Tokenbasierte Registrierung des Citrix VDA

und wie man die Microsoft AVD Welt mit Citrix DaaS kombinieren kann …

Citrix hat in den vergangenen Monaten einiges investiert um die virtuellen Desktop Agents (VDA’S) von Windows Domains unabhängig zu machen. Dies war auch gerade für Linux und Mac’s wichtig, und es war auch bereits seit einiger Zeit möglich in Azure mittels Citrix Tools Non-Domain-joined VDIs mit Citrix Boardmittel zu provisionieren. Neu in der Version 2407, erstmals als TechPreview, ist das sich auch Windows Maschinen die man selbst über andere Wege provisioniert via einem Token und ohne Domain, ohne Delivery Controller oder Cloud Connector eingebunden werden können.

Bei der Installation des VDA’s kann anstelle eines DDC, direkt das Token angegeben werden:

(Wichtig, es muss direkt das Token, uns nicht der Pfad zum Tokenfile angegeben werden)
Anleitung bei Citrix: https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/install-configure/install-vdas.html#step-7-delivery-controller-addresses

Es ist so dass dieses Token in der Citrix DaaS Console auf dem entsprechenden Maschinen Katalog, wo der VDA eingebunden werden soll mittels rechtsklick generiert werden muss:

Es können mit einem Token bis 100 VDAs deployed werden, das Tokem ist maximal 14 Tage gültig.
Provisioning Method beim Maschinenkatalog muss auf „manuell“ stehen.

Die Installationssteps sind da ebenfalls in den „Review the enrollment steps beschrieben“

Ich habe diese neue Funktion genutzt um per Pipeline erstellte Azure AVD VMs in Citrix einzubinden, welche ich bisher über AVD genutzt habe. Somit habe ich nun eigentlich eine VDI die ich klassisch über Microsoft brokern und verbinden kann, jedoch zusätzlich auch über Citrix. Man könnte sich an dieser Stelle fragen, warum jemand die Citrix-Broker-Infrastruktur nutzen möchte, aber nicht die Citrix-Provisionierungsmethode für Azure (MCS) verwendet. Dafür kann es verschiedene Gründe geben, möglicherweise weil jemand eine automatisierte IaaS-Pipeline mit Bicep verwenden möchte, um die Kontrolle über die Bereitstellung und den Aufbau der Infrastruktur zu behalten, oder weil es andere Gründe gibt, die verhindern, dass Citrix-Techniken zur Erstellung von VMs genutzt werden. Ich möchte hier nicht mehr ins Detail gehen, sehe aber eine Möglichkeit, die Dinge anders zu machen, mehr Kontrolle zu gewinnen und trotzdem die Vorteile der Citrix-Technologien im Brokering und des ICA-Protokolls zu nutzen.

Da meine Maschinen nur im Azure-AD drin sind, ist es wichtig dass ich die Delivery Gruppe so konfiguriert habe, dass diese den LogonType auf AzureAD stehen hat. Dies habe ich mit dem Command
Set-BrokerDesktopGroup <DeliveryGroupName> -MachineLogonType AzureAD
bewerkstelligt.

Weiter ist zu beachten, dass wenn ich auf die Maschine weiterhin auch ohne Citrix zugreiffen will, dass ich meinen Benutzer in die Gruppe Direct Connection Access aufnehme, ansonsten kriege ich beim Verbinden ohne Citrix folgende Meldung:

Dies sind meine ersten Berührungen mit dem neuen tokenbasierten Rollout des VDAs. Natürlich müssen diese Steps für eine Business Umgebung mit dem Token lösen und einsetzen automatisiert sein, was in meinem Hands-On experiment alles von Hand auf der grafischen Oberfläche gemacht wurde.