设计决策:远程PC访问
概述
远程PC访问是一种简单而有效的方式,允许用户访问基于办公室的物理Windows PC。使用任何终端设备,用户都可以保持工作效率,而不管他们的位置。然而,当实施远程PC访问时,组织想要考虑以下几点。
部署方案
PC与用户的连接方式有很多种,每种方式都适用于不同的场景。
办公室工作人员
在许多部署中,Remote PC Access部署在一个办公人员场景中,其中一个用户被永久分配到一台PC上。
这是最常见的部署场景。为了实现这个用例,管理员可以使用Remote PC Access机器目录类型。
计算实验室
在某些情况下,用户需要共享一组计算资源,通常在学校,学院和大学的计算实验室中找到。用户将随机分配给可用的物理PC。
这种类型的配置使用非托管的,随机分配的,单会话的操作系统,其配置如下:
- 在机器目录设置向导中,使用单一会话操作系统
- 选择没有电源管理的机器
- 选择另一项服务或技术
- 选择我希望用户每次登录时都连接到一个新的(随机的)桌面。
因为在计算机实验室里,用户往往比个人电脑还多,政策限制会话时间是推荐的。
验证
用户继续使用其Active Directory凭据进行身份验证到基于Office的PC。但是,由于他们从办公室外部通过互联网访问,因此组织通常需要更强的身份验证级别而不是仅用户名和密码。
Citrix Workspace支持要选择的不同身份验证选项,包括Active Directory +令牌和Azure Active Directory。当前支持的身份验证选项
如果将Citrix Gateway配置为Citrix Workspace的身份验证选项,或者如果客户选择使用Citrix Gateway + Citrix StoreFront作为Citrix Workspace的替代选项,那么更广泛的选择Citrix网关身份验证选项变得可用。
其中一些选项,如基于时间的一次性密码,要求用户首先注册一个新令牌。由于令牌注册要求用户访问其电子邮件以验证其身份,因此可能需要在用户尝试远程工作之前完成。
会话安全
用户可以使用不受信任的个人设备远程访问他们的工作PC。组织可以使用集成的Citrix虚拟应用程序和桌面策略来保护:
- 端点风险:秘密安装在端点设备上的键记录器可以轻松捕获用户名和密码。反键合Ging功能通过模糊击键来保护组织不被窃取证书。
- 入站风险:不受信任的端点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问端点设备的驱动器可以防止向公司网络传输危险内容。
- 出境风险:组织必须保持对内容的控制。允许用户将内容复制到本地,不受信任的端点设备将额外的风险置于组织上。可以通过阻止对端点的驱动器,打印机,剪贴板和反屏幕捕获策略的访问来拒绝这些功能。
基础设施尺寸
注意:下面的分级建议是一个很好的起点,但是每个环境都是独一无二的,因此会产生独一无二的结果。适当地监视基础设施和大小。
由于用户正在访问现有的办公PC,因此支持添加远程PC访问所需的额外基础设施非常少,然而,正确调整控制层和访问层基础设施的大小和监控非常重要,以确保它们不会成为瓶颈。
控制层
每个Office PC上的VDA (Virtual Delivery Agent)必须注册到Citrix Virtual Apps和desktop。对于内部部署,VDA注册直接通过交付控制器进行,对于Citrix云中的Citrix虚拟应用程序和桌面服务,该注册通过Citrix云连接器进行。
远程PC访问工作负载的交付控制器或云连接器的规模与VDI工作负载类似。思杰咨询建议至少N+1可用性。云连接器伸缩指南(包括可能需要本地主机缓存的条件)可在这里找到
访问层
当用户在其Office PC建立HDX会话时,需要将ICA流量代理到VDA。可通过Citrix Gateway设备或Citrix Gateway服务提供ICA代理。
使用本地Citrix ADC用于Citrix Gateway时,请参阅特定模型的数据表并参考SSL VPN / ICA Proxy Concurrent用户行项目作为起点。如果ADC正在处理其他工作负载,请确认当前吞吐量和CPU使用没有接近任何上限。
确保网关设备所在位置有足够的可用Internet带宽,以支持预期的并发ICA会话。
当从Citrix Cloud使用网关服务时,ICA流量在资源位置(VDAs和云连接器所在的位置)之间直接流向网关服务。如果能够满足使用会合协议的条件,流量可以由云连接器(默认)代理,也可以直接从VDA流动,绕过云连接器。
当使用云连接器代理ICA流量到网关服务时,这可能成为瓶颈,建议仔细监控云连接器虚拟机上的CPU和内存。对于初始规划估计,一个4vcpu Citrix Cloud Connector VM最多可以处理1000个并发ICA代理会话。会合协议(配置时)允许安装在每个物理PC上的虚拟交付代理直接与网关服务通信,而不是通过云连接器隧道会话。
当使用网关服务,Citrix建议使用集合协议,以减轻云连接器是用于ICA代理的瓶颈问题。
有一些先决条件允许对接协议功能,包括:
- Citrix虚拟应用和桌面服务
- VDA版本1912或更高
- 已启用的HDX策略
- 所有vda的DNS PTR记录
- 特定的SSL密码套件订单
- 从VDA到网关服务的直接(非代理)互联网连接
可用性
如果办公PC没有上电且注册了VDA,则无法代理该用户的会话。思杰建议制定流程,确保用户需要连接的机器处于通电状态。
如果可以,修改PC的BIOS设置为在断电时自动上电。管理员还可以配置一个Active Directory组策略对象来从Windows中删除“关闭”选项个人电脑.这有助于防止用户关闭物理PC。
远程PC访问也支持局域网唤醒操作,使当前关机的Windows pc能够正常上电。此选项需要使用Microsoft System Center Configuration Manager 2012、2012 R2或2016。
注意:当使用Citrix云中的Citrix虚拟应用程序和桌面服务时,无法使用Microsoft配置管理器的lan上唤醒主机连接功能
用户任务
重要的是,用户每个都曾经闯入自己的办公室电脑。一旦安装了VDA并定义了目录和传递组,当他们在本地登录到PC时会自动分配用户。这是分配数千个用户的有效方法。
默认情况下,如果多个用户都登录到同一物理PC,那么可以将多个用户分配到一个桌面,但这可以通过Delivery Controllers上的注册表编辑禁用。
Citrix虚拟应用和桌面管理员可以根据需要在Citrix Studio或通过PowerShell修改任务。为了开始使用PowerShell将远程PC访问VDAs添加到站点并分配用户,Citrix咨询公司制作了一个参考脚本,可以在Citrix GitHub页面.
虚拟交付代理
本节介绍处理虚拟交付代理包的关键注意事项。
版本
Citrix虚拟应用和桌面管理员可以使用带有/remotePC标志的VDAWorkstationCoreSetup.exe包或VDAWorkstationSetup.exe包。VDAWorkstationCoreSetup.exe包较小,只包括远程PC访问所需的核心组件,但值得注意的是,在版本1912和更早的版本中,不包括内容重定向所需的组件(参见微软团队章节以供进一步指导)。
Windows 7和8.1
虽然不再支持Windows 7,但许多组织仍然具有旧版Windows 7 Desktop Machines。对于Windows 7和Windows 8.1的部署,客户应使用XenDesktop 7.15 LTSR VDA。
Windows 10.
对于Windows 10上的部署,客户应使用Citrix Virtual Apps和桌面1912 LTSR VDA或支持的当前版本VDA。Citrix版本的Windows 10 Builds兼容性可以找到CTX224843.
有用的命令行选项
在部署远程PC访问时,有几个VDA安装程序命令行选项需要考虑,这些选项可以启用有用的功能。
/ remotePC
与完整的VDA包VDAWorkstationSetup.exe一起使用,只安装远程PC访问所需的核心组件。
/ enable_hdx_ports
如果未检测到Windows防火墙服务,则在云连接器和启用功能(Windows远程帮助之外)中的Windows防火墙中打开端口,如果未检测到Windows防火墙服务,即使未启用防火墙。
/ enable_hdx_udp_ports
如果检测到Windows firewall Service,即使没有启用防火墙,也会在Windows防火墙中打开HDX自适应传输所需的UDP端口。
要打开VDA用于与Controller和已启用特性通信的端口,除了指定/enable_hdx_udp_ports选项外,还需要指定/enable_hdx_udp_ports选项。
/ enable_real_time_transport
启用或禁用UDP音频包(RealTime音频传输)的使用。启用此功能可以提高音频性能。
要打开VDA用于与Controller和已启用特性通信的端口,除了指定/enable_real_time_transport选项外,还需要指定/enable_hdx_ports选项。
/包括附加的“Citrix用户配置文件管理器”,“Citrix用户配置文件管理器WMI插件”
在远程PC访问部署中,大多数实现不需要配置文件管理。但是,Citrix用户配置文件管理器还捕获性能指标,这对于管理员识别和修复与性能相关的问题非常有用。用户配置文件管理器不需要配置,只需要部署它来捕获指标。
安装后,Citrix用户配置文件管理器允许管理员在Citrix Director和Citrix Analytics for performance中运行关于用户体验、会话响应和登录性能的报告。
/ logpath路径
日志文件位置。指定的文件夹必须存在,因为安装程序没有创建它。默认路径为“%temp%\ citrix \ xendesktop安装程序”,但如果通过sccm进行安装,则根据上下文进行,日志文件可以在系统临时文件夹中。
/优化
不要使用此标志,因为它主要用于MCS部署的机器。
部署
要将虚拟传送代理部署到数千个物理PC,因此需要自动化进程。
通过脚本
Citrix虚拟应用和桌面的安装介质包括一个部署脚本(% InstallMedia % \ \ ADDeploy \ InstallVDA.bat支持
),可通过Active Directory组策略对象使用。
该脚本可以作为PowerShell脚本和企业软件部署(ESD)工具的基线。这些方法允许组织将代理快速部署到数千个物理端点。
通过SCCM
如果您使用ESD工具(如SCCM或Altiris)自动化VDA安装,则为先决条件和VDA创建单独的包往往效果最好。有关使用ESD工具部署VDA的更多信息,请参见产品文档.
微软团队
如果用户访问Microsoft Teams进行语音和视频通话,则需要内容重定向功能来创建积极的用户体验。
当使用VDA 1912或更老的版本时,为了使内容重定向可用,需要使用单会话完整的VDA安装程序(独立的)在物理pc上部署VDAVDAWorkstationSetup.exe
)/ remotepc
命令行选项。
例如:VDAWorkstationSetup.exe /quiet /remotepc /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot
如果部署VDA 2003或更新版本,则可以使用单会话核心VDA安装程序(独立的)VDAWorkstationCoreSetup.exe
)。
例如:VDAWorkstationCoreSetup.exe /quiet /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot
公共网络端口
与任何其他Citrix VDA类似,有几个关键的网络端口需要注意,以便系统运行。作为提醒,ICA流量需要从托管外部Citrix网关的Citrix ADC到达远程PC Access。中可以找到端口的全面列表Citrix Technologies使用的通信端口.
VDA登记
根据网络拓扑结构,包含虚拟应用程序和桌面交付控制器的子网可能不允许与物理pc进行通信。为了正确地注册到交付控制器,PC上的VDA必须能够使用以下协议在两个方向上与交付控制器通信:
- VDA to Controller: Kerberos
- Controller to VDA: Kerberos
如果VDA无法向控制器注册,请检查VDA登记篇文章。如果您正在使用Citrix Cloud,则云连接器将取代交付控制器。
进一步的指导
更多的设计指导包括考虑因素和故障排除步骤可以在其中找到远程PC访问产品文档.