Citrix DaaS

Rendezvous V1

使用 Citrix Gateway 服务时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connector,以直接安全地连接到 Citrix Cloud 控制平面。

要求

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix DaaS (Citrix Cloud)。
  • VDA:1912 或更高版本。
    • 版本 2012 是 EDT Rendezvous 所需的最低版本。
    • 版本 2012 是非透明代理支持所需的最低版本(不支持 PAC 文件)。
    • 版本 2103 是使用 PAC 文件进行代理配置所需的最低版本。
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置
  • VDA 必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果无法通过该方式将所有子域添加到允许列表中,请该为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档(在 Citrix DaaS 下)的 Internet 连接要求部分和知识中心文章 CTX270584
  • VDA 必须能够分别连接到上文 TCP Rendezvous 和 EDT Rendezvous 的 TCP 443 和 UDP 443 中提到的地址。
  • 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。通过以下两种方式之一完成此任务:
    • 为站点启用 DNS 解析。导航到“设置”,然后打开“启用 DNS 解析”设置。或者,使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 并运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API
    • 具有 VDA 的 PTR 记录的 DNS 反向查找区域。如果选择此选项,我们建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后将注册 PTR 记录设置为已启用并注册。如果连接的 DNS 后缀与域的 DNS 后缀不匹配,您还必须配置 Connection-specific DNS suffix(连接特有的 DNS 后缀)设置,以便计算机能够成功注册 PTR 记录。

    注意:

    如果使用 DNS 解析选项,则 Cloud Connector 必须能够解析 VDA 计算机的完全限定域名 (FQDN)。在内部用户直接连接到 VDA 计算机的情况下,客户端设备还必须能够解析 VDA 计算机的 FQDN。

    如果使用 DNS 反向查找区域,则 PTR 记录中的 FQDN 必须与 VDA 计算机的 FQDN 相匹配。如果 PTR 记录包含不同的 FQDN,则汇聚连接将失败。例如,如果计算机的 FQDN 是 vda01.domain.net,则 PTR 记录必须包含 vda01.domain.net。使用其他 FQDN(例如 vda01.sub.domain.net )将不起作用。

代理配置

VDA 支持通过代理建立汇聚连接。

代理注意事项

在 Rendezvous 中使用代理时,请注意以下事项:

  • 支持透明代理、非透明 HTTP 代理和 SOCKS5 代理。
  • 不支持数据包解密和检查。配置异常,以便 VDA 与 Gateway 服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。
  • HTTP 代理通过使用协商和 Kerberos 或 NT 局域网管理器 (NTLM) 身份验证协议支持基于计算机的身份验证。

    连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。如果 Kerberos 不受支持,协商将回退到 NTLM 进行身份验证。

    注意:

    要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,必须配置例外,以便发往 Gateway 服务地址的流量(在要求中指定)可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。

非透明代理

如果在网络中使用非透明代理,请配置汇聚代理配置设置。启用该设置后,请指定 HTTP 或 SOCKS5 代理地址,或者输入 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path>/<filename>.pac

如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如,PROXY socks5=<URL or IP>:<port>

Rendezvous 验证

如果您满足所有要求,请按照下列步骤验证是否正在使用 Rendezvous:

  1. 在 HDX 会话中启动 PowerShell 或命令提示符。
  2. 运行 ctxsession.exe –v
  3. 正在使用的传输协议指明连接类型:
    • TCP 汇聚:TCP > SSL > CGP > ICA
    • EDT 汇聚:UDP > DTLS > CGP > ICA
    • 通过 Cloud Connector 代理:TCP > CGP > ICA

其他注意事项

Windows 密码套件顺序

对于自定义密码套件顺序,请确保在以下列表中包含 VDA 支持的密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件,汇聚连接将失败。

Zscaler Private Access

如果使用 Zscaler Private Access (ZPA),建议您为网关服务配置绕过设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在要求中指定),并将其设置为始终绕过。有关配置应用程序段以绕过 ZPA 的信息,请参阅 Zscaler 文档

Rendezvous V1