远程电脑访问
远程PC访问是Citrix虚拟应用程序和台式机的一项功能,使企业能够轻松地让员工以安全的方式远程访问公司资源。Citrix平台允许用户访问他们的物理办公电脑,从而实现了这种安全访问。如果用户可以访问他们的办公电脑,他们就可以访问他们工作所需的所有应用程序、数据和资源。远程PC访问消除了引入和提供其他工具以适应远程工作的需要。例如,虚拟桌面或应用程序及其相关基础架构。
远程PC访问使用相同的Citrix虚拟应用程序和桌面组件,提供虚拟桌面和应用程序。因此,部署和配置Remote PC Access的要求和过程与部署Citrix Virtual Apps和桌面交付虚拟资源的要求和过程相同。这种统一性提供了一致和统一的行政经验。用户通过使用Citrix HDX交付他们的办公室PC会话获得最佳的用户体验。
该特征包括一个类型的机器目录远程电脑访问提供以下功能:
- 能够通过指定ou来添加机器。这种能力有助于批量添加pc。
- 根据登录办公用Windows PC的用户自动分配用户。我们支持单用户和多用户分配。
Citrix虚拟应用程序和台式机可以通过使用其他类型的机器目录来适应物理PC的更多用例。这些用例包括:
- 身体上的Linux pc
- 聚合的物理pc(即随机分配的,而不是专用的)
注:
具体支持的操作系统版本请参见VDA的系统要求单一会话操作系统和Linux的共识.
对于本地部署,Remote PC Access仅对Citrix Virtual Apps和desktop Advanced或Premium许可证有效。会话使用许可的方式与其他Citrix虚拟桌面会话相同。对于Citrix Cloud, Remote PC Access适用于Citrix Virtual Apps and desktop Service和Workspace Premium Plus。
注意事项
虽然适用于Citrix虚拟应用程序和桌面的所有技术要求和注意事项一般也适用于远程PC访问,但有些可能更相关或只适用于物理PC用例。
部署注意事项
在规划远程PC访问的部署时,作出一些一般决定。
- 您可以将远程PC访问添加到现有的Citrix虚拟应用程序和桌面部署。在选择这个选项之前,请考虑以下几点:
- 当前交付控制器或云连接器的大小是否适当,以支持与远程PC访问VDAs相关的额外负载?
- 本地站点数据库和数据库服务器的大小是否适当,以支持与远程PC访问VDAs相关的额外负载?
- 现有的VDAs和新的远程PC访问VDAs是否会超过每个站点所支持的最大VDAs数量?
- 您必须通过自动化流程将VDA部署到office PC。以下是可用的选项:
- 电子软件分发(ESD)工具,如SCCM:使用SCCM安装VDAs.
- 部署脚本:使用脚本安装VDAs.
- 检查远程PC接入安全注意事项.
机目录方面的考虑
所需的机器目录类型取决于用例:
- 远程电脑访问
- Windows专用电脑
- Windows专用多用户pc。本案例适用于办公pc的物理场景,多个用户可以通过不同班次远程访问办公pc。
- 单一会话操作系统
- 静态-专用Linux pc机
- 随机-共用Windows和Linux pc机
一旦您识别机器目录的类型,请考虑以下内容:
- 一次只能将一台机器分配给一个机器目录。
- 为了便于委托管理,可以考虑基于地理位置、部门或任何其他分组创建机器目录,以便将每个目录的管理委托给适当的管理员。
- 在选择机器帐户所在的ou时,选择更低级别的ou以获得更大的粒度。如果不需要这样的粒度,可以选择更高级别的ou。例如,在银行/高级职员/柜员的情况下,选择出纳员以获得更大的粒度。否则,您可以选择军官或银行根据要求。
- 在分配给远程PC访问机目录后移动或删除ou会影响VDA关联,并导致未来分配的问题。因此,请确保进行相应的计划,以便在Active Directory更改计划中考虑到机器目录的OU分配更新。
- 如果由于OU结构的原因,不容易选择OU将机器添加到机器目录中,则不必选择任何OU。之后可以使用PowerShell将机器添加到目录中。如果在交付组中正确配置了桌面分配,用户自动分配将继续工作。可以使用示例脚本将机器和用户分配添加到机器目录中GitHub.
- 集成的局域网唤醒只能与远程电脑访问型机目录。
Linux VDA注意事项
这些注意事项是特定于Linux VDA的:
仅在非3d模式下在物理机器上使用Linux VDA。由于NVIDIA驱动的限制,当HDX 3D模式开启时,PC的本地屏幕无法变黑,无法显示会话的活动。显示此屏幕存在安全风险。
对物理Linux机器使用单会话操作系统类型的机器目录。
Linux机器不支持自动用户分配。
如果用户已经在本地登录到他们的pc,则尝试从StoreFront启动pc会失败。
Linux机器不提供节能选项。
技术要求和考虑事项
介绍物理pc的技术要求和注意事项。
- 不支持以下功能:
- KVM开关或其他可以断开会话的组件。
- 混合型个人电脑,包括一体机和英伟达Optimus笔记本电脑。
- 双启动机器。
- 将键盘和鼠标直接连接到电脑。连接到显示器或其他可以关闭或断开连接的组件可能会使这些外围设备不可用。如果必须将输入设备连接到监视器等组件,请不要关闭这些组件。
- pc必须加入到Active Directory Domain Services域。
- 仅Windows 10支持安全启动。
- PC必须有活跃的网络连接。为了更高的可靠性和带宽,最好采用有线连接。
- 如果使用Wi-Fi,请按以下步骤操作:
- 将电源设置为打开无线适配器。
- 配置无线适配器和网络配置文件,以便在用户登录之前自动连接到无线网络。否则,VDA不会注册,直到用户登录。在用户登录之前,PC无法进行远程访问。
- 确保可从Wi-Fi网络连接到交付控制器或云连接器。
- 您可以在笔记本电脑上使用远程PC访问。确保笔记本电脑连接电源,而不是靠电池运行。配置笔记本电脑的电源选项,以匹配桌面PC的选项。例如:
- 禁用休眠功能。
- 关闭睡眠功能。
- 将关闭盖子的动作设置为什么都不做.
- 将“按电源按钮”动作设置为关闭.
- 禁用视频卡和NIC节能功能。
- 使用Windows 10的Surface Pro设备支持远程PC访问。对于之前提到的笔记本电脑,遵循同样的指导方针。
如果使用对接站,你可以将笔记本电脑分离和重新对接。当你卸下笔记本电脑时,VDA会通过Wi-Fi重新注册配送控制器或云连接器。然而,当你重新连接笔记本电脑时,VDA不会切换到使用有线连接,除非你断开无线适配器。有些设备提供内置功能,在建立有线连接时断开无线适配器。其他设备需要定制的解决方案或第三方工具来断开无线适配器。回顾一下前面提到的Wi-Fi注意事项。
为远程PC接入设备启用对接和解对接,请执行以下操作:
- 在开始菜单中,选择设置>系统>电源和睡眠,并设置睡眠来从来没有.
- 下设备管理器>网络适配器>以太网适配器去电源管理和明确的允许计算机关闭此设备以节省电源.确保允许这个装置唤醒计算机检查过了。
- 多个用户访问相同的办公电脑看到相同的图标在Citrix工作区。当用户登录到Citrix工作区时,如果其他用户已经在使用该资源,则该资源显示为不可用。
- 在每个访问办公电脑的客户端设备(例如家用电脑)上安装Citrix Workspace应用程序。
配置序列
本节介绍如何配置远程PC访问时,使用远程电脑访问型机目录。有关如何创建其他类型的计算机目录的信息,请参阅创建机器目录.
仅本地站点—要使用集成的LAN上唤醒功能,请配置局域网唤醒.
如果为远程PC访问创建了新的Citrix虚拟应用程序和桌面站点:
- 选择远程电脑访问网站类型。
- 在电源管理页上,选择启用或禁用默认远程PC访问机器目录的电源管理。稍后您可以通过编辑机器目录属性来更改此设置。配置局域网唤醒功能的详细信息请参见局域网唤醒.
- 填上上面的信息用户和计算机帐户页面。
完成这些步骤将创建一个名为远程PC接入机和一个名为远程PC访问桌面.
如果添加到现有的Citrix虚拟应用程序和桌面网站:
将VDA部署到办公室PC。
- 我们推荐使用单会话操作系统核心VDA安装程序(VDAWorkstationCoreSetup.exe)。
- 您还可以使用单会话完整的VDA安装程序(VDAWorkstationSetup.exe)
/ remotepc
选项,实现与使用核心VDA安装程序相同的结果。 - 考虑启用Windows远程协助,允许服务台团队通过Citrix Director提供远程支持。要做到这一点,使用
/ enable_remote_assistance
选择。有关详细信息,请参见使用命令行安装. - 要在Director中查看登录持续时间信息,必须使用单会话完整VDA安装程序并包括Citrix用户配置文件管理WMI插件组件。属性包含该组件
/ includeadditional
选择。有关详细信息,请参见使用命令行安装. - 有关使用SCCM部署VDA的信息,请参见使用SCCM安装VDAs.
- 有关通过部署脚本部署VDA的信息,请参见使用脚本安装VDAs.
当您成功完成步骤2-4后,当用户在pc上本地登录时,将自动分配给他们自己的机器。
指导用户在用于远程访问办公PC的每个客户端设备上下载并安装Citrix Workspace应用程序。Citrix工作区应用程序可从
//m.giftsix.com/downloads/
或支持的移动设备的应用程序商店。
通过注册表管理的特性
警告:
不正确地编辑注册表可能会导致严重的问题,可能需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而导致的问题能够得到解决。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
禁用多用户自动分配
在每个交付控制器上,添加以下注册表设置:
HKEY_LOCAL_MACHINE \ \ Citrix \ DesktopServer软件
- 名称:AllowMultipleRemotePCAssignments
- 类型:双字
- 数据:0
睡眠模式(最低版本7.16)
要允许Remote PC Access机器进入睡眠状态,请在VDA上添加此注册表设置,然后重新启动机器。重启后,按照操作系统的省电设置操作。经过预先配置的空闲计时器后,机器进入睡眠模式。机器醒来后,它将重新注册到交付控制器。
HKEY_LOCAL_MACHINE \ \ Citrix \ PortICA软件
- 名称:DisableRemotePCSleepPreventer
- 类型:双字
- 数据:1
会话管理
默认情况下,当本地用户在该计算机上发起会话时(通过按CTRL+ATL+DEL),远程用户的会话将自动断开。要防止这种自动操作,请在办公室PC上添加以下注册表项,然后重新启动机器。
HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ PortICA \ RemotePC
- 名称:SasNotification
- 类型:双字
- 数据:1
缺省情况下,在超时时间内未确认连接消息时,远端用户优先于本地用户。要配置该行为,请使用以下设置:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ PortICA \ RemotePC
- 名称:RpcaMode
- 类型:双字
- 数据:
- 1—如果远程用户在指定的超时时间内没有响应消息传递UI,则始终具有优先级。如果未配置此设置,则此行为为默认行为。
- 2 -本地用户优先级。
强制远程PC访问模式的超时时间默认为30秒。可以设置此超时时间,但不能设置为小于30秒。要设置超时,请使用以下注册表设置:
HKLM \ SOFTWARE \ Citrix \ PortICA \ RemotePC
- 姓名:RpcaTimeout
- 类型:双字
- 数据:以十进制值表示的超时秒数
当用户希望强制获得控制台访问时:本地用户可以在10秒的间隔内按两次Ctrl+Alt+Del来获得对远程会话的本地控制并强制断开事件。
在注册表更改和计算机重新启动后,如果本地用户在远程用户使用该电脑时按Ctrl+Alt+Del登录到该电脑,则远程用户将收到提示。提示询问是否允许或拒绝本地用户的连接。允许连接会断开远程用户的会话。
局域网唤醒
远程PC接入支持局域网唤醒,使用户能够远程打开物理PC。这一功能可以让用户在不使用办公电脑时保持关机状态,以节省能源成本。它还允许在无意中关闭机器时进行远程访问。
通过“局域网唤醒”功能,根据发送控制器的指示,可以将在PC上运行的VDA直接发送到PC所在的子网。这使得该特性无需依赖额外的基础架构组件或交付神奇包的第三方解决方案即可工作。
局域网唤醒功能不同于传统的基于sccm的局域网唤醒功能。有关局域网中基于sccm的唤醒的信息,请参见集成sccm的局域网唤醒.
系统需求
使用局域网唤醒功能的系统要求如下:
- 控制平面:
- Citrix虚拟应用和桌面服务
- Citrix虚拟应用程序和桌面2009或更高版本
- 物理电脑:
- VDA版本2009或更高版本
- Windows 10。有关可支持性的详细信息,请参见VDA系统需求.
- 在BIOS/UEFI中启用LAN唤醒
- 在Windows配置的网络适配器属性中启用了LAN唤醒功能
配置局域网唤醒
目前,只有PowerShell支持局域网集成Wake配置。
配置局域网唤醒功能。
- 如果还没有远程PC访问机器目录,请创建远程PC访问机器目录。
- 如果您还没有局域网主机连接,请创建唤醒器。
注意:
要使用局域网唤醒功能,如果您有一个“Microsoft配置管理器局域网唤醒”类型的主机连接,请创建一个主机连接。
- 检索局域网主机连接上的唤醒器的唯一标识符。
- 将局域网主机连接上的唤醒器与计算机目录关联。
创建LAN主机连接上的唤醒功能。
#负载Citrix SnapIns Add-PSSnapIn - name“* Citrix *”#提供局域网唤醒主机连接的名称(字符串)$ connectionName =“远程PC访问局域网唤醒”# $ hypHc =新项目创建虚拟机监控程序连接路径xdhyp: \连接- name connectionName美元的-HypervisorAddress“N / A”“用户名“woluser”密码“wolpwd”-ConnectionType Custom ' -PluginId VdaWOLMachineManagerFactory ' -CustomProperties " " ' -Persist $bhc = New-BrokerHypervisorConnection -HypHypervisorConnectionUid $ hmc . properties . properties$ hcl = Get-BrokerHypervisorConnection -HypHypervisorConnectionUid $ hcl . isready . (-not $ hcl . isready) {Start-Sleep -s 5 $ hcl = Get-BrokerHypervisorConnection -HypHypervisorConnectionUid $ hcl . ()HypervisorConnectionUid} < !——NeedCopy >
当主机连接准备好后,运行以下命令获取主机连接的唯一标识符:
$bhc = Get-BrokerHypervisorConnection -Name ""Uid < !——NeedCopy >
在检索到连接的唯一标识符后,运行以下命令将连接与Remote PC Access机器目录关联起来:
Get-BrokerCatalog -Name "" | Set-BrokerCatalog -RemotePCHypervisorConnectionUid $hypUid
设计注意事项
当你计划在LAN上使用远程PC访问唤醒时,考虑以下几点:
- 多台机器目录可以使用相同的LAN唤醒主机连接。
- 一台PC要唤醒另一台PC,两台PC必须在相同的子网中,并且在局域网主机连接上使用相同的唤醒器。不管电脑是在相同的还是不同的机器目录中。
- 主机连接被分配到特定的区域。如果您的部署包含多个区域,则需要在每个区域中建立LAN主机连接。这同样适用于机器目录。
- Magic报文使用全局广播地址255.255.255.255进行广播。确保该地址没有被阻塞。
- 子网中必须至少有一台PC打开了——对于LAN连接上的每个唤醒器——才能唤醒该子网中的机器。
操作注意事项
以下是使用LAN上唤醒功能时需要考虑的事项:
- 在使用集成的局域网唤醒功能唤醒PC之前,VDA必须至少注册一次。
- 局域网唤醒功能只能用于唤醒pc。它不支持其他电源操作,如重启或关机。
- 局域网连接创建后,在Studio中可以看到唤醒。但是,不支持在Studio中编辑它的属性。
- 魔术包以两种方式发送:
- 当用户试图启动一个会话到他们的PC和VDA是未注册的
- 当管理员从Studio或PowerShell手动发送开机命令时
- Studio显示,因为交付控制器不知道PC的电源状态不支持国家权力。交付控制器使用VDA注册状态来确定PC是开还是关。
集成sccm的局域网唤醒
集成sccm的LAN唤醒功能是用于远程PC访问的LAN唤醒功能的另一种选择,仅用于本地Citrix虚拟应用程序和桌面。
系统需求
以下是使用sccm集成的局域网唤醒功能的系统要求:
- Citrix虚拟应用程序和台式机1912或更高版本
- 物理电脑:
- VDA版本1912或更高版本
- Windows 10。有关可支持性的详细信息,请参见VDA系统需求.
- 在BIOS/UEFI中启用LAN唤醒
- 在Windows配置的网络适配器属性中启用了LAN唤醒功能
- SCCM (System Center Configuration Manager) 2012 R2及以上版本
在局域网中配置集成sccm的Wake
完成以下前提条件:
- 在组织内配置SCCM 2012 R2、2016或2019。然后将SCCM客户端部署到所有远程PC访问机器上,留出时间运行预定的SCCM资源清册周期,或在必要时手动强制执行。
- 对于唤醒代理支持,启用SCCM中的选项。对于组织中包含使用LAN上的远程PC访问唤醒功能的PC的每个子网,确保三台或更多的机器可以作为哨兵机器。
- 要支持魔术包,请配置网络路由器和防火墙,以允许使用子网定向广播或单播发送魔术包。
- 在每台PC的BIOS/UEFI设置中配置Wake on LAN。
- 如果尚未将VDA部署到物理PC上,请将其部署到物理PC上。
在解决了先决条件之后,完成以下步骤以允许交付控制器与SCCM通信:
- 为SCCM创建主机连接。有关详细信息,请参阅联系和资源.
- 选择局域网上的微软配置管理器唤醒作为连接类型。
- 输入的凭据必须能够访问作用域中的集合,并且必须具有远程工具操作符的角色。
- 在Studio中选择连接,然后选择编辑连接,然后单击先进的.
- 选择适当的选项来处理LAN上的唤醒:
- 如果您正在使用唤醒代理,请选择第一个选项:微软系统中心配置管理器唤醒代理.
- 如果您使用的是魔术包,请选择第二个选项:唤醒由发送控制器传输的LAN数据包.
- 选择合适的传播方式:subnet-directed boradcasts或单播.
创建主机连接后,将连接与远程PC访问目录关联:
- 如果正在创建新的远程PC访问目录,请在操作系统页的目录创建向导,选择远程电脑访问作为目录类型,并从下拉列表中选择适当的连接。
- 将局域网唤醒添加到现有的远程PC访问目录:
- 去机目录节点,选择机器目录,然后选择编辑机目录.
- 选择电源管理选项卡并选择是的为计算机目录启用电源管理。
- 从下拉列表中选择适当的连接,然后单击好吧.
进行故障排除
监控下料不工作
如果Windows PC的本地监视器不是空的,而有一个活跃的HDX会话(本地监视器显示在会话中发生了什么),这可能是由于GPU供应商的驱动程序问题。要解决这个问题,通过设置以下注册表值,给Citrix间接显示驱动程序(IDD)比显卡的供应商驱动程序更高的优先级:
HKEY_LOCAL_MACHINE \ \ Citrix \ \ AdapterMerits图形软件
- 名称:CitrixIDD
- 类型:双字
- 数据:3
有关显示适配器优先级和监视器创建的详细信息,请参阅Knowledge Center文章CTX237608.
在启用了会话管理通知的机器上选择Ctrl+Alt+Del时,会话断开
控件控制的会话管理通知SasNotification只有在VDA上启用“远程PC访问模式”时,注册表的值才有效。如果物理PC启用了Hyper-V角色或任何基于虚拟化的安全特性,则该PC报告为虚拟机。当VDA检测到它正在虚拟机上运行时,会自动关闭“远程PC访问模式”。启用“远程PC接入方式”,需增加以下注册表值:
HKEY_LOCAL_MACHINE \ \ Citrix \ PortICA软件
- 名称:ForceEnableRemotePC
- 类型:双字
- 数据:1
重启PC使配置生效。
诊断信息
远程PC访问诊断信息写入Windows应用程序事件日志。信息性消息不会被限制。通过丢弃重复的消息来限制错误消息。
- 3300(提示信息):已添加到目录中的机器
- 3301(信息):机器添加到交付组
- 3302(信息):分配给用户的机器
- 3303(错误):例外
电源管理
如果启用了远程PC访问的电源管理,子网定向广播可能无法启动与控制器不同子网的机器。如果需要使用子网定向广播进行跨子网电源管理,而AMT支持不可用,请尝试唤醒代理或单播方法。确保在电源管理连接的高级属性中启用了这些设置。
活动的远程会话记录本地触摸屏输入
当VDA启用远程PC访问模式时,机器在活动会话期间忽略本地触摸屏输入。如果物理PC启用了Hyper-V角色或任何基于虚拟化的安全特性,则该PC报告为虚拟机。当VDA检测到它正在虚拟机上运行时,会自动关闭“远程PC访问模式”。启用“远程PC接入方式”,添加以下注册表设置:
HKEY_LOCAL_MACHINE \ \ Citrix \ PortICA软件
- 名称:ForceEnableRemotePC
- 类型:双字
- 数据:1
重启PC使配置生效。
更多的资源
以下是用于远程PC接入的其他资源:
- 解决方案设计指南:远程PC访问设计决策.
- 远程PC访问架构的例子:Citrix远程PC访问解决方案的参考体系结构.