Linux Virtual Delivery Agent

Rendezvous V2

October 6, 2022

Contributeur:

C Y

Lors de l’utilisation du service Citrix Gateway, le protocole Rendezvous permet au trafic de contourner les Citrix Cloud Connector et de se connecter directement et en toute sécurité au plan de contrôle Citrix Cloud.

Il existe deux types de trafic à prendre en compte : 1) Trafic du contrôle pour l’enregistrement du VDA et la négociation des sessions ; 2) Trafic de session HDX.

Rendezvous V1 permet au trafic de session HDX de contourner les Cloud Connector, mais il nécessite toujours que les Cloud Connector proxysent tout le trafic de contrôle pour l’enregistrement de VDA et la négociation des sessions.

Les machines jointes à un domaine AD standard et les machines n’appartenant pas à un domaine sont prises en charge pour l’utilisation de Rendezvous V2 avec des Linux VDA mono-session et multi-session. Avec les machines n’appartenant pas à un domaine, Rendezvous V2 permet à la fois au trafic HDX et au trafic de contrôle de contourner les Cloud Connector.

Exigences

Les conditions requises pour utiliser Rendezvous V2 sont les suivantes :

Accès à l’environnement à l’aide du service Citrix Gateway et Citrix Workspace.
Plan de contrôle : Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
VDA version 2201 ou ultérieure.
- La version 2204 est la version minimale requise pour les proxys HTTP et SOCKS5.
Activez le protocole Rendezvous dans la stratégie Citrix. Pour plus d’informations, consultez la section Paramètre de stratégie de protocole Rendezvous.
Les VDA doivent avoir accès à https://*.nssvc.net, y compris tous les sous-domaines. Si vous ne pouvez pas mettre en liste blanche tous les sous-domaines de cette manière, utilisez plutôt https://*.c.nssvc.net et https://*.g.nssvc.net. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Virtual Apps and Desktop service) et à l’article du centre de connaissances CTX270584.
Les VDA doivent pouvoir se connecter aux adresses mentionnées précédemment :
- Sur TCP 443, pour TCP Rendezvous.
- Sur UDP 443, pour EDT Rendezvous.

Configuration du proxy

Le VDA prend en charge la connexion via des proxys pour contrôler le trafic et le trafic de session HDX lors de l’utilisation de Rendezvous. Les exigences et les considérations relatives aux deux types de trafic étant différentes, examinez-les attentivement.

Considérations relatives au proxy de trafic

Seuls les proxys HTTP sont pris en charge.
Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic de contrôle entre le VDA et le plan de contrôle Citrix Cloud ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion échoue.
L’authentification du proxy n’est pas prise en charge.

Pour configurer un proxy pour contrôler le trafic, modifiez le registre comme suit :

 /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force
 <!--NeedCopy-->

Considérations relatives au proxy de trafic HD

Les proxys HTTP et SOCKS5 sont pris en charge.
EDT ne peut être utilisé qu’avec des proxys SOCKS5.
Pour configurer un proxy pour le trafic HDX, utilisez le paramètre de la stratégie Configuration du proxy Rendezvous .
Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic HDX entre le VDA et le plan de contrôle Citrix Cloud ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion échoue.
Les proxies HTTP prennent en charge l’authentification basée sur une machine à l’aide de Negotiate et des protocoles d’authentification Kerberos. Lorsque vous vous connectez au serveur proxy, le schéma d’authentification Negotiate sélectionne automatiquement le protocole Kerberos. Kerberos est le seul schéma pris en charge par le Linux VDA.

Remarque :

Pour utiliser Kerberos, vous devez créer le nom principal de service (SPN) du serveur proxy et l’associer au compte Active Directory du proxy. Le VDA génère le SPN au format HTTP/<proxyURL> lorsqu’il établit une session, où l’URL du proxy est extraite du paramètre de stratégie proxy Rendezvous. Si vous ne créez pas de nom principal de service, l’authentification échoue.
L’authentification avec un proxy SOCKS5 n’est actuellement pas prise en charge. Si vous utilisez un proxy SOCKS5, configurez une exception afin que le trafic destiné aux adresses du service de passerelle (spécifié dans les exigences) puisse contourner l’authentification.
Seuls les proxies SOCKS5 prennent en charge le transport de données via EDT. Pour un proxy HTTP, utilisez TCP comme protocole de transport pour ICA.

Proxy transparent

Le proxy HTTP transparent est pris en charge pour Rendezvous. Si vous utilisez un proxy transparent dans votre réseau, aucune configuration supplémentaire n’est requise sur le VDA.

Comment configurer Rendezvous V2

Voici les étapes à suivre pour configurer Rendezvous dans votre environnement :

Assurez-vous que toutes les exigences sont respectées.

Une fois le VDA installé, exécutez la commande suivante pour définir la clé de registre requise :

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force
<!--NeedCopy-->

Redémarrez la machine VDA.
Créez une stratégie Citrix ou modifiez une stratégie existante :
- Définissez le paramètre Protocole Rendezvous sur Autorisé.
- Assurez-vous que les filtres de stratégie Citrix sont correctement définis. La stratégie s’applique aux machines pour lesquelles Rendezvous doit être activé.
- Assurez-vous que la stratégie Citrix a la bonne priorité afin de ne pas en remplacer une autre.

Validation de Rendezvous

Pour vérifier si une session utilise le protocole Rendezvous, exécutez la commande /opt/Citrix/VDA/bin/ctxquery -f iP dans le terminal.

Les protocoles de transport utilisés indiquent le type de connexion :

TCP Rendezvous: TCP - TLS - CGP - ICA
EDT Rendezvous : UDP - DTLS - CGP - ICA
Proxy via Cloud Connector : TCP - PROXY - SSL - CGP - ICA ou UDP - PROXY - DTLS - CGP - ICA

Si Rendezvous V2 est utilisé, la version du protocole affiche 2.0.

Conseil :

Si vous activez Rendezvous et que le VDA ne parvient pas à atteindre directement le service Citrix Gateway, le VDA revient au proxy de la session HDX via le Cloud Connector.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Rendezvous V2

October 6, 2022

Contributeur:

C Y

October 6, 2022

Contributeur:

C Y