Designentscheidungen für Remote-PC-Zugriff

Übersicht

Remote-PC-Zugriff ist eine einfache und effektive Möglichkeit, Benutzern den Zugriff auf ihren Büro-basierten, physischen Windows-PC zu ermöglichen. Mit jedem Endpunktgerät können Benutzer unabhängig von ihrem Standort produktiv bleiben. Unternehmen möchten jedoch Folgendes berücksichtigen, wenn sie Remote-PC-Zugriff implementieren.

Bereitstellungsszenarios

Es gibt mehrere Möglichkeiten, einen PC mit einem Benutzer zu verbinden, die jeweils für verschiedene Szenarien gelten.

Büro-Arbeiter

In vielen Bereitstellungen wird Remote-PC-Zugriff in einem Büroarbeiter-Szenario bereitgestellt, in dem ein Benutzer dauerhaft einem PC zugewiesen ist.

Büroangestellte

Dies ist das häufigste Bereitstellungsszenario. Um diesen Anwendungsfall zu implementieren, kann der Administrator den Maschinenkatalogtyp Remote-PC-Zugriff Access-Computer verwenden.

Büroangestellte

Computing-Labore

In bestimmten Situationen müssen Benutzer eine Reihe von Computerressourcen teilen, die häufig in Computerlabors an Schulen, Hochschulen und Universitäten zu finden sind. Benutzer werden nach dem Zufallsprinzip einem verfügbaren physischen PC zugewiesen.

Computing Lab Benutzer

Diese Art der Konfiguration verwendet ein nicht verwaltetes, zufällig zugewiesenes Einzelsitzungs-OS, das wie folgt konfiguriert ist:

  • Verwenden Sie im Maschinenkatalog-Setup-Assistenten Single-Session

Büroangestellte

  • Wählen Sie Maschinen, die nicht mit Strom versorgt werden
  • Wählen Sie eine andere Dienstleistung oder Technologie

Büroangestellte

  • Wählen Sie Ich möchte, dass Benutzer sich bei jeder Anmeldung mit einem neuen (zufälligen) Desktop verbinden.

Büroangestellte

Da es in einem Computerlabor oft mehr Benutzer als PCs gibt, Richtlinien, die Sitzungszeit einschränken werden empfohlen.

Authentifizierung

Benutzer authentifizieren sich weiterhin mit ihren Active Directory-Anmeldeinformationen bei ihrem Office-PC. Da sie jedoch von außerhalb des Bürorums aus über das Internet zugreifen, benötigen Unternehmen in der Regel ein stärkeres Maß an Authentifizierung als nur Benutzername und Kennwort.

Citrix Workspace unterstützt verschiedene zu wählende Authentifizierungsoptionen, einschließlich Active Directory+-Token und Azure Active Directory. Aktuelle unterstützte Authentifizierungsoptionen

Wenn Citrix Gateway als Authentifizierungsoption für Citrix Workspace konfiguriert ist oder wenn ein Kunde Citrix Gateway+Citrix StoreFront als Alternative zu Citrix Workspace verwenden möchte, Citrix Gateway Authentifizierungsoptionen wird die viel größere Auswahl von verfügbar.

Einige dieser Optionen, wie das zeitbasierte Einmalkennwort, erfordern, dass sich der Benutzer zunächst für ein neues Token registriert. Da die Token-Registrierung erfordert, dass der Benutzer auf seine E-Mail zugreifen muss, um seine Identität zu bestätigen, muss sie möglicherweise abgeschlossen werden, bevor der Benutzer versucht, remote zu arbeiten.

Sicherheit von Sitzungen

Benutzer können mit einem nicht vertrauenswürdigen, persönlichen Gerät remote auf ihren Arbeits-PC zugreifen. Unternehmen können integrierte Citrix Virtual Apps and Desktops Richtlinien verwenden, um sich vor folgenden Themen zu schützen:

  • Endpunkt-Risiken: Key Logger, die heimlich auf dem Endpunktgerät installiert sind, können problemlos einen Benutzernamen und ein Kennwort erfassen. Anti-Keylogging-Funktionen schützen Sie das Unternehmen vor gestohlenen Anmeldeinformationen, indem Sie Tastatureingaben verschleiern.
  • Eingehende Risiken: Nicht vertrauenswürdige Endgeräte können Malware, Spyware und andere gefährliche Inhalte enthalten. Die Verweigerung des Zugriffs auf die Laufwerke des Endpunktgeräts verhindert die Übertragung gefährlicher Inhalte an das Unternehmensnetzwerk.
  • Ausgehende Risiken: Unternehmen müssen die Kontrolle über den Inhalt behalten. Wenn Sie Benutzern erlauben, Inhalte auf lokale, nicht vertrauenswürdige Endgeräte zu kopieren, birgt zusätzliche Risiken für das Unternehmen. Diese Funktionen können verweigert werden, indem der Zugriff auf die Laufwerke, Drucker, die Zwischenablage und die Anti-Screen-Capturing-Richtlinien des Endpunkts blockiert wird.

Dimensionierung der Infrastruktur

Hinweis: Die folgenden Größenempfehlungen sind ein guter Ausgangspunkt, aber jede Umgebung ist einzigartig, was zu einzigartigen Ergebnissen führt. Überwachen Sie die Infrastruktur und die Größe entsprechend.

Da Benutzer auf vorhandene Büro-PCs zugreifen, ist nur eine zusätzliche Infrastruktur erforderlich, um das Hinzufügen von Remote-PC-Zugriff zu unterstützen. Es ist jedoch wichtig, dass die Control Layer und die Access Layer-Infrastruktur korrekt dimensioniert und überwacht werden, um sicherzustellen, dass sie nicht zu einem Engpass werden.

Steuerungslayer

Der Virtual Delivery Agent (VDA) auf jedem Office-PC muss sich bei Citrix Virtual Apps and Desktops registrieren. Bei on-premises Bereitstellungen erfolgt die VDA-Registrierung direkt mit einem Delivery Controller, für Citrix Virtual Apps & Desktops Service in Citrix Cloud erfolgt diese Registrierung über einen Citrix Cloud Connector.

Die Dimensionierung von Delivery Controllern oder Cloud Connectors für Remote-PC-Zugriff-Workloads ähnelt VDI-Workloads. Citrix Consulting empfiehlt mindestens N+1-Verfügbarkeit. Leitlinien für die Cloud Connector-Skalierung einschließlich Bedingungen, unter denen Local Host Cache erforderlich sein könnte, finden Sie hier

Zugriffslayer

Wenn ein Benutzer eine HDX-Sitzung auf seinem Büro-PC einrichtet, muss der ICA-Datenverkehr an den VDA weitergeleitet werden. ICA-Proxy kann über Citrix Gateway-Appliances oder Citrix Gateway Service bereitgestellt werden.

Wenn Sie einen on-premises Citrix ADC für Citrix Gateway verwenden, konsultieren Sie das Datenblatt für das jeweilige Modell und beziehen Sie sich als Ausgangspunkt auf den Einzelposten für gleichzeitige Benutzer des SSL VPN/ICA-Proxys. Wenn der ADC andere Workloads verarbeitet, überprüfen Sie, ob sich der aktuelle Durchsatz und die CPU-Auslastung keinen Obergrenzen nähern.

Stellen Sie sicher, dass eine ausreichende Internetbandbreite verfügbar ist, in der sich das Gateway-Gerät befindet, um die erwarteten gleichzeitigen ICA-Sitzungen zu

Bei Verwendung des Gateway-Dienstes aus Citrix Cloud fließt der ICA-Datenverkehr zwischen dem Ressourcenstandort (an dem sich die VDAs und Cloud Connectors befinden) direkt zum Gateway-Dienst. Der Datenverkehr wird entweder von den Cloud Connectors zur Verfügung gestellt (Standard) oder kann direkt vom VDA abfließen, wobei die Cloud Connectors unter Umgehung der Cloud Connectors erfüllt werden können, wenn die Bedingungen für die Verwendung des Rendezvous-Protokolls erfüllt werden können.

Wenn Cloud Connectors verwendet werden, um ICA-Datenverkehr an den Gateway-Dienst weiterzuleiten, kann dies ein Engpass sein, und eine sorgfältige Überwachung von CPU und Speicher auf den Cloud Connector-VMs wird empfohlen. Für anfängliche Planungsschätzungen kann eine Citrix Cloud Connector-VM mit 4 vCPU maximal 1000 gleichzeitige ICA-Proxysitzungen verarbeiten. Das Rendezvous-Protokoll (sofern konfiguriert) ermöglicht es dem auf jedem physischen PC installierten Virtual Delivery Agent, direkt mit dem Gateway-Dienst zu kommunizieren, anstatt die Sitzung über den Cloud Connector zu tunneln.

Bei der Verwendung von Gateway Service empfiehlt Citrix die Verwendung des Rendezvous-Protokolls, um das Problem zu verringern, dass Cloud Connectors ein Engpass für ICA-Proxy darstellt.

Rendezvous-Protokollrichtlinie

Es gibt bestimmte Voraussetzungen, um die Funktion des Rendezvous-Protokoll zu ermöglichen, darunter:

  • Citrix Virtual Apps and Desktops Service
  • VDA-Version 1912 oder höher
  • Eine aktivierte HDX-Richtlinie
  • DNS PTR Records für alle VDAs
  • Spezifische Bestellung der SSL Cipher Suite
  • Direkte (nicht unter Proxy-Betrieb) Internetverbindung vom VDA zum Gateway Service

Verfügbarkeit

Wenn der Büro-PC bei registriertem VDA nicht eingeschaltet ist, kann die Sitzung des Benutzers nicht vermittelt werden. Citrix empfiehlt, Prozesse einzusetzen, um sicherzustellen, dass die Computer, mit denen sich Benutzer verbinden müssen, eingeschaltet sind.

Falls verfügbar, ändern Sie die BIOS-Einstellung des PCs so, dass sie sich bei einem Stromausfall automatisch einschaltet. Administratoren können auch ein Active Directory-Gruppenrichtlinienobjekt konfigurieren, um die Option “Herunterfahren” vom Windows-PCzu entfernen. Dies verhindert, dass der Benutzer den physischen PC herunterfahren kann.

Remote-PC-Zugriff unterstützt auch Wake-On-LAN Vorgänge zum Einschalten von Windows-PCs, die derzeit ausgeschaltet sind. Diese Option erfordert die Verwendung von Microsoft System Center Configuration Manager 2012, 2012 R2 oder 2016.

**Hinweis:** Die Wake-on-LAN-Hosting-Verbindungsfunktionalität von Microsoft Configuration Manager ist bei Verwendung des Citrix Virtual Apps and Desktops Service in Citrix Cloud nicht verfügbar

Benutzerzuweisungen

Es ist wichtig, dass Benutzer jeweils an ihren eigenen Büro-PC vermittelt werden. Nachdem der VDA installiert und der Katalog und die Bereitstellungsgruppe definiert wurden, werden Benutzer automatisch zugewiesen, wenn sie sich das nächste Mal lokal am PC anmelden. Dies ist eine effektive Methode, um Tausende von Benutzern zuzuweisen.

Standardmäßig können mehrere Benutzer einem Desktop zugewiesen werden, wenn sie alle auf demselben physischen PC angemeldet sind. Dies kann jedoch über eine Registrierungsbearbeitung auf den Delivery Controllern deaktiviert werden.

Der Administrator von Citrix Virtual Apps and Desktops kann die Zuweisungen bei Bedarf in Citrix Studio oder über PowerShell ändern. Um mit der Verwendung von PowerShell zum Hinzufügen von Remote-PC-Zugriffs-VDAs zu einer Site und zum Zuweisen von Benutzern zu beginnen, hat Citrix Consulting ein Referenzskript erstellt, das auf der zu finden ist Citrix GitHub Seite.

Virtual Delivery Agent

In diesem Abschnitt werden wichtige Überlegungen zum Umgang mit dem Virtual Delivery Agent-Paket behandelt.

Versionen

Administratoren von Citrix Virtual Apps and Desktops können entweder das Paket VDAWorkstationCoreSetup.exe oder das VDAWorkstationSetup.exe -Paket mit dem Flag /remotePC verwenden. Das Paket VDAWorkstationCoreSetup.exe ist kleiner und enthält nur die für Remote-PC-Zugriff erforderlichen Kernkomponenten, aber insbesondere in Version 1912 und früher schließt die für die Inhaltsumleitung erforderlichen Komponenten aus (weitere Anleitungen finden Sie im Microsoft Teams Abschnitt).

Windows 7 und 8.1

Obwohl Windows 7 nicht mehr unterstützt wird, verfügen viele Unternehmen immer noch über ältere Windows 7-Desktop-Computer. Für die Bereitstellung unter Windows 7 und Windows 8.1 sollten Kunden den LTSR VDA für XenDesktop 7.15 verwenden.

Windows 10

Für die Bereitstellung unter Windows 10 sollten Kunden den Citrix Virtual Apps and Desktops 1912 LTSR VDA oder einen unterstützten Current Release VDA verwenden. Citrix Versionskompatibilität für Windows 10-Builds finden Sie in CTX224843.

Hilfreiche Befehlszeilenoptionen

Bei der Bereitstellung von Remote-PC-Zugriff sind mehrere Befehlszeilenoptionen des VDA-Installationsprogramms zu berücksichtigen, die nützliche Funktionen ermöglichen können.

/remotePC

Wird zusammen mit dem vollständigen VDA-Paket VDAWorkstationSetup.exe verwendet, um nur die für Remote-PC-Zugriff erforderlichen Kernkomponenten zu installieren.

/enable_hdx_ports

Öffnet die erforderlichen Ports für den Cloud Connector und aktivierte Features (mit Ausnahme von Windows-Remoteunterstützung) in der Windows Firewall, wenn der Windows-Firewalldienst erkannt wird, selbst wenn die Firewall nicht aktiviert ist.

/enable_hdx_udp_ports

Öffnet die für den adaptiven HDX-Transport erforderlichen UDP-Ports in der Windows-Firewall, wenn der Windows-Firewalldienst erkannt wird, selbst wenn die Firewall nicht aktiviert ist.

Um die Ports zu öffnen, die der VDA für die Kommunikation mit dem Controller und den aktivierten Funktionen verwendet, geben Sie zusätzlich zur Option /enable_hdx_ports die Option /enable_hdx_udp_ports an.

/enable_real_time_transport

Aktiviert oder deaktiviert die Verwendung von UDP für Audiopakete (RealTime Audio Transport für Audio). Das Aktivieren dieses Features kann die Audioleistung verbessern.

Um die Ports zu öffnen, die der VDA für die Kommunikation mit dem Controller und den aktivierten Funktionen verwendet, geben Sie zusätzlich zur Option /enable_hdx_ports die Option /enable_real_time_transport an.

/includeadditional “Citrix Benutzerprofil-Manager”, “Citrix Benutzerprofil-Manager WMI-Plug-In”

Bei einer Remote-PC-Zugriff Access-Bereitstellung erfordern die meisten Implementierungen keine Profilverwaltung. Citrix User Profile Manager erfasst jedoch auch Performance-Metriken, die für Administratoren nützlich sind, um leistungsbezogene Probleme zu identifizieren und zu beheben. User Profile Manager muss nicht konfiguriert werden, er muss nur bereitgestellt werden, um Metriken zu erfassen.

Nach der Installation ermöglicht der Citrix User Profile Manager Administratoren, Berichte über die Benutzererfahrung, die Reaktionsfähigkeit der Sitzung und Einblicke in die Anmeldungsleistung in Citrix Director und Citrix Analytics for Performance auszuführen.

Logon Leistungsdiagramm

/logpath path

Speicherort der Protokolldateien. Der angegebene Ordner muss existieren, da der Installer ihn nicht erstellt. Der Standardpfad ist “%TEMP%\ Citrix\ XenDesktop Installer”, aber wenn die Installation über SCCM durchgeführt wird, können sich die Protokolldateien je nach Kontext stattdessen im temporären Systemordner befinden.

/optimize

Verwenden Sie dieses Flag NICHT, da es hauptsächlich für von MCS bereitgestellte Maschinen gedacht ist.

Bereitstellung

Um den Virtual Delivery Agent auf Tausenden von physischen PCs bereitzustellen, sind automatisierte Prozesse erforderlich.

Über Scripting

Das Installationsmedium für Citrix Virtual Apps and Desktops enthält ein Bereitstellungsskript (%InstallMedia%\Support\ADDeploy\InstallVDA.bat), das über Active Directory-Gruppenrichtlinienobjekte verwendet werden kann.

Das Skript kann als Baseline für PowerShell-Skripts und Tools für Enterprise Software Deployments (ESD) verwendet werden. Diese Ansätze ermöglichen es Unternehmen, den Agenten schnell auf Tausenden von physischen Endpunkten auszubringen.

Über SCCM

Wenn Sie die VDA-Installation mit einem ESD-Tool wie SCCM oder Altiris automatisieren, können Sie separate Pakete für die Voraussetzungen erstellen und der VDA am besten funktioniert. Weitere Informationen zur VDA-Bereitstellung mit ESD-Tools finden Sie in der Produktdokumentation.

Microsoft Teams

Wenn Benutzer für Sprach- und Videoanrufe auf Microsoft Teams zugreifen, sind Funktionen zur Inhaltsumleitung erforderlich, um eine positive Benutzererfahrung zu schaffen.

Damit die Inhaltsumleitung bei Verwendung von VDA 1912 oder älter verfügbar ist, muss der VDA auf den physischen PCs mit dem vollständigen VDA-Installationsprogramm für eine Sitzung (Standalone VDAWorkstationSetup.exe) mit der /remotepc Befehlszeilenoption bereitgestellt werden.

Beispiel: VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Bei der Bereitstellung von VDA 2003 oder neuer kann stattdessen das VDA-Installationsprogramm für den Core-Einzelsitzungsmodus verwendet werden (Standalone VDAWorkstationCoreSetup.exe).

Beispiel: VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Gemeinsame Netzwerkports

Ähnlich wie bei jedem anderen Citrix VDA gibt es eine Handvoll wichtiger Netzwerkports, die darauf achten, das System zu öffnen. Zur Erinnerung: Der ICA-Datenverkehr muss den Remote-PC-Zugriff vom Citrix ADC aus erreichen, der das externe Citrix Gateway hostet. Eine umfassende Liste der Ports finden Sie in Von Citrix-Technologien verwendete Kommunikationsports.

VDA-Registrierung

Abhängig von der Netzwerktopologie lässt das Subnetz mit den Delivery Controllern für Virtual Apps and Desktops möglicherweise keine Kommunikation zu oder von den physischen PCs zu. Um sich ordnungsgemäß beim Delivery Controller registrieren zu können, muss der VDA auf dem PC mithilfe der folgenden Protokolle in beide Richtungen mit dem Delivery Controller kommunizieren können:

  • VDA zu Controller: Kerberos
  • Controller zu VDA: Kerberos

Wenn sich der VDA nicht beim Controller registrieren kann, lesen Sie den VDA-Registrierung Artikel. Wenn Sie Citrix Cloud verwenden, treten die Cloud Connectors an die Stelle des Delivery Controller.

Weitere Anleitungen

Weitere Designanleitungen einschließlich Überlegungen und Schritten zur Fehlerbehebung finden Sie im Remote-PC-Zugriff Access-Produktdokumentation.

Designentscheidungen für Remote-PC-Zugriff