Citrix Virtual Apps and Desktops Service

Protocole Rendezvous

Dans les environnements qui utilisent le service Citrix Gateway, le protocole Rendezvous permet aux sessions HDX de contourner Citrix Cloud Connector et de se connecter directement et en toute sécurité au service Citrix Gateway.

Exigences

  • Accès à l’environnement à l’aide du service Citrix Workspace et Citrix Gateway.
  • Plan de contrôle : Citrix Virtual Apps and Desktops Service (Citrix Cloud).
  • VDA : Version 1912 ou ultérieure.
    • La version 2012 est la version minimale requise pour EDT Rendezvous.
    • La version 2012 est la version minimale requise pour la prise en charge du proxy non transparent (pas de prise en charge des fichiers PAC).
    • La version 2103 est la version minimale requise pour la configuration du proxy avec un fichier PAC.
  • Activez le protocole Rendezvous dans la stratégie Citrix. Pour de plus amples informations, consultez la section Paramètre de stratégie de protocole Rendezvous.
  • Les VDA doivent avoir accès à https://*.nssvc.net, y compris tous les sous-domaines. Si vous ne pouvez pas ajouter tous les sous-domaines à la liste d’autorisation de cette manière, utilisez https://*.c.nssvc.net et https://*.g.nssvc.net à la place. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Virtual Apps and Desktops Service) et à l’article du centre de connaissances CTX270584.
  • Les VDA doivent pouvoir se connecter aux adresses mentionnées ci-dessus sur TCP 443 et UDP 443 pour TCP Rendezvous et EDT Rendezvous, respectivement.
  • Les Cloud Connector doivent obtenir les noms de domaine complets des VDA lors de la négociation d’une session. Ceci peut être fait de l’une de ces deux façons :
    • Activez la résolution DNS pour le site. À l’aide du SDK Remote PowerShell Citrix Virtual Apps and Desktops, exécutez la commande Set-BrokerSite -DnsResolutionEnabled $true. Pour plus d’informations sur le SDK Remote PowerShell Citrix Virtual Apps and Desktops, consultez Kits de développement (SDK) et API.
    • Zone de recherche inversée DNS avec enregistrements PTR pour les VDA. Si vous choisissez cette option, nous vous recommandons de configurer les VDA pour toujours tenter d’inscrire les enregistrements PTR. Pour ce faire, utilisez l’Éditeur de stratégie de groupe ou l’Objet de stratégie de groupe, accédez à Configuration ordinateur > Modèles d’administration > Réseau > Client DNS, puis définissez Inscrire les enregistrements PTR sur Activé et Inscrire. Si le suffixe DNS de la connexion ne correspond pas au suffixe DNS du domaine, vous devez également configurer le paramètre du suffixe DNS spécifique à la connexion afin que les machines puissent inscrire les enregistrements PTR correctement.

Configuration du proxy

Le VDA prend en charge les connexions Rendezvous via un proxy.

Considérations relatives au proxy

Prenez les points suivants en considération lors de l’utilisation de proxy avec Rendezvous :

  • Les proxy transparents, les proxy HTTP non transparents et les proxy SOCKS5 sont pris en charge.
  • Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic ICA entre le VDA et le service de passerelle ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion est interrompue.
  • L’authentification au niveau du proxy n’est pas prise en charge. Configurez une exception afin que le trafic destiné aux adresses du service de passerelle (spécifié dans les exigences) puisse contourner l’authentification.
  • Seuls les proxies SOCKS5 prennent en charge le transport de données via EDT. Pour un proxy HTTP, utilisez TCP comme protocole de transport pour ICA.

Proxy transparent

Si vous utilisez un proxy transparent dans votre réseau, aucune configuration supplémentaire n’est requise sur le VDA.

Proxy non transparent

Si vous utilisez un proxy non transparent dans votre réseau, configurez le paramètre Configuration du proxy Rendezvous. Lorsque le paramètre est activé, spécifiez l’adresse proxy HTTP ou SOCKS5, ou entrez le chemin d’accès au fichier PAC pour que le VDA sache quel proxy utiliser. Par exemple :

  • Adresse proxy : http://<URL or IP>:<port> ou socks5://<URL or IP>:<port>
  • Fichier PAC : http://<URL or IP>/<path>/<filename>.pac

Si vous utilisez le fichier PAC pour configurer le proxy, définissez le proxy en utilisant la syntaxe requise par le service HTTP Windows : PROXY [<scheme>=]<URL or IP>:<port>. Par exemple, PROXY socks5=<URL or IP>:<port>. Pour plus d’informations, veuillez consulter le documentation Microsoft.

Validation de Rendezvous

Si vous remplissez toutes les conditions requises, procédez comme suit pour confirmer si Rendezvous est utilisé :

  1. Lancez PowerShell ou une invite de commandes dans la session HDX.
  2. Exécutez ctxsession.exe –v.
  3. Les protocoles de transport utilisés indiquent le type de connexion :
    • TCP Rendezvous : TCP > SSL > CGP > ICA
    • EDT Rendezvous : UDP > DTLS > CGP > ICA
    • Proxy via Cloud Connector : TCP > CGP > ICA

Considérations supplémentaires

Ordre de la suite de chiffrement Windows

Pour un ordre de suite de chiffrement personnalisé, assurez-vous d’inclure les suites de chiffrement prises en charge par VDA dans la liste suivante :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Si l’ordre de la suite de chiffrement personnalisé ne contient pas ces suites de chiffrement, la connexion Rendezvous échoue.

Zscaler Private Access

Si vous utilisez Zscaler Private Access (ZPA), il est fortement recommandé de configurer des paramètres de contournement pour Gateway Service afin d’éviter une latence accrue et son impact sur les performances. Pour ce faire, vous devez définir des segments d’application pour les adresses Gateway Service (spécifiées dans les conditions requises) et les définir de manière à toujours appliquer le contournement. Pour plus d’informations sur la configuration de segments d’application pour contourner ZPA, reportez-vous à la section Documentation Zscaler.

Fonctionnement de Rendezvous

Ce diagramme donne une vue d’ensemble du flux de connexion Rendezvous.

Présentation du protocole Rendezvous

Suivez les étapes pour comprendre le flux :

  1. Accédez à Citrix Workspace.
  2. Entrez les informations d’identification dans Citrix Workspace.
  3. Si vous utilisez un Active Directory local, le service Citrix Virtual Apps and Desktops authentifie les informations d’identification avec Active Directory à l’aide du canal Cloud Connector.
  4. Citrix Workspace affiche les ressources énumérées de Citrix Virtual Apps and Desktops Service.
  5. Sélectionnez des ressources dans Citrix Workspace. Le service Citrix Virtual Apps and Desktops envoie un message au VDA pour préparer une session entrante.
  6. Citrix Workspace envoie un fichier ICA au point de terminaison qui contient un ticket STA généré par Citrix Cloud.
  7. Le point de terminaison se connecte au service Citrix Gateway, fournit le ticket pour se connecter au VDA et Citrix Cloud valide le ticket.
  8. Le service Citrix Gateway envoie des informations de connexion au Cloud Connector. Le Cloud Connector détermine si la connexion est supposée être une connexion Rendezvous et envoie les informations au VDA.
  9. Le VDA établit une connexion directe au service Citrix Gateway.
  10. Si une connexion directe entre le VDA et le service Citrix Gateway n’est pas possible, le VDA effectue via proxy sa connexion au Cloud Connector.
  11. Le service Citrix Gateway établit une connexion entre le point de terminaison et le VDA.
  12. Le VDA vérifie sa licence avec le service Citrix Virtual Apps and Desktops via Cloud Connector.
  13. Le service Citrix Virtual Apps and Desktops envoie et applique des stratégies de session au VDA via Cloud Connector.
Protocole Rendezvous