Citrix DaaS

Rendezvous V1

Quando si utilizza Citrix Gateway Service, il protocollo Rendezvous consente ai VDA di bypassare i Citrix Cloud Connector per connettersi direttamente e in modo sicuro con il piano di controllo Citrix Cloud.

Requisiti

  • Accesso all’ambiente utilizzando il servizio Citrix Workspace e Citrix Gateway.
  • Piano di controllo: Citrix DaaS (Citrix Cloud).
  • VDA: versione 1912 o successiva.
    • La versione 2012 è il minimo richiesto per EDT Rendezvous.
    • La versione 2012 è il minimo richiesto per il supporto proxy non trasparente (nessun supporto per i file PAC).
    • La versione 2103 è il minimo richiesto per la configurazione del proxy con un file PAC.
  • Abilitare il protocollo Rendezvous nella politica Citrix. Per ulteriori informazioni, vedere Rendezvous protocol policy setting.
  • I VDA devono avere accesso a https://*.nssvc.net, compresi tutti i sottodomini. Se non è possibile aggiungere tutti i sottodomini all’elenco consentiti in questo modo, utilizzare invece https://*.c.nssvc.net e https://*.g.nssvc.net. Per ulteriori informazioni, vedere la sezione Internet Connectivity Requirements della documentazione di Citrix Cloud (all’interno di Citrix DaaS) e l’articolo del Knowledge Center CTX270584.
  • I VDA devono essere in grado di connettersi agli indirizzi menzionati in precedenza su TCP 443 e UDP 443 rispettivamente per TCP Rendezvous ed EDT Rendezvous.
  • I Cloud Connector devono ottenere i nomi di dominio completi dei VDA durante l’intermediazione di una sessione. Eseguire questa attività in uno di questi due modi:
    • Abilitare la risoluzione DNS per il sito. Accedere a Full Configuration > Settings (Configurazione completa > Impostazioni) e attivare l’impostazione Enable DNS resolution (Abilita risoluzione DNS). In alternativa, utilizzare Remote PowerShell SDK di Citrix Virtual Apps and Desktops ed eseguire il comando Set-BrokerSite -DnsResolutionEnabled $true. Per ulteriori informazioni su Remote PowerShell SDK di Citrix Virtual Apps and Desktops, vedere SDK e API.
    • Zona di ricerca inversa DNS con record PTR per i VDA. Se si sceglie questa opzione, consigliamo di configurare i VDA perché tentino sempre di registrare i record PTR. A tale scopo, utilizzare l’editor Criteri di gruppo o l’oggetto Criteri di gruppo, accedere a Computer Configuration > Administrative Templates > Network > DNS Client (Configurazione computer > Modelli amministrativi > Rete > Client DNS) e impostare Register PTR Records (Registra record PTR) su Enabled and Register. Se il suffisso DNS della connessione non corrisponde al suffisso DNS del dominio, è necessario configurare anche l’impostazione Connection-specific DNS suffix (Suffisso DNS specifico della connessione) affinché i computer registrino correttamente i record PTR.

    Nota:

    Se si utilizza l’opzione di risoluzione DNS, i Cloud Connector devono essere in grado di risolvere i nomi di dominio completi (FQDN) delle macchine VDA. Nel caso in cui gli utenti interni si connettano direttamente alle macchine VDA, anche i dispositivi client devono essere in grado di risolvere gli FQDN delle macchine VDA.

    Se si utilizza una zona di ricerca inversa DNS, gli FQDN inclusi nei record PTR devono corrispondere agli FQDN delle macchine VDA. Se il record PTR contiene un nome di dominio completo diverso, la connessione Rendezvous non riesce. Ad esempio, se il nome di dominio completo della macchina è vda01.domain.net, il record PTR deve contenere vda01.domain.net. Un nome di dominio completo diverso, ad esempio, vda01.sub.domain.net non funziona.

Configurazione proxy

Il VDA supporta la creazione di connessioni Rendezvous tramite un proxy.

Considerazioni sui proxy

Quando si utilizzano proxy con Rendezvous, considerare quanto segue:

  • Sono supportati proxy trasparenti, proxy HTTP non trasparenti e proxy SOCKS5.
  • La decrittografia e l’ispezione dei pacchetti non sono supportate. Configurare un’eccezione in modo che il traffico ICA tra il VDA e il servizio gateway non venga intercettato, decrittografato o ispezionato. Altrimenti la connessione si interrompe.
  • I proxy HTTP supportano l’autenticazione basata su computer utilizzando i protocolli di autenticazione Negotiate e Kerberos o NT LAN Manager (NTLM).

    Quando ci si connette al server proxy, lo schema di autenticazione Negotiate seleziona automaticamente il protocollo Kerberos. Se Kerberos non è supportato, Negotiate effettua il fallback su NTLM per l’autenticazione.

    Nota:

    Per utilizzare Kerberos, è necessario creare il nome dell’entità servizio (SPN) per il server proxy e associarlo all’account Active Directory del proxy. Il VDA genera l’SPN nel formato HTTP/<proxyURL> quando si stabilisce una sessione, in cui l’URL proxy viene recuperato dall’impostazione dei criteri Rendezvous proxy. Se non si crea un SPN, l’autenticazione effettua il fallback su NTLM. In entrambi i casi, l’identità della macchina VDA viene utilizzata per l’autenticazione.

  • L’autenticazione con un proxy SOCKS5 non è attualmente supportata. Se si utilizza un proxy SOCKS5, è necessario configurare un’eccezione in modo che il traffico destinato agli indirizzi del servizio gateway (specificati nei requisiti) possa ignorare l’autenticazione.
  • Solo i proxy SOCKS5 supportano il trasporto dei dati tramite EDT. Per un proxy HTTP, utilizzare TCP come protocollo di trasporto per ICA.

Proxy trasparente

Se si utilizza un proxy trasparente nella rete, non è richiesta alcuna configurazione aggiuntiva sul VDA.

Proxy non trasparente

Se si utilizza un proxy non trasparente nella rete, configurare l’impostazione di Rendezvous proxy configuration (Configurazione del proxy Rendezvous). Quando l’impostazione è abilitata, specificare l’indirizzo proxy HTTP o SOCKS5 oppure immettere il percorso del file PAC in modo che il VDA sappia quale proxy utilizzare. Ad esempio:

  • Indirizzo proxy: http://<URL or IP>:<port> o socks5://<URL or IP>:<port>
  • File PAC: http://<URL or IP>/<path>/<filename>.pac

Se si utilizza il file PAC per configurare il proxy, definire il proxy utilizzando la sintassi richiesta dal servizio HTTP di Windows: PROXY [<scheme>=]<URL or IP>:<port>. Ad esempio, PROXY socks5=<URL or IP>:<port>.

Convalida di Rendezvous

Se si soddisfano tutti i requisiti, seguire questi passaggi per effettuare la convalida se Rendezvous è in uso:

  1. Avviare PowerShell o un prompt dei comandi all’interno della sessione HDX.
  2. Eseguire ctxsession.exe –v.
  3. I protocolli di trasporto in uso indicano il tipo di connessione:
    • TCP Rendezvous: TCP > SSL > CGP > ICA
    • EDT Rendezvous: UDP > DTLS > CGP > ICA
    • Proxy tramite Cloud Connector: TCP > CGP > ICA

Altre considerazioni

Ordine delle suite di cifratura Windows

Per un ordine delle suite di cifratura personalizzato, assicurarsi di includere le suite di cifratura supportate dal VDA incluse nel seguente elenco:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Se l’ordine della suite di cifratura personalizzato non contiene queste suite di cifratura, la connessione Rendezvous non riesce.

Zscaler Private Access

Se si utilizza Zscaler Private Access (ZPA), si consiglia di configurare le impostazioni di bypass per il servizio gateway per evitare una maggiore latenza e l’impatto sulle prestazioni associato. A tale scopo, è necessario definire i segmenti di applicazione per gli indirizzi del servizio gateway specificati nei requisiti e impostarli in modo che vengano sempre ignorati. Per informazioni sulla configurazione dei segmenti di applicazione per ignorare ZPA, vedere la documentazione di Zscaler.

Rendezvous V1