配置会话录制策略
可以激活系统定义的录制策略,也可以创建并激活自己的自定义录制策略。系统定义的录制策略将单个规则应用到整个会话。自定义录制策略指定录制哪些会话。
活动录制策略确定要录制的会话。每次只能有一个录制策略处于活动状态。
系统定义的录制策略
Session Recording 提供以下系统定义的录制策略:
-
不录制。默认策略。如果未指定其他策略,则不会录制会话。
-
仅录制事件(针对所有人,并发出通知)。此策略仅录制事件检测策略指定的事件。它不录制屏幕。用户会提前收到录制通知。
-
仅录制事件(针对所有人,不发出通知)。此策略仅录制事件检测策略指定的事件。它不录制屏幕。用户不会收到录制通知。
-
录制整个会话(针对所有人,并发出通知)。此策略录制整个会话(屏幕和事件)。用户会提前收到录制通知。
-
录制整个会话(针对所有人,不发出通知)。此策略录制整个会话(屏幕和事件)。用户不会收到录制通知。
不能修改或删除系统定义的录制策略。
创建自定义录制策略
可以录制指定用户或组的会话、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址。Session Recording 策略控制台中的向导可帮助您创建规则。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。
对于创建的每条规则,您都需要指定录制操作以及规则条件。录制操作将应用到满足规则条件的会话。
对于每条规则,请选择一种录制操作:
-
启用会话录制并通知。此选项将录制整个会话(屏幕和事件)。用户会提前收到录制通知。
-
启用会话录制而不通知。此选项将录制整个会话(屏幕和事件)。用户不会收到录制通知。
-
启用带通知的仅事件会话录制。仅录制特定事件有助于释放存储空间。此选项在整个会话中仅录制事件检测策略指定的事件。它不录制屏幕。用户会提前收到录制通知。
-
启用不带通知的仅事件会话录制。仅录制特定事件有助于释放存储空间。此选项在整个会话中仅录制事件检测策略指定的事件。它不录制屏幕。用户不会收到录制通知。
-
禁用会话录制。此选项意味着不录制任何会话。
对于每条规则,请至少选择以下项目之一来创建规则条件:
- 用户或组。创建要应用规则的操作的用户或组列表。Session Recording 允许您使用 Active Directory 组和将用户加入白名单。
- 已发布的应用程序或桌面。创建要应用规则的操作的已发布应用程序或桌面列表。在规则向导中,请选择包含这些应用程序或桌面的 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)站点。
- 交付组或计算机。创建要应用规则的操作的交付组或计算机列表。在规则向导中,请选择交付组或计算机所在的位置。
-
IP 地址或 IP 范围。创建要应用规则的操作的 IP 地址或 IP 地址范围列表。在选择 IP 地址和 IP 范围屏幕中,添加将为其启用或禁用录制的有效 IP 地址或 IP 范围。此处提到的 IP 地址是指 Citrix Workspace 应用程序的 IP 地址。
注意:
Session Recording 策略控制台支持在一条规则中配置多个条件。规则适用时,将使用 AND 和 OR 逻辑运算符来计算最终操作。一般而言,OR 运算符在某个条件内部的项目之间使用,AND 运算符在多个条件之间使用。如果结果为 true,Session Recording 策略引擎将执行规则的操作。否则,将转至下一条规则并重复该过程。
在一个录制策略中创建多条规则时,某些会话可能满足多条规则的条件。在这些情况下,具有最高优先级的规则会应用到这些会话。
规则的录制操作决定其优先级:
- 不录制操作的规则优先级最高。
- 录制并通知操作的规则的优先级排在第二位。
- 录制但不通知操作的规则的优先级排在倒数第二。
- 启用带通知的仅事件会话录制操作的规则的优先级为中。
- 启用不带通知的仅事件会话录制操作的规则优先级最低。
某些会话可能不满足录制策略中的任何规则条件。对于这些会话,将应用策略回退规则的操作。回退规则的操作始终为不录制。您无法修改或删除回退规则。
要创建自定义录制策略,请执行以下操作:
- 以授权的策略管理员身份登录安装了 Session Recording 策略控制台的服务器。
- 启动 Session Recording 策略控制台,然后选择左侧窗格中的录制策略。从菜单栏中选择添加新策略。
- 右键单击新建策略并选择添加规则。
-
在规则向导中,选择录制选项,然后单击下一步。
-
选择规则条件 - 可以选择一个或多个规则条件:
用户或组
已发布的应用程序或桌面
交付组或计算机
IP 地址或 IP 范围 -
编辑规则条件 - 要进行编辑,请单击带下划线的值。这些值会根据在上一步中选择的条件加上下划线。
注意:
如果选择已发布的应用程序或桌面的带下划线的值,站点地址将为 IP 地址、URL 或计算机名称(如果 Controller 位于本地网络中)。应用程序名称列表显示显示名称。
选择已发布的应用程序或桌面或交付组或计算机时,请为 Session Recording 策略控制台指定要与之通信的 Delivery Controller。
Session Recording 策略控制台是与 Citrix Cloud 和本地环境中的 Delivery Controller 通信的唯一通道。
例如,选择交付组或计算机时,单击前面的屏幕截图中的步骤 3 中对应的超链接,然后单击添加将查询添加到 Controller 中。
有关涵盖本地和 Citrix Cloud Delivery Controller 的用例的说明,请参见下表:
用例 必需执行的操作 本地 Delivery Controller - 安装 Broker_PowerShellSnapIn_x64.msi。2. 取消选中 Citrix Cloud Controller 复选框。
Citrix Cloud Delivery Controller - 安装 Citrix DaaS 远程 PowerShell SDK。2. 验证 Citrix Cloud 帐户凭据。3. 选中 Citrix Cloud Controller 复选框。
从本地 Delivery Controller 切换到 Citrix Cloud Delivery Controller - 卸载 Broker_PowerShellSnapIn_x64.msi 并重新启动计算机。2. 安装 Citrix DaaS 远程 PowerShell SDK。3. 验证 Citrix Cloud 帐户凭据。4. 选中 Citrix Cloud Controller 复选框。
从 Citrix Cloud Delivery Controller 切换到本地 Delivery Controller - 卸载 Citrix DaaS 远程 PowerShell SDK 并重新启动计算机。2. 安装 Broker_PowerShellSnapIn_x64.msi。3. 取消选中 Citrix Cloud Controller 复选框。
验证 Citrix Cloud 凭据
要查询 Citrix Cloud 中托管的 Delivery Controller,请在安装了 Session Recording 策略控制台的计算机上手动验证 Citrix Cloud 凭据。不符合规定可能会导致出现错误,Session Recording 策略控制台可能无法按预期工作。
要进行手动验证,请执行以下操作:
-
登录 Citrix Cloud 控制台并找到身份识别和访问管理 > API 访问。创建 API 访问安全客户端,以获取可跳过 Citrix Cloud 身份验证提示的身份验证配置文件。下载您的安全客户端,重命名并将其保存在安全的位置。文件名默认为 secureclient.csv。
-
打开 PowerShell 会话并运行以下命令以使(在上面的步骤中获得的)身份验证配置文件生效。
asnp citrix.* Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default" <!--NeedCopy-->
根据需要设置 CustomerId 和 SecureClientFile。上述命令将为客户
citrixdemo
创建默认身份验证配置文件,以跳过当前和所有后续 PowerShell 会话中的身份验证提示。
- 按照向导完成配置。
注意: 关于预启动的应用程序会话的限制:
- 如果活动策略尝试匹配应用程序名称,它将无法匹配在预启动的会话中打开的应用程序。因此,无法录制预启动的会话。
- 如果活动策略录制了每个应用程序并且启用了会话预启动,则当用户登录适用于 Windows 的 Citrix Workspace 应用程序时,将显示录制通知。将录制预启动(空)会话以及以后在该会话中启动的所有应用程序。
解决方法:根据其录制策略,在单独的交付组中发布应用程序。请勿将应用程序名称用作录制条件。此方法可确保能够录制预启动的会话。但是,仍显示通知。
使用 Active Directory 组
Session Recording 允许您在创建策略时使用 Active Directory 组。使用 Active Directory 组代替单个用户可简化规则和策略的创建和管理。例如,如果公司财务部门中的用户包含在名为 Finance 的 Active Directory 组中,您可以通过在 规则向导中选择 Finance 组来创建应用到所有组成员的规则。
将用户加入白名单
可以创建 Session Recording 策略,确保绝不会录制组织中某些用户的会话。这种情况称为将这些用户 加入白名单。加入白名单对负责处理隐私相关信息的用户非常有用,在贵组织不希望录制某些级别的员工的会话时也非常有用。
例如,如果公司内的所有经理都属于名为 Executive 的 Active Directory 组中的成员,那么您可以创建规则来禁用 Executive 组的会话录制,从而确保这些用户的会话绝不会被录制。包含此规则的策略处于活动状态时,不会录制“Executive”组成员的会话。组织内其他成员的会话根据活动策略中的其他规则进行录制。
将 Director 配置为使用 Session Recording Server
可以使用 Director 控制台创建并激活录制策略。
- 对于 HTTPS 连接,请在 Director 服务器的可信根证书中安装证书以信任 Session Recording Server 。
- 要将 Director 服务器配置为使用 Session Recording Server ,请运行
C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording
命令。 - 在 Director 服务器上键入 Session Recording Server 的 IP 地址或 FQDN 以及 Session Recording Agent 用于连接到 Session Recording Broker 的端口号和连接类型 (HTTP/HTTPS)。
了解滚动行为
激活策略之后,之前的活动策略仍然有效,直至录制的会话结束或会话录制文件被滚动更新。文件达到最大大小时会发生滚动。有关录制件的最大文件大小的详细信息,请参阅指定录制件的文件大小。
下表详细说明了在录制会话并发生滚动更新的过程中应用新策略时会出现的情况:
如果之前的录制策略为: | 并且新的录制策略为: | 滚动更新后,录制策略将变为: |
---|---|---|
不录制 | 任何其他策略 | 不更改。仅当用户登录到新会话时新策略才生效。 |
录制但不通知 | 不录制 | 停止录制。 |
录制但不通知 | 录制并通知 | 继续录制并显示一条通知消息。 |
录制并通知 | 不录制 | 停止录制。 |
录制并通知 | 录制但不通知 | 继续录制。下次用户登录时不显示任何消息。 |