Décisions de conception pour Remote PC Access

Généralités

Remote PC Access est un moyen simple et efficace de permettre aux utilisateurs d’accéder à leur PC Windows physique basé sur un bureau. En utilisant n’importe quel périphérique de point de terminaison, les utilisateurs peuvent rester productifs quel que soit leur emplacement. Toutefois, les organisations souhaitent tenir compte des éléments suivants lors de la mise en œuvre de Remote PC Access.

Scénarios de déploiement

Il existe plusieurs façons de connecter un PC à un utilisateur, chacune applicable à différents scénarios.

Les employés de bureau

Dans de nombreux déploiements, Remote PC Access est déployé dans un scénario de travail de bureau où un utilisateur est assigné de façon permanente à un PC.

Travailleurs de bureau

Il s’agit du scénario de déploiement le plus courant. Pour implémenter ce cas d’utilisation, l’administrateur peut utiliser le type de catalogue de machines Remote PC Access.

Travailleurs de bureau

Laboratoires informatiques

Dans certaines situations, les utilisateurs doivent partager un ensemble de ressources informatiques, souvent trouvées dans les laboratoires informatiques des écoles, collèges et universités. Les utilisateurs sont affectés aléatoirement à un PC physique disponible.

Utilisateurs du laboratoire informatique

Ce type de configuration utilise un système d’exploitation à session unique non géré, attribué aléatoirement, qui est configuré comme suit :

  • Dans l’Assistant Configuration du catalogue de machines, utilisez le système d’ exploitation à session unique

Travailleurs de bureau

  • Sélectionner les machines qui ne sont pas gérées en alimentation
  • Sélectionnez Autre service ou technologie

Travailleurs de bureau

  • Sélectionnez Je veux que les utilisateurs se connectent à un nouveau bureau (aléatoire) chaque fois qu’ils ouvrent une session.

Travailleurs de bureau

Parce qu’il y a souvent plus d’utilisateurs que de PC dans un laboratoire informatique, les stratégies limitant le temps de session sont recommandés.

Authentification

Les utilisateurs continuent à s’authentifier sur leur PC de bureau avec leurs informations d’identification Active Directory. Cependant, comme elles accèdent par Internet à partir de l’extérieur du bureau, les entreprises ont généralement besoin de niveaux d’authentification plus élevés que le simple nom d’utilisateur et mot de passe.

Citrix Workspace prend en charge différentes options d’authentification à sélectionner, y compris le jeton Active Directory + et Azure Active Directory. Options d’authentification prises en charge

Si Citrix Gateway est configuré comme option d’authentification pour Citrix Workspace, ou si un client choisit d’utiliser Citrix Gateway + Citrix StoreFront comme alternative à Citrix Workspace, la sélection beaucoup plus large de Options d’authentification Citrix Gateway devient disponible.

Certaines de ces options, comme le mot de passe à usage unique basé sur le temps, exigent que l’utilisateur s’inscrive initialement pour un nouveau jeton. Comme l’enregistrement du jeton exige que l’utilisateur accède à son e-mail pour valider son identité, il peut être nécessaire de le faire avant que l’utilisateur ne tente de travailler à distance.

Sécurité de session

Les utilisateurs peuvent accéder à distance à leur PC de travail à l’aide d’un appareil personnel non fiable. Les organisations peuvent utiliser des stratégies Citrix Virtual Apps and Desktops intégrées pour se protéger contre :

  • Risques liés aux points de terminaison : les enregistreurs de clés installés secrètement sur le terminal peuvent facilement capturer un nom d’utilisateur et un mot de passe. Les Fonctionnalités de protection contre l’enregistrement de frappe protègent l’organisation contre les informations d’identification volées en obfuscant les frappes.
  • Risques entrants : les terminaux non fiables peuvent contenir des logiciels malveillants, des logiciels espions et d’autres contenus dangereux. Le refus d’accès aux lecteurs du terminal empêche la transmission de contenu dangereux vers le réseau d’entreprise.
  • Risques sortants : Les organisations doivent garder le contrôle sur le contenu. Permettre aux utilisateurs de copier du contenu sur des périphériques de terminaux locaux non fiables pose des risques supplémentaires pour l’organisation. Ces fonctionnalités peuvent être refusées en bloquant l’accès aux lecteurs, imprimantes, presse-papiers et stratégies anti-capture d’écran du point de terminaison.

Taille de l’infrastructure

Remarque : Les recommandations de dimensionnement suivantes constituent un bon point de départ, mais chaque environnement est unique, ce qui donne des résultats uniques. Surveillez l’infrastructure et la taille de manière appropriée.

Comme les utilisateurs accèdent aux ordinateurs de bureau existants, l’infrastructure supplémentaire nécessaire pour prendre en charge l’ajout de Remote PC Access est minimale. Cependant, il est important que la couche Contrôle et l’infrastructure de la couche Access soient dimensionnées et surveillées correctement afin de s’assurer qu’elles ne deviennent pas un goulot d’étranglement.

Couche de contrôle

Le Virtual Delivery Agent (VDA) sur chaque PC Office doit s’enregistrer auprès de Citrix Virtual Apps and Desktops. Pour les déploiements locaux, l’enregistrement VDA se fait directement avec un Delivery Controller, pour Citrix Virtual Apps & Desktops Service dans Citrix Cloud, cet enregistrement se produit via Citrix Cloud Connector.

Le dimensionnement des Delivery Controller ou Cloud Connector pour les charges de travail Remote PC Access est similaire aux charges de travail VDI. Citrix Consulting recommande une disponibilité au moins N+1. Des conseils pour la mise à l’échelle de Cloud Connector, y compris les conditions dans lesquelles un cache hôte local peut être requis, sont disponibles ici

Couche d’accès

Lorsqu’un utilisateur établit une session HDX sur son PC de bureau, le trafic ICA doit être acheminé par proxy vers le VDA. Le proxy ICA peut être fourni via les appliances Citrix Gateway ou le service Citrix Gateway.

Lorsque vous utilisez un Citrix ADC local pour Citrix Gateway, consultez la feuille de données du modèle particulier et reportez-vous à l’élément de ligne d’utilisateurs simultanés proxy SSL VPN/ICA comme point de départ. Si l’ADC gère d’autres charges de travail, vérifiez que le débit actuel et l’utilisation du processeur ne s’approchent pas de limites supérieures.

Assurez-vous qu’il y a suffisamment de bande passante Internet disponible à l’endroit où se trouve l’appliance Gateway pour prendre en charge les sessions ICA simultanées attendues.

Lorsque vous utilisez le service de passerelle à partir de Citrix Cloud, le trafic ICA circule entre l’emplacement des ressources (où se trouvent les VDA et Cloud Connector) directement vers le service Gateway. Le trafic est soit transmis par proxy par Cloud Connector (par défaut) ou peut circuler directement à partir du VDA, en contournant les Cloud Connector si les conditions d’utilisation du protocole de rendez-vous peuvent être remplies.

Lorsque Cloud Connector est utilisé pour proxy du trafic ICA vers le service de passerelle, cela peut constituer un goulot d’étranglement et une surveillance attentive du processeur et de la mémoire sur les machines virtuelles Cloud Connector est conseillée. Pour les estimations de planification initiale, une machine virtuelle Citrix Cloud Connector à 4 vCPU peut gérer un maximum de 1000 sessions proxy ICA simultanées. Le protocole Rendezvous (lorsqu’il est configuré) permet à Virtual Delivery Agent installé sur chaque PC physique de communiquer directement avec le service de passerelle au lieu de tunneler la session via Cloud Connector.

Lors de l’utilisation du service Gateway, Citrix recommande d’utiliser le protocole de rendez-vous pour atténuer le problème de Cloud Connector qui constitue un goulot d’étranglement pour ICA Proxy.

Stratégie de protocole Rendezvous

Il existe certaines conditions préalables pour permettre au protocole rendezvous de fonctionner, y compris :

  • Citrix Virtual Apps & Desktops Service
  • VDA version 1912 ou supérieure
  • Une stratégie HDX activée
  • Enregistrements DNS PTR pour tous les VDA
  • Commande de suite de chiffrement SSL spécifique
  • Connectivité Internet directe (non mandatée) du VDA au service de passerelle

Disponibilité

Si le PC Office n’est pas sous tension avec le VDA enregistré, la session de l’utilisateur ne peut pas être négociée. Citrix recommande de mettre en place des processus pour s’assurer que les ordinateurs auxquels les utilisateurs doivent se connecter sont sous tension.

Si disponible, modifiez le paramètre du BIOS du PC pour qu’il s’allume automatiquement en cas de panne de courant. Les administrateurs peuvent également configurer un objet Stratégie de groupe Active Directory pour supprimer l’option « Arrêter » du PCWindows. Cela empêche l’utilisateur de mettre hors tension le PC physique.

Remote PC Access prend également en charge les opérations Wake-on-LAN pour activer la mise sous tension des PC Windows qui sont actuellement hors tension. Cette option nécessite l’utilisation de Microsoft System Center Configuration Manager 2012, 2012 R2 ou 2016.

*Remarque : la fonctionnalité de connexion d’hébergement Wake-on-LAN de Microsoft Configuration Manager n’est pas disponible lors de l’utilisation du service Citrix Virtual Apps and Desktops dans Citrix Cloud*

Attributions utilisateur

Il est important que les utilisateurs soient tous courtés vers leur propre ordinateur de bureau. Une fois le VDA installé et le catalogue et le groupe de mise à disposition définis, les utilisateurs sont automatiquement affectés lors de leur prochaine ouverture de session localement au PC. Il s’agit d’une méthode efficace pour affecter des milliers d’utilisateurs.

Par défaut, plusieurs utilisateurs peuvent être affectés à un poste de travail s’ils se sont tous connectés au même PC physique, mais cela peut être désactivé via une modification du Registre sur les Delivery Controller.

L’administrateur Citrix Virtual Apps and Desktops peut modifier les affectations selon les besoins dans Citrix Studio ou via PowerShell. Pour commencer à utiliser PowerShell pour ajouter des VDA Remote PC Access à un site et affecter des utilisateurs, Citrix Consulting a produit un script de référence qui se trouve sur la Page Citrix GitHub.

Virtual Delivery Agent

Cette section passe en revue les principales considérations relatives au traitement du colis Virtual Delivery Agent.

Versions

Les administrateurs Citrix Virtual Apps and Desktops peuvent utiliser le package VDAWorkstationCoreSetup.exe ou VDAWorkstationSetup.exe avec l’indicateur /remotePC. Le package VDAWorkstationCoreSetup.exe est plus petit et ne comprend que les composants principaux requis pour Remote PC Access, mais notamment, dans les versions 1912 et antérieures, exclut les composants requis pour la redirection de contenu (voir la section Microsoft Teams pour plus d’informations).

Windows 7 et 8.1

Bien que Windows 7 ne soit plus pris en charge, de nombreuses organisations ont toujours des machines de bureau Windows 7 héritées. Pour le déploiement sur Windows 7 et Windows 8.1, les clients doivent utiliser le VDA XenDesktop 7.15 LTSR.

Windows 10

Pour le déploiement sur Windows 10, les clients doivent utiliser le VDA Citrix Virtual Apps and Desktops 1912 LTSR ou un VDA de version actuelle pris en charge. La compatibilité des versions Citrix pour les versions Windows 10 se trouve dans l’article CTX224843.

Options de ligne de commande utiles

Il existe plusieurs options de ligne de commande du programme d’installation VDA à prendre en compte lors du déploiement de Remote PC Access qui peuvent activer des fonctionnalités utiles.

/RemotePC

Utilisé avec le package VDA complet, VDAWorkstationSetup.exe, pour installer uniquement les composants principaux requis pour Remote PC Access.

/enable_hdx_ports

Ouvre les ports du pare-feu Windows requis par le Cloud Connector et les fonctionnalités activées (sauf l’assistance à distance Windows), si le service Pare-feu Windows est détecté, même si le pare-feu n’est pas activé.

/enable_hdx_udp_ports

Ouvre les ports UDP, dans le pare-feu Windows, qui sont requis par le transport adaptatif HDX, si le Service pare-feu Windows est détecté, même si le pare-feu n’est pas activé.

Pour ouvrir les ports utilisés par le VDA pour communiquer avec le contrôleur et les fonctionnalités activées, spécifiez l’option /enable_hdx_ports, en plus de l’option /enable_hdx_udp_ports.

/enable_real_time_transport

Active ou désactive l’utilisation d’UDP pour les paquets audio (RealTime Audio Transport pour l’audio). L’activation de cette fonctionnalité peut améliorer les performances audio.

Pour ouvrir les ports utilisés par le VDA pour communiquer avec le Controller et les fonctionnalités activées, spécifiez l’option /enable_hdx_ports, en plus de l’option /enable_real_time_transport.

/includeadditional “Citrix User Profile Manager”,”Citrix User Profile Manager WMI Plug in”

Dans un déploiement Remote PC Access, la plupart des implémentations ne nécessitent pas de gestion de profil. Toutefois, Citrix User Profile Manager capture également des mesures de performances, qui sont utiles aux administrateurs pour identifier et résoudre les problèmes liés aux performances. User Profile Manager n’a pas besoin d’être configuré, il doit simplement être déployé pour capturer des mesures.

Une fois installé, Citrix User Profile Manager permet aux administrateurs d’exécuter des rapports sur l’expérience utilisateur, la réactivité des sessions et des informations sur les performances d’ouverture de session au sein de Citrix Director et Citrix Analytics for Performances.

Graphique des performances d'ouverture de session

/logpath path

Emplacement du fichier journal. Le dossier spécifié doit exister car le programme d’installation ne le crée pas. Le chemin par défaut est « %TEMP% \ Citrix \ XenDesktop Installer », mais si l’installation est effectuée via SCCM, en fonction du contexte, les fichiers journaux peuvent se trouver dans le dossier temp système à la place.

/optimize

N’utilisez PAS cet indicateur car il est destiné principalement aux machines déployées MCS.

Déploiement

Pour déployer Virtual Delivery Agent sur des milliers de PC physiques, des processus automatisés sont nécessaires.

Par script

Le support d’installation pour Citrix Virtual Apps and Desktops inclut un script de déploiement (%InstallMedia%\Support\ADDeploy\InstallVDA.bat) qui peut être utilisé via les objets de stratégie de groupe Active Directory.

Le script peut être utilisé comme ligne de base pour les scripts PowerShell et les outils de déploiement de logiciels d’entreprise (ESD). Ces approches permettent aux entreprises de déployer rapidement l’agent sur des milliers de terminaux physiques.

Via SCCM

Si vous automatisez l’installation du VDA à l’aide d’un outil ESD tel que SCCM ou Altiris, la création de packages séparés pour les conditions préalables et le VDA a tendance à fonctionner le mieux. Vous trouverez plus d’informations sur le déploiement de VDA avec les outils ESD dans la documentation produit.

Microsoft Teams

Si les utilisateurs accèdent à Microsoft Teams pour des appels vocaux et vidéo, une fonctionnalité de redirection de contenu est requise pour créer une expérience utilisateur positive.

Pour que la redirection de contenu soit disponible lors de l’utilisation de VDA 1912 ou version antérieure, il est nécessaire de déployer le VDA sur les PC physiques à l’aide du programme d’installation VDA complet en une session (autonome VDAWorkstationSetup.exe) avec l’option de ligne de commande /remotepc.

Pa exemple : VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Si vous déployez VDA 2003 ou version ultérieure, le programme d’installation de VDA principal à session unique peut être utilisé à la place (autonome VDAWorkstationCoreSetup.exe).

Pa exemple : VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

Ports réseau communs

Comme tout autre VDA Citrix, il existe une poignée de ports réseau clés à prendre en compte l’ouverture pour que le système fonctionne. Pour rappel, le trafic ICA doit atteindre Remote PC Access à partir du Citrix ADC hébergeant Citrix Gateway externe. Une liste complète des ports peut être trouvée dans Ports de communication utilisés par les technologies Citrix.

Inscription VDA

Selon la topologie du réseau, le sous-réseau contenant les Delivery Controller Virtual Apps and Desktops peut ne pas autoriser la communication vers ou à partir des PC physiques. Pour s’enregistrer correctement auprès du Delivery Controller, le VDA sur le PC doit pouvoir communiquer avec le Delivery Controller dans les deux sens en utilisant les protocoles suivants :

  • VDA vers contrôleur : Kerberos
  • Contrôleur vers VDA : Kerberos

Si le VDA ne peut pas s’enregistrer auprès du contrôleur, consultez l’article Enregistrement de VDA. Si vous utilisez Citrix Cloud, les Cloud Connector remplacent Delivery Controller.

Orientations supplémentaires

Vous trouverez d’autres conseils sur la conception, y compris les considérations et les étapes de dépannage dans la Documentation du produit Remote PC Access.

Décisions de conception pour Remote PC Access