Sessioni
Mantenere l’attività della sessione è fondamentale per offrire la migliore esperienza utente. La perdita di connettività a causa di reti inaffidabili, latenza di rete altamente variabile e limitazioni di portata dei dispositivi wireless può portare alla frustrazione dell’utente. Spostarsi rapidamente tra i dispositivi e accedere alle stesse applicazioni ad ogni accesso è una priorità per molti lavoratori mobili, come gli operatori sanitari.
Le funzionalità descritte in questo articolo ottimizzano l’affidabilità delle sessioni, riducono gli inconvenienti, i tempi di inattività e la perdita di produttività; utilizzando queste funzionalità, gli utenti mobili possono spostarsi rapidamente e facilmente tra i dispositivi.
È inoltre possibile disconnettere un utente da una sessione, disconnettere una sessione e configurare il preavvio e il mantenimento della sessione; vedere Gestire i gruppi di consegna.
Affidabilità della sessione
L’affidabilità della sessione mantiene le sessioni attive e sullo schermo dell’utente quando la connettività di rete viene interrotta. Gli utenti continuano a vedere l’applicazione che stanno utilizzando fino a quando la connettività di rete non riprende.
Questa funzionalità è particolarmente utile per gli utenti mobili con connessioni wireless. Ad esempio, un utente con una connessione wireless entra in una galleria ferroviaria e perde momentaneamente la connettività. Normalmente, la sessione viene disconnessa e scompare dallo schermo dell’utente, e l’utente deve riconnettersi alla sessione disconnessa. Con l’affidabilità della sessione, la sessione rimane attiva sulla macchina. Per indicare la perdita di connettività, il display dell’utente si blocca e il cursore cambia in una clessidra rotante fino a quando la connettività non riprende dall’altra parte della galleria. L’utente continua ad accedere al display durante l’interruzione e può riprendere a interagire con l’applicazione quando la connessione di rete viene ripristinata. L’affidabilità della sessione riconnette gli utenti senza richieste di riautenticazione.
Gli utenti dell’app Citrix Workspace™ non possono ignorare l’impostazione del Controller.
È possibile utilizzare l’affidabilità della sessione con Transport Layer Security (TLS). TLS crittografa solo i dati inviati tra il dispositivo utente e Citrix Gateway.
Abilitare e configurare l’affidabilità della sessione con le seguenti impostazioni di policy:
- L’impostazione di policy Connessioni di affidabilità della sessione consente o impedisce l’affidabilità della sessione.
- L’impostazione di policy Timeout affidabilità sessione ha un valore predefinito di 180 secondi, ovvero tre minuti. Sebbene sia possibile estendere il tempo in cui l’affidabilità della sessione mantiene aperta una sessione, questa funzionalità è progettata per la comodità dell’utente. Pertanto, non richiede all’utente di riautenticarsi. Man mano che si estende il tempo in cui una sessione viene mantenuta aperta, aumentano le probabilità che un utente possa distrarsi e allontanarsi dal dispositivo utente. Tali azioni possono potenzialmente lasciare la sessione accessibile a utenti non autorizzati.
- Le connessioni di affidabilità della sessione in ingresso utilizzano la porta 2598, a meno che non si modifichi il numero di porta nell’impostazione di policy Numero di porta affidabilità sessione.
- Per impedire agli utenti di riconnettersi a sessioni interrotte senza dover riautenticarsi, utilizzare la funzionalità Riconnessione automatica client. È possibile configurare l’impostazione di policy Autenticazione riconnessione automatica client per richiedere agli utenti di riautenticarsi quando si riconnettono a sessioni interrotte.
Se si utilizzano sia l’affidabilità della sessione che la riconnessione automatica client, le due funzionalità operano in sequenza. L’affidabilità della sessione chiude, o disconnette, la sessione utente dopo il periodo di tempo specificato nell’impostazione di policy Timeout affidabilità sessione. Successivamente, le impostazioni di policy Riconnessione automatica client entrano in vigore, tentando di riconnettere l’utente alla sessione disconnessa.
Riconnessione automatica del client
Con la funzionalità Riconnessione automatica del client, Citrix Workspace app può rilevare disconnessioni impreviste delle sessioni ICA® e riconnettere automaticamente gli utenti alle sessioni interessate. Quando questa funzionalità è abilitata sul server, gli utenti non devono riconnettersi manualmente per continuare a lavorare.
Per le sessioni dell’applicazione, Citrix Workspace app tenta di riconnettersi alla sessione fino a quando non si verifica una riconnessione riuscita o l’utente annulla i tentativi di riconnessione.
Per le sessioni desktop, Citrix Workspace app tenta di riconnettersi alla sessione per un periodo specificato, a meno che non si verifichi una riconnessione riuscita o l’utente annulli i tentativi di riconnessione. Per impostazione predefinita, questo periodo è di cinque minuti. Per modificare questo periodo, modificare la seguente impostazione del Registro di sistema sul dispositivo utente (dove seconds è il numero di secondi dopo il quale non vengono più effettuati tentativi di riconnessione alla sessione).
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
Abilitare e configurare la riconnessione automatica del client con le seguenti impostazioni dei criteri:
- Riconnessione automatica del client: Abilita o disabilita la riconnessione automatica da parte di Citrix Workspace app dopo che una connessione è stata interrotta.
- Autenticazione riconnessione automatica del client: Abilita o disabilita il requisito di autenticazione dell’utente dopo la riconnessione automatica.
- Registrazione riconnessione automatica del client: Abilita o disabilita la registrazione degli eventi di riconnessione nel registro eventi. La registrazione è disabilitata per impostazione predefinita. Quando abilitato, il registro di sistema del server acquisisce informazioni sugli eventi di riconnessione automatica riusciti e non riusciti. Ogni server memorizza le informazioni sugli eventi di riconnessione nel proprio registro di sistema. Il sito non fornisce un registro combinato degli eventi di riconnessione per tutti i server.
Nota:
La riconnessione automatica del client senza riautenticazione è supportata solo per l’autenticazione tramite password. Se si utilizza il servizio di autenticazione federata o l’autenticazione con smart card, la riconnessione automatica del client senza riautenticazione non è supportata. In questi casi, gli utenti vengono reindirizzati alla schermata di accesso.
La riconnessione automatica del client incorpora un meccanismo di autenticazione basato su credenziali utente crittografate. Quando un utente effettua l’accesso iniziale, il server crittografa e memorizza le credenziali dell’utente in memoria. Il server crea e invia anche un cookie contenente la chiave di crittografia a Citrix Workspace app. Citrix Workspace app invia la chiave al server per la riconnessione. Il server decrittografa le credenziali e le invia al logon di Windows per l’autenticazione. Quando i cookie scadono, gli utenti devono riautenticarsi per riconnettersi alle sessioni.
I cookie non vengono utilizzati se si abilita l’impostazione di autenticazione della riconnessione automatica del client. Invece, agli utenti viene presentata una finestra di dialogo che richiede le credenziali quando Citrix Workspace app tenta di riconnettersi automaticamente.
Per la massima protezione delle credenziali utente e delle sessioni, utilizzare la crittografia per tutte le comunicazioni tra i client e il sito.
Disabilitare la riconnessione automatica del client su Citrix Workspace app per Windows utilizzando il file icaclient.adm. Per ulteriori informazioni, consultare la documentazione relativa alla versione di Citrix Workspace app per Windows.
Le impostazioni per le connessioni influiscono anche su Riconnessione automatica client:
- Per impostazione predefinita, Riconnessione automatica client è abilitata tramite le impostazioni dei criteri a livello di sito, come descritto in precedenza. Non è richiesta la riautenticazione dell’utente. Tuttavia, se la connessione ICA TCP di un server è configurata per reimpostare le sessioni con un collegamento di comunicazione interrotto, la riconnessione automatica non si verifica. Riconnessione automatica client funziona solo se il server disconnette le sessioni quando la connessione è interrotta o scaduta. In questo contesto, la connessione ICA TCP si riferisce a una porta virtuale del server (piuttosto che a una connessione di rete effettiva) utilizzata per le sessioni su reti TCP/IP.
- Per impostazione predefinita, la connessione ICA TCP su un server è impostata per disconnettere le sessioni con connessioni interrotte o scadute. Le sessioni disconnesse rimangono intatte nella memoria di sistema e sono disponibili per la riconnessione tramite Citrix Workspace app.
- La connessione può essere configurata per reimpostare o disconnettere le sessioni con connessioni interrotte o scadute. Quando una sessione viene reimpostata, il tentativo di riconnessione avvia una nuova sessione. Invece di ripristinare l’utente nello stesso punto dell’applicazione in uso, l’applicazione viene riavviata.
- Se il server è configurato per reimpostare le sessioni, Riconnessione automatica client crea una nuova sessione. Questo processo richiede agli utenti di inserire le proprie credenziali per accedere al server.
- La riconnessione automatica può fallire se Citrix Workspace app o il plug-in invia informazioni di autenticazione errate, il che potrebbe verificarsi durante un attacco o se il server determina che è trascorso troppo tempo da quando ha rilevato la connessione interrotta.
ICA Keep-Alive
L’abilitazione della funzionalità ICA Keep-Alive impedisce che le connessioni interrotte vengano disconnesse. Quando abilitata, se il server non rileva attività, questa funzionalità impedisce ai Servizi Desktop remoto di disconnettere tale sessione. Esempi di assenza di attività includono nessun cambiamento dell’orologio, nessun movimento del mouse, nessun aggiornamento dello schermo. Il server invia pacchetti keep-alive ogni pochi secondi per rilevare se la sessione è attiva. Se la sessione non è più attiva, il server la contrassegna come disconnessa.
Importante:
ICA Keep-Alive funziona solo se non si utilizza Affidabilità sessione. Affidabilità sessione ha i propri meccanismi per impedire che le connessioni interrotte vengano disconnesse. Configurare ICA Keep-Alive solo per le connessioni che non utilizzano Affidabilità sessione.
Le impostazioni di ICA Keep-Alive sovrascrivono le impostazioni keep-alive configurate in Criteri di gruppo di Windows.
Abilitare e configurare ICA Keep-Alive con le seguenti impostazioni dei criteri:
-
Timeout keep-alive ICA: Specifica l’intervallo (1-3600 secondi) utilizzato per inviare messaggi keep-alive ICA. Non configurare questa opzione se si desidera che il software di monitoraggio della rete chiuda le connessioni inattive in ambienti in cui le connessioni interrotte sono così infrequenti che consentire agli utenti di riconnettersi alle sessioni non è un problema.
L’intervallo predefinito è di 60 secondi: i pacchetti ICA Keep-Alive vengono inviati ai dispositivi utente ogni 60 secondi. Se un dispositivo utente non risponde entro 60 secondi, lo stato delle sessioni ICA cambia in disconnesso.
-
Keep-alive ICA: Invia o impedisce l’invio di messaggi keep-alive ICA.
Controllo Workspace
Il controllo Workspace consente a desktop e applicazioni di seguire un utente da un dispositivo all’altro. Questa capacità di roaming consente a un utente di accedere a tutti i desktop o alle applicazioni aperte da qualsiasi luogo semplicemente effettuando l’accesso, senza dover riavviare i desktop o le applicazioni su ogni dispositivo. Ad esempio, il controllo Workspace può aiutare gli operatori sanitari in un ospedale che devono spostarsi rapidamente tra diverse workstation e accedere allo stesso set di applicazioni ogni volta che effettuano l’accesso. Se si configurano le opzioni di controllo Workspace per consentirlo, questi operatori possono disconnettersi da più applicazioni su un dispositivo client e quindi riconnettersi per aprire le stesse applicazioni su un dispositivo client diverso.
Il controllo Workspace influisce sulle seguenti attività:
- Accesso: Per impostazione predefinita, il controllo Workspace consente agli utenti di riconnettersi automaticamente a tutti i desktop e le applicazioni in esecuzione al momento dell’accesso, evitando la necessità di riaprirli manualmente. Tramite il controllo Workspace, gli utenti possono aprire desktop o applicazioni disconnessi, oltre a quelli attivi su un altro dispositivo client. La disconnessione da un desktop o un’applicazione la lascia in esecuzione sul server. Se si dispone di utenti in roaming che devono mantenere alcuni desktop o applicazioni in esecuzione su un dispositivo client mentre si riconnettono a un sottoinsieme dei loro desktop o applicazioni su un altro dispositivo client, è possibile configurare il comportamento di riconnessione all’accesso per aprire solo i desktop o le applicazioni da cui l’utente si era disconnesso in precedenza.
- Riconnessione: Dopo aver effettuato l’accesso al server, gli utenti possono riconnettersi a tutti i loro desktop o applicazioni in qualsiasi momento facendo clic su Riconnetti. Per impostazione predefinita, Riconnetti apre i desktop o le applicazioni disconnessi, oltre a quelli attualmente in esecuzione su un altro dispositivo client. È possibile configurare Riconnetti per aprire solo i desktop o le applicazioni da cui l’utente si era disconnesso in precedenza.
- Disconnessione: Per gli utenti che aprono desktop o applicazioni tramite StoreFront™, è possibile configurare il comando Disconnetti per disconnettere l’utente da StoreFront e da tutte le sessioni attive, oppure solo da StoreFront.
- Disconnessione: Gli utenti possono disconnettersi da tutti i desktop e le applicazioni in esecuzione contemporaneamente, senza la necessità di disconnettersi da ciascuno individualmente.
Il controllo Workspace è disponibile solo per gli utenti di Citrix Workspace app che accedono a desktop e applicazioni tramite una connessione Citrix StoreFront. Per impostazione predefinita, il controllo Workspace è disabilitato per le sessioni di desktop virtuali, ma è abilitato per le applicazioni ospitate. La condivisione delle sessioni non avviene per impostazione predefinita tra i desktop pubblicati e le applicazioni pubblicate in esecuzione all’interno di tali desktop.
Le policy utente, le mappature delle unità client e le configurazioni delle stampanti cambiano in modo appropriato quando un utente si sposta su un nuovo dispositivo client. Le policy e le mappature vengono applicate in base al dispositivo client in cui l’utente ha effettuato l’accesso alla sessione. Ad esempio, un operatore sanitario si disconnette da un dispositivo nel pronto soccorso e quindi accede a una workstation nel laboratorio di radiologia. Le policy, le mappature delle stampanti e le mappature delle unità client appropriate per la sessione nel laboratorio di radiologia entrano in vigore all’avvio della sessione.
È possibile personalizzare quali stampanti vengono visualizzate agli utenti quando cambiano posizione. È inoltre possibile controllare se gli utenti possono stampare su stampanti locali, quanta larghezza di banda viene consumata quando gli utenti si connettono in remoto e altri aspetti delle loro esperienze di stampa.
Per informazioni sull’abilitazione e la configurazione del controllo Workspace per gli utenti, consultare la documentazione di StoreFront.
Roaming delle sessioni
Nota:
Le seguenti informazioni guidano alla configurazione del roaming delle sessioni tramite PowerShell. È possibile utilizzare Web Studio in alternativa. Per maggiori informazioni, vedere Gestire i gruppi di consegna.
Per impostazione predefinita, le sessioni eseguono il roaming tra i dispositivi client con l’utente. Quando l’utente avvia una sessione e poi si sposta su un altro dispositivo, viene utilizzata la stessa sessione e le applicazioni sono disponibili su entrambi i dispositivi. Le applicazioni seguono, indipendentemente dal dispositivo o dall’esistenza di sessioni correnti. Spesso, anche le stampanti e altre risorse assegnate all’applicazione seguono.
Sebbene questo comportamento predefinito offra molti vantaggi, potrebbe non essere l’ideale in tutti i casi. È possibile impedire il roaming delle sessioni utilizzando l’SDK PowerShell.
Esempio 1: Un professionista medico sta utilizzando due dispositivi, compilando un modulo assicurativo su un PC desktop e consultando le informazioni del paziente su un tablet.
- Se il roaming delle sessioni è abilitato, entrambe le applicazioni appaiono su entrambi i dispositivi (un’applicazione avviata su un dispositivo è visibile su tutti i dispositivi in uso). Questo potrebbe non soddisfare i requisiti di sicurezza.
- Se il roaming delle sessioni è disabilitato, la cartella clinica del paziente non appare sul PC desktop e il modulo assicurativo non appare sul tablet.
Esempio 2: Un responsabile di produzione avvia un’applicazione sul PC nel suo ufficio. Il nome e la posizione del dispositivo determinano quali stampanti e altre risorse sono disponibili per quella sessione. Più tardi, si reca in un ufficio nell’edificio accanto per una riunione che richiederà l’uso di una stampante.
- Quando il roaming delle sessioni è abilitato, il responsabile di produzione probabilmente non sarebbe in grado di accedere alle stampanti vicino alla sala riunioni, perché le applicazioni avviate in precedenza nel suo ufficio hanno comportato l’assegnazione di stampanti e altre risorse vicino a quella posizione.
- Quando il roaming delle sessioni è disabilitato, quando si connette a una macchina diversa (utilizzando le stesse credenziali), viene avviata una nuova sessione e le stampanti e le risorse vicine saranno disponibili.
Configurare il roaming delle sessioni
Per configurare il roaming delle sessioni, utilizzare i seguenti cmdlet della regola dei criteri di diritto con la proprietà “SessionReconnection”. Facoltativamente, è possibile specificare anche la proprietà “LeasingBehavior”.
Per le sessioni desktop:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Per le sessioni applicative:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Dove value può essere uno dei seguenti:
- Sempre: Le sessioni sono sempre in roaming, indipendentemente dal dispositivo client e dal fatto che la sessione sia connessa o disconnessa. Questo è il valore predefinito.
- DisconnectedOnly: Riconnetti solo a sessioni già disconnesse; altrimenti, avvia una nuova sessione. (Le sessioni possono spostarsi tra i dispositivi client disconnettendole prima, o usando Workspace Control per spostarle esplicitamente.) Una sessione attiva connessa da un altro dispositivo client non viene mai utilizzata. Invece, viene avviata una nuova sessione.
- SameEndpointOnly: Un utente ottiene una sessione unica per ogni dispositivo client che utilizza. Questo disabilita completamente il roaming. Gli utenti possono riconnettersi solo allo stesso dispositivo che è stato precedentemente utilizzato nella sessione.
La proprietà “LeasingBehavior” è descritta di seguito.
Effetti da altre impostazioni:
La disabilitazione del roaming delle sessioni è influenzata dal limite dell’applicazione Consenti una sola istanza dell’applicazione per utente nelle proprietà dell’applicazione nel gruppo di consegna.
- Se si disabilita il roaming delle sessioni, disabilitare il limite dell’applicazione “Consenti una sola istanza…”.
- Se si abilita il limite dell’applicazione “Consenti una sola istanza…”, non configurare nessuno dei due valori che consentono nuove sessioni su nuovi dispositivi.
Intervallo di accesso
Se una macchina virtuale contenente un VDA desktop si chiude prima che il processo di accesso sia completato, è possibile allocare più tempo al processo. Il valore predefinito per le versioni 7.6 e successive è 180 secondi (il valore predefinito per le versioni 7.0-7.5 è 90 secondi).
Sulla macchina (o sull’immagine master utilizzata in un catalogo macchine), impostare la seguente chiave di registro:
Chiave:HKLM\SOFTWARE\Citrix\PortICA
- Valore:
AutoLogonTimeout - Tipo:
DWORD - Specificare un tempo decimale in secondi, nell’intervallo 0-3600.
Se si modifica un’immagine master, aggiornare il catalogo.
Questa impostazione si applica solo alle VM con VDA desktop. Microsoft controlla il timeout di accesso sulle macchine con VDA server.