会话弹性相关设置
保持会话活动对于提供最佳用户体验至关重要。由于网络不可靠、网络延迟高度可变以及无线设备的范围限制而导致连接丢失,可能导致用户沮丧。在设备之间快速移动并在每次登录时访问相同的应用程序是许多移动工作人员(例如医护人员)的首要任务。
本文中描述的功能可优化会话的可靠性,减少不便、停机时间和生产力损失;使用这些功能,移动用户可以在设备之间快速轻松地漫游。
会话可靠性
在网络连接中断时,会话可靠性可保持会话活动并在用户屏幕上显示。用户将继续看到他们正在使用的应用程序,直到网络连接恢复。
此功能对于使用无线连接的移动用户特别有用。例如,使用无线连接的用户进入铁路隧道并暂时失去连接。通常,会话会断开连接并从用户屏幕上消失,用户必须重新连接到断开的会话。借助会话可靠性,会话在计算机上保持活动状态。为了指示连接丢失,用户的显示屏会冻结,光标会变成旋转的沙漏,直到隧道另一侧的连接恢复。用户在中断期间可以继续访问显示屏,并在网络连接恢复时恢复与应用程序的交互。会话可靠性无需重新身份验证提示即可重新连接用户。
Citrix Workspace™ 应用程序用户无法覆盖控制器设置。
您可以将会话可靠性与传输层安全性 (TLS) 结合使用。TLS 仅加密用户设备和 Citrix Gateway 之间发送的数据。
使用以下策略设置启用和配置会话可靠性:
- 会话可靠性连接策略设置控制着会话可靠性的启用或禁用。
- 会话可靠性超时策略设置默认为 180 秒(即三分钟)。尽管您可以延长会话可靠性保持会话打开的时间,但此功能旨在方便用户。因此,它不会提示用户重新进行身份验证。随着您延长会话保持打开的时间,用户可能会分心并离开用户设备的可能性会增加。这些操作可能会使会话可供未经授权的用户访问。
- 传入的会话可靠性连接使用端口 2598,除非您在会话可靠性端口号策略设置中更改端口号。
- 为防止用户在无需重新进行身份验证的情况下重新连接到中断的会话,请使用自动客户端重新连接功能。您可以配置自动客户端重新连接身份验证策略设置,以在重新连接到中断的会话时提示用户重新进行身份验证。
如果您同时使用会话可靠性和自动客户端重新连接,这两个功能会按顺序工作。会话可靠性会在您在会话可靠性超时策略设置中指定的时间量后关闭或断开用户会话。之后,自动客户端重新连接策略设置将生效,尝试将用户重新连接到断开的会话。
自动客户端重新连接
借助自动客户端重新连接功能,Citrix Workspace 应用程序可以检测 ICA® 会话的意外断开连接,并自动将用户重新连接到受影响的会话。在服务器上启用此功能后,用户无需手动重新连接即可继续工作。
对于应用程序会话,Citrix Workspace 应用程序会尝试重新连接到会话,直到成功重新连接或用户取消重新连接尝试。
对于桌面会话,Citrix Workspace 应用程序会在指定的时间段内尝试重新连接到会话,除非成功重新连接或用户取消重新连接尝试。默认情况下,此时间段为五分钟。要更改此时间段,请在用户设备上编辑以下注册表设置(其中 seconds 是不再尝试重新连接会话的秒数)。
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
使用以下策略设置启用和配置自动客户端重新连接:
- 自动客户端重新连接: 在连接中断后,启用或禁用 Citrix Workspace 应用程序的自动重新连接功能。
- 自动客户端重新连接身份验证: 启用或禁用自动重新连接后要求用户进行身份验证的功能。
- 自动客户端重新连接日志记录: 启用或禁用事件日志中重新连接事件的日志记录。默认情况下,日志记录处于禁用状态。启用后,服务器的系统日志会捕获有关成功和失败的自动重新连接事件的信息。每台服务器都会在其自己的系统日志中存储有关重新连接事件的信息。站点不提供所有服务器的重新连接事件的组合日志。
注意:
无需重新身份验证的自动客户端重新连接仅支持密码身份验证。如果您使用联合身份验证服务或智能卡身份验证,则不支持无需重新身份验证的自动客户端重新连接。在这种情况下,用户将被重定向到登录屏幕。
自动客户端重新连接包含一个基于加密用户凭据的身份验证机制。当用户首次登录时,服务器会加密并存储内存中的用户凭据。服务器还会创建并向 Citrix Workspace 应用程序发送一个包含加密密钥的 Cookie。Citrix Workspace 应用程序将密钥提交给服务器以进行重新连接。服务器会解密凭据并将其提交给 Windows 登录进行身份验证。当 Cookie 过期时,用户必须重新进行身份验证才能重新连接到会话。
如果启用自动客户端重新连接身份验证设置,则不使用 Cookie。相反,当 Citrix Workspace 应用程序尝试自动重新连接时,会向用户显示一个请求凭据的对话框。
为了最大限度地保护用户凭据和会话,请对客户端与站点之间的所有通信使用加密。
通过使用 icaclient.adm 文件在适用于 Windows 的 Citrix Workspace 应用程序上禁用自动客户端重新连接。有关详细信息,请参阅适用于您的 Windows 版 Citrix Workspace 应用程序的文档。
连接设置也会影响自动客户端重新连接:
- 如前所述,默认情况下,通过站点级别的策略设置启用自动客户端重新连接。无需用户重新身份验证。但是,如果服务器的 ICA TCP 连接配置为重置具有中断通信链接的会话,则不会发生自动重新连接。自动客户端重新连接仅在服务器在连接中断或超时时断开会话的情况下才有效。在此上下文中,ICA TCP 连接是指用于 TCP/IP 网络上会话的服务器虚拟端口(而不是实际网络连接)。
- 默认情况下,服务器上的 ICA TCP 连接设置为断开具有中断或超时连接的会话。断开的会话在系统内存中保持完好无损,可供 Citrix Workspace 应用程序重新连接。
- 可以将连接配置为重置或注销具有中断或超时连接的会话。当会话重置时,尝试重新连接会启动一个新会话。应用程序会重新启动,而不是将用户恢复到正在使用的应用程序中的相同位置。
- 如果服务器配置为重置会话,则自动客户端重新连接会创建一个新会话。此过程要求用户输入其凭据才能登录到服务器。
- 如果 Citrix Workspace 应用程序或插件提交了不正确的身份验证信息,自动重新连接可能会失败,这可能发生在攻击期间,或者服务器确定自检测到中断连接以来经过了太长时间。
ICA 保持活动
启用 ICA 保持活动功能可防止中断的连接断开。启用后,如果服务器未检测到活动,此功能可防止远程桌面服务断开该会话。无活动的示例包括没有时钟变化、没有鼠标移动、没有屏幕更新。服务器每隔几秒发送一次保持活动数据包,以检测会话是否处于活动状态。如果会话不再处于活动状态,服务器会将该会话标记为已断开。
重要:
ICA 保持活动仅在您不使用会话可靠性时才有效。会话可靠性有其自己的机制来防止中断的连接断开。仅为不使用会话可靠性的连接配置 ICA 保持活动。
ICA 保持活动设置会覆盖在 Windows 组策略中配置的保持活动设置。
使用以下策略设置启用和配置 ICA 保持活动:
-
ICA 保持活动超时: 指定用于发送 ICA 保持活动消息的间隔(1-3600 秒)。如果您希望网络监控软件在中断连接不频繁的环境中关闭非活动连接,并且允许用户重新连接到会话不是问题,请勿配置此选项。
默认间隔为 60 秒:ICA 保持活动数据包每 60 秒发送到用户设备。如果用户设备在 60 秒内未响应,则 ICA 会话的状态将变为已断开。
-
ICA 保持活动: 发送或阻止发送 ICA 保持活动消息。
工作区控制
工作区控制允许桌面和应用程序随用户从一个设备移动到另一个设备。这种漫游能力使用户只需登录即可从任何位置访问所有桌面或打开的应用程序,而无需在每个设备上重新启动桌面或应用程序。例如,工作区控制可以帮助医院中的医护人员,他们需要在不同的工作站之间快速移动,并且每次登录时都访问同一组应用程序。如果您配置工作区控制选项以允许此操作,这些工作人员可以从一个客户端设备上的多个应用程序断开连接,然后重新连接以在不同的客户端设备上打开相同的应用程序。
工作区控制会影响以下活动:
- 登录: 默认情况下,工作区控制允许用户在登录时自动重新连接到所有正在运行的桌面和应用程序,从而无需手动重新打开它们。通过工作区控制,用户可以打开已断开连接的桌面或应用程序,以及在其他客户端设备上处于活动状态的任何桌面或应用程序。从桌面或应用程序断开连接后,它仍会在服务器上运行。如果您有漫游用户,他们必须在一个客户端设备上保持某些桌面或应用程序运行,同时在另一个客户端设备上重新连接到其桌面或应用程序的子集,您可以配置登录重新连接行为,使其仅打开用户之前已断开连接的桌面或应用程序。
- 重新连接: 登录到服务器后,用户可以随时通过单击“重新连接”来重新连接到其所有桌面或应用程序。默认情况下,“重新连接”会打开已断开连接的桌面或应用程序,以及当前在其他客户端设备上运行的任何桌面或应用程序。您可以配置“重新连接”以仅打开用户之前已断开连接的桌面或应用程序。
- 注销: 对于通过 StoreFront™ 打开桌面或应用程序的用户,您可以配置“注销”命令,以使用户从 StoreFront 和所有活动会话注销,或者仅从 StoreFront 注销。
- 断开连接: 用户可以一次性断开与所有正在运行的桌面和应用程序的连接,而无需单独断开每个连接。
工作区控制仅适用于通过 Citrix StoreFront 连接访问桌面和应用程序的 Citrix Workspace 应用程序用户。默认情况下,工作区控制对虚拟桌面会话禁用,但对托管应用程序启用。默认情况下,已发布的桌面与在这些桌面中运行的任何已发布的应用程序之间不会发生会话共享。
当用户移动到新的客户端设备时,用户策略、客户端驱动器映射和打印机配置会相应地更改。策略和映射根据用户登录会话的客户端设备应用。例如,医护人员从急诊室的设备注销,然后登录到 X 射线实验室的工作站。适用于 X 射线实验室会话的策略、打印机映射和客户端驱动器映射会在会话启动时生效。
您可以自定义用户更改位置时显示的打印机。您还可以控制用户是否可以打印到本地打印机、用户远程连接时消耗的带宽量以及其打印体验的其他方面。
有关为用户启用和配置工作区控制的信息,请参阅 StoreFront 文档。
会话漫游
注意:
以下信息指导您使用 PowerShell 配置会话漫游。您也可以使用 Web Studio。有关详细信息,请参阅管理交付组。
默认情况下,会话会随用户在客户端设备之间漫游。当用户启动会话然后移动到另一个设备时,将使用相同的会话,并且应用程序在两个设备上都可用。无论设备如何或是否存在当前会话,应用程序都会随之移动。通常,分配给应用程序的打印机和其他资源也会随之移动。
虽然此默认行为具有许多优点,但并非在所有情况下都理想。您可以使用 PowerShell SDK 阻止会话漫游。
示例 1:一名医护人员正在使用两台设备,在台式电脑上填写保险表格,并在平板电脑上查看患者信息。
- 如果启用了会话漫游,这两个应用程序会同时显示在两台设备上(在一台设备上启动的应用程序在所有正在使用的设备上都可见)。这可能不符合安全要求。
- 如果禁用了会话漫游,患者记录不会显示在台式电脑上,保险表格也不会显示在平板电脑上。
示例 2:一位生产经理在他的办公室电脑上启动了一个应用程序。设备名称和位置决定了该会话可用的打印机和其他资源。当天晚些时候,他去隔壁大楼的办公室开会,会议需要使用打印机。
- 当会话漫游启用时,生产经理可能无法访问会议室附近的打印机,因为他之前在办公室启动的应用程序,使得打印机和其他资源被分配到了他办公室所在的位置。
- 禁用会话漫游时,当他登录到另一台机器(使用相同的凭据)时,会启动一个新会话,并且附近的打印机和资源将可用。
配置会话漫游功能
要配置会话漫游,请使用以下授权策略规则 cmdlet 结合“SessionReconnection”属性。(可选)您还可以指定“LeasingBehavior”属性。
对于桌面会话:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
对于应用程序会话:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
其中 value 可以是以下值之一:
- 始终: 会话始终漫游,无论客户端设备以及会话是连接还是断开。这是默认值。
- 仅断开连接: 仅重新连接到已断开连接的会话;否则,启动一个新会话。(会话可以通过先断开连接或使用 Workspace Control 显式漫游它们来在客户端设备之间漫游。)永远不会使用来自其他客户端设备的活动连接会话。相反,会启动一个新会话。
- 仅限同一端点 (SameEndpointOnly): 用户使用的每个客户端设备都会获得一个唯一的会话。这会完全禁用漫游。用户只能重新连接到会话中以前使用过的同一设备。
“LeasingBehavior”属性在下面进行了描述。
其他设置的影响:
禁用会话漫游受交付组中应用程序属性中的应用程序限制“允许每个用户仅运行一个应用程序实例”的影响。
- 如果禁用会话漫游,则禁用“允许仅运行一个实例…”应用程序限制。
- 如果启用“允许仅运行一个实例…”应用程序限制,请勿配置允许在新设备上创建新会话的两个值中的任何一个。
登录间隔
如果包含桌面 VDA 的虚拟机在登录过程完成之前关闭,则可以为该过程分配更多时间。7.6 及更高版本的默认值为 180 秒(7.0-7.5 版本的默认值为 90 秒)。
在计算机(或计算机目录中使用的主映像)上,设置以下注册表项:
项:HKLM\SOFTWARE\Citrix\PortICA
- 值:
AutoLogonTimeout - 类型:
DWORD - 指定一个十进制时间(以秒为单位),范围为 0-3600。
如果更改主映像,请更新目录。
此设置仅适用于具有桌面 VDA 的 VM。Microsoft 控制具有服务器 VDA 的计算机上的登录超时。