Citrix Virtual Apps and Desktops Service

Protocolo Rendezvous

En entornos que utilizan Citrix Gateway Service, el protocolo Rendezvous permite que las sesiones HDX omitan el Citrix Cloud Connector y se conecten de forma directa y segura a Citrix Gateway Service.

Requisitos

  • Acceda al entorno mediante Citrix Workspace y Citrix Gateway Service.
  • Plano de control: Citrix Virtual Apps and Desktops Service (Citrix Cloud).
  • VDA: Versión 1912 o posterior.
    • La versión 2012 es la mínima requerida para Rendezvous con EDT.
    • La versión 2012 es la mínima requerida para compatibilidad con proxy no transparente (sin compatibilidad con archivos PAC).
    • La versión 2103 es la mínima requerida para la configuración de proxy con un archivo PAC.
  • Habilite el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulte Configuración de directiva del protocolo Rendezvous.
  • Los agentes VDA deben tener acceso a https://*.nssvc.net, incluidos todos los subdominios. Si no puede agregar a la lista de permitidos todos los subdominios de esa manera, use https://*.c.nssvc.net y https://*.g.nssvc.net en su lugar. Para obtener más información, consulte la sección Requisitos de la conectividad a Internet de la documentación de Citrix Cloud (en Virtual Apps and Desktops Service) y el artículo CTX270584 de Knowledge Center.
  • Los VDA deben poder conectarse a las direcciones mencionadas anteriormente en TCP 443 y UDP 443 para Rendezvous con TCP y Rendezvous con EDT, respectivamente.
  • Los Cloud Connectors deben obtener los FQDN de los VDA al hacer de intermediarios en una sesión. Puede hacerlo de una de estas dos maneras:
    • Habilitar la resolución de DNS en el sitio. Vaya a Configuración completa > Parámetros y active el parámetro Habilitar resolución de DNS. También puede usar el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops y ejecutar el comando Set-BrokerSite -DnsResolutionEnabled $true. Para obtener más información sobre el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops, consulte SDK y API.
    • Zona de búsqueda inversa DNS con registros PTR para los agentes VDA. Si elige esta opción, se recomienda configurar los VDA para que siempre intenten capturar registros PTR. Para ello, utilice el Editor de directivas de grupo u el objeto de directiva de grupo, vaya a Configuración del equipo > Plantillas administrativas > Red > Cliente DNS y establezca la opción de capturar registros PTR en Habilitado y Registrar. Si el sufijo DNS de la conexión no coincide con el sufijo DNS del dominio, también debe definir la configuración del sufijo DNS específico de la conexión para que las máquinas puedan capturar los registros PTR.

    Nota:

    Si se usa la opción de resolución de DNS, los Cloud Connectors deben poder resolver los nombres de dominio completos (FQDN) de las máquinas VDA. En caso de que los usuarios internos se conecten directamente a las máquinas VDA, los dispositivos cliente también deben poder resolver los FQDN de las máquinas VDA.

    Si se utiliza una zona de búsqueda inversa de DNS, los FQDN de los registros PTR deben coincidir con los FQDN de las máquinas VDA. Si el registro PTR contiene un nombre FQDN diferente, se produce un error en la conexión de Rendezvous. Por ejemplo, si el nombre de dominio completo (FQDN) de la máquina es vda01.domain.net, el registro PTR debe contener vda01.domain.net. Un nombre de dominio completo (FQDN) diferente como vda01.sub.domain.net no funciona.

Configuración de proxy

Se pueden establecer conexiones Rendezvous a través de un proxy en el VDA.

Consideraciones sobre servidores proxy

Tenga en cuenta lo siguiente al usar servidores proxy con Rendezvous:

  • Se admiten proxies transparentes, HTTP no transparentes y SOCKS5.
  • No se admite el descifrado y la inspección de paquetes. Configure una excepción para que el tráfico ICA entre el VDA y Gateway Service no se intercepte, descifre o inspeccione. De lo contrario, la conexión se interrumpe.
  • Los proxies HTTP admiten la autenticación basada en máquina mediante protocolos de autenticación Negotiate y Kerberos o NT LAN Manager (NTLM).

    Cuando se conecta al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Si Kerberos no es compatible, Negotiate recurre a NTLM para la autenticación.

    Nota:

    Para utilizar Kerberos, debe crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato HTTP/<proxyURL> al establecer una sesión, donde la URL del proxy se obtiene de la configuración de directiva de proxy Rendezvous. Si no crea un SPN, la autenticación recurre a NTLM. En ambos casos, la identidad de la máquina VDA se utiliza para la autenticación.

  • Actualmente, no se admite la autenticación con un proxy SOCKS5. Si utiliza un proxy SOCKS5 , deberá configurar una excepción para que el tráfico destinado a las direcciones de Gateway Service (especificadas en los requisitos) pueda omitir la autenticación.
  • Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, utilice TCP como protocolo de transporte para ICA.

Proxy transparente

Si utiliza un proxy transparente en la red, no se requiere configuración adicional en el VDA.

Proxy no transparente

Si utiliza un proxy no transparente en la red, configure el parámetro Configuración del proxy Rendezvous. Cuando la configuración está habilitada, especifique la dirección de proxy HTTP o SOCKS5, o bien introduzca la ruta al archivo PAC para que el VDA sepa qué proxy usar. Por ejemplo:

  • Dirección de proxy: http://<URL or IP>:<port> o socks5://<URL or IP>:<port>
  • Archivo PAC: http://<URL or IP>/<path>/<filename>.pac

Si utiliza el archivo PAC para configurar el proxy, defina el proxy con la sintaxis requerida por el servicio HTTP de Windows: PROXY [<scheme>=]<URL or IP>:<port>. Por ejemplo, PROXY socks5=<URL or IP>:<port>.

Comprobación de Rendezvous

Si cumple todos los requisitos, siga estos pasos para comprobar si se utiliza Rendezvous:

  1. Inicie PowerShell o un símbolo del sistema dentro de la sesión HDX.
  2. Ejecute ctxsession.exe –v.
  3. Los protocolos de transporte en uso indicarán el tipo de conexión:
    • Rendezvous con TCP: TCP - SSL - CGP - ICA
    • Rendezvous con EDT: UDP > DTLS > CGP > ICA
    • Proxy a través de Cloud Connector: TCP > CGP > ICA

Consideraciones adicionales

Orden de conjuntos de cifrado de Windows

Para un orden personalizado de los conjuntos de cifrado, debe incluir los conjuntos de cifrado compatibles con VDA que haya en la lista siguiente:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Si el orden personalizado de los conjuntos de cifrado no contiene estos conjuntos, falla la conexión de Rendezvous.

Zscaler Private Access

Si utiliza Zscaler Private Access (ZPA), se recomienda encarecidamente que configure las opciones de omisión para Gateway Service si quiere evitar una mayor latencia y el impacto que conlleva esta latencia en el rendimiento. Para ello, debe definir segmentos de aplicaciones para las direcciones de Gateway Service (especificadas en los requisitos) y establecerlos de modo que la omisión sea permanente. Si quiere obtener información sobre cómo configurar segmentos de aplicaciones para omisiones de ZPA, consulte la documentación de Zscaler.

Cómo funciona Rendezvous

Este diagrama es una descripción general del flujo de conexión de Rendezvous.

Descripción general del protocolo Rendezvous

Siga los pasos para comprender el flujo de conexión de Rendezvous:

  1. Vaya a Citrix Workspace.
  2. Introduzca las credenciales en Citrix Workspace.
  3. Si utiliza Active Directory de manera local, Citrix Virtual Apps and Desktops Service autentica las credenciales con Active Directory mediante el canal del Cloud Connector.
  4. Citrix Workspace muestra los recursos enumerados de Citrix Virtual Apps and Desktops Service.
  5. Seleccione recursos de Citrix Workspace. Citrix Virtual Apps and Desktops Service envía un mensaje al VDA con el fin de prepararse para una sesión entrante.
  6. Citrix Workspace envía un archivo ICA al dispositivo de punto final que contiene un tíquet de STA generado por Citrix Cloud.
  7. El dispositivo de punto final se conecta a Citrix Gateway Service y proporciona el tíquet para conectarse al VDA, tras lo cual Citrix Cloud valida el tíquet.
  8. Citrix Gateway Service envía información de la conexión al Cloud Connector. El Cloud Connector determina si se supone que la conexión debe ser una conexión con Rendezvous y envía la información al VDA.
  9. El VDA establece una conexión directa con Citrix Gateway Service.
  10. Si no es posible establecer una conexión directa entre el VDA y Citrix Gateway Service, el VDA emplea el Cloud Connector como intermediario.
  11. Citrix Gateway Servicio establece una conexión entre el dispositivo de punto final y el VDA.
  12. El VDA verifica su licencia con Citrix Virtual Apps and Desktops Service a través del Cloud Connector.
  13. Citrix Virtual Apps and Desktops Service envía y aplica directivas de sesión al VDA a través del Cloud Connector.
Protocolo Rendezvous