Citrix DaaS

Rendezvous V1

Citrix Gatewayサービスを使用する場合、Rendezvousプロトコルにより、VDAがCitrix Cloud Connectorをバイパスして、Citrix Cloudコントロールプレーンに直接かつ安全に接続できます。

要件

  • Citrix WorkspaceとCitrix Gatewayサービスを使用して環境にアクセスします。
  • コントロールプレーン:Citrix DaaS(Citrix Cloud)。
  • VDA:バージョン1912以降。
    • バージョン2012は、EDT Rendezvousに必要な最小バージョンです。
    • バージョン2012は、不透明なプロキシサポート(PACファイルのサポートなし)に必要な最小バージョンです。
    • バージョン2103は、PACファイルを使用したプロキシ構成に必要な最小バージョンです。
  • CitrixポリシーでRendezvousプロトコルを有効にします。詳しくは、「Rendezvousプロトコルポリシー設定」を参照してください。
  • VDAは、すべてのサブドメインを含むhttps://*.nssvc.netにアクセスできる必要があります。この方法ですべてのサブドメインを許可リストに登録できない場合、代わりにhttps://*.c.nssvc.netおよびhttps://*.g.nssvc.netを使用します。詳しくは、Citrix Cloudのドキュメント(Citrix DaaS内)の「インターネット接続の要件」セクションおよびKnowledge Centerの記事CTX270584を参照してください。
  • VDAは、TCP RendezvousおよびEDT Rendezvousのそれぞれについて、TCP 443およびUDP 443で前述のアドレスに接続できる必要があります。
  • Cloud Connectorは、セッションを仲介する場合、VDAのFQDNを取得する必要があります。このタスクを完了するには、次の2つの方法があります:
    • サイトのDNS解決を有効にします。 [完全な構成]>[設定] に移動し、[DNS解決を有効にする]設定をオンにします。または、Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンドSet-BrokerSite -DnsResolutionEnabled $trueを実行します。Citrix Virtual Apps and Desktops Remote PowerShell SDKについて詳しくは、「SDKおよびAPI」を参照してください。
    • VDAのPTRレコードを含むDNS逆引き参照ゾーン。このオプションを選択した場合は、常にPTRレコードの登録を試行するようにVDAを構成することをお勧めします。これを行うには、グループポリシーエディターまたはグループポリシーオブジェクトを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[DNSクライアント] に移動し、[PTRレコードを登録する][有効]および[登録] に設定します。接続のDNSサフィックスがドメインのDNSサフィックスと一致しない場合は、マシンがPTRレコードを正常に登録できるように、[接続固有のDNSサフィックス] 設定も構成する必要があります。

    注:

    DNS解決オプションを使用する場合、Cloud ConnectorでVDAマシンの完全修飾ドメイン名(FQDN)を解決できなければなりません。内部ユーザーがVDAマシンに直接接続する場合、クライアントデバイスもVDAマシンのFQDNを解決できる必要があります。

    DNS逆引き参照ゾーンを使用する場合、PTRレコードのFQDNはVDAマシンのFQDNと一致する必要があります。PTRレコードに別のFQDNが含まれている場合、Rendezvous接続は失敗します。たとえば、マシンのFQDNがvda01.domain.netの場合、PTRレコードにはvda01.domain.netが含まれている必要があります。vda01.sub.domain.netなどの別のFQDNだと機能しません。

プロキシ構成

VDAは、プロキシを介したRendezvous接続の確立をサポートしています。

プロキシに関する考慮事項

Rendezvousでプロキシを使用する場合は、次の点を考慮してください:

  • 透過プロキシ、非透過HTTPプロキシ、およびSOCKS5プロキシがサポートされています。
  • パケットの復号化と検査はサポートされていません。VDAとGatewayサービスの間のICAトラフィックが傍受、復号化、または検査されないように、例外を構成します。例外を構成しないと、接続が切断されます。
  • HTTPプロキシは、NegotiateおよびKerberosプロトコル、またはNT LAN Manager(NTLM)認証プロトコルを使用して、マシンベースの認証をサポートします。

    プロキシサーバーに接続するとき、Negotiate認証スキームによってKerberosプロトコルが自動的に選択されます。Kerberosがサポートされていない場合、NegotiateはNTLM認証にフォールバックします。

    注:

    Kerberosを使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシのActive Directoryアカウントに関連付ける必要があります。VDAは、セッションの確立時にHTTP/<proxyURL>形式のSPNを生成します。この場合、プロキシURLはRendezvousプロキシのポリシー設定から取得されます。SPNを作成しない場合、認証はNTLMにフォールバックします。どちらの場合も、VDAマシンのIDが認証に使用されます。

  • SOCKS5プロキシによる認証は、現在サポートされていません。SOCKS5プロキシを使用する場合、要件で指定されているGatewayサービスアドレス宛てのトラフィックが認証をバイパスできるように、例外を構成する必要があります。
  • EDTを介したデータ転送をサポートしているのは、SOCKS5プロキシのみです。HTTPプロキシの場合、ICAのトランスポートプロトコルとしてTCPを使用します。

透過プロキシ

ネットワークで透過プロキシを使用している場合、VDAで追加の構成は必要ありません。

非透過プロキシ

ネットワークで非透過プロキシを使用している場合は、Rendezvousプロキシの構成の設定を行います。この設定が有効になっている場合、VDAが使用するプロキシを認識できるように、HTTPまたはSOCKS5プロキシアドレスを指定するか、PACファイルへのパスを入力します。例:

  • プロキシアドレス:http://<URL or IP>:<port>またはsocks5://<URL or IP>:<port>
  • PACファイル:http://<URL or IP>/<path>/<filename>.pac

PACファイルを使用してプロキシを構成する場合は、Windows HTTPサービスに必要な構文を使用してプロキシを定義します:PROXY [<scheme>=]<URL or IP>:<port>。例:PROXY socks5=<URL or IP>:<port>

Rendezvousの検証

すべての要件を満たしている場合は、次の手順に従って、Rendezvousが使用されているかを検証します:

  1. HDXセッション内でPowerShellまたはコマンドプロンプトを起動します。
  2. ctxsession.exe –vを実行します。
  3. 使用中のトランスポートプロトコルは、接続の種類を示しています:
    • TCP Rendezvous:TCP > SSL > CGP > ICA
    • EDT Rendezvous:UDP > DTLS > CGP > ICA
    • Cloud Connectorを介したプロキシ:TCP > CGP > ICA

そのほかの考慮事項

Windowsの暗号の組み合わせの順序

カスタムの暗号の組み合わせの順序については、VDAでサポートされている暗号の組み合わせが含まれていることを次のリストから確認してください:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

カスタムの暗号の組み合わせの順序にこれらの暗号の組み合わせが含まれていない場合、Rendezvous接続は失敗します。

Zscaler Private Access

Zscaler Private Access(ZPA)を使用している場合は、Gatewayサービスのバイパス設定を構成して、遅延の増加とそれに伴うパフォーマンスへの影響を回避することをお勧めします。これを行うには、要件で指定されているGatewayサービスアドレスのアプリケーションセグメントを定義し、それらを常にバイパスするように設定する必要があります。ZPAをバイパスするようにアプリケーションセグメントを構成する方法については、Zscalerのマニュアルを参照してください。

Rendezvous V1