リモートPCアクセス設計の決定

概要

リモートPCアクセスは、ユーザーがオフィスベースの物理Windows PCにアクセスするための簡単で効果的な方法です。任意のエンドポイントデバイスを使用することで、ユーザーは場所に関係なく生産性を維持できます。ただし、リモートPCアクセスを実装する場合は、次の点を考慮する必要があります。

展開シナリオ

PC をユーザーに接続する方法は複数あり、それぞれ異なるシナリオに適用できます。

オフィスワーカー

多くの展開では、リモートPCアクセスは、1人のユーザーが 1 台の PC に永続的に割り当てられるオフィスワーカーシナリオで展開されます。

オフィスワーカー

これは、最も一般的な展開シナリオです。このユースケースを実装するために、管理者はリモートPCアクセスのマシンカタログタイプを使用できます。

オフィスワーカー

コンピューティングラボ

特定の状況では、ユーザーは、学校、大学、大学のコンピューティングラボでよく見られる一連のコンピューティングリソースを共有する必要があります。ユーザーは、使用可能な物理 PC にランダムに割り当てられます。

コンピューティングラボユーザー

この種類の構成では、管理されていない、ランダムに割り当てられた、単一セッション OS を使用します。このオペレーティングシステムは次のように構成されます。

  • マシンカタログセットアップウィザードで、 シングルセッションOSを使用します

オフィスワーカー

  • 電源管理されていないマシンの選択
  • 別のサービスまたはテクノロジを選択してください

オフィスワーカー

  • [ ユーザーがログオンするたびに新しい (ランダム) デスクトップに接続する] を選択します。

オフィスワーカー

コンピューティングラボでは、PC よりも多くのユーザーがいることが多いため、 セッション時間を制限するポリシー をお勧めします。

認証

ユーザーは、Active Directory 資格情報を使用してオフィスベースの PC への認証を続行します。ただし、オフィスの外部からインターネット経由でアクセスするため、組織は通常、ユーザー名とパスワードだけでなく、より強力なレベルの認証を必要とします。

Citrix Workspaceでは、Active Directory+トークンおよびAzure Active Directory Directoryなど、さまざまな認証オプションを選択できます。 現在サポートされている認証オプション

Citrix Workspaceの認証オプションとしてCitrix Gatewayが構成されている場合、またはお客様がCitrix Workspaceの代わりにCitrix Gateway+Citrix Workspace StoreFront を使用することを選択した場合、 Citrix Gateway 認証オプション より幅広い選択肢が使用可能になります。

時間ベースのワンタイムパスワードなど、これらのオプションの中には、ユーザーが最初に新しいトークンを登録する必要があります。トークンの登録では、ユーザーが自分の身元を確認するために電子メールにアクセスする必要があるため、ユーザーがリモートで作業しようとする前に完了する必要があります。

セッションセキュリティ

ユーザーは、信頼できない個人用デバイスを使用して、自分の仕事用 PC にリモートアクセスできます。組織では、Citrix Virtual Apps and Desktopsの統合ポリシーを使用して、次のことを

  • エンドポイントのリスク:エンドポイントデバイスに秘密裏にインストールされたキーロガーは、ユーザー名とパスワードを簡単にキャプチャできます。キーロギング防止機能はキーストロークを難読化することで、盗まれた認証情報から組織を保護します。
  • 受信リスク:信頼できないエンドポイントには、マルウェア、スパイウェア、およびその他の危険なコンテンツが含まれている可能性があります。エンドポイントデバイスのドライブへのアクセスを拒否すると、企業ネットワークへの危険なコンテンツの転送を防ぐことができます。
  • アウトバウンドリスク:組織はコンテンツの管理を維持する必要があります。ユーザーがローカルの信頼できないエンドポイントデバイスにコンテンツをコピーできるようにすると、組織に余分なリスクが生じます。これらの機能は、エンドポイントのドライブ、プリンタ、クリップボード、アンチスクリーンキャプチャポリシーへのアクセスをブロックすることで拒否できます。

インフラストラクチャのサイジング

*注: 次のサイジングの推奨事項は開始点ですが、各環境は一意であるため、結果は一意になります。インフラストラクチャを監視し、適切なサイズにします。*

ユーザーは既存のオフィスPCにアクセスするため、リモートPCアクセスの追加をサポートするために必要な追加のインフラストラクチャは最小限ですが、ボトルネックにならないように制御層とアクセス層インフラストラクチャのサイズと監視を正しく行うことが重要です。

制御レイヤー

各Office PC上のVirtual Delivery Agent(VDA)は、Citrix Virtual Apps and Desktops に登録する必要があります。オンプレミス展開の場合、VDA登録はDelivery Controller で直接行われます。Citrix CloudのCitrix Virtual Apps & Desktops Serviceの場合、この登録はCitrix Cloud Connectorを介して行われます。

リモートPCアクセスワークロード用のDelivery ControllerまたはCloud Connectorのサイジングは、VDIワークロードに似ています。Citrix コンサルティングでは、少なくともN+1可用性を推奨します。ローカルホストキャッシュが必要な状況を含む、Cloud Connector スケーリングに関するガイダンスはこちらからご覧いただけます

アクセスレイヤー

ユーザーがオフィスPCへのHDXセッションを確立すると、ICAトラフィックをVDAにプロキシする必要があります。ICAプロキシは、Citrix GatewayアプライアンスまたはCitrix Gatewayサービスを介して提供されます

オンプレミスのCitrix ADC for Citrix Gatewayを使用する場合は、特定のモデルのデータシートを参照し、開始点として「 SSL VPN/ICAプロキシ同時ユーザー 」項目を参照してください。ADCが他のワークロードを処理している場合は、現在のスループットとCPU使用率が上限に近づいていないことを確認します。

Gateway アプライアンスが配置され、予想される同時ICAセッションをサポートするために十分なインターネット帯域幅があることを確認してください。

Citrix Cloudからゲートウェイサービスを使用する場合、ICAトラフィックはリソースの場所(VDAとCloud Connectorが配置されている)間でゲートウェイサービスに直接流れます。トラフィックは、Cloud Connectors(デフォルト)によってプロキシされるか(デフォルト)、またはランデブープロトコルを使用する条件を満たすことができる場合は、Cloud ConnectorをバイパスしてVDAから直接流れます。

Cloud Connector を使用してゲートウェイサービスへのICAトラフィックをプロキシする場合、これはボトルネックとなり、Cloud Connector仮想マシン上のCPUとメモリを慎重に監視することをお勧めします。最初の計画では、4つのvCPU Citrix Cloud Connector仮想マシンで最大1000のICAプロキシセッションを同時に処理できます。 Rendezvous プロトコル(構成されている場合)により、各物理 PC にインストールされた Virtual Delivery Agent は、Cloud Connector を介してセッションをトンネリングするのではなく、ゲートウェイサービスと直接通信できます。

ゲートウェイサービスを使用する場合は、ランデブープロトコルを使用して、クラウドコネクタがICAプロキシのボトルネックとなる問題を緩和することをお勧めします。

ランデブープロトコルポリシー

ランデブープロトコル が機能するためには、次のような前提条件があります。

  • Citrix Virtual Apps and Desktopsサービス
  • VDAバージョン1912以上
  • 有効なHDXポリシー
  • すべてのVDAのDNS PTRレコード
  • 特定の SSL 暗号スイートの順序
  • VDAからゲートウェイサービスへの直接(非プロキシ)インターネット接続

可用性

VDAが登録されている状態でオフィスPCの電源が入っていない場合は、ユーザーのセッションを仲介できません。Citrixでは、ユーザーが接続する必要があるマシンの電源が入っていることを確認するために、プロセスを配置することをお勧めします。

使用可能な場合は、電源障害が発生した場合に自動的に電源が入るように、PC の BIOS 設定を変更します。管理者は、Windows PCから「シャットダウン」オプションを削除するように Active Directory グループポリシーオブジェクトを構成することもできます。これにより、ユーザーが物理 PC の電源を切断するのを防ぐことができます。

リモートPCアクセスでは、現在電源がオフになっているWindows PCの電源をオンにするWake-on-LAN操作もサポートしています。このオプションを使用するには、Microsoft System Center Configuration Manager システムセンター構成マネージャー 2012、2012 R2 または 2016 を使用する必要があります。

*注: Citrix CloudでCitrix Virtual Apps and Desktops サービスを使用している場合、Microsoft Configuration ManagerのWake on LANホスティング接続機能は利用できません。*

ユーザー割り当て

ユーザーが各自のオフィスPCに仲介されていることが重要です。VDAがインストールされ、カタログとデリバリーグループが定義されると、ユーザーは次回PCにローカルでログオンしたときに自動的に割り当てられます。これは、何千人ものユーザーを割り当てるための効果的な方法です。

デフォルトでは、すべてのユーザーが同じ物理PCにログインしていれば、複数のユーザーがデスクトップに割り当てられますが、Delivery Controllerでレジストリを編集して無効にすることができます。

Citrix Virtual Apps and Desktops 管理者は、Citrix Studio 内またはPowerShell経由で必要に応じて割り当てを変更できます。PowerShellを使用してリモートPCアクセスVDAをサイトに追加し、ユーザーの割り当てを開始するために、Citrix Consultingでは、「Citrix GitHubページ」にある参照スクリプトを作成しました。

Virtual Delivery Agent

このセクションでは、Virtual Delivery Agentパッケージを処理するための主な考慮事項について説明します。

バージョン

Citrix Virtual Apps and Desktops 管理者は、VDAWorkstationCoreSetup.exe パッケージまたは VDAWorkstationSetup.exe パッケージのいずれかを /RemotePC フラグとともに使用できます。VDAWorkstationCoreSetup.exe パッケージは小さく、リモート PC アクセスに必要なコアコンポーネントのみが含まれていますが、特に、バージョン 1912 以前では、コンテンツリダイレクトに必要なコンポーネントを除外します (詳細については、Microsoft Teamsを参照してください)。

Windows 7と8.1

Windows 7はサポートされなくなりますが、多くの組織では依然として従来のWindows 7デスクトップマシンがあります。Windows 7およびWindows 8.1で展開する場合は、XenDesktop 7.15 LTSR VDAを使用する必要があります。

Windows 10

Windows 10に展開する場合は、Citrix Virtual Apps and Desktops 1912 LTSR VDAまたはサポートされている最新リリースVDAを使用する必要があります。Windows 10ビルドに対するCitrixバージョンの互換性については、CTX224843を参照してください。

便利なコマンドラインオプション

リモートPCアクセスを展開する際に考慮すべきVDAインストーラーのコマンドラインオプションは、便利な機能を有効にすることができます。

/remotePC

フルVDAパッケージ VDAWorkstationSetup.exe とともに使用し、リモートPCアクセスに必要なコアコンポーネントのみをインストールします。

/enable_hdx_ports

Windowsファイアウォールサービスが有効な場合(ファイアウォールが無効になっていても)、Cloud Connectorおよび有効な機能(Windowsリモートアシスタンスは除く)で必要なポートが開放されます。

/enable_hdx_udp_ports

Windowsファイアウォールサービスが検出された場合に(ファイアウォールが無効になっていても)、HDXアダプティブトランスポートに必要なUDPポートがWindowsウォールで開放されます。

VDAがコントローラおよび有効な機能との通信に使用するポートを開くには、/enable_hdx_udp_portsオプションに加えて、/enable_hdx_portsオプションを指定します。

/enable_real_time_transport

オーディオパケットでUDPを使用してパフォーマンスを向上させる機能(RealTime Audio Transport)を有効または無効にします。この機能を有効にすると、オーディオパフォーマンスを向上させることができます。

VDAがコントローラおよび有効な機能との通信に使用するポートを開くには、/enable_real_time_transportオプションに加えて、/enable_hdx_portsオプションを指定します。

/includeadditional “Citrix User Profile Manager”,”Citrix User Profile Manager WMI Plug in”

リモートPCアクセスの展開では、ほとんどの実装でプロファイル管理は必要ありません。ただし、Citrixユーザープロファイルマネージャーはパフォーマンス指標もキャプチャします。これは、管理者がパフォーマンス関連の問題を特定して修正するのに役立ちます。User Profile Manager は設定する必要はなく、メトリックスをキャプチャするためにデプロイするだけで済みます。

Citrixユーザープロファイルマネージャーをインストールすると、管理者は、Citrix DirectorおよびCitrix Analytics for Performance内のユーザーエクスペリエンス、セッションの応答性、およびログオンパフォーマンスに関する洞察に関するレポートを実行できます。

ログオンパフォーマンスのグラフ

/logpath path

ログファイルのパスを指定します。インストーラによって作成されないため、指定されたフォルダが存在する必要があります。デフォルトのパスは「%TEMP%\ Citrix\ XenDesktop インストーラ」ですが、SCCM経由でインストールを実行する場合は、コンテキストに応じて、ログファイルをシステムの一時フォルダに保存できます。

/optimize

このフラグは、主に MCS 展開マシンを対象としているため、使用しないでください。

展開

Virtual Delivery Agentを数千の物理 PC に展開するには、自動化されたプロセスが必要です。

スクリプト経由

Citrix Virtual Apps and Desktopsのインストールメディアには、Active Directory グループポリシーオブジェクトを介して使用できる展開スクリプト(%InstallMedia%\Support\ADDeploy\InstallVDA.bat)が含まれています。

このスクリプトは、PowerShell スクリプトおよびエンタープライズソフトウェア展開 (ESD) ツールのベースラインとして使用できます。これらのアプローチにより、組織は数千の物理エンドポイントにエージェントを迅速に展開できます。

SCCM 経由

SCCMやAltirisなどのESDツールを使用してVDAのインストールを自動化する場合は、前提条件用に個別のパッケージを作成し、VDAが最適に動作する傾向があります。ESDツールを使用したVDAの展開の詳細については、「製品ドキュメント」を参照してください。

Microsoft Teams

ユーザーが Microsoft Teams にアクセスして音声通話とビデオ通話を行う場合は、ユーザーエクスペリエンスを向上させるためにコンテンツリダイレクト機能が必要です。

VDA 1912以前の使用時にコンテンツリダイレクトを使用できるようにするには、 /remotepc コマンドラインオプションを指定してシングルセッションのフルVDAインストーラー(スタンドアロン VDAWorkstationSetup.exe)を使用して物理PCにVDAを展開する必要があります。

たとえば、次のようになります:VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

VDA 2003以降を展開する場合は、代わりにシングルセッションコアVDAインストーラーを使用できます(スタンドアロン VDAWorkstationCoreSetup.exe)。

たとえば、次のようになります:VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

共通ネットワークポート

他のCitrix VDAと同様に、システムを機能させるためには、重要なネットワークポートが数個あります。注意として、ICAトラフィックは、外部のCitrix GatewayをホストしているCitrix ADCからリモートPCアクセスに到達する必要があります。ポートの包括的なリストについては、「Citrixテクノロジで使用される通信ポート」 に記載されています。

VDA登録

ネットワークトポロジによっては、Virtual Apps and Desktops Delivery Controllerを含むサブネットで、物理PCとの通信が許可されない場合があります。Delivery Controllerに正しく登録するには、PC上のVDAが次のプロトコルを使用して両方の方向でDelivery Controllerと通信できる必要があります。

  • VDAからコントローラーへ:Kerberos
  • VDAへのコントローラー:Kerberos

VDAをコントローラに登録できない場合は、 VDA登録 記事を参照してください。Citrix Cloudを使用している場合は、Delivery Controller 代わりにCloud Connectorを使用します。

さらなるガイダンス

考慮事項やトラブルシューティング手順など、設計上のガイダンスについては、リモートPCアクセスの製品マニュアルを参照してください。

リモートPCアクセス設計の決定