Citrix Virtual Apps and Desktops Service

Rendezvousprotokoll

In Umgebungen, in denen Citrix Gateway Service verwendet wird, können HDX-Sitzungen mithilfe des Rendezvous-Protokolls den Citrix Cloud Connector umgehen und eine direkte und sichere Verbindung mit Citrix Gateway Service herzustellen.

Anforderungen

  • Zugriff auf die Umgebung mit Citrix Workspace und Citrix Gateway Service.
  • Steuerungsebene: Citrix Virtual Apps and Desktops (Citrix Cloud)
  • VDA: Version 1912 oder höher.
  • Aktivieren Sie das Rendezvous-Protokoll in der Citrix Richtlinie. Weitere Informationen finden Sie unter Richtlinieneinstellung für Rendezvous-Protokoll.
  • Die VDAs müssen Zugriff auf https://*.nssvc.net einschließlich aller Unterdomänen haben. Wenn Sie nicht alle Unterdomänen auf diese Weise auf die Positivliste setzen können, verwenden Sie stattdessen https://*.c.nssvc.net und https://*.g.nssvc.net. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter “Virtual Apps and Desktop Service”) und im Knowledge Center-Artikel CTX270584.
  • Cloud Connectors müssen beim Brokering einer Sitzung die FQDNs der VDAs abrufen. Sie erreichen dies auf einer der folgenden beiden Arten:
    • Aktivieren Sie die DNS-Auflösung für die Site. Verwenden Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK, um den Befehl Set-BrokerSite -DnsResolutionEnabled $true auszuführen. Weitere Informationen zum Citrix Virtual Apps and Desktops Remote PowerShell SDK finden Sie unter SDKs und APIs.
    • DNS-Reverse-Lookupzone mit PTR-Einträgen für VDAs. Wenn Sie diese Option wählen, empfehlen wir, VDAs so zu konfigurieren, dass immer versucht wird, PTR-Einträge zu registrieren. Navigieren Sie dazu mit dem Gruppenrichtlinieneditor oder Gruppenrichtlinienobjekt zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > DNS-Client und legen Sie PTR-Einträge registrieren auf Aktiviert und Registrieren fest. Wenn das DNS-Suffix der Verbindung nicht mit dem DNS-Suffix der Domäne übereinstimmt, müssen Sie auch die Einstellung Verbindungsspezifisches DNS-Suffix konfigurieren, damit die Maschinen PTR-Einträge erfolgreich registrieren.

Proxykonfiguration

Der VDA unterstützt den Aufbau von Rendezvous-Verbindungen über einen Proxy.

Überlegungen zum Proxy

Berücksichtigen Sie Folgendes, wenn Sie Proxys mit Rendezvous verwenden:

  • Transparente Proxies, nicht transparente HTTP-Proxys und SOCKS-Proxys werden unterstützt.
  • Die Entschlüsselung und Inspektion von Paketen wird nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der ICA-Datenverkehr zwischen dem VDA und Gateway Service nicht abgefangen, entschlüsselt oder überprüft wird. Ansonsten bricht die Verbindung ab.
  • Die Authentifizierung am Proxy wird nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit Datenverkehr an die in den Anforderungen angegebenen Gateway Service-Adressen die Authentifizierung umgehen kann.
  • Nur Rendezvous mit TCP wird unterstützt. Rendezvous mit EDT wird derzeit nicht mit Proxys unterstützt.

Transparenter Proxy

Wenn Sie einen transparenten Proxy in Ihrem Netzwerk verwenden, ist auf dem VDA keine zusätzliche Konfiguration erforderlich.

Nicht transparenter Proxy

Wenn Sie einen nicht transparenten Proxy in Ihrem Netzwerk verwenden, konfigurieren Sie die Einstellung Rendezvousproxykonfiguration. Wenn die Einstellung aktiviert ist, geben Sie die HTTP- oder SOCKS-Proxyadresse an, damit der VDA weiß, welchen Proxy er verwenden soll. Beispiel: “http://<FQDN or IP>:<port>” oder “socks5://<FQDN or IP>:<port>”.

Die Proxykonfiguration mit PAC-Dateien wird derzeit nicht unterstützt.

Rendezvous-Prüfung

Wenn alle Anforderungen erfüllt sind, überprüfen Sie folgendermaßen, ob Rendezvous verwendet wird:

  1. Starten Sie PowerShell oder eine Eingabeaufforderung innerhalb der HDX-Sitzung.
  2. Führen Sie ctxsession.exe –v aus.
  3. Die verwendeten Transportprotokolle geben die Art der Verbindung an:
    • TCP-Rendezvous: TCP - SSL - CGP - ICA
    • EDT-Rendezvous: UDP > DTLS > CGP > ICA
    • Proxy über Cloud Connector: TCP - CGP - ICA

Zusätzliche Hinweise

Reihenfolge für Windows-Verschlüsselungssammlung

Stellen Sie für eine benutzerdefinierte Verschlüsselungssammlungsreihenfolge sicher, dass Sie die von der VDA unterstützten Verschlüsselungssammlungen aus der folgenden Liste einschließen:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Wenn die benutzerdefinierte Verschlüsselungssammlungsreihenfolge diese Verschlüsselungssammlungen nicht enthält, schlägt die Rendezvous-Verbindung fehl.

Zscaler Private Access

Wenn Sie Zscaler Private Access (ZPA) verwenden, wird dringend empfohlen, Umgehungseinstellungen für den Gateway Service zu konfigurieren, um eine erhöhte Latenz und Leistungsminderungen zu vermeiden. Dazu müssen Sie Anwendungssegmente für die Gateway Service-Adressen definieren (in den Anforderungen angegeben) und sie auf “immer umgehen” einstellen. Informationen zum Konfigurieren von Anwendungssegmenten zur Umgehung von ZPA siehe Zscaler-Dokumentation.

Funktionsweise von Rendezvous

Diese Abbildung bietet eine Übersicht über den Rendezvous-Verbindungsfluss.

Übersicht über das Rendezvous-Protokoll

Folgen Sie den Schritten, um den Fluss zu verstehen:

  1. Navigieren Sie zu Citrix Workspace.
  2. Geben Sie die Anmeldeinformationen in Citrix Workspace ein.
  3. Wenn Sie Active Directory on-premises verwenden, authentifiziert Citrix Virtual Apps and Desktops Service die Anmeldeinformationen mit Active Directory über den Cloud Connector-Kanal.
  4. Citrix Workspace zeigt aufgezählte Ressourcen aus Citrix Virtual Apps and Desktop Service an.
  5. Wählen Sie Ressourcen aus Citrix Workspace aus. Citrix Virtual Apps and Desktop Service sendet eine Nachricht an den VDA zur Vorbereitung auf eine eingehende Sitzung.
  6. Citrix Workspace sendet eine ICA-Datei an den Endpunkt, der ein von Citrix Cloud generiertes STA-Ticket enthält.
  7. Der Endpunkt stellt eine Verbindung mit Citrix Gateway Service her und stellt das Ticket zur Verbindung mit dem VDA bereit. Citrix Cloud validiert das Ticket.
  8. Citrix Gateway Service sendet Verbindungsinformationen an den Cloud Connector. Der Cloud Connector bestimmt, ob die Verbindung eine Rendezvous-Verbindung sein soll, und sendet die Informationen an den VDA.
  9. Der VDA stellt eine direkte Verbindung zu Citrix Gateway Service her.
  10. Wenn eine direkte Verbindung zwischen VDA und Citrix Gateway Service nicht möglich ist, erstellt der VDA eine Proxyverbindung über den Cloud Connector.
  11. Citrix Gateway Service stellt eine Verbindung zwischen Endpunktgerät und VDA her.
  12. Der VDA überprüft seine Lizenz mit Citrix Virtual Apps and Desktop Service über den Cloud Connector.
  13. Citrix Virtual Apps and Desktop Service sendet Sitzungsrichtlinien über den Cloud Connector an den VDA und wendet sie an.
Rendezvousprotokoll