ランデブープロトコル
Citrix Gatewayサービスを使用する環境では、ランデブープロトコルにより、HDXセッションがCitrix Cloud Connectorをバイパスして、Citrix Gatewayサービスに直接かつ安全に接続できます。
要件
- Citrix WorkspaceとCitrix Gatewayサービスを使用して環境にアクセスします。
- コントロールプレーン:Citrix Virtual Apps and Desktopsサービス(Citrix Cloud)
- VDA:バージョン1912以降。
- バージョン2012は、EDT Rendezvousに必要な最小バージョンです。
- バージョン2012は、不透明なプロキシサポート(PACファイルのサポートなし)に必要な最小バージョンです。
- バージョン2103は、PACファイルを使用したプロキシ構成に必要な最小バージョンです。
- Citrixポリシーでランデブープロトコルを有効にします。詳しくは、「ランデブープロトコルポリシー設定」を参照してください。
- VDAは、すべてのサブドメインを含む
https://*.nssvc.netにアクセスできる必要があります。この方法ですべてのサブドメインを許可リストに登録できない場合、代わりにhttps://*.c.nssvc.netおよびhttps://*.g.nssvc.netを使用します。詳しくは、Citrix Cloudのドキュメント(Virtual Apps and Desktopsサービス内)の「インターネット接続の要件」セクションおよびKnowledge Centerの記事CTX270584を参照してください。 - VDAは、TCP RendezvousおよびEDT Rendezvousのそれぞれについて、TCP 443およびUDP 443で上記のアドレスに接続できる必要があります。
- Cloud Connectorは、セッションを仲介する場合、VDAのFQDNを取得する必要があります。このためには、次の2つの方法があります:
-
サイトのDNS解決を有効にします。 [完全な構成]>[設定] に移動し、[DNS解決を有効にする]設定をオンにします。または、Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンド
Set-BrokerSite -DnsResolutionEnabled $trueを実行します。Citrix Virtual Apps and Desktops Remote PowerShell SDKについて詳しくは、「SDKおよびAPI」を参照してください。 - VDAのPTRレコードを含むDNS逆引き参照ゾーン。このオプションを選択した場合は、常にPTRレコードの登録を試行するようにVDAを構成することをお勧めします。これを行うには、グループポリシーエディターまたはグループポリシーオブジェクトを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[DNSクライアント] に移動し、[PTRレコードを登録する] を [有効]および[登録] に設定します。接続のDNSサフィックスがドメインのDNSサフィックスと一致しない場合は、マシンがPTRレコードを正常に登録できるように、[接続固有のDNSサフィックス] 設定も構成する必要があります。
注:
DNS解決オプションを使用する場合、Cloud ConnectorでVDAマシンの完全修飾ドメイン名(FQDN)を解決できなければなりません。内部ユーザーがVDAマシンに直接接続する場合、クライアントデバイスもVDAマシンのFQDNを解決できる必要があります。
DNS逆引き参照ゾーンを使用する場合、PTRレコードのFQDNはVDAマシンのFQDNと一致する必要があります。PTRレコードに別のFQDNが含まれている場合、ランデブー接続は失敗します。たとえば、マシンのFQDNが
vda01.domain.netの場合、PTRレコードにはvda01.domain.netが含まれている必要があります。vda01.sub.domain.netなどの別のFQDNだと機能しません。 -
サイトのDNS解決を有効にします。 [完全な構成]>[設定] に移動し、[DNS解決を有効にする]設定をオンにします。または、Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンド
プロキシ構成
VDAは、プロキシを介したランデブー接続の確立をサポートしています。
プロキシに関する考慮事項
ランデブーでプロキシを使用する場合は、次の点を考慮してください:
- 透過プロキシ、非透過HTTPプロキシ、およびSOCKS5プロキシがサポートされています。
- パケットの復号化と検査はサポートされていません。VDAとGatewayサービスの間のICAトラフィックが傍受、復号化、または検査されないように、例外を構成します。例外を構成しないと、接続が切断されます。
-
HTTPプロキシは、NegotiateおよびKerberosプロトコル、またはNT LAN Manager(NTLM)認証プロトコルを使用して、マシンベースの認証をサポートします。
プロキシサーバーに接続するとき、Negotiate認証スキームによってKerberosプロトコルが自動的に選択されます。Kerberosがサポートされていない場合、NegotiateはNTLM認証にフォールバックします。
注:
Kerberosを使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシのActive Directoryアカウントに関連付ける必要があります。VDAは、セッションの確立時に
HTTP/<proxyURL>形式のSPNを生成します。この場合、プロキシURLはランデブープロキシのポリシー設定から取得されます。SPNを作成しない場合、認証はNTLMにフォールバックします。どちらの場合も、VDAマシンのIDが認証に使用されます。 - SOCKS5プロキシによる認証は、現在サポートされていません。SOCKS5プロキシを使用する場合、要件で指定されているGatewayサービスアドレス宛てのトラフィックが認証をバイパスできるように、例外を構成する必要があります。
- EDTを介したデータ転送をサポートしているのは、SOCKS5プロキシのみです。HTTPプロキシの場合、ICAのトランスポートプロトコルとしてTCPを使用します。
透過プロキシ
ネットワークで透過プロキシを使用している場合、VDAで追加の構成は必要ありません。
非透過プロキシ
ネットワークで非透過プロキシを使用している場合は、ランデブープロキシの構成の設定を行います。この設定が有効になっている場合、VDAが使用するプロキシを認識できるように、HTTPまたはSOCKS5プロキシアドレスを指定するか、PACファイルへのパスを入力します。例:
- プロキシアドレス:
http://<URL or IP>:<port>またはsocks5://<URL or IP>:<port> - PACファイル:
http://<URL or IP>/<path>/<filename>.pac
PACファイルを使用してプロキシを構成する場合は、Windows HTTPサービスに必要な構文を使用してプロキシを定義します:PROXY [<scheme>=]<URL or IP>:<port>。例:PROXY socks5=<URL or IP>:<port>
ランデブーの検証
すべての要件を満たしている場合は、次の手順に従って、ランデブーが使用されているかを検証します:
- HDXセッション内でPowerShellまたはコマンドプロンプトを起動します。
-
ctxsession.exe –vを実行します。 - 使用中のトランスポートプロトコルは、接続の種類を示しています:
- TCPランデブー:TCP > SSL > CGP > ICA
- EDTランデブー:UDP > DTLS > CGP > ICA
- Cloud Connectorを介したプロキシ:TCP > CGP > ICA
補足的な注意事項
Windowsの暗号の組み合わせの順序
カスタムの暗号の組み合わせの順序については、VDAでサポートされている暗号の組み合わせが含まれていることを次のリストから確認してください:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
カスタムの暗号の組み合わせの順序にこれらの暗号の組み合わせが含まれていない場合、ランデブー接続は失敗します。
Zscaler Private Access
Zscaler Private Access(ZPA)を使用している場合は、Gatewayサービスのバイパス設定を構成して、遅延の増加とそれに伴うパフォーマンスへの影響を回避することを強くお勧めします。これを行うには、要件で指定されているGatewayサービスアドレスのアプリケーションセグメントを定義し、それらを常にバイパスするように設定する必要があります。ZPAをバイパスするようにアプリケーションセグメントを構成する方法については、Zscalerのマニュアルを参照してください。
ランデブーのしくみ
この図は、ランデブー接続フローの概要です。
ランデブー接続フローを理解するためには、次の手順を実行してください:
- Citrix Workspaceに移動します。
- Citrix Workspaceで資格情報を入力します。
- オンプレミスActive Directoryを使用する場合、Citrix Virtual Apps and DesktopsサービスはCloud Connectorチャネルを使用してActive Directoryで資格情報を認証します。
- Citrix Workspaceに、Citrix Virtual Apps and Desktopsサービスからカウントされたリソースが表示されます。
- Citrix Workspaceでリソースを選択します。Citrix Virtual Apps and Desktopsサービスは、VDAにメッセージを送信して、受信セッションの準備をします。
- Citrix Workspaceは、Citrix Cloudによって生成されたSTAチケットを含むICAファイルをエンドポイントに送信します。
- エンドポイントはCitrix Gatewayサービスに接続し、VDAに接続するためにこのチケットを提供し、Citrix Cloudはチケットを検証します。
- Citrix Gatewayサービスは、接続情報をCloud Connectorに送信します。Cloud Connectorは、接続がランデブー接続であるかどうかを判断し、その情報をVDAに送信します。
- VDAは、Citrix Gatewayサービスへの直接接続を確立します。
- VDAとCitrix Gatewayサービスとの間の直接接続が不可能な場合、VDAはCloud Connectorを介して接続にプロキシを設定します。
- Citrix Gatewayサービスは、エンドポイントデバイスとVDA間の接続を確立します。
- VDAは、Cloud Connectorを介してCitrix Virtual Apps and Desktopsサービスでライセンスを検証します。
- Citrix Virtual Apps and Desktopsサービスは、Cloud Connectorを介してセッションポリシーをVDAに送信して適用します。