Rendezvous V1
在使用 Citrix Gateway 服务的环境中,Rendezvous 协议允许 HDX 会话绕过 Citrix Cloud Connector 直接安全地连接到 Citrix Gateway 服务。
要求
- 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
- 控制平面:Citrix Virtual Apps and Desktops 服务 (Citrix Cloud)。
- Linux VDA 版本 2112 或更高版本。
- 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置。
- VDA 必须对
https://*.nssvc.net
具有访问权限,包括所有子域。如果您无法通过该方式将所有子域列入白名单,请改为使用https://*.c.nssvc.net
和https://*.g.nssvc.net
。有关详细信息,请参阅 Citrix Cloud 文档(在 Virtual Apps and Desktops 服务下方)的 Internet 连接要求部分和知识中心文章 CTX270584。 - 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。要实现此目标,请为站点启用 DNS 解析:使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK,运行命令
Set-BrokerSite -DnsResolutionEnabled $true
。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API。
代理配置
VDA 支持通过 HTTP 代理建立 Rendezvous 连接。
代理注意事项
在 Rendezvous 中使用代理时,请注意以下事项:
-
支持非透明 HTTP 代理。
-
不支持数据包解密和检查。配置异常,以便 VDA 与网关服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。
-
HTTP 代理通过使用协商和 Kerberos 身份验证协议支持基于计算机的身份验证。连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。
注意:
要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为
HTTP/<proxyURL>
的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将失败。 -
对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。
非透明代理
在网络中使用非透明代理时,请配置 Rendezvous 代理配置设置。启用该设置后,为 VDA 指定 HTTP 代理地址,以了解要使用哪个代理。例如:
- 代理地址:
http://<URL or IP>:<port>
Rendezvous 验证
如果您满足所有要求,请按照下列步骤验证是否正在使用 Rendezvous:
- 在 VDA 上启动端点。
- 运行
/opt/Citrix/VDA/bin/ctxqurey -f iP
。 - 传输协议指明连接类型:
- TCP Rendezvous:TCP - TLS - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- 通过 Cloud Connector 代理:TCP - CGP - ICA
提示:
如果启用了 Rendezvous,并且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 将回退到通过 Cloud Connector 代理 HDX 会话。
Rendezvous 的工作原理
下图概述了 Rendezvous 连接流程。
请按照步骤了解流程。
- 导航到 Citrix Workspace。
- 在 Citrix Workspace 中输入凭据。
- 如果使用本地 Active Directory,Citrix Virtual Apps and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
- Citrix Workspace 显示 Citrix Virtual Apps and Desktops 服务中的枚举资源。
- 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送一条消息,以便为传入会话做好准备。
- Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
- 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
- Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为 Rendezvous 连接,并将信息发送到 VDA。
- VDA 建立与 Citrix Gateway 服务的直接连接。
- 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 将通过 Cloud Connector 代理其连接。
- Citrix Gateway 服务在端点与 VDA 之间建立连接。
- VDA 通过 Cloud Connector 借助 Citrix Virtual Apps and Desktops 服务验证其许可证。
- Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 向 VDA 发送会话策略。这些政策已应用。