Optimieren der Konnektivität zu Workspaces mit einer direkten Workloadverbindung

Mit der direkten Workloadverbindung in Citrix Cloud optimieren Sie den internen Datenverkehr zu Apps und Desktops in Workspaces und können so HDX-Sitzungen beschleunigen. In der Regel verbinden sich Benutzer in internen und externen Netzwerken über ein externes Gateway mit VDAs. Mit der direkten Workloadverbindung können interne Benutzer das Gateway umgehen und sich direkt mit VDAs verbinden, wodurch die Latenz für den internen Netzwerkverkehr verringert wird.

Um die direkte Workloadverbindung einzurichten, benötigen Sie Netzwerkspeicherorte, die den VDAs in der Umgebung mit dem Netzwerkpositionsdienst (NLS) entsprechen. Sie haben zwei Möglichkeiten, Netzwerkspeicherorte zu konfigurieren:

  • Menüoption Netzwerkspeicherorte in Citrix Cloud.
  • PowerShell-Modul von Citrix.

Netzwerkspeicherorte entsprechen den öffentlichen IP-Bereichen der Netzwerke, von denen aus interne Benutzer eine Verbindung herstellen (z. B. Ihre Bürostandorte oder Zweigstellen). Citrix Cloud verwendet öffentliche IP-Adressen, um festzustellen, ob Netzwerke, aus denen virtuelle Apps oder Desktops in Workspace gestartet werden, im Unternehmensnetzwerk sind oder außerhalb. Wenn ein Abonnent sich über das interne Netzwerk verbindet, leitet Citrix Cloud die Verbindung direkt an den VDA weiter und umgeht Citrix Gateway. Wenn ein Abonnent eine externe Verbindung herstellt, leitet Citrix Cloud ihn über Citrix Gateway und dann durch den Citrix Cloud Connector an den VDA im internen Netzwerk.

Wichtig:

Wenn es in Ihrer Umgebung neben On-Premises-VDAs auch Citrix Virtual Apps and Desktops Standard für Azure gibt und Sie die direkte Workloadverbindung konfigurieren, schlägt der Start im internen Netzwerk fehl.

Der Start von Secure Browser, Citrix Virtual Apps Essentials und Citrix Virtual Desktops Essentials wird immer über das Gateway geleitet. Bei diesen Starts kommt es daher zu keiner Leistungsverbesserung durch die direkte Workloadverbindung.

Anforderungen

Netzwerkanforderungen

  • Das Unternehmensnetzwerk und Gast-WiFi-Netzwerke müssen separate öffentliche IP-Adressen haben. Wenn Ihr Unternehmens- und Gastnetzwerk dieselbe öffentliche IP-Adresse verwendet, können Benutzer im Gastnetzwerk keine Virtual Apps and Desktops-Sitzung starten.
  • Verwenden Sie die öffentlichen IP-Adressbereiche der Netzwerke, von denen aus interne Benutzer eine Verbindung herstellen. Interne Benutzer in diesen Netzwerken müssen über eine direkte Verbindung zu den VDAs verfügen. Andernfalls schlägt der Start virtueller Ressourcen fehl, da Workspace versucht, interne Benutzer direkt an den VDA weiterzuleiten. Diese Verbindung ist jedoch nicht möglich.

TLS-Anforderungen

TLS 1.2 muss in PowerShell aktiviert sein, wenn Sie Ihre Netzwerkspeicherorte konfigurieren. Um in PowerShell TLS 1.2 zu erzwingen, verwenden Sie den folgenden Befehl, bevor Sie das PowerShell-Modul verwenden:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Workspaceanforderungen

  • Sie haben einen Workspace in Citrix Cloud konfiguriert.
  • Der Virtual Apps and Desktops Service ist unter Workspacekonfiguration > Serviceintegrationen aktiviert.
  • Sie verwenden ON-Premises-VDAs, um Workspace-Abonnenten virtuelle Ressourcen bereitzustellen.

Aktivieren von TLS für Workspace-App für HTML5-Verbindungen

Wenn Ihre Abonnenten die Citrix Workspace-App für HTML5 zum Starten von Apps und Desktops verwenden, empfiehlt Citrix, TLS auf den VDAs im internen Netzwerk zu aktivieren. TLS stellt direkte Verbindungen zu VDAs sicher. Wenn für VDAs TLS nicht aktiviert ist, werden App- und Desktopstarts über das Gateway geleitet, wenn Abonnenten die Citrix Workspace-App für HTML5 verwenden. Starts mit dem Desktop Viewer sind davon nicht betroffen. Weitere Informationen zum Schutz direkter VDA-Verbindungen mit TLS finden Sie unter CTX134123 im Citrix Support Knowledge Center.

Citrix Cloud-Netzwerkspeicherortkonfiguration

Die Konfiguration einer direkten Workloadverbindung über Citrix Cloud umfasst das Erstellen von Netzwerkspeicherorten unter Verwendung der öffentlichen IP-Adressbereiche jedes Zweigstandorts, von dem aus sich interne Benutzer verbinden.

Erstellen eines Netzwerkspeicherorts

  1. Wählen Sie in der Citrix Cloud-Konsole im Hauptmenü Netzwerkspeicherorte. Menüpunkt "Netzwerkspeicherorte"
  2. Wählen Sie oben rechts die Schaltfläche Netzwerkspeicherort hinzufügen. Seite "Netzwerkspeicherorte"
  3. Geben Sie einen Namen, einen öffentlichen IP-Adressbereich und Tags für den Netzwerkspeicherort ein. Hinzufügen eines Netzwerkspeicherorts
  4. Wiederholen Sie diese Schritte für jeden Netzwerkspeicherort, den Sie hinzufügen möchten. Netzwerkspeicherorte

Ändern oder Entfernen von Netzwerkspeicherorten

  1. Wählen Sie in der Citrix Cloud-Konsole im Hauptmenü Netzwerkspeicherorte.
  2. Wählen Sie die Punkte neben dem Netzwerkspeicherort aus, den Sie ändern oder entfernen möchten, und wählen Sie entweder:
    • Bearbeiten, um den Netzwerkspeicherort zu ändern, und dann Speichern, um die Änderungen zu speichern und auf der Seite “” anzuzeigen; oder
    • Löschen, um den Netzwerkspeicherort zu entfernen. Sie werden aufgefordert, das Löschen des Netzwerkspeicherorts zu bestätigen. Sie können diese Aktion nicht rückgängig machen.

PowerShell-Netzwerkspeicherortkonfiguration

Anstelle von Citrix Cloud können Sie das PowerShell-Skript verwenden, um die direkte Workloadverbindung zu konfigurieren. Die Konfiguration der direkten Workloadverbindung mit PowerShell umfasst die folgenden Aufgaben:

  1. Bestimmen Sie die öffentlichen IP-Adressbereiche der einzelnen Zweigstellen, von denen interne Benutzer eine Verbindung herstellen.
  2. Download des PowerShell-Moduls.
  3. Erstellen Sie einen sicheren API-Client in Citrix Cloud und notieren Sie sich die Client-ID und den geheimen Clientschlüssel.
  4. Importieren Sie das PowerShell-Modul und stellen Sie eine Verbindung zum Netzwerkpositionsdienst (NLS) mit Ihren API-Clientdetails her.
  5. Erstellen Sie NLS-Sites für jeden Ihrer Zweigstellen mit den öffentlichen IP-Adressbereichen, die Sie zuvor festgelegt haben. Die direkte Workloadverbindung wird automatisch für alle Starts aktiviert, die von den von Ihnen angegebenen internen Netzwerkspeicherorten stammen.
  6. Starten Sie eine App oder einen Desktop von einem Gerät in Ihrem internen Netzwerk und prüfen Sie, ob die Verbindung direkt zum VDA geht, also das Gateway umgeht.

Download des PowerShell-Moduls

Vor dem Einrichten Ihrer Netzwerkspeicherorte laden Sie das von Citrix bereitgestellte PowerShell-Modul (nls.psm1) aus dem Citrix GitHub-Repository herunter. Mit diesem Modul können Sie beliebig viele Netzwerkspeicherorte für Ihre VDAs einrichten.

  1. Navigieren Sie in einem Webbrowser zu https://github.com/citrix/sample-scripts/blob/master/workspace/nls.psm1.
  2. Klicken Sie bei gedrückter ALT-Taste auf die Schaltfläche Raw. Github-Dateiansicht mit markierter Schaltfläche "Raw"
  3. Wählen Sie einen Speicherort auf Ihrem Computer und klicken Sie auf Speichern.

Erforderliche Konfigurationsdetails

Zum Einrichten Ihrer Netzwerkspeicherorte sind folgende Informationen erforderlich:

  • Kunden-ID, Client-ID und Clientgeheimnis für den sicheren Client in Citrix Cloud. Informationen zum Abrufen dieser Werte finden Sie unter Erstellen eines sicheren Clients in diesem Artikel.
  • Öffentliche IP-Adressbereiche für die Netzwerke, von denen Ihre internen Benutzer eine Verbindung herstellen. Weitere Informationen zu diesen öffentlichen IP-Adressbereichen finden Sie unter Anforderungen in diesem Artikel.

Erstellen eines sicheren Clients

  1. Melden Sie sich bei Citrix Cloud auf https://citrix.cloud.com an.
  2. Wählen Sie im Menü “Citrix Cloud” Identitäts- und Zugriffsverwaltung und dann API-Zugriff.
  3. Notieren Sie sich die Kunden-ID auf der Registerkarte Sichere Clients. Sichere Clients-Konsole mit markierter Kunden-ID
  4. Geben Sie einen Namen für den Client ein und wählen Sie Client erstellen.
  5. Kopieren Sie die Client-ID und das Clientgeheimnis. Dialogfeld mit ID und Geheimnis für sicheren Client

Konfigurieren von Netzwerkspeicherorten

  1. Öffnen Sie ein PowerShell-Befehlsfenster und navigieren Sie zum Verzeichnis, in dem Sie das PowerShell-Modul gespeichert haben.
  2. Importieren Sie das Modul: Import-Module .\nls.psm1 -Force
  3. Legen Sie die erforderlichen Variablen fest. Verwenden Sie hierfür die Angaben zum sicheren Client, die Sie unter Erstellen eines sicheren Clients erfasst haben:
    • $clientId = "YourSecureClientID"
    • $customer = "YourCustomerID"
    • $clientSecret = "YourSecureClientSecret"
  4. Verbinden Sie sich mit den Anmeldeinformationen für Ihren sicheren Client mit dem Netzwerkpositionsdienst:

    Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer
    
  5. Erstellen Sie einen Netzwerkspeicherort und ersetzen Sie die Parameterwerte durch die Werte für das interne Netzwerk, von dem Ihre internen Benutzer eine direkte Verbindung herstellen:

    New-NLSSite -name "YourSiteName" -tags @("YourTags") -ipv4Ranges @("PublicIpsOfYourNetworkSites") -longitude 12.3456 -latitude 12.3456
    

    Um keinen Bereich, sondern eine einzelne IP-Adresse anzugeben, fügen Sie /32 am Ende der IP-Adresse hinzu. Beispiel:

    New-NLSSite -name "YourSiteName" -tags @("YourTags") -ipv4Ranges @("PublicIpOfYourNetworkSite/32") -longitude 12.3456 -latitude 12.3456
    

    Wichtig:

    Wenn Sie den Befehl New-NLSSite verwenden, müssen Sie für jeden Parameter mindestens einen Wert einfügen. Wenn Sie diesen Befehl ohne Befehlszeilenargumente ausführen, werden Sie von PowerShell aufgefordert, für jeden Parameter nacheinander die entsprechenden Werte einzugeben. Wenn Sie Werte für den Parameter -tags eingeben, müssen Sie nach der Eingabe jedes Tag-Wertes die Eingabetaste drücken. Nach der Eingabe aller Tags drücken Sie erneut die Eingabetaste, um zum nächsten Parameter zu wechseln.

    Wenn der Netzwerkspeicherort erfolgreich erstellt wurde, werden im Befehlsfenster die Details des Netzwerkspeicherorts angezeigt.

  6. Wiederholen Sie Schritt 5 für alle Netzwerkspeicherorte, von denen die Benutzer eine Verbindung herstellen.
  7. Der Befehl Get-NLSSite gibt eine Liste aller Sites zurück, die Sie mit NLS konfiguriert haben. Überprüfen Sie, ob die Details korrekt sind.

Überprüfen der fehlerfreien Weiterleitung interner Startvorgänge

Verwenden Sie eine der folgenden Methoden, um zu überprüfen, ob interne Starts direkt auf VDAs zugreifen:

  • Zeigen Sie VDA-Verbindungen über die Virtual Apps and Desktops-Konsole an.
  • Überprüfen Sie mit der ICA-Dateiprotokollierung die korrekte Adressierung der Clientverbindung.

Virtual Apps and Desktops Service-Konsole

Wählen Sie Verwalten > Überwachen und suchen Sie einen Benutzer mit aktiver Sitzung. Im Abschnitt “Sitzungsdetails” der Konsole werden direkte VDA-Verbindungen als UDP-Verbindungen angezeigt, während Gateway-Verbindungen als TCP-Verbindungen angezeigt werden.

ICA-Dateiprotokollierung

Aktivieren Sie die ICA-Dateiprotokollierung auf dem Clientcomputer wie unter Aktivieren der Protokollierung für die Datei launch.ica beschrieben. Überprüfen Sie nach dem Start von Sitzungen die Einträge Address und SSLProxyHost in der Protokolldatei.

Bei direkten VDA-Verbindungen enthält die Eigenschaft Address die IP-Adresse und den Port des VDA und die Eigenschaft SSLProxyHost den FQDN und Port des VDA.

Bei Gateway-Verbindungen enthält die Eigenschaft Address das STA-Ticket und die Eigenschaft SSLProxyHost den FQDN und Port des Gateways.

Ändern von Netzwerkspeicherorten

Ändern eines Netzwerkspeicherorts:

  1. Listen Sie alle vorhandenen Netzwerkspeicherorte in einem PowerShell-Befehlsfenster auf: Get-NLSSite
  2. Zum Ändern des IP-Bereichs für einen bestimmten Netzwerkspeicherort geben Sie ein:

    (Get-NLSSite)[N] -ipv4Ranges @("1.2.3.4/32","4.3.2.1/32") | Set-NLSSite

    Dabei ist [N] die Ziffer, die der Position in der Liste entspricht (beginnend mit Null) und "1.2.3.4/32","4.3.2.1/32" sind die durch Kommas getrennten IP-Bereiche, die Sie verwenden möchten. Um beispielsweise den ersten aufgelisteten Standort zu ändern, geben Sie folgenden Befehl ein:

    (Get-NLSSite)[0] -ipv4Ranges @("98.0.0.1/32","141.43.0.0/24") | Set-NLSSite

Entfernen von Netzwerkspeicherorten

Wenn Sie Netzwerkspeicherort entfernen müssen, die Sie nicht mehr verwenden, gehen Sie folgendermaßen vor:

  1. Listen Sie alle vorhandenen Netzwerkspeicherorte in einem PowerShell-Befehlsfenster auf: Get-NLSSite
  2. Um alle Netzwerkspeicherorte zu entfernen, geben Sie ein: Get-NLSSite | Remove-NLSSite
  3. Um bestimmte Netzwerkspeicherorte zu entfernen, geben Sie ein: (Get-NLSSite)[N] | Remove-NLSSite. Dabei ist [N] die Ziffer, die der Position in der Liste entspricht. Um beispielsweise den ersten aufgelisteten Standort zu entfernen, geben Sie folgenden Befehl ein: (Get-NLSSite)[0] | Remove-NLSSite

Beispielskript

Das Beispielskript enthält alle Befehle, die Sie zum Hinzufügen, Ändern und Entfernen der öffentlichen IP-Adressbereiche für Ihre Zweigstellen benötigen. Sie müssen jedoch nicht alle Befehle ausführen, um eine einzelne Funktion auszuführen. Damit das Skript ausgeführt werden kann, müssen Sie stets die ersten 10 Zeilen angeben, von Import-Module bis einschließlich Connect-NLS. Anschließend können Sie nur die Befehle für die Funktionen angeben, die Sie ausführen möchten.

Import-Module .\nls.psm1 -Force

$clientId = "XXXX" #Durch Ihre Client-ID ersetzen
$clientSecret = "YYY"    #Durch Ihren geheimen Clientschlüssel ersetzen
$customer = "CCCCCC"  #Durch Ihre Kunden-ID ersetzen

# Verbindung zum Netzwerkpositionsdienst herstellen
Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer

# Neue Netzwerkpositionsdienstsite erstellen (Fügen Sie die entsprechenden Details für Ihre Filialstandorte ein)
New-NLSSite -name "New York" -tags @("EastCoast") -ipv4Ranges @("1.2.3.0/24") -longitude 40.7128 -latitude -74.0060

# Vorhandene Netzwerkpositionsdienstsites abrufen (optional)
Get-NLSSite

# IP-Adressbereiche Ihrer ersten Netzwerkpositionsdienstsite aktualisieren (optional)
$s = (Get-NLSSite)[0]
$s.ipv4Ranges = @("1.2.3.4/32","4.3.2.1/32")
$s | Set-NLSSite

# Alle Netzwerkpositionsdienstsites entfernen (optional)
Get-NLSSite | Remove-NLSSite

# Ihre dritte Site entfernen (optional)
(Get-NLSSite)[2] | Remove-NLSSite

Problembehandlung

Fehler beim VDA-Start

Wenn VDA-Sitzungen nicht gestartet werden, müssen Sie sicherstellen, dass Sie öffentliche IP-Adressbereiche aus dem richtigen Netzwerk verwenden. Beim Konfigurieren Ihrer Netzwerkspeicherorte müssen Sie die öffentlichen IP-Adressbereiche des Netzwerks verwenden, von dem Ihre internen Benutzer eine Verbindung herstellen. Weitere Informationen finden Sie unter Anforderungen in diesem Artikel.

Um die öffentliche IP-Adresse eines VDAs zu überprüfen, melden Sie sich bei jeder VDA-Maschine an, rufen Sie https://google.com auf und geben Sie in der Suchleiste “what is my ip” ein.

Interne VDA-Starts werden weiterhin über das Gateway geleitet

Wenn intern gestartete VDA-Sitzungen weiterhin über das Gateway geleitet werden (als wären sie externe Sitzungen), müssen Sie sicherstellen, dass Sie die richtigen IP-Adressbereiche für die Netzwerke verwenden, von denen Ihre internen Benutzer eine Verbindung herstellen. Dies sind in der Regel öffentliche IP-Adressbereiche, die den Netzwerken entsprechen, in denen sich Ihre VDAs befinden; Benutzer können aber auch über ein VPN auf die VDAs zugreifen. Verwenden Sie nicht die lokalen IP-Adressen der VDAs. Weitere Informationen finden Sie unter Anforderungen in diesem Artikel.

Um die öffentliche IP-Adresse eines VDAs zu überprüfen, melden Sie sich bei jeder VDA-Maschine an, rufen Sie https://google.com auf und geben Sie in der Suchleiste “what is my ip” ein.

Fehler beim Ausführen von PowerShell-Cmdlets auf Nicht-Windows-Plattformen

Wenn beim Ausführen von Cmdlets mit den richtigen Parametern in PowerShell Core Fehler auftreten, stellen Sie sicher, dass der Vorgang erfolgreich ausgeführt wurde. Wenn beispielsweise beim Ausführen des Cmdlets “New-NLSSite” Fehler auftreten, führen Sie Get-NLSSite aus, um zu prüfen, ob die Site erstellt wurde. Beim Ausführen dieser Cmdlets unter macOS oder Linux mit PowerShell Core werden evtl. Fehler gemeldet, obwohl der Vorgang erfolgreich ausgeführt wurde.

Wenn das Problem beim Ausführen von Cmdlets mit den richtigen Parametern unter Windows mit PowerShell auftritt, stellen Sie sicher, dass Sie die neueste PowerShell-Modul-Version verwenden. Bei Verwendung der neuesten Version des PowerShell-Moduls tritt dieses Problem unter Windows nicht auf.

Zusätzliche Hilfe und Unterstützung

Wenn Sie Hilfe oder Fragen zur Problembehandlung benötigen, wenden Sie sich an Ihren Citrix Vertriebsmitarbeiter oder Citrix Support.

Optimieren der Konnektivität zu Workspaces mit einer direkten Workloadverbindung