设计决策:远程PC存取
概述
远程PC存取方便有效方式允许用户访问办公物理WindowsPC用户使用端点设备时可保持生产率,而不论其位置组织实施远程个人计算机存取时想考虑以下内容
部署假想
PC与用户连接有多种方式,每种方式都可应用到不同假设情况中。
办公员工
在许多部署中,远程个人计算机存取程序部署于办公员工假想中,即一个用户永久分配到一个PC
最常用部署假想执行此使用案例时,管理员可使用远程PC存取机目录类型
计算实验室
在某些情况下,用户需要分享数组计算资源,常见于学校、学院和大学计算实验室用户随机分配到可用的物理PC
类型配置使用非托管随机分配单片OS
- 机器目录设置向导使用单片OS
- 选择非电源管理机器
- 选择另一种服务或技术
- 选择用户每次登录时都连接到新桌面
因为在计算实验室中常有比PC多的用户策略限制会话时间推荐使用
验证
用户继续用活动目录证书认证办公个人计算机然而,由于各组织从办公楼外访问互联网,通常需要更高层次认证,而不仅仅是用户名和密码
Citrix工作空间支持选择的不同认证选项,包括活动目录+Token和Azure活动目录当前支持验证选项
网标网关配置为Citrix工作空间认证选项或客户选择使用网标网关+CitrixStoreFront替代Citrix工作空间网标网关认证选项变现可用性
其中一些选项,如基于时间一次性密码,要求用户初始注册新令牌令牌注册要求用户访问电子邮件验证身份,可能需要完成后用户才能远程工作
会话安全
用户可远程存取个人机组织可使用综合Citrix虚拟应用和桌面策略防患:
- 端点风险:键登录器秘密安装到端点设备上很容易捕捉用户名和密码反键录制能力保护组织免失窃证书 混淆按键
- 内置风险:不可信端点可包含恶意软件、间谍软件和其他危险内容拒绝访问端点设备驱动器防止向企业网络传送危险内容
- 外部风险:组织必须保持对内容的控制允许用户复制本地不可信端点设备禁止访问端点驱动器、打印机、剪贴板和防屏封片策略可拒绝获取这些能力
基础设施规模化
注释 :分级推荐是一个良好的起始点,但环境各异,产生独特结果适当监控基础设施和尺寸
用户访问现有办公个人计算机时,支持远程个人计算机存取需要的极小额外基础设施,然而重要的是控制层访问层基础设施要得到正确规模和监测,以确保它们不成为瓶颈
控制层
虚拟传送代理程序/办公文稿必须注册Citrix虚拟应用和桌面假设部署VDA注册直接与交付控制器发生,Citrix Das使用Citrix云 通过Citrix云连接器注册
远程个人计算机存取工作量规模与VDI工作量相似Citrix咨询公司建议至少N+1可用性云连接器缩放指南包括可能需要本地主机缓存的条件
存取图层
当用户建立HDX会议到办公PC时,ICA流量需要代理VDAICA代理服务可以通过Netsuper网关器件或Netsuper网关服务提供
假设网标网关使用时,参考特定模型数据表并引用SSLVPN/ICA代理并发用户线项目起始点如果ADC处理其他工作量,验证当前吞吐量和CPU使用率没有接近任何上限
确保网关应用程序所处有充足的互联网带宽支持预期同时举行的ICA会议
使用Citrix云端网关服务时,ICA流量直接流到网关服务流量或由云连接器代理或可直接从VDA流出,在满足集合协议条件时绕过云连接器
云连接器使用代理ICA连接网关服务时,这可能是阻塞并仔细监控云连接器VMs上的CPU和内存4 vCPU云连接机VM最多可处理1000并发ICA代理会议回发协议(配置时)使安装在物理PC上的虚拟传送代理直接与网关服务通信,而不是通过云连接器疏通会话
Citrix使用网关服务时建议使用会合协议来减轻云连接器对ICA Proxy构成瓶颈的问题
有一些条件允许会合协议to函数,包括:
- Citrix达斯
- VDA1912版或更高
- 启动HDX策略
- DNSPTR记录所有VDA
- SSL专用加密套件排序
- 直接(非代理)互联网连接从VDA到网关服务
可用性
办公PC不使用VDA注册处理,用户会话无法代理Citrix建议设置流程以确保用户需要连接的机器带电
可用时修改 PC BIOS设置以自动供电管理员还可以配置活动目录组策略对象从Windows删除“关机”选项个人电脑.这有助于防止用户下调物理PC
远程PC存取支持局域网提醒操作激活WindowsPC局域网休克特征完全独立,自2009年发布时无需为局域网休克特征增加基础设施
用户赋值
用户必须各自代理到自己的办公电脑VDA安装后目录交付组定义后,用户在本地下登录PC时自动分配高效分配千位用户
默认时,多用户如果都登录同物理PC,可分配到桌面上,但可以通过寄存控制器上的注册编辑禁用
Citrix虚拟应用和桌面管理员可按需修改Citrix Studio或通过Powershell任务Powershell使用远程PC访问VDACitrix GitHub页面.
虚拟传送代理
本节审查处理虚拟代理包的关键考量
版本化
Citrix虚拟应用和桌面管理员可使用VDAWorkstableCoreSetup.exe包或VDAWorkstapSetup.exe包并带/remotePC标志VDAWorkstageCoreSetup.ex包小一些,只包括远程PC访问所需的核心组件,但值得注意的是,在1912版和以前的版本中,排除内容重定向所需的组件(见Enter微软团队段供进一步指导)
Windows7和8
Windows7不再支持,许多组织仍有Windows7桌面机Windows7和Windows8.1安装时,客户应使用 XenDesktop7.15LTSRVDA
Windows10
Windows 10部署时,客户应使用Citrix虚拟应用和桌面1912LTSRVDA或支持当前发布VDACitrix版本兼容Windows10构建CTX224843.
帮助命令行选项
VDA安装程序命令行数种选项部署远程PC存取时可加以考虑,允许实用功能
/remotePC
VDA全套件VDAWorkSetup.exe仅安装远程PC存取所需的核心组件
/enable_hdx_ports
windows防火墙开关由云连接器和启动功能(Windows远程帮助除外)所要求,如果检测到Windows防火墙服务,即使防火墙不启动
/enable_hdx_udp_ports
windows防火墙开放UDP端口HDX自适应交通所需要,如果检测到Windows防火墙服务,即使防火墙无法启动
开通 VDA使用连接控制器和启动功能的端口时,除/enbel_hdx_ports选项外,指定/enbel_hdx_ports选项
/enable_real_time_transport
启动或禁止语音包使用UDP赋能性能提高音频性能
开通 VDA使用连接控制器和启动特性的端口时,除/enbel_hdx_ports选项外,指定/enbel_hdx_ports选项
Citrix用户配置管理员插件
远程个人计算机存取部署大都不需要配置管理Citrix用户配置管理器还捕捉性能度量值,这对管理员识别和解决性能相关问题大有帮助。用户配置管理器不必配置,它只需要部署捕捉度量
Citrix用户配置管理员安装后允许管理员运行用户经验报告、会议响应度报告以及Citrix主管和Citrix性能分析深入登录
/回路由
日志文件定位指定的文件夹必须存在, 因为安装者不创建它 。默认路径为%TEMP+#Citrix\XenDesktop安装程序,但如果安装通过SCM操作,则取决于上下文,日志文件可代之以系统临时文件夹
优化/优化
不使用此标志, 因为它主要面向监控监部署机
部署
将虚拟传送代理部署到千元物理PC时需要自动化过程
Via脚本编程
Citrix虚拟应用和桌面安装媒体包括部署脚本%InstallMedia%\Support\ADDeploy\InstallVDA.bat)通过主动目录组策略对象使用
脚本可用作Powershell脚本和企业软件部署工具的基准这些做法允许组织快速部署代理物到数千个物理端点
ViaSCM
VDA安装自动化时使用ESD工具如SCM或Altiris,为前题创建单包和VDA往往最有效更多VDA部署信息与ESD工具产品文档.
微软团队
用户访问微软团队语音视频调用时,需要内容重定向功能创建积极的用户经验
内容重定向使用VDA1912或更高时需要使用单片全VDA安装器在物理PC上部署VDAVDAWorkstationSetup.exe)并/remotepc命令行选项
例举 :VDAWorkstageSetup.exe/quiet/remotepc/controls
如果部署VDA 2003或更新,单片核心VDA安装程序可用替代VDAWorkstationCoreSetup.exe)
例举 :VDAWorkstationCoreSetup.exe /quiet /controllers "control.domain.com" /enable_hdx_ports /noresume /noreboot
常用网络端口
与CitrixVDA相似, 少数密钥网络端口需要留意开放系统功能提醒一下,ICA流量需要从Netscript托管外部Netscraper网关访问远程PC存取综合端口列表可见通信端口使用Citrix技术.
VDA注册
视网络布局而定,包含虚拟应用和桌面交付控制器子网可能不允许物理PC通信或从物理PC通信向送件控制器适当注册时,电脑上VDA必须能够使用下列协议双向与送件控制器通信:
- VDA控制器:Kerberos
- 控制器转VDA:Kerberos
如果VDA无法向控制器注册,审查VDA注册文章大全云连接器取代送送控制器
下一步指导
更多设计指南包括解故障步骤远程PC存取产品文档.