Rendezvousプロトコル
Citrix Gatewayサービスを使用する環境では、Rendezvousプロトコルにより、HDXセッションがCitrix Cloud Connectorをバイパスして、Citrix Gatewayサービスに直接かつ安全に接続できます。
要件
- Citrix WorkspaceとCitrix Gatewayサービスを使用して環境にアクセスします。
- コントロールプレーン:Citrix Virtual Apps and Desktopsサービス(Citrix Cloud)
- Linux VDAバージョン2112以降。
- CitrixポリシーでRendezvousプロトコルを有効にします。詳しくは、「Rendezvousプロトコルポリシー設定」を参照してください。
- VDAは、すべてのサブドメインを含む
https://*.nssvc.net
にアクセスできる必要があります。この方法ですべてのサブドメインをホワイトリストに登録できない場合、代わりにhttps://*.c.nssvc.net
およびhttps://*.g.nssvc.net
を使用します。詳しくは、Citrix Cloudのドキュメント(Virtual Apps and Desktopsサービス内)の「インターネット接続の要件」セクションおよびKnowledge Centerの記事CTX270584を参照してください。 - Cloud Connectorは、セッションを仲介する場合、VDAのFQDNを取得する必要があります。この目標を達成するには、サイトのDNS解決を有効にします。Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンド
Set-BrokerSite -DnsResolutionEnabled $true
を実行します。Citrix Virtual Apps and Desktops Remote PowerShell SDKについて詳しくは、「SDKおよびAPI」を参照してください。
プロキシ構成
VDAでは、HTTPプロキシを介したRendezvous接続の確立がサポートされています。
プロキシに関する考慮事項
Rendezvousでプロキシを使用する場合は、次の点を考慮してください:
-
非透過HTTPプロキシがサポートされています。
-
パケットの復号化と検査はサポートされていません。VDAとGatewayサービスの間のICAトラフィックが傍受、復号化、または検査されないように、例外を構成します。例外を構成しないと、接続が切断されます。
-
HTTPプロキシでは、NegotiateおよびKerberos認証プロトコルを使用して、マシンベースの認証がサポートされています。プロキシサーバーに接続するとき、Negotiate認証スキームによってKerberosプロトコルが自動的に選択されます。Kerberosは、Linux VDAでサポートされている唯一のスキームです。
注:
Kerberosを使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシのActive Directoryアカウントに関連付ける必要があります。VDAは、セッションの確立時に
HTTP/<proxyURL>
形式のSPNを生成します。この場合、プロキシURLはRendezvousプロキシのポリシー設定から取得されます。SPNを作成しない場合、認証は失敗します。 -
HTTPプロキシの場合、ICAのトランスポートプロトコルとしてTCPを使用します。
非透過プロキシ
ネットワークで非透過プロキシを使用している場合は、Rendezvousプロキシの構成の設定を行います。この設定が有効になっている場合、使用するプロキシがVDAで認識されるように、HTTPプロキシアドレスを指定します。例:
- プロキシアドレス:
http://<URL or IP>:<port>
Rendezvousの検証
すべての要件を満たしている場合は、次の手順に従って、Rendezvousが使用されているかを検証します:
- VDAでターミナルを起動します。
-
su root -c "/opt/Citrix/VDA/bin/ctxquery -f iuStdP"
を実行します。 - [トランスポートプロトコル]は接続の種類を示します:
- TCP Rendezvous:TCP - SSL - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- Cloud Connector経由のプロキシ:TCP - CGP - ICA
ヒント:
Rendezvousを有効にしてVDAがCitrix Gatewayサービスに直接到達できない場合、VDAはフォールバックしCloud Connectorを介してHDXセッションにプロキシ接続します。
Rendezvousのしくみ
この図は、Rendezvous接続フローの概要です。
フローを理解するためには、この手順を実行してください。
- Citrix Workspaceに移動します。
- Citrix Workspaceで資格情報を入力します。
- オンプレミスActive Directoryを使用する場合、Citrix Virtual Apps and DesktopsサービスはCloud Connectorチャネルを使用してActive Directoryで資格情報を認証します。
- Citrix Workspaceに、Citrix Virtual Apps and Desktopsサービスから列挙されたリソースが表示されます。
- Citrix Workspaceでリソースを選択します。Citrix Virtual Apps and Desktopsサービスは、VDAにメッセージを送信して、受信セッションの準備をします。
- Citrix Workspaceは、Citrix Cloudによって生成されたSTAチケットを含むICAファイルをエンドポイントに送信します。
- エンドポイントはCitrix Gatewayサービスに接続し、VDAに接続するためにこのチケットを提供し、Citrix Cloudはチケットを検証します。
- Citrix Gatewayサービスは、接続情報をCloud Connectorに送信します。Cloud Connectorは、接続がRendezvous接続であるかどうかを判断し、その情報をVDAに送信します。
- VDAは、Citrix Gatewayサービスへの直接接続を確立します。
- VDAとCitrix Gatewayサービス間の直接接続が不可能な場合、VDAはCloud Connector経由で接続にプロキシを設定します。
- Citrix Gatewayサービスは、エンドポイントデバイスとVDA間の接続を確立します。
- VDAは、Cloud Connectorを介してCitrix Virtual Apps and Desktopsサービスでライセンスを検証します。
- Citrix Virtual Apps and Desktopsサービスは、Cloud Connector経由でセッションポリシーをVDAに送信します。これらのポリシーが適用されます。