Rendezvous V1
Cuando se utiliza Citrix Gateway Service, el protocolo Rendezvous permite que el tráfico omita los Citrix Cloud Connectors y se conecte de forma directa y segura con el plano de control de Citrix Cloud.
Hay dos tipos de tráfico que se deben tener en cuenta: 1) el tráfico de control para el registro de VDA y la intermediación de sesiones; 2) el tráfico de sesiones HDX.
Rendezvous V1 permite que el tráfico de sesiones HDX omita los Cloud Connectors, pero aun así requiere que los Cloud Connectors hagan de intermediario de todo el tráfico de control para el registro de VDA y la intermediación de sesiones.
Requisitos
- Acceso al entorno mediante Citrix Workspace y Citrix Gateway Service.
- Plano de control: Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service).
- Linux VDA 2112 o una versión posterior
- 2112 es la versión la mínima necesaria para los proxies HTTP no transparentes.
- 2204 es la versión mínima necesaria para los proxies transparentes y SOCKS5.
- Habilite el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulte Configuración de directiva del protocolo Rendezvous.
- Los agentes VDA deben tener acceso a
https://*.nssvc.net, incluidos todos los subdominios. Si no puede agregar a la lista de permitidos todos los subdominios de esa manera, usehttps://*.c.nssvc.netyhttps://*.g.nssvc.neten su lugar. Para obtener más información, consulte la sección Requisitos de la conectividad a Internet de la documentación de Citrix Cloud (en Virtual Apps and Desktops Service) y el artículo CTX270584 de Knowledge Center. - Los Cloud Connectors deben obtener los FQDN de los VDA al hacer de intermediarios en una sesión. Puede hacer esta tarea de una de estas dos maneras:
-
Habilitar la resolución de DNS en el sitio. Vaya a Configuración completa > Parámetros y active el parámetro Habilitar resolución de DNS. También puede usar el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops y ejecutar el comando
Set-BrokerSite -DnsResolutionEnabled $true. Para obtener más información sobre el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops, consulte SDK y API. - Zona de búsqueda inversa DNS con registros PTR para los agentes VDA. Si elige esta opción, se recomienda configurar los VDA para que siempre intenten capturar registros PTR. Para ello, utilice el Editor de directivas de grupo u el objeto de directiva de grupo, vaya a Configuración del equipo > Plantillas administrativas > Red > Cliente DNS y establezca la opción de capturar registros PTR en Habilitado y Registrar. Si el sufijo DNS de la conexión no coincide con el sufijo DNS del dominio, también debe definir la configuración del sufijo DNS específico de la conexión para que las máquinas puedan capturar los registros PTR.
Nota:
Si se usa la opción de resolución de DNS, los Cloud Connectors deben poder resolver los nombres de dominio completos (FQDN) de las máquinas VDA. En caso de que los usuarios internos se conecten directamente a las máquinas VDA, los dispositivos cliente también deben poder resolver los FQDN de las máquinas VDA.
Si se utiliza una zona de búsqueda inversa de DNS, los FQDN de los registros PTR deben coincidir con los FQDN de las máquinas VDA. Si el registro PTR contiene un nombre FQDN diferente, se produce un error en la conexión de Rendezvous. Por ejemplo, si el nombre de dominio completo (FQDN) de la máquina es
vda01.domain.net, el registro PTR debe contenervda01.domain.net. Un nombre de dominio completo (FQDN) diferente comovda01.sub.domain.netno funciona. -
Habilitar la resolución de DNS en el sitio. Vaya a Configuración completa > Parámetros y active el parámetro Habilitar resolución de DNS. También puede usar el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops y ejecutar el comando
Configuración de proxy
Se pueden establecer conexiones Rendezvous a través de proxies HTTP y SOCKS5 en el VDA.
Consideraciones sobre servidores proxy
Tenga en cuenta lo siguiente al usar servidores proxy con Rendezvous:
-
Se admiten proxies HTTP no transparentes y proxies SOCKS5.
-
No se admite el descifrado y la inspección de paquetes. Configure una excepción para que el tráfico ICA entre el VDA y Gateway Service no se intercepte, descifre o inspeccione. De lo contrario, la conexión se interrumpe.
-
Los proxies HTTP admiten la autenticación por máquina mediante protocolos de autenticación Negotiate y Kerberos. Cuando se conecta al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Kerberos es el único esquema que admite Linux VDA.
Nota:
Para utilizar Kerberos, debe crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato
HTTP/<proxyURL>al establecer una sesión, donde la URL del proxy se obtiene de la configuración de directiva de proxy Rendezvous. Si no crea un SPN, se produce un error en la autenticación. - Actualmente, no se admite la autenticación con un proxy SOCKS5. Si utiliza un proxy SOCKS5 , deberá configurar una excepción para que el tráfico destinado a las direcciones de Gateway Service (especificadas en los requisitos) pueda omitir la autenticación.
- Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, utilice TCP como el protocolo de transporte para ICA.
Proxy transparente
Se admite un proxy HTTP transparente con Rendezvous. Si utiliza un proxy transparente en la red, no se requiere configuración adicional en el VDA.
Proxy no transparente
Al utilizar un proxy no transparente en la red, configure el parámetro Configuración del proxy Rendezvous. Cuando la configuración está habilitada, especifique la dirección de proxy HTTP o SOCKS5 para que el VDA sepa qué proxy usar. Por ejemplo:
- Dirección de proxy:
http://<URL or IP>:<port>osocks5://<URL or IP>:<port>
Comprobación de Rendezvous
Si cumple todos los requisitos, siga estos pasos para comprobar si se utiliza Rendezvous:
- Inicie un terminal en el VDA.
- Ejecute
/opt/Citrix/VDA/bin/ctxquery -f iP. - Los PROTOCOLOS DE TRANSPORTE en uso indican el tipo de conexión:
- TCP Rendezvous: TCP - TLS - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- Proxy a través de Cloud Connector: TCP - PROXY - SSL - CGP - ICA o UDP - PROXY - DTLS - CGP - ICA
Consejo:
Si el VDA no puede acceder directamente a Citrix Gateway Service con Rendezvous habilitado, el VDA recurre al Cloud Connector para hacer de intermediario con la sesión HDX.
Cómo funciona Rendezvous
Este diagrama es una descripción general del flujo de conexión de Rendezvous.
Siga los pasos para entender el flujo.
- Vaya a Citrix Workspace.
- Introduzca las credenciales en Citrix Workspace.
- Si utiliza Active Directory de manera local, Citrix DaaS autentica las credenciales con Active Directory mediante el canal del Cloud Connector.
- Citrix Workspace muestra los recursos enumerados de Citrix DaaS.
- Seleccione recursos de Citrix Workspace. Citrix DaaS envía un mensaje al VDA con el fin de prepararse para una sesión entrante.
- Citrix Workspace envía un archivo ICA al dispositivo de punto final que contiene un tíquet de STA generado por Citrix Cloud.
- El dispositivo de punto final se conecta a Citrix Gateway Service y proporciona el tíquet para conectarse al VDA, tras lo cual Citrix Cloud valida el tíquet.
- Citrix Gateway Service envía información de la conexión al Cloud Connector. El Cloud Connector determina si la conexión es una conexión con Rendezvous y envía la información al VDA.
- El VDA establece una conexión directa con Citrix Gateway Service.
- Si no es posible establecer una conexión directa entre el VDA y Citrix Gateway Service, el VDA emplea el Cloud Connector como intermediario.
- Citrix Gateway Servicio establece una conexión entre el dispositivo de punto final y el VDA.
- El VDA verifica su licencia con Citrix DaaS a través del Cloud Connector.
- Citrix DaaS envía directivas de sesión al VDA a través del Cloud Connector. Esas directivas se aplican.