This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Rendezvous V1
Lors de l’utilisation du service Citrix Gateway, le protocole Rendezvous permet de contourner les Citrix Cloud Connector pour se connecter directement et en toute sécurité au plan de contrôle Citrix Cloud.
Exigences
- Accès à l’environnement à l’aide du service Citrix Workspace et Citrix Gateway.
- Plan de contrôle : Citrix DaaS (Citrix Cloud).
- VDA : Version 1912 ou ultérieure.
- La version 2012 est la version minimale requise pour EDT Rendezvous.
- La version 2012 est la version minimale requise pour la prise en charge du proxy non transparent (pas de prise en charge des fichiers PAC).
- La version 2103 est la version minimale requise pour la configuration du proxy avec un fichier PAC.
- Activez le protocole Rendezvous dans la stratégie Citrix. Pour plus d’informations, consultez la section Paramètre de stratégie de protocole Rendezvous.
- Les VDA doivent avoir accès à
https://*.nssvc.net
, y compris tous les sous-domaines. Si vous ne pouvez pas ajouter tous les sous-domaines à la liste d’autorisation de cette manière, utilisezhttps://*.c.nssvc.net
ethttps://*.g.nssvc.net
à la place. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Citrix DaaS) et à l’article du centre de connaissances CTX270584. - Les VDA doivent pouvoir se connecter aux adresses mentionnées précédemment sur TCP 443 et UDP 443 pour TCP Rendezvous et EDT Rendezvous, respectivement.
- Les Cloud Connector doivent obtenir les noms de domaine complets des VDA lors de la négociation d’une session. Ceci peut être fait de l’une de ces deux façons :
-
Activez la résolution DNS pour le site. Accédez à Paramètres et activez le paramètre Activer la résolution DNS. Vous pouvez aussi utiliser le SDK Remote PowerShell Citrix Virtual Apps and Desktops et exécuter la commande
Set-BrokerSite -DnsResolutionEnabled $true
. Pour plus d’informations sur le SDK Remote PowerShell Citrix Virtual Apps and Desktops, consultez SDK et API. - Zone de recherche inversée DNS avec enregistrements PTR pour les VDA. Si vous choisissez cette option, nous vous recommandons de configurer les VDA pour toujours tenter d’inscrire les enregistrements PTR. Pour ce faire, utilisez l’Éditeur de stratégie de groupe ou l’Objet de stratégie de groupe, accédez à Configuration ordinateur > Modèles d’administration > Réseau > Client DNS, puis définissez Inscrire les enregistrements PTR sur Activé et Inscrire. Si le suffixe DNS de la connexion ne correspond pas au suffixe DNS du domaine, vous devez également configurer le paramètre du suffixe DNS spécifique à la connexion afin que les machines puissent inscrire les enregistrements PTR correctement.
Remarque :
Si vous utilisez l’option de résolution DNS, les Cloud Connector doivent être en mesure de résoudre les noms de domaine complets (FQDN) des machines VDA. Dans le cas où les utilisateurs internes se connectent directement aux machines VDA, les machines clientes doivent également être en mesure de résoudre les noms de domaine des machines VDA.
Si vous utilisez une zone de recherche inversée DNS, les FQDN des enregistrements PTR doivent correspondre aux noms de domaine FQDN des machines VDA. Si l’enregistrement PTR contient un FQDN différent, la connexion Rendezvous échoue. Par exemple, si le FQDN de la machine est
vda01.domain.net
, l’enregistrement PTR doit contenirvda01.domain.net
. Un FQDN différent tel quevda01.sub.domain.net
ne fonctionne pas. -
Activez la résolution DNS pour le site. Accédez à Paramètres et activez le paramètre Activer la résolution DNS. Vous pouvez aussi utiliser le SDK Remote PowerShell Citrix Virtual Apps and Desktops et exécuter la commande
Configuration du proxy
Le VDA prend en charge les connexions Rendezvous via un proxy.
Considérations relatives au proxy
Prenez les points suivants en considération lors de l’utilisation de proxy avec Rendezvous :
- Les proxy transparents, les proxy HTTP non transparents et les proxy SOCKS5 sont pris en charge.
- Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic ICA entre le VDA et le service de passerelle ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion est interrompue.
-
Les proxies HTTP prennent en charge l’authentification basée sur une machine à l’aide de Negotiate et des protocoles d’authentification Kerberos ou NT LAN Manager (NTLM).
Lorsque vous vous connectez au serveur proxy, le schéma d’authentification par négociation sélectionne automatiquement le protocole Kerberos. Si Kerberos n’est pas pris en charge, Negotiate bascule sur NTLM pour l’authentification.
Remarque :
Pour utiliser Kerberos, vous devez créer le nom principal de service (SPN) du serveur proxy et l’associer au compte Active Directory du proxy. Le VDA génère le SPN au format
HTTP/<proxyURL>
lorsqu’il établit une session, où l’URL du proxy est extraite du paramètre de stratégie proxy Rendezvous. Si vous ne créez pas de SPN, l’authentification bascule vers NTLM. Dans les deux cas, l’identité de la machine VDA est utilisée pour l’authentification. - L’authentification avec un proxy SOCKS5 n’est actuellement pas prise en charge. Si vous utilisez un proxy SOCKS5, configurez une exception afin que le trafic destiné aux adresses du service de passerelle (spécifié dans les exigences) puisse contourner l’authentification.
- Seuls les proxies SOCKS5 prennent en charge le transport de données via EDT. Pour un proxy HTTP, utilisez TCP comme protocole de transport pour ICA.
Proxy transparent
Si vous utilisez un proxy transparent dans votre réseau, aucune configuration supplémentaire n’est requise sur le VDA.
Proxy non transparent
Si vous utilisez un proxy non transparent sur votre réseau, configurez le paramètre Configuration du proxy Rendezvous. Lorsque le paramètre est activé, spécifiez l’adresse proxy HTTP ou SOCKS5, ou entrez le chemin d’accès au fichier PAC pour que le VDA sache quel proxy utiliser. Par exemple :
- Adresse proxy :
http://<URL or IP>:<port>
ousocks5://<URL or IP>:<port>
- Fichier PAC :
http://<URL or IP>/<path>/<filename>.pac
Si vous utilisez le fichier PAC pour configurer le proxy, définissez le proxy en utilisant la syntaxe requise par le service HTTP Windows : PROXY [<scheme>=]<URL or IP>:<port>
. Par exemple, PROXY socks5=<URL or IP>:<port>
.
Validation de Rendezvous
Si vous remplissez toutes les conditions requises, procédez comme suit pour confirmer si Rendezvous est utilisé :
- Lancez PowerShell ou une invite de commandes dans la session HDX.
- Exécutez
ctxsession.exe –v
. - Les protocoles de transport utilisés indiquent le type de connexion :
- TCP Rendezvous : TCP > SSL > CGP > ICA
- EDT Rendezvous : UDP > DTLS > CGP > ICA
- Proxy via Cloud Connector : TCP > CGP > ICA
Autres considérations
Ordre de la suite de chiffrement Windows
Pour un ordre de suite de chiffrement personnalisé, assurez-vous d’inclure les suites de chiffrement prises en charge par VDA dans la liste suivante :
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Si l’ordre de la suite de chiffrement personnalisé ne contient pas ces suites de chiffrement, la connexion Rendezvous échoue.
Zscaler Private Access
Si vous utilisez Zscaler Private Access (ZPA), il est recommandé de configurer des paramètres de contournement pour Gateway Service afin d’éviter une latence accrue et son impact sur les performances. Pour ce faire, vous devez définir des segments d’application pour les adresses Gateway Service (spécifiées dans les conditions requises) et les définir de manière à toujours appliquer le contournement. Pour plus d’informations sur la configuration de segments d’application pour contourner ZPA, reportez-vous à la documentation Zscaler.
Partager
Partager
Dans cet article
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.