远程电脑访问设计决策

概述

远程电脑访问是允许用户访问基于办公室的物理Windows电脑的简单而有效的方法。使用任何终端设备，用户无论其位置如何，都可以保持高效。但是,组织在实施远程PC访问时希望考虑以下几点。

部署方案

将电脑连接到用户有多种方法,每种方法都适用于不同的场景。

办公室人员

在许多部署中,远程PC访问部署在办公室工作人员场景中,即将一个用户永久分配到一台电脑。

这是最常见的部署场景。要实现此用例,管理员可以使用远程PC访问计算机目录类型。

计算实验室

在某些情况下，用户需要共享一组计算资源，这些资源通常在学校、学院和大学的计算实验室中找到。用户被随机分配到可用的物理电脑。

此类配置使用非托管、随机分配的单会话操作系统，配置如下：

• 在计算机目录设置向导中，使用单会话操作系统

• 选择未进行电源管理的计算机
• 选择其他服务或技术

• 选择我希望用户每次登录时都能连接到新的（随机）桌面。

因为计算实验室中的用户通常比电脑多,因此建议使用限制会话时间的策略。

身份验证

用户继续使用其Active Directory凭据向基于办公室的电脑进行身份验证。但是，由于组织从办公场所外部通过互联网访问，所以组织通常要求的身份验证级别不仅仅是用户名和密码。

Citrix工作区支持选择不同的身份验证选项,包括Active Directory +令牌和Azure Active Directory。当前支持的验证选项

如果将Citrix网关配置为Citrix工作区的身份验证选项,或者客户选择使用Citrix网关+ Citrix店面作为Citrix工作区的替代方案,则更广泛的选择Citrix网关验证选项将变为可用。

其中一些选项（例如基于时间的一次性密码）要求用户初始注册新令牌。由于令牌注册要求用户访问其电子邮件以验证其身份，因此可能需要在用户尝试远程工作之前完成注册。

会话安全

用户可以使用不受信任的个人设备远程访问他们的工作电脑。组织可以使用集成的Citrix虚拟应用程序和桌面策略来防范:

• 端点风险：秘密安装在终端设备上的键记录器可以轻松捕获用户名和密码。反键盘记录功能通过混淆击键来保护组织免受盗窃的凭据。
• 入站风险：不受信任的终端节点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问终端设备的驱动器会阻止将危险内容传输到公司网络。
• 出站风险：组织必须保持对内容的控制。允许用户将内容复制到本地、不受信任的终端设备会给组织带来额外的风险。通过阻止访问终端的驱动器、打印机、剪贴板和防屏幕捕获策略，可以拒绝这些功能。

基础架构调

注意：以下尺寸建议是一个很好的起点，但每个环境都是独一无二的，结果独特。适当监控基础架构和规模。

随着用户正在访问现有办公室电脑,支持添加远程PC访问所需的额外基础架构极少,但是,必须正确调整控制层和接入层基础架构的大小和监控,以确保它们不会成为瓶颈。

控制层

每台办公电脑上的虚拟交付代理(VDA)必须向Citrix虚拟应用程序和桌面注册。对于本地部署,VDA注册直接通过交付控制器进行,对云中于Citrix的Citrix虚拟应用程序和桌面服务,此注册通过Citrix云连接器进行。

远程电脑访问工作负载的交付控制器或云连接器的大小类似于VDI工作负载。Citrix咨询建议至少提供N + 1个可用性。此处提供云连接器扩展指南,包括可能需要本地主机缓存的条件

• 云连接器的扩展和大小注意事项
• 本地主机缓存的扩展和大小注意事项

访问层

当用户与办公室电脑建立HDX会话时,ICA流量需要代理到的共识。ICA代理可以通过Citrix网关设备或CitCitrix网关服务提供。

使用本地Citrix ADC Citrix网关时,请参阅特定型号的数据表,并将SSL VPN / ICA代理并发用户行项目作为起点。如果ADC正在处理其他工作负载,请验证当前吞吐量和CPU使用率是否未接近任何上限。

确保网关设备所在的地方有足够的可用互联网带宽来支持预期的并发ICA会话。

使用Citrix云的网关服务时,ICA流量在资源位置的共识和云连接器所在的位置)之间直接流向网关服务。如果能够满足使用汇合协议的条件,流量可以由云连接器代理(默认),或者可以直接从VDA流动,绕过云连接器。

当使用云连接器将ICA流量代理到网关服务时,这可能是一个瓶颈,建议仔细监控云连接器虚拟机上的CPU和内存。对于初步规划,估计4个vCPU Citrix云连接器虚拟机最多可处理1000个并发ICA代理会话。会合协议(配置后)使安装在每台物理PC上的虚拟交付代理能够直接与网关服务通信,而不是通过云连接器通过隧道进行会话。

使用网关服务时,Citrix建议使用汇合协议来缓解云连接器成为ICA代理瓶颈的问题。

允许运行会合协议有某些先决条件，包括：

• Citrix虚拟应用程序和桌面服务
• VDA版1912本或更高版本
• 启用的HDX策略
• 所有共识的DNS PTR记录
• 特定的SSL密码套件顺序
• 从VDA到网关服务的直接(非代理)互联网连接

可用性

如果办公室电脑未在注册VDA的情况下打开电源,则无法中介用户的会话。Citrix建议实施流程,以确保用户需要连接的计算机已打开电源。

如果可用,请将电脑的BIOS设置修改为在电源故障时自动打开电源。管理员还可以配置活动目录组策略对象,以从窗户个人电脑中删除“关闭”选项。这有助于防止用户关闭物理电脑的电源。

远程电脑访问还支持启用当前关闭电源的Windows电脑的电源的局域网唤醒操作。此选项需要使用微软系统中心配置管理器2012 R2 2012年或2016年。

注意：在Citrix云*中使用Citrix虚拟应用程序和桌面服务时,微软配置管理器局域网唤醒托管连接功能不可用

用户分配

重要的是,每个用户都经纪使用自己的办公室电脑。安装的共识并定义了目录和交付组后,用户下次在本地登录电脑时会自动分配。这是分配成千上万个用户的有效方法。

默认情况下,如果多个用户都登录到同一个物理电脑,则可以将多个用户分配到桌面,但可以通过交付控制器上的注册表编辑来禁用此功能。

Citrix虚拟应用程序和桌面管理员可以根据需要在Citrix工作室中或通过PowerShell修改分配。为了开始使用PowerShell将远程PC访问VDA添加到站点并分配用户,Citrix咨询制作了一个参考脚本,可在Citrix GitHub页面中找到。

虚拟投递代理

本节将回顾处理虚拟交付代理程序包的关键注意事项。

版本

Citrix虚拟应用程序和桌面管理员可以使用带有/ RemotePC标志的VDAWorkstationCoreSetup.exe软件包或VDAWorkstationSetup.exe软件包.VDAWorkstationCoreSetup.exe软件包较小,仅包括远程PC访问所需的核心组件,但值得注意的是,在1912年及更早版本中,不包括内容重定向所需的组件(请参阅微软团队部分以获取进一步指导）。

Windows 7和8.1

尽管不再支持Windows 7,但许多组织仍有旧版Windows 7桌面计算机。要在Windows 7和Windows 8.1上进行部署,客户应使用XenDesktop 7.15 LTSR VDA。

Windows 10

要在Windows上10进行部署,客户应使用Citrix虚拟应用程序和桌面1912 LTSR VDA或受支持的当前版本的共识。可在CTX224843中找到Windows 10版本的Citrix版本兼容性。

有用的命令行选项

部署远程PC访问时,有几个VDA安装程序命令行选项需要考虑,这些选项可以启用有用的功能。

/ remotePC

与完整的VDA软件包VDAWorkstationSetup.exe一起使用,仅安装远程电脑访问所需的核心组件。

/ enable_hdx_ports

如果检测到Windows防火墙服务,即使防火墙未启用,也会在Windows防火墙中打开云连接器和启用的功能(Windows远程协助除外)所需的端口。

/ enable_hdx_udp_ports

如果检测到Windows防火墙服务,即使未启用防火墙,也请在窗口防火墙中打开HDX自适应传输功能所需的UDP端口。

要打开VDA用于与控制器和启用功能进行通信的端口,请指定/ enable_hdx_ports选项以及/ enable_hdx_udp_ports选项。

/ enable_real_time_transport

为音频数据包(实时音频传输)启用或禁用UDP。启用该功能可提高音频性能。

要打开VDA用于与控制器和启用功能通信的端口,请指定/ enable_hdx_ports选项以及/ enable_real_time_运输选项。

Citrix /包含其他“用户配置文件管理器”,“Citrix用户配置文件管理器WMI插件”

在远程计算机访问部署中,大多数实施不需要配置文件管理。但是,Citrix用户配置文件管理器还捕获性能指标,这些指标对于管理员识别和修复性能相关问题非常有用。用户配置文件管理器不必进行配置，只需部署用户配置文件管理器来捕获指标。

安装Citrix用户配置文件管理器后,管理员可以在Citrix导演和Citrix分析中运行有关用户体验,会话响应能力和登录性能洞察的报告。

/ logpath路径

日志文件位置。指定的文件夹必须存在，因为安装程序不会创建它。默认路径为“% % \ Citrix \ TEMP XenDesktop安装程序”,但如果安装是通过SCCM进行的,则根据上下文,日志文件可以在系统临时文件夹中改为。

/优化

不要使用此标志,因为它主要用于MCS部署的计算机。

部署

要将虚拟交付代理部署到数千台物理电脑,需要自动化流程。

通过脚本编写

Citrix虚拟应用程序和桌面的安装介质包括可通过活动目录组策略对象使用的部署脚本(% InstallMedia % \ \ ADDeploy \ InstallVDA.bat支持)。

该脚本可用作PowerShell脚本和企业软件部署(ESD)工具的基准。这些方法使组织能够将代理快速部署到数千个物理终端。

通过SCCM

如果要使用ESD工具(如SCCM或Altiris来)自动执行VDA安装,则为先决条件和VDA创建单独的软件包往往效果最佳。您可以在产品文档中找到有关使用ESD工具进行VDA部署的更多信息。

微软团队

如果用户访问微软团队进行语音和视频通话,则需要内容重定向功能才能创造良好的用户体验。

要使用VDA 1912年或更早版本时内容重定向可用,需要使用带/ remotepc命令行选项的单会话完整VDA安装程序(独立VDAWorkstationSetup.exe)在物理PC上部署的共识。

例如：VDAWorkstationSetup.exe /quiet /remotepc /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot

如果部署VDA 2003或更新版本,则可以改用单会话核心VDA安装程序(独立VDAWorkstationCoreSetup.exe）。

例如：VDAWorkstationCoreSetup.exe /quiet /controllers " control.domain.com " /enable_hdx_ports /noresume /noreboot

常见的网络端口

与任何其他Citrix VDA类似,有少数关键网络端口需要注意打开系统才能正常运行。提醒一下,ICA流量需要从托管外部Citrix网关的Citrix ADC到达远程电脑访问。可在Citrix技术使用的通信端口中找到端口的完整列表。

VDA注册

根据网络拓扑的不同,包含虚拟应用程序和桌面交付控制器的子网可能不允许与物理电脑之间的通信。要在交付控制器中正确注册,PC上的共识必须能够使用以下协议在两个方向上与交付控制器进行通信:

• VDA到控制器:Kerberos
• VDA的控制器:Kerberos

如果VDA无法向控制器注册,请查看文章VDA注册。如果您使用的是Citrix云,则云连接器将取代交付控制器。

进一步指导

可在远程电脑访问产品文档中找到更多设计指南，包括注意事项和故障排除步骤。