Optimizar la conectividad con los espacios de trabajo mediante el servicio de ubicación de red (Technical Preview)

Nota:

Esta función se encuentra actualmente en Technical Preview. Citrix recomienda utilizar funciones de Technical Preview solamente en entornos de prueba.

Con el servicio de ubicación de red en Citrix Cloud, puede optimizar el tráfico interno dirigido a las aplicaciones y escritorios que pone a disposición de los espacios de trabajo de los suscriptores para agilizar las sesiones HDX. Normalmente, tanto los usuarios de redes internas como los de redes externas tienen que conectarse a VDA a través de una puerta de enlace externa. Aunque esto sea lo normal para usuarios externos, los usuarios internos tienen conexiones más lentas a recursos virtuales. El servicio de ubicación de red permite a los usuarios internos omitir la puerta de enlace y conectarse directamente a los VDA, lo que reduce la latencia del tráfico de las redes internas.

Para configurar el servicio de ubicación de red, configure las ubicaciones de red que correspondan a los VDA de su entorno mediante el módulo de PowerShell del servicio de ubicación de red que proporciona Citrix. Estas ubicaciones de red incluyen los rangos de direcciones IP públicas de las redes desde las que se conectarán los usuarios internos. Cuando los suscriptores inician sesiones de Virtual Apps and Desktops desde sus espacios de trabajo, Citrix Cloud detecta si los suscriptores son internos o externos a la red de la empresa en función de la dirección IP pública de la red desde la que se conectan. Si un suscriptor se conecta desde la red interna, Citrix Cloud redirige la conexión directamente al VDA sin pasar por Citrix Gateway. Si un suscriptor se conecta externamente, Citrix Cloud redirige el suscriptor a Citrix Gateway como se esperaba y, a continuación, lo reenvía al VDA de la red interna.

Productos compatibles

El servicio de ubicación de red solo es compatible con Virtual Apps and Desktops Service. La compatibilidad con Citrix Managed Desktops y Citrix SD-WAN se encuentra en Technical Preview.

Importante:

Si su entorno incluye Managed Desktops junto con VDA locales, la configuración del servicio de ubicación de red provoca un error en los inicios de Managed Desktops que tienen lugar en la red interna.

Los inicios de Secure Browser, Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials siempre se redirigen a la puerta de enlace. Por lo tanto, estos inicios no mejoran el rendimiento de la configuración del servicio de ubicación de red.

Requisitos

Requisitos de la red

  • Si tiene una red corporativa y una red Wi-Fi de invitados, dichas redes deben tener direcciones IP públicas independientes. Si sus redes corporativas y de invitados comparten la misma dirección IP pública, los usuarios de la red de invitados no podrán iniciar sesiones de Virtual Apps and Desktops.
  • Deberá utilizar los rangos de direcciones IP públicas de las redes desde las que se conectarán los usuarios internos. Los usuarios internos de estas redes deben tener una conexión directa con los VDA. De lo contrario, los recursos virtuales fallarán al iniciarse, ya que los usuarios internos se redirigirán directamente al VDA, lo que no será posible.

Requisitos de TLS

TLS 1.2 debe estar habilitado en PowerShell para conectarse correctamente al servicio de ubicación de red. Para obligar a PowerShell que utilice TLS 1.2, use este comando:

```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```

Requisitos del espacio de trabajo

Debe tener un espacio de trabajo configurado en Citrix Cloud; el servicio Virtual Apps and Desktops Service se habilita en Configuración del espacio de trabajo > Integraciones de servicios y debe utilizar agentes VDA locales para entregar recursos virtuales a los suscriptores del espacio de trabajo.

Habilitar TLS para la aplicación Workspace para conexiones HTML5

Si sus suscriptores utilizan la aplicación Citrix Workspace para HTML5 para iniciar aplicaciones y escritorios, debe tener habilitado TLS en los VDA de su red interna para que las conexiones directas a dichos VDA funcionen. TLS es un componente necesario debido a que las conexiones no seguras entre el cliente interno y el VDA no están permitidas en sitios HTTPS donde la aplicación Workspace está alojada. Si los agentes VDA no tienen TLS habilitado, el servicio de ubicación de red provoca un fallo en las conexiones directas de los usuarios internos con el visor HTML5 y los suscriptores no pueden iniciar sus aplicaciones y escritorios. Los inicios que utilizan Desktop Viewer no se ven afectados. Para obtener más información acerca de cómo proteger las conexiones directas de VDA con TLS, consulte CTX134123 en Knowledge Center de Citrix Support.

Configuración y módulo de PowerShell

Descargar el módulo de PowerShell

Antes de configurar las ubicaciones de red, descargue el módulo de PowerShell del servicio de ubicación de red (nls.psm1) suministrado por Citrix desde el repositorio de GitHub para Citrix. Con este módulo, puede configurar tantas ubicaciones de red como sea necesario para los VDA.

  1. Desde un explorador web, vaya a https://github.com/citrix/sample-scripts/blob/master/workspace/nls.psm1.
  2. Presione ALT mientras hace clic en el botón Raw. Vista del archivo de GitHub con el botón Raw resaltado
  3. Seleccione una ubicación en la máquina y haga clic en Save.

Detalles de configuración requeridos

Para configurar las ubicaciones de red, necesita la siguiente información:

  • El ID de cliente seguro de Citrix Cloud, el ID de cliente y el secreto de cliente. Para obtener estos valores, consulte Crear un cliente seguro en este artículo.
  • Rangos de direcciones IP públicas de las redes desde las que se conectarán los usuarios internos. Para obtener más información acerca de estos rangos de direcciones IP públicas, consulte Requisitos en este artículo.

Puede crear un script para introducir estos valores, como se muestra en el Ejemplo de script. También puede introducir estos valores a través de la línea de comandos de PowerShell, como se describe Configurar ubicaciones de red en este artículo.

Nota:

El módulo de PowerShell incluye una zona horaria codificada. Aunque esta zona horaria no afecta a la funcionalidad del módulo de las ubicaciones de red, puede cambiarla modificando las líneas de la 67 a la 71 del archivo nls.psm1.

Ejemplo de script

El script de ejemplo incluye todos los comandos que puede necesitar para agregar, modificar y quitar los rangos de direcciones IP públicas de las ubicaciones de sucursal. Sin embargo, no es necesario ejecutar todos los comandos para realizar una sola función. Para que se ejecute el script, incluya siempre las primeras 10 líneas, desde Import-Module hasta Connect-NLS. Después, puede incluir solo los comandos de las funciones que desea realizar.

Import-Module .\nls.psm1 -Force
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

$clientId = "XXXX" #Replace with your clientId
$clientSecret = "YYY"    #Replace with your clientSecret
$customer = "CCCCCC"  #Replace with your customerid


# Connect to Network Location Service
Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer

# Create a new Network Location Service Site (Replace with details corresponding to your branch locations)
New-NLSSite -name "New York" -tags @("EastCoast") -timezone "America/New_York" -ipv4Ranges @("1.2.3.0/24") -longitude 40.7128 -latitude -74.0060

# Get the existing Network Location Service Sites
Get-NLSSite

# Create and update a Network Location Service Site
$s = (Get-NLSSite)[0]
$s.ipv4Ranges = @("1.2.3.4/32","4.3.2.1/32")
$s | Set-NLSSite

# Remove all Network Location Service Sites
Get-NLSSite | Remove-NLSSite

(Get-NLSSite)[2] | Remove-NLSSite

Crear un cliente seguro

  1. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.
  2. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Acceso a API.
  3. En la ficha Clientes seguros, anote su ID de cliente. Consola de Secure Client con el ID de cliente resaltado
  4. Escriba un nombre para el cliente y, a continuación, seleccione Crear cliente.
  5. Copie el ID del cliente y el secreto del cliente. Cuadro de diálogo con el ID y el secreto de Secure Client

Configurar ubicaciones de red

  1. Abra una ventana de comandos de PowerShell y vaya hasta el mismo directorio donde guardó el módulo de PowerShell.
  2. Importe el módulo: Import-Module .\nls.psm1 -Force
  3. Establezca las variables requeridas con su información de cliente seguro desde Crear un cliente seguro:
    • $clientId = "YourSecureClientID"
    • $customer = "YourCustomerID"
    • $clientSecret = "YourSecureClientSecret"
  4. Conéctese al servicio de ubicación de red con sus credenciales de cliente seguro:

    Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer
    
  5. Cree una ubicación de red. Para ello, sustituya los valores de los parámetros por los valores que corresponden a la red interna desde la que los usuarios internos se conectarán directamente:

    New-NLSSite -name "YourSiteName" -tags @("YourTags") -timezone "YourLocationTimezone" -ipv4Ranges @("ExternalIpsOfYourNetworkSites") -longitude 12.3456 -latitude 12.3456
    
  6. Compruebe que la información de la ubicación de red que acaba de introducir es correcta: Get-NLSSite
  7. Repita los pasos 5 y 6 para todas las ubicaciones de red desde las que se conectarán los usuarios.

Verificar que los inicios internos se enrutan correctamente

Para comprobar que los inicios internos acceden directamente a los VDA, utilice uno de los métodos siguientes:

  • Consulte las conexiones de VDA en la consola de Citrix Virtual Apps and Desktops.
  • Utilice el registro de archivos ICA para verificar la dirección correcta de la conexión del cliente.

Consola de Virtual Apps and Desktops Service

Seleccione Administrar > Supervisar y, a continuación, busque un usuario con una sesión activa. En la sección “Detalles de la sesión” de la consola, las conexiones VDA directas se muestran como conexiones UDP, mientras que las conexiones de la puerta de enlace se muestran como conexiones TCP.

Registro de archivos ICA

Habilite el registro de archivos ICA en el equipo cliente tal y como se describe en Para habilitar la captura de registros del archivo launch.ica. Después de iniciar las sesiones, consulte las entradas Address y SSLProxyHost en el archivo de registro.

Para las conexiones directas de VDA, la propiedad Address contiene la dirección IP y el puerto del VDA, mientras que la propiedad SSLProxyHost contiene el FQDN y el puerto del VDA.

Para las conexiones de la puerta de enlace, la propiedad Address contiene el tíquet STA, mientras que la propiedad SSLProxyHost contiene el FQDN y el puerto de la puerta de enlace.

Modificar ubicaciones de red

  1. Desde una ventana de comandos de PowerShell, indique todas las ubicaciones de red existentes: Get-NLSSite
  2. Para modificar el intervalo de IP de una ubicación de red específica, escriba

    (Get-NLSSite)[N] -ipv4Ranges @("1.2.3.4/32","4.3.2.1/32") | Set-NLSSite

    donde [N] es el número correspondiente a la ubicación en la lista y "1.2.3.4/32","4.3.2.1/32" son los intervalos de IP, separados por comas, que quiere usar. Por ejemplo, para modificar la primera ubicación de la lista, escriba el siguiente comando:

    (Get-NLSSite)[0] -ipv4Ranges @("98.0.0.1/32","141.43.0.0/24") | Set-NLSSite

Eliminar ubicaciones de red

  1. Desde una ventana de comandos de PowerShell, indique todas las ubicaciones de red existentes: Get-NLSSite
  2. Para quitar todas las ubicaciones de red, escriba Get-NLSSite | Remove-NLSSite
  3. Para quitar ubicaciones de red específicas, escriba (Get-NLSSite)[N] | Remove-NLSSite, donde [N] es el número correspondiente a la ubicación de la lista. Por ejemplo, para quitar la primera ubicación de la lista, escriba (Get-NLSSite)[0] | Remove-NLSSite.

Solucionar problemas

Connect-NLS devuelve un error

Si recibe un error al ejecutar el comando Connect-NLS (paso 2 en Configurar ubicaciones de red), es posible que tenga que obligar a PowerShell a usar TLS 1.2. Para ello, ejecute el siguiente comando:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Fallos de inicio del VDA

Si no se inician sesiones de VDA, compruebe que está utilizando rangos de direcciones IP públicas de la red correcta. Al configurar las ubicaciones de red, debe utilizar los rangos de direcciones IP públicas de la red desde la que se conectan los usuarios internos. Para obtener más información, consulte Requisitos en este artículo.

Para verificar la dirección IP pública de un VDA, inicie sesión en cada máquina VDA, vaya a https://google.com e introduzca “what is my ip” (cuál es mi IP) en la barra de búsqueda.

Los inicios internos de VDA siguen enrutándose a través de la puerta de enlace

Si las sesiones de VDA iniciadas internamente siguen redirigiéndose a través de la puerta de enlace como si fueran sesiones externas, compruebe que está utilizando los rangos de direcciones IP correctos de las redes desde las que se conectan los usuarios internos. Estos son generalmente los rangos de direcciones IP públicas que corresponden a las redes en las que residen los VDA, aunque los usuarios puedan acceder a los VDA a través de una VPN. No utilice las direcciones IP locales de los VDA. Para obtener más información, consulte Requisitos en este artículo.

Para verificar la dirección IP pública de un VDA, inicie sesión en cada máquina VDA, vaya a https://google.com e introduzca “what is my ip” (cuál es mi IP) en la barra de búsqueda.

Asistencia y ayuda adicional

Para obtener ayuda sobre cómo solucionar problemas, si tiene preguntas o si quiere enviar comentarios sobre el servicio de ubicación de red, vaya al foro de asistencia de la Technical Preview del servicio de ubicación de red para hablar con expertos de Citrix y otros miembros de la comunidad de Citrix Cloud.