远程电脑访问
远程电脑访问是 Citrix Virtual Apps and Desktops™ 的一项功能,它使组织能够轻松地允许员工以安全的方式远程访问公司资源。Citrix 平台通过让用户访问其物理办公电脑来实现这种安全访问。如果用户可以访问其办公电脑,他们就可以访问完成工作所需的所有应用程序、数据和资源。远程电脑访问消除了引入和提供其他工具以适应远程办公的需要。例如,虚拟桌面或应用程序及其相关基础结构。
远程电脑访问使用与交付虚拟桌面和应用程序相同的 Citrix Virtual Apps and Desktops 组件。因此,部署和配置远程电脑访问的要求和过程与部署 Citrix Virtual Apps and Desktops 以交付虚拟资源的要求和过程相同。这种一致性提供了统一的管理体验。用户通过使用 Citrix HDX 交付其办公电脑会话来获得最佳用户体验。
此功能包含一个类型为 远程电脑访问 的计算机目录,该目录提供以下功能:
- 通过指定 OU 添加计算机的功能。此功能有助于批量添加电脑。
- 基于登录到办公 Windows 电脑的用户进行自动用户分配。我们支持单用户和多用户分配。
Citrix Virtual Apps and Desktops 可以通过使用其他类型的计算机目录来适应物理电脑的更多用例。这些用例包括:
- 物理 Linux 电脑
- 池化物理电脑(即随机分配,而非专用)
注意:
有关支持的操作系统版本的详细信息,请参阅适用于桌面操作系统的 Virtual Delivery Agent (VDA) 和适用于 Linux 的 VDA 的系统要求。
对于本地部署,远程电脑访问仅适用于 Citrix 虚拟应用和桌面高级版或尊享版许可证。会话消耗许可证的方式与其他 Citrix 虚拟桌面™ 会话相同。对于 Citrix 云,远程电脑访问适用于 Citrix 虚拟应用和桌面服务和 Workspace Premium Plus。
注意事项
虽然适用于 Citrix Virtual Apps and Desktops 的所有技术要求和注意事项通常也适用于远程电脑访问,但有些可能与物理电脑用例更相关或专用于物理电脑用例。
部署方面的考量
在规划远程电脑访问的部署时,需要做出一些一般性决策。
- 您可以将远程电脑访问添加到现有的 Citrix Virtual Apps and Desktops 部署中。在选择此选项之前,请考虑以下事项:
- 当前的 Delivery Controller 或 Cloud Connector 的规模是否足以支持与远程电脑访问 VDA 相关的额外负载?
- 本地站点数据库和数据库服务器的规模是否足以支持与远程电脑访问 VDA 相关的额外负载?
- 现有 VDA 和新的远程电脑访问 VDA 是否会超过每个站点支持的最大 VDA 数量?
- 您必须通过自动化流程将 VDA 部署到办公电脑。以下是两种可用选项:
- 电子软件分发 (ESD) 工具(例如 SCCM):使用 SCCM 安装 VDA。
- 部署脚本:使用脚本安装 VDA。
- 查看远程电脑访问安全注意事项。
计算机目录注意事项
所需的计算机目录类型取决于用例:
- 远程电脑访问
- Windows 操作系统专用电脑
- Windows 专用多用户电脑
- 单会话操作系统
- 静态 - 专用 Linux 个人电脑
- 随机 - 池化 Windows 和 Linux 个人电脑
确定计算机目录类型后,请考虑以下事项:
- 一台计算机一次只能分配给一个计算机目录。
- 为方便委派管理,请考虑基于地理位置、部门或任何其他分组创建计算机目录,这样可以方便地将每个目录的管理职责委派给合适的管理员。
- 选择计算机帐户所在的 OU 时,请选择较低级别的 OU 以获得更高的粒度。如果不需要此类粒度,您可以选择较高级别的 OU。例如,对于 Bank/Officers/Tellers,请选择 Tellers 以获得更高的粒度。否则,您可以根据要求选择 Officers 或 Bank。
- 将 OU 分配给 Remote PC Access 计算机目录后移动或删除 OU 会影响 VDA 关联,并导致未来的分配出现问题。因此,请务必进行相应规划,以便在 Active Directory 更改计划中考虑计算机目录的 OU 分配更新。
- 如果由于 OU 结构的原因,选择要添加到计算机目录的 OU 不容易,您不必选择任何 OU。您可以在之后使用 PowerShell 将计算机添加到目录中。如果桌面分配在交付组中配置正确,则用户自动分配将继续有效。一个用于将计算机和用户分配添加到计算机目录的示例脚本可在 GitHub 中找到。
- 集成的局域网唤醒仅适用于 Remote PC Access 类型的计算机目录。
关于 Linux VDA 的注意事项
以下注意事项特定于 Linux VDA:
- 仅在非 3D 模式下在物理计算机上使用 Linux VDA。由于 NVIDIA 驱动程序的限制,PC 的本地屏幕无法变黑,并且在启用 HDX™ 3D 模式时会显示会话活动。显示此屏幕存在安全风险。
- 对物理 Linux 计算机使用单会话操作系统类型的计算机目录。
- 集成的局域网唤醒功能不适用于 Linux 计算机。
技术方面的要求和需要考虑的事项
本节介绍了物理 PC 的技术要求和注意事项。
- 以下内容不受支持:
- KVM 切换器或其他可能断开会话的组件。
- 混合型 PC,包括一体机和 NVIDIA Optimus 笔记本电脑及 PC。
- 将键盘和鼠标直接连接到 PC。连接到显示器或其他可能关闭或断开连接的组件,可能会导致这些外围设备不可用。如果必须将输入设备连接到显示器等组件,请勿关闭这些组件。
- 这些计算机必须加入到活动目录域服务域中。
- 仅 Windows 10 支持安全启动。
- PC 必须具有活动的网络连接。有线连接更可靠,带宽更高,因此首选有线连接。
- 如果使用 Wi-Fi,请执行以下操作:
- 将电源设置配置为保持无线适配器开启。
- 配置无线适配器和网络配置文件,以允许在用户登录前自动连接到无线网络。否则,VDA 不会在用户登录前注册。在用户登录之前,PC 无法用于远程访问。
- 确保可以从 Wi-Fi 网络访问交付控制器或云连接器。
- 您可以在笔记本电脑上使用远程电脑访问。确保笔记本电脑连接到电源,而不是使用电池运行。将笔记本电脑的电源选项配置为与台式 PC 的选项匹配。例如:
- 应禁用休眠功能。
- 禁用睡眠功能。
- 将合盖操作设置为 不执行任何操作。
- 将“按下电源按钮”操作设置为 关机。
- 禁用显卡和网卡的节能功能。
- Remote PC Access 支持运行 Windows 10 的 Surface Pro 设备。请遵循前面提到的笔记本电脑准则。
-
如果使用扩展坞,可以对笔记本电脑进行取消坞接和重新坞接操作。当您取消坞接笔记本电脑时,VDA 会通过 Wi-Fi 重新向 Delivery Controller 或 Cloud Connector 注册。但是,当您重新坞接笔记本电脑时,除非断开无线适配器,否则 VDA 不会切换到使用有线连接。某些设备提供内置功能,可在建立有线连接时断开无线适配器。其他设备需要自定义解决方案或第三方实用程序来断开无线适配器。请查看前面提到的 Wi-Fi 注意事项。
执行以下操作以启用 Remote PC Access 设备的坞接和取消坞接功能:
- 在“开始”菜单中,选择“设置 > 系统 > 电源和睡眠”,并将“睡眠”设置为“从不”。
- 在“设备管理器 > 网络适配器 > 以太网适配器”下,转到“电源管理”并清除“允许计算机关闭此设备以节约电源”。确保选中“允许此设备唤醒计算机”。
- 多个用户访问同一办公电脑时,会在 Citrix Workspace 中看到相同的图标。当用户登录 Citrix Workspace 时,如果该资源已被其他用户使用,则会显示为不可用。
- 在访问办公电脑的每个客户端设备(例如,家用电脑)上安装 Citrix Workspace 应用程序。
配置过程顺序
本节概述了在使用 Remote PC Access 类型计算机目录时如何配置 Remote PC Access。有关如何创建其他类型计算机目录的信息,请参阅 创建计算机目录。
-
仅限本地站点 - 要使用集成的局域网唤醒功能,请配置 局域网唤醒 中概述的先决条件。
-
如果为远程PC访问创建了新的 Citrix 虚拟应用和桌面 站点:
- 选择 远程PC访问 站点类型。
- 在电源管理页面上,选择为默认的远程电脑访问计算机目录启用或禁用电源管理。您可以通过编辑计算机目录属性稍后更改此设置。有关配置局域网唤醒的详细信息,请参阅局域网唤醒。
- 填写用户和计算机帐户页面上的信息。
完成这些步骤将创建一个名为远程电脑访问计算机的计算机目录和一个名为远程电脑访问桌面的交付组。
-
如果添加到现有 思杰虚拟应用和桌面 站点:
-
将 VDA 部署到办公 PC。
- 我们建议使用适用于单会话操作系统的核心 VDA 安装程序(VDAWorkstationCoreSetup.exe)。
- 您还可以使用带
/remotepc选项的单会话完整 VDA 安装程序 (VDAWorkstationSetup.exe),这与使用核心 VDA 安装程序可达到相同的效果。 - 考虑启用 Windows 远程协助,以允许技术支持团队通过 Citrix Director 提供远程支持。为此,请使用
/enable_remote_assistance选项。有关详细信息,请参阅使用命令行安装。 - 要在 Director 中查看登录持续时间信息,您必须使用单会话完整 VDA 安装程序并包含 Citrix User Profile Manager WMI Plugin 组件。通过使用
/includeadditional选项包含此组件。有关详细信息,请参阅使用命令行安装。 - 有关使用 SCCM 部署 VDA 的信息,请参阅使用 SCCM 安装 VDA。
- 有关通过部署脚本部署 VDA 的信息,请参阅使用脚本安装 VDA。
成功完成步骤 2-4 后,用户在本地登录 PC 时会自动分配到自己的计算机。
-
指导用户在其用于远程访问办公 PC 的每个客户端设备上下载并安装 Citrix Workspace 应用程序。Citrix Workspace 应用程序可从
https://www.citrix.com/downloads/或受支持移动设备的应用商店获取。
通过注册表管理的功能
注意: 不正确地编辑注册表可能导致严重问题,可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
禁用多个用户自动分配
在每个 Delivery Controller™ 上,添加以下注册表设置:
HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer
- Name: AllowMultipleRemotePCAssignments
- Type: DWORD
- 数据:0
睡眠模式(最低版本 7.16)
要允许远程电脑访问计算机进入睡眠状态,请在 VDA 上添加此注册表设置,然后重新启动计算机。重新启动后,操作系统电源节省设置将生效。计算机在预配置的空闲计时器到期后进入睡眠模式。计算机唤醒后,它会重新向 Delivery Controller 注册。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- Name: DisableRemotePCSleepPreventer
- Type: DWORD
- 数据:1
Session management
默认情况下,当本地用户在该计算机上启动会话时(通过按 CTRL+ATL+DEL),远程用户的会话会自动断开连接。要防止此自动操作,请在办公电脑上添加以下注册表项,然后重新启动计算机。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- Name: SasNotification
- Type: DWORD
- 数据: 1
默认情况下,如果在超时期限内未确认连接消息,则远程用户优先于本地用户。要配置此行为,请使用以下设置:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- 注册表项名称为: RpcaMode
- 数据类型: DWORD
- 数据:
- 1 - 如果远程用户在指定的超时期限内未响应消息 UI,则远程用户始终具有优先权。如果未配置此设置,则此行为是默认行为。
- 2 - 本地用户具有优先权。
默认情况下,强制执行远程电脑访问模式的超时时间为 30 秒。您可以配置此超时时间,但不要将其设置为低于 30 秒。要配置超时时间,请使用以下注册表设置:
HKLM\SOFTWARE\Citrix\PortICA\RemotePC
- Name: RpcaTimeout
- Type: DWORD
- 数据: 超时秒数,以十进制值表示
当用户想要强制获取控制台访问权限时:本地用户可以在 10 秒内两次按下 Ctrl+Alt+Del,以获取对远程会话的本地控制权并强制断开连接事件。
注册表更改并重新启动计算机后,如果本地用户在远程用户使用该 PC 时按下 Ctrl+Alt+Del 登录,远程用户将收到提示。该提示会询问是允许还是拒绝本地用户的连接。允许连接会断开远程用户的会话。
局域网唤醒
Integrated Wake on LAN is available only in on-premises Citrix Virtual Apps and Desktops and requires Microsoft System Center Configuration Manager (SCCM).
远程电脑访问支持局域网唤醒,这使用户能够远程开启物理 PC。此功能使用户能够在不使用时关闭其办公 PC,从而节省能源成本。当计算机意外关闭时,它还支持远程访问。例如,由于停电。
远程电脑访问局域网唤醒功能支持 在 BIOS/UEFI 中启用了局域网唤醒选项的 PC。
SCCM 和远程电脑访问局域网唤醒
要配置远程电脑访问局域网唤醒功能,请在部署 VDA 之前完成以下操作。
- 在组织内配置 SCCM 2012 R2、2016 或 2019。然后将 SCCM 客户端部署到所有远程电脑访问计算机,留出时间让计划的 SCCM 清点周期运行(如有必要,也可以手动强制运行)。
- 对于 SCCM 唤醒代理或魔术包支持:
- 在每个 PC 的 BIOS/UEFI 设置中配置局域网唤醒。
- 对于唤醒代理支持,请在 SCCM 中启用该选项。对于组织中包含使用远程电脑访问局域网唤醒功能的 PC 的每个子网,请确保三台或更多计算机可以充当哨兵计算机。
- 对于魔术包支持,请配置网络路由器和防火墙以允许发送魔术包,可以使用子网定向广播或单播。
在办公电脑上安装 VDA 后,在创建连接和计算机目录时启用或禁用电源管理。
- 如果在目录中启用电源管理,请指定连接详细信息:SCCM 地址、访问凭据和连接名称。访问凭据必须有权访问范围内的集合和 远程工具操作员 角色。
- 如果未启用电源管理,则可以稍后添加电源管理(Configuration Manager)连接,然后编辑远程电脑访问计算机目录以启用电源管理。
您可以编辑电源管理连接以配置高级设置。您可以启用:
- 由 SCCM 提供的唤醒代理。
- LAN 唤醒(魔术)数据包。如果启用 LAN 唤醒数据包,可以选择 LAN 唤醒传输方法:子网定向广播或单播。
PC 使用 AMT 电源命令(如果支持),以及任何已启用的高级设置。如果 PC 不使用 AMT 电源命令,则使用高级设置。
故障排除
诊断相关信息
有关远程电脑访问的诊断信息将写入 Windows 应用程序事件日志。信息性消息不受限制。错误消息通过丢弃重复消息进行限制。
- 3300(信息):计算机已添加到目录
- 3301(信息):计算机已添加到交付组
- 3302(信息):计算机已分配给用户
- 3303(错误):异常
电源管理
如果启用了远程电脑访问的电源管理,子网定向广播可能无法启动与控制器位于不同子网的计算机。如果您需要使用子网定向广播进行跨子网电源管理,并且 AMT 支持不可用,请尝试使用唤醒代理或单播方法。确保在电源管理连接的高级属性中启用了这些设置。
更多资源
以下是远程电脑访问的其他资源:
- 解决方案设计指南:远程电脑访问设计决策。
- 远程电脑访问架构示例:Citrix 远程电脑访问解决方案参考架构。