Optimiser la connectivité aux espaces de travail avec Direct Workload Connection

Avec la fonction Direct Workload Connection de Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les bureaux des espaces de travail des abonnés afin de rendre les sessions HDX plus rapides. Normalement, les utilisateurs des réseaux internes et externes se connectent à des VDA via une passerelle externe. Cette passerelle peut se trouver localement dans votre organisation ou fournie en tant que service par Citrix et ajoutée à l’emplacement des ressources dans Citrix Cloud. Direct Workload Connection permet aux utilisateurs internes de contourner la passerelle et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne.

Pour configurer Direct Workload Connection, vous avez besoin d’emplacements réseau correspondant à l’endroit où les clients lancent des applications et des bureaux dans votre environnement. Ajoutez une adresse publique pour chaque adresse de bureau où résident ces clients à l’aide du service de localisation réseau (NLS). Vous disposez de deux options pour configurer les emplacements réseau :

• Utilisation de l’option de menu Emplacements réseau dans Citrix Cloud
• Utilisation d’un module PowerShell fourni par Citrix

Les emplacements réseau correspondent aux plages IP publiques des réseaux depuis lesquels vos utilisateurs internes se connectent, tels que les emplacements de votre bureau ou de votre succursale. Citrix Cloud utilise des adresses IP publiques pour déterminer si les réseaux à partir desquels des applications ou des bureaux virtuels sont lancés sont internes ou externes au réseau de l’entreprise. Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant NetScaler Gateway. Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via NetScaler Gateway, puis dirige le trafic de session via Citrix Cloud Connector vers le VDA dans le réseau interne. Si Citrix Gateway Service est utilisé et que le protocole Rendezvous est activé, Citrix Cloud achemine les utilisateurs externes via Gateway Service vers le VDA du réseau interne. Les clients itinérants tels que les ordinateurs portables peuvent utiliser l’une ou l’autre de ces itinéraires réseau, selon que le client se trouve à l’intérieur ou à l’extérieur du réseau de l’entreprise au moment du lancement.

Important :

Si votre environnement inclut Citrix DaaS Standard pour Azure avec des VDA locaux, la configuration de Direct Workload Connection entraîne l’échec des lancements à partir du réseau interne.

Les lancements de ressources Remote Browser Isolation, Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials sont toujours acheminés via la passerelle. Ces lancements ne permettent pas d’améliorer les performances de la configuration de Direct Workload Connection.

Exigences

Configuration réseau requise

• Le réseau d’entreprise et les réseaux Wi-Fi invités doivent comporter des adresses IP publiques distinctes. Si vos réseaux d’entreprise et d’invité utilisent les mêmes adresses IP publiques, les utilisateurs du réseau invité ne peuvent pas lancer les sessions DaaS.
• Utilisez les plages d’adresses IP publiques des réseaux à partir desquels vos utilisateurs internes se connectent. Les utilisateurs internes de ces réseaux doivent disposer d’une connexion directe aux VDA. Si ce n’est pas le cas, les lancements de ressources virtuelles échouent car Workspace tente d’acheminer les utilisateurs internes directement vers les VDA, ce qui n’est pas possible.
• Bien que les VDA soient généralement situés au sein de votre réseau local, vous pouvez également utiliser des VDA hébergés dans un cloud public tel que Microsoft Azure. Les lancements de clients doivent disposer d’un itinéraire réseau pour contacter les VDA sans être bloqués par un pare-feu. Cela nécessite un tunnel VPN entre votre réseau local et un réseau virtuel sur lequel résident les VDA.

Exigences TLS

TLS 1.2 doit être activé dans PowerShell lors de la configuration de vos emplacements réseau. Pour forcer PowerShell à utiliser TLS 1.2, utilisez la commande suivante avant d’utiliser le module PowerShell :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Exigences relatives à l’espace de travail

• Vous avez un espace de travail configuré dans Citrix Cloud.
• Citrix DaaS est activé dans Configuration de l’espace de travail > Intégrations de services.

Activer TLS pour l’application Workspace pour les connexions HTML5

Si vos abonnés utilisent l’application Citrix Workspace pour HTML5 pour lancer des applications et des bureaux, Citrix recommande de configurer TLS sur les VDA de votre réseau interne. La configuration de vos VDA pour utiliser des connexions TLS garantit la possibilité de pouvoir lancer directement des applications et bureaux depuis des VDA. Si TLS n’est pas activé sur les VDA, les lancements d’applications et de bureaux doivent être acheminés via une passerelle lorsque les abonnés utilisent l’application Citrix Workspace pour HTML5. Les lancements à l’aide de Desktop Viewer ne sont pas affectés. Pour plus d’informations sur la sécurisation des connexions VDA directes avec TLS, consultez l’article CTX134123 dans le Centre de connaissances Citrix.

Ajouter des emplacements réseau via l’interface graphique

La configuration Direct Workload Connection via Citrix Cloud implique la création d’emplacements réseau à l’aide des plages d’adresses IP publiques de chaque emplacement de succursale à partir de laquelle vos utilisateurs internes se connectent.

1. Dans la console Citrix Cloud, accédez à Emplacements réseau.

2. Cliquez sur Ajouter un emplacement réseau.

3. Entrez un nom d’emplacement réseau et une plage d’adresses IP publiques pour l’emplacement.

   

4. Cliquez sur Save.

5. Répétez ces étapes pour chaque nouvel emplacement réseau que vous souhaitez ajouter.

Remarque :

Les balises d’emplacement ne sont pas requises pour Direct Workload Connection car le type de connectivité est toujours interne. Le champ Balises d’emplacement de la page Ajouter un emplacement réseau (Citrix Cloud > Emplacements réseau > Ajouter un emplacement réseau > Balises d’emplacement) n’est visible que si la fonctionnalité Accès adaptatif est activée. Pour plus de détails, voir Activer la fonctionnalité Accès adaptatif.

Modifier ou supprimer des emplacements réseau

1. Dans la console Citrix Cloud, accédez à Emplacements réseau dans le menu principal.

2. Localisez l’emplacement réseau que vous souhaitez gérer et cliquez sur le bouton représentant des points de suspension.

   

3. Sélectionnez l’une des commandes suivantes :
   • Sélectionnez Modifier pour modifier l’emplacement réseau. Après avoir apporté des modifications, cliquez sur Enregistrer.
   • Sélectionnez Supprimer pour supprimer l’emplacement réseau. Sélectionnez Oui, supprimer pour confirmer la suppression. Vous ne pouvez pas annuler cette opération.

Ajouter et modifier des emplacements réseau avec PowerShell

Au lieu d’utiliser l’interface de la console de gestion Citrix Cloud, vous pouvez utiliser un script PowerShell pour configurer Direct Workload Connection. La configuration de Direct Workload Connection avec PowerShell implique les tâches suivantes :

1. Déterminez les plages d’adresses IP publiques de chaque emplacement de succursale à partir de laquelle vos utilisateurs internes se connectent.
2. Téléchargez le module PowerShell.
3. Créez un client API sécurisé dans Citrix Cloud et notez l’ID client et le secret.
4. Importez le module PowerShell et connectez-vous au service de localisation réseau avec les détails de votre client API.
5. Créez des sites de service de localisation réseau pour chacun de vos emplacements de succursales avec les plages d’adresses IP publiques que vous avez précédemment déterminées. Direct Workload Connection est automatiquement activé pour tous les lancements provenant des emplacements réseau internes que vous avez spécifiés.
6. Lancez une application ou un bureau à partir d’un appareil de votre réseau interne et vérifiez que la connexion va directement au VDA, en contournant la passerelle. Pour plus d’informations, consultez la section Journalisation des fichiers ICA dans cet article.

Télécharger le module PowerShell

Avant de configurer vos emplacements réseau, téléchargez le module PowerShell fourni par Citrix (nls.psm1) à partir du référentiel Citrix GitHub. À l’aide de ce module, vous pouvez configurer autant d’emplacements réseau que nécessaire pour vos VDA.

1. Dans un navigateur Web, accédez à https://github.com/citrix/sample-scripts/blob/master/workspace/NLS2.psm1.
2. Appuyez sur ALT tout en cliquant sur le bouton Raw.
3. Sélectionnez un emplacement sur votre ordinateur et cliquez sur Enregistrer.

Détails de configuration requis

Pour configurer vos emplacements réseau, vous avez besoin des informations suivantes :

• ID client sécurité Citrix Cloud, ID client et secret client. Pour obtenir ces valeurs, consultez la section Créer un client sécurisé dans cet article.
• Plages d’adresses IP publiques des réseaux à partir desquels vos utilisateurs internes se connectent. Pour plus d’informations sur ces plages d’adresses IP publiques, consultez la section Exigences dans cet article.

Créer un client sécurisé

1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Accès aux API.

3. Dans l’onglet Clients sécurisés, notez votre ID client.

   

4. Entrez un nom pour le client, puis sélectionnez Créer un client.

5. Copiez l’ID client et le secret client.

   

Configurer les emplacements réseau

1. Ouvrez une fenêtre de commande PowerShell et accédez au répertoire où vous avez enregistré le module PowerShell.
2. Importez le module : Import-Module .\nls.psm1 -Force
3. Définissez les variables requises avec les informations de votre client sécurisé dans Créer un client sécurisé :
   • $clientId = "YourSecureClientID"
   • $customer = "YourCustomerID"
   • $clientSecret = "YourSecureClientSecret"

4. Connectez-vous au service de localisation réseau à l’aide de vos informations d’identification de client sécurisé :

   Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer
   

5. Créez un emplacement réseau en remplaçant les valeurs des paramètres par les valeurs correspondant au réseau interne à partir duquel vos utilisateurs internes se connectent directement :

   New-NLSSite -name "YourSiteName" -tags @("YourTags") -ipv4Ranges @("PublicIpsOfYourNetworkSites") -longitude 12.3456 -latitude 12.3456 -internal $True
   

   Pour spécifier une seule adresse IP au lieu d’une plage, ajoutez /32 à la fin de l’adresse IP. Par exemple :

   New-NLSSite -name "YourSiteName" -tags @("YourTags") -ipv4Ranges @("PublicIpOfYourNetworkSite/32") -longitude 12.3456 -latitude 12.3456 -internal $True
   

   Important :

   Lorsque vous utilisez la commande New-NLSSite, incluez au moins une valeur pour chaque paramètre. Si vous exécutez cette commande sans argument de ligne de commande, PowerShell vous invite à entrer les valeurs appropriées pour chaque paramètre, une par une. La propriété internal est une propriété booléenne obligatoire avec les valeurs possibles $True ou $False qui correspond à l’interface utilisateur via PowerShell. Par exemple, (UI) Network Internal -> (PowerShell) –internal=$True.

   Lorsque l’emplacement réseau est créé, la fenêtre de commande affiche les détails de l’emplacement réseau.

6. Répétez l’étape 5 pour tous les emplacements réseau à partir desquels les utilisateurs se connectent.
7. Exécutez la commande Get-NLSSite pour renvoyer une liste de tous les sites que vous avez configurés avec le service de localisation réseau et vérifiez que leurs détails sont corrects.

Modifier les emplacements réseau

Pour modifier un emplacement réseau existant, procédez comme suit :

1. Dans une fenêtre de commande PowerShell, listez tous les emplacements réseau existants : Get-NLSSite

2. Pour modifier la plage d’adresses IP d’un emplacement réseau spécifique, tapez

   (Get-NLSSite)[N] | Set-NLSSite -ipv4Ranges @("1.2.3.4/32","4.3.2.1/32")

   où [N] est le nombre correspondant à l’emplacement dans la liste (qui commence par un zéro) et "1.2.3.4/32","4.3.2.1/32" sont les plages d’adresses IP séparées par des virgules que vous souhaitez utiliser. Par exemple, pour modifier le premier emplacement répertorié, tapez la commande suivante :

   (Get-NLSSite)[0] | Set-NLSSite -ipv4Ranges @("98.0.0.1/32","141.43.0.0/24")

Supprimer des emplacements réseau

Pour supprimer des emplacements réseau que vous ne souhaitez plus utiliser, procédez comme suit :

1. Dans une fenêtre de commande PowerShell, listez tous les emplacements réseau existants : Get-NLSSite
2. Pour supprimer tous les emplacements réseau, tapez Get-NLSSite | Remove-NLSSite
3. Pour supprimer des emplacements réseau spécifiques, tapez (Get-NLSSite)[N] | Remove-NLSSite, où [N] est le numéro correspondant à l’emplacement dans la liste. Par exemple, pour supprimer le premier emplacement répertorié, tapez (Get-NLSSite)[0] | Remove-NLSSite.

Vérifier que les lancements internes sont acheminés correctement

Pour vérifier que les lancements internes accèdent directement aux VDA, utilisez l’une des méthodes suivantes :

• Affichez les connexions VDA via la console DaaS.
• Utilisez la journalisation des fichiers ICA pour vérifier l’adresse correcte de la connexion client.

Console Citrix DaaS

Sélectionnez Gérer > Moniteur, puis recherchez un utilisateur dont la session est active. Dans la section Détails de la session de la console, les connexions VDA directes s’affichent sous forme de connexions UDP tandis que les connexions par passerelle s’affichent sous forme de connexions TCP.

Si UDP n’apparaît pas sur la console DaaS, vous devez activer la stratégie HDX Adaptive Transport pour les VDA.

Journalisation des fichiers ICA

Activez la journalisation des fichiers ICA sur l’ordinateur client comme décrit à la section Pour autoriser la journalisation du fichier launch.ica. Après le lancement des sessions, examinez les entrées Address et SSLProxyHost dans le fichier journal.

Connexions VDA directes

Pour les connexions VDA directes, la propriété Address contient l’adresse IP et le port du VDA.

Voici un exemple de fichier ICA lorsqu’un client lance une application à l’aide de NLS :

[Notepad++ Cloud]
Address=;10.0.1.54:1494
SSLEnable=Off
<!--NeedCopy-->

La propriété SSLProxyHost n’est pas présente dans ce fichier. Cette propriété est incluse uniquement pour les lancements via une passerelle.

Connexions de passerelle

Pour les connexions de passerelle, la propriété Address contient le ticket STA Citrix Cloud, la propriété SSLEnable est définie sur Onet la propriété SSLProxyHost contient le nom de domaine complet et le port de la passerelle.

Voici un exemple de fichier ICA lorsqu’un client dispose d’une connexion via Citrix Gateway Service et lance une application :

[PowerShell ISE Cloud]
Address=;40;CWSSTA;027C02199068B33889A40C819A85CBB4
SSLEnable=On
SSLProxyHost=global.g.nssvcstaging.net:443
<!--NeedCopy-->

Voici un exemple de fichier ICA lorsqu’un client dispose d’une connexion via une passerelle locale et lance une application à l’aide d’une passerelle locale configurée dans l’emplacement de ressources :

[PowerShell ISE Cloud]
Address=;40;CWSSTA;027C02199068B33889A40C819A85CBB5
SSLEnable=On
SSLProxyHost=onpremgateway.domain.com:443
<!--NeedCopy-->

Remarque :

Les serveurs virtuels de passerelle locale utilisés pour lancer des applications et des bureaux virtuels doivent être des serveurs virtuels VPN, et non des serveurs virtuels d’authentification nFactor. Les serveurs virtuels d’authentification nFactor servent uniquement à l’authentification des utilisateurs et ne fournissent pas de proxy pour le trafic de lancement ICA et des ressources HDX.

Exemple de script

L’exemple de script inclut toutes les commandes dont vous pourriez avoir besoin pour ajouter, modifier et supprimer les plages d’adresses IP publiques de vos succursales. Cependant, vous n’avez pas besoin d’exécuter toutes les commandes pour exécuter une fonction unique. Pour que le script s’exécute, incluez toujours les 10 premières lignes, de Import-Module jusqu’à Connect-NLS. Par la suite, vous pouvez inclure uniquement les commandes pour les fonctions que vous souhaitez effectuer.

Import-Module .\nls.psm1 -Force

$clientId = "XXXX" #Replace with your clientId
$clientSecret = "YYY"    #Replace with your clientSecret
$customer = "CCCCCC"  #Replace with your customerid

# Connect to Network Location Service
Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer

# Create a new Network Location Service Site (Replace with details corresponding to your branch locations)
New-NLSSite -name "New York" -tags @("EastCoast") -ipv4Ranges @("1.2.3.0/24") -longitude 40.7128 -latitude -74.0060 -internal $True

# Get the existing Network Location Service Sites (optional)
Get-NLSSite

# Update the IP Address ranges of your first Network Location Service Site (optional)
$s = (Get-NLSSite)[0]
$s.ipv4Ranges = @("1.2.3.4/32","4.3.2.1/32")
\$s | Set-NLSSite

# Remove all Network Location Service Sites (optional)
Get-NLSSite | Remove-NLSSite

# Remove your third site (optional)
\(Get-NLSSite)\[2] | Remove-NLSSite

Dépannage

Échecs de lancement du VDA

Si les sessions VDA ne parviennent pas à démarrer, vérifiez que vous utilisez des plages d’adresses IP publiques à partir du réseau approprié. Lors de la configuration de vos emplacements réseau, vous devez utiliser les plages d’adresses IP publiques sur le réseau à partir duquel vos utilisateurs se connectent pour accéder à Internet. Pour plus d’informations, consultez la section Exigences dans cet article.

Les lancements de VDA internes sont toujours acheminés par la passerelle

Si les sessions VDA lancées en interne sont toujours acheminées via la passerelle comme s’il s’agissait de sessions externes, vérifiez que vous utilisez l’adresse IP publique correcte à partir de laquelle vos utilisateurs internes se connectent pour accéder à leur espace de travail. L’adresse IP publique répertoriée sur le site NLS doit correspondre à l’adresse que le client qui lance les ressources utilise pour accéder à Internet. Pour obtenir l’adresse IP publique correcte pour le client, connectez-vous à l’ordinateur client, visitez un moteur de recherche et saisissez « what is my ip » dans la barre de recherche.

Tous les clients qui lancent des ressources à partir du même emplacement de bureau accèdent généralement à Internet en utilisant la même adresse IP publique de sortie réseau. Ces clients doivent disposer d’un itinéraire réseau Internet vers les sous-réseaux où résident les VDA, qui n’est pas bloqué par un pare-feu. Pour plus d’informations, consultez la section Exigences dans cet article.

Erreurs lors de l’exécution des applets de commande PowerShell sur des plates-formes non Windows

Si vous rencontrez des erreurs lors de l’exécution des applets de commande avec les paramètres corrects sur PowerShell Core, vérifiez que l’opération a bien été effectuée. Par exemple, si vous rencontrez des erreurs lors de l’exécution de l’applet de commande New-NLSSite, exécutez Get-NLSSite pour vérifier que le site a été créé. L’exécution de ces applets de commande sur des plates-formes macOS ou Linux à l’aide de PowerShell Core peut entraîner une erreur même si l’opération a été exécutée avec succès.

Si vous rencontrez ce problème lors de l’exécution d’applets de commande avec les paramètres corrects sur une plate-forme Windows à l’aide de PowerShell, assurez-vous d’utiliser la dernière version du module PowerShell. Avec la dernière version du module PowerShell, ce problème ne se produit pas sur les plates-formes Windows.

Aide et support supplémentaires

Pour obtenir de l’aide ou des questions sur la résolution des problèmes, contactez votre représentant commercial Citrix ou le support Citrix.