XenApp and XenDesktop

Überlegungen zu USB und Clientlaufwerk

HDX-Technologie bietet optimierte Unterstützung für die gebräuchlichsten USB-Geräte. Hierzu gehören:

  • Monitore
  • Mäuse
  • Tastaturen
  • VoIP-Telefone
  • Headsets
  • Webcams
  • Scanner
  • Kameras
  • Drucker
  • Laufwerke
  • Smartcardleser
  • Grafiktablets
  • Signaturtablets

Die optimierte Unterstützung bietet eine verbesserte Benutzererfahrung, Leistung und Bandbreiteneffizienz über ein WAN. Die optimierte Unterstützung ist normalerweise, insbesondere aber in Umgebungen mit hoher Latenz oder hohen Sicherheitsanforderungen, die beste Option.

HDX-Technologie bietet generische USB-Umleitung für Spezialgeräte ohne optimierte Unterstützung oder wenn diese ungeeignet ist. Beispiele:

  • Ein USB-Gerät hat Merkmale, die nicht von der optimierten Unterstützung abgedeckt werden, z. B. eine Maus oder Webcam mit zusätzlichen Tasten.
  • Benutzer benötigen Funktionen, die nicht von der optimierten Unterstützung abgedeckt werden, z. B. das Brennen von CDs.
  • Bei dem USB-Gerät handelt es sich um ein Spezialgerät, z. B. ein Test- oder Messgerät oder ein industrielles Steuergerät.
  • Eine Anwendung erfordert direkten Zugriff auf das Gerät als USB-Gerät.
  • Für das USB-Gerät gibt es nur einen Windows-Treiber. Ein Smartcardleser kann beispielsweise keinen Treiber für Citrix Receiver für Android haben.
  • Die Version von Citrix Receiver bietet keine optimierte Unterstützung für solche USB-Geräte.

Vorteile von generischer USB-Umleitung:

  • Benutzer müssen keine Gerätetreiber auf den Benutzergeräten installieren.
  • USB-Clienttreiber werden auf der VDA-Maschine installiert.

Hinweis:

  • Die generische USB-Umleitung kann zusammen mit der optimierten Unterstützung verwendet werden. Wenn Sie die generische USB-Umleitung aktivieren, konfigurieren Sie Einstellungen für die Citrix Richtlinie “USB-Geräte” für die generische USB-Umleitung und für die optimierte Unterstützung, um inkonsistentes und unerwartetes Verhalten zu verhindern.
  • Die Citrix Richtlinieneinstellung Regeln für die USB-Clientgeräteoptimierung ist eine spezifische Einstellung für die generische USB-Umleitung für ein bestimmtes USB-Gerät. Es handelt sich hierbei nicht um die hier beschriebene optimierte Unterstützung.
  • Das verwandte Feature Client-USB-Geräteumleitung für Plug & Play-Geräte bietet optimierte Unterstützung für Geräte wie Kameras und Medienplayer, die Picture Transfer Protocol (PTP) oder Media Transfer Protocol (MTP) verwenden. Die Client-USB-Geräteumleitung für Plug & Play-Geräte ist nicht Teil der generischen USB-Umleitung. Eine Liste der unterstützten VDA-Versionen finden Sie unter Standardrichtlinieneinstellungen.

Überlegungen zur Leistung für USB-Geräte

Bei der generischen Umleitung bestimmter USB-Gerätetypen können sich Netzwerklatenz und Bandbreite auf die Benutzererfahrung und den USB-Gerätebetrieb auswirken. Die Funktion zeitempfindlicher Geräte kann beispielsweise bei geringer Bandbreite und hoher Latenz gestört werden. Verwenden Sie, falls möglich, stattdessen die optimierte Unterstützung.

Einige Geräte erfordern eine hohe Bandbreite, z. B. 3D-Mäuse (die mit bandbreitenintensiven 3D-Anwendungen verwendet werden). Sie können Leistungsprobleme durch Citrix Richtlinien vermeiden. Weitere Informationen finden Sie unter Einstellungen der Richtlinie “Bandbreite” für die Client-USB-Geräteumleitung und unter Einstellungen der Richtlinie “Multistreamverbindungen”.

Überlegungen zur Sicherheit für USB-Geräte

Einige USB-Geräte sind von Haus aus sicherheitsempfindlich, z. B. Smartcardleser, Fingerabdruckleser und Signatur-Tablets. Andere, etwa USB-Speichergeräte, können zur Übertragung vertraulicher Daten verwendet werden.

USB-Geräte werden häufig zur Verbreitung von Schadsoftware verwendet. Über die Konfiguration von Citrix Receiver, XenApp und XenDesktop können entsprechende Sicherheitsrisiken vermindert, jedoch nicht eliminiert werden Dies gilt sowohl für die generische USB-Umleitung als auch für die optimierte Unterstützung.

Wichtig

Verwenden Sie für sicherheitsempfindliche Geräte und Daten immer sichere HDX-Verbindungen mit TLS oder IPsec.

Aktivieren Sie nur Unterstützung für USB-Geräte, die Sie benötigen. Konfigurieren Sie die generische USB-Umleitung und die optimierte Unterstützung für diese Anforderungen.

Informieren Sie die Benutzer über die sichere Verwendung von USB-Geräten: nur USB-Geräte von vertrauenswürdigen Quellen, USB-Geräte in offen zugänglichen Umgebungen nicht unbeaufsichtigt lassen (z. B. USB-Flashlaufwerk im Internetcafé), Risiken der Verwendung von USB-Geräten auf mehreren Computern.

Kompatibilität mit der generischen USB-Umleitung

Die generische USB-Umleitung unterstützt USB 2.0- und ältere Geräte. Die generische USB-Umleitung unterstützt außerdem USB 3.0-Geräte, wenn diese an einem USB 2.0- oder USB 3.0-Anschluss angeschlossen sind. Die generische USB-Umleitung bietet keine Unterstützung für USB-Features wie Super Speed, die mit USB 3.0 eingeführt wurden.

Folgende Citrix Receiver-Versionen unterstützen die generische USB-Umleitung:

Informationen zu den Citrix Receiver-Versionen finden Sie in der Citrix Receiver-Featurematrix.

Wenn Sie eine ältere Citrix Receiver-Version verwenden, konsultieren Sie die zugehörige Dokumentation zu Informationen über die Unterstützung der generischen USB-Umleitung. Die Dokumentation zu Citrix Receiver enthält Informationen zu jeglichen Einschränkungen für unterstützte USB-Gerätetypen.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Desktopbetriebssysteme ab Version 7.6 bis zur aktuellen Version.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Serverbetriebssysteme ab Version 7.6 bis zur aktuellen Version unter folgenden Bedingungen:

  • Der VDA muss unter Windows Server 2012 R2 oder Windows Server 2016 ausgeführt werden.
  • Der USB-Gerätetreiber muss mit dem Remotedesktop-Sitzungshost für Windows 2012 R2 einschließlich Virtualisierung vollständig kompatibel sein.

Einige USB-Gerätetypen werden nicht von der generischen USB-Umleitung unterstützt, da ihre Umleitung nicht nützlich wäre:

  • USB-Modems
  • USB-Netzwerkadapter
  • USB-Hubs. Mit USB-Hubs verbundene USB-Geräte werden separat behandelt.
  • Virtuelle USB-COM-Anschlüsse. Verwenden Sie hierfür statt der generischen USB-Umleitung die COM-Anschlussumleitung.

Weitere Informationen zu USB-Geräten, für die die generische USB-Umleitung getestet wurde, finden Sie unter CTX123569. Einige USB-Geräte funktionieren bei generischer USB-Umleitung nicht einwandfrei.

Konfigurieren der generischen USB-Umleitung

Sie können festlegen, für welche USB-Gerätetypen die generische USB-Umleitung verwendet werden soll. Dies kann separat konfiguriert werden:

Diese separate Konfiguration ist flexibler. Beispiel:

  • Wenn zwei verschiedene Abteilungen für Citrix Receiver und VDA verantwortlich sind, können sie eigene Vorgaben festlegen. Diese gelten dann, wenn ein Benutzer in einer Abteilung auf eine Anwendung in einer anderen Abteilung zugreift.
  • Wenn USB-Geräte nur für bestimmte Benutzer oder nur für Benutzer, die eine Verbindung über das LAN anstelle von NetScaler Gateway herstellen, zugelassen werden sollen, kann die entsprechende Steuerung über Citrix Richtlinieneinstellungen erfolgen.

Aktivieren der generischen USB-Umleitung

Zum Aktivieren der generischen USB-Umleitung konfigurieren Sie Citrix Richtlinieneinstellungen und Citrix Receiver.

Führen Sie in den Citrix Richtlinieneinstellungen folgende Schritte aus:

  1. Fügen Sie die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie den Wert auf Zugelassen ein.

    lokalisiertes Bild

  2. Optional: Zum Aktualisieren der Liste der zur Umleitung verfügbaren USB-Geräte fügen Sie die Einstellung Regeln für die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie die USB-Richtlinienregeln ein.

    Gehen Sie in Citrix Receiver folgendermaßen vor:

  3. Aktivieren Sie die USB-Unterstützung, wenn Sie Citrix Receiver auf Benutzergeräten installieren. Sie können eine administrative Vorlage verwenden oder die Einstellung unter “Citrix Receiver für Windows > Einstellungen > Verbindungen” festlegen.

lokalisiertes Bild

Wenn Sie im vorigen Schritt die USB-Richtlinienregeln für den VDA festgelegt haben, geben Sie nun die gleichen Richtlinienregeln für Citrix Receiver ein.

Informationen zur USB-Unterstützung Für Thin Clients und die erforderliche Konfiguration erhalten Sie vom Hersteller.

Konfigurieren der für die generische USB-Umleitung verfügbaren USB-Gerätetypen

USB-Geräte werden automatisch umgeleitet, wenn die USB-Unterstützung aktiviert ist und die USB-Einstellungen für eine automatische Verbindung der USB-Geräte konfiguriert wurden. USB-Geräte werden auch automatisch umgeleitet, wenn das Gerät im Modus “Desktop Appliance” ist und der Verbindungsbalken nicht angezeigt wird.

Die Benutzer können Geräte, die nicht automatisch umgeleitet werden, explizit umleiten, indem sie sie aus der USB-Geräteliste auswählen. Eine Anleitung hierzu enthält der Artikel zum Anzeigen von Geräten in Desktop Viewer in der Hilfe für Citrix Receiver für Windows.

lokalisiertes Bild

Verwendung der generischen USB-Umleitung anstelle der optimierten Unterstützung:

  • Wählen Sie in Citrix Receiver das USB-Gerät für die generische USB-Umleitung manuell aus und wählen Sie im Dialogfeld “Einstellungen” auf der Registerkarte “Geräte” die Option Zu allgemein wechseln.
  • Wählen Sie das USB-Gerät für die generische USB-Umleitung automatisch, indem Sie die automatische Umleitung für den entsprechenden USB-Gerätetyp konfigurieren (z. B. AutoRedirectStorage=1) und die USB-Benutzereinstellung auf die automatische Verbindung der USB-Geräte festlegen. Weitere Informationen finden Sie unter CTX123015.

Hinweis:

Konfigurieren Sie die generische USB-Umleitung für Webcams nur dann, wenn die Webcam nicht mit der HDX-Multimediaumleitung kompatibel ist.

Um zu verhindern, dass USB-Geräte je aufgeführt oder umgeleitet werden, können Sie für Citrix Receiver und den VDA spezifische Regeln festlegen.

Für die generische USB-Umleitung benötigen Sie mindestens die USB-Geräteklasse und die Unterklasse. Nicht für alle USB-Geräte wird die Geräteklasse bzw. Unterklasse verwendet, die man vermuten würde. Beispiel:

  • Für Stifte wird die Klasse “Maus” verwendet.
  • Für Smartcardleser kann eine vom Hersteller definierte Klasse oder die Klasse “HID-Geräte” gelten.

Zur präziseren Steuerung müssen Sie außerdem die Hersteller-, Produkt- und Release-ID kennen. Sie erhalten diese Informationen beim Vertreiber des Geräts.

Wichtig

Manipulierte USB-Geräte können USB-Gerätemerkmale präsentieren, die nicht ihrer beabsichtigten Nutzung entsprechen. Geräteregeln sind nicht zur Verhinderung solcher Fälle vorgesehen.

Die für die generische USB-Umleitung verfügbaren USB-Geräte legen Sie über Regeln für die Client-USB-Geräteumleitung für den VDA und Citrix Receiver fest, welche die USB-Standardrichtlinienregeln außer Kraft setzen.

VDA:

  • Bearbeiten Sie die Administrator-Überschreibungsregeln der Serverbetriebssystemmaschinen mit den Gruppenrichtlinienregeln. Die Gruppenrichtlinien-Verwaltungskonsole ist auf dem Installationsmedium enthalten:
    • Für x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • Für x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

Citrix Receiver für Windows:

  • Bearbeiten Sie die Benutzergeräteregistrierung. Eine administrative Vorlage (ADM-Datei) ist auf dem Installationsmedium enthalten, sodass Sie das Gerät über die Active Directory-Gruppenrichtlinie ändern können: dvd root \os\lang\Support\Configuration\icaclient_usb.adm.

Warnung

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Die Produktstandardregeln sind in HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. Ändern Sie diese Produktstandardregeln nicht. Verwenden Sie sie als Anleitung zum Erstellen von Administrator-Überschreibungsregeln, wie nachfolgend beschrieben. Die GPO-Überschreibungen werden ausgewertet, bevor die Produktstandardregeln angewendet werden.

Die Administrator-Override-Regeln sind in HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. GPO-Richtlinienregeln haben das Format {Allow:|Deny:} gefolgt von Tag=Wert-Ausdrücken, die durch Leerzeichen getrennt sind.

Die folgenden Tags werden unterstützt:

Tag Beschreibung
VID Vendor-ID vom Gerätedeskriptor
PID Produkt-ID vom Gerätedeskriptor
REL Release-ID vom Gerätedeskriptor
Klasse Klasse vom Gerätedeskriptor oder einem Schnittstellendeskriptor; verfügbare USB-Klassencodes finden Sie auf der USB-Website unter https://www.usb.org/.
SubClass Unterklasse vom Gerätedeskriptor oder ein Schnittstellendeskriptor
Prot Protokoll vom Gerätedeskriptor oder ein Schnittstellendeskriptor

Wenn Sie neue Richtlinienregeln erstellen, beachten Sie Folgendes:

  • Bei Regeln wird die Groß- und Kleinschreibung nicht berücksichtigt.
  • Regeln können optional von einen Kommentar gefolgt werden, der mit # eingeleitet wird. Ein Trennzeichen ist nicht erforderlich, der Kommentar wird beim Abgleichen ignoriert.
  • Leere Zeilen und Kommentare werden ignoriert.
  • Leerzeichen dienen als Trennzeichen, sie können nicht in einer Zahl oder Kennung verwendet werden. Beispielsweise ist Deny: Class = 08 SubClass=05 eine gültige Regel, Deny: Class=0 Sub Class=05 hingegen nicht.
  • Tags müssen den Übereinstimmungsoperator = verwenden. Beispielsweise VID=1230.
  • Jede Regel muss auf einer neuen Zeile beginnen oder Teil einer durch Semikolon getrennten Liste sein.

Hinweis:

Wenn Sie die ADM-Vorlagendatei verwenden, müssen Sie die Regeln in einer einzigen Zeile mit Semikolons getrennt eingeben.

Beispiele:

  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für Hersteller- und Produkt-IDs:

     Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse
                    Deny: VID=046D # Deny all Logitech products
     <!--NeedCopy-->
    
  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für eine definierte Klasse, Unterklasse und ein Protokoll:

      Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices
              Allow: Class=EF SubClass=01 # Allow Sync devices
              Allow: Class=EF # Allow all USB-Miscellaneous devices
     <!--NeedCopy-->
    

Verwenden und Entfernen von USB-Geräten

Benutzer können ein USB-Gerät vor oder nach dem Starten einer virtuellen Sitzung anschließen.

Wenn Sie mit Citrix Receiver für Windows arbeiten, gilt Folgendes:

  • Geräte, die nach dem Sitzungsbeginn angeschlossen werden, werden unmittelbar im USB-Menü von Desktop Viewer angezeigt.
  • Wenn ein USB-Gerät nicht richtig umgeleitet wird, können Sie das Problem u. U. beheben, indem Sie das Gerät erst nach dem Beginn der virtuellen Sitzung anschließen.
  • Um Datenverlust zu verhindern, verwenden Sie das Windows-Symbol “Hardware sicher entfernen”, bevor Sie das USB-Gerät entfernen.

Steuerung der Sicherheit für USB-Massenspeichergeräte

Die optimierte Unterstützung steht für USB-Massenspeichergeräte zur Verfügung. Sie ist Teil der XenApp- und XenDesktop-Clientlaufwerkzuordnung. Laufwerke auf Benutzergeräten werden automatisch Laufwerksbuchstaben auf dem virtuellen Desktop zugeordneten, wenn Benutzer sich anmelden. Die Laufwerke werden als freigegebene Ordner mit zugeordneten Laufwerksbuchstaben angezeigt. Um Clientlaufwerkzuordnung zu konfigurieren, verwenden Sie die Einstellung Clientwechseldatenträger im Abschnitt Dateiumleitung der ICA-Richtlinieneinstellungen.

Für USB-Massenspeichergeräte können Sie die Clientlaufwerkzuordnung, die generische USB-Umleitung oder beides über Citrix Richtlinien verwenden. Die Hauptunterschiede sind folgende:

Feature Clientlaufwerkszuordnung Generische USB-Umleitung
Diese Option ist in der Standardeinstellung aktiviert. Ja Nein
Konfigurierbare Leserechte Ja Nein
Verschlüsselter Gerätezugriff Ja, wenn die Verschlüsselung vor dem Zugriff auf das Gerät entsperrt wird Nein
Sicheres Entfernen des Geräts in einer Sitzung Nein Ja, unter der Voraussetzung, dass Benutzer den Empfehlungen des Betriebssystems zum sicheren Entfernen von Geräten folgen.

Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der Clientlaufwerkzuordnung umgeleitet. Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind, für ein Gerät die automatische Umleitung konfiguriert wurde (siehe https://support.citrix.com/article/CTX123015) und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der generischen USB-Umleitung umgeleitet.

Hinweis:

Die USB-Umleitung wird für Verbindungen mit geringer Bandbreite (z. B. 50 KBit/s) unterstützt, das Kopieren großer Dateien funktioniert jedoch nicht.

Steuerung des Dateizugriffs bei der Clientlaufwerkzuordnung

Sie können steuern, ob Benutzer Dateien von ihren virtuellen Umgebungen auf ihre Benutzergeräte kopieren können. Standardmäßig ist in der Sitzung Lese-/Schreibzugriff auf Dateien und Ordner auf zugeordneten Clientlaufwerken möglich.

Um zu verhindern, dass Benutzer Dateien und Ordner auf zugeordneten Clientlaufwerken hinzufügen oder ändern, aktivieren Sie die Richtlinieneinstellung Schreibgeschützter Zugriff auf Clientlaufwerke. Wenn Sie diese Einstellung einer Richtlinie hinzufügen, müssen Sie die Einstellung Clientlaufwerkumleitung auf Zugelassen festlegen und zur Richtlinie hinzufügen.