产品文档
Linux Virtual Delivery Agent
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
查看 PDF

会话投影

April 10, 2026
投稿者: 
C C

会话投影功能允许域管理员在内网中查看用户的 ICA 会话。此功能使用 noVNC 连接到 ICA 会话,并且仅支持 RHEL 7.x 和 Ubuntu 16.04。

注意:

要使用会话投影功能,Citrix Director 的版本必须为 7.16 或更高版本。

安装和配置

依赖项

会话投影需要两个新的依赖项:python-websockifyx11vnc。在 Ubuntu 16.04 上安装 Linux VDA 时,python-websockifyx11vnc 依赖项会自动安装。在 RHEL 7.x 上,安装 Linux VDA 后,您必须手动安装 python-websockifyx11vnc

在 RHEL 7.x 上运行以下命令以安装 python-websockifyx11vncx11vnc 版本 0.9.13 或更高版本)。

sudo yum install -y python-websockify x11vnc
<!--NeedCopy-->

要解决 python-websockifyx11vnc 的依赖关系,请在 RHEL 7.x 上启用以下存储库:

  • 企业版 Linux 附加软件包 (EPEL)

    python-websockifyx11vnc 都需要 EPEL 存储库。运行以下命令以启用 EPEL 存储库:

     sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-$(rpm -E '%{rhel}').noarch.rpm
 <!--NeedCopy-->

  • 可选 RPM

    运行以下任一命令以启用可选 RPM 存储库,从而安装 x11vnc 的某些依赖包:

    对于工作站:

     subscription-manager repos --enable=rhel-7-workstation-optional-rpms
 <!--NeedCopy-->

    对于服务器:

     subscription-manager repos --enable=rhel-7-server-optional-rpms
 <!--NeedCopy-->

  • 端口

会话投影功能会自动从 6001-6099 范围内的可用端口中选择端口,以建立从 Linux VDA 到 Citrix Director 的连接。因此,您可以同时投影的 ICA® 会话数量限制为 99 个。请确保有足够的端口可用以满足您的要求,特别是对于多会话投影。

注册表

下表列出了相关的注册表:

注册表 描述 默认值
EnableSessionShadowing 启用或禁用会话投影功能 1 (已启用)
ShadowingUseSSL 确定是否加密 Linux VDA 与 Citrix Director 之间的连接 0 (已禁用)

  • 在 Linux VDA 上运行 ctxreg 命令以更改注册表值。例如,要禁用会话投影,请运行以下命令:

  • /opt/Citrix/VDA/bin/ctxreg update -k “HKLM\Software\Citrix\VirtualDesktopAgent” -v “EnableSessionShadowing” -d 0x00000000

  • SSL

  • Linux VDA 与 Citrix Director 之间的 noVNC 连接使用 WebSocket 协议。对于会话投影,选择 ws:// 还是 wss:// 由前面提到的“ShadowingUseSSL”注册表决定。默认情况下,选择 ws://。但是,出于安全原因,Citrix 建议您使用 wss:// 并在每个 Citrix Director 客户端和每个 Linux VDA 服务器上安装证书。Citrix 不承担因使用 ws:// 进行 Linux VDA 会话投影而产生的任何安全责任。

获取服务器和根 SSL 证书

证书必须由受信任的证书颁发机构 (CA) 签名。

对于要配置 SSL 的每个 Linux VDA 服务器,都需要一个单独的服务器证书(包括密钥)。服务器证书用于标识特定计算机,因此您必须知道每个服务器的完全限定域名 (FQDN)。为方便起见,您可以使用整个域的通配符证书。在这种情况下,您至少需要知道域名。

除了在每个服务器上安装服务器证书外,您还必须在与 Linux VDA 服务器通信的每个 Citrix Director 客户端上安装来自同一 CA 的根证书。根证书可从颁发服务器证书的同一 CA 处获取。您可以从操作系统捆绑的 CA、企业 CA(您的组织向您提供的 CA)或未与操作系统捆绑的 CA 安装服务器和客户端证书。请咨询您组织的安全团队,了解他们获取证书所需的方法。

重要提示

  • 服务器证书的通用名称必须是 Linux VDA 服务器的精确 FQDN,或者至少是正确的通配符加域字符。例如,vda1.basedomain.com 或 *.basedomain.com。
  • 包括 SHA1 和 MD5 在内的哈希算法对于某些浏览器支持的数字证书签名来说太弱。因此,SHA-256 被指定为最低标准。

在每个 Citrix Director 客户端上安装根证书

会话投影使用与 IIS 相同的基于注册表的证书存储,因此您可以使用 IIS 或 Microsoft 管理控制台 (MMC) 证书管理单元安装根证书。当您从 CA 收到证书时,可以重新启动 IIS 中的 Web 服务器证书向导,该向导会安装证书。或者,您可以使用 MMC 在计算机上查看和导入证书,并将证书添加为独立管理单元。Internet Explorer 和 Google Chrome 默认导入操作系统上安装的证书。对于 Mozilla Firefox,您必须在证书管理器 的“颁发机构”选项卡上导入您的根 SSL 证书。

在每个 Linux VDA 服务器上安装服务器证书及其密钥

将服务器证书命名为“shadowingcert.*”,将密钥文件命名为“shadowingkey.*”(* 可以表示格式,例如 shadowingcert.csr 和 shadowingkey.key)。将服务器证书和密钥文件放置在路径 /etc/xdl/shadowingssl 下,并使用受限权限对其进行适当保护。不正确的名称或路径会导致 Linux VDA 无法找到特定的证书或密钥文件,从而导致与 Citrix Director 的连接失败。

用法

在 Citrix Director 中,找到目标会话,然后在“会话详细信息”视图中单击“投影”以向 Linux VDA 发送投影请求。

Image of the shadow tab in the session details view

连接初始化后,ICA 会话客户端(而非 Citrix Director 客户端)上会显示一个确认,要求用户授予投影会话的权限。

Image of whether to allow an administrator to shadow this session

如果用户单击“是”,Citrix Director 侧会显示一个窗口,指示 ICA 会话正在被投影。

有关用法的更多信息,请参阅 Citrix Director 文档

限制

  • 会话投影仅设计用于内网。即使通过 Citrix Gateway 连接,它也无法用于外部网络。Citrix 不承担因在外部网络中使用 Linux VDA 会话投影而产生的任何责任。
  • 启用会话投影后,域管理员只能查看 ICA 会话,但无权写入或控制它。
  • 管理员从 Citrix Director 中单击“投影”后,会显示一个确认,要求用户授予投影会话的权限。只有当会话用户授予权限后,才能投影会话。
  • 前面提到的确认有一个超时限制,即 20 秒。超时后,投影请求将失败。

  • 一个 ICA 会话只能由一个管理员在一个 Citrix Director 窗口中投影。如果 ICA 会话已被管理员 A 投影,同时管理员 B 发送投影请求,则用户设备上会重新出现获取用户权限的确认。如果用户同意,则管理员 A 的投影连接将停止,并为管理员 B 建立新的投影连接。如果同一管理员发送对同一 ICA 会话的另一个投影请求,情况也是如此。

  • 要使用会话投影,请安装 Citrix Director 7.16 或更高版本。
  • Citrix Director 客户端使用 FQDN 而非 IP 地址连接到目标 Linux VDA 服务器。因此,Citrix Director 客户端必须能够解析 Linux VDA 服务器的 FQDN。

故障排除

如果会话投影失败,请在 Citrix Director 客户端和 Linux VDA 上执行调试。

在 Citrix Director 客户端上

通过浏览器的开发人员工具,检查“控制台”选项卡上的输出日志。或者,检查“网络”选项卡上 ShadowLinuxSession API 的响应。如果获取用户权限的确认出现但连接未能建立,请手动 ping Linux VDA 的 FQDN,以验证 Citrix Director 是否可以解析该 FQDN。如果 wss:// 连接存在问题,请检查您的证书。

在 Linux VDA 上

验证获取用户权限的确认是否响应投影请求而出现。如果未出现,请检查 vda.log 和 hdx.log 文件以查找线索。要获取 vda.log 文件,请执行以下操作:

  1. 找到 /etc/xdl/ctx-vda.conf 文件。取消注释以下行以启用 vda.log 配置:

    Log4jConfig=”/etc/xdl/log4j.xml”

  2. 打开 /etc/xdl/log4j.xml,找到 com.citrix.dmc 部分,并将“info”更改为“trace”,如下所示:

     <!-- Broker Agent Plugin - Director VDA plugin Logger -->

  <logger name="com.citrix.dmc">

    <level value="trace"/>

  </logger>
<!--NeedCopy-->

  3. 运行 service ctxvda restart 命令以重新启动 ctxvda 服务。

如果在连接建立期间出现错误:

  1. 检查是否存在阻止会话投影打开端口的任何防火墙限制。
  2. 验证证书和密钥文件是否已正确命名并放置在正确的路径下(如果是 SSL 方案)。
  3. 验证在 6001-6099 之间是否有足够的可用端口用于新的投影请求。
会话投影
April 10, 2026
投稿者: 
C C
April 10, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.