Decisión de diseño: acceso remoto con PC

Introducción

El acceso con Remote PC es una forma fácil y eficaz de permitir a los usuarios acceder a su PC Windows físico basado en la oficina. Al utilizar cualquier dispositivo de punto final, los usuarios pueden seguir siendo productivos independientemente de su ubicación. Sin embargo, las organizaciones quieren tener en cuenta lo siguiente al implementar el acceso con Remote PC.

Escenarios de implementación

Hay varias formas de conectar un PC a un usuario, cada una aplicable a diferentes escenarios.

Trabajadores de oficina

En muchas implementaciones, el acceso con Remote PC se implementa en un caso de trabajo de oficina en el que un usuario está asignado permanentemente a un equipo.

Este es el caso de implementación más común. Para implementar este caso de uso, el administrador puede utilizar el tipo de catálogo de máquinas de acceso con Remote PC.

Laboratorios de computación

En ciertas situaciones, los usuarios necesitan compartir un conjunto de recursos informáticos, que a menudo se encuentran en laboratorios de computación de escuelas, colegios y universidades. Los usuarios se asignan aleatoriamente a un equipo físico disponible.

Este tipo de configuración utiliza un sistema operativo de sesión única no administrado, asignado aleatoriamente, que se configura de la siguiente manera:

• En el Asistente para la configuración del catálogo de máquinas, utilice SO de una sola sesión

• Seleccionar máquinas que no están administradas por energía
• Seleccione Otro servicio o tecnología

• Seleccione Deseo que los usuarios se conecten a un nuevo escritorio (aleatorio) cada vez que inicien sesión.

Como a menudo hay más usuarios que PC en un laboratorio de computación, se recomiendan directivas que limiten el tiempo de sesión.

Autenticación

Los usuarios continúan autenticándose en su equipo basado en oficina con sus credenciales de Active Directory. Sin embargo, dado que acceden a través de Internet desde fuera de las oficinas, las organizaciones suelen requerir niveles de autenticación más sólidos que el nombre de usuario y la contraseña.

Citrix Workspace admite diferentes opciones de autenticación que se seleccionarán, incluido el token de Active Directory + y Azure Active Directory. Opciones de autenticación admitidas actuales

Si NetScaler Gateway está configurado como opción de autenticación para Citrix Workspace, o si un cliente elige usar NetScaler Gateway + Citrix StoreFront como alternativa a Citrix Workspace, estará disponible la selección mucho más amplia de opciones de autenticación de NetScaler Gateway.

Algunas de estas opciones, como la contraseña de una sola vez basada en el tiempo, requieren que el usuario se registre inicialmente para un nuevo token. Dado que el registro de tokens requiere que el usuario acceda a su correo electrónico para validar su identidad, es posible que deba completarse antes de que el usuario intente trabajar de forma remota.

Seguridad de la sesión

Los usuarios pueden acceder de forma remota a su PC de trabajo con un dispositivo personal que no es de confianza. Las organizaciones pueden usar directivas integradas de Citrix Virtual Apps and Desktops para protegerse contra:

• Riesgos con los dispositivos de punto final: Los programas de registro de tecleo instalados en secreto en el dispositivo de punto final pueden capturar fácilmente un nombre de usuario y una contraseña. Las capacidades contra el registro de teclas protegen a la organización del robo de credenciales al ofuscar las pulsaciones de teclas.
• Riesgos entrantes: Los dispositivos de punto final que no son de confianza pueden contener malware, spyware y otro contenido peligroso. La denegación del acceso a las unidades del dispositivo de punto final impide la transmisión de contenido peligroso a la red corporativa.
• Riesgos salientes: Las organizaciones deben mantener el control sobre el contenido. Permitir a los usuarios copiar contenido en dispositivos de punto final locales que no son de confianza supone riesgos adicionales para la organización. Estas prestaciones se pueden denegar bloqueando el acceso a las unidades, impresoras, portapapeles y directivas de captura de pantalla del dispositivo de punto final.

Tamaño de la infraestructura

Nota: Las siguientes recomendaciones de tamaño son un buen punto de partida, pero cada entorno es único, lo que da como resultado resultados únicos. Supervise adecuadamente la infraestructura y el tamaño.

A medida que los usuarios acceden a los equipos de oficina existentes, se necesita una infraestructura adicional mínima para admitir la adición de acceso con Remote PC, sin embargo, es importante que la capa de control y la infraestructura de la capa de acceso se dimensionen y supervisen correctamente para garantizar que no se conviertan en un cuello de botella.

Capa de control

Virtual Delivery Agent (VDA) de cada PC Office debe registrarse en Citrix Virtual Apps and Desktops. Para las implementaciones locales, el registro de VDA se realiza directamente con un Delivery Controller, para Citrix DaaS en Citrix Cloud, este registro se realiza a través de un Citrix Cloud Connector.

El tamaño de las cargas de trabajo de Delivery Controllers o Cloud Connectors para el acceso con Remote PC es similar al de las cargas de trabajo VDI. Citrix Consulting recomienda al menos disponibilidad de N+1. Aquí encontrará instrucciones para el escalado de Cloud Connector, incluidas las condiciones en las que se requiera la caché de host local

• Consideraciones de escala y tamaño para los Cloud Connectors
• Consideraciones sobre la escala y el tamaño de la caché de host local

Capa de acceso

Cuando un usuario establece una sesión HDX en su PC de oficina, el tráfico ICA debe ser redirigido al VDA. ICA Proxy se puede proporcionar a través de dispositivos NetScaler Gateway o NetScaler Gateway Service.

Cuando utilice un NetScaler local para NetScaler Gateway, consulte la hoja de datos del modelo concreto y consulte el elemento de línea de usuario simultáneo de SSL VPN/ICA proxy como punto de partida. Si el ADC está manejando otras cargas de trabajo, valida que el rendimiento actual y el uso de CPU no se acerquen a ningún límite superior.

Asegúrese de que haya un ancho de banda de Internet disponible adecuado donde se encuentre el dispositivo Gateway para admitir las sesiones ICA simultáneas esperadas.

Cuando se utiliza el servicio Gateway de Citrix Cloud, el tráfico ICA fluye entre la ubicación de recursos (donde se encuentran los VDA y Cloud Connectors) directamente al servicio Gateway. El tráfico pasa por los Cloud Connectors (predeterminado) o puede circular directamente desde el VDA, omitiendo los Cloud Connectors si se pueden cumplir las condiciones para usar el protocolo de encuentro.

Cuando se utilizan Cloud Connectors para proxy de tráfico ICA al servicio de puerta de enlace, esto puede ser un cuello de botella y se recomienda una supervisión cuidadosa de la CPU y la memoria en las máquinas virtuales de Cloud Connector. Para estimaciones iniciales de planificación, una VM de 4 vCPU Citrix Cloud Connector puede manejar un máximo de 1000 sesiones de proxy ICA simultáneas. El protocolo Rendezvous (cuando está configurado) permite que Virtual Delivery Agent instalado en cada PC físico se comunique directamente con el servicio de puerta de enlace en lugar de túnel de la sesión a través del Cloud Connector.

Cuando se utiliza Gateway Service, Citrix recomienda utilizar el protocolo de rendezvous para mitigar el problema de que Cloud Connectors sea un cuello de botella para ICA Proxy.

Existen ciertos requisitos previos para permitir que el protocolo de encuentro funcione, entre ellos:

• Citrix DaaS
• VDA versión 1912 o posterio
• Una directiva HDX habilitada
• Registros PTR DNS para todos los VDA
• Pedido específico de SSL Cipher Suite
• Conectividad directa (sin proxy) a Internet del VDA al servicio de puerta de enlace

Disponibilidad

Si el PC de oficina no está encendido con el VDA registrado, no se puede intermediar la sesión del usuario. Citrix recomienda poner en marcha procesos para garantizar que las máquinas a las que los usuarios necesitan conectarse estén encendidas.

Si está disponible, modifique la configuración del BIOS del PC para encender automáticamente en caso de que se produzca un fallo de alimentación. Los administradores también pueden configurar un objeto de directiva de grupo de Active Directory para quitar la opción “Apagar” del equipo con Windows. Esto ayuda a evitar que el usuario apague el equipo físico.

El acceso con Remote PC también admite operaciones Wake on LAN para permitir el encendido de los PC con Windows que están apagados actualmente. La función Wake on LAN es totalmente independiente y no hay necesidad de contar con infraestructura adicional para la función Wake on LAN a partir de la versión 2009.

Asignaciones de usuarios

Es importante que cada usuario sea intermediado en su propio PC de oficina. Una vez instalado el VDA y definido el catálogo y el grupo de entrega, los usuarios se asignan automáticamente cuando inicien sesión localmente en el equipo. Este es un método eficaz para asignar miles de usuarios.

De forma predeterminada, se pueden asignar varios usuarios a un escritorio si todos han iniciado sesión en el mismo equipo físico, pero esto se puede inhabilitar mediante una edición del registro en los Delivery Controllers.

El administrador de Citrix Virtual Apps and Desktops puede modificar las asignaciones según sea necesario en Citrix Studio o a través de PowerShell. Para empezar a usar PowerShell para agregar VDA de acceso con Remote PC a un sitio y asignar usuarios, Citrix Consulting creó un script de referencia que se puede encontrar en la página GitHub de Citrix.

Virtual Delivery Agent

En esta sección se revisan las consideraciones clave para gestionar el paquete de Virtual Delivery Agent.

Versiones

Los administradores de Citrix Virtual Apps and Desktops pueden usar el paquete VDAWorkstationCoreSetup.exe o el paquete VDAWorkstationSetup.exe con el indicador /remotePC. El paquete VDAWorkstationCoreSetup.exe es más pequeño y solo incluye los componentes principales necesarios para el acceso con Remote PC, pero en particular, en la versión 1912 y anteriores, excluye los componentes necesarios para la redirección de contenido (consulte la sección Microsoft Teams para obtener más información).

Windows 7 y 8.1

Aunque Windows 7 ya no es compatible, muchas organizaciones siguen teniendo máquinas de escritorio con Windows 7 heredadas. Para la implementación en Windows 7 y Windows 8.1, los clientes deben usar el VDA de XenDesktop 7.15 LTSR.

Windows 10

Para la implementación en Windows 10, los clientes deben usar el VDA LTSR de Citrix Virtual Apps and Desktops 1912 o un VDA con una versión Current Release compatible. La compatibilidad de versiones de Citrix para compilaciones de Windows 10 se puede encontrar en CTX224843.

Opciones útiles de la línea de comandos

Existen varias opciones de línea de comandos del instalador de VDA a tener en cuenta al implementar el acceso con Remote PC que pueden habilitar una funcionalidad útil.

/remotePC

Se utiliza con el paquete VDA completo, VDAWorkstationSetup.exe, para instalar solo los componentes principales necesarios para el acceso con Remote PC.

/enable_hdx_ports

Abre los puertos del Firewall de Windows requeridos por Cloud Connector y por las funciones especificadas (excepto la Asistencia remota de Windows) si se detecta el servicio del Firewall de Windows, incluso aunque el firewall no esté habilitado.

/enable_hdx_udp_ports

Abre los puertos UDP en el firewall de Windows que se requieren para el transporte adaptable HDX, si se detecta el servicio Firewall de Windows (incluso aunque el firewall no esté habilitado).

Para abrir los puertos que utiliza el VDA para comunicarse con el Controller y las funciones habilitadas, especifique la opción /enable_hdx_ports, además de la opción /enable_hdx_udp_ports.

/enable_real_time_transport

Habilita o inhabilita el uso de UDP para los paquetes de sonido (Transferencia de sonido RealTime para sonido). Habilitar esta función puede mejorar el rendimiento del sonido.

Para abrir los puertos que utiliza el VDA para comunicarse con el Controller y las funciones habilitadas, especifique la opción /enable_hdx_ports, además de la opción /enable_real_time_transport.

/includeadditional “Citrix User Profile Manager”,”Citrix User Profile Manager WMI Plug in”

En una implementación de acceso con Remote PC, la mayoría de las implementaciones no requieren administración de perfiles. Sin embargo, Citrix User Profile Manager también captura métricas de rendimiento, que son útiles para que los administradores identifiquen y corrijan problemas relacionados con el rendimiento. User Profile Manager no tiene que configurarse, solo necesita implementarse para capturar métricas.

Cuando se instala, Citrix User Profile Manager permite a los administradores ejecutar informes sobre la experiencia del usuario, la capacidad de respuesta de la sesión y la información sobre el rendimiento de inicio de sesión en Citrix Director y Citrix Analytics for Performance.

/logpath path

Ubicación del archivo de registro. La carpeta especificada debe existir ya que el instalador no la crea. La ruta predeterminada es “%TEMP%\Citrix\XenDesktop Installer”, pero si la instalación se realiza a través de SCCM, dependiendo del contexto, los archivos de registro pueden estar en la carpeta temporal del sistema en su lugar.

/optimize

NO utilice este indicador, ya que está destinado principalmente a máquinas implementadas de MCS.

Implementación

Para implementar Virtual Delivery Agent en miles de PC físicos, se requieren procesos automatizados.

A través de scripts

El medio de instalación de Citrix Virtual Apps and Desktops incluye un script de implementación (%InstallMedia%\Support\ADDeploy\InstallVDA.bat) que se puede utilizar mediante objetos de directiva de grupo de Active Directory.

El script se puede utilizar como línea base para scripts de PowerShell y herramientas de implementación de software empresarial (ESD). Estos enfoques permiten a las organizaciones implementar rápidamente el agente en miles de dispositivos de punto final físicos.

A través de SCCM

Si está automatizando la instalación del VDA con una herramienta ESD como SCCM o Altiris, la creación de paquetes separados para los requisitos previos y el VDA tiende a funcionar mejor. Puede encontrar más información sobre la implementación de VDA con herramientas de ESD en la documentación del producto.

Microsoft Teams

Si los usuarios acceden a Microsoft Teams para llamadas de voz y vídeo, es necesaria la funcionalidad de redirección de contenido para crear una experiencia de usuario positiva.

Para que la redirección de contenido esté disponible cuando se utiliza VDA 1912 o anterior, es necesario implementar el VDA en los equipos físicos mediante el instalador de VDA completo de una sola sesión (VDAWorkstationSetup.exe independiente) con la opción de línea de comandos /remotepc.

Por ejemplo: VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Si se implementa VDA 2003 o posterior, se puede utilizar en su lugar el instalador de VDA central de una sola sesión (independiente VDAWorkstationCoreSetup.exe).

Por ejemplo: VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Puertos de red comunes

Al igual que cualquier otro Citrix VDA, hay un puñado de puertos de red clave para tener en cuenta la apertura para que el sistema funcione. Como recordatorio, el tráfico ICA debe llegar al acceso con Remote PC desde el NetScaler que aloja el NetScaler Gateway externo. Puede encontrar una lista completa de puertos en Puertos de comunicación utilizados por Citrix Technologies.

Registro de VDA

Dependiendo de la topología de red, es posible que la subred que contiene Virtual Apps and Desktops Delivery Controllers no permita la comunicación hacia o desde los equipos físicos. Para registrarse correctamente con Delivery Controller, el VDA del PC debe poder comunicarse con el Delivery Controller en ambas direcciones mediante los siguientes protocolos:

• VDA a controlador: Kerberos
• Controlador a VDA: Kerberos

Si el VDA no puede registrarse en el controlador, consulte el artículo Registro de VDA. Si utiliza Citrix Cloud, Cloud Connectors sustituyen al Delivery Controller.

Orientación adicional

En la documentación del producto Acceso con Remote PCse pueden encontrar más instrucciones de diseño que incluyen consideraciones y pasos de solución de problemas.