Citrix Virtual Apps and Desktops

Sessões

Manter a atividade da sessão é fundamental para oferecer a melhor experiência de usuário. Perder conectividade devido a redes não confiáveis, latência de rede altamente variável e limitações de alcance de dispositivos sem fio pode levar o usuário à frustração. Mover-se rapidamente entre dispositivos e acessar os mesmos aplicativos a cada login é uma prioridade para muitos trabalhadores móveis, como os profissionais de saúde.

Os recursos descritos neste artigo otimizam a confiabilidade das sessões e reduzem inconvenientes, tempo de inatividade e perda de produtividade. Usando esses recursos, os usuários móveis podem mudar de forma rápida e fácil entre dispositivos.

Você também pode fazer logoff de usuário, desconectar uma sessão e configurar a pré-inicialização e a permanência da sessão; consulte Gerenciar grupos de entrega.

Confiabilidade da sessão

A confiabilidade da sessão mantém as sessões ativas e na tela do usuário quando a conectividade de rede é interrompida. Os usuários continuam a ver o aplicativo que estão usando até que a conectividade de rede seja retomada.

Esse recurso é especialmente útil para usuários móveis com conexões sem fio. Por exemplo, um usuário com uma conexão sem fio entra em um túnel e perde a conectividade momentaneamente. Normalmente, a sessão é desconectada e desaparece da tela do usuário, e o usuário precisa se reconectar à sessão desconectada. Com a Confiabilidade da Sessão, a sessão permanece ativa na máquina. Para indicar a conectividade perdida, a tela do usuário congela e o cursor muda para uma ampulheta giratória até que a conectividade seja retomada no outro lado do túnel. O usuário continua acessando a tela durante a interrupção e pode retomar a interação com o aplicativo quando a conexão de rede é restaurada. A Confiabilidade de Sessão reconecta usuários sem solicitar a reautenticação.

Os usuários do aplicativo Citrix Workspace não podem substituir a configuração do Controller.

Você pode usar a Confiabilidade da Sessão com TLS (Transport Layer Security). O TLS criptografa apenas os dados enviados entre o dispositivo do usuário e o Citrix Gateway.

Ative e configure a Confiabilidade da Sessão com as seguintes configurações de política:

  • A configuração da política de conexões de confiabilidade da sessão permite ou evita a confiabilidade da sessão.
  • A configuração da política de tempo limite de confiabilidade da sessão tem um padrão de 180 segundos ou três minutos. Embora você possa estender a quantidade de tempo que a confiabilidade da sessão mantém uma sessão aberta, esse recurso foi projetado para a conveniência do usuário. Consequentemente, ele não solicita que o usuário faça a reautenticação. À medida que você estende a quantidade de tempo que uma sessão é mantida aberta, as chances de que um usuário se distraia e se afaste do dispositivo aumentam. Essa ação pode deixar a sessão acessível a usuários não autorizados.
  • As conexões de confiabilidade de sessão recebidas usam a porta 2598, a menos que você altere o número da porta na configuração da política de número de porta de confiabilidade da sessão.
  • Para evitar que os usuários se reconectem às sessões interrompidas sem precisar se autenticar novamente, use o recurso de reconexão automática de cliente. Você pode definir a configuração da política de autenticação de reconexão automática de cliente para solicitar que os usuários se reautentiquem ao se reconectarem a sessões interrompidas.

Se você usa a Confiabilidade da sessão e a Reconexão automática de cliente, os dois recursos funcionam em sequência. A Confiabilidade da Sessão fecha ou desconecta a sessão do usuário após o tempo especificado na configuração da política de tempo limite de confiabilidade da sessão. Depois disso, as configurações de reconexão automática de cliente entram em vigor, tentando reconectar o usuário à sessão desconectada.

Reconexão automática de cliente

Com o recurso de Reconexão automática de cliente, o aplicativo Citrix Workspace pode detectar desconexões não intencionais de sessões ICA e reconectar os usuários às sessões afetadas automaticamente. Quando esse recurso está ativado no servidor, os usuários não precisam se reconectar manualmente para continuar trabalhando.

Em sessões de aplicativo, o aplicativo Citrix Workspace tenta se reconectar à sessão até que haja uma reconexão bem-sucedida ou o usuário cancele as tentativas de reconexão.

Em sessões de área de trabalho, o aplicativo Citrix Workspace tenta se reconectar à sessão por um período especificado, a menos que haja uma reconexão bem-sucedida ou o usuário cancele as tentativas de reconexão. Por padrão, esse período é de cinco minutos. Para alterar esse período, edite a seguinte configuração de registro no dispositivo do usuário (onde seconds está o número de segundos após o qual não são feitas mais tentativas para reconectar a sessão).

HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>

Ative e configure a reconexão automática de cliente com as seguintes configurações de política:

  • Reconexão automática de cliente: ativa ou desativa a reconexão automática pelo aplicativo Citrix Workspace após uma conexão ter sido interrompida.
  • Autenticação de reconexão automática de cliente: ativa ou desativa o requisito de autenticação do usuário após a reconexão automática.
  • Log de reconexão automática de cliente: ativa ou desativa o log de eventos de reconexão no log de eventos. O log é desativado por padrão. Quando ativado, o log do sistema do servidor captura informações sobre eventos de reconexão automática bem-sucedidos e com falha. Cada servidor armazena informações sobre eventos de reconexão no log do seu próprio sistema. O site não fornece um log combinado de eventos de reconexão para todos os servidores.

A Reconexão automática de cliente incorpora um mecanismo de autenticação baseado em credenciais de usuário criptografadas. Quando um usuário faz logon inicialmente, o servidor criptografa e armazena as credenciais do usuário na memória. O servidor também cria e envia um cookie contendo a chave de criptografia para o aplicativo Citrix Workspace. O aplicativo Citrix Workspace envia a chave ao servidor para reconexão. O servidor descriptografa as credenciais e as envia ao logon do Windows para autenticação. Quando os cookies expiram, os usuários devem se autenticar novamente para se reconectar às sessões.

Os cookies não são usados se você ativar a configuração de autenticação de reconexão automática de cliente. Em vez disso, uma caixa de diálogo solicita as credenciais aos usuários quando o aplicativo Citrix Workspace tenta se reconectar automaticamente.

Para proteção máxima das credenciais e sessões do usuário, use criptografia para toda a comunicação entre clientes e o site.

Desative a Reconexão automática de cliente no aplicativo Citrix Workspace para Windows usando o arquivo icaclient.adm. Para obter mais informações, consulte a documentação correspondente à sua versão do aplicativo Citrix Workspace para Windows.

As configurações das conexões também afetam a reconexão automática de cliente:

  • Por padrão, a reconexão automática de cliente é ativada por meio de configurações de política no nível do site, conforme descrito anteriormente. A reautenticação do usuário não é exigida. No entanto, se a conexão ICA TCP de um servidor estiver configurada para redefinir sessões com um link de comunicação interrompido, a reconexão automática não ocorrerá. A reconexão automática de cliente só funciona se o servidor desconectar sessões quando houver uma conexão interrompida ou expirada. Nesse contexto, a conexão ICA TCP refere-se à porta virtual de um servidor (em vez de uma conexão de rede real) que é usada para sessões em redes TCP/IP.
  • Por padrão, a conexão ICA TCP em um servidor é definida para desconectar sessões com conexões interrompidas ou expiradas. As sessões desconectadas permanecem intactas na memória do sistema e ficam disponíveis para reconexão pelo aplicativo Citrix Workspace.
  • A conexão pode ser configurada para redefinir ou fazer o logoff de sessões com conexões interrompidas ou expiradas. Quando uma sessão é redefinida, tentar reconectar inicia uma nova sessão. Em vez de restaurar um usuário no mesmo local no aplicativo em uso, o aplicativo é reiniciado.
  • Se o servidor estiver configurado para redefinir sessões, a reconexão automática de cliente criará uma nova sessão. Esse processo exige que os usuários insiram suas credenciais para fazer logon no servidor.
  • A reconexão automática pode falhar se o aplicativo Citrix Workspace ou o plug-in enviar informações de autenticação incorretas, o que pode ocorrer durante um ataque ou se o servidor determinar que decorreu muito tempo desde que ele detectou a conexão interrompida.

ICA Keep-Alive

Permitir o recurso ICA Keep-Alive impede que conexões interrompidas sejam desconectadas. Quando ativado, se o servidor não detectar nenhuma atividade, esse recurso impede que os Serviços de Área de Trabalho Remota desconectem a sessão. Exemplos de falta de atividade incluem: nenhuma mudança de relógio, nenhum movimento do mouse, nenhuma atualização de tela. O servidor envia pacotes keep-alive a cada poucos segundos para detectar se a sessão está ativa. Se a sessão não estiver mais ativa, o servidor marca a sessão como desconectada.

Importante:

O ICA Keep-Alive funciona somente se você não estiver usando a confiabilidade da sessão. A confiabilidade da sessão tem seus próprios mecanismos para evitar que conexões interrompidas sejam desconectadas. Configure o ICA Keep-Alive somente para conexões que não usam a confiabilidade da sessão.

As configurações do ICA Keep-Alive substituem as configurações do keep-alive definidas na Política de grupo do Windows.

Ative e configure o ICA Keep-Alive com as seguintes configurações de política:

  • ICA keep alive timeout: especifica o intervalo (1-3600 segundos) usado para enviar mensagens de ICA keep-alive. Não configure essa opção se quiser que seu software de monitoramento de rede feche conexões inativas em ambientes onde as conexões interrompidas são tão pouco frequentes que permitir que os usuários se reconectem às sessões não é uma preocupação.

    O intervalo padrão é 60 segundos: os pacotes ICA Keep-Alive são enviados aos dispositivos do usuário a cada 60 segundos. Se um dispositivo de usuário não responder em 60 segundos, o status das sessões ICA muda para Desconectado.

  • ICA keep alives: envia ou impede o envio de mensagens ICA keep-alive.

Controle do espaço de trabalho

O controle do espaço de trabalho permite que as áreas de trabalho e os aplicativos sigam um usuário de um dispositivo para outro. Essa capacidade de movimento permite que um usuário acesse todas as áreas de trabalho ou aplicativos abertos de qualquer lugar simplesmente fazendo logon, sem ter que reinicializar as áreas de trabalho ou aplicativos em cada dispositivo. Por exemplo, o controle do espaço de trabalho pode ajudar os profissionais de saúde em um hospital que precisam se mover rapidamente entre diferentes estações de trabalho e acessar o mesmo conjunto de aplicativos sempre que fazem logon. Se você configurar as opções de controle do espaço de trabalho para permitir isso, esses trabalhadores poderão se desconectar de vários aplicativos em um dispositivo cliente e se reconectar para abrir os mesmos aplicativos em um dispositivo cliente diferente.

O controle do espaço de trabalho afeta as seguintes atividades:

  • Entrar: por padrão, o controle do espaço de trabalho permite que os usuários se reconectem automaticamente a todas as áreas de trabalho e aplicativos em execução ao fazer logon, ignorando a necessidade de reabri-los manualmente. Por meio do controle do espaço de trabalho, os usuários podem abrir áreas de trabalho ou aplicativos desconectados, além de outros que estejas ativos em outro dispositivo cliente. Desconectar-se de uma área de trabalho ou aplicativo o mantém em execução no servidor. Se tiver usuários em roaming que devem manter algumas áreas de trabalho ou aplicativos em execução em um dispositivo cliente enquanto se reconectam a um subconjunto de suas áreas de trabalho ou aplicativos em outro dispositivo cliente, você pode configurar o comportamento de reconexão de logon para abrir somente as áreas de trabalho ou aplicativos das quais o usuário se desconectou anteriormente.
  • Reconexão: depois de fazer logon no servidor, os usuários podem se reconectar a todas as áreas de trabalho ou aplicativos a qualquer momento clicando em Reconectar. Por padrão, Reconectar abre áreas de trabalho e aplicativos que estão desconectados, além dos que estão em execução no momento em outro dispositivo cliente. Você pode configurar Reconectar para abrir apenas as áreas de trabalho ou aplicativos das quais o usuário se desconectou anteriormente.
  • Sair: para usuários que abrem áreas de trabalho ou aplicativos pelo StoreFront, você pode configurar o comando Logoff para desconectar o usuário do StoreFront e de todas as sessões ativas ou somente do StoreFront.
  • Desconexão: os usuários podem se desconectar de todas as áreas de trabalho e aplicativos em execução de uma só vez, sem precisar se desconectar de cada um individualmente.

O controle do espaço de trabalho está disponível apenas para usuários do aplicativo Citrix Workspace que acessam áreas de trabalho e aplicativos por meio de uma conexão ao Citrix StoreFront. Por padrão, o controle do espaço de trabalho está desativado para sessões de área de trabalho virtual, mas está ativado para aplicativos hospedados. O compartilhamento de sessão não ocorre por padrão entre áreas de trabalho publicadas e aplicativos publicados executados dentro dessas áreas de trabalho.

As políticas de usuário, os mapeamentos de unidade e as configurações da impressora mudam adequadamente quando um usuário se move para um novo dispositivo cliente. Políticas e mapeamentos são aplicados de acordo com o dispositivo cliente onde o usuário está conectado à sessão. Por exemplo, um profissional de saúde faz logoff de um dispositivo na sala de emergência e, em seguida, faz logon em uma estação de trabalho no laboratório de raios-x. As políticas, os mapeamentos de impressoras e os mapeamentos de unidade apropriados para a sessão no laboratório de raios-x entram em vigor na inicialização da sessão.

Você pode personalizar quais impressoras aparecem para os usuários quando eles mudam de localização. Você também pode controlar se os usuários podem imprimir em impressoras locais, quanta largura de banda é consumida quando os usuários se conectam remotamente e outros aspectos de suas experiências de impressão.

Para obter informações sobre como ativar e configurar o controle do espaço de trabalho para usuários, consulte a documentação do StoreFront.

Roaming de sessão

Por padrão, as sessões se movem entre dispositivos cliente com o usuário. Quando o usuário inicia uma sessão e depois se move para outro dispositivo, a mesma sessão é usada e os aplicativos ficam disponíveis nos dois dispositivos. Os aplicativos seguem, independentemente do dispositivo, ou se existem ou não sessões atuais. Muitas vezes, as impressoras e outros recursos atribuídos ao aplicativo também seguem.

Embora esse comportamento padrão ofereça muitas vantagens, talvez não seja ideal em todos os casos. Você pode impedir o roaming de sessão usando o SDK do PowerShell.

Exemplo 1: um profissional de medicina está usando dois dispositivos: preenchendo um formulário de seguro em um PC desktop e olhando as informações do paciente em um tablet.

  • Se o roaming de sessão estiver ativado, os dois aplicativos aparecem nos dois dispositivos (um aplicativo iniciado em um dispositivo fica visível em todos os dispositivos em uso). Isso talvez não atenda aos requisitos de segurança.
  • Se o roaming da sessão estiver desativado, o prontuário do paciente não aparece no PC desktop e o formulário de seguro não aparece no tablet.

Exemplo 2: um gerente de produção inicia um aplicativo no PC no escritório. O nome e o local do dispositivo determinam quais impressoras e outros recursos estão disponíveis para a sessão. Mais tarde, ele vai a um escritório no prédio ao lado para uma reunião que exigirá o uso de uma impressora.

  • Se o roaming de sessão estiver ativado, o gerente de produção provavelmente não conseguirá acessar as impressoras perto da sala de reuniões, isso porque os aplicativos que ele iniciou anteriormente em seu escritório resultaram na atribuição de impressoras e outros recursos próximos àquele local.
  • Se o roaming de sessão estiver desativado, e se ele fizer logon em uma máquina diferente (usando as mesmas credenciais), uma nova sessão é iniciada e impressoras e recursos próximos ficarão disponíveis.

Configurar roaming de sessão

Para configurar o roaming de sessão, use os seguintes cmdlets de regra de política de direito com a propriedade “SessionReconnection”. Opcionalmente, você também pode especificar a propriedade “LeasingBehavior”.

Para sessões da área de trabalho:

Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Para sessões do aplicativo:

Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Onde value pode ser um dos seguintes:

  • Always: as sessões sempre fazem o roaming, independentemente do dispositivo cliente e se a sessão está conectada ou desconectada. Este é o valor padrão.
  • DisconnectedOnly: reconectar-se apenas às sessões que já estão desconectadas; caso contrário, iniciar uma nova sessão. (As sessões podem fazer roaming entre dispositivos cliente primeiro desconectando-os ou usando o controle do espaço de trabalho para fazer o roaming explicitamente.) Uma sessão conectada ativa de outro dispositivo cliente nunca é usada. Em vez disso, uma nova sessão é iniciada.
  • SameEndpointOnly: um usuário obtém uma sessão exclusiva para cada dispositivo cliente que usa. Isso desativa completamente o roaming. Os usuários podem se reconectar somente ao mesmo dispositivo que foi usado anteriormente na sessão.

A propriedade “LeasingBehavior” é descrita abaixo.

Efeitos de outra configuração:

A desativação do roaming de sessão é afetada pelo limite de aplicativo Allow only one instance of the application per user nas propriedades do aplicativo no grupo de entrega.

  • Se você desativar o roaming de sessão, desative a opção de limite de aplicativo “Allow only one instance of the application per user”.
  • Se você ativar o limite de aplicativo “Allow only one instance of the application per user”, não configure nenhum dos dois valores que permitem novas sessões em novos dispositivos.

Intervalo de logon

Se uma máquina virtual contendo um VDA de área de trabalho fechar antes que o processo de logon seja concluído, você pode alocar mais tempo ao processo. O padrão para a versão 7.6 e versões posteriores é 180 segundos (o padrão para as versões 7.0 a 7.5 é 90 segundos).

Na máquina (ou na imagem mestre usada em um catálogo de máquinas), defina a seguinte chave de registro:

Chave:HKLM\SOFTWARE\Citrix\PortICA

  • Valor: AutoLogonTimeout
  • Tipo: DWORD
  • Especifique um período em segundos, em formato decimal, no intervalo de 0 a 3600.

Se você alterar uma imagem mestre, atualize o catálogo.

Essa configuração se aplica apenas a VMs com VDAs de área de trabalho. A Microsoft controla o tempo limite de logon em máquinas com VDAs de servidor.

Sessões