XenApp and XenDesktop

Sesiones

El mantenimiento de la actividad de las sesiones es fundamental para ofrecer la mejor experiencia de uso. La pérdida de conectividad debido a redes poco fiables, a una latencia de red muy variable y a limitaciones del alcance de los dispositivos inalámbricos puede provocar frustración en el usuario. Poder cambiar rápidamente de una estación de trabajo a otra y acceder al mismo conjunto de aplicaciones cada vez que se inicie sesión es prioritario para muchos empleados móviles, como sería el caso de los empleados de un hospital.

Use las siguientes funciones para optimizar la fiabilidad de sesiones y reducir las molestias, los periodos de inactividad y la pérdida de productividad; con estas funciones, los usuarios móviles pueden trasladarse de unos equipos a otros fácil y rápidamente.

En la sección Intervalo de inicio de sesión, se describe cómo cambiar la configuración predeterminada.

Además, puede cerrar la sesión de un usuario o desconectarla, así como configurar el preinicio y la persistencia de sesiones. Para obtener más información, consulte el artículo Administrar grupos de entrega.

Fiabilidad de la sesión

La fiabilidad de la sesión mantiene las sesiones activas y en la pantalla de los usuarios cuando se interrumpe la conexión de red. Los usuarios siguen viendo la aplicación que están utilizando hasta que vuelve la conexión.

Esta función es especialmente útil para usuarios móviles con conexiones inalámbricas. Pensemos, por ejemplo, en un usuario con una conexión inalámbrica que se encuentra viajando en un tren y entra en un túnel, y pierde por un momento la conectividad. Por lo general, la sesión se desconecta y desaparece de la pantalla del usuario y después debe volver a conectarse. Con la función Fiabilidad de la sesión, la sesión permanece activa en la máquina. Para indicar que se ha perdido la conectividad, la pantalla del usuario se congela y el cursor se convierte en un reloj de arena giratorio hasta que se recupera la conectividad al salir del túnel. El usuario sigue teniendo acceso a la presentación en pantalla durante la interrupción y puede reanudar la interacción con la aplicación después de restablecerse la conexión de red. La función Fiabilidad de la sesión vuelve a conectar a los usuarios sin pedirles que repitan la autenticación.

Los usuarios de Citrix Receiver no pueden anular la configuración de Controller.

Puede usar la función de fiabilidad de la sesión con Transport Layer Security (TLS). TLS cifra solo los datos enviados entre el dispositivo de usuario y NetScaler Gateway.

Habilite y configure la fiabilidad de la sesión con las siguientes configuraciones de directiva:

  • La configuración de directiva Conexiones de fiabilidad de la sesión permite o impide la fiabilidad de la sesión.
  • La configuración de directiva Tiempo de espera de fiabilidad de la sesión tiene un tiempo predeterminado de 180 segundos, o tres minutos. Aunque puede ampliar la cantidad de tiempo que Fiabilidad de la sesión mantiene abierta una sesión, esta función está diseñada para la comodidad del usuario, por lo que no pedirá a éste que repita la autenticación. Si se alarga la cantidad de tiempo que una sesión se mantiene abierta, se incrementa el riesgo de que un usuario se distraiga, se aleje del dispositivo y con ello facilite a usuarios no autorizados el acceso a la sesión.
  • Las conexiones entrantes de fiabilidad de la sesión utilizan el puerto 2598 a menos que usted cambie el número de puerto definido en la configuración de directiva Número de puerto para fiabilidad de la sesión.
  • Si no desea que los usuarios se reconecten con sesiones interrumpidas sin tener que repetir la autenticación, use la función Reconexión automática de clientes. Puede definir la configuración de la directiva Autenticación para reconexión automática de clientes de manera que solicite a los usuarios que repitan la autenticación cuando vuelvan a conectarse a las sesiones interrumpidas.

Si usa tanto la fiabilidad de la sesión como la reconexión automática de clientes, las dos actúan de manera secuencial. La fiabilidad de la sesión cierra o desconecta la sesión de usuario después de trascurrido el tiempo que se especifica en la configuración de directiva Tiempo de espera de fiabilidad de la sesión. A continuación, se aplicará la configuración de directiva de Reconexión automática de clientes y se intentará reconectar al usuario con la sesión desconectada.

Reconexión automática de clientes

Con la función de reconexión automática de clientes, Citrix Receiver puede detectar desconexiones accidentales de las sesiones ICA y volver a conectar automáticamente a los usuarios de las sesiones afectadas. Cuando esta función está habilitada en el servidor, los usuarios no tienen que volver a conectarse de forma manual para continuar trabajando.

En sesiones de aplicación, Citrix Receiver trata de reconectarse a la sesión hasta que lo logra o el usuario cancela el intento de reconexión.

En sesiones de escritorio, Citrix Receiver intenta reconectarse a la sesión durante un período de tiempo especificado a menos que lo logre o el usuario cancele el intento de reconexión. De forma predeterminada, este período es de cinco minutos. Para cambiar este período de tiempo, modifique el Registro en el dispositivo de usuario:

HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>

donde <seconds> es la cantidad de segundos después de los que no hay más intentos para volver a conectarse a la sesión.

Habilite y configure la Reconexión automática de clientes con las siguientes configuraciones de directiva:

  • Reconexión automática de clientes. Habilita o inhabilita la reconexión automática mediante Citrix Receiver cuando una sesión se ve interrumpida.
  • Autenticación para reconexión automática de clientes. Habilita o inhabilita el requisito de autenticación del usuario después de la reconexión automática.
  • Registro de reconexión automática de clientes. Habilita o inhabilita el registro de sucesos de reconexión en el registro de sucesos. El registro de sucesos está inhabilitado de forma predeterminada. Si está habilitado, los registros de sistema del servidor capturan información sobre sucesos de reconexión automática correctos y fallidos. Cada servidor almacena información sobre los sucesos de reconexión en su propio registro de sistema; el sitio no proporciona los registros combinados de sucesos de reconexión en todos los servidores.

Reconexión automática de clientes incorpora un mecanismo de autenticación basado en credenciales de usuario cifradas. Cuando un usuario inicia una primera sesión, el servidor cifra y guarda en memoria las credenciales de usuario, y crea y envía a Citrix Receiver una cookie que contiene la clave de cifrado. Citrix Receiver envía la clave al servidor para la reconexión. El servidor descifra las credenciales y las envía al inicio de sesión de Windows para su autenticación. Cuando caducan las cookies, los usuarios deben repetir la autenticación para volver a conectarse a las sesiones.

Las cookies no se usan si se habilita el parámetro Autenticación para reconexión automática de clientes. En este caso, en su lugar, los usuarios ven un cuadro de diálogo que les solicita sus credenciales cuando Citrix Receiver intenta reconectarse automáticamente.

Para lograr la máxima protección de las credenciales y las sesiones del usuario, utilice el cifrado para todas las comunicaciones entre los clientes y el sitio.

Inhabilite la función Reconexión automática de clientes en Citrix Receiver para Windows mediante el archivo icaclient.adm. Para obtener más información, consulte la documentación correspondiente a su versión de Citrix Receiver para Windows.

Las configuraciones de las conexiones también influyen en la función de reconexión automática de clientes:

  • De forma predeterminada, la reconexión automática de clientes se habilita a través de las configuraciones de directiva en el nivel del sitio, como se describe anteriormente. No es necesario repetir la autenticación de los usuarios. Sin embargo, si la conexión ICA TCP del servidor está configurada para restablecer sesiones con un vínculo de comunicación interrumpido, la reconexión automática no se produce. La reconexión automática de clientes solo funciona si el servidor desconecta sesiones cuando existe alguna conexión interrumpida o que ha superado el tiempo de espera. En este contexto, la conexión ICA TCP hace referencia a un puerto virtual del servidor (en lugar de una conexión de red real) que se utiliza para las sesiones en redes TCP/IP.
  • De manera predeterminada, la conexión ICA TCP de un servidor está configurada para desconectar sesiones cuya conexión se haya interrumpido o haya superado el tiempo de espera. Las sesiones desconectadas permanecen intactas en la memoria del sistema y Citrix Receiver puede volver a conectarse a ellas.
  • La conexión se puede configurar para restablecer o cerrar sesiones cuya conexión se haya interrumpido o haya superado el tiempo de espera. Si una sesión se restablece, los intentos de reconexión inician una nueva sesión; es decir, en lugar de restaurar al usuario a la posición en que se encontraba la aplicación que estaba mediante, la aplicación se reinicia.
  • Si el servidor está configurado para restablecer sesiones, la reconexión automática de clientes crea una sesión nueva. En este proceso, el usuario debe introducir sus credenciales para iniciar sesión en el servidor.
  • Es posible que la reconexión automática no se lleve a cabo si Citrix Receiver o el plugin envía una información de autenticación incorrecta; por ejemplo, durante un ataque o si el servidor determina que ha transcurrido demasiado tiempo desde que se detectó la interrupción de la conexión.

ICA Keep-Alive

La habilitación de ICA Keep-Alive impide que las conexiones interrumpidas se desconecten. Cuando esta función está habilitada, si el servidor detecta que no hay actividad (por ejemplo, no hay cambios en el reloj, no hay movimientos del puntero ni actualizaciones de pantalla), esta función impide que Servicios de Escritorio remoto desconecte la sesión. El servidor envía paquetes de Keep-Alive cada pocos segundos a fin de detectar si la sesión está activa. Si la sesión ya no está activa, el servidor la marca como desconectada.

Nota:

La función ICA Keep-Alive solo funciona si no se usa la función Fiabilidad de la sesión. Fiabilidad de la sesión tiene su propio mecanismo para impedir que las conexiones interrumpidas se desconecten. Configure ICA Keep-Alive únicamente para las conexiones que no usen Fiabilidad de la sesión.

Los parámetros de ICA Keep-Alive sobrescriben los parámetros de Keep-Alive configurados en la directiva de grupo de Microsoft Windows.

Habilite y configure ICA Keep-Alive con las siguientes configuraciones de directiva:

  • Tiempo de espera de ICA Keep Alive. Especifica el intervalo de envío de mensajes de ICA Keep-Alive (de 1 a 3600 segundos). No seleccione esta opción si desea que su software de supervisión de red cierre las conexiones inactivas en los entornos en los que las conexiones interrumpidas son tan poco frecuentes que permitir que los usuarios se vuelvan a conectar a las sesiones no es relevante.

    El intervalo predeterminado es 60 segundos: los paquetes de ICA Keep-Alive se envían a los dispositivos de usuario cada 60 segundos. Si un dispositivo del usuario no responde en 60 segundos, el estado de las sesiones ICA cambia a “Desconectado”.

  • ICA Keep Alive. Envía o impide el envío de mensajes de ICA Keep-Alive.

Control del espacio de trabajo

Con el control del espacio de trabajo, los escritorios y las aplicaciones permanecen disponibles para el usuario cuando éste pasa de un dispositivo a otro. Esta capacidad para moverse entre dispositivos permite que un usuario pueda acceder a todos sus escritorios o aplicaciones abiertas, desde cualquier lugar, simplemente iniciando una sesión, sin tener que reiniciar dichos escritorios y aplicaciones cuando cambia de dispositivo. Por ejemplo, el control del espacio de trabajo puede ser muy útil para los trabajadores de un hospital, que se desplazan rápidamente entre estaciones de trabajo y necesitan acceder al mismo conjunto de aplicaciones cada vez que inician una sesión. Si configura las opciones de control del espacio de trabajo con este propósito, estos trabajadores pueden desconectarse de varias aplicaciones en un dispositivo cliente y reconectarse a las mismas en un dispositivo cliente distinto.

El control del espacio de trabajo afecta a las siguientes actividades:

  • Inicio de sesión: De manera predeterminada, el control del espacio de trabajo permite a los usuarios reconectarse automáticamente a todos los escritorios y las aplicaciones que estén ejecutándose simplemente iniciando una sesión, sin tener que volver a abrirlos manualmente. Mediante el control del espacio de trabajo, los usuarios pueden abrir aplicaciones y escritorios desconectados, así como otros que estén activos en otro dispositivo cliente. Cuando el usuario se desconecta de una aplicación o de un escritorio, estos siguen ejecutándose en el servidor. Si hay usuarios móviles que necesitan mantener en ejecución ciertas aplicaciones o escritorios en un dispositivo cliente, mientras se reconectan con un subconjunto de sus aplicaciones y escritorios en otro dispositivo cliente distinto, puede configurar el comportamiento de reconexión durante el inicio de sesión para que se abran solo los escritorios y aplicaciones de los que se haya desconectado el usuario anteriormente.
  • Reconexión: Después de iniciar una sesión en el servidor, los usuarios pueden reconectarse a todos sus escritorios o aplicaciones en cualquier momento haciendo clic en Reconectar. De manera predeterminada, la función Reconectar abre los escritorios y aplicaciones desconectados, además de los que estén ejecutándose en ese momento en otro dispositivo cliente. Puede configurar la función Reconectar para que abra solo los escritorios y aplicaciones de los que se desconectó el usuario anteriormente.
  • Cierre de sesión: En el caso de usuarios que abren aplicaciones o escritorios mediante StoreFront, puede configurar el comando Cerrar sesión para que el usuario cierre su sesión en StoreFront y en todas las sesiones activas conjuntamente, o bien para que solo cierre la sesión en StoreFront.
  • Desconexión: Los usuarios se pueden desconectar de todos los escritorios y aplicaciones a la vez, sin necesidad de desconectarse de cada uno de ellos individualmente.

El control del espacio de trabajo solamente está disponible para los usuarios de Citrix Receiver que acceden a escritorios y aplicaciones a través de una conexión de Citrix StoreFront. De manera predeterminada, el control del espacio de trabajo está inhabilitado para las sesiones de escritorio virtual, pero está habilitado para las aplicaciones alojadas en servidores. El uso compartido de sesiones no se produce de manera predeterminada entre los escritorios publicados y las aplicaciones publicadas que se ejecutan en esos escritorios.

Las directivas de usuario, asignaciones de unidad cliente y configuraciones de impresora cambian según sea necesario al cambiar el usuario de dispositivo cliente. Las directivas y asignaciones se aplican según el dispositivo cliente donde el usuario haya iniciado sesión. Por ejemplo, si un trabajador cierra sesión en un dispositivo cliente en el área de Urgencias del hospital y luego inicia una sesión en una estación de trabajo del Laboratorio de rayos X, las directivas, las asignaciones de impresora y las asignaciones de unidades del cliente adecuadas para la sesión en el Laboratorio de rayos X entran en efecto en el momento en que se inicia esa nueva sesión.

Puede personalizar qué impresoras se muestran a los usuarios cuando éstos cambian de ubicación. También puede controlar si los usuarios pueden imprimir en impresoras locales, cuánto ancho de banda pueden consumir cuando se conectan de forma remota, así como otros aspectos de la impresión.

Si desea más información sobre cómo habilitar y configurar el control del espacio de trabajo para los usuarios, consulte la documentación de StoreFront.

Itinerancia de sesiones

De forma predeterminada, las sesiones se mueven con el usuario entre los diferentes dispositivos cliente. Cuando el usuario inicia una sesión y, más tarde, cambia de dispositivo, se utiliza la misma sesión y las aplicaciones están disponibles en ambos dispositivos. Las aplicaciones se mueven, independientemente del dispositivo o de si las sesiones actuales existen. En muchos casos, las impresoras y otros recursos asignados a la aplicación también se mueven.

Aunque este comportamiento predeterminado ofrece muchas ventajas, es posible que no sea el mejor para todos los casos. Puede impedir la movilidad de sesión mediante el SDK de PowerShell.

Ejemplo 1. Un miembro del personal médico usa dos dispositivos: uno para completar un formulario del seguro en un equipo de escritorio y otro para consultar información sobre un paciente en una tableta.

  • Si la movilidad de sesión está habilitada, ambas aplicaciones aparecerán en ambos dispositivos (una aplicación iniciada en un dispositivo es visible en todos los dispositivos en uso). Es posible que este comportamiento no cumpla los requisitos de seguridad.
  • Si se inhabilita la movilidad de sesión, el registro del paciente no aparecerá en el equipo de escritorio y el formulario del seguro no aparecerá en la tableta.

Ejemplo 2. Un director de producción inicia una aplicación en su equipo de oficina. La ubicación y el nombre del dispositivo determinan qué impresoras y otros recursos están disponibles para esa sesión. Más tarde en la misma jornada laboral, el director va a una oficina situada en el edificio contiguo con el objetivo de asistir a una reunión para la que necesitará usar una impresora.

  • Si la movilidad de sesión está habilitada, posiblemente el director de producción no podrá acceder a las impresoras de la sala de la reunión porque las aplicaciones que inició antes, en su oficina, resultaron en la asignación de impresoras y otros recursos cercanos a esa ubicación.
  • Si la movilidad de sesión está inhabilitada, cuando inicie sesión en otra máquina (con las mismas credenciales), se iniciará una nueva sesión y las impresoras y los recursos cercanos estarán disponibles.

Configuración de movilidad de sesión

Para configurar la movilidad de sesión, use los siguientes cmdlets de la regla de directiva de derechos con la propiedad “SessionReconnection”. Si lo prefiere, también puede especificar la propiedad “LeasingBehavior”; para ello, consulte el apartado siguiente, Concesión de conexiones y movilidad de sesión.

Para sesiones de escritorio:

Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Para sesiones de aplicación:

Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Donde <value> puede ser una de las siguientes opciones:

  • Always. Las sesiones siempre se mueven, independientemente del dispositivo cliente y si la sesión está conectada o desconectada. Este es el valor predeterminado.
  • DisconnectedOnly. Reconectarse solo a sesiones que ya se han desconectado; de lo contrario, iniciar una nueva sesión. (Las sesiones pueden moverse entre dispositivos cliente primero desconectándolos, o bien mediante el control del espacio de trabajo para moverlas explícitamente.) Una sesión activa conectada desde otro dispositivo cliente no se utiliza nunca; en su lugar, se inicia una nueva sesión.
  • SameEndpointOnly. El usuario obtiene una sesión única para cada dispositivo que use. Esto inhabilita completamente la movilidad. Los usuarios solo pueden volver a conectarse al mismo dispositivo que usaron anteriormente en la sesión.

La propiedad “LeasingBehavior” se describe más adelante.

Efectos de otras opciones de configuración

La inhabilitación de la movilidad de sesión se ve afectada por el límite para aplicaciones “Permitir una sola instancia de aplicación por usuario” en las propiedades de aplicación, en el grupo de entrega.

  • Si inhabilita la movilidad de sesión, inhabilite el límite para aplicaciones “Permitir una sola instancia de aplicación por usuario”.
  • Si habilita el límite para aplicaciones “Permitir una sola instancia de aplicación por usuario”, no configure uno de los dos valores que permiten sesiones nuevas en dispositivos nuevos.

Concesión de conexiones y movilidad de sesión

Si no está familiarizado con la función de concesión de conexiones, consulte el artículo Concesión de conexiones.

Cuando un Controller entra en el modo de concesión de conexiones, la reconexión de la sesión vuelve a su valor predeterminado, y reconecta al usuario a solo una de las sesiones activas o desconectadas de escritorio o aplicación.

Para mayor seguridad, si ha configurado un valor no predeterminado de movilidad de sesión y tiene varios usuarios que comparten las credenciales de inicio de sesión en varios dispositivos, puede inhabilitar la función de concesión de conexiones para el grupo de entrega que incluye esa cuenta de usuario.

¿Por qué? En este caso, una sesión se comparte entre todos los dispositivos. Esto puede ser negativo si, por ejemplo, una persona muestra información confidencial que no debe ver otra persona que se reconecta con las mismas credenciales mientras el Controller está en el modo de concesión de conexiones.

Inhabilitar la concesión de conexiones en la directiva de derechos elimina esta posibilidad: un usuario no podrá ver la sesión de otro usuario con el mismo inicio de sesión incluso aunque el Controller esté en el modo de concesión de conexiones. Las demás directivas de derechos pueden no modificarse, ya que las cuentas de usuario individuales pueden usar la función de concesión de conexiones a través de distintos derechos.

Para inhabilitar la función de concesión de conexiones en una directiva de derechos, agregue la propiedad “LeasingBehavior Disallowed” al cmdlet de la directiva de derechos. Si inhabilita la función de concesión de conexiones, debe eliminar manualmente las concesiones de inicio que ya se hayan creado y almacenado en caché en la directiva de derechos. De lo contrario, los usuarios podrán volver a conectarse durante una interrupción de la base de datos.

Intervalo de inicio de sesión

Si una máquina virtual que contiene un escritorio VDA se cierra antes de que se complete el proceso de inicio de sesión, se puede asignar más tiempo al proceso. El valor predeterminado para 7.6 y versiones posteriores es de 180 segundos, mientras que el predeterminado para versiones de 7.0 a 7.5 es de 90 segundos.

En la máquina (o la imagen maestra utilizada en un catálogo de máquinas), defina la siguiente clave de Registro:

Clave: HKLM\SOFTWARE\Citrix\PortICA

Valor: AutoLogonTimeout

Tipo: DWORD

Especifique un número decimal en segundos que vaya de 0 a 3600.

Si cambia una imagen maestra, actualice el catálogo.

Nota:

Esta configuración solo se aplica a las máquinas virtuales con agentes VDA de escritorio (estaciones de trabajo); Microsoft controla el tiempo de espera de inicio de sesión en máquinas con agentes VDA de servidor.