Citrix DaaS

Rendezvous V1

Ao usar o Citrix Gateway Service, o protocolo Rendezvous permite que os VDAs ignorem os Citrix Cloud Connectors para se conectarem diretamente e com segurança ao plano de controle do Citrix Cloud.

Requisitos

  • Acesso ao ambiente usando o serviço Citrix Workspace e Citrix Gateway.
  • Plano de controle: Citrix DaaS (Citrix Cloud).
  • VDA: versão 1912 ou posterior.
    • A versão 2012 é o mínimo exigido para o EDT Rendezvous.
    • A versão 2012 é o mínimo necessário para o suporte a proxy não transparente (sem suporte a arquivos PAC).
    • A versão 2103 é o mínimo necessário para a configuração de proxy com um arquivo PAC.
  • Ative o protocolo Rendezvous na política Citrix. Para obter mais informações, consulte Configuração de política do protocolo Rendezvous.
  • Os VDAs devem ter acesso a https://*.nssvc.net, incluindo todos os subdomínios. Se você não puder adicionar todos os subdomínios à lista de permissões dessa maneira, use https://*.c.nssvc.net e https://*.g.nssvc.net. Para obter mais informações, consulte a seção de Requisitos de conectividade à Internet da documentação do Citrix Cloud (em Citrix DaaS) e o artigo do Knowledge Center CTX270584.
  • Os VDAs devem ser capazes de se conectar aos endereços mencionados anteriormente no TCP 443 e UDP 443 para TCP Rendezvous e EDT Rendezvous, respectivamente.
  • Os Cloud Connectors precisam obter os FQDNs dos VDAS ao intermediar uma sessão. Realize essa tarefa de uma dessas duas maneiras:
    • Ative a resolução de DNS para o site. Navegue para Full Configuration > Settings e ative a configuração Enable DNS resolution. Como alternativa, use o Citrix Virtual Apps and Desktops Remote PowerShell SDK e execute o comando Set-BrokerSite -DnsResolutionEnabled $true. Para obter mais informações sobre o SDK do PowerShell remoto do Citrix Virtual Apps and Desktops, consulte SDKs e APIs.
    • Zona de pesquisa inversa de DNS com registros PTR para os VDAs. Se você escolher essa opção, recomendamos que configure os VDAs para sempre tentem registrar registros PTR. Para isso, use o Editor de política de grupo ou o Objeto de política de grupo, navegue até Configuração do Computador > Modelos Administrativos > Rede > Cliente DNS e defina Registrar Registros PTR como Ativado e Registrar. Se o sufixo DNS da conexão não corresponder ao sufixo DNS do domínio, você também deverá definir a configuração de Sufixo DNS específico da conexão para que as máquinas registrem registros PTR com êxito.

    Nota:

    Se estiver usando a opção de resolução de DNS, os Cloud Connectors deverão ser capazes de resolver os nomes de domínio totalmente qualificados (FQDNs) das máquinas VDA. No caso de usuários internos se conectarem diretamente às máquinas VDA, os dispositivos cliente também devem ser capazes de resolver os FQDNs das máquinas VDA.

    Se estiver usando uma zona de pesquisa inversa de DNS, os FQDNs nos registros PTR deverão corresponder aos FQDNs das máquinas VDA. Se o registro PTR contiver um FQDN diferente, a conexão do Rendezvous falhará. Por exemplo, se o FQDN da máquina for vda01.domain.net, o registro PTR deve conter vda01.domain.net. Um FQDN diferente, como vda01.sub.domain.net, não funciona.

Configuração de proxy

O VDA suporta o estabelecimento de conexões do Rendezvous por meio de um proxy.

Considerações sobre proxy

Considere o seguinte ao usar proxies com o Rendezvous:

  • Proxies transparentes, proxies HTTP não transparentes e proxies SOCKS5 são suportados.
  • A descriptografia e a inspeção de pacotes não são suportadas. Configure uma exceção para que o tráfego ICA entre o VDA e o Gateway Service não seja interceptado, descriptografado ou inspecionado. Caso contrário, a conexão é interrompida.
  • Os proxies HTTP suportam autenticação baseada em máquina usando os protocolos de autenticação Negociação e Kerberos ou NT LAN Manager (NTLM).

    Quando você se conecta ao servidor proxy, o esquema de autenticação Negociar seleciona automaticamente o protocolo Kerberos. Se o Kerberos não for compatível, a Negociação voltará ao NTLM para autenticação.

    Nota:

    Para usar o Kerberos, você deve criar o nome da entidade de serviço (SPN) para o servidor proxy e associá-lo à conta do Active Directory do proxy. O VDA gera o SPN no formato HTTP/<proxyURL> ao estabelecer uma sessão, onde o URL do proxy é recuperado da configuração da política de proxy do Rendezvous. Se você não criar um SPN, a autenticação voltará para o NTLM. Em ambos os casos, a identidade da máquina VDA é usada para autenticação.

  • A autenticação com um proxy SOCKS5 não é suportada no momento. Se estiver usando um proxy SOCKS5, você deverá configurar uma exceção para que o tráfego destinado aos endereços do Gateway Service (especificados nos requisitos) possa ignorar a autenticação.
  • Apenas os proxies SOCKS5 dão suporte ao transporte de dados através do EDT. Para um proxy HTTP, use TCP como o protocolo de transporte para ICA.

Proxy transparente

Se estiver usando um proxy transparente em sua rede, nenhuma configuração adicional será necessária no VDA.

Proxy não transparente

Se estiver usando um proxy não transparente em sua rede, defina a configuração em Rendezvous proxy configuration. Quando a configuração estiver habilitada, especifique o endereço de proxy HTTP ou SOCKS5 ou insira o caminho para o arquivo PAC para que o VDA saiba qual proxy usar. Por exemplo:

  • Endereço proxy: http://<URL or IP>:<port> ou socks5://<URL or IP>:<port>
  • Arquivo PAC: http://<URL or IP>/<path>/<filename>.pac

Se você usar o arquivo PAC para configurar o proxy, defina o proxy usando a sintaxe exigida pelo serviço Windows HTTP: PROXY [<scheme>=]<URL or IP>:<port>. Por exemplo, PROXY socks5=<URL or IP>:<port>.

Validação do Rendezvous

Se você atender a todos os requisitos, siga estas etapas para validar se o Rendezvous está em uso:

  1. Inicie o PowerShell ou um prompt de comando na sessão HDX.
  2. Execute ctxsession.exe –v.
  3. Os protocolos de transporte em uso indicam o tipo de conexão:
    • TCP Rendezvous: TCP > SSL > CGP > ICA
    • EDT Rendezvous: UDP > DTLS > CGP > ICA
    • Proxy através do Cloud Connector: TCP > CGP > ICA

Outras considerações

Ordem do pacote de codificação Windows

Para a ordem de pacote de codificação personalizada, certifique-se de incluir os pacotes de codificação compatíveis com VDA da lista a seguir:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Se a ordem do pacote de codificação personalizada não contiver esses pacotes de codificação, a conexão do Rendezvous falhará.

Zscaler Private Access

Se estiver usando o Zscaler Private Access (ZPA), é recomendável que você defina as configurações de bypass para o Gateway Service para evitar o aumento da latência e o impacto no desempenho associado. Para isso, você deve definir segmentos do aplicativo para os endereços do Gateway Service — especificados nos requisitos — e defini-los para sempre fazer o bypass. Para obter informações sobre como configurar segmentos do aplicativo para ignorar o ZPA, consulte a documentação do Zscaler.

Rendezvous V1