Rendezvous-Protokoll
In Umgebungen, die den Citrix Gateway-Dienst verwenden, ermöglicht das Rendezvous-Protokoll HDX-Sitzungen, den Citrix Cloud Connector™ zu umgehen und sich direkt und sicher mit dem Citrix Gateway-Dienst zu verbinden.
-
Anforderungen
- Zugriff auf die Umgebung über Citrix Workspace™ und den Citrix Gateway-Dienst.
- Steuerungsebene: Citrix Virtual Apps and Desktops™ Service (Citrix Cloud).
- Linux VDA Version 2112 oder höher.
- Aktivieren Sie das Rendezvous-Protokoll in der Citrix-Richtlinie. Weitere Informationen finden Sie unter Rendezvous-Protokoll-Richtlinieneinstellung.
- Die VDAs müssen Zugriff auf
https://*.nssvc.nethaben, einschließlich aller Subdomains. Wenn Sie nicht alle Subdomains auf diese Weise auf die Whitelist setzen können, verwenden Sie stattdessenhttps://*.c.nssvc.netundhttps://*.g.nssvc.net. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter Virtual Apps and Desktop Service) und im Knowledge Center-Artikel CTX270584. -
Cloud Connectors müssen die FQDNs der VDAs beim Brokern einer Sitzung abrufen. Um dieses Ziel zu erreichen, aktivieren Sie die DNS-Auflösung für die Site: Führen Sie mit dem Citrix Virtual Apps and Desktops Remote PowerShell SDK den Befehl
Set-BrokerSite -DnsResolutionEnabled $trueaus. Weitere Informationen zum Citrix Virtual Apps and Desktops Remote PowerShell SDK finden Sie unter SDKs und APIs. -
Proxykonfiguration
- Der VDA unterstützt den Aufbau von Rendezvous-Verbindungen über einen HTTP-Proxy.
Überlegungen zum Proxy
-
Berücksichtigen Sie bei der Verwendung von Proxys mit Rendezvous Folgendes:
-
Nicht-transparente HTTP-Proxys werden unterstützt.
-
Paketentschlüsselung und -inspektion werden nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der ICA®-Datenverkehr zwischen dem VDA und dem Gateway-Dienst nicht abgefangen, entschlüsselt oder inspiziert wird. Andernfalls bricht die Verbindung ab.
-
HTTP-Proxys unterstützen die maschinenbasierte Authentifizierung mithilfe der Authentifizierungsprotokolle Negotiate und Kerberos. Wenn Sie sich mit dem Proxy-Server verbinden, wählt das Negotiate-Authentifizierungsschema automatisch das Kerberos-Protokoll aus. Kerberos ist das einzige Schema, das der Linux VDA unterstützt.
Hinweis:
-
-
Um Kerberos zu verwenden, müssen Sie den Dienstprinzipalnamen (SPN) für den Proxy-Server erstellen und ihn dem Active Directory-Konto des Proxys zuordnen. Der VDA generiert den SPN im Format
HTTP/<proxyURL>beim Aufbau einer Sitzung, wobei die Proxy-URL aus der Richtlinieneinstellung Rendezvous-Proxy abgerufen wird. Wenn Sie keinen SPN erstellen, schlägt die Authentifizierung fehl.
-
-
Verwenden Sie für einen HTTP-Proxy TCP als Transportprotokoll für ICA.
Nicht-transparenter Proxy
Wenn Sie einen nicht-transparenten Proxy in Ihrem Netzwerk verwenden, konfigurieren Sie die Einstellung Rendezvous-Proxy-Konfiguration. Wenn die Einstellung aktiviert ist, geben Sie die HTTP-Proxy-Adresse an, damit der VDA weiß, welchen Proxy er verwenden soll. Zum Beispiel:
- Proxy-Adresse:
http://<URL oder IP>:<Port>
Rendezvous-Validierung
Wenn Sie alle Anforderungen erfüllen, führen Sie die folgenden Schritte aus, um zu überprüfen, ob Rendezvous verwendet wird:
- Starten Sie ein Terminal auf dem VDA.
- Führen Sie
su root -c "/opt/Citrix/VDA/bin/ctxquery -f iuStdP"aus. - Die TRANSPORT PROTOCOLS zeigen den Verbindungstyp an:
- TCP Rendezvous: TCP - SSL - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- Proxy über Cloud Connector: TCP - CGP - ICA
Tipp:
Wenn Sie Rendezvous aktivieren und der VDA den Citrix Gateway-Dienst nicht direkt erreichen kann, greift der VDA auf die Proxy-Verbindung der HDX™-Sitzung über den Cloud Connector zurück.
Funktionsweise von Rendezvous
Dieses Diagramm bietet einen Überblick über den Rendezvous-Verbindungsfluss.
Befolgen Sie die Schritte, um den Ablauf zu verstehen.
- Navigieren Sie zu Citrix Workspace.
- Geben Sie die Anmeldeinformationen in Citrix Workspace ein.
- Bei Verwendung von lokalem Active Directory authentifiziert der Citrix Virtual Apps™ and Desktops-Dienst die Anmeldeinformationen mit Active Directory über den Cloud Connector-Kanal.
- Citrix Workspace zeigt die aufgelisteten Ressourcen des Citrix Virtual Apps and Desktops-Dienstes an.
- Wählen Sie Ressourcen aus Citrix Workspace aus. Der Citrix Virtual Apps and Desktops-Dienst sendet eine Nachricht an den VDA, um sich auf eine eingehende Sitzung vorzubereiten.
- Citrix Workspace sendet eine ICA-Datei an den Endpunkt, die ein von Citrix Cloud generiertes STA-Ticket enthält.
- Der Endpunkt verbindet sich mit dem Citrix Gateway-Dienst, stellt das Ticket zur Verbindung mit dem VDA bereit, und Citrix Cloud validiert das Ticket.
- Der Citrix Gateway-Dienst sendet Verbindungsinformationen an den Cloud Connector. Der Cloud Connector ermittelt, ob die Verbindung eine Rendezvous-Verbindung sein soll, und sendet die Informationen an den VDA.
- Der VDA stellt eine direkte Verbindung zum Citrix Gateway-Dienst her.
- Wenn eine direkte Verbindung zwischen dem VDA und dem Citrix Gateway-Dienst nicht möglich ist, leitet der VDA seine Verbindung über den Cloud Connector weiter.
- Der Citrix Gateway-Dienst stellt eine Verbindung zwischen dem Endgerät und dem VDA her.
- Der VDA überprüft seine Lizenz mit dem Citrix Virtual Apps and Desktops-Dienst über den Cloud Connector.
- Der Citrix Virtual Apps and Desktops-Dienst sendet Sitzungsrichtlinien über den Cloud Connector an den VDA. Diese Richtlinien werden angewendet.