StoreFront 2.1 2015-03-18 10:47:20 UTC © 2015 Citrix Systems, Inc. All rights reserved. Terms of Use | Trademarks | Privacy Statement 目次 StoreFront 2.1 ..................................................................................................... 5 このリリースについて .............................................................................. 6 既知の問題 ....................................................................................... 11 システム要件 .......................................................................................... 13 インフラストラクチャの要件 ................................................................ 15 ユーザーデバイスの要件 ...................................................................... 19 スマートカードの要件 ................................................................... 26 計画 ..................................................................................................... 28 ユーザーアクセスのオプション ............................................................. 31 Citrix Receiver............................................................................ 33 メールアドレスによるアカウント検出を構成する ........................... 35 Receiver for Webサイト ............................................................... 37 デスクトップアプライアンスサイト .................................................. 40 XenApp ServicesサイトのURL ....................................................... 42 ユーザー認証 .................................................................................... 44 StoreFrontでのスマートカードの使用 .............................................. 47 ユーザーエクスペリエンスの最適化........................................................ 52 StoreFrontの高可用性とマルチサイト構成 .............................................. 56 インストールとセットアップ ...................................................................... 60 StoreFrontをインストールするには ....................................................... 63 コマンドプロンプトからStoreFrontをインストールするには........................ 65 StoreFrontの構成 .............................................................................. 66 新しい展開環境を作成するには........................................................ 67 XenDesktop、XenApp、およびVDI-in-a-Boxのリソースをストアに 追加するには......................................................................... 70 App Controllerアプリケーションをストアに追加するには ............... 72 NetScaler Gatewayアプライアンスを介したストアへのリモートアク セスを有効にするには ............................................................. 73 Access Gateway 5.0クラスターを介したストアへのリモートアクセ スを提供するには ................................................................... 76 既存のサーバーグループにサーバーを追加するには.............................. 78 2 3 StoreFrontをアンインストールするには ................................................. 79 アップグレード ....................................................................................... 80 管理 ..................................................................................................... 84 サーバーグループの構成 ...................................................................... 85 認証サービスを作成するには ................................................................ 87 認証サービスの構成............................................................................ 89 ストアの作成 .................................................................................... 93 ストアの構成 .................................................................................... 99 ユーザー用のストアプロビジョニングファイルをエクスポートするには 100 ストアの非表示とアドバタイズ........................................................ 101 ストアに表示するリソースを管理するには ......................................... 102 NetScaler Gatewayを介したストアへのリモートアクセスを管理するには 104 Citrix Receiver更新プログラムを管理するには ................................... 108 Citrix Onlineアプリケーションをストアに統合するには ........................ 110 XenApp Servicesサイトを介した接続をサポートするには ..................... 111 ストアのセキュリティキーの生成..................................................... 112 ストアの削除 .............................................................................. 113 Receiver for Webサイトを作成するには................................................. 114 Receiver for Webサイトの構成 ............................................................ 115 NetScaler Gateway接続を追加するには ................................................. 118 NetScaler Gateway接続設定の構成 ....................................................... 121 ビーコンポイントを構成するには .......................................................... 125 スマートカード認証の構成 ................................................................... 127 Receiver for Windowsのスマートカードパススルー認証を有効にするに は............................................................................................. 133 可用性の高いマルチサイトストア構成のセットアップ................................. 134 ストアの負荷分散、フェールオーバー、障害回復、ユーザーマッピングを 構成するには .............................................................................. 135 サブスクリプションの同期を構成するには ......................................... 138 ストアの最適なNetScaler Gatewayルーティングを構成するには ............ 141 NetScaler Gateway広域サーバー負荷分散のためのストアを構成するには 143 可用性の高いマルチサイトストア構成の例 ......................................... 144 負荷分散とフェールオーバーの例 ............................................... 146 ユーザーマッピングの例 .......................................................... 149 サブスクリプション同期の例..................................................... 152 最適なNetScaler Gatewayルーティングの例 ................................ 154 構成ファイルを使ったStoreFrontの構成 ................................................. 156 ICAファイルの署名を有効にするには................................................ 157 4 通信のタイムアウト期間および再試行回数を構成するには ..................... 159 パスワードの有効期限切れ通知期間を構成するには.............................. 160 ファイルタイプの関連付けを無効にするには ...................................... 161 ソケットプール機能を有効にするには ............................................... 162 Citrix Receiverのログオンダイアログボックスをカスタマイズするには 163 Receiver for Windowsでパスワードのキャッシュ機能を無効にするには 165 構成ファイルを使ったReceiver for Webサイトの構成................................ 166 ユーザーに対するリソースの表示方式を構成するには ........................... 167 Citrix Receiverインストールファイルをサーバーから入手できるようにす るには ....................................................................................... 168 Citrix Receiverの検出と展開を無効にするには ................................... 170 ワークスペースコントロールを構成するには ...................................... 171 ユーザーへのプロビジョニングファイルの提供を停止するには ............... 173 Receiver for HTML5のブラウザータブ使用を構成するには.................... 174 ストアのタイムアウト期間および再試行回数を構成するには .................. 175 セッションの継続期間を構成するには ............................................... 176 デスクトップアプライアンスサイトの構成 ............................................... 177 XenApp Services URLの認証を構成するには ........................................... 180 セキュリティ .......................................................................................... 181 トラブルシューティング............................................................................ 183 StoreFront 2.1 Citrix StoreFront 2.1を使用すると、管理者はXenDesktop、XenApp、XenMobile App Controller、およびVDI-in-a-Boxのリソースを1か所に集約したエンタープライズアプリケー ションストアを作成できます。 このストアでは、あらゆるデバイスのユーザーにWindows のデスクトップやアプリケーション、モバイルアプリケーション、外部SaaS(Software as a Service)アプリケーション、および内部Webアプリケーションへの単一ポータルからの セルフサービスアクセスが提供されます。 管理者は、社内のデスクトップやアプリケーショ ンのユーザーへのプロビジョニングを一元管理できます。 StoreFrontを使用してリソース配 信を統合すると、異なるアプリケーションに対して複数の配信メカニズムを管理したり、イ ンストールや更新を手作業で行ったりする必要がなくなります。 このセクションでは、StoreFront 2.1の展開、構成、および管理について説明します。 この トピックの内容を理解するには、Citrix Receiver、XenDesktop、XenApp、XenMobile App Controller、およびVDI-in-a-Boxに関する知識が必要です。 5 StoreFrontについて システム要件 StoreFrontで解決された問題: StoreFrontの展開計画 既知の問題 StoreFrontをインストールしてセットアップするには StoreFrontについて 更新日: 2013-10-30 XenDesktop、XenApp、XenMobile、およびVDI-in-a-Boxの展開環境に不可欠なコンポー ネントであるStoreFrontでは、ユーザーをMicrosoft Active Directoryで認証したり、デー タセンター内のサーバーからユーザーデバイスへのデスクトップやアプリケーションの配信 を管理したりできます。 ユーザーはCitrix Receiverを使ったり、Webブラウザーで Receiver for Webサイトやデスクトップアプライアンスサイトを表示したりすることで StoreFrontストアにアクセスできます。 アップグレードできない古いバージョンのCitrixク ライアントのユーザーなど、これらのアクセス方法を使用できないユーザーは、XenApp ServicesサイトのURL経由でストアにアクセスできます。 StoreFrontは、アプリケーション のレコードをユーザーごとに保持し、ユーザーデバイスを自動的に更新します。このため、 スマートフォン、タブレット、ラップトップ、デスクトップコンピューターなど、ユーザー が使用するデバイスを切り替えても一貫性のあるユーザーエクスペリエンスが提供されます。 新機能 StoreFront 2.1には、Windows Server 2012 R2、Windows 8.1、およびInternet Explorer 11のサポートが追加されています。 さらに、多くの改良が追加されています。詳 しくは、「StoreFront 2.1で解決された問題」を参照してください。 StoreFront 2.0では、以下の新機能および機能拡張が追加されました。 専用のデータベースが不要。 専用のデータベースをセットアップする必要がなくなりました。 ユーザーのアプリケーションサブスクリプションデータはローカルに保存され、StoreFront サーバー間で自動的に複製されます。 可用性の高いマルチサイトストア構成。 デスクトップやアプリケーションを提供する展開環 境間の負荷分散とフェールオーバーを有効にするため、展開環境のグループおよびその階層 を定義したりバックアップの展開環境を指定したりできます。 また、展開環境をActive Directoryのユーザーグループにマップすることで、特定のリソースへのユーザーアクセスを 制限できます。 スマートカード認証。 StoreFrontでは、Receiver for WindowsおよびNetScaler Gateway でスマートカード認証がサポートされます。 デスクトップアプライアンスサイトやXenApp 6 このリリースについて Servicesサイトを介したデスクトップアプライアンスや再目的化されたPCからのスマートカー ド認証もサポートされます。 Receiver for HTML5の統合: 従来個別に提供されていたReceiver for HTML5が StoreFront Receiver for Webサイトに統合されました。 管理者は、Receiver for HTML5 を使用して、Citrix ReceiverをインストールできないユーザーがHTML5互換のWebブラウザー からデスクトップやアプリケーションに直接アクセスできるように設定できます。 デスクトップアプライアンスサイト。 管理者は、ユーザーがドメイン不参加のデスクトップ アプライアンスからデスクトップにアクセスできるように設定できます。 アプライアンス上 のWebブラウザーは、起動時にストアのデスクトップアプライアンスサイトに全画面モード でアクセスするように構成されます。 Receiver for Webサイトのショートカット: Receiver for Webサイトを介して使用できる デスクトップやアプリケーションへのリンクを独自のWebサイトに埋め込むことができます。 XenMobile App Controllerワークフローの統合: Receiver for Webサイトのユーザーは、 App Controllerのユーザーアカウント管理を使用してアクセスを管理しているアプリケーショ ンをサブスクライブできます。 Receiver for Webサイトでのパスワードの変更: 管理者は、Receiver for Webサイトのユー ザーがActive Directoryドメインのパスワードを変更できるようにしたり、パスワードの期 限切れが近いユーザーに通知が表示されるようにしたりできます。 ベースURLの変更:. StoreFrontを再インストールしなくても、展開環境のベースURLを変 更できるようになりました。必要に応じて、HTTPからHTTPSに変更することもできます。 7 このリリースについて Fast Connectのサポート。 StoreFrontでは、Fast Connect対応のサードパーティ製品を介 して、近接カードを使ったXenApp Servicesサイトへのパススルー認証がサポートされます。 IPv6のサポート。 StoreFrontでは、IPv6ネットワーク上およびハイブリッドのデュアルス タックIPv4/IPv6ネットワーク上のサーバーおよびクライアント通信がサポートされます。 そのほかの機能 Citrix Receiverの統合。 Citrix Receiverを使用すると、ユーザーはあらゆるデバイスおよび 場所でStoreFrontストアへの直観的なセルフサービスアクセスを実行できます。 メールアドレスによるアカウント検出。 管理者は、デバイスにCitrix Receiverをインストー ルしたユーザーが、自分のメールアドレスを入力することでアカウントが自動的にセットアッ プされるように設定できます。 Citrix Receiverのワンクリック構成。 管理者は、ユーザーのCitrix Receiverの構成を自動化 するプロビジョニングファイルを提供できます。 アプリケーションの自動プロビジョニング。 管理者は、すべてのユーザーが主要なアプリケー ションセットを自動的にサブスクライブするように設定することができます。 8 このリリースについて アプリケーションの同期。 この機能では、ユーザーが使用デバイスを切り替えても、サブス クライブ済みのアプリケーションが自動的に同期されます。 このため、ユーザーが異なるデ バイスを使用するたびにアプリケーションをサブスクライブし直す必要はなく、すべてのデ バイス間で一貫性のあるユーザーエクスペリエンスが保証されます。 Receiver for Webサイト。 Receiver for Webサイトを構成すると、StoreFrontストアに Citrix ReceiverではなくWebページ経由でアクセスできるようになり。 Citrix Receiverの検出と展開。 Receiver for Webサイトでは、Citrix Receiverをインストー ルしていないWindowsおよびMac OS Xユーザーに、適切なバージョンをダウンロードする ためのメッセージを表示できます。 NetScaler Gatewayのサポート。 公共のネットワークからStoreFrontにアクセスするリモー トユーザーの接続をNetScaler Gatewayで保護できます。 NetScaler Gateway Plug-inを使 用しても使用しなくても接続が保護されます。 SmartAccess機能を使用すると、セッション ポリシーに基づいてリソースへのユーザーアクセスを制御できます。 パススルー認証。 StoreFrontでは、ユーザーのデバイスからのドメインおよびスマートカー ドの資格情報のパススルーと、NetScaler Gatewayからのパススルー認証がサポートされま す。 ユーザー接続の保護。 StoreFrontでHTTPSを使用して、ユーザーデバイスとの通信を保護 できます。 ICAファイルの署名。 StoreFrontには、ICAファイルにデジタル署名を追加できます。これ により、この機能をサポートするバージョンのCitrix Receiverで、ICAファイルが信頼され るサーバーからのものであることを検証できるようになります。 9 このリリースについて ワークスペースコントロール。 この機能を有効にすると、ユーザーがセッションの途中でデ バイスを切り替えても、新しいデバイス上でそのアプリケーションでの作業を継続できます。 従来のクライアントのサポート。 新しいストアを作成するときに、Web Interfaceの XenApp Servicesサイトをサポートする古いクライアントによるアクセスがデフォルトで有 効になります。 サーバーの集中管理: 任意のサーバー上のCitrix StoreFront管理コンソールを使用して、 StoreFrontサーバーのグループを管理できます。 10 StoreFront 2.1の既知の問題 更新日: 2014-10-01 このリリースの既知の問題は次のとおりです。 Windows 8モードのGoogle ChromeでReceiver for Webサイトのリソースを起動できない Windows 8のユーザーがGoogle ChromeをWindows 8モードで実行する場合、Receiver for Webサイトからデスクトップやアプリケーションを起動することはできません。この問 題は、Receiver for HTML5が無効またはフォールバックオプションとして設定されている Receiver for Webサイトで発生し、Receiver for Windowsをインストールしても解決され ません。 この問題を回避するには、Google Chromeをデスクトップモードで実行して Receiver for Webサイトにアクセスしてください。 [#425740] ワイルドカード証明書を使用するとStoreFront管理コンソールが正しく機能しない Citrix StoreFront管理コンソールでは、「<name>*.<domain>」形式のワイルドカードサー バー証明書(<name>はワイルドカード証明書の任意の定数値)を正しく識別できません。 このため、StoreFrontをインストールするよりも前にこのような証明書でMicrosoftインター ネットインフォメーションサービス(IIS)でHTTPSを構成すると、管理コンソールで初回 構成を完了できません。 インストール後に、このようなワイルドカード証明書を使ってIIS およびStoreFrontのHTTPSを構成すると、管理コンソールで特定のタスクを実行できなくな る場合があります。 [#424708] 縮小表示キャッシュファイルによりStoreFrontのアップグレードに失敗する StoreFrontフォルダーにWindows縮小表示キャッシュファイルThumbs.dbが含まれている と、StoreFrontをアップグレードできません。 この問題を解決するには、StoreFrontのイ ンストール先フォルダーで隠しファイルを表示して、すべてのThumbs.dbファイルを削除し てからアップグレードしてください。 [#421623] スマートカードユーザーがデスクトップアプライアンスサイトにログオンできない スマートカードを使用するユーザーがデスクトップアプライアンスサイトにログオンできな いという問題があります。この問題は、スマートカード認証やスマートカードパススルー認 証が有効な場合でも発生します。 この問題を解決するには、Microsoftインターネットイン フォメーションサービス(IIS)でデスクトップアプライアンスサイトの\SmartcardAuthフォ ルダーに対するMicrosoft Active Directoryのクライアント証明書マッピング認証(IISのク ライアント証明書マッピング認証ではありません)を有効にしてください。 [#406945] SQL Server 2012 Expressを使用したStoreFront 1.2の単一サーバーをアップグレードでき ない アプリケーションサブスクリプションデータベースとしてSQL Server 2012 Expressを使用 するStoreFront 1.2の単一サーバー展開(アプリケーションサブスクリプションデータベー スを含むすべてのコンポーネントが単一サーバー上にインストールされている環境)は、 StoreFront 2.0にアップグレードできません。 citrix.comでのReceiver for Windows 3.4へのアップグレードで保留中のアップデートが完 了しない 11 既知の問題 Citrix社のWebサイトでReceiver for Windows 3.4をアップグレードする場合、プラグイン ソフトウェアなど一部の保留アップデートが完了しない場合があります。 この問題を回避す るには、Receiver for Windows 3.4を手作業でアップグレードしてください。 [#396558] Receiver Storefront 1.1からのアップグレードで構成情報が削除される 既存のReceiver Storefront 1.1を直接StoreFront 2.0にアップグレードすることはサポート されません。 これを行うと、既存のReceiver Storefrontの構成が削除され、復元できなく なります。 この問題を回避するには、Receiver Storefront 1.1をStoreFront 1.2にアップ グレードしてからStoreFront 2.0にアップグレードしてください。 [#395810] Citrix.comでのReceiver for Windows 3.3へのアップグレードが完了しない Citrix社のWebサイトでReceiver for Windows 3.3をアップグレードする場合、「セットアッ プを完了できないという内容のエラーメッセージが表示されます。 この問題を回避するには、 Receiver for Windows 3.3を手作業でアップグレードしてください。 [#393294] NetScaler Gateway認証のパススルーを無効にするとユーザーがリソースにアクセスできな い NetScaler Gatewayのパススルー認証を無効にすると、ストアのリモートアクセスが有効に なっていてもユーザーがNetScaler Gateway経由でリソースにアクセスできなくなります。 この場合、次のエラーメッセージが表示されます。「アプリケーションを起動できません。 管理者に以下の情報を連絡してください。Cannot connect to the Citrix XenApp server. Protocol Driver error.」 この問題を解決するには、ストアの構成ファイルの requireTokenConsistency属性の値をfalseに設定してください。 [#320650] Internet Explorer 8でReceiver for Webサイトの応答が遅くなる ユーザーがInternet Explorer 8を使用している場合は、多数のデスクトップおよびアプリケー ションを含むReceiver for Webサイトでストアを表示したり検索ワードを入力したりすると、 応答が遅くなる可能性があります。 [#274126] Receiver for Webサイトのログオン画面が一部のユーザーに英語で表示される Access Gateway 5.0.4を経由してReceiver for Webサイトにアクセスすると、繁体中国語、 韓国語、およびロシア語のユーザーには[ログオン]画面が英語で表示されます。 Access Gateway 9.3, Enterprise Editionを経由してReceiver for Webサイトにアクセスすると、 簡体中国語、繁体中国語、韓国語、およびロシア語のユーザーには[ログオン]画面が英語 で表示されます。 [#267899] 解決された問題 このリリースで解決された問題については、Citrix Knowledge Centerの http://support.citrix.com/article/CTX138215を参照してください。 12 StoreFront 2.1のシステム要件 更新日: 2013-10-22 インストールを計画するときに、サーバーにインストールされているそのほかの製品の要件 に加えて、StoreFront用に少なくとも2GBのRAMを使用できるかどうかを確認してください。 サブスクリプションストアサービスでは、5MB以上の空きディスク領域が必要です。さらに、 アプリケーションのサブスクリプション1000個について約8MBが必要になります。 ほかの すべてのハードウェア仕様は、インストールされているオペレーティングシステムの要件を 満たしている必要があります。 Citrix社では、以下のプラットフォームへのStoreFrontのインストールがテストされており、 サポートが提供されます。 • Windows Server 2012 R2のDatacenter、およびStandardエディション • Windows Server 2012のDatacenter、およびStandardエディション • Windows Server 2008 R2 Service Pack 1のEnterprise、およびStandardエディショ ン StoreFrontが動作するサーバー上のオペレーティングシステムをアップグレードすることは サポートされていません。 新しくインストールしたオペレーティングシステムにStoreFront をインストールすることをお勧めします。 複数サーバーの展開環境の各サーバーでは同じバー ジョンのオペレーティングシステムが動作しており、ロケール設定が同一である必要があり ます。 StoreFrontサーバーグループ内でオペレーティングシステムのバージョンやロケール 設定が異なるサーバーを混在させることはサポートされていません。 サーバーにはMicrosoftインターネットインフォメーションサービス(IIS)とMicrosoft . NET Frameworkが必要です。 これらの必須コンポーネントがインストール済みでも無効で ある場合は、StoreFrontのインストーラーにより、製品のインストール前に有効化されます。 StoreFrontをインストールする前に、WebサーバーにWindows PowerShellおよび Microsoft管理コンソールをインストールしておく必要があります。これらはWindows Serverのデフォルトのコンポーネントです。 StoreFrontのIISでの相対パスが、グループ内 のすべてのサーバーで同じである必要があります。 StoreFrontでは、以下の通信ポートが使用されます。 ファイアウォールやほかのネットワー クデバイスで、これらのポートへのアクセスが許可されることを確認してください。 • • • 13 TCPポート80および443は、それぞれHTTPおよびHTTPS通信で使用されます。これら のポートは、社内ネットワーク内部および外部からアクセスできる必要があります。 TCPポート808は、StoreFrontサーバー間の通信で使用されます。このポートは、社内 ネットワーク内部からアクセスできる必要があります。 サーバーグループ内のStoreFrontサーバー間の通信では、すべての未割り当てTCPポー トからランダムに選択されるポートが使用されます。 StoreFrontのインストール時に構 成されるWindowsファイアウォール規則により、StoreFrontの実行可能ファイルへのア クセスが有効になります。 ただし、そのときに使用されるポートはランダムに選択され るため、内部ネットワーク上のファイアウォールやほかのネットワークデバイスで、す べての未割り当てTCPポートへのトラフィックがブロックされないことを確認する必要 システム要件 があります。 • Receiver for HTML5が有効な場合、内部ネットワーク上のローカルユーザーからデスク トップやアプリケーションを提供するサーバーへの通信でTCPポート8008が使用されま す。 StoreFrontでは、ピュアIPv6ネットワークおよびデュアルスタックIPv4/IPv6環境の両方が サポートされます。 14 インフラストラクチャの要件 更新日: 2013-11-27 Citrixでは、以下のCitrixインフラストラクチャ製品でのStoreFrontの使用がテストされてお り、サポートが提供されます。 Citrixサーバー製品の要件 StoreFrontストアでは、以下の製品で提供されるデスクトップやアプリケーションを集約で きます。 • XenDesktop • XenDesktop 7.1 • XenDesktop 7 • XenDesktop 5.6 Feature Pack 1 • XenDesktop 5.6 XenDesktop 5.5 XenApp • • 15 • XenApp 6.5 Feature Pack 2 • XenApp 6.5 Feature Pack 1 for Windows Server 2008 R2 • XenApp 6.5 for Windows Server 2008 R2 • XenApp 6.0 for Windows Server 2008 R2 • XenApp 5.0 Feature Pack 3 for Windows Server 2008 x64 Edition • XenApp 5.0 Feature Pack 3 for Windows Server 2008 • XenApp 5.0 Feature Pack 3 for Windows Server 2003 x64 Edition • XenApp 5.0 Feature Pack 3 for Windows Server 2003 • XenApp 5.0 Feature Pack 2 for Windows Server 2008 x64 Edition • XenApp 5.0 Feature Pack 2 for Windows Server 2008 • XenApp 5.0 Feature Pack 2 for Windows Server 2003 x64 Edition • XenApp 5.0 Feature Pack 2 for Windows Server 2003 • XenApp 5.0 Feature Pack 1 for Windows Server 2003 x64 Edition インフラストラクチャの要件 • • XenApp 5.0 Feature Pack 1 for Windows Server 2003 • XenApp 5.0 for Windows Server 2008 x64 Edition • XenApp 5.0 for Windows Server 2008 • XenApp 5.0 for Windows Server 2003 x64 Edition • XenApp 5.0 for Windows Server 2003 XenMobile App Controller • App Controller 2.9 • App Controller 2.8 • AppController 2.6 • AppController 2.5 • AppController 2.0 • AppController 1.1 AppController 1.0 VDI-in-a-Box • • • VDI-in-a-Box 5.3 VDI-in-a-Box 5.2 要件と制限について詳しくは、「VDI-in-a-BoxでStoreFrontを使用する」を参照してく ださい。 • NetScaler Gatewayの要件 公共のネットワーク上のユーザーがStoreFrontにアクセスできるようにする場合、以下のバー ジョンのNetScaler Gatewayを使用できます。 • • NetScaler Gateway 10.1 Access Gateway 10 Build 69.4(バージョン番号は構成ユーティリティの上部に表示さ れます) • Access Gateway 9.3, Enterprise Edition • Access Gateway 5.0.4 Receiver for HTML5の要件 Receiver for Webサイト上で動作するReceiver for HTML5によるデスクトップやアプリケー ションへのアクセスをユーザーに提供する場合、以下の追加要件があります。 16 インフラストラクチャの要件 内部ネットワーク接続では、Receiver for HTML5を使用して、以下の製品で提供されている デスクトップやアプリケーションにアクセスできます。 • XenDesktop 7.1 • XenDesktop 7 • XenApp 6.5 Feature Pack 2 • XenApp 6.5 Feature Pack 1 for Windows Server 2008 R2(Hotfix XA650R01W2K8R2X64051必須。http://support.citrix.com/article/CTX136294か ら入手可能) 社内ネットワーク外のリモートユーザーがReceiver for HTML5を使用する場合、以下のバー ジョンのNetScaler Gatewayを介してデスクトップおよびアプリケーションにアクセスでき ます。 • • NetScaler Gateway 10.1 Access Gateway 10 Build 71.6014(バージョン番号は構成ユーティリティの上部に表 示されます) NetScaler Gatewayを介した接続では、Receiver for HTML5を使用して、以下の製品で提 供されているデスクトップやアプリケーションにアクセスできます。 • XenDesktop • XenDesktop 7.1 • XenDesktop 7 • XenDesktop 5.6 XenDesktop 5.5 XenApp • • 17 • XenApp 6.5 Feature Pack 2 • XenApp 6.5 Feature Pack 1 for Windows Server 2008 R2 • XenApp 6.5 for Windows Server 2008 R2 • XenApp 6.0 for Windows Server 2008 R2 • XenApp 5.0 Feature Pack 3 for Windows Server 2008 x64 Edition • XenApp 5.0 Feature Pack 3 for Windows Server 2008 • XenApp 5.0 Feature Pack 3 for Windows Server 2003 x64 Edition • XenApp 5.0 Feature Pack 3 for Windows Server 2003 • XenApp 5.0 Feature Pack 2 for Windows Server 2008 x64 Edition • XenApp 5.0 Feature Pack 2 for Windows Server 2008 インフラストラクチャの要件 • • XenApp 5.0 Feature Pack 2 for Windows Server 2003 x64 Edition • XenApp 5.0 Feature Pack 2 for Windows Server 2003 • XenApp 5.0 Feature Pack 1 for Windows Server 2003 x64 Edition • XenApp 5.0 Feature Pack 1 for Windows Server 2003 • XenApp 5.0 for Windows Server 2008 x64 Edition • XenApp 5.0 for Windows Server 2008 • XenApp 5.0 for Windows Server 2003 x64 Edition • XenApp 5.0 for Windows Server 2003 VDI-in-a-Box • VDI-in-a-Box 5.3 • VDI-in-a-Box 5.2 Merchandising Serverの要件 Citrix Receiverの構成を配信するときにユーザーを識別するため、認証サービスを使用する ようにMerchandising Serverを構成する場合は、StoreFrontは次のバージョンの Merchandising Serverと組み合わせて使用できます。 • Merchandising Server 2.2 • Merchandising Server 2.1 詳しくは、「認証の構成」を参照してください。 18 ユーザーデバイスの要件 更新日: 2015-02-12 StoreFrontには、ユーザーがデスクトップおよびアプリケーションにアクセスするためのさ まざまなオプションが用意されています。 Citrix Receiverのユーザーは、Citrix Receiverを 使用してストアにアクセスしたり、WebブラウザーからストアのReceiver for Webサイトに ログオンしたりできます。 管理者は、Citrix Receiverをインストールできないユーザーが、 HTML5互換のWebブラウザーからデスクトップやアプリケーションに直接アクセスできるよ うに、Receiver for WebサイトのReceiver for HTML5機能を有効にできます。 ドメインに属していないデスクトップアプライアンスのユーザーは、Webブラウザーでデス クトップアプライアンスサイトにアクセスして自分のデスクトップにアクセスします。 ドメ インに属しているデスクトップアプライアンスのユーザー、Citrix Desktop Lockを実行して いる再目的化されたPCのユーザー、およびアップグレードできない古いバージョンのCitrix クライアントのユーザーは、ストアのXenApp Servicesサイト経由で接続する必要がありま す。 オフラインアプリケーションをユーザーに配信する場合は、Receiver for Windowsに加えて Offline Plug-inが必要です。 Microsoft Application Virtualization(App-V)シーケンスを ユーザーに配信する場合は、適切なバージョンのMicrosoft Application Virtualization Desktop Clientも必要です。 詳しくは、「ストリーム配信されるアプリケーションを公開す る」および「App-VシーケンスをXenAppで公開する」を参照してください。 Receiver for WebサイトからオフラインアプリケーションやApp-Vシーケンスにアクセスすることはでき ません。 ユーザーデバイスのハードウェア要件は、インストールされているオペレーティングシステ ムのものに準じます。 Citrix Receiver内でストアにアクセスするた めの要件 内部ネットワーク接続、または外部ネットワークからNetScaler Gateway経由でStoreFront ストアにアクセスする場合、次のバージョンのCitrix Receiverを使用できます。 NetScaler Gateway経由の接続は、NetScaler Gateway Plug-inを使用しても使用しなくても(クライ アントレスアクセス)実行できます。 19 • Citrix Receiver for Windows 8/RT 1.4 • Citrix Receiver for Windows 4.1 • Citrix Receiver for Windows 4.0 • Citrix Receiver for Windows 3.4 • Citrix Receiver for Mac 11.8 • Citrix Receiver for Mac 11.7 ユーザーデバイスの要件 • Citrix Receiver for iOS 5.8 • Citrix Receiver for iOS 5.7 • Citrix Receiver for Android 3.4 • Citrix Receiver for Android 3.3 • Citrix Receiver for Linux 12.1 Receiver for Webサイトからストアにアクセ スするための要件 内部ネットワーク接続、または外部ネットワークからNetScaler Gateway経由でReceiver for Webサイトにアクセスする場合、次のCitrix Receiver、オペレーティングシステム、お よびWebブラウザーの組み合わせが推奨されます。 NetScaler Gateway経由の接続は、 NetScaler Gateway Plug-inを使用しても使用しなくても(クライアントレスアクセス)実 行できます。 • Citrix Receiver for Windows 4.1 • • • 20 Windows 8.1(32ビット版および64ビット版) • Internet Explorer 11(32ビットモード) • Google Chrome 30 • Mozilla Firefox 24 Windows 8(32ビット版および64ビット版) • Internet Explorer 10(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 • Mozilla Firefox 23 Windows 7 Service Pack 1(32ビット版および64ビット版) • Internet Explorer 10(32ビットモード) • Internet Explorer 9(32ビットモード) • Internet Explorer 8(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 ユーザーデバイスの要件 • • Mozilla Firefox 23 Windows Embedded Standard 7 Service Pack 1またはWindows Thin PC • Internet Explorer 10(32ビットモード) • Internet Explorer 9(32ビットモード) Internet Explorer 8(32ビットモード) Windows Vista Service Pack 2(32ビット版および64ビット版)、Windows XP Professional x64 Edition Service Pack 2、またはWindows XP Professional Service Pack 3 • • • Internet Explorer 9(32ビットモード) • Internet Explorer 8(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 Mozilla Firefox 23 Windows Embedded Standard 2009 • • Internet Explorer 8(32ビットモード) Citrix Receiver for Windows 4.0またはCitrix Receiver for Windows 3.4 • • • Windows 8(32ビット版および64ビット版) • Internet Explorer 10(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 Mozilla Firefox 23 Windows 7 Service Pack 1(32ビット版および64ビット版) • • • Internet Explorer 10(32ビットモード) • Internet Explorer 9(32ビットモード) • Internet Explorer 8(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 Mozilla Firefox 23 Windows Embedded Standard 7 Service Pack 1またはWindows Thin PC • • 21 ユーザーデバイスの要件 • • Internet Explorer 10(32ビットモード) • Internet Explorer 9(32ビットモード) • Internet Explorer 8(32ビットモード) Windows Vista Service Pack 2(32ビット版および64ビット版)、Windows XP Professional x64 Edition Service Pack 2、またはWindows XP Professional Service Pack 3 • Internet Explorer 9(32ビットモード) • Internet Explorer 8(32ビットモード) • Google Chrome 30 • Google Chrome 29 • Mozilla Firefox 24 Mozilla Firefox 23 Windows Embedded Standard 2009 • • Internet Explorer 8(32ビットモード) Citrix Receiver for Mac 11.8またはCitrix Receiver for Mac 11.7 • • • Mac OS X 10.8 Mountain Lion • Safari 6 • Google Chrome 30 Mozilla Firefox 24 Mac OS X 10.7 Lion • • • Safari 5.1 • Google Chrome 30 Mozilla Firefox 24 Mac OS X 10.6 Snow Leopard • • • Safari 5.0 • Google Chrome 30 Mozilla Firefox 24 Citrix Receiver for Linux 12.1 • • 22 • Google Chrome 30 • Mozilla Firefox 24 ユーザーデバイスの要件 Receiver for HTML5を使用してデスクトッ プやアプリケーションにアクセスするための要 件 Receiver for Webサイトで実行されるReceiver for HTML5を使用してデスクトップおよび アプリケーションにアクセスする場合、次のオペレーティングシステムとWebブラウザーが 推奨されます。 内部ネットワーク接続、および外部ネットワークからNetScaler Gateway経 由での接続の両方がサポートされています。 ただし、内部ネットワークからの接続の場合、 Receiver for HTML5では特定の製品で提供されるリソースにのみアクセスできます。 さら に、社内ネットワークの外から接続できるようにするには、特定のバージョンのNetScaler Gatewayが必要です。 詳しくは、「インフラストラクチャの要件」を参照してください。 • • 23 Webブラウザー • Internet Explorer 11(HTTP接続のみ) • Internet Explorer 10(HTTP接続のみ) • Safari 6 • Google Chrome 30 • Mozilla Firefox 24 オペレーティングシステム • Windows RT • Windows 8.1(32ビット版および64ビット版) • Windows 8(32ビット版および64ビット版) • Windows 7 Service Pack 1(32ビット版および64ビット版) • Windows Vista Service Pack 2(32ビット版および64ビット版) • Windows XP Professional x64 Edition Service Pack 2 • Windows XP Professional Service Pack 3 • Mac OS X 10.8 Mountain Lion • Mac OS X 10.7 Lion • Mac OS X 10.6 Snow Leopard • Google Chrome OS 30 • Ubuntu 12.04(32ビット版) ユーザーデバイスの要件 デスクトップアプライアンスサイトからストア にアクセスするための要件 内部ネットワークからデスクトップアプライアンスサイトにアクセスする場合、次のCitrix Receiver、オペレーティングシステム、およびWebブラウザーの組み合わせが推奨されます。 NetScaler Gateway経由での接続はサポートされません。 • Citrix Receiver for Windows 4.1 • Windows 8.1(32ビット版および64ビット版) • Internet Explorer 11(32ビットモード) Windows 8(32ビット版および64ビット版) • Internet Explorer 10(32ビットモード) Windows 7 Service Pack 1(32ビット版および64ビット版)、Windows Embedded Standard 7 Service Pack 1、またはWindows Thin PC • • • Internet Explorer 9(32ビットモード) Internet Explorer 8(32ビットモード) Windows XP Professional x64 Edition Service Pack 2またはWindows XP Professional Service Pack 3 • • Internet Explorer 8(32ビットモード) Citrix Receiver for Windows 4.0またはCitrix Receiver for Windows 3.4 • • • Windows 8(32ビット版および64ビット版) • Internet Explorer 10(32ビットモード) Windows 7 Service Pack 1(32ビット版および64ビット版)、Windows Embedded Standard 7 Service Pack 1、またはWindows Thin PC • • Internet Explorer 9(32ビットモード) Internet Explorer 8(32ビットモード) Windows XP Professional x64 Edition Service Pack 2またはWindows XP Professional Service Pack 3 • • Internet Explorer 8(32ビットモード) Citrix Receiver for Windows Enterprise 3.4 • • • Windows 7 Service Pack 1(32ビット版および64ビット版)、Windows Embedded Standard 7 Service Pack 1、またはWindows Thin PC • Internet Explorer 9(32ビットモード) Internet Explorer 8(32ビットモード) Windows XP Professional x64 Edition Service Pack 2またはWindows XP Professional Service Pack 3 • • Internet Explorer 8(32ビットモード) Citrix Receiver for Linux 12.1 • • 24 ユーザーデバイスの要件 • Ubuntu 12.04(32ビット版) • Mozilla Firefox 24 XenApp ServicesサイトのURLからストアに アクセスするための要件 前述したすべてのバージョンのCitrix Receiverを使用して、XenApp ServicesサイトのURL 経由でStoreFrontストアにアクセスできます(この場合、一部の機能が制限されます)。 さ らに、ほかのアクセス方法をサポートしない以下の古いバージョンのクライアントソフトウェ アでも、XenApp ServicesサイトのURL経由でStoreFrontストアにアクセスできます NetScaler Gateway経由の接続(サポートされる場合)は、NetScaler Gateway Plug-inを 使用しても使用しなくても(クライアントレスアクセス)実行できます。 25 • Online Plug-in for Windows 12.3 • Online Plug-in for Macintosh 11.2 • Citrix Receiver for Linux 12.0(内部ネットワーク接続のみ) スマートカードの要件 更新日: 2013-10-22 Citrixでは、U.S. Government Common Access Card(CAC)、U.S. National Institute of Standards and Technology Personal Identity Verification(NIST PIV)カード、およ びUSBスマートカードトークンとの互換性をテストしています。 USB Chip/Smart Card Interface Devices(CCID)仕様に準拠し、German Zentraler Kreditausschuss(ZKA) によりClass 1スマートカードリーダーとして分類される接触型カードリーダーを使用できま す。 ZKA Class 1接触型カードリーダーを使用するには、ユーザーがリーダーにスマートカー ドを挿入する必要があります。 Class 2リーダー(PINを入力するためのテンキー付属)を含 むそのほかの種類のスマートカードリーダー、非接触型リーダー、およびTrusted Platform Module(TPM)チップに基づく仮想スマートカードはサポートされません。 Receiver for Windowsのスマートカードのサポートは、MicrosoftのPC/SC(Personal Computer/Smart Card)標準仕様に基づいています。 最小要件として、スマートカードお よびスマートカードリーダーがオペレーティングシステムでサポートされており、「 Windowsハードウェア認定」を取得している必要があります。 以下のスマートカードとミドルウェアでの動作確認が行われています。 ただし、そのほかの スマートカードおよびミドルウェアも使用できます。 Citrix互換のスマートカードとミドル ウェアについて詳しくは、http://www.citrix.com/ready/jaを参照してください。 ミドルウェアの実装 スマートカード HID Global ActivClient 7.0(GSC-ISモー ドおよびNIST PIVモード) CAC HID Global ActivClient 6.2 CACエディショ CAC ン(GSC-ISモード) NIST PIV Gemalto Minidriver 8.3 for .NET Smart Card Gemalto IDPrime .NET 510 SafeNet Authentication Client 8.0 for Windows SafeNet eToken 5100 GSC-IS – (U.S.) Government Smart Card Interoperability Specifications Citrix Receiverの要件 Citrix Desktop Lockを実行している再目的化されたPCやデスクトップアプライアンスのユー ザーがスマートカードを使用して認証できるようにするには、Citrix Receiver for Windows Enterprise 3.4を使用する必要があります。 そのほかのWindowsデバイスのユー ザーは、Citrix Receiver for Windows 4.1を使用できます。 26 スマートカードの要件 NetScaler Gatewayを介した認証の要件 公共のネットワーク上のユーザーがスマートカードでStoreFrontにアクセスできるようにす る場合、以下のバージョンのNetScaler Gatewayを使用できます。 • • • 27 NetScaler Gateway 10.1 Access Gateway 10 Build 69.4(バージョン番号は構成ユーティリティの上部に表示さ れます) Access Gateway 9.3, Enterprise Edition StoreFrontの展開計画 更新日: 2013-10-10 StoreFrontでは、Microsoftインターネットインフォメーションサービス(IIS)上で動作す るMicrosoft .NETテクノロジーを使用して、リソースを集約してユーザーに配信するエンター プライズアプリケーションストアを提供します。 XenDesktop、XenApp、XenMobile App Controller、およびVDI-in-a-Box展開環境にStoreFrontを統合して、ユーザーにデスクトッ プやアプリケーションに対する単一のセルフサービスアクセスポイントを提供できます。 StoreFrontは、次のコアコンポーネントにより構成されています。 • • • 認証サービスにより、ユーザーがMicrosoft Active Directoryで認証され、ユーザーが再 ログオンすることなくデスクトップやアプリケーションにアクセスできるようになりま す。 詳しくは、「ユーザー認証」を参照してください。 ストアには、XenDesktop、XenApp、App Controller、およびVDI-in-a-Boxで配信さ れるデスクトップやアプリケーションが列挙および集約されます。 ユーザーは、Citrix Receiver、Receiver for Webサイト、デスクトップアプライアンスサイト、XenApp ServicesサイトのURL経由でストアにアクセスします。 詳しくは、「ユーザーアクセス のオプション」を参照してください。 サブスクリプションストアサービスにより、ユーザーのアプリケーションサブスクリプ ションの詳細が記録され、ユーザーが複数のデバイスを使用しても一貫性のあるユーザー エクスペリエンスが提供されます。 ユーザーのエクスペリエンスの向上について詳しく は、「ユーザーエクスペリエンスの最適化」を参照してください。 StoreFrontでは、単一サーバーの展開環境または複数サーバーの展開環境を構成できます。 複数サーバーの環境では、処理能力だけでなく可用性も向上します。 StoreFrontのモジュラー アーキテクチャにより、構成情報やユーザーのアプリケーションサブスクリプションの詳細 がサーバーグループ内のすべてのサーバー上に格納され、同期されます。 このため、何らか の理由でいずれかのStoreFrontサーバーが停止しても、ユーザーはほかのサーバーを使用し てストアにアクセスできます。 停止したサーバーが動作を再開してサーバーグループに再接 続すると、構成およびサブスクリプションのデータが自動的に更新されます。 ハードウェア 障害などによりサーバーの交換が必要な場合でも、新しいサーバーにStoreFrontをインストー ルして既存のサーバーグループに追加するだけです。 これにより、新しいサーバーが自動的 に構成され、最新のアプリケーションサブスクリプションデータが同期されます。 次の図は、一般的なStoreFront展開環境を示しています。 28 計画 None 負荷分散 複数サーバーの展開環境の場合は、NetScalerまたはWindowsのネットワーク負荷分散など による外部の負荷分散機能が必要です。 負荷分散環境を構成してサーバー間のフェールオー バーを有効にして、耐障害性を向上できます。 NetScalerを使用した負荷分散について詳し くは、「負荷分散」を参照してください。 Windowsのネットワーク負荷分散について詳し くは、http://technet.microsoft.com/ja-jp/library/hh831698.aspxを参照してください。 何千ものユーザーが使用したり、特定の時間帯に多くのユーザーのログオンが集中するなど、 高負荷状態が発生したりする展開環境では、StoreFrontからXenDesktopサイトやXenApp ファームへの要求を負荷分散することをお勧めします。 この場合、NetScalerなど、XMLの 監視機能やセッションパーシステンス機能を持つロードバランサーを使用してください。 Active Directoryに関する注意事項 各StoreFrontサーバーは、ユーザーアカウントが属しているActive Directoryドメイン、ま たはそのドメインと信頼関係があるドメインに属している必要があります。 同一デリバリー グループで使用するすべてのStoreFrontサーバーが同じドメインに属している必要がありま す。 29 計画 ユーザー接続 実務環境では、StoreFrontとユーザーデバイスの間の通信を保護するためにHTTPSを使用す ることをお勧めします。 HTTPSを使用するには、認証サービスおよびストアをホストする IISインスタンスで、HTTPSを有効にする必要があります。 IISでHTTPSが構成されていな い場合、StoreFrontの通信にHTTPが使用されます。 IISでHTTPSが適切に構成されている 場合は、必要に応じていつでもHTTPをHTTPSに変更できます。 社内ネットワーク外からのStoreFrontへのアクセスを有効にする場合、安全な接続をリモー トユーザーに提供するにはNetScaler Gatewayが必要です。 NetScaler Gatewayを社内ネッ トワークの外にNetScaler Gatewayを配置して、ファイアウォールで公共のネットワークと 内部ネットワークの両方からそのNetScaler Gatewayを分離します。 NetScaler Gateway が、StoreFrontサーバーを含んでいるActive Directoryフォレストにアクセスできることを 確認してください。 スケーラビリティ 単一のStoreFrontサーバーでサポートされるCitrix Receiverユーザーの数は、ハードウェア の仕様とユーザーアクティビティにより異なります。 2基の2GHzクアッドコアCPUと8GBの RAMを搭載したStoreFrontサーバーでテストしたところ、ログオン、リソースの列挙、およ びサブスクライブ済みリソースへのアクセスなどの軽負荷作業の場合で1時間あたり25,000 ユーザー接続、ログオン、リソースの列挙、およびリソースのサブスクリプションおよびサ ブスクリプション解除などの重負荷作業の場合で6,000ユーザー接続がサポートされました。 最適なユーザーエクスペリエンスを提供するため、単一のストアで提供するXenDesktop、 XenApp、App Controller、およびVDI-in-a-Boxの展開環境を合計で10個以内に抑えること をお勧めします。 30 ユーザーアクセスのオプション 更新日: 2013-10-10 ユーザーは、以下の4つの方法でStoreFrontストアにアクセスできます。 • • • • Citrix Receiver - 適切なバージョンのCitrix Receiverのユーザーは、Citrix Receiverの ユーザーインターフェイスからStoreFrontストアにアクセスできます。 Citrix Receiver からストアに透過的にアクセスできるため、最も簡単であり、より多くの機能が提供さ れます。 Receiver for Webサイト - 適切なバージョンのWebブラウザーのユーザーは、 Receiver for WebサイトからStoreFrontストアにアクセスすることができます。 デフォ ルトでは、デスクトップとアプリケーションにアクセスするために、適切なバージョン のCitrix Receiverも必要です。 ただし、管理者は、Citrix Receiverをインストールでき ないユーザーがHTML5互換のWebブラウザーからデスクトップやアプリケーションに直 接アクセスできるように、Receiver for Webサイトを構成できます。 デフォルトでは、 管理者が新しいストアを作成するときにそのストアのReceiver for Webサイトが作成さ れます。 デスクトップアプライアンスサイト - ドメインに参加していないデスクトップアプライ アンスのユーザーは、全画面モードのWebブラウザーでデスクトップアプライアンスサ イトにアクセスして自分のデスクトップにアクセスします。 管理者がCitrix Studioで XenDesktop環境の新しいストアを作成すると、デフォルトでそのストアのデスクトッ プアプライアンスサイトが作成されます。 XenApp ServicesサイトのURL - ドメインに参加しているデスクトップアプライアンス のユーザー、Citrix Desktop Lockを実行している再目的化されたPCのユーザー、および アップグレードできない古いバージョンのCitrixクライアントのユーザーは、XenApp Servicesサイトからストアに接続できます。 デフォルトでは、新しいストアを作成する ときに、XenApp ServicesサイトのURLが有効になります。 この図は、ユーザーがStoreFrontストアにアクセスするためのオプションを示しています。 31 ユーザーアクセスのオプション None 32 Citrix Receiver 更新日: 2013-10-10 Citrix Receiverのユーザーインターフェイスでストアにアクセスすると、最良のユーザーエ クスペリエンスと多くの機能が提供されます。 この方法でストアにアクセスできるCitrix Receiverのバージョンについては、「StoreFront 2.1のシステム要件」を参照してください。 Citrix Receiverでは、ビーコンポイントとして内部URLおよび外部URLを使用します。 これ らのビーコンポイントにCitrix Receiverでアクセスできるかどうかにより、ユーザーがロー カルに接続されているのかパブリックネットワークに接続されているのかが識別されます。 ユーザーがデスクトップやアプリケーションにアクセスすると、そのリソースを提供するサー バーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Receiverに返します。 こ れにより、ユーザーがCitrix Receiverでデスクトップやアプリケーションにアクセスすると きに再ログオンする必要がなくなります。 詳しくは、「ビーコンポイントを構成するには」 を参照してください。 Citrix Receiverをインストールしたら、デスクトップやアプリケーションのストアに接続す るための構成を行う必要があります。 管理者は、次のいずれかの方法を使用してユーザーに よる構成操作を簡略化できます。 重要: デフォルトでは、Citrix Receiverはストアへの接続にHTTPSを必要とします。 StoreFrontがHTTPS用に構成されていない場合、Citrix ReceiverでHTTP接続が使用され るようにユーザーが構成を変更する必要があります。 実稼働環境では、StoreFrontへのす べてのユーザー接続が保護されるようにしてください。 詳しくは、「コマンドラインパラ メーターを使用したReceiver for Windowsの構成とインストール」を参照してください。 メールアドレスによるアカウント検出 Citrix Receiverをデバイスに初めてインストールするユーザーは、Citrix社のWebサイトま たは内部ネットワーク上のダウンロードページからCitrix Receiverをダウンロードして、自 分のメールアドレスを入力してアカウントをセットアップできます。 管理者は、Microsoft Active Directory DNS(Domain Name System:ドメイン名システム)サーバー上で NetScaler GatewayまたはStoreFrontに対するサービスロケーション(SRV)ロケーターリ ソースレコードを構成します。 ユーザーはストアへのアクセス情報を知っている必要はあり ません。代わりに、Citrix Receiverの初回構成時に自分のメールアドレスを入力します。 Citrix Receiverはメールアドレスで指定されたドメインのDNSサーバーにアクセスして、 SRVリソースレコードに追加されている詳細を取得します。 これにより、アクセスできるス トアの一覧がCitrix Receiverに表示されます。 詳しくは、「メールアドレスによるアカウン ト検出を構成する」を参照してください。 33 Citrix Receiver プロビジョニングファイル 管理者は、ストアへの接続情報が定義されたプロビジョニングファイルをユーザーに提供し ます。 Citrix Receiverをインストールした後で、提供されたCRファイルをユーザーが開く と、ストアのアカウントが自動的に構成されます。 Receiver for Webサイトのデフォルト では、そのサイトの単一ストア用のプロビジョニングファイルがユーザーに提供されます。 管理者は、使用する各ストアのReceiver for Webサイトからプロビジョニングファイルをダ ウンロードするようユーザーに指示します。 また、ユーザーの設定をより詳細に管理するに は、Citrix StoreFront管理コンソールで特定のストアの接続情報を定義したプロビジョニン グファイルを生成できます。 その後で、それらのファイルを適切なユーザーに配布します。 詳しくは、「ユーザー用のストアプロビジョニングファイルをエクスポートするには」を参 照してください。 セットアップURLの自動生成 Mac OSのユーザーには、Citrix Receiver for Mac Setup URL Generatorを使ってストアの 接続情報を含んでいるセットアップURLを生成し、それをユーザーに提供できます。 ユーザー がCitrix Receiverをインストールした後で、管理者から提供されたURLをクリックするとス トアのアカウントが自動的に構成されます。 管理者は、Citrix Receiver for Mac Setup URL Generatorで展開環境の詳細を入力してURLを生成し、そのURLをユーザーに配布しま す。 詳しくは、「セットアップ用のURLを作成して構成するには」を参照してください。 ユーザーによる構成 ユーザーがCitrix Receiverの構成に慣れている場合は、自分でストアのURLを入力して新し いアカウントを作成できます。 NetScaler Gateway 10.1またはAccess Gateway 10経由で StoreFrontにアクセスするリモートユーザーは、そのゲートウェイアプライアンスのURLを 入力します。 Citrix Receiverでの初回接続時に、アカウントの構成に必要な情報が取得され ます。 Access Gateway 9.3またはAccess Gateway 5.0経由で接続するユーザーは、自分 でアカウントをセットアップすることはできません。上記のいずれかの方法を使用する必要 があります。 詳しくは、Citrix Receiverのドキュメントを参照してください。 34 メールアドレスによるアカウント検出を 構成する 更新日: 2013-10-10 メールアドレスによるアカウント検出を有効にすると、デバイスにCitrix Receiverを新規イ ンストールしたユーザーが、自分のメールアドレスを入力することでアカウントを自動的に セットアップできます。 ユーザーがCitrix ReceiverをCitrix社のWebサイトまたは内部ネッ トワーク上のダウンロードページからダウンロードする場合は、ユーザーがストアへのアク セス方法を知っていなくてもCitrix Receiverをインストールして構成できます。 ただし、 Citrix ReceiverをReceiver for Webサイトなどのほかの場所からダウンロードする場合は、 メールアドレスによるアカウント検出を使用できません。また、Citrix Receiver Updaterを 使用することもできません。 独自のCitrix Receiverダウンロードページの作成について詳し くは、http://www.citrix.com/downloads/citrix-receiver/administration/citrix-receiver -download-page-template.htmlを参照してください。 Citrix Receiverの初回構成時に、ユーザーのメールアドレスまたはストアのURLを入力する ためのダイアログボックスが開きます。 ユーザーがメールアドレスを入力すると、Citrix Receiverはメールアドレスで指定されたドメインのMicrosoft Active Directory DNS( Domain Name System:ドメイン名システム)サーバーにアクセスして、ユーザーが選択 可能なストアの一覧を取得します。 Citrix Receiverでユーザーのメールアドレスからストアを検索できるようにするには、DNS サーバー上でNetScaler GatewayまたはStoreFrontに対するサービスロケーション(SRV) ロケーターリソースレコードを構成します。 また、フォールバックとして「 discoverReceiver.<domain>」という名前のサーバー上にStoreFrontを展開することもで きます。ここで、<domain>はユーザーのメールアカウントのドメインです。 指定されたド メインにSRVレコードが見つからない場合、Citrix Receiverは「discoverReceiver」という 名前のマシンを検索してStoreFrontサーバーを検出します。 メールアドレスによるアカウント検出を有効にするには、NetScaler Gatewayアプライアン スまたはStoreFrontサーバー上に有効なサーバー証明書をインストールする必要があります。 ルート証明書へのチェーンのすべてが有効である必要もあります。 ユーザーエクスペリエ ンスを向上させるには、SubjectまたはSubject Alternative Nameエントリが discoverReceiver.<domain>である証明書をインストールします(ここで<domain>はユー ザーのメールアカウントのドメインです)。 このドメインのワイルドカード証明書を使用す ることもできますが、そのような証明書の使用が社内のセキュリティポリシーで許可されて いることを確認してください。 ユーザーのメールアカウントを含んでいるドメイン用のほか の証明書を使用することもできますが、ユーザーがCitrix ReceiverでStoreFrontサーバーに 最初に接続したときに、証明書に関する警告が表示されます。 上記以外の証明書を使用して メールアドレスによるアカウント検出機能を使用することはできません。 社内ネットワークの外から接続するユーザーに対してメールアドレスによるアカウント検出 を有効にするには、NetScaler GatewayでStoreFront接続の詳細を構成する必要があります。 詳しくは、「Connecting to StoreFront by Using Email-Based Discovery」を参照して ください。 35 メールアドレスによるアカウント検出を構成する SRVレコードをDNSサーバーに追加するには 1. Windowsの[スタート]画面で[管理ツール]をクリックして、[管理ツール]フォル ダーの[DNS]をクリックします。 2. DNSマネージャーの左側のペインで、前方参照ゾーンまたは逆引き参照ゾーンのドメイ ンを選択します。 ドメインを右クリックして[その他の新しいレコード]を選択します。 3. [リソースレコードの種類]ダイアログボックスで、[サービスロケーション(SRV)] を選択して[レコードの作成]をクリックします。 4. [新しいリソースレコード]ダイアログボックスで、[サービス]ボックスにホスト値 の_citrixreceiverを入力します。 5. [プロトコル]ボックスに、値_tcpを入力します。 6. [このサービスを提供しているホスト]ボックスに、NetScaler Gatewayアプライアン ス(ローカルおよびリモートのユーザーをサポートする場合)またはStoreFrontサーバー (ローカルユーザーのみをサポートする場合)のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)とポートを「servername.domain:port」形式で入力し ます。 環境内に内部DNSサーバーと外部DNSサーバーの両方がある場合は、内部DNSサーバー 上にStoreFrontサーバーFQDNのSRVレコードを追加し、外部DNSサーバー上に NetScaler Gateway FQDNの別のSRVレコードを追加できます。 この構成により、リモー トユーザーにはNetScaler Gatewayの接続情報が提供され、ローカルユーザーには StoreFrontの接続情報が提供されます。 注: StoreFront展開環境のFQDNは一意で、NetScaler Gateway仮想サーバーの FQDNと異なるものである必要があります。 StoreFrontとNetScaler Gateway仮想サー バーに同じFQDNを使用することはサポートされていません。 Citrix Receiverでメー ルアドレスによるアカウント検出を使用するには、StoreFront FQDNが一意で、内部 ネットワークに接続しているユーザーデバイスからのみ解決可能である必要がありま す。 7. NetScaler GatewayアプライアンスにSRVレコードを構成した場合、セッションプロファ イルまたはグローバル設定でStoreFront接続の詳細をNetScaler Gatewayに追加します。 36 Receiver for Webサイト 更新日: 2013-10-30 適切なバージョンのWebブラウザーのユーザーは、Receiver for Webサイトから StoreFrontストアにアクセスすることができます。 管理者が新しいストアを作成すると、そ のストアのReceiver for Webサイトが自動的に作成されます。 Receiver for Webサイトの デフォルト構成では、デスクトップとアプリケーションにアクセスするために、ユーザーが 適切なバージョンのCitrix Receiverをインストールする必要があります。 Receiver for WebサイトでサポートされるCitrix ReceiverとWebブラウザーのバージョンについて詳しく は、「ユーザーデバイスの要件」を参照してください。 デフォルトでは、ユーザーがWindowsまたはMac OS Xが動作するコンピューターから Receiver for Webサイトにアクセスすると、Citrix Receiverがユーザーデバイスにインストー ル済みであるかどうかが判別されます。 Citrix Receiverが検出されない場合は、プラットフォ ームに適したCitrix Receiverをダウンロードしてインストールするためのページが開きます。 デフォルトのダウンロード元はCitrix社のWebサイトですが、StoreFrontサーバーにインス トールファイルをコピーして、ユーザーにこれらのローカルファイルを提供することもでき ます。 Citrix Receiverのインストールファイルをローカルに保存すると、古いバージョンの クライアントを使用しているユーザーに対して、StoreFrontサーバー上のCitrix Receiverに アップグレードするためのオプションを提供することもできます。 Receiver for Windows およびReceiver for Macの展開を構成する方法について詳しくは、「Receiver for Webサイ トの構成」を参照してください。 Receiver for HTML5 Receiver for HTML5はStoreFrontのコンポーネントであり、デフォルトでReceiver for Webサイトに統合されています。 Receiver for WebサイトのReceiver for HTML5を有効に すると、Citrix Receiverをインストールできないユーザーもリソースにアクセスできるよう になります。 Receiver for HTML5を使用すると、デスクトップやアプリケーションに HTML5互換のWebブラウザーからアクセスできます。デバイスにCitrix Receiverをインストー ルする必要はありません。 サイトのReceiver for HTML5は、デフォルトで無効になります。 Receiver for HTML5の有効化について詳しくは、「Receiver for Webサイトの構成」を参 照してください。 Receiver for HTML5でデスクトップやアプリケーションにアクセスするには、HTML5互換 のWebブラウザーでReceiver for Webサイトを開きます。 Receiver for HTML5でサポート されるオペレーティングシステムとWebブラウザーについて詳しくは、「ユーザーデバイス の要件」を参照してください。 Receiver for HTML5は、内部ネットワーク上のユーザーとNetScaler Gateway経由で接続 するリモートユーザーの両方が使用できます。 内部ネットワークからの接続の場合、 Receiver for HTML5では、Receiver for Webサイトでサポートされる一部の製品で配信さ れるデスクトップおよびアプリケーションへのアクセスのみがサポートされます。 NetScaler Gateway経由で接続する場合はより多くの製品がサポートされますが、 Receiver for HTML5を使用するためには特定のバージョンのNetScaler Gatewayが必要で す。 詳しくは、「インフラストラクチャの要件」を参照してください。 デフォルトでは、内部ネットワーク上のローカルユーザーがXenDesktopやXenAppで提供さ れるリソースにReceiver for HTML5でアクセスすることはできません。 Receiver for 37 Receiver for Webサイト HTML5でデスクトップやアプリケーションへのローカルアクセスを有効にするには、 XenDesktopおよびXenAppのサーバー側でポリシーの[ICA WebSockets接続]を有効に する必要があります。 ファイアウォールとそのほかのネットワースデバイスで、ポリシーで 指定されたReceiver for HTML5ポートへのアクセスが許可されていることを確認してくだ さ い。 詳しくは、「WebSocketのポリシー設定」を参照してください。 デフォルトでは、Receiver for HTML5は新しいブラウザータブでデスクトップやアプリケー ションを起動します。 ただし、ユーザーがReceiver for HTML5を使用してショートカット からリソースを起動した場合、既存のブラウザータブのReceiver for Webサイトが置き換わ り、そこでデスクトップまたはアプリケーションが起動します。 Receiver for Webサイト と同じタブでリソースが常に起動するようにReceiver for HTML5を構成することもできます。 詳しくは、「Receiver for HTML5のブラウザータブ使用を構成するには」を参照してくだ さい。 リソースのショートカット Receiver for WebサイトからアクセスできるデスクトップやアプリケーションのURLを生成 できます。 生成したURLを内部ネットワーク上でホストされているWebサイトに埋め込んで、 ユーザーがすばやくリソースにアクセスできるようにします。 ユーザーがリンクをクリック すると、Receiver for Webサイトにリダイレクトされます。ここで、ユーザーがReceiver for Webサイトにログオンしていない場合はログオンします。 Receiver for Webサイトでは、 リソースが自動的に起動します。 ユーザーがサブスクライブしていないアプリケーションの 場合は、自動的にサブスクライブされます。 リソースのショートカットの生成について詳し くは、「Receiver for Webサイトの構成」を参照してください。 Receiver for Webサイトからアクセスするデスクトップやアプリケーションと同様に、ショー トカットを使用する場合もユーザーがCitrix ReceiverまたはReceiver for HTML5を使用する 必要があります。 Receiver for Webサイトで使用される方法(Citrix Receiverまたは Receiver for HTML5)は、サイトの構成、Citrix Receiverをユーザーのデバイスで検出でき るかどうか、およびHTML5互換のWebブラウザーを使用しているかどうかによって異なりま す。 セキュリティ上の理由により、Internet Explorerユーザーには、ショートカット経由 でアクセスしたリソースの起動を確認するメッセージが表示される場合があります。 このメッ セージが表示されなくなるようにするには、Internet Explorerの[ローカルイントラネット] または[信頼済みサイト]のゾーンにReceiver for Webサイトを追加するようユーザーに指 示します。 ショートカット経由でReceiver for Webサイトにアクセスする場合、ワークス ペースコントロールとデスクトップの自動起動機能はどちらもデフォルトで無効になります。 アプリケーションのショートカットを生成するときは、Receiver for Webサイトで配信され ているアプリケーションの名前が重複していないことを確認してください。 ショートカット では、同じ名前を持つアプリケーションの複数のインスタンスを区別できません。 同様に、 単一のデスクトップグループの複数のデスクトップインスタンスをReceiver for Webサイト で配信する場合、インスタンスごとに異なるショートカットを作成することはできません。 ショートカットでは、コマンドラインパラメーターをアプリケーションに渡すことはできま せん。 アプリケーションのショートカットを生成するには、そのショートカットをホストする内部 WebサイトのURLをStoreFrontで一覧に追加します。 ユーザーがWebサイト上のショート カットをクリックすると、この一覧が照会され、要求が信頼されるWebサイトからのもので あるかどうか確認されます。 ただし、NetScaler Gateway経由で接続するユーザーの場合、 URLがStoreFrontに渡されないため、ショートカットをホストしているWebサイトは検証さ れません。 信頼される内部Webサイト上のショートカットにのみリモートユーザーがアクセ スできるようにするには、これらのサイトへのアクセスのみが許可されるようにNetScaler Gatewayを構成します。 詳しくは、http://support.citrix.com/article/CTX123610を参照 してください。 38 Receiver for Webサイト サイトのカスタマイズ Receiver for Webサイトでは、ユーザーインターフェイスをカスタマイズできます。 表示 される文字列、カスケーディングスタイルシート、およびJavaScriptファイルを編集できま す。 また、ログオン前やログオフ後にカスタムの画面を表示したり、言語パックを追加した りすることもできます。 Receiver for Webサイトのカスタマイズについて詳しくは、 http://support.citrix.com/article/CTX134791を参照してください。 重要な注意事項 ユーザーがReceiver for Webサイトからストアにアクセスする場合、アプリケーションの同 期機能など、Citrix Receiver内でのストアへのアクセスでサポートされる多くの機能を使用 できます。 以下の制限事項を考慮して、Receiver for Webサイトでユーザーにストアへの アクセスを提供するかどうかを決定してください。 • • • • • • • • • 39 1つのReceiver for Webサイトから複数のストアにアクセスすることはできません。 Receiver for Webサイトでは、ドメインパススルー認証やスマートカード認証はサポー トされません。 Receiver for Webサイトでは、SSL(Secure Sockets Layer)仮想プライベートネット ワーク(VPN)接続を開始できません。 VPN接続なしでNetScaler Gatewayを介してロ グオンしているユーザーは、App ControllerによりVPN接続を要求されるWebアプリケー ションにアクセスできません。 Receiver for Webサイトからストアにアクセスする場合、サブスクライブしたアプリケー ションはWindowsの[スタート]画面に追加されません。 Receiver for Webサイトを経由してアクセスするホストアプリケーションでファイルタ イプの関連付けを使用して、ローカルドキュメントを開くことはできません。 オフラインアプリケーションには、Receiver for Webサイトからアクセスできません。 Receiver for Webサイトでは、ストアに統合したCitrix Online製品はサポートされませ ん。 Receiver for WebサイトからCitrix Online製品にアクセスできるようにするには、 App Controllerで配信するか、ホストされるアプリケーションとして公開する必要があ ります。 Internet Explorerでは、HTTP接続上でのみReceiver for HTML5を使用できます。 Mozilla FirefoxでHTTPS接続のReceiver for HTML5を使用するには、Firefoxのアドレ スバーに「about:config」と入力し、[network.websocket.allowInsecureFromHTTP S]をtrueに設定します。 デスクトップアプライアンスサイト 更新日: 2013-10-10 ドメイン不参加のデスクトップアプライアンスを使用するユーザーは、デスクトップアプラ イアンスサイト経由でデスクトップにアクセスできます。 ドメイン不参加のデバイスとは、 StoreFrontサーバーを含んでいるMicrosoft Active Directoryフォレスト内のドメインに属 していないデバイスを意味します。 管理者がCitrix StudioでXenDesktop環境の新しいストアを作成すると、デフォルトでその ストアのデスクトップアプライアンスサイトが作成されます。 デスクトップアプライアンス サイトは、StoreFrontがXenDesktopの一部としてインストールおよび構成されている場合 にのみデフォルトで作成されます。 管理者は、Windows PowerShellコマンドを使用してデ スクトップアプライアンスサイトを作成することもできます。 詳しくは、「デスクトップア プライアンスサイトの構成」を参照してください。 デスクトップアプライアンスサイトでは、ローカルデスクトップにログオンするときと同じ ようなユーザーエクスペリエンスが提供されます。 デスクトップアプライアンス上のWebブ ラウザーは、全画面モードで起動して、デスクトップアプライアンスサイトのログオン画面 を表示するように構成されます。 デフォルトでは、ユーザーがデスクトップアプライアンス サイトにログオンすると、そのユーザーに提供されているデスクトップのうち(アルファベッ ト順で)最初のデスクトップが自動的に起動します。 ストアで複数のデスクトップをユーザー に提供する場合は、デスクトップアプライアンスサイトに複数のデスクトップを表示して、 ユーザーが選択できるように構成できます。 詳しくは、「デスクトップアプライアンスサイ トの構成」を参照してください。 デスクトップが起動すると全画面モードで表示され、Webブラウザーは非表示になります。 ユーザーは、デスクトップアプライアンスサイトから自動的にログアウトされます。 ユーザー がデスクトップからログオフすると、Webブラウザーが再度表示され、デスクトップアプラ イアンスサイトのログオン画面が開きます。 デスクトップが起動すると、デスクトップにア クセスできない場合にデスクトップを再起動するためのリンクを含んでいるメッセージが表 示されます。 この機能を有効にするには、管理者がデリバリーグループを構成するときにユー ザーによるデスクトップの再起動を許可する必要があります。 詳しくは、「アプリケーショ ンおよびデスクトップ配信の管理」を参照してください。 デスクトップへのアクセスを提供するには、デスクトップアプライアンス上に適切なバージョ ンのCitrix Receiverが必要です。 通常、XenDesktop互換のアプライアンスベンダーは、 Citrix Receiverを自社の製品に統合しています。 Windowsアプライアンスの場合は、 Citrix Desktop Lockもインストールして、デスクトップアプライアンスサイトのURLを指定 する必要があります。 Internet Explorerを使用する場合は、[ローカルイントラネット] または[信頼済みサイト]のゾーンにデスクトップアプライアンスサイトを追加する必要が あります。 Citrix Desktop Lockについて詳しくは、「ユーザーがローカルデスクトップに アクセスできないようにする」を参照してください。 重要な注意事項 デスクトップアプライアンスサイトは、ドメイン不参加のデスクトップアプライアンスから デスクトップにアクセスする内部ネットワーク上のローカルユーザーを対象としています。 以下の制限事項を考慮して、デスクトップアプライアンスサイトでユーザーにストアへのア クセスを提供するかどうかを決定してください。 40 デスクトップアプライアンスサイト • • 41 ドメインに参加しているデスクトップアプライアンスや再目的化されたPCを展開する場 合は、それらのアプライアンスやPCでは、ストアにデスクトップアプライアンスサイト 経由でアクセスするように構成しないでください。 代わりに、Citrix Receiverを構成す るときに、ストアのXenApp ServicesサイトのURLを指定します。 詳しくは、「 XenApp ServicesサイトのURL」を参照してください。 デスクトップアプライアンスサイトでは、社内ネットワーク外のリモートユーザーから の接続はサポートされません。 NetScaler Gatewayにログオンするユーザーは、デスク トップアプライアンスサイトにアクセスできません。 XenApp ServicesサイトのURL 更新日: 2013-10-10 アップグレードできない古いバージョンのCitrixクライアントのユーザーは、クライアントを 構成するときにストアのXenApp ServicesサイトのURLを指定することにより、ストアにア クセスできるようになります。 また、管理者は、ドメインに参加しているデスクトップアプ ライアンスのユーザー、およびCitrix Desktop Lockを実行している再目的化されたPCのユー ザーがXenApp Servicesサイト経由でストアにアクセスできるように構成することもできま す。 ドメインに参加しているデバイスとは、StoreFrontサーバーを含んでいるActive Directoryフォレスト内のドメインに属しているデバイスを意味します。 StoreFrontでは、Citrix ReceiverからXenApp Servicesサイトへの近接カードを使ったパス スルー認証がサポートされます。 Citrix Fast Connect APIを使用するCitrix Readyパートナー 製品では、Receiver for WindowsからXenApp Servicesサイトを介して効率的にストアに ログオンできます。 ユーザーは、近接カードを使ってワークステーションにログオンし、 XenDesktopおよびXenAppから提供されるデスクトップやアプリケーションに迅速に接続で きます。 詳しくは、「Receiver for Windows 4.0」を参照してください。 デフォルトでは、管理者が新しいストアを作成するときに、そのストアのXenApp Services URLが有効になります。 XenApp ServicesサイトのURLは、 http[s]://<serveraddress>/Citrix/<storename>/PNAgent/config.xmlの形式です。ここ で、<serveraddress>はStoreFront展開環境のサーバーまたは負荷分散環境の完全修飾ド メイン名で、<storename>はストアの作成時に指定した名前です。 XenApp Services URL を経由してストアにアクセスできるクライアントについては、「ユーザーデバイスの要件」 を参照してください。 重要な注意事項 XenApp ServicesサイトのURLは、Citrix Receiverにアップグレードできず、代替のアクセ ス方法を使用できないユーザーをサポートするために使用されます。 以下の制限事項を考慮 して、XenApp Servicesサイトでユーザーにストアへのアクセスを提供するかどうかを決定 してください。 • • • • 42 ストアのXenApp Services URLは変更できません。 構成ファイルconfig.xmlを編集してXenApp Services URL設定を変更することはできま せん。 XenApp Servicesサイトは、指定ユーザー認証、ドメインパススルー認証、スマートカー ドパススルー認証をサポートします。 デフォルトでは、指定ユーザー認証が有効になり ます。 各XenApp Servicesサイトに構成できる認証方法と各ストアで使用できる XenApp Servicesサイトは、それぞれ1つだけです。 複数の認証方法を有効にするには、 個別のストアを作成して、それらのXenApp Servicesサイトで異なる認証方法を有効に します。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。 XenApp Servicesサイトでのユーザー認証の構成について詳しくは、「XenApp Services URLの認証を構成するには」を参照してください。 XenApp Servicesサイトではワークスペースコントロールが有効になり、この構成を変 更したり無効にしたりすることはできません。 XenApp ServicesサイトのURL • 43 ユーザーのパスワード変更要求は、StoreFrontの認証サービスを介さず、ストアにデス クトップとアプリケーションを提供するXenDesktop、XenApp、およびVDI-in-a-Box サーバーからドメインコントローラーに直接送信されます。 ユーザー認証 更新日: 2013-10-21 StoreFrontではユーザーがストアにアクセスするときにさまざまな認証方法がサポートされ ますが、ユーザーのアクセス方法とネットワークの場所によっては一部の認証方法を使用で きない場合があります。 セキュリティ上の理由により、最初のストアの作成時には一部の認 証方法がデフォルトで無効になります。 ユーザーの認証方法の有効化および無効化について 詳しくは、「認証サービスの構成」を参照してください。 ユーザー名とパスワード ユーザーは資格情報を入力してストアにアクセスします。 最初のストアの作成時に、指定ユー ザー認証がデフォルトで有効になります。 指定ユーザー認証は、すべてのアクセス方法でサ ポートされます。 ドメインパススルー ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証され るため、ストアにアクセスするときは自動的にログオンできます。 StoreFrontのインストー ル後に最初に作成するストアでは、ドメインパススルー認証がデフォルトで無効になります。 ドメインパススルー認証は、Citrix ReceiverおよびXenApp Servicesサイトからストアに接 続するユーザーに対して有効にすることができます。 Receiver for Webサイトおよびデス クトップアプライアンスサイトでは、ドメインパススルー認証はサポートされません。 ドメ インパススルー認証を使用するには、ユーザーがReceiver for WindowsまたはOnline Plug-in for Windowsを使用する必要があります。 また、Receiver for Windowsまたは Online Plug-in for Windowsをユーザーのデバイスにインストールするときにパススルー認 証を有効にする必要があります。 スマートカード ユーザーはスマートカードとPINを使ってストアにアクセスします。 StoreFrontのインストー ル後に最初に作成するストアでは、スマートカード認証がデフォルトで無効になります。 ス マートカード認証は、Citrix Receiver、デスクトップアプライアンスサイト、および XenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。 Receiver for Webサイトでは、スマートカード認証はサポートされません。 スマートカー ドを使用するためのStoreFrontの構成について詳しくは、「StoreFrontでのスマートカード の使用」を参照してください。 44 ユーザー認証 NetScaler Gatewayからのパススルー ユーザーはNetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスす るときは自動的にログオンできます。 NetScaler Gatewayからのパススルー認証は、ストア へのリモートアクセスを最初に構成するときにデフォルトで有効になります。 ユーザーは、 Citrix ReceiverまたはReceiver for Webサイトを使用してNetScaler Gateway経由でスト アに接続できます。 デスクトップアプライアンスサイトでは、NetScaler Gatewayを経由す る接続はサポートされません。 NetScaler Gatewayを使用するためのStoreFrontの構成に ついて詳しくは、「NetScaler Gateway接続を追加するには」を参照してください。 NetScaler GatewayでStoreFrontに接続できるように構成する方法については、「 Integrating NetScaler Gateway with XenMobile App Edition」を参照してください。 StoreFrontは、次のNetScaler Gateway認証方法でのパススルーをサポートします。 • • • セキュリティトークン: ユーザーは、セキュリティトークンから生成されるトークンコー ドから得られるパスコードを使用してNetScaler Gatewayにログオンします。トークン コードと暗証番号を組み合わせてパスコードにする場合もあります。 セキュリティトー クンのみによるパススルー認証を有効にする場合は、ユーザーに提供するリソースでほ かの認証方法(Microsoft Active Directoryドメインの資格情報など)が使用されないよ うにしてください。 Domain and security token。 NetScaler Gatewayにログオンするユーザーは、ドメイ ン資格情報とセキュリティトークンパスコードの両方を入力する必要があります。 クライアント証明書: ユーザーは、NetScaler Gatewayに提示されるクライアント証明 書の属性に基づいて認証を受け、NetScaler Gatewayにログオンします。 ユーザーがス マートカードを使用してNetScaler Gatewayにログオンできるようにするには、クライ アント証明書認証を構成します。 クライアント証明書による認証は、ほかの種類の認証 と共に2要素認証でも使用できます。 StoreFrontでは、リモートユーザーがストアにアクセスするときに資格情報を再入力しなく て済むように、NetScaler Gatewayの認証サービスを使用してリモートユーザーをパススルー 認証します。 ただし、デフォルトでは、パスワードを使用してNetScaler Gatewayにログオ ンするユーザーに対してのみパススルー認証が有効になります。 スマートカードユーザーに 対してNetScaler GatewayからStoreFrontへのパススルー認証を構成するには、資格情報の 検証をNetScaler Gatewayに委任します。 詳しくは、「認証サービスの構成」を参照してく ださい。 NetScaler Gateway Plug-inを使用すると、SSL(Secure Sockets Layer)仮想プライベー トネットワーク(VPN)トンネルを介したパススルー認証でCitrix Receiver内からストアに 直接接続できます。 NetScaler Gateway Plug-inをインストールできないリモートユーザー も、パススルー認証によりCitrix Receiver内からストアに接続できます(クライアントレス アクセス)。 クライアントレスアクセスを使ってストアに接続するには、クライアントレス アクセスをサポートするバージョンのCitrix Receiverが必要です。 また、Receiver for Webサイトに対するパススルー認証によるクライアントレスアクセスを 有効にできます。 これを行うには、セキュアリモートプロキシとして動作するように NetScaler Gatewayを構成する必要があります。 ユーザーはNetScaler Gatewayに直接ロ グオンして、Receiver for Webサイトを使用して再認証なしでアプリケーションにアクセス します。 リモートプロキシとしてのNetScaler Gatewayの構成について詳しくは、「 Creating and Applying Web and File Share Links」を参照してください。 クライアントレスアクセスによりApp Controllerリソースに接続するユーザーは、外部の SaaS(Software-as-a-Service)アプリケーションにのみアクセスできます。 リモートユー ザーが内部のWebアプリケーションにアクセスするには、NetScaler Gateway Plug-inを使 45 ユーザー認証 用する必要があります。 Citrix Receiver内でストアにアクセスするリモートユーザーに対してNetScaler Gatewayで の2要素認証を有効にする場合は、NetScaler Gatewayで2つの認証ポリシーを作成する必要 があります。 プライマリの認証方法としてRADIUS(Remote Authentication Dial-In User Service)を構成し、セカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol)を構成します。 セッションプロファイルでセカンダリの認証方法が使用 されるように資格情報インデックスを変更して、LDAP資格情報がStoreFrontに渡されるよ うにします。 NetScaler GatewayアプライアンスをStoreFront構成に追加する場合は、[ ログオンの種類]を[ドメインおよびセキュリティトークン]に設定します。 詳しくは、 http://support.citrix.com/article/CTX126140を参照してください。 NetScaler GatewayからStoreFrontへの複数ドメイン認証を有効にするには、各ドメインの NetScaler Gateway LDAP認証ポリシーで[SSO Name Attribute]をuserPrincipalName に設定します。 使用されるLDAPポリシーが特定されるように、NetScaler Gatewayのログ オンページでユーザーにドメインを指定させることができます。 StoreFrontに接続できるよ うにNetScaler Gatewayセッションプロファイルを構成する場合は、シングルサインオンド メインを指定しないでください。 管理者は、各ドメイン間の信頼関係を構成する必要があり ます。 明示的に信頼されるドメインのみにアクセスを制限せず、ユーザーがどのドメインか らもStoreFrontへログオンできるようにします。 NetScaler Gateway展開環境でサポートされる場合は、SmartAccess機能を使用して、 XenDesktopおよびXenAppリソースへのユーザーアクセスをNetScaler Gatewayセッショ ンポリシーに基づいて制御できます。 SmartAccessについて詳しくは、「Configuring SmartAccess on NetScaler Gateway」を参照してください。 46 StoreFrontでのスマートカードの使用 更新日: 2013-11-11 スマートカード認証を使用すると、ユーザーのログオンプロセスを効率化して、同時にイン フラストラクチャへのユーザーアクセスのセキュリティを強化できます。 社内ネットワーク へのアクセスは、公開キーのインフラストラクチャを使用した証明書ベースの2要素認証に よって保護されます。 秘密キーは、ハードウェアで保護されるため、スマートカードの外に 漏れることはありません。 ユーザーは、スマートカードとPINを使用してさまざまなコーポ レートデバイスからデスクトップとアプリケーションにアクセスできるようになります。 スマートカードは、XenDesktopおよびXenAppで提供されるデスクトップとアプリケーショ ンのユーザー認証をStoreFront経由で行うために使用できます。 StoreFrontにスマートカー ドでログオンするユーザーは、App Controllerで提供されるアプリケーションにもアクセス できます。 ただし、クライアント証明書認証を使用するApp Controller Webアプリケーショ ンにアクセスするには、再度認証を受ける必要があります。 スマートカード認証を有効にする場合、StoreFrontサーバーが属しているMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインの いずれかにユーザーのアカウントが属している必要があります。 一方向の信頼関係または異 なる種類の信頼関係を含んでいるマルチフォレスト展開環境はサポートされません。 StoreFrontのスマートカード認証の構成は、ユーザーデバイス、インストールされているク ライアント、およびデバイスがドメインに参加しているかどうかによって異なります。 ドメ インに参加しているデバイスとは、StoreFrontサーバーを含んでいるActive Directoryフォ レスト内のドメインに属しているデバイスを意味します。 Receiver for Windowsでのスマートカード の使用 Receiver for Windowsを実行しているデバイスのユーザーは、スマートカードを使って直接 またはNetScaler Gateway経由で認証を受けることができます。 ドメイン参加デバイスとド メイン不参加デバイスの両方でスマートカード認証を使用できますが、ユーザーエクスペリ エンスがわずかに異なります。 47 StoreFrontでのスマートカードの使用 この図は、Receiver for Windowsを介したスマートカード認証を示しています。 ドメインに参加しているデバイスのローカルユーザーには、資格情報を再入力しなくて済む ように、スマートカード認証を有効にします。 ユーザーがスマートカードとPINを使ってデ バイスにログオンしたら、それ以降PINを再入力する必要はありません。 StoreFrontおよび デスクトップやアプリケーションにアクセスするときの認証は透過的に行われます。 管理者 は、Receiver for Windowsのパススルー認証を構成して、StoreFrontのドメインパススルー 認証を有効にします。 ローカルネットワーク上のドメイン不参加デバイスの場合、ユーザーは最低でも2回ログオ ン操作を行う必要があります。 ユーザーは、スマートカードとPINを使ってデバイスにログ オンし、Receiver for Windowsの認証を受けます。 さらに、ユーザーがデスクトップやア プリケーションにアクセスするときに、もう一度PINを入力します。 管理者は、StoreFront のスマートカード認証を有効にします。 ドメイン不参加デバイスのユーザーはReceiver for Windowsに直接ログオンするため、管理 者は指定ユーザー認証へのフォールバックを有効にすることができます。 管理者がスマート カード認証と指定ユーザー認証の両方を構成した場合、ユーザーは最初にスマートカードと PINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユー ザー認証を選択することができます。 ユーザーがNetScaler Gateway経由でデスクトップやアプリケーションにアクセスする場合 は、スマートカードとPINを使って最低でも2回ログオン操作を行う必要があります。 これ はドメイン参加デバイスとドメイン不参加デバイスの両方に適用されます。 ユーザーは、ス マートカードとPINを使ってデバイスにログオンし、デスクトップやアプリケーションにア クセスするときにもう一度PINを入力します。 管理者は、NetScaler Gateway認証の StoreFrontへのパススルーを有効にして、資格情報の検証をNetScaler Gatewayに委任しま す。 さらにNetScaler Gateway仮想サーバーを追加して、デスクトップやアプリケーション 48 StoreFrontでのスマートカードの使用 へのユーザー接続がそのNetScaler Gateway経由で行われるように構成します。 ドメインに 参加しているデバイスに対しては、Receiver for Windowsのパススルー認証も構成する必要 があります。 ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使って NetScaler Gatewayにログオンできます。 これにより、管理者はユーザーがNetScaler Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることがで きます。 ユーザーがStoreFrontに透過的に認証されるように、NetScaler Gatewayから StoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証を NetScaler Gatewayに委任します。 デスクトップアプライアンスサイトでのスマー トカードの使用 ドメイン不参加のWindowsデスクトップアプライアンスでは、ユーザーがスマートカードを 使用してデスクトップにログオンできるように構成できます。 アプライアンスにはCitrix Desktop Lockが必要で、デスクトップアプライアンスサイトへのアクセスにはInternet Explorerを使用する必要があります。 この図は、ドメイン不参加のデスクトップアプライアンスからのスマートカード認証を示し ています。 ユーザーがデスクトップアプライアンスにアクセスすると、Internet Explorerが全画面モー ドで起動し、デスクトップアプライアンスサイトのログオン画面が表示されます。 ユーザー は、スマートカードとPINを使ってサイトの認証を受けます。 デスクトップアプライアンス サイトでパススルー認証が構成されている場合、ユーザーはデスクトップやアプリケーショ ンにアクセスするときに自動的に認証されます。 PINの再入力は要求されません。 パススルー 認証が構成されていない場合は、デスクトップまたはアプリケーションにアクセスするとき にPINをもう一度入力する必要があります。 管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるよ うに設定できます。 これを行うには、デスクトップアプライアンスサイトにスマートカード 認証と指定ユーザー認証の両方を構成します。 この構成では、スマートカード認証がプライ マリのアクセス方法とみなされます。そのため、ユーザーはまずPINの入力を要求されます。 ただし、指定ユーザーの資格情報でログオンするためのリンクも表示されます。 49 StoreFrontでのスマートカードの使用 XenApp Servicesサイトでのスマートカード の使用 ドメイン参加のデスクトップアプライアンスとCitrix Desktop Lockを実行している再目的化 されたPCのユーザーは、スマートカードを使って認証を受けることができます。 ほかのア クセス方法とは異なり、スマートカードのパススルー認証は、XenApp Servicesサイトでス マートカード資格情報が構成されている場合には自動的に有効になります。 この図は、Citrix Desktop Lockを実行しているドメイン参加のデバイスからのスマートカー ド認証を示しています。 ユーザーは、スマートカードとPINを使ってデバイスにログオンします。 その後、Citrix Desktop Lockにより、ユーザーはXenApp Servicesサイトを介してサイレントに StoreFrontに認証されます。 デスクトップやアプリケーションにアクセスするときは自動的 に認証され、PINの再入力が要求されることはありません。 XenApp Servicesサイトでは、 スマートカード資格情報のパススルーがないスマートカード認証は使用できません。 重要な注意事項 StoreFrontでのユーザー認証にスマートカードを使用する場合は、次の要件と制限がありま す。 • • • 50 スマートカード認証で仮想プライベートネットワーク(VPN)トンネルを使用するには、 ユーザーがNetScaler Gateway Plug-inをインストールしてWebページ経由でログオン する必要があります。この場合、各手順でスマートカードとPINによる認証が必要になり ます。 スマートカードユーザーは、NetScaler Gateway Plug-inを使用したStoreFront へのパススルー認証を使用できません。 同一ユーザーデバイス上で複数のスマートカードやスマートカードリーダーを使用する ことのできますが、スマートカードでのパススルー認証を有効にする場合は、ユーザー がデスクトップやアプリケーションにアクセスするときにスマートカードが1枚のみ挿入 されていることを確認する必要があります。 アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能 など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることが あります。 これは、同時に複数のスマートカードが挿入されている場合に発生します。 スマートカードをリーダーに挿入しているにもかかわらずスマートカードの挿入を求め StoreFrontでのスマートカードの使用 るメッセージが表示された場合は、[キャンセル]をクリックする必要があります。 た だし、PINの入力が求められた場合は、PINを再入力する必要があります。 • • • • ドメイン参加デバイスを使用するReceiver for WindowsユーザーがNetScaler Gatewayを使用せずにストアにアクセスする場合、XenDesktopおよびXenAppへのス マートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザー に適用されます。 デスクトップおよびアプリケーションに対するドメインパススルー認 証とスマートカードパススルー認証の両方を有効にするには、認証方法ごとに個別のス トアを作成する必要があります。 この場合、どのストアにアクセスすべきかをユーザー に通知してください。 ドメイン参加デバイスを使用するReceiver for WindowsユーザーがNetScaler Gatewayを使用してストアにアクセスする場合、XenDesktopおよびXenAppへのスマー トカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに 適用されます。 一部のユーザーに対してのみパススルー認証を有効にする場合は、それ らのユーザー用に個別のストアを作成する必要があります。 この場合、どのストアにア クセスすべきかをユーザーに通知してください。 各XenApp Servicesサイトに構成できる認証方法と各ストアで使用できるXenApp Servicesサイトは、それぞれ1つだけです。 スマートカード認証に加えてほかの認証方 法を有効にする必要がある場合は、認証方法ごとに個別のストアを作成し、それぞれの ストアにXenApp Servicesサイトを1つずつ割り当てる必要があります。 この場合、ど のストアにアクセスすべきかをユーザーに通知してください。 StoreFrontインストール時のMicrosoftインターネットインフォメーションサービス( IIS)のデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接 続でのみクライアント証明書が要求されます。 それ以外のStoreFront URLにはクライ アント証明書は必要ありません。 この構成により、管理者は、スマートカードでの認証 に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。 適用される Windowsポリシー設定によっては、ユーザーが再認証なしにスマートカードを取り出す こともできます。 すべてのStoreFront URLへのHTTPS接続でクライアント証明書が必要になるようにIIS を構成する場合は、認証サービスとストアを同じサーバー上に配置する必要があります。 この場合、すべてのストアに有効なクライアント証明書を使用する必要があります。 こ のIISサイト構成では、スマートカードユーザーがNetScaler Gateway経由で接続できな くなり、指定ユーザー認証にもフォールバックされません。 また、スマートカードをデ バイスから取り出す場合は再度ログオンする必要があります。 51 ユーザーエクスペリエンスの最適化 更新日: 2013-10-10 StoreFrontには、ユーザーエクスペリエンスを向上させる機能があります。 これらの機能は、 新しいストアや、それに関連するReceiver for Webサイト、デスクトップアプライアンスサ イト、およびXenApp Servicesサイトの作成時にデフォルトで構成されます。 ワークスペースコントロール ワークスペースコントロール機能を有効にすると、ユーザーがセッションの途中でデバイス を切り替えても、新しいデバイス上でそのアプリケーションでの作業を継続できます。 ユー ザーは、新しいデバイスにログオンするたびにすべてのアプリケーションを再起動する必要 がなく、複数のデバイスを切り替えながら同じアプリケーションインスタンスを使用できま す。 これにより、たとえば病院で臨床医がワークステーションを切り替えて患者データにア クセスするときの時間を節約できます。 Receiver for Webサイト、およびXenApp Servicesサイト経由でストアに接続すると、ワー クスペースコントロールがデフォルトで有効になります。 ユーザーがログオンすると、実行 したままのアプリケーションに自動的に再接続されます。 たとえば、あるユーザーが Receiver for WebサイトまたはXenApp Servicesサイト経由でストアにログオンして、いく つかのアプリケーションを起動します。 その後、ユーザーが別のデバイスで同じアクセス方 法を使用して同じストアにログオンすると、実行中のアプリケーションが自動的に新しいデ バイスで使用可能になります。 ユーザーがストアで起動したすべてのアプリケーションは、 そのストアからログオフすると自動的に切断されます。ただし、シャットダウンはされませ ん。 Receiver for Webサイトの場合は、同じWebブラウザーを使用してログオン、アプリ ケーションの起動、およびログオフを行う必要があります。 XenApp Servicesサイトでは、ワークスペースコントロールの構成を変更したり無効にした りすることはできません。 Receiver for Webサイトのワークスペースコントロールの構成 について詳しくは、「ワークスペースコントロールを構成するには」を参照してください。 Receiver for Webサイトでワークスペースコントロールを使用する場合は、次の要件と制限 があります。 • • • • 52 ホストされているデスクトップやアプリケーションからReceiver for Web サイトにアク セスする場合は、ワークスペースコントロールを使用できません。 WindowsデバイスからReceiver for Webサイトにアクセスするユーザーについては、ユー ザーデバイスにCitrix Receiverがインストールされていることをサイトで検出できる場 合、およびReceiver for HTML5が使用される場合にのみ、ワークスペースコントロール が有効になります。 切断したアプリケーションに再接続するには、Internet ExplorerでReceiver for Webサ イトにアクセスするユーザーは[ローカルイントラネット]または[信頼済みサイト] のゾーンにサイトを追加する必要があります。 ただし、ワークスペースコントロールが有効になっていても、Receiver for Webサイト で使用可能なデスクトップが1つのみの場合にそのデスクトップが自動的に起動するよう に構成すると、アプリケーションは再接続されません。 ユーザーエクスペリエンスの最適化 • アプリケーションを切断するときに、起動に使用したWebブラウザーを使用する必要が あります。 別のWebブラウザーで起動したリソースや、デスクトップや[スタート]メ ニューからCitrix Receiverで起動したリソースは、Receiver for Webサイトで切断した りシャットダウンしたりできません。 コンテンツリダイレクト ユーザーが適切なアプリケーションをサブスクライブしてある場合、コンテンツリダイレク トにより、ユーザーデバイス上のローカルファイルがサブスクライブされたアプリケーショ ンで開きます。 このリダイレクトを有効にするには、XenDesktopまたはXenAppでアプリ ケーションを必要なファイルタイプと関連付けます。 コンテンツリダイレクトは、新しいス トアでデフォルトで有効になります。 詳しくは、「ファイルタイプの関連付けを無効にする には」を参照してください。 ユーザーによるパスワードの変更 管理者は、Microsoft Active Directoryドメインの資格情報でReceiver for Webサイトにロ グオンするユーザーがパスワードをいつでも変更できるように構成できます。 または、パス ワードの有効期限が切れたユーザーにのみパスワードの変更を許可することもできます。 こ れにより、ユーザーがパスワードの失効によりデスクトップやアプリケーションにアクセス できなくなることを防ぐことができます。 Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように設定してある 場合は、パスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表 示されます。 デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシー の設定によって決まります。 パスワードの有効期限切れの警告は、内部ネットワークから接 続しているユーザーにのみ表示されます。 ユーザーによるパスワードの変更を有効にする方 法について詳しくは、「認証サービスの構成」を参照してください。 デスクトップアプライアンスサイトにログオンするユーザーは、パスワードをいつでも変更 できるようになっている場合でも、有効期限の切れたパスワードしか変更できません。 デス クトップアプライアンスサイトにログオンした後では、パスワードを変更するためのオプショ ンが提供されません。 認証サービスを作成したときのデフォルトの構成では、パスワードが失効しても、Receiver for Webサイトのユーザーはパスワードを変更できません。 この機能を有効にする場合は、 サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されてい ないことを確認してください。 パスワードの有効期限に関する通知を有効にする場合は、 StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空き領域がある ことを確認してください。 StoreFrontではユーザーのパスワードの失効が近いかどうかを確 認するため、サーバー上に各ユーザーのローカルプロファイルが作成されます。 ユーザーの パスワードを変更するには、StoreFrontはドメインコントローラーと通信する必要がありま す。 ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにア クセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることにな ります。 組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみ に制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないこ とを確認してください。 53 ユーザーエクスペリエンスの最適化 Receiver for Webサイトのデスクトップビュー とアプリケーションビュー Receiver for Webサイトからデスクトップとアプリケーションの両方にアクセスできる場合、 デフォルトでデスクトップとアプリケーションが別々のビューで表示されます。 サイトにロ グオンすると、最初にデスクトップビューが表示されます。 Receiver for Webサイトでユー ザーがアクセスできるデスクトップが1つのみの場合、アクセス可能なアプリケーションが あるかどうかにかかわらず、ユーザーのログオン時にそのデスクトップが自動的に起動しま す。 管理者は、Receiver for Webサイトに表示するビューを指定したり、デスクトップが 自動的に起動するのを無効にしたりできます。 詳しくは、「ユーザーに対するリソースの表 示方式を構成するには」を参照してください。 Receiver for Webサイトのビューの動作は、配信されるリソースの種類により異なります。 たとえば、アプリケーションビューにアプリケーションが表示されるようにするには、ユー ザーがそのアプリケーションをサブスクライブする必要があります。一方、ユーザーが使用 できるすべてのデスクトップは自動でデスクトップビューに表示されます。 このため、ユー ザーはデスクトップビューからデスクトップを削除できず、デスクトップのアイコンをドラッ グアンドドロップで並び替えることはできません。 XenDesktop管理者がユーザーによるデ スクトップの再起動を許可している場合は、デスクトップビューにデスクトップを再起動す るためのコントロールが表示されます。 単一のデスクトップグループの複数のデスクトップ インスタンスがユーザーに提供される場合、Receiver for Webサイトではデスクトップ名に 数字が追加されます。 Citrix ReceiverやXenApp Servicesサイトでストアに接続するユーザーの場合、デスクトッ プおよびアプリケーションの表示と動作は使用するCitrixクライアントにより異なります。 そのほかの推奨事項 XenDesktopやXenAppでアプリケーションをユーザーに配信するときは、ストアのアプリケー ションにアクセスするユーザーのエクスペリエンスを向上させるために、次のオプションに ついて検討します。 アプリケーションの配信について詳しくは、「デリバリーグループアプ リケーションの作成」を参照してください。 • • • • 54 使用できるリソースから必要なアプリケーションを簡単に見つけられるように、アプリ ケーションをフォルダー別に整理してユーザーに提供します。 XenDesktopおよび XenAppでアプリケーションをフォルダーで管理すると、そのフォルダーがユーザーの Citrix Receiverでのアプリケーション一覧に反映されます。 フォルダーを使用すると、 アプリケーションの種類またはユーザーの役割に応じてアプリケーションをグループ化 できます。 アプリケーションを簡単に識別できるように、アプリケーションを配信するときにわか りやすい説明を入力します。この説明は、ユーザーのCitrix Receiverに表示されます。 アプリケーションを配信するときに説明として「KEYWORDS:Auto」という文字列を追 加すると、そのアプリケーションはストアのすべてのユーザーに自動的にサブスクライ ブされるようになります。 この場合、ユーザーがストアにログオンすると、そのアプリ ケーションを手動でサブスクライブしなくても自動的にプロビジョニングされます。 AppControllerで管理されるWebアプリケーションやSoftware-as-a-Service(SaaS) アプリケーションがストアのすべてのユーザーに自動的にサブスクライブされるように するには、アプリケーション設定を構成するときに[App is available in Receiver to all users automatically]チェックボックスをオンにします。 ユーザーエクスペリエンスの最適化 • ユーザーが特定のXenDesktopアプリケーションに簡単にアクセスできるようにするた めに、そのアプリケーションをユーザーのCitrix Receiverの[おすすめ]一覧に表示で きます。 これを行うには、アプリケーションの説明として「KEYWORDS:Featured」 を追加します。 注: 複数のキーワードを追加する場合は、「KEYWORDS:Auto Featured」のように スペースで区切ります。 • • 55 Receiver for Webサイトのデフォルトでは、XenDesktopおよびXenAppでホストされ る共有デスクトップがほかの仮想デスクトップと同じように表示されます。 この動作を 変更するには、デスクトップの説明として「KEYWORDS:TreatAsApp」という文字列 を追加します。 これにより、そのデスクトップはReceiver for Webサイトのデスクトッ プビューではなくアプリケーションビューに表示され、ユーザーはそのデスクトップを サブスクライブする必要があります。 また、そのデスクトップはReceiver for Webサイ トへのログオン時に自動起動せず、Desktop Viewerでアクセスできません。 Windowsユーザーに対しては、ローカルにインストールされたアプリケーションのバー ジョンと、それに相当する配信されたインスタンスの両方が使用可能な場合に、ローカ ルにインストールされたアプリケーションが優先的に使用されるように指定できます。 これを行うには、アプリケーションの説明として「KEYWORDS:prefer="<application" >」という文字列を追加します。ここで<application>は、ショートカットファイル名と して指定されたローカルアプリケーションの名前に含まれる単語、またはStart Menuフォ ルダーからローカルアプリケーションへの実行可能ファイル名を含む絶対パスです。 こ のキーワードを持つアプリケーションをユーザーがサブスクライブすると、指定された 名前またはパスがユーザーのデバイス上で検索され、アプリケーションがローカルにイ ンストールされているかどうかが判断されます。 アプリケーションが見つかった場合、 ユーザーがアプリケーションをサブスクライブしてもショートカットは作成されません。 この場合、サブスクライブしたアプリケーションをCitrix Receiverで起動すると、ロー カルにインストールされたインスタンスが代わりに実行されます。 詳しくは、「アプリ ケーション配信の構成」を参照してください。 StoreFrontの高可用性とマルチサイト構 成 更新日: 2013-10-10 StoreFrontには、ストアにリソースを提供している展開環境間の負荷分散とフェールオーバー を有効にするための機能が多数用意されています。 また、障害回復専用の展開環境を指定し て回復性を高めることもできます。 これらの機能を使用すると、StoreFrontの分散展開環境 を構成してストアの高可用性を有効にできます。 StoreFrontの高可用性とマルチサイト構成 をセットアップするには、ストアの構成ファイルを編集します。 Citrix StoreFront管理コン ソールを使って、高可用性やマルチサイト構成のセットアップや管理を行うことはできませ ん。 詳しくは、「可用性の高いマルチサイトストア構成のセットアップ」を参照してくださ い。 リソースの集約 StoreFrontのデフォルトでは、ストアにデスクトップとアプリケーションを配信するすべて の展開環境が列挙され、そのすべてのリソースが個別に扱われます。 このため、複数の展開 環境から同じリソースが同じ名前で配信されていても、リソースごとにアイコンが表示され ます。 ストアの高可用性やマルチサイト構成を有効にすると、同じデスクトップまたはアプ リケーションを配信するXenDesktop、XenApp、およびVDI-in-a-Boxの展開環境をグルー プ化して、それらのリソースを集約してユーザーに提供できます。 グループ化された展開環 境は同一である必要はありませんが、集約対象のリソースは、各サーバー上で名前とパスが 同じである必要があります。 この機能により、すべてのXenDesktop、XenApp、およびVDI-in-a-Boxの展開環境で配信 されているリソースがストアで集約され、ユーザーには1つのアイコンだけが表示されます。 App Controllerアプリケーションは集約されません。 ユーザーが集約リソースを起動する と、サーバーの可用性、そのユーザーがアクティブなセッションを確立済みかどうか、およ び管理者が指定した順番に基づいて、対象リソースから最適なインスタンスが選択されます。 StoreFrontでは、過負荷状態、または一時的に使用できない状態などで要求に応答できない サーバーが動的に監視されます。 そのサーバーとの通信が再確立されるまで、別のサーバー 上のリソースインスタンスがユーザーに提供されます。 リソースの提供サーバーでサポート されている場合は、ユーザーが追加リソースを起動したときに、既存のユーザーセッション の再利用が試行されます。 このため、ユーザーが選択した追加リソースが、そのユーザーの 既存のセッションを実行している展開環境で提供されている場合、そのセッション内で追加 リソースが起動します。 これにより、各ユーザーのセッション数が最小限に抑えられるため、 追加のデスクトップやアプリケーションの起動にかかる時間が短縮され、製品ライセンスを より効率的に使用できます。 サーバーの可用性と既存のユーザーセッションを確認した後、StoreFrontは指定された順番 に基づいて、ユーザーが接続する展開環境を決定します。 ユーザーが使用できる同等の展開 環境が複数ある場合は、管理者の構成に基づいて、一覧の最初の展開環境または任意の展開 環境が選択されます。 一覧で最初に使用可能な展開環境が選択されるように構成すると、現 在のユーザー数に対して使用中の展開環境の数を最小限に抑えることができます。 一覧から 展開環境がランダムに選択されるように構成すると、使用可能な展開環境間でユーザー接続 を均一に分散させることができます。 56 StoreFrontの高可用性とマルチサイト構成 XenDesktopおよびXenAppで配信されるリソースでは、一覧での展開環境の順序を無視して、 ユーザーが特定の展開環境のデスクトップやアプリケーションに接続されるように設定でき ます。 これにより、特定のデスクトップやアプリケーションでは専用の展開環境に優先的に ユーザーが接続されるようにして、ほかのリソースでは別の展開環境に接続されるように構 成できます。 このように構成するには、優先する展開環境のデスクトップやアプリケーショ ンの説明に「KEYWORDS:Primary」という文字列を追加し、別の展開環境のリソースに「 KEYWORDS:Secondary」という文字列を追加します。 この場合、管理者が指定した展開 環境の順序にかかわらず、ユーザーは優先される展開環境(プライマリ)に接続されます。 優先される展開環境が使用できない場合、または別の展開環境(セカンダリ)でアクティブ なセッションが確立済みの場合は、セカンダリの展開環境に接続されます。 リソースに対するユーザーのマッピング デフォルトでは、ストアにアクセスしているユーザーには、そのストア用に構成されている すべての展開環境から使用可能なすべてのリソースが集約されて表示されます。 ユーザーご とに異なるリソースを提供するには、ストアやStoreFront展開環境を個別に構成できます。 マルチサイト構成による高可用性をセットアップすると、Microsoft Active Directoryグルー プのユーザーメンバーシップに基づいて、特定の展開環境へのアクセスを提供することがで きます。 これにより、単一のストアで、ユーザーグループごとに異なるエクスペリエンスを 構成できます。 たとえば、すべてのユーザーに共通するリソースを1つの展開環境でグループ化し、別の展 開環境では経理(Accounts)部門用に財務アプリケーションをグループ化します。 このよ うな構成では、Accountsユーザーグループに属していないユーザーは、このストアにアクセ スしても共通リソースしか表示されません。 Accountsユーザーグループのメンバーには、 共通リソースと財務アプリケーションの両方が表示されます。 別の例として、より高速で強力なハードウェアを使用するパワーユーザー用の展開環境を作 成して、ほかの展開環境と同じリソースを提供します。 これにより、エグゼクティブチーム など、ビジネスクリティカルなユーザーのエクスペリエンスを向上させることができます。 このストアにアクセスすると、すべてのユーザーに同じデスクトップやアプリケーションが 表示されますが、Executivesユーザーグループのメンバーは、パワーユーザー用の展開環境 のリソースに優先的に接続されます。 サブスクリプションの同期 異なるStoreFront展開環境内の類似のストアから同じアプリケーションにユーザーがアクセ スできるようにした場合、ユーザーのアプリケーションサブスクリプションをサーバーグルー プ間で同期する必要があります。 サブスクリプションを同期しない場合、あるStoreFront展 開環境のストアでアプリケーションをサブスクライブしたユーザーが別のストアにログオン したときに、それらのアプリケーションをサブスクライブし直す必要があります。 異なる StoreFront展開環境間を移動するユーザーにシームレスなエクスペリエンスを提供するため、 異なるサーバーグループのストア間でユーザーのアプリケーションサブスクリプションが定 期的に同期されるように構成できます。 特定の間隔で同期したり、1日の特定の時刻に同期 したりできます。 57 StoreFrontの高可用性とマルチサイト構成 専用の障害回復リソース 管理者は、障害回復専用の展開環境を構成できます。この展開環境は、ほかのすべての展開 環境が使用できない場合にのみ使用されます。 通常、障害回復用の展開環境はメインの展開 環境とは異なる場所に配置し、メインの展開環境のリソースのサブセットだけを提供します。 また、障害回復用の展開環境では必要以上に高いユーザーエクスペリエンスを提供しません。 展開環境を障害回復用に使用することを指定した場合、その展開環境を負荷分散やフェール オーバーの対象から除外します。 ほかのすべての展開環境が使用できなくならない限り、ユー ザーは障害回復用の展開環境で提供されるデスクトップやアプリケーションにアクセスでき ません。 メインの展開環境での障害が解決した後では、ユーザーが障害回復用の展開環境のリソース を既に実行している場合でも、追加のリソースはメインの展開環境で起動します。 この場合、 障害回復用の展開環境で実行しているリソースから切断されることはありません。 ただし、 ユーザーがそのリソースを終了した後では、そのリソースを再度起動することはできなくな ります。 同様に、メインの展開環境での障害が解決した後では、障害回復用の展開環境の既 存のセッションが再利用されることはありません。 最適なNetScaler Gatewayルーティング 同一ストアの複数の展開環境で個別のNetScaler Gatewayアプライアンスを構成している場 合は、ユーザーが各展開環境にアクセスするための最適なアプライアンスを定義できます。 たとえば、それぞれがNetScaler Gatewayアプライアンスを持つ、地理的に異なる2つの場 所からリソースを集約するストアを作成する場合、一方の場所のNetScaler Gatewayを経由 して接続しているユーザーは、もう一方の場所のデスクトップやアプリケーションを起動で きます。 ただし、デフォルトでは、ユーザーが最初に接続したアプライアンス経由でリソー スが配信されるため、コーポレートWANを通過する必要があります。 ユーザーエクスペリエンスを向上させ、WANを経由するトラフィックを削減するため、展開 環境ごとに「最適なNetScaler Gatewayアプライアンス」を指定できます。 これにより、ユー ザーがストアにアクセスするときに経由したアプライアンスにかかわらず、リソースを提供 する展開環境のローカルのアプライアンスにユーザー接続が自動的にルーティングされます。 内部ネットワーク上のローカルユーザーをNetScaler Gatewayにログオンさせてエンドポイ ント解析を行う場合でも、最適なNetScaler Gatewayアプライアンス機能を使用できます。 この構成では、ユーザーはNetScaler Gatewayアプライアンスを経由してストアに接続しま すが、ユーザーが内部ネットワーク上にいるため、リソースへの接続はNetScaler Gateway 経由である必要はありません。 この場合、最適なNetScaler Gatewayアプライアンスは有効 にしますが、展開環境用のアプライアンスは指定しません。このため、デスクトップとアプ リケーションへのユーザー接続はNetScaler Gateway経由ではなく、直接ルーティングされ ます。 また、NetScaler Gatewayアプライアンスに特定の内部仮想サーバーIPアドレスを構 成する必要がある点に注意してください。 さらに、ローカルユーザーがアクセスできない内 部ビーコンポイントを指定して、Citrix Receiverがネットワーク上の場所にかかわらず NetScaler Gateway経由でストアにアクセスするようにします。 58 StoreFrontの高可用性とマルチサイト構成 NetScaler Gatewayの広域サーバー負荷分散 StoreFrontでは、単一のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を 持つ複数のアプライアンスで構成される、広域サーバー負荷分散用のNetScaler Gateway展 開環境がサポートされます。 StoreFrontでユーザーを認証して適切なアプライアンスにユー ザー接続をルーティングするためには、負荷分散構成の各アプライアンスを識別できる必要 があります。 アプライアンスのFQDNは広域サーバー負荷分散構成で一意の識別子として使 用できないため、アプライアンスごとに一意のIPアドレスを使ってStoreFrontを構成する必 要があります。 通常、これはNetScaler Gateway仮想サーバーのIPアドレスになります。 重要な注意事項 可用性の高いマルチサイトストアを構成するかどうかを決定する場合は、以下の要件と制限 について考慮してください。 • • • • • • 59 デスクトップとアプリケーションは、集約対象の各サーバー上で名前とパスが同じであ る必要があります。 さらに、それらのリソースのプロパティ(名前やアイコンなど)も 同じであることが必要です。 プロパティが異なる場合、Citrix Receiverが使用可能なリ ソースを列挙するときに、リソースプロパティの変更が発生することがあります。 割り当て済みのデスクトップ(事前割り当ておよび初回使用時割り当てのデスクトップ) は集約しないでください。 このようなデスクトップのデリバリーグループに、集約対象 のものと同じ名前およびパスが設定されていないことを確認してください。 App Controllerアプリケーションは集約されません。 同等の展開環境グループ(アグリゲーショングループ)内のプライマリの展開環境は同 一である必要があります。StoreFrontは、そのグループ内で使用可能な最初のプライマ リ展開環境のリソースだけを列挙して表示します。これは、各展開環境が同じリソース を提供していることを前提としているためです。 提供するリソースがわずかでも異なる 展開環境に対しては、個別のアグリゲーショングループを構成します。 異なるStoreFront展開環境のストア間で、ユーザーのアプリケーションサブスクリプショ ンを同期する場合は、各サーバーグループのストアに同じ名前を付ける必要があります。 さらに、両方のサーバーグループは、ユーザーアカウントが属しているActive Directoryドメイン、またはそのドメインと信頼関係があるドメインのいずれかに属して いる必要があります。 同等展開環境グループ内のすべてのプライマリサイトが使用できない場合のみ、障害回 復用のバックアップ展開環境へのアクセスが提供されます。 複数の同等展開環境グルー プ間でバックアップ展開環境を共有する場合、各グループのすべてのプライマリサイト が使用できなくなったときにのみ障害回復リソースにアクセスできるようになります。 StoreFrontをインストールしてセットアッ プするには 更新日: 2013-10-21 StoreFrontをインストールして構成するには、次の手順に従います。 1. StoreFrontでXenDesktop、XenApp、またはVDI-in-a-Boxのリソースをユーザーに配 信する場合は、ユーザーアカウントが属しているMicrosoft Active Directoryドメイン、 またはそのドメインと信頼関係があるドメインのいずれかにStoreFrontサーバーが属し ていることを確認してください。 注: StoreFrontをドメインコントローラー上にインストールすることはできません。 2. 複数サーバーのStoreFront展開環境を構成する計画の場合は、必要に応じてStoreFront サーバーの負荷分散環境をセットアップします。 NetScalerを使用して負荷分散を行うには、StoreFrontサーバーのプロキシとなる仮想 サーバーを定義します。 NetScalerを使用した負荷分散の構成について詳しくは、「 NetScalerアプライアンスにおけるトラフィックの負荷分散」を参照してください。 a. NetScalerアプライアンスで負荷分散機能が有効になっていることを確認します。 b. 必要に応じて、各StoreFrontサーバーについて個別のHTTPまたはSSL負荷分散サー ビス(StoreFrontモニター)を作成します。 詳しくは、「Monitoring Citrix StoreFront Stores」を参照してください。 c. StoreFrontに転送されるHTTP要求のX-Forwarded-Forヘッダーに、クライアント のIPアドレスが挿入されるようにサービスを構成して、グローバルポリシーの設定を 上書きします。 StoreFrontでは、ユーザーのリソースへの接続を確立するときに、そのユーザーの IPアドレスが必要です。 詳しくは、「Inserting the IP Address of the Client in the Request Header」を参照してください。 d. 仮想サーバーを作成し、これらのサービスを仮想サーバーにバインドします。 e. 作成した仮想サーバー上で、発信元IPアドレスに基づいたパーシステンスを構成しま す。 パーシステンス設定により、最初のユーザー接続だけが負荷分散の対象になり、同じ ユーザーのそれ以降の要求は同じStoreFrontサーバーに割り当てられるようになり ます。 詳しくは、「Persistence Based on Source IP Address」を参照してくださ い。 3. 必要に応じて、StoreFrontサーバーで以下の役割と依存関係を有効にします。 • 60 [Webサーバー(IIS)]>[Webサーバー]>[HTTP共通機能]>[既定のドキュ メント]、[HTTPエラー]、[静的コンテンツ]、[HTTPリダイレクト] インストールとセットアップ • • • [Webサーバー(IIS)]>[Webサーバー]>[健全性と診断]>[HTTPログ] [Webサーバー(IIS)]>[Webサーバー]>[セキュリティ]>[要求のフィル タリング]、[Windows認証] Windows Server 2012サーバーの場合: [Webサーバー(IIS)]>[Webサーバー]>[アプリケーション開発]>[.NET 拡張機能4.5]、[アプリケーションの初期化]、[ASP.NET 4.5]、[ISAPI拡張 機能]、[ISAPIフィルター] Windows Server 2008 R2サーバーの場合: [Webサーバー(IIS)]>[Webサーバー]>[アプリケーション開発]>[.NET 拡張機能]、[アプリケーションの初期化]、[ASP.NET]、[ISAPI拡張機能]、 [ISAPIフィルター] • [Webサーバー(IIS)]>[管理ツール]>[IIS管理コンソール]、[IIS管理ス クリプトおよびツール] Windows Server 2012サーバーでは、必要に応じて以下の機能を有効にします。 • [.NET Framework 3.5の機能]>[.NET Framework 3.5] [.NET Framework 4.5の機能]>[.NET Framework 4.5]、[ASP.NET 4.5] Windows Server 2008 R2サーバーでは、必要に応じて以下の機能を有効にします。 • [.NET Framework 3.5.1の機能]>[.NET Framework 3.5.1] StoreFrontのインストーラーにより、上記のサーバーの役割と機能がすべて有効になっ ているかどうかが確認され、必要なものは自動的にインストールされます。 • 4. StoreFrontをインストールします。 5. StoreFrontとユーザーデバイス間の通信をHTTPSで保護する場合は、Microsoft IIS(イ ンターネットインフォメーションサービス)でHTTPSを構成します。 スマートカード認証を使用する場合はHTTPSが必要です。 デフォルトでは、Citrix Receiverはストアへの接続にHTTPSを必要とします。 IISでHTTPSが適切に構成されて いる場合は、StoreFrontのインストール後に必要に応じていつでもHTTPをHTTPSに変 更できます。 IISでHTTPSを構成するには、StoreFrontサーバー上でインターネットインフォメーショ ンサービス(IIS)マネージャーコンソールを使用して、ドメイン証明機関により署名さ れたサーバー証明書を作成します。 次に、HTTPSバインドをデフォルトのWebサイトに 追加します。 IISでのサーバー証明書の作成について詳しくは、 http://technet.microsoft.com/ja-jp/library/hh831637.aspx#CreateCertificateを参 照してください。 IISサイトへのHTTPSバインドの追加について詳しくは、 http://technet.microsoft.com/ja-jp/library/hh831632.aspx#SSLBindingを参照して ください。 6. ファイアウォールやほかのネットワークデバイスで、社内ネットワーク内外からのTCP ポート80または443へのアクセスが許可されることを確認します。 また、内部ネットワー ク上のファイアウォールやほかのネットワークデバイスで、すべての未割り当てTCPポー トへのトラフィックがブロックされないことを確認します。 61 インストールとセットアップ StoreFrontのインストール時にWindowsファイアウォールで構成される規則により、す べての未割り当てTCPポートからランダムに選択されるポートを介したStoreFrontの実 行可能ファイルへのアクセスが有効になります。 このポートは、サーバーグループ内の StoreFrontサーバー間の通信で使用されます。 7. Citrix StoreFront管理コンソールを使用して、サーバーを構成します。 62 StoreFrontをインストールするには 更新日: 2015-02-12 1. ローカルの管理者権限を持つアカウントでStoreFrontサーバーにログオンします。 2. インストールメディアの内容を参照するかパッケージをダウンロードして、 CitrixStoreFront-x64.exeを管理者として実行します。 注: Windows Server 2008 R2サーバーでは、.NET 3.5.1機能が有効になることを 確認するメッセージが表示される場合があります。 このメッセージが表示された場合 は、[はい]をクリックします。 3. ライセンス契約書を読み、同意することを選択して、[次へ]をクリックします。 4. [必須条件の確認]ページが開いた場合は、[次へ]をクリックします。 5. [インストールの開始]ページで、インストール対象の必須ツールおよびStoreFrontコ ンポーネントを確認して、[インストール]をクリックします。 コンポーネントがインストールされる前に、サーバー上の以下の役割が必要に応じて自 動的に有効になります。 • • • • [Webサーバー(IIS)]>[Webサーバー]>[HTTP共通機能]>[既定のドキュ メント]、[HTTPエラー]、[静的コンテンツ]、[HTTPリダイレクト] [Webサーバー(IIS)]>[Webサーバー]>[健全性と診断]>[HTTPログ] [Webサーバー(IIS)]>[Webサーバー]>[セキュリティ]>[要求のフィル タリング]、[Windows認証] Windows Server 2012および2012 R2サーバーの場合: [Webサーバー(IIS)]>[Webサーバー]>[アプリケーション開発]>[.NET 拡張機能4.5]、[アプリケーションの初期化]、[ASP.NET 4.5]、[ISAPI拡張 機能]、[ISAPIフィルター] Windows Server 2008 R2サーバーの場合: [Webサーバー(IIS)]>[Webサーバー]>[アプリケーション開発]>[.NET 拡張機能4.5.1]、[アプリケーションの初期化]、[ASP.NET 4.5.1]、[ISAPI 拡張機能]、[ISAPIフィルター] [Webサーバー(IIS)]>[管理ツール]>[IIS管理コンソール]、[IIS管理ス クリプトおよびツール] Windows Server 2012およびWindows Server 2012 R2の場合は、以下の機能が必要 に応じて自動的に有効になります。 • • [.NET Framework 4.5の機能]>[.NET Framework 4.5]、[ASP.NET 4.5] Windows Server 2008 R2の場合は、以下の機能が必要に応じて自動的に有効になりま す。 63 StoreFrontをインストールするには • [.NET Framework 3.5.1の機能]>[.NET Framework 3.5.1] 6. インストールが完了したら、[完了]をクリックします。 Citrix StoreFront管理コンソールが自動的に開始され、サーバーを構成することができ ます。 64 コマンドプロンプトからStoreFrontをイ ンストールするには 更新日: 2013-10-10 1. ローカルの管理者権限を持つアカウントでStoreFrontサーバーにログオンします。 2. インストールメディアの内容を参照するかパッケージをダウンロードして、 CitrixStoreFront-x64.exeをサーバー上の任意のフォルダーに一時的にコピーします。 3. コマンドプロンプトでインストールファイルを含んでいるフォルダーに移動して、次の コマンドを入力します。 CitrixStoreFront-x64.exe [-silent] [-INSTALLDIR installationlocation] [-WINDOWS_CLIENT filelocation\filename.exe] [-MAC_CLIENT filelocation\filename.dmg] StoreFrontおよびすべての必須コンポーネントをサイレントインストールするには、 -silent引数を使用します。 StoreFrontは、デフォルトでC:\Program Files\Citrix\Receiver StoreFront\にインストールされます。 ただし、-INSTALLDIR 引数を使って、別のインストール先フォルダー(installationlocation)を指定すること もできます。 デフォルトでは、ユーザーがWindowsまたはMac OS Xが動作するコンピューターから Receiver for Webサイトにアクセスすると、Citrix Receiverがユーザーデバイスにイン ストール済みであるかどうかが判別され、インストールされていない場合はプラットフォ ームに適したCitrix ReceiverをCitrix社のWebサイトからダウンロードしてインストール するためのメッセージが表示されます。 この動作を変更して、Citrix Receiverのインス トールファイルをStoreFrontサーバーからダウンロードできるように構成することもで きます。 詳しくは、「Citrix Receiverインストールファイルをサーバーから入手できる ようにするには」を参照してください。 Citrix ReceiverのインストールファイルをStoreFrontサーバーからダウンロードできる ように構成する場合は、-WINDOWS_CLIENTと-MAC_CLIENT引数を指定して、 Receiver for WindowsとReceiver for MacのインストールファイルをStoreFront展開 環境の適切な場所にコピーしておきます。 ここでfilelocationはコピー対象のインストー ルファイルが格納されているフォルダーを示し、filenameはCitrix Receiverのインストー ルファイルの名前を示します。 Receiver for WindowsとReceiver for Macのインストー ルファイルは、StoreFrontのインストールメディアまたはダウンロードパッケージに収 録されています。 65 StoreFrontの構成 更新日: 2013-10-10 Citrix StoreFront管理コンソールの初回起動時に、2つのオプションが表示されます。 • • 66 新しい展開環境の作成: 新しいStoreFront展開環境の最初のサーバーを構成します。 StoreFrontを評価したり、小規模な展開環境を作成したりするには、単一サーバー環境 が理想的です。 最初のStoreFrontサーバーを構成した後では、いつでもサーバーをグルー プに追加して展開環境の許容能力を拡張できます。 既存のサーバーグループへの参加: 既存のStoreFront展開環境に別のサーバーを追加し ます。 StoreFront展開環境の許容能力をすばやく拡張するには、このオプションを選択 します。 複数サーバーの展開環境には、外部の負荷分散機能が必要です。 新しいサーバー を追加する管理者には、展開環境内の既存のサーバーに対するアクセス権が必要です。 新しい展開環境を作成するには 更新日: 2013-10-10 1. 新しいサーバー上でCitrix StoreFront管理コンソールを開きます。これを行うには、 Windowsの[スタート]画面または[アプリ]画面で[Citrix StoreFront]タイルをク リックします。 2. Citrix StoreFront管理コンソールの結果ペインで、[新しい展開環境の作成]をクリッ クします。 3. [ベースURL]ボックスで、StoreFrontサーバーまたは負荷分散環境(複数サーバーの 展開環境の場合)のURLを指定します。 負荷分散環境をセットアップしていない場合は、サーバーのURLを入力します。 展開環 境のベースURLはいつでも変更できます。 詳しくは、「サーバーグループの構成」を参 照してください。 4. [次へ]を選択して、認証サービスをセットアップします。このサービスは、ユーザー をMicrosoft Active Directoryで認証します。 StoreFrontとユーザーデバイス間の通信をHTTPSで保護するには、Microsoftインター ネットインフォメーションサービス(IIS)でHTTPSを構成する必要があります。 IISで HTTPSが構成されていない場合、StoreFrontの通信にHTTPが使用されます。 デフォルトでは、Citrix Receiverはストアへの接続にHTTPSを必要とします。 StoreFrontがHTTPS用に構成されていない場合、Citrix ReceiverでHTTP接続が使用さ れるようにユーザーが構成を変更する必要があります。 スマートカード認証を使用する 場合はHTTPSが必要です。 IISでHTTPSが適切に構成されている場合は、StoreFrontの 構成後に必要に応じていつでもHTTPをHTTPSに変更できます。 詳しくは、「サーバー グループの構成」を参照してください。 5. [ストア名]ページで、ストアの名前を指定して、[次へ]をクリックします。 StoreFrontストアでは、ユーザーに提供するデスクトップとアプリケーションが集約さ れます。 ストアの名前はCitrix Receiverでユーザーアカウントの下に表示されるため、 ユーザーにとってわかりやすい名前を指定してください。 6. [Delivery Controller]ページでは、リソースを提供するインフラストラクチャを一覧 に追加します。 ストアにデスクトップとアプリケーションを追加するには、以下の適切 な手順に従います。 XenDesktop、XenApp、App Controller、およびVDI-in-a-Boxの 展開環境を自由に組み合わせてストアを作成できます。 必要に応じて手順を繰り返し、 ストアにリソースを提供するすべての展開環境を追加します。 • XenDesktop、XenApp、およびVDI-in-a-Boxのリソースをストアに追加するには App Controllerアプリケーションをストアに追加するには 7. 必要なリソースをすべてストアに追加したら、[Delivery Controller]ページの[次へ] をクリックします。 • 67 新しい展開環境を作成するには 8. [リモートアクセス]ページでは、公共のネットワーク上のユーザーにNetScaler Gatewayを介したアクセス(リモートアクセス)を提供するかどうか、およびその方法 を指定します。 • • 公共のネットワーク上のユーザーにストアへのアクセスを禁止するには、[なし]を 選択します。 これにより、内部ネットワークのローカルユーザーのみがストアにア クセスできるようになります。 NetScaler Gateway経由でアクセスするユーザーにストアのリソースのみを提供す るには、[VPNトンネルなし]を選択します。 この場合、ユーザーはNetScaler Gatewayに直接ログオンするため、NetScaler Gateway Plug-inを使用する必要は ありません。 SSL(Secure Sockets Layer)仮想プライベートネットワーク(VPN)トンネルを 介して内部ネットワーク上のストアおよびそのほかのすべてのリソースへのアクセス を提供するには、[完全VPNトンネル]を選択します。 この場合、ユーザーはVPN トンネルを確立するためのNetScaler Gateway Plug-inを使用する必要があります。 NetScaler Gatewayを経由するストアへのリモートアクセスを有効にすると、認証方法 としてNetScaler Gatewayからのパススルーが自動的に有効になります。 ユーザーは NetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスするとき は自動的にログオンできます。 • 9. リモートアクセスを有効にした場合は、ユーザーがストアにアクセスするときに使用す るNetScaler Gateway展開環境を一覧に追加します。 NetScaler Gateway展開環境を 追加するには、以下の適切な手順に従います。 必要に応じて手順を繰り返し、新しい展 開環境を追加します。 • NetScaler Gatewayアプライアンスを介したストアへのリモートアクセスを有効に するには Access Gateway 5.0クラスターを介したストアへのリモートアクセスを提供するに は 10. NetScaler Gatewayの展開環境をすべて追加したら、[NetScaler Gatewayアプライア ンス]の一覧で、ユーザーがストアへのアクセスに使用する展開環境を選択します。 複 数のゲートウェイ環境を介したアクセスを有効にする場合は、デフォルトで使用される アプライアンスを指定します。 • 11. [リモートアクセス]ページで[作成]をクリックします。 ストアが作成されたら、[ 完了]をクリックします。 ストアを作成した後は、Citrix StoreFront管理コンソールでさらに多くのオプションを 使用できるようになります。 詳しくは、「StoreFront展開環境の管理」を参照してくだ さい。 ストアが作成されました。ただし、Citrix Receiver側でもストアに接続するための詳細を構 成する必要があります。 ユーザーによるReceiverの構成プロセスを簡単にするために、いく つかの方法が用意されています。 詳しくは、「ユーザーアクセスのオプション」を参照して ください。 また、Receiver for Webサイトを使用すると、ユーザーがWebページからデスクトップやア プリケーションにアクセスできるようになります。 新しいストアにアクセスするための Receiver for WebサイトのURLは、ストアを作成するときに表示されます。 デフォルトでは、新しいストアを作成するときに、XenApp ServicesサイトのURLが有効に なります。 ドメインに参加しているデスクトップアプライアンスのユーザー、Citrix Desktop Lockを実行している再目的化されたPCのユーザー、およびアップグレードできな 68 新しい展開環境を作成するには い古いバージョンのCitrixクライアントのユーザーは、XenApp Servicesサイトから直接そ のストアに接続できます。 XenApp ServicesサイトのURLは、 http[s]://<serveraddress>/Citrix/<storename>/PNAgent/config.xmlの形式です。ここ で、<serveraddress>はStoreFront展開環境のサーバーまたは負荷分散環境の完全修飾ド メイン名で、<storename>は上記手順5.で指定した名前です。 StoreFrontの追加のインスタンスをインストールするときに既存のサーバーグループにサー バーを追加するオプションを選択することで、展開環境に複数のサーバーをすばやく追加で きます。 69 XenDesktop、XenApp、および VDI-in-a-Boxのリソースをストアに追 加するには 更新日: 2013-10-10 XenDesktop、XenApp、およびVDI-in-a-Boxで提供されるデスクトップやアプリケーショ ンを、StoreFrontサーバーの初回構成時に作成されるストアで使用できるようにするには、 次の手順に従います。 「新しい展開環境を作成するには」の手順1.~6.が完了していること を前提としています。 1. [ストアの作成]ウィザードの[Delivery Controller]ページで、[追加]をクリック します。 2. [Delivery Controllerの追加]ダイアログボックスで、この展開環境に対するわかりや すい名前を指定し、リソースを提供するインフラストラクチャの種類([XenDesktop] 、[XenApp]、または[VDI-in-a-Box])を選択します。 3. サーバーの名前またはIPアドレスを[サーバー]の一覧に追加します。 この一覧に複数 のサーバーを追加すると、その順番に基づいてフェールオーバーされます。 XenDesktopサイトの場合は、Delivery Controllerの詳細を指定します。 XenAppファー ムの場合は、Citrix XML Serviceを実行しているサーバーを一覧に追加します。 VDI-in-a-Boxグリッドを追加するには、グリッド用の仮想IPアドレスが構成されている 場合はそのIPアドレスを追加するか、各サーバーのIPアドレスを追加します。 4. [トランスポートの種類]ボックスの一覧から、StoreFrontでサーバーとの通信に使用 する接続の種類を選択します。 • • • 暗号化されていない接続でデータを送信するには[HTTP]を選択します。 このオプ ションを選択する場合は、StoreFrontとサーバー間の接続を何らかの方法で保護す ることを検討してください。 SSL(Secure Sockets Layer)またはTLS(Transport Layer Security)を使用す る保護されたHTTP接続でデータを送信するには、[HTTPS]を選択します。 XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は、 Citrix XML ServiceがポートをIIS(Microsoftインターネットインフォメーションサー ビス)と共有する設定になっていることと、IISがHTTPSをサポートするように構成 されていることを確認してください。 XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行す るには、[SSL Relay]を選択します。 注: StoreFrontとサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は、 [サーバー]ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー 名と一致することを確認してください(大文字/小文字は区別されます)。 5. StoreFrontがサーバーに接続するときに使用するポートを指定します。 デフォルトでは、 HTTP接続およびSSL Relay接続では80、HTTPS接続では443が使用されます。 70 XenDesktop、XenApp、およびVDI-in-a-Boxのリソースをストアに追加するには XenDesktopおよびXenAppサーバーの場合、Citrix XML Serviceで使用されるポート番 号を指定する必要があります。 6. StoreFrontとXenAppサーバーの間の接続をSSL Relayで保護する場合は、SSL Relayの TCPポートを[SSL Relayポート]ボックスで指定します。 デフォルトのポート番号は 443です。 SSL Relayを実行するすべてのサーバーで同じポートが構成されていること を確認してください。 XenDesktop、XenApp、App Controller、およびVDI-in-a-Boxの展開環境を自由に組み合 わせてストアを作成できます。 XenDesktopサイト、XenAppファーム、または VDI-in-a-Boxグリッドをさらに追加する場合は、上記手順を繰り返します。 App Controllerで管理されるアプリケーションをストアで使用できるようにするには、「App Controllerアプリケーションをストアに追加するには」の手順に従います。 必要なリソース をすべてストアに追加したら、「新しい展開環境を作成するには」の手順7.に戻ります。 71 App Controllerアプリケーションをスト アに追加するには 更新日: 2013-10-10 App Controllerで管理されるアプリケーションを、StoreFrontサーバーの初回構成時に作成 されるストアで使用できるようにするには、次の手順に従います。 「新しい展開環境を作成 するには」の手順1.~6.が完了していることを前提としています。 1. [ストアの作成]ウィザードの[Delivery Controller]ページで、[追加]をクリック します。 2. [Delivery Controllerの追加]ダイアログボックスで、追加するApp Controller仮想ア プライアンスに対するわかりやすい名前を指定します。 名前にスペースが含まれないよ うにしてください。 [AppController]をクリックします。 3. App Controller仮想アプライアンスの名前またはIPアドレスを[サーバー]ボックスに 入力し、App Controllerへの接続に使用するStoreFrontのポートを指定します。 デフォ ルトのポート番号は443です。 XenDesktop、XenApp、App Controller、およびVDI-in-a-Boxの展開環境を自由に組み合 わせてストアを作成できます。 ほかのApp Controller仮想アプライアンスで管理されるアプ リケーションをストアに追加するには、上記の手順を繰り返します。 XenDesktop、 XenApp、およびVDI-in-a-Boxで提供されるデスクトップやアプリケーションをストアで使 用できるようにするには、「XenDesktop、XenApp、およびVDI-in-a-Boxのリソースをス トアに追加するには」の手順に従います。 必要なリソースをすべてストアに追加したら、「 新しい展開環境を作成するには」の手順7.に戻ります。 72 NetScaler Gatewayアプライアンスを 介したストアへのリモートアクセスを有 効にするには 更新日: 2013-10-15 StoreFrontサーバーの初回構成時に作成されるストアへの、NetScaler Gatewayアプライア ンスを介したリモートアクセスを構成するには、次の手順に従います。 「新しい展開環境を 作成するには」の手順1.~6.が完了していることを前提としています。 1. [ストアの作成]ウィザードの[リモートアクセス]ページで、[追加]をクリックし ます。 2. [NetScaler Gatewayアプライアンスの追加]ダイアログボックスで、NetScaler Gatewayアプライアンスにわかりやすい名前を指定します。 ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 3. アプライアンスの仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0 の場合)のURLを入力します。 展開環境で使用する製品のバージョンを指定します。 StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名) は一意で、NetScaler Gateway仮想サーバーのFQDNと異なるものである必要がありま す。 StoreFrontとNetScaler Gateway仮想サーバーに同じFQDNを使用することはサポー トされていません。 4. スタンドアロンAccess Gateway 5.0アプライアンスを追加する場合は、[展開モード] の一覧で[アプライアンス]を選択します。 それ以外の場合は、必要に応じて NetScaler GatewayアプライアンスのサブネットIPアドレスを指定します。 サブネット IPアドレスは、Access Gateway 9.3アプライアンスの場合は必須ですが、それより後の 製品バージョンではオプションです。 このサブネットアドレスは、NetScaler Gatewayで内部ネットワークのサーバーと通信 するときに、ユーザーデバイスを表すために使用するIPアドレスです。 このアドレスは、 NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります。 StoreFrontは、サブネットIPアドレスを使用して、受信要求が信頼されているデバイス から発信されているかどうかを検証します。 5. NetScaler Gateway 10.1、Access Gateway 10、またはAccess Gateway 9.3のアプ ライアンスを追加する場合は、[ログオンの種類]の一覧から、Citrix Receiverユーザー 用にアプライアンスで構成した認証方法を選択します。 NetScaler Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファ イルに追加されます。 これにより、Citrix Receiverは、アプライアンスへの初回接続時 に適切な接続要求を送信できるようになります。 73 NetScaler Gatewayアプライアンスを介したストアへのリモートアクセスを有効にするには • • • • • ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ ドメイン]を選択します。 セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリ ティトークン]を選択します。 ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの 両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。 テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[ SMS認証]を選択します。 スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択しま す。 スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにする には、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。 6. [コールバックURL]ボックスに、NetScaler Gateway認証サービスのURLを入力しま す。 URLの標準的な部分は自動的に補完されます。 [次へ]をクリックします。 アプライアンスの内部URLを入力します。 StoreFrontはNetScaler Gateway認証サービ スに接続して、NetScaler Gatewayからの要求の送信元がそのアプライアンスであるこ とを確認します。 7. すべての展開環境で、XenDesktop、XenApp、またはVDI-in-a-Boxが提供するリソー スをストアで使用できるようにするには、[Secure Ticket Authority(STA)]ページ で、STAを実行しているサーバーのURLを一覧に追加します。 一覧に複数のSTAのURL を追加すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー ルオーバーを有効にできます。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストされ、接続要 求に応答してセッションチケットを発行します。 このセッションチケットに基づいて、 XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承認 されます。 8. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、2 つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されません。 StoreFrontがどちらのSTAにもアクセスできない場合は、 単一のSTAを使用するようにフォールバックされます。 9. [作成]をクリックします。これにより、[リモートアクセス]ページの一覧に NetScaler Gatewayの展開環境が追加されます。 74 NetScaler Gatewayアプライアンスを介したストアへのリモートアクセスを有効にするには 展開環境をさらに追加する場合は、上記手順を繰り返します。 Access Gateway 5.0クラス ターを介したリモートアクセスを構成するには、「Access Gateway 5.0クラスターを介し たストアへのリモートアクセスを提供するには」の手順に従います。 NetScaler Gatewayの 展開環境をすべて追加したら、「新しい展開環境を作成するには」の手順10.に戻ります。 75 Access Gateway 5.0クラスターを介し たストアへのリモートアクセスを提供す るには 更新日: 2013-10-14 StoreFrontサーバーの初回構成時に作成されるストアへの、Access Gateway 5.0クラスター を介したリモートアクセスを構成するには、次の手順に従います。 「新しい展開環境を作成 するには」の手順1.~6.が完了していることを前提としています。 1. [ストアの作成]ウィザードの[リモートアクセス]ページで、[追加]をクリックし ます。 2. [NetScaler Gatewayアプライアンスの追加]ダイアログボックスで、クラスターにわ かりやすい名前を指定します。 ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 3. クラスターのユーザーログオンポイントのURLを入力して、[バージョン]の一覧で[ 5.x]を選択します。 4. [展開モード]の一覧で[Access Controller]を選択して、[次へ]をクリックします。 5. [アプライアンス]ページで、クラスター内のアプライアンスのIPアドレスまたは FQDN(Fully Qualified Domain Names:完全修飾ドメイン名)を一覧に追加して、[ 次へ]をクリックします。 6. [サイレント認証を有効にする]ページで、Access Controllerサーバーで実行されてい る認証サービスのURLを一覧に追加します。 一覧に複数のサーバーのURLを追加すると、 その順番に基づいてフェールオーバーされます。 [次へ]をクリックします。 StoreFrontでは認証サービスを使用してリモートユーザーが認証されるため、リモート ユーザーがストアにアクセスするときに資格情報を再入力する必要はありません。 7. すべての展開環境で、XenDesktop、XenApp、またはVDI-in-a-Boxが提供するリソー スをストアで使用できるようにするには、[Secure Ticket Authority(STA)]ページ で、STAを実行しているサーバーのURLを一覧に追加します。 一覧に複数のSTAのURL を追加すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー ルオーバーを有効にできます。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 76 Access Gateway 5.0クラスターを介したストアへのリモートアクセスを提供するには STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストされ、接続要 求に応答してセッションチケットを発行します。 このセッションチケットに基づいて、 XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承認 されます。 8. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、2 つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されません。 StoreFrontがどちらのSTAにもアクセスできない場合は、 単一のSTAを使用するようにフォールバックされます。 9. [作成]をクリックします。これにより、[リモートアクセス]ページの一覧に NetScaler Gatewayの展開環境が追加されます。 クラスターをさらに追加する場合は、上記手順を繰り返します。 NetScaler Gateway 10.1、 Access Gateway 10、Access Gateway 9.3、またはスタンドアロンAccess Gateway 5.0 アプライアンスを介したリモートアクセスを構成するには、「NetScaler Gatewayアプライ アンスを介したストアへのリモートアクセスを有効にするには」の手順に従います。 NetScaler Gatewayの展開環境をすべて追加したら、「新しい展開環境を作成するには」の 手順10.に戻ります。 77 既存のサーバーグループにサーバーを追 加するには 更新日: 2013-10-14 StoreFrontをインストールする前に、グループに追加するサーバーのオペレーティングシス テムのバージョンおよびロケール設定が、グループ内のほかのサーバーと同じであることを 確認してください。 StoreFrontサーバーグループ内でオペレーティングシステムのバージョ ンやロケール設定が異なるサーバーを混在させることはサポートされていません。 また、追 加するサーバーのStoreFrontのIISでの相対パスが、グループ内のほかのサーバーと同じで あることも確認してください。 重要: サーバーグループに新しいサーバーを追加すると、そのサーバーのローカル管理者 グループにいくつかのStoreFrontサービスアカウントが追加されます。 これは、サーバー グループに参加したり情報を同期したりするために、これらのサービスでローカル管理者 権限が必要になるためです。 グループポリシーでローカル管理者グループへのアカウント の追加が禁止されている場合、またはサーバーのローカル管理者グループの権限が制限さ れている場合、StoreFrontでサーバーをサーバーグループに追加できません。 1. 新しいサーバー上でCitrix StoreFront管理コンソールを開きます。これを行うには、 Windowsの[スタート]画面または[アプリ]画面で[Citrix StoreFront]タイルをク リックします。 2. Citrix StoreFront管理コンソールの結果ペインで、[既存のサーバーグループへの参加] をクリックします。 3. 参加先のStoreFront展開環境のサーバーにログオンして、Citrix StoreFront管理コンソー ルを開きます。 コンソールの左ペインで[サーバーグループ]ノードを選択して、[操 作]ペインで[サーバーの追加]をクリックします。 表示される承認コードをメモして おきます。 4. 新しいサーバーに戻り、[サーバーグループへの参加]ダイアログボックスの[承認サー バー]ボックスに、既存のサーバーの名前を指定します。 そのサーバーから取得した承 認コードを入力して[参加]をクリックします。 サーバーを既存のグループに追加すると、そのサーバーの構成がグループの既存のサー バーの構成と一致するように更新されます。 また、グループ内のほかのすべてのサーバー は、新しいサーバーの詳細情報で更新されます。 複数サーバー展開環境を管理する場合、同時に複数のサーバー上でサーバーグループの構成 を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを 同時に実行していないことを確認してください。 また、展開環境内で一貫した構成を保つた め、構成の変更内容をグループ内のほかのサーバーに反映させる必要があります。 78 StoreFrontをアンインストールするには 更新日: 2013-10-25 StoreFrontをアンインストールすると、StoreFront自体のほか、認証サービス、ストア、 Receiver for Webサイト、デスクトップアプライアンスサイト、XenApp Servicesサイトの URL、および関連する構成が削除されます。 ユーザーのアプリケーションサブスクリプショ ンデータを含んでいるサブスクリプションストアサービスも削除されます。 単一サーバー環 境では、これによりユーザーのサブスクリプションデータが削除されてしまいます。 複数サー バーの展開環境の場合は、これらのデータは展開環境内のほかのサーバー上で保持されます。 .NET Frameworkの機能やWebサーバー(IIS)の役割サービスなど、StoreFrontインストー ラーにより有効になった必須機能は、StoreFrontをアンインストールしても無効になりませ ん。 1. ローカルの管理者権限を持つアカウントでStoreFrontサーバーにログオンします。 2. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを 探します。 タイルを右クリックして、[アンインストール]を選択します。 3. [プログラムと機能]ダイアログボックスで、[Citrix StoreFront]を選択して[アン インストール]をクリックします。これにより、サーバーからすべてのStoreFrontコン ポーネントが削除されます。 4. [Citrix StoreFrontのアンインストール]ダイアログボックスで[はい]をクリックし ます。 アンインストールが完了したら、[OK]をクリックします。 79 StoreFrontのアップグレード 更新日: 2013-11-25 既存のStoreFront 2.0環境をStoreFront 2.1にアップグレードするには、StoreFront 2.1の インストールファイルを実行します。 StoreFront 1.2をStoreFront 2.1に直接アップグレー ドすることはできません。 この場合は、StoreFront 1.2をStoreFront 2.0にアップグレード してからStoreFront 2.1にアップグレードしてください。 同様に、Receiver Storefront 1.1をStoreFront 2.0またはStoreFront 2.1に直接アップグレードすることはできません。 Receiver StoreFront1.1をStoreFront 1.2にアップグレードしてからStoreFront 2.0にアッ プグレードして、最後にStoreFront 2.1にアップグレードする必要があります。 StoreFront 1.2からStoreFront 2.0へのアップグレードについて詳しくは、Lead Readiness SpecialistのAllen Furmanskiの次のビデオを参照してください。 None None アップグレード処理を開始した後では、元に戻すことはできません。 アップグレードが中断 されたり、完了できなかったりする場合、StoreFrontはアップグレードされず既存の構成も 削除されます。 アップグレードを行う前に、ユーザーをStoreFront展開環境から切断し、ユー ザーがアップグレード中にサーバーにアクセスできないようにしてください。 これにより、 アップグレード時にインストーラーがすべてのStoreFrontファイルに確実にアクセスできる ようになります。 インストーラーからアクセスできないファイルがあると、それらのファイ ルを置き換えることができないため、アップグレードに失敗して既存のStoreFront構成が削 除されます。 StoreFrontでは、複数の製品バージョンが混在する複数サーバー環境がサポー トされないため、グループ内のすべてのサーバーを同時に更新する必要があります。 アップ グレードを実行する前に、データをバックアップしておくことをお勧めします。 StoreFrontをアンインストールすると、認証サービス、ストア、ユーザーのアプリケーショ ンサブスクリプション、Receiver for Webサイト、デスクトップアプライアンスサイト、お よびXenApp Servicesサイトが削除されます。 つまり、StoreFrontをアンインストールし た後でStoreFrontを再インストールする場合、サービス、ストア、およびサイトを手動で再 作成する必要があります。 アップグレードする場合はStoreFront構成が保存されてユーザー のアプリケーションサブスクリプションデータはそのまま保持されるため、すべてのアプリ ケーションのサブスクリプションを再度実行する必要はありません。 StoreFrontが動作するサーバー上のオペレーティングシステムをアップグレードすることは サポートされていません。 新しくインストールしたオペレーティングシステムにStoreFront をインストールすることをお勧めします。 80 アップグレード StoreFront 2.0からStoreFront 2.1にアッ プグレードするには 1. 複数サーバーのStoreFront展開環境をアップグレードする場合は、負荷分散URLを介し た展開環境へのアクセスを無効にします。 負荷分散URLを無効にすると、ユーザーがアップグレード時に展開環境に接続できなく なります。 複数サーバー展開環境ではすべてのサーバーを同時に更新する必要がありま す。 2. StoreFrontサーバーを再起動します。 サーバーを再起動することで、ロックされているファイルや保留中のWindows更新プロ グラムがない状態にします。 3. 管理者アカウントを使用して、StoreFrontのインストールファイルを実行します。 4. StoreFrontサーバーを再起動して、すべてのStoreFrontサービスが実行されていること を確認します。 サーバーを再起動すると、すべてのキャッシュが削除され、すべてのStoreFrontサービ スが再起動されます。 5. 複数サーバーのStoreFront展開環境をアップグレードする場合は、展開環境内の残りの 各サーバーで手順2.~4.を繰り返し、すべてのサーバーをアップグレードします。 重要: サーバーのアップグレードを完了してから次のサーバーのアップグレードを開 始してください。 複数サーバーのStoreFront展開環境をアップグレードする場合は、 各サーバーを順番にアップグレードする必要があります。 複数のサーバーを同時にアッ プグレードすることはサポートされず、これによりストア、サイト、およびサービス が正しく動作しなくなる場合があります。 環境内の最後のサーバーのアップグレードが完了すると、その環境内のほかのサーバー の構成がそのサーバーに一致するように自動的に更新されます。 6. 複数サーバーのStoreFront環境では、各サーバー上でイベントビューアーを開き、左側 のペインで[アプリケーションとサービスログ]>[Citrix Delivery Services]の順に 選択します。 [Citrix Subscriptions Store Service]の[イベントID]が3で[タスク のカテゴリ]が2901のイベントを参照します。 各サーバー上で、このイベントが各ス トアについて記録されていることを確認してから、続行します。 7. 複数サーバーのStoreFront展開環境をアップグレードした場合は、負荷分散URLを介し たアクセスを復元します。 81 アップグレード StoreFront 1.2からStoreFront 2.0にアッ プグレードするには 1. 複数サーバーのStoreFront展開環境をアップグレードする場合は、負荷分散URLを介し た展開環境へのアクセスを無効にします。 負荷分散URLを無効にすると、ユーザーがアップグレード時に展開環境に接続できなく なります。 複数サーバー展開環境ではすべてのサーバーを同時に更新する必要がありま す。 2. StoreFrontサーバーを再起動します。 サーバーを再起動することで、ロックされているファイルや保留中のWindows更新プロ グラムがない状態にします。 3. StoreFrontサーバー上にReceiver for HTML5がインストールされている場合は、Citrix HTML5 HDX Engine Configurationツールを使用してReceiver for HTML5をReceiver for Webサイトから削除できます。 Windowsのコントロールパネルの[プログラムと機 能]ダイアログボックスでReceiver for HTML5をアンインストールしてから続行します。 既存のReceiver for HTML5をそのままアップグレードすることはできないため、 Receiver for HTML5を実行しているサーバーをStoreFrontのインストールファイルでアッ プグレードすることはできません。 詳しくは、「Receiver for HTML5」を参照してく ださい。 StoreFront環境をアップグレードしたら、Citrix StoreFront管理コンソールを使用して Receiver for Webサイト用のReceiver for HTML5構成を作成し直す必要があります。 Receiver for HTML5の構成について詳しくは、「Receiver for Webサイトの構成」を 参照してください。 4. StoreFrontサーバー上でWindows Firewallサービスが実行されていることを確認して、 管理者アカウントを使用してStoreFrontのインストールファイルを実行します。 StoreFrontのアップグレード時に、Windows Firewallサービスが実行されている必要が あります。 Windowsファイアウォールは有効でも無効でも構いませんが、Windows Firewallサービスは実行されている必要があります。 必要な場合は、初回構成を完了し た後でWindows Firewallサービスを停止できます。 StoreFrontのインストールについ ては、「StoreFrontをインストールしてセットアップするには」を参照してください。 5. 単一サーバーのStoreFront展開環境の場合は、インストール完了時のダイアログボック スで、既存のデータベースから新しいサブスクリプションストアサービスにユーザーの アプリケーションサブスクリプションデータを移行するためのオプションを選択します。 • 直ちに移行する場合は、[移行する]をクリックします。 Windows PowerShellセッ ションが起動して、ユーザーのアプリケーションサブスクリプションデータが新しい すべてのストアに移行されます。 ユーザーのアプリケーションサブスクリプションデータをすべてのストアに移行した くない場合など、移行処理を後回しにする場合は、[後で移行する]をクリックしま す。 6. StoreFrontサーバーを再起動して、すべてのStoreFrontサービスが実行されていること を確認します。 • 82 アップグレード サーバーを再起動すると、すべてのキャッシュが削除され、すべてのStoreFrontサービ スが再起動されます。 7. 複数サーバーのStoreFront展開環境をアップグレードする場合は、展開環境内の残りの 各サーバーで上記の手順2.~4.および6.を繰り返し、すべてのサーバーをアップグレー ドします。 重要: サーバーのアップグレードを完了してから次のサーバーのアップグレードを開 始してください。 複数サーバーのStoreFront展開環境をアップグレードする場合は、 各サーバーを順番にアップグレードする必要があります。 複数のサーバーを同時にアッ プグレードすることはサポートされず、これによりストア、サイト、およびサービス が正しく動作しなくなる場合があります。 環境内の最後のサーバーのアップグレードが完了すると、その環境内のほかのサーバー の構成がそのサーバーに一致するように自動的に更新されます。 8. 複数サーバーのStoreFront環境では、各サーバー上でイベントビューアーを開き、左側 のペインで[アプリケーションとサービスログ]>[Citrix Delivery Services]の順に 選択します。 [Citrix Subscriptions Store Service]の[イベントID]が3で[タスク のカテゴリ]が2901のイベントを参照します。 各サーバー上で、このイベントが各ス トアについて記録されていることを確認してから、続行します。 9. 複数サーバーのStoreFront展開環境をアップグレードした場合、または単一サーバーの StoreFront展開環境でアップグレード後のアプリケーションサブスクリプションデータ の移行を後回しにした場合は、Windowsの[スタート]画面で[Citrix StoreFront]を クリックします。 • ユーザーのすべてのストアのアプリケーションサブスクリプションデータを移行する には、Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、 [操作]ペインの[すべてのサブスクリプションの移行]をクリックします。 ユーザーの特定のストアのアプリケーションサブスクリプションデータを移行するに は、Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、 結果ペインでストアを選択します。 [操作]ペインの[サブスクリプションの移行] をクリックします。 Windows PowerShellセッションが起動して、既存のデータベースからアップグレード したサーバー上のサブスクリプションストアサービスにユーザーのアプリケーションサ ブスクリプションデータが移行されます。 • 10. 複数サーバーのStoreFront展開環境をアップグレードした場合は、負荷分散URLを介し た展開環境へのアクセスを復元します。 83 StoreFront展開環境の管理 更新日: 2013-10-14 StoreFrontの初回構成を行った後は、Citrix StoreFront管理コンソールでさらに多くの管理 タスクを実行できます。 ただし、一部の高度な管理タスクでは、StoreFrontの構成ファイル を編集する必要があります。 ここでは、以下のトピックについて説明します。 84 • サーバーグループの構成 • 認証サービスを作成するには • 認証サービスの構成 • ストアの作成 • ストアの構成 • Receiver for Webサイトを作成するには • Receiver for Webサイトの構成 • NetScaler Gateway接続を追加するには • NetScaler Gateway接続設定の構成 • ビーコンポイントを構成するには • スマートカード認証の構成 • 可用性の高いマルチサイトストア構成のセットアップ • 構成ファイルを使ったStoreFrontの構成 • 構成ファイルを使ったReceiver for Webサイトの構成 • デスクトップアプライアンスサイトの構成 • XenApp Services URLの認証を構成するには サーバーグループの構成 更新日: 2013-10-21 以下のタスクでは、複数サーバーのStoreFront展開環境の設定を変更します。 複数サーバー 展開環境を管理する場合、同時に複数のサーバー上でサーバーグループの構成を変更しない でください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行し ていないことを確認してください。 また、展開環境内で一貫した構成を保つため、構成の変 更内容をグループ内のほかのサーバーに反映させる必要があります。 サーバーグループへのサーバーの追加 [サーバーの追加]タスクを使用して、新しくインストールしたStoreFrontサーバーを既存 の展開環境に追加するための承認コードを取得します。 新しいサーバーを既存のStoreFront 展開環境に追加する方法について詳しくは、「既存のサーバーグループにサーバーを追加す るには」を参照してください。 サーバーグループからのサーバーの削除 複数サーバーのStoreFront展開環境からサーバーを削除するには、[サーバーの削除]タス クを使用します。 このタスクでは、StoreFront管理コンソールを実行しているサーバー以外 の任意のサーバーをグループから削除できます。 ただし、複数サーバーの展開環境からサー バーを削除する前に、そのサーバーを負荷分散環境から削除しておく必要があります。 サーバーグループへのローカルの変更の反映 現在のサーバー上で行った変更内容を、複数サーバーのStoreFront展開環境内のほかのすべ てのサーバーに反映させるには、[変更の伝達]タスクを使用します。 これにより、グルー プ内のほかのサーバー上で行ったすべての変更が破棄されます。 このタスクの実行中は、グ ループ内のすべてのサーバーが更新されるまで、追加の変更を加えることはできません。 重要: サーバーの構成を変更してからグループ内のほかのサーバーにその変更を反映させ ないと、後で展開環境内のほかのサーバーでの変更が反映された場合に元の変更内容が失 われる可能性があります。 展開環境のベースURLの変更 StoreFront展開環境でホストされるストアやほかのStoreFrontサービスのルートURLを変更 するには、[ベースURLの変更]タスクを使用します。 複数サーバーの展開環境の場合は、 負荷分散URLを指定します。 Microsoftインターネットインフォメーションサービス(IIS) でHTTPSが正しく構成されている場合は、[ベースURLの変更]タスクでHTTPをHTTPSに 変更することもできます。 IISでHTTPSを構成するには、StoreFrontサーバー上でインターネットインフォメーション サービス(IIS)マネージャーコンソールを使用して、Microsoft Active Directoryドメイン 85 サーバーグループの構成 証明機関により署名されたサーバー証明書を作成します。 次に、HTTPSバインドをデフォル トのWebサイトに追加します。 IISでのサーバー証明書の作成について詳しくは、 http://technet.microsoft.com/ja-jp/library/hh831637.aspx#CreateCertificateを参照し てください。 IISサイトへのHTTPSバインドの追加について詳しくは、 http://technet.microsoft.com/ja-jp/library/hh831632.aspx#SSLBindingを参照してく ださい。 86 認証サービスを作成するには 更新日: 2013-10-14 StoreFront認証サービスを構成するには、[認証サービスの作成]タスクを使用します。 認 証サービスにより、ユーザーがMicrosoft Active Directoryで認証され、ユーザーが再ログオ ンすることなくデスクトップやアプリケーションにアクセスできるようになります。 1つのStoreFront展開環境には1つの認証サービスのみを構成できます。 このタスクは、認 証サービスが未構成の場合にのみ実行できます。 StoreFrontとユーザーデバイス間の通信をHTTPSで保護するには、Microsoftインターネッ トインフォメーションサービス(IIS)でHTTPSを構成する必要があります。 IISでHTTPS が構成されていない場合、StoreFrontの通信にHTTPが使用されます。 デフォルトでは、Citrix Receiverはストアへの接続にHTTPSを必要とします。 StoreFront がHTTPS用に構成されていない場合、Citrix ReceiverでHTTP接続が使用されるようにユー ザーが構成を変更する必要があります。 スマートカード認証を使用する場合はHTTPSが必要 です。 IISでHTTPSが適切に構成されている場合は、必要に応じていつでもHTTPをHTTPS に変更できます。 詳しくは、「サーバーグループの構成」を参照してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[認証]ノードを選択して、[操作]ペ インの[認証サービスの作成]をクリックします。 3. ユーザーに許可するアクセス方法を指定して、[作成]をクリックします。 • • • • 87 指定ユーザー認証を有効にするには[ユーザー名とパスワード]チェックボックスを オンにします。 この場合、ユーザーは資格情報を入力してストアにアクセスします。 ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるように するには、[ドメインパススルー]チェックボックスをオンにします。 この場合、 ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに 認証されるため、ストアにアクセスするときは自動的にログオンできます。 このオ プションを使用する場合は、Receiver for Windowsをユーザーデバイスにインストー ルするときにパススルー認証を有効にする必要があります。 スマートカード認証を有効にするには、[スマートカード]チェックボックスをオン にします。 ユーザーはスマートカードとPINを使ってストアにアクセスします。 NetScaler Gatewayからのパススルー認証を有効にするには、[NetScaler Gatewayからのパススルー]チェックボックスをオンにします。 ユーザーは NetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスする ときは自動的にログオンできます。 認証サービスを作成するには NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパスス ルー認証を有効にするには、[認証の委任構成]タスクを使用します。 詳しくは、「認 証サービスの構成」を参照してください。 4. 認証サービスが作成されたら、[完了]をクリックします。 認証サービスの設定の変更について詳しくは、「認証サービスの構成」を参照してくだ さい。 88 認証サービスの構成 更新日: 2013-10-21 認証サービスにより、ユーザーがMicrosoft Active Directoryで認証され、ユーザーが再ログ オンすることなくデスクトップやアプリケーションにアクセスできるようになります。 1つ のStoreFront展開環境には1つの認証サービスのみを構成できます。 以下のタスクでは、StoreFront認証サービスの設定を変更します。 一部の詳細設定を変更す るには、認証サービスの構成ファイルを編集する必要があります。 詳しくは、「構成ファイ ルを使ったStoreFrontの構成」を参照してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 認証方法を管理するには ユーザーの認証方法を有効にしたり無効にしたりするには、Citrix StoreFront管理コンソー ルの結果ペインで認証方法を選択して、[操作]ペインの[認証方法の有効化]または[認 証方法の無効化]をクリックします。 認証サービスから認証方法を削除したり、新しい方法 を追加したりするには、[認証方法の追加と削除]タスクを使用します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[認証]ノードを選択して、[操作]ペ インの[認証方法の追加と削除]をクリックします。 3. ユーザーに許可するアクセス方法を指定します。 • • • • 89 指定ユーザー認証を有効にするには[ユーザー名とパスワード]チェックボックスを オンにします。 この場合、ユーザーは資格情報を入力してストアにアクセスします。 ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるように するには、[ドメインパススルー]チェックボックスをオンにします。 この場合、 ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに 認証されるため、ストアにアクセスするときは自動的にログオンできます。 このオ プションを使用する場合は、Receiver for Windowsをユーザーデバイスにインストー ルするときにパススルー認証を有効にする必要があります。 スマートカード認証を有効にするには、[スマートカード]チェックボックスをオン にします。 ユーザーはスマートカードとPINを使ってストアにアクセスします。 NetScaler Gatewayからのパススルー認証を有効にするには、[NetScaler Gatewayからのパススルー]チェックボックスをオンにします。 ユーザーは NetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスする ときは自動的にログオンできます。 認証サービスの構成 NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパスス ルー認証を有効にするには、[認証の委任構成]タスクを使用します。 認証サービスのセキュリティキーの生成 認証サービスで使用する自己署名証明書に新しいセキュリティキーを生成するには、[セキュ リティ キーの生成]タスクを使用します。 セキュリティ上、StoreFrontにより生成される 自己署名証明書に対して定期的にセキュリティキーを生成することを推奨します。 新しいセ キュリティキーを生成すると、既にストアにアクセスしているすべてのユーザーに再認証が 必要になります。 このため、このタスクはユーザーの活動が少ない時間帯に実行してくださ い。 信頼されるユーザードメインを構成するには ドメインの資格情報を明示的に入力して(直接またはNetScaler Gatewayを介したパススルー 認証で)ログオンするユーザーのストアへのアクセスを制限するには、[信頼されるドメイ ンの構成]タスクを使用します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[認証]ノードを選択して、結果ペイン で認証方法を選択します。 [操作]ペインの[信頼されるドメインの構成]をクリック します。 3. [信頼されるドメインのみ]をクリックします。 [追加]をクリックして、信頼される ドメインの名前を入力します。 この認証サービスを使用するすべてのストアでは、ここ で追加したドメインのアカウントでログオンできるようになります。 ドメイン名を変更 するには、[信頼されるドメイン]の一覧でエントリを選択して[編集]をクリックし ます。 特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのド メインを選択して[削除]をクリックします。 管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき 形式が決まります。 ユーザーにドメインユーザー名形式で資格情報を入力させるには、 一覧にNetBIOS名を追加します。 ユーザーにユーザープリンシパル名形式で資格情報を 入力させるには、一覧に完全修飾ドメイン名を追加します。 ユーザーがドメインユーザー 名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一 覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。 4. 信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルト で選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。 90 認証サービスの構成 ユーザーがパスワードを変更できるようにする には ドメインの資格情報を使ってReceiver for Webサイトにログオンするユーザーがパスワード を変更できるようにするには、[パスワードオプションの管理]タスクを使用します。 認証 サービスを作成したときのデフォルトの構成では、パスワードが失効しても、Receiver for Webサイトのユーザーはパスワードを変更できません。 この機能を有効にする場合は、サー バーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていない ことを確認してください。 ユーザーによるパスワードの変更を有効にすると、この認証サー ビスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ 機能が公開されることになります。 組織のセキュリティポリシーにより、ユーザーパスワー ド変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのス トアにアクセスできないことを確認してください。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[認証]ノードを選択して、結果ペイン で[ユーザー名とパスワード]を選択します。 [操作]ペインの[パスワードオプショ ンの管理]をクリックします。 3. ドメインの資格情報を使ってReceiver for Webサイトにログオンするユーザーに、パス ワードの変更を許可する条件を指定します。 • • ユーザーがいつでもパスワードを変更できるようにするには、[常時]を選択します。 パスワードの期限切れが近いローカルユーザーには、ログオン時に警告が表示され ます。 パスワードの有効期限切れの警告は、内部ネットワークから接続しているユー ザーにのみ表示されます。 デフォルトでは、ユーザーに対する通知期間は、適用さ れるWindowsポリシーの設定によって決まります。 この通知期間の設定について詳 しくは、「パスワードの有効期限切れ通知期間を構成するには」を参照してください。 有効期限切れのパスワードだけをユーザーが変更できるようにするには、[失効した とき]を選択します。 パスワードが失効してログオンできなくなったユーザーには、 [パスワードの変更]ダイアログボックスが開きます。 ユーザーによるパスワードの変更を禁止するには、[禁止]を選択します。 このオ プションを選択する場合は、パスワードが失効してデスクトップやアプリケーション にアクセスできないユーザーをどのようにサポートするかを検討しておく必要があり ます。 Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように構成する 場合は、StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空 き領域があることを確認してください。 StoreFrontではユーザーのパスワードの失効が 近いかどうかを確認するため、サーバー上に各ユーザーのローカルプロファイルが作成 されます。 ユーザーのパスワードを変更するには、StoreFrontはドメインコントローラー と通信する必要があります。 • 91 認証サービスの構成 資格情報の検証をNetScaler Gatewayに委任 する NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー 認証を有効にするには、[認証の委任構成]タスクを使用します。 このタスクは、[ NetScaler Gatewayからのパススルー]が有効で、その認証方法が結果ペインで選択されて いる場合のみ使用できます。 資格情報の検証をNetScaler Gatewayに委任した場合、ユーザーはスマートカードを使って NetScaler Gatewayにログオンし、ストアにアクセスするときは自動的に認証されます。 ス マートカードユーザーのパススルー認証は、管理者がNetScaler Gatewayからのパススルー 認証を有効にするとデフォルトで無効になるため、ユーザーがパスワードを使って NetScaler Gatewayにログオンした場合にのみパススルー認証が発生します。 92 ストアの作成 更新日: 2013-10-15 追加のストアを構成するには、[ストアの作成]タスクを使用します。 ストアは必要なだけ 作成できます。たとえば、特定のユーザーグループ用にストアを作成したり、特定のリソー スセットを集約するストアを作成したりできます。 ストアを作成するには、そのストアのユーザーにリソースを提供するサーバーを指定して、 その通信構成を行います。 次に、リモートアクセスを有効にする場合は、使用する NetScaler Gatewayアプライアンスを指定します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 93 ストアの作成 デスクトップとアプリケーションをストアに追 加するには 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[操作] ペインの[ストアの作成]をクリックします。 3. [ストア名]ページで、ストアの名前を指定して、[次へ]をクリックします。 ストアの名前はCitrix Receiverでユーザーアカウントの下に表示されるため、ユーザー にとってわかりやすい名前を指定してください。 4. [Delivery Controller]ページでは、リソースを提供するインフラストラクチャを一覧 に追加します。 [追加]をクリックします。 5. [Delivery Controllerの追加]ダイアログボックスで、この展開環境に対するわかりや すい名前を指定し、リソースを提供するインフラストラクチャの種類([XenDesktop] 、[XenApp]、[AppController]、または[VDI-in-a-Box])を選択します。 App Controllerを選択する場合は、表示名として入力した文字列にスペースが含まれていない ことを確認してください。 6. インフラストラクチャの種類としてXenDesktop、XenApp、またはVDI-in-a-Boxサー バーを選択した場合は、手順7.に進みます。 App Controllerにより管理されるアプリケー ションをストアで使用できるようにするには、App Controller仮想アプライアンスの名 前またはIPアドレスを[サーバー]ボックスに入力し、App Controllerへの接続に使用 するStoreFrontのポートを指定します。 デフォルトのポート番号は443です。 手順11. に進みます。 7. リソースを提供するインフラストラクチャの種類としてXenDesktop、XenApp、または VDI-in-a-Boxを選択した場合は、サーバーの名前またはIPアドレスを[サーバー]一覧 に追加します。 この一覧に複数のサーバーを追加すると、その順番に基づいてフェール オーバーされます。 XenDesktopサイトの場合は、Delivery Controllerの詳細を指定し ます。 XenAppファームの場合は、Citrix XML Serviceを実行しているサーバーを一覧 に追加します。 VDI-in-a-Boxグリッドを追加するには、グリッド用の仮想IPアドレスが 構成されている場合はそのIPアドレスを追加するか、各サーバーのIPアドレスを追加し ます。 8. [トランスポートの種類]ボックスの一覧から、StoreFrontでサーバーとの通信に使用 する接続の種類を選択します。 • • 94 暗号化されていない接続でデータを送信するには[HTTP]を選択します。 このオプ ションを選択する場合は、StoreFrontとサーバー間の接続を何らかの方法で保護す ることを検討してください。 SSL(Secure Sockets Layer)またはTLS(Transport Layer Security)を使用す る保護されたHTTP接続でデータを送信するには、[HTTPS]を選択します。 XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は、 Citrix XML ServiceがポートをIIS(Microsoftインターネットインフォメーションサー ビス)と共有する設定になっていることと、IISがHTTPSをサポートするように構成 されていることを確認してください。 ストアの作成 • XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行す るには、[SSL Relay]を選択します。 注: StoreFrontとサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は、 [サーバー]ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー 名と一致することを確認してください(大文字/小文字は区別されます)。 9. StoreFrontがサーバーに接続するときに使用するポートを指定します。 デフォルトでは、 HTTP接続およびSSL Relay接続では80、HTTPS接続では443が使用されます。 XenDesktopおよびXenAppサーバーの場合、Citrix XML Serviceで使用されるポート番 号を指定する必要があります。 10. StoreFrontとXenAppサーバーの間の接続をSSL Relayで保護する場合は、SSL Relayの TCPポートを[SSL Relayポート]ボックスで指定します。 デフォルトのポート番号は 443です。 SSL Relayを実行するすべてのサーバーで同じポートが構成されていること を確認してください。 11. [OK]をクリックします。 XenDesktop、XenApp、App Controller、および VDI-in-a-Boxの展開環境を自由に組み合わせてストアを作成できます。 必要に応じて手 順4.~11.を繰り返し、ストアにリソースを提供する展開環境を一覧に追加します。 必 要なリソースをすべてストアに追加したら、[次へ]をクリックします。 12. [リモートアクセス]ページでは、公共のネットワーク上のユーザーにNetScaler Gatewayを介したアクセス(リモートアクセス)を提供するかどうか、およびその方法 を指定します。 • • 公共のネットワーク上のユーザーにストアへのアクセスを禁止するには、[なし]を 選択します。 これにより、内部ネットワークのローカルユーザーのみがストアにア クセスできるようになります。 NetScaler Gateway経由でアクセスするユーザーにストアのリソースのみを提供す るには、[VPNトンネルなし]を選択します。 この場合、ユーザーはNetScaler Gatewayに直接ログオンするため、NetScaler Gateway Plug-inを使用する必要は ありません。 SSL仮想プライベートネットワーク(VPN)トンネルを介して内部ネットワーク上の ストアおよびそのほかのすべてのリソースへのアクセスを提供するには、[完全 VPNトンネル]を選択します。 この場合、ユーザーはVPNトンネルを確立するため のNetScaler Gateway Plug-inを使用する必要があります。 ストアへのリモートアクセスを有効にすると、認証方法としてNetScaler Gatewayから のパススルーが自動的に有効になります。 ユーザーはNetScaler Gatewayにログオンす るときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 • 13. リモートアクセスを有効にした場合は、次の手順に進んでNetScaler Gatewayの展開環 境を指定します。ユーザーはこの展開環境を介してストアにアクセスできます。 リモー トアクセスを有効にしない場合は、[リモートアクセス]ページで[作成]をクリック します。 ストアが作成されたら、[完了]をクリックします。 NetScaler Gatewayを介したストアへのリモー トアクセスを有効にするには 前の手順で作成したストアにNetScaler Gatewayを介したリモートアクセスを構成するには、 次の手順に従います。 上記の手順が完了していることを前提としています。 95 ストアの作成 1. [ストアの作成]ウィザードの[リモートアクセス]ページで、ユーザーがストアにア クセスする時に使用するゲートウェイ環境を、[NetScaler Gatewayアプライアンス] 一覧で選択します。 この一覧には、ほかのストアの作成時に追加したゲートウェイ環境 が表示されます。 一覧にゲートウェイ環境を追加する場合は、[追加]をクリックしま す。 追加しない場合は、手順13.に進みます。 2. [NetScaler Gatewayアプライアンスの追加]ダイアログボックスで、NetScaler Gatewayアプライアンスにわかりやすい名前を指定します。 ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 3. 展開環境の仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0の場合) のURLを入力します。 展開環境で使用する製品のバージョンを指定します。 StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名) は一意で、NetScaler Gateway仮想サーバーのFQDNと異なるものである必要がありま す。 StoreFrontとNetScaler Gateway仮想サーバーに同じFQDNを使用することはサポー トされていません。 4. 展開環境でAccess Gateway 5.0が実行されている場合は、手順6.に進みます。 それ以 外の場合は、必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレス を指定します。 サブネットIPアドレスは、Access Gateway 9.3アプライアンスの場合 は必須ですが、それより後の製品バージョンではオプションです。 このサブネットアドレスは、NetScaler Gatewayで内部ネットワークのサーバーと通信 するときに、ユーザーデバイスを表すために使用するIPアドレスです。 このアドレスは、 NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります。 StoreFrontは、サブネットIPアドレスを使用して、受信要求が信頼されているデバイス から発信されているかどうかを検証します。 5. NetScaler Gateway 10.1、Access Gateway 10、またはAccess Gateway 9.3のアプ ライアンスを追加する場合は、[ログオンの種類]の一覧から、Citrix Receiverユーザー 用にアプライアンスで構成した認証方法を選択します。 NetScaler Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファ イルに追加されます。 これにより、Citrix Receiverは、アプライアンスへの初回接続時 に適切な接続要求を送信できるようになります。 • • • • • 96 ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ ドメイン]を選択します。 セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリ ティトークン]を選択します。 ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの 両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。 テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[ SMS認証]を選択します。 スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択しま す。 ストアの作成 スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにする には、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。 手 順7.に進みます。 6. Access Gateway 5.0のアプライアンスを追加する場合は、ユーザーのログオンポイント のホスト(スタンドアロンのアプライアンスまたはクラスターの一部であるAccess Controllerサーバー)を指定します。 クラスターを追加する場合は、[次へ]をクリッ クして手順8.に進みます。 7. NetScaler Gateway 10.1、Access Gateway 10、Access Gateway 9.3、またはスタ ンドアロンAccess Gateway 5.0アプライアンスを追加する場合は、[コールバックURL] ボックスにNetScaler Gateway認証サービスのURLを入力します。 URLの標準的な部分 は自動的に補完されます。 [次へ]をクリックして手順10.に進みます。 アプライアンスの内部URLを入力します。 StoreFrontはNetScaler Gateway認証サービ スに接続して、NetScaler Gatewayからの要求の送信元がそのアプライアンスであるこ とを確認します。 8. StoreFrontにAccess Gateway 5.0クラスターを追加する場合は、[アプライアンス] ページでクラスター内のアプライアンスのIPアドレスまたはFQDNを一覧に追加して、 [次へ]をクリックします。 9. [サイレント認証を有効にする]ページで、Access Controllerサーバーで実行されてい る認証サービスのURLを一覧に追加します。 一覧に複数のサーバーのURLを追加すると、 その順番に基づいてフェールオーバーされます。 [次へ]をクリックします。 StoreFrontでは認証サービスを使用してリモートユーザーが認証されるため、リモート ユーザーがストアにアクセスするときに資格情報を再入力する必要はありません。 10. すべての展開環境で、XenDesktop、XenApp、またはVDI-in-a-Boxが提供するリソー スをストアで使用できるようにするには、[Secure Ticket Authority(STA)]ページ で、STAを実行しているサーバーのURLを一覧に追加します。 一覧に複数のSTAのURL を追加すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー ルオーバーを有効にできます。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストされ、接続要 求に応答してセッションチケットを発行します。 このセッションチケットに基づいて、 XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承認 されます。 11. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、2 つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されません。 StoreFrontがどちらのSTAにもアクセスできない場合は、 97 ストアの作成 単一のSTAを使用するようにフォールバックされます。 12. [作成]をクリックします。これにより、[リモートアクセス]ページの一覧に NetScaler Gatewayの展開環境が追加されます。 13. 必要に応じて手順1.~12.を繰り返し、[NetScaler Gatewayアプライアンス]の一覧 にNetScaler Gatewayの展開環境を追加します。 一覧で複数のエントリを選択して複数 のゲートウェイ環境を介したアクセスを有効にする場合は、デフォルトで使用されるア プライアンスを選択します。 14. [リモートアクセス]ページで[作成]をクリックします。 ストアが作成されたら、[ 完了]をクリックします。 ストアの設定変更について詳しくは、「ストアの構成」を参照してください。 ストアが作成されました。ただし、Citrix Receiver側でもストアに接続するための詳細を構 成する必要があります。 ユーザーによるReceiverの構成プロセスを簡単にするために、いく つかの方法が用意されています。 詳しくは、「ユーザーアクセスのオプション」を参照して ください。 また、Receiver for Webサイトを使用すると、ユーザーがWebページからデスクトップやア プリケーションにアクセスできるようになります。 新しいストアにアクセスするための Receiver for WebサイトのURLは、ストアを作成するときに表示されます。 デフォルトでは、新しいストアを作成するときに、XenApp ServicesサイトのURLが有効に なります。 ドメインに参加しているデスクトップアプライアンスのユーザー、Citrix Desktop Lockを実行している再目的化されたPCのユーザー、およびアップグレードできな い古いバージョンのCitrixクライアントのユーザーは、XenApp Servicesサイトから直接そ のストアに接続できます。 XenApp ServicesサイトのURLは、 http[s]://<serveraddress>/Citrix/<storename>/PNAgent/config.xmlの形式です。ここ で、<serveraddress>はStoreFront展開環境のサーバーまたは負荷分散環境の完全修飾ド メイン名で、<storename>は上記手順3.で指定した名前です。 98 ストアの構成 更新日: 2013-10-14 StoreFrontストアは、XenDesktop、XenApp、XenMobile App Controller、および VDI-in-a-Boxで提供されるデスクトップやアプリケーションを列挙および集約して、これら のリソースの一覧をユーザーに表示します。 このセクションの各タスクでは、Citrix StoreFront管理コンソールを使って、ストアの設定を変更する方法を説明します。 一部の詳 細設定を変更するには、ストアの構成ファイルを編集する必要があります。 詳しくは、「構 成ファイルを使ったStoreFrontの構成」を参照してください。 ここでは、以下のトピックについて説明します。 99 • ユーザー用のストアプロビジョニングファイルをエクスポートするには • ストアの非表示とアドバタイズ • ストアに表示するリソースを管理するには • NetScaler Gatewayを介したストアへのリモートアクセスを管理するには • Citrix Receiver更新プログラムを管理するには • Citrix Onlineアプリケーションをストアに統合するには • XenApp Servicesサイトを介した接続をサポートするには • ストアのセキュリティキーの生成 • ストアの削除 ユーザー用のストアプロビジョニングファ イルをエクスポートするには 更新日: 2013-10-14 ストアで使用されるNetScaler Gateway環境やビーコンポイントなどの詳細情報が定義され たプロビジョニングファイルを生成するには、[複数ストアのプロビジョニングファイルの エクスポート]および[プロビジョニングファイルのエクスポート]タスクを使用します。 ユーザーにプロビジョニングを提供すると、ユーザーがCitrix Receiverを簡単に構成できる ようになります。 Citrix Receiverプロビジョニングファイルは、Receiver for Webサイト から入手できるようにすることもできます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 Citrix StoreFront管理コンソールの左ペインで、[ストア]ノードを 選択します。 2. 複数のストアの詳細情報が定義されたプロビジョニングファイルを生成するには、[操 作]ペインの[複数ストアのプロビジョニングファイルのエクスポート]をクリックし て、対象のサイトを選択します。 単一ストアのプロビジョニングファイルを生成するに は、結果ペインでストアを選択し、[操作]ペインの[プロビジョニングファイルのエ クスポート]をクリックします。 3. [エクスポート]をクリックして、拡張子が.crのプロビジョニングファイルをネットワー ク上の適切な場所に保存します。 100 ストアの非表示とアドバタイズ 更新日: 2015-01-07 ユーザーがメールアドレスによるアカウント検出機能または完全修飾ドメイン名(FQDN) を使ってCitrix Receiverを構成する場合、特定のストアがユーザーのアカウントに追加され ないように、そのストアを非表示に設定できます。これを行うには、[ストアを表示しない] タスクを使用します。 新規に作成するストアのデフォルトでは、ユーザーがCitrix Receiver でStoreFrontストアを追加するときに、オプションとしてそのストアが表示されます。 スト アを非表示にしても、ユーザーがストアにアクセスできなくなるわけではありません。ユー ザーは、メールアドレスによるアカウント検出機能の代わりにCitrix Receiverでのストア接 続を手作業で構成したり、セットアップURLやプロビジョニングファイルを使用したりする 必要があります。 ストアの非表示状態を解除するには、[ストアのアドバタイズ]タスクを 使用します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 101 ストアに表示するリソースを管理するに は 更新日: 2013-10-14 XenDesktop、XenApp、AppController、およびVDI-in-a-Boxでストアに提供するリソー スを追加または削除したり、これらのリソースを提供するサーバーの詳細を変更したりする には、[Delivery Controllerの管理]タスクを使用します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペイ ンでストアを選択します。 [操作]ペインの[Delivery Controllerの管理]をクリック します。 3. ストアにデスクトップやアプリケーションを提供するXenDesktop、XenApp、App Controller、またはVDI-in-a-Box展開環境を追加するには、[Delivery Controllerの管 理]ダイアログボックスで[追加]をクリックします。 展開環境の設定を変更するには、 [Delivery Controller]ボックスの一覧でエントリを選択して[編集]をクリックしま す。 展開環境により提供されるリソースをストアから削除するには、ボックスの一覧で エントリを選択して[削除]をクリックします。 4. [Delivery Controllerの追加]または[Delivery Controllerの編集]ダイアログボック スで、この展開環境に対するわかりやすい名前を指定し、リソースを提供するインフラ ストラクチャの種類([XenDesktop]、[XenApp]、[AppController]、または[ VDI-in-a-Box])を選択します。 App Controllerを選択する場合は、表示名として入力 した文字列にスペースが含まれていないことを確認してください。 5. インフラストラクチャの種類としてXenDesktop、XenApp、またはVDI-in-a-Boxサー バーを選択した場合は、手順6.に進みます。 App Controllerにより管理されるアプリケー ションをストアで使用できるようにするには、App Controller仮想アプライアンスの名 前またはIPアドレスを[サーバー]ボックスに入力し、App Controllerへの接続に使用 するStoreFrontのポートを指定します。 デフォルトのポート番号は443です。 手順10. に進みます。 6. XenDesktop、XenApp、またはVDI-in-a-Boxが提供するデスクトップやアプリケーショ ンをストアに追加するには、[追加]をクリックしてサーバーの名前またはIPアドレス を入力します。 この一覧に複数のサーバーを追加すると、その順番に基づいてフェール オーバーされます。 XenDesktopサイトの場合は、Delivery Controllerの詳細を指定し ます。 XenAppファームの場合は、Citrix XML Serviceを実行しているサーバーを一覧 に追加します。 VDI-in-a-Boxグリッドを追加するには、グリッド用の仮想IPアドレスが 構成されている場合はそのIPアドレスを追加するか、各サーバーのIPアドレスを追加し ます。 サーバーの名前またはIPアドレスを変更するには、[サーバー]ボックスの一覧 でエントリを選択して[編集]をクリックします。 一覧からエントリを削除するには、 102 ストアに表示するリソースを管理するには そのエントリを選択して[削除]をクリックします。これにより、そのサーバーからの リソースがストアに列挙されなくなります。 7. [トランスポートの種類]ボックスの一覧から、StoreFrontでサーバーとの通信に使用 する接続の種類を選択します。 • • • 暗号化されていない接続でデータを送信するには[HTTP]を選択します。 このオプ ションを選択する場合は、StoreFrontとサーバー間の接続を何らかの方法で保護す ることを検討してください。 SSL(Secure Sockets Layer)またはTLS(Transport Layer Security)を使用す る保護されたHTTP接続でデータを送信するには、[HTTPS]を選択します。 XenDesktopまたはXenAppサーバーに対してこのオプションを選択する場合は、 Citrix XML ServiceがポートをIIS(Microsoftインターネットインフォメーションサー ビス)と共有する設定になっていることと、IISがHTTPSをサポートするように構成 されていることを確認してください。 XenAppサーバーとの通信でSSL Relayによるホスト認証とデータの暗号化を実行す るには、[SSL Relay]を選択します。 注: StoreFrontとサーバーの間の通信でHTTPSまたはSSL Relayを使用する場合は、 [サーバー]ボックスの一覧に指定したサーバー名がそのサーバーの証明書のサーバー 名と一致することを確認してください(大文字/小文字は区別されます)。 8. StoreFrontがサーバーに接続するときに使用するポートを指定します。 デフォルトでは、 HTTP接続およびSSL Relay接続では80、HTTPS接続では443が使用されます。 XenDesktopおよびXenAppサーバーの場合、Citrix XML Serviceで使用されるポート番 号を指定する必要があります。 9. StoreFrontとXenAppサーバーの間の接続をSSL Relayで保護する場合は、SSL Relayの TCPポートを[SSL Relayポート]ボックスで指定します。 デフォルトのポート番号は 443です。 SSL Relayを実行するすべてのサーバーで同じポートが構成されていること を確認してください。 10. [OK]をクリックします。 XenDesktop、XenApp、App Controller、および VDI-in-a-Boxの展開環境を自由に組み合わせてストアを作成できます。 必要に応じて手 順3.~10.を繰り返し、[Delivery Controller]の一覧にほかの展開環境を追加したり既 存のエントリを変更したりします。 103 NetScaler Gatewayを介したストアへ のリモートアクセスを管理するには 更新日: 2013-10-15 公共のネットワークから接続するユーザーに対してNetScaler Gatewayを介したストアへの アクセスを構成するには、[リモートアクセスの有効化]タスクを使用します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペイ ンでストアを選択します。 [操作]ペインの[リモート アクセスの有効化]をクリック します。 3. [リモートアクセスの有効化]ダイアログボックスでは、公共のネットワーク上のユー ザーにNetScaler Gatewayを介したアクセスを提供するかどうか、およびその方法を指 定します。 • • 公共のネットワーク上のユーザーにストアへのアクセスを禁止するには、[なし]を 選択します。 これにより、内部ネットワークのローカルユーザーのみがストアにア クセスできるようになります。 NetScaler Gateway経由でアクセスするユーザーにストアのリソースのみを提供す るには、[VPNトンネルなし]を選択します。 この場合、ユーザーはNetScaler Gatewayに直接ログオンするため、NetScaler Gateway Plug-inを使用する必要は ありません。 SSL(Secure Sockets Layer)仮想プライベートネットワーク(VPN)トンネルを 介して内部ネットワーク上のストアやほかのリソースへのアクセスを提供するには、 [完全VPNトンネル]を選択します。 この場合、ユーザーはVPNトンネルを確立す るためのNetScaler Gateway Plug-inを使用する必要があります。 ストアへのリモートアクセスを有効にすると、認証方法としてNetScaler Gatewayから のパススルーが自動的に有効になります。 ユーザーはNetScaler Gatewayにログオンす るときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 • 4. リモートアクセスを有効にした場合は、ユーザーがストアにアクセスするときに使用す る展開環境を[NetScaler Gatewayアプライアンス]一覧から選択します。 この一覧に は、このストアやほかのストアの作成時に追加したゲートウェイ環境が表示されます。 一覧にゲートウェイ環境を追加する場合は、[追加]をクリックします。 追加しない場 合は、手順16.に進みます。 5. [全般設定]ページで、NetScaler Gateway展開環境にわかりやすい名前を指定します。 104 NetScaler Gatewayを介したストアへのリモートアクセスを管理するには ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 6. 展開環境の仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0の場合) のURLを入力します。 展開環境で使用する製品のバージョンを指定します。 StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名) は一意で、NetScaler Gateway仮想サーバーのFQDNと異なるものである必要がありま す。 StoreFrontとNetScaler Gateway仮想サーバーに同じFQDNを使用することはサポー トされていません。 7. 展開環境でAccess Gateway 5.0が実行されている場合は、手順9.に進みます。 それ以 外の場合は、必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレス を指定します。 サブネットIPアドレスは、Access Gateway 9.3アプライアンスの場合 は必須ですが、それより後の製品バージョンではオプションです。 このサブネットアドレスは、NetScaler Gatewayで内部ネットワークのサーバーと通信 するときに、ユーザーデバイスを表すために使用するIPアドレスです。 このアドレスは、 NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります。 StoreFrontは、サブネットIPアドレスを使用して、受信要求が信頼されているデバイス から発信されているかどうかを検証します。 8. NetScaler Gateway 10.1、Access Gateway 10、またはAccess Gateway 9.3のアプ ライアンスを追加する場合は、[ログオンの種類]の一覧から、Citrix Receiverユーザー 用にアプライアンスで構成した認証方法を選択します。 NetScaler Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファ イルに追加されます。 これにより、Citrix Receiverは、アプライアンスへの初回接続時 に適切な接続要求を送信できるようになります。 • • • • ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ ドメイン]を選択します。 セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリ ティトークン]を選択します。 ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの 両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。 テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[ SMS認証]を選択します。 スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択しま す。 スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにする には、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。 手 順10.に進みます。 • 9. Access Gateway 5.0のアプライアンスを追加する場合は、ユーザーのログオンポイント のホスト(スタンドアロンのアプライアンスまたはクラスターの一部であるAccess Controllerサーバー)を指定します。 クラスターを追加する場合は、[次へ]をクリッ クして手順11.に進みます。 105 NetScaler Gatewayを介したストアへのリモートアクセスを管理するには 10. NetScaler Gateway 10.1、Access Gateway 10、Access Gateway 9.3、またはスタ ンドアロンAccess Gateway 5.0アプライアンスを追加する場合は、[コールバックURL] ボックスにNetScaler Gateway認証サービスのURLを入力します。 URLの標準的な部分 は自動的に補完されます。 [次へ]をクリックして手順13.に進みます。 アプライアンスの内部URLを入力します。 StoreFrontはNetScaler Gateway認証サービ スに接続して、NetScaler Gatewayからの要求の送信元がそのアプライアンスであるこ とを確認します。 11. StoreFrontにAccess Gateway 5.0クラスターを追加する場合は、[アプライアンス] ページでクラスター内のアプライアンスのIPアドレスまたはFQDNを一覧に追加して、 [次へ]をクリックします。 12. [サイレント認証を有効にする]ページで、Access Controllerサーバーで実行されてい る認証サービスのURLを一覧に追加します。 一覧に複数のサーバーのURLを追加すると、 その順番に基づいてフェールオーバーされます。 [次へ]をクリックします。 StoreFrontでは認証サービスを使用してリモートユーザーが認証されるため、リモート ユーザーがストアにアクセスするときに資格情報を再入力する必要はありません。 13. すべての展開環境で、XenDesktop、XenApp、またはVDI-in-a-Boxが提供するリソー スをストアで使用できるようにするには、[Secure Ticket Authority(STA)]ページ で、STAを実行しているサーバーのURLを一覧に追加します。 一覧に複数のSTAのURL を追加すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー ルオーバーを有効にできます。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストされ、接続要 求に応答してセッションチケットを発行します。 このセッションチケットに基づいて、 XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承認 されます。 14. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、セッ ションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないよ うに、StoreFrontにより2つの異なるSTAからセッションチケットが取得されます。 StoreFrontがどちらのSTAにもアクセスできない場合は、単一のSTAを使用するように フォールバックされます。 15. [作成]をクリックします。これにより、[リモートアクセスの有効化]ダイアログボッ クスの一覧にNetScaler Gatewayの展開環境が追加されます。 16. 必要に応じて手順4.~15.を繰り返し、[NetScaler Gatewayアプライアンス]の一覧 にNetScaler Gatewayの展開環境を追加します。 一覧で複数のエントリを選択して複数 のゲートウェイ環境を介したアクセスを有効にする場合は、デフォルトで使用されるア 106 NetScaler Gatewayを介したストアへのリモートアクセスを管理するには プライアンスを選択します。 107 Citrix Receiver更新プログラムを管理す るには 更新日: 2013-10-14 デバイスにReceiver for Windowsをインストールしてストアに初めてアクセスするユーザー に更新プログラムを配信する方法を指定するには、[Citrix Receiverの更新の管理]タスク を使用します。 Citrix Webサイトからの自動更新を有効にする場合は、ユーザーデバイスに 追加のプラグインソフトウェアを提供することもできます。これにより、Receiver for Windowsを構成したユーザーが、ストアのすべての機能に直ちにアクセスできるようになり ます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペイ ンでストアを選択します。 [操作]ペインの[Citrix Receiverの更新の管理]をクリッ クします。 3. 初めてストアにアクセスするユーザーが、Receiver for Windowsをどのように更新する かを指定します。 • • Citrixから更新プログラムが自動的にダウンロードされるようにするには、[Citrix (citrix.com)]を選択します。 これにより、ユーザーがインターネットとの接続 を確立すると、Receiver for Windowsおよびそのプラグインソフトウェアの最新の 更新プログラムがCitrix社のWebサイトから自動的にダウンロードされます。 Merchandising Serverを使ってReceiver for Windowsの更新を管理している場合 は、[Merchandising Server]を選択してMerchandising Serverアプライアンス の完全修飾ドメイン名を入力します。 認証サービスとの通信にHTTPSを使用する場 合は、Merchandising ServerアプライアンスにSSL(Secure Sockets Layer)証明 書をインストールしてください。 Merchandising Serverを有効にしてユーザーを識 別するためのStoreFront認証サービスの使用について詳しくは、「認証の構成」を 参照してください。 サードパーティ製の電子ソフトウェア配信ツールを使用するなど、ほかの方法で更新 を管理する場合は、[更新をチェックしない]を選択します。 この場合、ユーザー はReceiver for Windowsのユーザーインターフェイスから手動で更新をチェックで きます。 4. Citrix社のWebサイトからの自動更新を選択した場合は、同時に更新されプラグインソフ トウェアを指定しできます。 • • 108 [Offline Plug-in]を選択すると、Receiver for Windowsユーザーがオフラインア プリケーションにアクセスできるようなります。 Citrix Receiver更新プログラムを管理するには • • 109 [Secure Access Plug-in]を選択すると、公共ネットワーク上のユーザーが、内部 ネットワーク上のストアやほかのリソースへの仮想プライベートネットワーク( VPN)接続を確立できるようになります。 管理者がストアへの完全なVPNアクセス を有効にした場合は、デフォルトでNetScaler Gateway Plug-inが更新に含まれ、解 除することはできません。 [HDX RealTime Media Engine]を選択すると、XenDesktopリソースで提供され るオーディオやビデオ通信にアクセスできるようになります。 Citrix Onlineアプリケーションをストア に統合するには 更新日: 2013-10-14 [Citrix Onlineとの統合]タスクを使用すると、ストアにCitrix Onlineアプリケーションを 追加して、ユーザーがそれらのCitrix Onlineアプリケーションをサブスクライブしたときの Citrix Receiverの動作を指定できます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペイ ンでストアを選択します。 [操作]ペインの[Citrix Onlineとの統合]をクリックしま す。 3. ストアに追加するCitrix Onlineアプリケーションを選択して、ユーザーがCitrix Online アプリケーションをサブスクライブしたときのCitrix Receiverの動作を指定します。 • • • 110 選択したアプリケーションの試用アカウントをユーザーがセットアップできるように するには、[ユーザーのトライアルアカウントのセットアップを必要に応じて支援す る]を選択します。 選択したアプリケーションのアカウントについてユーザーがシステム管理者に問い合 わせるようにするには、[ユーザーがヘルプデスクにアカウントについて問い合わせ るようにする]を選択します。 選択したアプリケーションのアカウントをすべてのユーザーが持っている場合は、[ アプリケーションを直ちに追加する]を選択します。 XenApp Servicesサイトを介した接続 をサポートするには 更新日: 2013-10-14 XenApp ServicesサイトのURLからストアにアクセスできるようにするには、[レガシサポー トの構成]タスクを使用します。 ドメインに参加しているデスクトップアプライアンスのユー ザー、Citrix Desktop Lockを実行している再目的化されたPCのユーザー、およびアップグ レードできない古いバージョンのCitrixクライアントのユーザーは、XenApp Servicesサイ トから直接そのストアに接続できます。 デフォルトでは、新しいストアを作成するときに、 XenApp ServicesサイトのURLが有効になります。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペイ ンでストアを選択します。 [操作]ペインのConfigure Legacy Supportをクリックし ます。 3. [レガシサポートを有効にする]チェックボックスをオンまたはオフにして、XenApp Servicesサイトを介したストアへのユーザーアクセスが有効または無効になります。 XenApp ServicesサイトのURLは、http[s]://<serveraddress>/Citrix/<storename> /PNAgent/config.xmlの形式です。ここで、<serveraddress>はStoreFront展開環境の サーバーまたは負荷分散環境の完全修飾ドメイン名で、<storename>はストアの作成 時に指定した名前です。 4. レガシサポートを有効にする場合は、必要に応じてCitrix Online Plug-inユーザーのデフォ ルトストアを指定します。 デフォルトストアを指定すると、ユーザーが特定ストアのXenApp Services URLではな くStoreFrontサーバーのURLまたは負荷分散URLを使用してCitrix Online Plug-inを構成 できるようになります。 111 ストアのセキュリティキーの生成 更新日: 2013-10-14 ストアで使用する自己署名証明書に新しいセキュリティキーを生成するには、[セキュリティ キーの生成]タスクを使用します。 セキュリティ上、StoreFrontにより生成される自己署 名証明書に対して定期的にセキュリティキーを生成することを推奨します。 新しいセキュリ ティキーを生成すると、既にストアにアクセスしているすべてのユーザーに再認証が必要に なります。 このため、このタスクはユーザーの活動が少ない時間帯に実行してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 112 ストアの削除 更新日: 2013-10-14 ストアを削除するには、[ストアの削除]タスクを使用します。 ストアを削除すると、関連 付けられているReceiver for Webサイト、デスクトップアプライアンスサイト、および XenApp Servicesサイトもすべて削除されます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 113 Receiver for Webサイトを作成するに は 更新日: 2013-10-15 ユーザーがWebページからストアにアクセスできるようにするには、[Webサイトの作成] タスクを使用してReceiver for Webサイトを追加します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[Receiver for Web]ノードを選択して、 [操作]ペインの[Webサイトの作成]をクリックします。 3. 作成するReceiver for Webサイトのストアを選択します。 ほかのサーバーでホストされ るストアのサイトを作成する場合は、[リモートストア]を選択してリモートストアの URLを指定します。 4. このReceiver for WebサイトにアクセスするためのURLを変更する場合は、[Webサイ トパス]ボックスに必要な変更を加えます。 [作成]をクリックし、サイトが作成され たら[完了]をクリックします。 ユーザーがこのReceiver for WebサイトにアクセスするためのURLが表示されます。 Receiver for Webサイトの設定の変更について詳しくは、「Receiver for Webサイトの 構成」を参照してください。 デフォルトでは、ユーザーがWindowsまたはMac OS Xが動作するコンピューターから Receiver for Webサイトにアクセスすると、Citrix Receiverがユーザーデバイスにインストー ル済みであるかどうかが判別されます。 Citrix Receiverが検出されない場合は、プラットフォ ームに適したCitrix Receiverをダウンロードしてインストールするためのページが開きます。 この動作を変更する方法については、「Citrix Receiverの検出と展開を無効にするには」を 参照してください。 Receiver for Webサイトのデフォルト構成では、デスクトップとアプリケーションにアクセ スするために、ユーザーが適切なバージョンのCitrix Receiverをインストールする必要があ ります。 ただし、Receiver for WebサイトのReceiver for HTML5を有効にすると、Citrix Receiverをインストールできないユーザーもリソースにアクセスできるようになります。 詳 しくは、「Receiver for Webサイトの構成」を参照してください。 114 Receiver for Webサイトの構成 更新日: 2013-10-21 Receiver for Webサイトを構成すると、ユーザーがWebページからストアにアクセスできる ようになります。 以下のタスクでは、Receiver for Webサイトの設定を変更します。 一部 の詳細設定を変更するには、サイトの構成ファイルを編集する必要があります。 詳しくは、 「構成ファイルを使ったReceiver for Webサイトの構成」を参照してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 ほかのWebサイトにリソースのショートカッ トを追加するには 内部ネットワーク上でホストされているWebサイトからデスクトップやアプリケーションに すばやくアクセスできるようにするには、[Webサイトへのショートカットの追加]タスク を使用します。 Receiver for Webサイトで配信するリソースのURLを生成して、これらの リンクをWebサイトに埋め込みます。 ユーザーがリンクをクリックすると、Receiver for Webサイトにリダイレクトされます。ここで、ユーザーがReceiver for Webサイトにログオ ンしていない場合はログオンします。 Receiver for Webサイトでは、リソースが自動的に 起動します。 ユーザーがサブスクライブしていないアプリケーションの場合は、自動的にサ ブスクライブされます。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[Receiver for Web]ノードを選択して、 結果ペインでサイトを選択します。 [操作]ペインの[Webサイトへのショートカット の追加]をクリックします。 3. [追加]をクリックして、ショートカットをホストしようとするWebサイトのURLを入 力します。 URLは、http[s]://<hostname>[:<port>]の形式で指定する必要がありま す。ここで、<hostname>はWebサイトホストの完全修飾ドメイン名です。<port>は ホストとの通信に使用するポートで、プロトコルのデフォルトポートを使用できない場 合に指定します。 Webサイトの特定のページへのパスを指定する必要はありません。 URLを変更するには、[Webサイト]の一覧でエントリを選択して[編集]をクリック します。 Receiver for Webサイトのリソースへのショートカットを削除するには、一覧 でWebサイトを選択して、[削除]をクリックします。 4. [アプリケーションショートカットを取得]をクリックし、変更内容の保存を確認する メッセージが表示されたら、[保存]をクリックします。 5. Webブラウザーに表示されたReceiver for Webサイトにログオンして、必要なURLをコ ピーします。 115 Receiver for Webサイトの構成 Receiver for Webサイトのストアの変更 Receiver for Webサイトからアクセスされるストアを変更するには、[ストアの変更]タス クを使用します。 1つのサイトから複数のストアにアクセスすることはできません。 ほかの サーバーでホストされるストアに変更するには、[リモートストア]を選択してリモートス トアのURLを指定します。 Citrix Receiverをインストールしていないユー ザーがアクセスしたときのサイトの動作を構成 するには Citrix ReceiverをインストールしていないWindowsまたはMac OS Xユーザーがアクセスし たときのReceiver for Webサイトの動作を構成するには、[Citrix Receiverの展開]タスク を使用します。 デフォルトでは、WindowsまたはMac OS Xを実行しているコンピューター からアクセスすると、Citrix Receiverがインストールされているかどうかが自動的に判別さ れます。 この動作を変更する方法については、「Citrix Receiverの検出と展開を無効にする には」を参照してください。 Citrix Receiverが検出されない場合は、プラットフォームに適したCitrix Receiverをダウン ロードしてインストールするためのページが開きます。 デフォルトのダウンロード元は Citrix社のWebサイトですが、StoreFrontサーバーにインストールファイルをコピーして、 ユーザーにこれらのローカルファイルを提供することもできます。 詳しくは、「Citrix Receiverインストールファイルをサーバーから入手できるようにするには」を参照してくだ さい。 Citrix Receiverをインストールできないユーザーについては、Receiver for Webサイトで Receiver for HTML5を有効にできます。 Receiver for HTML5を使用すると、デスクトップ やアプリケーションにHTML5互換のWebブラウザーからアクセスできます。デバイスに Citrix Receiverをインストールする必要はありません。 内部ネットワーク接続、および外部 ネットワークからNetScaler Gateway経由での接続の両方がサポートされています。 ただし、 内部ネットワークからの接続の場合、Receiver for HTML5では特定の製品で提供されるリソー スにのみアクセスできます。 さらに、社内ネットワークの外から接続できるようにするには、 特定のバージョンのNetScaler Gatewayが必要です。 詳しくは、「インフラストラクチャの 要件」を参照してください。 デフォルトでは、内部ネットワーク上のローカルユーザーがXenDesktopやXenAppで提供さ れるリソースにReceiver for HTML5でアクセスすることはできません。 Receiver for HTML5でデスクトップやアプリケーションへのローカルアクセスを有効にするには、 XenDesktopおよびXenAppのサーバー側でポリシーの[ICA WebSockets接続]を有効に する必要があります。 XenDesktopおよびXenAppでは、Receiver for HTML5での接続にポー ト8008が使用されます。 ファイアウォールやほかのネットワークデバイスで、このポート へのアクセスが許可されることを確認してください。 詳しくは、「WebSocketのポリシー 設定」を参照してください。 Receiver for HTML5は、Internet ExplorerではHTTP接続でのみ使用できます。 Mozilla FirefoxでHTTPS接続のReceiver for HTML5を使用するには、Firefoxのアドレスバーに「 about:config」と入力し、[network.websocket.allowInsecureFromHTTPS]をtrueに設 定します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 116 Receiver for Webサイトの構成 2. Citrix StoreFront管理コンソールの左ペインで[Receiver for Web]ノードを選択して、 結果ペインでサイトを選択します。 [操作]ペインの[Citrix Receiverの展開]をクリッ クします。 3. ユーザーのデバイスでCitrix Receiverが検出されない場合の、Receiver for Webサイト の動作を指定します。 • • • プラットフォームに適したCitrix Receiverをダウンロードしてインストールするた めのページを表示するには、[ローカルにインストール]を選択します。 この場合、 ユーザーがReceiver for Webサイトからデスクトップやアプリケーションにアクセ スするには、Citrix Receiverのインストールが必要になります。 Citrix Receiverをダウンロードしてインストールするためのメッセージを表示し、 インストールできない場合はReceiver for HTML5が使用されるようにするには、[ ローカルインストールに失敗した場合にReceiver for HTML5を使用する]を選択し ます。 この場合、Citrix ReceiverをインストールしていないユーザーがReceiver for Webサイトにログオンするたびに、Citrix Receiverをダウンロードしてインストー ルすることを求めるメッセージが表示されます。 Citrix Receiverをダウンロードしてインストールすることを求めるメッセージを表 示せずに、Receiver for HTML5を使用してリソースにアクセスできるようにするに は、[常にReceiver for HTML5を使用する]を選択します。 この場合、Citrix Receiverをインストールしていないユーザーは常にReceiver for HTML5を使用して デスクトップやアプリケーションにアクセスします(HTML5互換のWebブラウザー が必要です)。 Receiver for Webサイトの削除 Receiver for Webサイトを削除するには、[Webサイトの削除]タスクを使用します。 サ イトを削除すると、ユーザーはそのWebページを使用してストアにアクセスできなくなりま す。 117 NetScaler Gateway接続を追加するに は 更新日: 2013-10-15 ユーザーがストアにアクセスするときに経由するNetScaler Gateway展開環境を追加するに は、[NetScaler Gatewayアプライアンスの追加]タスクを使用します。 NetScaler Gatewayを経由するストアへのリモートアクセスを構成するには、その前に認証方法として NetScaler Gatewayからのパススルーを有効にする必要があります。 StoreFrontでの NetScaler Gatewayの構成について詳しくは、「Integrating NetScaler Gateway with XenMobile App Edition」を参照してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[NetScaler Gateway]ノードを選択し て、[操作]ペインの[NetScaler Gatewayアプライアンスの追加]をクリックします。 3. [全般設定]ページで、NetScaler Gateway展開環境にわかりやすい名前を指定します。 ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 4. 展開環境の仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0の場合) のURLを入力します。 展開環境で使用する製品のバージョンを指定します。 StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名) は一意で、NetScaler Gateway仮想サーバーのFQDNと異なるものである必要がありま す。 StoreFrontとNetScaler Gateway仮想サーバーに同じFQDNを使用することはサポー トされていません。 5. 展開環境でAccess Gateway 5.0が実行されている場合は、手順7.に進みます。 それ以 外の場合は、必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレス を指定します。 サブネットIPアドレスは、Access Gateway 9.3アプライアンスの場合 は必須ですが、それより後の製品バージョンではオプションです。 このサブネットアドレスは、NetScaler Gatewayで内部ネットワークのサーバーと通信 するときに、ユーザーデバイスを表すために使用するIPアドレスです。 このアドレスは、 NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります。 StoreFrontは、サブネットIPアドレスを使用して、受信要求が信頼されているデバイス から発信されているかどうかを検証します。 118 NetScaler Gateway接続を追加するには 6. NetScaler Gateway 10.1、Access Gateway 10、またはAccess Gateway 9.3のアプ ライアンスを追加する場合は、[ログオンの種類]の一覧から、Citrix Receiverユーザー 用にアプライアンスで構成した認証方法を選択します。 NetScaler Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファ イルに追加されます。 これにより、Citrix Receiverは、アプライアンスへの初回接続時 に適切な接続要求を送信できるようになります。 • • • • ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ ドメイン]を選択します。 セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリ ティトークン]を選択します。 ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの 両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。 テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[ SMS認証]を選択します。 スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択しま す。 スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにする には、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。 手 順8.に進みます。 • 7. Access Gateway 5.0のアプライアンスを追加する場合は、ユーザーのログオンポイント のホスト(スタンドアロンのアプライアンスまたはクラスターの一部であるAccess Controllerサーバー)を指定します。 クラスターを追加する場合は、[次へ]をクリッ クして手順9.に進みます。 8. NetScaler Gateway 10.1、Access Gateway 10、Access Gateway 9.3、またはスタ ンドアロンAccess Gateway 5.0アプライアンスを追加する場合は、[コールバックURL] ボックスにNetScaler Gateway認証サービスのURLを入力します。 URLの標準的な部分 は自動的に補完されます。 [次へ]をクリックして手順11.に進みます。 アプライアンスの内部URLを入力します。 StoreFrontはNetScaler Gateway認証サービ スに接続して、NetScaler Gatewayからの要求の送信元がそのアプライアンスであるこ とを確認します。 9. StoreFrontにAccess Gateway 5.0クラスターを追加する場合は、[アプライアンス] ページでクラスター内のアプライアンスのIPアドレスまたはFQDNを一覧に追加して、 [次へ]をクリックします。 10. [サイレント認証を有効にする]ページで、Access Controllerサーバーで実行されてい る認証サービスのURLを一覧に追加します。 一覧に複数のサーバーのURLを追加すると、 その順番に基づいてフェールオーバーされます。 [次へ]をクリックします。 StoreFrontでは認証サービスを使用してリモートユーザーが認証されるため、リモート ユーザーがストアにアクセスするときに資格情報を再入力する必要はありません。 11. すべての展開環境で、XenDesktop、XenApp、またはVDI-in-a-Boxが提供するリソー スをストアで使用できるようにするには、[Secure Ticket Authority(STA)]ページ で、STAを実行しているサーバーのURLを一覧に追加します。 一覧に複数のSTAのURL を追加すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー 119 NetScaler Gateway接続を追加するには ルオーバーを有効にできます。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストされ、接続要 求に応答してセッションチケットを発行します。 このセッションチケットに基づいて、 XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承認 されます。 12. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、2 つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されません。 StoreFrontがどちらのSTAにもアクセスできない場合は、 単一のSTAを使用するようにフォールバックされます。 13. [作成]をクリックして、NetScaler Gateway展開環境の詳細を追加します。 展開環境 が追加されたら、[完了]をクリックします。 展開環境の詳細を更新する方法について詳しくは、「NetScaler Gateway接続設定の構 成」を参照してください。 NetScaler Gatewayを介したストアへのアクセスを提供するには、1つの内部ビーコンポイ ントと、2つ以上の外部ビーコンポイントが必要です。 Citrix Receiverは、ユーザーがロー カルネットワークと公共のネットワークのどちらに接続しているのかをビーコンポイントを 使用して識別し、適切なアクセス方法を選択します。 StoreFrontでは、内部ビーコンポイン トとしてデフォルトでサーバーのURLまたは負荷分散URLが使用されます。 外部ビーコンポ イントは、デフォルトでCitrix社のWebサイト、および管理者が追加した最初のNetScaler Gateway仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0の場合)の URLが使用されます。 ビーコンポイントの変更について詳しくは、「ビーコンポイントを構 成するには」を参照してください。 ユーザーがNetScaler Gatewayを介してストアにアクセスできるようにするには、そのスト アのリモートユーザーアクセスを構成する必要があります。 120 NetScaler Gateway接続設定の構成 更新日: 2013-10-15 以下のタスクでは、ユーザーがストアにアクセスするときに経由するNetScaler Gateway環 境の詳細を更新します。 StoreFrontでのNetScaler Gatewayの構成について詳しくは、「 Integrating NetScaler Gateway with XenMobile App Edition」を参照してください。 NetScaler Gateway環境の構成を変更する場合は、そのNetScaler Gatewayを経由してスト アにアクセスするユーザーに変更内容を通知して、Citrix Receiverの設定を更新させてくだ さい。 ストアのReceiver for Webサイトが構成済みの場合、ユーザーはそのサイトから最 新のCitrix Receiverプロビジョニングファイルを入手できます。 Receiver for Webサイト が構成済みでない場合は、管理者がストアのプロビジョニングファイルをエクスポートして ユーザーに提供します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 NetScaler Gatewayの全般的な設定を変更す るには ユーザーに表示されるNetScaler Gateway環境の名前を変更し、NetScaler Gatewayインフ ラストラクチャの仮想サーバー、ユーザーログオンポイントのURL、および展開モードを変 更するには、[全般設定の変更]タスクを使用します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[NetScaler Gateway]ノードを選択し て、結果ペインでNetScaler Gateway展開環境を選択します。 [操作]ペインで[全体 設定の変更]をクリックします。 3. NetScaler Gatewayの展開環境にわかりやすい名前を指定します。 ここで指定する表示名がユーザーのCitrix Receiverに表示されます。そのため、ユーザー が使用するNetScaler Gatewayを判断しやすいように、名前に関連情報を含める必要が あります。 たとえば、ユーザーが自分のいる場所に最も便利なNetScaler Gatewayを簡 単に特定できるように、表示名に地理情報を含めることができます。 4. 展開環境の仮想サーバーまたはユーザーログオンポイント(Access Gateway 5.0の場合) のURLを入力します。 展開環境で使用する製品のバージョンを指定します。 StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名) は一意で、NetScaler Gateway仮想サーバーのFQDNと異なるものである必要がありま す。 StoreFrontとNetScaler Gateway仮想サーバーに同じFQDNを使用することはサポー トされていません。 121 NetScaler Gateway接続設定の構成 5. 展開環境でAccess Gateway 5.0が実行されている場合は、手順7.に進みます。 それ以 外の場合は、必要に応じてNetScaler GatewayアプライアンスのサブネットIPアドレス を指定します。 サブネットIPアドレスは、Access Gateway 9.3アプライアンスの場合 は必須ですが、それより後の製品バージョンではオプションです。 このサブネットアドレスは、NetScaler Gatewayで内部ネットワークのサーバーと通信 するときに、ユーザーデバイスを表すために使用するIPアドレスです。 このアドレスは、 NetScaler GatewayアプライアンスのマップされたIPアドレスである場合もあります。 StoreFrontは、サブネットIPアドレスを使用して、受信要求が信頼されているデバイス から発信されているかどうかを検証します。 6. アプライアンスでNetScaler Gateway 10.1、Access Gateway 10、またはAccess Gateway 9.3を実行している場合は、[ログオンの種類]の一覧から、Citrix Receiver ユーザー用にアプライアンスで構成した認証方法を選択します。 NetScaler Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファ イルに追加されます。 これにより、Citrix Receiverは、アプライアンスへの初回接続時 に適切な接続要求を送信できるようになります。 • • • • ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ ドメイン]を選択します。 セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリ ティトークン]を選択します。 ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの 両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。 テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[ SMS認証]を選択します。 スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択しま す。 スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにする には、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。 • 7. 展開環境でNetScaler Gateway 10.1、Access Gateway 10、Access Gateway 9.3、 または単一のAccess Gateway 5.0アプライアンスを実行している場合は、NetScaler Gateway認証サービスのURLを[コールバックURL]ボックスに入力します。 URLの標 準的な部分は自動的に補完されます。 アプライアンスの内部URLを入力します。 StoreFrontはNetScaler Gateway認証サービ スに接続して、NetScaler Gatewayからの要求の送信元がそのアプライアンスであるこ とを確認します。 Access Gateway 5.0アプライアンスの管理 StoreFrontでAccess Gateway 5.0クラスター内のアプライアンスのIPアドレスまたは FQDNを追加、編集、または削除するには、[アプライアンスの管理]タスクを使用します。 122 NetScaler Gateway接続設定の構成 Access Controllerを経由するサイレントユー ザー認証の有効化 Access Gateway 5.0クラスターのAccess Controllerサーバーで実行している認証サービス のURLを追加、編集、または削除するには、[サイレント認証を有効にする]タスクを使用 します。 一覧に複数のサーバーのURLを入力すると、その順番に基づいてフェールオーバー されます。 StoreFrontでは認証サービスを使用してリモートユーザーが認証されるため、リ モートユーザーがストアにアクセスするときに資格情報を再入力する必要はありません。 Secure Ticket Authorityを管理するには ユーザーセッションチケットを取得するSecure Ticket Authority(STA)の一覧を更新した り、セッション画面の保持機能を構成したりするには、[Secure Ticket Authority]タスク を使用します。 STAは、XenDesktop、XenApp、およびVDI-in-a-Boxサーバーでホストさ れ、接続要求に応答してセッションチケットを発行します。 このセッションチケットに基づ いて、XenDesktop、XenApp、およびVDI-in-a-Boxリソースへのアクセスが認証および承 認されます。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[NetScaler Gateway]ノードを選択し て、結果ペインでNetScaler Gateway展開環境を選択します。 [操作]ペインで[ Secure Ticket Authority]をクリックします。 3. [追加]をクリックして、STAサーバーのURLを入力します。 一覧に複数のSTAのURL を入力すると、その順番に基づいてフェールオーバーされます。 VDI-in-a-Box展開環境 でグリッド用の仮想IPアドレスを構成してある場合は、そのアドレスを指定してフェー ルオーバーを有効にできます。 URLを変更するには、[Secure Ticket Authority URL] ボックスの一覧でエントリを選択して[編集]をクリックします。 特定のSTAからセッ ションチケットを取得しないようにするには、一覧でURLを選択して[削除]をクリッ クします。 重要: VDI-in-a-Box STAのURLは、[Secure Ticket Authority URLの追加]ダイア ログボックスにhttps://<serveraddress>/dt/staの形式で入力する必要があります。 ここで、<serveraddress>はVDI-in-a-BoxサーバーのFQDNまたはIPアドレス、また はグリッド用の仮想IPアドレスです。 4. 必要に応じて、[セッション画面の保持機能を有効にする]チェックボックスをオンに します。これにより、XenDesktop、XenApp、またはVDI-in-a-Boxのセッションが切 断された場合に、自動再接続が試行される間セッション画面が表示されたままになりま す。 複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにす るには、[可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにし ます。 [可能な場合は2つのSTAにチケットを要求する]チェックボックスをオンにすると、2 つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されません。 StoreFrontがどちらのSTAにもアクセスできない場合は、 単一のSTAを使用するようにフォールバックされます。 123 NetScaler Gateway接続設定の構成 NetScaler Gateway展開環境の削除 StoreFrontからNetScaler Gateway環境の詳細を削除するには、[NetScaler Gatewayア プライアンスの削除]タスクを使用します。 NetScaler Gateway環境を削除すると、ユーザー はその展開環境を経由してストアにアクセスできなくなります。 124 ビーコンポイントを構成するには 更新日: 2013-10-21 ビーコンポイントとして使用する、内部ネットワークの内側と外側のURLを指定するには、 [ビーコンの管理]タスクを使用します。 Citrix Receiverは、ユーザーがローカルネットワー クと公共のネットワークのどちらに接続しているのかをビーコンポイントを使用して識別し ます。 ユーザーがデスクトップやアプリケーションにアクセスすると、そのリソースを提供 するサーバーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Receiverに返し ます。 これにより、ユーザーがデスクトップやアプリケーションにアクセスするときに再ロ グオンする必要がなくなります。 たとえば、内部ビーコンポイントにアクセス可能な場合、そのユーザーはローカルネットワー クに接続していると認識されます。 これに対し、Citrix Receiverで内部ビーコンポイントに アクセスできず、2つの外部ビーコンポイントからの応答を受信した場合、そのユーザーは 社内ネットワークの外からインターネット経由で接続していると認識されます。 この場合、 このユーザーはデスクトップやアプリケーションにNetScaler Gateway経由で接続する必要 があります。 ユーザーがデスクトップやアプリケーションにアクセスすると、そのリソース を提供するサーバーが、使用されるべきNetScaler Gatewayアプライアンスの詳細を提供し ます。 このため、ユーザーがそのNetScaler Gatewayアプライアンスにログオンする必要は ありません。 StoreFrontでは、内部ビーコンポイントとしてデフォルトでサーバーのURLまたは負荷分散 URLが使用されます。 外部ビーコンポイントは、デフォルトでCitrix社のWebサイト、およ び管理者が追加した最初のNetScaler Gateway仮想サーバーまたはユーザーログオンポイン ト(Access Gateway 5.0の場合)のURLが使用されます。 ビーコンポイントの設定を変更する場合は、そのビーコンポイントをユーザーに通知して Citrix Receiverの設定を変更させる必要があります。 ストアのReceiver for Webサイトが 構成済みの場合、ユーザーはそのサイトから最新のCitrix Receiverプロビジョニングファイ ルを入手できます。 Receiver for Webサイトが構成済みでない場合は、管理者がストアの プロビジョニングファイルをエクスポートしてユーザーに提供します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルを クリックします。 2. Citrix StoreFront管理コンソールの左ペインで[ビーコン]ノードを選択して、[操作] ペインの[ビーコンの管理]をクリックします。 3. 内部ビーコンポイントとして使用するURLを指定します。 • • 125 StoreFront展開環境でサーバーのURLまたは負荷分散URLを使用するには、[サー ビスURLを使用する]を選択します。 別のURLを使用するには、[ビーコンアドレスを指定する]を選択して、内部ネット ワーク内の可用性の高いURLを入力します。 ビーコンポイントを構成するには 4. 外部ビーコンポイントのURLを入力するには、[追加]をクリックします。 ビーコンポ イントを変更するには、[外部ビーコン]ボックスの一覧でURLを選択して[編集]を クリックします。 ビーコンポイントとしてそのアドレスが使われないようにするには、 一覧でURLを選択して[削除]をクリックします。 公共のネットワーク上で解決でき、可用性の高い外部ビーコンポイントを少なくとも2つ 指定する必要があります。 これにより、内部ネットワークとユーザーの間に、ホテルや インターネットカフェなど、インターネットペイウォール(有料の壁)があるかどうか をCitrix Receiverで判別できるようになります。 インターネットペイウォールがある場 合、すべての外部ビーコンポイントが同じプロキシに接続されます。 126 スマートカード認証の構成 更新日: 2013-11-12 このトピックでは、一般的なStoreFront展開環境のすべてのコンポーネントでスマートカー ド認証を設定するための概要について説明します。 詳細と構成手順については、各製品のド キュメントを参照してください。 前提条件 • • • • 127 StoreFrontサーバーを展開するMicrosoft Active Directoryドメインか、そのドメインと 直接の双方向の信頼関係が設定されているドメインのいずれかにすべてのユーザーアカ ウントが属していることを確認します。 スマートカードパススルー認証を有効にする場合は、スマートカードリーダーの種類、 ミドルウェアの種類と構成、およびミドルウェアのPINのキャッシュポリシーでパススルー 認証が許可されることを確認します。 ユーザーのデスクトップやアプリケーションを提供する、Virtual Delivery Agentが動作 する仮想マシンや物理マシンに、スマートカードのベンダーが提供するミドルウェアを インストールします。 XenDesktop環境でスマートカードを使用する方法については、 「スマートカードによる認証セキュリティ」を参照してください。 事前に公開キーインフラストラクチャが正しく構成されていることを確認します。 アカ ウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、 ユーザー証明書の検証を正しく実行できることを確認します。 スマートカード認証の構成 NetScaler Gatewayの構成 • • • • • NetScaler Gatewayアプライアンスに、証明機関からの署名入りサーバー証明書をイン ストールします。 詳しくは、「Installing and Managing Certificates」を参照してくだ さい。 アプライアンスに、スマートカードユーザーの証明書を発行した証明機関のルート証明 書をインストールします。 詳しくは、「To install a root certificate on NetScaler Gateway」を参照してください。 クライアント証明書認証用の仮想サーバーを作成して構成します。 証明書認証ポリシー を作成し、証明書のユーザー名抽出オプションとして「SubjectAltName:PrincipalNam e」を指定します。 さらに、このポリシーを仮想サーバーにバインドして、クライアン ト証明書を要求するように構成します。 詳しくは、「Configuring and Binding a Client Certificate Authentication Policy」を参照してください。 証明機関のルート証明書を仮想サーバーにバインドします。 詳しくは、「To add a root certificate to a virtual server」を参照してください。 資格情報を再入力せずにリソースに接続されるようにするには、仮想サーバーをもう1つ 作成し、 SSL(Secure Sockets Layer)パラメーターでクライアント認証を無効にしま す。 詳しくは、「Configuring Smart Card Authentication」を参照してください。 管理者は、作成した仮想サーバー経由でユーザー接続がルーティングされるように StoreFrontを構成する必要もあります。 ユーザーは最初の仮想サーバーにログオンしま す。作成した(2つ目の)仮想サーバーはリソースへの接続に使用されます。 接続時に NetScaler Gatewayにログオンする必要はありませんが、デスクトップやアプリケーショ ンへのログオン時にPINを入力する必要があります。 スマートカードでの認証の失敗時 に指定ユーザー認証を使用できるように設定する場合を除き、2つ目の仮想サーバーをリ ソースへのユーザー接続用に構成することは省略可能です。 • • 128 NetScaler Gateway経由でStoreFrontに接続するためのセッションポリシーおよびセッ ションプロファイルを作成して、それらを適切な仮想サーバーにバインドします。 詳し くは、「Access to StoreFront Through NetScaler Gateway」を参照してください。 StoreFrontへの接続用の仮想サーバーを構成するときに、すべての通信がクライアント 証明書で認証されるように指定した場合は、StoreFrontのコールバックURLを提供する 仮想サーバーをさらに作成する必要があります。 この仮想サーバーは、StoreFrontで NetScaler Gatewayアプライアンスからの要求を検証するためだけに使用されるため、 公開ネットワークからアクセス可能である必要はありません。 クライアント証明書によ る認証が必要な場合は、隔離された仮想サーバーが必要です。これは、認証用の証明書 をStoreFrontで提示できないためです。 詳しくは、「Creating Additional Virtual Servers」を参照してください。 スマートカード認証の構成 StoreFrontの構成 • • スマートカード認証を有効にするには、StoreFrontとユーザーデバイス間の通信で HTTPSが使用されるように構成する必要があります。 Microsoftインターネットインフォ メーションサービス(IIS)でHTTPSを構成します。これを行うには、IISでSSL証明書 を入手して、HTTPSバインドをデフォルトのWebサイトに追加します。 IISでのサーバー 証明書の作成について詳しくは、http://technet.microsoft.com/ja-jp/library/hh8316 37.aspx#CreateCertificateを参照してください。 IISサイトへのHTTPSバインドの追加 について詳しくは、http://technet.microsoft.com/ja-jp/library/hh831632.aspx#SS LBindingを参照してください。 すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにする には、StoreFrontサーバー上でIISを構成します。 StoreFrontインストール時のIISのデフォルト構成では、StoreFront認証サービスの証明 書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。 この構成は、ユー ザーがスマートカードでログオンできない場合に指定ユーザー認証でログオンできるよ うにしたり、再認証なしにスマートカードを取り出せるようにしたりするために必要で す。 すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにIIS を構成すると、スマートカードユーザーがNetScaler Gateway経由で接続できなくなり、 指定ユーザー認証にもフォールバックされません。 また、スマートカードをデバイスか ら取り出す場合は再度ログオンする必要があります。 このIISサイト構成を有効にするに は、認証サービスとストアを同じサーバー上に配置して、すべてのストアに対して有効 なクライアント証明書を使用する必要があります。 StoreFrontをWindows Server 2012上にインストールして、IISでSSLとクライアント 証明書による認証を有効にする場合、サーバー上の「信頼されたルート証明機関」の証 明書ストアにインストールされた非自己署名証明書が拒否されることに注意してくださ い。 詳しくは、http://support.microsoft.com/kb/2802568を参照してください。 • • StoreFrontをインストールして構成します。 必要に応じて、認証サービスを作成し、ス トアを追加します。 NetScaler Gatewayを介したリモートアクセスを有効にする場合は、 仮想プライベートネットワーク(VPN)統合を有効にしないでください。 詳しくは、「 StoreFrontをインストールしてセットアップするには」を参照してください。 内部ネットワーク上のローカルユーザーに対して、StoreFrontへのスマートカード認証 を有効にします。 スマートカードユーザーがNetScaler Gateway経由でストアにアクセ スする場合は、認証方法としてNetScaler Gatewayからのパススルーを有効にして、資 格情報の検証をNetScaler Gatewayに委任します。 ドメインに参加しているユーザーデ バイスにReceiver for Windowsをインストールするときにパススルー認証を有効にする 場合は、ドメインパススルー認証を有効にしておきます。 詳しくは、「認証サービスの 構成」を参照してください。 スマートカード認証で指定ユーザー認証へのフォールバックを有効にする場合は、ユー ザー名とパスワードを使用する認証方法を無効にしないでください。 指定ユーザー認証 へのフォールバックが使用できるユーザーデバイスの構成について詳しくは、「 StoreFrontでのスマートカードの使用」を参照してください。 • 129 ドメインに参加しているユーザーデバイスにReceiver for Windowsをインストールする ときにパススルー認証を有効にする場合は、デスクトップやアプリケーションにアクセ スするときにスマートカードの資格情報がパススルーされるようにストアのdefault.ica ファイルを編集します。 詳しくは、「Receiver for Windowsのスマートカードパスス ルー認証を有効にするには」を参照してください。 スマートカード認証の構成 • • デスクトップやアプリケーションへのユーザー接続のみに使用されるNetScaler Gateway仮想サーバーを追加した場合は、その仮想サーバーを経由する「最適な NetScaler Gatewayルーティング」を構成します。 詳しくは、「ストアの最適な NetScaler Gatewayルーティングを構成するには」を参照してください。 ドメインに不参加のWindowsデスクトップアプライアンスのユーザーがスマートカード を使用してデスクトップにログオンできるようにするには、デスクトップアプライアン スサイトへのスマートカード認証を有効にします。 詳しくは、「デスクトップアプライ アンスサイトの構成」を参照してください。 デスクトップアプライアンスサイトでスマートカード認証および指定ユーザー認証の両 方を有効にして、スマートカードでログオンできない場合は資格情報を入力してログオ ン(指定ユーザー認証)できるようにします。 • 130 ドメインに参加しているデスクトップアプライアンスのユーザー、およびCitrix Desktop Lockを実行している再目的化されたPCのユーザーがスマートカードを使用して 認証できるようにするには、XenApp Servicesサイトへのスマートカードパススルー認 証を有効にします。 詳しくは、「XenApp Services URLの認証を構成するには」を参照 してください。 スマートカード認証の構成 ユーザーデバイスの構成 • • • • すべてのユーザーデバイスに、スマートカードのベンダーが提供するミドルウェアをイ ンストールします。 ユーザーが、ドメインに不参加のWindowsデスクトップアプライアンスを使用する場合 は、管理者権限を持つアカウントでReceiver for Windows Enterpriseをインストール します。 デバイスの電源を入れたときにInternet Explorerが全画面モードで起動して、 デスクトップアプライアンスサイトが表示されるように構成します。 デスクトップアプ ライアンスサイトのURLでは大文字と小文字が区別されることに注意してください。 デ スクトップアプライアンスサイトをInternet Explorerのローカルイントラネットまたは 信頼済みサイトのゾーンに追加します。 スマートカードを使用してデスクトップアプラ イアンスサイトにログオンして、ストアからリソースにアクセスできることを確認した 後で、Citrix Desktop Lockをインストールします。 詳しくは、「Desktop Lockをイン ストールするには」を参照してください。 ユーザーが、ドメインに参加しているデスクトップアプライアンスや再目的化されたPC を使用する場合は、管理者権限を持つアカウントでReceiver for Windows Enterprise をインストールします。 Receiver for Windowsを構成するときに、適切なストアの XenApp ServicesサイトのURLを指定します。 スマートカードを使用してデバイスにロ グオンして、ストアからリソースにアクセスできることを確認した後で、Citrix Desktop Lockをインストールします。 詳しくは、「Desktop Lockをインストールする には」を参照してください。 そのほかの場合は、適切なバージョンのCitrix Receiverをユーザーデバイスにインストー ルします。 ドメインに参加しているデバイスのユーザーがXenDesktopやXenAppに接 続するときのスマートカードパススルー認証を有効にするには、管理者アカウントを使っ てReceiver for Windowsをコマンドラインでインストールします。このときに、 /includeSSONオプションを指定します。 詳しくは、「コマンドラインパラメーターを 使用したReceiver for Windowsの構成とインストール」を参照してください。 ドメインポリシーまたはローカルコンピューターポリシーで、スマートカード認証が使 用されるようにReceiver for Windowsが構成されていることを確認します。 ドメイン ポリシーは、グループポリシー管理コンソールを使用してReceiver for Windowsのグルー プポリシーオブジェクトのテンプレートファイルicaclient.admを、ユーザーアカウント が属しているドメインのドメインコントローラーにインポートします。 デバイスごとに 構成する場合は、そのデバイス上のグループポリシーオブジェクトエディターを使用し てこのテンプレートを構成します。 詳しくは、「グループポリシーオブジェクトテンプ レートによるReceiverの構成」を参照してください。 [Smart card authentication]ポリシーを有効にします。 スマートカードの資格情報 が自動的に使用(パススルー)されるようにするには、[Use pass-through authentication for PIN]チェックボックスをオンにします。 さらに、XenDesktopお よびXenAppにスマートカードの資格情報がパススルーされるようにするには、[Local user name and password]ポリシーを有効にして、[Allow pass-through authentication for all ICA connections]チェックボックスをオンにします。 詳しくは、 「ICA Settings Reference」を参照してください。 ドメインに参加しているデバイスのユーザーがXenDesktopやXenAppに接続するときの スマートカードパススルー認証を有効にした場合は、ストアのURLをInternet Explorer のローカルイントラネットまたは信頼済みサイトのゾーンに追加します。 この場合、そ のゾーンの[現在のユーザー名とパスワードで自動的にログオンする]が選択されてい ることを確認してください。 131 スマートカード認証の構成 • 132 必要な場合は、ストア(内部ネットワーク上のユーザーの場合)やNetScaler Gateway アプライアンス(リモートユーザーの場合)に接続するための詳細を適切な方法でユー ザーに提供します。 構成情報のユーザーへの提供について詳しくは、「Citrix Receiver」 を参照してください。 Receiver for Windowsのスマートカー ドパススルー認証を有効にするには 更新日: 2013-10-21 ドメインに参加しているユーザーデバイスにReceiver for Windowsをインストールするとき に、パススルー認証(シングルサインオン)を有効にできます。 XenDesktopおよび XenAppによってホストされているデスクトップおよびアプリケーションにアクセスすると きにスマートカードの資格情報が自動的に使用(パススルー)されるようにするには、スト アのdefault.icaファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってストアのdefault.icaファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\App_Data\ディレクトリにあり ます。ここで、<storename>はストアの作成時に指定した名前です。 2. NetScaler Gatewayを使用しないでストアにアクセスするユーザーのスマートカード資 格情報のパススルーを有効にするには、次の設定を[Application]セクションに追加しま す。 DisableCtrlAltDel=Off この設定はストアのすべてのユーザーに適用されます。 デスクトップおよびアプリケー ションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効 にするには、これらの認証方法について個別のストアを作成する必要があります。 この 場合、どのストアにアクセスすべきかをユーザーに通知してください。 3. NetScaler Gatewayを使用してストアにアクセスするユーザーのスマートカード資格情 報のパススルーを有効にするには、次の設定を[Application]セクションに追加します。 UseLocalUserAndPassword=On この設定はストアのすべてのユーザーに適用されます。 一部のユーザーに対してのみパ ススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要 があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。 133 可用性の高いマルチサイトストア構成の セットアップ 更新日: 2013-10-21 特に地理的に分散した複数の展開環境からリソースを集約するストアについては、展開環境 間の負荷分散とフェールオーバー、ユーザーと展開環境のマッピング、および障害回復用の 展開環境を構成して、可用性の高いリソースを提供することができます。 複数の展開環境で 個別のNetScaler Gatewayアプライアンスを構成している場合は、ユーザーが各展開環境に アクセスするための最適なアプライアンスを定義できます。 広域サーバー負荷分散構成で NetScaler Gatewayを展開する場合は、ストア構成で各アプライアンスの詳細を指定する必 要があります。 ここでは、以下のトピックについて説明します。 134 • ストアの負荷分散、フェールオーバー、障害回復、ユーザーマッピングを構成するには • サブスクリプションの同期を構成するには • ストアの最適なNetScaler Gatewayルーティングを構成するには • NetScaler Gateway広域サーバー負荷分散のためのストアを構成するには • 可用性の高いマルチサイトストア構成の例 ストアの負荷分散、フェールオーバー、 障害回復、ユーザーマッピングを構成す るには 更新日: 2013-10-21 ストアの負荷分散、フェールオーバー、障害回復、ユーザーマッピングを設定するには、ス トアの構成ファイルを編集します。 ストアの負荷分散、フェールオーバー、障害回復、ユー ザーマッピングを有効にすると、構成ミスを防ぐため、Citrix StoreFront管理コンソールで 一部のタスクを実行できなくなります。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. 障害回復用の展開環境を含め、すべてのXenDesktop、XenApp、およびVDI-in-a-Box 展開環境の詳細を使用してストアが正しく構成されていることを確認します。 ストアへ の展開環境の追加について詳しくは、「ストアに表示するリソースを管理するには」を 参照してください。 2. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 3. ファイル内で次のセクションを検索します。 <resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default" /> </resourcesWingConfigurations> 4. 次のように構成します。 <resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="user_mapping"> <groups> <group name="domain\usergroup" sid="securityidentifier" /> <group ... /> ... </groups> <equivalentFarmSets> <equivalentFarmSet name="setname" loadBalanceMode="{LoadBalanced | Failover}" aggregationGroup="aggregationgroupname"> <primaryFarmRefs> <farm name="primaryfarmname" /> 135 ストアの負荷分散、フェールオーバー、障害回復、ユーザーマッピングを構成するには <farm ... /> ... </primaryFarmRefs> <backupFarmRefs> <farm name="backupfarmname" /> <farm ... /> ... </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet ... > ... </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping> ... </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration> </resourcesWingConfigurations> 構成を定義するときに使用する要素は以下のとおりです。 userFarmMapping 展開環境のグループを指定して、それらの展開環境間の負荷分散とフェールオーバー を定義します。 また、障害回復用の展開環境を定義します。 指定した展開環境グルー プにMicrosoft Active Directoryユーザーグループをマップして、リソースへのユーザー アクセスを制御します。 groups 関連付けたマッピングが適用されるActive Directoryユーザーグループの名前とセキュ リティID(SID)を指定します。 ユーザーグループ名は、 <domain>\<usergroup>の形式で指定する必要があります。 複数のグループを指 定する場合、そのすべてのグループに属しているユーザーのみにマッピングが適用さ れます。 すべてのActive Directoryユーザーアカウントのアクセスを有効にするには、 グループ名にEveryoneを設定します。 equivalentFarmSet 負荷分散またはフェールオーバーのために集約されるリソースを提供する同等の展開 環境のグループと、障害回復用の展開環境のグループを定義します。 loadBalanceMode属性により、ユーザーがどのように展開環境に割り当てられるかが 定義されます。 loadBalanceMode属性をLoadBalancedに設定すると、ユーザー接続 が均等に分散されるように展開環境が一覧からランダムに選択されます。 loadBalanceMode属性をFailoverに設定すると、展開環境が定義した順序で選択され ます。これにより、使用される展開環境の数が常に最小になります。 集約するソース を提供する同等の展開環境のグループの名前として、アグリゲーショングループ名( aggregationGroup)を指定します。 同じアグリゲーショングループに属するすべて の展開環境で提供されるリソースが集約されてユーザーに表示されます。 アグリゲー ショングループ内の展開環境は同一である必要がありますが、別のアグリゲーション グループから集約される展開環境のリソースは同一である必要はありません。 特定の アグリゲーショングループの展開環境がほかのグループと集約されないように定義す るには、アグリゲーショングループ名をNoneに設定します。 136 ストアの負荷分散、フェールオーバー、障害回復、ユーザーマッピングを構成するには primaryFarmRefs 同一のリソースを提供するXenDesktop、XenApp、またはVDI-in-a-Boxの展開の一 覧を定義します。 ここには、ストアに追加済みの展開環境の名前を入力します。 入 力する展開環境の名前は、ストアに展開環境を追加するときに指定した名前と完全に 一致する必要があります。 optimalGatewayForFarms 特定の展開環境のグループで提供されるリソースにユーザーがアクセスするときに使 用される最適なNetScaler Gatewayアプライアンスを定義します。 通常、展開環境に 最適なアプライアンスは、その展開環境と地理的に同じ場所に配置されます。 「最適 なNetScaler Gatewayアプライアンス」は、展開環境にアクセスするときに、 StoreFrontにアクセスするときに経由するNetScaler Gatewayアプライアンスと異な るアプライアンスを使用する場合のみ定義します。 137 サブスクリプションの同期を構成するに は 更新日: 2014-10-31 異なるStoreFront展開環境のストア間でユーザーのアプリケーションサブスクリプションが 定期的に同期されるように構成するには、いくつかのWindows PowerShellコマンドを実行 します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 サブスクリプションを同期する場合は、ストア間でDelivery Controller名が一致している必 要があります(大文字と小文字は区別されます)。 Delivery Controller名が異なると、同期 ストア間で異なるサブスクリプションが使用される場合があります。 1. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロ ンプトで次のコマンドを実行します。これにより、StoreFrontモジュールがインポート されます。 Import-Module "installationlocation\Management\Cmdlets\UtilsModule.psm1" Import-Module "installationlocation\Management\Cmdlets\ SubscriptionSyncModule.psm1" ここで、installationlocationはStoreFrontのインストール先フォルダーで、通常 C:\Program Files\Citrix\Receiver StoreFront\です。 2. 次のコマンドを入力して、同期するストアを含んでいるリモートのStoreFront展開環境 を指定します。 Add-DSSubscriptionsRemoteSyncCluster –clusterName deploymentname –clusterAddress deploymentaddress ここで、deploymentnameはリモートの展開環境を識別するために定義する名前で、 deploymentaddressはStoreFrontサーバーまたは負荷分散サーバーグループの外部アク セス可能なアドレスです。 3. 次のコマンドを入力して、同期するリモートストアを指定します。 Add-DSSubscriptionsRemoteSyncStore –clusterName deploymentname –storeName storename ここで、deploymentnameは前の手順でリモート展開環境用に定義した名前であり、 storenameはローカルストアおよびリモートストアの作成時に指定した名前です。 アプ リケーションサブスクリプションをストア間で同期するには、両方のストアがそれぞれ のStoreFront展開環境で同じ名前を持つ必要があります。 4. 毎日特定の時刻に同期が実行されるように構成するには、次のコマンドを入力します。 138 サブスクリプションの同期を構成するには Add-DSSubscriptionsSyncSchedule –scheduleName synchronizationname –startTime hh:mm ここで、synchronizationnameは作成するスケジュールを識別するために定義する名前 です。 -startTimeでは、ストア間でサブスクリプションを同期する時刻を指定します。 追加の同期時刻を指定するには、このコマンドを繰り返します。 5. 特定の間隔で定期的に同期が実行されるように構成するには、次のコマンドを入力しま す。 Add-DSSubscriptionsSyncReoccuringSchedule –scheduleName synchronizationname –startTime hh:mm:ss -repeatMinutes interval ここで、synchronizationnameは作成するスケジュールを識別するために定義する名前 です。 -startTimeには、作成されたスケジュールがアクティブになるまでの待機時間を 時間、分、および秒で指定します。 intervalでは、同期の実行間隔を分単位で指定しま す。 6. リモートの展開環境内の各StoreFrontサーバーのMicrosoft Active Directoryドメインマ シンアカウントを、現在のサーバー上のローカルWindowsユーザーグループ CitrixSubscriptionSyncUsersに追加します。 これにより、リモートの展開環境のサーバーからローカルの展開環境のサブスクリプショ ンストアサービスにアクセスできるようになります。 CitrixSubscriptionSyncUsersグ ループは、手順1.でサブスクリプションの同期モジュールをインポートするときに自動 的に作成されます。 ローカルユーザーグループの変更について詳しくは、 http://technet.microsoft.com/ja-jp/library/cc772524.aspxを参照してください。 7. ローカルStoreFront展開環境が複数のサーバーで構成されている場合は、Citrix StoreFront管理コンソールを使用して、グループ内のほかのサーバーに構成の変更を反 映させます。 複数サーバーで構成されるStoreFront展開環境への変更の適用について詳しくは、「サー バーグループの構成」を参照してください。 8. リモートのStoreFront展開環境で手順1.~7.を繰り返し、リモート展開環境からローカ ル展開環境へのサブスクリプションの補完的な同期スケジュールを構成します。 StoreFront展開環境の同期スケジュールを構成するときは、複数の展開環境で同時に同 期が実行されないようにしてください。 9. ストア間でのユーザーのアプリケーションサブスクリプションの同期を開始するには、 ローカルおよびリモートの展開環境でサブスクリプションストアサービスを再起動しま す。 これを行うには、各展開環境のサーバー上でWindows PowerShellコマンドプロン プトを開き、次のコマンドを入力します。 Restart-DSSubscriptionsStoreSubscriptionService 10. 既存の同期スケジュールを削除するには、次のコマンドを入力します。 その後で展開環 境のほかのStoreFrontサーバーに構成の変更を反映させて、サブスクリプションストア サービスを再起動します。 Remove-DSSubscriptionsSchedule –scheduleName synchronizationname ここで、synchronizationnameはスケジュールの作成時に定義した名前です。 139 サブスクリプションの同期を構成するには 11. StoreFront展開環境に構成済みの同期スケジュールを一覧表示するには、次のコマンド を入力します。 Get-DSSubscriptionsSyncScheduleSummary 140 ストアの最適なNetScaler Gatewayルー ティングを構成するには 更新日: 2013-10-21 展開環境にアクセスするときに使用される最適なNetScaler Gatewayアプライアンスを構成 するには、ストアの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <optimalGatewayForFarmsCollection /> 3. 次のように、展開環境に対して最適なNetScaler Gatewayルーティングを構成します。 <optimalGatewayForFarmsCollection> <optimalGatewayForFarms enabledOnDirectAccess="{true | false}"> <farms> <farm name="farmname" /> ... </farms> <optimalGateway key="_" name="deploymentname" stasUseLoadBalancing="{true | false}" stasBypassDuration="hh:mm:ss" enableSessionReliability="{true | false}" useTwoTickets="{true | false}"> <hostnames> <add hostname="appliancefqdn:port" /> </hostnames> <staUrls> <add staUrl="https://stapath/scripts/ctxsta.dll" /> ... </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms> ... </optimalGatewayForFarms> </optimalGatewayForFarmsCollection> 構成を定義するときに使用する要素は以下のとおりです。 optimalGatewayForFarms 141 ストアの最適なNetScaler Gatewayルーティングを構成するには 特定の展開環境のグループで提供されるリソースにユーザーがアクセスするときに使 用される最適なNetScaler Gatewayアプライアンスを定義します。 通常、展開環境に 最適なアプライアンスは、その展開環境と地理的に同じ場所に配置されます。 「最適 なNetScaler Gatewayアプライアンス」は、展開環境にアクセスするときに、 StoreFrontにアクセスするときに経由するNetScaler Gatewayアプライアンスと異な るアプライアンスを使用する場合のみ定義します。 enabledOnDirectAccess属性を trueに設定して、内部ネットワーク上のローカルユーザーがStoreFrontに直接ログオ ンするときに、その展開環境の最適なアプライアンスを介してルーティングされるよ うにします。 enabledOnDirectAccess属性をfalseに設定すると、StoreFrontに NetScaler Gateway経由でアクセスするユーザーを除き、最適なアプライアンスを介 してルーティングされません。 farms 指定するNetScaler Gatewayアプライアンスを共有し、通常は同じ場所に配置されて いるXenDesktop、XenApp、App Controller、およびVDI-in-a-Boxの展開環境の一 覧を指定します。 ここには、ストアに追加済みの展開環境の名前を入力します。 入 力する展開環境の名前は、ストアに展開環境を追加するときに指定した名前と完全に 一致する必要があります。 optimalGateway 一覧の展開環境で提供されるリソースにユーザーがアクセスするときに使用される最 適なNetScaler Gatewayアプライアンスの詳細を指定します。 deploymentnameに、 NetScaler Gatewayアプライアンスにわかりやすい名前を指定します。 stasUseLoadBalancing属性をtrueに設定すると、すべてのSecure Ticket Authority (STA)からセッションチケットがランダムに取得されます。これにより、すべての STAで要求が均等に分散されます。 stasUseLoadBalancing属性をfalseに設定すると、 STAが定義した順序で選択されます。これにより、使用されるSTAの数が常に最小に なります。 stasBypassDuration属性では、STA要求が失敗した場合に、そのSTAが 使用できないとみなされるまでの時間を時間、分、秒で設定します。 enableSessionReliability属性をtrueに設定すると、セッションが切断された場合に、 自動再接続が試行される間セッション画面が表示されたままになります(セッション 画面の保持機能)。 複数のSTAを構成した展開環境でセッション画面の保持機能を常 に使用できるようにするには、useTwoTickets属性をtrueに設定します。これにより、 2つのSTAからチケットが取得されるため、一方のSTAが使用できなくなってもユーザー セッションが中断されなくなります。 hostnames 最適なNetScaler Gatewayアプライアンスの完全修飾ドメイン名(FQDN)とポート 番号を指定します。 staUrls STAを実行しているXenDesktop、XenApp、およびVDI-in-a-BoxサーバーのURLの 一覧を指定します。 XenDesktopおよびXenAppサーバーの場合、stapathはサーバー のFQDNまたはIPアドレスです。 VDI-in-a-Boxサーバーの場合、stapathは VDI-in-a-BoxサーバーのFQDN、IPアドレス、またはグリッド用の仮想IPアドレスに /dt/staを追加したものです。 142 NetScaler Gateway広域サーバー負荷 分散のためのストアを構成するには 更新日: 2013-10-21 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. [リモートアクセスの有効化]タスクでは、負荷分散対象のNetScaler Gateway展開環 境の詳細情報を指定してストアを構成します。 詳しくは、「NetScaler Gatewayを介し たストアへのリモートアクセスを管理するには」を参照してください。 2. NetScaler GatewayのURLを求めるメッセージが表示されたら、展開環境の負荷分散 URLを入力します。 サブネットIPアドレスについては、展開環境の任意のアプライアン スの仮想サーバーIPアドレスを指定します。 3. 表示名とサブネットIPアドレス以外は同じ設定を使用してこの手順を繰り返します。 サ ブネットIPアドレスについては、展開環境の別のアプライアンスの仮想サーバーIPアド レスを指定します。 4. この手順を繰り返して、負荷分散対象のNetScaler Gateway展開環境のすべてのアプラ イアンスを追加します。 ただし、表示名とサブネットIPアドレスを除いて同じ設定を使 用する必要があります。 143 可用性の高いマルチサイトストア構成の 例 更新日: 2013-10-21 StoreFrontでは、ストアにリソースを提供している環境間の負荷分散とフェールオーバーを 構成し、ユーザーを環境に割り当てて、特定の障害回復環境を指定して回復性を高めること ができます。 StoreFrontの展開環境を複数のサイトに分散させてストアの可用性を高める方 法を説明するため、次のような構成例について考えます。 この図は、可用性の高いマルチサイト構成の例を示しています。 この例は、主に2つの場所(Location1とLocation2)で構成されています。それぞれに、ユー ザーにデスクトップとアプリケーションを提供する負荷分散された個別のStoreFrontサーバー グループがあります。 第3の場所(障害回復環境)では、ほかの2つの場所で提供されている すべてのリソースが利用できなくなった場合にのみ使用される障害回復用リソースが提供さ れます。 Location1には、同じデスクトップとアプリケーションを提供する同一の展開環境 (XenDesktopサイト、XenAppファーム、またはVDI-in-a-Boxグリッド)のグループがあ ります。 Location2も同一の展開環境のグループで構成されていますが、提供するリソース はLocation1のものといくつか異なります。 Location2で提供されていない一部のリソース は、Location1内の個別の展開環境によって提供されます。 ここでは、以下のトピックについて説明します。 • 144 負荷分散とフェールオーバーの例 可用性の高いマルチサイトストア構成の例 145 • ユーザーマッピングの例 • サブスクリプション同期の例 • 最適なNetScaler Gatewayルーティングの例 負荷分散とフェールオーバーの例 更新日: 2014-10-31 この例では、これらの場所のユーザーがローカルのStoreFrontサーバーにログオンして、そ の場所で提供されているデスクトップとアプリケーションにアクセスできるようにします。 障害またはサーバーの許容量の問題によりローカルのリソースを使用できない場合は、他方 の場所で提供されているリソースに自動的かつサイレントにリダイレクトする必要がありま す。 両方の場所のすべてのリソースが使用できない場合でも、最もビジネスクリティカルな デスクトップとアプリケーションでの作業だけは継続できる必要があります。 このユーザーエクスペリエンスを実現するには、Location1のストアを次のように構成しま す。 <resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="user_mapping"> <groups> <group name="Everyone" sid="S-1-1-0" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1" loadBalanceMode="LoadBalanced" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet name="Location2" loadBalanceMode="Failover" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location2Deployment1" /> <farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet name="Location1Unique" loadBalanceMode="LoadBalanced" aggregationGroup=""> <primaryFarmRefs> <farm name="Location1UniqueDeployment" /> </primaryFarmRefs> 146 負荷分散とフェールオーバーの例 <backupFarmRefs> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration> </resourcesWingConfigurations> すべてのユーザーに適用される単一のマッピング(user_mapping)があり、一覧の最初に Location1の展開環境(Location1Deployment1~3)を定義して、次にLocation2の展開環 境(Location2Deployment1~3)を定義します。 どちらの場所でもバックアップとして障 害回復環境(DisasterRecoveryDeployment)を定義して、すべての展開環境を同じアグリ ゲーショングループ(AggregationGroup1)に割り当てています。 Location2のストアの構 成もほとんど同じですが、一覧での順序だけが異なり、Location2の展開環境を最初に定義 します。 どちらの場所でも、Location1の固有のリソースを提供する展開環境( Location1UniqueDeployment)を一覧の最後に定義し、バックアップ環境やアグリゲーショ ングループは定義していません。 Location1のユーザーがローカルストアにログオンすると、StoreFrontはLocation1の展開環 境と通信して、使用できるデスクトップとアプリケーションを列挙します。 loadBalanceMode属性をLoadBalancedに設定したため、ユーザーが接続する展開環境はラ ンダムに選択され、これによりユーザーからの要求が展開環境に均等に分散されます。 Location1で選択された展開環境が使用できない場合は、Location1の別の展開環境がランダ ムに選択されます。 Location2のloadBalanceMode属性はFailoverに設定されています。 このため、ユーザーが 接続する展開環境は常に指定された順序で選択されます。 この結果、 Location2Deployment1が応答できなくなるまで、すべてのユーザー要求に対して Location2Deployment1からリソースが列挙されます。 Location2Deployment1が応答で きなくなると、この展開環境が再び使用可能になるまでLocation2Deployment2にルーティ ングされます。 この負荷分散モードでは、Location2で使用される展開環境の数が常に最小 になります。 Location1のいずれかの展開環境から応答を受け取ると、StoreFrontはLocation1のほかの展 開環境には接続しません。 Location1のすべての展開環境を1つの<equivalentFarmSet>要 素に含めると、これらの展開環境で同一リソースを提供するという指定になります。 Location2のリソースの列挙でも同様の動作になります。 Location1の固有の展開環境( Location1UniqueDeployment)とは最後に通信します。この展開環境には代替環境がない ため、この環境が使用不能になると固有のリソースが列挙されなくなります。 Location1とLocation2で名前とパスが同じデスクトップやアプリケーションが提供される場 合、StoreFrontによりこれらのリソースが集約され、1つのアイコンでユーザーに表示され ます。 これは、Location1とLocation2でaggregationGroup属性をAggregationGroup1に 設定したためです。 集約されたアイコンをユーザーがクリックすると、通常はユーザーがい る場所のリソースに接続されます。 ただし、セッションが再利用されるように構成されてい る別の展開環境にアクティブなセッションが既にある場合は、その展開環境のリソースに優 先的に接続され、セッション数が最小限に抑えられます。 Location1の固有リソースにはアグリゲーショングループを指定していないため、これらの リソースの個別のアイコンが表示されます。 この例では、これらの固有リソースはほかの展 開環境で提供されていません。 名前とパスが同じデスクトップやアプリケーションが別の展 開環境で提供されている場合でも、リソースは集約されず同じ名前の2つのアイコンが表示 されます。 147 負荷分散とフェールオーバーの例 Location1またはLocation2のどの展開環境からもリソースを列挙できない場合にのみ、 StoreFrontは障害回復用の展開環境(DisasterRecoveryDeployment)と通信します。 同 じ障害回復用の展開環境をLocation1とLocation2の両方で構成しているため、2つの場所の すべての展開環境が使用できなくなったときにのみ、障害回復用リソースの列挙が試行され ます。 この例ではLocation1の固有の展開環境にバックアップの代替環境を構成していない ため、Location1UniqueDeploymentが使用可能かどうかはこの決定に影響しません。 148 ユーザーマッピングの例 更新日: 2014-10-31 この例では、Microsoft Active Directoryユーザーグループのメンバーシップに基づいて、ユー ザーごとに異なるリソースの組み合わせを提供します。 Location1およびLocation2の標準 ユーザーには、ローカルのデスクトップとアプリケーションへのアクセスのみを提供します。 これらのユーザーは、ほかの場所のリソースにアクセスする必要はありません。 また、パ ワーユーザーのグループには、Location1の固有のリソースを含むすべてのリソースへのア クセスと、高可用性および障害回復を提供します。 この例では、Location1とLocation2で 共通のActive Directoryドメインを共有しています。 このユーザーエクスペリエンスを実現するには、Location1とLocation2のストアを次のよう に構成します。 <resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="UserMapping1"> <groups> <group name="Location1Users" sid="S-1-5-21-1004336348-1177238915-682003330-1001" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1" loadBalanceMode="LoadBalanced" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping name="UserMapping2"> <groups> <group name="Location2Users" sid="S-1-5-21-1004336348-1177238915-682003330-1002" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location2" loadBalanceMode="Failover" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location2Deployment1" /> <farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> 149 ユーザーマッピングの例 </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping name="UserMapping3"> <groups> <group name="Location1Users" sid="S-1-5-21-1004336348-1177238915-682003330-1001" /> <group name="Location2Users" sid="S-1-5-21-1004336348-1177238915-682003330-1002" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1Unique" loadBalanceMode="LoadBalanced" aggregationGroup=""> <primaryFarmRefs> <farm name="Location1UniqueDeployment" /> </primaryFarmRefs> <backupFarmRefs> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration> </resourcesWingConfigurations> 「負荷分散とフェールオーバーの例」のようにすべてのユーザーに適用する単一マッピング を作成するのではなく、特定のユーザーグループに対するマッピングを作成します。 Location1の展開環境(Location1Deployment1~3)を、Location1ユーザーのドメインユー ザーグループ(Location1Users)にマップします。 同様に、Location2の展開環境( Location2Deployment1~3)を、Location2のユーザーグループ(Location2Users)にマッ プします。 Location1の固有リソースに対するマッピングでは、Location1Usersと Location2Usersの両方のユーザーグループを指定しています。これは、固有リソースにアク セスするにはユーザーが両方のグループに属している必要があることを意味します。 Location1Usersのメンバーであるユーザーがストアにログオンすると、そのストアが Location2にあるとしても、Location1のリソースのみが表示されます。 同様に、 Location2Usersのメンバーには、Location2のリソースだけが表示されます。 どちらのグルー プも、Location1の固有リソースにはアクセスできません。 どちらのグループにも属さない ドメインユーザーは、ストアにログオンすることはできますが、デスクトップやアプリケー ションは一切表示されません。 パワーユーザーが固有リソースを含むすべてのリソースにアクセスできるようにするには、 それらのユーザーを両方のユーザーグループに追加します。 Location1とLocation2の両方 のユーザーグループに属しているユーザーがストアにログオンすると、両方の場所で使用で きるリソースの集約に加えて、Location1の固有リソースが表示されます。 「負荷分散とフェ ールオーバーの例」と同じように、Location1およびLocation2の展開環境は同じアグリゲー ショングループ(AggregationGroup1)に割り当てられます。 リソースの集約プロセスは、 前の「負荷分散とフェールオーバーの例」とまったく同様に機能します。 障害回復も「負荷分散とフェールオーバーの例」のように動作します。 Location1と Location2のすべての展開環境が使用できない場合にのみ、ユーザーに障害回復用のリソー 150 ユーザーマッピングの例 スが表示されます。 残念ながら、これは標準ユーザーがデスクトップまたはアプリケーショ ンに一切アクセスできなくなる場合があることを意味します。 たとえば、Location1のすべ ての展開環境が使用不能でLocation2の展開環境がアクセス可能な場合、障害回復用のリソー スが列挙されません。 このため、Location2Usersのメンバーではないユーザーには、スト アにリソースが表示されません。 この問題を解決するには、Location1とLocation2のマッピングに個別の障害回復環境を構成 する必要があります。 その後でそれらの障害回復環境を同じアグリゲーショングループに追 加して、パワーユーザーに障害回復リソースが集約されるようにします。 151 サブスクリプション同期の例 更新日: 2013-10-21 「負荷分散とフェールオーバーの例」および「ユーザーマッピングの例」では、ユーザーが Location1とLocation2の間を移動する場合は2つの展開環境でアプリケーションのサブスク リプションが同期されるように設定できます。 たとえば、Location1のユーザーが Location1のStoreFront展開環境にログオンし、ストアにアクセスしてアプリケーションを サブスクライブします。 その後、そのユーザーがLocation2に移動してLocation2の StoreFront展開環境で提供されている類似のストアにアクセスした場合、Location2で提供 されるすべてのアプリケーションを再びサブスクライブし直す必要があります。 これは、そ れぞれの場所のStoreFront展開環境でユーザーのアプリケーションサブスクリプション情報 がデフォルトで個別に保持されるためです。 ユーザーが1つの場所のアプリケーションをサブスクライブするだけで済むようにするには、 2つのStoreFront展開環境で提供されるストア間でサブスクリプションが同期されるように 構成します。 まず、両方のストアに同じ名前「Location1and2Store」を設定します。 次に、 Location1のサーバーで、StoreFrontモジュールUtilsModule.psm1および SubscriptionSyncModule.psm1をインポートします。 Location2の展開環境にある各 StoreFrontサーバーのMicrosoft Active Directoryドメインマシンアカウントを、Location1 のサーバーのCitrixSubscriptionSyncUsersローカルユーザーグループに追加します。 その 後、次のWindows PowerShellコマンドを実行して、Location1からLocation2へのユーザー のアプリケーションサブスクリプションの同期を構成します。 Add-DSSubscriptionsRemoteSyncCluster –clusterName "Location2" –clusterAddress "location2storefront.example.com" Add-DSSubscriptionsRemoteSyncStore –clusterName "Location2" –storeName "Location1and2Store" Add-DSSubscriptionsSyncSchedule –scheduleName "Location1Sync2Daily1" –startTime 06:00:00 Add-DSSubscriptionsSyncSchedule –scheduleName "Location1Sync2Daily2" -startTime 18:00:00 Citrix StoreFront管理コンソールを使用して、構成の変更をLocation1の展開環境内のほか のサーバーに反映させます。 次に、Location2のStoreFrontサーバーでこの操作を繰り返し、 モジュールをインポートして、Location1のStoreFrontサーバーマシンアカウントを同期サー ビスのユーザーグループに追加します。 次のWindows PowerShellコマンドを実行してから、 変更をLocation2のほかのサーバーに反映させます。 Add-DSSubscriptionsRemoteSyncCluster –clusterName "Location1" –clusterAddress "location1storefront.example.com" Add-DSSubscriptionsRemoteSyncStore –clusterName "Location1" –storeName "Location1and2Store" Add-DSSubscriptionsSyncSchedule –scheduleName "Location2Sync1Daily1" –startTime 06:30:00 Add-DSSubscriptionsSyncSchedule –scheduleName "Location2Sync1Daily2" -startTime 18:30:00 152 サブスクリプション同期の例 ストア間でのユーザーのアプリケーションサブスクリプションの同期を開始するには、 Location1とLocation2の両方のStoreFrontサーバーでサブスクリプションストアサービスを 再起動します。 この構成により、毎日午前6時と午後6時に1回ずつユーザーのアプリケーショ ンサブスクリプションがLocation1からLocation2に同期されます。 Location2から Location1への同期も毎日2回行われますが、両方の展開環境が同時に同期を試みて競合が発 生しないように、30分オフセットされます。 「Location1and2Store」という名前のストア が提供するリソースのサブスクリプションのみが、2つの展開環境間で同期されます。 ほか のストアによって提供されているデスクトップおよびアプリケーションのサブスクリプショ ンは同期されません。 153 最適なNetScaler Gatewayルーティン グの例 更新日: 2013-10-21 この例では、Location1とLocation2に個別のNetScaler Gatewayアプライアンスを構成し ます。 Location1のリソースはLocation2のユーザーにも提供されるため、ストアへのアク セス方法にかかわらず、Location1のリソースへのユーザー接続が常にLocation1の NetScaler Gatewayアプライアンスを経由してルーティングされるようにします。 Location2についても同様の構成が必要です。 Location1の固有リソースには、内部ネットワークのローカルユーザーのみがアクセスでき るように構成されています。 ただし、その場合でも、ストアにアクセスするにはNetScaler Gatewayで認証を受ける必要があります。 したがって、ユーザーはNetScaler Gatewayを 経由してストアに接続しますが、Location1の固有リソースへのユーザー接続はNetScaler Gatewayを経由してルーティングされないようにします。 このユーザーエクスペリエンスを実現するには、Location1とLocation2のストアを次のよう に構成します。 <optimalGatewayForFarmsCollection> <optimalGatewayForFarms enabledOnDirectAccess="true"> <farms> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </farms> <optimalGateway key="_" name="Location1Appliance" stasUseLoadBalancing="false" stasBypassDuration="02:00:00" enableSessionReliability="true" useTwoTickets="false"> <hostnames> <add hostname="location1appliance.example.com" /> </hostnames> <staUrls> <add staUrl="https://location1appliance.example.com/scripts/ctxsta.dll" /> </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms enabledOnDirectAccess="true"> <farms> <farm name="Location2Deployment1" /> <farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> </farms> <optimalGateway key="_" name="Location2Appliance" stasUseLoadBalancing="false" stasBypassDuration="02:00:00" enableSessionReliability="true" useTwoTickets="false"> <hostnames> <add hostname="location2appliance.example.com" /> 154 最適なNetScaler Gatewayルーティングの例 </hostnames> <staUrls> <add staUrl="https://location2appliance.example.com/scripts/ctxsta.dll" /> </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms enabledOnDirectAccess="false"> <farms> <farm name="Location1UniqueDeployment" /> </farms> </optimalGatewayForFarms> </optimalGatewayForFarmsCollection> Location1の展開環境(Location1Deployment1~3)をLocation1のNetScaler Gatewayア プライアンスにマップします。 この構成により、Location2のアプライアンス経由でストア にログオンした場合であっても、Location1のNetScaler Gatewayアプライアンス経由で Location1のリソースに接続されます。 Location2にも同様のマッピングを構成します。 両 方の展開環境で、enabledOnDirectAccess属性をtrueに設定して、StoreFrontに内部ネット ワークから直接ログオンするローカルユーザーを含め、すべてのユーザーの接続がその展開 環境に最適なアプライアンスを介してルーティングされるようにします。 この結果、ローカ ルユーザーのデータがコーポレートWANを通過しないため、リモートのデスクトップとアプ リケーションの応答性が向上します。 Location1の固有リソースでは、展開環境に対するマッピングは構成しますが、NetScaler Gatewayアプライアンスは指定しません。 この構成により、Location1の固有リソースへの 接続では、NetScaler Gatewayを経由してストアにログオンしたユーザーの場合であっても、 NetScaler Gatewayが使用されません。 この結果、内部ネットワークのローカルユーザーだ けが、これらのデスクトップおよびアプリケーションにアクセスできます。 また、アプライアンスおよびアクセスできない内部ビーコンポイントの内部仮想サーバーIP アドレスを構成する必要があります。 内部ビーコンポイントにローカルユーザーがアクセス できないようにすると、Citrix Receiverが内部ネットワーク上のデバイスからNetScaler Gateway経由でストアにアクセスするようになります。 これにより、すべてのユーザー接続 をアプライアンス経由でリソースにルーティングするオーバーヘッドなしで、内部ネットワー クのローカルユーザーにNetScaler Gatewayエンドポイント分析を適用することができます。 155 構成ファイルを使ったStoreFrontの構成 更新日: 2013-10-21 このセクションでは、Citrix StoreFront管理コンソールを使用して実行できない付加的な構 成タスクについて説明します。 156 • ICAファイルの署名を有効にするには • 通信のタイムアウト期間および再試行回数を構成するには • パスワードの有効期限切れ通知期間を構成するには • ファイルタイプの関連付けを無効にするには • ソケットプール機能を有効にするには • Citrix Receiverのログオンダイアログボックスをカスタマイズするには • Receiver for Windowsでパスワードのキャッシュ機能を無効にするには ICAファイルの署名を有効にするには 更新日: 2013-10-21 StoreFrontには、ICAファイルにデジタル署名を追加するオプションが用意されています。 これにより、この機能をサポートするバージョンのCitrix Receiverで、ICAファイルが信頼 されるサーバーからのものであることを検証できるようになります。 StoreFrontでファイル の署名を有効にすると、ユーザーがアプリケーションを起動するときに生成されるICAファ イルが、StoreFrontサーバーの個人証明書ストアにある証明書を使用して署名されます。 StoreFrontサーバーのオペレーティングシステムでサポートされる任意のハッシュアルゴリ ズムを使ってICAファイルを署名できます。 クライアントソフトウェアがこの機能をサポー トしない場合やICAファイルの署名用に構成されていない場合、デジタル署名は無視されま す。 署名処理に失敗した場合は、デジタル署名なしでICAファイルが生成され、Citrix Receiverに送信されます。未署名のファイルを受け入れるかどうかは、Receiver側での構成 により決定されます。 StoreFrontのICAファイルの署名機能で使用する証明書には秘密キーが含まれ、許可された 有効期間内である必要があります。 証明書にキー使用法エクステンションが含まれる場合は、 デジタル署名での使用が許可されている必要があります。 拡張キー使用法エクステンション が含まれる場合は、コード署名またはサーバー認証ように設定されている必要があります。 ICAファイルを署名する場合、商用の証明機関または組織内の独自の証明機関から取得した コード署名またはSSL署名証明書を使用することをお勧めします。 証明機関から適切な証明 書を取得できない場合は、サーバー証明書のような既存のSSL証明書を使用するか、新しい ルート証明機関証明書を作成してユーザーデバイスに配布することができます。 ストアのICAファイルの署名機能はデフォルトでは無効になっています。 ICAファイルの署 名機能を有効にするには、ストアの構成ファイルを編集してからWindows PowerShellコマ ンドを実行します。 Citrix Receiver側でICAファイルの署名機能を有効にする方法について 詳しくは、「ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデ スクトップが起動しないようにする」を参照してください。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. ICAファイルの署名に使用する証明書が、現在のユーザーの証明書ストアではなく、 StoreFrontサーバー上のCitrixデリバリーサービスの証明書ストアで使用可能になってい ることを確認します。 2. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 3. ファイル内で次のセクションを検索します。 <certificateManager> <certificates> <clear /> <add ... /> ... 157 ICAファイルの署名を有効にするには </certificates> </certificateManager> 4. 次に示すように、署名に使用する証明書の詳細を追加します。 <certificateManager> <certificates> <clear /> <add id="certificateid" thumb="certificatethumbprint" /> <add ... /> ... </certificates> </certificateManager> ここで、certificateidはストアの構成ファイル内で証明書を識別するための値で、 certificatethumbprintはハッシュアルゴリズムにより生成される証明書データのダイジェ スト(または拇印)です。 5. ファイル内で次の要素を検索します。 <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" /> 6. ストアのICAファイルの署名を有効にするには、enabled属性の値をTrueに変更します。 さらに、certificateId属性の値を、証明書を識別するために使用したID、つまり手順4. のcertificateidに設定します。 7. SHA-1以外のハッシュアルゴリズムを使用する場合は、必要に応じてhashAgorithm属 性の値をsha256、sha384、またはsha512に設定します。 8. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロ ンプトで次のコマンドを実行します。これにより、ストアが秘密キーにアクセスできる ようになります。 Add-PSSnapin Citrix.DeliveryServices.Framework.Commands $certificate = Get-DSCertificate "certificatethumbprint" Add-DSCertificateKeyReadAccess $certificate "IIS APPPOOL\Citrix Delivery Services Resources" ここでcertificatethumbprintは、ハッシュアルゴリズムにより 生成される証明書データ のダイジェストです。 158 通信のタイムアウト期間および再試行回 数を構成するには 更新日: 2013-10-21 デフォルトでは、ストアにリソースを提供するサーバーへのStoreFrontからの要求は、30秒 でタイムアウトします。 通信の試行が2回失敗すると、サーバーが使用できないとみなされ ます。 これらの設定を変更するには、認証サービスとストアの両方の構成ファイルを編集し ます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使って認証サービスおよびストアの両方のweb.configファイルを 開きます。これらのファイルは通常、それぞれC:\inetpub\wwwroot\Citrix\Authenti cation\およびC:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。 ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <farmset ... serverCommunicationAttempts="2" communicationTimeout="30" connectionTimeout="6" ... > 3. 両方のファイルで、serverCommunicationAttempts属性の値を変更して、サーバーが 使用できないとみなされるまでの通信の試行回数を設定します。 communicationTimeout属性を使用して、サーバーからの応答の時間制限を秒単位で設 定します。 connectionTimeout属性の値を変更して、StoreFrontによるサーバーのアド レス解決の時間制限を秒単位で設定します。 159 パスワードの有効期限切れ通知期間を構 成するには 更新日: 2013-10-21 Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように設定してある 場合は、パスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表 示されます。 デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシー の設定によって決まります。 すべてのユーザーに対するカスタムの通知期間を設定するには、 認証サービスの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使って認証サービス用のweb.configファイルを開きます。このファ イルは通常、C:\inetpub\wwwroot\Citrix\Authentication\ディレクトリにあります。 2. ファイル内で次の要素を検索します。 <explicitBL ... allowUserPasswordChange="Always" showPasswordExpiryWarning="Windows" passwordExpiryWarningPeriod="10" ... > 3. allowUserPasswordChange属性がAlwaysに設定されていることを確認します。これに より、パスワードの有効期限切れ通知が有効になります。 showPasswordExpiryWarning属性の値をCustomに変更します。これにより、すべて のユーザーに適用されるパスワードの有効期限切れ通知の期間を指定できます。 通知期 間の日数を設定するには、passwordExpiryWarningPeriod属性を使用します。 指定し た期間内にパスワードの有効期限が切れるユーザーがローカルネットワークから Receiver for Webサイトにログオンすると、警告が表示されます。 160 ファイルタイプの関連付けを無効にする には 更新日: 2013-10-21 ストアのファイルタイプの関連付けは、デフォルトで有効になっています。このため、ユー ザーがユーザーデバイス上で開いたローカルファイルは、サブスクライブ済みのアプリケー ションで表示されます。 ファイルタイプの関連付けを無効にするには、ストアの構成ファイ ルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <farmset ... enableFileTypeAssociation="on" ... > 3. ストアのファイルタイプの関連付けを無効にするには、enableFileTypeAssociation属性 の値をoffに変更します。 161 ソケットプール機能を有効にするには 更新日: 2013-10-21 ストアのソケットプール機能はデフォルトでは無効になっています。 ソケットプール機能を 有効にすると、StoreFrontでソケットのプールが保持されます。これにより、必要になるた びにソケットを作成して接続が閉じたときにオペレーティングシステムに戻すという処理が 不要になります。 この機能を有効にすると、特にSSL(Secure Sockets Layer)接続でパ フォーマンスが向上します。 ソケットプール機能を有効にするには、ストアの構成ファイル を編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは 通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <farmset ... pooledSockets="off" ... > 3. pooledSockets属性の値をonに変更します。これにより、ストアのソケットプール機能 が有効になります。 162 Citrix Receiverのログオンダイアログボッ クスをカスタマイズするには 更新日: 2013-10-21 Citrix Receiverユーザーがストアにログオンするときのダイアログボックスには、デフォル トでタイトルが設定されていません。 このダイアログボックスをカスタマイズして、タイト ルに「ログオンしてください」などのメッセージを表示することができます。 Citrix Receiverのログオンダイアログボックスにタイトル文字列を表示するには、認証サービス用 のファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使って認証サービス用のAuthenticate.aspxファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\Views\ExplicitF orms\ディレクトリにあります。 2. ファイル内で次の行を検索します。 <%-- Html.RenderPartial("LabelRequirement", new FormsViewLabel{Text = Localise(ExplicitMessages.AuthenticateHeadingKey), Type = FormsElements.LabelTypeHeading}); --%> 3. この行のコメントを解除します。これを行うには、次のように最初と最後の「--」を削 除します。 <% Html.RenderPartial("LabelRequirement", new FormsViewLabel{Text = Localise(ExplicitMessages.AuthenticateHeadingKey), Type = FormsElements.LabelTypeHeading}); %> これにより、Citrix Receiverユーザーがこのストアにログオンしたときに、デフォルト のタイトル文字列である「Please log on」または「ログオンしてください」などが表示 されます。 4. タイトル文字列を変更するには、テキストエディターを使って認証サービス用の ExplicitAuth.resxファイルを開きます。このファイルは通常、 C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\フォルダーにあ ります。 5. ファイル内で次の要素を検索します。 <data name="AuthenticateHeadingText" xml:space="preserve"> <value>Please log on</value> </data> 163 Citrix Receiverのログオンダイアログボックスをカスタマイズするには 6. <value>要素内の文字列を編集します。これにより、このストアのログオンダイアロボッ クスのタイトルが変更されます。 日本語など、英語以外のロケール用のタイトルを編集するには、適切な言語の ExplicitAuth.<languagecode>.resxを編集します。ここで、<languagecode>は「ja」 などのロケールIDです。 164 Receiver for Windowsでパスワードの キャッシュ機能を無効にするには 更新日: 2013-10-21 Receiver for Windowsのデフォルトでは、ユーザーがStoreFrontストアにログオンしたと きのパスワードがキャッシュされます。 Receiver for Windowsでパスワードのキャッシュ 機能を無効にするには、認証サービスのファイルを編集します(この設定はReceiver for Windows Enterpriseには適用されません)。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使って認証サービス用のAuthenticate.aspxファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\Views\ExplicitF orms\ディレクトリにあります。 2. ファイル内で次の行を検索します。 <% Html.RenderPartial("SaveCredentialsRequirement", SaveCredentials); %> 3. この行をコメント化します。これを行うには、次のように最初と最後に「--」を追加し ます。 <%-- Html.RenderPartial("SaveCredentialsRequirement", SaveCredentials); --%> これにより、この認証サービスのストアにReceiver for Windowsを使用してログオンす るユーザーは、毎回パスワードの入力が必要になります。 この設定は、Receiver for Windows Enterpriseには適用されません。 165 構成ファイルを使ったReceiver for Webサイトの構成 更新日: 2013-10-21 このセクションでは、Citrix StoreFront管理コンソールを使用して実行できない、Receiver for Webサイトの付加的な構成タスクについて説明します。 166 • ユーザーに対するリソースの表示方式を構成するには • Citrix Receiverインストールファイルをサーバーから入手できるようにするには • Citrix Receiverの検出と展開を無効にするには • ワークスペースコントロールを構成するには • ユーザーへのプロビジョニングファイルの提供を停止するには • Receiver for HTML5のブラウザータブ使用を構成するには • ストアのタイムアウト期間および再試行回数を構成するには • セッションの継続期間を構成するには ユーザーに対するリソースの表示方式を 構成するには 更新日: 2013-10-21 Receiver for Webサイトからデスクトップとアプリケーションの両方にアクセスできる場合、 デフォルトでデスクトップとアプリケーションが別々のビューで表示されます。 サイトにロ グオンすると、最初にデスクトップビューが表示されます。 ユーザーがアクセスできるデス クトップが1つのみの場合、アクセス可能なアプリケーションがあるかどうかにかかわらず、 ユーザーのログオン時にそのデスクトップが自動的に起動します。 これらの設定を変更する には、サイトの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <uiViews showDesktopsView="true" showAppsView="true" defaultView="desktops" /> 3. ユーザーがアクセス可能なデスクトップやアプリケーションを非表示にするには、 showDesktopsView属性(デスクトップ)およびshowAppsView属性(アプリケーショ ン)の値をfalseに変更します。 デスクトップビューとアプリケーションビューの両方が 有効な場合は、defaultView属性の値をappsに設定すると、ユーザーがサイトにログオ ンしたときに最初にアプリケーションビューが表示されます。 4. ファイル内で次の要素を検索します。 <userInterface ... autoLaunchDesktop="true"> 5. デスクトップの自動起動を無効にするには、autoLaunchDesktop属性の値をfalseに変 更します。これにより、ユーザーがアクセスできるデスクトップが1つのみの場合でも、 ログオン時にデスクトップが自動的に起動しなくなります。 autoLaunchDesktop属性がtrueの場合、使用可能なデスクトップが1つのみのユーザー がログオンしてもアプリケーションには再接続されません(ワークスペースコントロー ルが有効になっていても再接続されません)。 注: Receiver for Webサイトによるデスクトップの自動起動を有効にするには、 Internet Explorerでサイトにアクセスするユーザーは[ローカルイントラネット]または [信頼済みサイト]のゾーンにサイトを追加する必要があります。 167 Citrix Receiverインストールファイルを サーバーから入手できるようにするには 更新日: 2013-10-21 デフォルトでは、ユーザーがWindowsまたはMac OS Xが動作するコンピューターから Receiver for Webサイトにアクセスすると、Citrix Receiverがユーザーデバイスにインストー ル済みであるかどうかが判別されます。 Citrix Receiverが検出されない場合は、プラットフォ ームに適したCitrix Receiverをダウンロードしてインストールするためのページが開きます。 Receiver for WindowsとReceiver for MacのインストールファイルをStoreFrontサーバー 上にコピーすると、ユーザーをCitrix社のWebサイトにリダイレクトせずに、これらのロー カルファイルをユーザーに提供できます。 また、古いバージョンのクライアントを使用して いるユーザーに対して、StoreFrontサーバー上のCitrix Receiverにアップグレードするため のオプションを提供することもできます。 Receiver for WindowsおよびReceiver for Mac の展開を構成するには、Windows PowerShellスクリプトを実行し、さらにサイトの構成ファ イルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. Receiver for WindowsとReceiver for MacのインストールファイルをStoreFrontイン ストール先フォルダー(通常C:\Program Files\Citrix\Receiver StoreFront\)にある \Receiver Clients\Windows\フォルダーと\Receiver Clients\Mac\フォルダーにそれ ぞれコピーします。 また、コマンドプロンプトでStoreFrontをインストールするときに、Citrix Receiverの インストールファイルをサーバーにコピーすることもできます。 詳しくは、「コマンド プロンプトからStoreFrontをインストールするには」を参照してください。 2. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロ ンプトで次のコマンドを実行します。これにより、Citrix Receiverのインストールファ イルがStoreFrontに登録されます。 & "installationlocation\Scripts\UpdateWindowsReceiverLocation.ps1" -ClientLocation "Windows\filename.exe" & "installationlocation\Scripts\UpdateMacOSReceiverLocation.ps1" -ClientLocation "Mac\filename.dmg" ここで、installationlocationはStoreFrontがインストール先フォルダー(通常 C:\Program Files\Citrix\Receiver StoreFront\)で、filenameはCitrix Receiverのイ ンストールファイルの名前です。 3. StoreFrontサーバーで、テキストエディターを使ってReceiver for Webサイトの web.configファイルを開きます。このファイルは通常、 C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクトリにあります。ここで、 <storename>はストアの作成時に指定した名前です。 168 Citrix Receiverインストールファイルをサーバーから入手できるようにするには 4. ファイル内で次の要素を検索します。 <pluginAssistant ... upgradeAtLogin="false"> 5. upgradeAtLogin属性の値をtrueに設定します。これにより、古いクライアントを使用し ているユーザーにアップグレードするためのオプションが提供されます。 169 Citrix Receiverの検出と展開を無効にす るには 更新日: 2013-10-21 デフォルトでは、ユーザーがWindowsまたはMac OS Xが動作するコンピューターから Receiver for Webサイトにアクセスすると、Citrix Receiverがユーザーデバイスにインストー ル済みであるかどうかが判別されます。 Citrix Receiverが検出されない場合は、プラットフォ ームに適したCitrix Receiverをダウンロードしてインストールするためのページが開きます。 Receiver for WebサイトのReceiver for WindowsおよびReceiver for Macの検出と展開機 能を無効にするには、サイトの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <pluginAssistant enabled="true" ... > 3. サイトのCitrix Receiverの検出と展開を無効にするには、enabled属性falseに変更しま す。 170 ワークスペースコントロールを構成する には 更新日: 2013-10-21 ワークスペースコントロール機能を有効にすると、ユーザーがセッションの途中でデバイス を切り替えても、新しいデバイス上でそのアプリケーションでの作業を継続できます。 これ により、たとえば病院で臨床医がほかのワークステーションに移動しても、移動先のデバイ スでアプリケーションを起動し直す必要がなくなります。 Receiver for Webサイトでは、 ワークスペースコントロールがデフォルトで有効になります。 ワークスペースコントロール を無効にしたり設定を変更したりするには、サイトの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <workspaceControl enabled="true" autoReconnectAtLogon="true" logoffAction="disconnect" showReconnectButton="false" showDisconnectButton="false" /> 3. サイトのワークスペースコントロールを無効にするには、enabled属性の値をfalseに変 更します。 切断したアプリケーションへの自動再接続を無効にするには、 autoReconnectAtLogon属性の値をfalseに変更します。 ユーザーがサイトからログオ フしたときにアプリケーションが自動でシャットダウンされるようにするには、 LogoffAction属性の値をterminateに設定します。 ユーザーがサイトからログオフした ときにアプリケーションを実行したまま保持するには、logoffActionをnoneに設定しま す。 デフォルトでは、autoReconnectAtLogonがtrueに設定されており、logoffActionが disconnectに設定されています。 この構成により、ユーザーがサイトにログオンしてい くつかのアプリケーションを起動した後で別のデバイスから同じサイトにログオンした 場合に、これらのアプリケーションに自動的に再接続されます。 ユーザーがサイトから 起動したすべてのアプリケーションは、ユーザーがそのサイトからログオフしても切断 状態のまま保持されます(同じWebブラウザーインスタンスでログオン、アプリケーショ ンの起動、およびログオフした場合)。 ただし、autoReconnectAtLogonがtrueでも、 Receiver for Webサイトで使用可能なデスクトップが1つのみの場合にそのデスクトッ プが自動的に起動するように構成すると、アプリケーションは再接続されません。 使用するデバイスを切り替えたときに同じアプリケーションに再接続するかどうかをユー ザーが選択できるようにするには、ログオン時のアプリケーションの自動再接続を無効 にします。 ログオン時のアプリケーションの自動再接続を無効にする場合は、[接続] リンクが表示されるように設定してください。ユーザーは、このリンクをクリックして、 171 ワークスペースコントロールを構成するには 切断されたアプリケーションに再接続できます。 4. サイトに[接続]リンクが表示されるようにするには、showReconnectButton属性の 値をtrueに設定します。これにより、切断されたアプリケーションにユーザーが手作業 で再接続できるようになります。 サイトに[切断]リンクが表示されるようにするには、 showDisconnectButton属性の値をtrueに設定します。これにより、アプリケーション をシャットダウンせずに手作業で切断できるようになります。 デフォルトでは、[接続]および[切断]リンクはサイトに表示されません。 使用する デバイスを切り替えたときに同じアプリケーションに再接続するかどうかをユーザーが 選択できるようにするには、これらのリンクが表示されるようにして、さらにログオン 時のアプリケーションの自動再接続を無効にします。 172 ユーザーへのプロビジョニングファイル の提供を停止するには 更新日: 2013-10-21 デフォルトでは、Receiver for Webサイトによりプロビジョニングファイルが提供されます。 ユーザーは、このファイルを使用してCitrix Receiverでストアを構成します。 このプロビジョ ニングファイルには、そのReceiver for Webサイトのリソースを提供するストアに接続する ための詳細(NetScaler Gateway展開環境やビーコンの詳細など)が定義されています。 ユー ザーへのCitrix Receiverプロビジョニングファイルの提供を停止するには、サイトの構成ファ イルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <receiverConfiguration enabled="true" ... /> 3. ユーザーがサイトからプロビジョニングファイルをダウンロードするためのオプション を無効にするには、enabled属性の値をfalseに変更します。 173 Receiver for HTML5のブラウザータブ 使用を構成するには 更新日: 2013-10-21 デフォルトでは、Receiver for HTML5は新しいブラウザータブでデスクトップやアプリケー ションを起動します。 ただし、ユーザーがReceiver for HTML5を使用してショートカット からリソースを起動した場合、既存のブラウザータブのReceiver for Webサイトが置き換わ り、そこでデスクトップまたはアプリケーションが起動します。 Receiver for Webサイト と同じタブでリソースが常に起動するようにReceiver for HTML5を構成するには、サイトの 構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <html5 ... singleTabLaunch="false" /> 3. singleTabLaunch属性をtrueに変更します。これにより、デスクトップやアプリケーショ ンが新しいタブではなくReceiver for Webサイトと同じタブで起動するようになります。 174 ストアのタイムアウト期間および再試行 回数を構成するには 更新日: 2013-10-21 デフォルトでは、Receiver for Webサイトからそのストアへの要求は、1分でタイムアウト します。 通信の試行が2回失敗すると、ストアが使用できないとみなされます。 これらの設 定を変更するには、サイトの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <communication attempts="2" timeout="00:01:00"> 3. attempts属性では、ストアが使用できないとみなされるまでの通信試行回数を設定しま す。 timeout属性では、ストアからの応答を待機する時間を時間、分、および秒で設定 します。 175 セッションの継続期間を構成するには 更新日: 2013-10-21 ユーザーはいったん認証を受けた後、デフォルトで最長8時間再ログオンせずにXenDesktop、 XenApp、App Controller、またはVDI-in-a-Boxのリソースにアクセスできます。 また、 Receiver for Webサイト上のユーザーセッションは、アイドル状態がデフォルトで20分続 くとタイムアウトします。 ユーザーはセッションがタイムアウトしても既に実行中のデスク トップとアプリケーションを引き続き使用できますが、アプリケーションのサブスクライブ などのReceiver for Webサイトの機能にアクセスするには、再ログオンする必要があります。 これらの設定を変更するには、サイトの構成ファイルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. テキストエディターを使ってReceiver for Webサイトのweb.configファイルを開きます。 このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Web\ディレクト リにあります。ここで、<storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <authentication tokenLifeTime="08:00:00" ... /> 3. tokenLifeTime属性の値を変更して、XenDesktop、XenApp、App Controller、または VDI-in-a-Boxのユーザーがいったん認証を受けた後に、その展開環境で提供されるリソー スを引き続き使用できる期間を時間、分、秒で設定します。 4. ファイル内で次の要素を検索します。 <sessionState timeout="20" /> 5. timeout属性を使用して、アイドル状態のセッションでタイムアウトが発生するまでの期 間を分単位で設定します。タイムアウトが発生すると、サイトにアクセスするために再 ログオンが必要になります。 176 デスクトップアプライアンスサイトの構 成 更新日: 2013-10-21 以下のタスクでは、デスクトップアプライアンスサイトを作成、削除、および変更する方法 について説明します。 サイトを作成または削除するには、Windows PowerShellコマンドを 実行します。 デスクトップアプライアンスサイトの設定を変更するには、サイトの構成ファ イルを編集します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 デスクトップアプライアンスサイトを作成また は削除するには 1つのデスクトップアプライアンスサイトから複数のストアにアクセスすることはできませ ん。 管理者は、単一のストアを作成してユーザーすべてのリソースをドメイン不参加のデス クトップアプライアンスで提供できます。 または、異なるデスクトップアプライアンスサイ トにアクセスする個別のストアを作成して、ユーザーのデスクトップアプライアンスが適切 なサイトに接続するように構成します。 1. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロ ンプトで次のコマンドを実行します。これにより、StoreFrontモジュールがインポート されます。 & "installationlocation\Scripts\ImportModules.ps1" ここで、installationlocationはStoreFrontのインストール先フォルダーで、通常 C:\Program Files\Citrix\Receiver StoreFront\です。 2. 新しいデスクトップアプライアンスサイトを作成するには、次のコマンドを入力します。 Install-DSDesktopAppliance -FriendlyName sitename -SiteId iisid -VirtualPath sitepath -HostBaseUrl baseurl -UseHttps {$False | $True} -StoreUrl storeaddress [-EnableMultiDesktop {$False | $True}] [-EnableExplicit {$True | $False}] [-EnableSmartCard {$False | $True}] [-EnableEmbeddedSmartCardSSO {$False | $True}] ここで、sitenameでこのデスクトップアプライアンスサイトに対するわかりやすい名前 を指定します。 iisidでは、StoreFrontをホストしているMicrosoftインターネットインフォ メーションサービス(IIS)サイトの数値IDを指定します。この値は、インターネットイ ンフォメーションサービス(IIS)マネージャーコンソールから取得します。 sitepathで は、IIS内でサイトを作成する相対パスを指定します(/Citrix/DesktopApplianceなど)。 デスクトップアプライアンスサイトのURLでは大文字と小文字が区別されることに注意 177 デスクトップアプライアンスサイトの構成 してください。 baseurlでは、StoreFrontサーバーのURL、または複数サーバー展開の 場合は負荷分散環境のURLを指定します。 -UseHttpsでは、StoreFrontをHTTPS用に構成する(True)かしない(False)かを指 定します。 -UseHttpsの設定と-HostBaseURLで指定するURLのプロトコルが一致する ようにしてください。 storeaddressでは、サイトのリソースを提供するストアのURLを 指定します。 デフォルトでは、ユーザーがデスクトップアプライアンスサイトにログオンすると、そ のユーザーが使用できる最初のデスクトップが自動的に起動します。 このデスクトップ アプライアンスサイトでユーザーが複数のデスクトップから使用するものを選択できる ようにするには、-EnableMultiDesktopを$Trueに設定します。 新しいサイトを作成すると、指定ユーザー認証がデフォルトで有効になります。 指定ユー ザー認証を無効にするには、-EnableExplicitを$Falseに設定します。 スマートカード認 証を有効にするには、-EnableSmartCardを$Trueに設定します。 スマートカードパス スルー認証を有効にする場合は、-EnableSmartCardと -EnableEmbeddedSmartCardSSOの両方を$Trueに設定する必要があります。 指定ユー ザーのスマートカード認証または指定ユーザーのスマートカードパススルー認証を有効 にすると、ユーザーはまずスマートカードによるログオンが求められますが、スマート カードに問題がある場合は指定ユーザー認証に切り替わります。 オプションの引数で構成する設定は、デスクトップアプライアンスサイトを作成した後 でもサイトの構成ファイルを編集して変更できます。 3. 既存のデスクトップアプライアンスサイトを削除するには、次のコマンドを入力します。 Remove-DSDesktopAppliance -SiteId iisid -VirtualPath sitepath ここで、iisidはStoreFrontをホストするIISサイトの数値IDで、sitepathはIIS内でのデ スクトップアプライアンスサイトの相対パスです(/Citrix/DesktopApplianceなど)。 4. StoreFront展開環境で現在使用できるデスクトップアプライアンスサイトの一覧を表示 するには、次のコマンドを入力します。 Get-DSDesktopAppliancesSummary ユーザー認証を構成するには デスクトップアプライアンスサイトは、指定ユーザー認証、スマートカード認証、スマート カードパススルー認証をサポートします。 デフォルトでは、指定ユーザー認証が有効になり ます。 指定ユーザーのスマートカード認証または指定ユーザーのスマートカードパススルー 認証を有効にした場合のデフォルトの動作では、まずスマートカードによるログオンが求め られます。 スマートカードでログオンできない場合は、資格情報を入力してログオンできま す(指定ユーザー認証)。 すべてのStoreFront URLへのHTTPS接続に対してクライアント 証明書が必要となるようにIISを構成した環境では、ユーザーがスマートカードでログオンで きない場合に指定ユーザー認証でログオンできません。 デスクトップアプライアンスサイト の認証方法を構成するには、サイトの構成ファイルを編集します。 1. テキストエディターを使ってデスクトップアプライアンスサイトのweb.configファイル を開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Desk topApplianceディレクトリにあります。ここで、<storename>はストアの作成時に指 定した名前です。 178 デスクトップアプライアンスサイトの構成 2. ファイル内で次の要素を検索します。 <explicitForms enabled="true" /> 3. サイトの指定ユーザー認証を無効にするには、enabled属性の値をfalseに変更します。 4. ファイル内で次の要素を検索します。 <certificate enabled="false" useEmbeddedSmartcardSso="false" embeddedSmartcardSsoPinTimeout="00:00:20" /> 5. スマートカード認証を有効にするには、enabled属性の値をtrueに設定します。 スマー トカードパススルー認証を有効にするには、useEmbeddedSmartcardSso属性の値も trueに設定する必要があります。 PIN入力画面の表示がタイムアウトするまでの時間を 時間、分、秒で設定するには、embeddedSmartcardSsoPinTimeout属性を使用します。 PIN入力画面がタイムアウトするとログオン画面に戻ります。PIN入力画面を再び表示 するには、スマートカードをいったん取り出してから再挿入する必要があります。 デフォ ルトのタイムアウト時間は20秒です。 ユーザーが複数のデスクトップから選択できる ようにするには デフォルトでは、ユーザーがデスクトップアプライアンスサイトにログオンすると、そのユー ザーに提供されているデスクトップのうち(アルファベット順で)最初のデスクトップが自 動的に起動します。 ストアで複数のデスクトップをユーザーに提供する場合は、デスクトッ プアプライアンスサイトに複数のデスクトップを表示して、ユーザーが選択できるように構 成できます。 これらの設定を変更するには、サイトの構成ファイルを編集します。 1. テキストエディターを使ってデスクトップアプライアンスサイトのweb.configファイル を開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>Desk topApplianceディレクトリにあります。ここで、<storename>はストアの作成時に指 定した名前です。 2. ファイル内で次の要素を検索します。 <resources showMultiDesktop="false" /> 3. ユーザーがデスクトップアプライアンスサイトにログオンしたときにストアで使用でき るすべてのデスクトップを表示して選択できるようにするには、showMultiDesktop属 性の値をtrueに変更します。 179 XenApp Services URLの認証を構成す るには 更新日: 2013-10-21 XenApp ServicesサイトのURLを使用すると、ドメインに参加しているデスクトップアプラ イアンスのユーザー、Citrix Desktop Lockを実行している再目的化されたPCのユーザー、 およびアップグレードできない古いバージョンのCitrixクライアントのユーザーがストアにア クセスできるようになります。 デフォルトでは、新しいストアを作成するときに、XenApp ServicesサイトのURLが有効になります。 XenApp ServicesサイトのURLは、 http[s]://<serveraddress>/Citrix/<storename>/PNAgent/config.xmlの形式です。ここ で、<serveraddress>はStoreFront展開環境のサーバーまたは負荷分散環境の完全修飾ド メイン名で、<storename>はストアの作成時に指定した名前です。 XenApp Servicesサイトでは、指定ユーザー認証、ドメインパススルー認証、スマートカー ドパススルー認証がサポートされます。 デフォルトでは、指定ユーザー認証が有効になりま す。 有効にする認証方法は変更できますが、各XenApp Servicesサイトで有効にできる認証 方法は1つだけです。 複数の認証方法を有効にするには、個別のストアを作成して、それら のXenApp Servicesサイトで異なる認証方法を有効にします。 XenApp Servicesサイトでの 認証方法を変更するには、Windows PowerShellスクリプトを実行します。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 1. ローカル管理者権限を持つアカウントを使用してWindows PowerShellを開始して、コ マンドプロンプトで以下のいずれかのコマンドを実行します。これにより、XenApp Servicesサイト経由でストアにアクセスするユーザーの認証方法が構成されます。 smartcard_prompt機能の場合: & "installationlocation\Scripts\EnablePnaForStore.ps1" –SiteId iisid –ResourcesVirtualPath storepath –LogonMethod {prompt | sson | smartcard_prompt} smartcard_sson機能の場合: & "installationlocation\Scripts\EnablePnaForStore.ps1" –SiteId iisid –ResourcesVirtualPath storepath –LogonMethod {prompt | sson | smartcard_sson} ここで、installationlocationはStoreFrontのインストール先フォルダーで、通常 C:\Program Files\Citrix\Receiver StoreFront\です。 iisidでは、StoreFrontをホス トしているMicrosoftインターネットインフォメーションサービス(IIS)サイトの数値 IDを指定します。この値は、インターネットインフォメーションサービス(IIS)マネー ジャーコンソールから取得します。 storepathでは、ストアのパスをIISの相対パスで指 定します(/Citrix/Storeなど)。 指定ユーザー認証を有効にするには、-LogonMethod 引数をpromptに設定します。 ドメインパススルー認証を有効にするにはssonを設定し、 スマートカードパススルー認証を有効にするにはsmartcard_ssonを設定します。 180 StoreFront展開環境のセキュリティ 更新日: 2013-10-21 このトピックでは、StoreFrontの展開および構成時に使用すべき、システムのセキュリティ を保護するための機能について説明します。 StoreFrontでの証明書 StoreFrontでは、コンピューターの識別と通信の保護のためにサーバー証明書を使用します。 ICAファイルの署名機能を有効にする場合は、StoreFrontで証明書を使用してICAファイル をデジタル署名することもできます。 認証サービスとストアのそれぞれに、トークン管理のための証明書が必要です。 認証サービ スまたはストアを作成すると、StoreFrontにより自己署名証明書が生成されます。 StoreFrontにより生成される自己署名証明書をほかの用途で使用しないでください。 Citrix Receiverを初めてデバイスにインストールするユーザーに対してメールアドレスによ るアカウント検出を有効にするには、StoreFrontサーバー上に有効なサーバー証明書をイン ストールする必要があります。 ルート証明書へのチェーンのすべてが有効である必要もあり ます。 ユーザーエクスペリエンスを向上させるには、SubjectまたはSubject Alternative NameエントリがdiscoverReceiver.<domain>である証明書をインストールします(ここで <domain>はユーザーのメールアカウントのMicrosoft Active Directoryドメインです)。 このドメインのワイルドカード証明書を使用することもできますが、そのような証明書の使 用が社内のセキュリティポリシーで許可されていることを確認してください。 ユーザーのメー ルアカウントを含んでいるドメイン用のほかの証明書を使用することもできますが、ユーザー がCitrix ReceiverでStoreFrontサーバーに最初に接続したときに、証明書に関する警告が表 示されます。 上記以外の証明書を使用してメールアドレスによるアカウント検出機能を使用 することはできません。 詳しくは、「メールアドレスによるアカウント検出を構成する」を 参照してください。 ユーザーがアカウントを構成するときに、Citrix ReceiverにストアのURLを入力する場合( つまりメールアドレスによるアカウント検出機能を使用しない場合)は、StoreFrontサーバー 上の証明書がそのサーバーに対してのみ有効で、ルート証明書へのチェーンが有効である必 要があります。 StoreFrontの通信 実稼働環境では、StoreFrontとサーバーの間で通信されるデータを保護するために、インター ネットプロトコルセキュリティ(IPsec)またはHTTPSプロトコルを使用することをお勧め します。 IPsecは、インターネットプロトコルの標準機能拡張のセットです。インターネッ トプロトコルは、データ整合性と再生の保護により通信の認証と暗号化の機能を提供します。 IPsecはネットワーク層のプロトコルセットであるため、上位レベルのプロトコルでそのま まIPSecを使用できます。 HTTPSは、SSL(Secure Sockets Layer)およびTLS( Transport Layer Security)プロトコルを使用して強力なデータ暗号化機能を提供します。 StoreFrontサーバーとXenAppサーバー間のデータトラフィックを保護するには、SSL Relayを使用します。 SSL Relayはホスト認証とデータ暗号化を実行する、XenAppのデフォ 181 セキュリティ ルトのコンポーネントです。 StoreFrontとユーザーデバイスの間の通信は、NetScaler GatewayおよびHTTPSで保護す ることをお勧めします。 StoreFrontでHTTPSを使用するには、認証サービスおよび関連付 けられたストアを提供するMicrosoftインターネットインフォメーションサービス(IIS)イ ンスタンスでHTTPSを構成する必要があります。 IISでHTTPSが構成されていない場合、 StoreFrontの通信にHTTPが使用されます。 実稼働環境では、StoreFrontへのすべてのユー ザー接続が保護されるようにしてください。 注: IISではSSL 2.0がデフォルトで有効になっています。 このプロトコルは廃止予定で あるため、StoreFrontサーバーでSSL 2.0を無効にすることをお勧めします。 IISでのプ ロトコルの無効化について詳しくは、http://support.microsoft.com/kb/187498/jaを参 照してください。 StoreFrontのセキュリティ境界による分離 StoreFrontと同じWebドメイン(ドメイン名とポート)にWebアプリケーションを展開する と、これらのWebアプリケーションの脆弱性によりStoreFront展開環境全体のセキュリティ が低下する可能性があります。 セキュリティ境界を分離してセキュリティを強化するため、 Webアプリケーションと異なるWebドメインにStoreFrontを展開することをお勧めします。 ICAファイルの署名 StoreFrontには、サーバー上の特定の証明書を使用してICAファイルをデジタル署名するオ プションがあり、この機能をサポートするバージョンのCitrix Receiverでは、ファイルの発 行元を信頼できるかどうかを検証できます。 SHA-1やSHA-256など、StoreFrontサーバー のオペレーティングシステムでサポートされるどのハッシュアルゴリズムでも、ICAファイ ルを署名できます。 詳しくは、「ICAファイルの署名を有効にするには」を参照してくださ い。 ユーザーによるパスワードの変更 Active Directoryドメインの資格情報でReceiver for Webサイトにログオンするユーザーが 必要に応じてパスワードを変更できるように設定することができます。 ただし、その認証サー ビスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ 機能が公開されることになります。 組織のセキュリティポリシーにより、ユーザーパスワー ド変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのス トアにアクセスできないことを確認してください。 認証サービスを作成したときのデフォル トの構成では、パスワードが失効しても、ユーザーはパスワードを変更できません。 詳しく は、「ユーザーエクスペリエンスの最適化」を参照してください。 182 StoreFrontのトラブルシューティング 更新日: 2013-11-25 StoreFrontのインストール時やアンインストール時に、インストーラーにより C:\Windows\Temp\フォルダーに以下のログファイルが作成されます。 これらのログファ イルには、作成元のコンポーネントと日時を示すファイル名が付けられます。 • • • Citrix-DeliveryServicesRoleManager-*.log:StoreFrontのインタラクティブインストー ル時に作成されます。 Citrix-DeliveryServicesSetupConsole-*.log:StoreFrontのサイレントインストール時、 インタラクティブアンインストール時、およびサイレントアンインストール時に作成さ れます。 CitrixMsi-CitrixStoreFront-x64-*.log:StoreFrontのインタラクティブインストール時、 サイレントインストール時、インタラクティブアンインストール時、およびサイレント アンインストール時に作成されます。 StoreFrontの認証サービス、ストア、およびReceiver for Webサイトのイベントは、 Windowsイベントログに書き込まれます。 生成されたイベントはStoreFrontのアプリケー ションログに書き込まれます。このログを表示するには、イベントビューアーで[アプリケー ションとサービスログ]>[Citrix Delivery Services]または[Windowsログ]>[アプリ ケーション]の順に選択します。 単一イベントに対して同じログエントリが何度も書き込ま れないようにするには、認証サービス、ストア、およびReceiver for Webサイトの構成ファ イルを編集してログ調整を構成します。 Citrix StoreFront管理コンソールでは、トレース情報が自動的に記録されます。 デフォルト ではほかの操作のトレースは無効になっており、手作業で有効にする必要があります。 Windows PowerShellコマンドにより作成されるログファイルは、StoreFrontのインストー ル先フォルダーにある\Admin\logs\フォルダー内に保存されます。このインストール先フォ ルダーは通常、C:\Program Files\Citrix\Receiver StoreFront\です。 このログファイル の名前は、実行されたコマンド処理、対象、および実行順序を識別するための日時で構成さ れます。 重要: 複数サーバーによる展開環境では、同時に複数のサーバー上でサーバーグループの 構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソー ルを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサー バーグループに反映させて、展開内のほかのサーバーを更新します。 183 トラブルシューティング ログ調整を構成するには 1. 認証サービス、ストア、またはReceiver for Webサイトのweb.configファイルをテキス トエディターで開きます。これらのファイルは通常、それぞれ C:\inetpub\wwwroot\Citrix\Authentication\、 C:\inetpub\wwwroot\Citrix\<storename>\、および C:\inetpub\wwwroot\Citrix\<storename>Web\フォルダーにあります。ここで、 <storename>はストアの作成時に指定した名前です。 2. ファイル内で次の要素を検索します。 <logger duplicateInterval="00:01:00" duplicateLimit="10"> StoreFrontのデフォルトでは、重複するログエントリの数が1分あたり10件までに制限 されます。 3. duplicateInterval属性の値を変更して、重複エントリの監視期間を時間、分、秒で設定 します。 duplicateLimit属性の値を変更して、指定した監視期間内に記録される重複エ ントリの数を設定します。この数を超えるとログ調整が実行されます。 ログ調整が実行されると、指定した数を超える重複ログエントリが抑制され、それを示す警 告メッセージが記録されます。 監視期間が経過すると、ログ調整が解除され、それを示す情 報メッセージが記録されます。 トレースを有効にするには 1. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロ ンプトで次のコマンドを実行してサーバーを再起動します。これにより、トレースが有 効になります。 Add-PSSnapin Citrix.DeliveryServices.Framework.Commands Set-DSTraceLevel -modulename -TraceLevel Verbose ここで、modulenameはトレースを有効にするモジュールの名称です。 すべてのモジュー ルに対するトレースを有効にするには、-servicenameパラメーターを-All設定と入れ替 えます。 2. トレースを無効にするには、コマンドプロンプトで以下のコマンドを実行してサーバー を再起動します。 Add-PSSnapin Citrix.DeliveryServices.Framework.Commands Set-DSTraceLevel -modulename -TraceLevel Off ここで、modulenameはトレースを無効にするモジュールの名称です。 すべてのモジュー ルに対するトレースを無効にするには、-servicenameパラメーターを-All設定と入れ替 えます。 トレースを有効にすると、StoreFrontのインストール先フォルダーにある\Admin\Trace\ フォルダー内のファイルにトレース情報が自動的に書き込まれます。このインストール先フォ ルダーは通常、C:\Program Files\Citrix\Receiver StoreFront\です。 184 トラブルシューティング 大量のデータが生成される可能性があるため、トレースはStoreFrontのパフォーマンスに大 きな影響を与える可能性があります。 したがって、トラブルシューティングなどで必要な場 合以外では、トレースを無効にすることをお勧めします。 185
© Copyright 2024 Paperzz