Sesiones
El mantenimiento de la actividad de las sesiones es fundamental para ofrecer la mejor experiencia de uso. La pérdida de conectividad debido a redes poco fiables, a una latencia de red muy variable y a limitaciones del alcance de los dispositivos inalámbricos puede provocar frustración en el usuario. Poder cambiar rápidamente de un dispositivo a otro y acceder al mismo conjunto de aplicaciones cada vez que se inicie sesión es prioritario para muchos empleados móviles, como sería el caso de los trabajadores del sector de la salud.
Las funciones que se describen en este artículo optimizan la fiabilidad de las sesiones y reducen las molestias, los períodos de inactividad y la pérdida de productividad; con estas funciones, los usuarios móviles pueden trasladarse de unos equipos a otros fácil y rápidamente.
Además, puede cerrar la sesión o desconectar a un usuario, así como configurar el preinicio y la persistencia de sesiones. Para obtener más información, consulte Administrar grupos de entrega.
Fiabilidad de la sesión
Cuando la conectividad de red se ve interrumpida, la fiabilidad de la sesión mantiene las sesiones activas y en la pantalla del usuario. Los usuarios siguen viendo la aplicación que están utilizando hasta que vuelve la conexión.
Esta función es especialmente útil para usuarios móviles con conexiones inalámbricas. Pensemos, por ejemplo, en un usuario con una conexión inalámbrica que se encuentra viajando en un tren y entra en un túnel, y pierde por un momento la conectividad. Por lo general, la sesión se desconecta y desaparece de la pantalla del usuario y después debe conectarse de nuevo. Con la función Fiabilidad de la sesión, la sesión permanece activa en la máquina. Para indicar la pérdida de conectividad, la pantalla del usuario se congela y el cursor se convierte en un reloj de arena giratorio hasta que se recupera la conectividad al salir del túnel. El usuario sigue teniendo acceso a la presentación en pantalla durante la interrupción y puede reanudar la interacción con la aplicación después de restablecerse la conexión de red. La función Fiabilidad de la sesión vuelve a conectar a los usuarios sin pedirles que repitan la autenticación.
Los usuarios de la aplicación Citrix Workspace no pueden anular la configuración de Controller.
Puede usar la función de fiabilidad de la sesión con Transport Layer Security (TLS). TLS cifra solo los datos enviados entre el dispositivo de usuario y Citrix Gateway.
Habilite y configure la fiabilidad de la sesión con las siguientes configuraciones de directiva:
- La configuración de directiva Conexiones de fiabilidad de la sesión permite o impide la fiabilidad de la sesión.
- La configuración de directiva Tiempo de espera de fiabilidad de la sesión tiene un tiempo predeterminado de 180 segundos, o tres minutos. Aunque puede ampliar el tiempo en que la fiabilidad de la sesión mantiene abierta una sesión, esta función está diseñada para mayor comodidad del usuario. Por lo tanto, no pide al usuario que vuelva a autenticarse. A medida que prolonga el tiempo que una sesión se mantiene abierta, aumentan las probabilidades de que un usuario se distraiga y se aleje de su dispositivo. Estas acciones pueden dejar la sesión accesible para usuarios no autorizados.
- Las conexiones entrantes de fiabilidad de la sesión utilizan el puerto 2598 a menos que usted cambie el número de puerto definido en la configuración de directiva Número de puerto para fiabilidad de la sesión.
- Para evitar que los usuarios reconecten con sesiones interrumpidas sin tener que repetir la autenticación, utilice la función Reconexión automática de clientes. Puede definir la configuración de la directiva Autenticación para Reconexión automática de clientes de manera que solicite a los usuarios que repitan la autenticación cuando vuelvan a conectarse a las sesiones interrumpidas.
Si usa tanto la fiabilidad de la sesión como la reconexión automática de clientes, las dos actúan de manera secuencial. La fiabilidad de la sesión cierra o desconecta la sesión de usuario después de trascurrido el tiempo que se especifica en la configuración de directiva Tiempo de espera de fiabilidad de la sesión. A continuación, se aplicará la configuración de directiva de Reconexión automática de clientes y se intentará reconectar al usuario con la sesión desconectada.
Reconexión automática de clientes
Con la función de reconexión automática de clientes, la aplicación Citrix Workspace puede detectar desconexiones accidentales de las sesiones ICA y volver a conectar automáticamente a los usuarios de las sesiones afectadas. Cuando esta función está habilitada en el servidor, los usuarios no tienen que volver a conectarse de forma manual para continuar trabajando.
En sesiones de aplicación, la aplicación Citrix Workspace trata de reconectarse a la sesión hasta que lo logra o el usuario cancela el intento de reconexión.
En sesiones de escritorio, la aplicación Citrix Workspace intenta reconectarse a la sesión durante un período de tiempo especificado, a menos que lo logre o el usuario cancele el intento de reconexión. De forma predeterminada, este período es de cinco minutos. Para cambiar este período, modifique el siguiente parámetro del Registro en el dispositivo de usuario (donde seconds
es la cantidad de segundos después de los que no hay más intentos para volver a conectarse a la sesión).
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
Habilite y configure la Reconexión automática de clientes con las siguientes configuraciones de directiva:
- Reconexión automática de clientes: Habilita o inhabilita la reconexión automática de la aplicación Citrix Workspace cuando una sesión se ve interrumpida.
- Autenticación para Reconexión automática de clientes: Habilita o inhabilita el requisito de autenticación del usuario después de la reconexión automática.
- Registro de Reconexión automática de clientes: Habilita o inhabilita el registro de sucesos de reconexión en el registro de sucesos. El registro de sucesos está inhabilitado de forma predeterminada. Si está habilitado, los registros de sistema del servidor capturan información sobre sucesos de reconexión automática correctos y fallidos. Cada servidor almacena información sobre los sucesos de reconexión en su propio registro de sistema. El sitio no proporciona los registros combinados de sucesos de reconexión que han tenido lugar en todos los servidores.
Reconexión automática de clientes incorpora un mecanismo de autenticación basado en credenciales de usuario cifradas. Cuando un usuario inicia una primera sesión, el servidor cifra y guarda en memoria las credenciales de usuario. Además, el servidor crea y envía a la aplicación Citrix Workspace una cookie que contiene la clave de cifrado. La aplicación Citrix Workspace envía la clave al servidor para la reconexión. El servidor descifra las credenciales y las envía al inicio de sesión de Windows para su autenticación. Cuando caducan las cookies, los usuarios deben repetir la autenticación para volver a conectarse a las sesiones.
Las cookies no se usan si se habilita la configuración Autenticación para Reconexión automática de clientes. En este caso, en su lugar, los usuarios ven un cuadro de diálogo que les solicita sus credenciales cuando la aplicación Citrix Workspace intenta reconectarse automáticamente.
Para lograr la máxima protección de las credenciales y las sesiones del usuario, utilice el cifrado para todas las comunicaciones entre los clientes y el sitio.
Inhabilite la función Reconexión automática de clientes en la aplicación Citrix Workspace para Windows mediante el archivo icaclient.adm. Para obtener más información, consulte la documentación correspondiente a su versión de la aplicación Citrix Workspace para Windows.
Las configuraciones de las conexiones también influyen en la función de reconexión automática de clientes:
- De forma predeterminada, la reconexión automática de clientes se habilita a través de las configuraciones de directiva en el nivel del sitio, como se describió anteriormente. No es necesario repetir la autenticación de los usuarios. Sin embargo, si la conexión ICA TCP del servidor está configurada para restablecer sesiones con un vínculo de comunicación interrumpido, la reconexión automática no se produce. La reconexión automática de clientes solo funciona si el servidor desconecta sesiones cuando existe alguna conexión interrumpida o que ha superado el tiempo de espera. En este contexto, la conexión ICA TCP hace referencia a un puerto virtual del servidor (en lugar de una conexión de red real) que se utiliza para las sesiones en redes TCP/IP.
- De manera predeterminada, la conexión ICA TCP de un servidor está configurada para desconectar sesiones cuya conexión se haya interrumpido o haya superado el tiempo de espera. Las sesiones desconectadas permanecen intactas en la memoria del sistema y la aplicación Citrix Workspace puede volver a conectarse a ellas.
- La conexión se puede configurar para restablecer o cerrar sesiones cuya conexión se haya interrumpido o haya superado el tiempo de espera. Cuando una sesión se restablece, los intentos de reconexión inician una nueva sesión. No obstante, en lugar de restaurar al usuario a la posición en que se encontraba en la aplicación en uso, la aplicación se reinicia.
- Si el servidor está configurado para restablecer sesiones, la reconexión automática de clientes crea otra sesión. En este proceso, el usuario debe introducir sus credenciales para iniciar sesión en el servidor.
- Es posible que la reconexión automática no se lleve a cabo si la aplicación Citrix Workspace o el plugin envían una información de autenticación incorrecta; por ejemplo, durante un ataque o si el servidor determina que ha transcurrido demasiado tiempo desde que se detectó la interrupción de la conexión.
ICA Keep-Alive
La habilitación de ICA Keep-Alive impide que las conexiones interrumpidas se desconecten. Cuando está habilitada, si el servidor no detecta ninguna actividad, esta funcionalidad impide que Servicios de Escritorio remoto desconecten esa sesión. Ejemplos de ninguna actividad incluyen ningún cambio en el reloj, ningún movimiento del puntero ni actualizaciones de pantalla. El servidor envía paquetes de Keep-Alive cada pocos segundos a fin de detectar si la sesión está activa. Si la sesión ya no está activa, el servidor la marca como desconectada.
Importante:
La función ICA Keep-Alive solo funciona si no se usa la función Fiabilidad de la sesión. Fiabilidad de la sesión tiene su propio mecanismo para impedir que las conexiones interrumpidas se desconecten. Configure ICA Keep-Alive únicamente para las conexiones que no usen Fiabilidad de la sesión.
Los parámetros de ICA Keep-Alive sobrescriben los parámetros de Keep-Alive configurados en la directiva de grupo de Windows.
Habilite y configure ICA Keep-Alive con las siguientes configuraciones de directiva:
-
Tiempo de espera de ICA Keep Alive: Especifica el intervalo de envío de mensajes de ICA Keep-Alive (de 1 a 3600 segundos). No seleccione esta opción si desea que su software de supervisión de red cierre las conexiones inactivas en los entornos en los que las conexiones interrumpidas son tan poco frecuentes que permitir que los usuarios se vuelvan a conectar a las sesiones no es relevante.
El intervalo predeterminado es 60 segundos: los paquetes de ICA Keep-Alive se envían a los dispositivos de usuario cada 60 segundos. Si un dispositivo del usuario no responde en 60 segundos, el estado de las sesiones ICA cambia a “Desconectado”.
-
ICA Keep Alive: Envía o impide el envío de mensajes de ICA Keep-Alive.
Control del espacio de trabajo
Con el control del espacio de trabajo, los escritorios y las aplicaciones permanecen disponibles para el usuario cuando éste pasa de un dispositivo a otro. Esta capacidad para moverse entre dispositivos permite que un usuario pueda acceder a todos sus escritorios o aplicaciones abiertas, desde cualquier lugar, simplemente iniciando una sesión, sin tener que reiniciar dichos escritorios y aplicaciones cuando cambia de dispositivo. Por ejemplo: el control del espacio de trabajo puede ser muy útil para los trabajadores de un hospital, que se desplazan rápidamente entre estaciones de trabajo y necesitan acceder al mismo conjunto de aplicaciones cada vez que inician una sesión. Si configura las opciones de control del espacio de trabajo con este propósito, estos trabajadores pueden desconectarse de varias aplicaciones en un dispositivo cliente y reconectarse a las mismas en un dispositivo cliente distinto.
El control del espacio de trabajo afecta a las siguientes actividades:
- Inicio de sesión: De manera predeterminada, el control del espacio de trabajo permite a los usuarios reconectarse automáticamente a todos los escritorios y las aplicaciones que estén ejecutándose simplemente iniciando una sesión, sin tener que volver a abrirlos manualmente. Mediante el control del espacio de trabajo, los usuarios pueden abrir aplicaciones y escritorios desconectados, además de otros que estén activos en otro dispositivo cliente. Cuando el usuario se desconecta de una aplicación o de un escritorio, estos siguen ejecutándose en el servidor. Si hay usuarios móviles que deben mantener en ejecución ciertas aplicaciones o escritorios en un dispositivo cliente mientras se reconectan con un subconjunto de sus aplicaciones y escritorios en otro dispositivo cliente distinto, puede configurar el comportamiento de reconexión durante el inicio de sesión para que se abran solo los escritorios y aplicaciones de los que se haya desconectado el usuario anteriormente.
- Reconexión: Después de iniciar una sesión en el servidor, los usuarios pueden reconectarse a todos sus escritorios o aplicaciones en cualquier momento haciendo clic en Reconectar. De manera predeterminada, la función Reconectar abre los escritorios y aplicaciones desconectados, además de los que estén ejecutándose en ese momento en otro dispositivo cliente. Puede configurar la función Reconectar para que abra solo los escritorios y aplicaciones de los que se desconectó el usuario anteriormente.
- Cierre de sesión: En el caso de usuarios que abren aplicaciones o escritorios mediante StoreFront, puede configurar el comando Cerrar sesión para que el usuario cierre su sesión en StoreFront y en todas las sesiones activas, o bien para que solo cierre la sesión en StoreFront.
- Desconexión: Los usuarios se pueden desconectar de todos los escritorios y aplicaciones a la vez, sin necesidad de desconectarse de cada uno de ellos individualmente.
El control del espacio de trabajo solamente está disponible para los usuarios de la aplicación Citrix Workspace que acceden a escritorios y aplicaciones a través de una conexión de Citrix StoreFront. De manera predeterminada, el control del espacio de trabajo está inhabilitado para las sesiones de escritorio virtual, pero está habilitado para las aplicaciones alojadas en servidores. El uso compartido de sesiones no se produce de manera predeterminada entre los escritorios publicados y las aplicaciones publicadas que se ejecutan en esos escritorios.
Las directivas de usuario, asignaciones de unidad cliente y configuraciones de impresora cambian según sea necesario al cambiar el usuario de dispositivo cliente. Las directivas y asignaciones se aplican según el dispositivo cliente donde el usuario haya iniciado sesión. Por ejemplo: un trabajador sanitario cierra sesión en un dispositivo ubicado en la sala de emergencias y, a continuación, inicia sesión en una estación de trabajo del laboratorio de rayos X. Las directivas, las asignaciones de impresoras y las asignaciones de unidades de cliente correspondientes de la sesión en el laboratorio de rayos X entran en vigor al iniciarse la sesión.
Puede personalizar qué impresoras se muestran a los usuarios cuando éstos cambian de ubicación. También puede controlar si los usuarios pueden imprimir en impresoras locales, cuánto ancho de banda pueden consumir cuando se conectan de forma remota, así como otros aspectos de la impresión.
Si desea más información sobre cómo habilitar y configurar el control del espacio de trabajo para los usuarios, consulte la documentación de StoreFront.
Itinerancia de sesiones
Nota:
Esta información le guía para configurar la itinerancia de sesiones mediante PowerShell. En su lugar, puede utilizar Web Studio. Para obtener más información, consulte Administrar grupos de entrega.
De forma predeterminada, las sesiones se mueven con el usuario entre los diferentes dispositivos cliente. Cuando el usuario inicia una sesión y, más tarde, cambia de dispositivo, se utiliza la misma sesión y las aplicaciones están disponibles en ambos dispositivos. Las aplicaciones se mueven, independientemente del dispositivo o de si las sesiones actuales existen. A menudo, las impresoras y otros recursos asignados a la aplicación también se mueven.
Aunque este comportamiento predeterminado ofrece muchas ventajas, es posible que no sea el mejor para todos los casos. Puede impedir la movilidad de sesión mediante el SDK de PowerShell.
Ejemplo 1. Un miembro del personal médico usa dos dispositivos: uno para completar un formulario del seguro en un equipo de escritorio y otro para consultar información sobre un paciente en una tableta.
- Si la movilidad de sesión está habilitada, ambas aplicaciones aparecerán en ambos dispositivos (una aplicación iniciada en un dispositivo es visible en todos los dispositivos en uso). Es posible que este comportamiento no cumpla los requisitos de seguridad.
- Si se inhabilita la movilidad de sesión, el registro del paciente no aparecerá en el equipo de escritorio y el formulario del seguro no aparecerá en la tableta.
Ejemplo 2. Un director de producción inicia una aplicación en su equipo de oficina. La ubicación y el nombre del dispositivo determinan qué impresoras y otros recursos están disponibles para esa sesión. Más tarde en la misma jornada laboral, el director va a una oficina situada en el edificio contiguo con el objetivo de asistir a una reunión para la que necesitará usar una impresora.
- Cuando la movilidad de sesión está habilitada, posiblemente el director de producción no podrá acceder a las impresoras de la sala de la reunión porque las aplicaciones que inició antes, en su oficina, resultaron en la asignación de impresoras y otros recursos cercanos a esa ubicación.
- Cuando la movilidad de sesión está inhabilitada, cuando inicie sesión en otra máquina (con las mismas credenciales), se iniciará una nueva sesión y las impresoras y los recursos cercanos estarán disponibles.
Configuración de movilidad de sesión
Para configurar la movilidad de sesión, use los siguientes cmdlets de la regla de directiva de derechos con la propiedad “SessionReconnection”. Opcionalmente, también puede especificar la propiedad “LeasingBehavior”.
Para sesiones de escritorio:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Para sesiones de aplicación:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Donde value
puede ser uno de los siguientes valores:
- Always: Las sesiones siempre se mueven, independientemente del dispositivo cliente y si la sesión está conectada o desconectada. Este es el valor predeterminado.
- DisconnectedOnly: Reconectarse solo a sesiones que ya se han desconectado; de lo contrario, iniciar una nueva sesión. (Las sesiones pueden moverse entre dispositivos cliente primero desconectándolos, o bien mediante el control del espacio de trabajo para moverlas explícitamente.) Una sesión activa conectada desde otro dispositivo cliente no se utiliza nunca. En su lugar, se inicia una nueva sesión.
- SameEndpointOnly: El usuario obtiene una sesión única para cada dispositivo que use. Esto inhabilita completamente la movilidad. Los usuarios solo pueden volver a conectarse al mismo dispositivo que usaron anteriormente en la sesión.
La propiedad “LeasingBehavior” se describe más adelante.
Efectos de otras opciones de configuración:
La inhabilitación de la movilidad de sesión se ve afectada por el límite para aplicaciones Permitir una sola instancia de aplicación por usuario en las propiedades de aplicación, en el grupo de entrega.
- Si inhabilita la movilidad de sesión, inhabilite el límite para aplicaciones “Permitir una sola instancia de aplicación por usuario”.
- Si habilita el límite para aplicaciones “Permitir una sola instancia de aplicación por usuario”, no configure uno de los dos valores que permiten sesiones nuevas en dispositivos nuevos.
Intervalo de inicio de sesión
Si una máquina virtual que contiene un escritorio VDA se cierra antes de que se complete el proceso de inicio de sesión, se puede asignar más tiempo al proceso. El valor predeterminado para 7.6 y versiones posteriores es de 180 segundos, mientras que el predeterminado para versiones de 7.0 a 7.5 es de 90 segundos.
En la máquina (o la imagen maestra utilizada en un catálogo de máquinas), defina la siguiente clave de Registro:
Clave:HKLM\SOFTWARE\Citrix\PortICA
- Valor:
AutoLogonTimeout
- Tipo:
DWORD
- Especifique un número decimal en segundos que vaya de 0 a 3600.
Si cambia una imagen maestra, actualice el catálogo.
Esta configuración se aplica solo a las máquinas virtuales con agentes VDA de escritorio. Microsoft controla el tiempo de espera de inicio de sesión en las máquinas con servidores VDA.