Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Konfigurieren der USB-Unterstützung

Nov. 20, 2015

Mit der USB-Unterstützung können Benutzer mit zahlreichen USB-Geräten interagieren, wenn sie mit einem virtuellen Desktop verbunden sind. Benutzer können USB-Geräte an ihren Computer anschließen. Diese werden dann zum virtuellen Desktop umgeleitet. Zu den USB-Geräte, die für Remoting verfügbar sind, gehören Flashlaufwerke, Smartphones, PDAs, Drucker, Scanner, MP3 Player, Sicherheitsgeräte und Tablets.

Isochrone Features in USB-Geräten wie Webkameras, Mikrofonen, Lautsprechern und Headsets werden in typischen LAN-Umgebungen mit geringer Latenz und hoher Geschwindigkeit unterstützt. Dadurch können diese Geräte mit Programmpaketen wie Microsoft Office Communicator und Skype verwendet werden.

Die folgenden Gerätetypen werden direkt in einer XenDesktop-Sitzung unterstützt und verwenden daher keine USB-Unterstützung:

  • Tastaturen
  • Mäuse
  • Smartcards
  • Headsets
  • Webkameras
Hinweis: USB-Spezialgeräte (beispielsweise Bloomberg Tastaturen und 3D-Maus) können für die USB-Unterstützung konfiguriert werden. Weitere Informationen zur Konfiguration von Richtlinienregeln für andere USB-Spezialgeräte finden Sie unter CTX119722.

In der Standardeinstellung werden bestimmte Typen von USB-Geräten nicht für Remoting über XenDesktop unterstützt. Beispielsweise könnte ein Benutzer eine Netzwerkkarte über internes USB mit der Systemplatine verbunden haben. Remoting wäre in diesem Fall nicht angebracht. Die folgenden Typen von USB-Geräten können standardmäßig nicht in einer XenDesktop-Sitzung verwendet werden:

  • Bluetooth-Dongle
  • Integrierte Netzwerkkarten
  • USB-Hubs

Um die Standardliste von USB-Geräten für Remoting zu aktualisieren, bearbeiten Sie die Datei usb.conf in $ICAROOT/. Weitere Informationen finden Sie unter Aktualisieren der für Remoting verfügbaren USB-Geräte-Liste.

Um Remoting von USB-Geräten zu virtuellen Desktops zuzulassen, aktivieren Sie die USB-Richtlinienregel. Weitere Informationen finden Sie in der XenDesktop-Dokumentation.

Funktionsweise der USB-Unterstützung

Wenn ein Benutzer ein USB-Gerät anschließt, wird es anhand der USB-Richtlinie überprüft und, sofern zulässig, an den virtuellen Desktop umgeleitet. Wenn das Gerät von der Standardrichtlinie abgelehnt wird, steht es nur auf dem lokalen Desktop zur Verfügung.

Bei Desktops, auf die über Desktop Appliance Mode zugegriffen wird, erfolgt die automatische Umleitung eines Geräts zum virtuellen Desktop, wenn ein Benutzer ein USB-Gerät anschließt. Der virtuelle Desktop steuert das USB-Gerät und zeigt es auf der Benutzeroberfläche an.

Massenspeichergeräte

Wenn ein Benutzer die Verbindung zu einem virtuellen Desktop trennt, während ein USB-Massenspeichergerät noch am lokalen Desktop angeschlossen ist, wird das Gerät nicht an den virtuellen Desktop umgeleitet, wenn der Benutzer die Verbindung wieder herstellt. Um sicherzustellen, dass das Massenspeichergerät an den virtuellen Desktop umgeleitet wird, muss der Benutzer es entfernen und nach der Wiederherstellung der Verbindung wieder anschließen.

Hinweis: Wenn Sie ein Massenspeichergerät an eine Linux-Workstation anschließen, die Remoteverbindungen von USB-Massenspeichergeräten nicht zulässt, wird das Gerät von der Receiver-Software nicht akzeptiert und es wird möglicherweise ein separater Linux-Dateibrowser geöffnet. Aus diesem Grund empfiehlt Citrix, dass Sie die Benutzergeräte so konfigurieren, dass die Einstellung Wechselmedien beim Einlegen einbinden standardmäßig deaktiviert ist. Verwenden Sie auf Geräten mit Debian die Debian-Menüleiste, indem Sie unter System > Einstellungen > Wechseldatenträger und -medien auf der Registerkarte Speicherort unter Wechseldatenträger das Kontrollkästchen Wechselmedien beim Einlegen einbinden deaktivieren.
Hinweis: Wenn die Serverrichtlinie Client-USB-Geräteumleitung aktiviert ist, werden Massenspeichergeräte wie USB-Geräte umgeleitet, selbst wenn die Clientlaufwerkzuordnung aktiviert ist.

Webkameras

Standardmäßig bietet die HDX RealTime-Webcamvideokomprimierung optimale Webcamleistung. In manchen Situationen jedoch, müssen Benutzer Webcams mit USB-Unterstützung anschließen. Hierzu müssen Sie HDX RealTime-Webkameravideokomprimierung deaktivieren. Weitere Informationen finden Sie unter Konfigurieren von HDX RealTime-Webcamvideokomprimierung

Konfigurieren von Startmodi

Mit "Desktop Appliance Mode" können Sie anpassen, wie ein virtueller Desktop zuvor angeschlossene USB-Geräte behandelt. Stellen Sie auf jedem Benutzergerät in der Datei $ICAROOT/config/module.ini im Abschnitt WfClient die Option DesktopApplianceMode = Boolean wie folgt ein.

TRUE USB-Geräte, die bereits angeschlossen sind, starten, vorausgesetzt dass das Gerät nicht durch eine Verweigernregel in den USB-Richtlinien auf dem Server (Registrierungseintrag) oder dem Benutzergerät (Konfigurationsdatei der Richtlinienregeln) deaktiviert ist.
FALSE Keine USB-Geräte starten.

Standardmäßig zugelassene USB-Klassen

Die folgenden Klassen von USB-Geräten werden von den USB-Standardrichtlinienregeln zugelassen:

Audio (Geräteklasse 01)

Umfasst Mikrofone, Lautsprecher, Kopfhörer und MIDI-Controller.

Physikalische Schnittstelle (Geräteklasse 05)

Diese Geräte ähneln HIDs (Human Interface Devices), bieten jedoch im Allgemeinen Eingabe oder Feedback in Echtzeit, hierzu gehören u. a. Force-Feedback-Joysticks, Bewegungsplattformen und Force-Feedback-Hautskelette.

Bilder (Geräteklasse 06)

Hierzu gehören digitale Kameras und Scanner. Digitale Kameras unterstützen oft die Bilderklasse, in der Bilder mit den Protokollen PTP (Picture Transfer Protocol) oder MTP (Media Transfer Protocol) zu einem Computer oder zu einem anderen Peripheriegerät übertragen werden. Kameras können auch als Massenspeichergeräte angezeigt werden und eine Kamera kann möglicherweise über die Setupmenüs der Kamera für beide Klassen konfiguriert werden.

Hinweis: Wird eine Kamera als Massenspeichergerät angezeigt, wird die Clientlaufwerkszuordnung verwendet und die USB-Unterstützung wird nicht benötigt.

Drucker (Geräteklasse 07)

Die meisten Drucker gehören zu dieser Klasse, obwohl einige herstellerspezifische Protokolle (Klasse ff) verwenden. Mehrfunktionsdrucker haben ggf. einen internen Hub oder sind Composite-Geräte. In beiden Fällen verwendet das Druckerelement meistens die Druckerklasse und das Scanner- oder Faxelement verwendet eine andere Klasse, z. B. Bilder.

Drucker funktionieren normalerweise ohne USB-Unterstützung.

Massenspeicher (Geräteklasse 08)

Die gängigsten Massenspeichergeräte sind USB-Flashlaufwerke sowie über USB angeschlossene Festplatten, CD- bzw. DVD-Laufwerke und SD/MMC-Kartenleser. Außerdem gibt es zahlreiche Geräte mit einem internen Speicher, die auch eine Massenspeicherschnittstelle darstellen, u. a. Medienplayer, digitale Kameras und Mobiltelefone. Bekannte Unterklassen:

  • 01: Begrenzte Flashlaufwerke
  • 02: Normalerweise CD- bzw. DVD-Geräte (ATAPI/MMC-2)
  • 03: Normalerweise Bandgeräte (QIC-157)
  • 04: Normalerweise Diskettenlaufwerke (UFI)
  • 05: Normalerweise Diskettenlaufwerke (SFF-8070i)
  • 06: Die meisten Massenspeichergeräte verwenden diese SCSI-Variante

Der Zugriff auf Massenspeichergeräte erfolgt oft über die Clientlaufwerkszuordnung und USB-Unterstützung wird daher nicht benötigt.

Wichtig: Einige Viren werden aktiv mit allen Typen des Massenspeichers übertragen. Überlegen Sie genau, ob die Verwendung von Massenspeichergeräten entweder über die Clientlaufwerkszuordnung oder die USB-Unterstützung im Unternehmen wirklich erforderlich ist.

Content Security (Geräteklasse 0d)

Content-Security-Geräte erzwingen Inhaltsschutz normalerweise für die Lizenzierung oder das Management digitaler Rechte. Dongles gehören zu dieser Klasse.

Video (Geräteklasse 0e)

Die Videoklasse umfasst Geräte, mit denen Videos und mit Video zusammenhängendes Material manipuliert werden, u. a. Webkameras, digitale Camcorder, analoge Videokonverter, einige Fernsehtuner und einige digitale Kameras, die Videostreaming unterstützen.

Personal Healthcare (Geräteklasse 0f)

Hierzu gehören Geräte zur persönlichen Gesundheitspflege, u. a. Blutdruckmessgeräte, Herzfrequenzmessgeräte, Schrittzähler, Geräte zur Medikamenteneinnahmeüberwachung und Spirometer.

Anwendung und herstellerspezifisch (Geräteklasse fe und ff)

Viele Geräte verwenden herstellerspezifische Protokolle oder Protokolle, die nicht vom USB-Konsortium genormt sind; sie werden normalerweise als herstellerspezifisch (Geräteklasse ff) angezeigt.

In der Standardeinstellung nicht zugelassene USB-Geräteklassen

Die folgenden Klassen von USB-Geräten werden von den USB-Standardrichtlinienregeln nicht zugelassen:

Kommunikation und CDC-Steuerung (Geräteklasse 02 und 0a)

Umfasst Modems, ISDN-Adapter, Netzwerkkarten und einige Telefone und Faxgeräte.

Die USB-Standardrichtlinie lässt diese Geräte nicht zu, da ein Gerät möglicherweise die Verbindung zum virtuellen Desktop bereitstellt.

HID (Human Interface Devices) (Geräteklasse 03)

Umfasst viele Eingabe- und Ausgabegeräte. Typische HIDs sind Tastaturen, Mäuse, Zeigegeräte, Grafiktabletts, Sensoren, Game Controller, Tasten und Steuerfunktionen.

Die Unterklasse 01 wird "Boot Interface"-Klasse genannt und für Tastaturen und Mäuse verwendet.

USB-Tastaturen (Klasse 03, Unterklasse 01, Protokoll 1) oder USB-Mäuse (Klasse 03, Unterklasse 01, Protokoll 2) werden von der USB-Standardrichtlinie nicht zugelassen. Begründung: Die meisten Tastaturen und Mäuse werden ohne USB-Unterstützung ausreichend gehandhabt und werden sowohl lokal als auch remote bei Verbindungen mit einem virtuellen Desktop verwendet.

USB-Hub (Geräteklasse 09)

Mit USB-Hubs können zusätzliche Geräte am lokalen Computer angeschlossen werden. Auf diese Geräte muss nicht remote zugegriffen werden.

Chipkarte (Smartcard) (Geräteklasse 0b)

Zu Smartcardlesegeräten gehören berührungslose und Smartcard-Berührungslesegeräte sowie USB-Token mit einem eingebetteten smartcardäquivalenten Chip.

Der Zugriff auf Smartcardlesegeräte erfolgt nicht mit Smartcard-Remoting und erfordert keine USB-Unterstützung.

Kabelloser Controller (Geräteklasse e0)

Hierzu gehören viele kabellose Controller, u. a. Ultra-Breitband-Controller und Bluetooth.

Einige dieser Geräte stellen u. U. wichtigen Netzwerkzugang bereit oder schließen wichtige Peripheriegeräte an, z. B. Bluetooth-Tastaturen oder -Mäuse.

Die USB-Standardrichtlinie lässt diese Geräte nicht zu. Es kann jedoch Geräte geben, denen Zugriff mit der USB-Unterstützung gegeben werden sollte.

Aktualisieren der für Remoting verfügbaren USB-Geräteliste

Sie können den Umfang der USB-Geräte, die für Remoting auf Desktops zur Verfügung stehen, aktualisieren, indem Sie die Liste der Standardregeln in der Datei usb.conf auf dem Benutzergerät unter $ICAROOT/ bearbeiten.

Sie aktualisieren die Liste, indem Sie neue Richtlinienregeln hinzufügen, die USB-Geräte, die nicht Teil des Standardumfangs sind, zulassen oder ablehnen. Regeln, die von einem Administrator auf diese Weise erstellt wurden, werden beim Start des virtuellen Desktops vor den Standardregeln angewendet. Hierdurch können Sie die von XenDesktop bereitgestellten Standardregeln überschreiben.

Die standardmäßige Richtlinienkonfiguration für nicht zulässige Geräte lautet folgendermaßen:

DENY: class=09 # Hub-Geräte

DENY: class=03 subclass=01 # HID-Bootgerät (Tastaturen und Mäuse)

DENY: class=0b # Smartcard

DENY: class=e0 # Wireless-Controller

DENY: class=02 # Kommunikations- und CDC-Steuerung

DENY: class=03 # UVC (webcam)

DENY: class=0a # CDC-Daten

ALLOW: # Letzter Ausweg: alles andere zulassen

Erstellen von USB-Richtlinienregeln

Tipp: Wenn Sie neue Richtlinienregeln erstellen, verwenden Sie die USB-Klassencodes, die Sie auf der USB-Website unter http://www.usb.org/ finden.

Richtlinienregeln in usb.conf auf dem Benutzergerät haben das Format {ALLOW:|DENY:} gefolgt von einer Reihe von Ausdrücken, die auf Werten für die folgenden Tags basieren:

Tag Beschreibung
VID Vendor-ID vom Gerätedeskriptor
REL Release-ID vom Gerätedeskriptor
PID Produkt-ID vom Gerätedeskriptor
Klasse Klasse vom Gerätedeskriptor oder ein Schnittstellendeskriptor
SubClass Unterklasse vom Gerätedeskriptor oder ein Schnittstellendeskriptor
Prot Protokoll vom Gerätedeskriptor oder ein Schnittstellendeskriptor

Wenn Sie eine neue Richtlinienregel erstellen, beachten Sie Folgendes:

  • Bei Regeln wird die Groß- und Kleinschreibung nicht berücksichtigt.
  • Regeln können optional von einen Kommentar gefolgt werden, der mit # eingeleitet wird. Ein Trennzeichen ist nicht erforderlich, der Kommentar wird beim Abgleichen ignoriert.
  • Leere Zeilen und Kommentare werden ignoriert.
  • Leerzeichen, die als Trennzeichen verwendet werden, werden ignoriert. Sie dürfen aber nicht in einer Zahl oder Kennung verwendet werden. Beispielsweise ist Deny: Class=08 SubClass=05 eine gültige Regel; Deny: Class=0 8 Sub Class=05 hingegen nicht.
  • Tags müssen den Übereinstimmungsoperator = verwenden. Beispielsweise VID=1230.

Beispiel

Das folgende Beispiel zeigt einen Abschnitt der Datei usb.conf auf dem Benutzergerät. Um diese Regeln zu implementieren, müssen dieselben Regeln wie auf dem Server vorhanden sein.

ALLOW: VID=1230 PID=0007 # Weitere Industrie, Weiteres Flash-Laufwerk

DENY: Class=08 SubClass=05 # Massenspeichergeräte

DENY: Class=0D # Alle Sicherheitsgeräte

Back to Top