Configurações de resiliência da sessão
Manter a atividade da sessão é fundamental para proporcionar a melhor experiência ao usuário. A perda de conectividade devido a redes não confiáveis, latência de rede altamente variável e limitações de alcance de dispositivos sem fio pode levar à frustração do usuário. Ser capaz de se mover rapidamente entre estações de trabalho e acessar o mesmo conjunto de aplicativos cada vez que faz logon é uma prioridade para muitos trabalhadores móveis, como profissionais de saúde em um hospital.
Os recursos descritos neste artigo otimizam a confiabilidade das sessões, reduzem inconvenientes, tempo de inatividade e perda de produtividade; usando esses recursos, usuários móveis podem se deslocar de forma rápida e fácil entre dispositivos.
Confiabilidade da sessão
A Confiabilidade da Sessão mantém as sessões ativas e na tela do usuário quando a conectividade de rede é interrompida. Os usuários continuam a ver o aplicativo que estão usando até que a conectividade de rede seja retomada.
Esse recurso é especialmente útil para usuários móveis com conexões sem fio. Por exemplo, um usuário com uma conexão sem fio entra em um túnel ferroviário e perde momentaneamente a conectividade. Normalmente, a sessão é desconectada e desaparece da tela do usuário, e o usuário precisa se reconectar à sessão desconectada. Com a Confiabilidade da Sessão, a sessão permanece ativa na máquina. Para indicar que a conectividade foi perdida, a exibição do usuário congela e o cursor muda para uma ampulheta giratória até que a conectividade seja retomada do outro lado do túnel. O usuário continua a acessar a exibição durante a interrupção e pode retomar a interação com o aplicativo quando a conexão de rede é restaurada. A Confiabilidade da Sessão reconecta os usuários sem solicitações de reautenticação.
Os usuários do aplicativo Citrix Workspace™ não podem substituir a configuração do Controller.
Você pode usar a Confiabilidade da Sessão com o Transport Layer Security (TLS). O TLS criptografa apenas os dados enviados entre o dispositivo do usuário e o Citrix Gateway.
Habilite e configure a Confiabilidade da Sessão com as seguintes configurações de política:
- A configuração de política Conexões de confiabilidade da sessão permite ou impede a confiabilidade da sessão.
- A configuração de política Tempo limite de confiabilidade da sessão tem um padrão de 180 segundos, ou três minutos. Embora você possa estender o tempo que a Confiabilidade da Sessão mantém uma sessão aberta, esse recurso foi projetado para a conveniência do usuário e, portanto, não solicita reautenticação ao usuário. Ao estender o tempo que uma sessão é mantida aberta, aumentam as chances de que um usuário possa se distrair e se afastar do dispositivo do usuário, potencialmente deixando a sessão acessível a usuários não autorizados.
- As conexões de confiabilidade de sessão de entrada usam a porta 2598, a menos que você altere o número da porta na configuração de política Número da porta de confiabilidade da sessão.
- Se você não quiser que os usuários possam se reconectar a sessões interrompidas sem precisar se reautenticar, use o recurso Reconexão Automática do Cliente. Você pode configurar a configuração de política Autenticação de reconexão automática do cliente para solicitar que os usuários se reautentiquem ao se reconectarem a sessões interrompidas.
Se você usar a Confiabilidade da Sessão e a Reconexão Automática do Cliente, os dois recursos funcionarão em sequência. A Confiabilidade da Sessão fecha, ou desconecta, a sessão do usuário após o tempo especificado na configuração de política Tempo limite de confiabilidade da sessão. Depois disso, as configurações de política de Reconexão Automática do Cliente entram em vigor, tentando reconectar o usuário à sessão desconectada.
Reconexão Automática do Cliente
Com o recurso Reconexão Automática do Cliente, o aplicativo Citrix Workspace pode detectar desconexões não intencionais de sessões ICA® e reconectar os usuários às sessões afetadas automaticamente. Quando esse recurso é habilitado no servidor, os usuários não precisam se reconectar manualmente para continuar trabalhando.
Para sessões de aplicativo, o aplicativo Citrix Workspace tenta se reconectar à sessão até que haja uma reconexão bem-sucedida ou o usuário cancele as tentativas de reconexão.
Para sessões de desktop, o aplicativo Citrix Workspace tenta se reconectar à sessão por um tempo especificado, a menos que haja uma reconexão bem-sucedida ou o usuário cancele as tentativas de reconexão. Por padrão, esse tempo é de cinco minutos. Para alterar esse período, edite este registro no dispositivo do usuário:
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
Onde seconds
é o número de segundos após os quais nenhuma outra tentativa é feita para reconectar a sessão.
Habilite e configure a Reconexão Automática do Cliente com as seguintes configurações de política:
- Reconexão automática do cliente: Habilita ou desabilita a reconexão automática pelo aplicativo Citrix Workspace após uma conexão ter sido interrompida.
- Autenticação de reconexão automática do cliente: Habilita ou desabilita a exigência de autenticação do usuário após a reconexão automática.
- Registro de reconexão automática do cliente: Habilita ou desabilita o registro de eventos de reconexão no log de eventos. O registro é desabilitado por padrão. Quando habilitado, o Log do Sistema do servidor captura informações sobre eventos de reconexão automática bem-sucedidos e falhos. Cada servidor armazena informações sobre eventos de reconexão em seu próprio log do sistema. O site não fornece um log combinado de eventos de reconexão para todos os servidores.
A Reconexão Automática do Cliente incorpora um mecanismo de autenticação baseado em credenciais de usuário criptografadas. Quando um usuário faz logon inicialmente, o servidor criptografa e armazena as credenciais do usuário na memória, e cria e envia um cookie contendo a chave de criptografia para o aplicativo Citrix Workspace. O aplicativo Citrix Workspace envia a chave para o servidor para reconexão. O servidor descriptografa as credenciais e as envia para o Logon do Windows para autenticação. Quando os cookies expiram, os usuários devem se reautenticar para se reconectar às sessões.
Os cookies não são usados se você habilitar a configuração de autenticação de reconexão automática do cliente. Em vez disso, uma caixa de diálogo é apresentada aos usuários solicitando credenciais quando o aplicativo Citrix Workspace tenta se reconectar automaticamente.
Para proteção máxima das credenciais e sessões do usuário, use criptografia para toda a comunicação entre clientes e o Site.
Desabilite a Reconexão Automática do Cliente no aplicativo Citrix Workspace para Windows usando o arquivo icaclient.adm. Para obter mais informações, consulte a documentação da sua versão do aplicativo Citrix Workspace para Windows.
As configurações para conexões também afetam a Reconexão Automática do Cliente:
- Por padrão, a Reconexão Automática do Cliente é habilitada por meio de configurações de política no nível do Site, conforme descrito acima. A reautenticação do usuário não é necessária. No entanto, se a conexão ICA TCP de um servidor estiver configurada para redefinir sessões com um link de comunicação quebrado, a reconexão automática não ocorrerá. A Reconexão Automática do Cliente funciona apenas se o servidor desconectar as sessões quando houver uma conexão quebrada ou com tempo limite. Nesse contexto, a conexão ICA TCP refere-se a uma porta virtual do servidor (em vez de uma conexão de rede real) que é usada para sessões em redes TCP/IP.
- Por padrão, a conexão ICA TCP em um servidor é configurada para desconectar sessões com conexões quebradas ou com tempo limite. As sessões desconectadas permanecem intactas na memória do sistema e estão disponíveis para reconexão pelo aplicativo Citrix Workspace.
- A conexão pode ser configurada para redefinir ou fazer logoff de sessões com conexões quebradas ou com tempo limite. Quando uma sessão é redefinida, a tentativa de reconexão inicia uma nova sessão. Em vez de restaurar o usuário para o mesmo ponto no aplicativo em uso, o aplicativo é reiniciado.
- Se o servidor estiver configurado para redefinir sessões, a Reconexão Automática do Cliente criará uma sessão. Esse processo exige que os usuários insiram suas credenciais para fazer logon no servidor.
- A reconexão automática pode falhar se o aplicativo Citrix Workspace ou o plug-in enviar informações de autenticação incorretas, o que pode ocorrer durante um ataque ou se o servidor determinar que muito tempo se passou desde que detectou a conexão quebrada.
ICA Keep-Alive
A habilitação do recurso ICA Keep-Alive impede que conexões quebradas sejam desconectadas. Quando habilitado, se o servidor não detectar atividade (por exemplo, nenhuma alteração de relógio, nenhum movimento do mouse, nenhuma atualização de tela), esse recurso impede que os Serviços de Área de Trabalho Remota desconectem essa sessão. O servidor envia pacotes keep-alive a cada poucos segundos para detectar se a sessão está ativa. Se a sessão não estiver mais ativa, o servidor a marca como desconectada.
Importante:
O ICA Keep-Alive funciona apenas se você não estiver usando a Confiabilidade da Sessão. A Confiabilidade da Sessão tem seus próprios mecanismos para impedir que conexões quebradas sejam desconectadas. Configure o ICA Keep-Alive apenas para conexões que não usam a Confiabilidade da Sessão.
As configurações do ICA Keep-Alive substituem as configurações de keep-alive configuradas na Política de Grupo do Microsoft Windows.
Habilite e configure o ICA Keep-Alive com as seguintes configurações de política:
-
Tempo limite de keep-alive do ICA: Especifica o intervalo (1–3600 segundos) usado para enviar mensagens keep-alive do ICA. Não configure esta opção se você quiser que seu software de monitoramento de rede feche conexões inativas em ambientes onde as conexões quebradas são tão infrequentes que permitir que os usuários se reconectem às sessões não é uma preocupação.
O intervalo padrão é de 60 segundos: os pacotes ICA Keep-Alive são enviados para os dispositivos do usuário a cada 60 segundos. Se um dispositivo do usuário não responder em 60 segundos, o status das sessões ICA muda para desconectado.
-
Keep-alives do ICA: Envia ou impede o envio de mensagens keep-alive do ICA.
Controle de workspace
O controle de workspace permite que desktops e aplicativos sigam um usuário de um dispositivo para outro. Essa capacidade de roaming permite que um usuário acesse todos os desktops ou aplicativos abertos de qualquer lugar simplesmente fazendo logon, sem precisar reiniciar os desktops ou aplicativos em cada dispositivo. Por exemplo, o controle de workspace pode ajudar profissionais de saúde em um hospital que precisam se mover rapidamente entre diferentes estações de trabalho e acessar o mesmo conjunto de aplicativos cada vez que fazem logon. Se você configurar as opções de controle de workspace para permitir, esses trabalhadores podem se desconectar de vários aplicativos em um dispositivo cliente e, em seguida, reconectar-se para abrir os mesmos aplicativos em um dispositivo cliente diferente.
O controle de workspace afeta as seguintes atividades:
- Logon: Por padrão, o controle de workspace permite que os usuários se reconectem automaticamente a todos os desktops e aplicativos em execução ao fazer logon, ignorando a necessidade de reabri-los manualmente. Por meio do controle de workspace, os usuários podem abrir desktops ou aplicativos desconectados e quaisquer que estejam ativos em outro dispositivo cliente. Desconectar-se de um desktop ou aplicativo o mantém em execução no servidor. Se você tiver usuários em roaming que precisam manter alguns desktops ou aplicativos em execução em um dispositivo cliente enquanto se reconectam a um subconjunto de seus desktops ou aplicativos em outro dispositivo cliente, você pode configurar o comportamento de reconexão de logon para abrir apenas os desktops ou aplicativos dos quais o usuário se desconectou anteriormente.
- Reconexão: Após fazer logon no servidor, os usuários podem se reconectar a todos os seus desktops ou aplicativos a qualquer momento clicando em Reconectar. Por padrão, Reconectar abre desktops ou aplicativos que estão desconectados, além de quaisquer que estejam atualmente em execução em outro dispositivo cliente. Você pode configurar Reconectar para abrir apenas os desktops ou aplicativos dos quais o usuário se desconectou anteriormente.
- Logoff: Para usuários que abrem desktops ou aplicativos por meio do StoreFront™, você pode configurar o comando Logoff para desconectar o usuário do StoreFront e de todas as sessões ativas juntas, ou fazer logoff apenas do StoreFront.
- Desconexão: Os usuários podem se desconectar de todos os desktops e aplicativos em execução de uma vez, sem precisar se desconectar de cada um individualmente.
O controle de workspace está disponível para usuários que acessam desktops e aplicativos por meio de uma conexão Citrix StoreFront ou por meio do aplicativo Citrix Workspace. Por padrão, o controle de workspace é desabilitado para sessões de desktop virtual, mas é habilitado para aplicativos hospedados. O compartilhamento de sessão não ocorre por padrão entre desktops publicados e quaisquer aplicativos publicados em execução dentro desses desktops.
As políticas de usuário, os mapeamentos de unidade cliente e as configurações de impressora mudam apropriadamente quando um usuário se move para um novo dispositivo cliente. As políticas e os mapeamentos são aplicados de acordo com o dispositivo cliente onde o usuário está logado na sessão. Por exemplo, se um profissional de saúde faz logoff de um dispositivo cliente na sala de emergência de um hospital e, em seguida, faz logon em uma estação de trabalho no laboratório de raios-X do hospital, as políticas, os mapeamentos de impressora e os mapeamentos de unidade cliente apropriados para a sessão no laboratório de raios-X entram em vigor no início da sessão.
Você pode personalizar quais impressoras aparecem para os usuários quando eles mudam de local. Você também pode controlar se os usuários podem imprimir em impressoras locais, quanta largura de banda é consumida quando os usuários se conectam remotamente e outros aspectos de suas experiências de impressão.
Para obter informações sobre como habilitar e configurar o controle de workspace para usuários, consulte a documentação do StoreFront.
Roaming de sessão
Nota:
As informações a seguir o guiam para configurar o roaming de sessão usando o PowerShell. Você pode usar o Studio em vez disso. Para obter mais informações, consulte Gerenciar grupos de entrega.
Por padrão, as sessões fazem roaming entre dispositivos cliente com o usuário. Quando o usuário inicia uma sessão e, em seguida, se move para outro dispositivo, a mesma sessão é usada e os aplicativos estão simultaneamente disponíveis em ambos os dispositivos. Você pode visualizar os aplicativos em vários dispositivos. Os aplicativos seguem, independentemente do dispositivo ou se as sessões atuais existem. Frequentemente, impressoras e outros recursos atribuídos ao aplicativo também seguem.
Embora esse comportamento padrão ofereça muitas vantagens, pode não ser ideal em todos os casos. Você pode impedir o roaming de sessão usando o SDK do PowerShell.
Exemplo 1: Um profissional médico está usando dois dispositivos, preenchendo um formulário de seguro em um PC desktop e consultando informações do paciente em um tablet.
- Se o roaming de sessão estiver habilitado, ambos os aplicativos aparecerão em ambos os dispositivos (um aplicativo iniciado em um dispositivo é visível em todos os dispositivos em uso). Isso pode não atender aos requisitos de segurança.
- Se o roaming de sessão estiver desabilitado, o registro do paciente não aparecerá no PC desktop, e o formulário de seguro não aparecerá no tablet.
Exemplo 2: Um gerente de produção inicia um aplicativo no PC em seu escritório. O nome do dispositivo e o local determinam quais impressoras e outros recursos estão disponíveis para essa sessão. Mais tarde no dia, ele vai para um escritório no prédio ao lado para uma reunião que exigirá que ele use uma impressora.
- Se o roaming de sessão estiver habilitado, o gerente de produção provavelmente não conseguiria acessar as impressoras perto da sala de reunião, porque os aplicativos que ele iniciou anteriormente em seu escritório resultaram na atribuição de impressoras e outros recursos perto daquele local.
- Se o roaming de sessão estiver desabilitado, quando ele fizer logon em uma máquina diferente (usando as mesmas credenciais), uma nova sessão será iniciada, e as impressoras e recursos próximos estarão disponíveis.
Configurar roaming de sessão
Para configurar o roaming de sessão, use os seguintes cmdlets de regra de política de direito com a propriedade “SessionReconnection”. Opcionalmente, você também pode especificar a propriedade “LeasingBehavior”.
Para sessões de desktop:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Para sessões de aplicativo:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Onde value
pode ser um dos seguintes:
- Always: As sessões sempre fazem roaming, independentemente do dispositivo cliente e se a sessão está conectada ou desconectada. Este é o valor padrão.
- DisconnectedOnly: Reconecta apenas a sessões que já estão desconectadas; caso contrário, inicia uma nova sessão. (As sessões podem fazer roaming entre dispositivos cliente desconectando-as primeiro ou usando o controle de workspace para fazer o roaming explicitamente.) Uma sessão ativa conectada de outro dispositivo cliente nunca é usada. Em vez disso, uma nova sessão é iniciada.
- SameEndpointOnly: Um usuário obtém uma sessão única para cada dispositivo cliente que usa. Isso desabilita completamente o roaming. Os usuários podem se reconectar apenas ao mesmo dispositivo que foi usado anteriormente na sessão.
A propriedade “LeasingBehavior” é descrita abaixo.
Efeitos de outras configurações:
A desabilitação do roaming de sessão é afetada pelo limite de aplicativo “Permitir apenas uma instância do aplicativo por usuário” nas propriedades do aplicativo no Grupo de Entrega.
- Se você desabilitar o roaming de sessão, desabilite o limite de aplicativo “Permitir apenas uma instância…”.
- Se você habilitar o limite de aplicativo “Permitir apenas uma instância…”, não configure nenhum dos dois valores que permitem novas sessões em novos dispositivos.
Intervalo de logon
Se uma máquina virtual contendo um VDA de desktop for fechada antes que o processo de logon seja concluído, você poderá alocar mais tempo para o processo. O padrão para as versões 7.6 e posteriores é de 180 segundos (o padrão para 7.0-7.5 é de 90 segundos).
Na máquina (ou na imagem mestre usada em um catálogo de máquinas), defina a seguinte chave de registro:
Chave: HKLM\SOFTWARE\Citrix\PortICA
- Valor:
AutoLogonTimeout
- Tipo:
DWORD
- Especifique um tempo decimal em segundos, no intervalo de 0 a 3600.
Se você alterar a imagem mestre, implemente a nova imagem no catálogo. Para obter mais informações, consulte Alterar a imagem mestre.
Essa configuração se aplica apenas a VMs com VDAs de desktop de sessão única (estação de trabalho). A Microsoft controla o tempo limite de logon em máquinas com VDAs de servidor de várias sessões.