This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Rendezvous V1
使用 Citrix Gateway Service 时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud™ Connectors,直接安全地连接到 Citrix Cloud 控制平面。
要求
- 使用 Citrix Workspace™ 和 Citrix Gateway service 访问环境。
- 控制平面:Citrix DaaS™ (Citrix Cloud)。
- VDA:版本 1912 或更高版本。
- 版本 2012 是 EDT Rendezvous 所需的最低版本。
- 版本 2012 是非透明代理支持(不支持 PAC 文件)所需的最低版本。
- 版本 2103 是使用 PAC 文件进行代理配置所需的最低版本。
- 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅Rendezvous 协议策略设置。
- VDA 必须能够访问
https://*.nssvc.net,包括所有子域。如果无法以这种方式将所有子域添加到允许列表中,请改用https://*.c.nssvc.net和https://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档(在 Citrix DaaS 下)的 Internet 连接要求部分和知识中心文章 CTX270584。 - VDA 必须能够分别通过 TCP 443 和 UDP 443 连接到前面提到的地址,以实现 TCP Rendezvous 和 EDT Rendezvous。
- Cloud Connectors 必须在代理会话时获取 VDA 的 FQDN。通过以下两种方式之一完成此任务:
-
为站点启用 DNS 解析。 导航到 Settings > Site settings(设置 > 站点设置),然后启用 Enable DNS resolution(启用 DNS 解析)设置。或者,使用 Citrix Virtual Apps and Desktops Remote PowerShell SDK 并运行命令
Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops Remote PowerShell SDK 的详细信息,请参阅 SDKs and APIs。 - 具有 VDA 的 PTR 记录的 DNS 反向查找区域。 如果选择此选项,建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到 Computer Configuration > Administrative Templates > Network > DNS Client(计算机配置 > 管理模板 > 网络 > DNS 客户端),然后将 Register PTR Records(注册 PTR 记录)设置为 Enabled and Register(已启用并注册)。如果连接的 DNS 后缀与域的 DNS 后缀不匹配,则还必须配置 Connection-specific DNS suffix(连接特定 DNS 后缀)设置,以便计算机成功注册 PTR 记录。
注意:
如果使用 DNS 解析选项,Cloud Connectors 必须能够解析 VDA 计算机的完全限定域名 (FQDN)。如果内部用户直接连接到 VDA 计算机,则客户端设备也必须能够解析 VDA 计算机的 FQDN。
如果使用 DNS 反向查找区域,PTR 记录中的 FQDN 必须与 VDA 计算机的 FQDN 匹配。如果 PTR 记录包含不同的 FQDN,则 Rendezvous 连接将失败。例如,如果计算机的 FQDN 是
vda01.domain.net,则 PTR 记录必须包含vda01.domain.net。不同的 FQDN(例如vda01.sub.domain.net)将不起作用。 -
为站点启用 DNS 解析。 导航到 Settings > Site settings(设置 > 站点设置),然后启用 Enable DNS resolution(启用 DNS 解析)设置。或者,使用 Citrix Virtual Apps and Desktops Remote PowerShell SDK 并运行命令
代理配置
VDA 支持通过代理建立 Rendezvous 连接。
代理注意事项
将代理与 Rendezvous 结合使用时,请考虑以下事项:
- 支持透明代理、非透明 HTTP 代理和 SOCKS5 代理。
- 不支持数据包解密和检查。配置例外,以便 VDA 和 Gateway Service 之间的 ICA® 流量不会被拦截、解密或检查。否则,连接将中断。
-
HTTP 代理通过使用 Negotiate 和 Kerberos 或 NT LAN Manager (NTLM) 身份验证协议支持基于计算机的身份验证。
连接到代理服务器时,Negotiate 身份验证方案会自动选择 Kerberos 协议。如果不支持 Kerberos,Negotiate 将回退到 NTLM 进行身份验证。
注意:
要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时以
HTTP/<proxyURL>格式生成 SPN,其中代理 URL 是从 Rendezvous proxy 策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。 - 目前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,则必须配置例外,以便流向 Gateway Service 地址(在要求中指定)的流量可以绕过身份验证。
- 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。
透明代理
如果在网络中使用透明代理,则 VDA 上无需进行额外配置。
非透明代理
如果在网络中使用非透明代理,请配置 Rendezvous 代理配置设置。启用该设置后,指定 HTTP 或 SOCKS5 代理地址,或输入 PAC 文件的路径,以便 VDA 知道要使用哪个代理。例如:
- 代理地址:
http://<URL or IP>:<port>或socks5://<URL or IP>:<port> - PAC 文件:
http://<URL or IP>/<path>/<filename>.pac
如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如,PROXY socks5=<URL or IP>:<port>。
Rendezvous 验证
如果满足所有要求,请按照以下步骤验证 Rendezvous 是否正在使用:
- 在 HDX™ 会话中启动 PowerShell 或命令提示符。
- 运行
ctxsession.exe –v。 - 正在使用的传输协议指示连接类型:
- TCP Rendezvous:TCP > SSL > CGP > ICA
- EDT Rendezvous:UDP > DTLS > CGP > ICA
- 通过 Cloud Connector 代理:TCP > CGP > ICA
其他注意事项
Windows 密码套件顺序
对于自定义密码套件顺序,请确保包含以下列表中的 VDA 支持的密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
如果自定义密码套件顺序不包含这些密码套件,则 Rendezvous 连接将失败。
Zscaler Private Access
如果使用 Zscaler Private Access (ZPA),建议您为 Gateway Service 配置旁路设置,以避免增加延迟和相关的性能影响。为此,您必须为 Gateway Service 地址(在要求中指定)定义应用程序段,并将其设置为始终旁路。有关配置应用程序段以旁路 ZPA 的信息,请参阅 Zscaler 文档。
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.