現在XenApp & XenDesktopでは現行リリース(CR: Current Release)と長期サービスリリース(LTSR: Long Term Service Release)の2つの運用オプションがあり、最新版のLTSRとして2017年8月にXenApp & XenDesktop 7.15 LTSRがリリースされました。
前LTSRバージョン以降(XenApp & XenDesktop 7.7〜7.14)に実装された機能を含むLTSRバージョンとして待望のリリースとなり、Windows 10やWindows Server 2016の採用を検討されているお客様、XenApp 6.xやXenApp & XenDesktop 7.6 LTSRから移行をお考えのお客様からご相談を数多く頂いております。
本ブログでは、XenApp & XenDesktop 7.15 LTSRで利用可能となり、日本のお客様からの実装リクエストが多かった「双方向コンテンツリダイレクト」についてご紹介いたします。ブログ後半では、特にご質問の多いURL除外設定(特定URL”以外”をリダイレクトする方法)について記載しておりますので是非ご参照ください。
※各運用オプションやXenApp & XenDesktop 7.15 LTSRについてはこちらをご覧ください。
【XenApp, XenDesktop, and XenServer Servicing Options】
【最新版XenApp & XenDesktop 7.15 LTSR】
双方向コンテンツリダイレクトとは
双方向コンテンツリダイレクトは当初「双方向URLリダイレクト(Bi-directional URL redirection)」とも呼ばれ、指定したURLについて、クライアント端末のブラウザで表示させるか、仮想デスクトップ(VDI)やXenAppで公開したアプリケーションのブラウザで表示させるかを管理者が柔軟に設定できる機能となります。このリダイレクト機能により、エンドユーザーがURLを意識していちいちブラウザを使い分ける面倒から解放され、シームレスな使用感を提供することが可能となります。
ユースケースとしては、
- セキュリティ向上目的でインターネット閲覧を行うブラウザをXenAppで仮想化し、社内や庁内の環境と分離したような環境で、イントラネットのサイトを見る際にはローカル(クライアント端末)、インターネットのサイトを見る際には仮想側のブラウザといった使い分けを行わなければならないケース
- 特定バージョンのInternet Explorer (以下、IE)をXenAppで仮想化しており、特定のURLに関してはそのXenAppで公開したIEにリダイレクトさせたいケース
といった例が挙げられます。
当機能はXenApp & XenDesktop 7.13から追加されましたが、それ以前のバージョンでもVDIやXenAppサーバー(以下、VDA: Virtual Delivery Agent)からクライアント側のブラウザにリダイレクトさせる機能は存在しました。従来のURLリダイレクト機能との大きな違いとしては、以下になります。
- クライアントからVDAにリダイレクト可能
- 単独機能として利用可能(Local App Access機能と組み合わせる必要がない。Platinum Editionではなく全Editionで利用可能)
双方向コンテンツリダイレクトの仕組み
当機能のキーとなるコンポーネントはIEのアドオンです。ユースケース例で挙げたブラウザ分離環境の場合、各コンポーネントの関係図は以下の様になります。
- クライアントからVDAへのリダイレクト
- Citrix Receiverインストール時のオプション(もしくはコマンド実行)で、ローカルIEにアドオン(Citrix URL-Redirection Helper)が登録されます。
- クライアントマシンが参加しているドメインのグループポリシーで、リダイレクトするURLを設定します。
- 指定したURLをアドオンがインターセプトし、Citrix ReceiverにURLを引数として渡します。
- VDAからクライアントへのリダイレクト
- コマンドを実行しVDAのIEにアドオン(Citrix VDA-URL-Redirection Helper)を登録します。
- Citrixポリシーで、リダイレクトするURLを設定します。
- 指定したURLをアドオンがインターセプトし、ICAチャネル経由でURLが送付され、ローカルIEを起動します。
要件と注意事項
主なポイントとして、以下が挙げられます。
- Citrix Receiver for Windows 4.7以降
- XenAppまたはXenDesktop 7.13以降
- 対応ブラウザ:Internet Explorer 8から11
- デスクトップセッションでもアプリケーションセッションでも利用可能
- サポート対象はドメイン参加したクライアント
- URLの指定にワイルドカード「*」が利用可能
- URL数の上限はレジストリにて認識できる文字数上限 (1024文字)
- ダブルホップ環境などの場合で、すでにVDAがインストールされている場合は“redirecor.exe”がインストールされないため、以下のオプションをつけてReceiverをインストール必要がある。
CitrixReceiver.exe /ALLOW_BIDIRCONTENTREDIRECTION=1 /FORCE_LAA=1
その他、詳細については以下ご参照ください。設定方法も記載されております。
【双方向のコンテンツリダイレクトのポリシー設定】
【コンテンツの双方向リダイレクトの構成】
https://docs.citrix.com/ja-jp/receiver/windows/4-7/configure/receiver-windows-config-xdesktop.html
設定方法:基本編
それでは上記ドキュメントをもとに(赤字は補足部分)、実際に設定していきます。
※当環境では以下のバージョンにて検証しました。
クライアント:Windows 10 Enterprise 1703, Receiver for Windows 4.9.1000 LTSR CU1, ドメイン参加
VDA: Windows Server 2016 Datacenter 1607, 7.15 LTSR VDA, 「IE11 2016」のアプリケーション名でIE11を公開済み
1. クライアント側の設定 (アドオン有効化→GPO設定)
・クライアントの規定のWebブラウザがInternet Explorerであることを確認します。※Windwos 10の場合はMicrosoft EdgeからIE11に変更します。
・コマンドプロンプトからReceiverを以下のコマンドでインストールします。
CitrixReceiver.exe /ALLOW_BIDIRCONTENTREDIRECTION=1
※Receiverインストール時のオプションについては以下ご参照ください。ダブルホップ環境で必要となる”FORCE_LAA”オプションを利用する場合は管理者権限が必要となります。
【コマンドラインパラメーターを使用した構成とインストール】
https://docs.citrix.com/ja-jp/receiver/windows/4-9/install/cfg-command-line.html
※既にReceiverがインストールされている場合は以下コマンドでアドオンを登録します。
C:\Program Files(x86)\Citrix\ICA Client\redirector.exe /regIE
・インストールが完了後、IEのアドオンを確認するとアドオンが有効化されていることが確認できます。
・GPO管理用テンプレートをインポートします。admx/admlファイルはReceiverをインストールしたマシンの以下フォルダに配置されています。
receiver.admx: “C:¥Program Files(x86)¥Citrix¥ICA Client¥Configuration”フォルダ
receiver.adml: “C:¥Program Files(x86)¥Citrix¥ICA Client¥Configuration¥ja-JP”フォルダ
・グループポリシー管理エディターを開き、[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[Citrix Receiver]-[ユーザーエクスペリエンス]-[コンテンツの双方向リダイレクト]を選択します。
・例として「”.google.”, “.yahoo.”を含むURLはVDAにリダイレクトし、”.citrix.”を含むURLはクライアントにリダイレクトする」設定を以下で行います。
公開アプリケーション名/デスクトップ名: IE11 2016
上記の名前の種類: アプリケーション
VDAへのリダイレクトを許可するURL: *.google.*;*.yahoo.*
クライアントへのリダイレクトを許可するURL: *.citrix.*
・コマンドプロンプトからgpupdate /forceコマンドでグループポリシーを更新します。
クライアント側の設定は以上となります。続いてVDA側の設定を行います。
2. VDA側の設定 (アドオン有効化→Citrixポリシーなどの設定)
・VDAの規定のWebブラウザがInternet Explorerであることを確認します。
・VDA上で以下のコマンドを実行し、アドオンを登録します。
C:\Program Files (x86)\Citrix\System32\VDARedirector.exe /regIE
・IEのアドオンを確認するとアドオンが有効化されていることが確認できます。
・※重要※アプリケーションの設定
Studioのコンソールからアプリケーションを選択し(本環境ではIE11 2016)、右ペインの[プロパティ]をクリックします。
アプリケーション設定画面の[場所]-[コマンドライン引数 (オプション)]に「%*」を入力します。
※この設定により、クライアントからVDAへのURLの引渡しが正しく動作するようになります。
・Citrixポリシーを設定します。Studio左ペイン[ポリシー]を選択し、右ペインの[ポリシーの作成]をクリックします。
・ポリシーの作成画面でプルダウンメニューから[コンテンツの双方向リダイレクト]を選択すると3つの項目がフィルターされて表示されます。
・例として「”.google.”, “.yahoo.”を含むURLはVDAにリダイレクトし、”.citrix.”を含むURLはクライアントにリダイレクトする」設定を以下で行います。
VDAへのリダイレクトを許可するURL: *.google.*;*.yahoo.*
クライアントへのリダイレクトを許可するURL: *.citrix.*
コンテンツの双方向リダイレクトを許可する: 許可
・設定したCitrixポリシーを有効化します。
VDA側の設定は以上となります。次に動作確認を行います。
3. 動作確認
・クライアントでハイパーリンクが設定されているドキュメントを用意します。
・”.citrix.”を含むURLへのハイパーリンクをクリックするとローカルブラウザが起動します。
・”.yahoo.”を含むURLへのハイパーリンクをクリックするとVDAにリダイレクトされます。
・VDAのブラウザで”.citrix.”を含むURLを入力すると、ローカルのブラウザにリダイレクトされます。
設定方法:応用編
最後に、お問い合わせを多く頂く「特定のURLだけローカルのブラウザに表示させて、それ以外はVDAにリダイレクトさせる」といったケースの設定方法をご紹介します。
双方向コンテンツリダイレクトは現時点ではURLのブラックリスト機能はございませんが、ワイルドカードと以下の仕様を利用して設定を行うことで想定に近い動作を実現することが可能です。
①「VDAへのリダイレクトを許可するURL」と「クライアントへのリダイレクトを許可するURL」の両方にURLがある場合、送信元(もともと閲覧していたブラウザ)で表示される
②URLがどちらにもない場合、送信元で表示される
それでは「”.citrix.”を含むURLのみローカルのブラウザで表示し、その他はVDAにリダイレクトさせる」設定をしてみましょう。
1. クライアント側の設定(GPO)
・グループポリシーの「コンテンツの双方向リダイレクト」で以下のように設定します。(①の仕様を利用)
VDAへのリダイレクトを許可するURL: *
クライアントへのリダイレクトを許可するURL: *.citrix.*
・コマンドプロンプトからgpupdate /forceコマンドでグループポリシーを更新します。
クライアント側の設定は以上となります。続いてVDA側の設定を行います。
2. VDA側の設定(Citrixポリシー)
・Studioにて「コンテンツの双方向リダイレクト」ポリシーを以下のように編集します。(②の仕様を利用)
VDAへのリダイレクトを許可するURL: (空欄)
クライアントへのリダイレクトを許可するURL: *.citrix.*
以上の設定により、基本的にはVDAのブラウザが利用されるが、”.citrix.”を含むURLを表示させる時のみローカルのブラウザを利用させる、といった制御が可能になります。
まとめ
本ブログでは、特に日本のお客様からリクエストが多かった「双方向コンテンツリダイレクト」機能について、その仕組みと設定方法をご紹介しました。実環境ではURLリストの設計とそのメンテナンスが課題として挙げられるかと思います。本稿の内容が、その課題解決の一助となれば幸いです。