Proxy RDP

October 11, 2019

Contributed by: C

Descripción general y mejoras del proxy RDP a través de Citrix Gateway

Las siguientes funciones de proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de Citrix Gateway:

Proteja el tráfico RDP a través del modo CVPN o iCAproxy (sin túnel completo).
Inicio de sesión único (SSO) en servidores RDP a través de Citrix Gateway. También proporciona una opción para inhabilitar el inicio de usuario (SSO) si es necesario).
Función Aplicación (SmartAccess), en la que los administradores de Citrix ADC pueden inhabilitar determinadas capacidades de RDP mediante la configuración de Citrix Gateway.
Solución de puerta de enlace unida/sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).
Compatibilidad con el cliente nativo de Windows MSTSC para RDP sin necesidad de clientes personalizados.
Uso del cliente RDP proporcionado por Microsoft existente en MACOSX, iOS y Android.

Descripción general de la implementación

La siguiente figura muestra una descripción general de la implementación:

Imagen localizada

La funcionalidad de proxy RDP se proporciona como parte de Citrix Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo Citrix Gateway se implementa dentro de la DMZ y el conjunto de servidores RDP se encuentra en la red corporativa interna. El usuario remoto se conecta a la dirección IP pública de Citrix Gateway, establece una conexión VPN SSL y se autentica, después de lo cual puede acceder a los escritorios remotos a través del dispositivo Citrix Gateway.

La función RDP Proxy es compatible con los modos CVPN e iCAproxy.

Implementación a través de CVPN

En este modo, los enlaces RDP se publican en la página principal o portal de Gateway, como marcadores, a través de la configuración ‘add vpn url ‘o a través del portal externo. El usuario puede hacer clic en estos enlaces para obtener acceso al Escritorio remoto.

Implementación a través de iCAproxy

En este modo se configura una página de inicio personalizada en el Gateway VIP mediante el parámetro wihome. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en Citrix ADC o, si es externa, puede ser un iFrame en la página del portal de Gateway existente.

En cualquiera de los modos, después de que el usuario haga clic en el vínculo o icono de RDP aprovisionado, una solicitud HTTPS para el recurso correspondiente llega a Citrix Gateway.La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un oyente RDP en Gateway. Gateway realiza SSO en el servidor RDP al admitir la aplicación (acceso inteligente), en la que la puerta de enlace bloquea el acceso del cliente a determinadas funciones de RDP, según la configuración de Citrix ADC, y luego hace proxy el tráfico RDP entre el cliente RDP y el servidor.

Detalles de cumplimiento

El administrador de Citrix ADC puede configurar determinadas capacidades de RDP mediante la configuración de Citrix Gateway. Citrix Gateway proporciona la función de “cumplimiento de RDP” para parámetros importantes de RDP. Citrix ADC garantiza que el cliente no puede habilitar los parámetros bloqueados. Si los parámetros bloqueados están activados, la función de cumplimiento RDP sustituye a los parámetros habilitados por el cliente y no se respetan.

Parámetros RDP admitidos para la aplicación

Se admite la aplicación de los siguientes parámetros de redirección. Estos se pueden configurar como parte de un perfil de cliente RDP.

Redirección del Portapapeles
Redirección de impresoras
Redirección de unidades de disco
Redirección de puertos COM
Redirección de dispositivos pnp

Flujo de conexión

El flujo de conexión se puede dividir en dos pasos:

Enumeración de recursos RDP y descarga de archivos RDP.
Inicio de la conexión RDP.

Según el flujo de conexión anterior, existen dos soluciones de implementación:

Solución de puerta de enlace sin estado (doble): la enumeración de recursos RDP y la descarga de archivos RDP ocurre a través de la puerta de enlace de autenticador, pero el inicio de la conexión RDP ocurre a través de la puerta de enlace de escucha de RDP.
Solución de puerta de enlace única: la enumeración de recursos RDP, la descarga de archivos RDP y el lanzamiento de la conexión RDP se producen a través de la misma puerta de enlace.

Compatibilidad con puerta de enlace sin estado (doble)

En la siguiente figura se muestra el despliegue:

Imagen localizada

El usuario se conecta al Authenticator Gateway VIP y proporciona sus credenciales.
Después de iniciar sesión correctamente en la puerta de enlace, el usuario se redirige a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.
Una vez que el usuario selecciona un recurso RDP, la puerta de enlace de autenticación VIP recibe una solicitud en el formato quehttps://vserver-vip/rdpproxy/rdptarget/listener indica el recurso publicado en el que el usuario hizo clic. Esta solicitud tiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado.
La solicitud /rdpproxy/ es procesada por la puerta de enlace de autenticación. Dado que el usuario ya está autenticado, esta solicitud viene con una cookie de Gateway válida.
La información RDPTarget y RDPuser se almacena en el servidor STA y se genera un Ticket STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La puerta de enlace de autenticación utiliza uno de los servidores STA configurados en el servidor de puerta de enlace Vserver.
La información de ‘Listener’ obtenida en la solicitud /rdpproxy/ se coloca en el archivo.rdp como “fulladdress”, y el ticket STA (pre-penado con STA authID) se coloca en el archivo.rdp como “loadbalanceinfo. “
El archivo.rdp se envía de nuevo al punto final del cliente.
El cliente RDP nativo se inicia y se conecta a la puerta de enlace RDPListener. Envía el ticket STA en el paquete inicial.

La puerta de enlace RDPListener valida el vale STA y obtiene la información RDPTarget y RDPuser. El servidor STA que se va a utilizar se recupera utilizando el ‘AuthID’ presente en loadbalanceinfo.

Compatibilidad con una puerta de enlace única

En la siguiente figura se muestra el despliegue:

Imagen localizada

En el caso de una implementación de puerta de enlace única, no se requiere el servidor STA. La puerta de enlace del autenticador codifica el RDPTarget y la cookie de sesión AAA de forma segura y los envía como loadbalanceinfo en el archivo.rdp. Cuando el cliente RDP envía este token en el paquete inicial, la puerta de enlace del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta al RDPTarget.

Requisitos de licencia para proxy RDP

Edición Platinum, Edición Platinum, Edición Enterprise

Nota Lafunción RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la edición Standard.

La función de proxy RDP tiene que estar habilitada para que el proxy RDP funcione.

enable feature rdpProxy

Pasos de configuración

Los pasos de configuración de alto nivel se enumeran de la siguiente manera:

Habilitar la función
Crear marcadores en el portal de puerta de enlace o utilizar un portal de puerta de enlace personalizado que enumera los recursos de RDP
Configurar un perfil de cliente RDP
Configurar un perfil de servidor RDP

Habilitar las funciones y modos necesarios

habilitar la función ns ssl
habilitar la función ns sslvpn
habilitar la función ns rdpproxy
habilitar modo usnip

Creación de marcadores

Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza con rdp: //).
Añadir url<urlName> <linkName> <actualURL>vpn
- La dirección URL debe tener el siguiente formato:rdp://<TargetIP:Port>.
- Para el modo proxy RDP sin estado, la dirección URL debe tener el formato siguiente:rdp://<TargetIP:Port>/<ListenerIP:Port>
- La URL se publicará en el portal en el formato: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
Enlazar los marcadores al usuario, o grupo, o al servidor virtual vpn o vpn global.

Configuración de un Perfil de Cliente

Configure el perfil de cliente en la puerta de enlace del autenticador. A continuación se muestra una configuración de ejemplo:

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

Asocie el perfil del cliente RDP con el vserver vpn.

Esto se puede hacer configurando una SessionAction+SessionPolicy o estableciendo el parámetro vpn global.

Ejemplo:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

O BIEN

set vpn parameter –rdpClientprofile <name>

Configuración de un perfil de servidor

Configure el perfil del servidor en la puerta de enlace del listener.

• add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

El perfil RDPServer debe configurarse en ‘vpn vserver’.

• add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Configuración de ejemplo

Imagen localizada

Habilitar las funciones y modos necesarios
- habilitar la función ns ssl
- habilitar la función ns sslvpn
- habilitar la función ns rdpproxy
- habilitar modo usnip

Agregar URL VPN para el usuario con información de destino

 add aaa user Administrator –password freebsd123$%^

 add vpn url rdp RdpLink rdp://rdpserverinfo

 add dns addrec rdpserverinfo 10.102.147.132

 bind aaa user Administrator  –urlName rdp

Configurar el perfil de cliente y servidor RDP para la conexión VPN

 add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE

 add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix

 add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1

 set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1

 add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey

 bind ssl vserver mygateway -certkeyName gatewaykey

ADD SNIP para la conexión desde Citrix ADC al destino

 add ns ip 10.102.147.135  255.255.255.0 –type SNIP

Opción para inhabilitar el inicio de usuario (SSO)

La función SSO (Single Sign-On) con proxy RDP se puede inhabilitar configurando directivas de tráfico ADC de Citrix para que el usuario siempre reciba credenciales. Cuando el SSO está inhabilitado, la aplicación RDP (Smart Access) no funciona.

Ejemplo de configuración:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF

La directiva de tráfico se puede configurar según el requisito, a continuación se presentan dos ejemplos:

• Para inhabilitar el inicio de usuario único para todo el tráfico:

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>

• Para inhabilitar SSO basado en IP/FQDN de origen/destino

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>

Compatibilidad con Single Listener

Listener único para tráfico RDP y SSL.
La descarga de archivos RDP y el tráfico RDP se pueden manejar a través de la misma tupla 2 (es decir, IP y Port) en Citrix ADC.

Marcador

Generación de enlaces RDP a través del Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando TARGIP:Port. Para la implementación de proxy RDP-sin estado, el administrador puede incluir información de escucha de RDP en formato FQDN: Puerto como parte del perfil de cliente de RDP. Esto se hace bajo la opción RDPListener. Esta configuración se utilizará para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.

Imagen localizada

Configuración del proxy RDP

Haga lo siguiente para configurar el proxy RDP:

Expanda Citrix Gateway, expanda Directivas, haga clic con el botón secundario en RDP y haga clic en Habilitar función.
Haga clic en RDP a la izquierda. A la derecha, cambie a la pestaña Perfiles de cliente y haga clic en Agregar.
Asigne un nombre al perfil de cliente y configúrelo como desee. Desplazarse hacia abajo
En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.
Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitarás esto más tarde.
Asigne un nombre al perfil del servidor.
Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.
Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.
Si desea colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursosy haga clic en Marcadores.
A la derecha, haz clic en Agregar.
Asigne un nombre al Marcador.
Para la dirección URL, escriba rdp: //myRDPServer utilizando IP o DNS.
Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.
Cree más marcadores según desee.
Cree o edite un perfil o una directiva de sesión.
En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.
En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.
Si desea utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen activado.
En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.
Modifique o cree su servidor virtual de puerta de enlace.
En la sección Configuración básica, haga clic en Más.
Utilice el menú desplegable Perfil de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.
Desplázate hacia abajo. Asegúrese de que ICA Only no está marcada.
Enlazar un certificado.
Vincular directivas de autenticación.
Enlazar la política/perfil de sesión que tiene configurado el perfil de cliente RDP.
Haga clic en RDP a la izquierda. A la derecha, cambie a la pestaña Perfiles de cliente y haga clic en Agregar.
Asigne un nombre al perfil de cliente y configúrelo como desee. Desplazarse hacia abajo
En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.
Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitarás esto más tarde.
Asigne un nombre al perfil del servidor.
Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.
Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.
Si desea colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursosy haga clic en Marcadores.
A la derecha, haz clic en Agregar.
Asigne un nombre al Marcador.
Para la dirección URL, escriba rdp: //myRDPServer utilizando IP o DNS.
Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.
Cree más marcadores según desee.
Cree o edite un perfil o una directiva de sesión.
En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.
En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.
Si desea utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen activado.
En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.
Modifique o cree su servidor virtual de puerta de enlace.
En la sección Configuración básica, haga clic en Más.
Utilice el menú desplegable Perfil de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.
Desplázate hacia abajo. Asegúrese de que ICA Only no está marcada.
Enlazar un certificado.
Vincular directivas de autenticación.
Enlazar la política/perfil de sesión que tiene configurado el perfil de cliente RDP.
Puede enlazar marcadores al servidor virtual de Citrix Gateway o a un grupo AAA. Para enlazar con el servidor virtual de Citrix Gateway, a la derecha, en la sección Configuración avanzada, haga clic en PAplicaciones ublished.
A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.
Enlazar tus marcadores.
Dado que ICA Only no está especificado para este servidor virtual de Citrix Gateway, asegúrese de que las licencias de Citrix Gateway Universal estén configuradas correctamente. A la izquierda, expanda Citrix Gateway y haga clic en Configuración global.
A la derecha, haz clic en Cambiar la configuración AAA de autenticación.
Cambie el número máximo de usuarios a su límite de licencia.
Si desea conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración de tráfico > DNS > Servidores de nombres).
Si desea utilizar los nombres cortos en lugar de FQDN, agregue unsufijo D NS (Administración de tráfico > DNS > Sufijo DNS).
Conéctese a su Gateway e inicie sesión.
Si ha configurado Marcadores, haga clic en el Marcador.
Puede cambiar la barra de direcciones a /rdpProxy/myRDPServer. Puede introducir una dirección IP (por ejemplo, rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).
Abra el archivo.rdp descargado.
Para ver los usuarios conectados actualmente, vaya a Citrix Gateway Policies > RDP. A la derecha está la pestaña Conexiones.

The official version of this content is in English. Some of the Citrix documentation content is machine translated for your convenience only. Citrix has no control over machine-translated content, which may contain errors, inaccuracies or unsuitable language. No warranty of any kind, either expressed or implied, is made as to the accuracy, reliability, suitability, or correctness of any translations made from the English original into any other language, or that your Citrix product or service conforms to any machine translated content, and any warranty provided under the applicable end user license agreement or terms of service, or any other agreement with Citrix, that the product or service conforms with any documentation shall not apply to the extent that such documentation has been machine translated. Citrix will not be held responsible for any damage or issues that may arise from using machine-translated content.

Proxy RDP

October 11, 2019

Contributed by: C

En este artículo

Descripción general y mejoras del proxy RDP a través de Citrix Gateway
Descripción general de la implementación
Implementación a través de CVPN
Implementación a través de iCAproxy
Detalles de cumplimiento
Parámetros RDP admitidos para la aplicación
Compatibilidad con puerta de enlace sin estado (doble)
Compatibilidad con una puerta de enlace única
Requisitos de licencia para proxy RDP
Configuración de un Perfil de Cliente
Configuración de un perfil de servidor
Configuración de ejemplo
Opción para inhabilitar el inicio de usuario (SSO)
Compatibilidad con Single Listener
Marcador
Configuración del proxy RDP

Modificar esta página