Citrix Virtual Apps and Desktops Service

Protocole Rendezvous

Dans les environnements qui utilisent le service Citrix Gateway, le protocole Rendezvous permet aux sessions HDX de contourner Citrix Cloud Connector et de se connecter directement et en toute sécurité au service Citrix Gateway.

Exigences

  • Accès à l’environnement à l’aide du service Citrix Workspace et Citrix Gateway.
  • Plan de contrôle : Citrix Virtual Apps and Desktops Service (Citrix Cloud)
  • VDA : Version 1912 ou ultérieure.
  • Activez le protocole Rendezvous dans la stratégie Citrix. Pour plus d’informations, consultez Paramètre de stratégie de protocole Rendezvous.
  • Les VDA doivent avoir accès à https://*.nssvc.net, y compris tous les sous-domaines. Si vous ne pouvez pas ajouter tous les sous-domaines à la liste d’autorisation de cette manière, utilisez https://*.c.nssvc.net et https://*.g.nssvc.net à la place. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Virtual Apps and Desktop service) et à l’article du centre de connaissances CTX270584.
  • Les Cloud Connector doivent obtenir les noms de domaine complets des VDA lors de la négociation d’une session. Ceci peut être fait de l’une de ces deux façons :
    • Activez la résolution DNS pour le site. À l’aide du SDK Remote PowerShell Citrix Virtual Apps and Desktops, exécutez la commande Set-BrokerSite -DnsResolutionEnabled $true. Pour plus d’informations sur le SDK Remote PowerShell Citrix Virtual Apps and Desktops, consultez Kits de développement (SDK) et API.
    • Zone de recherche inversée DNS avec enregistrements PTR pour les VDA. Si vous choisissez cette option, nous vous recommandons de configurer les VDA pour toujours tenter d’inscrire les enregistrements PTR. Pour ce faire, utilisez l’Éditeur de stratégie de groupe ou l’Objet de stratégie de groupe, accédez à Configuration ordinateur > Modèles d’administration > Réseau > Client DNS, puis définissez Inscrire les enregistrements PTR sur Activé et Inscrire. Si le suffixe DNS de la connexion ne correspond pas au suffixe DNS du domaine, vous devez également configurer le paramètre du suffixe DNS spécifique à la connexion afin que les machines puissent inscrire les enregistrements PTR correctement.

Configuration du proxy

Le VDA prend en charge les connexions Rendezvous via un proxy.

Considérations relatives au proxy

Prenez les points suivants en considération lors de l’utilisation de proxy avec Rendezvous :

  • Les proxy transparents, les proxy HTTP non transparents et les proxy SOCKS sont pris en charge.
  • Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic ICA entre le VDA et le service de passerelle ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion est interrompue.
  • L’authentification au niveau du proxy n’est pas prise en charge. Configurez une exception afin que le trafic destiné aux adresses du service de passerelle (spécifié dans les exigences) puisse contourner l’authentification.
  • Seul Rendezvous avec TCP est pris en charge. Rendezvous avec EDT n’est actuellement pas pris en charge avec les proxy.

Proxy transparent

Si vous utilisez un proxy transparent dans votre réseau, aucune configuration supplémentaire n’est requise sur le VDA.

Proxy non transparent

Si vous utilisez un proxy non transparent dans votre réseau, configurez le paramètre Configuration du proxy Rendezvous. Lorsque le paramètre est activé, spécifiez l’adresse proxy HTTP ou SOCKS pour que le VDA sache quel proxy utiliser. Par exemple, “http://<FQDN or IP>:<port>” ou “socks5://<FQDN or IP>:<port>”.

La configuration proxy avec les fichiers PAC n’est actuellement pas prise en charge.

Validation de Rendezvous

Si vous remplissez toutes les conditions requises, procédez comme suit pour confirmer si Rendezvous est utilisé :

  1. Lancez PowerShell ou une invite de commandes dans la session HDX.
  2. Exécutez ctxsession.exe –v.
  3. Les protocoles de transport utilisés indiquent le type de connexion :
    • TCP Rendezvous : TCP > SSL > CGP > ICA
    • EDT Rendezvous : UDP > DTLS > CGP > ICA
    • Proxy via Cloud Connector : TCP > CGP > ICA

Considérations supplémentaires

Ordre de la suite de chiffrement Windows

Pour un ordre de suite de chiffrement personnalisé, assurez-vous d’inclure les suites de chiffrement prises en charge par VDA dans la liste suivante :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Si l’ordre de la suite de chiffrement personnalisé ne contient pas ces suites de chiffrement, la connexion Rendezvous échoue.

Zscaler Private Access

Si vous utilisez Zscaler Private Access (ZPA), il est fortement recommandé de configurer des paramètres de contournement pour Gateway Service afin d’éviter une latence accrue et son impact sur les performances. Pour ce faire, vous devez définir des segments d’application pour les adresses Gateway Service (spécifiées dans les conditions requises) et les définir de manière à toujours appliquer le contournement. Pour plus d’informations sur la configuration de segments d’application pour contourner ZPA, reportez-vous à la section Documentation Zscaler.

Fonctionnement de Rendezvous

Ce diagramme donne une vue d’ensemble du flux de connexion Rendezvous.

Présentation du protocole Rendezvous

Suivez les étapes pour comprendre le flux :

  1. Accédez à Citrix Workspace.
  2. Entrez les informations d’identification dans Citrix Workspace.
  3. Si vous utilisez un Active Directory local, le service Citrix Virtual Apps and Desktops authentifie les informations d’identification avec Active Directory à l’aide du canal Cloud Connector.
  4. Citrix Workspace affiche les ressources énumérées du service Citrix Virtual Apps and Desktop.
  5. Sélectionnez des ressources dans Citrix Workspace. Le service Citrix Virtual Apps and Desktop envoie un message au VDA pour préparer une session entrante.
  6. Citrix Workspace envoie un fichier ICA au point de terminaison qui contient un ticket STA généré par Citrix Cloud.
  7. Le point de terminaison se connecte au service Citrix Gateway, fournit le ticket pour se connecter au VDA et Citrix Cloud valide le ticket.
  8. Le service Citrix Gateway envoie des informations de connexion au Cloud Connector. Le Cloud Connector détermine si la connexion est supposée être une connexion Rendezvous et envoie les informations au VDA.
  9. Le VDA établit une connexion directe au service Citrix Gateway.
  10. Si une connexion directe entre le VDA et le service Citrix Gateway n’est pas possible, le VDA effectue via proxy sa connexion au Cloud Connector.
  11. Le service Citrix Gateway établit une connexion entre le point de terminaison et le VDA.
  12. Le VDA vérifie sa licence avec le service Citrix Virtual Apps and Desktop via Cloud Connector.
  13. Le service Citrix Virtual Apps and Desktop envoie et applique des stratégies de session au VDA via Cloud Connector.
Protocole Rendezvous