-
Migration von Workloads zwischen Ressourcenstandorten mit Image Portability Service
-
-
-
Rendezvous V1
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Rendezvous V1
Wenn Sie Citrix Gateway Service verwenden, ermöglicht das Rendezvous-Protokoll VDAs, die Citrix Cloud Connectors zu umgehen, um eine direkte und sichere Verbindung mit der Citrix Cloud-Steuerungsebene herzustellen.
Anforderungen
- Zugriff auf die Umgebung mit Citrix Workspace und Citrix Gateway Service.
- Steuerungsebene: Citrix DaaS (Citrix Cloud).
- VDA: Version 1912 oder höher.
- Version 2012 ist die für EDT Rendezvous erforderliche Mindestversion.
- Version 2012 ist die für die Unterstützung nicht transparenter Proxys erforderliche Mindestversion (keine Unterstützung für PAC-Dateien).
- Version 2103 als Minimum für Proxykonfiguration mit PAC-Datei erforderlich.
- Aktivieren Sie das Rendezvous-Protokoll in der Citrix Richtlinie. Weitere Informationen finden Sie unter Richtlinieneinstellung für Rendezvous-Protokoll.
- Die VDAs müssen Zugriff auf
https://*.nssvc.net
einschließlich aller Unterdomänen haben. Wenn Sie nicht alle Unterdomänen auf diese Weise auf die Positivliste setzen können, verwenden Sie stattdessenhttps://*.c.nssvc.net
undhttps://*.g.nssvc.net
. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter “Citrix DaaS”) und im Knowledge Center-Artikel CTX270584. - Die VDAs müssen über TCP 443 für TCP Rendezvous bzw. über UDP 443 für EDT Rendezvous eine Verbindung zu den zuvor genannten Adressen herstellen können.
- Cloud Connectors müssen beim Brokering einer Sitzung die FQDNs der VDAs abrufen. Sie erreichen dies auf einer der folgenden beiden Arten:
-
Aktivieren Sie die DNS-Auflösung für die Site. Navigieren Sie zu Einstellungen und aktivieren Sie die Einstellung DNS-Auflösung aktivieren. Verwenden Sie alternativ das Citrix Virtual Apps and Desktops Remote PowerShell SDK und führen Sie den Befehl
Set-BrokerSite -DnsResolutionEnabled $true
aus. Weitere Informationen zum Citrix Virtual Apps and Desktops Remote PowerShell SDK finden Sie unter SDKs und APIs. - DNS-Reverse-Lookupzone mit PTR-Einträgen für VDAs. Wenn Sie diese Option wählen, empfehlen wir, VDAs so zu konfigurieren, dass immer versucht wird, PTR-Einträge zu registrieren. Navigieren Sie dazu mit dem Gruppenrichtlinieneditor oder Gruppenrichtlinienobjekt zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > DNS-Client und legen Sie PTR-Einträge registrieren auf Aktiviert und Registrieren fest. Wenn das DNS-Suffix der Verbindung nicht mit dem DNS-Suffix der Domäne übereinstimmt, müssen Sie auch die Einstellung Verbindungsspezifisches DNS-Suffix konfigurieren, damit die Maschinen PTR-Einträge erfolgreich registrieren.
Hinweis:
Wenn Sie die DNS-Auflösung verwenden, müssen die Cloud Connectors die vollqualifizierten Domänennamen (FQDNs) der VDA-Maschinen auflösen können. Wenn interne Benutzer eine direkte Verbindung mit VDA-Maschinen herstellen, müssen die Clientgeräte ebenfalls die FQDNs der VDA-Maschinen auflösen können.
Wenn Sie eine DNS-Reverse-Lookupzone verwenden, müssen die FQDNs in den PTR-Einträgen mit den FQDNs der VDA-Maschinen übereinstimmen. Enthält ein PTR-Eintrag einen anderen FQDN, schlägt die Rendezvous-Verbindung fehl. Ist beispielsweise der FQDN der Maschine
vda01.domain.net
, muss der PTR-Eintragvda01.domain.net
enthalten. Ein anderer FQDN, etwavda01.sub.domain.net
, funktioniert nicht. -
Aktivieren Sie die DNS-Auflösung für die Site. Navigieren Sie zu Einstellungen und aktivieren Sie die Einstellung DNS-Auflösung aktivieren. Verwenden Sie alternativ das Citrix Virtual Apps and Desktops Remote PowerShell SDK und führen Sie den Befehl
Proxykonfiguration
Der VDA unterstützt den Aufbau von Rendezvous-Verbindungen über einen Proxy.
Überlegungen zum Proxy
Berücksichtigen Sie Folgendes, wenn Sie Proxys mit Rendezvous verwenden:
- Transparente Proxys, nicht transparente HTTP-Proxys und SOCKS5-Proxys werden unterstützt.
- Die Entschlüsselung und Inspektion von Paketen wird nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der ICA-Datenverkehr zwischen dem VDA und Gateway Service nicht abgefangen, entschlüsselt oder überprüft wird. Ansonsten bricht die Verbindung ab.
-
HTTP-Proxys unterstützen die maschinenbasierte Authentifizierung mithilfe von Aushandlung und Kerberos- oder NTLM-Authentifizierungsprotokoll.
Wenn Sie eine Verbindung mit dem Proxyserver herstellen, wählt das Aushandlungsauthentifizierungsschema automatisch das Kerberos-Protokoll aus. Wenn Kerberos nicht unterstützt wird, wählt das Aushandlungsschema die NTLM-Authentifizierung als Fallback.
Hinweis:
Um Kerberos zu verwenden, müssen Sie den Dienstprinzipalnamen (SPN) für den Proxyserver erstellen und ihn mit dem Active Directory-Konto des Proxys verknüpfen. Der VDA generiert den Dienstprinzipalnamen (SPN) im Format
HTTP/<proxyURL>
beim Einrichten einer Sitzung, wobei die Proxy-URL aus der Richtlinieneinstellung Rendezvousproxy abgerufen wird. Wenn Sie keinen Dienstprinzipalnamen (SPN) erstellen, wird für die NTLM-Authentifizierung verwendet. In beiden Fällen wird die Identität der VDA-Maschine zur Authentifizierung verwendet. - Die Authentifizierung mit einem SOCKS5-Proxy wird derzeit nicht unterstützt. Bei Verwendung eines SOCKS5-Proxy müssen Sie eine Ausnahme konfigurieren, damit Datenverkehr an die in den Anforderungen angegebenen Gateway Service-Adressen die Authentifizierung umgehen kann.
- Nur SOCKS5-Proxys unterstützen den Datentransport über EDT. Verwenden Sie für einen HTTP-Proxy TCP als Transportprotokoll für ICA.
Transparenter Proxy
Wenn Sie einen transparenten Proxy in Ihrem Netzwerk verwenden, ist auf dem VDA keine zusätzliche Konfiguration erforderlich.
Nicht transparenter Proxy
Wenn Sie einen nicht transparenten Proxy in Ihrem Netzwerk verwenden, konfigurieren Sie die Einstellung Rendezvousproxykonfiguration. Wenn die Einstellung aktiviert ist, geben Sie die HTTP- oder SOCKS5-Proxyadresse oder den Pfad zur PAC-Datei an, um festzulegen, welchen Proxy vom VDA verwendet wird. Beispiel:
- Proxyadresse:
http://<URL or IP>:<port>
odersocks5://<URL or IP>:<port>
- PAC-Datei:
http://<URL or IP>/<path>/<filename>.pac
Wenn Sie die PAC-Datei zum Konfigurieren des Proxys verwenden, definieren Sie den Proxy mit der Syntax, die vom Windows-HTTP-Dienst benötigt wird: PROXY [<scheme>=]<URL or IP>:<port>
. Beispiel: PROXY socks5=<URL or IP>:<port>
.
Rendezvous-Validierung
Wenn alle Anforderungen erfüllt sind, überprüfen Sie folgendermaßen, ob Rendezvous verwendet wird:
- Starten Sie PowerShell oder eine Eingabeaufforderung innerhalb der HDX-Sitzung.
- Führen Sie
ctxsession.exe –v
aus. - Die verwendeten Transportprotokolle geben die Art der Verbindung an:
- TCP-Rendezvous: TCP - SSL - CGP - ICA
- EDT-Rendezvous: UDP > DTLS > CGP > ICA
- Proxy über Cloud Connector: TCP - CGP - ICA
Andere Überlegungen
Reihenfolge für Windows-Verschlüsselungssammlung
Stellen Sie für eine benutzerdefinierte Verschlüsselungssammlungsreihenfolge sicher, dass Sie die von der VDA unterstützten Verschlüsselungssammlungen aus der folgenden Liste einschließen:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Wenn die benutzerdefinierte Verschlüsselungssammlungsreihenfolge diese Verschlüsselungssammlungen nicht enthält, schlägt die Rendezvous-Verbindung fehl.
Zscaler Private Access
Wenn Sie Zscaler Private Access (ZPA) verwenden, wird empfohlen, Umgehungseinstellungen für den Gateway Service zu konfigurieren, um eine erhöhte Latenz und Leistungsminderungen zu vermeiden. Dazu müssen Sie Anwendungssegmente für die Gateway Service-Adressen definieren (in den Anforderungen angegeben) und sie auf “immer umgehen” einstellen. Weitere Informationen zum Konfigurieren von Anwendungssegmenten zur Umgehung von ZPA finden Sie in der Zscaler-Dokumentation.
Teilen
Teilen
In diesem Artikel
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.