设计决策:远程PC访问

概述

远程PC访问是一种简单而有效的方式，允许用户访问基于办公室的物理Windows PC。使用任何终端设备，用户都可以保持工作效率，而不管他们的位置。然而，当实施远程PC访问时，组织想要考虑以下几点。

部署方案

PC与用户的连接方式有很多种，每种方式都适用于不同的场景。

办公室工作人员

在许多部署中，Remote PC Access部署在一个办公人员场景中，其中一个用户被永久分配到一台PC上。

这是最常见的部署场景。为了实现这个用例，管理员可以使用Remote PC Access机器目录类型。

计算实验室

在某些情况下，用户需要共享一组计算资源，通常在学校，学院和大学的计算实验室中找到。用户将随机分配给可用的物理PC。

这种类型的配置使用非托管的，随机分配的，单会话的操作系统，其配置如下:

• 在机器目录设置向导中，使用单一会话操作系统

• 选择没有电源管理的机器
• 选择另一项服务或技术

• 选择我希望用户每次登录时都连接到一个新的(随机的)桌面。

因为在计算机实验室里，用户往往比个人电脑还多，政策限制会话时间是推荐的。

验证

用户继续使用其Active Directory凭据进行身份验证到基于Office的PC。但是，由于他们从办公室外部通过互联网访问，因此组织通常需要更强的身份验证级别而不是仅用户名和密码。

Citrix Workspace支持要选择的不同身份验证选项，包括Active Directory +令牌和Azure Active Directory。当前支持的身份验证选项

如果将Citrix Gateway配置为Citrix Workspace的身份验证选项，或者如果客户选择使用Citrix Gateway + Citrix StoreFront作为Citrix Workspace的替代选项，那么更广泛的选择Citrix网关身份验证选项变得可用。

其中一些选项，如基于时间的一次性密码，要求用户首先注册一个新令牌。由于令牌注册要求用户访问其电子邮件以验证其身份，因此可能需要在用户尝试远程工作之前完成。

会话安全

用户可以使用不受信任的个人设备远程访问他们的工作PC。组织可以使用集成的Citrix虚拟应用程序和桌面策略来保护:

• 端点风险：秘密安装在端点设备上的键记录器可以轻松捕获用户名和密码。反键合Ging功能通过模糊击键来保护组织不被窃取证书。
• 入站风险:不受信任的端点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问端点设备的驱动器可以防止向公司网络传输危险内容。
• 出境风险：组织必须保持对内容的控制。允许用户将内容复制到本地，不受信任的端点设备将额外的风险置于组织上。可以通过阻止对端点的驱动器，打印机，剪贴板和反屏幕捕获策略的访问来拒绝这些功能。

基础设施尺寸

注意:下面的分级建议是一个很好的起点，但是每个环境都是独一无二的，因此会产生独一无二的结果。适当地监视基础设施和大小。

由于用户正在访问现有的办公PC，因此支持添加远程PC访问所需的额外基础设施非常少，然而，正确调整控制层和访问层基础设施的大小和监控非常重要，以确保它们不会成为瓶颈。

控制层

每个Office PC上的VDA (Virtual Delivery Agent)必须注册到Citrix Virtual Apps和desktop。对于内部部署，VDA注册直接通过交付控制器进行，对于Citrix云中的Citrix虚拟应用程序和桌面服务，该注册通过Citrix云连接器进行。

远程PC访问工作负载的交付控制器或云连接器的规模与VDI工作负载类似。思杰咨询建议至少N+1可用性。云连接器伸缩指南(包括可能需要本地主机缓存的条件)可在这里找到

• 云连接器的规模和大小注意事项
• 本地主机缓存的规模和大小注意事项

访问层

当用户在其Office PC建立HDX会话时，需要将ICA流量代理到VDA。可通过Citrix Gateway设备或Citrix Gateway服务提供ICA代理。

使用本地Citrix ADC用于Citrix Gateway时，请参阅特定模型的数据表并参考SSL VPN / ICA Proxy Concurrent用户行项目作为起点。如果ADC正在处理其他工作负载，请确认当前吞吐量和CPU使用没有接近任何上限。

确保网关设备所在位置有足够的可用Internet带宽，以支持预期的并发ICA会话。

当从Citrix Cloud使用网关服务时，ICA流量在资源位置(VDAs和云连接器所在的位置)之间直接流向网关服务。如果能够满足使用会合协议的条件，流量可以由云连接器(默认)代理，也可以直接从VDA流动，绕过云连接器。

当使用云连接器代理ICA流量到网关服务时，这可能成为瓶颈，建议仔细监控云连接器虚拟机上的CPU和内存。对于初始规划估计，一个4vcpu Citrix Cloud Connector VM最多可以处理1000个并发ICA代理会话。会合协议(配置时)允许安装在每个物理PC上的虚拟交付代理直接与网关服务通信，而不是通过云连接器隧道会话。

当使用网关服务，Citrix建议使用集合协议，以减轻云连接器是用于ICA代理的瓶颈问题。

有一些先决条件允许对接协议功能，包括：

• Citrix虚拟应用和桌面服务
• VDA版本1912或更高
• 已启用的HDX策略
• 所有vda的DNS PTR记录
• 特定的SSL密码套件订单
• 从VDA到网关服务的直接(非代理)互联网连接

可用性

如果办公PC没有上电且注册了VDA，则无法代理该用户的会话。思杰建议制定流程，确保用户需要连接的机器处于通电状态。

如果可以，修改PC的BIOS设置为在断电时自动上电。管理员还可以配置一个Active Directory组策略对象来从Windows中删除“关闭”选项个人电脑．这有助于防止用户关闭物理PC。

远程PC访问也支持局域网唤醒操作，使当前关机的Windows pc能够正常上电。此选项需要使用Microsoft System Center Configuration Manager 2012、2012 R2或2016。

注意:当使用Citrix云中的Citrix虚拟应用程序和桌面服务时，无法使用Microsoft配置管理器的lan上唤醒主机连接功能

用户任务

重要的是，用户每个都曾经闯入自己的办公室电脑。一旦安装了VDA并定义了目录和传递组，当他们在本地登录到PC时会自动分配用户。这是分配数千个用户的有效方法。

默认情况下，如果多个用户都登录到同一物理PC，那么可以将多个用户分配到一个桌面，但这可以通过Delivery Controllers上的注册表编辑禁用。

Citrix虚拟应用和桌面管理员可以根据需要在Citrix Studio或通过PowerShell修改任务。为了开始使用PowerShell将远程PC访问VDAs添加到站点并分配用户，Citrix咨询公司制作了一个参考脚本，可以在Citrix GitHub页面．

虚拟交付代理

本节介绍处理虚拟交付代理包的关键注意事项。

版本

Citrix虚拟应用和桌面管理员可以使用带有/remotePC标志的VDAWorkstationCoreSetup.exe包或VDAWorkstationSetup.exe包。VDAWorkstationCoreSetup.exe包较小，只包括远程PC访问所需的核心组件，但值得注意的是，在版本1912和更早的版本中，不包括内容重定向所需的组件(参见微软团队章节以供进一步指导)。

Windows 7和8.1

虽然不再支持Windows 7，但许多组织仍然具有旧版Windows 7 Desktop Machines。对于Windows 7和Windows 8.1的部署，客户应使用XenDesktop 7.15 LTSR VDA。

Windows 10.

对于Windows 10上的部署，客户应使用Citrix Virtual Apps和桌面1912 LTSR VDA或支持的当前版本VDA。Citrix版本的Windows 10 Builds兼容性可以找到CTX224843．

有用的命令行选项

在部署远程PC访问时，有几个VDA安装程序命令行选项需要考虑，这些选项可以启用有用的功能。

/ remotePC

与完整的VDA包VDAWorkstationSetup.exe一起使用，只安装远程PC访问所需的核心组件。

/ enable_hdx_ports

如果未检测到Windows防火墙服务，则在云连接器和启用功能（Windows远程帮助之外）中的Windows防火墙中打开端口，如果未检测到Windows防火墙服务，即使未启用防火墙。

/ enable_hdx_udp_ports

如果检测到Windows firewall Service，即使没有启用防火墙，也会在Windows防火墙中打开HDX自适应传输所需的UDP端口。

要打开VDA用于与Controller和已启用特性通信的端口，除了指定/enable_hdx_udp_ports选项外，还需要指定/enable_hdx_udp_ports选项。

/ enable_real_time_transport

启用或禁用UDP音频包(RealTime音频传输)的使用。启用此功能可以提高音频性能。

要打开VDA用于与Controller和已启用特性通信的端口，除了指定/enable_real_time_transport选项外，还需要指定/enable_hdx_ports选项。

/包括附加的“Citrix用户配置文件管理器”，“Citrix用户配置文件管理器WMI插件”

在远程PC访问部署中，大多数实现不需要配置文件管理。但是，Citrix用户配置文件管理器还捕获性能指标，这对于管理员识别和修复与性能相关的问题非常有用。用户配置文件管理器不需要配置，只需要部署它来捕获指标。

安装后，Citrix用户配置文件管理器允许管理员在Citrix Director和Citrix Analytics for performance中运行关于用户体验、会话响应和登录性能的报告。

/ logpath路径

日志文件位置。指定的文件夹必须存在，因为安装程序没有创建它。默认路径为“％temp％\ citrix \ xendesktop安装程序”，但如果通过sccm进行安装，则根据上下文进行，日志文件可以在系统临时文件夹中。

/优化

不要使用此标志，因为它主要用于MCS部署的机器。

部署

要将虚拟传送代理部署到数千个物理PC，因此需要自动化进程。

通过脚本

Citrix虚拟应用和桌面的安装介质包括一个部署脚本(% InstallMedia % \ \ ADDeploy \ InstallVDA.bat支持)，可通过Active Directory组策略对象使用。

该脚本可以作为PowerShell脚本和企业软件部署(ESD)工具的基线。这些方法允许组织将代理快速部署到数千个物理端点。

通过SCCM

如果您使用ESD工具(如SCCM或Altiris)自动化VDA安装，则为先决条件和VDA创建单独的包往往效果最好。有关使用ESD工具部署VDA的更多信息，请参见产品文档．

微软团队

如果用户访问Microsoft Teams进行语音和视频通话，则需要内容重定向功能来创建积极的用户体验。

当使用VDA 1912或更老的版本时，为了使内容重定向可用，需要使用单会话完整的VDA安装程序(独立的)在物理pc上部署VDAVDAWorkstationSetup.exe)/ remotepc命令行选项。

例如:VDAWorkstationSetup.exe /quiet /remotepc /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot

如果部署VDA 2003或更新版本，则可以使用单会话核心VDA安装程序(独立的)VDAWorkstationCoreSetup.exe）。

例如:VDAWorkstationCoreSetup.exe /quiet /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot

公共网络端口

与任何其他Citrix VDA类似，有几个关键的网络端口需要注意，以便系统运行。作为提醒，ICA流量需要从托管外部Citrix网关的Citrix ADC到达远程PC Access。中可以找到端口的全面列表Citrix Technologies使用的通信端口．

VDA登记

根据网络拓扑结构，包含虚拟应用程序和桌面交付控制器的子网可能不允许与物理pc进行通信。为了正确地注册到交付控制器，PC上的VDA必须能够使用以下协议在两个方向上与交付控制器通信:

• VDA to Controller: Kerberos
• Controller to VDA: Kerberos

如果VDA无法向控制器注册，请检查VDA登记篇文章。如果您正在使用Citrix Cloud，则云连接器将取代交付控制器。

进一步的指导

更多的设计指导包括考虑因素和故障排除步骤可以在其中找到远程PC访问产品文档．