Décision de conception : Remote PC Access

Vue d’ensemble

Remote PC Access est un moyen simple et efficace de permettre aux utilisateurs d’accéder à leur PC Windows physique basé sur un bureau. En utilisant n’importe quel périphérique de point de terminaison, les utilisateurs peuvent rester productifs quel que soit leur emplacement. Toutefois, les organisations souhaitent tenir compte des éléments suivants lors de la mise en œuvre de Remote PC Access.

Scénarios de déploiement

Il existe plusieurs façons de connecter un PC à un utilisateur, chacune applicable à différents scénarios.

Les employés de bureau

Dans de nombreux déploiements, Remote PC Access est déployé dans un scénario de travail de bureau où un utilisateur est assigné de façon permanente à un PC.

Il s’agit du scénario de déploiement le plus courant. Pour implémenter ce cas d’utilisation, l’administrateur peut utiliser le type de catalogue de machines Remote PC Access.

Laboratoires informatiques

Dans certaines situations, les utilisateurs doivent partager un ensemble de ressources informatiques, souvent trouvées dans les laboratoires informatiques des écoles, collèges et universités. Les utilisateurs sont affectés aléatoirement à un PC physique disponible.

Ce type de configuration utilise un système d’exploitation à session unique non géré, attribué aléatoirement, qui est configuré comme suit :

• Dans l’Assistant Configuration du catalogue de machines, utilisez le système d’exploitation à session unique

• Sélectionnerles machines qui ne sont pas gérées en alimentation
• Sélectionnez另一个服务或者技术

• SélectionnezJe veux que les utilisateurs se connectent à un nouveau bureau (aléatoire) chaque fois qu’ils ouvrent une session.

Comme il y a souvent plus d’utilisateurs que de PC dans un laboratoire informatique, desstratégies limitant la durée des sessionssont recommandées.

Authentification

Les utilisateurs continuent à s’authentifier sur leur PC de bureau avec leurs informations d’identification Active Directory. Cependant, comme elles accèdent par Internet à partir de l’extérieur du bureau, les entreprises ont généralement besoin de niveaux d’authentification plus élevés que le simple nom d’utilisateur et mot de passe.

Citrix Workspace prend en charge différentes options d’authentification à sélectionner, y compris le jeton Active Directory + et Azure Active Directory.Options d’authentification prises en charge

Si NetScaler Gateway est configuré comme option d’authentification pour Citrix Workspace, ou si un client choisit d’utiliser NetScaler Gateway + Citrix StoreFront comme alternative à Citrix Workspace, un choix beaucoup plus large d’options d’authentificationNetScalerGateway devient alors disponible.

Certaines de ces options, comme le mot de passe à usage unique basé sur le temps, exigent que l’utilisateur s’inscrive initialement pour un nouveau jeton. Comme l’enregistrement du jeton exige que l’utilisateur accède à son e-mail pour valider son identité, il peut être nécessaire de le faire avant que l’utilisateur ne tente de travailler à distance.

Sécurité de session

Les utilisateurs peuvent accéder à distance à leur PC de travail à l’aide d’un appareil personnel non fiable. Les organisations peuvent utiliser des stratégies Citrix Virtual Apps and Desktops intégrées pour se protéger contre :

• Risques liés aux points de terminaison : les enregistreurs de clés installés secrètement sur le terminal peuvent facilement capturer un nom d’utilisateur et un mot de passe. Lesfonctionnalités de protection contre l’enregistrement de frappeprotègent l’entreprise contre le vol d’informations d’identification en masquant les frappes au clavier.
• 个进入者:勒s terminaux non fiables peuvent contenir des logiciels malveillants, des logiciels espions et d’autres contenus dangereux. Le refus d’accès aux lecteurs du terminal empêche la transmission de contenu dangereux vers le réseau d’entreprise.
• Risques sortants : Les organisations doivent garder le contrôle sur le contenu. Permettre aux utilisateurs de copier du contenu sur des périphériques de terminaux locaux non fiables pose des risques supplémentaires pour l’organisation. Ces fonctionnalités peuvent être refusées en bloquant l’accès aux lecteurs, imprimantes, presse-papiers et stratégies anti-capture d’écran du point de terminaison.

Taille de l’infrastructure

Remarque :Les recommandations de dimensionnement suivantes constituent un bon point de départ, mais chaque environnement est unique, ce qui donne des résultats uniques. Surveillez l’infrastructure et la taille de manière appropriée.

Comme les utilisateurs accèdent aux ordinateurs de bureau existants, l’infrastructure supplémentaire nécessaire pour prendre en charge l’ajout de Remote PC Access est minimale. Cependant, il est important que la couche Contrôle et l’infrastructure de la couche Access soient dimensionnées et surveillées correctement afin de s’assurer qu’elles ne deviennent pas un goulot d’étranglement.

Couche de contrôle

Le Virtual Delivery Agent (VDA) sur chaque PC Office doit s’enregistrer auprès de Citrix Virtual Apps and Desktops. Pour les déploiements sur site, l’enregistrement du VDA s’effectue directement avec un Delivery Controller, pour Citrix DaaS dans Citrix Cloud, cet enregistrement s’effectue via un Citrix Cloud Connector.

Le dimensionnement des Delivery Controller ou Cloud Connector pour les charges de travail Remote PC Access est similaire aux charges de travail VDI. Citrix Consulting recommande une disponibilité au moins N+1. Des conseils pour la mise à l’échelle de Cloud Connector, y compris les conditions dans lesquelles un cache hôte local peut être requis, sont disponibles ici

• Considérations sur le dimensionnement et la scalabilité des Cloud Connector
• Considérations sur le dimensionnement et la scalabilité du cache d’hôte local

Couche d’accès

Lorsqu’un utilisateur établit une session HDX sur son PC de bureau, le trafic ICA doit être acheminé par proxy vers le VDA. Le proxy ICA peut être fourni via les appliances NetScaler Gateway ou le NetScaler Gateway Service.

Lorsque vous utilisez un NetScaler sur site pour NetScaler Gateway, consultez la fiche technique du modèle en question et reportez-vous à la rubriqueSSL VPN / ICA像Utilisateurs simultanes du代理point de départ. Si l’ADC gère d’autres charges de travail, vérifiez que le débit actuel et l’utilisation du processeur ne s’approchent pas de limites supérieures.

Assurez-vous qu’il y a suffisamment de bande passante Internet disponible à l’endroit où se trouve l’appliance Gateway pour prendre en charge les sessions ICA simultanées attendues.

Lorsque vous utilisez le service de passerelle à partir de Citrix Cloud, le trafic ICA circule entre l’emplacement des ressources (où se trouvent les VDA et Cloud Connector) directement vers le service Gateway. Le trafic est soit transmis par proxy par Cloud Connector (par défaut) ou peut circuler directement à partir du VDA, en contournant les Cloud Connector si les conditions d’utilisation du protocole de rendez-vous peuvent être remplies.

Lorsque Cloud Connector est utilisé pour proxy du trafic ICA vers le service de passerelle, cela peut constituer un goulot d’étranglement et une surveillance attentive du processeur et de la mémoire sur les machines virtuelles Cloud Connector est conseillée. Pour les estimations de planification initiale, une machine virtuelle Citrix Cloud Connector à 4 vCPU peut gérer un maximum de 1000 sessions proxy ICA simultanées. Le protocole Rendezvous (lorsqu’il est configuré) permet à Virtual Delivery Agent installé sur chaque PC physique de communiquer directement avec le service de passerelle au lieu de tunneler la session via Cloud Connector.

Lors de l’utilisation du service Gateway, Citrix recommande d’utiliser le protocole de rendez-vous pour atténuer le problème de Cloud Connector qui constitue un goulot d’étranglement pour ICA Proxy.

Il existe certaines conditions préalables pour permettre auprotocole de rendez-vousde fonctionner, notamment :

• Citrix DaaS
• VDA version 1912 ou supérieure
• Une stratégie HDX activée
• Enregistrements DNS PTR pour tous les VDA
• Commande de suite de chiffrement SSL spécifique
• Connectivité Internet directe (non mandatée) du VDA au service de passerelle

Disponibilité

Si le PC Office n’est pas sous tension avec le VDA enregistré, la session de l’utilisateur ne peut pas être négociée. Citrix recommande de mettre en place des processus pour s’assurer que les ordinateurs auxquels les utilisateurs doivent se connecter sont sous tension.

Si disponible, modifiez le paramètre du BIOS du PC pour qu’il s’allume automatiquement en cas de panne de courant. Les administrateurs peuvent également configurer un objet Stratégie de groupe Active Directory pour supprimer l’option « Arrêter » duPCWindows. Cela empêche l’utilisateur de mettre hors tension le PC physique.

Remote PC Access prend également en charge les opérationsWake on LANpour permettre la mise sous tension des PC Windows actuellement hors tension. La fonction Wake on LAN est entièrement autonome et il n’est pas nécessaire de disposer d’une infrastructure supplémentaire pour la fonctionnalité Wake on LAN à compter de la version 2009.

Attributions utilisateur

Il est important que les utilisateurs soient tous courtés vers leur propre ordinateur de bureau. Une fois le VDA installé et le catalogue et le groupe de mise à disposition définis, les utilisateurs sont automatiquement affectés lors de leur prochaine ouverture de session localement au PC. Il s’agit d’une méthode efficace pour affecter des milliers d’utilisateurs.

Par défaut, plusieurs utilisateurs peuvent être affectés à un poste de travail s’ils se sont tous connectés au même PC physique, mais cela peut être désactivé via une modification du Registre sur les Delivery Controller.

L’administrateur Citrix Virtual Apps and Desktops peut modifier les affectations selon les besoins dans Citrix Studio ou via PowerShell. Pour commencer à utiliser PowerShell pour ajouter des VDA Remote PC Access à un site et attribuer des utilisateurs, Citrix Consulting a produit un script de référence qui se trouve sur lapage Citrix GitHub.

Virtual Delivery Agent

Cette section passe en revue les principales considérations relatives au traitement du colis Virtual Delivery Agent.

Versions

Les administrateurs Citrix Virtual Apps and Desktops peuvent utiliser le package VDAWorkstationCoreSetup.exe ou VDAWorkstationSetup.exe avec l’indicateur /remotePC. Le package VDAWorkstationCoreSetup.exe est plus petit et inclut uniquement les composants principaux requis pour Remote PC Access, mais notamment, dans les versions 1912 et antérieures, exclut les composants requis pour la redirection de contenu (voir la sectionMicrosoft Teamspour plus d’informations).

Windows 7 et 8.1

Bien que Windows 7 ne soit plus pris en charge, de nombreuses organisations ont toujours des machines de bureau Windows 7 héritées. Pour le déploiement sur Windows 7 et Windows 8.1, les clients doivent utiliser le VDA XenDesktop 7.15 LTSR.

Windows 10

Pour le déploiement sur Windows 10, les clients doivent utiliser le VDA Citrix Virtual Apps and Desktops 1912 LTSR ou un VDA de version actuelle pris en charge. La compatibilité des versions de Citrix pour les versions de Windows 10 se trouve dansCTX224843.

Options de ligne de commande utiles

Il existe plusieurs options de ligne de commande du programme d’installation VDA à prendre en compte lors du déploiement de Remote PC Access qui peuvent activer des fonctionnalités utiles.

/RemotePC

Utilisé avec le package VDA complet, VDAWorkstationSetup.exe, pour installer uniquement les composants principaux requis pour Remote PC Access.

/enable_hdx_ports

Ouvre les ports du pare-feu Windows requis par le Cloud Connector et les fonctionnalités activées (sauf l’assistance à distance Windows), si le service Pare-feu Windows est détecté, même si le pare-feu n’est pas activé.

/enable_hdx_udp_ports

Ouvre les ports UDP, dans le pare-feu Windows, qui sont requis par le transport adaptatif HDX, si le Service pare-feu Windows est détecté, même si le pare-feu n’est pas activé.

Pour ouvrir les ports utilisés par le VDA pour communiquer avec le contrôleur et les fonctionnalités activées, spécifiez l’option /enable_hdx_ports, en plus de l’option /enable_hdx_udp_ports.

/enable_real_time_transport

Active ou désactive l’utilisation d’UDP pour les paquets audio (RealTime Audio Transport pour l’audio). L’activation de cette fonctionnalité peut améliorer les performances audio.

Pour ouvrir les ports utilisés par le VDA pour communiquer avec le Controller et les fonctionnalités activées, spécifiez l’option /enable_hdx_ports, en plus de l’option /enable_real_time_transport.

/includeadditional “Citrix User Profile Manager”,”Citrix User Profile Manager WMI Plug in”

在联合国deploiement远程PC访问拉学生的des implémentations ne nécessitent pas de gestion de profil. Toutefois, Citrix User Profile Manager capture également des mesures de performances, qui sont utiles aux administrateurs pour identifier et résoudre les problèmes liés aux performances. User Profile Manager n’a pas besoin d’être configuré, il doit simplement être déployé pour capturer des mesures.

一次段,Citrix /用户配置文件管理器met aux administrateurs d’exécuter des rapports sur l’expérience utilisateur, la réactivité des sessions et des informations sur les performances d’ouverture de session au sein de Citrix Director et Citrix Analytics for Performances.

/logpath path

Emplacement du fichier journal. Le dossier spécifié doit exister car le programme d’installation ne le crée pas. Le chemin par défaut est « %TEMP% \ Citrix \ XenDesktop Installer », mais si l’installation est effectuée via SCCM, en fonction du contexte, les fichiers journaux peuvent se trouver dans le dossier temp système à la place.

/optimize

N’utilisez PAS cet indicateur car il est destiné principalement aux machines déployées MCS.

Déploiement

Pour déployer Virtual Delivery Agent sur des milliers de PC physiques, des processus automatisés sont nécessaires.

Par script

Le support d’installation pour Citrix Virtual Apps and Desktops inclut un script de déploiement (%InstallMedia%\Support\ADDeploy\InstallVDA.bat) qui peut être utilisé via les objets de stratégie de groupe Active Directory.

Le script peut être utilisé comme ligne de base pour les scripts PowerShell et les outils de déploiement de logiciels d’entreprise (ESD). Ces approches permettent aux entreprises de déployer rapidement l’agent sur des milliers de terminaux physiques.

Via SCCM

Si vous automatisez l’installation du VDA à l’aide d’un outil ESD tel que SCCM ou Altiris, la création de packages séparés pour les conditions préalables et le VDA a tendance à fonctionner le mieux. Vous trouverez plus d’informations sur le déploiement de VDA avec les outils ESD dans ladocumentation produit.

Microsoft Teams

Si les utilisateurs accèdent à Microsoft Teams pour des appels vocaux et vidéo, une fonctionnalité de redirection de contenu est requise pour créer une expérience utilisateur positive.

Pour que la redirection de contenu soit disponible lors de l’utilisation de VDA 1912 ou version antérieure, il est nécessaire de déployer le VDA sur les PC physiques à l’aide du programme d’installation VDA complet en une session (autonomeVDAWorkstationSetup.exe) avec l’option de ligne de commande/remotepc.

Pa exemple :VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Si vous déployez VDA 2003 ou version ultérieure, le programme d’installation de VDA principal à session unique peut être utilisé à la place (autonomeVDAWorkstationCoreSetup.exe).

Pa exemple :VDAWorkstationCoreSetup.exe c /安静/控制器”ontrol.domain.com” /enable_hdx_ports /noresume /noreboot

Ports réseau communs

Comme tout autre VDA Citrix, il existe une poignée de ports réseau clés à prendre en compte l’ouverture pour que le système fonctionne. Pour rappel, le trafic ICA doit atteindre le Remote PC Access depuis le NetScaler hébergeant le NetScaler Gateway externe. Vous trouverez une liste complète des ports dansPorts de communication utilisés par Citrix Technologies.

Inscription VDA

Selon la topologie du réseau, le sous-réseau contenant les Delivery Controller Virtual Apps and Desktops peut ne pas autoriser la communication vers ou à partir des PC physiques. Pour s’enregistrer correctement auprès du Delivery Controller, le VDA sur le PC doit pouvoir communiquer avec le Delivery Controller dans les deux sens en utilisant les protocoles suivants :

• VDA vers contrôleur : Kerberos
• Contrôleur vers VDA : Kerberos

Si le VDA ne peut pas s’enregistrer auprès du Controller, consultez l’articleEnregistrement du VDA. Si vous utilisez Citrix Cloud, les Cloud Connector remplacent Delivery Controller.

Orientations supplémentaires

Vous trouverez des conseils de conception supplémentaires, y compris des considérations et des étapes de dépannage, dans ladocumentation produit Remote PC Access.