This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
会话
保持会话活动对于提供最佳用户体验至关重要。由于网络不可靠、网络延迟高度可变以及无线设备的范围限制而导致连接丢失,可能会让用户感到沮丧。对于许多移动工作人员(例如医院中的医护人员)来说,能够在工作站之间快速移动并在每次登录时访问同一组应用程序是他们的首要任务。
使用以下功能可优化会话的可靠性,减少不便、停机时间和生产力损失;通过使用这些功能,移动用户可以在设备之间快速轻松地漫游。
登录间隔部分介绍了如何更改默认设置。
您还可以将会话中的用户注销、断开会话连接,并配置会话预启动和会话保留;请参阅管理交付组文章。
会话可靠性
当网络连接中断时,会话可靠性可将会话保持活动状态并显示在用户屏幕上。用户将继续看到他们正在使用的应用程序,直到网络连接恢复。
此功能对于使用无线连接的移动用户特别有用。例如,使用无线连接的用户进入铁路隧道并暂时失去连接。通常,会话会断开连接并从用户屏幕上消失,用户必须重新连接到断开连接的会话。借助会话可靠性,会话在计算机上保持活动状态。为了指示连接丢失,用户的显示屏会冻结,光标会变为旋转的沙漏,直到隧道另一侧的连接恢复。用户在中断期间继续访问显示屏,并在网络连接恢复时可以恢复与应用程序的交互。会话可靠性会在不提示重新身份验证的情况下重新连接用户。
Citrix Receiver™ 用户无法覆盖控制器设置。
您可以将会话可靠性与传输层安全性 (TLS) 结合使用。TLS 仅加密用户设备和 NetScaler® Gateway 之间发送的数据。
使用以下策略设置启用和配置会话可靠性:
- “会话可靠性连接”策略设置允许或阻止会话可靠性。
- “会话可靠性超时”策略设置的默认值为 180 秒(即三分钟)。尽管您可以延长会话可靠性保持会话打开的时间,但此功能旨在方便用户,因此不会提示用户重新进行身份验证。随着您延长会话保持打开的时间,用户可能会分心并离开用户设备,从而可能使未经授权的用户访问会话的可能性会增加。
- 传入的会话可靠性连接使用端口 2598,除非您在“会话可靠性端口号”策略设置中更改端口号。
- 如果您不希望用户在不重新进行身份验证的情况下重新连接到中断的会话,请使用“自动客户端重新连接”功能。您可以配置“自动客户端重新连接身份验证”策略设置,以在用户重新连接到中断的会话时提示他们重新进行身份验证。
如果同时使用会话可靠性和自动客户端重新连接,这两个功能将按顺序工作。会话可靠性会在您在“会话可靠性超时”策略设置中指定的时间量后关闭或断开用户会话。之后,“自动客户端重新连接”策略设置将生效,尝试将用户重新连接到已断开的会话。
自动客户端重新连接
借助自动客户端重新连接功能,Citrix Receiver 可以检测 ICA® 会话的意外断开连接,并自动将用户重新连接到受影响的会话。在服务器上启用此功能后,用户无需手动重新连接即可继续工作。
对于应用程序会话,Citrix Receiver 会尝试重新连接到会话,直到成功重新连接或用户取消重新连接尝试。
对于桌面会话,Citrix Receiver 会在指定的时间段内尝试重新连接到会话,除非成功重新连接或用户取消重新连接尝试。默认情况下,此时间段为五分钟。要更改此时间段,请在用户设备上编辑此注册表:
HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>
其中 <seconds> 是不再尝试重新连接会话的秒数。
使用以下策略设置启用和配置自动客户端重新连接:
- 自动客户端重新连接。在连接中断后,启用或禁用 Citrix Receiver 的自动重新连接功能。
- 自动客户端重新连接身份验证。启用或禁用自动重新连接后要求用户进行身份验证的功能。
- 自动客户端重新连接日志记录。启用或禁用事件日志中重新连接事件的日志记录。默认情况下,日志记录处于禁用状态。启用后,服务器的系统日志会捕获有关成功和失败的自动重新连接事件的信息。每台服务器都会将重新连接事件的信息存储在其自己的系统日志中;站点不提供所有服务器的重新连接事件的合并日志。
自动客户端重新连接包含一个基于加密用户凭据的身份验证机制。当用户首次登录时,服务器会加密并存储内存中的用户凭据,然后创建并向 Citrix Receiver 发送一个包含加密密钥的 Cookie。Citrix Receiver 将密钥提交给服务器以进行重新连接。服务器解密凭据并将其提交给 Windows 登录进行身份验证。当 Cookie 过期时,用户必须重新进行身份验证才能重新连接到会话。
如果启用“自动客户端重新连接身份验证”设置,则不使用 Cookie。相反,当 Citrix Receiver 尝试自动重新连接时,会向用户显示一个对话框,要求提供凭据。
为了最大程度地保护用户凭据和会话,请对客户端与站点之间的所有通信使用加密。
通过使用 icaclient.adm 文件,在适用于 Windows 的 Citrix Receiver 上禁用自动客户端重新连接。有关详细信息,请参阅适用于 Windows 的 Citrix Receiver 版本的文档。
连接设置也会影响自动客户端重新连接:
- 默认情况下,如上所述,通过站点级别的策略设置启用自动客户端重新连接。不需要用户重新身份验证。但是,如果服务器的 ICA TCP 连接配置为在通信链路中断时重置会话,则不会发生自动重新连接。自动客户端重新连接仅在服务器因连接中断或超时而断开会话时才起作用。在此上下文中,ICA TCP 连接是指用于 TCP/IP 网络会话的服务器虚拟端口(而不是实际网络连接)。
- 默认情况下,服务器上的 ICA TCP 连接设置为断开具有中断或超时连接的会话。断开的会话在系统内存中保持完整,并可由 Citrix Receiver 重新连接。
- 可以将连接配置为重置或注销具有中断或超时连接的会话。当会话被重置时,尝试重新连接会启动一个新会话;应用程序会被重新启动,而不是将用户恢复到正在使用的应用程序中的相同位置。
- 如果服务器配置为重置会话,自动客户端重新连接会创建一个新会话。此过程要求用户输入其凭据才能登录到服务器。
- 如果 Citrix Receiver 或插件提交了不正确的身份验证信息,自动重新连接可能会失败,这可能发生在攻击期间,或者服务器确定自检测到中断连接以来已过去太长时间。
ICA 保持活动
启用 ICA 保持活动功能可防止断开的连接被断开。启用后,如果服务器检测到没有活动(例如,没有时钟变化、没有鼠标移动、没有屏幕更新),此功能会阻止远程桌面服务断开该会话。服务器每隔几秒发送一次保持活动数据包,以检测会话是否处于活动状态。如果会话不再处于活动状态,服务器会将该会话标记为已断开连接。
注意:
ICA 保持活动仅在您不使用会话可靠性时才起作用。会话可靠性有其自己的机制来防止断开的连接被断开。仅为不使用会话可靠性的连接配置 ICA 保持活动。
ICA 保持活动设置会覆盖在 Microsoft Windows 组策略中配置的保持活动设置。
使用以下策略设置启用和配置 ICA 保持活动:
-
ICA 保持活动超时。指定用于发送 ICA 保持活动消息的时间间隔(1-3600 秒)。如果您希望网络监控软件在连接中断不频繁以至于允许用户重新连接到会话不是问题的情况下关闭非活动连接,请勿配置此选项。
默认间隔为 60 秒:ICA 保持活动数据包每 60 秒发送到用户设备。如果用户设备在 60 秒内没有响应,ICA 会话的状态将变为已断开连接。
-
ICA 保持活动。发送或阻止发送 ICA 保持活动消息。
工作区控制
工作区控制允许桌面和应用程序随用户从一个设备移动到另一个设备。这种漫游能力使用户只需登录即可从任何位置访问所有桌面或打开的应用程序,而无需在每个设备上重新启动桌面或应用程序。例如,工作区控制可以帮助医院中的医护人员,他们需要在不同工作站之间快速移动,并在每次登录时访问同一组应用程序。如果您配置工作区控制选项以允许此操作,这些工作人员可以从一个客户端设备断开多个应用程序,然后重新连接以在不同的客户端设备上打开相同的应用程序。
工作区控制对以下活动产生影响:
- 登录: 默认情况下,工作区控制允许用户在登录时自动重新连接到所有正在运行的桌面和应用程序,从而无需手动重新打开它们。通过工作区控制,用户可以打开已断开连接的桌面或应用程序,以及在另一个客户端设备上处于活动状态的任何桌面或应用程序。从桌面或应用程序断开连接后,它仍会在服务器上运行。如果您有漫游用户,他们需要在某个客户端设备上保持某些桌面或应用程序运行,同时在另一个客户端设备上重新连接到其桌面或应用程序的子集,您可以配置登录重新连接行为,使其仅打开用户之前已断开连接的桌面或应用程序。
- 重新连接: 登录到服务器后,用户可以随时通过单击“重新连接”来重新连接到其所有桌面或应用程序。默认情况下,“重新连接”会打开已断开连接的桌面或应用程序,以及当前在另一个客户端设备上运行的任何桌面或应用程序。您可以将“重新连接”配置为仅打开用户之前已断开连接的桌面或应用程序。
- 注销: 对于通过 StoreFront™ 打开桌面或应用程序的用户,您可以将“注销”命令配置为同时将用户从 StoreFront 和所有活动会话中注销,或者仅从 StoreFront 中注销。
- 断开连接: 用户可以一次性断开所有正在运行的桌面和应用程序的连接,而无需单独断开每个连接。
工作区控制仅适用于通过 Citrix StoreFront 连接访问桌面和应用程序的 Citrix Receiver 用户。默认情况下,工作区控制对于虚拟桌面会话是禁用的,但对于托管应用程序是启用的。默认情况下,已发布的桌面与在这些桌面中运行的任何已发布的应用程序之间不会发生会话共享。
当用户移动到新的客户端设备时,用户策略、客户端驱动器映射和打印机配置会相应地更改。策略和映射根据用户当前登录会话的客户端设备应用。例如,如果医护人员从医院急诊室的客户端设备注销,然后登录到医院 X 射线实验室的工作站,则适用于 X 射线实验室会话的策略、打印机映射和客户端驱动器映射将在会话启动时生效。
您可以自定义用户在更改位置时看到的打印机。您还可以控制用户是否可以打印到本地打印机、用户远程连接时消耗的带宽量以及其打印体验的其他方面。
有关为用户启用和配置工作区控制的信息,请参阅 StoreFront 文档。
会话漫游
默认情况下,会话会随用户在客户端设备之间漫游。当用户启动会话然后移动到另一个设备时,将使用相同的会话,并且应用程序在两个设备上都可用。无论设备如何或是否存在当前会话,应用程序都会随之移动。在许多情况下,分配给应用程序的打印机和其他资源也会随之移动。
尽管此默认行为具有许多优点,但并非在所有情况下都理想。您可以使用 PowerShell SDK 阻止会话漫游。
示例 1:一名医务人员正在使用两台设备,在一台台式电脑上填写保险表格,并在平板电脑上查看患者信息。
- 如果会话漫游已启用,则两个应用程序都会出现在两个设备上(在一个设备上启动的应用程序在所有正在使用的设备上都可见)。这可能不符合安全要求。
- 如果会话漫游被禁用,则患者记录不会出现在台式电脑上,保险表格也不会出现在平板电脑上。
示例 2:一位生产经理在他的办公室电脑上启动了一个应用程序。设备名称和位置决定了该会话可用的打印机和其他资源。当天晚些时候,他去隔壁大楼的办公室开会,会议需要他使用打印机。
- 如果会话漫游已启用,生产经理可能无法访问会议室附近的打印机,因为他之前在办公室启动的应用程序导致了该位置附近的打印机和其他资源的分配。
- 如果会话漫游被禁用,当他登录到另一台机器(使用相同的凭据)时,将启动一个新会话,并且附近的打印机和资源将可用。
配置会话漫游功能
要配置会话漫游,请使用以下授权策略规则 cmdlet 并指定“SessionReconnection”属性。(可选)您还可以指定“LeasingBehavior”属性;请参阅下面的“连接租用和会话漫游”。
对于桌面会话:
Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
对于应用程序会话:
Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed
其中 <value> 可以是以下值之一:
- 始终。会话始终漫游,无论客户端设备以及会话是连接还是断开。这是默认值。
- 仅断开连接。仅重新连接到已断开连接的会话;否则,启动一个新会话。(会话可以通过先断开连接,或使用 Workspace Control 显式漫游,在客户端设备之间漫游。)不会使用来自其他客户端设备的活动连接会话;而是启动一个新会话。
- 仅限相同端点。用户为他们使用的每个客户端设备获得一个唯一的会话。这会完全禁用漫游。用户只能重新连接到会话中以前使用过的同一设备。
“LeasingBehavior” 属性将在下文中进行详细描述。
其他设置的影响
禁用会话漫游受交付组中应用程序属性中的应用程序限制“每个用户只允许一个应用程序实例”的影响。
- 如果禁用会话漫游,则禁用“只允许一个实例…”应用程序限制。
- 如果启用“只允许一个实例…”应用程序限制,请不要配置允许在新设备上创建新会话的两个值中的任何一个。
关于连接租用和会话漫游
如果您不熟悉连接租用,请参阅连接租用文章。
当控制器进入租用连接模式时,会话重新连接将恢复为其默认值,将用户重新连接到桌面或应用程序的活动或断开连接会话中的一个。
为了增强安全性,如果您配置了非默认的会话漫游值,并且有多个用户在多个设备上共享相同的登录凭据,请考虑为包含该用户帐户的交付组禁用连接租用功能。
为什么?在这种情况下,一个会话在所有设备之间共享。例如,如果某人显示了不应被其他人在控制器处于租用连接模式下使用相同凭据重新连接时看到敏感信息,这可能是不希望的。
在授权策略中禁用连接租用可消除这种可能性:即使控制器处于租用连接模式,用户也无法看到具有相同登录名的其他用户的会话。其他授权策略可以保持不变;单个用户帐户可以通过单独的授权使用连接租用功能。
要在授权策略中禁用连接租用,请将“LeasingBehavior Disallowed”属性添加到授权策略 cmdlet。如果禁用连接租用,则必须手动删除已为该授权策略创建和缓存的任何启动租用;否则,在数据库中断期间,用户仍将能够重新连接。
登录间隔
如果包含桌面 VDA 的虚拟机在登录过程完成之前关闭,您可以为该过程分配更多时间。7.6 及更高版本的默认值为 180 秒(7.0-7.5 版本的默认值为 90 秒)。
在计算机(或计算机目录中使用的主映像)上,设置以下注册表项:
Key: HKLM\SOFTWARE\Citrix\PortICA
Value: AutoLogonTimeout
数据类型:DWORD
指定一个十进制时间(以秒为单位),范围为 0-3600。
如果您更改了主映像,请更新目录。
注意:
此设置仅适用于具有桌面(工作站)VDA 的虚拟机;Microsoft 控制具有服务器 VDA 的计算机上的登录超时。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.