Browserinhaltsumleitung
Die Umleitung des Browserinhalts verhindert die VDA-seitige Wiedergabe von Webseiten auf einer Positivliste. Dabei wird von der Citrix Workspace-App für Windows oder Linux clientseitig die Instanz einer entsprechenden Renderingengine erzeugt, die den HTTP- und HTTPS-Inhalt von der URL abruft.
Hinweis:
Sie können festlegen, dass Webseiten mithilfe einer Sperrliste an den VDA (jedoch nicht clientseitig) umgeleitet werden.
Diese Overlay-Weblayoutengine wird statt auf dem VDA auf dem Endpunktgerät ausgeführt und verwendet dessen CPU, GPU, Arbeitsspeicher und Netzwerk.
Es wird nur der Browserviewport umgeleitet. Der Viewport ist der rechteckige Browserbereich, in dem der Inhalt angezeigt wird. Der Viewport enthält keine Elemente wie Adressleiste, Favoriten-Symbolleiste und Statusleiste. Diese Elemente sind Teil der Benutzeroberfläche und werden weiterhin auf dem VDA im Browser ausgeführt.
- Konfigurieren Sie eine Studio-Richtlinie mit der Positivliste der umzuleitenden URLs bzw. mit einer Sperrliste nicht umzuleitender URL-Pfade. Der Abgleich der von den Benutzern angesteuerten URLs gegen die Positiv- oder Sperrliste wird von einer Browsererweiterung durchgeführt. Die Browsererweiterung (BHO) für Internet Explorer 11 ist auf dem Installationsmedium enthalten und wird automatisch installiert. Die Browsererweiterung für Chrome steht im Chrome Web Store zur Verfügung und kann über Gruppenrichtlinien und ADMX-Dateien bereitgestellt werden. Chrome-Erweiterungen werden für einzelne Benutzer installiert. Das Update eines Gold-Masterimages zum Hinzufügen oder Entfernen einer Erweiterung ist nicht erforderlich.
- Wird eine Übereinstimmung in der Positivliste gefunden (z. B.
https://www.mycompany.com/
) und keine Übereinstimmung mit einer URL in der Sperrliste (z. B.https://www.mycompany.com/engineering
), weist ein virtueller Kanal (CTXCSB) die Citrix Workspace-App an, dass eine Umleitung erforderlich ist und leitet die URL weiter. Die Citrix Workspace-App erzeugt dann eine lokale Renderingengine-Instanz und zeigt die Website an. - Anschließend fügt die Citrix Workspace-App die Website nahtlos in den Inhaltsbereich des virtuellen Desktopbrowsers ein.
Die Farbe des Logos gibt den Status der Chrome-Erweiterung an. Folgende drei Farben sind möglich:
- Grün: Aktiv und verbunden.
- Grau: Nicht aktiv/Leerlauf auf der aktuellen Registerkarte.
- Rot: Defekt/außer Betrieb.
Sie können Debugprotokolle mit den Optionen im Erweiterungsmenü festlegen.
Szenarien für den Inhaltsabruf durch die Citrix Workspace-App:
- Abruf und Wiedergabe auf dem Server: Es findet keine Umleitung statt, weil die Site nicht auf der Positivliste steht oder ein Fehler aufgetreten ist. Die Wiedergabe findet dann auf dem VDA statt und das Grafikremoting mithilfe von Thinwire. Verwenden Sie Richtlinien, um dieses Fallbackverhalten zu steuern. Es fällt ein hoher CPU-, RAM- und Bandbreitenverbrauch auf dem VDA an.
-
Abruf auf dem Server, Wiedergabe auf dem Client: Die Citrix Workspace-App ruft den Inhalt über den VDA und einen virtuellen Kanal (CTXPFWD) vom Webserver ab. Diese Option ist nützlich, wenn Clients keinen Internetzugang haben (z. B. Thin Clients). Der CPU- und RAM-Verbrauch auf dem VDA ist niedrig, jedoch wird Bandbreite im virtuellen ICA-Kanal verbraucht.
Es gibt drei Betriebsmodi für dieses Szenario. Der Begriff “Proxy” bezieht sich hier auf ein Proxygerät, auf das der VDA für den Internetzugang zugreift.
Geeignete Richtlinienoption:
- Expliziter Proxy: Wenn Sie einen einzelnen expliziten Proxy im Datencenter haben.
- Direkt oder transparent: Wenn Sie keine Proxys haben oder transparente Proxys verwenden.
- PAC-Dateien: Wenn Sie PAC-Dateien verwenden, sodass Browser auf dem VDA automatisch den geeigneten Proxyserver zum Abrufen einer angegebenen URL auswählen können.
-
Abruf und Wiedergabe auf dem Client: Da die Citrix Workspace-App direkt auf den Webserver zugreift, ist Internetzugang erforderlich. In diesem Szenario wird die gesamte Netzwerk-, CPU- und RAM-Last von der XenApp und XenDesktop-Site abgeladen.
Vorteile:
- Bessere Endbenutzererfahrung (adaptive Bitrate (ABR))
- Reduzierte VDA-Ressourcennutzung (CPU/RAM/IO)
- Reduzierter Bandbreitenverbrauch
Fallbackmechanismus:
Es kann vorkommen, dass die Clientumleitung fehlschlägt. Wenn der Client beispielsweise keinen direkten Internetzugriff hat, kann eine Fehlerantwort an den VDA zurückgegeben werden. In einem solchen Fall kann der Browser auf dem VDA die Seite auf dem Server neu laden und wiedergeben.
Verwenden Sie die Richtlinie Verhindern von Fallback auf Windows Media, um ein serverseitiges Rendering von Videoelementen zu verhindern. Legen Sie diese Richtlinie auf Alle Inhalte nur auf Client wiedergeben oder Nur Inhalte auf Client wiedergeben, auf die Client Zugriff hat fest. Diese Einstellungen verhindern die Wiedergabe von Videoelementen auf dem Server, wenn die Clientumleitung fehlschlägt. Diese Richtlinie wird nur wirksam, wenn Sie die Browserinhaltsumleitung aktivieren und die Richtlinie Zugriffssteuerungsliste die URL für ein Fallback enthält. Die URL darf nicht Teil der Sperrlistenrichtlinie sein.
Systemanforderungen:
Windows-Endpunkte:
- Windows 10
- Citrix Workspace-App 1809 für Windows oder höher
Hinweis:
Die Citrix Workspace-App 1912 LTSR für Windows und sämtliche kumulativen Updates für die Citrix Workspace-App 1912 LTSR unterstützen keine Browserinhaltsumleitung.
Linux-Endpunkte:
- Citrix Workspace-App 1808 für Linux oder später
- Thin Client-Terminals müssen WebKitGTK+ enthalten.
Citrix Virtual Apps and Desktops 7 1808 oder später und XenApp und XenDesktop 7.15 CU5 oder später:
-
VDA-Betriebssystem: Windows 10 (mindestens Version 1607), Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
-
Browser auf dem VDA:
-
Google Chrome v66 oder später (Chrome erfordert Citrix Workspace-App 1809 für Windows oder später auf dem Benutzerendpunkt, Citrix Virtual Apps and Desktops 7 1808-VDA oder später und Erweiterung für die Browserinhaltsumleitung)
-
Explorer 11 mit folgender Konfiguration:
- Deaktivieren von Erweiterter geschützter Modus unter Internetoptionen > Erweitert > Sicherheit
- Aktivieren von Browsererweiterungen von Drittanbietern aktivieren unter Internetoptionen > Erweitert > Browsen
-
Problembehandlung
Informationen zur Problembehandlung finden Sie im Knowledge Center-Artikel https://support.citrix.com/article/CTX230052.
Chrome-Erweiterung für die Browserinhaltsumleitung
Zur Verwendung der Browserinhaltsumleitung in Chrome fügen Sie die entsprechende Browsererweiterung aus dem Chrome Web Store hinzu. Klicken Sie auf Zu Chrome hinzufügen in der Citrix Virtual Apps and Desktops-Umgebung.
Die Erweiterung ist nur auf dem VDA und nicht auf dem Client des Benutzers erforderlich.
Systemanforderungen
- Chrome v66 oder höher
- Erweiterung für die Browserinhaltsumleitung
- Citrix Virtual Apps and Desktops 7 1808 oder höher
- Citrix Workspace-App 1809 für Windows oder höher
Hinweis:
Die Citrix Workspace-App 1912 LTSR für Windows und sämtliche kumulativen Updates für die Citrix Workspace-App 1912 LTSR unterstützen keine Browserinhaltsumleitung.
Diese Methode funktioniert für einzelne Benutzer. Um die Erweiterung für eine große Benutzergruppe bereitzustellen, verwenden Sie die Gruppenrichtlinie.
Bereitstellen der Erweiterung per Gruppenrichtlinie
- Importieren Sie die Google Chrome-ADMX-Dateien in Ihre Umgebung. Informationen zum Herunterladen, Installieren und Konfigurieren von Richtlinienvorlagen im Gruppenrichtlinien-Editor finden Sie unter Set Chrome Browser policies on managed PCs.
-
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole und wechseln Sie zu Benutzerkonfiguration\Administrative Vorlagen\Klassische administrative Vorlage (ADM)\Google\Google Chrome\Erweiterungen. Aktivieren Sie die Einstellung Configure the list of force-installed apps and extensions.
-
Klicken Sie auf Show und geben Sie die folgende Zeichenfolge ein (= Erweiterungs-ID). Aktualisieren Sie die URL für die Browserinhaltsumleitungserweiterung.
hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx
-
Übernehmen Sie die Einstellung. Nach einer gpudate-Aktualisierung erhält der Benutzer automatisch die Erweiterung. Beim Starten des Chrome-Browsers in der Benutzersitzung wird die Erweiterung angewendet und kann vom Benutzer nicht entfernt werden.
Alle Updates der Erweiterung werden automatisch auf den Maschinen der Benutzer über die Update-URL installiert, die Sie in der Einstellung angegeben haben.
Wird für die Einstellung Configure the list of force-installed apps and extensions der Wert Disabled festgelegt, wird die Erweiterung automatisch für alle Benutzer entfernt.
Edge Chromium-Erweiterung für die Browserinhaltsumleitung
Um die Erweiterung zur Browserinhaltsumleitung in Edge zu installieren, müssen Sie Version 83.0.478.37 oder höher des Edge-Browsers verwenden.
- Klicken Sie im Menü auf die Option Extensions, und aktivieren Sie Allow extensions from other stores.
- Klicken Sie auf den Link Chrome Web Store und die Erweiterung wird in der Leiste oben rechts angezeigt. Weitere Informationen zu Microsoft Edge-Erweiterungen finden Sie unter Erweiterungen.
Umleitung des Browserinhalts und DPI
Bei Verwendung der Browserinhaltsumleitung mit einer DPI-Skalierung von mehr als 100 % auf der Maschine des Benutzers wird der umgeleitete Browserinhalt fehlerhaft angezeigt. Richten Sie die DPI nicht ein, wenn Sie die Browserinhaltsumleitung verwenden, um dieses Problem zu vermeiden. Alternativ können Sie die GPU-Beschleunigung der Browserinhaltsumleitung für Chrome deaktivieren, indem Sie den Registrierungsschlüssel auf der Maschine des Benutzers erstellen. Weitere Informationen finden Sie unter Umleitung des Browserinhalts und DPI in der Liste der über die Registrierung verwalteten Features.
Single Sign-On mit integrierter Windows-Authentifizierung
Die Browserinhaltsumleitung verbessert das Overlay-Netz und verwendet das Aushandlungsschema zur Authentifizierung bei Webservern, die mit der integrierten Windows-Authentifizierung (IWA) in derselben Domäne wie der VDA konfiguriert sind.
In der Regel verwendet die Browserinhaltsumleitung ein Standardauthentifizierungsschema, bei dem Benutzer sich bei jedem Zugriff auf den Webserver mit ihren VDA-Anmeldeinformationen authentifizieren müssen. Für einen Single Sign-On können Sie entweder die Richtlinieneinstellung Unterstützung der integrierten Windows-Authentifizierung für die Browserinhaltsumleitung aktivieren oder einen Registrierungsschlüssel auf dem VDA erstellen.
Führen Sie vor dem Aktivieren von Single Sign-On folgende Schritte aus:
- Konfigurieren Sie in der Kerberos-Infrastruktur die Ausgabe von Tickets für Dienstprinzipalnamen, die aus dem Hostnamen erstellt wurden. Beispiel:
HTTP/serverhostname.com
. - Für serverseitigen Abruf: Wenn Sie die Browserinhaltsumleitung im Modus mit serverseitigem Abruf verwenden, muss das DNS ordnungsgemäß auf dem VDA konfiguriert sein.
- Für den clientseitigen Abruf: Wenn Sie die Browserinhaltsumleitung im Modus mit clientseitigem Abruf verwenden, muss das DNS ordnungsgemäß auf dem Clientgerät konfiguriert sein, und Sie müssen TCP-Verbindungen vom Overlay-Netz zur IP-Adresse des Webservers zulassen.
Informationen zum Konfigurieren von Single Sign-On mit der Richtlinie zur Browserinhaltsumleitung finden Sie in der Einstellung Integrierte Windows-Authentifizierungsunterstützung für die Browserinhaltsumleitung.
Alternativ können Sie Single Sign-On bei einem Webserver aktivieren, indem Sie einen Registrierungsschlüssel auf dem VDA hinzufügen. Informationen finden Sie unter Single Sign-On mit integrierter Windows-Authentifizierung für die Browserinhaltsumleitung in der Liste der Features, die über die Registrierung verwaltet werden.
User-Agent-Anforderungsheader
Der User-Agent-Header hilft bei der Identifizierung von HTTP-Anforderungen, die von der Browserinhaltsumleitung gesendet werden. Diese Einstellung kann beim Konfigurieren von Proxy- und Firewallregeln nützlich sein. Wenn der Server beispielsweise von der Browserinhaltsumleitung gesendete Anforderungen blockiert, können Sie eine Regel mit dem User-Agent-Header zum Umgehen bestimmter Anforderungen erstellen.
Nur Windows-Geräte unterstützen den User-Agent-Anforderungsheader.
Standardmäßig ist die Zeichenfolge des User-Agent-Anforderungsheaders deaktiviert. Zum Aktivieren des User-Agent-Headers für vom Client gerenderte Inhalte verwenden Sie den Registrierungs-Editor. Weitere Informationen finden Sie unter User-Agent-Anforderungsheader in der Liste der über die Registrierung verwalteten Features.