Citrix DaaS

Rendezvous V2

Quando si utilizza Citrix Gateway Service, il protocollo Rendezvous consente ai VDA di bypassare i Citrix Cloud Connector per connettersi direttamente e in modo sicuro con il piano di controllo Citrix Cloud.

Rendezvous V2 è supportato con macchine aggiunte a domini standard, macchine unite ad Azure AD e macchine non aggiunte a domini.

Nota:

Al momento, le distribuzioni senza connettore sono possibili solo con macchine aggiunte ad Azure AD e non aggiunte a un dominio. Le macchine aggiunte a domini AD standard richiedono ancora i Cloud Connector per la registrazione VDA e l’intermediazione delle sessioni. Tuttavia, non ci sono requisiti DNS per l’utilizzo di Rendezvous V2.

I requisiti di Cloud Connector per altre funzioni non correlate alla comunicazione VDA, come la connessione al dominio AD on-premise, il provisioning MCS agli hypervisor on-premise ecc. rimangono invariati.

Requisiti

I requisiti per l’utilizzo di Rendezvous V2 sono:

  • Accesso all’ambiente utilizzando il servizio Citrix Workspace e Citrix Gateway
  • Piano di controllo: Citrix DaaS
  • VDA versione 2203
  • Abilitare il protocollo Rendezvous nella politica Citrix. Per ulteriori informazioni, vedere Rendezvous protocol policy setting.
  • L’affidabilità della sessione deve essere abilitata sui VDA
  • Le macchine VDA devono avere accesso a:
    • https://*.xendesktop.net in TCP 443. Se non si possono consentire tutti i sottodomini in questo modo, è possibile utilizzare https://<customer_ID>.xendesktop.net, dove <customer_ID> è il proprio ID cliente Citrix Cloud, come mostrato nel portale degli amministratori di Citrix Cloud.
    • https://*.*.nssvc.net in TCP 443 per la connessione di controllo con Gateway Service.
    • https://*.*.nssvc.net in TCP 443 e UDP 443 per le sessioni HDX su TCP ed EDT, rispettivamente.

    Nota:

    Se non si può consentire l’utilizzo di tutti i sottodomini usando https://*.*.nssvc.net, è possibile usare invece https://*.c.nssvc.net e https://*.g.nssvc.net. Per ulteriori informazioni, vedere l’articolo CTX270584 del Knowledge Center.

Configurazione proxy

Il VDA supporta la connessione tramite proxy sia per il traffico di controllo che per il traffico di sessione HDX quando si utilizza Rendezvous. I requisiti e gli aspetti da considerare per entrambi i tipi di traffico sono diversi, quindi è necessario esaminarli attentamente.

Considerazioni sul proxy del traffico

  • Sono supportati solo i proxy HTTP.
  • La decrittografia e l’ispezione dei pacchetti non sono supportate. Configurare un’eccezione in modo che il traffico di controllo tra VDA e il piano di controllo di Citrix Cloud non venga intercettato, decrittografato o ispezionato. In caso contrario, la connessione non riesce.
  • L’autenticazione proxy non è supportata.

Considerazioni sul proxy del traffico HDX

  • I proxy HTTP e SOCKS5 sono supportati.
  • L’EDT può essere utilizzato solo con i proxy SOCKS5.
  • Per impostazione predefinita, il traffico HDX utilizza il proxy definito per il traffico di controllo. Se è necessario utilizzare un proxy diverso per il traffico HDX, sia esso un proxy HTTP diverso o un proxy SOCKS5, utilizzare l’impostazione dei criteri Rendezvous proxy configuration (configurazione del proxy Rendezvous).
  • La decrittografia e l’ispezione dei pacchetti non sono supportate. Configurare un’eccezione in modo che il traffico HDX tra VDA e il piano di controllo di Citrix Cloud non venga intercettato, decrittografato o ispezionato. In caso contrario, la connessione non riesce.
  • L’autenticazione basata su computer è supportata solo con i proxy HTTP e solo se la macchina VDA è aggiunta al dominio AD. Può utilizzare l’autenticazione Negotiate/Kerberos o NTLM.

    Nota:

    Per utilizzare Kerberos, creare il nome dell’entità servizio (SPN) per il server proxy e associarlo all’account Active Directory del proxy. Il VDA genera l’SPN nel formato HTTP/<proxyURL> quando si stabilisce una sessione, in cui l’URL proxy viene recuperato dall’impostazione dei criteri Rendezvous proxy configuration. Se non si crea un SPN, l’autenticazione effettua il fallback su NTLM. In entrambi i casi, l’identità della macchina VDA viene utilizzata per l’autenticazione.

  • L’autenticazione con un proxy SOCKS5 non è attualmente supportata. Se si utilizza un proxy SOCKS5, configurare un’eccezione in modo che il traffico destinato agli indirizzi del servizio gateway (specificati nei requisiti) possa ignorare l’autenticazione.
  • Solo i proxy SOCKS5 supportano il trasporto dei dati tramite EDT. Per un proxy HTTP, utilizzare TCP come protocollo di trasporto per ICA.

Proxy trasparente

Se si utilizza un proxy trasparente nella rete, non è richiesta alcuna configurazione aggiuntiva sul VDA.

Proxy non trasparente

Se si utilizza un proxy non trasparente nella rete, specificare il proxy durante l’installazione di VDA in modo che il traffico di controllo possa raggiungere il piano di controllo di Citrix Cloud. Consigliamo di leggere le considerazioni sul proxy del traffico di controllo prima di procedere all’installazione e alla configurazione.

Nell’installazione guidata VDA, selezionare Rendezvous Proxy Configuration nella pagina Additional Components (Componenti aggiuntivi). Questa opzione rende disponibile la pagina Rendezvous Proxy Configuration in una fase successiva dell’installazione guidata. Una volta qui, inserire l’indirizzo proxy o il percorso del file PAC per specificare quale proxy deve utilizzare il VDA. Ad esempio:

  • Indirizzo proxy: http://<URL or IP>:<port>
  • File PAC: http://<URL or IP>/<path/<filename>.pac

Come indicato nelle considerazioni sul proxy del traffico HDX, il traffico HDX utilizza il proxy definito durante l’installazione del VDA per impostazione predefinita. Se è necessario utilizzare un proxy diverso per il traffico HDX, sia esso un proxy HTTP diverso o un proxy SOCKS5, utilizzare l’impostazione dei criteri Rendezvous proxy configuration (configurazione del proxy Rendezvous). Quando l’impostazione è abilitata, specificare l’indirizzo proxy HTTP o SOCKS5. È inoltre possibile immettere il percorso del file PAC in modo da definire il proxy che dovrà essere utilizzato dal VDA. Ad esempio:

  • Indirizzo proxy: http://<URL or IP>:<port> o socks5://<URL or IP>:<port>
  • File PAC: http://<URL or IP>/<path/<filename>.pac

Se si utilizza il file PAC per configurare il proxy, definire il proxy utilizzando la sintassi richiesta dal servizio HTTP di Windows: PROXY [<scheme>=]<URL or IP>:<port>. Ad esempio, PROXY socks5=<URL or IP>:<port>.

Come configurare Rendezvous

Di seguito sono riportati i passaggi per configurare Rendezvous nel proprio ambiente:

  1. Assicurarsi che tutti i requisiti siano soddisfatti.
  2. Se è necessario utilizzare un proxy HTTP non trasparente nel proprio ambiente, configurarlo durante l’installazione del VDA. Fare riferimento alla sezione relativa alla configurazione del proxy per i dettagli.
  3. Dopo aver installato il VDA, aggiungere il seguente valore di registro: Chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent Tipo di valore: DWORD Nome del valore: GctRegistration Dati del valore: 1
  4. Riavviare la macchina del VDA.
  5. Creare un criterio Citrix o modificarne uno esistente:
    • Impostare Rendezvous Protocol su Allowed.
    • Se è necessario configurare un proxy HTTP o SOCKS5 per il traffico HDX, configurare l’impostazione Rendezvous proxy configuration.
    • Assicuratevi che i filtri dei criteri Citrix siano impostati correttamente. Il criterio si applica alle macchine che necessitano di Rendezvous abilitato.
  6. Assicurarsi che il criterio Citrix abbia la priorità corretta in modo che non ne sovrascriva un altro.

Convalida di Rendezvous

Se si soddisfano tutti i requisiti e si è completata la configurazione, seguire questi passaggi per verificare se Rendezvous è in uso:

  1. All’interno del desktop virtuale, aprire un prompt dei comandi o PowerShell.
  2. Eseguire ctxsession.exe -v.
  3. I protocolli di trasporto visualizzati indicano il tipo di connessione:
    • TCP Rendezvous: TCP > SSL > CGP > ICA
    • EDT Rendezvous: UDP > DTLS > CGP > ICA
    • Non Rendezvous: TCP > CGP > ICA
  4. La versione di Rendezvous riportata indica la versione in uso.

Altre considerazioni

Ordine delle suite di cifratura Windows

Se l’ordine della suite di cifratura è stato modificato nelle macchine VDA, assicurarsi di includere le suite di cifratura supportate dal VDA:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Se l’ordine della suite di cifratura personalizzato non contiene queste suite di cifratura, la connessione Rendezvous non riesce.

Zscaler Private Access

Se si utilizza Zscaler Private Access (ZPA), si consiglia di configurare le impostazioni di bypass per il servizio gateway per evitare una maggiore latenza e l’impatto sulle prestazioni associato. A tale scopo, è necessario definire i segmenti di applicazione per gli indirizzi del servizio gateway specificati nei requisiti e impostarli in modo che vengano sempre ignorati. Per informazioni sulla configurazione dei segmenti di applicazione per ignorare ZPA, vedere la documentazione di Zscaler.

Problemi noti

Rendezvous V2 non funziona se Rendezvous V1 era precedentemente in uso

Se è stata abilitata l’impostazione della risoluzione DNS nel sito DaaS per utilizzare Rendezvous V1, le connessioni Rendezvous V2 non andranno a buon fine. Per utilizzare Rendezvous V2, è necessario disabilitare la risoluzione DNS nel sito DaaS utilizzando una delle seguenti opzioni:

  • Accedere a Full Configuration > Settings (Configurazione completa > Impostazioni) e disattivare l’impostazione Enable DNS resolution (Abilita risoluzione DNS)
  • Utilizzare l’SDK Remote PowerShell Citrix DaaS ed eseguire il comando Set-BrokerSite -DnsResolutionEnabled $false

Il programma di installazione del VDA 2203 non consente di inserire una barra (/) per l’indirizzo del proxy

Come soluzione alternativa, è possibile configurare il proxy nel registro a installazione avvenuta:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: String
            Value name: ProxySettings
            Value data: Proxy address or path to pac file. For example:
                Proxy address: http://squidk.test.local:3128
                Pac file: http://file.test.com/config/proxy.pac

Flusso di traffico Rendezvous

Il diagramma seguente illustra la sequenza di passaggi relativi al flusso di traffico Rendezvous.

Flusso di traffico Rendezvous

  1. Il VDA stabilisce una connessione WebSocket con Citrix Cloud e si registra.
  2. Il VDA si registra con Citrix Gateway Service e ottiene un token dedicato.
  3. Il VDA stabilisce una connessione di controllo persistente con il Gateway Service.
  4. L’utente accede a Citrix Workspace.
  5. Workspace valuta la configurazione dell’autenticazione e reindirizza gli utenti all’IdP appropriato per l’autenticazione.
  6. L’utente inserisce le proprie credenziali.
  7. Dopo aver convalidato correttamente le credenziali utente, l’utente viene reindirizzato a Workspace.
  8. Workspace conta le risorse per l’utente e le visualizza.
  9. L’utente seleziona un desktop o un’applicazione da Workspace. Workspace invia la richiesta a Citrix DaaS, che esegue l’intermediazione della connessione e ordina al VDA di prepararsi per la sessione.
  10. Il VDA risponde con la funzionalità Rendezvous e la relativa identità.
  11. Citrix DaaS genera un ticket di avvio e lo invia al dispositivo utente tramite Workspace.
  12. L’endpoint dell’utente si connette a Gateway Service e fornisce il ticket di avvio per autenticare e identificare la risorsa a cui connettersi.
  13. Gateway Service invia le informazioni di connessione al VDA.
  14. Il VDA stabilisce una connessione diretta per la sessione con il Gateway Service.
  15. Il Gateway Service completa la connessione tra l’endpoint e il VDA.
  16. Il VDA verifica le licenze per la sessione.
  17. Citrix DaaS invia le policy applicabili al VDA.
Rendezvous V2