接そのストアに接続できますデフォルトでは新しいストアを作成するときに XenApp Services サイトの URL が有効になります重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインの [XenApp Services サポートの構成 ] をクリックします 3. [XenApp Services サポートを有効にする ] チェックボックスをオンまたはオフにして XenApp Services サイトのURLを介したストアへのユーザーアクセスを有効または無効にしますストアの XenApp Services URL の形式は http[s]://serveraddress/citrix/storename/pnagent/config.xml の形式ですここで serveraddress は StoreFront 展開環境のサーバーまたは負荷分散環境の完全修飾ドメイン名で storename はストアの作成時に指定した名前です 4. XenApp Services サポートを有効にする場合は必要に応じて Citrix Online Plug-in ユーザーのデフォルトストアを指定しますデフォルトストアを指定するとユーザーが特定ストアの XenApp Services URL ではなく StoreFront サーバーの URL または負荷分散 URL を使用して Citrix Online Plug-in を構成できるようになりますワークスペースコントロール機能を有効にするとユーザーがデバイスを移動してもそのアプリケーションでの作業を継続で Citrix Systems, Inc. All rights reserved. p.117

118 きますこれによりたとえば病院で臨床医がほかのワークステーションに移動しても移動先のデバイスでアプリケーションを起動し直す必要がなくなります StoreFront にはすべての Citrix Receiver のストアサービスでワークスペースコントロールの再接続を無効にする構成がありますこの機能は StoreFront コンソールまたは PowerShell を使って管理します St orefront 管理コンソールの使用 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインで [ ストア設定の構成 ] をクリックします 3. [ 詳細な設定 ] を選択し [ セッションの再接続を許可する ] チェックボックスをオンまたはオフにします PowerShell の使用管理コンソールを閉じる必要があります次のコードスニペットを実行して StoreFront PowerShell モジュールをインポートします $dsinst allprop = Get -It empropert y ` -Pat h HKLM:\ SOFT WARE\ Cit rix\ DeliveryServicesManagement -Name Inst alldir $dsinst alldir = $dsinst allprop.inst alldir & $dsinst alldir\..\ Script s\ Import Modules.ps1 次にPowerShell コマンドのSet -DSAllowSessionReconnect でワークスペースコントロールの再接続をオンまたはオフに設定します構文 Set -DSAllowSessionReconnect [[-Sit eid] ] [[-Virt ualpat h] ] ` [[-IsAllowed] ] たとえば /Citrix/Store のストアでワークスペースコントロールの再接続をオフにするには次のコマンドでストアを構成します Set -DSAllowSessionReconnect -Sit eid 1 -Virt ualpat h /Cit rix/st ore ` -IsAllowed $f alse ユーザーサブスクリプションタスクを使用して以下のオプションのどちらかを選択しますアプリケーションを使用する前にユーザーがサブスクライブする必要がある ( セルフサービスストア ) ストアに接続するとユーザーはすべてのアプリケーションを受信できる ( 必須ストア ) StoreFront でストアのユーザーサブスクリプションを無効にすると Citrix Receiver でユーザーに [ お気に入り ] タブが表示されなくなりますサブスクリプションを無効にしてもストアのサブスクリプションデータは削除されませんストアのサブスクリプションを再度有効にするとユーザーが次回ログオンした時にサブスクライブされたアプリが [ お気に入り ] に表示されます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ぺインで [ ストア設定の構成 ]>[ ユーザーのサブスクリプション ] の順にクリックしてユーザーサブスクリプション機能の有効 / 無効を切り替えます 3. [ ユーザーのサブスクリプションの有効化 ( セルフサービスストア )] を選択するとアプリケーションを使用するため Citrix Systems, Inc. All rights reserved. p.118

119 にユーザーにサブスクライブさせます以前指定したサブスクリプションはいずれも有効なままです 4. [ ユーザーのサブスクリプションの無効化 ( 必須ストア )] を選択するとサブスクライブすることなくユーザーに公開されているすべてのアプリケーションを [ ホーム ] 画面で利用できるようにしますサブスクリプションは削除されず再度有効にしようとする時には有効にすることができます StoreFront 3.5 以降では次のPowerShell スクリプトを使用してストアのユーザーサブスクリプションを構成できます $StoreObject = Get-STFStoreService -SiteID 1 -VirtualPath "/citrix/" Set-STFStoreService -StoreService $StoreObject -LockedDown $True -Confirm:$False Get-STFStoreService について詳しくは STFStoreService/ を参照してください PowerShell コマンドレットを使用してストアのサブスクリプションデータを管理します注意 StoreFront 管理コンソールまたはPowerShellのどちらかを使用して StoreFrontを管理します両方を同時に使用しないでください StoreFront 構成を変更する場合 StoreFront 管理コンソールを閉じてからPowerShellを使用してください既存のサブスクリプションデータを変更する時は変更前の状態にロールバックできるようにバックアップを作成しておくことをお勧めします Citrix Systems, Inc. All rights reserved. p.119

120 サブスクリプションデータの完全消去サブスクリプションデータを格納するフォルダーおよびデータストアは既存の環境の各ストアに存在します 1. StoreFront サーバー上で Citrix Subscriptions Store サービスを停止します Citrix Subscriptions Store サービスの実行中はストアのサブスクリプションデータを削除できません 2. StoreFront サーバー上でサブスクリプションストアフォルダーを開きます C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\1 Citrix_< ストア名 > 3. サブスクリプションストアフォルダー内のすべてのファイルを削除しますフォルダー自体は削除しないでください 4. StoreFront サーバー上で Citrix Subscriptions Store サービスを再起動します StoreFront 3.5 以降では以下の PowerShell スクリプトを使用してストアのサブスクリプションデータを完全消去できますサービスを停止または開始したりファイルを削除したりできる管理者権限でこの PowerShell を実行しますこの PowerShell スクリプトは上記で説明した手動の手順と同様に機能しますコマンドレットを問題なく実行するにはサーバー上で Citrix Subscriptions Store サービスが実行されている必要があります Citrix Systems, Inc. All rights reserved. p.120

121 function Remove-SubscriptionData { [CmdletBinding()] [Parameter(Mandatory=$False)][String]$Store = "Store" $SubsService = "Citrix Subscriptions Store" # Path to Subscription Data in StoreFront version 2.6 or higher $SubsPath = "C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\1 Citrix_$Store\*" Stop-Service -displayname $SubsService Remove-Item $SubsPath -Force -Verbose Start-Service -displayname $SubsService Get-Service -displayname $SubsService } Remove-SubscriptionData -Store "YourStore" サブスクリプションデータのエクスポート Citrix Systems, Inc. All rights reserved. p.121

122 PowerShell コマンドレットを使用してストアサブスクリプションデータのバックアップをタブ区切りの TXT ファイル形式で取得できます $StoreObject = Get-STFStoreService -SiteID 1 -VirtualPath "/citrix/<yourstore>" Export-STFStoreSubscriptions -StoreService $StoreObject -FilePath "$env:userprofile\desktop\subscriptions.txt" 複数サーバー展開環境を管理している場合この PowerShell コマンドレットを StoreFront サーバーグループ内の任意のサーバー上で実行できますサーバーグループの各サーバーはピアから同期されたサブスクリプションデータの同一コピーを保持します Storefront サーバー間でサブスクリプションの同期に問題がある場合グループのすべてのサーバーからデータをエクスポートして比較してくださいサブスクリプションデータの復元既存のサブスクリプションデータを上書きするには Restore-STFStoreSubscriptions を使用します前述のように Export- STFStoreSubscriptions を使用して作成したタブ区切りの TXT ファイル形式のバックアップからストアのサブスクリプションデータを復元できます $StoreObject = Get-STFStoreService -SiteID 1 -VirtualPath "/citrix/<yourstore>" Restore-STFStoreSubscriptions -StoreService $StoreObject -FilePath "$env:userprofile\desktop\subscriptions.txt" Restore-STFStoreSubscriptions について詳しくはを参照してください単一の St orefront サーバー上でデータを復元する単一のサーバー展開環境で Subscriptions Store サービスをシャットダウンする必要はありませんまたサブスクリプションデータの復元前に既存のサブスクリプションデータを消去する必要もありません St orefront サーバーグループ上でデータを復元するサーバーグループにサブスクリプションデータを復元するには次の手順に従う必要があります例 :3 つの StoreFront サーバーを含むサーバーグループ環境 Citrix Systems, Inc. All rights reserved. p.122

123 StoreFrontA StoreFrontB StoreFrontC 1. 3 つのサーバーのいずれかから既存のサブスクリプションデータのバックアップを作成します 2. サーバー StoreFrontB および StoreFrontC で Subscriptions Store サービスを停止しますこの操作によって StoreFrontA の更新中サーバーはサブスクリプションデータを送受信することができなくなります 3. サーバー StoreFrontB および StoreFrontC からサブスクリプションデータを完全消去しますこの操作によって復元されたサブスクリプションデータの不一致が発生しないようにします 4. Restore-STFStoreSubscriptions コマンドレットで StoreFrontA 上にデータを復元します Subscriptions Store サービスを停止したり StoreFrontA でサブスクリプションデータを完全消去する必要はありません ( 復元操作中に上書きされます ) 5. サーバー StoreFrontB および StoreFrontC 上で Subscriptions Store サービスを再起動しますこれでこのサーバーは StoreFrontA からデータのコピーを受信できます 6. すべてのサーバー間で同期が開始されるのを待ちますこのために必要な時間は StoreFrontA に存在するレコード数によって異なりますすべてのサーバーがローカルネットワーク接続であれば通常同期は迅速に行われます WAN 接続でのサブスクリプションの同期には多少時間がかかる場合があります 7. StoreFrontB および StoreFrontC からデータをエクスポートして同期が完了したことを確認しますまたはストアサブスクリプションカウンターを表示しますサブスクリプションデータのインポートストアにサブスクリプションデータがない場合 Import-STFStoreSubscriptions を使用しますこのコマンドレットによってサブスクリプションデータをストア間で転送したりサブスクリプションデータを新しくプロビジョニングされた StoreFront サーバーにインポートしたりできます $StoreObject = Get-STFStoreService -SiteID 1 -VirtualPath "/citrix/<yourstore>" Import-STFStoreSubscriptions -StoreService $StoreObject -FilePath "$env:userprofile\desktop\subscriptions.txt" Import-STFStoreSubscriptions について詳しくはを参照してくださいサブスクリプションデータファイルの詳細サブスクリプションデータファイルは各行に 1 つのユーザーサブスクリプションが記載されたテキストファイルです各行には以下の値がタブで区切られて記載されます... 値は以下のように定義されます <user-identifier>: 必須の値ですユーザーを識別する文字列ですこの識別子にはユーザーの Windows セキュリティ ID Citrix Systems, Inc. All rights reserved. p.123

が使用されます <resource-id>: 必須の値ですサブスクライブされるリソースを識別する文字列です <subscription-id>: 必須の値ですサブスクリプションを一意に識別する文字列ですこの値は使用されません ( ただしデータファイル内に値が存在する必要はあります ) <subscription-status>: 必須の値です

複数の値を持つプロパティは同じ名前の複数のペアで示されます (MyProp が 2 つの値 A と B を持つ場合は MyProp A MyProp B など ) たとえば次のように指定します S-0-0-00-0000000000-0000000000-0000000000-0000 XenApp.

124 が使用されます <resource-id>: 必須の値ですサブスクライブされるリソースを識別する文字列です <subscription-id>: 必須の値ですサブスクリプションを一意に識別する文字列ですこの値は使用されません ( ただしデータファイル内に値が存在する必要はあります ) <subscription-status>: 必須の値ですサブスクリプションの状態 (subscribed または unsubscribed) です <property-name> および <property-value>: オプションの値です 0 個以上の値と値の組み合わせです StoreFront クライアント ( 通常は Citrix Receiver) によるサブスリプションのプロパティを表します複数の値を持つプロパティは同じ名前の複数のペアで示されます (MyProp が 2 つの値 A と B を持つ場合は MyProp A MyProp B など ) たとえば次のように指定します S XenApp.Excel 21EC2020-3AEA-4069-A2DD-08002B30309D Subscribed dazzle:position 1 St orefront サーバーのディスク上にあるサブスクリプションデータのサイズインポートおよびエクスポート用の T XT ファイルのサイズストアサブスクリプションカウンター Citrix Systems, Inc. All rights reserved. p.124

125 Microsoft Windows パフォーマンスモニターカウンター ([ スタート ]>[ 検索の開始 ] ボックスに perfmon と入力 ) を使用してサーバー上のサブスクリプションレコードの合計数 StoreFront サーバーグループ間で同期されたレコード数などを表示できます PowerShell を使用したサブスクリプションカウンターの表示 Get-Counter -Counter "\Citrix Subscription Store(1 citrix_store)\subscription Entries Count (including unpurged deleted records)" Get-Counter -Counter "\Citrix Subscription Store Synchronization\Subscriptions Store Synchronizing" Get-Counter -Counter "\Citrix Subscription Store Synchronization\Number Subscriptions Synchronized" Get-Counter -Counter "\Citrix Subscription Store Synchronization\Number Subscriptions Transferred" Citrix Systems, Inc. All rights reserved. p.125

126 可用性の高いマルチサイトストアのセットアップ Nov 27, 2017 ここでは次のことについて説明しますユーザーマッピングおよびアグリゲーションの構成詳細構成サブスクリプション同期の構成ストアの最適なHDXルーティングの構成 Citrix StoreFront 管理コンソールの使用 PowerShell を使用して最適なNetScaler Gatewayルーティングを構成するには特に地理的に分散した複数の展開環境からリソースを集約するストアについては展開環境間の負荷分散とフェールオーバーユーザーと展開環境のマッピングおよび障害回復用の展開環境を構成して可用性の高いリソースを提供できます複数の展開環境で個別のNetScaler Gatewayアプライアンスを構成している場合はユーザーが各展開環境にアクセスするための最適なアプライアンスを定義できます StoreFront 3.5から StoreFront 管理コンソールでは共通のマルチサイトシナリオがサポートされるようになりましたお客様の要件に合う場合はこの管理コンソールを使用することをお勧めします StoreFront 管理コンソールでは次の操作を行うことができます展開環境へのユーザーのマッピング :Active Directory グループメンバーシップに基づいて特定の展開環境へのアクセス権を持つユーザーを制限できます展開環境の集計 : 集計対象のリソースがある展開環境を指定できます集計された展開環境のリソースは単一の高可用性リソースとしてユーザーに示されます展開環境へのゾーンの関連付け :StoreFront ではグローバルな負荷分散構成のNetScaler Gatewayを使用してアクセスされた場合リソースの起動時にゲートウェイゾーンに一致するゾーンの展開環境が優先されます重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. すべての XenDesktop および XenApp 展開環境の詳細を使用してストアが正しく構成されていることを確認しますストアへの展開環境の追加について詳しくはストアに表示するリソースの管理を参照してください 2. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 3. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [Delivery Cont roller の管理 ] をクリックします 4. 2つ以上のController が定義されている場合 [ ユーザーマッピングおよびマルチサイトアグリゲーション構成 ]>[ 構成 ] の順にクリックします 5. [ ユーザーを Cont roller にマップ ] をクリックして Delivery Controller をユーザーが使えるようにするのか画面上で選択します Citrix Systems, Inc. All rights reserved. p.126

127 6. [ リソースをまとめる ] をクリックしてコントローラーを選択し [ アグリゲート ] をクリックしてDelivery Controller をまとめるかどうかを指定します Delivery Controller のアグリゲーションを有効にすると同じ表示名とパスの Delivery Controller のアプリケーションおよびデスクトップは Citrix Receiver に単一のアプリケーション / デスクトップとして表示されます 7. [ 集計済みコントローラーの設定 ] チェックボックスのいずれかまたはオンにして [OK] をクリックしますコントローラーの公開 _ 同一のリソース - オンにすると集計済みセットにあるいずれか1つのみのコントローラーのリソースが列挙されますオフにすると ( 利用できるリソースのユーザーのセット全体を集計するために ) 集計済みセットにあるすべてのコントローラーのリソースが列挙されますこのオプションをオンにするとリソース列挙時のパフォーマンスが向上しますただしリソースのリストが集計済みのすべての展開環境全体で同一であることが確実でない限りお勧めしません複数のコントローラーでリソースを負荷分散します - オンにすると利用可能なコントローラーに起動が均一に分散されますオフにすると起動はユーザーマッピングダイアログ画面で指定された最初のコントローラーに割り当てられその起動が失敗した場合は以降のコントローラーにフェールオーバーします多くの一般的なマルチサイトおよび高可用性操作を StoreFront 管理コンソールで構成できますが以前のバージョンの StoreFront と同じ方法で構成ファイルを使って StoreFront を引き続き構成することもできます PowerShell を使用するか StoreFront 構成ファイルを編集して利用できる追加機能は次のとおりです集計対象として複数の展開環境グループを指定する機能管理コンソールでは展開環境を単一のグループにまとめることしかできませんが大部分の場合はこれで十分です参加していないリソースセットを持つ複数の展開環境があるストアでは複数グループによりパフォーマンスが向上する場合があります集計済み展開環境に対して複雑な優先順位を指定する機能管理コンソールでは集計済みの展開環境を負荷分散したり単一のフェールオーバーリストとして使用したりできます障害回復展開環境 ( 他のすべての展開環境が利用できない時のみアクセスされる展開環境 ) を定義する機能警告 : 構成ファイルを手動で編集して詳細なマルチサイトオプションを構成すると構成ミスを防ぐため Citrix StoreFront 管理コンソールで一部のタスクを実行できなくなります重要 : 複数サーバーの展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. 障害回復用の展開環境を含めすべての XenDesktop および XenApp 展開環境の詳細を使用してストアが正しく構成されていることを確認しますストアへの展開環境の追加について詳しくはストアに表示するリソースを管理するにはを参照してください 2. テキストエディターを使ってストアの web.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storename\ ディレクトリにありますここで storename はストアの作成時に指定した名前です 3. ファイル内で次のセクションを検索します 4. 次のように構成します Citrix Systems, Inc. All rights reserved. p.127

128 ... aggregationgroup="aggregationgroupname"> 構成を定義する時に使用する要素は以下のとおりです userfarmmapping 展開環境のグループを指定してそれらの展開環境間の負荷分散とフェールオーバーを定義しますまた障害回復用の展開環境を定義します指定した展開環境グループに Microsoft Active Directory ユーザーグループをマップしてリソースへのユーザーアクセスを制御します groups 関連付けたマッピングが適用される Active Directory ユーザーグループの名前とセキュリティ ID(SID) を指定しますユーザーグループ名は domain\usergroup の形式で指定する必要があります複数のグループを指定する場合そのすべてのグループに属しているユーザーのみにマッピングが適用されますすべての Active Directory ユーザーアカウントのアクセスを有効にするにはグループ名およびSIDにeveryone を設定します equivalent FarmSet 負荷分散またはフェールオーバーのために集約されるリソースを提供する同等の展開環境のグループと障害回復用の展開環境のグループを定義します Citrix Systems, Inc. All rights reserved. p.128

129 loadbalancemode 属性によりユーザーがどのように展開環境に割り当てられるかが定義されます loadbalancemode 属性をLoadBalanced に設定するとユーザー接続が均等に分散されるように展開環境が一覧からランダムに選択されます loadbalancemode 属性をFailover に設定すると展開環境が定義した順序で選択されますこれにより使用される展開環境の数が常に最小になります集約するソースを提供する同等の展開環境のグループの名前としてアグリゲーショングループ名 (aggregationgroup) を指定します同じアグリゲーショングループに属するすべての展開環境で提供されるリソースが集約されてユーザーに表示されます特定のアグリゲーショングループの展開環境がほかのグループと集約されないように定義するにはアグリゲーショングループ名を空の文字列 "" に設定します ident ical 属性は値 t rue およびf alse を取り同等の展開環境セット内のすべての展開環境のリソースセットが完全に同一であるかどうかを指定します展開環境が同一の場合 StoreFront はセット内の 1 つのみのプライマリ展開環境からユーザーのリソースを列挙します複数の展開環境のリソースに共通部分はあるが同一ではない場合 StoreFront は各展開環境から列挙してユーザーが利用できるリソースの完全なセットを取得します負荷分散 ( 起動時 ) は展開が同一であるかどうかにかかわらず使用できます ident ical 属性のデフォルト値はfalseですただし StoreFront のアップグレード時にはアップグレード後に既存の動作が変更されないようにt rue に設定されます primaryfarmref s リソースの一部もしくは全部が一致する同等の XenDesktop または XenApp サイトのセットを指定しますここにはストアに追加済みの展開環境の名前を入力します入力する展開環境の名前はストアに展開環境を追加するときに指定した名前と完全に一致する必要があります opt imalgat ewayforfarms 特定の展開環境のグループで提供されるリソースにユーザーがアクセスするときに使用される最適な NetScaler Gateway アプライアンスを定義します通常展開環境に最適なアプライアンスはその展開環境と地理的に同じ場所に配置されます最適な NetScaler Gateway アプライアンスは展開環境にアクセスする時に StoreFront にアクセスする時に経由する NetScaler Gateway アプライアンスと異なるアプライアンスを使用する場合のみ定義します異なるStoreFront 展開環境のストアからユーザーのアプリケーションサブスクリプションが定期的に同期されるように構成するにはいくつかのWindows PowerShell コマンドを実行します注 :StoreFront 管理コンソールとPowerShell コンソールを同時に開くことはできません StoreFront 管理コンソールを閉じてからPowerShell コンソールを開いてください同様に PowerShell のすべてのインスタンスを閉じてからStoreFront 管理コンソールを開いてください重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新しますサブスクリプションを同期する場合はストア間でDelivery Controller 名が一致している必要があります ( 大文字と小文字は区別されます ) Delivery Controller 名が異なると同期サイト間で異なるサブスクリプションが使用される場合があります 1. ローカルの管理者アカウントを使ってWindows PowerShell を起動してコマンドプロンプトで次のコマンドを実行しますこれにより StoreFront モジュールがインポートされます Import-Module "installationlocation\management\cmdlets\utilsmodule.psm1" Import-Module "installationlocation\management\cmdlets\ SubscriptionSyncModule.psm1" installationlocation はStoreFront のインストール先フォルダーで通常 C:\Program Files\Citrix\Receiver StoreFront\ です 2. 次のコマンドを入力して同期するストアを含んでいるリモートのStoreFront 展開環境を指定します Add-DSSubscriptionsRemoteSyncCluster -clustername deploymentname Citrix Systems, Inc. All rights reserved. p.129

130 -clusteraddress deploymentaddress ここで deploymentname はリモートの展開環境を識別するために定義する名前で deploymentaddress はStoreFront サーバーまたは負荷分散サーバーグループの外部アクセス可能なアドレスです 3. 次のコマンドを入力して同期するリモートストアを指定します Add-DSSubscriptionsRemoteSyncStore -clustername deploymentname -storename storename ここで deploymentname は前の手順でリモート展開環境用に定義した名前であり storename はローカルストアおよびリモートストアの作成時に指定した名前ですアプリケーションサブスクリプションをストア間で同期するには両方のストアがそれぞれのStoreFront 展開環境で同じ名前を持つ必要があります 4. 毎日特定の時刻に同期が実行されるように構成するには次のコマンドを入力します Add-DSSubscriptionsSyncSchedule -schedulename synchronizationname -starttime hh:mm synchronizationname は作成するスケジュールを識別するために定義する名前です -starttime ではストア間でサブスクリプションを同期する時刻を指定します追加の同期時刻を指定するにはこのコマンドを繰り返します 5. 特定の間隔で定期的に同期が実行されるように構成するには次のコマンドを入力します Add-DSSubscriptionsSyncReoccuringSchedule -schedulename synchronizationname -starttime hh:mm:ss -repeatminutes interval synchronizationname は作成するスケジュールを識別するために定義する名前です -starttime では繰り返しスケジュールを開始する時刻を指定します interval では同期の実行間隔を分単位で指定します 6. リモートの展開環境内の各 StoreFront サーバーのMicrosoft Active Directory ドメインマシンアカウントを現在のサーバー上のローカルWindowsユーザーグループCitrixSubscriptionSyncUsers に追加しますこれによりリモートの展開環境のサーバーからローカルの展開環境のサブスクリプションストアサービスにアクセスできるようになります CitrixSubscriptionSyncUsers グループは手順 1でサブスクリプションの同期モジュールをインポートする時に自動的に作成されますローカルユーザーグループの変更について詳しくはを参照してください 7. ローカルStoreFront 展開環境が複数のサーバーで構成されている場合は Citrix StoreFront 管理コンソールを使用してグループ内のほかのサーバーに構成の変更を反映させます複数サーバーで構成されるStoreFront 展開環境への変更の適用について詳しくはサーバーグループの構成を参照してください 8. リモートのStoreFront 展開環境で手順 1~7を繰り返しリモート展開環境からローカル展開環境へのサブスクリプションの補完的な同期スケジュールを構成します StoreFront 展開環境の同期スケジュールを構成する時は複数の展開環境で同時に同期が実行されないようにしてください 9. ストア間でのユーザーのアプリケーションサブスクリプションの同期を開始するにはローカルおよびリモートの展開環境でサブスクリプションストアサービスを再起動しますこれを行うには各展開環境のサーバー上でWindows PowerShell コマンドプロンプトを開き次のコマンドを入力します Restart-DSSubscriptionsStoreSubscriptionService 10. 既存の同期スケジュールを削除するには次のコマンドを入力しますその後で展開環境のほかのStoreFront サーバーに構成の変更を反映させてサブスクリプションストアサービスを再起動します Remove-DSSubscriptionsSchedule -schedulename synchronizationname synchronizationname はスケジュールの作成時に定義した名前です 11. StoreFront 展開環境に構成済みの同期スケジュールを一覧表示するには次のコマンドを入力します Citrix Systems, Inc. All rights reserved. p.130

131 Get-DSSubscriptionsSyncScheduleSummary 重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新しますストアの最適なゲートウェイマッピングを定義する時のファームとゾーンの違い StoreFront 3.5 より前にリリースされたバージョンでは最適なゲートウェイはファームにのみマッピングできましたゾーンの概念を利用すれば XenApp 7.8 または XenDesktop 7.8 の展開環境を XenApp または XenDesktop コントローラーと公開リソースが存在するデータセンターや地理的な場所に基づいて複数のゾーンに分割できますゾーンは XenApp または XenDesktop 7.8 Studio で定義します StoreFront は現在 XenApp 7.8 および XenDesktop 7.8 と相互運用できます StoreFront で定義されたすべてのゾーンが XenApp および XenDesktop で定義されたゾーン名と正確に一致する必要がありますこの StoreFront のバージョンでは定義済みゾーン内に位置するすべての Delivery Controller に対して最適なゲートウェイマッピングを作成することもできます最適なゲートウェイへのゾーンのマッピングは既によく知っているファームを使用したマッピングの作成とほぼ同義ですその唯一の違いはゾーンは通常もっと多くの Delivery Controller を含む大規模なコンテナーを表すものであるということですすべての Delivery Controller を最適なゲートウェイマッピングに追加する必要はありません Controller を目的のゾーン内に配置するにはそれぞれの Delivery Controller に既に XenApp または XenDesktop に定義されているゾーンと一致するゾーン名のタグを付けるだけです 1 つの最適なゲートウェイを複数のゾーンにマッピングすることができますが通常は単一のゾーンを使用してください一般にゾーンはある地理的な場所にある 1 つのデータセンターを表します各ゾーンには少なくとも 1 つの最適な Netscaler Gateway がありその Netscaler Gateway がそのゾーン内のリソースへの HDX 接続に使用されることが想定されますゾーンについて詳しくはゾーンを参照してくださいゾーン内に配置するすべての Delivery Controller に対してゾーン属性を設定します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [Delivery Cont roller の管理 ] をクリックします 3. Controller を選択し [ 編集 ] をクリックして [Delivery Cont roller の編集 ] 画面の [ 設定 ] をクリックします 4. [ ゾーン ] 行で 2つ目の列をクリックします 5. [Delivery Cont roller ゾーン名 ] 画面の [ 追加 ] をクリックしてゾーン名を追加します Citrix Systems, Inc. All rights reserved. p.131

ストアの NetScaler Gateway ルーティングを構成して HDX エンジンから公開リソース (XenDesktop VDA および XenApp や XenDesktop の公開アプリケーション ) にアクセスする ICA 接続の処理を最適化します通常最適なゲートウェイはサイトと地理的に同じ場所に配置されます最適な NetScaler Gateway アプライアンスは

132 ストアの NetScaler Gateway ルーティングを構成して HDX エンジンから公開リソース (XenDesktop VDA および XenApp や XenDesktop の公開アプリケーション ) にアクセスする ICA 接続の処理を最適化します通常最適なゲートウェイはサイトと地理的に同じ場所に配置されます最適な NetScaler Gateway アプライアンスはユーザーが StoreFront にアクセスする時に最適なゲートウェイが使用されない展開環境でのみ定義します起動要求をその要求元のゲートウェイ経由で返送する必要がある場合 StoreFront がこれを自動的に行いますファーム使用のシナリオ例 1 UK ゲートウェイ -> 1 UK StoreFront -> UK アプリおよびデスクトップ ( ローカル ) > US アプリおよびデスクトップ (UK ユーザーのフェールオーバーとして ) 1 US ゲートウェイ -> 1 US StoreFront -> US アプリおよびデスクトップ ( ローカル ) > UK アプリおよびデスクトップ (US ユーザーのフェールオーバーとして ) UKゲートウェイは UKでホストされるリソース (UK StoreFront によるアプリやデスクトップ ) へのリモートアクセスを提供します UK StoreFront にはUKおよびUS ベースのNetScaler Gatewayが定義されており Delivery Controller の一覧にUKおよびUS のファームが含まれています UKのユーザーは地理的に同じ場所に配置されたゲートウェイ StoreFront およびファームを使用してリモートリソースにアクセスします UKのリソースが使用不能になった場合はフェールオーバーとして一時的にUSのリソースにアクセスできるようになります Citrix Systems, Inc. All rights reserved. p.132

133 最適なゲートウェイルーティング構成を行わない場合すべてのICA 起動要求はリソースの場所がUKでもUS でも起動要求元の UKゲートウェイを経由しますデフォルトでは起動要求時にその要求元のゲートウェイがStoreFront により動的に識別されます最適なゲートウェイルーティング構成によりこの動作が無視され USリソースへの接続がUS ファームに地理的に近いゲートウェイを経由するようになります注 : 最適なゲートウェイとしてマップできるのは各サイトのStoreFront ストアについて1つのみですゾーン使用のシナリオ例 1 CAMZone -> 2 UK StoreFront -> ケンブリッジ (UK): アプリおよびデスクトップ -> フォートローダーデール (US 東部 ): アプリおよびデスクトップ -> バンガロール ( インド ): アプリおよびデスクトップ 1 FTLZone -> 2 US StoreFront -> フォートローダーデール (US 東部 ): アプリおよびデスクトップ -> ケンブリッジ (UK): アプリおよびデスクトップ -> バンガロール ( インド ): アプリおよびデスクトップ -> バンガロール ( インド ): アプリおよびデスクトップ 1 BGLZone -> 2 IN StoreFront -> ケンブリッジ (UK): アプリおよびデスクトップ -> フォートローダーデール (US 東部 ): アプリおよびデスクトップ図 1: 次善の NetScaler Gateway ルーティング Citrix Systems, Inc. All rights reserved. p.133

図 2: 最適な NetScaler Gateway ルーティング複数の展開環境で個別の NetScaler Gateway アプライアンスを構成した後にユーザーが各展開環境にアクセスするための最適なアプライアンスを定義できます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2.

134 図 2: 最適な NetScaler Gateway ルーティング複数の展開環境で個別の NetScaler Gateway アプライアンスを構成した後にユーザーが各展開環境にアクセスするための最適なアプライアンスを定義できます 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Cit rix St orefront ] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでストアを選択します [ 操作 ] ペインで [ ストア設定の構成 ] を選択します 3. [ 設定 ]>[ 最適な HDX ルーティング ] ページでゲートウェイを選択します 4. [ 直接アクセス ] チェックボックスを選択すると -enabledondirect Access = f alse と同等の操作になりますまた [ ゲートウェイを使用しない ] を選択するとファームまたはゾーンでSet -DSFarmsWit hnullopt imalgat eway を使用する場合と同等の操作になります Citrix Systems, Inc. All rights reserved. p.134

135 [ ゲートウェイの追加 ] 前の手順のオプションの1つは [ ゲートウェイの追加 ] です [ ゲートウェイの追加 ] を選択すると [NetScaler Gateway の追加 ] 画面が表示されます 1. [ 全般設定 ] 画面で [ 表示名 ] [NetScaler Gateway URL] および[ 使用法 ] または [ 役割 ] 設定を入力してパブリックネットワークから接続しているユーザーに対する NetScaler Gateway 経由でのストアへのアクセスを構成します認証不要なストアでは NetScaler Gateway を介したリモートアクセスは許可されません 2. [Secure T icket Aut horit y(sty A)] A 画面で表示されているオプションを入力します STAは XenDesktopおよび XenApp サーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktop および XenApp リソースへのアクセスを認証および承認するための基本機能です 3. [ 認証設定 ] 画面でリモートユーザーによる認証資格情報の提供方法を指定する設定を入力します PowerShell API パラメーター Parameter Des cription -SiteId(Int) IIS でのサイト ID です StoreFront のインストール先の IIS では通常 1 です -ResourcesVirtualPath(String) 最適なゲートウェイマッピングのファームを構成するストアのパスです例 :"/Citrix/Store" -GatewayName(String) StoreFront で Netscaler Gateway を識別するために設定された名前です例 1:ExternalGateway 例 2:InternalGateway -Hostnames(String Array) 最適なNetScaler Gatewayアプライアンスの完全修飾ドメイン名 (FQDN) とポート番号を指定します標準的なvServerポート443の例 1:gateway.example.com 非標準的なvServerポート500の例 2:gateway.example.com:500 指定する NetScaler Gateway アプライアンスを共有し通常は同じ場所に配置されている XenDesktop XenApp App Controller の展開環境の一覧を指定します公開リソースを提供する Citrix Systems, Inc. All rights reserved. p.135

136 Parameter -Farms(String Array) 1つまたは複数のDelivery Controller を持つファームを指定できます複数のDelivery Controller を持つXenDesktopサイトを構成するには "XenDesktop" を指定し Des ますこれは単一ファームを表します cription フェールオーバー一覧に複数のDelivery Controller を指定できます例 :"XenDesktop" XenDesktop-A.example.com XenDesktop-B.example.com XenDesktop-C.example.com -Zones(String Array) 多数の Delivery Controller を含む 1 つまたは複数のデータセンターを指定します StoreFront で Delivery Controller オブジェクトに割り当て先となる適切なゾーンのタグを付ける必要があります -staurls(string Array) STAを実行しているXenDesktop XenApp およびVDI-in-a-Box サーバーのURLの一覧を指定します複数のファームを使用している場合は各ファームのSTAサーバーをカンマで区切って入力します例 :" -StasUseLoadBalancing(Boolean) trueを設定するとすべてのSTAからセッションチケットがランダムに取得されますこれによりすべてのSTAで要求が均等に分散されます falseを設定すると構成時の一覧の順序でSTAが選択されますこれにより使用されるSTAの数が常に最小になります -StasBypassDuration STA 要求が失敗した場合にその STA が使用できないとみなされるまでの時間を時間分秒で設定します例 :02:00:00 - EnableSessionReliability(Boolean) trueを設定すると Receiverが再接続を試行する間切断セッションが開いたままになります複数のSTAを構成した展開環境でセッション画面の保持機能を常に使用できるようにするには usetwotickets 属性をtrueに設定しますこれにより 2つのSTAからチケットが取得されるため一方のSTAが使用できなくなってもユーザーセッションが中断されなくなります -UseTwoT ickets(boolean) true を設定すると 2 つの STA からチケットが取得されるためセッション中に一方の STA が使用できなくなっても中断されなくなります false を設定すると単一の STA サーバーのみが使用されます - EnabledOnDirectAccess(Boolean) trueに設定すると内部ネットワーク上のローカルユーザーがStoreFront に直接ログオンする時にそのファームに定義されている最適なアプライアンスを介してルーティングされるようになります falseに設定すると StoreFrontに NetScaler Gateway 経由でアクセスするユーザーを除き最適なアプライアンスを介してルーティングされません PowerShell スクリプトが複数行にまたがる場合は各行末にバッククォート文字を入力してくださいサンプルコードを実行する前に Windows PowerShell Integrated Scripting Environment(ISE) にコピーして形式チェッカーを使って Powershell コードを検証することをお勧めします注意 Citrix Systems, Inc. All rights reserved. p.136

137 Set-DSOptimalGatewayForFarms という以前のPowerShellコマンドレットでは [ 最適なHDXルーティング ] は構成できませんこの問題の回避方法は次のとおりです 1. Add-DSGlobalV10Gateway コマンドを使用して [ 最適なHDXルーティング ] に使用する設定でグローバルゲートウェイを構成し認証設定のデフォルト値を入力します 2. Add-DSStoreOptimalGateway コマンドを使用して最適なゲートウェイ構成を追加します例 : Add-DSGlobalV10Gateway -Id 2eba0524-af40-421e-9c5f-a1ccca80715f -Name LondonGateway -Address " -Logon Domain -SecureT " Add-DSStoreOptimalGateway -SiteId 1 -VirtualPath /Citrix/Store1 -GatewayId 2eba0524-af40-421e-9c5f-a1ccca80715f -EnabledOnDirectAccess $true たとえば次のように指定しますストアInt ernal のOptimalGatewayForFarms マッピングを作成または上書きします & "$Env:PROGRAMFILES\ Cit rix\ Receiver St orefront \ Script s\ Import Modules.ps1" Set -DSOpt imalgat ewayforfarms -Sit eid 1 ` -ResourcesVirt ualpat h /Cit rix/int ernal ` -Gat ewayname "gat eway1" ` -Host names "gat eway1.example.com:500" ` -Farms "XenApp","XenDeskt op" ` -St aurls "ht t ps:// xenapp.example.com/ script s/ ct xst a.dll","ht t ps:// xendeskt op.example.com/ script s/ ct xst a.dll" ` -St asuseloadbalancing:$f alse ` -St asbypassdurat ion 02:00:00 ` -EnableSessionReliabilit y:$f alse ` -UseTwoT icket s:$f alse ` -EnabledOnDirect Access:$t rue ゾーンの最適なゲートウェイの構成例 : ゾーン CAMZone の OptimalGatewayForFarms マッピングを作成または上書きします & "$Env:PROGRAMFILES\Cit rix\receiver St orefront \Script s\import Modules.ps1" Set -DSOpt imalgat ewayforfarms -Sit eid 1 ` -ResourcesVirt ualpat h /Cit rix/int ernal ` -Gat ewayname "gat eway1" ` -Host names "gat eway1.example.com:500" ` -Zones "CAMZone" ` Citrix Systems, Inc. All rights reserved. p.137

138 -St aurls "ht t ps:// xenapp.example.com/ script s/ ct xst a.dll","ht t ps:// xendeskt op.example.com/ script s/ ct xst a.dll" ` -St asuseloadbalancing:$f alse ` -St asbypassdurat ion 02:00:00 ` -EnableSessionReliabilit y:$f alse ` -UseTwoT icket s:$f alse ` -EnabledOnDirect Access:$t rue 例 : ストア Internal で OptimalGatewayForFarms マッピングの一覧を返します Get -DSOpt imalgat ewayforfarms -Sit eid 1 ResourcesVirt ualpat h "/Cit rix/int ernal" 例 : ストア Internal の OptimalGatewayForFarms マッピングをすべて削除します Remove-DSOpt imalgat ewayforfarms -Sit eid 1 -ResourcesVirt ualpat h "/ Cit rix/ Int ernal" ファームの直接 HDX 接続の構成例 : ストア Internal で特定ファームへのすべての ICA 起動要求がゲートウェイを経由せずに送信されるようにします Set -DSFarmsWit hnullopt imalgat eway -Sit eid 1 -ResourcesVirt ualpat h / Cit rix/ St ore -Farms "Farm1","Farm2" 例 : ストア Internal でゲートウェイを経由せずに ICA 起動要求が送信されるファームの一覧を返します Get -DSFarmsWit hnullopt imalgat eway -Sit eid 1 -ResourcesVirt ualpat h "/ Cit rix/ Int ernal" Opt imalgat ewayforfarms マッピングが使用されているかどうかを確認する 1. 次の PowerShell コマンドを実行してすべてのサーバーグループノードで StoreFront のトレース機能を有効にします & "$Env:PROGRAMFILES\ Cit rix\ Receiver St orefront \ Script s\ Import Modules.ps1" #Traces out put is t o c:\program Files\Cit rix\receiver St oref ront \admin\t race\ Set -DSTraceLevel -All -TraceLevel Verbose 2. StoreFront サーバーのデスクトップで Debug View ツールを開きます StoreFront サーバーグループを使用している場合は起動要求を受信したノードのトレース情報を取得できるようにすべてのノード上で Debug View ツールを開く必要があります 3. Capture Global Win32 イベントを有効にします Citrix Systems, Inc. All rights reserved. p.138

139 4. トレース出力を LOG ファイルとして保存してメモ帳などのテキストエディターで開きます以下のサンプルシナリオを参照してログエントリを検索します 5. ログの確認が終わったらトレース機能を無効にしますトレース機能を有効にしておくと StoreFront サーバー上のディスク領域が消費されます Set -DSTraceLevel -All -TraceLevel Of f 最適なゲートウェイのサンプルシナリオ外部クライアントはGat eway1 にログオンしますファームFarm2 への起動要求が定義されている最適なゲートウェイGat eway2 経由で送信されます Set -DSOpt imalgat ewayforfarms -ondirect Access= f alse Farm2 の最適なゲートウェイとして Gateway2 が構成されています Farm2 の最適なゲートウェイでは直接アクセスが無効になっています起動要求は最適なゲートウェイ Gateway2 を経由します内部クライアントは StoreFront を使用してログオンしますファーム Farm1 への起動要求が定義されている最適なゲートウェイ Gateway1 経由で送信されます Set -DSOpt imalgat ewayforfarms -ondirect Access= t rue 動的に識別されるゲートウェイは要求内にありません StoreFront には直接アクセスされます Farm1 の最適なゲートウェイとして Gateway1 が構成されています Farm1 の最適なゲートウェイでは直接アクセスが有効になっています起動要求は最適なゲートウェイ Gateway1 を経由します内部クライアントは Gateway1 を使用してログオンします Farm1 のリソースの起動要求はいずれのゲートウェイも経由せず StoreFront には直接アクセスされます Set -DSFarmsWit hnullopt imalgat eway 要求内で動的に識別されるゲートウェイ :Gateway1 Farm1 ではゲートウェイが使用されません起動要求が経由するゲートウェイはありません Citrix Systems, Inc. All rights reserved. p.139

140 NetScaler Gateway および NetScaler の統合 Nov 27, 2017 NetScaler Gateway を StoreFront と一緒に使って企業ネットワークと NetScaler の外側にいるユーザーにセキュアなリモートアクセスを提供し負荷分散を実行します StoreFront をNetScaler GatewayおよびNetScalerと統合するにはゲートウェイとサーバー証明書の使用方法について計画を立てる必要があります展開環境内のどのCitrix コンポーネントでサーバー証明書を要求するかを検討してくださいインターネットに接続するサーバーおよびゲートウェイの証明書を外部の証明機関から取得する計画を立ててくださいクライアントデバイスでは内部証明機関により署名された証明書は自動で信頼されない場合があります外部および内部の両方のサーバー名を用意してください多くの組織では example.com( 外部用 ) とexample.net( 内部用 ) というように内部用と外部用の名前空間が分けられていますサブジェクトの別名 (SAN) 拡張機能を使用するとこれら両種の名前を1つの証明書に含めることができますこれは推奨される構成ではありません公的証明機関から証明書が発行されるのは最上位ドメイン (TLD:top-level domain) がIANAに登録されている場合のみですこの場合でも一般的に使用される内部サーバー名の一部 (example.local など ) は使用できないため外部名と内部名で別々の証明書が必要になることがあります可能であれば外部サーバーと内部サーバーには別の証明書を使用してくださいゲートウェイでは各インターフェイスに異なる証明書をバインドすることで複数の証明書を使用できる場合がありますインターネットに接続するサーバーと接続しないサーバー間で証明書を共有しないでくださいこれらの証明書は有効期間や失効ポリシーなどが内部証明機関から発行された証明書とは異なる可能性がありますワイルドカード証明書を共有するのは同等のサービス間のみにしてください異なる種類のサーバー間 (StoreFront サーバーとその他の種類のサーバーなど ) で証明書を共有しないでください異なる管理下にあるサーバー間やセキュリティポリシーが違うサーバー間で証明書を共有しないでください同等のサービスを提供するサーバーの典型的な例は以下のとおりです StoreFront サーバーのグループとこれらのサーバー間で負荷分散を実行するサーバー GSLB 内のインターネットに接続するゲートウェイのグループ同等のリソースを提供するXenAppおよびXenDesktop 7.x Controller のグループハードウェアセキュリティで保護された秘密キーストレージを用意してください一部のNetScalerモデルを含むゲートウェイとサーバーではハードウェアセキュリティモジュール (HSM:Hardware Security Module) またはトラステッドプラットフォームモジュール (TPM:Trusted Platform Module) 内に秘密キーを格納して保護することができますセキュリティ上の理由からこうした構成は一般に証明書および秘密キーの共有をサポートするようには設定されていません各コンポーネントのドキュメントを参照してください NetScaler Gatewayを使用してGSLBを実装する場合使用するFQDNがすべて含まれる同一の証明書をGSLB 内の各ゲートウェイに設定する必要のある場合があります Citrix 展開環境のセキュリティ保護について詳しくは End-To-End Encryption with XenApp and XenDesktop ホワイトペーパーおよびXenAppとXenDesktopのセキュリティ保護セクションを参照してください Citrix Systems, Inc. All rights reserved. p.140

141 NetScaler Gateway 接続の追加 Jun 04, 2018 ユーザーがストアにアクセスするときに経由するNetScaler Gateway 展開環境を追加するには [NetScaler Gatewayアプライアンスの追加 ] タスクを使用します NetScaler Gatewayを経由するストアへのリモートアクセスを構成するにはその前に認証方法としてNetScaler Gatewayからのパススルーを有効にする必要があります StoreFront でのWebFront Gatewayの構成について詳しくは Using WebFront to Integrate with StoreFront を参照してください重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [NetScaler Gateway の管理 ] をクリックします 3. [ 追加 ] をクリックし [ 全般設定 ] で NetScaler Gateway 展開環境にわかりやすい名前を指定しますここで指定する表示名がユーザーの Citrix Receiver に表示されますそのためユーザーが使用する NetScaler Gateway を判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gateway を簡単に特定できるように表示名に地理情報を含めることができます 4. 展開環境の仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0 の場合 ) の URL を入力します展開環境で使用する製品のバージョンを指定します StoreFront 展開環境の FQDN(Fully Qualified Domain Name: 完全修飾ドメイン名 ) は一意で NetScaler Gateway 仮想サーバーの FQDN と異なるものである必要があります StoreFront と NetScaler Gateway 仮想サーバーに同じ FQDN を使用することはサポートされていません 5. 展開環境で Access Gateway 5.0 が実行されている場合は手順 9. に進みますそれ以外の場合は必要に応じて NetScaler Gateway アプライアンスのサブネット IP アドレスを指定しますサブネット IP アドレスは Access Gateway 9.3 アプライアンスの場合は必須ですがそれより後の製品バージョンではオプションですこのサブネットアドレスは NetScaler Gateway で内部ネットワークのサーバーと通信する時にユーザーデバイスを表すために使用する IP アドレスですこのアドレスは NetScaler Gateway アプライアンスのマップされた IP アドレスである場合もあります StoreFront はサブネット IP アドレスを使用して受信要求が信頼されているデバイスから発信されているかどうかを検証します 6. NetScaler Gateway のアプライアンスを追加する場合は [ ログオンの種類 ] の一覧から Citrix Receiver ユーザー用にアプライアンスで構成した認証方法を選択します NetScaler Gateway アプライアンスに関する構成情報はストアのプロビジョニングファイルに追加されますこれにより Citrix Receiver はアプライアンスへの初回接続時に適切な接続要求を送信できるようになりますユーザーの Microsoft Active Directory ドメインの資格情報を入力させる場合は [ ドメイン ] を選択しますセキュリティトークンから取得するトークンコードを入力させる場合は [ セキュリティトークン ] を選択しますユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は [ ドメインおよびセキュリティトークン ] を選択しますテキストメッセージで送信されるワンタイムパスワードを入力させる場合は [SMS 認証 ] を選択しますスマートカードを挿入して PIN を入力させる場合は [ スマートカード ] を選択しますスマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには [ スマートカードフォールバック ] の一覧から代替の認証方法を選択します手順 8 に進みます 7. Access Gateway 5.0 のアプライアンスを追加する場合はユーザーのログオンポイントのホスト ( スタンドアロンのアプ Citrix Systems, Inc. All rights reserved. p.141

142 ライアンス ) を指定しますクラスターを追加する場合は [ 次へ ] をクリックして手順 9. に進みます 8. NetScaler GatewayまたはスタンドアロンのAccess Gateway 5.0アプライアンスを追加する場合は [ コールバックURL] ボックスにNetScaler Gateway 認証サービスのURLを入力します URLの標準的な部分は自動的に補完されます [ 次へ ] をクリックして手順 11. に進みますアプライアンスの内部 URLを入力します StoreFront はNetScaler Gateway 認証サービスに接続して NetScaler Gateway からの要求の送信元がそのアプライアンスであることを確認します 9. StoreFront にAccess Gateway 5.0クラスターを追加する場合は [ アプライアンス ] ページでクラスター内のアプライアンスのIPアドレスまたはFQDNを一覧に追加して [ 次へ ] をクリックします 10. [ サイレント認証を有効にする ] ページで Access Controller サーバーで実行されている認証サービスのURLを一覧に追加します一覧に複数のサーバーのURLを追加するとその順番に基づいてフェールオーバーされます [ 次へ ] をクリックします StoreFront では認証サービスを使用してリモートユーザーが認証されるためリモートユーザーがストアにアクセスするときに資格情報を再入力する必要はありません 11. すべての展開環境で XenDesktopまたはXenAppが提供するリソースをストアで使用できるようにするには [Secure Ticket Authority(STA)] ページで STAを実行しているサーバーのURLを一覧に追加します一覧に複数のSTAのURLを追加するとその順番に基づいてフェールオーバーされます STAは XenDesktopおよびXenAppサーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktopおよびXenAppリソースへのアクセスを認証および承認するための基本機能です 12. Citrix Receiverが自動的に再接続を実行する間に切断したセッションを XenDesktopおよびXenAppで開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにします [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにするとセッションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないように StoreFront により2つの異なるSTAからセッションチケットが取得されます StoreFront がどちらのSTAにもアクセスできない場合は単一のSTAを使用するようにフォールバックされます 13. [ 作成 ] をクリックして NetScaler Gateway 展開環境の詳細を追加します展開環境が追加されたら [ 完了 ] をクリックします展開環境の詳細を更新する方法について詳しくは NetScaler Gateway 接続設定の構成を参照してください NetScaler Gatewayを介したストアへのアクセスを提供するには 1つの内部ビーコンポイントと 2つ以上の外部ビーコンポイントが必要です Citrix Receiverはユーザーがローカルネットワークと公共のネットワークのどちらに接続しているのかをビーコンポイントを使用して識別し適切なアクセス方法を選択します StoreFront では内部ビーコンポイントとしてデフォルトでサーバーのURLまたは負荷分散 URLが使用されます外部ビーコンポイントはデフォルトでCitrix 社のWebサイトおよび管理者が追加した最初のNetScaler Gateway 仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0 の場合 ) のURLが使用されますビーコンポイントの変更について詳しくはビーコンポイントを構成を参照してくださいユーザーがNetScaler Gatewayを介してストアにアクセスできるようにするにはそのストアのリモートユーザーアクセスを構成する必要があります Citrix Systems, Inc. All rights reserved. p.142

143 NetScaler Gateway アプライアンスのインポート Nov 27, 2017 NetScaler 管理コンソールのリモートアクセス設定は StoreFront で構成されているものと同じように構成する必要がありますこの記事では NetScalerとStoreFront を適切に構成して連携させるためにNetScaler Gatewayをインポートする方法について説明します複数のゲートウェイ仮想サーバーをZIPファイルにエクスポートするには NetScaler 以降が必要です注 : NetScalerでエクスポートできるゲートウェイ仮想サーバーは XenAppおよびXenDesktopのウィザードを使用して作成したもののみです NetScalerにより生成されるZIP ファイル内のGatewayConfig.json ファイルに記載されているすべてのSTA(Secure Ticket Authority) サーバーのURLをDNSが解決でき StoreFront がアクセスできる必要があります NetScalerで生成されるZIP ファイル内のGatewayConfig.json ファイルには StoreFront サーバー上にある既存のCitrix Receiver for WebサイトのURLが含まれている必要がありますバージョン11.1 以降のNetScalerはエクスポート用のZIP ファイルの生成前にStoreFront サーバーにアクセスして既存のストアとCitrix Receiver for Webサイトをすべて列挙しこの処理を自動で行います StoreFront でインポートしたゲートウェイを使用して認証できるようにゲートウェイVPN 仮想サーバーのIPアドレスへのDNSのコールバックURLを解決できる必要があります StoreFront でゲートウェイURLを解決できる場合使用するコールバックURL とポートの組み合わせは通常ゲートウェイURLとポートの組み合わせと同じものにしますまたは環境内で外部と内部に違うDNS 名前空間を使用する場合はコールバックURLとポートの組み合わせをゲートウェイURLとポートの組み合わせとは異なるものにしても構いませんゲートウェイをDMZ 内に配置してのURLを使用しており StoreFront はプライベートの社内ネットワークに配置してのURLを使用している場合コールバック URLを使用してDMZ 内のゲートウェイ仮想サーバーへポイントバックすることができます NetScaler 構成ファイルをインポートすることによって NetScaler Gateway アプライアンスをインポートすることができます Important 注 :NetScaler からインポートされた構成ファイルを手で編集することはできません 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [Net Scaler Gat eway の管理 ] をクリックします 2. [NetScaler Gatewayの管理 ] 画面で [ ファイルからインポート ] リンクをクリックします Citrix Systems, Inc. All rights reserved. p.143

] ボタンになります [ 更新 ] をクリックした場合後でゲートウェイを上書きするか新規に作成することができます 5.

144 3. 1. NetScaler 構成の zip ファイルを選択してください 4. 選択した ZIP ファイルに含まれるゲートウェイ仮想サーバーの一覧が表示されますインポートするゲートウェイ仮想サーバーを選択し [ インポート ] をクリックします仮想サーバーを繰り返してインポートする場合 [ インポート ] ボタンは [ 更新 ] ボタンになります [ 更新 ] をクリックした場合後でゲートウェイを上書きするか新規に作成することができます 5. 選択したゲートウェイのログオンの種類を確認し必要に応じてコールバック URL を指定します [ ログオンの種類 ] の一覧から Citrix Receiver ユーザー向けにアプライアンス上で構成した認証方法を選択しますログオンの種類によってはコールバック URL が必要になります ( 表を参照 ) [ 確認 ] をクリックしてコールバックURLが有効でありStoreFront サーバーから到達可能であることをチェックします Citrix Systems, Inc. All rights reserved. p.144

コンソールでの [ ログオンの種類 ] JSON ファイルでの LogonType コールハック URL( 必須 )(_U): ドメインドメインなしドメインおよびセキュリティトークン DomainAndRSA なしセキュリティトークン RSA はいスマートカード - フォールバックがありませんスマートカードの使用はいスマートカード

145 コンソールでの [ ログオンの種類 ] JSON ファイルでの LogonType コールハック URL( 必須 )(_U): ドメインドメインなしドメインおよびセキュリティトークン DomainAndRSA なしセキュリティトークン RSA はいスマートカード - フォールバックがありませんスマートカードの使用はいスマートカード - ドメイン SmartCardDomain はいスマートカード - ドメインおよびセキュリティトークン SmartCardDomainAndRSA はいスマートカード - セキュリティトークン SmartCardRSA はい Citrix Systems, Inc. All rights reserved. p.145

スマートカード - SMS 認証 SmartCardSMS はい SMS 認証 SMS: はいコールバック URL が必要な場合 ZIP ファイルに記載されているゲートウェイ URL に基づいて StoreFront によりコールバック URL が自動で入力されますこの URL は NetScaler Gateway 仮想サーバーの IP にポイントバックする有効な URL に変更できます

146 スマートカード - SMS 認証 SmartCardSMS はい SMS 認証 SMS: はいコールバック URL が必要な場合 ZIP ファイルに記載されているゲートウェイ URL に基づいて StoreFront によりコールバック URL が自動で入力されますこの URL は NetScaler Gateway 仮想サーバーの IP にポイントバックする有効な URL に変更できますスマートアクセスを使用する場合コールバック URL は必須です 6.[Next ] をクリックします 7. StoreFront が ZIP ファイルに記載されているすべての STA(Secure Ticket Authority) サーバーの URL へ DNS を使用してアクセスしこれらのサーバーが動作中の STA チケット発行サーバーであることを確認しますいずれかの STA URL が無効である場合インポートは中断されます 8.[Next ] をクリックします 9. インポートの詳細を確認しますゲートウェイ URL とポートの組み合わせ ( ゲートウェイ : ポート ) の同じゲートウェイが既に存在する場合はボックスの一覧からゲートウェイを選択して上書きするか新規ゲートウェイを作成します Citrix Systems, Inc. All rights reserved. p.146

StoreFront ではゲートウェイURL: ポートの組み合わせを使用してインポートするゲートウェイが ( 更新が必要になる ) 既存のゲートウェイと一致するかどうかを判定しますゲートウェイのゲートウェイURL: ポートの組み合わせが異なる場合 StoreFront ではこのゲートウェイを新規ゲートウェイとして扱います次のゲートウェイ設定の表に更新可能な設定を示します

147 StoreFront ではゲートウェイURL: ポートの組み合わせを使用してインポートするゲートウェイが ( 更新が必要になる ) 既存のゲートウェイと一致するかどうかを判定しますゲートウェイのゲートウェイURL: ポートの組み合わせが異なる場合 StoreFront ではこのゲートウェイを新規ゲートウェイとして扱います次のゲートウェイ設定の表に更新可能な設定を示しますゲートウェイの設定更新の可否ゲートウェイ URL: ポートの組み合わせなし GSLB の URL はい Netscaler の信頼証明書と捺印はいコールバック URL はい Receiver for Web サイトの URL はいゲートウェイのアドレス /VIP はい STA の URL および STA の ID はいすべてのログオンの種類はい Citrix Systems, Inc. All rights reserved. p.147

148 10.[Import ] をクリックします StoreFront サーバーがサーバーグループに含まれている場合インポートしたゲートウェイ設定をグループ内の他のサーバーに反映させるように求めるメッセージが表示されます 11.[ [ 完了 ] をクリックします別の仮想サーバー構成をインポートする場合は上記の手順を繰り返します注意別のゲートウェイを使用するようにネイティブCitrix Receiverを構成していない場合ストアのデフォルトゲートウェイがネイティブCitrix Receiverが接続に使用するゲートウェイとなりますストアのゲートウェイが構成されていない場合 ZIPファイルからインポートされた1 番目のゲートウェイがネイティブCitrix Receiverが使用するデフォルトゲートウェイになります後でゲートウェイをインポートしてもストアに設定済みのデフォルトゲートウェイは変更されません Read-ST FNet ScalerConfigurat ion 現在ログオンしている StoreFront 管理者のデスクトップに ZIP ファイルをコピーします NetScaler の ZIP ファイルの内容をメモリに読み込みインデックス値を使用してファイルに含まれる 3 つのゲートウェイを確認します $ImportedGateways = Read-STFNetScalerConfiguration -path "$env:userprofile\desktop\gatewayconfig.zip" Read-STFNetScalerConfiguration コマンドレットを使用して Netscaler の ZIP インポートパッケージからメモリ内に読み込んだ 3 つのゲートウェイオブジェクトを表示します $ImportedGateways.Document.Gateways[0] $ImportedGateways.Document.Gateways[1] $ImportedGateways.Document.Gateways[2] GatewayMode : CVPN Citrix Systems, Inc. All rights reserved. p.148

149 CallbackUrl : GslbAddressUri : AddressUri : Address : GslbAddress : VipAddress : Stas : {STA , STA } StaLoadBalance : True CertificateThumbprints : {F549AFAA29EBF61E8709F2316B3981AD503AF387} GatewayAuthType : Domain GatewayEdition : Enterprise ReceiverForWebSites : {Citrix.StoreFront.Model.Roaming.NetScalerConfiguration.ReceiverForWebSite} GatewayMode : CVPN CallbackUrl : GslbAddressUri : AddressUri : Address : GslbAddress : VipAddress : Citrix Systems, Inc. All rights reserved. p.149

150 Stas : {STA , STA } StaLoadBalance : True CertificateThumbprints : {F549AFAA29EBF61E8709F2316B3981AD503AF387} GatewayAuthType : DomainAndRSA GatewayEdition : Enterprise ReceiverForWebSites : {Citrix.StoreFront.Model.Roaming.NetScalerConfiguration.ReceiverForWebSite} GatewayMode : CVPN CallbackUrl : GslbAddressUri : AddressUri : Address : GslbAddress : VipAddress : Stas : {STA , STA } StaLoadBalance : True CertificateThumbprints : {F549AFAA29EBF61E8709F2316B3981AD503AF387} GatewayAuthType :SmartCard GatewayEdition : Enterprise ReceiverForWebSites : {Citrix.StoreFront.Model.Roaming.NetScalerConfiguration.ReceiverForWebSite} Citrix Systems, Inc. All rights reserved. p.150

151 コールバック URL を指定せずに Import -ST FNet ScalerConfigurat ion を使用する現在ログインしているStoreFront 管理者のデスクトップにZIPファイルをコピーします NetScalerのZIP インポートパッケージをメモリに読み込みインデックス値を使用してファイルに含まれる3つのゲートウェイを確認します $ImportedGateways = Read-STFNetScalerConfiguration -path "$env:userprofile\desktop\gatewayconfig.zip" Import-STFNetScalerConfiguration コマンドレットを使用し必要なゲートウェイインデックスを指定してStoreFront に新しい3つのゲートウェイをインポートします -Confirm:$False パラメーターを使用することで Powershell GUIからゲートウェイのインポートを1つ1つ許可するように求められなくなります 1 度に1つのゲートウェイをインポートする場合このパラメーターは削除してください Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 0 -Confirm:$False Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 1 -Confirm:$False Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 2 -Confirm:$False 独自のコールバック URL を指定して Import -ST FNet ScalerConfigurat ion を使用する Import-STFNetScalerConfiguration コマンドレットと-CallbackUrl パラメーターを使用し任意のコールバックを指定して3つの新しいゲートウェイをStoreFront へインポートします Citrix Systems, Inc. All rights reserved. p.151

152 $ImportedGateways = Read-STFNetScalerConfiguration -path "$env:userprofile\desktop\gatewayconfig.zip" Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 0 -CallbackUrl " Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 1 -CallbackUrl " Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 2 -CallbackUrl " Import -ST FNet ScalerConfigurat ion を使用してインポートファイルに格納されている認証方法を上書きし独自のコールバック URL を指定する Import-STFNetScalerConfiguration コマンドレットと -CallbackUrl パラメーターを使用し任意のコールバックを指定して 3 つの新しいゲートウェイを StoreFront へインポートします $ImportedGateways = Read-STFNetScalerConfiguration -path "$env:userprofile\desktop\gatewayconfig.zip" Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 0 -LogonType "SmartCard" -CallbackUrl " Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 1 -LogonType "SmartCard" -CallbackUrl " Import-STFNetScalerConfiguration -Configuration $ImportedGateways -GatewayIndex 2 -LogonType "SmartCard" -CallbackUrl " Citrix Systems, Inc. All rights reserved. p.152

154 NetScaler Gateway 接続設定の構成 Jun 04, 2018 以下のタスクではユーザーがストアにアクセスするときに経由するNetScaler Gateway 環境の詳細を更新します StoreFront でのWebFront Gatewayの構成について詳しくは Using WebFront to Integrate with StoreFront を参照してください NetScaler Gateway 環境の構成を変更する場合はそのNetScaler Gatewayを経由してストアにアクセスするユーザーに変更内容を通知して Citrix Receiverの設定を更新させてくださいストアの Citrix Receiver for Webサイトが構成済みの場合ユーザーはそのサイトから最新のCitrix Receiverプロビジョニングファイルを入手できます Receiver for Webサイトが構成済みでない場合は管理者がストアのプロビジョニングファイルをエクスポートしてユーザーに提供します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新しますユーザーに表示されるNetScaler Gateway 環境の名前を変更し NetScaler Gatewayインフラストラクチャの仮想サーバーユーザーログオンポイントのURL および展開モードを変更するには [ 全般設定の変更 ] タスクを使用します 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [NetScaler Gatewayの管理 ] をクリックします 3. NetScaler Gatewayの展開環境にわかりやすい名前を指定しますここで指定する表示名がユーザーのCitrix Receiverに表示されますそのためユーザーが使用する NetScaler Gatewayを判断しやすいように名前に関連情報を含める必要がありますたとえばユーザーが自分のいる場所に最も便利な NetScaler Gatewayを簡単に特定できるように表示名に地理情報を含めることができます 4. 展開環境の仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0の場合 ) のURLを入力します展開環境で使用する製品のバージョンを指定します StoreFront 展開環境のFQDN(Fully Qualified Domain Name: 完全修飾ドメイン名 ) は一意で NetScaler Gateway 仮想サーバーのFQDNと異なるものである必要があります StoreFront とNetScaler Gateway 仮想サーバーに同じFQDNを使用することはサポートされていません 5. 展開環境でAccess Gateway 5.0が実行されている場合は手順 7. に進みますそれ以外の場合は必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレスを指定しますこのサブネットアドレスは NetScaler Gatewayで内部ネットワークのサーバーと通信する時にユーザーデバイスを表すために使用するIPアドレスですこのアドレスは NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります StoreFront はサブネットIPアドレスを使用して受信要求が信頼されているデバイスから発信されているかどうかを検証します 6. アプライアンスがNetScaler Gatewayを実行している場合 [ ログオンの種類 ] の一覧から Citrix Receiverユーザー用にアプライアンスで構成した認証方法を選択します NetScaler Gatewayアプライアンスに関する構成情報はストアのプロビジョニングファイルに追加されますこれにより Citrix Receiverはアプライアンスへの初回接続時に適切な接続要求を送信できるようになりますユーザーのMicrosoft Active Directory ドメインの資格情報を入力させる場合は [ ドメイン ] を選択しますセキュリティトークンから取得するトークンコードを入力させる場合は [ セキュリティトークン ] を選択しますユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は [ ドメ Citrix Systems, Inc. All rights reserved. p.154

155 インおよびセキュリティトークン ] を選択しますテキストメッセージで送信されるワンタイムパスワードを入力させる場合は [SMS 認証 ] を選択しますスマートカードを挿入してPINを入力させる場合は [ スマートカード ] を選択しますスマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには [ スマートカードフォールバック ] の一覧から代替の認証方法を選択します 7. 展開環境でNetScaler GatewayまたはスタンドアロンのAccess Gateway 5.0アプライアンスを実行している場合は NetScaler Gateway 認証サービスのURLを [ コールバックURL] ボックスに入力します URLの標準的な部分は自動的に補完されますアプライアンスの内部 URLを入力します StoreFront はNetScaler Gateway 認証サービスに接続して NetScaler Gateway からの要求の送信元がそのアプライアンスであることを確認します StoreFront で Access Gateway 5.0 クラスター内のアプライアンスの IP アドレスまたは FQDN を追加編集または削除するには [ アプライアンスの管理 ] タスクを使用します Access Gateway 5.0クラスターのAccess Controller サーバーで実行している認証サービスのURLを追加編集または削除するには [ サイレント認証を有効にする ] タスクを使用します一覧に複数のサーバーのURLを入力するとその順番に基づいてフェールオーバーされます StoreFront では認証サービスを使用してリモートユーザーが認証されるためリモートユーザーがストアにアクセスするときに資格情報を再入力する必要はありませんユーザーセッションチケットを取得するSecure Ticket Authority(STA) の一覧を更新したりセッション画面の保持機能を構成したりするには [Secure Ticket Authority] タスクを使用します STAは XenDesktopおよびXenAppサーバーでホストされ接続要求に応答してセッションチケットを発行しますセッションチケットは XenDesktopおよびXenAppリソースへのアクセスを認証および承認するための基本機能です 1. Windowsの [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して結果ペインでNetScaler Gateway 展開環境を選択します [ 操作 ] ペインの [NetScaler Gatewayの管理 ] をクリックします 3. [ 追加 ] をクリックして STAサーバーのURLを入力します一覧に複数のSTAのURLを入力するとその順番に基づいてフェールオーバーされます URLを変更するには [Secure Ticket Authority URL] ボックスの一覧でエントリを選択して [ 編集 ] をクリックします特定のSTAからセッションチケットを取得しないようにするには一覧でURLを選択して [ 削除 ] をクリックします 4. Citrix Receiverが自動的に再接続を実行する間に切断したセッションを XenDesktopおよびXenAppで開いたままにするには [ セッション画面の保持を有効にする ] チェックボックスをオンにします複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにします [ 可能な場合は2つのSTAにチケットを要求する ] チェックボックスをオンにするとセッションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないように StoreFront により2つの異なるSTAからセッションチケットが取得されます StoreFront がどちらのSTAにもアクセスできない場合は単一のSTAを使用するようにフォールバックされます [ 操作 ] ペインで [Net Scaler Gat eway の管理 ] の [ 削除 ] タスクを使用して NetScaler Gateway 展開環境の詳細を StoreFront から削除します NetScaler Gateway 環境を削除するとユーザーはその展開環境を経由してストアにアクセスで Citrix Systems, Inc. All rights reserved. p.155

157 NetScaler による負荷分散 Nov 27, 2017 ここでは負荷分散用に NetScaler を使用するために必要な情報について示します StoreFront サーバーグループとNetScaler 負荷分散の構成 NetScaler 負荷分散およびStoreFront サーバーに対するSSL 証明書の作成サーバーグループ間のサブスクリプション同期用負荷分散仮想サーバーの作成負荷分散用 StoreFront サーバーグループの構成 Citrix サービスモニター同じNetScaler Gatewayアプライアンス上のNetScaler Gatewayおよび負荷分散仮想サーバー NetScalerを使ってStoreFront サーバーグループを負荷分散する場合のループバックオプション負荷分散 St orefront の展開計画ここではすべてのアクティブな負荷分散構成に 2 つ以上の StoreFront サーバーを含む StoreFront サーバーグループを展開する方法について説明しますまたサーバーグループのすべての StoreFront ノード間で Citrix Receiver/Citrix Receiver for Web からの受信要求を負荷分散するため NetScaler アプライアンスを構成する方法と NetScaler またはサードパーティのロードバランサーで使用するため新しい StoreFront モニターを構成する方法について詳しく説明します負荷分散構成の例については後述のシナリオ 1 とシナリオ 2 を参照してくださいテストされた環境単一のサーバーグループ内の 4 つの Windows Server 2012 R2 StoreFront 3.0 ノード最小接続および CookieInsert sticky 負荷分散用に構成された 1 つの NetScaler 10.5 ロードバランサー Fiddler 4.0 および Citrix Receiver for Windows 4.3 がインストールされた 1 つの Windows 8.1 テストクライアント HT T PS を使用する場合に負荷分散化される展開の SSL 証明書要件ゲートウェイとサーバー証明書の使用方法の計画セクションを参照してください商用証明機関から証明書を購入するまたはエンタープライズ CA から発行しようとする前に次のオプションについて検討しますオプション 1:*.example.com ワイルドカード証明書をNetScaler 負荷分散仮想サーバーとStoreFront サーバーグループノードの両方で使用するこれにより構成が簡素化され将来的には証明書を置き換える必要なく追加の StoreFront サーバーを増やすことができますオプション 2: サブジェクトの別名 (SAN) が含まれている証明書をNetScaler 負荷分散仮想サーバーとStoreFront サーバーグループノードの両方で使用するすべての StoreFront サーバーの完全修飾ドメイン名 (FQDN) と一致する証明書内の追加の SAN はオプションですがこれにより StoreFront 展開環境に柔軟性がもたらせられるため推奨されますメールベースの検出 discoverreceiver.example.com 用の SAN を含めますメールベースの検出の構成については Citrix Systems, Inc. All rights reserved. p.157

ascaler アプライアンスへのインポート WinSCP は Windows マシンから NetScaler ファイルシステムへのファイル移動に役立つ無料のサードパーティ製ツールですインポートする証明書を NetScalerファイルシステム内の /nsconf

158 discovery-for-citrix-receiver/ を参照してください注 : 証明書に関連付けられている秘密キーをエクスポートできない場合は注 : エクスポートする場合証明書に割り当てられている秘密キーは実行できません NetScaler 負荷分散仮想サーバー上の証明書と StoreFront サーバーグループノードの証明書という 2 つの別個の証明書を使用しますどちらの証明書にもサブジェクトの別名が必要です OpenSSL を使った Windows CA から発行された証明書の Net ascaler アプライアンスへのインポート WinSCP は Windows マシンから NetScaler ファイルシステムへのファイル移動に役立つ無料のサードパーティ製ツールですインポートする証明書を NetScalerファイルシステム内の /nsconf ig/ssl/ フォルダーにコピーしますまた NetScaler 上でOpenSSLツールを使用して PKCS12/PFX ファイルから証明書とキーを抽出し NetScalerで使用で Citrix Systems, Inc. All rights reserved. p.158

159 きる PEM 形式で 2 つの別々の CER ファイルと KEY X.509 ファイルを作成することができます 1. このPFXファイルをNetScaler GatewayアプライアンスまたはVPXの / nsconf ig/ ssl にコピーします 2. NetScaler コマンドラインインターフェイス (CLI) を開きます 3. Shell と入力してNetScaler CLIを閉じ FreeBSDシェルに切り替えます 4. ディレクトリを変更するために cd /nsconf ig/ssl と入力します 5. openssl pkcs12 -in.pf x -nokeys -out.cer を実行し画面のメッセージに従ってPFXパスワードを入力します 6. openssl pkcs12 -in.pf x -nocert s -out.key を実行し画面のメッセージに従ってPFXパスワードを入力して次に秘密キーの PEM パスフレーズを設定して KEY ファイルを保護します 7. ls al を実行し /nsconf ig/ssl/ 内にCERファイルとKEYファイルが正常に作成されたことを確認します 8. Exit と入力してNetScaler CLIに戻りますインポート後に Net Scaler でSSL 証明書の構成 1. NetScaler 管理 GUI にログオンします 2. [Traffic Management]>[SSL]>[SSL Certificates] の順に選択し [Install] をクリックします 3. [Install Certificate] ウィンドウで証明書と秘密キーペア名を入力します o NetScaler ファイルシステムの /nsconfig/ssl/ で.cer 証明書ファイルを選択します o 同じ場所から秘密キーを含む.key ファイルを選択します StoreFront サーバーグループ負荷分散用の DNS レコードの作成選択した共用 FQDN 用に DNS A および PTR レコードを作成しますネットワーク内のクライアントはこの FQDN を使用してロードバランサーを使用する StoreFront サーバーにアクセスします例 - st oref ront.example.com が仮想サーバー仮想 IP(VIP) の負荷分散を解決 Citrix Systems, Inc. All rights reserved. p.159

160 シナリオ 1: クライアントと NetScaler ロードバランサー間また NetScaler ロードバランサーと 2 つ以上の StoreFront 3.0 サーバー間のエンドツーエンドの HTPPS 443 セキュア接続このシナリオではポート 443 を使用する変更された StoreFront モニターが使用されます 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[ 負荷分散 ]>[ サーバー ]>[ 追加 ] の順に選択し 4つのStoreFront ノードをそれぞれ追加して負荷分散させます例 = 4 x 2012R2 StoreFront Nodes called 2012R2-A to D 3. IP ベースのサーバー構成を使用し各 StoreFront ノードのサーバー IP アドレスを入力します 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[ 負荷分散 ]>[ モニター ]>[ 追加 ] の順に選択し StoreFront を呼び出す新しいモニターを追加してすべてのデフォルト設定を受け入れます 3. [TT ype] ドロップダウンの一覧から [St orefront ] を選択します 4. 負荷分散仮想サーバーとStoreFront 間でSSL 接続を使用している場合は [Secure] チェックボックスをオンにする必要がありますその他の場合はオフのままにします 5. [Special Parameters] タブでストア名を指定します 6. [Special Parameters] タブで [Check Backend Services] チェックボックスをオンにしますこのオプションにより StoreFront サーバーで監視サービスの実行が有効になります StoreFront サーバーで実行する Windows サービスをプローブして StoreFront サービスが監視され実行中のすべての StoreFront サービスの状態が返されます Citrix Systems, Inc. All rights reserved. p.160

161 1. サービスグループ内で右側の [Members] オプションを選択しサーバーセクションで以前定義したすべての StoreFront サーバーノードを追加します 2. SSL ポートを設定し各ノードに一意のサーバー ID を追加します 3. [Monitors] タブで前に作成した StoreFront モニターを選択します Citrix Systems, Inc. All rights reserved. p.161

4. [Certificates] タブで前にインポートした SSL 証明書をバインドします 5. 以前にインポートした SSL 証明書の署名に使用された CA 証明書と PKI チェーン信頼の一部の可能性があるそのほかの CA をバインドします 1. NetScaler 管理 GUI にログオンします 2.

前に作成したService Group を負荷分散仮想サーバーにバインドします 5. 以前にサービスグループにバインドしたのと同じ SSL および CA 証明書を負荷分散仮想サーバーにバインドします 6.

162 4. [Certificates] タブで前にインポートした SSL 証明書をバインドします 5. 以前にインポートした SSL 証明書の署名に使用された CA 証明書と PKI チェーン信頼の一部の可能性があるそのほかの CA をバインドします 1. NetScaler 管理 GUI にログオンします 2.[Traf fic Management ]>[ 負荷分散 ]>[ 仮想サーバー ]>[ 追加 ] の順に選択し新しい仮想サーバーを作成します 3. 仮想サーバー用の負荷分散方式を選択します StoreFront 負荷分散で共通の選択は [round robin] または [least connect ion] です 4. 前に作成したService Group を負荷分散仮想サーバーにバインドします 5. 以前にサービスグループにバインドしたのと同じ SSL および CA 証明書を負荷分散仮想サーバーにバインドします 6. 負荷分散仮想サーバーメニュー内から右側にある [Persist ence] を選択してパーシステンス方式がCookieInsert になるように設定します 7. cookieに名前を付けますたとえばデバッグ時にFiddler トレースで見つけやすいようにNSC_SFPersist ence という名前を付けます 8. バックアップパーシステンスを [None] に設定します Citrix Systems, Inc. All rights reserved. p.162

シナリオ 2:SSL 終了 - クライアントと NetScaler ロードバランサー間の HTTPS 443 通信およびロードバランサーとその裏の StoreFront 3.0 サーバー間の HTTP 80 接続このシナリオではポート 8000 を使用するデフォルトの StoreFront モニターが使用されます 1. NetScaler 管理 GUI にログオンします 2.

163 シナリオ 2:SSL 終了 - クライアントと NetScaler ロードバランサー間の HTTPS 443 通信およびロードバランサーとその裏の StoreFront 3.0 サーバー間の HTTP 80 接続このシナリオではポート 8000 を使用するデフォルトの StoreFront モニターが使用されます 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[ 負荷分散 ]>[ サーバー ]>[ 追加 ] の順に選択し 4つのStoreFront サーバーをそれぞれ追加して負荷分散させます例 = 4 x 2012R2 Storefront servers called 2012R2-A to -D 3. IP ベースのサーバー構成を使用し各 StoreFront サーバーのサーバー IP アドレスを入力します Citrix Systems, Inc. All rights reserved. p.163

164 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[Monit ors]>[add Add] の順に選択し StoreFront を呼び出す新しいモニターを追加します 3. 新しいモニターの名前を入力しすべてのデフォルトの設定を受け入れます 4. [TT ype] ドロップダウンメニューから [St orefront ] を選択します 5. [Special Parameters] タブでストア名を指定します 6. ポートに 8000 を入力して各 StoreFront サーバーで作成されるデフォルトのモニターインスタンスと一致させます 7. [Special Parameters] タブで [Check Backend Services] チェックボックスをオンにしますこのオプションにより StoreFront サーバーで監視サービスの実行が有効になります StoreFront サーバーで実行する Windows サービスをプローブして StoreFront サービスが監視され実行中のすべての StoreFront サービスの状態が返されます 1. サービスグループ内で右側のメンバーオプションを選択しサーバーセクションで以前定義したすべてのStoreFront サーバーノードを追加します 2. HTTPポートを80に設定し各サーバーに一意のサーバー IDを追加します 3. [Monitors] タブで前に作成したStoreFront モニターを選択します 1. [TT raf f ic Management ]>[ 負荷分散 ]>[ 仮想サーバー ]>[ 追加 ] の順に選択し新しい仮想サーバーを作成します 2. 仮想サーバーが使用する負荷分散方式を選択します StoreFront 負荷分散で共通の選択は [round robin] または [least connect ion] です 3. 前に作成したService Group を負荷分散仮想サーバーにバインドします 4. 以前にサービスグループにバインドしたのと同じ SSL および CA 証明書を負荷分散仮想サーバーにバインドします注 : クライアントがHTTP Cookieを保存できない場合は以降の要求にHTTP Cookieが含まれなくなりパーシステンスは適用されません 5. 負荷分散仮想サーバーメニュー内から [Persist ence] を選択してパーシステンス方式がCookieInsert となるように設定します 6. cookieに名前を付けますたとえばデバッグ時にFiddler トレースで見つけやすいようにNSC_SFPersist ence という名前を付けます 7. バックアップパーシステンスを [None] に設定します Citrix Systems, Inc. All rights reserved. p.164

165 負荷分散仮想サーバーを作成する前に次の点について検討しますオプション 1: 単一の仮想サーバーの作成 : ユーザートラフィックのみを負荷分散公開アプリケーションおよびデスクトップの ICA 起動のみを実行する場合は必要なのはこれですべてです ( 必須かつ通常はこれが必要なすべてです ) オプション 2: 仮想サーバーペアの作成 : 公開アプリケーションおよびデスクトップのICA 起動を実行するためのユーザートラフィックの負荷分散用に 1 つサブスクリプションデータ同期操作の負荷分散用にもう 1 つ ( 大規模マルチサイト展開環境の 2 つ以上の負荷分散された StoreFront サーバーグループ間でサブスクリプションデータを反映させる場合にのみ必要 ) 地理的に別々の場所にある 2 つ以上の StoreFront サーバーグループで構成されるマルチサイト展開環境の場合定期的にプル戦略を使ってサブスクリプションデータを複製できます StoreFront サブスクリプションレプリケーションは TCP ポート 808 を使用するため既存の負荷分散仮想サーバーを HTTP ポート 80 または SSL 443 で使用することはできませんこのサービスに対して高い可用性を提供するには展開内の各 NetScaler で 2 つ目の仮想サーバーを作成して各 StoreFront サーバーグループの TCP ポート 808 へ負荷分散しますレプリケーションスケジュールを構成する場合サブスクリプション同期仮想サーバーの仮想 IP アドレスと一致するサーバーグループアドレスを指定しますサーバーグループアドレスはその場所にあるサーバーグループのロードバランサーの FQDN である必要がありますサブスクリプション同期用のサービスグループの構成 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[Service Groups]>[Add Add] の順に選択し新しいサービスグループを追加します 3. プロトコルを [TT CP] に変更します 4. サービスグループ内で右側の [Members] オプションを選択しサーバーセクションで以前定義したすべての StoreFront サーバーノードを追加します 5. [Monit ors] タブで TCPモニターを選択します Citrix Systems, Inc. All rights reserved. p.165

166 サーバーグループ間のサブスクリプション同期用負荷分散仮想サーバーの作成 1. NetScaler 管理 GUI にログオンします 2. [TT raf f ic Management ]>[Service Groups]>[Add Add] の順に選択し新しいサービスグループを追加します 3. 負荷分散の手法に [round robin] を設定します 4. プロトコルを [TT CP] に変更します 5. ポート番号には4 4 3 ではなく 808 と入力します CitrixSubscriptionsSyncUsers 内のメンバーシップ For St orefront server A at Locat ion A to request and pull subscription data from server B at a different location, server A must be a member of the Cit rixsubscript ionssyncusers local security group on server B. The Cit rixsubscript ionssyncusers local group contains an access control list of all remote StoreFront servers authorized to pull subscription data from a particular server. 双方向サブスクリプション同期の場合サブスクリプションデータをプルするためサーバー Bもサーバー AのCit rixsubscript ionssyncusers セキュリティグループのメンバーである必要があります Citrix Systems, Inc. All rights reserved. p.166

1. NetScaler 負荷分散仮想サーバー上に展開されたのと同じ証明書と秘密キーをサーバーグループ内のすべての StoreFront ノードにインポートします 2. すべてのStoreFront ノードのIISにHTTPSバインドを作成しそこにこれより前にインポートした証明書をバインドします 3.

StoreFront をインストール間にプライマリノードのホストベース URL がサーバーグループのすべてのメンバーによって使用される共有 FQDN となるように設定します共通名 (CN) またはサブジェクトの別名 (SAN) として負荷分散された FQDN

167 1. NetScaler 負荷分散仮想サーバー上に展開されたのと同じ証明書と秘密キーをサーバーグループ内のすべての StoreFront ノードにインポートします 2. すべてのStoreFront ノードのIISにHTTPSバインドを作成しそこにこれより前にインポートした証明書をバインドします 3. サーバーグループのすべてのノードに StoreFront をインストールします 4. StoreFront をインストール間にプライマリノードのホストベース URL がサーバーグループのすべてのメンバーによって使用される共有 FQDN となるように設定します共通名 (CN) またはサブジェクトの別名 (SAN) として負荷分散された FQDN を含む証明書を使用する必要があります NetScaler 負荷分散および StoreFront サーバーに対する SSL 証明書の作成を参照してください 5. 初期 StoreFront 構成が完了したら各ノードを順番にプライマリノードを使用するサーバーグループに参加させます 6. 参加サーバーに対して [ サーバーグループ ]>[ サーバーの追加 ]>[Copy t he Aut horizat ion Code] の順に選択 Citrix Systems, Inc. All rights reserved. p.167

168 します 7. プライマリノードからグループ内のすべてのほかのサーバーグループノードに構成を反映させます 8. ロードバランサーの共有 FQDN にアクセスして解決できるクライアントを使って負荷分散サーバーグループをテストします StoreFront が依存している Windows サービスが適切に稼働しているかを確認する実行状態の外部監視を有効にするには Cit rix サービスモニター Windowsサービスを使用しますこのサービスはほかのサービスには依存せずほかの重要な StoreFront サービスの障害を監視して報告できますモニターにより StoreFront サーバー展開の相対的な稼働状態を NetScaler などほかの Citrix コンポーネントによって外部的に判断することができますサードパーティソフトウェアは StoreFront モニターの XML 応答を使用して必要な StoreFront サービスの状態を監視できます StoreFront の展開後 HTTP およびポート 8000 を使用するデフォルトのモニターが作成されます注 :StoreFront 展開内に存在できるのはモニターの単一のインスタンスのみですプロトコルとポートを HTTPS 443 に変更など既存のデフォルトのモニターに対して何らかの変更を加えるには 3 つの PowerShell コマンドレットを使って StoreFront モニターサービス URL を表示して再構成しますデフォルトのサービスモニターを削除し HT T PS およびポートを使用するものに置き換える 1. プライマリ StoreFront サーバーで PowerShell Integrated Scripting Environment(ISE) を開き以下のコマンドを実行してデフォルトモニターを HTTPS 443 に変更します次のように入力します Set-DSDerviceMonitorFeature ServiceUrlhttps://localhost:443/StorefrontMonitor Set-STFServiceMonitor -ServiceUrl $ServiceUrl Get-STFServiceMonitor 2. 変更が完了したら StoreFront サーバーグループ内の外のすべてのサーバーに変更を反映させます 3. 新しいモニターでクイックテストを実行するには StoreFront サーバーまたは StoreFront サーバーへネットワークアクセスするほかの任意のマシンでブラウザーに次の URL を入力しますブラウザーはすべての StoreFront サービスの状態について XML サマリーを返します ht t ps://:4 4 3/St orefront Monit or/get SFServicesSt at us Citrix Systems, Inc. All rights reserved. p.168

169 同じNetScalerアプライアンス上に構成済みのNetScaler Gateway 仮想サーバーと負荷分散仮想サーバーがある場合内部ドメインユーザーがNetScaler Gateway 仮想サーバーを経由するのではなくStoreFront 負荷分散ホストベースURLに直接アクセスしようとすると問題が発生することがありますこの場合 StoreFront はユーザーのソースIPアドレスとNetScaler GatewayのサブネットIPアドレス (SNIP) とを相関するものとするためエンドユーザーがNetScaler Gatewayで既に認証されたとStoreFront により見なされてしまいますこのため StoreFront はユーザーにドメイン資格情報を使ってログオンするよう求めるのではなく AGBasicプロトコルを使って NetScaler Gatewayサイレント認証を実行しようとしますこの問題を避けるには次に示すようにSNIPアドレスを省いて AGBasicでなくユーザー名とパスワードの認証が使用されるようにします St orefront サーバーグループでの Net scaler Gat eway の構成 Citrix Systems, Inc. All rights reserved. p.169

2.6 以前など古いバージョンの StoreFront では各 StoreFront サーバーでホストファイルを手動で変更してロードバランサーの完全修飾ドメイン名 (FQDN) を特定の StoreFront サーバーのループバックアドレスまたは IP アドレスにマップするよう推奨していましたこれにより Receiver for Web は常に負荷分散化された展開内の同じサーバー上の

170 2.6 以前など古いバージョンの StoreFront では各 StoreFront サーバーでホストファイルを手動で変更してロードバランサーの完全修飾ドメイン名 (FQDN) を特定の StoreFront サーバーのループバックアドレスまたは IP アドレスにマップするよう推奨していましたこれにより Receiver for Web は常に負荷分散化された展開内の同じサーバー上の StoreFront サービスと通信できますこれが必要なのは Receiver for Web と認証サービス間の明示的なログインプロセス中に HTTP セッションが作成され Receiver for Web がベース FQDN を使用して StoreFront サービスと通信するためですベース FQDN がロードバランサーに対して解決された場合はロードバランサーは潜在的にグループ内の別の StoreFront サーバーにトラフィックを送信でき認証エラーが発生することになりますこれによって Receiver for Web はそれと同じサーバー上にあるストアサービスへアクセスしようとする場合を除きロードバランサーをバイパスしません PowerShell を使ってループバックオプションを設定できますループバックを有効にするとサーバーグループ内の各 StoreFront サーバーにホストファイルエントリを作成する必要がなくなります Receiver for Web web.config ファイルの例 : PowerShell コマンドの例 : & "c:\program files\cit rix\receiver st oref ront \script s\import Modules.ps1" Set -DSLoopback -Sit eid 1 -Virt ualpat h "/Cit rix/st oreweb" -Loopback "OnUsingHt t p" -LoopbackPort UsingHt t p 81 -Loopback パラメーターには3つの値を設定できます値コンテキスト On: URL のホストをに変更しますスキーマおよびポート ( 指定されている場合 ) は変更されません SSL 終了ロードバランサーが使用されている場合は使用できません OnUsingHt t p: p ホストをにスキーマを HTTP に変更しポートをloopbackPort UsingHt t p 属性に構成されている値に変更しますロードバランサーがSSL 終了である場合のみ使用しますロードバランサーとStoreFront サーバー間の通信はHTTPで行います -loopbackportusinghttp 属性を使って HTTP ポートを明示的に構成できます Of f : 要求内の URL はいかなる方法によっても変更されませんトラブルシューティングに使用します Fiddler のようなツールはループバックを On に設定している場合 Citrix Receiver for WebとStoreFront Services 間のトラフィックをキャプチャできません Citrix Systems, Inc. All rights reserved. p.170

172 1 つの NetScaler Gateway に 2 つの URL を構成する Nov 27, 2017 StoreFront では管理コンソールの [NetScaler Gatewayの管理 ] の [ 追加 ] または [ 編集 ] からNetScaler GatewayのURL を1つだけ追加できますまた [NetScaler Gatewayの管理 ] の [ ファイルからインポート ] で NetScaler GatewayのパブリックURLとGSLB(Global Server Load Balancing: グローバルサーバー負荷分散 ) のURLの両方を追加することもできますこの記事では PowerShell コマンドレットとStoreFront PowerShell SDKでオプションパラメーターの-gslburl を使用してゲートウェイのGslbLocation 属性を設定する方法について説明しますこれにより StoreFront でのNetScaler Gatewayの管理が簡素化されます 1. GSLB と複数の Net Scaler Gat eway:gslb と複数のNetScaler Gatewayを使用して大規模なグローバルCitrix 展開の2つまたは複数の場所にある公開リソースへのリモート接続の負荷を分散します 2. 単一の Net Scaler Gat eway でのパブリックまたはプライベート URL の使用 : パブリックURLによる外部アクセスとプライベートURLによる内部アクセスに対し同一のNetScaler Gatewayを使用しますこれは高度な機能です GSLBの概念に慣れていない場合はこの記事の最後にある関連情報のリンクを参照してくださいこのアーキテクチャには次の長所があります単一のゲートウェイオブジェクトで2つのURLを同時に使用できます管理者がユーザーの使用するゲートウェイURLと一致するようにStoreFront ゲートウェイオブジェクトを再構成しなくてもユーザーは2つの異なるURLを切り替えてNetScaler Gatewayにアクセスできます複数のGSLBゲートウェイを使用する場合のStoreFront ゲートウェイ構成のセットアップと検証テスト時間が短縮されます外部アクセスと内部アクセスの両方に DMZ 内部のStoreFront に含まれる同一のNetScaler Gatewayを使用できます最適なゲートウェイルーティングで両方のURLを使用できます詳しくは可用性の高いマルチサイトストア構成のセットアップを参照してください Important -gslburlパラメーターを使用して 2 番目のゲートウェイURLを構成する前に配置済みのサーバー証明書と組織でのDNS 解決の実行方法について確認することをお勧めします NetScaler およびStoreFrontの展開環境で使用する URLはすべてサーバー証明書に記載されている必要がありますサーバー証明書について詳しくはゲートウェイとサーバー証明書の使用方法の計画を参照してください DNS 分割 DNS 大企業では一般にスプリットDNSが使用されていますスプリットDNSではパブリックとプライベートの DNS の解決に異なる名前空間と DNS サーバーを使用しています既存の DNS インフラストラクチャでこれがサポートされるかどうかを確認してください公開リソースへの外部および内部アクセス用の単一の URL: 社内ネットワークの内部および外部からの公開リソースへのアクセスで同一の URL を使用するかどうかまたは example.com と example.net のような 2 つの異なる URL を認めるかどうかを検討しますサーバー証明書 Citrix Systems, Inc. All rights reserved. p.172

173 このセクションでは 2 つのゲートウェイ URL を使用する場合のサーバー証明書の展開例を示します St orefront の負荷分散展開環境のサーバー証明書の例プライベート署名済みのワイルドカードサーバー証明書に *.storefront.example.net という FQDN を含めますまたはプライベート署名済みの SAN サーバー証明書に 3 台の StoreFront サーバーの負荷分散に必要な FQDN をすべて含めます loadbalancer.storefront.example.net server1.storefront.example.net server2.storefront.example.net server3.storefront.example.net Storefront サーバーグループのホストのベース URL をロードバランサーの IP アドレスに対して解決される共有 FQDN に設定します loadbalancer.storefront.example.net XenApp および XenDeskt op 7.x のDelivery Cont roller グループ向けのサーバー証明書の例プライベート署名済みのワイルドカードサーバー証明書に *.xendesktop.example.net という FQDN を含めますまたはプライベート署名済みの SAN サーバー証明書に 4 つの Controller が含まれる XenDesktop サイトに必要な FQDN をすべて含めます XD1A.xendesktop.example.net XD1B.xendesktop.example.net XD2A.xendesktop.example.net XD2B.xendesktop.example.net スプリット DNS を使用して内外部の両方からアクセスされる Net Scaler Gat eway のサーバー証明書の例外部と内部両方のアクセス用のプライベート署名済み SAN サーバー証明書に外部と内部両方の FQDN を含めます gateway.example.com gateway.example.net 外部からアクセスされるすべての GSLB ゲートウェイ向けのサーバー証明書の例 GSLB を経由した外部アクセス用のパブリック署名済み SAN サーバー証明書に次の FQDN を含めます gslbdomain.example.com Citrix Systems, Inc. All rights reserved. p.173

174 emeagateway.example.com usgateway.example.com apacgateway.example.com これによりユーザーはGSLBを使用して最も近いゲートウェイにアクセスするか一意のFQDNを使用して任意の場所にあるゲートウェイを選択することができます管理者が GSLB と複数の NetScaler Gateway を使用して大規模なグローバル Citrix 展開の 2 つまたは複数の場所にある公開リソースへのリモート接続の負荷を分散しますこの例の構成は次のとおりですそれぞれの場所またはデータセンターに 1つまたは複数のゲートウェイ 1 台または複数台のStoreFront サーバーその場所の公開リソースを提供する1つ以上のXenAppおよびXenDesktopのコントローラーを含めていますグローバル展開環境内のGSLB NetScaler 上で構成されている各 GSLBがゲートウェイVPN 仮想サーバーとしていますこの環境内のStoreFront サーバーはすべて GSLBレイヤーを構成するNetScaler Gateway 仮想サーバーすべてを含むように構成する必要があります GSLB NetScaler Gatewayはアクティブ / アクティブモードで使用していますが 1 箇所でネットワーク接続 DNS ゲートウェイ StoreFront サーバーまたはXenAppおよびXenDesktopのコントローラーに障害が発生した場合はフェールオーバーを実施することもできます GSLBサービスが利用不能になるとユーザーは自動で別のゲートウェイに接続されますリモート接続が確立されると外部クライアントは GSLBの構成済み負荷分散アルゴリズム ( ラウンドトリップ時間 (RTT) や静的近接度 ) に基づいて最も近いゲートウェイに接続されます Citrix Systems, Inc. All rights reserved. p.174

各ゲートウェイの一意のURLによりユーザーは使用するゲートウェイの場所固有のURL を選択してリソースの起動先になるデータセンターを手動で指定することができます GSLBまたはDNSの委任が意図したとおりに動作しなくなった場合は GSLBをバイパスすることができます GSLB 関連の問題が解決されるまで

175 各ゲートウェイの一意のURLによりユーザーは使用するゲートウェイの場所固有のURL を選択してリソースの起動先になるデータセンターを手動で指定することができます GSLBまたはDNSの委任が意図したとおりに動作しなくなった場合は GSLBをバイパスすることができます GSLB 関連の問題が解決されるまでユーザーは場所固有のURLを使用してすべてのデータセンターのリモートリソースに引き続きアクセスできます管理者はパブリック URL による外部アクセスとプライベート URL による内部アクセスの両方で同一の NetScaler Gateway を使用しますこの例の構成は次のとおりです管理者はクライアントが内部にある場合でも公開リソースへのアクセスおよびHDXの起動トラフィックがNetScaler Gatewayを経由して渡されるように設定します NetScalerはDMZ 内に配置されています DMZの両側には 2つのファイアウォールを経由したNetScaler Gatewayへの2つの異なるネットワークルートが配置されています公開される外部名前空間は内部の名前空間とは異なります StoreFront ゲートウェイオブジェクト上のGslbLocat ion 属性を設定するには Add-ST FRoamingGat eway およびSet - ST FRoamingGat eway の各 PowerShell コマンドレットで-gslburl パラメーターを指定します次に例を示します Citrix Systems, Inc. All rights reserved. p.175

176 Add-STFRoamingGateway -Name "EMEAGateway" -GatewayUrl " -GSLBurl " Set-STFRoamingGateway -Name "EMEAGateway" -GatewayUrl " -GSLBurl " Get-STFRoamingGateway -Name "EMEAGateway" (returns just the EMEA gateway object) Or Get-STFRoamingGateway (returns all gateway object configured in StoreFront) ユースケース #1ではGslbLocat ion をNULLに設定して EMEAGateway からGSLBurlを削除できます以下の PowerShell はメモリに保存されたゲートウェイオブジェクト $EMEAGatewayを変更します次に Set -ST FRoamingGat way が $EMEAGateway に設定され StoreFront 構成を更新し GSLBurl を削除できます $EMEAGateway = Get-STFRoamingGateway $EMEAGateway.GslbLocation = $Null Set-STFRoamingGateway -Gateway $EMEAGateway ユースケース1では Get -ST FRoamingGat eway を使用すると以下のゲートウェイが返されます Citrix Systems, Inc. All rights reserved. p.176

177 Name: EMEAGateway Location: (Unique URL for the EMEA Gateway) GslbLocation: (GSLB URL for all three gateways) Name: USGateway Location: (Unique URL for the US Gateway) GslbLocation: (GSLB URL for all three gateways) Name: APACGateway Location: (Unique URL for the APAC Gateway) GslbLocation: (GSLB URL for all three gateways) ユースケース2では Get -ST FRoamingGat eway を使用すると以下のゲートウェイが返されます Name: EMEAGateway Location: (Public URL for the Gateway) GslbLocation: (Private URL for the Gateway) ユースケース1では Get -ST FSt oreregist eredopt imallaunchgat eway を使用すると最適なゲートウェイルーティングが返されます Citrix Systems, Inc. All rights reserved. p.177

178 $StoreObject = Get-STFStoreService -SiteId 1 -VirtualPath "/Citrix/<YourStore>" Get-STFStoreRegisteredOptimalLaunchGateway -StoreService $StoreObject Hostnames: {emeagateway.example.com, gslb.example.com} Hostnames: {usgateway.example.com, gslb.example.com} Hostnames: {apacgateway.example.com, gslb.example.com} 各ゲートウェイの GSLB URL または内部 URL はローミングサービスの web.config ファイルに格納されている StoreFront の管理コンソールでは各ゲートウェイのGSLB URLまたは内部 URLは表示されませんがすべてのGSLBゲートウェイについて StoreFront サーバーのC:\inetpub\wwwroot\Citrix\Roaming\ にあるローミングサービスのweb.configファイルを開くと構成済みのGSLBLocationパスを確認できますユースケース 1: : ローミング web.config ファイルのゲートウェイ Citrix Systems, Inc. All rights reserved. p.178

180 DFA 用の NetScaler および StoreFront の構成 Nov 27, 2017 拡張認証機能により NetScalerおよびStoreFront のフォームベース認証を拡張するための単一のカスタマイズポイントが提供されます拡張認証 SDKを使用した認証ソリューションを実現するには NetScalerとStoreFront の間にDelegated Forms Authentication(DFA) を構成する必要があります DFAプロトコルを使用すると資格情報検証などの認証フォームの生成と処理をほかのコンポーネントに委任することができますたとえば NetScalerは認証をStoreFront に委任し StoreFront はサードパーティの認証サーバーまたは認証サービスとやりとりします NetScalerとStoreFront の間の通信を確実に保護するには HTTPプロトコルの代わりにHTTPSプロトコルを使用しますクラスター展開環境ではすべてのノードに同じサーバー証明書をインストールし IIS HTTPSバインドを構成してから構成手順を実行する必要があります StoreFront でHTTPSを構成するときは NetScalerにStoreFront のサーバー証明書の発行者を信頼された証明書機関として設定する必要がありますすべてのノードにサードパーティの認証プラグインをインストールしてからこれらのノードをクラスターに追加します 1 つのノードですべての DFA 関連設定を構成しその内容をほかのノードに反映させます DFA の有効化を参照してください StoreFront にはCitrix の事前共有キー設定を設定するGUIがないので PowerShell コンソールを使用してDFAをインストールします 1. DFAをインストールします DFAはデフォルトではインストールされないので PowerShell コンソールを使用してインストールする必要があります PS C:\Users\administrator.PTD.000> cd 'C:\Program Files\Citrix\Receiver StoreFront\Scripts' PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> &.\ImportModules.ps1 Adding snapins Importing modules Loading 'C:\Program Files\Citrix\Receiver StoreFront\\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll' Loading 'C:\Program Files\Citrix\Receiver StoreFront\\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll' PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Install-DSDFAServer Id : bf694fbc-ae0a-4d c945559e897a ClassType : e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc FrameworkController : Citrix.DeliveryServices.Framework.FileBased.FrameworkController ParentInstance : 8dd182c7-f c-ad4c-27a5980f716c RootInstance : 5d0cdc75-1dee-4df d79634b3 TenantId : 860e c8-4f2c-928d b840 Data : {} ReadOnlyData : {[Name, DelegatedFormsServer], [Cmdlet, Add-DSWebFeature], [Snapin, Citrix.DeliverySer vices.web.commands], [Tenant, 860e c8-4f2c-928d b840]} ParameterData : {[FeatureClassId, e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc], [ParentInstanceId, 8dd182c7-f c-ad4c-27a5980f716c], [TenantId, 860e c8-4f2c-928d b840]} AdditionalInstanceDependencies : {b1e48ef0-b9e af9b aa2a3} IsDeployed : True FeatureClass : Citrix.DeliveryServices.Framework.Feature.FeatureClass 2. Citrix Trusted Client を追加します StoreFront とNetScalerの間で共有秘密キー ( パスフレーズ ) を構成しますパスフレーズとクライアントIDは NetScalerで構成したものと同一である必要があります PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Add-DSCitrixPSKTrustedClient -clientid netscaler.fqdn.com -passphrase secret Citrix Systems, Inc. All rights reserved. p.180

181 3. DFA Conversation Factory を設定してすべてのトラフィックをカスタムフォームにルーティングします Conversation Factory を見つけるには C:\inetpub\wwwroot\Citrix\Authentication\web.config で ConversationFactory を検索します以下の例を参照してください 4. PowerShell で DFA Conversation Factory を設定しますこの例では ExampleBridgeAuthentication に設定しています PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Set-DSDFAProperty -ConversationFactory ExampleBridgeAuthentication PowerShell の引数では大文字と小文字が区別されません -ConversationFactoryis は conversationfactory と同意ですサードパーティの認証プラグインは StoreFront の機能に影響を与えるのですべてのサードパーティの認証プラグインをアンインストールしてから StoreFront をアンインストールします Citrix Systems, Inc. All rights reserved. p.181

182 異なるドメインを使用した認証 Nov 27, 2017 組織によってはサードパーティの開発者や契約社員に実稼働環境で公開リソースへのアクセスをポリシーで禁止している場合がありますここでは NetScaler Gateway 経由で1つのドメインに認証することでテスト環境での公開リソースへのアクセスを許可する方法を説明しますこれによって異なるドメインを使用してStoreFront およびReceiver for Webサイトへの認証を実行できますここで説明されたNetScaler Gateway 経由の認証は Receiver for Webサイト経由でログオンするユーザーが対象ですこの認証方法はネイティブのデスクトップまたはモバイルCitrix Receiverのユーザーは使用できませんここでは production.com という実稼働ドメインと development.com というテストドメインを使用します product ion.com ドメインこの例では production.com ドメインを以下のようにセットアップします production.com の LDAP 認証ポリシーが構成された NetScaler Gateway production\testuser1 アカウントおよびパスワードを使用してゲートウェイ経由で認証 development.com ドメインこの例では development.com ドメインを以下のようにセットアップします StoreFront XenApp および XenDesktop 7.0 以降 VDA をすべて development.com ドメインに配置 production\testuser1 アカウントおよびパスワードを使用して Citrix Receiver for Web サイトに認証 2 つのドメインの間には信頼関係はありませんストアの NetScaler Gateway を構成するには : 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] を選択して [ 操作 ] ペインの [Net Scaler Gat eway の管理 ] をクリックします 2. [NetScaler Gatewayの管理 ] 画面で [ 追加 ] をクリックします 3. 全般設定 Secure Ticket Authority 認証手順を完了します Citrix Systems, Inc. All rights reserved. p.182

185 注意両方のドメインで使用中のDNS サーバーが他方のドメインのFQDNを解決できるよう DNS 条件付きフォワーダーの追加が必要な場合があります NetScaler は production.com のDNS サーバーを使用して development.com ドメインでSTAサーバーのFQDNを解決できるようにする必要があります StoreFrontは development.com のDNS サーバーを使用して production.com ドメインでコールバックURLを解決できるようにする必要がありますまたは development.com のFQDNを使用して NetScaler Gateway vserver virtual IP(VIP) として解決することもできます 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] を選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 2. [ 認証方法の管理 ] 画面で [Net Scaler Gat eway からのパススルー ] を選択します 3. [OK] をクリックします Citrix Systems, Inc. All rights reserved. p.185

NetScaler Gateway がストアに登録されたことを確認します NetScaler Gateway が登録されていないと STA チケット発行機能は機能しません 1.

186 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] を選択して結果ペインでストアを選択します [ 操作 ] ペインで [ リモートアクセス設定の構成 ] をクリックします 2. [ リモート PC アクセスを有効にする ] を選択します 3. NetScaler Gateway がストアに登録されたことを確認します NetScaler Gateway が登録されていないと STA チケット発行機能は機能しません 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] を選択して結果ペインでストアを選択します [ 操作 ] ペインで [ ストア設定の構成 ] を選択します 2. [ ストア設定の構成 ] ページで [ 詳細な設定 ] を選択します 3. [ トークンの一貫性を要求する ] チェックボックスをオフにします詳しくは上級ストア設定を参照してください Citrix Systems, Inc. All rights reserved. p.186

4. [OK] をクリックします注意 [ トークンの一貫性を要求する ] 設定はデフォルトでオンになっていますこの設定を無効にすると NetScaler End Point Analysis(EPA)SmartAccess 機能が停止します SmartAccess について詳しくは CTX138110 を参照してください Important NetScaler

187 4. [OK] をクリックします注意 [ トークンの一貫性を要求する ] 設定はデフォルトでオンになっていますこの設定を無効にすると NetScaler End Point Analysis(EPA)SmartAccess 機能が停止します SmartAccess について詳しくは CTX を参照してください Important NetScaler Gatewayからのパススルーを無効にすると Receiver for WebがNetScaler から渡されたproduction.com ドメインの誤った資格情報を使用しないようにできます NetScaler Gatewayからのパススルーを無効にすると Receiver for Webがユーザーに資格情報の入力を求めますこれらの資格情報は Netscaler Gatewayでログオンする場合に使用する資格情報とは異なります 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] を選択します 2. 変更するストアを選択します 3. [ 操作 ] ペインで [Receiver f or Web サイトの管理 ] をクリックします 4. 認証方法で [NetScaler Gateway からのパススルー ] チェックボックスをオフにします 5. [OK] をクリックします Citrix Systems, Inc. All rights reserved. p.187

188 テストのために production.com ユーザー名およびパスワードを使用して NetScaler Gateway にログオンしますログオン後ユーザーは development.com の資格情報を入力するよう求められますこの設定はオプションですがこれによって NetScaler Gateway 経由の認証で誤ったドメインの入力を回避できる場合があります Citrix Systems, Inc. All rights reserved. p.188

$両方のドメインで同じユーザー名を使用する場合誤ったドメインを入力する可能性が高くなります慣れていないユーザーが NetScaler Gateway 経由でログオンする時ドメインの入力を省略することもありますその後 Receiver for Web サイトにログオンするよう求められるとドメインでドメイン \ ユーザー名の入力を忘れる可能性があります 1.$ com を信頼済みドメインとして追加し [ ログオンページにドメイン一覧を表示する ] チェックボックスをオンにします 4.

com を信頼済みドメインとして追加し [ ログオンページにドメイン一覧を表示する ] チェックボックスをオンにします 4.

189 両方のドメインで同じユーザー名を使用する場合誤ったドメインを入力する可能性が高くなります慣れていないユーザーが NetScaler Gateway 経由でログオンする時ドメインの入力を省略することもありますその後 Receiver for Web サイトにログオンするよう求められるとドメインでドメイン \ ユーザー名の入力を忘れる可能性があります 1. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ 認証方法の管理 ] をクリックします 2. [ ユーザー名とパスワード ] の横の下向き矢印を選択します 3. [ 追加 ] を選択して development.com を信頼済みドメインとして追加し [ ログオンページにドメイン一覧を表示する ] チェックボックスをオンにします 4. [OK] をクリックします注意この認証方法ではブラウザーのパスワードキャッシュ機能は使用しないでください 2 つの異なるドメインアカウントに異なるパスワードがある場合パスワードキャッシュによって操作が複雑になる可能性があります NetScaler セッションポリシーで Web アプリケーションへのシングルサインオン機能が有効になっていると NetScaler からReceiver for Webに送信された正しくない資格情報は無視されますこれは Receiver for Webで [Net Scaler Gat eway からのパススルー ] 認証方法が無効になっているためですこのオプションがどのように設定されていても Receiver for Web は資格情報を求めます NetScaler の [Client Experience] および [Published Applications] タブでシングルサインオンを指定してもここで説明された動作は影響を受けません Citrix Systems, Inc. All rights reserved. p.189

192 ビーコンポイントの構成 Nov 27, 2017 ビーコンポイントとして使用する内部ネットワークの内側と外側のURLを指定するには [ ビーコンの管理 ] タスクを使用します Citrix Receiverはユーザーがローカルネットワークと公共のネットワークのどちらに接続しているのかをビーコンポイントを使用して識別しますユーザーがデスクトップやアプリケーションにアクセスするとそのリソースを提供するサーバーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Receiverに返しますこれによりユーザーがデスクトップやアプリケーションにアクセスするときに再ログオンする必要がなくなりますたとえば内部ビーコンポイントにアクセス可能な場合そのユーザーはローカルネットワークに接続していると認識されますこれに対し Citrix Receiver で内部ビーコンポイントにアクセスできず 2 つの外部ビーコンポイントからの応答を受信した場合そのユーザーは社内ネットワークの外からインターネット経由で接続していると認識されますこの場合このユーザーはデスクトップやアプリケーションに NetScaler Gateway 経由で接続する必要がありますユーザーがデスクトップやアプリケーションにアクセスするとそのリソースを提供するサーバーが使用されるべき NetScaler Gateway アプライアンスの詳細を提供しますこのためユーザーがその NetScaler Gateway アプライアンスにログオンする必要はありません StoreFront では内部ビーコンポイントとしてデフォルトでサーバーの URL または負荷分散 URL が使用されます外部ビーコンポイントはデフォルトで Citrix 社の Web サイトおよび管理者が追加した最初の NetScaler Gateway 仮想サーバーまたはユーザーログオンポイント (Access Gateway 5.0 の場合 ) の URL が使用されますビーコンポイントの設定を変更する場合はそのビーコンポイントをユーザーに通知して Citrix Receiver の設定を変更させる必要がありますストアの Receiver for Web サイトが構成済みの場合ユーザーはそのサイトから最新の Citrix Receiver プロビジョニングファイルを入手できます Citrix Receiver for Web サイトが構成済みでない場合は管理者がストアのプロビジョニングファイルをエクスポートしてユーザーに提供します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上で Citrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. Windows の [ スタート ] 画面または [ アプリ ] 画面で [Citrix StoreFront] タイルをクリックします 2. Citrix StoreFront 管理コンソールの左ペインで [ ストア ] ノードを選択して [ 操作 ] ペインの [ ビーコンの管理 ] をクリックします 3. 内部ビーコンポイントとして使用する URL を指定します StoreFront 展開環境でサーバーの URL または負荷分散 URL を使用するには [ サービス URL を使用する ] を選択します別の URL を使用するには [ ビーコンアドレスを指定する ] を選択して内部ネットワーク内の可用性の高い URL を入力します 4. 外部ビーコンポイントの URL を入力するには [ 追加 ] をクリックしますビーコンポイントを変更するには [ 外部ビーコン ] ボックスの一覧で URL を選択して [ 編集 ] をクリックしますビーコンポイントとしてそのアドレスが使われないようにするには一覧で URL を選択して [ 削除 ] をクリックします公共のネットワーク上で解決でき可用性の高い外部ビーコンポイントを少なくとも 2 つ指定する必要がありますビーコン URL はなどの簡略化された NetBIOS 名ではなくなどの完全修飾ドメイン名にする必要がありますこれにより内部ネットワークとユーザーの間にホテルやインターネットカフェなどインターネットペイウォール ( 有料の壁 ) があるかどうかを Citrix Receiver で判別できるようになりますインターネットペイウォールがある場合すべての外部ビーコンポイントが同じプロキシに接続されます Citrix Systems, Inc. All rights reserved. p.192

193 詳細構成 Nov 27, 2017 StoreFront コンソールにより PowerShell 証明書プロパティまたは構成ファイルを使って構成できる詳細オプションを有効にできますデスクトップアプライアンスサイトの構成デスクトップアプライアンスサイトを作成削除および変更しますストアに内部および外部アクセスするための単一のFQDNの作成会社のネットワーク内外のクライアント用に単一の完全修飾ドメイン名 (Fully Qualified Domain Name:FQDN) を作成することでそのネットワーク内およびネットワーク外から NetScaler Gateway 経由でリソースにアクセスするユーザーの使い勝手を簡素化しますリソースフィルターの構成リソースの種類やキーワードを使用して列挙されるリソースを指定します Citrix Systems, Inc. All rights reserved. p.193

194 デスクトップアプライアンスサイトの構成 Nov 27, 2017 以下のタスクではデスクトップアプライアンスサイトを作成削除および変更する方法について説明しますサイトを作成または削除するには Windows PowerShell コマンドを実行しますデスクトップアプライアンスサイトの設定を変更するにはサイトの構成ファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します注 :StoreFront 管理コンソールとPowerShell コンソールを同時に開くことはできません StoreFront 管理コンソールを閉じてからPowerShell コンソールを開いてください同様に PowerShell のすべてのインスタンスを閉じてからStoreFront 管理コンソールを開いてください 1つのデスクトップアプライアンスサイトから複数のストアにアクセスすることはできません管理者は単一のストアを作成してユーザーすべてのリソースをドメイン不参加のデスクトップアプライアンスで提供できますまたは異なるデスクトップアプライアンスサイトにアクセスする個別のストアを作成してユーザーのデスクトップアプライアンスが適切なサイトに接続するように構成します 1. ローカルの管理者アカウントを使ってWindows PowerShell を起動してコマンドプロンプトで次のコマンドを実行しますこれにより StoreFront モジュールがインポートされます & "installationlocation\scripts\importmodules.ps1" installationlocation は StoreFront のインストール先フォルダーで通常 C:\Program Files\Citrix\Receiver StoreFront\ です 2. 新しいデスクトップアプライアンスサイトを作成するには次のコマンドを入力します Install-DSDesktopAppliance -FriendlyName sitename -SiteId iisid -VirtualPath sitepath -UseHttps {$False $True} -StoreUrl storeaddress [-EnableMultiDesktop {$False $True}] [-EnableExplicit {$True $False}] [-EnableSmartCard {$False $True}] [-EnableEmbeddedSmartCardSSO {$False $True}] ここで < sitename> でこのデスクトップアプライアンスサイトに対するわかりやすい名前を指定します iisid は StoreFront をホストしているMicrosoft インターネットインフォメーションサービス (IIS) サイトの数値 IDを指定しますこの値はインターネットインフォメーションサービス (IIS) マネージャーコンソールから取得します < sitepath> は IIS 内でサイトを作成する相対パスを指定します ( /Citrix/DesktopAppliance など ) デスクトップアプライアンスサイトのURLでは大文字と小文字が区別されることに注意してください -UseHttpsでは StoreFront をHTTPS 用に構成する (True) かしない (False) か指定しますデスクトップアプライアンスコネクタサイトで使用されるストアサービスの絶対 URLを指定するには StoreUrl <storeaddress> を使用しますこの値は管理コンソールの [ ストア ] ノードの概要に表示されますデフォルトではユーザーがデスクトップアプライアンスサイトにログオンするとそのユーザーが使用できる最初のデスクトップが自動的に起動しますこのデスクトップアプライアンスサイトでユーザーが複数のデスクトップから使用するものを選択できるようにするには -EnableMultiDesktop をTrueに設定します新しいサイトを作成すると指定ユーザー認証がデフォルトで有効になります指定ユーザー認証を無効にするには - EnableExplicit を $False に設定しますスマートカード認証を有効にするには -EnableSmartCard を $True に設定しますスマートカードパススルー認証を有効にする場合は -EnableSmartCard と -EnableEmbeddedSmartCardSSO の両方を Citrix Systems, Inc. All rights reserved. p.194

195 $True に設定する必要があります指定ユーザーのスマートカード認証または指定ユーザーのスマートカードパススルー認証を有効にするとユーザーはまずスマートカードによるログオンが求められますがスマートカードに問題がある場合は指定ユーザー認証に切り替わりますオプションの引数で構成する設定はデスクトップアプライアンスサイトを作成した後でもサイトの構成ファイルを編集して変更できますたとえば次のように指定します IIS の Default Web Site の仮想パス /Citrix/DesktopAppliance1 にデスクトップアプライアンスサイトを作成します Install-DSDesktopAppliance ` -FriendlyName DesktopAppliance1 ` -SiteId 1 ` -VirtualPath /Citrix/DesktopAppliance1 ` -UseHttps $false ` -StoreUrl ` -EnableMultiDesktop $true ` -EnableExplicit $true ` -EnableSmartCard $true ` -EnableEmbeddedSmartCardSSO $false 3. 既存のデスクトップアプライアンスサイトを削除するには次のコマンドを入力します Remove-DSDesktopAppliance -SiteId iisid -VirtualPath sitepath ここで < iisid> は StoreFront をホストする IIS サイトの数値 ID で < sitepath> は IIS 内でのデスクトップアプライアンスサイトの相対パスです ( /Citrix/DesktopAppliance など ) 4. StoreFront 展開環境で現在使用できるデスクトップアプライアンスサイトの一覧を表示するには次のコマンドを入力します Get-DSDesktopAppliancesSummary デスクトップアプライアンスサイトは指定ユーザー認証スマートカード認証スマートカードパススルー認証をサポートしますデフォルトでは指定ユーザー認証が有効になります指定ユーザーのスマートカード認証または指定ユーザーのスマートカードパススルー認証を有効にした場合のデフォルトの動作ではまずスマートカードによるログオンが求められますスマートカードでログオンできない場合は資格情報を入力してログオンできます ( 指定ユーザー認証 ) すべての StoreFront URLへのHTTPS 接続に対してクライアント証明書が必要となるようにIISを構成した環境ではユーザーがスマートカードでログオンできない場合に指定ユーザー認証でログオンできませんデスクトップアプライアンスサイトの認証方法を構成するにはサイトの構成ファイルを編集します 1. テキストエディターを使ってデスクトップアプライアンスサイトのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storenameDesktopAppliance ディレクトリにありますここで storename はストアの作成時に指定した名前です 2. ファイル内で次の要素を検索します Citrix Systems, Inc. All rights reserved. p.195

196 3. サイトの指定ユーザー認証を無効にするには enabled 属性の値を false に変更します 4. ファイル内で次の要素を検索します 5. スマートカード認証を有効にするには enabled 属性の値を trueに設定しますスマートカードパススルー認証を有効にするには useembeddedsmartcardsso 属性の値も trueに設定する必要があります PIN 入力画面の表示がタイムアウトするまでの時間を時間分秒で設定するには embeddedsmartcardssopintimeout 属性を使用します PIN 入力画面がタイムアウトするとログオン画面に戻ります PIN 入力画面を再び表示するにはスマートカードをいったん取り出してから再挿入する必要がありますデフォルトのタイムアウト時間は20 秒ですデフォルトではユーザーがデスクトップアプライアンスサイトにログオンするとそのユーザーに提供されているデスクトップのうち ( アルファベット順で ) 最初のデスクトップが自動的に起動しますストアで複数のデスクトップをユーザーに提供する場合はデスクトップアプライアンスサイトに複数のデスクトップを表示してユーザーが選択できるように構成できますこれらの設定を変更するにはサイトの構成ファイルを編集します 1. テキストエディターを使ってデスクトップアプライアンスサイトのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storenameDesktopAppliance ディレクトリにありますここで storename はストアの作成時に指定した名前です 2. ファイル内で次の要素を検索します 3. ユーザーがデスクトップアプライアンスサイトにログオンしたときにストアで使用できるすべてのデスクトップを表示して選択できるようにするには showmultidesktop 属性の値を trueに変更します Citrix Systems, Inc. All rights reserved. p.196

197 ストアに内部および外部アクセスするための単一の FQDN の作成 Nov 27, 2017 注 : この機能をネイティブのReceiverで使用するには以下のバージョンが必要です Windows Receiver 4.2 MAC Receiver 11.9 会社のネットワーク内外のクライアント用に単一の完全修飾ドメイン名 (Fully Qualified Domain Name:FQDN) を作成することでそのネットワーク内およびネットワーク外からNetScaler Gateway 経由でリソースにアクセスするユーザーの使い勝手を簡素化することができます単一のFQDNを作成するとユーザーが各プラットフォーム用のReceiverを簡単に構成できるようになりますネットワーク内からアクセスする場合もインターネット経由で外部からアクセスする場合もユーザーが覚える必要のあるURLは1つのみになります Citrix Receiverはユーザーがローカルネットワークと公共のネットワークのどちらに接続しているのかをビーコンポイントを使用して識別しますユーザーがデスクトップやアプリケーションにアクセスするとそのリソースを提供するサーバーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Receiverに返しますこれによりユーザーがデスクトップやアプリケーションにアクセスするときに再ログオンする必要がなくなりますビーコンポイントの構成についてはビーコンポイントを構成を参照してください外部のクライアントが会社のネットワーク外からリソースにアクセスしようとしたときに共有 FQDNはDMZの外部ファイアウォールルーターインターフェイスのIP またはNetScaler Gateway 仮想サーバーのIPに解決されます SSL 証明書の [Common Name]( 一般名 ) フィールドと [Subject Alternative Name](SAN: サブジェクトの別名 ) フィールドにストアの外部アクセスに使用する共有 FQDNが含まれていることを確認しますゲートウェイ証明書への署名に会社の証明機関 (Certification Authority:CA) ではなくVerisign 社などのサードパーティのルートCAを使用するとすべての外部クライアントは NetScaler Gateway 仮想サーバーの証明書を自動的に信頼します Verisign 社などのサードパーティのルートCAを使用する場合は外部クライアントに追加のルートCA 証明書をインポートする必要はありません NetScaler GatewayとStoreFront サーバーの両方に対して共有 FQDNの一般名を使用して単一の証明書を展開する場合はリモート検出をサポートするかどうかを検討しますサポートする場合は証明書がSANの仕様に準拠していることを確認してください Citrix Systems, Inc. All rights reserved. p.197

198 Net Scaler Gat eway 仮想サーバーの証明書の例 :st oref ront.example.com 1. 共有 FQDN コールバックURL およびアカウントエイリアスURL が SANとして [DNS] フィールドに含まれていることを確認します 2. 証明書と秘密キーをNetScaler Gatewayにインポートできるように秘密キーがエクスポート可能になっていることを確認します 3. Default Authorization がAllow と設定されていることを確認します 4. Verisign 社などのサードパーティのCA または会社のルートCAを使用して証明書に署名します 2ノードサーバーグループの SAN の例 : storefront.example.com( 必須 ) storefrontcb.example.com( 必須 ) accounts.example.com( 必須 ) storefrontserver1.example.com( オプション ) storefrontserver2.example.com( オプション ) Net Scaler Gat eway 仮想サーバーの SSL 証明書の署名要件に応じて 2つの種類のCA 署名付き証明書を選択できますサードパーティのCA 署名付き証明書 - NetScaler Gateway 仮想サーバーの証明書が信頼されたサードパーティによって署名されている場合は外部クライアントの信頼されたルートCA 証明書ストアにCA 証明書をコピーする必要はほとんどありません Windowsクライアントには一般的なほとんどの署名機関のルートCA 証明書が付属しています使用できる商用のサードパーティCAの例としては DigiCert Thawte Verisign などがありますただし ipad iphone Android タブレットや電話などのモバイルデバイスにはルートCAをデバイスにコピーして NetScaler Gateway 仮想サーバーを信頼するように構成することが必要な場合があります会社のルートCA 署名付き証明書これを選択する場合はすべての外部クライアントの信頼されたルートCAストアに会社のルートCA 証明書をコピーする必要があります iphone やiPadなどのポータブルデバイスにネイティブのReceiver をインストールしている場合はこれらのデバイスでセキュリティプロファイルを作成します Citrix Systems, Inc. All rights reserved. p.198

199 ポータブルデバイスへのルート証明書のインポート通常 ios デバイスのローカルストレージにアクセスすることはできないので ios デバイスではメールの添付ファイルを使用して.CER x.509 証明書ファイルをインポートします Android デバイスにも同じ.CER x.509 形式が必要です証明書はデバイスのローカルストレージまたはメールの添付ファイルからインポートできます外部 DNS:st oref ront.example.com 組織のインターネットサービスプロバイダーによって提供される DNS 解決によって DMZ の外部境界に位置するファイアウォールルーターの外部に対する IP や NetScaler Gateway 仮想サーバーの仮想 IP が解決されるようにしますスプリットビュー DNS スプリットビュー DNS を正しく構成すると DNS 要求の送信元アドレスに応じてクライアントに正しい DNS A レコードが送信されます公共ネットワークと社内ネットワーク間を移動するクライアントの IP アドレスはそれに応じて変更されますクライアントが storefront.example.com を照会するとそのときの接続先ネットワークに応じて適切な A レコードを受信します Windows CA がNet Scaler Gat eway に発行した証明書のインポート WinSCP は Windows マシンから NetScaler Gateway ファイルシステムへのファイル移動に役立つ無料のサードパーティツールですインポートする証明書を NetScaler Gateway ファイルシステム内の /nsconfig/ssl/ フォルダーにコピーします NetScaler Gateway 上で OpenSSL ツールを使用して証明書とキーを PKCS12/PFX ファイルから抽出し NetScaler Gateway で使用できる PEM 形式で 2 つの別々の CER ファイルと KEY X.509 ファイルを作成することができます 1. この PFX ファイルを NetScaler Gateway アプライアンスまたは VPX の /nsconfig/ssl にコピーします 2. NetScaler Gateway のコマンドラインインターフェイスを開きます 3. FreeBSD シェルに切り替えるために Shell と入力して NetScaler Gateway のコマンドラインインターフェイスを終了します 4. フォルダーを変更するために cd /nsconfig/ssl と入力します 5. openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cer を実行し画面のメッセージに従って PFX パスワードを入力します 6. openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key を実行します 7. 画面のメッセージに従って PFX パスワードを入力し次に秘密キーの PEM パスフレーズを設定して KEY ファイルを保護します 8. /nsconfig/ssl/ 内に CER ファイルと KEY ファイルが正常に作成されたことを確認するには ls al を実行します 9. NetScaler Gateway のコマンドラインインターフェイスに戻るために Exit と入力します REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS cvpn とSmart Access の設定 SmartAccess を使用している場合 NetScaler Gateway 仮想サーバーのプロパティページで SmartAccess モードを有効にしますこの場合リモートリソースに同時にアクセスするすべてのユーザー用のユニバーサルライセンスが必要です Receiver のプロファイル Citrix Systems, Inc. All rights reserved. p.199

セッションプロファイルアカウントサービスの URL として https://storefront.example.com/citrix/roaming/accounts ではなく https://accounts.example.com/citrix/roaming/accounts を構成しますまた StoreFront サーバーの認証用およびローミング用の各 web.

200 セッションプロファイルアカウントサービスの URL としてではなくを構成しますまた StoreFront サーバーの認証用およびローミング用の各 web.config ファイルにもこの URL を追加の <allowedaudiences> として追加します詳しくは後述の StoreFront サーバーのホストベース URL ゲートウェイ SSL 証明書の構成を参照してください Receiver f or Web のプロファイル Citrix Systems, Inc. All rights reserved. p.200

Receiver f or Web のプロファイルストアをホストする StoreFront クラスターまたは単一の

StoreFront のロードバランサーにも直接解決される必要があります内部 DNS:3 つの DNS A レコードを作成します

com が StoreFront のロードバランサーまたは単一の StoreFront サーバー IP に解決される必要があります

202 Receiver f or Web のプロファイルストアをホストする StoreFront クラスターまたは単一の StoreFront IP が作成されている場合は NetScaler Gateway 仮想サーバーに解決される共有 FQDN が StoreFront のロードバランサーにも直接解決される必要があります内部 DNS:3 つの DNS A レコードを作成します storefront.example.com が StoreFront のロードバランサーまたは単一の StoreFront サーバー IP に解決される必要があります storefrontcb.example.com がゲートウェイの仮想サーバーの仮想 IP に解決される必要があるので DMZ と会社のローカル Citrix Systems, Inc. All rights reserved. p.202

ネットワークの間にファイアウォールがある場合はこれを許可します accounts.example.com storefront.example.com のDNSエイリアスとして作成します StoreFront クラスターのロードバランサー IPまたは単一のStoreFront サーバー IPにも解決されます St orefront サーバー証明書の例 :st oref ront.example.com 1.

203 ネットワークの間にファイアウォールがある場合はこれを許可します accounts.example.com storefront.example.com のDNSエイリアスとして作成します StoreFront クラスターのロードバランサー IPまたは単一のStoreFront サーバー IPにも解決されます St orefront サーバー証明書の例 :st oref ront.example.com 1. StoreFront をインストールする前に StoreFront サーバーまたはサーバーグループ用の適切な証明書を作成します 2. 共有 FQDNを [Common name] フィールドと [DNS] フィールドに追加しますこれが先に作成したNetScaler Gateway 仮想サーバーのSSL 証明書で使用されるFQDNと一致することを確認しますまたは NetScaler Gateway 仮想サーバーと同じ証明書を使用します 3. 別のSANとしてアカウントエイリアス (accounts.example.com) を証明書に追加します SANで使用されるアカウントエイリアスは前述の手順 ( ネイティブ Receiver Gat eway のセッションポリシーとプロファイル ) の [Configure NetScaler Gateway Session Profile] 画面で使用したものであることに注意してください 4. 秘密キーをエクスポート可能にして証明書を別のサーバーまたは複数の StoreFront サーバーグループノードに転送できるようにします Citrix Systems, Inc. All rights reserved. p.203

5. VeriSign 社などのサードパーティのCA 会社のルートCA または中間 CAを使用して証明書に署名します 6. 秘密キーを含めてこの証明書をPFX 形式でエクスポートします 7.

仮想サーバーなどの代替ロードバランサーを使用している場合はそこに証明書をインポートします 8. StoreFront サーバーのIISでHTTPSバインドを作成しインポートしたSSL 証明書をバインドします 9.

自動的に選択されたものをそのまま使用できますが StoreFront 管理者は必要に応じて変更することもできます有効な HTTPS://<FQDN> が証明書内に SAN として存在する場合ホストベース URL

204 5. VeriSign 社などのサードパーティのCA 会社のルートCA または中間 CAを使用して証明書に署名します 6. 秘密キーを含めてこの証明書をPFX 形式でエクスポートします 7. 証明書と秘密キーをStoreFront サーバーにインポートします Windows NLB StoreFront クラスターを展開している場合はすべてのノードにこの証明書をインポートします NetScaler LB 仮想サーバーなどの代替ロードバランサーを使用している場合はそこに証明書をインポートします 8. StoreFront サーバーのIISでHTTPSバインドを作成しインポートしたSSL 証明書をバインドします 9. StoreFront サーバーで選択済みの共有 FQDN に一致するようにホストベース URL を構成します注 : StoreFront では証明書内のSAN 一覧で最後のSANが常に自動的に選択されます通常自動的に選択されたものをそのまま使用できますが StoreFront 管理者は必要に応じて変更することもできます有効なが証明書内に SAN として存在する場合ホストベース URL をそのいずれかに手動で設定することができます ( 例 : St orefront サーバーでのゲートウェイの構成 :st oref ront.example.com Citrix Systems, Inc. All rights reserved. p.204

[Secure T icket Aut horit y] y タブを選択し Secure Ticket Authority(STA) サーバーが [ ストア ] ノード内で既に構成されている Delivery Controller の一覧と一致するか確認します 6. このストアのリモートアクセスを有効にします 7.

205 1.[ [ ストア ] ノードで [Net Scaler Gat eway の管理 ] を [ 操作 ] ペインでクリックします 2. サーバー名を変更するには一覧から [ ゲートウェイ ] を選択し [ 編集 ] をクリックします 3.[ [ 全般設定 ] ページで共有 FQDNを [Net Scaler Gat eway URL] フィールドに入力します 4.[ [ 認証設定 ] タブを選択しコールバックFQDNを [ コールバック URL] フィールドに入力します 5.[Secure T icket Aut horit y] y タブを選択し Secure Ticket Authority(STA) サーバーが [ ストア ] ノード内で既に構成されている Delivery Controller の一覧と一致するか確認します 6. このストアのリモートアクセスを有効にします 7. 内部ビーコンにアカウントエイリアス (accounts.example.com) を手動で設定しますこれはゲートウェイ外部からの解決が不可能なものである必要がありますこの FQDN は StoreFront ホストベース URL と NetScaler Gateway 仮想サーバーで共有される外部ビーコン (storefront.example.com) とは異なるものである必要があります内部ビーコンと外部ビーコンが同じものになってしまうので共有 FQDN は使用しないでください Citrix Systems, Inc. All rights reserved. p.205

$8. FQDN による検出をサポートするには次の手順に従いますプロビジョニングファイルの構成が十分である場合または Receiver for Web のみを使用する場合は次の手順を省略できます C:\inetpub\wwwroot\Citrix\Authentication\web.config に追加のエントリを追加します認証用 web.$

206 8. FQDN による検出をサポートするには次の手順に従いますプロビジョニングファイルの構成が十分である場合または Receiver for Web のみを使用する場合は次の手順を省略できます C:\inetpub\wwwroot\Citrix\Authentication\web.config に追加のエントリを追加します認証用 web.config ファイルには 2 つのエントリがあります Authentication Token Producer 用であるファイル内の最初のエントリのみに追加のを追加する必要があります 9. 要素を検索します以下のようなエントリを見つけ太字太字で示されている行を追加し保存して web.configファイルを閉じます C:\ C:\inet pub\wwwroot \Cit\ rix\roaming\web.config で以下のようなエントリを見つけ太字太字で示されている行を追加し保存して web.config ファイルを閉じます Citrix Systems, Inc. All rights reserved. p.206

クライアントに配布します Receiver がインストール済みで CR ファイルが関連付けられている場合

207 またはストアのネイティブ Receiver CR プロビジョニングファイルをエクスポートすることができますこうすることで初回使用時にネイティブ Receiver の構成が不要になりますこのファイルをすべての Receiver for Windows および Receiver for Mac クライアントに配布します Receiver がインストール済みで CR ファイルが関連付けられている場合プロビジョニングファイルをダブルクリックすると自動的にインポートされます Citrix Systems, Inc. All rights reserved. p.207

208 リソースフィルターの構成 Nov 27, 2017 ここではリソースの種類やキーワードを使用して列挙されるリソースを指定する方法について説明します管理者はこのフィルター機能と Store Customization SDKで提供されるより高度なカスタマイズ方法を組み合わせて使用できます SDKではユーザーに表示されるアプリやデスクトップを制御したりアクセス条件を変更したり起動パラメーターを設定したりできます詳しくは Store Customization SDKを参照してください注 :StoreFront 管理コンソールと PowerShell コンソールを同時に開くことはできません StoreFront 管理コンソールを閉じてから PowerShell コンソールを開いてください同様に PowerShell のすべてのインスタンスを閉じてから StoreFront 管理コンソールを開いてくださいフィルターを構成するには StoresModule で定義されている PowerShell コマンドレットを使用します必要なモジュールをロードするには以下の PowerShell スニペットを使用します $dsinstallprop = Get-ItemProperty ` -Path HKLM:\SOFTWARE\Citrix\DeliveryServicesManagement -Name InstallDir $dsinstalldir = $dsinstallprop.installdir & $dsinstalldir\..\scripts\importmodules.ps1 リソースを種類でフィルタリングするには以下のコマンドを使用しますこのコマンドにより列挙するリソースの種類が指定されます指定した種類以外のリソースは列挙されません以下のコマンドレットを使用します Set-DSResourceFilterType: リソースの種類による列挙フィルターをセットアップします Get-DSResourceFilterType:StoreFront で列挙されるリソースの種類の一覧を取得します注 : リソースの種類はキーワードよりも先に適用されますこれによりキーワードをベースにリソースをフィルターしますたとえば XenDesktop またはXenAppのリソースをフィルターしますキーワードは各リソースの説明フィールドの文字列から生成されますこのフィルターでは列挙対象のリソースまたは列挙から除外するリソースを指定できます列挙するリソースを指定するフィルターではキーワードに一致するリソースのみが列挙され一致しないリソースは列挙されません列挙から除外するリソースを指定するフィルターではキーワードに一致するリソースが列挙されなくなります以下のコマンドレットを使用します Set-DSResourceFilterKeyword: リソースのキーワードによる列挙フィルターをセットアップします Get-DSResourceFilterKeyword: リソースのキーワードの一覧を取得します以下のキーワードは予約されておりこのフィルターで使用することはできません自動固定各キーワードについて詳しくはユーザーエクスペリエンスの最適化とアプリケーション配信の構成を参照してくだ Citrix Systems, Inc. All rights reserved. p.208

209 さい次のコマンドによりワークフローリソースが列挙対象から除外されます Set-DSResourceFilterKeyword -SiteId 1 -VirtualPath "/Citrix/Store" 次のコマンドによりアプリケーションのみが列挙されます Set-DSResourceFilterType -SiteId 1 -VirtualPath "/Citrix/Store" Citrix Systems, Inc. All rights reserved. p.209

210 構成ファイルを使用した構成 Nov 27, 2017 構成ファイルを使用して Citrix StoreFront 管理コンソールでは設定できない Citrix StoreFront および Citrix Receiver for Web の追加設定を構成できます構成できるCitrix StoreFront 設定には次のものがあります ICAファイル署名の有効化ファイルタイプの関連付けの無効化 Citrix Receiverのログオンダイアログボックスのカスタマイズ Receiver for Windowsでのパスワードおよびユーザー名のキャッシュ機能の無効化構成できるCitrix Receiver for Web 設定には次のものがありますユーザーに対するリソースの表示方式 [ マイアプリケーション ] フォルダービューの無効化 Citrix Systems, Inc. All rights reserved. p.210

211 構成ファイルを使った StoreFront の構成 Nov 27, 2017 ここでは Citrix StoreFront 管理コンソールを使用して実行できない付加的な構成タスクについて説明します ICAファイル署名の有効化ファイルタイプの関連付けの無効化 Citrix Receiverのログオンダイアログボックスのカスタマイズ Citrix Receiver for Windowsでのパスワードおよびユーザー名のキャッシュ機能の無効化 StoreFront には ICAファイルにデジタル署名を追加するオプションが用意されていますこれによりこの機能をサポートするバージョンのCitrix Receiverで ICAファイルが信頼されるサーバーからのものであることを検証できるようになります StoreFront でファイルの署名を有効にするとユーザーがアプリケーションを起動するときに生成されるICAファイルが StoreFront サーバーの個人証明書ストアにある証明書を使用して署名されます StoreFront サーバーのオペレーティングシステムでサポートされる任意のハッシュアルゴリズムを使ってICAファイルを署名できますクライアントソフトウェアがこの機能をサポートしない場合やICAファイルの署名用に構成されていない場合デジタル署名は無視されます署名処理に失敗した場合はデジタル署名なしでICAファイルが生成され Citrix Receiverに送信されます未署名のファイルを受け入れるかどうかは Receiver 側での構成により決定されます StoreFront のICAファイルの署名機能で使用する証明書には秘密キーが含まれ許可された有効期間内である必要があります証明書にキー使用法エクステンションが含まれる場合はデジタル署名での使用が許可されている必要があります拡張キー使用法エクステンションが含まれる場合はコード署名またはサーバー認証用に設定されている必要があります ICAファイルを署名する場合商用の証明機関または組織内の独自の証明機関から取得したコード署名またはSSL 署名証明書を使用することをお勧めします証明機関から適切な証明書を取得できない場合はサーバー証明書のような既存のSSL 証明書を使用するか新しいルート証明機関証明書を作成してユーザーデバイスに配布することができますストアのICAファイルの署名機能はデフォルトでは無効になっています ICAファイルの署名機能を有効にするにはストアの構成ファイルを編集してからWindows PowerShell コマンドを実行します Citrix Receiver 側でICAファイルの署名機能を有効にする方法について詳しくは ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにするを参照してください注 :StoreFront 管理コンソールとPowerShell コンソールを同時に開くことはできません StoreFront 管理コンソールを閉じてからPowerShell コンソールを開いてください同様に PowerShell のすべてのインスタンスを閉じてからStoreFront 管理コンソールを開いてください重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. ICAファイルの署名に使用する証明書が現在のユーザーの証明書ストアではなく StoreFront サーバー上のCitrix デリバリーサービスの証明書ストアで使用可能になっていることを確認します 2. テキストエディターを使ってストアのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storename\ ディレクトリにありますこの storename はストアの作成時に指定した名前です 3. ファイル内で次のセクションを検索します次に示すように署名に使用する証明書の詳細を追加します certificateid" thumb="certificatethumbprint" />... ここで certificateid はストアの構成ファイル内で証明書を識別するための値で certificatethumbprint はハッシュアルゴリズムにより生成される証明書データのダイジェスト ( または拇印 ) です 5. ファイル内で次の要素を検索します 6. ストアの ICA ファイルの署名を有効にするには enabled 属性の値を True に変更しますさらに certificateid 属性の値を証明書を識別するために使用した ID つまり手順 4. の certificateid に設定します 7. SHA-1 以外のハッシュアルゴリズムを使用する場合は必要に応じて hashagorithm 属性の値を sha256 sha384 または sha512 に設定します Citrix Systems, Inc. All rights reserved. p.211

212 8. ローカルの管理者アカウントを使ってWindows PowerShell を起動してコマンドプロンプトで次のコマンドを実行しますこれによりストアが秘密キーにアクセスできるようになります Add-PSSnapin Citrix.DeliveryServices.Framework.Commands $certificate = Get-DSCertificate "certificatethumbprint" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountname IIS APPPOOL\Citrix Delivery Services Resources ここで certificatethumbprint はハッシュアルゴリズムにより生成される証明書データのダイジェストですストアのファイルタイプの関連付けはデフォルトで有効になっていますこのためユーザーがユーザーデバイス上で開いたローカルファイルはサブスクライブ済みのアプリケーションで表示されますファイルタイプの関連付けを無効にするにはストアの構成ファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使ってストアのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storename\ ディレクトリにありますこの storename はストアの作成時に指定した名前です 2. ファイル内で次の要素を検索します 3. ストアのファイルタイプの関連付けを無効にするには enablefiletypeassociation 属性の値を off に変更します Citrix Receiverユーザーがストアにログオンするときのダイアログボックスにはデフォルトでタイトルが表示されませんこのダイアログボックスをカスタマイズしてタイトルにログオンしてくださいなどのメッセージを表示することができます Citrix Receiverのログオンダイアログボックスにタイトル文字列を表示するには認サービス用のファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使って認証サービス用のUsernamePassword.tfrm ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\ フォルダーにあります *@ 3. この行のコメントを解除しますこれを行うにはと最後の *@ これにより Citrix Receiverユーザーがこのストアにログオンしたときにデフォルトのタイトル文字列である Please log on またはログオンしてくださいなどが表示されます 4. タイトル文字列を変更するにはテキストエディターを使って認証サービス用のExplicitAuth.resx ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\ フォルダーにあります 5. ファイル内で次の要素を検索します要素内の文字列を編集しますこれによりこのストアのログオンダイアロボックスのタイトルが変更されます My Company Name ほかのロケールにいるユーザー用に Citrix Receiver のログオンダイアログボックスのタイトルの文字列を変更するには対象となる言語版の ExplicitAuth.resx ファイルを編集します languagecode ここで languagecode は ja などのロケール ID です Citrix Receiver for Windows のデフォルトではユーザーがStoreFront ストアにログオンしたときのパスワードがキャッシュされます Citrix Receiver for Windows でパスワードのキャッシュ機能を無効にするには認証サービスのファイルを編集します ( この設定はCitrix Receiver for Windows Enterprise には適用されません ) 重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使用して inetpub\wwwroot\citrix\authentication\app_data\templates\usernamepassword.tfrm ファイルを開きます labelkey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallychecked: ControlValue("SaveCredentials")) 3. この行を次のようにコメント化しますこれによりこの認証サービスのストアに Citrix Receiver for Windows を使用してログオンするユーザーは毎回パスワードの入力が必要になりますこの設定は Citrix Receiver for Windows Enterprise には適用されません警告レジストリエディターの使用を誤ると深刻な問題が発生する可能性があり Windows のインストールが必要になる場合もありますレジストリエディターの誤用による障害に対して Citrix では一切責任を負いませんレジストリエディターはお客様の責任と判断の範囲でご使用くださいまたレジストリファイルのバックアップを作成してからレジストリを編集してください Citrix Systems, Inc. All rights reserved. p.212

213 デフォルトで Citrix Receiver for Windowsでは姓が自動的に抽出されて入力されますユーザー名フィールドへの自動抽出を無効にするにはユーザーデバイスでレジストリを編集します 1. REG_SZ 値の HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername を作成します 2. 値を false に設定します Citrix Systems, Inc. All rights reserved. p.213

214 構成ファイルを使った Citrix Receiver for Web サイトの構成 Nov 27, 2017 ここでは Citrix StoreFront 管理コンソールを使用して実行できない Citrix Receiver for Web サイトの付加的な構成タスクについて説明します Citrix Receiver for Webサイトからデスクトップとアプリケーションの両方にアクセスできる場合デフォルトでデスクトップとアプリケーションが別々のビューで表示されますサイトにログオンすると最初にデスクトップビューが表示されますユーザーがアクセスできるデスクトップが1つのみの場合アクセス可能なアプリケーションがあるかどうかにかかわらずユーザーのログオン時にそのデスクトップが自動的に起動しますこれらの設定を変更するにはサイトの構成ファイルを編集します重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使ってCitrix Receiver for Webサイトのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storenameWeb\ フォルダーにありますここで storenamestorename はストアの作成時に指定した名前です 2. ファイル内で次の要素を検索します 3. ユーザーがアクセス可能なデスクトップやアプリケーションを非表示にするには showdesktopsview 属性 ( デスクトップ ) およびshowAppsView 属性 ( アプリケーション ) の値をfalse に変更しますデスクトップビューとアプリケーションビューの両方が有効な場合は defaultview 属性の値をappsに設定するとユーザーがサイトにログオンしたときに最初にアプリケーションビューが表示されます 4. ファイル内で次の要素を検索します 5. デスクトップの自動起動を無効にするには autolaunchdesktop 属性の値をfalseに変更しますこれによりユーザーがアクセスできるデスクトップが1つのみの場合でもログオン時にデスクトップが自動的に起動しなくなります autolaunchdesktop 属性がtrueの場合使用可能なデスクトップが1つのみのユーザーがログオンしてもアプリケーションには再接続されません ( ワークスペースコントロールが有効になっていても再接続されません ) 注 :Citrix Receiver for Webサイトによるデスクトップの自動起動を有効にするには Internet Explorer でサイトにアクセスするユーザーは [ ローカルイントラネット ] または [ 信頼済みサイト ] のゾーンにサイトを追加する必要があります Citrix Receiver for Webのデフォルトでは認証不要なストア ( 匿名ユーザー用 ) と必須ストア ( ユーザーがサブスクライブしなくてもすべての公開アプリケーションがホーム画面に追加される ) の [ マイアプリケーション ] フォルダービューが表示されますこのビューにはアプリケーションがフォルダー階層で表示されフォルダーパスの情報も表示されます重要 : 複数サーバーによる展開環境では複数のサーバー上で同時にサーバーグループの構成を変更しないでください展開内のほかのサーバー上でCitrix StoreFront 管理コンソールを同時に実行していないことを確認してください変更が完了したら構成の変更をサーバーグループに反映させて展開内のほかのサーバーを更新します 1. テキストエディターを使ってCitrix Receiver for Webサイトのweb.config ファイルを開きますこのファイルは通常 C:\inetpub\wwwroot\Citrix\storenameWeb\ フォルダーにありますここで storename はストアの作成時に指定した名 Citrix Systems, Inc. All rights reserved. p.214

216 StoreFront 展開環境のセキュリティ Nov 27, 2017 このトピックでは StoreFront の展開および構成時に使用すべきシステムのセキュリティを保護するための機能について説明します制限された IIS 構成で StoreFront を構成できますこれはデフォルトの IIS 構成ではありません一覧にないファイル拡張子を禁止することができます StoreFront では要求のフィルタリングに次のファイル拡張子が必要です ( 空白の拡張子 ).appcache.aspx.cr.css.dtd gif.htm.html ICA.ico.jpg.js png.svg.txt.xml Cit rix Receiver f or Web でCit rix Receiver のダウンロード / アップグレードが有効になっている場合次のファイル拡張子も必要です.dmg.exe Cit rix Receiver f or HT ML5 が有効になっている場合次のファイル拡張子も必要です.eot.ttf.woff MIME の種類以下のファイルの種類に対応する MIME の種類を削除できます.exe.dll Citrix Systems, Inc. All rights reserved. p.216

217 .com.bat.csh 要求のフィルタリング StoreFront は要求のフィルタリングに次の HTTP 動詞が必要です次の一覧にない動詞を禁止できます GET POST ヘッドその他の Microsof t IIS 設定 StoreFront は次を必要としません ISAPI フィルター ISAPI 拡張 CGI プログラム FastCGI プログラム Important IIS 認証規則を構成しないでください StoreFront は直接認証サポートし IIS 認証を使用したりサポートしたりしません StoreFrontサイトの SSL 設定で [Client certificates : Require] を選択しないでください StoreFrontのインストールではこの設定で StoreFront サイトの適切なページを構成します StoreFront には Cookie が必須であるため [Use Cookies] 設定を選択する必要があります [cookieless/use URI] 設定は選択しないでください StoreFront には完全な信頼が必要ですグローバル.NET 信頼レベルを [High] またはそれ以下に設定しないでください StoreFront ではサイトごとに別個のアプリケーションプールはサポートされませんこのサイト設定は変更しないでくださいただしアプリケーションプールのアイドル状態のタイムアウト値とアプリケーションプールが使用する仮想メモリの量は設定できます StoreFront がインストールされるとそのアプリケーションプールには [ サービスとしてログオン ] のログオン権限と [ プロセスのメモリクォータの増加 ] [ セキュリティ監査の生成 ] [ プロセスレベルトークンの置き換え ] の権限が付与されますこれはアプリケーションプールが作成された時の通常のビヘイビアーです通常これらのユーザー権利を変更する必要はありませんこれらの権限は StoreFront では使用されず自動的に無効になります StoreFront をインストールすると次の Windows サービスが作成されます Citrix Configuration Replication(NT SERVICE\CitrixConfigurationReplication) Citrix Cluster Join(NT SERVICE\CitrixClusterService) Citrix Peer Resolution(NT SERVICE\Citrix Peer Resolution Service) Citrix Credential Wallet(NT SERVICE\CitrixCredentialWallet) Citrix Subscriptions Store(NT SERVICE\CitrixSubscriptionsStore) Citrix Default Domain Services(NT SERVICE\CitrixDefaultDomainService) Citrix Systems, Inc. All rights reserved. p.217

218 XenApp 6.5 に StoreFront Kerberos 制約付き委任を構成すると Citrix StoreFront Protocol Transition サービス (NT SERVICE\SYSTEM) が作成されますこのサービスには Windows サービスに通常付与されない権限が必要です上記のユーザー権利の構成セクションの一覧にある StoreFront Windows サービスは NETWORK SERVICE ID でログオンするように構成されます Citrix StoreFront Protocol Transition サービスは SYSTEM としてログオンしますこの構成は変更しないでください StoreFront のインストールにより次のサービスが管理者セキュリティグループに追加されます Citrix Configuration Replication(NT SERVICE\CitrixConfigurationReplication) Citrix Cluster Join(NT SERVICE\CitrixClusterService) StoreFront が正しく動作して次の操作を行うにはこれらのグループメンバーシップが必要です証明書の作成エクスポートインポート削除および証明書へのアクセス権限の設定 Windows レジストリの読み取りおよび書き込み Global Assembly Cache(GAC) での Microsoft.NET Framework アセンブリの追加および削除フォルダー Program Files\ Cit rix\ <StoreFrontLocation> へのアクセス IIS アプリプール ID および IIS Web アプリケーションの追加変更削除ローカルセキュリティグループおよびファイアウォールルールの追加変更削除 Windows サービスと PowerShell スナップインの追加および削除 Microsoft Windows Communication Framework(WCF) エンドポイントの登録上記操作の一覧は StoreFront の更新プログラムで告知なく変更されることがあります StoreFront をインストールすると以下のセキュリティグループも作成されます CitrixClusterMembers CitrixCWServiceReadUsers CitrixCWServiceWriteUsers CitrixDelegatedAuthenticatorUsers CitrixDelegatedDirectoryClaimFactoryUsers CitrixPNRSUsers CitrixStoreFrontPTServiceUsers CitrixSubscriptionServerUsers CitrixSubscriptionsStoreServiceUsers CitrixSubscriptionsSyncUsers 内のメンバーシップ StoreFront はこれらのセキュリティグループのメンバーシップを保持しますメンバーシップは StoreFront 内でのアクセス制御のために使用されファイルやフォルダーなどの Windows リソースには適用されませんこのグループメンバーシップは変更しないでくださいサーバー証明書 StoreFront ではコンピューターの識別と Transport Layer Security(TLS) 通信の保護のためにサーバー証明書を使用します ICA ファイルの署名機能を有効にする場合は StoreFront で証明書を使用して ICA ファイルをデジタル署名することもでき Citrix Systems, Inc. All rights reserved. p.218

219 ます Citrix Receiver を初めてデバイスにインストールするユーザーに対してメールアドレスによるアカウント検出を有効にするには StoreFront サーバー上に有効なサーバー証明書をインストールする必要がありますルート証明書へのチェーンのすべてが有効である必要もありますユーザーエクスペリエンスを向上させるには Subject またはdiscoverReceiver のSubject Alt ernat ive Name エントリの証明書をインストールする必要があります domain, ここでdomain はユーザーのメールアカウントを含む Microsoft Active Directory ドメインですこのドメインのワイルドカード証明書を使用することもできますがそのような証明書の使用が社内のセキュリティポリシーで許可されていることを確認してくださいユーザーのメールアカウントを含んでいるドメイン用のほかの証明書を使用することもできますがユーザーが Citrix Receiver で StoreFront サーバーに最初に接続したときに証明書に関する警告が表示されます上記以外の証明書を使用してメールアドレスによるアカウント検出機能を使用することはできません詳しくはメールアドレスによるアカウント検出を構成するを参照してくださいユーザーがアカウントを構成するときに Citrix Receiver にストアの URL を入力する場合 ( つまりメールアドレスによるアカウント検出機能を使用しない場合 ) は StoreFront サーバー上の証明書がそのサーバーに対してのみ有効でルート証明書へのチェーンが有効である必要がありますトークン管理の証明書認証サービスとストアのそれぞれにトークン管理のための証明書が必要です認証サービスまたはストアを作成すると StoreFront により自己署名証明書が生成されます StoreFront により生成される自己署名証明書をほかの用途で使用しないでください Cit rix Delivery Services の証明書 StoreFront はカスタムの Windows 証明書ストア (Citrix Delivery Services) にいくつかの証明書を保持しています Citrix Configuration Replication サービス Citrix Credential Wallet サービスおよび Citrix Subscriptions Store サービスはこれらの証明書を使用しますクラスター内の各 StoreFront サーバーはこれらの証明書のコピーを持っていますこれらのサービスはセキュアな通信に TLS を使用せずこれらの証明書は TLS サーバー証明書として使用されませんこれらの証明書は StoreFront ストアの作成時または StoreFront のインストール時に作成されますこの Windows 証明書ストアのコンテンツは変更しないでくださいコード署名証明書 StoreFront では \Scripts のフォルダー内にいくつかの PowerShell スクリプト (.ps1) が含まれていますデフォルトの StoreFront インストールではこれらのスクリプトは使用されませんこれらのスクリプトにより特殊で低頻度のタスクの構成手順が簡素化されますスクリプトは署名されているため StoreFront で PowerShell 実行ポリシーをサポートできるようになります AllSigned ポリシーをお勧めします (PowerShell スクリプトの実行が妨げられるため Rest rict ed ポリシーはサポートされません ) StoreFront では PowerShell 実行ポリシーは変更されません StoreFront では信頼できる発行元ストアにコード署名証明書はインストールされませんが Windows でコード署名証明書を自動的に追加することができますこれは PowerShell スクリプトがAlways run オプションで実行されることで可能になります (Never run オプションを選択すると信頼されていない証明書ストアに証明書が追加され StoreFront PowerShell スクリプトは実行されません ) コード署名証明書が信頼された発行元ストアに追加されると Windows は有効期限を確認しなくなります StoreFront タスクが完了したら信頼できる発行元ストアからこの証明書を削除できます実稼働環境では StoreFront とサーバーの間で通信されるデータを保護するためにインターネットプロトコルセキュリティ (IPsec) または HTTPS プロトコルを使用することをお勧めします IPsec はインターネットプロトコルの標準機能拡張のセットですインターネットプロトコルはデータ整合性と再生の保護により通信の認証と暗号化の機能を提供します Citrix Systems, Inc. All rights reserved. p.219

220 IPsecはネットワーク層のプロトコルセットであるため上位レベルのプロトコルでそのままIPSecを使用できます HTTPS は SSL(Secure Sockets Layer) およびTLS(Transport Layer Security) プロトコルを使用して強力なデータ暗号化機能を提供します StoreFront サーバーとXenAppサーバー間のデータトラフィックを保護するには SSL Relayを使用します SSL Relayはホスト認証とデータ暗号化を実行する XenAppのデフォルトのコンポーネントです StoreFront とユーザーデバイスの間の通信は NetScaler GatewayおよびHTTPSで保護することをお勧めします StoreFront でHTTPSを使用するには認証サービスおよび関連付けられたストアを提供するMicrosoft インターネットインフォメーションサービス (IIS) インスタンスでHTTPSを構成する必要があります IISでHTTPSが構成されていない場合 StoreFront の通信にHTTPが使用されます実稼働環境では StoreFront へのすべてのユーザー接続が保護されるようにしてください StoreFront と同じ Web ドメイン ( ドメイン名とポート ) に Web アプリケーションを展開するとこれらの Web アプリケーションの脆弱性により StoreFront 展開環境全体のセキュリティが低下する可能性がありますセキュリティ境界を分離してセキュリティを強化するため Web アプリケーションと異なる Web ドメインに StoreFront を展開することをお勧めします StoreFront にはサーバー上の特定の証明書を使用してICAファイルをデジタル署名するオプションがありこの機能をサポートするバージョンのCitrix Receiverではファイルの発行元を信頼できるかどうかを検証できます SHA-1やSHA-256など StoreFront サーバーのオペレーティングシステムでサポートされるどのハッシュアルゴリズムでも ICAファイルを署名できます詳しくは ICAファイル署名の有効化を参照してください Active Directory ドメインの資格情報でReceiver for Webサイトにログオンするユーザーが必要に応じてパスワードを変更できるように設定することができますただしその認証サービスを使用するストアにアクセスできるすべてのユーザーに慎重に扱うべきセキュリティ機能が公開されることになります組織のセキュリティポリシーによりユーザーパスワード変更機能が内部使用のみに制限される環境では社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください認証サービスを作成したときのデフォルトの構成ではパスワードが失効してもユーザーはパスワードを変更できません詳しくはユーザーエクスペリエンスの最適化を参照してくださいセキュリティ強化のため自分が管理していないサーバーからコンテンツまたはスクリプトをロードするカスタマイズは行わないでくださいコンテンツまたはスクリプトはカスタマイズを行うCitrix Receiver for Webサイトのカスタムフォルダーにコピーしてください StoreFront がHTTPS 接続用に構成されている場合カスタムコンテンツやカスタムスクリプトへのリンクもすべてHTTPSを使用していることを確認してください Citrix Systems, Inc. All rights reserved. p.220

221 StoreFront 構成のエクスポートとインポート Nov 27, 2017 StoreFront 展開環境の構成全体をエクスポートできますこれには単一サーバー環境とサーバーグループ構成の両方が含まれます既存の展開環境がインポートサーバーに既に存在している場合現在の構成が消去されてからバックアップアーカイブ内に含まれている構成で置き換えられますターゲットサーバーがクリーンな工場出荷時のデフォルトインストールの場合バックアップ内に保存されているインポートされた構成を使用して新しい環境が作成されますエクスポートされた構成のバックアップは単一の.zipアーカイブ形式( 暗号化されていない場合 ) または.ctxzip 形式 ( 作成時にバックアップファイルの暗号化を選択した場合 ) です StoreFront 構成のエクスポートおよびインポート時の検討事項 StoreFront バックアップの暗号化と暗号化解除に使用されるPowerShell 資格情報オブジェクト PowerShell コマンドレット構成のエクスポートおよびインポート例バックアップアーカイブに含まれているホストベースURLを使用しますかまたはインポートサーバーで使用する新しいホストベースURLを指定しますか現在 Citrix が公開している認証 SDKの例 (Magic Word Authentication など ) またはサードパーティの認証カスタマイズを使用していますか使用している場合はこれらのパッケージをすべてのインポートサーバーにインストールしてから追加の認証方式を含む構成をインポートする必要があります必要な認証 SDKパッケージがどのインポートサーバーにもインストールされていない場合構成のインポートは失敗します構成をサーバーグループにインポートする場合はグループのすべてのメンバーに認証パッケージをインストールします構成のバックアップを暗号化または暗号化解除できますエクスポートおよびインポートPowerShell コマンドレットはどちらのユースケースもサポートします暗号化されたバックアップ (.ctxzip) は後から暗号化解除できますが StoreFront は暗号化されていないバックアップファイル (.zip) を再暗号化できません暗号化されたバックアップが必要な場合は選択したパスワードを含む PowerShell 資格情報オブジェクトを使用してもう一度エクスポートを実行します StoreFront が現在インストールされているIIS( エクスポート元サーバー ) におけるWebサイトのSiteIDはバックアップされたStoreFront 構成をリストアするIIS( インポート先サーバー ) におけるターゲットWebサイトのSiteIDに一致する必要があります PowerShell 資格情報オブジェクトには Windows アカウントのユーザー名とパスワードの両方が結合されています PowerShell 資格情報オブジェクトによりパスワードがメモリ内で保護されます注意構成バックアップのアーカイブを暗号化するには暗号化と暗号化解除を実行するためのパスワードのみ必要です資格情報オブジェクト内に保存されているユーザー名は使用されませんエクスポートサーバーおよびインポートサーバーの両方で使用される PowerShellセッション内の同じパスワードを含む資格情報オブジェクトを作成する必要があります資格情報オブジェクト内ではどのユーザーでも指定できます Citrix Systems, Inc. All rights reserved. p.221

222 PowerShell では新しい資格情報オブジェクトを作成するときにユーザーを指定する必要があります便宜上このコード例では現在ログオンしているWindowsユーザーのみ取得します $User = [System.Security.Principal.WindowsIdentity]::GetCurrent().Name $Password = "Pa55w0rd" $Password = $Password ConvertTo-SecureString -asplaintext -Force $CredObject = New-Object System.Management.Automation.PSCredential($User,$Password) Export -ST FConfigurat ion パラメーター説明 -TargetFolder(String) バックアップアーカイブへのエクスポートパス例 :"$env:userprofile\desktop\" -Credential(PSCredential オブジェクト ) エクスポート中に暗号化された.ctxzip バックアップアーカイブを作成する資格情報オブジェクトを指定します PowerShell 資格情報オブジェクトには暗号化と暗号化解除に使用されるパスワードが含まれます -Credent ial を-NoEncrypt ion パラメーターと一緒に使用しないでください例 :$CredObject -NoEncryption( スイッチ ) バックアップアーカイブを暗号化されていない.zip にすることを指定します -NoEncrypt ion を-Credent ial パラメーターと一緒に使用しないでください -ZipFileName(String) StoreFront 構成のバックアップアーカイブの名前.zip や.ctxzip などのファイル拡張子を追加しないでくださいファイル拡張子はエクスポート中に-Credent ial または- NoEncrypt ion のどちらのパラメーターを指定したかによって自動的に追加されます例 :"backup" -Force( ブール型 ) このパラメーターはバックアップアーカイブを指定されたエクスポート先にある既存のバックアップファイルと同じファイル名で自動的に上書きします Important StoreFront 3.5にあった-SiteID パラメーターはバージョン3.6で廃止されましたバックアップアーカイブに含まれるSiteID が常に使用されるようになっためインポートを実行するときに SiteID を指定する必要はなくなりました SiteID がインポート先サーバーのIIS 内ですでに構成されている既存のStoreFront Webサイトに一致することを確認します SiteID 1 からSiteID 2 への ( またはその逆 ) 構成のインポートはサポートされません Citrix Systems, Inc. All rights reserved. p.222

223 Import -ST FConfigurat ion パラメーター説明 - ConfigurationZip(String) インポートするバックアップアーカイブへのフルパスファイル拡張子も含めます暗号化されていない場合は.zip 暗号化されたバックアップアーカイブの場合は.ctxzip を使用します例 :"$env:userprofile\desktop\backup.ctxzip" -Credential(PSCredential オブジェクト ) インポート中に暗号化されたバックアップを暗号化解除する資格情報オブジェクトを指定します例 :$CredObject -HostBaseURL(String) このパラメーターが含まれると指定したホストベース URL がエクスポートサーバーのホストベース URL の代わりに使用されます例 :" Unprot ect -ST FConfigurat ionbackup パラメーター説明 -TargetFolder(String) バックアップアーカイブへのエクスポートパス例 :"$env:userprofile\desktop\" -Credential(PSCredential オブジェクト ) このパラメーターを使用して暗号化されたバックアップアーカイブの暗号化されていないコピーを作成します暗号化解除に使用するパスワードを含む PowerShell 資格情報オブジェクトを指定します例 :$CredObject - EncryptedConfigurationZip(String) 暗号化解除する暗号化されたバックアップアーカイブのフルパスファイル拡張子.ctxzip を指定する必要があります例 :"$env:userprofile\desktop\backup.ctxzip" -OutputFolder(String) 暗号化された (.ctxzip) バックアップアーカイブから暗号化されていないコピー (.zip) を作成するパス元の暗号化されたバックアップのコピーは保持され再使用できます暗号化されていないコピーのファイル名とファイル拡張子は指定しないでください Citrix Systems, Inc. All rights reserved. p.223

224 例 :"$env:userprofile\desktop\" -Force( ブール型 ) このパラメーターはバックアップアーカイブを指定されたエクスポート先にある既存のバックアップファイルと同じファイル名で自動的に上書きします現在の PowerShell セッションへの St orefront SDK のインポート StoreFront サーバーで PowerShell Integrated Scripting Environment(ISE) を開き以下を実行します $SDKModules = 'C:\Program Files\Citrix\Receiver StoreFront\PowerShellSDK\Modules\Citrix.StoreFront' Import-Module "$SDKModules\Citrix.StoreFront.psd1" -verbose Import-Module "$SDKModules.Authentication\Citrix.StoreFront.Authentication.psd1" -verbose Import-Module "$SDKModules.Roaming\Citrix.StoreFront.Roaming.psd1" -verbose Import-Module "$SDKModules.Stores\Citrix.StoreFront.Stores.psd1" -verbose Import-Module "$SDKModules.WebReceiver\Citrix.StoreFront.WebReceiver.psd1" -verbose Import-Module "$SDKModules.SubscriptionsStore\Citrix.StoreFront.SubscriptionsStore.psd1" -verbose 単一サーバーのシナリオサーバー Aで既存の構成の暗号化されていないバックアップを作成しそれを同じ環境に復元する Export-STFConfiguration -targetfolder "$env:userprofile\desktop\" -zipfilename "backup" -NoEncryption Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.zip" サーバー Aで既存の構成の暗号化されたバックアップを作成しそれを同じ環境に復元する #PowerShell 資格情報オブジェクトの作成 $User = [System.Security.Principal.WindowsIdentity]::GetCurrent().Name $Password = "Pa55w0rd" $Password = $Password ConvertTo-SecureString -asplaintext -Force $CredObject = New-Object System.Management.Automation.PSCredential($User,$Password) Export-STFConfiguration -targetfolder "$env:userprofile\desktop\" -zipfilename "backup" -Credential $CredObject Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" -Credential $CredObject 既存の暗号化されたバックアップアーカイブの保護を解除する $User = [System.Security.Principal.WindowsIdentity]::GetCurrent().Name $Password = "Pa55w0rd" $Password = $Password ConvertTo-SecureString -asplaintext -Force $CredObject = New-Object System.Management.Automation.PSCredential($User,$Password) Unprotect-STFConfigurationExport -encryptedconfigurationzip "$env:userprofile\desktop\backup.ctxzip" -credential $CredObject -outputfolder "c:\storefrontbackups" -Force サーバー Aで既存の構成をバックアップしサーバー Bの新しい工場出荷時のデフォルト環境に復元する Citrix Systems, Inc. All rights reserved. p.224

225 サーバー Bは新しい環境ですがサーバー Aと共存することを目的にしていますサーバー Bは新しい工場出荷時のデフォルトのStoreFront 環境でもあります 1. PowerShell 資格情報オブジェクトを作成しサーバー A 構成の暗号化されたコピーをエクスポートします 2. バックアップの暗号化に使用した同じパスワードを使用してサーバー BでPowerShell 資格情報オブジェクトを作成します 3. -Host BaseURL パラメーターを使用してサーバー Aの構成を暗号化解除しサーバー Bにインポートします Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject - HostBaseURL " サーバー Aで既存の構成をバックアップしそれを使用してサーバー Bの既存の環境を上書きするサーバー B は古い構成を使用する既存の環境ですサーバー A の構成を使用してサーバー B を更新しますサーバー B はサーバー Aと共存させるためのものです -Host BaseURL パラメーターを指定します 1. PowerShell 資格情報オブジェクトを作成しサーバー A 構成の暗号化されたコピーをエクスポートします 2. バックアップの暗号化に使用した同じパスワードを使用してサーバー B で PowerShell 資格情報オブジェクトを作成します 3. -Host BaseURL パラメーターを使用してサーバー Aの構成を暗号化解除しサーバー Bにインポートします Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject - HostBaseURL " 新しいサーバー OS にアップグレードしたり古い St orefront 環境の使用を停止する場合などと同じホストベース URL を使用して既存の環境のクローンを作成する 2012R2サーバー Bは古い2008R2サーバー Aの代わりとなる新しい環境ですインポート中に-Host BaseURL パラメーターを使用しないでくださいサーバー B は新しい工場出荷時のデフォルトの StoreFront 環境でもあります 1. PowerShell 資格情報オブジェクトを作成し 2008R2 サーバー A 構成の暗号化されたコピーをエクスポートします 2. バックアップの暗号化に使用した同じパスワードを使用して 2012R2 サーバー B で PowerShell 資格情報オブジェクトを作成します 3. -Host BaseURL パラメーターを使用せずに 2008R2サーバー A 構成を暗号化解除して2012R2サーバー Bにインポートします Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject - HostBaseURL " St orefront はIIS のカスタムの Web サイトに既に展開されているこの構成を別のカスタム Web サイト環境に復元するサーバー A では StoreFront を IIS 内の通常のデフォルトの Web サイトではなくカスタムの Web サイトの場所に展開しています IIS 内に作成された 2 つ目の Web サイトの IIS SiteID は 2 です StoreFront Web サイトの物理パスは d:\ など別のシステム以外のドライブまたはデフォルトの c:\ システムドライブに置くことができますが 1 を超える IIS SiteID を使用する必要があります StoreFront と呼ばれる新しいWebサイトがIIS 内に構成され Sit eid = 2 が使用されています StoreFront はドライブ d:\inetpub\wwwrooot\ の物理パスで IIS 内のカスタム Web サイトに既に展開されています Citrix Systems, Inc. All rights reserved. p.225

226 1. PowerShell 資格情報オブジェクトを作成しサーバー A 構成の暗号化されたコピーをエクスポートします 2. サーバー Bでは St orefront と呼ばれる新しいWebサイトでIISを構成しますこのサイトでもSit eid 2 を使用します 3. バックアップの暗号化に使用した同じパスワードを使用してサーバー B で PowerShell 資格情報オブジェクトを作成します 4. -Host BaseURL パラメーターを使用してサーバー Aの構成を暗号化解除しサーバー Bにインポートしますバックアップに含まれるサイト ID を使用しこの ID が StoreFront 構成をインポートするターゲット Web サイトに一致する必要があります Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject - HostBaseURL " サーバーグループシナリオシナリオ 1: : 既存のサーバーグループ構成をバックアップし後でそのバックアップを同じサーバーグループ環境で復元する前の構成バックアップは 2 つの StoreFront サーバー (2012R2-A と 2012R2-B) のみがサーバーグループのメンバーであるときに取得されましたバックアップアーカイブ内には元のサーバー 2012R2-A と 2012R2-B のみを含むバックアップが取得された時点のCit rixclust ermembership のレコードが含まれます StoreFront サーバーグループ環境ではビジネス上の需要に伴い元のバックアップが取得された時点よりサイズが増え続けていますしたがって追加のノード 2012R2-C がサーバーグループに追加されていますバックアップに保持されているサーバーグループの基になる StoreFront 構成は変更されていません 2 つの元のサーバーグループノードのみを含む古いバックアップがインポートされている場合でも 3 つのサーバーの現在の CitrixClusterMembership を維持する必要がありますインポート中に現在のクラスターメンバーシップが保持されて構成がプライマリサーバーに正常にインポートされた後にライトバックされます元のバックアップが取得された後にサーバーグループノードがサーバーグループから削除された場合インポートでは現在の CitrixClusterMembership も保持されます 1. サーバーグループ 1 の構成を 2012R2-A からエクスポートします 2012R2-A はサーバーグループ全体を管理するために使用さ Citrix Systems, Inc. All rights reserved. p.226

$サーバーグループ1の構成をノード2012R2-Aにインポートして戻します Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject -HostBaseURL "https://serverb.example.com" 5.$ 新しくインポートした構成をサーバーグループ全体に反映してインポート後にすべてのサーバーの構成が一致するようにしますシナリオ 2: : 既存の構成をサーバーグループ 1からバックアップしそのバックアップを使用して別の工場出荷時のデフォルト環境に新しいサーバーグループを作成するほかの新しいサーバーグループメンバーを新しいプライマリサーバーに追加できる新しい 2 つのサーバー

新しくインポートした構成をサーバーグループ全体に反映してインポート後にすべてのサーバーの構成が一致するようにしますシナリオ 2: : 既存の構成をサーバーグループ 1からバックアップしそのバックアップを使用して別の工場出荷時のデフォルト環境に新しいサーバーグループを作成するほかの新しいサーバーグループメンバーを新しいプライマリサーバーに追加できる新しい 2 つのサーバー

227 れるプライマリサーバーです 2. 後で追加のサーバー 2012R2-C を既存のサーバーグループに追加します 3. サーバーグループの構成を既知の前の作業状態に復元する必要があります StoreFront ではインポートプロセスの実行中に3つのサーバーの現在のCitrixClusterMembership がバックアップされインポートの成功後に復元されます 4. サーバーグループ1の構成をノード2012R2-Aにインポートして戻します Import-STFConfiguration -configurationzip "$env:userprofile\desktop\backup.ctxzip" Credential $CredObject -HostBaseURL " 5. 新しくインポートした構成をサーバーグループ全体に反映してインポート後にすべてのサーバーの構成が一致するようにしますシナリオ 2: : 既存の構成をサーバーグループ 1からバックアップしそのバックアップを使用して別の工場出荷時のデフォルト環境に新しいサーバーグループを作成するほかの新しいサーバーグループメンバーを新しいプライマリサーバーに追加できる新しい 2 つのサーバー 2012R2-C と 2012R2-D を含むサーバーグループ 2 が作成されますサーバーグループ 2 の構成は既存環境のサーバーグループ 1 の構成に基づきますサーバーグループ 1 にも 2 つのサーバー 2012R2-A と 2012R2-B が含まれていますバックアップアーカイブに含まれる CitrixClusterMembership は新しいサーバーグループの作成時には使用されません現在の CitrixClusterMembership が常にバックアップされインポートの成功後に復元されますインポートされた構成を使用して新しい展開環境を作成すると追加サーバーが新しいグループに加わるまでは CitrixClusterMembership セキュリティグループには 1 つのインポートサーバーのみが含まれますサーバーグループ 2 は新しい環境でサーバーグループ 1 と共存することを目的としています -HostBaseURL パラメーターを指定しますサーバーグループ 2 は新しい工場出荷時のデフォルト StoreFront 環境を使用して作成されます Citrix Systems, Inc. All rights reserved. p.227

すべて見る

(untitled)

(untitled) StoreFront 2.5.x 2015-05-11 03:45:41 UTC 2015 Citrix Systems, Inc. All rights reserved. Terms of Use Trademarks Privacy Statement 目次 StoreFront 2.5.x... 5 このリリースについて... 6 既知の問題... 12 システム要件... 14 インフラストラクチャの要件...