Generische USB-Umleitung und Überlegungen zu Clientlaufwerken
Die HDX™-Technologie bietet optimierte Unterstützung für die meisten gängigen USB-Geräte. Optimierte Unterstützung bietet ein verbessertes Benutzererlebnis mit besserer Leistung und Bandbreiteneffizienz über ein WAN. Optimierte Unterstützung ist in der Regel die beste Option, insbesondere in Umgebungen mit hoher Latenz oder sicherheitsempfindlichen Umgebungen.
Die HDX-Technologie bietet generische USB-Umleitung für Spezialgeräte, die keine optimierte Unterstützung haben oder für die diese ungeeignet ist, zum Beispiel:
- Das USB-Gerät verfügt über erweiterte Funktionen, die nicht Teil der optimierten Unterstützung sind, wie z. B. eine Maus oder Webcam mit mehr Tasten.
- Benutzer benötigen Funktionen, die nicht Teil der optimierten Unterstützung sind.
- Das USB-Gerät ist ein Spezialgerät, wie z. B. Prüf- und Messgeräte oder eine Industriesteuerung.
- Eine Anwendung erfordert direkten Zugriff auf das Gerät als USB-Gerät.
- Für das USB-Gerät ist nur ein Windows-Treiber verfügbar. Beispielsweise ist für einen Smartcard-Leser möglicherweise kein Treiber für die Citrix Workspace™-App für Android verfügbar.
- Die Version der Citrix Workspace-App bietet keine optimierte Unterstützung für diesen USB-Gerätetyp.
Bei generischer USB-Umleitung:
- Benutzer müssen keine Gerätetreiber auf dem Benutzergerät installieren.
- USB-Clienttreiber werden auf der VDA-Maschine installiert.
Wichtig:
- Die generische USB-Umleitung kann zusammen mit der optimierten Unterstützung verwendet werden. Wenn Sie die generische USB-Umleitung aktivieren, konfigurieren Sie die Citrix Richtlinieneinstellungen für USB-Geräte sowohl für die generische USB-Umleitung als auch für die optimierte Unterstützung.
- Die Citrix-Richtlinieneinstellung unter Optimierungsregeln für Client-USB-Geräte ist eine spezifische Einstellung für die generische USB-Umleitung für ein bestimmtes USB-Gerät. Sie gilt nicht für die hier beschriebene optimierte Unterstützung.
- Beim Brokering einer Sitzung mit Citrix®-Software zu einer Azure Virtual Machine bietet Citrix bestmögliche Unterstützung für die USB-Umleitung zur Azure Virtual Machine. Wir unterstützen die Behebung eines Citrix-Softwareproblems, aber nicht die zugrunde liegende Azure Virtual Machine.
- CD/DVD-Geräte mit Brennfunktionen können umgeleitet werden, aber die Brennfunktionen dieser Geräte können nicht verwendet werden. Dies liegt an den Puffergrenzen einer Sitzung.
Überlegungen zur Leistung von USB-Geräten
Netzwerklatenz und Bandbreite können die Benutzererfahrung und den Betrieb von USB-Geräten beeinträchtigen, wenn die generische USB-Umleitung für bestimmte Arten von USB-Geräten verwendet wird. Beispielsweise funktionieren zeitkritische Geräte möglicherweise nicht korrekt über Verbindungen mit hoher Latenz und geringer Bandbreite. Verwenden Sie stattdessen nach Möglichkeit die optimierte Unterstützung.
Einige USB-Geräte erfordern eine hohe Bandbreite, um nutzbar zu sein, z. B. eine 3D-Maus (die mit 3D-Anwendungen verwendet wird, die typischerweise ebenfalls eine hohe Bandbreite erfordern). Wenn die Bandbreite nicht erhöht werden kann, können Sie das Problem möglicherweise durch Anpassen der Bandbreitennutzung anderer Komponenten mithilfe der Bandbreitenrichtlinieneinstellungen mindern. Weitere Informationen finden Sie unter Bandbreitenrichtlinieneinstellungen für die Client-USB-Geräteumleitung und Richtlinieneinstellungen für Multistream-Verbindungen.
Sicherheitsüberlegungen für USB-Geräte
Einige USB-Geräte sind von Natur aus sicherheitsempfindlich, z. B. Smartcard-Leser, Fingerabdruckleser und Unterschriftenpads. Andere USB-Geräte wie USB-Speichergeräte können zum Übertragen sensibler Daten verwendet werden.
USB-Geräte werden häufig zur Verbreitung von Malware verwendet. Die Konfiguration der Citrix Workspace-App und von Citrix Virtual Apps and Desktops™ kann das Risiko durch diese USB-Geräte verringern, aber nicht eliminieren. Diese Situation gilt unabhängig davon, ob die generische USB-Umleitung oder die optimierte Unterstützung verwendet wird.
Wichtig:
- Sichern Sie bei sicherheitsempfindlichen Geräten und Daten die HDX-Verbindung immer entweder mit TLS oder IPsec.
- Aktivieren Sie nur die Unterstützung für die USB-Geräte, die Sie benötigen. Konfigurieren Sie sowohl die generische USB-Umleitung als auch die optimierte Unterstützung, um diesen Bedarf zu decken.
- Geben Sie Benutzern Anleitungen zur sicheren Verwendung von USB-Geräten:
- Verwenden Sie nur USB-Geräte, die aus einer vertrauenswürdigen Quelle stammen.
- Lassen Sie USB-Geräte nicht unbeaufsichtigt in offenen Umgebungen liegen – zum Beispiel einen USB-Stick in einem Internetcafé.
- Erläutern Sie die Risiken der Verwendung eines USB-Geräts an mehr als einem Computer.
Kompatibilität mit generischer USB-Umleitung
Die generische USB-Umleitung wird für USB 2.0- und frühere Geräte unterstützt. Die generische USB-Umleitung wird auch für USB 3.0-Geräte unterstützt, die an einen USB 2.0- oder USB 3.0-Port angeschlossen sind. Die generische USB-Umleitung unterstützt keine USB-Funktionen, die in USB 3.0 eingeführt wurden, wie z. B. SuperSpeed.
Diese Citrix Workspace-Apps unterstützen die generische USB-Umleitung:
- Citrix Workspace-App für Windows, siehe Konfigurieren der Anwendungsbereitstellung.
- Citrix Workspace-App für Mac, siehe Citrix Workspace-App für Mac.
- Citrix Workspace-App für Linux, siehe Optimieren.
- Citrix Workspace-App für Chrome OS, siehe Citrix Workspace-App für Chrome.
Informationen zu den Versionen der Citrix Workspace-App finden Sie in der Funktionsmatrix der Citrix Workspace-App.
Wenn Sie frühere Versionen der Citrix Workspace-App verwenden, lesen Sie die Dokumentation der Citrix Workspace-App, um zu bestätigen, dass die generische USB-Umleitung unterstützt wird. Beachten Sie die Dokumentation der Citrix Workspace-App für Einschränkungen bei den unterstützten USB-Gerätetypen.
Die generische USB-Umleitung wird für Desktopsitzungen von VDA für Single-Session OS Version 7.6 bis zur aktuellen Version unterstützt.
Die generische USB-Umleitung wird für Desktopsitzungen von VDA für Multi-Session OS Version 7.6 bis zur aktuellen Version mit folgenden Einschränkungen unterstützt:
- Der VDA muss Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 oder Windows Server 2022 ausführen.
- Die USB-Gerätetreiber müssen vollständig mit Remote Desktop Session Host (RDSH) für das VDA-Betriebssystem (Windows 2012 R2) kompatibel sein, einschließlich vollständiger Virtualisierungsunterstützung.
Einige Arten von USB-Geräten werden für die generische USB-Umleitung nicht unterstützt, da eine Umleitung nicht sinnvoll wäre:
- USB-Modems.
- USB-Netzwerkadapter.
- USB-Hubs. Die an USB-Hubs angeschlossenen USB-Geräte werden einzeln behandelt.
- Virtuelle USB-COM-Ports. Verwenden Sie die COM-Port-Umleitung anstelle der generischen USB-Umleitung.
Informationen zu USB-Geräten, die mit der generischen USB-Umleitung getestet wurden, finden Sie im Citrix Ready Marketplace. Einige USB-Geräte funktionieren mit der generischen USB-Umleitung nicht korrekt.
Generische USB-Umleitung konfigurieren
Sie können steuern und separat konfigurieren, welche Arten von USB-Geräten die generische USB-Umleitung verwenden:
- Auf dem VDA, mithilfe von Citrix-Richtlinieneinstellungen. Weitere Informationen finden Sie unter Umleitung von Clientlaufwerken und Benutzergeräten und Richtlinieneinstellungen für USB-Geräte in der Referenz zu den Richtlinieneinstellungen.
- In der Citrix Workspace-App, mithilfe von Citrix Workspace-App-abhängigen Mechanismen. Beispielsweise steuert eine administrative Vorlage Registrierungseinstellungen, die die Citrix Workspace-App für Windows konfigurieren. Standardmäßig ist die USB-Umleitung für bestimmte Klassen von USB-Geräten zugelassen und für andere verweigert. Weitere Informationen finden Sie unter Konfigurieren in der Dokumentation zur Citrix Workspace-App für Windows.
Diese separate Konfiguration bietet Flexibilität. Zum Beispiel:
- Wenn zwei verschiedene Organisationen oder Abteilungen für die Citrix Workspace-App und den VDA verantwortlich sind, können sie die Kontrolle separat durchsetzen. Diese Konfiguration gilt, wenn ein Benutzer in einer Organisation auf eine Anwendung in einer anderen Organisation zugreift.
- Citrix-Richtlinieneinstellungen können USB-Geräte steuern, die nur für bestimmte Benutzer oder für Benutzer zugelassen sind, die nur über ein LAN (und nicht über Citrix Gateway) eine Verbindung herstellen.
Generische USB-Umleitung aktivieren
Um die generische USB-Umleitung zu aktivieren und keine manuelle Umleitung durch den Benutzer zu erfordern, konfigurieren Sie sowohl die Citrix-Richtlinieneinstellungen als auch die Verbindungseinstellungen der Citrix Workspace-App.
In den Citrix-Richtlinieneinstellungen:
-
Fügen Sie die Richtlinie Umleitung von Client-USB-Geräten zu einer Richtlinie hinzu und setzen Sie ihren Wert auf Zulässig.
-
(Optional) Um die Liste der für die Umleitung verfügbaren USB-Geräte zu aktualisieren, fügen Sie die Einstellung Regeln für die Umleitung von Client-USB-Geräten zu einer Richtlinie hinzu und geben Sie die USB-Richtlinienregeln an.
In der Citrix Workspace-App:
-
Geben Sie an, dass Geräte automatisch ohne manuelle Umleitung verbunden werden. Dies können Sie mithilfe einer administrativen Vorlage oder in der Citrix Workspace-App für Windows unter “Einstellungen” > “Verbindungen” tun.
Wenn Sie im vorherigen Schritt USB-Richtlinienregeln für den VDA angegeben haben, geben Sie dieselben Richtlinienregeln für die Citrix Workspace-App an.
Für Thin Clients wenden Sie sich an den Hersteller, um Details zur USB-Unterstützung und zur erforderlichen Konfiguration zu erhalten.
Konfigurieren der für die generische USB-Umleitung verfügbaren USB-Gerätetypen
USB-Geräte werden automatisch umgeleitet, wenn die USB-Unterstützung aktiviert ist und die USB-Benutzereinstellungen so konfiguriert sind, dass USB-Geräte automatisch verbunden werden. USB-Geräte werden auch automatisch umgeleitet, wenn die Verbindungsleiste nicht vorhanden ist.
Benutzer können Geräte, die nicht automatisch umgeleitet werden, explizit umleiten, indem sie die Geräte aus der USB-Geräteliste auswählen. Weitere Informationen finden Sie im Benutzerhilfeartikel der Citrix Workspace-App für Windows, Anzeigen Ihrer Geräte im Desktop Viewer.
Um die generische USB-Umleitung anstelle der optimierten Unterstützung zu verwenden, können Sie entweder:
- In der Citrix Workspace-App das USB-Gerät manuell für die generische USB-Umleitung auswählen und auf der Registerkarte “Geräte” des Dialogfelds “Einstellungen” die Option Auf generisch umschalten wählen.
- Das USB-Gerät automatisch für die generische USB-Umleitung auswählen, indem Sie die automatische Umleitung für den USB-Gerätetyp konfigurieren (z. B. AutoRedirectStorage=1) und die USB-Benutzereinstellungen so festlegen, dass USB-Geräte automatisch verbunden werden. Weitere Informationen finden Sie unter Automatische Umleitung von USB-Geräten konfigurieren.
Hinweis:
Konfigurieren Sie die generische USB-Umleitung nur für die Verwendung mit einer Webcam, wenn die Webcam als inkompatibel mit der HDX-Multimedia-Umleitung befunden wird.
Um zu verhindern, dass USB-Geräte jemals aufgelistet oder umgeleitet werden, können Sie Geräteregeln für die Citrix Workspace-App und den VDA festlegen.
Für die generische USB-Umleitung müssen Sie mindestens die USB-Geräteklasse und -Unterklasse kennen. Nicht alle USB-Geräte verwenden ihre offensichtliche USB-Geräteklasse und -Unterklasse. Zum Beispiel:
- Stifte verwenden die Maus-Geräteklasse.
- Smartcard-Lesegeräte können die herstellerdefinierte oder HID-Geräteklasse verwenden.
Für eine präzisere Steuerung müssen Sie die Hersteller-ID (Vendor ID), Produkt-ID (Product ID) und Release-ID (Release ID) kennen. Diese Informationen erhalten Sie vom Gerätehersteller.
Wichtig:
Bösartige USB-Geräte können USB-Geräteeigenschaften aufweisen, die nicht ihrer beabsichtigten Verwendung entsprechen. Geräteregeln sind nicht dazu gedacht, dieses Verhalten zu verhindern.
Sie steuern die für die generische USB-Umleitung verfügbaren USB-Geräte, indem Sie USB-Geräteumleitungsregeln sowohl für den VDA als auch für die Citrix Workspace-App festlegen, um die Standard-USB-Richtlinienregeln zu überschreiben.
Für den VDA:
- Bearbeiten Sie die Administrator-Überschreibungsregeln für Multi-Session-Betriebssystemmaschinen über Gruppenrichtlinienregeln. Die Gruppenrichtlinien-Verwaltungskonsole ist auf dem Installationsmedium enthalten:
- Für x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- Für x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
In der Citrix Workspace-App für Windows:
- Bearbeiten Sie die Registrierung des Benutzergeräts. Eine administrative Vorlage (ADM-Datei) ist auf dem Installationsmedium enthalten, sodass Sie das Benutzergerät über die Active Directory-Gruppenrichtlinie ändern können: dvd root \os\lang\Support\Configuration\icaclient_usb.adm
Warnung:
Eine fehlerhafte Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.
Die Produktstandardregeln werden unter HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. Bearbeiten Sie diese Produktstandardregeln nicht. Verwenden Sie sie stattdessen als Leitfaden zum Erstellen von Administrator-Überschreibungsregeln, was später in diesem Artikel erläutert wird. Die GPO-Überschreibungen werden vor den Produktstandardregeln ausgewertet.
Die Administrator-Überschreibungsregeln werden unter HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. GPO-Richtlinienregeln haben das Format {Allow:|Deny:}, gefolgt von einer Reihe von tag=value-Ausdrücken, die durch Leerzeichen getrennt sind.
Die folgenden Tags werden unterstützt:
| Tag | Beschreibung | | — | — | | VID | Hersteller-ID aus dem Geräte-Deskriptor | | PID | Produkt-ID aus dem Geräte-Deskriptor | | REL | Release-ID aus dem Geräte-Deskriptor| | Class | Klasse entweder aus dem Geräte-Deskriptor oder einem Schnittstellen-Deskriptor; siehe die USB-Website unter http://www.usb.org/ für verfügbare USB-Klassencodes | | SubClass | Unterklasse entweder aus dem Geräte-Deskriptor oder einem Schnittstellen-Deskriptor | | Prot | Protokoll entweder aus dem Geräte-Deskriptor oder einem Schnittstellen-Deskriptor |
Beachten Sie beim Erstellen von Richtlinienregeln Folgendes:
- Regeln sind nicht zwischen Groß- und Kleinschreibung zu unterscheiden.
- Regeln können am Ende einen optionalen Kommentar haben, der mit
#eingeleitet wird. Ein Trennzeichen ist nicht erforderlich, und der Kommentar wird für Abgleichzwecke ignoriert. - Leere Zeilen und reine Kommentarzeilen werden ignoriert.
- Leerzeichen werden als Trennzeichen verwendet, dürfen aber nicht mitten in einer Zahl oder einem Bezeichner erscheinen. Zum Beispiel ist Deny: Class = 08 SubClass=05 eine gültige Regel, aber Deny: Class=0 Sub Class=05 ist es nicht.
- Tags müssen den Vergleichsoperator
=verwenden. Zum Beispiel VID=1230. - Jede Regel muss in einer neuen Zeile beginnen oder Teil einer durch Semikolons getrennten Liste sein.
Hinweis:
Wenn Sie die ADM-Vorlagendatei verwenden, müssen Sie Regeln in einer einzigen Zeile als durch Semikolons getrennte Liste erstellen.
Beispiele:
-
Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für Hersteller- und Produktkennungen:
Allow: VID=046D PID=C626 # Logitech SpaceNavigator 3D-Maus zulassen Deny: VID=046D # Alle Logitech-Produkte verweigern -
Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für eine definierte Klasse, Unterklasse und ein Protokoll:
Deny: Class=EF SubClass=01 Prot=01 # MS Active Sync-Geräte verweigern Allow: Class=EF SubClass=01 # Sync-Geräte zulassen Allow: Class=EF # Alle USB-Miscellaneous-Geräte zulassen
USB-Geräte verwenden und entfernen
Benutzer können ein USB-Gerät vor oder nach dem Starten einer virtuellen Sitzung anschließen.
Bei Verwendung der Citrix Workspace-App für Windows gilt Folgendes:
- Geräte, die nach Beginn einer Sitzung angeschlossen werden, erscheinen sofort im USB-Menü des Desktop Viewers.
- Wenn ein USB-Gerät nicht ordnungsgemäß umgeleitet wird, können Sie versuchen, das Problem zu beheben, indem Sie warten, bis die virtuelle Sitzung gestartet ist, bevor Sie das Gerät anschließen.
- Um Datenverlust zu vermeiden, verwenden Sie das Windows-Symbol “Hardware sicher entfernen”, bevor Sie das USB-Gerät entfernen.
Sicherheitskontrollen für USB-Massenspeichergeräte
Für USB-Massenspeichergeräte wird eine optimierte Unterstützung bereitgestellt. Diese Unterstützung ist Teil der Clientlaufwerkszuordnung von Citrix Virtual Apps and Desktops. Laufwerke auf dem Benutzergerät werden beim Anmelden der Benutzer automatisch Laufwerksbuchstaben auf dem virtuellen Desktop zugeordnet. Die Laufwerke werden als freigegebene Ordner mit zugeordneten Laufwerksbuchstaben angezeigt. Um die Clientlaufwerkszuordnung zu konfigurieren, verwenden Sie die Einstellung Client removable drives. Diese Einstellung befindet sich im Abschnitt Richtlinieneinstellungen für die Dateiumleitung der ICA-Richtlinieneinstellungen.
Bei USB-Massenspeichergeräten können Sie entweder die Clientlaufwerkszuordnung oder die generische USB-Umleitung oder beides verwenden. Steuern Sie diese mit Citrix-Richtlinien. Die Hauptunterschiede sind:
| Funktion | Clientlaufwerkszuordnung | Generische USB-Umleitung |
|---|---|---|
| Standardmäßig aktiviert | Ja | Nein |
| Schreibgeschützter Zugriff konfigurierbar | Ja | Nein |
| Zugriff auf verschlüsselte Geräte | Ja, wenn die Verschlüsselung vor dem Zugriff auf das Gerät entsperrt wird | Ja |
| BitLocker To Go-Geräte | Nein | Nein |
| Sicheres Entfernen des Geräts während einer Sitzung | Nein | Ja, sofern Benutzer die Empfehlungen des Betriebssystems für das sichere Entfernen befolgen |
Wenn sowohl die generische USB-Umleitung als auch die Clientlaufwerkszuordnungsrichtlinien aktiviert sind und ein Massenspeichergerät vor oder nach dem Start einer Sitzung angeschlossen wird, wird es über die Clientlaufwerkszuordnung umgeleitet. Wenn sowohl die generische USB-Umleitung als auch die Clientlaufwerkszuordnungsrichtlinien aktiviert sind und ein Gerät für die automatische Umleitung konfiguriert ist und ein Massenspeichergerät vor oder nach dem Start einer Sitzung angeschlossen wird, wird es über die generische USB-Umleitung umgeleitet. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123015.
Hinweis:
Die USB-Umleitung wird über Verbindungen mit geringerer Bandbreite unterstützt, z. B. 50 Kbit/s. Das Kopieren großer Dateien funktioniert jedoch nicht.
In diesem Artikel
- Überlegungen zur Leistung von USB-Geräten
- Sicherheitsüberlegungen für USB-Geräte
- Kompatibilität mit generischer USB-Umleitung
- Generische USB-Umleitung konfigurieren
- Generische USB-Umleitung aktivieren
- Konfigurieren der für die generische USB-Umleitung verfügbaren USB-Gerätetypen
- USB-Geräte verwenden und entfernen
- Sicherheitskontrollen für USB-Massenspeichergeräte