設計上の決定:リモートPCアクセス
概要
リモートPCアクセスは、ユーザーがオフィスベースの物理Windows PCにアクセスするための簡単で効果的な方法です。任意のエンドポイントデバイスを使用することで、ユーザーは場所に関係なく生産性を維持できます。ただし、リモートPCアクセスを実装する場合は、次の点を考慮する必要があります。
展開シナリオ
PC をユーザーに接続する方法は複数あり、それぞれ異なるシナリオに適用できます。
オフィスワーカー
多くの展開では、リモートPCアクセスは、1人のユーザーが 1 台の PC に永続的に割り当てられるオフィスワーカーシナリオで展開されます。
これは、最も一般的な展開シナリオです。このユースケースを実装するために、管理者はリモートPCアクセスのマシンカタログタイプを使用できます。
コンピューティングラボ
特定の状況では、ユーザーは、学校、大学、大学のコンピューティングラボでよく見られる一連のコンピューティングリソースを共有する必要があります。ユーザーは、使用可能な物理 PC にランダムに割り当てられます。
この種類の構成では、管理されていない、ランダムに割り当てられた、単一セッション OS を使用します。このオペレーティングシステムは次のように構成されます。
- マシンカタログセットアップウィザードで、 シングルセッションOSを使用します
- 電源管理されていないマシンの選択
- 別のサービスまたはテクノロジを選択してください
- [ ユーザーがログオンするたびに新しい (ランダム) デスクトップに接続する] を選択します。
多くの場合、コンピューティングラボではPCよりもユーザーが多いので、 セッション時間を制限するポリシーが推奨されます 。
認証
ユーザーは、Active Directory 資格情報を使用してオフィスベースの PC への認証を続行します。ただし、オフィスの外部からインターネット経由でアクセスするため、組織は通常、ユーザー名とパスワードだけでなく、より強力なレベルの認証を必要とします。
Citrix Workspaceでは、Active Directory+トークンおよびAzure Active Directory Directoryなど、さまざまな認証オプションを選択できます。現在サポートされている認証オプション
NetScaler Gateway がCitrix Workspace の認証オプションとして構成されている場合、またはお客様がCitrix Workspaceの代わりにCitrix Gateway + Citrix StoreFrontを使用することを選択した場合、 Citrix Gatewayの認証オプションの幅広い選択肢が利用可能になります 。
時間ベースのワンタイムパスワードなど、これらのオプションの中には、ユーザーが最初に新しいトークンを登録する必要があります。トークンの登録では、ユーザーが自分の身元を確認するために電子メールにアクセスする必要があるため、ユーザーがリモートで作業しようとする前に完了する必要があります。
セッションセキュリティ
ユーザーは、信頼できない個人用デバイスを使用して、自分の仕事用 PC にリモートアクセスできます。組織では、Citrix Virtual Apps and Desktopsの統合ポリシーを使用して、次のことを
- エンドポイントのリスク:エンドポイントデバイスに秘密裏にインストールされたキーロガーは、ユーザー名とパスワードを簡単にキャプチャできます。キーロギング対策機能は 、キー入力を難読化することにより、盗まれた資格情報から組織を保護します。
- 受信リスク:信頼できないエンドポイントには、マルウェア、スパイウェア、およびその他の危険なコンテンツが含まれている可能性があります。エンドポイントデバイスのドライブへのアクセスを拒否すると、企業ネットワークへの危険なコンテンツの転送を防ぐことができます。
- アウトバウンドリスク:組織はコンテンツの管理を維持する必要があります。ユーザーがローカルの信頼できないエンドポイントデバイスにコンテンツをコピーできるようにすると、組織に余分なリスクが生じます。これらの機能は、エンドポイントのドライブ、プリンタ、クリップボード、アンチスクリーンキャプチャポリシーへのアクセスをブロックすることで拒否できます。
インフラストラクチャのサイジング
*注: 次のサイジングの推奨事項は開始点ですが、各環境は一意であるため、結果は一意になります。インフラストラクチャを監視し、適切なサイズにします。*
ユーザーは既存のオフィスPCにアクセスするため、リモートPCアクセスの追加をサポートするために必要な追加のインフラストラクチャは最小限ですが、ボトルネックにならないように制御層とアクセス層インフラストラクチャのサイズと監視を正しく行うことが重要です。
制御レイヤー
各Office PC上のVirtual Delivery Agent(VDA)は、Citrix Virtual Apps and Desktops に登録する必要があります。オンプレミス展開の場合、VDA登録はDelivery Controller で直接行われます。Citrix CloudのCitrix DaaSの場合、この登録はCitrix Cloud Connectorを介して行われます。
リモートPCアクセスワークロード用のDelivery ControllerまたはCloud Connectorのサイジングは、VDIワークロードに似ています。Citrix コンサルティングでは、少なくともN+1可用性を推奨します。ローカルホストキャッシュが必要な状況を含む、Cloud Connector スケーリングに関するガイダンスはこちらからご覧いただけます
アクセスレイヤー
ユーザーがオフィスPCへのHDXセッションを確立すると、ICAトラフィックをVDAにプロキシする必要があります。ICAプロキシは、Citrix GatewayアプライアンスまたはCitrix Gatewayサービスを介して提供されます
オンプレミスのCitrix ADC for Citrix Gatewayを使用する場合は、特定のモデルのデータシートを参照し、開始点として「 SSL VPN/ICAプロキシ同時ユーザー 」項目を参照してください。ADCが他のワークロードを処理している場合は、現在のスループットとCPU使用率が上限に近づいていないことを確認します。
Gateway アプライアンスが配置され、予想される同時ICAセッションをサポートするために十分なインターネット帯域幅があることを確認してください。
Citrix Cloudからゲートウェイサービスを使用する場合、ICAトラフィックはリソースの場所(VDAとCloud Connectorが配置されている)間でゲートウェイサービスに直接流れます。トラフィックは、Cloud Connectors(デフォルト)によってプロキシされるか(デフォルト)、またはランデブープロトコルを使用する条件を満たすことができる場合は、Cloud ConnectorをバイパスしてVDAから直接流れます。
Cloud Connector を使用してゲートウェイサービスへのICAトラフィックをプロキシする場合、これはボトルネックとなり、Cloud Connector仮想マシン上のCPUとメモリを慎重に監視することをお勧めします。最初の計画では、4つのvCPU Citrix Cloud Connector仮想マシンで最大1000のICAプロキシセッションを同時に処理できます。 Rendezvous プロトコル(構成されている場合)により、各物理 PC にインストールされた Virtual Delivery Agent は、Cloud Connector を介してセッションをトンネリングするのではなく、ゲートウェイサービスと直接通信できます。
ゲートウェイサービスを使用する場合は、ランデブープロトコルを使用して、クラウドコネクタがICAプロキシのボトルネックとなる問題を緩和することをお勧めします。
ランデブープロトコルを機能させるには 、次のような特定の前提条件があります。
- Citrix DaaS
- VDAバージョン1912以上
- 有効なHDXポリシー
- すべてのVDAのDNS PTRレコード
- 特定の SSL 暗号スイートの順序
- VDAからゲートウェイサービスへの直接(非プロキシ)インターネット接続
可用性
VDAが登録されている状態でオフィスPCの電源が入っていない場合は、ユーザーのセッションを仲介できません。Citrixでは、ユーザーが接続する必要があるマシンの電源が入っていることを確認するために、プロセスを配置することをお勧めします。
使用可能な場合は、電源障害が発生した場合に自動的に電源が入るように、PC の BIOS 設定を変更します。管理者は、Windows PCから「シャットダウン」オプションを削除するように Active Directory グループポリシーオブジェクトを構成することもできます。これにより、ユーザーが物理 PC の電源を切断するのを防ぐことができます。
リモートPCアクセスは、現在電源がオフになっているWindows PCの電源をオンにするためのWake on LAN操作もサポートしています 。Wake on LAN 機能は完全にスタンドアロンであり、2009 のリリースでは Wake on LAN 機能に追加のインフラストラクチャを用意する必要はありません。
ユーザー割り当て
ユーザーが各自のオフィスPCに仲介されていることが重要です。VDAがインストールされ、カタログとデリバリーグループが定義されると、ユーザーは次回PCにローカルでログオンしたときに自動的に割り当てられます。これは、何千人ものユーザーを割り当てるための効果的な方法です。
デフォルトでは、すべてのユーザーが同じ物理PCにログインしていれば、複数のユーザーがデスクトップに割り当てられますが、Delivery Controllerでレジストリを編集して無効にすることができます。
Citrix Virtual Apps and Desktops 管理者は、Citrix Studio 内またはPowerShell経由で必要に応じて割り当てを変更できます。PowerShell を使用してリモートPCアクセスVDAをサイトに追加し、ユーザーを割り当てるために、Citrix Consultingは、 Citrix GitHubページにある参照スクリプトを作成しました。
Virtual Delivery Agent
このセクションでは、Virtual Delivery Agentパッケージを処理するための主な考慮事項について説明します。
バージョン
Citrix Virtual Apps and Desktops 管理者は、VDAWorkstationCoreSetup.exe パッケージまたは VDAWorkstationSetup.exe パッケージのいずれかを /RemotePC フラグとともに使用できます。VDAWorkstationCoreSetup.exe パッケージはより小さく、リモートPCアクセスに必要なコアコンポーネントのみが含まれていますが、特にバージョン1912以前では、コンテンツのリダイレクトに必要なコンポーネントは含まれていません(詳細なガイダンスについては、 Microsoft Teams セクションを参照してください)。
Windows 7と8.1
Windows 7はサポートされなくなりますが、多くの組織では依然として従来のWindows 7デスクトップマシンがあります。Windows 7およびWindows 8.1で展開する場合は、XenDesktop 7.15 LTSR VDAを使用する必要があります。
Windows 10
Windows 10に展開する場合は、Citrix Virtual Apps and Desktops 1912 LTSR VDAまたはサポートされている最新リリースVDAを使用する必要があります。Windows 10ビルドに対するCitrixバージョンの互換性は、 CTX224843にあります。
便利なコマンドラインオプション
リモートPCアクセスを展開する際に考慮すべきVDAインストーラーのコマンドラインオプションは、便利な機能を有効にすることができます。
/remotePC
フルVDAパッケージ VDAWorkstationSetup.exe とともに使用し、リモートPCアクセスに必要なコアコンポーネントのみをインストールします。
/enable_hdx_ports
Windowsファイアウォールサービスが有効な場合(ファイアウォールが無効になっていても)、Cloud Connectorおよび有効な機能(Windowsリモートアシスタンスは除く)で必要なポートが開放されます。
/enable_hdx_udp_ports
Windowsファイアウォールサービスが検出された場合に(ファイアウォールが無効になっていても)、HDXアダプティブトランスポートに必要なUDPポートがWindowsウォールで開放されます。
VDAがコントローラおよび有効な機能との通信に使用するポートを開くには、/enable_hdx_udp_portsオプションに加えて、/enable_hdx_portsオプションを指定します。
/enable_real_time_transport
オーディオパケットでUDPを使用してパフォーマンスを向上させる機能(RealTime Audio Transport)を有効または無効にします。この機能を有効にすると、オーディオパフォーマンスを向上させることができます。
VDAがコントローラおよび有効な機能との通信に使用するポートを開くには、/enable_real_time_transportオプションに加えて、/enable_hdx_portsオプションを指定します。
/includeadditional “Citrix User Profile Manager”,”Citrix User Profile Manager WMI Plug in”
リモートPCアクセスの展開では、ほとんどの実装でプロファイル管理は必要ありません。ただし、Citrixユーザープロファイルマネージャーはパフォーマンス指標もキャプチャします。これは、管理者がパフォーマンス関連の問題を特定して修正するのに役立ちます。User Profile Manager は設定する必要はなく、メトリックスをキャプチャするためにデプロイするだけで済みます。
Citrixユーザープロファイルマネージャーをインストールすると、管理者は、Citrix DirectorおよびCitrix Analytics for Performance内のユーザーエクスペリエンス、セッションの応答性、およびログオンパフォーマンスに関する洞察に関するレポートを実行できます。
/logpath path
ログファイルのパスを指定します。インストーラによって作成されないため、指定されたフォルダが存在する必要があります。デフォルトのパスは「%TEMP%\ Citrix\ XenDesktop インストーラ」ですが、SCCM経由でインストールを実行する場合は、コンテキストに応じて、ログファイルをシステムの一時フォルダに保存できます。
/optimize
このフラグは、主に MCS 展開マシンを対象としているため、使用しないでください。
展開
Virtual Delivery Agentを数千の物理 PC に展開するには、自動化されたプロセスが必要です。
スクリプト経由
Citrix Virtual Apps and Desktopsのインストールメディアには、Active Directory グループポリシーオブジェクトを介して使用できる展開スクリプト(%InstallMedia%\Support\ADDeploy\InstallVDA.bat
)が含まれています。
このスクリプトは、PowerShell スクリプトおよびエンタープライズソフトウェア展開 (ESD) ツールのベースラインとして使用できます。これらのアプローチにより、組織は数千の物理エンドポイントにエージェントを迅速に展開できます。
SCCM 経由
SCCMやAltirisなどのESDツールを使用してVDAのインストールを自動化する場合は、前提条件用に個別のパッケージを作成し、VDAが最適に動作する傾向があります。ESDツールを使用したVDA展開の詳細については、 製品ドキュメントを参照してください。
Microsoft Teams
ユーザーが Microsoft Teams にアクセスして音声通話とビデオ通話を行う場合は、ユーザーエクスペリエンスを向上させるためにコンテンツリダイレクト機能が必要です。
VDA 1912以前の使用時にコンテンツリダイレクトを使用できるようにするには、 /remotepc
コマンドラインオプションを指定してシングルセッションのフルVDAインストーラー(スタンドアロン VDAWorkstationSetup.exe
)を使用して物理PCにVDAを展開する必要があります。
たとえば、次のようになります:VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot
VDA 2003以降を展開する場合は、代わりにシングルセッションコアVDAインストーラーを使用できます(スタンドアロン VDAWorkstationCoreSetup.exe
)。
たとえば、次のようになります:VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot
共通ネットワークポート
他のCitrix VDAと同様に、システムを機能させるためには、重要なネットワークポートが数個あります。注意として、ICAトラフィックは、外部のCitrix GatewayをホストしているCitrix ADCからリモートPCアクセスに到達する必要があります。ポートの包括的なリストは、 Citrix Technologiesが使用する通信ポートに記載されています。
VDA登録
ネットワークトポロジによっては、Virtual Apps and Desktops Delivery Controllerを含むサブネットで、物理PCとの通信が許可されない場合があります。Delivery Controllerに正しく登録するには、PC上のVDAが次のプロトコルを使用して両方の方向でDelivery Controllerと通信できる必要があります。
- VDAからコントローラーへ:Kerberos
- VDAへのコントローラー:Kerberos
VDAがControllerに登録できない場合は、 VDA登録に関する記事を参照してください 。Citrix Cloudを使用している場合は、Delivery Controller 代わりにCloud Connectorを使用します。
さらなるガイダンス
考慮事項やトラブルシューティングの手順など、より多くの設計ガイダンスは、 リモートPCアクセス製品のマニュアルに記載されています。