Citrix Virtual Apps and Desktops Service

Protocolo Rendezvous

En entornos que utilizan Citrix Gateway Service, el protocolo Rendezvous permite que las sesiones HDX omitan el Citrix Cloud Connector y se conecten de forma directa y segura a Citrix Gateway Service.

Requisitos

  • Acceda al entorno mediante Citrix Workspace y Citrix Gateway Service.
  • Plano de control: Citrix Virtual Apps and Desktops Service (Citrix Cloud)
  • VDA: Versión 1912 o posterior.
  • Habilite el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulte Configuración de directiva del protocolo Rendezvous.
  • Los agentes VDA deben tener acceso a https://*.nssvc.net, incluidos todos los subdominios. Si no puede agregar a la lista de permitidos todos los subdominios de esa manera, use https://*.c.nssvc.net y https://*.g.nssvc.net en su lugar. Para obtener más información, consulte la sección Requisitos de la conectividad a Internet de la documentación de Citrix Cloud (en Virtual Apps and Desktops Service) y el artículo CTX270584 de Knowledge Center.
  • Los Cloud Connectors deben obtener los FQDN de los VDA al hacer de intermediarios en una sesión. Puede hacerlo de una de estas dos maneras:
    • Habilitar la resolución de DNS en el sitio. En el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops, ejecute el comando Set-BrokerSite -DnsResolutionEnabled $true. Para obtener más información sobre el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops, consulte SDK y API.
    • Zona de búsqueda inversa DNS con registros PTR para los agentes VDA. Si elige esta opción, se recomienda configurar los VDA para que siempre intenten capturar registros PTR. Para ello, utilice el Editor de directivas de grupo u el objeto de directiva de grupo, vaya a Configuración del equipo > Plantillas administrativas > Red > Cliente DNS y establezca la opción de capturar registros PTR en Habilitado y Registrar. Si el sufijo DNS de la conexión no coincide con el sufijo DNS del dominio, también debe definir la configuración del sufijo DNS específico de la conexión para que las máquinas puedan capturar los registros PTR.

Configuración de proxy

Se pueden establecer conexiones Rendezvous a través de un proxy en el VDA.

Consideraciones sobre servidores proxy

Tenga en cuenta lo siguiente al usar servidores proxy con Rendezvous:

  • Se admiten servidores proxy transparentes, proxy HTTP no transparentes y proxy SOCKS.
  • No se admite el descifrado y la inspección de paquetes. Configure una excepción para que el tráfico ICA entre el VDA y Gateway Service no se intercepte, descifre o inspeccione. De lo contrario, la conexión se interrumpe.
  • No está disponible la autenticación en el proxy. Configure una excepción para que el tráfico destinado a las direcciones de Gateway Service (especificadas en los requisitos) pueda omitir la autenticación.
  • Solo está disponible Rendezvous con TCP. Actualmente, Rendezvous con EDT no se puede utilizar con servidores proxy.

Proxy transparente

Si utiliza un proxy transparente en la red, no se requiere configuración adicional en el VDA.

Proxy no transparente

Si utiliza un proxy no transparente en la red, defina la configuración Configuración de Rendezvous Proxy. Cuando la configuración está habilitada, especifique la dirección de proxy HTTP o SOCKS para que el VDA sepa qué proxy usar. Por ejemplo, “http://<FQDN or IP>:<port>” o “socks5://<FQDN or IP>:<port>”.

Actualmente, no se admite la configuración de proxy con archivos PAC.

Comprobación de Rendezvous

Si cumple todos los requisitos, siga estos pasos para comprobar si se utiliza Rendezvous:

  1. Inicie PowerShell o un símbolo del sistema dentro de la sesión HDX.
  2. Ejecute ctxsession.exe –v.
  3. Los protocolos de transporte en uso indicarán el tipo de conexión:
    • Rendezvous con TCP: TCP - SSL - CGP - ICA
    • Rendezvous con EDT: UDP > DTLS > CGP > ICA
    • Proxy a través de Cloud Connector: TCP > CGP > ICA

Consideraciones adicionales

Orden de conjuntos de cifrado de Windows

Para un orden personalizado de los conjuntos de cifrado, debe incluir los conjuntos de cifrado compatibles con VDA que haya en la lista siguiente:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Si el orden personalizado de los conjuntos de cifrado no contiene estos conjuntos, falla la conexión de Rendezvous.

Zscaler Private Access

Si utiliza Zscaler Private Access (ZPA), se recomienda encarecidamente que configure las opciones de omisión para Gateway Service si quiere evitar una mayor latencia y el impacto que conlleva esta latencia en el rendimiento. Para ello, debe definir segmentos de aplicaciones para las direcciones de Gateway Service (especificadas en los requisitos) y establecerlos de modo que la omisión sea permanente. Si quiere obtener información sobre cómo configurar segmentos de aplicaciones para omisiones de ZPA, consulte la documentación de Zscaler.

Cómo funciona Rendezvous

Este diagrama es una descripción general del flujo de conexión de Rendezvous.

Descripción general del protocolo Rendezvous

Siga los pasos para entender el funcionamiento:

  1. Vaya a Citrix Workspace.
  2. Introduzca las credenciales en Citrix Workspace.
  3. Si utiliza Active Directory de manera local, Citrix Virtual Apps and Desktops Service autentica las credenciales con Active Directory mediante el canal del Cloud Connector.
  4. Citrix Workspace muestra los recursos enumerados de Citrix Virtual Apps and Desktop Service.
  5. Seleccione recursos de Citrix Workspace. Citrix Virtual Apps and Desktop Service envía un mensaje al VDA con el fin de prepararse para una sesión entrante.
  6. Citrix Workspace envía un archivo ICA al dispositivo de punto final que contiene un tíquet de STA generado por Citrix Cloud.
  7. El dispositivo de punto final se conecta a Citrix Gateway Service y proporciona el tíquet para conectarse al VDA, tras lo cual Citrix Cloud valida el tíquet.
  8. Citrix Gateway Service envía información de la conexión al Cloud Connector. El Cloud Connector determina si se supone que la conexión debe ser una conexión con Rendezvous y envía la información al VDA.
  9. El VDA establece una conexión directa con Citrix Gateway Service.
  10. Si no es posible establecer una conexión directa entre el VDA y Citrix Gateway Service, el VDA emplea el Cloud Connector como intermediario.
  11. Citrix Gateway Servicio establece una conexión entre el dispositivo de punto final y el VDA.
  12. El VDA verifica su licencia con Citrix Virtual Apps and Desktop Service a través del Cloud Connector.
  13. Citrix Virtual Apps and Desktop Service envía y aplica directivas de sesión al VDA a través del Cloud Connector.
Protocolo Rendezvous