Citrix Virtual Apps and Desktops

Sessioni

Mantenere l’attività della sessione è fondamentale per fornire la migliore esperienza utente. La perdita di connettività dovuta a reti inaffidabili, latenza di rete altamente variabile e limitazioni di portata dei dispositivi wireless può essere frustrante per l’utente. Spostarsi rapidamente tra i dispositivi e accedere alle stesse applicazioni ad ogni accesso è una priorità per molti utenti mobili come gli operatori sanitari.

Le funzionalità descritte in questo articolo ottimizzano l’affidabilità delle sessioni, riducono gli inconvenienti, i tempi di inattività e la perdita di produttività; utilizzando queste funzionalità, gli utenti mobili possono spostarsi rapidamente e facilmente tra i dispositivi.

È inoltre possibile disconnettere un utente da una sessione, disconnettere una sessione e configurare il prelancio e la permanenza della sessione; vedere Gestire i gruppi di consegna

Affidabilità della sessione

La funzione di affidabilità della sessione mantiene attive e presenti sullo schermo dell’utente le sessioni quando la connettività di rete viene interrotta. Gli utenti continuano a vedere l’applicazione che stanno utilizzando fino al ripristino della connettività di rete.

Questa funzione è particolarmente utile per gli utenti mobili con connessioni wireless. Ad esempio, un utente con connessione wireless entra in una galleria ferroviaria e perde momentaneamente la connettività. Normalmente, la sessione viene disconnessa, scomparendo dallo schermo dell’utente e l’utente deve riconnettersi alla sessione disconnessa. Con la funzione di affidabilità della sessione, la sessione rimane attiva sulla macchina. Per indicare la perdita di connettività, lo schermo dell’utente si blocca e il cursore diventa una clessidra rotante fino a quando la connettività non riprende al termine della galleria. L’utente continua ad accedere allo schermo durante l’interruzione e può riprendere l’interazione con l’applicazione quando viene ripristinata la connessione di rete. La funzione di affidabilità della sessione riconnette gli utenti senza richieste di riautenticazione.

Gli utenti dell’app Citrix Workspace non possono ignorare l’impostazione del controller.

È possibile utilizzare la funzione di affidabilità della sessione con Transport Layer Security (TLS). TLS crittografa solo i dati inviati tra il dispositivo utente e Citrix Gateway.

Abilitare e configurare l’affidabilità della sessione con le seguenti impostazioni dei criteri:

  • L’impostazione dei criteri di connessione per l’affidabilità della sessione consente o impedisce l’affidabilità della sessione.
  • L’impostazione del criterio di timeout per l’affidabilità della sessione ha un valore predefinito di 180 secondi o tre minuti. Sebbene sia possibile estendere la quantità di tempo in cui l’affidabilità della sessione mantiene aperta una sessione, questa funzione è progettata per la comodità dell’utente. Pertanto, non richiede all’utente la riautenticazione. Più si prolunga il tempo in cui una sessione viene mantenuta aperta, più aumentano le probabilità che un utente possa distrarsi e allontanarsi dal proprio dispositivo. Tali azioni possono potenzialmente lasciare la sessione accessibile a utenti non autorizzati.
  • Le connessioni di affidabilità della sessione in entrata utilizzano la porta 2598, a meno che non si modifichi il numero di porta nell’impostazione del criterio del numero di porta di affidabilità della sessione.
  • Per impedire agli utenti di riconnettersi a sessioni interrotte senza doversi autenticare nuovamente, utilizzare la funzione Auto Client Reconnect. È possibile configurare l’impostazione dei criteri di Auto Client Reconnect per richiedere agli utenti di riconnettersi nuovamente durante la riconnessione a sessioni interrotte.

Se si utilizza sia l’affidabilità della sessione che la riconnessione automatica del client, le due funzionalità funzionano in sequenza. L’affidabilità della sessione chiude (o disconnette) la sessione utente dopo il periodo di tempo specificato nell’impostazione del timeout dell’affidabilità della sessione. A quel punto avranno effetto le impostazioni di riconnessione automatica del client, che tentano di riconnettere l’utente alla sessione disconnessa.

Riconnessione automatica del client

Con la funzione di riconnessione automatica del client, l’app Citrix Workspace è in grado di rilevare disconnessioni involontarie delle sessioni ICA e di ricollegare automaticamente gli utenti alle sessioni interessate. Quando questa funzione è abilitata sul server, gli utenti non devono riconnettersi manualmente per continuare a lavorare.

L’app Citrix Workspace tenta di riconnettersi alla sessione finché la connessione non viene ristabilita o fino a quando l’utente annulla i tentativi di riconnessione.

Per le sessioni desktop, l’app Citrix Workspace tenta di riconnettersi alla sessione per un periodo specificato, se non nel caso in cui vi è una riconnessione corretta o l’utente annulla i tentativi di riconnessione. Per impostazione predefinita, questo periodo è di cinque minuti. Per modificare questo periodo, modificare la seguente impostazione del Registro di sistema sul dispositivo utente (dove seconds è il numero di secondi dopo i quali non vengono effettuati più tentativi di riconnessione della sessione).

HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>

Abilitare e configurare la riconnessione automatica del client con le seguenti impostazioni dei criteri:

  • Auto Client Reconnect: abilita o disabilita la riconnessione automatica tramite l’app Citrix Workspace dopo che una connessione è stata interrotta.
  • Auto Client Reconnect authentication: abilita o disabilita l’obbligo di autenticazione dell’utente dopo la riconnessione automatica.
  • Auto Client Reconnect logging: abilita o disabilita la registrazione degli eventi di riconnessione nel registro eventi. La registrazione è disabilitata per impostazione predefinita. Quando la registrazione è abilitata, il registro di sistema del server acquisisce informazioni sugli eventi di riconnessione automatica riusciti e non riusciti. Ogni server memorizza le informazioni sugli eventi di riconnessione nel proprio registro di sistema. Il sito non fornisce un registro combinato degli eventi di riconnessione per tutti i server.

La riconnessione automatica utente incorpora un meccanismo di autenticazione basato sulle credenziali utente crittografate. Al primo accesso di un utente, il server crittografa e memorizza le credenziali utente in memoria. Il server crea e invia inoltre un cookie contenente la chiave di crittografia all’app Citrix Workspace. L’app Citrix Workspace invia la chiave al server per la riconnessione. Il server decrittografa le credenziali e le invia all’accesso di Windows per l’autenticazione. Quando i cookie scadono, gli utenti devono autenticarsi nuovamente per riconnettersi alle sessioni.

I cookie non vengono utilizzati se si abilita l’impostazione di Auto Client Reconnect. Viene invece visualizzata una finestra di dialogo per gli utenti che richiedono le credenziali quando l’app Citrix Workspace tenta di riconnettersi automaticamente.

Per la massima protezione delle credenziali e delle sessioni utente, utilizzare la crittografia per tutte le comunicazioni tra i client e il sito.

Disabilitare la riconnessione automatica del client sull’app Citrix Workspace per Windows utilizzando il file icaclient.adm. Per ulteriori informazioni, vedere la documentazione dell’app Citrix Workspace per Windows.

Le impostazioni delle connessioni influiscono anche sulla riconnessione automatica del client:

  • Per impostazione predefinita, la funzione Auto Client Reconnect è abilitata tramite le impostazioni dei criteri a livello di sito, come descritto in precedenza. La riautenticazione dell’utente non è richiesta. Tuttavia, se la connessione TCP ICA di un server è configurata per reimpostare le sessioni quando si interrrompe un collegamento di comunicazione, la riconnessione automatica non avviene. La riconnessione automatica del client funziona solo se il server disconnette le sessioni quando è presente una connessione interrotta o scaduta. In questo contesto, la connessione TCP ICA fa riferimento alla porta virtuale di un server (anziché a un’effettiva connessione di rete) che viene utilizzata per le sessioni su reti TCP/IP.
  • Per impostazione predefinita, la connessione TCP ICA su un server è impostata per disconnettere le sessioni in caso di connessioni interrotte o scadute. Le sessioni disconnesse rimangono intatte nella memoria di sistema e sono disponibili per la riconnessione tramite l’app Citrix Workspace.
  • La connessione può essere configurata per ripristinare o disconnettere le sessioni con connessioni interrotte o scadute. Quando una sessione viene reimpostata, il tentativo di riconnessione avvia una nuova sessione. Invece di riportare un utente nello stesso punto dell’applicazione in uso, l’applicazione viene riavviata.
  • Se il server è configurato per reimpostare le sessioni, la riconnessione automatica del client crea una nuova sessione. In questo processo gli utenti dovranno immettere le proprie credenziali per accedere al server.
  • La riconnessione automatica può non riuscire se l’app Citrix Workspace o il plug-in inviano informazioni di autenticazione errate, problema che potrebbe verificarsi durante un attacco, o se il server determina che è trascorso troppo tempo da quando ha rilevato la connessione interrotta.

ICA Kep-Alive

L’abilitazione della funzione ICA Keep-Alive impedisce la disconnessione delle connessioni interrotte. Se la funzione è abilitata, quando il server non rileva attività, viene impedito a Servizi Desktop remoto di disconnettere la sessione. Esempi di mancanza di attività sono nessuna variazione dell’orologio, nessun movimento del mouse, nessun aggiornamento dello schermo. Il server invia pacchetti keep-alive ogni pochi secondi per rilevare se la sessione è attiva. Se la sessione non è più attiva, il server contrassegna la sessione come disconnessa.

Importante:

ICA Keep-Alive funziona solo se non si utilizza l’affidabilità della sessione. L’affidabilità della sessione ha i propri meccanismi per impedire la disconnessione delle connessioni interrotte. Configurare ICA Keep-Alive solo per le connessioni che non utilizzano l’affidabilità della sessione.

Le impostazioni ICA Keep-Alive sostituiscono le impostazioni keep-alive configurate in Criteri di gruppo Windows.

Abilitare e configurare ICA Keep-Alive con le seguenti impostazioni dei criteri:

  • ICA keep-alive timeout (Timeout ICA keep-alive) specifica l’intervallo (1-3600 secondi) utilizzato per inviare messaggi ICA keep-alive. Non configurare questa opzione se si desidera che il software di monitoraggio della rete chiuda le connessioni inattive in ambienti in cui le connessioni interrotte sono così rare che consentire agli utenti di riconnettersi alle sessioni non è un problema.

    L’intervallo predefinito è 60 secondi: i pacchetti ICA Keep-Alive vengono inviati ai dispositivi utente ogni 60 secondi. Se un dispositivo utente non risponde in 60 secondi, lo stato delle sessioni ICA diventa disconnesso.

  • ICA keep alives: invia o impedisce l’invio di messaggi ICA keep-alive.

Controllo di Workspace

Il controllo di Workspace consente a desktop e applicazioni di seguire un utente da un dispositivo all’altro. Questa possibilità di roaming consente all’utente di accedere a tutti i desktop o di aprire le applicazioni da qualsiasi luogo semplicemente effettuando l’accesso, senza dover riavviare i desktop o le applicazioni su ciascun dispositivo. Ad esempio, il controllo dell’area di lavoro può aiutare gli operatori sanitari di un ospedale che devono spostarsi rapidamente tra diverse workstation e accedere allo stesso insieme di applicazioni a ogni accesso. Se si configurano le opzioni di controllo dell’area di lavoro per consentirlo, questi lavoratori possono disconnettersi da più applicazioni su un dispositivo client e quindi riconnettersi per aprire le stesse applicazioni su un dispositivo client diverso.

Il controllo dell’area di lavoro influisce sulle seguenti attività:

  • Accesso: per impostazione predefinita, il controllo dell’area di lavoro consente agli utenti di riconnettersi automaticamente a tutti i desktop e le applicazioni in esecuzione durante l’accesso, senza doverli riaprire manualmente. Attraverso il controllo dell’area di lavoro, gli utenti possono aprire desktop o applicazioni disconnessi, oltre a quelli che sono attivi su un altro dispositivo client. La disconnessione da un desktop o da un’applicazione li lascia in esecuzione sul server. Se si hanno utenti in roaming che devono mantenere alcuni desktop o applicazioni in esecuzione su un dispositivo client mentre si riconnettono a un sottoinsieme dei loro desktop o applicazioni su un altro dispositivo client, è possibile configurare il comportamento di riconnessione di accesso per aprire solo i desktop o le applicazioni precedentemente disconnessi dall’utente.
  • Riconnessione: dopo aver effettuato l’accesso al server, gli utenti possono riconnettersi a tutti i desktop o alle applicazioni in qualsiasi momento facendo clic su Riconnetti. Per impostazione predefinita, Reconnect apre i desktop o la applicazioni che sono disconnessi, oltre a quelli attualmente in esecuzione su un altro dispositivo client. È possibile configurare Reconnect per aprire solo i desktop o le applicazioni da cui l’utente si è disconnesso in precedenza.
  • Scollegamento: per gli utenti che aprono desktop o applicazioni tramite StoreFront, è possibile configurare il comando Log Off perchè scolleghi l’utente da StoreFront e da tutte le sessioni attive o solo da StoreFront.
  • Disconnessione: gli utenti possono disconnettersi da tutti i desktop e le applicazioni in esecuzione contemporaneamente, senza dover disconnettersi da ciascuno individualmente.

Il controllo dell’area di lavoro è disponibile solo per gli utenti dell’app Citrix Workspace che accedono a desktop e applicazioni tramite una connessione Citrix StoreFront. Per impostazione predefinita, il controllo dell’area di lavoro è disabilitato per le sessioni di desktop virtuale, ma è abilitato per le applicazioni ospitate. La condivisione delle sessioni non avviene per impostazione predefinita tra i desktop pubblicati e le applicazioni pubblicate in esecuzione all’interno di tali desktop.

I criteri utente, le mappature delle unità client e le configurazioni stampante cambiano come necessario quando un utente si sposta su un nuovo dispositivo client. I criteri e le mappature vengono applicati nel modo corretto per il dispositivo client in cui l’utente ha effettuato l’accesso alla sessione. Ad esempio, un operatore sanitario si scollega da un dispositivo nel pronto soccorso e quindi accede a una postazione di lavoro nel laboratorio radiologico. I criteri, le mappature delle stampanti e le mappature delle unità client appropriate per la sessione nel laboratorio radiologico vengono applicati all’avvio della sessione.

È possibile personalizzare la scelta delle stampanti visibili agli utenti quando cambiano posizione. È inoltre possibile controllare se gli utenti possono stampare su stampanti locali, quanta larghezza di banda viene consumata quando gli utenti si connettono in remoto e altri aspetti della loro esperienza di stampa.

Per informazioni sull’attivazione e la configurazione del controllo dell’area di lavoro per gli utenti, vedere la documentazione di StoreFront.

Roaming di sessione

Per impostazione predefinita, le sessioni sono in roaming fra i dispositivi client con l’utente. Quando l’utente avvia una sessione e si sposta su un altro dispositivo, viene utilizzata la stessa sessione e le applicazioni sono disponibili su entrambi i dispositivi. Seguono le applicazioni, indipendentemente dal dispositivo o dall’esistenza di sessioni correnti. Spesso seguono anche stampanti e altre risorse assegnate all’applicazione.

Sebbene questo comportamento predefinito offra molti vantaggi, potrebbe non essere l’ideale in tutti i casi. È possibile impedire il roaming di sessione utilizzando PowerShell SDK.

Esempio 1: un professionista medico utilizza due dispositivi, un PC desktop su cui compila un modulo assicurativo e un tablet su cui esamina le informazioni sul paziente.

  • Se il roaming di sessione è abilitato, entrambe le applicazioni vengono visualizzate su entrambi i dispositivi (un’applicazione avviata su un dispositivo è visibile su tutti i dispositivi in uso). Ciò potrebbe non soddisfare i requisiti di sicurezza.
  • Se il roaming di sessione è disabilitato, il registro paziente non viene visualizzato sul PC desktop e il modulo assicurativo non viene visualizzato sul tablet.

Esempio 2: un responsabile della produzione lancia un’applicazione sul PC nel suo ufficio. Il nome e la posizione del dispositivo determinano quali stampanti e altre risorse sono disponibili per quella sessione. Più tardi, si reca in un ufficio nell’edificio accanto per una riunione che richiederà l’uso di una stampante.

  • Quando il roaming di sessione è abilitato, il responsabile della produzione probabilmente non sarebbe in grado di accedere alle stampanti più vicine alla sala riunioni, perché le applicazioni lanciate in precedenza nel suo ufficio hanno determinato l’assegnazione di stampanti e altre risorse vicino a quella posizione.
  • Quando il roaming di sessione è disabilitato e accede a un altro computer (utilizzando le stesse credenziali), viene avviata una nuova sessione e le stampanti e le risorse che si trovano nelle vicinanze saranno disponibili.

Configurazione del roaming di sessione

Per configurare il roaming di sessione, utilizzare i cmdlet delle regole dei criteri di autorizzazione riportati di seguito con la proprietà “SessionReconnection”. Facoltativamente, è anche possibile specificare la proprietà “LeasingBehavior”.

Per le sessioni di desktop:

Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Per le sessioni delle applicazioni:

Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Dove value può essere uno dei valori seguenti:

  • Always (Sempre): le sessioni sono sempre in roaming, indipendentemente dal dispositivo client e dal fatto che la sessione sia connessa o disconnessa. Questo è il valore predefinito.
  • DisconnectedOnly (Solo disconnnesse): riconnettersi solo alle sessioni già disconnesse; in caso contrario, avviare una nuova sessione Le sessioni possono eseguire il roaming tra i dispositivi client prima disconnettendoli o utilizzando Workspace Control per eseguire il roaming esplicitamente. Non viene mai utilizzata una sessione attiva connessa da un altro dispositivo client. Viene invece lanciata una nuova sessione.
  • SameEndpointOnly (Solo stesso endpoint): un utente riceve una sessione univoca per ciascun dispositivo client che utilizza. Questo disabilita completamente il roaming. Gli utenti possono riconnettersi solo allo stesso dispositivo utilizzato in precedenza nella sessione.

La proprietà “LeasingBehavior” è descritta di seguito.

Effetti di altre impostazioni:

La disattivazione del roaming di sessione è influenzata dal limite dell’applicazione Allow only one instance of the application per user (Consenti solo un’istanza dell’applicazione per utente) impostato nelle proprietà dell’applicazione nel gruppo di consegna.

  • Se si disabilità il roaming di sessione, disabilitare il limite di applicazione “Allow only one instance… “.
  • Se si abilita il limite di applicazione “Allow only one instance…”, non configurare nessuno dei due valori che consentono nuove sessioni su nuovi dispositivi.

Intervallo di accesso

Se una macchina virtuale contenente un VDA desktop si chiude prima del completamento del processo di accesso, è possibile assegnare più tempo al processo. Il valore predefinito per la versione 7.6 e le successive è 180 secondi (il valore predefinito per le versioni 7.0-7.5 è 90 secondi).

Sul computer (o sull’immagine master utilizzata in un catalogo di macchine), impostare la seguente chiave di registro:

Chiave:HKLM\SOFTWARE\Citrix\PortICA

  • Valore: AutoLogonTimeout
  • Tipo: DWORD
  • Specificare un tempo decimale in secondi, nell’intervallo 0-3600.

Se si modifica un’immagine master, aggiornare il catalogo.

Questa impostazione si applica solo alle macchine virtuali con VDA desktop. Microsoft controlla il timeout di accesso sulle macchine con server VDA.

Sessioni