Continuité du service

La fonction Continuité du service supprime ou réduit la dépendance à l’égard de la disponibilité des composants impliqués dans le processus de connexion. Les utilisateurs peuvent lancer leurs applications et bureaux Citrix DaaS quel que soit l’état d’intégrité des services cloud.

La continuité du service permet aux utilisateurs de se connecter à leurs applications et bureaux DaaS pendant les pannes, tant que la machine utilisateur maintient une connexion réseau à un emplacement de ressources. Les utilisateurs peuvent se connecter à leurs applications et bureaux DaaS pendant les pannes dans les composants Citrix Cloud ou dans les clouds publics et privés. Les utilisateurs peuvent se connecter directement à l’emplacement des ressources ou via Citrix Gateway Service.

La continuité du service améliore la représentation visuelle des ressources publiées pendant les pannes en utilisant la technologie Progressive Web Apps Service Worker pour mettre en cache les ressources dans l’interface utilisateur.

La continuité du service utilise les locations de connexion Workspace pour permettre aux utilisateurs d’accéder aux applications et aux bureaux en cas de panne. Les locations de connexion Workspace sont des jetons d’autorisation de longue durée. Les fichiers de location de connexion Workspace sont mis en cache en toute sécurité sur la machine utilisateur. Lorsqu’un utilisateur se connecte à Citrix Workspace, les fichiers de location de connexion Workspace sont enregistrés dans le profil utilisateur pour chaque ressource publiée pour l’utilisateur. La continuité du service permet aux utilisateurs d’accéder aux applications et aux bureaux pendant une panne, même si l’utilisateur n’a jamais lancé d’application ou de bureau auparavant. Les fichiers de location de connexion Workspace sont signés et cryptés, et sont associés à l’utilisateur et à la machine utilisateur. Lorsque la continuité du service est activée, une location de connexion Workspace permet aux utilisateurs d’accéder aux applications et aux bureaux pendant sept jours par défaut. Vous pouvez configurer les locations de connexion Workspace pour autoriser l’accès jusqu’à 30 jours.

Lorsque les utilisateurs quittent l’application Citrix Workspace, l’application Citrix Workspace se ferme, mais les locations de connexion Workspace sont conservées. Les utilisateurs quittent l’application Citrix Workspace en cliquant avec le bouton droit sur son icône dans la barre d’état système ou en redémarrant la machine utilisateur. Vous pouvez configurer la continuité du service pour supprimer ou conserver les locations de connexion Workspace lorsque les utilisateurs se déconnectent de Citrix Workspace pendant une panne. Par défaut, les locations de connexion Workspace sont supprimées des machines utilisateur lorsque les utilisateurs se déconnectent pendant une panne.

La continuité du service est prise en charge pour les scénarios de double saut lorsque l’application Citrix Workspace est installée sur un bureau virtuel.

Pour obtenir un article technique détaillé sur les fonctionnalités de résilience Citrix Cloud, y compris la continuité du service, consultez la page Citrix Cloud Resiliency.

Remarque :

La fonctionnalité obsolète Citrix DaaS appelée « location de connexion » ressemble aux locations de connexion Workspace car elle permettait d’améliorer la résilience de connexion pendant les pannes. À part cela, cette fonctionnalité obsolète n’est pas liée à la continuité du service.

Configuration de l’appareil utilisateur

Pour accéder aux ressources pendant une panne, les utilisateurs doivent se connecter à Citrix Workspace avant la panne. Lorsque vous activez la continuité du service, les utilisateurs doivent effectuer les opérations suivantes sur leurs appareils :

  1. Téléchargez et installez une version prise en charge de l’application Citrix Workspace.

  2. Ajouter l’URL Workspace de votre organisation à l’application Citrix Workspace (par exemple, https://example.cloud.com)

  3. Se connecter avec Citrix Workspace

Lorsqu’un utilisateur se connecte à Citrix Workspace pour la première fois, la continuité du service télécharge les locations de connexion Workspace sur la machine utilisateur.

Le téléchargement de locations de connexion Workspace peut prendre jusqu’à 15 minutes pour la première connexion. Les utilisateurs peuvent continuer à lancer des ressources publiées pendant la période de téléchargement.

Expérience utilisateur lors d’une panne

Lorsque la continuité du service est activée, l’expérience utilisateur pendant une panne varie en fonction des éléments suivants :

  • Type de panne
  • Configuration (ou non) de l’application Citrix Workspace avec l’authentification pass-through au domaine
  • Activation (ou non) du partage de session pour le bureau ou l’application auquel l’utilisateur se connecte

En cas de panne, les utilisateurs continuent d’accéder à leurs applications et bureaux DaaS sans que leur expérience utilisateur ne change. Pour d’autres pannes, l’utilisateur peut constater un changement dans la façon dont Workspace apparaît ou être invité à prendre des mesures.

Ce tableau résume comment la continuité du service aide les utilisateurs à accéder aux applications et aux bureaux lors de différents types de pannes.

Emplacement de la panne Comment la continuité du service maintient l’accès des utilisateurs Expérience utilisateur lors d’une panne
Service Citrix Workspace L’application Citrix Workspace énumère les applications et les bureaux en fonction du cache local sur la machine utilisateur. Les icônes des applications et des bureaux non disponibles sont assombries. Les utilisateurs peuvent toujours accéder aux applications et aux bureaux dont les icônes ne sont pas assombries. Après avoir cliqué sur une icône non grisée, les utilisateurs peuvent être invités à entrer à nouveau leurs informations d’identification sur le VDA. Pour accéder de nouveau à toutes leurs applications et bureaux, les utilisateurs peuvent essayer d’établir leur connexion à Workspace en cliquant sur le lien « Se reconnecter à Workspace ».
Fournisseur d’identité L’application Citrix Workspace énumère les applications et les bureaux en fonction du cache local sur la machine utilisateur. Les utilisateurs peuvent ne pas être en mesure de se connecter à Workspace. Les utilisateurs cliquent sur le lien « Utiliser Workspace hors ligne » pour accéder à certaines applications et bureaux dans une expérience identique à une panne de service Workspace.
Citrix Cloud Broker Service Le service High Availability Service du Cloud Connector reprend la négociation des connexions. Tous les VDA enregistrés auprès de Cloud Broker Service s’ont inscrits auprès de High Availability Service. Certains utilisateurs peuvent ne pas être en mesure d’accéder aux ressources virtuelles lorsque les VDA s’inscrivent auprès de High Availability Service. Les sessions existantes ne sont pas affectées. Aucune action utilisateur n’est requise.
Secure Ticket Authority Les locations de connexion Workspace fournissent un accès aux ressources virtuelles lorsque les fichiers ICA ne le peuvent pas. Les lancements de sessions peuvent prendre quelques secondes de plus. Aucune action utilisateur n’est requise.
Citrix Gateway Service Le trafic réseau bascule vers l’emplacement POP (Point of Presence) Citrix Gateway opérationnel le plus proche. La reconnexion des sessions existantes peut prendre quelques secondes. Aucune action utilisateur n’est requise.
Connexion Internet sur le réseau local L’application Citrix Workspace énumère les applications et les bureaux en fonction du cache local sur la machine utilisateur. Si un utilisateur dispose d’une connexion réseau directe à l’emplacement des ressources, l’application Citrix Workspace contourne Citrix Gateway Service lorsque l’utilisateur clique sur des icônes non grisées. L’application Citrix Workspace contacte le Cloud Connector via TCP 2598 et contacte les VDA via TCP 2598 ou UDP 2598. Les icônes des applications et des bureaux non disponibles sont assombries. Les utilisateurs peuvent toujours accéder aux applications et aux bureaux dont les icônes ne sont pas assombries. Après avoir cliqué sur une icône non grisée, les utilisateurs peuvent être invités à entrer à nouveau leurs informations d’identification sur le VDA. Pour accéder de nouveau à toutes leurs applications et bureaux, les utilisateurs peuvent essayer d’établir leur connexion à Workspace en cliquant sur le lien « Se reconnecter à Workspace ».

Remarque :

Pour plus d’informations sur la validation des scénarios de panne dans un environnement hors production, consultez le Service Continuity Companion Guide.

Lors d’une panne Citrix Workspace, les utilisateurs voient ce message en haut de la page d’accueil de Citrix Workspace : « Impossible de se connecter à certaines de vos ressources. Certaines applications et certains bureaux virtuels peuvent toujours être disponibles. » Les utilisateurs voient les applications et les bureaux auxquels ils peuvent se connecter pendant la panne. Si l’application ou le bureau n’est pas disponible, l’icône apparaît grisée. Page d'accueil de l'application Citrix Workspace affichant le message et les applications de continuité du service lors d'une panne

Pour accéder aux ressources disponibles pendant une panne, les utilisateurs sélectionnent une icône de ressources qui n’est pas grisée. Si vous y êtes invité, l’utilisateur saisit de nouveau ses informations d’identification AD sur le VDA avant d’accéder aux ressources.

Lors d’une panne avec le fournisseur d’identité pour l’authentification de l’espace de travail, les utilisateurs peuvent ne pas être en mesure de se connecter à Citrix Workspace via la page de connexion Workspace. Au bout de 40 secondes, ce message s’affiche en haut de la page d’accueil de Citrix Workspace. Page de connexion de l'application Citrix Workspace

La page d’accueil Citrix Workspace s’affiche ensuite. Les utilisateurs accèdent alors aux ressources comme lors d’une panne de Citrix Workspace.

Quel que soit le type de panne, les utilisateurs peuvent continuer à accéder aux ressources s’ils quittent et relancent l’application Citrix Workspace. Les utilisateurs peuvent redémarrer leurs machines utilisateur sans perdre l’accès aux ressources.

Dans la configuration par défaut de la continuité du service, les utilisateurs perdent l’accès à leurs ressources s’ils se déconnectent de Citrix Workspace. Si vous souhaitez que les utilisateurs conservent l’accès à leurs ressources après leur déconnexion, spécifiez que les locations de connexion Workspace doivent être conservées lorsque les utilisateurs se déconnectent. Consultez Configurer la continuité du service.

Selon la façon dont l’application Citrix Workspace et les VDA sont configurés, pendant une panne, le VDA peut inviter les utilisateurs à entrer leurs informations d’identification dans l’interface utilisateur d’ouverture de session Windows. Si cette invite s’affiche, les utilisateurs saisissent leurs informations d’identification Active Directory (AD) ou le code PIN de leur carte à puce pour accéder à l’application ou au bureau. Cette étape est requise lorsque les informations d’identification de l’utilisateur ne sont pas transmises pendant les pannes. Avant d’accéder à une application ou à un bureau, les utilisateurs doivent s’authentifier à nouveau auprès du VDA.

Les utilisateurs peuvent accéder aux ressources sans entrer leurs informations d’identification AD dans les cas suivants :

  • Citrix Workspace est configuré pour l’authentification unique (Single Sign-On) pendant l’installation lorsque la case à cocher Single Sign-On est sélectionnée.

    Case à cocher Single Sign-On

  • L’application Citrix Workspace est configurée avec l’authentification pass-through au domaine. Les utilisateurs peuvent accéder à n’importe quelle ressource disponible pendant une panne de Citrix Workspace sans entrer leurs informations d’identification. Pour plus d’informations sur la configuration de l’authentification pass-through au domaine pour l’application Citrix Workspace pour Windows, consultez Configurer Single Sign-On à l’aide de l’interface utilisateur graphique, disponible dans la section Authentification.

    Remarque

    StoreFront n’est pas requis pour autoriser Single Sign-On à votre VDA en cas de panne.

  • Le partage de session est activé. Les utilisateurs peuvent accéder aux applications ou aux bureaux hébergés sur le même VDA après avoir fourni leurs informations d’identification pour une ressource sur ce VDA. Le partage de session est configuré pour le groupe d’applications contenant la ressource sur le VDA. Pour plus d’informations sur la configuration des groupes d’applications, consultez la section Créer des groupes d’applications.

Dans toutes les autres configurations, les utilisateurs sont invités à entrer de nouveau leurs informations d’identification AD sur le VDA avant d’accéder aux ressources.

Configuration requise et limitations

Configuration requise liée au site

  • Prise en charge dans toutes les éditions de Citrix DaaS et de Citrix DaaS Standard pour Azure lorsque vous utilisez l’expérience d’espace de travail.

  • Non prise en charge pour Citrix Workspace avec l’agrégation de sites vers des sites Virtual Apps and Desktops locaux

  • Non pris en charge lorsque l’instance Citrix Gateway locale est utilisée comme proxy ICA. (L’utilisation de Citrix Gateway comme méthode d’authentification Workspace est prise en charge.)

Configuration requise pour la machine utilisateur

Versions minimales de l’application Citrix Workspace prises en charge :

  • Application Citrix Workspace pour Windows 2106
  • Application Citrix Workspace pour Linux 2106
  • Application Citrix Workspace pour Mac 2106
  • Application Citrix Workspace pour Android 22.2.0
  • Application Citrix Workspace pour iOS 22.4.5
  • Application Citrix Workspace pour ChromeOS 2301

Remarque :

Pour plus d’informations sur l’installation de l’application Citrix Workspace pour Linux, y compris sur l’installation de l’application pour une utilisation avec la continuité du service, consultez Application Citrix Workspace pour Linux.

  • Pour les utilisateurs qui accèdent à leurs applications et bureaux à l’aide d’un navigateur :
    • Google Chrome ou Microsoft Edge.
    • Application Citrix Workspace 2109 pour Windows, au minimum. Pris en charge avec Google Chrome et Microsoft Edge.
    • Application Citrix Workspace pour Mac version 2112 au minimum pour une utilisation avec Google Chrome.
    • Application Citrix Workspace pour Mac version 2206 au minimum pour une utilisation avec le navigateur Safari.

    Consultez Continuité du service dans le navigateur.

  • Un seul utilisateur par appareil est pris en charge. Les machines utilisateur de type kiosque ou « hot desk » ne sont pas prises en charge.

Méthodes d’authentification de l’espace de travail

  • Active Directory
  • Active Directory + jeton
  • Azure Active Directory
  • Okta
  • Citrix Gateway (la revendication de l’utilisateur principal doit provenir d’AD)
  • SAML 2.0

Limites d’authentification

  • L’authentification unique avec le Service d’authentification fédérée de Citrix (FAS) n’est pas prise en charge. Les utilisateurs saisissent leurs informations d’identification AD dans l’interface utilisateur de connexion Windows sur le VDA.
  • L’authentification unique au VDA n’est pas prise en charge.
  • Les comptes mappés locaux ne sont pas pris en charge.
  • Les VDA appartenant à Azure AD ne sont pas pris en charge. Tous les VDA doivent appartenir à un domaine AD.

Dimensionnement et scalabilité de Citrix Cloud Connector

  • 4 processeurs virtuels ou plus
  • 4 Go de mémoire ou plus

Sécurité du Powershell de Citrix Cloud Connector

Assurez-vous que l’exécution du script est activée en définissant la stratégie d’exécution sur la valeur remotedSigned adaptée à votre environnement. D’autres privilèges d’exécution de scripts peuvent également fonctionner, tels que Default ou AllSigned.

Connectivité Citrix Cloud Connector

Citrix Cloud Connector doit pouvoir accéder à https://rootoftrust.apps.cloud.com. Configurez votre pare-feu pour autoriser cette connexion. Pour plus d’informations sur le pare-feu Cloud Connector, consultez Configuration du pare-feu et du proxy d’un Cloud Connector.

Connexion réseau de l’application Workspace

Si vous configurez la connexion à votre emplacement de ressources depuis l’extérieur de votre réseau local, l’application Workspace sur les machines utilisateur doit être en mesure d’atteindre le nom de domaine complet de Citrix Gateway Service, https://*.g.nssvc.net. Assurez-vous que votre pare-feu est configuré pour autoriser le trafic sortant vers https://global-s.g.nssvc.net:433, afin que les machines utilisateur puissent se connecter à Citrix Gateway Service à tout moment.

Limitations d’optimisation de la connectivité

L’analyse EPA (Advanced Endpoint Analysis) n’est pas prise en charge.

La fonction Enlightened Data Transport (EDT) n’est pas pris en charge pendant les pannes.

Configuration requise et limitations du VDA

  • Les VDA 7.15 LTSR ou toute version actuelle qui n’a pas atteint sa fin de vie sont pris en charge.
  • Les VDA appartenant à Azure AD ne sont pas pris en charge. Tous les VDA doivent appartenir à un domaine AD.
  • Les VDA doivent être en ligne pour que les utilisateurs puissent accéder aux ressources VDA pendant une panne. Les ressources VDA ne sont pas disponibles lorsque le VDA est affecté par des pannes dans les services suivants :
    • AWS
    • Azure
    • Cloud Delivery Controller, sauf si la fonctionnalité Autoscale est activée pour le groupe de mise à disposition fournissant la ressource.
  • Les charges de travail VDA sont prises en charge pendant les pannes :
    • Applications et bureaux partagés hébergés
    • Bureaux aléatoires non persistants (bureau VDI regroupé) avec gestion de l’alimentation
    • Bureaux statiques non persistants
    • Bureaux statiques persistants, y compris Remote PC Access

    Remarque :

    L’attribution lors de la première utilisation n’est pas prise en charge pendant les pannes. Les bureaux non persistants aléatoires avec gestion de l’alimentation ne sont pas disponibles par défaut si les Cloud Connector perdent la connectivité avec Citrix Cloud, sauf si ReuseMachinesWithoutShutdownInOutage est configuré pour le groupe de mise à disposition. Pour plus d’informations, consultez Prise en charge des applications et des bureaux.

Pour plus d’informations sur les fonctions VDA disponibles pendant les pannes, consultez la section Gestion du VDA pendant les pannes.

Exigences et limitations du mappage du clavier local

L’interface utilisateur d’ouverture de session Windows qui invite les utilisateurs à se réauthentifier sur le VDA ne prend pas en charge le mappage de la langue du clavier local. Pour permettre aux utilisateurs de s’authentifier de nouveau lors d’une panne s’ils disposent d’un mappage de la langue du clavier local sur leurs appareils, préchargez les dispositions de clavier dont ces utilisateurs ont besoin.

Avertissement :

Toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous utilisez l’Éditeur du Registre à vos propres risques. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Modifiez cette clé de registre dans l’image VDA :

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Le pack de langue correspondant dans l’image du bureau virtuel doit être installé.

Pour obtenir la liste des identificateurs de clavier associés aux langues du clavier, consultez Identificateurs de clavier et éditeurs de méthode d’entrée pour Windows.

Configurer la connectivité réseau d’emplacement des ressources pour assurer la continuité

Vous pouvez configurer votre emplacement de ressources pour accepter les connexions provenant de l’extérieur ou de l’intérieur de votre réseau local (ou des deux).

Configurer les connexions provenant de l’intérieur de votre réseau local

  1. Dans le menu Citrix Cloud, accédez à Configuration de l’espace de travail > Accès.
  2. Sélectionnez Configurer la connectivité.
  3. Sélectionnez Interne uniquement comme type de connectivité.
  4. Cliquez sur Save.

Configurez vos pare-feu Citrix Cloud Connector et VDA pour accepter les connexions via le port TCP 2598 de Common Gateway Protocol (CGP). Cette configuration est le paramètre par défaut.

Configurer les connexions provenant de l’extérieur de votre réseau local

  1. Dans le menu Citrix Cloud, accédez à Configuration de l’espace de travail > Accès.
  2. Sélectionnez Configurer la connectivité.
  3. Sélectionnez Gateway Service comme type de connectivité.
  4. Cliquez sur Save.

Configurer les connexions provenant de l’extérieur et de l’intérieur de votre réseau local

Exécutez cette commande PowerShell :

Set-ConfigZone -InputObject (get-configzone -ExternalUid YourResourceLocationExternalUid) -EnableHybridConnectivityForResourceLeases $true

Remplacez YourResourceLocationExternalUid par l’UID externe de l’emplacement de ressources.

Cette commande permet des connexions directes au nom de domaine complet Citrix Cloud Connector via TCP 2598 pendant les pannes. Si cette connexion échoue, Gateway Service est utilisé comme connexion de secours. Autorisez les utilisateurs internes à contourner la passerelle et à se connecter directement à l’emplacement des ressources afin de réduire la latence du trafic réseau interne.

Remarque :

Cette commande PowerShell est similaire à Direct Workload Connection. En effet, elle optimise la connectivité aux espaces de travail en permettant aux utilisateurs internes de contourner la passerelle et de se connecter directement aux VDA. Lorsque la continuité du service est activée, Direct Workload Connection n’est pas disponible pendant les pannes.

Configurer la continuité du service

Pour activer la continuité du service pour votre site :

  1. Dans le menu Citrix Cloud, accédez à Configuration de l’espace de travail > Continuité du service.
  2. Définissez l’option Location de connexion Workspace sur Activer. Page Console de la continuité de service
  3. Définissez l’option Période de location de connexion sur le nombre de jours pendant lesquels une location de connexion Workspace peut être utilisée pour maintenir une connexion. La période de location de connexion Workspace s’applique à toutes les locations de connexion Workspace via votre site. La période de location de connexion Workspace commence la première fois qu’un utilisateur se connecte au magasin Citrix Cloud Workspace. Les locations de connexion Workspace sont actualisées chaque fois que l’utilisateur se connecte, jusqu’à une fois par jour. La période de location de connexion Workspace peut aller d’un jour à 30 jours. La valeur par défaut est de sept jours.
  4. Cliquez sur Save.

Lorsque vous activez la continuité du service, cette fonction est activée pour tous les groupes de mise à disposition de votre site. Pour désactiver la continuité du service pour un groupe de mise à disposition, utilisez la commande PowerShell suivante :

Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false

Remplacez deliverygroup par le nom du groupe de mise à disposition.

Par défaut, les locations de connexion Workspace sont supprimées de la machine utilisateur si l’utilisateur se déconnecte de Citrix Workspace pendant une panne. Si vous souhaitez que les locations de connexion Workspace restent sur les machines utilisateur après que les utilisateurs se déconnectent, utilisez la commande PowerShell suivante :

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

Remarque :

Les locations de connexion Workspace ne peuvent pas être configurées pour rester sur les machines utilisateur une fois que les utilisateurs se sont déconnectés pour des utilisateurs se connectant à l’application Citrix Workspace pour Mac. Citrix Workspace pour Mac ne peut pas lire la valeur de la propriété DeleteResourceLeaseOnLogOff.

Fonctionnement de la continuité du service

S’il n’y a pas de panne, les utilisateurs accèdent aux applications et aux bureaux virtuels à l’aide de fichiers ICA. Citrix Workspace génère un fichier ICA unique chaque fois qu’un utilisateur sélectionne une icône d’application ou de bureau virtuel. Chaque fichier ICA contient un ticket STA (Secure Ticket Authority) et un ticket d’ouverture de session qui ne peuvent être échangés qu’une seule fois pour obtenir un accès autorisé aux ressources virtuelles. Les tickets dans chaque fichier ICA expirent après environ 90 secondes. Une fois le ticket d’un fichier ICA utilisé ou expiré, l’utilisateur a besoin d’un autre fichier ICA de Citrix Workspace pour accéder aux ressources. Lorsque la continuité du service n’est pas activée, les pannes peuvent empêcher les utilisateurs d’accéder aux ressources si Citrix Workspace ne peut pas générer de fichier ICA.

Citrix Workspace génère des fichiers ICA lorsque les utilisateurs lancent des applications et des bureaux virtuels, que la continuité du service soit activée ou non. Lorsque la continuité du service est activée, Citrix Workspace génère également l’ensemble unique de fichiers qui composent une location de connexion Workspace. Contrairement aux fichiers ICA, les fichiers de location de connexion Workspace sont générés lorsque l’utilisateur se connecte à Citrix Workspace, et non lorsque l’utilisateur lance la ressource. Lorsqu’un utilisateur se connecte à Citrix Workspace, des fichiers de location de connexion sont générés pour chaque ressource publiée pour cet utilisateur. Les locations de connexion Workspace contiennent des informations qui donnent à l’utilisateur l’accès aux ressources virtuelles. Si une panne empêche un utilisateur de se connecter à Citrix Workspace ou d’accéder aux ressources à l’aide d’un fichier ICA, la location de connexion fournit un accès autorisé à la ressource.

Lancement des sessions pendant les pannes

Lorsque les utilisateurs cliquent sur une icône pour une application ou un bureau pendant une panne, l’application Citrix Workspace trouve la location de connexion Workspace correspondante sur la machine utilisateur. L’application Citrix Workspace ouvre ensuite une connexion. Si la connectivité à l’emplacement de ressources qui héberge l’application ou le bureau est configurée pour accepter des connexions provenant de l’extérieur de votre réseau local, une connexion à Citrix Gateway Service s’ouvre. Si la connectivité à l’emplacement de ressources qui héberge l’application ou le bureau est configurée pour accepter des connexions à partir de votre réseau local uniquement, une connexion au Cloud Connector s’ouvre.

Lorsque le broker Citrix Cloud est en ligne, Cloud Connector utilise le broker Citrix Cloud pour résoudre le VDA disponible. Lorsque le broker Citrix Cloud est hors ligne, le broker secondaire pour Cloud Connector (également connu sous le nom de High Availability Service) écoute et traite les demandes de connexion.

Les utilisateurs qui sont connectés lorsqu’une panne se produit peuvent continuer à travailler sans interruption. Les délais des nouvelles connexions et des reconnexions sont réduits. Cette fonctionnalité est similaire à celle du cache d’hôte local, mais elle ne nécessite pas d’instance StoreFront locale.

Lorsqu’un utilisateur lance une session pendant une panne, cette fenêtre apparaît indiquant que les locations de connexion Workspace ont été utilisées pour le lancement de la session :

Fenêtre de progression du lancement de session

Une fois que l’utilisateur a fini de se connecter à la session, ces propriétés apparaissent dans le Centre de connexion Workspace :

Propriétés du Centre de connexion Workspace

La propriété Mode de lancement fournit des informations sur les locations de connexion Workspace utilisées pour lancer la session.

Sur les appareils exécutant l’application Citrix Workspace pour Mac, Citrix Viewer affiche des informations indiquant que des locations de connexion Workspace ont été utilisées pour le lancement de la session :

Fenêtre Citrix Viewer

Sécurité de la fonction

Toutes les informations sensibles contenues dans les fichiers de location de connexion Workspace sont cryptées avec le chiffrement AES-256. Les locations de connexion Workspace sont liées à une paire de clés publique/privée uniquement associée à la machine client spécifique et ne peuvent pas être utilisées sur un autre appareil. Un mécanisme cryptographique intégré applique l’utilisation de la paire de clés unique sur chaque appareil.

Les locations de connexion Workspace sont stockées sur la machine utilisateur dans AppData\Local\Citrix\SelfService\ConnectionLeases.

L’architecture de sécurité de la continuité du service repose sur la cryptographie de clé publique, tout comme une infrastructure de clé publique (PKI), mais sans chaîne de certificats ni d’autorité de certification. Au lieu de cela, tous les composants établissent une approbation transitive en s’appuyant sur un nouveau service Citrix Cloud appelé racine de confiance qui agit comme une autorité de certification.

Bloquer les locations de connexion

Si une machine utilisateur est perdue ou volée, ou si un compte d’utilisateur est fermé ou compromis, vous pouvez bloquer les locations de connexion Workspace. Lorsque vous bloquez les locations de connexion Workspace associées à un utilisateur, l’utilisateur ne peut pas se connecter aux ressources. Citrix Cloud ne génère plus ni ne synchronise les locations de connexion Workspace pour l’utilisateur.

Lorsque vous bloquez les locations de connexion Workspace associées à un compte d’utilisateur, vous bloquez les connexions à ce compte sur tous les appareils associés à ce compte. Vous pouvez bloquer les locations de connexion Workspace pour un utilisateur ou pour tous les utilisateurs d’un groupe d’utilisateurs.

Pour révoquer les locations de connexion Workspace pour un seul utilisateur ou groupe d’utilisateurs, utilisez la commande PowerShell suivante :

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

Remplacez username par l’utilisateur associé au compte auquel vous souhaitez bloquer la connexion. Remplacer username par un groupe d’utilisateurs pour bloquer la connexion de tous les comptes du groupe d’utilisateurs. Remplacer Days par le nombre de jours pendant lesquels les connexions seront bloquées.

Par exemple, pour bloquer les connexions pour xd.local/user1 pendant les 7 prochains jours, entrez :

Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Pour afficher la période pendant laquelle les locations de connexion Workspace sont révoquées, utilisez la commande PowerShell suivante :

Get-BrokerConnectionLeaseRevocationDate -Name username

Remplacez username par l’utilisateur ou le groupe d’utilisateurs pour lequel vous souhaitez afficher la période.

Par exemple, pour afficher la période pendant laquelle les locations de connexion Workspace sont révoquées pour xd.local/user1, entrez :

Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

Cette information apparaît :

FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

Cette sortie indique que l’utilisateur xd.local/user2 dispose de locations de connexion Workspace révoquées pendant deux jours, du 17 décembre 2020 au 19 décembre 2020, à 17:34:25 UTC chaque jour.

Pour autoriser un compte d’utilisateur dont les locations de connexion Workspace sont révoquées à recevoir une nouvelle connexion, supprimez le bloc à l’aide de cette commande PowerShell :

Remove-BrokerConnectionLeaseRevocationDate -Name username

Remplacez username par l’utilisateur ou le groupe d’utilisateurs bloqué que vous souhaitez autoriser à recevoir la connexion. Pour autoriser tous les comptes d’utilisateur bloqués à recevoir des connexions, omettez l’option Name.

Scénarios double saut

La continuité du service peut permettre aux utilisateurs d’accéder aux ressources virtuelles lors de pannes dans le scénario de double saut s’ils sont connectés à Citrix Workspace avant que la panne ne se produise. Dans un scénario de double saut, une machine utilisateur physique se connecte à un bureau virtuel sur lequel l’application Citrix Workspace est installée. Le bureau virtuel se connecte ensuite à une autre ressource virtuelle.

Dans le scénario de double saut, la continuité du service peut permettre aux utilisateurs d’accéder aux ressources virtuelles pendant une panne, quel que soit le type de bureau virtuel. Si le bureau virtuel conserve les modifications apportées par l’utilisateur, la continuité du service peut également fournir un accès aux ressources virtuelles lors des pannes qui se produisent alors que l’utilisateur n’est pas connecté.

La continuité du service traite la machine utilisateur physique et le bureau virtuel dans un scénario de double saut comme des points de terminaison client individuels. Chaque appareil possède son propre ensemble de locations de connexion Workspace. Lorsqu’un utilisateur se connecte à Citrix Workspace sur une machine physique, les fichiers de location de connexion Workspace sont téléchargés et enregistrés dans le profil utilisateur sur la machine physique. L’utilisateur accède ensuite à un bureau virtuel et se connecte à Citrix Workspace sur le bureau virtuel. À ce stade, un ensemble différent de locations de connexion Workspace est téléchargé et enregistré dans le profil utilisateur sur le bureau virtuel. Les fichiers de location de connexion Workspace sont associés à l’appareil sur lequel ils sont téléchargés. Les fichiers de location de connexion Workspace ne peuvent pas être copiés sur un autre appareil et réutilisés, même par le même utilisateur. Ainsi, la continuité du service ne peut pas fournir d’accès aux ressources lors des pannes qui se produisent après la fin de la session si le bureau virtuel supprime les modifications apportées au cours d’une session utilisateur. Pour ce type de bureau virtuel, les locations de connexion Workspace font partie des modifications supprimées.

Voici comment fonctionne la continuité du service dans les scénarios de double saut avec chaque type de bureau virtuel pris en charge.

Pour les doubles sauts qui comprennent… La continuité du service permet d’accéder aux ressources virtuelles pendant les pannes…
Bureaux partagés hébergés si la panne se produit alors que l’utilisateur est connecté au bureau virtuel.
Bureaux non persistants aléatoires (bureau VDI groupé) si la panne se produit alors que l’utilisateur est connecté au bureau virtuel.
Bureaux statiques non persistants si le bureau virtuel n’a pas redémarré depuis la dernière connexion de l’utilisateur.
Bureaux statiques persistants chaque fois qu’une panne survient.

Gestion du VDA pendant les pannes

La continuité du service utilise la fonction Cache d’hôte local dans Citrix Cloud Connector. Le cache d’hôte local permet de continuer les connexions négociées par broker sur un site lorsque la connexion entre Cloud Delivery Controller et Cloud Connector échoue. Étant donné que la continuité du service repose sur le cache d’hôte local, elle partage certaines limitations avec cette fonctionnalité.

Remarque :

Bien que la continuité du service utilise le cache d’hôte local dans Cloud Connector, contrairement au cache d’hôte local, la continuité du service n’est pas prise en charge avec StoreFront local.

Gestion de l’alimentation des VDA pendant les pannes

Si les Cloud Connector perdent leur connectivité à Citrix Cloud, ils ne peuvent pas recevoir les informations d’identification de l’hyperviseur de la part de Citrix Cloud. Cela signifie :

  • Durant une panne, toutes les machines se trouvent dans un état d’alimentation inconnu et aucune opération d’alimentation ne peut être émise. Toutefois, les VM de l’hôte qui sont sous tension peuvent être utilisées pour les demandes de connexion.

Par défaut, les VDA de bureau avec alimentation gérée appartenant à des groupes de mise à disposition regroupés dont la propriété ShutdownDesktopsAfterUse est activée ne sont pas disponibles pour de nouvelles connexions si les Cloud Connector perdent leur connectivité avec Citrix Cloud. Vous pouvez modifier ce paramètre pour autoriser l’utilisation de ces bureaux si les Cloud Connector perdent leur connectivité avec Citrix Cloud en configurant l’indicateur ReuseMachinesWithoutShutdownInOutage sur vos groupes de mise à disposition. La définition du paramètre ReuseMachinesWithoutShutdownInOutage sur $true peut entraîner la présence des données des sessions utilisateur précédentes sur le VDA jusqu’à son redémarrage.

La gestion de l’alimentation reprend lorsque les opérations normales reprennent après une panne.

Attribution de machines et inscription automatique

Une machine attribuée peut uniquement être utilisée si l’attribution s’est produite lors d’un fonctionnement normal. De nouvelles attributions ne peuvent pas être effectuées lors d’une panne.

L’inscription et la configuration automatiques de machines Remote PC Access ne sont pas possibles. Toutefois, les machines qui ont été inscrites et configurées lors du fonctionnement normal peuvent être utilisées.

Ressources VDA dans différentes zones

Les utilisateurs d’applications et de bureaux hébergés sur le serveur peuvent utiliser plus de sessions que leurs limites de session configurées, si les ressources se trouvent dans des zones différentes.

Contrairement au cache hôte local, la continuité du service peut lancer des applications et des bureaux à partir de VDA enregistrés dans différentes zones, à condition que la ressource soit publiée dans plusieurs zones. L’application Citrix Workspace peut prendre plus de temps pour trouver une zone saine car elle passe successivement à travers toutes les zones de la location de connexion Workspace.

Surveillance et dépannage

La continuité du service effectue deux actions principales :

  • Télécharge les locations de connexion Workspace sur la machine utilisateur. Les locations de connexion Workspace sont générées et synchronisées avec l’application Citrix Workspace.
  • Lancez les applications et bureaux virtuels à l’aide des locations de connexion Workspace.

Dépannage du téléchargement des locations de connexion Workspace

Vous pouvez afficher les locations de connexion Workspace à cet emplacement sur la machine utilisateur.

Sur les appareils Windows :

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Username est le nom d’utilisateur.

Store GUID est l’identificateur unique global du magasin Workspace.

User GUID est l’identificateur unique global de l’utilisateur.

Sur les appareils Mac :

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

Par exemple, ouvrez /Users/luca/Library/Application Support/Citrix Receiver/CLSyncRoot

Sur Linux :

$HOME/.ICAClient/cache/ConnectionLease

Par exemple, ouvrez /home/user1/.ICAClient/cache/ConnectionLease

Les locations de connexion Workspace sont générées lorsque l’application Citrix Workspace se connecte au magasin Workspace. Affichez les valeurs de clé de registre sur la machine utilisateur pour déterminer si l’application Citrix Workspace a correctement contacté le service de location de connexion Workspace dans Citrix Cloud.

Ouvrez regedit sur la machine utilisateur et affichez cette clé :

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

Si ces valeurs apparaissent dans la clé de registre, l’application Citrix Workspace a contacté ou tenté de contacter le service de location de connexion Workspace :

  • leaseLastCallHomeTime
  • leaseLastSyncStatus

Si l’application Citrix Workspace n’a pas réussi à contacter le service de location de connexion Workspace, leaseLastCallHomeTime affiche une erreur avec un horodatage non valide :

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

Si leaseLastCallHomeTime n’est pas initialisé, cela signifie que l’application Citrix Workspace n’a jamais tenté de contacter le service de location de connexion Workspace. Pour résoudre ce problème, supprimez le compte de l’application Citrix Workspace et ajoutez-le à nouveau.

Codes d’erreur de l’application Citrix Workspace pour les locations de connexion Workspace

Lorsqu’une erreur de continuité de service se produit sur la machine utilisateur, un code d’erreur apparaît dans le message d’erreur. Les erreurs courantes sont les suivantes :

Code d’erreur Description
3000 Aucun fichier de location de connexion présent
3002 Impossible de lire ou de trouver la location de connexion
3003 Aucun emplacement de ressource trouvé
3004 Détails de connexion manquants dans les locations
3005 Fichier ICA vide
3006 Expiration de la location de connexion. Reconnectez-vous à Workspace.
3007 Location de connexion non valide
3008 Résultat de validation de la location de connexion : vide
3009 Résultat de validation de la location de connexion : non valide
3010 Paramètre manquant
3020 Échec de validation de la location de connexion
3021 Aucun emplacement de ressources trouvé où l’application est publiée
3022 Résultat de validation de la location de connexion : refus
3023 Expiration de l’application Citrix Workspace
3024 L’utilisateur a annulé le lancement basé sur la location alors qu’il était en cours
3025 Dépassement du nombre de nouvelles tentatives de lancement
3026 La ressource négociée (application ou bureau) ne peut pas être lancée

Accéder à selfservice.txt

Pour accéder au fichier selfservice.txt pour effectuer le dépannage en libre-service, effectuez les opérations suivantes :

  1. Créez un fichier texte vide et nommez-le enableshieldandlogging.reg.
  2. Copiez le texte suivant dans le fichier et enregistrez-le :

    Éditeur de registre Windows version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle] “Tracing”=”True” “AuxTracing”=”True” “DefaultTracingConfiguration”=”global all -detail” “ConnectionLeasingEnabled”=”True”

    [HKEY_CURRENT_USER\Software\Citrix\Dazzle] “RemoteDebuggingPort”=”8088”

  3. Placez votre fichier enregistré sur le point de terminaison de votre client.
  4. Le fichier selfservice.txt est désormais détectable sur le chemin suivant : %LocalAppData%\Citrix\SelfService.

Continuité du service dans le navigateur

Les extensions pour Google Chrome et Microsoft Edge mettent la continuité du service à la disposition des utilisateurs Windows qui accèdent à leurs applications et bureaux à l’aide de ces navigateurs. Les extensions sont appelées extension Web Citrix Workspace et sont disponibles sur le Chrome Web Store et le site Web du module complémentaire Microsoft Edge.

Ces extensions de navigateur nécessitent une application Citrix Workspace native sur la machine utilisateur pour prendre en charge la continuité du service. Ces versions sont prises en charge :

  • Application Citrix Workspace 2109 pour Windows, au minimum. Pris en charge avec Google Chrome et Microsoft Edge.
  • Application Citrix Workspace pour Mac version 2112 au minimum. Pris en charge avec Google Chrome.
  • Application Citrix Workspace pour Mac version 2206 au minimum pour une utilisation avec le navigateur Safari.

L’application Citrix Workspace pour Windows (Store) n’est pas prise en charge.

L’application Workspace native communique avec l’extension Web Citrix Workspace à l’aide du protocole hôte de messagerie natif pour les extensions de navigateur. Ensemble, l’application Workspace native et l’extension Web Workspace utilisent des locations de connexion Workspace pour permettre aux utilisateurs du navigateur d’accéder à leurs applications et bureaux pendant les pannes.

Cette vidéo montre comment installer et utiliser la continuité de service dans un navigateur.

Configuration de la machine utilisateur pour les utilisateurs du navigateur

Pour utiliser la continuité du service, les utilisateurs doivent effectuer les opérations suivantes sur leurs appareils :

  1. Téléchargez et installez une version de l’application Citrix Workspace prise en charge pour les utilisateurs de navigateurs.

  2. Téléchargez et installez l’extension Web Citrix Workspace pour Chrome ou Edge.

Expérience utilisateur du navigateur

Lorsque les utilisateurs cliquent sur leurs applications ou leurs bureaux, l’application ou le bureau s’ouvre sans que les utilisateurs ne soient invités à ouvrir Citrix Workspace Launcher.

Expérience utilisateur du navigateur pendant les pannes

Les utilisateurs peuvent accéder à leurs applications et bureaux à partir d’un navigateur lors de pannes, à condition que la machine utilisateur maintienne une connexion réseau à un emplacement de ressources.

Si une panne survient alors que l’utilisateur est connecté à Workspace via un navigateur, ce message apparaît en haut de la fenêtre du navigateur :

Page du navigateur de Workspace avec bannière de panne

Les utilisateurs peuvent accéder aux applications et aux bureaux disponibles hors connexion en cliquant sur n’importe quelle icône non grisée. Les utilisateurs peuvent également essayer de se remettre en ligne en cliquant sur Se reconnecter à Workspace.

Lorsqu’une panne empêche les utilisateurs de se connecter à Workspace via un navigateur, l’utilisateur est invité à travailler hors connexion ou à réessayer de se connecter. Pour accéder aux applications et bureaux disponibles hors connexion, les utilisateurs cliquent sur Utiliser Workspace hors ligne.

Fenêtre du navigateur Réessayer

Si une panne empêche les utilisateurs de se connecter à Workspace après avoir accédé à l’URL de Workspace, la fenêtre apparaît après un intervalle de délai spécifié. Par défaut, la fenêtre apparaît 30 secondes après que l’utilisateur ait accédé à l’URL de Workspace. Vous pouvez définir cette valeur sur 15, 30, 45 ou 60 secondes. Vous pouvez également désactiver le délai d’expiration de la connexion. Si le délai d’expiration de la connexion est désactivé, la fenêtre invitant les utilisateurs à travailler hors connexion apparaît lorsque l’utilisateur accède à l’URL de Workspace.

Pour configurer le paramètre de délai d’expiration de la connexion, cliquez sur l’icône de l’extension dans le navigateur de la machine utilisateur. Utilisez la fenêtre qui apparaît pour activer ou désactiver le délai d’expiration de la connexion et définir la durée du délai d’expiration :

Fenêtre de configuration de l'extension du navigateur

Une panne peut empêcher l’utilisateur de se connecter si le navigateur a été redirigé vers un site d’authentification de fournisseur d’identité tiers. Dans ce cas, l’utilisateur peut saisir l’URL de Workspace dans le navigateur, ce qui provoque l’apparition de la fenêtre invitant les utilisateurs à travailler hors connexion. L’utilisateur n’a pas besoin d’attendre le délai d’expiration de la connexion avant que la fenêtre apparaisse.

Les utilisateurs peuvent également accéder aux applications et aux bureaux disponibles lors d’une panne de cette façon :

  1. Cliquez sur l’icône de l’extension dans le navigateur.

  2. Dans la fenêtre qui apparaît, cliquez sur le bouton sous Travailler hors connexion. Ce bouton indique Aller à, puis le nom de votre magasin Workspace.

  3. Dans la fenêtre qui apparaît, cliquez sur Utiliser Workspace hors ligne.

Lors de certaines pannes, la fenêtre d’avertissement invitant les utilisateurs à travailler hors connexion s’affiche automatiquement lorsque l’extension détecte des problèmes du côté Workspace. L’utilisateur n’a pas besoin de prendre des mesures ou d’attendre le délai d’expiration de la connexion.

Limitations du navigateur

Si les utilisateurs effacent les cookies et autres données de site dans leur navigateur lors d’une panne, la continuité du service ne fonctionne pas tant qu’ils ne s’authentifient pas à nouveau auprès de Workspace.

À moins que l’utilisateur n’autorise l’extension à fonctionner en mode de navigation privée, la continuité du service n’est pas prise en charge en mode de navigation privée.

Dépannage pour les utilisateurs du navigateur

Dans le menu Avancé des paramètres du navigateur associé à l’application Citrix Workspace, assurez-vous que la méthode actuelle de préférence de lancement de l’application et du bureau est définie sur Utiliser l’application Citrix Workspace. Si cette option est définie sur Utiliser navigateur Web, la continuité du service n’est pas prise en charge dans le navigateur.

Assurez-vous que l’icône de l’extension dans le navigateur apparaît en vert une fois que le navigateur charge l’URL de l’espace de travail.

Pour télécharger les journaux, cliquez sur l’icône de l’extension dans le navigateur. Cliquez ensuite sur Télécharger les journaux.