Rendezvous 协议
在使用 Citrix Gateway 服务的环境中,Rendezvous 协议允许 HDX 会话绕过 Citrix Cloud Connector™,直接安全地连接到 Citrix Gateway 服务。
-
要求
- 访问使用 Citrix Workspace™ 和 Citrix Gateway 服务的环境。
- 控制平面:Citrix Virtual Apps and Desktops™ 服务 (Citrix Cloud)。
- Linux VDA 2112 或更高版本。
- 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置。
- VDA 必须能够访问
https://*.nssvc.net,包括所有子域。如果您无法以这种方式将所有子域列入白名单,请改用https://*.c.nssvc.net和https://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档的 Internet 连接要求 部分(在 Virtual Apps and Desktop 服务下)和知识中心文章 CTX270584。 -
Cloud Connector 在代理会话时必须获取 VDA 的 FQDN。为实现此目的,请为站点启用 DNS 解析:使用 Citrix Virtual Apps and Desktops Remote PowerShell SDK,运行命令
Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops Remote PowerShell SDK 的详细信息,请参阅 SDK 和 API。 -
代理配置
- VDA 支持通过 HTTP 代理建立 Rendezvous 连接。
代理注意事项
-
将代理与 Rendezvous 结合使用时,请考虑以下事项:
-
支持非透明 HTTP 代理。
-
不支持数据包解密和检查。配置例外,以使 VDA 和 Gateway 服务之间的 ICA® 流量不会被拦截、解密或检查。否则,连接将中断。
-
HTTP 代理支持使用 Negotiate 和 Kerberos 身份验证协议进行基于计算机的身份验证。当您连接到代理服务器时,Negotiate 身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 唯一支持的方案。
注意:
-
-
要使用 Kerberos,您必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时会生成
HTTP/<proxyURL>格式的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将失败。
-
-
对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。
非透明代理
在网络中使用非透明代理时,请配置 Rendezvous 代理配置 设置。启用此设置后,请指定 HTTP 代理地址,以便 VDA 知道要使用哪个代理。例如:
- 代理地址:
http://<URL 或 IP>:<端口>
Rendezvous 验证
如果您满足所有要求,请按照以下步骤验证 Rendezvous 是否正在使用:
- 在 VDA 上启动终端。
- 运行
su root -c "/opt/Citrix/VDA/bin/ctxquery -f iuStdP"。 - 传输协议 (TRANSPORT PROTOCOLS) 指示连接类型:
- TCP Rendezvous:TCP - SSL - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- 通过 Cloud Connector 代理:TCP - CGP - ICA
提示:
如果您启用 Rendezvous 且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 会回退到通过 Cloud Connector 代理 HDX™ 会话。
Rendezvous 的工作原理
此图概述了 Rendezvous 连接流程。
请按照以下步骤了解此流程。
- 导航到 Citrix Workspace。
- 在 Citrix Workspace 中输入凭据。
- 如果使用本地 Active Directory,Citrix Virtual Apps™ and Desktops 服务会使用 Cloud Connector 通道通过 Active Directory 验证凭据。
- Citrix Workspace 会显示来自 Citrix Virtual Apps and Desktops 服务的枚举资源。
- 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务会向 VDA 发送一条消息,以准备传入会话。
- Citrix Workspace 会向包含由 Citrix Cloud 生成的 STA 票证的端点发送 ICA 文件。
- 端点连接到 Citrix Gateway 服务,提供用于连接到 VDA 的票证,并且 Citrix Cloud 会验证该票证。
- Citrix Gateway 服务会将连接信息发送到 Cloud Connector。Cloud Connector 会确定连接是否应为 Rendezvous 连接,并将信息发送到 VDA。
- VDA 会与 Citrix Gateway 服务建立直接连接。
- 如果 VDA 和 Citrix Gateway 服务之间无法建立直接连接,VDA 会通过 Cloud Connector 代理其连接。
- Citrix Gateway 服务会在端点设备和 VDA 之间建立连接。
- VDA 会通过 Cloud Connector 与 Citrix Virtual Apps and Desktops 服务验证其许可证。
- Citrix Virtual Apps and Desktops 服务会通过 Cloud Connector 将会话策略发送到 VDA。这些策略将应用。