fbpx

Citrix Remote PC技術深度解析.

本文來自Citrix的TechZone,裡面包含了很多架構設計文章。
https://docs.citrix.com/en-us/tech-zone/ 感謝GTI的葉昊
以下文章來源於GTI-葉昊

Remote PC 存取是一種允許使用者存取其位於辦公室的實體Windows PC的簡便有效的方法。使用任何端點設備,使用者無論身在何處都可以保持生產力。但是,企業組織在實施Remote PC 存取時要考慮以下事項。

部署方案

有多種方法可以將PC連接到使用者,每種方法都適用於不同的情況。

上班族

在許多部署中,Remote PC 存取部署在辦公室工作人員場景中,其中一個使用者永久分配給一台PC。

這是最常見的部署方案。要實現此案例,管理員可以使用Remote PC Access電腦目錄類型。

實驗室

在某些情況下,使用者需要共用一組計算資源,通常在學校,學院和大學的計算實驗室中可以找到這些資源。使用者被隨機分配到可用的實體PC。

這種類型的配置使用非託管,隨機分配的單Session作業系統,其配置如下:

在電腦目錄設置嚮導中,使用單Session作業系統
選擇不受電源管理的電腦
選擇其他服務或技術
選擇我希望使用者每次登錄時都連接到新的(隨機)桌面。

由於計算實驗室中的使用者通常比PC多,因此建議使用限制Session時間的策略。

認證方式

使用者繼續使用其Active Directory憑據向其位於辦公室的PC進行身份驗證。但是,由於他們是從辦公室外部通過Internet存取的,因此企業組織通常需要比使用者名和密碼更強的身份驗證級別。
Citrix Workspace支援選擇不同的身份驗證選項,包括Active Directory +Token和Azure Active Directory。當前支援的身份驗證選項
如果將Citrix Gateway配置為Citrix Workspace的身份驗證選項,或者客戶選擇使用Citrix Gateway + Citrix StoreFront作為Citrix Workspace的替代方案,則可以選擇更多的Citrix Gateway身份驗證選項。
其中一些選項(例如OTP)要求使用者最初註冊新Token。由於Token註冊要求使用者存取其電子郵件以驗證其身份,因此在使用者嘗試遠端工作之前,可能需要完成電子郵件註冊。

Session安全

使用者可以使用不受信任的個人設備遠端存取其工作PC。企業組織可以使用內建的Citrix Virtual Apps and Desktops策略來防止:

  • 端點風險:秘密安裝在端點設備上的鍵盤側錄可以輕鬆捕獲使用者名和密碼。鍵盤側錄功能通過模糊按鍵來保護企業組織免遭憑證被盜。
  • 入站風險:不可信的端點可能包含惡意軟體,間諜軟體和其他危險內容。拒絕存取端點設備的CPU可防止將危險內容傳輸到公司網路。
  • 出站風險:企業組織必須保持對內容的控制。允許使用者將內容複製到本地,不受信任的端點設備會給企業組織帶來額外的風險。通過阻止存取端點的CPU,印表機,剪貼簿和反螢幕截圖策略,可以拒絕這些功能。

基礎架構規模

注意:以下大小建議是一個很好的起點,但是每種環境都是唯一的,因此會產生獨特的結果。適當監視基礎結構和大小。 當使用者存取現有的辦公室PC時,只需很少的額外基礎結構即可支援添加“Remote PC 存取”,但是,控制層和存取層基礎結構的大小和正確監控以確保它們不會成為瓶頸非常重要。

控制層

每台Office PC上的Virtual Delivery Agent(VDA)必須在Citrix Virtual Apps and Desktops中註冊。對於本地部署,VDA註冊直接通過交付控制器進行,對於Citrix Cloud中的Citrix Virtual Apps&Desktops Service,此註冊通過Citrix Cloud Connector進行。 用於Remote PC 存取工作負載的交付控制器或雲連接器的大小與VDI工作負載相似。Citrix Consulting建議至少提供N + 1個可用性。可在此處獲得有關Cloud Connector擴展的指南,包括可能需要本地主機緩存的條件

  • 雲連接器的規模和大小注意事項
  • 本地主機緩存的規模和大小注意事項

存取層

當使用者與他們的辦公室PC建立HDX Session時,需要將ICA通信代理到VDA。可以通過Citrix Gateway設備或Citrix Gateway服務提供ICA代理。

將本地Citrix ADC用於Citrix Gateway時,請參考特定型號的資料表,並以SSL VPN / ICA代理併發使用者行專案為起點。如果ADC正在處理其他工作負載,請驗證當前的輸送量和CPU使用率未達到任何上限。

確保閘道設備所處的位置具有足夠的可用Internet頻寬,以支持預期的併發ICA Session。

使用Citrix Cloud的閘道服務時,ICA流量在資源位置(VDA和雲連接器所在的位置)之間直接流向閘道服務。如果可以滿足使用集合點協定的條件,流量要麼由雲連接器代理(預設),要麼可以直接從VDA流出,繞過雲連接器。
當使用雲連接器將ICA通信代理到閘道服務時,這可能是一個瓶頸,建議仔細監控雲連接器VM上的CPU和記憶體。對於初步規劃估計,一個4 vCPU Citrix Cloud Connector VM最多可以處理1000個併發ICA代理Session。借助Rendezvous協定(已配置),可以使每台實體PC上安裝的Virtual Delivery Agent與閘道服務直接通信,而不是通過Cloud Connector隧道傳輸Session。 使用閘道服務時,Citrix建議使用集合協定來緩解雲連接器成為ICA代理瓶頸的問題。

允許集合協定起作用的某些先決條件包括:

  • Citrix虛擬應用程式和桌面服務
  • VDA版本1912或更高
  • 啟用的HDX策略
  • 所有VDA的DNS PTR記錄
  • 特定的SSL密碼套件訂單
  • 從VDA到閘道服務的直接(非代理)Internet連接

可用性

如果未在註冊VDA的情況下打開辦公室PC的電源,則無法代理使用者的Session。Citrix建議採用適當的流程以確保使用者需要連接的電腦已開機。

如果可用,請修改PC的BIOS設置,以在電源故障時自動開機。管理員還可以配置Active Directory群組原則物件,以從Windows PC中刪除“關閉”選項。這有助於防止使用者關閉實體PC的電源。

Remote PC 存取還支援局域網喚醒操作,以啟用當前已關閉電源的Windows PC的電源。此選項要求使用Microsoft系統中心配置管理器2012、2012 R2或2016。注意:在Citrix Cloud中使用Citrix Virtual Apps and Desktops Service時,Microsoft Configuration Manager局域網喚醒託管連接功能不可用

使用者分配

每個使用者都必須代理到自己的辦公室PC,這一點很重要。安裝VDA並定義目錄和交付組後,當使用者下次本地登錄到PC時會自動為其分配許可權。這是分配數千個使用者的有效方法。
預設情況下,如果多個使用者都已登錄到同一台實體PC,則可以將它們分配到一個桌面,但是可以通過在“傳遞控制器”上進行註冊表編輯來禁用此功能。
Citrix Virtual Apps and Desktops管理員可以根據需要在Citrix Studio中或通過PowerShell修改分配。為了開始使用PowerShell將Remote PC Access VDA添加到網站並分配使用者,Citrix Consulting生成了一個參考腳本,該腳本可以在Citrix GitHub頁面上找到。

虛擬交付代理

本節回顧了處理Virtual Delivery Agent套裝軟體的主要注意事項。

版本

Citrix Virtual Apps and Desktops管理員可以使用帶有/ Remote PC標誌的VDAWorkstationCoreSetup.exe套裝程式或VDAWorkstationSetup.exe套裝程式。VDAWorkstationCoreSetup.exe套裝程式較小,僅包含Remote PC 存取所需的核心組件,但值得注意的是,在1912版及更早版本中,不包含內容重定向所需的元件(有關更多指南,請參閱Microsoft團隊部分)。

Windows 7和8.1

儘管不再支援Windows 7,但許多企業組織仍然擁有舊版Windows 7桌上型電腦。為了在Windows 7和Windows 8.1上進行部署,客戶應使用Virtual Desktop 7.15 LTSR VDA。

Windows 10

為了在Windows 10上進行部署,客戶應使用Citrix Virtual Apps and Desktops 1912 LTSR VDA或受支援的Current Release VDA。可以在CTX224843中找到針對Windows 10構建的Citrix版本相容性。

有用的命令列選項

部署可以啟用有用功能的Remote PC  Access時,要考慮幾個VDA安裝程式命令列選項。

/遠端PC

與完整的VDA套裝軟體VDAWorkstationSetup.exe一起使用,僅安裝Remote PC 存取所需的核心組件。

/ enable_hdx_ports

如果檢測到Windows防火牆服務(即使未啟用防火牆),則在Cloud Connector和啟用的功能(Windows遠端協助除外)所需的Windows防火牆中打開埠。

/ enable_hdx_udp_ports

即使檢測到Windows防火牆服務,即使未啟用防火牆,也會在Windows防火牆中打開HDX自我調整傳輸所需的UDP埠。
要打開VDA用於與Controller和已啟用功能進行通信的埠,除了/ enable_hdx_udp_ports選項之外,還要指定/ enable_hdx_ports選項。

/ enable_real_time_transport

啟用或禁用UDP用於音訊資料包(用於音訊的即時音訊廣播)。啟用此功能可以提高音訊性能。
要打開VDA與控制器和已啟用功能進行通信的埠,除了/ enable_real_time_transport選項外,還要指定/ enable_hdx_ports選項。

/ include附加的“ Citrix User Profile Manager”,“ Citrix User Profile Manager WMI外掛程式”

在Remote PC Access部署中,大多數實現不需要設定檔管理。但是,Citrix User Profile Manager也可以捕獲性能指標,這對於管理員識別和修復與性能相關的問題很有用。使用者設定檔管理器不必配置,只需部署它即可獲得指標。 安裝後,Citrix User Profile Manager允許管理員運行有關使用者體驗,Session回應性以及Citrix Director和Citrix Analytics for Performance中對登錄性能的見解的報告。

/ logpath路徑

日誌檔位置。指定的資料夾必須存在,因為安裝程式不會創建該資料夾。預設路徑是“%TEMP%\ Citrix \ XenDesktop安裝程式”,但是如果通過SCCM進行安裝,則根據上下文,日誌檔可能位於系統temp資料夾中。

/優化

不要使用此標誌,因為它主要用於MCS部署的電腦。

部署方式

要將Virtual Delivery Agent部署到數千台實體PC,需要自動化的過程。

通過腳本

Citrix Virtual Apps and Desktops的安裝介質包括%InstallMedia%\Support\ADDeploy\InstallVDA.bat可通過Active Directory群組原則物件使用的部署腳本()。
該腳本可用作PowerShell腳本和企業軟體部署(ESD)工具的基準。這些方法使企業組織可以將代理快速部署到數千個實體端點。

通過SCCM

如果要使用諸如SCCM或Altiris之類的ESD工具自動執行VDA安裝,請為先決條件創建單獨的套裝程式,而VDA往往效果最佳。您可以在產品文檔中找到有關使用ESD工具部署VDA的更多資訊。

微軟團隊

如果使用者存取Microsoft Teams進行語音和視頻通話,則需要內容重定向功能才能創建良好的使用者體驗。
為了在使用VDA 1912或更早版本時可以進行內容重定向,要求使用VDAWorkstationSetup.exe/remotepc命令列選項的單Session完整VDA安裝程式(獨立)在實體PC上部署VDA 。
例如: VDAWorkstationSetup.exe /quiet /remotepc /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot
如果部署VDA 2003或更高版本,則可以改為使用單Session核心VDA安裝程式(獨立VDAWorkstationCoreSetup.exe)。
例如: VDAWorkstationCoreSetup.exe /quiet /controllers “control.domain.com” /enable_hdx_ports /noresume /noreboot

通用網路埠

與任何其他Citrix VDA相似,有一些關鍵網路埠需要注意以確保系統正常運行。提醒一下,ICA通信需要從託管外部Citrix閘道的Citrix ADC到達“Remote PC 存取”。有關埠的完整列表,請參見CTX101810。

VDA註冊

根據網路拓撲的不同,包含虛擬應用程式和桌上型電腦交付控制器的子網可能不允許與實體PC進行通信。要在交付控制器上正確註冊,PC上的VDA必須能夠使用以下協議在兩個方向上與交付控制器進行通信:
如果VDA無法在控制器上註冊,請查看VDA註冊文章。如果您使用的是Citrix Cloud,則雲連接器將代替Delivery Controller。

進一步指導

更多的設計指南,包括注意事項和故障排除步驟,可以在Remote PC Access產品文檔中找到。

發表迴響

Powered by WordPress.com.

Up ↑

%d 位部落客按了讚: