Sitzungen
Die Aufrechterhaltung der Sitzungsaktivität ist entscheidend für die Bereitstellung der besten Benutzererfahrung. Der Verlust der Konnektivität aufgrund unzuverlässiger Netzwerke, stark variabler Netzwerklatenz und Reichweitenbeschränkungen drahtloser Geräte kann zu Benutzerfrustration führen. Das schnelle Wechseln zwischen Geräten und der Zugriff auf dieselben Anwendungen bei jeder Anmeldung hat für viele mobile Mitarbeiter, wie z. B. im Gesundheitswesen, Priorität.
Die in diesem Artikel beschriebenen Funktionen optimieren die Zuverlässigkeit von Sitzungen, reduzieren Unannehmlichkeiten, Ausfallzeiten und Produktivitätsverluste; mithilfe dieser Funktionen können mobile Benutzer schnell und einfach zwischen Geräten wechseln.
Sie können einen Benutzer auch von einer Sitzung abmelden, eine Sitzung trennen und den Sitzungsvorstart und das Verweilen konfigurieren; siehe Bereitstellungsgruppen verwalten.
Sitzungszuverlässigkeit
Die Sitzungszuverlässigkeit hält Sitzungen aktiv und auf dem Bildschirm des Benutzers, wenn die Netzwerkverbindung unterbrochen wird. Benutzer sehen weiterhin die Anwendung, die sie verwenden, bis die Netzwerkverbindung wiederhergestellt ist.
Diese Funktion ist besonders nützlich für mobile Benutzer mit drahtlosen Verbindungen. Wenn beispielsweise ein Benutzer mit einer drahtlosen Verbindung in einen Eisenbahntunnel fährt, verliert er kurzzeitig die Konnektivität. Normalerweise wird die Sitzung getrennt und verschwindet vom Bildschirm des Benutzers, und der Benutzer muss sich erneut mit der getrennten Sitzung verbinden. Mit der Sitzungszuverlässigkeit bleibt die Sitzung auf dem Computer aktiv. Um den Verlust der Konnektivität anzuzeigen, friert die Anzeige des Benutzers ein und der Cursor ändert sich in eine drehende Sanduhr, bis die Konnektivität auf der anderen Seite des Tunnels wiederhergestellt ist. Der Benutzer kann während der Unterbrechung weiterhin auf die Anzeige zugreifen und die Interaktion mit der Anwendung fortsetzen, wenn die Netzwerkverbindung wiederhergestellt ist. Die Sitzungszuverlässigkeit verbindet Benutzer ohne erneute Authentifizierungsaufforderungen wieder.
Benutzer der Citrix Workspace™-App können die Controller-Einstellung nicht überschreiben.
Sie können die Sitzungszuverlässigkeit mit Transport Layer Security (TLS) verwenden. TLS verschlüsselt nur die Daten, die zwischen dem Benutzergerät und Citrix Gateway gesendet werden.
Aktivieren und konfigurieren Sie die Sitzungszuverlässigkeit mit den folgenden Richtlinieneinstellungen:
- Die Richtlinieneinstellung für Sitzungszuverlässigkeitsverbindungen erlaubt oder verhindert die Sitzungszuverlässigkeit.
- Die Richtlinieneinstellung für das Sitzungszuverlässigkeits-Timeout hat einen Standardwert von 180 Sekunden oder drei Minuten. Obwohl Sie die Zeitspanne verlängern können, in der die Sitzungszuverlässigkeit eine Sitzung offen hält, ist diese Funktion auf Benutzerfreundlichkeit ausgelegt. Daher fordert sie den Benutzer nicht zur erneuten Authentifizierung auf. Wenn Sie die Zeitspanne verlängern, in der eine Sitzung offen gehalten wird, steigt die Wahrscheinlichkeit, dass ein Benutzer abgelenkt wird und sich vom Benutzergerät entfernt. Diese Aktionen können die Sitzung potenziell für unbefugte Benutzer zugänglich machen.
- Eingehende Sitzungszuverlässigkeitsverbindungen verwenden Port 2598, es sei denn, Sie ändern die Portnummer in der Richtlinieneinstellung für die Sitzungszuverlässigkeits-Portnummer.
- Um zu verhindern, dass Benutzer sich ohne erneute Authentifizierung mit unterbrochenen Sitzungen verbinden, verwenden Sie die Funktion „Automatisches Client-Reconnect“. Sie können die Richtlinieneinstellung für die Authentifizierung bei automatischem Client-Reconnect so konfigurieren, dass Benutzer zur erneuten Authentifizierung aufgefordert werden, wenn sie sich mit unterbrochenen Sitzungen verbinden.
Wenn Sie sowohl die Sitzungszuverlässigkeit als auch das automatische Client-Reconnect verwenden, arbeiten die beiden Funktionen nacheinander. Die Sitzungszuverlässigkeit schließt oder trennt die Benutzersitzung nach der Zeitspanne, die Sie in der Richtlinieneinstellung für das Sitzungszuverlässigkeits-Timeout angeben. Danach treten die Richtlinieneinstellungen für das automatische Client-Reconnect in Kraft und versuchen, den Benutzer mit der getrennten Sitzung wieder zu verbinden.
Automatische Client-Wiederverbindung
Mit der Funktion „Automatische Client-Wiederverbindung“ kann die Citrix Workspace-App unbeabsichtigte Trennungen von ICA®-Sitzungen erkennen und Benutzer automatisch wieder mit den betroffenen Sitzungen verbinden. Wenn diese Funktion auf dem Server aktiviert ist, müssen sich Benutzer nicht manuell erneut verbinden, um weiterzuarbeiten.
Bei Anwendungssitzungen versucht die Citrix Workspace-App, die Verbindung zur Sitzung wiederherzustellen, bis eine erfolgreiche Wiederverbindung erfolgt ist oder der Benutzer die Wiederverbindungsversuche abbricht.
Bei Desktopsitzungen versucht die Citrix Workspace-App, die Verbindung zur Sitzung für einen bestimmten Zeitraum wiederherzustellen, es sei denn, es erfolgt eine erfolgreiche Wiederverbindung oder der Benutzer bricht die Wiederverbindungsversuche ab. Standardmäßig beträgt dieser Zeitraum fünf Minuten. Um diesen Zeitraum zu ändern, bearbeiten Sie die folgende Registrierungseinstellung auf dem Benutzergerät (wobei seconds die Anzahl der Sekunden ist, nach der keine weiteren Versuche unternommen werden, die Sitzung wiederherzustellen).
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
Aktivieren und konfigurieren Sie die automatische Client-Wiederverbindung mit den folgenden Richtlinieneinstellungen:
- Automatische Client-Wiederverbindung: Aktiviert oder deaktiviert die automatische Wiederverbindung durch die Citrix Workspace-App nach einer Unterbrechung der Verbindung.
- Authentifizierung bei automatischer Client-Wiederverbindung: Aktiviert oder deaktiviert die Anforderung einer Benutzerauthentifizierung nach der automatischen Wiederverbindung.
- Protokollierung der automatischen Client-Wiederverbindung: Aktiviert oder deaktiviert die Protokollierung von Wiederverbindungsereignissen im Ereignisprotokoll. Die Protokollierung ist standardmäßig deaktiviert. Wenn sie aktiviert ist, erfasst das Systemprotokoll des Servers Informationen über erfolgreiche und fehlgeschlagene automatische Wiederverbindungsereignisse. Jeder Server speichert Informationen über Wiederverbindungsereignisse in seinem eigenen Systemprotokoll. Die Site bietet kein kombiniertes Protokoll der Wiederverbindungsereignisse für alle Server.
Hinweis:
Die automatische Client-Wiederverbindung ohne erneute Authentifizierung wird nur für die Kennwortauthentifizierung unterstützt. Wenn Sie den Federated Authentication Service oder die Smartcard-Authentifizierung verwenden, wird die automatische Client-Wiederverbindung ohne erneute Authentifizierung nicht unterstützt. In solchen Fällen werden Benutzer zum Anmeldebildschirm weitergeleitet.
Die automatische Client-Wiederverbindung beinhaltet einen Authentifizierungsmechanismus, der auf verschlüsselten Benutzeranmeldeinformationen basiert. Wenn sich ein Benutzer zum ersten Mal anmeldet, verschlüsselt der Server die Benutzeranmeldeinformationen und speichert sie im Arbeitsspeicher. Der Server erstellt und sendet außerdem ein Cookie mit dem Verschlüsselungsschlüssel an die Citrix Workspace-App. Die Citrix Workspace-App übermittelt den Schlüssel zur Wiederverbindung an den Server. Der Server entschlüsselt die Anmeldeinformationen und übermittelt sie zur Authentifizierung an die Windows-Anmeldung. Wenn Cookies ablaufen, müssen sich Benutzer erneut authentifizieren, um die Verbindung zu Sitzungen wiederherzustellen.
Cookies werden nicht verwendet, wenn Sie die Einstellung „Authentifizierung bei automatischer Client-Wiederverbindung“ aktivieren. Stattdessen wird den Benutzern ein Dialogfeld angezeigt, in dem Anmeldeinformationen angefordert werden, wenn die Citrix Workspace-App versucht, die Verbindung automatisch wiederherzustellen.
Verwenden Sie zur Maximierung des Schutzes von Benutzeranmeldeinformationen und Sitzungen die Verschlüsselung für die gesamte Kommunikation zwischen Clients und der Site.
Deaktivieren Sie die automatische Client-Wiederverbindung in der Citrix Workspace-App für Windows mithilfe der Datei icaclient.adm. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Version der Citrix Workspace-App für Windows.
Einstellungen für Verbindungen wirken sich auch auf die automatische Client-Wiederverbindung aus:
- Standardmäßig ist die automatische Client-Wiederverbindung über Richtlinieneinstellungen auf Site-Ebene aktiviert, wie zuvor beschrieben. Eine erneute Benutzerauthentifizierung ist nicht erforderlich. Wenn jedoch die ICA-TCP-Verbindung eines Servers so konfiguriert ist, dass Sitzungen mit einer unterbrochenen Kommunikationsverbindung zurückgesetzt werden, erfolgt keine automatische Wiederverbindung. Die automatische Client-Wiederverbindung funktioniert nur, wenn der Server Sitzungen trennt, wenn eine unterbrochene oder abgelaufene Verbindung vorliegt. In diesem Zusammenhang bezieht sich die ICA-TCP-Verbindung auf einen virtuellen Port des Servers (und nicht auf eine tatsächliche Netzwerkverbindung), der für Sitzungen in TCP/IP-Netzwerken verwendet wird.
- Standardmäßig ist die ICA-TCP-Verbindung auf einem Server so eingestellt, dass Sitzungen mit unterbrochenen oder abgelaufenen Verbindungen getrennt werden. Getrennte Sitzungen bleiben im Systemspeicher intakt und stehen für die Wiederverbindung durch die Citrix Workspace-App zur Verfügung.
- Die Verbindung kann so konfiguriert werden, dass Sitzungen mit unterbrochenen oder abgelaufenen Verbindungen zurückgesetzt oder abgemeldet werden. Wenn eine Sitzung zurückgesetzt wird, wird beim Versuch der Wiederverbindung eine neue Sitzung initiiert. Anstatt einen Benutzer an dieselbe Stelle in der verwendeten Anwendung zurückzuführen, wird die Anwendung neu gestartet.
- Wenn der Server so konfiguriert ist, dass Sitzungen zurückgesetzt werden, erstellt die automatische Client-Wiederverbindung eine neue Sitzung. Dieser Vorgang erfordert, dass Benutzer ihre Anmeldeinformationen eingeben, um sich am Server anzumelden.
- Die automatische Wiederverbindung kann fehlschlagen, wenn die Citrix Workspace-App oder das Plug-In falsche Authentifizierungsinformationen übermittelt, was bei einem Angriff der Fall sein kann, oder wenn der Server feststellt, dass seit der Erkennung der unterbrochenen Verbindung zu viel Zeit vergangen ist.
ICA Keep-Alive
Die Aktivierung der ICA Keep-Alive-Funktion verhindert, dass unterbrochene Verbindungen getrennt werden. Wenn diese Funktion aktiviert ist und der Server keine Aktivität feststellt, verhindert sie, dass die Remotedesktopdienste diese Sitzung trennen. Beispiele für keine Aktivität sind keine Zeitänderung, keine Mausbewegung, keine Bildschirmaktualisierungen. Der Server sendet alle paar Sekunden Keep-Alive-Pakete, um festzustellen, ob die Sitzung aktiv ist. Wenn die Sitzung nicht mehr aktiv ist, markiert der Server die Sitzung als getrennt.
Wichtig:
ICA Keep-Alive funktioniert nur, wenn Sie die Sitzungszuverlässigkeit nicht verwenden. Die Sitzungszuverlässigkeit verfügt über eigene Mechanismen, um zu verhindern, dass unterbrochene Verbindungen getrennt werden. Konfigurieren Sie ICA Keep-Alive nur für Verbindungen, die keine Sitzungszuverlässigkeit verwenden.
ICA Keep-Alive-Einstellungen überschreiben Keep-Alive-Einstellungen, die in der Windows-Gruppenrichtlinie konfiguriert sind.
Aktivieren und konfigurieren Sie ICA Keep-Alive mit den folgenden Richtlinieneinstellungen:
-
ICA Keep-Alive-Timeout: Gibt das Intervall (1-3600 Sekunden) an, das zum Senden von ICA Keep-Alive-Nachrichten verwendet wird. Konfigurieren Sie diese Option nicht, wenn Ihre Netzwerküberwachungssoftware in Umgebungen, in denen unterbrochene Verbindungen so selten sind, dass die Wiederverbindung von Benutzern mit Sitzungen kein Problem darstellt, inaktive Verbindungen schließen soll.
Das Standardintervall beträgt 60 Sekunden: ICA Keep-Alive-Pakete werden alle 60 Sekunden an Benutzergeräte gesendet. Wenn ein Benutzergerät innerhalb von 60 Sekunden nicht antwortet, ändert sich der Status der ICA-Sitzungen in „getrennt“.
-
ICA Keep-Alives: Sendet oder verhindert das Senden von ICA Keep-Alive-Nachrichten.
Workspace Control
Workspace Control ermöglicht es Desktops und Anwendungen, einem Benutzer von einem Gerät zum anderen zu folgen. Diese Roaming-Fähigkeit ermöglicht es einem Benutzer, auf alle Desktops oder geöffneten Anwendungen von überall aus zuzugreifen, indem er sich einfach anmeldet, ohne die Desktops oder Anwendungen auf jedem Gerät neu starten zu müssen. Zum Beispiel kann Workspace Control medizinischem Personal in einem Krankenhaus helfen, das sich schnell zwischen verschiedenen Arbeitsstationen bewegen und jedes Mal, wenn es sich anmeldet, auf dieselben Anwendungen zugreifen muss. Wenn Sie die Workspace Control-Optionen so konfigurieren, dass dies zulässig ist, können sich diese Mitarbeiter von mehreren Anwendungen auf einem Clientgerät trennen und sich dann auf einem anderen Clientgerät wieder mit denselben Anwendungen verbinden.
Workspace Control beeinflusst die folgenden Aktivitäten:
- Anmelden: Standardmäßig ermöglicht Workspace Control Benutzern, sich beim Anmelden automatisch wieder mit allen laufenden Desktops und Anwendungen zu verbinden, wodurch das manuelle erneute Öffnen entfällt. Über Workspace Control können Benutzer getrennte Desktops oder Anwendungen sowie alle auf einem anderen Clientgerät aktiven Desktops oder Anwendungen öffnen. Das Trennen von einem Desktop oder einer Anwendung lässt diese auf dem Server weiterlaufen. Wenn Sie Roaming-Benutzer haben, die einige Desktops oder Anwendungen auf einem Clientgerät am Laufen halten müssen, während sie sich mit einer Untergruppe ihrer Desktops oder Anwendungen auf einem anderen Clientgerät wieder verbinden, können Sie das Anmelde-Wiederverbindungsverhalten so konfigurieren, dass nur die Desktops oder Anwendungen geöffnet werden, von denen sich der Benutzer zuvor getrennt hat.
- Wiederverbinden: Nach der Anmeldung am Server können Benutzer jederzeit durch Klicken auf „Wiederverbinden“ eine erneute Verbindung zu allen ihren Desktops oder Anwendungen herstellen. Standardmäßig öffnet „Wiederverbinden“ Desktops oder Anwendungen, die getrennt sind, sowie alle, die derzeit auf einem anderen Clientgerät ausgeführt werden. Sie können „Wiederverbinden“ so konfigurieren, dass nur die Desktops oder Anwendungen geöffnet werden, von denen sich der Benutzer zuvor getrennt hat.
- Abmelden: Für Benutzer, die Desktops oder Anwendungen über StoreFront™ öffnen, können Sie den Befehl Abmelden so konfigurieren, dass der Benutzer von StoreFront und allen aktiven Sitzungen oder nur von StoreFront abgemeldet wird.
- Trennen: Benutzer können sich von allen laufenden Desktops und Anwendungen gleichzeitig trennen, ohne sich von jedem einzeln trennen zu müssen.
Workspace Control ist nur für Citrix Workspace-App-Benutzer verfügbar, die über eine Citrix StoreFront-Verbindung auf Desktops und Anwendungen zugreifen. Standardmäßig ist Workspace Control für virtuelle Desktopsitzungen deaktiviert, aber für gehostete Anwendungen aktiviert. Die Sitzungsfreigabe erfolgt standardmäßig nicht zwischen veröffentlichten Desktops und allen in diesen Desktops ausgeführten veröffentlichten Anwendungen.
Benutzerrichtlinien, Clientlaufwerkzuordnungen und Druckerkonfigurationen ändern sich entsprechend, wenn ein Benutzer zu einem neuen Clientgerät wechselt. Richtlinien und Zuordnungen werden gemäß dem Clientgerät angewendet, an dem der Benutzer bei der Sitzung angemeldet ist. Zum Beispiel meldet sich ein Mitarbeiter im Gesundheitswesen von einem Gerät in der Notaufnahme ab und meldet sich dann an einer Arbeitsstation im Röntgenlabor an. Die für die Sitzung im Röntgenlabor geeigneten Richtlinien, Druckerzuordnungen und Clientlaufwerkzuordnungen treten beim Start der Sitzung in Kraft.
Sie können anpassen, welche Drucker den Benutzern angezeigt werden, wenn sie den Standort wechseln. Sie können auch steuern, ob Benutzer auf lokale Drucker drucken können, wie viel Bandbreite verbraucht wird, wenn Benutzer remote verbunden sind, und andere Aspekte ihrer Druckerfahrung.
Informationen zum Aktivieren und Konfigurieren von Workspace Control für Benutzer finden Sie in der StoreFront-Dokumentation.
Sitzungsroaming
Hinweis:
Die folgenden Informationen leiten Sie an, das Sitzungsroaming mithilfe von PowerShell zu konfigurieren. Sie können stattdessen Web Studio verwenden. Weitere Informationen finden Sie unter Bereitstellungsgruppen verwalten.
Standardmäßig wechseln Sitzungen mit dem Benutzer zwischen Clientgeräten. Wenn der Benutzer eine Sitzung startet und dann zu einem anderen Gerät wechselt, wird dieselbe Sitzung verwendet und Anwendungen sind auf beiden Geräten verfügbar. Die Anwendungen folgen, unabhängig vom Gerät oder ob aktuelle Sitzungen vorhanden sind. Oft folgen auch Drucker und andere der Anwendung zugewiesene Ressourcen.
Obwohl dieses Standardverhalten viele Vorteile bietet, ist es möglicherweise nicht in allen Fällen ideal. Sie können das Session-Roaming mithilfe des PowerShell SDK verhindern.
Beispiel 1: Ein Mediziner verwendet zwei Geräte, füllt ein Versicherungsformular auf einem Desktop-PC aus und sieht sich Patienteninformationen auf einem Tablet an.
- Wenn Session-Roaming aktiviert ist, erscheinen beide Anwendungen auf beiden Geräten (eine auf einem Gerät gestartete Anwendung ist auf allen verwendeten Geräten sichtbar). Dies entspricht möglicherweise nicht den Sicherheitsanforderungen.
- Wenn Session-Roaming deaktiviert ist, erscheint die Patientenakte nicht auf dem Desktop-PC und das Versicherungsformular nicht auf dem Tablet.
Beispiel 2: Ein Produktionsleiter startet eine Anwendung auf dem PC in seinem Büro. Der Gerätename und der Standort bestimmen, welche Drucker und andere Ressourcen für diese Sitzung verfügbar sind. Später am Tag geht er für ein Meeting, das einen Drucker erfordert, in ein Büro im nächsten Gebäude.
- Wenn Session-Roaming aktiviert ist, könnte der Produktionsleiter wahrscheinlich nicht auf die Drucker in der Nähe des Besprechungsraums zugreifen, da die Anwendungen, die er zuvor in seinem Büro gestartet hat, zur Zuweisung von Druckern und anderen Ressourcen in der Nähe dieses Standorts führten.
- Wenn Session-Roaming deaktiviert ist und er sich an einem anderen Computer anmeldet (mit denselben Anmeldeinformationen), wird eine neue Sitzung gestartet, und Drucker und Ressourcen in der Nähe sind verfügbar.
Session-Roaming konfigurieren
Um das Session-Roaming zu konfigurieren, verwenden Sie die folgenden Cmdlets für Berechtigungsrichtlinienregeln mit der Eigenschaft „SessionReconnection“. Optional können Sie auch die Eigenschaft „LeasingBehavior“ angeben.
Für Desktopsitzungen:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Für Anwendungssitzungen:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Dabei kann value einer der folgenden Werte sein:
- Always: Sitzungen werden immer übertragen, unabhängig vom Clientgerät und davon, ob die Sitzung verbunden oder getrennt ist. Dies ist der Standardwert.
- DisconnectedOnly: Nur zu bereits getrennten Sitzungen wiederherstellen; andernfalls eine neue Sitzung starten. (Sitzungen können zwischen Clientgeräten wechseln, indem sie zuerst getrennt oder mithilfe von Workspace Control explizit gewechselt werden.) Eine aktive verbundene Sitzung von einem anderen Clientgerät wird niemals verwendet. Stattdessen wird eine neue Sitzung gestartet.
- SameEndpointOnly: Ein Benutzer erhält für jedes verwendete Clientgerät eine eindeutige Sitzung. Dies deaktiviert das Roaming vollständig. Benutzer können nur eine Verbindung zu demselben Gerät wiederherstellen, das zuvor in der Sitzung verwendet wurde.
Die Eigenschaft „LeasingBehavior“ wird unten beschrieben.
Auswirkungen anderer Einstellungen:
Das Deaktivieren des Sitzungsroamings wird durch die Anwendungsgrenze Nur eine Instanz der Anwendung pro Benutzer zulassen in den Anwendungseigenschaften in der Bereitstellungsgruppe beeinflusst.
- Wenn Sie das Sitzungsroaming deaktivieren, deaktivieren Sie die Anwendungsgrenze „Nur eine Instanz zulassen…“.
- Wenn Sie die Anwendungsgrenze „Nur eine Instanz zulassen…“ aktivieren, konfigurieren Sie keinen der beiden Werte, die neue Sitzungen auf neuen Geräten zulassen.
Anmeldeintervall
Wenn eine virtuelle Maschine, die einen Desktop-VDA enthält, geschlossen wird, bevor der Anmeldevorgang abgeschlossen ist, können Sie dem Vorgang mehr Zeit zuweisen. Der Standardwert für Versionen 7.6 und höher beträgt 180 Sekunden (der Standardwert für 7.0-7.5 beträgt 90 Sekunden).
Legen Sie auf der Maschine (oder dem Masterimage, das in einem Maschinenkatalog verwendet wird) den folgenden Registrierungsschlüssel fest:
Schlüssel:HKLM\SOFTWARE\Citrix\PortICA
- Wert:
AutoLogonTimeout - Typ:
DWORD - Geben Sie eine Dezimalzeit in Sekunden im Bereich 0-3600 an.
Wenn Sie ein Masterimage ändern, aktualisieren Sie den Katalog.
Diese Einstellung gilt nur für VMs mit Desktop-VDAs. Microsoft steuert das Anmelde-Timeout auf Maschinen mit Server-VDAs.