El mantenimiento de la actividad de las sesiones es fundamental para ofrecer la mejor experiencia de uso. La pérdida de conectividad debido a redes poco fiables, a una latencia de red muy variable y a limitaciones del alcance de los dispositivos inalámbricos puede provocar frustración en el usuario. Poder cambiar rápidamente de una estación de trabajo a otra y acceder al mismo conjunto de aplicaciones cada vez que se inicie sesión es prioritario para muchos empleados móviles, como sería el caso de los empleados de un hospital.
En la sección Intervalo de inicio de sesión, se describe cómo cambiar la configuración predeterminada.
Además, puede cerrar o desconectar la sesión de un usuario, así como configurar el preinicio y la persistencia de sesiones. Para obtener más información, consulte el artículo Administración de sesiones mediante grupos de entrega.
La fiabilidad de sesiones mantiene las sesiones activas y en la pantalla de los usuarios cuando se interrumpe la conexión de red. Los usuarios siguen viendo la aplicación que están utilizando hasta que vuelve la conexión.
Esta función es especialmente útil para usuarios móviles con conexiones inalámbricas. Pensemos, por ejemplo, en un usuario con una conexión inalámbrica que se encuentra viajando en un tren y entra en un túnel, y pierde por un momento la conectividad. Por lo general, la sesión se desconectaría y desaparecería de la pantalla del usuario, y este tendría que volver a conectarse a la sesión desconectada. Con la función Fiabilidad de la sesión, la sesión permanece activa en la máquina. Para indicar que se ha perdido la conectividad, la pantalla del usuario se congela y el cursor se convierte en un reloj de arena giratorio hasta que se recupera la conectividad al salir del túnel. El usuario sigue teniendo acceso a la presentación en pantalla durante la interrupción y puede reanudar la interacción con la aplicación después de restablecerse la conexión de red. La función Fiabilidad de la sesión vuelve a conectar a los usuarios sin pedirles que repitan la autenticación.
Los usuarios de Citrix Receiver no pueden anular la configuración de Controller.
Puede usar la función de fiabilidad de la sesión con Transport Layer Security (TLS). TLS cifra solo los datos enviados entre el dispositivo de usuario y NetScaler Gateway.
Habilite y configure la fiabilidad de la sesión con las siguientes configuraciones de directiva:
Si usa tanto la fiabilidad de la sesión como la reconexión automática de clientes, las dos actúan de manera secuencial. La fiabilidad de la sesión cierra o desconecta la sesión de un usuario una vez trascurrido el tiempo que se especifica en la configuración de directiva Tiempo de espera de fiabilidad de la sesión. A continuación, se aplicará la configuración de directiva de Reconexión automática de clientes y se intentará reconectar al usuario con la sesión desconectada.
Con la función de reconexión automática de clientes, Citrix Receiver puede detectar desconexiones accidentales de las sesiones ICA y volver a conectar automáticamente a los usuarios de las sesiones afectadas. Cuando esta función está habilitada en el servidor, los usuarios no tienen que volver a conectarse de forma manual para continuar trabajando.
En sesiones de aplicación, Citrix Receiver trata de reconectarse a la sesión hasta que lo logra o el usuario cancela el intento de reconexión.
En sesiones de escritorio, Citrix Receiver intenta reconectarse a la sesión durante un período de tiempo especificado a menos que lo logre o el usuario cancele el intento de reconexión. De forma predeterminada, este período es de cinco minutos. Para cambiar este período de tiempo, modifique el Registro en el dispositivo de usuario:
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;
donde <seconds> es la cantidad de segundos después de los que no hay más intentos para volver a conectarse a la sesión.
Habilite y configure la Reconexión automática de clientes con las siguientes configuraciones de directiva:
Reconexión automática de clientes incorpora un mecanismo de autenticación basado en credenciales de usuario cifradas. Cuando un usuario inicia una primera sesión, el servidor cifra y guarda en memoria las credenciales de usuario, y crea y envía a Citrix Receiver una cookie que contiene la clave de cifrado. Citrix Receiver envía la clave al servidor para la reconexión. El servidor descifra las credenciales y las envía al inicio de sesión de Windows para su autenticación. Cuando caducan las cookies, los usuarios deben repetir la autenticación para volver a conectarse a las sesiones.
Las cookies no se usan si se habilita la configuración Autenticación para reconexión automática de clientes. En este caso, en su lugar, los usuarios ven un cuadro de diálogo que les solicita sus credenciales cuando Citrix Receiver intenta reconectarse automáticamente.
Para lograr la máxima protección de las credenciales y las sesiones del usuario, utilice el cifrado para todas las comunicaciones entre los clientes y el sitio.
Inhabilite la función Reconexión automática de clientes en Citrix Receiver para Windows mediante el archivo icaclient.adm. Para obtener más información, consulte la documentación correspondiente a su versión de Citrix Receiver para Windows.
Las configuraciones de las conexiones también influyen en la función de reconexión automática de clientes:
La habilitación de ICA Keep-Alive impide que las conexiones interrumpidas se desconecten. Cuando esta función está habilitada, si el servidor detecta que no hay actividad (por ejemplo, no hay cambios en el reloj, no hay movimientos del puntero ni actualizaciones de pantalla), esta función impide que Servicios de Escritorio remoto desconecte la sesión. El servidor envía paquetes de Keep-Alive cada pocos segundos a fin de detectar si la sesión está activa. Si la sesión ya no está activa, el servidor la marca como desconectada.
Nota: La función ICA Keep-Alive solo funciona si no se usa la función Fiabilidad de la sesión. Fiabilidad de la sesión tiene su propio mecanismo para impedir que las conexiones interrumpidas se desconecten. Configure ICA Keep-Alive únicamente para las conexiones que no usen Fiabilidad de la sesión.
Los parámetros de ICA Keep-Alive sobrescriben los parámetros de Keep-Alive configurados en la directiva de grupo de Microsoft Windows.
Habilite y configure ICA Keep-Alive con las siguientes configuraciones de directiva:
El intervalo predeterminado es 60 segundos: los paquetes de ICA Keep-Alive se envían a los dispositivos de usuario cada 60 segundos. Si un dispositivo del usuario no responde en 60 segundos, el estado de las sesiones ICA cambia a "Desconectado".
Con el control del área de trabajo, los escritorios y las aplicaciones permanecen disponibles para el usuario cuando éste pasa de un dispositivo a otro. Esta capacidad para moverse entre dispositivos permite que un usuario pueda acceder a todos sus escritorios o aplicaciones abiertas, desde cualquier lugar, simplemente iniciando una sesión, sin tener que reiniciar dichos escritorios y aplicaciones cuando cambia de dispositivo. Por ejemplo, el control del área de trabajo puede ser muy útil para los trabajadores de un hospital, que se desplazan rápidamente entre estaciones de trabajo y necesitan acceder al mismo conjunto de aplicaciones cada vez que inician una sesión. Si configura las opciones de control del área de trabajo con este propósito, estos trabajadores pueden desconectarse de varias aplicaciones en un dispositivo cliente y reconectarse a las mismas en un dispositivo cliente distinto.
El control del área de trabajo afecta a las siguientes actividades:
El control del área de trabajo solamente está disponible para los usuarios de Citrix Receiver que acceden a escritorios y aplicaciones a través de una conexión de Citrix StoreFront. De manera predeterminada, el control del área de trabajo está inhabilitado para las sesiones de escritorio virtual, pero está habilitado para las aplicaciones alojadas en servidores. El uso compartido de sesiones no se produce de manera predeterminada entre los escritorios publicados y las aplicaciones publicadas que se ejecutan en esos escritorios.
Las directivas de usuario, asignaciones de unidad cliente y configuraciones de impresora cambian según sea necesario al cambiar el usuario de dispositivo cliente. Las directivas y asignaciones se aplican según el dispositivo cliente donde el usuario haya iniciado sesión. Por ejemplo, si un trabajador cierra sesión en un dispositivo cliente en el área de Urgencias del hospital y luego inicia una sesión en una estación de trabajo del Laboratorio de rayos X, las directivas, las asignaciones de impresora y las asignaciones de unidades del cliente adecuadas para la sesión en el Laboratorio de rayos X entran en efecto en el momento en que se inicia esa nueva sesión.
Puede personalizar qué impresoras se muestran a los usuarios cuando éstos cambian de ubicación. También puede controlar si los usuarios pueden imprimir en impresoras locales, cuánto ancho de banda pueden consumir cuando se conectan de forma remota, así como otros aspectos de la impresión.
Si desea más información sobre cómo habilitar y configurar el control del área de trabajo para los usuarios, consulte la documentación de StoreFront.
De forma predeterminada, las sesiones se mueven con el usuario entre los diferentes dispositivos cliente. Cuando el usuario inicia una sesión y, más tarde, cambia de dispositivo, se utiliza la misma sesión y las aplicaciones están disponibles en ambos dispositivos. Las aplicaciones se mueven, independientemente del dispositivo o de si las sesiones actuales existen. En muchos casos, las impresoras y otros recursos asignados a la aplicación también se mueven.
Aunque este comportamiento predeterminado ofrece muchas ventajas, es posible que no sea el mejor para todos los casos. Puede impedir la movilidad de sesión mediante el SDK de PowerShell.
Ejemplo 1. Un miembro del personal médico usa dos dispositivos: uno para completar un formulario del seguro en un PC de escritorio y otro para consultar información sobre un paciente en una tableta.
Ejemplo 2. Un director de producción inicia una aplicación en su equipo de oficina. La ubicación y el nombre del dispositivo determinan qué impresoras y otros recursos están disponibles para esa sesión. Más tarde en la misma jornada laboral, el director va a una oficina situada en el edificio contiguo con el objetivo de asistir a una reunión para la que necesitará usar una impresora.
Para configurar la movilidad de sesión, use los siguientes cmdlets de la regla de directiva de derechos con la propiedad "SessionReconnection". Si lo prefiere, también puede especificar la propiedad "LeasingBehavior"; para ello, consulte el apartado siguiente, Concesión de conexiones y movilidad de sesión.
Para sesiones de escritorio:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Para sesiones de aplicación:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Donde <value> puede ser una de las siguientes opciones:
La propiedad "LeasingBehavior" se describe más adelante.
Efectos de otras opciones de configuración
La inhabilitación de la movilidad de sesión se ve afectada por el límite para aplicaciones "Permitir una sola instancia de aplicación por usuario" en las propiedades de aplicación, en el grupo de entrega.
Si no está familiarizado con la función de concesión de conexiones, consulte el artículo Concesión de conexiones.
Cuando un Controller entra en el modo de concesión de conexiones, la reconexión de la sesión vuelve a su valor predeterminado, y reconecta al usuario a solo una de las sesiones activas o desconectadas de escritorio o aplicación.
Para mayor seguridad, si ha configurado un valor no predeterminado de movilidad de sesión y tiene varios usuarios que comparten las credenciales de inicio de sesión en varios dispositivos, puede inhabilitar la función de concesión de conexiones para el grupo de entrega que incluye esa cuenta de usuario.
¿Por qué? En este caso, una sesión se comparte entre todos los dispositivos. Esto puede ser negativo si, por ejemplo, una persona muestra información confidencial que no debe ver otra persona que se reconecta con las mismas credenciales mientras el Controller está en el modo de concesión de conexiones.
Inhabilitar la concesión de conexiones en la directiva de derechos elimina esta posibilidad: un usuario no podrá ver la sesión de otro usuario con el mismo inicio de sesión incluso aunque el Controller esté en el modo de concesión de conexiones. Las demás directivas de derechos pueden no modificarse, ya que las cuentas de usuario individuales pueden usar la función de concesión de conexiones a través de distintos derechos.
Para inhabilitar la función de concesión de conexiones en una directiva de derechos, agregue la propiedad "LeasingBehavior Disallowed” al cmdlet de la directiva de derechos. Si inhabilita la función de concesión de conexiones, debe eliminar manualmente las concesiones de inicio que ya se hayan creado y almacenado en caché en la directiva de derechos. De lo contrario, los usuarios podrán volver a conectarse durante una interrupción de la base de datos.
Si una máquina virtual que contiene un escritorio VDA se cierra antes de que se complete el proceso de inicio de sesión, se puede asignar más tiempo al proceso. El valor predeterminado para 7.6 y versiones posteriores es de 180 segundos, mientras que el predeterminado para versiones de 7.0 a 7.5 es de 90 segundos.
En la máquina (o la imagen maestra utilizada en un catálogo de máquinas), defina la siguiente clave de Registro:
Clave: HKLM\SOFTWARE\Citrix\PortICA
Valor: AutoLogonTimeout
Tipo: DWORD
Especifique un número decimal en segundos que vaya de 0 a 3600.
Si cambia una imagen maestra, actualice el catálogo.
Nota: Esta configuración solo se aplica a las máquinas virtuales con agentes VDA de escritorio (estaciones de trabajo); Microsoft controla el tiempo de espera de inicio de sesión en máquinas con agentes VDA de servidor.