会话恢复能力设置

保持会话活动对于提供最佳用户体验至关重要。由于网络不可靠、网络延迟高度可变以及无线设备的范围限制而导致连接丢失，可能会让用户感到沮丧。对于许多移动工作人员（例如医护人员）来说，在设备之间快速切换并在每次登录时访问相同的应用程序是首要任务。

本文介绍的功能可优化会话的可靠性，减少不便、停机时间和生产力损失；使用这些功能，移动用户可以在设备之间快速轻松地漫游。

会话可靠性

当网络连接中断时，会话可靠性可使会话保持活动状态并显示在用户屏幕上。用户将继续看到他们正在使用的应用程序，直到网络连接恢复。

此功能对于使用无线连接的移动用户特别有用。例如，使用无线连接的用户进入铁路隧道并暂时失去连接。通常，会话会断开连接并从用户屏幕上消失，用户必须重新连接到断开的会话。借助会话可靠性，会话在计算机上保持活动状态。为指示连接丢失，用户的显示屏会冻结，光标会变为旋转的沙漏，直到隧道另一侧恢复连接。用户在中断期间可以继续访问显示屏，并在网络连接恢复时恢复与应用程序的交互。会话可靠性无需重新身份验证提示即可重新连接用户。

Citrix Workspace™ 应用程序用户无法覆盖控制器设置。

您可以将会话可靠性与传输层安全性 (TLS) 结合使用。TLS 仅加密在用户设备和 Citrix Gateway 之间发送的数据。

使用以下策略设置启用和配置会话可靠性：

• “会话可靠性连接”策略设置允许或阻止会话可靠性。
• “会话可靠性超时”策略设置的默认值为 180 秒（即三分钟）。尽管您可以延长会话可靠性保持会话打开的时间，但此功能旨在方便用户。因此，它不会提示用户重新进行身份验证。随着您延长会话保持打开的时间，用户可能会分心并离开用户设备的可能性会增加。这些操作可能会使会话可供未经授权的用户访问。
• 传入的会话可靠性连接使用端口 2598，除非您在“会话可靠性端口号”策略设置中更改端口号。
• 为防止用户在无需重新进行身份验证的情况下重新连接到中断的会话，请使用“自动客户端重新连接”功能。您可以配置“自动客户端重新连接身份验证”策略设置，以在用户重新连接到中断的会话时提示他们重新进行身份验证。

如果同时使用会话可靠性和自动客户端重新连接，这两个功能将按顺序工作。会话可靠性会在您在“会话可靠性超时”策略设置中指定的时间后关闭或断开用户会话。之后，“自动客户端重新连接”策略设置将生效，尝试将用户重新连接到断开的会话。

自动客户端重新连接

借助自动客户端重新连接功能，Citrix Workspace 应用程序可以检测到 ICA® 会话的意外断开连接，并自动将用户重新连接到受影响的会话。在服务器上启用此功能后，用户无需手动重新连接即可继续工作。

对于应用程序会话，Citrix Workspace 应用程序会尝试重新连接到会话，直到成功重新连接或用户取消重新连接尝试。

对于桌面会话，Citrix Workspace 应用程序会在指定的时间段内尝试重新连接到会话，除非成功重新连接或用户取消重新连接尝试。默认情况下，此时间段为五分钟。要更改此时间段，请在用户设备上编辑以下注册表设置（其中 seconds 是不再尝试重新连接会话的秒数）。

HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>

使用以下策略设置启用和配置自动客户端重新连接：

• 自动客户端重新连接： 在连接中断后，启用或禁用 Citrix Workspace 应用程序的自动重新连接功能。
• 自动客户端重新连接身份验证： 启用或禁用自动重新连接后要求用户进行身份验证的功能。
• 自动客户端重新连接日志记录： 启用或禁用事件日志中重新连接事件的日志记录。默认情况下，日志记录处于禁用状态。启用后，服务器的系统日志会捕获有关成功和失败的自动重新连接事件的信息。每个服务器都在其自己的系统日志中存储有关重新连接事件的信息。站点不提供所有服务器的重新连接事件的组合日志。

注意：

不进行重新身份验证的自动客户端重新连接仅支持密码身份验证。如果您使用联合身份验证服务或智能卡身份验证，则不支持不进行重新身份验证的自动客户端重新连接。在这种情况下，用户将被重定向到登录屏幕。

自动客户端重新连接包含一个基于加密用户凭据的身份验证机制。当用户首次登录时，服务器会加密并存储内存中的用户凭据。服务器还会创建并向 Citrix Workspace 应用程序发送一个包含加密密钥的 Cookie。Citrix Workspace 应用程序将密钥提交给服务器以进行重新连接。服务器解密凭据并将其提交给 Windows 登录以进行身份验证。当 Cookie 过期时，用户必须重新进行身份验证才能重新连接到会话。

如果您启用自动客户端重新连接身份验证设置，则不使用 Cookie。相反，当 Citrix Workspace 应用程序尝试自动重新连接时，会向用户显示一个对话框，要求用户提供凭据。

为了最大限度地保护用户凭据和会话，请对客户端与站点之间的所有通信使用加密。

通过使用 icaclient.adm 文件，在适用于 Windows 的 Citrix Workspace 应用程序上禁用自动客户端重新连接。有关详细信息，请参阅适用于 Windows 的 Citrix Workspace 应用程序版本的文档。

连接设置也会影响自动客户端重新连接：

• 默认情况下，如前所述，通过站点级别的策略设置启用自动客户端重新连接。无需用户重新身份验证。但是，如果服务器的 ICA TCP 连接配置为在通信链路中断时重置会话，则不会发生自动重新连接。自动客户端重新连接仅在服务器因连接中断或超时而断开会话时才起作用。在此上下文中，ICA TCP 连接是指用于 TCP/IP 网络会话的服务器虚拟端口（而非实际网络连接）。
• 默认情况下，服务器上的 ICA TCP 连接设置为断开与中断或超时连接的会话。断开连接的会话在系统内存中保持完整，并可通过 Citrix Workspace 应用程序重新连接。
• 可以将连接配置为重置或注销与中断或超时连接的会话。当会话重置时，尝试重新连接会启动一个新会话。应用程序将重新启动，而不是将用户恢复到正在使用的应用程序中的同一位置。
• 如果服务器配置为重置会话，自动客户端重新连接将创建一个新会话。此过程要求用户输入其凭据才能登录到服务器。
• 如果 Citrix Workspace 应用程序或插件提交了不正确的身份验证信息（这可能在攻击期间发生），或者服务器确定自检测到连接中断以来已过去太长时间，则自动重新连接可能会失败。

ICA 保持活动

启用 ICA 保持活动功能可防止断开中断的连接。启用后，如果服务器检测到没有活动，此功能可防止远程桌面服务断开该会话。无活动的示例包括无时钟更改、无鼠标移动、无屏幕更新。服务器每隔几秒发送一次保持活动数据包，以检测会话是否处于活动状态。如果会话不再处于活动状态，服务器会将该会话标记为已断开连接。

重要：

仅当您不使用会话可靠性时，ICA 保持活动才起作用。会话可靠性有其自己的机制来防止断开中断的连接。仅为不使用会话可靠性的连接配置 ICA 保持活动。

ICA 保持活动设置会覆盖在 Windows 组策略中配置的保持活动设置。

使用以下策略设置启用和配置 ICA 保持活动：

• ICA 保持活动超时： 指定用于发送 ICA 保持活动消息的时间间隔（1-3600 秒）。如果您希望网络监控软件在连接中断不频繁且允许用户重新连接到会话不是问题的情况下关闭非活动连接，请勿配置此选项。

  默认间隔为 60 秒：ICA 保持活动数据包每 60 秒发送到用户设备。如果用户设备在 60 秒内没有响应，则 ICA 会话的状态将变为已断开连接。

• ICA 保持活动： 发送或阻止发送 ICA 保持活动消息。

工作区控制

工作区控制允许桌面和应用程序随用户从一个设备移动到另一个设备。这种漫游能力使用户只需登录即可从任何位置访问所有桌面或打开的应用程序，而无需在每个设备上重新启动桌面或应用程序。例如，工作区控制可以帮助医院中的医护人员，他们需要在不同的工作站之间快速移动，并且每次登录时都访问同一组应用程序。如果您配置工作区控制选项以允许此操作，这些工作人员可以从一个客户端设备上的多个应用程序断开连接，然后重新连接到不同客户端设备上打开相同的应用程序。

工作区控制会影响以下活动：

• 登录： 默认情况下，工作区控制允许用户在登录时自动重新连接到所有正在运行的桌面和应用程序，从而无需手动重新打开它们。通过工作区控制，用户可以打开已断开连接的桌面或应用程序，以及在其他客户端设备上处于活动状态的任何桌面或应用程序。从桌面或应用程序断开连接后，它仍会在服务器上运行。如果您有漫游用户，他们必须在一个客户端设备上保持某些桌面或应用程序运行，同时在另一个客户端设备上重新连接到其桌面或应用程序的子集，您可以配置登录重新连接行为，使其仅打开用户之前已断开连接的桌面或应用程序。
• 重新连接： 登录到服务器后，用户可以随时通过单击“重新连接”来重新连接到其所有桌面或应用程序。默认情况下，“重新连接”会打开已断开连接的桌面或应用程序，以及当前在其他客户端设备上运行的任何桌面或应用程序。您可以配置“重新连接”以仅打开用户之前已断开连接的桌面或应用程序。
• 注销： 对于通过 StoreFront™ 打开桌面或应用程序的用户，您可以配置“注销”命令以将用户从 StoreFront 和所有活动会话注销，或者仅从 StoreFront 注销。
• 断开连接： 用户可以一次性断开所有正在运行的桌面和应用程序的连接，而无需单独断开每个连接。

工作区控制仅适用于通过 Citrix StoreFront 连接访问桌面和应用程序的 Citrix Workspace 应用程序用户。默认情况下，工作区控制对虚拟桌面会话禁用，但对托管应用程序启用。默认情况下，已发布的桌面与在这些桌面中运行的任何已发布应用程序之间不会发生会话共享。

当用户移动到新的客户端设备时，用户策略、客户端驱动器映射和打印机配置会相应地更改。策略和映射根据用户登录会话的客户端设备应用。例如，医护人员从急诊室的设备注销，然后登录到 X 射线实验室的工作站。适用于 X 射线实验室会话的策略、打印机映射和客户端驱动器映射会在会话启动时生效。

您可以自定义用户更改位置时显示的打印机。您还可以控制用户是否可以打印到本地打印机、用户远程连接时消耗的带宽量以及其打印体验的其他方面。

有关为用户启用和配置工作区控制的信息，请参阅 StoreFront 文档。

会话漫游

注意：

以下信息指导您使用 PowerShell 配置会话漫游。您可以改用 Web Studio。有关详细信息，请参阅管理交付组。

默认情况下，会话会随用户在客户端设备之间漫游。当用户启动会话然后移动到另一个设备时，将使用相同的会话，并且应用程序在两个设备上都可用。无论设备如何或是否存在当前会话，应用程序都会随之移动。通常，分配给应用程序的打印机和其他资源也会随之移动。

虽然此默认行为具有许多优点，但并非在所有情况下都理想。您可以使用 PowerShell SDK 阻止会话漫游。

示例 1：一位医疗专业人员正在使用两台设备，在一台台式电脑上填写保险表格，并在平板电脑上查看患者信息。

• 如果启用了会话漫游，则两个应用程序都会出现在两台设备上（在一个设备上启动的应用程序在所有正在使用的设备上都可见）。这可能不符合安全要求。
• 如果禁用了会话漫游，则患者记录不会出现在台式电脑上，并且保险表格也不会出现在平板电脑上。

示例 2：一位生产经理在他的办公室电脑上启动了一个应用程序。设备名称和位置决定了该会话可用的打印机和其他资源。当天晚些时候，他去隔壁大楼的办公室开会，会议需要使用打印机。

• 当会话漫游启用时，生产经理可能无法访问会议室附近的打印机，因为他之前在办公室启动的应用程序导致了打印机和其他资源被分配到该位置附近。
• 当会话漫游禁用时，当他登录到另一台机器（使用相同的凭据）时，将启动一个新会话，并且附近的打印机和资源将可用。

配置会话漫游功能

要配置会话漫游，请将以下授权策略规则 cmdlet 与“SessionReconnection”属性一起使用。您还可以选择指定“LeasingBehavior”属性。

对于桌面会话：

Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

对于应用程序会话：

Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

其中 value 可以是以下之一：

• 始终 (Always)： 会话始终漫游，无论客户端设备以及会话是连接还是断开。这是默认值。
• 仅断开连接 (DisconnectedOnly)： 仅重新连接已断开连接的会话；否则，启动一个新会话。（会话可以通过先断开连接，或使用 Workspace Control 显式漫游，在客户端设备之间漫游。）来自另一个客户端设备的活动连接会话永远不会被使用。相反，会启动一个新会话。
• SameEndpointOnly：用户使用的每个客户端设备都会获得一个唯一的会话。这会完全禁用漫游。用户只能重新连接到会话中以前使用过的同一设备。

下面将对“LeasingBehavior”属性进行详细说明。

其他设置的影响：

禁用会话漫游会受到交付组中应用程序属性中的应用程序限制“每个用户只允许一个应用程序实例”的影响。

• 如果禁用会话漫游，则禁用“每个用户只允许一个应用程序实例…”应用程序限制。
• 如果启用“每个用户只允许一个应用程序实例…”应用程序限制，请勿配置允许在新设备上创建新会话的两个值中的任何一个。

登录间隔

如果包含桌面 VDA 的虚拟机在登录过程完成之前关闭，您可以为该过程分配更多时间。7.6 及更高版本的默认值为 180 秒（7.0-7.5 版本的默认值为 90 秒）。

在计算机（或计算机目录中使用的主映像）上，设置以下注册表项：

项：HKLM\SOFTWARE\Citrix\PortICA

• 值：AutoLogonTimeout
• 类型：DWORD
• 指定一个十进制时间（以秒为单位），范围为 0-3600。

如果更改主映像，请更新目录。

此设置仅适用于具有桌面 VDA 的虚拟机。Microsoft 控制具有服务器 VDA 的计算机上的登录超时。