Optimiser la connectivité aux espaces de travail avec le service de localisation réseau (Technical Preview)

Remarque :

Cette fonctionnalité est actuellement disponible dans la version Technical Preview. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans les environnements de test.

Avec le service de localisation réseau de Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les bureaux que vous mettez à la disposition des espaces de travail des abonnés afin de rendre les sessions HDX plus rapides. Normalement, les utilisateurs des réseaux internes et externes doivent se connecter à des VDA via une passerelle externe. Bien que cela soit attendu pour les utilisateurs externes, les utilisateurs internes connaissent des connexions plus lentes aux ressources virtuelles. Le service de localisation réseau permet aux utilisateurs internes de contourner la passerelle et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne.

Pour configurer le service de localisation réseau, vous configurez les emplacements réseau qui correspondent aux VDA de votre environnement à l’aide du module PowerShell du service de localisation réseau fourni par Citrix. Ces emplacements réseau incluent les plages d’adresses IP publiques des réseaux à partir desquels vos utilisateurs internes se connecteront. Lorsque les abonnés lancent des sessions Virtual Apps and Desktops à partir de leur espace de travail, Citrix Cloud détecte si les abonnés sont internes ou externes au réseau de l’entreprise en fonction de l’adresse IP publique du réseau à partir duquel ils se connectent. Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant Citrix Gateway. Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via Citrix Gateway comme prévu, puis redirige l’abonné vers le VDA dans le réseau interne.

Produits pris en charge

Le service de localisation réseau est pris en charge pour le service Virtual Apps and Desktops uniquement. La prise en charge de Citrix Managed Desktops et Citrix SD-WAN est disponible en version Technical Preview.

Important :

Si votre environnement inclut Managed Desktops avec des VDA locaux, la configuration du service de localisation réseau entraîne l’échec des lancements de Managed Desktops à partir du réseau interne.

Les lancements de Secure Browser, Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials sont toujours acheminés via la passerelle. Par conséquent, ces lancements ne permettent pas d’améliorer les performances de la configuration du service de localisation réseau.

Exigences

Configuration réseau requise

  • Si vous disposez d’un réseau d’entreprise et d’un réseau Wi-Fi invité, ces réseaux doivent avoir des adresses IP publiques distinctes. Si vos réseaux d’entreprise et d’invité partagent la même adresse IP publique, les utilisateurs du réseau invité ne peuvent pas lancer les sessions Virtual Apps and Desktops.
  • Vous devez utiliser les plages d’adresses IP publiques des réseaux à partir desquels vos utilisateurs internes se connecteront. Les utilisateurs internes de ces réseaux doivent disposer d’une connexion directe aux VDA. Si ce n’est pas le cas, les lancements de ressources virtuelles échouent car les utilisateurs internes sont acheminés directement vers les VDA, ce qui n’est pas possible.

Exigences TLS

TLS 1.2 doit être activé dans PowerShell pour se connecter au service de localisation réseau. Pour forcer PowerShell à utiliser TLS 1.2, utilisez la commande suivante :

```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```

Exigences relatives à l’espace de travail

Vous devez disposer d’un espace de travail configuré dans Citrix Cloud, le service Virtual Apps and Desktops doit être activé dans Configuration de l’espace de travail > Intégrations de services, et vous devez utiliser des VDA locaux pour fournir des ressources virtuelles aux abonnés de l’espace de travail.

Activer TLS pour l’application Workspace pour les connexions HTML5

Si vos abonnés utilisent l’application Citrix Workspace pour HTML5 pour lancer des applications et des bureaux, TLS doit être activé sur les VDA de votre réseau interne pour que les connexions directes à ces VDA soient établies correctement. TLS est requis car les connexions non sécurisées entre le client interne et le VDA ne sont pas autorisées sur les sites HTTPS où l’application Workspace est hébergée. Si TLS n’est pas activé sur les VDA, l’utilisation du service de localisation réseau entraîne l’échec des connexions directes pour les utilisateurs internes avec la visionneuse HTML5 et les abonnés ne peuvent pas lancer leurs applications et bureaux. Les lancements à l’aide de Desktop Viewer ne sont pas affectés. Pour plus d’informations sur la sécurisation des connexions VDA directes avec TLS, consultez l’article CTX134123 dans le Centre de connaissances du support Citrix.

Module PowerShell et configuration

Télécharger le module PowerShell

Avant de configurer vos emplacements réseau, téléchargez le module PowerShell du service de localisation réseau fourni par Citrix (nls.psm1) à partir du référentiel Citrix Github. À l’aide de ce module, vous pouvez configurer autant d’emplacements réseau que nécessaire pour vos VDA.

  1. Depuis un navigateur Web, accédez à https://github.com/citrix/sample-scripts/blob/master/workspace/nls.psm1.
  2. Appuyez sur ALT tout en cliquant sur le bouton Raw. Vue de fichier Github avec bouton Raw en surbrillance
  3. Sélectionnez un emplacement sur votre ordinateur et cliquez sur Enregistrer.

Détails de configuration requis

Pour configurer vos emplacements réseau, vous avez besoin des informations suivantes :

  • ID client sécurité Citrix Cloud, ID client et secret client. Pour obtenir ces valeurs, reportez-vous à Créer un client sécurisé dans cet article.
  • Plages d’adresses IP publiques pour les réseaux à partir desquels vos utilisateurs internes se connecteront. Pour plus d’informations sur ces plages d’adresses IP publiques, consultez la section Exigences dans cet article.

Vous pouvez créer un script pour entrer ces valeurs, comme indiqué par Exemple de script. Vous pouvez également entrer ces valeurs via la ligne de commande PowerShell, comme décrit dans Configurer les emplacements réseau dans cet article.

Remarque :

Le module PowerShell inclut un fuseau horaire codé en dur. Bien que ce fuseau horaire n’affecte pas les fonctionnalités du module de vos emplacements réseau, vous pouvez le modifier en changeant les lignes 67-71 du fichier nls.psm1.

Exemple de script

L’exemple de script inclut toutes les commandes dont vous pourriez avoir besoin pour ajouter, modifier et supprimer les plages d’adresses IP publiques de vos succursales. Cependant, vous n’avez pas besoin d’exécuter toutes les commandes pour exécuter une fonction unique. Pour que le script s’exécute, incluez toujours les 10 premières lignes, de Import-Module jusqu’à Connect-NLS. Par la suite, vous pouvez inclure uniquement les commandes pour les fonctions que vous souhaitez effectuer.

Import-Module .\nls.psm1 -Force
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

$clientId = "XXXX" #Replace with your clientId
$clientSecret = "YYY"    #Replace with your clientSecret
$customer = "CCCCCC"  #Replace with your customerid


# Connect to Network Location Service
Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer

# Create a new Network Location Service Site (Replace with details corresponding to your branch locations)
New-NLSSite -name "New York" -tags @("EastCoast") -timezone "America/New_York" -ipv4Ranges @("1.2.3.0/24") -longitude 40.7128 -latitude -74.0060

# Get the existing Network Location Service Sites
Get-NLSSite

# Create and update a Network Location Service Site
$s = (Get-NLSSite)[0]
$s.ipv4Ranges = @("1.2.3.4/32","4.3.2.1/32")
$s | Set-NLSSite

# Remove all Network Location Service Sites
Get-NLSSite | Remove-NLSSite

(Get-NLSSite)[2] | Remove-NLSSite

Créer un client sécurisé

  1. Connectez-vous à Citrix Cloud à partir de https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Accès aux API.
  3. Dans l’onglet Clients sécurisés, notez votre ID client. Console client sécurisé avec identifiant client en surbrillance
  4. Entrez un nom pour le client, puis sélectionnez Créer un client.
  5. Copiez l’ID client et le secret client. Boîte de dialogue Identifiant et secret client sécurisé

Configurer les emplacements réseau

  1. Ouvrez une fenêtre de commande PowerShell et accédez au répertoire où vous avez enregistré le module PowerShell.
  2. Importez le module : Import-Module .\nls.psm1 -Force
  3. Définissez les variables requises avec vos informations de client sécurisé à partir de Créer un client sécurisé :
    • $clientId = "YourSecureClientID"
    • $customer = "YourCustomerID"
    • $clientSecret = "YourSecureClientSecret"
  4. Connectez-vous au service de localisation réseau à l’aide de vos informations d’identification de client sécurisé :

    Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer
    
  5. Créez un emplacement réseau en remplaçant les valeurs des paramètres par les valeurs correspondant au réseau interne à partir duquel vos utilisateurs internes se connectent directement :

    New-NLSSite -name "YourSiteName" -tags @("YourTags") -timezone "YourLocationTimezone" -ipv4Ranges @("ExternalIpsOfYourNetworkSites") -longitude 12.3456 -latitude 12.3456
    
  6. Vérifiez que les informations de localisation du réseau que vous venez de saisir sont correctes : Get-NLSSite
  7. Répétez les étapes 5 et 6 pour tous les emplacements réseau à partir desquels les utilisateurs se connectent.

Vérifier que les lancements internes sont acheminés correctement

Pour vérifier que les lancements internes accèdent directement aux VDA, utilisez l’une des méthodes suivantes :

  • Affichez les connexions VDA via la console Virtual Apps and Desktops.
  • Utilisez la journalisation des fichiers ICA pour vérifier l’adresse correcte de la connexion client.

Console Virtual Apps and Desktops Service

Sélectionnez Gérer > Moniteur, puis recherchez un utilisateur dont la session est active. Dans la section Détails de la session de la console, les connexions VDA directes s’affichent sous forme de connexions UDP tandis que les connexions par passerelle s’affichent sous forme de connexions TCP.

Journalisation des fichiers ICA

Activez la journalisation des fichiers ICA sur l’ordinateur client comme décrit à la section Pour autoriser la journalisation du fichier launch.ica. Après le lancement des sessions, examinez les entrées Address et SSLProxyHost dans le fichier journal.

Pour les connexions VDA directes, la propriété Address contient l’adresse IP et le port du VDA et la propriété SSLProxyHost contient le nom de domaine complet et le port du VDA.

Pour les connexions par passerelle, la propriété Address contient le ticket STA et la propriété SSLProxyHost contient le nom de domaine complet et le port de la passerelle.

Modifier les emplacements réseau

  1. Dans une fenêtre de commande PowerShell, listez tous les emplacements réseau existants : Get-NLSSite
  2. Pour modifier la plage d’adresses IP d’un emplacement réseau spécifique, tapez

    (Get-NLSSite)[N] -ipv4Ranges @("1.2.3.4/32","4.3.2.1/32") | Set-NLSSite

    [N] est le nombre correspondant à l’emplacement dans la liste et "1.2.3.4/32","4.3.2.1/32" sont les plages d’adresses IP séparées par des virgules que vous souhaitez utiliser. Par exemple, pour modifier le premier emplacement répertorié, tapez la commande suivante :

    (Get-NLSSite)[0] -ipv4Ranges @("98.0.0.1/32","141.43.0.0/24") | Set-NLSSite

Supprimer des emplacements réseau

  1. Dans une fenêtre de commande PowerShell, listez tous les emplacements réseau existants : Get-NLSSite
  2. Pour supprimer tous les emplacements réseau, tapez Get-NLSSite | Remove-NLSSite
  3. Pour supprimer des emplacements réseau spécifiques, tapez (Get-NLSSite)[N] | Remove-NLSSite, où [N] est le numéro correspondant à l’emplacement dans la liste. Par exemple, pour supprimer le premier emplacement répertorié, tapez (Get-NLSSite)[0] | Remove-NLSSite.

Résolution des problèmes

Connect-NLS renvoie une erreur

Si vous recevez une erreur lors de l’exécution de la commande Connect-NLS (étape 2 dans Configurer les emplacements réseau), vous devrez peut-être forcer PowerShell à utiliser TLS 1.2. Pour ce faire, exécutez la commande suivante :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Échecs de lancement du VDA

Si les sessions VDA ne parviennent pas à démarrer, vérifiez que vous utilisez des plages d’adresses IP publiques à partir du réseau approprié. Lors de la configuration de vos emplacements réseau, vous devez utiliser les plages d’adresses IP publiques sur le réseau à partir duquel vos utilisateurs se connectent. Pour plus d’informations, consultez la section Exigences dans cet article.

Pour vérifier l’adresse IP publique du VDA, connectez-vous à chaque machine VDA, accédez à https://google.com et entrez « What is my IP » dans la barre de recherche.

Les lancements de VDA internes sont toujours acheminés par la passerelle

Si les sessions VDA lancées en interne sont toujours acheminées via la passerelle comme s’il s’agissait de sessions externes, vérifiez que vous utilisez des plages d’adresses IP correctes pour les réseaux à partir desquels vos utilisateurs internes se connectent. Il s’agit généralement des plages d’adresses IP publiques qui correspondent aux réseaux où résident vos VDA, bien que vos utilisateurs puissent accéder aux VDA via un VPN. N’utilisez pas les adresses IP locales des VDA. Pour plus d’informations, consultez la section Exigences dans cet article.

Pour vérifier l’adresse IP publique du VDA, connectez-vous à chaque machine VDA, accédez à https://google.com et entrez « What is my IP » dans la barre de recherche.

Aide et support supplémentaires

Pour obtenir de l’aide, poser des questions ou fournir des commentaires sur le service de localisation réseau, rendez-vous sur le Forum de support pour la version Technical Preview du service de localisation réseau pour discuter avec les experts Citrix et d’autres membres de la communauté Citrix Cloud.