会话

维护会话活动对于提供最佳用户体验至关重要。由于不可靠的网络、高度可变的网络延迟和无线设备的范围限制而失去连接可能会导致用户沮丧。能够在工作站之间快速移动并每次登录时访问同一组应用程序是许多移动工作者(如医院的医疗保健工作者)的优先事项。

本文中描述的特性优化了会话的可靠性，减少了不便、停机时间和生产力损失;使用这些功能，移动用户可以在设备之间快速轻松地漫游。

您还可以注销用户的会话，断开会话，并配置会话预启动和逗留;看到管理交付组．

会话可靠性

会话可靠性使会话保持活跃，并在网络连接中断时显示在用户屏幕上。在网络连接恢复之前，用户将继续看到他们正在使用的应用程序。

此功能对于具有无线连接的移动用户特别有用。例如，具有无线连接的用户进入铁路隧道并暂时失去连接。通常，会话被断开并从用户屏幕上消失，用户必须重新连接已断开的会话。使用会话可靠性，会话在机器上保持活动状态。为了表示连接丢失，用户的显示将冻结，光标将变为旋转的沙漏，直到隧道另一端的连接恢复。用户在中断期间继续访问显示，并在网络连接恢复时恢复与应用程序的交互。会话可靠性在不提示重新认证的情况下重新连接用户。

Citrix Workspace应用程序用户不能覆盖Controller设置。

您可以将会话可靠性与传输层安全性(TLS)一起使用。TLS仅对用户设备与Citrix网关之间发送的数据进行加密。

通过以下策略设置开启和配置会话可靠性:

• 会话可靠性连接策略设置允许或禁止会话可靠性。
• 会话可靠性超时策略的默认值为180秒，即3分钟。虽然可以延长会话可靠性保持会话打开的时间，但该特性是为了方便用户而设计的，因此不会提示用户重新进行身份验证。随着会话保持打开时间的延长，用户分心并离开用户设备的可能性就会增加，这可能会使未经授权的用户可以访问会话。
• 传入的会话可靠性连接使用端口2598，除非在会话可靠性端口号策略设置中更改端口号。
• 如果您不希望用户无需重新验证即可重新连接到中断的会话，请使用Auto Client reconnect功能。您可以配置自动客户端重新连接身份验证策略设置，以提示用户在重新连接到中断的会话时重新进行身份验证。

如果同时使用会话可靠性和自动客户端重新连接，这两个特性将依次工作。会话可靠性在“会话可靠性超时策略设置”中指定的时间之后关闭或断开用户会话。在此之后，自动客户端重新连接策略设置生效，尝试将用户重新连接到已断开的会话。

自动客户端重新连接

通过Auto Client Reconnect功能，Citrix Workspace应用程序可以检测ICA会话的意外断开，并自动将用户重新连接到受影响的会话。当在服务器上启用此功能时，用户不必手动重新连接以继续工作。

对于应用程序会话，Citrix Workspace应用程序将尝试重新连接到会话，直到成功重新连接或用户取消重新连接尝试。

对于桌面会话，Citrix Workspace应用程序尝试在指定的时间内重新连接到会话，除非有成功的重新连接或用户取消重新连接尝试。缺省情况下，此时间为5分钟。要更改此期间，请在用户设备上编辑此注册表:

HKLM \ Software \ Citrix \ ICA端\ TransportReconnectRetryMaxTimeSeconds;字;<秒>

在哪里秒是不再尝试重新连接会话的秒数。

使用以下策略设置启用和配置自动客户端重新连接:

• 自动重新连接客户端:启用或禁用Citrix Workspace应用程序在连接中断后自动重新连接。
• 自动客户端重新连接身份验证:启用或禁用自动重新连接后对用户身份验证的要求。
• 自动客户端重新连接日志:启用或禁用事件日志中重新连接事件的日志记录。默认情况下禁用日志记录。启用后，服务器的系统日志捕获有关成功和失败的自动重新连接事件的信息。每个服务器在自己的系统日志中存储有关重连接事件的信息。该站点不提供所有服务器重新连接事件的综合日志。

Auto Client Reconnect结合了一种基于加密用户凭证的身份验证机制。当用户初次登录时，服务器将用户凭证加密并存储在内存中，并创建一个包含加密密钥的cookie发送给Citrix Workspace应用程序。Citrix Workspace应用程序将密钥提交给服务器进行重新连接。服务器解密凭证并将其提交给Windows Logon进行身份验证。当cookie过期时，用户必须重新验证才能重新连接到会话。

如果启用了自动客户端重新连接身份验证设置，则不会使用cookie。相反，当Citrix Workspace应用程序试图自动重新连接时，会向用户显示一个请求凭据的对话框。

为了最大限度地保护用户凭证和会话，请对客户端和站点之间的所有通信使用加密。

在Windows的Citrix工作空间应用程序上使用icclient禁用自动客户端重新连接。adm文件。有关更多信息，请参阅Windows版本的Citrix Workspace应用程序的文档。

连接设置也会影响自动客户端重新连接:

• 默认情况下，自动客户端重新连接通过站点级别的策略设置启用，如上所述。不需要用户重新身份验证。但是，如果将服务器的ICA TCP连接配置为重置通信链路中断的会话，则不会发生自动重连接。自动客户端重新连接仅在服务器在连接断开或超时时断开会话时起作用。在这种情况下，ICA TCP连接是指服务器的虚拟端口(而不是实际的网络连接)，用于TCP/IP网络上的会话。
• 缺省情况下，服务器端的ICA TCP连接设置为断开连接或连接超时的会话。断开连接的会话在系统内存中保持完整，可以通过Citrix Workspace应用程序重新连接。
• 可以将连接配置为重置或注销连接断开或超时的会话。当会话被重置时，尝试重新连接将启动一个新会话。不是将用户恢复到正在使用的应用程序中的相同位置，而是重新启动应用程序。
• 如果服务器配置为重置会话，自动客户端重新连接将创建一个会话。此过程要求用户输入凭据以登录到服务器。
• 如果Citrix Workspace应用程序或插件提交不正确的身份验证信息，自动重新连接可能会失败，这可能在攻击期间发生，或者服务器确定自检测到连接断开以来已经经过了太长时间。

ICA维生

启用ICA保持连接功能可以防止断开连接。启用后，如果服务器检测到没有任何活动(例如，没有时钟更改、没有鼠标移动、没有屏幕更新)，则此功能可防止远程桌面服务断开该会话。服务器每隔几秒发送keep-alive报文，检测会话是否处于活动状态。如果会话不再活动，服务器将会话标记为已断开连接。

重要的是:

ICA Keep-Alive仅在不使用会话可靠性时工作。会话可靠性有自己的机制来防止断开连接。只对不使用“会话可靠性”的连接配置ICA保持连接。

ICA保持连接设置覆盖在Microsoft Windows组策略中配置的保持连接设置。

使用以下策略设置启用和配置ICA Keep-Alive:

• ICA保持存活超时:设置发送ICA保持连接消息的时间间隔(1 ~ 3600秒)。如果您希望您的网络监控软件在连接断开的情况很少，允许用户重新连接到会话的环境中关闭非活动连接，则不要配置此选项。

  缺省时间间隔为60秒:ICA Keep-Alive报文每60秒向用户设备发送一次。如果用户设备在60秒内没有响应，则ICA会话状态变为断开连接。

• ICA保持存活:发送或阻止发送ICA保持活动消息。

工作区控件

工作区控制允许桌面和应用程序跟随用户从一个设备到另一个设备。这种漫游功能使用户只需登录即可从任何地方访问所有桌面或打开应用程序，而无需重新启动每个设备上的桌面或应用程序。例如，工作空间控制可以帮助医院中需要在不同工作站之间快速移动并每次登录时访问同一组应用程序的医护人员。如果您将工作空间控制选项配置为允许这样做，那么这些工作者可以在一个客户端设备上断开与多个应用程序的连接，然后在另一个客户端设备上重新连接以打开相同的应用程序。

工作空间控制影响以下活动:

• 登录:默认情况下，工作空间控制允许用户在登录时自动重新连接到所有正在运行的桌面和应用程序，而无需手动重新打开它们。通过工作区控制，用户可以打开断开连接的桌面或应用程序，以及任何在另一个客户机设备上处于活动状态的桌面或应用程序。断开与桌面或应用程序的连接，使其在服务器上运行。如果您有漫游用户，当他们重新连接到另一个客户端设备上的桌面或应用程序的子集时，必须在一个客户端设备上保持某些桌面或应用程序运行，那么您可以配置登录重新连接行为，使其只打开用户先前断开连接的桌面或应用程序。
• 重新连接:登录到服务器后，用户可以通过单击“重新连接”随时重新连接到所有桌面或应用程序。默认情况下，Reconnect打开断开连接的桌面或应用程序，以及当前在另一个客户端设备上运行的任何桌面或应用程序。您可以配置“重新连接”，以仅打开用户先前断开连接的那些桌面或应用程序。
• 日志记录:对于通过StoreFront打开桌面或应用程序的用户，您可以配置Log Off命令将用户从StoreFront和所有活动会话一起注销，或者仅从StoreFront注销。
• 隔离:用户可以同时断开所有正在运行的桌面和应用程序，而不需要单独断开。

通过Citrix StoreFront连接或通过Citrix Workspace应用程序访问桌面和应用程序的用户可以使用工作区控制。默认情况下，工作区控制对虚拟桌面会话是禁用的，但对托管应用程序是启用的。默认情况下，在已发布的桌面和在这些桌面中运行的任何已发布应用程序之间不会发生会话共享。

当用户移动到新的客户端设备时，用户策略、客户端驱动器映射和打印机配置会相应更改。根据用户登录到会话的客户端设备应用策略和映射。例如，如果医护人员从医院急诊室的客户端设备注销，然后登录到医院x射线实验室的工作站，则适用于x射线实验室会话的策略、打印机映射和客户端驱动器映射将在会话启动时生效。

您可以自定义在用户更改位置时显示哪些打印机。您还可以控制用户是否可以打印到本地打印机，当用户远程连接时消耗多少带宽，以及他们打印体验的其他方面。

有关为用户启用和配置工作空间控件的信息，请参阅StoreFront文档。

会话漫游

缺省情况下，会话与用户在客户端设备之间漫游。当用户启动一个会话然后移动到另一个设备时，使用相同的会话，两个设备上的应用程序同时可用。您可以在多个设备上查看应用。应用程序遵循，无论设备或当前会话是否存在。通常，分配给应用程序的打印机和其他资源也会紧随其后。

虽然这种默认行为提供了许多优点，但它可能并不适用于所有情况。您可以使用PowerShell SDK来防止会话漫游。

示例1:医疗专业人员使用两台设备，在台式PC上填写保险表单，并在平板电脑上查看患者信息。

• 如果启用了会话漫游，两个应用程序都会出现在两个设备上(在一个设备上启动的应用程序在所有正在使用的设备上都是可见的)。这可能不符合安全需求。
• 如果会话漫游被禁用，患者记录不会出现在桌面PC上，保险表单也不会出现在平板电脑上。

例2:生产经理在办公室的PC上启动一个应用程序。设备名称和位置决定了哪些打印机和其他资源可用于该会话。当天晚些时候，他去隔壁大楼的办公室参加一个需要使用打印机的会议。

• 如果启用了会话漫游，生产经理可能无法访问会议室附近的打印机，因为他之前在办公室启动的应用程序导致在该位置附近分配了打印机和其他资源。
• 如果禁用会话漫游，当他登录到另一台机器(使用相同的凭据)时，将启动一个新会话，并且附近的打印机和资源可用。

配置会话漫游

要配置会话漫游，请使用以下带有“SessionReconnection”属性的授权策略规则cmdlets。你也可以选择指定“LeasingBehavior”属性。

对于桌面会话:

set - brokerauthormentpolicyrule -SessionReconnection -LeasingBehavior允许|不允许

申请时段:

Set-BrokerAppEntitlementPolicyRule -SessionReconnection -LeasingBehavior允许|不允许

在哪里价值可以是下列情况之一:

• 总:会话始终漫游，无论客户端设备如何，也无论会话是否已连接或已断开。这是默认值。
• DisconnectedOnly:只重新连接已经断开的会话;否则，启动一个新的会话。(会话可以在客户机设备之间漫游，方法是先断开它们的连接，或者使用workspace Control显式地漫游它们。)从不使用来自另一个客户端设备的活动连接会话。相反，会启动一个新会话。
• SameEndpointOnly:用户为他们使用的每个客户端设备获得一个唯一的会话。这完全禁用漫游。用户只能重新连接到先前在会话中使用的同一设备。

“LeasingBehavior”属性描述如下。

来自其他环境的影响:

禁用会话漫游受交付组中应用程序属性中的应用程序限制“每个用户只允许一个应用程序实例”的影响。

• 如果禁用会话漫游，则禁用“只允许一个实例…”应用程序限制。
• 如果您启用了“只允许一个实例…”应用程序限制，则不要配置允许在新设备上创建新会话的两个值中的任何一个。

登录时间间隔

如果包含桌面VDA的虚拟机在登录进程完成之前关闭，您可以为该进程分配更多时间。7.6和更高版本的默认值是180秒(7.0-7.5的默认值是90秒)。

在机器上(或机器目录中使用的主映像)，设置以下注册表项:

关键:HKLM \ SOFTWARE \ Citrix \ PortICA

• 值:AutoLogonTimeout
• 类型:双字
• 指定十进制时间，单位为秒，取值范围为0 ~ 3600。

如果更改主映像，请更新目录。

该配置仅适用于使用单会话桌面(工作站)vda的虚拟机。Microsoft控制具有多会话服务器vda的机器上的登录超时。