Sessioni
Mantenere l’attività della sessione è fondamentale per offrire la migliore esperienza utente. La perdita di connettività a causa di reti inaffidabili, latenza di rete altamente variabile e limitazioni di portata dei dispositivi wireless può portare alla frustrazione dell’utente. Spostarsi rapidamente tra i dispositivi e accedere alle stesse applicazioni a ogni accesso è una priorità per molti lavoratori mobili, come gli operatori sanitari.
Le funzionalità descritte in questo articolo ottimizzano l’affidabilità delle sessioni, riducono gli inconvenienti, i tempi di inattività e la perdita di produttività; utilizzando queste funzionalità, gli utenti mobili possono spostarsi rapidamente e facilmente tra i dispositivi.
È inoltre possibile disconnettere un utente da una sessione, disconnettere una sessione e configurare il preavvio e la permanenza della sessione; vedere Gestire i gruppi di consegna.
Affidabilità della sessione
L’affidabilità della sessione mantiene le sessioni attive e sullo schermo dell’utente quando la connettività di rete viene interrotta. Gli utenti continuano a vedere l’applicazione che stanno utilizzando fino a quando la connettività di rete non riprende.
Questa funzionalità è particolarmente utile per gli utenti mobili con connessioni wireless. Ad esempio, un utente con una connessione wireless entra in una galleria ferroviaria e perde momentaneamente la connettività. Normalmente, la sessione viene disconnessa e scompare dallo schermo dell’utente, e l’utente deve riconnettersi alla sessione disconnessa. Con l’affidabilità della sessione, la sessione rimane attiva sulla macchina. Per indicare la perdita di connettività, il display dell’utente si blocca e il cursore cambia in una clessidra rotante fino a quando la connettività non riprende dall’altra parte della galleria. L’utente continua ad accedere al display durante l’interruzione e può riprendere a interagire con l’applicazione quando la connessione di rete viene ripristinata. L’affidabilità della sessione riconnette gli utenti senza richiedere una nuova autenticazione.
Gli utenti dell’app Citrix Workspace™ non possono ignorare l’impostazione del Controller.
È possibile utilizzare l’affidabilità della sessione con Transport Layer Security (TLS). TLS crittografa solo i dati inviati tra il dispositivo utente e Citrix Gateway.
Abilitare e configurare l’affidabilità della sessione con le seguenti impostazioni di policy:
- L’impostazione della policy
Session reliability connectionsconsente o impedisce l’affidabilità della sessione. - L’impostazione della policy
Session reliability timeoutha un valore predefinito di 180 secondi, ovvero tre minuti. Sebbene sia possibile estendere il tempo in cui l’affidabilità della sessione mantiene una sessione aperta, questa funzionalità è progettata per la comodità dell’utente. Pertanto, non richiede all’utente una nuova autenticazione. Estendendo il tempo in cui una sessione viene mantenuta aperta, aumentano le possibilità che un utente possa distrarsi e allontanarsi dal dispositivo utente. Tali azioni possono potenzialmente lasciare la sessione accessibile a utenti non autorizzati. - Le connessioni di affidabilità della sessione in ingresso utilizzano la porta 2598, a meno che non si modifichi il numero di porta nell’impostazione della policy
Session reliability port number. - Per impedire agli utenti di riconnettersi a sessioni interrotte senza dover eseguire nuovamente l’autenticazione, utilizzare la funzionalità Riconnessione automatica client. È possibile configurare l’impostazione della policy
Auto Client Reconnect authenticationper richiedere agli utenti di eseguire nuovamente l’autenticazione quando si riconnettono a sessioni interrotte.
Se si utilizzano sia l’affidabilità della sessione che la riconnessione automatica client, le due funzionalità funzionano in sequenza. L’affidabilità della sessione chiude, o disconnette, la sessione utente dopo il tempo specificato nell’impostazione della policy Session reliability timeout. Successivamente, le impostazioni della policy di riconnessione automatica client entrano in vigore, tentando di riconnettere l’utente alla sessione disconnessa.
Riconnessione automatica client
Con la funzionalità Riconnessione automatica client, l’app Citrix Workspace può rilevare disconnessioni involontarie delle sessioni ICA® e riconnettere automaticamente gli utenti alle sessioni interessate. Quando questa funzionalità è abilitata sul server, gli utenti non devono riconnettersi manualmente per continuare a lavorare.
Per le sessioni applicative, l’app Citrix Workspace tenta di riconnettersi alla sessione fino a quando non avviene una riconnessione riuscita o l’utente annulla i tentativi di riconnessione.
Per le sessioni desktop, l’app Citrix Workspace tenta di riconnettersi alla sessione per un periodo specificato, a meno che non avvenga una riconnessione riuscita o l’utente annulli i tentativi di riconnessione. Per impostazione predefinita, questo periodo è di cinque minuti. Per modificare questo periodo, modificare la seguente impostazione del registro sul dispositivo utente (dove seconds è il numero di secondi dopo i quali non vengono più effettuati tentativi di riconnessione della sessione).
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
Abilitare e configurare la riconnessione automatica client con le seguenti impostazioni di policy:
- Riconnessione automatica client: Abilita o disabilita la riconnessione automatica da parte dell’app Citrix Workspace dopo che una connessione è stata interrotta.
- Autenticazione riconnessione automatica client: Abilita o disabilita il requisito di autenticazione dell’utente dopo la riconnessione automatica.
- Registrazione riconnessione automatica client: Abilita o disabilita la registrazione degli eventi di riconnessione nel registro eventi. La registrazione è disabilitata per impostazione predefinita. Quando abilitata, il registro di sistema del server acquisisce informazioni sugli eventi di riconnessione automatica riusciti e non riusciti. Ogni server memorizza le informazioni sugli eventi di riconnessione nel proprio registro di sistema. Il sito non fornisce un registro combinato degli eventi di riconnessione per tutti i server.
La riconnessione automatica client incorpora un meccanismo di autenticazione basato su credenziali utente crittografate. Quando un utente effettua l’accesso iniziale, il server crittografa e memorizza le credenziali utente in memoria. Il server crea e invia anche un cookie contenente la chiave di crittografia all’app Citrix Workspace. L’app Citrix Workspace invia la chiave al server per la riconnessione. Il server decrittografa le credenziali e le invia all’accesso di Windows per l’autenticazione. Quando i cookie scadono, gli utenti devono eseguire nuovamente l’autenticazione per riconnettersi alle sessioni.
I cookie non vengono utilizzati se si abilita l’impostazione di autenticazione della riconnessione automatica client. Invece, agli utenti viene presentata una finestra di dialogo che richiede le credenziali quando l’app Citrix Workspace tenta di riconnettersi automaticamente.
Per la massima protezione delle credenziali utente e delle sessioni, utilizzare la crittografia per tutte le comunicazioni tra i client e il sito.
Disabilitare la riconnessione automatica client nell’app Citrix Workspace per Windows utilizzando il file icaclient.adm. Per maggiori informazioni, consultare la documentazione della versione dell’app Citrix Workspace per Windows in uso.
Le impostazioni per le connessioni influenzano anche la riconnessione automatica client:
- Per impostazione predefinita, la riconnessione automatica client è abilitata tramite le impostazioni di policy a livello di sito, come descritto in precedenza. Non è richiesta una nuova autenticazione dell’utente. Tuttavia, se la connessione ICA TCP di un server è configurata per reimpostare le sessioni con un collegamento di comunicazione interrotto, la riconnessione automatica non si verifica. La riconnessione automatica client funziona solo se il server disconnette le sessioni quando la connessione è interrotta o scaduta. In questo contesto, la connessione ICA TCP si riferisce a una porta virtuale del server (piuttosto che a una connessione di rete effettiva) utilizzata per le sessioni su reti TCP/IP.
- Per impostazione predefinita, la connessione ICA TCP su un server è impostata per disconnettere le sessioni con connessioni interrotte o scadute. Le sessioni disconnesse rimangono intatte nella memoria di sistema e sono disponibili per la riconnessione da parte dell’app Citrix Workspace.
- La connessione può essere configurata per reimpostare o disconnettere le sessioni con connessioni interrotte o scadute. Quando una sessione viene reimpostata, il tentativo di riconnessione avvia una nuova sessione. Invece di ripristinare un utente nello stesso punto dell’applicazione in uso, l’applicazione viene riavviata.
- Se il server è configurato per reimpostare le sessioni, la riconnessione automatica client crea una nuova sessione. Questo processo richiede agli utenti di inserire le proprie credenziali per accedere al server.
- La riconnessione automatica può fallire se l’app Citrix Workspace o il plug-in invia informazioni di autenticazione errate, il che potrebbe verificarsi durante un attacco o se il server determina che è trascorso troppo tempo da quando ha rilevato la connessione interrotta.
ICA Keep-Alive
L’abilitazione della funzionalità ICA Keep-Alive impedisce che le connessioni interrotte vengano disconnesse. Quando abilitata, se il server non rileva attività, questa funzionalità impedisce a Remote Desktop Services di disconnettere quella sessione. Esempi di assenza di attività includono nessun cambiamento dell’orologio, nessun movimento del mouse, nessun aggiornamento dello schermo. Il server invia pacchetti keep-alive ogni pochi secondi per rilevare se la sessione è attiva. Se la sessione non è più attiva, il server la contrassegna come disconnessa.
Importante:
ICA Keep-Alive funziona solo se non si utilizza l’affidabilità della sessione. L’affidabilità della sessione ha i propri meccanismi per impedire che le connessioni interrotte vengano disconnesse. Configurare ICA Keep-Alive solo per le connessioni che non utilizzano l’affidabilità della sessione.
Le impostazioni di ICA Keep-Alive sovrascrivono le impostazioni keep-alive configurate nella Group Policy di Windows.
Abilitare e configurare ICA Keep-Alive con le seguenti impostazioni di policy:
-
Timeout ICA keep alive: Specifica l’intervallo (1-3600 secondi) utilizzato per inviare messaggi ICA keep-alive. Non configurare questa opzione se si desidera che il software di monitoraggio della rete chiuda le connessioni inattive in ambienti in cui le connessioni interrotte sono così infrequenti che consentire agli utenti di riconnettersi alle sessioni non è un problema.
L’intervallo predefinito è 60 secondi: i pacchetti ICA Keep-Alive vengono inviati ai dispositivi utente ogni 60 secondi. Se un dispositivo utente non risponde entro 60 secondi, lo stato delle sessioni ICA cambia in disconnesso.
-
ICA keep alives: Invia o impedisce l’invio di messaggi ICA keep-alive.
Controllo dello spazio di lavoro
Il controllo dello spazio di lavoro consente a desktop e applicazioni di seguire un utente da un dispositivo all’altro. Questa capacità di roaming consente a un utente di accedere a tutti i desktop o alle applicazioni aperte da qualsiasi luogo semplicemente effettuando l’accesso, senza dover riavviare i desktop o le applicazioni su ogni dispositivo. Ad esempio, il controllo dello spazio di lavoro può aiutare gli operatori sanitari in un ospedale che devono spostarsi rapidamente tra diverse workstation e accedere allo stesso set di applicazioni ogni volta che effettuano l’accesso. Se si configurano le opzioni di controllo dello spazio di lavoro per consentirlo, questi lavoratori possono disconnettersi da più applicazioni su un dispositivo client e quindi riconnettersi per aprire le stesse applicazioni su un dispositivo client diverso.
Il controllo dello spazio di lavoro influisce sulle seguenti attività:
- Accesso: Per impostazione predefinita, il controllo dello spazio di lavoro consente agli utenti di riconnettersi automaticamente a tutti i desktop e le applicazioni in esecuzione al momento dell’accesso, bypassando la necessità di riaprirli manualmente. Tramite il controllo dello spazio di lavoro, gli utenti possono aprire desktop o applicazioni disconnesse, oltre a quelle attive su un altro dispositivo client. La disconnessione da un desktop o un’applicazione la lascia in esecuzione sul server. Se si hanno utenti in roaming che devono mantenere alcuni desktop o applicazioni in esecuzione su un dispositivo client mentre si riconnettono a un sottoinsieme dei loro desktop o applicazioni su un altro dispositivo client, è possibile configurare il comportamento di riconnessione all’accesso per aprire solo i desktop o le applicazioni da cui l’utente si era disconnesso in precedenza.
- Riconnessione: Dopo aver effettuato l’accesso al server, gli utenti possono riconnettersi a tutti i loro desktop o applicazioni in qualsiasi momento facendo clic su Riconnetti. Per impostazione predefinita, Riconnetti apre i desktop o le applicazioni disconnesse, oltre a quelle attualmente in esecuzione su un altro dispositivo client. È possibile configurare Riconnetti per aprire solo i desktop o le applicazioni da cui l’utente si era disconnesso in precedenza.
- Disconnessione: Per gli utenti che aprono desktop o applicazioni tramite StoreFront™, è possibile configurare il comando Disconnetti per disconnettere l’utente da StoreFront e da tutte le sessioni attive, oppure solo da StoreFront.
- Disconnessione: Gli utenti possono disconnettersi da tutti i desktop e le applicazioni in esecuzione contemporaneamente, senza dover disconnettersi da ciascuno individualmente.
Il controllo dello spazio di lavoro è disponibile solo per gli utenti dell’app Citrix Workspace che accedono a desktop e applicazioni tramite una connessione Citrix StoreFront. Per impostazione predefinita, il controllo dello spazio di lavoro è disabilitato per le sessioni desktop virtuali, ma è abilitato per le applicazioni ospitate. La condivisione della sessione non avviene per impostazione predefinita tra desktop pubblicati e qualsiasi applicazione pubblicata in esecuzione all’interno di tali desktop.
Le policy utente, le mappature delle unità client e le configurazioni delle stampanti cambiano in modo appropriato quando un utente si sposta su un nuovo dispositivo client. Le policy e le mappature vengono applicate in base al dispositivo client in cui l’utente ha effettuato l’accesso alla sessione. Ad esempio, un operatore sanitario si disconnette da un dispositivo nel pronto soccorso e quindi accede a una workstation nel laboratorio di radiologia. Le policy, le mappature delle stampanti e le mappature delle unità client appropriate per la sessione nel laboratorio di radiologia entrano in vigore all’avvio della sessione.
È possibile personalizzare quali stampanti vengono visualizzate agli utenti quando cambiano posizione. È inoltre possibile controllare se gli utenti possono stampare su stampanti locali, quanta larghezza di banda viene consumata quando gli utenti si connettono in remoto e altri aspetti delle loro esperienze di stampa.
Per informazioni sull’abilitazione e la configurazione del controllo dello spazio di lavoro per gli utenti, consultare la documentazione di StoreFront.
Roaming della sessione
Per impostazione predefinita, le sessioni si spostano tra i dispositivi client con l’utente. Quando l’utente avvia una sessione e poi si sposta su un altro dispositivo, viene utilizzata la stessa sessione e le applicazioni sono disponibili su entrambi i dispositivi. Le applicazioni seguono, indipendentemente dal dispositivo o dall’esistenza di sessioni correnti. Spesso, anche le stampanti e altre risorse assegnate all’applicazione seguono.
Sebbene questo comportamento predefinito offra molti vantaggi, potrebbe non essere ideale in tutti i casi. È possibile impedire il roaming della sessione utilizzando l’SDK PowerShell.
Esempio 1: Un professionista medico utilizza due dispositivi, compilando un modulo assicurativo su un PC desktop e consultando le informazioni del paziente su un tablet.
- Se il roaming della sessione è abilitato, entrambe le applicazioni appaiono su entrambi i dispositivi (un’applicazione avviata su un dispositivo è visibile su tutti i dispositivi in uso). Questo potrebbe non soddisfare i requisiti di sicurezza.
- Se il roaming della sessione è disabilitato, la cartella clinica del paziente non appare sul PC desktop e il modulo assicurativo non appare sul tablet.
Esempio 2: Un responsabile di produzione avvia un’applicazione sul PC nel suo ufficio. Il nome del dispositivo e la posizione determinano quali stampanti e altre risorse sono disponibili per quella sessione. Più tardi, si reca in un ufficio nell’edificio accanto per una riunione che richiederà l’uso di una stampante.
- Quando il roaming della sessione è abilitato, il responsabile di produzione probabilmente non sarebbe in grado di accedere alle stampanti vicino alla sala riunioni, perché le applicazioni che aveva avviato in precedenza nel suo ufficio hanno comportato l’assegnazione di stampanti e altre risorse vicino a quella posizione.
- Quando il roaming della sessione è disabilitato, quando accede a una macchina diversa (utilizzando le stesse credenziali), viene avviata una nuova sessione e saranno disponibili le stampanti e le risorse vicine.
Configurare il roaming della sessione
Per configurare il roaming della sessione, utilizzare i seguenti cmdlet della regola di policy di entitlement con la proprietà “SessionReconnection”. Facoltativamente, è possibile specificare anche la proprietà “LeasingBehavior”.
Per le sessioni desktop:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Per le sessioni applicative:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
Dove value può essere uno dei seguenti:
- Always: Le sessioni si spostano sempre, indipendentemente dal dispositivo client e dal fatto che la sessione sia connessa o disconnessa. Questo è il valore predefinito.
- DisconnectedOnly: Riconnettersi solo a sessioni già disconnesse; altrimenti, avviare una nuova sessione. (Le sessioni possono spostarsi tra i dispositivi client disconnettendole prima o utilizzando il controllo dello spazio di lavoro per spostarle esplicitamente.) Una sessione attiva connessa da un altro dispositivo client non viene mai utilizzata. Invece, viene avviata una nuova sessione.
- SameEndpointOnly: Un utente ottiene una sessione unica per ogni dispositivo client che utilizza. Questo disabilita completamente il roaming. Gli utenti possono riconnettersi solo allo stesso dispositivo utilizzato in precedenza nella sessione.
La proprietà “LeasingBehavior” è descritta di seguito.
Effetti da altre impostazioni:
La disabilitazione del roaming della sessione è influenzata dal limite dell’applicazione Consenti una sola istanza dell’applicazione per utente nelle proprietà dell’applicazione nel gruppo di consegna.
- Se si disabilita il roaming della sessione, disabilitare il limite dell’applicazione “Consenti una sola istanza…”.
- Se si abilita il limite dell’applicazione “Consenti una sola istanza…”, non configurare nessuno dei due valori che consentono nuove sessioni su nuovi dispositivi.
Intervallo di accesso
Se una macchina virtuale contenente un VDA desktop si chiude prima che il processo di accesso sia completato, è possibile allocare più tempo al processo. Il valore predefinito per le versioni 7.6 e successive è 180 secondi (il valore predefinito per le versioni 7.0-7.5 è 90 secondi).
Sulla macchina (o sull’immagine master utilizzata in un catalogo di macchine), impostare la seguente chiave di registro:
Chiave:HKLM\SOFTWARE\Citrix\PortICA
- Valore:
AutoLogonTimeout - Tipo:
DWORD - Specificare un tempo decimale in secondi, nell’intervallo 0-3600.
Se si modifica un’immagine master, aggiornare il catalogo.
Questa impostazione si applica solo alle VM con VDA desktop. Microsoft controlla il timeout di accesso sulle macchine con VDA server.