-
-
-
会话弹性设置
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
会话弹性设置
保持会话活动对于提供最佳用户体验至关重要。由于网络不可靠、网络延迟高度可变以及无线设备的范围限制而导致连接丢失,可能会让用户感到沮丧。对于许多移动工作人员(例如医院中的医护人员)来说,能够在工作站之间快速移动并在每次登录时访问同一组应用程序是优先事项。
本文中描述的功能优化了会话的可靠性,减少了不便、停机时间和生产力损失;通过使用这些功能,移动用户可以在设备之间快速轻松地漫游。
会话可靠性
当网络连接中断时,会话可靠性会使会话保持活动状态并显示在用户屏幕上。用户会继续看到他们正在使用的应用程序,直到网络连接恢复。
-
此功能对于使用无线连接的移动用户特别有用。例如,使用无线连接的用户进入铁路隧道并暂时失去连接。通常,会话会断开连接并从用户屏幕上消失,用户必须重新连接到已断开的会话。借助会话可靠性,会话在计算机上保持活动状态。为了指示连接丢失,用户显示屏会冻结,光标会变为旋转的沙漏,直到隧道另一侧的连接恢复。用户在中断期间可以继续访问显示屏,并且在网络连接恢复后可以恢复与应用程序的交互。会话可靠性会在不提示重新身份验证的情况下重新连接用户。
-
Citrix Workspace™ app 用户无法覆盖 Controller 设置。
您可以将会话可靠性与传输层安全性 (TLS) 结合使用。TLS 仅加密在用户设备和 Citrix Gateway 之间发送的数据。
使用以下策略设置启用和配置会话可靠性:
- “会话可靠性连接”策略设置允许或阻止会话可靠性。
- “会话可靠性超时”策略设置的默认值为 180 秒(即三分钟)。尽管您可以延长会话可靠性保持会话打开的时间,但此功能旨在方便用户,因此不会提示用户重新进行身份验证。随着您延长会话保持打开的时间,用户可能会分心并离开用户设备,从而可能导致未经授权的用户访问会话的可能性会增加。
- 除非您在“会话可靠性端口号”策略设置中更改端口号,否则传入的会话可靠性连接使用端口 2598。
-
如果您不希望用户在不重新进行身份验证的情况下重新连接到中断的会话,请使用“自动客户端重新连接”功能。您可以配置“自动客户端重新连接身份验证”策略设置,以便在重新连接到中断的会话时提示用户重新进行身份验证。
- 如果您同时使用会话可靠性和自动客户端重新连接,这两个功能会按顺序工作。会话可靠性会在您在“会话可靠性超时”策略设置中指定的时间量后关闭或断开用户会话。之后,“自动客户端重新连接”策略设置会生效,尝试将用户重新连接到已断开的会话。
自动客户端重新连接
借助“自动客户端重新连接”功能,Citrix Workspace app 可以检测 ICA® 会话的意外断开连接,并自动将用户重新连接到受影响的会话。在服务器上启用此功能后,用户无需手动重新连接即可继续工作。
-
对于应用程序会话,Citrix Workspace app 会尝试重新连接到会话,直到成功重新连接或用户取消重新连接尝试。
-
对于桌面会话,Citrix Workspace app 会在指定时间内尝试重新连接到会话,除非成功重新连接或用户取消重新连接尝试。默认情况下,此时间为五分钟。要更改此期限,请在用户设备上编辑此注册表:
-
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
[[CODE_BLOCK_0]]
其中 seconds 是不再尝试重新连接会话的秒数。
使用以下策略设置启用和配置自动客户端重新连接:
- 自动客户端重新连接: 在连接中断后,启用或禁用 Citrix Workspace app 的自动重新连接。
- 自动客户端重新连接身份验证: 启用或禁用自动重新连接后对用户身份验证的要求。
- 自动客户端重新连接日志记录: 启用或禁用事件日志中重新连接事件的日志记录。默认情况下,日志记录处于禁用状态。启用后,服务器的系统日志会捕获有关成功和失败的自动重新连接事件的信息。每个服务器都会在其自己的系统日志中存储有关重新连接事件的信息。站点不提供所有服务器的重新连接事件的组合日志。
自动客户端重新连接包含一个基于加密用户凭据的身份验证机制。当用户首次登录时,服务器会加密并将用户凭据存储在内存中,然后创建并向 Citrix Workspace app 发送一个包含加密密钥的 cookie。Citrix Workspace app 将密钥提交给服务器以进行重新连接。服务器会解密凭据并将其提交给 Windows Logon 进行身份验证。当 cookie 过期时,用户必须重新进行身份验证才能重新连接到会话。
-
如果您启用“自动客户端重新连接身份验证”设置,则不使用 cookie。相反,当 Citrix Workspace app 尝试自动重新连接时,会向用户显示一个请求凭据的对话框。
-
为了最大程度地保护用户凭据和会话,请对客户端和站点之间的所有通信使用加密。
通过使用 icaclient.adm 文件,在适用于 Windows 的 Citrix Workspace app 上禁用自动客户端重新连接。有关更多信息,请参阅适用于 Windows 的 Citrix Workspace app 版本的文档。
连接设置也会影响客户端自动重新连接:
- 默认情况下,如上所述,客户端自动重新连接通过站点级别的策略设置启用。无需用户重新身份验证。但是,如果服务器的 ICA TCP 连接配置为在通信链路中断时重置会话,则不会发生自动重新连接。客户端自动重新连接仅在服务器因连接中断或超时而断开会话时才起作用。在此上下文中,ICA TCP 连接是指用于 TCP/IP 网络上会话的服务器虚拟端口(而非实际网络连接)。
- 默认情况下,服务器上的 ICA TCP 连接设置为在连接中断或超时时断开会话。断开的会话在系统内存中保持完整,并可供 Citrix Workspace 应用程序重新连接。
- 可以将连接配置为在连接中断或超时时重置或注销会话。重置会话时,尝试重新连接会启动一个新会话。应用程序将重新启动,而不是将用户恢复到正在使用的应用程序中的同一位置。
- 如果服务器配置为重置会话,客户端自动重新连接会创建一个会话。此过程要求用户输入其凭据才能登录到服务器。
- 如果 Citrix Workspace 应用程序或插件提交了不正确的身份验证信息(这可能在攻击期间发生),或者服务器确定自检测到连接中断以来已过去太长时间,则自动重新连接可能会失败。
ICA 保持活动
- 启用 ICA 保持活动功能可防止断开的连接被断开。启用后,如果服务器检测到没有活动(例如,没有时钟变化、没有鼠标移动、没有屏幕更新),此功能可防止远程桌面服务断开该会话。服务器每隔几秒发送一次保持活动数据包,以检测会话是否处于活动状态。如果会话不再处于活动状态,服务器会将该会话标记为已断开连接。
重要提示:
ICA 保持活动仅在您不使用会话可靠性时才起作用。会话可靠性有其自己的机制来防止断开的连接被断开。仅为不使用会话可靠性的连接配置 ICA 保持活动。
ICA 保持活动设置会覆盖在 Microsoft Windows 组策略中配置的保持活动设置。
使用以下策略设置启用和配置 ICA 保持活动:
-
ICA 保持活动超时: 指定发送 ICA 保持活动消息的时间间隔(1–3600 秒)。如果您希望网络监控软件在连接中断不频繁的环境中关闭非活动连接,并且允许用户重新连接到会话不是问题,请勿配置此选项。
-
默认间隔为 60 秒:ICA 保持活动数据包每 60 秒发送到用户设备。如果用户设备在 60 秒内没有响应,则 ICA 会话的状态将更改为已断开连接。
-
ICA 保持活动: 发送或阻止发送 ICA 保持活动消息。
工作区控制
- 工作区控制允许桌面和应用程序随用户从一个设备移动到另一个设备。这种漫游能力使用户只需登录即可从任何地方访问所有桌面或打开的应用程序,而无需在每个设备上重新启动桌面或应用程序。例如,工作区控制可以帮助医院中需要在不同工作站之间快速移动并每次登录时访问同一组应用程序的医护人员。如果您配置工作区控制选项以允许此操作,这些工作人员可以从一个客户端设备上的多个应用程序断开连接,然后重新连接到不同客户端设备上打开的相同应用程序。
工作区控制会影响以下活动:
- 登录: 默认情况下,工作区控制允许用户在登录时自动重新连接到所有正在运行的桌面和应用程序,从而无需手动重新打开它们。通过工作区控制,用户可以打开已断开连接的桌面或应用程序,以及在其他客户端设备上处于活动状态的任何桌面或应用程序。从桌面或应用程序断开连接会使其在服务器上保持运行。如果您有漫游用户,他们必须在一个客户端设备上保持某些桌面或应用程序运行,同时重新连接到另一个客户端设备上的部分桌面或应用程序,您可以配置登录重新连接行为,以仅打开用户之前断开连接的桌面或应用程序。
- 重新连接: 登录到服务器后,用户可以随时通过单击“重新连接”来重新连接到其所有桌面或应用程序。默认情况下,“重新连接”会打开已断开连接的桌面或应用程序,以及当前在其他客户端设备上运行的任何桌面或应用程序。您可以配置“重新连接”以仅打开用户之前断开连接的那些桌面或应用程序。
- 注销: 对于通过 StoreFront™ 打开桌面或应用程序的用户,您可以配置“注销”命令,以将用户从 StoreFront 和所有活动会话一起注销,或仅从 StoreFront 注销。
- 断开连接: 用户可以一次性断开所有正在运行的桌面和应用程序的连接,而无需单独断开每个连接。
工作区控制适用于通过 Citrix StoreFront 连接或通过 Citrix Workspace 应用程序访问桌面和应用程序的用户。默认情况下,工作区控制对虚拟桌面会话禁用,但对托管应用程序启用。已发布的桌面与在这些桌面内运行的任何已发布应用程序之间默认不发生会话共享。
当用户移动到新的客户端设备时,用户策略、客户端驱动器映射和打印机配置会相应地更改。策略和映射根据用户登录会话的客户端设备应用。例如,如果医护人员从医院急诊室的客户端设备注销,然后登录到医院 X 射线实验室的工作站,则适用于 X 射线实验室会话的策略、打印机映射和客户端驱动器映射将在会话启动时生效。
您可以自定义当用户更改位置时向其显示的打印机。您还可以控制用户是否可以打印到本地打印机、用户远程连接时消耗的带宽量以及其打印体验的其他方面。
有关为用户启用和配置工作区控制的信息,请参阅 StoreFront 文档。
会话漫游
注意:
以下信息指导您使用 PowerShell 配置会话漫游。您也可以使用 Studio。有关详细信息,请参阅管理交付组。
默认情况下,会话随用户在客户端设备之间漫游。当用户启动会话然后移动到另一个设备时,将使用相同的会话,并且应用程序在两个设备上同时可用。您可以在多个设备上查看应用程序。无论设备或当前会话是否存在,应用程序都会跟随。通常,分配给应用程序的打印机和其他资源也会跟随。
虽然这种默认行为提供了许多优点,但并非在所有情况下都理想。您可以使用 PowerShell SDK 阻止会话漫游。
示例 1:一名医务人员正在使用两台设备,在一台台式电脑上填写保险表格,并在平板电脑上查看患者信息。
- 如果会话漫游已启用,则两个应用程序会显示在两个设备上(在一个设备上启动的应用程序在所有正在使用的设备上均可见)。这可能不符合安全要求。
- 如果会话漫游已禁用,则患者记录不会显示在台式电脑上,并且保险表单不会显示在平板电脑上。
示例 2:生产经理在其办公室的电脑上启动一个应用程序。设备名称和位置决定了该会话可用的打印机和其他资源。当天晚些时候,他前往隔壁大楼的办公室开会,会议需要使用打印机。
- 如果会话漫游已启用,生产经理可能无法访问会议室附近的打印机,因为他之前在办公室启动的应用程序导致分配了该位置附近的打印机和其他资源。
- 如果会话漫游已禁用,当他登录到另一台计算机(使用相同的凭据)时,将启动一个新会话,并且附近的打印机和资源可用。
配置会话漫游
要配置会话漫游,请将以下授权策略规则 cmdlet 与“SessionReconnection”属性一起使用。您也可以选择指定“LeasingBehavior”属性。
对于桌面会话:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
对于应用程序会话:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
其中 value 可以是以下值之一:
- Always(始终):会话始终漫游,无论客户端设备如何以及会话是处于连接状态还是断开连接状态。这是默认值。
- DisconnectedOnly(仅断开连接):仅重新连接到已断开连接的会话;否则,启动一个新会话。(会话可以通过先断开连接,或使用工作区控制显式漫游,在客户端设备之间漫游。)永远不会使用来自另一个客户端设备的活动连接会话。相反,会启动一个新会话。
- SameEndpointOnly(仅限同一端点):用户为其使用的每个客户端设备获取一个唯一会话。这会完全禁用漫游。用户只能重新连接到会话中先前使用的同一设备。
“LeasingBehavior”属性的说明如下。
其他设置的影响:
禁用会话漫游受交付组中应用程序属性中的应用程序限制“每个用户只允许一个应用程序实例”的影响。
- 如果禁用会话漫游,则禁用“只允许一个实例…”应用程序限制。
- 如果启用“只允许一个实例…”应用程序限制,请勿配置允许在新设备上启动新会话的两个值中的任何一个。
登录间隔
如果包含桌面 VDA 的虚拟机在登录过程完成之前关闭,则可以为该过程分配更多时间。7.6 及更高版本的默认值为 180 秒(7.0-7.5 版本的默认值为 90 秒)。
在计算机上(或在计算机目录中使用的主映像上),设置以下注册表项:
项:HKLM\SOFTWARE\Citrix\PortICA
- 值:
AutoLogonTimeout - 类型:
DWORD - 指定一个十进制时间(以秒为单位),范围为 0 到 3600。
如果更改主映像,请将新映像推出到目录。有关详细信息,请参阅更改主映像。
此设置仅适用于具有单会话桌面(工作站)VDA 的 VM。Microsoft 控制具有多会话服务器 VDA 的计算机上的登录超时。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.