layout: doc h3InToc: true

Anforderungen

Rendezvous V2

Bei Verwendung des Citrix Gateway-Dienstes ermöglicht das Rendezvous-Protokoll, dass der Datenverkehr die Citrix Cloud™ Connectors umgeht und sich direkt und sicher mit der Citrix Cloud-Steuerungsebene verbindet.

Es sind zwei Arten von Datenverkehr zu berücksichtigen: 1) Steuerdatenverkehr für die VDA-Registrierung und das Session Brokering; 2) HDX™-Sitzungsdatenverkehr.

Rendezvous V1 ermöglicht es dem HDX-Sitzungsdatenverkehr, Cloud Connectors zu umgehen, erfordert aber weiterhin Cloud Connectors, um den gesamten Steuerdatenverkehr für die VDA-Registrierung und das Session Brokering als Proxy zu vermitteln.

• Standard-AD-Domänen-verbundene Maschinen und nicht-Domänen-verbundene Maschinen werden für die Verwendung von Rendezvous V2 mit Single-Session- und Multi-Session-Linux-VDAs unterstützt. Bei nicht-Domänen-verbundenen Maschinen ermöglicht Rendezvous V2, dass sowohl HDX-Datenverkehr als auch Steuerdatenverkehr die Cloud Connectors umgehen.

Anforderungen

• Die Anforderungen für die Verwendung von Rendezvous V2 sind:

  • Zugriff auf die Umgebung über Citrix Workspace™ und den Citrix Gateway-Dienst.
• Steuerungsebene: Citrix DaaS (ehemals Citrix Virtual Apps and Desktops™ Service).
• VDA-Version 2201 oder höher.
  • Version 2204 ist die Mindestanforderung für HTTP- und SOCKS5-Proxys.
  • Aktivieren Sie das Rendezvous-Protokoll in der Citrix-Richtlinie. Weitere Informationen finden Sie unter Rendezvous-Protokoll-Richtlinieneinstellung.

• Die VDAs müssen Zugriff haben auf:

  • https://*.xendesktop.net über TCP 443. Wenn Sie nicht alle Subdomains auf diese Weise zulassen können, können Sie https://<customer_ID>.xendesktop.net verwenden, wobei <customer_ID> Ihre Citrix Cloud-Kunden-ID ist, wie sie im Citrix Cloud-Administratorportal angezeigt wird.

  • https://*.nssvc.net, einschließlich aller Subdomains. Wenn Sie nicht alle Subdomains auf diese Weise auf die Whitelist setzen können, verwenden Sie stattdessen https://*.c.nssvc.net und https://*.g.nssvc.net. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter Virtual Apps and Desktop Service) und im Knowledge Center-Artikel CTX270584.

• Die VDAs müssen in der Lage sein, sich mit den zuvor genannten Adressen zu verbinden:
  • Über TCP 443, für TCP Rendezvous.
  • Über UDP 443, für EDT Rendezvous.

• Proxykonfiguration

• Der VDA unterstützt die Verbindung über Proxys sowohl für den Steuerdatenverkehr als auch für den HDX-Sitzungsdatenverkehr bei Verwendung von Rendezvous. Die Anforderungen und Überlegungen für beide Arten von Datenverkehr sind unterschiedlich, daher sollten Sie diese sorgfältig prüfen.

• Überlegungen zum Proxy für Steuerdatenverkehr

• Es werden nur HTTP-Proxys unterstützt.
• Paketentschlüsselung und -inspektion werden nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der Steuerdatenverkehr zwischen dem VDA und der Citrix Cloud-Steuerungsebene nicht abgefangen, entschlüsselt oder inspiziert wird. Andernfalls schlägt die Verbindung fehl.
• Proxy-Authentifizierung wird nicht unterstützt.

• Um einen Proxy für den Steuerdatenverkehr zu konfigurieren, bearbeiten Sie die Registrierung wie folgt:

   /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force
   <!--NeedCopy-->
  

Überlegungen zum Proxy für HDX-Datenverkehr

• HTTP- und SOCKS5-Proxys werden unterstützt.
  • EDT kann nur mit SOCKS5-Proxys verwendet werden.
  • Um einen Proxy für den HDX-Datenverkehr zu konfigurieren, verwenden Sie die Richtlinieneinstellung Rendezvous-Proxykonfiguration.
  • Paketentschlüsselung und -inspektion werden nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der HDX-Datenverkehr zwischen dem VDA und der Citrix Cloud-Steuerungsebene nicht abgefangen, entschlüsselt oder inspiziert wird. Andernfalls schlägt die Verbindung fehl.

• HTTP-Proxys unterstützen die maschinenbasierte Authentifizierung mithilfe der Authentifizierungsprotokolle Negotiate und Kerberos. Wenn Sie sich mit dem Proxyserver verbinden, wählt das Negotiate-Authentifizierungsschema automatisch das Kerberos-Protokoll aus. Kerberos ist das einzige Schema, das der Linux VDA unterstützt.

  • Hinweis:

    Um Kerberos zu verwenden, müssen Sie den Dienstprinzipalnamen (SPN) für den Proxyserver erstellen und ihn dem Active Directory-Konto des Proxys zuordnen. Der VDA generiert den SPN im Format HTTP/<proxyURL>, wenn eine Sitzung aufgebaut wird, wobei die Proxy-URL aus der Richtlinieneinstellung Rendezvous-Proxy abgerufen wird. Wenn Sie keinen SPN erstellen, schlägt die Authentifizierung fehl.

• Die Authentifizierung mit einem SOCKS5-Proxy wird derzeit nicht unterstützt. Wenn Sie einen SOCKS5-Proxy verwenden, müssen Sie eine Ausnahme konfigurieren, damit der für Gateway Service-Adressen (in den Anforderungen angegeben) bestimmte Datenverkehr die Authentifizierung umgehen kann.
• Nur SOCKS5-Proxys unterstützen den Datentransport über EDT. Für einen HTTP-Proxy verwenden Sie TCP als Transportprotokoll für ICA.

Transparenter Proxy

Transparenter HTTP-Proxy wird für Rendezvous unterstützt. Wenn Sie einen transparenten Proxy in Ihrem Netzwerk verwenden, ist keine zusätzliche Konfiguration auf dem VDA erforderlich.

Konfigurieren von Rendezvous V2

Im Folgenden sind die Schritte zur Konfiguration von Rendezvous in Ihrer Umgebung aufgeführt:

1. Stellen Sie sicher, dass alle Anforderungen erfüllt sind.

2. Nach der Installation des VDA führen Sie den folgenden Befehl aus, um den erforderlichen Registrierungsschlüssel festzulegen:

   /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force
   <!--NeedCopy-->
   

3. Starten Sie die VDA-Maschine neu.
4. Erstellen Sie eine Citrix-Richtlinie oder bearbeiten Sie eine vorhandene:
   • Setzen Sie die Einstellung für das Rendezvous-Protokoll auf Zulässig. Das Rendezvous-Protokoll ist standardmäßig deaktiviert. Wenn das Rendezvous-Protokoll aktiviert ist (Zulässig), tritt Rendezvous V2 anstelle von V1 in Kraft.
   • Stellen Sie sicher, dass die Citrix-Richtlinienfilter ordnungsgemäß eingestellt sind. Die Richtlinie gilt für die Maschinen, auf denen Rendezvous aktiviert werden muss.
   • Stellen Sie sicher, dass die Citrix-Richtlinie die richtige Priorität hat, damit sie keine andere überschreibt.

Rendezvous-Validierung

Um zu überprüfen, ob eine Sitzung das Rendezvous-Protokoll verwendet, führen Sie den Befehl /opt/Citrix/VDA/bin/ctxquery -f iP im Terminal aus.

Die angezeigten Transportprotokolle geben den Verbindungstyp an:

• TCP Rendezvous: TCP - TLS - CGP - ICA
• EDT Rendezvous: UDP - DTLS - CGP - ICA
• Proxy über Cloud Connector: TCP - PROXY - SSL - CGP - ICA oder UDP - PROXY - DTLS - CGP - ICA

Wenn Rendezvous V2 verwendet wird, zeigt die Protokollversion 2.0 an.

Tipp:

Wenn der VDA den Citrix Gateway-Dienst bei aktiviertem Rendezvous nicht direkt erreichen kann, fällt der VDA auf die Proxy-Vermittlung der HDX-Sitzung über den Cloud Connector zurück.

Rendezvous-Datenfluss

Das folgende Diagramm veranschaulicht die Abfolge der Schritte zum Rendezvous-Datenfluss.

1. Der VDA stellt eine WebSocket-Verbindung mit Citrix Cloud her und registriert sich.
2. Der VDA registriert sich beim Citrix Gateway Service und erhält ein dediziertes Token.
3. Der VDA stellt eine persistente Steuerverbindung mit dem Gateway Service her.
4. Der Benutzer navigiert zu Citrix Workspace.
5. Workspace bewertet die Authentifizierungskonfiguration und leitet Benutzer zur Authentifizierung an den entsprechenden IdP weiter.
6. Der Benutzer gibt seine Anmeldeinformationen ein.
7. Nach erfolgreicher Validierung der Benutzeranmeldeinformationen wird der Benutzer zu Workspace weitergeleitet.
8. Workspace zählt die Ressourcen für den Benutzer und zeigt sie an.
9. Der Benutzer wählt einen Desktop oder eine Anwendung aus Workspace aus. Workspace sendet die Anforderung an Citrix DaaS™, das die Verbindung vermittelt und den VDA anweist, sich auf die Sitzung vorzubereiten.
10. Der VDA antwortet mit der Rendezvous-Funktion und seiner Identität.
11. Citrix DaaS generiert ein Startticket und sendet es über Workspace an das Benutzergerät.
12. Der Endpunkt des Benutzers verbindet sich mit dem Gateway Service und stellt das Startticket zur Authentifizierung und Identifizierung der zu verbindenden Ressource bereit.
13. Der Gateway Service sendet die Verbindungsinformationen an den VDA.
14. Der VDA stellt eine direkte Verbindung für die Sitzung mit dem Gateway Service her.
15. Der Gateway Service schließt die Verbindung zwischen dem Endpunkt und dem VDA ab.
16. Der VDA überprüft die Lizenzierung für die Sitzung.
17. Citrix DaaS sendet anwendbare Richtlinien an den VDA.