设计决策:远程 PC 访问
概述
远程 PC Access 是允许用户访问基于办公室的物理 Windows PC 的简单而有效的方法。使用任何终端设备,用户无论其位置如何,都可以保持高效。但是,组织在实施 Remote PC Access 时希望考虑以下几点。
部署方案
将 PC 连接到用户有多种方法,每种方法都适用于不同的场景。
办公室人员
在许多部署中,Remote PC Access 部署在办公室工作人员场景中,即将一个用户永久分配到一台 PC。
这是最常见的部署场景。要实现此用例,管理员可以使用 Remote PC Access 计算机目录类型。
计算实验室
在某些情况下,用户需要共享一组计算资源,这些资源通常在学校、学院和大学的计算实验室中找到。用户被随机分配到可用的物理 PC。
此类配置使用非托管、随机分配的单会话操作系统,配置如下:
- 在计算机目录设置向导中,使用单会话操作系统
- 选择未进行电源管理的计算机
- 选择其他服务或技术
- 选择我希望用户每次登录时都能连接到新的(随机)桌面。
由于计算实验室中的用户通常多于 PC,因此建议使用限制会话时间的策略。
身份验证
用户继续使用其 Active Directory 凭据向基于办公室的 PC 进行身份验证。但是,由于组织从办公场所外部通过互联网访问,所以组织通常要求的身份验证级别不仅仅是用户名和密码。
Citrix Workspace 支持选择不同的身份验证选项,包括 Active Directory + 令牌和 Azure Active Directory。当前支持的验证选项
如果将 NetScaler Gateway 配置为 Citrix Workspace 的身份验证选项,或者如果客户选择使用 NetScaler Gateway + Citrix StoreFront 作为 Citrix Workspace 的替代方案,则可以使用更广泛的NetScaler Gateway 身份验证选项。
其中一些选项(例如基于时间的一次性密码)要求用户初始注册新令牌。由于令牌注册要求用户访问其电子邮件以验证其身份,因此可能需要在用户尝试远程工作之前完成注册。
会话安全
用户可以使用不受信任的个人设备远程访问他们的工作 PC。组织可以使用集成的 Citrix Virtual Apps and Desktops 策略来防范:
- 端点风险:秘密安装在终端设备上的键记录器可以轻松捕获用户名和密码。反键盘记录功能通过混淆击键来保护组织免受凭据被盗的侵害。
- 入站风险:不受信任的终端节点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问终端设备的驱动器会阻止将危险内容传输到公司网络。
- 出站风险:组织必须保持对内容的控制。允许用户将内容复制到本地、不受信任的终端设备会给组织带来额外的风险。通过阻止访问终端的驱动器、打印机、剪贴板和防屏幕捕获策略,可以拒绝这些功能。
基础架构调
注意:以下尺寸建议是一个很好的起点,但每个环境都是独一无二的,结果独特。适当监视基础架构和规模。
随着用户正在访问现有办公室 PC,支持添加 Remote PC Access 所需的额外基础架构极少,但是,必须正确调整控制层和接入层基础架构的大小和监视,以确保它们不会成为瓶颈。
控制层
每台 Office PC 上的虚拟交付代理 (VDA) 必须向 Citrix Virtual Apps and Desktops 注册。对于本地部署,VDA 注册直接通过Delivery Controller 进行,对于 Citrix Cloud 中的 Citrix DaaS,此注册通过 Citrix Cloud Connector 进行。
远程 PC 访问工作负载的交付控制器或Cloud Connector的大小类似于 VDI 工作负载。Citrix 咨询建议至少提供 N+1 个可用性。此处提供 Cloud Connector 扩展指南,包括可能需要本地主机缓存的条件
访问层
当用户与办公室 PC 建立 HDX 会话时,ICA 流量需要代理到 VDA。ICA 代理可以通过 NetScaler Gateway 设备或 NetScaler Gateway 服务提供。
使用本地 NetScaler for NetScaler Gateway 时,请参阅特定型号的数据表,并将SSL VPN/ICA 代理并发用户行项目作为起点。如果 ADC 正在处理其他工作负载,请验证当前吞吐量和 CPU 使用率是否未接近任何上限。
确保网关设备所在的地方有足够的可用 Internet 带宽来支持预期的并发 ICA 会话。
从 Citrix Cloud 使用 Gateway 服务时,资源位置(VDA 和 Cloud Connector 所在的位置)之间的 ICA 流量将直接流向 Gateway 服务。如果能够满足使用汇聚协议的条件,流量可以由 Cloud Connector 代理(默认),或者可以直接从 VDA 流动,绕过 Cloud Connector。
当使用 Cloud Connector 将 ICA 流量代理到 Gateway 服务时,这可能是一个瓶颈,建议仔细监视 Cloud Connector VM 上的 CPU 和内存。对于初步规划,估计 4 vCPU Citrix Cloud Connector VM 最多可处理 1000 个并发 ICA 代理会话。 汇聚协议(配置后)使安装在每台物理 PC 上的虚拟交付代理能够直接与 Gateway 服务通信,而不是通过 Cloud Connector 通过隧道进行会话。
使用 Gateway 服务时,Citrix 建议使用汇聚协议来缓解Cloud Connector成为 ICA 代理瓶颈的问题。
要使汇聚协议发挥作用,有一些必备条件,包括:
- Citrix DaaS
- VDA 版本 1912 或更高版本
- 启用的 HDX 策略
- 所有 VDA 的 DNS PTR 记录
- 特定的 SSL 密码套件顺序
- 从 VDA 到 Gateway 服务的直接(非代理)Internet 连接
可用性
如果办公室 PC 未在注册 VDA 的情况下打开电源,则无法中介用户的会话。Citrix 建议实施流程,以确保用户需要连接的计算机已打开电源。
如果可用,请将 PC 的 BIOS 设置修改为在电源故障时自动打开电源。管理员还可以配置 Active Directory 组策略对象,以从 WindowsPC中删除“关闭”选项。这有助于防止用户关闭物理 PC 的电源。
Remote PC Access 还支持局域网唤醒操作,以启用当前已关闭电源的 Windows PC 的电源。局域网唤醒功能是完全独立的,自 2009 版起,无需为局域网唤醒功能增加额外的基础架构。
用户分配
重要的是,每个用户都经纪使用自己的办公室 PC。安装 VDA 并定义了目录和交付组后,用户下次在本地登录 PC 时会自动分配。这是分配成千上万个用户的有效方法。
默认情况下,如果多个用户都登录到同一个物理 PC,则可以将多个用户分配到桌面,但可以通过交付控制器上的注册表编辑来禁用此功能。
Citrix Virtual Apps and Desktops 管理员可以根据需要在 Citrix Studio 中或通过 PowerShell 修改分配。为了开始使用 PowerShell 向站点添加远程 PC 访问 VDA 并分配用户,Citrix 咨询制作了一个参考脚本,该脚本可在Citrix GitHub 页面上找到。
Virtual Delivery Agent
本节将回顾处理虚拟交付代理程序包的关键注意事项。
版本
Citrix Virtual Apps and Desktops 管理员可以使用带有 /remotePC 标志的 VDAWorkstationCoreSetup.exe 软件包或 VDAWorkstationSetup.exe 软件包。VDAWorkstationCoreSetup.exe 软件包较小,仅包含远 Remote PC Access 需的核心组件,但值得注意的是,在 1912 版及更早版本中,不包括内容重定向所需的组件(有关进一步的指导,请参阅Microsoft Teams部分)。
Windows 7 和 8.1
尽管不再支持 Windows 7,但许多组织仍有旧版 Windows 7 桌面计算机。要在 Windows 7 和 Windows 8.1 上进行部署,客户应使用 XenDesktop 7.15 LTSR VDA。
Windows 10
要在 Windows 10 上进行部署,客户应使用 Citrix Virtual Apps and Desktops 1912 LTSR VDA 或受支持的当前版本 VDA。Windows 10 版本的 Citrix 版本兼容性可以在CTX224843中找到。
有用的命令行选项
部署 Remote PC Access 时,有几个 VDA 安装程序命令行选项需要考虑,这些选项可以启用有用的功能。
/remotePC
与完整的 VDA 软件包 VDAWorkstationSetup.exe 一起使用,仅安装远程 PC 访问所需的核心组件。
/enable_hdx_ports
如果检测到 Windows 防火墙服务,即使防火墙未启用,也会在 Windows 防火墙中打开 Cloud Connector 和启用的功能(Windows 远程协助除外)所需的端口。
/enable_hdx_udp_ports
如果检测到 Windows 防火墙服务,即使未启用防火墙,也请在 Windows 防火墙中打开 HDX 自适应传输功能所需的 UDP 端口。
要打开 VDA 用于与控制器和启用功能进行通信的端口,请指定 /enable_hdx_ports 选项以及 /enable_hdx_udp_ports 选项。
/enable_real_time_transport
为音频数据包(实时音频传输)启用或禁用 UDP。启用该功能可提高音频性能。
要打开 VDA 用于与控制器和启用功能通信的端口,请指定 /enable_hdx_ports 选项以及 /enable_real_time_运输选项。
/包含其他“Citrix 用户配置文件管理器”,“Citrix 用户配置文件管理器 WMI 插件”
在 Remote PC Access 部署中,大多数实施不需要配置文件管理。但是,Citrix 用户配置文件管理器还捕获性能指标,这些指标对于管理员识别和修复性能相关问题非常有用。用户配置文件管理器不必进行配置,只需部署用户配置文件管理器来捕获指标。
安装 Citrix User Profile Manager 后,管理员可以在 Citrix Director 和 Citrix Analytics for Performance 中运行有关用户体验、会话响应能力和登录性能洞察的报告。
/logpath path
日志文件位置。指定的文件夹必须存在,因为安装程序不会创建它。默认路径为“%TEMP%\ Citrix\ XenDesktop Installer”,但如果安装是通过 SCCM 进行的,则根据上下文,日志文件可以在系统临时文件夹中改为。
/optimize
不要使用此标志,因为它主要用于 MCS 部署的计算机。
部署
要将虚拟交付代理部署到数千台物理 PC,需要自动化流程。
通过脚本编写
Citrix Virtual Apps and Desktops 的安装介质包括可通过 Active Directory 组策略对象使用的部署脚本 (%InstallMedia%\Support\ADDeploy\InstallVDA.bat)。
该脚本可用作 PowerShell 脚本和企业软件部署 (ESD) 工具的基准。这些方法使组织能够将代理快速部署到数千个物理终端。
通过 SCCM
如果要使用 ESD 工具(如 SCCM 或 Altiris)自动执行 VDA 安装,则为必备条件和 VDA 创建单独的软件包往往效果最佳。您可以在产品文档中找到有关使用 ESD 工具部署 VDA 的更多信息。
Microsoft Teams
如果用户访问 Microsoft Teams 进行语音和视频通话,则需要内容重定向功能才能创造良好的用户体验。
要使用 VDA 1912 或更早版本时内容重定向可用,需要使用带/remotepc命令行选项的单会话完整 VDA 安装程序(独立VDAWorkstationSetup.exe)在物理 PC 上部署 VDA。
例如:VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot
如果部署 VDA 2003 或更新版本,则可以改用单会话核心 VDA 安装程序(独立VDAWorkstationCoreSetup.exe)。
例如:VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot
常见的网络端口
与任何其他 Citrix VDA 类似,有少数关键网络端口需要注意打开系统才能正常运行。提醒一下,ICA 流量需要从托管外部 NetScaler Gateway 的 NetScaler 到达远程 PC 访问。端口的完整列表可以在Citrix Technologies 使用的通信端口中找到。
VDA注册
根据网络拓扑的不同,包含 Virtual Apps and Desktops 交付控制器的子网可能不允许与物理 PC 之间的通信。要在 Delivery Controller 中正确注册,PC 上的 VDA 必须能够使用以下协议在两个方向上与 Delivery Controller 进行通信:
- VDA 到控制器:Kerberos
- VDA的控制器:Kerberos
如果 VDA 无法向控制器注册,请查看VDA注册文章。如果您使用的是Citrix云,则云连接器将取代 Delivery Controller。
进一步指导
更多设计指南,包括注意事项和故障排除步骤,请参阅远程电脑访问产品文档。