Linux Virtual Delivery Agent

Rendezvous V1

In Umgebungen, in denen Citrix Gateway Service verwendet wird, können HDX-Sitzungen mithilfe des Rendezvous-Protokolls den Citrix Cloud Connector umgehen und eine direkte und sichere Verbindung mit der Citrix Cloud-Steuerungsebene herstellen.

Anforderungen

  • Zugriff auf die Umgebung mit Citrix Workspace und Citrix Gateway Service.
  • Steuerungsebene: Citrix DaaS (früher Citrix Virtual Apps and Desktops Service).
  • Linux VDA Version 2112 oder höher.
  • Aktivieren Sie das Rendezvous-Protokoll in der Citrix Richtlinie. Weitere Informationen finden Sie unter Richtlinieneinstellung für Rendezvous-Protokoll.
  • Die VDAs müssen Zugriff auf https://*.nssvc.net einschließlich aller Unterdomänen haben. Wenn Sie nicht alle Unterdomänen auf diese Weise auf die Positivliste setzen können, verwenden Sie stattdessen https://*.c.nssvc.net und https://*.g.nssvc.net. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter “Virtual Apps and Desktops Service”) und im Knowledge Center-Artikel CTX270584.
  • Cloud Connectors müssen beim Brokering einer Sitzung die FQDNs der VDAs abrufen. Um dieses Ziel zu erreichen, aktivieren Sie die DNS-Auflösung für die Site: Führen Sie mit dem Remote PowerShell SDK von Citrix DaaS den Befehl Set-BrokerSite -DnsResolutionEnabled $true aus. Weitere Informationen zum Remote PowerShell SDK von Citrix DaaS finden Sie unter SDKs und APIs.

Proxykonfiguration

Der VDA unterstützt den Aufbau von Rendezvous-Verbindungen über einen HTTP-Proxy.

Überlegungen zum Proxy

Berücksichtigen Sie Folgendes, wenn Sie Proxys mit Rendezvous verwenden:

  • Nicht transparente HTTP-Proxys werden unterstützt.

  • Die Entschlüsselung und Inspektion von Paketen wird nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der ICA-Datenverkehr zwischen dem VDA und Gateway Service nicht abgefangen, entschlüsselt oder überprüft wird. Ansonsten bricht die Verbindung ab.

  • HTTP-Proxys unterstützen die maschinenbasierte Authentifizierung über Aushandlungs- und Kerberos-Authentifizierungsprotokolle. Wenn Sie eine Verbindung mit dem Proxyserver herstellen, wählt das Aushandlungsauthentifizierungsschema automatisch das Kerberos-Protokoll aus. Kerberos ist das einzige Schema, das vom Linux VDA unterstützt wird.

    Hinweis:

    Um Kerberos zu verwenden, müssen Sie den Dienstprinzipalnamen (SPN) für den Proxyserver erstellen und ihn mit dem Active Directory-Konto des Proxys verknüpfen. Der VDA generiert den Dienstprinzipalnamen (SPN) im Format HTTP/<proxyURL> beim Einrichten einer Sitzung, wobei die Proxy-URL aus der Richtlinieneinstellung Rendezvousproxy abgerufen wird. Wenn Sie keinen Dienstprinzipalnamen erstellen, schlägt die Authentifizierung fehl.

  • Verwenden Sie für einen HTTP-Proxy TCP als Transportprotokoll für ICA.

Nicht transparenter Proxy

Wenn Sie einen nicht transparenten Proxy in Ihrem Netzwerk verwenden, konfigurieren Sie die Einstellung Rendezvousproxykonfiguration. Wenn die Einstellung aktiviert ist, geben Sie die HTTP-Proxyadresse an, damit der VDA weiß, welchen Proxy er verwenden soll. Beispiel:

  • Proxyadresse: http://<URL or IP>:<port>

Rendezvous-Validierung

Wenn alle Anforderungen erfüllt sind, überprüfen Sie folgendermaßen, ob Rendezvous verwendet wird:

  1. Starten Sie ein Terminal auf dem VDA.
  2. Führen Sie /opt/Citrix/VDA/bin/ctxquery -f iP aus.
  3. Die verwendeten TRANSPORTPROTOKOLLE geben die Art der Verbindung an:
    • TCP-Rendezvous: TCP - TLS - CGP - ICA
    • EDT-Rendezvous: UDP - DTLS - CGP - ICA
    • Proxy über Cloud Connector: TCP - CGP - ICA

Tipp:

Wenn der VDA bei aktiviertem Rendezvous den Citrix Gateway Service nicht direkt erreichen kann, greift der VDA auf eine Proxyumleitung der HDX-Sitzung über den Cloud Connector zurück.

Funktionsweise von Rendezvous

Diese Abbildung bietet eine Übersicht über den Rendezvous-Verbindungsfluss.

Übersicht über das Rendezvous-Protokoll

Folgen Sie den Schritten, um den Fluss zu verstehen.

  1. Navigieren Sie zu Citrix Workspace.
  2. Geben Sie die Anmeldeinformationen in Citrix Workspace ein.
  3. Wenn Sie Active Directory on-premises verwenden, authentifiziert Citrix DaaS die Anmeldeinformationen mit Active Directory über den Cloud Connector-Kanal.
  4. Citrix Workspace zeigt enumerierte Ressourcen aus Citrix DaaS an.
  5. Wählen Sie Ressourcen aus Citrix Workspace aus. Citrix DaaS sendet eine Nachricht an den VDA zur Vorbereitung auf eine eingehende Sitzung.
  6. Citrix Workspace sendet eine ICA-Datei an den Endpunkt, der ein von Citrix Cloud generiertes STA-Ticket enthält.
  7. Der Endpunkt stellt eine Verbindung mit Citrix Gateway Service her und stellt das Ticket zur Verbindung mit dem VDA bereit. Citrix Cloud validiert das Ticket.
  8. Citrix Gateway Service sendet Verbindungsinformationen an den Cloud Connector. Der Cloud Connector bestimmt, ob die Verbindung eine Rendezvous-Verbindung ist, und sendet die Informationen an den VDA.
  9. Der VDA stellt eine direkte Verbindung zu Citrix Gateway Service her.
  10. Wenn eine direkte Verbindung zwischen VDA und Citrix Gateway Service nicht möglich ist, erstellt der VDA eine Proxyverbindung über den Cloud Connector.
  11. Citrix Gateway Service stellt eine Verbindung zwischen Endpunktgerät und VDA her.
  12. Der VDA überprüft seine Lizenz mit Citrix DaaS über den Cloud Connector.
  13. Citrix DaaS sendet Sitzungsrichtlinien über den Cloud Connector an den VDA. Diese Richtlinien werden angewendet.
Rendezvous V1