ランデブープロトコル
Citrix Gatewayサービスを使用する環境では、ランデブープロトコルにより、HDXセッションがCitrix Cloud Connectorをバイパスして、Citrix Gatewayサービスに直接かつ安全に接続できます。
要件
- Citrix WorkspaceとCitrix Gatewayサービスを使用して環境にアクセスします。
- コントロールプレーン:Citrix Virtual Apps and Desktopsサービス(Citrix Cloud)
- VDA:バージョン1912以降。
- Citrixポリシーでランデブープロトコルを有効にします。詳しくは、「ランデブープロトコルポリシー設定」を参照してください。
- VDAは、すべてのサブドメインを含む
https://*.nssvc.net
にアクセスできる必要があります。この方法ですべてのサブドメインを許可リストに登録できない場合、代わりにhttps://*.c.nssvc.net
およびhttps://*.g.nssvc.net
を使用します。詳しくは、Citrix Cloudのドキュメント(Virtual Apps and Desktopサービス内)の「インターネット接続の要件」セクションおよびKnowledge Centerの記事CTX270584を参照してください。 - Cloud Connectorは、セッションを仲介する場合、VDAのFQDNを取得する必要があります。このためには、次の2つの方法があります:
-
サイトのDNS解決を有効にします。Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンド
Set-BrokerSite -DnsResolutionEnabled $true
を実行します。Citrix Virtual Apps and Desktops Remote PowerShell SDKについて詳しくは、「SDKおよびAPI」を参照してください。 - VDAのPTRレコードを含むDNS逆引き参照ゾーン。このオプションを選択した場合は、常にPTRレコードの登録を試行するようにVDAを構成することをお勧めします。これを行うには、グループポリシーエディターまたはグループポリシーオブジェクトを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[DNSクライアント] に移動し、[PTRレコードを登録する] を [有効]および[登録] に設定します。接続のDNSサフィックスがドメインのDNSサフィックスと一致しない場合は、マシンがPTRレコードを正常に登録できるように、[接続固有のDNSサフィックス] 設定も構成する必要があります。
-
サイトのDNS解決を有効にします。Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、コマンド
プロキシ構成
VDAは、プロキシを介したランデブー接続の確立をサポートしています。
プロキシに関する考慮事項
ランデブーでプロキシを使用する場合は、次の点を考慮してください:
- 透過プロキシ、非透過HTTPプロキシ、およびSOCKSプロキシがサポートされています。
- パケットの復号化と検査はサポートされていません。VDAとGatewayサービスの間のICAトラフィックが傍受、復号化、または検査されないように、例外を構成します。例外を構成しないと、接続が切断されます。
- プロキシでの認証はサポートされていません。要件で指定されているGatewayサービスアドレス宛てのトラフィックが認証をバイパスできるように、例外を構成します。
- TCPを使用したランデブーのみがサポートされています。EDTを使用したランデブーは、現在プロキシではサポートされていません。
透過プロキシ
ネットワークで透過プロキシを使用している場合、VDAで追加の構成は必要ありません。
非透過プロキシ
ネットワークで非透過プロキシを使用している場合は、ランデブープロキシの構成設定を構成してください。この設定が有効になっている場合、VDAが使用するプロキシを認識できるように、HTTPまたはSOCKSプロキシアドレスを指定します。たとえば、“http://<FQDN or IP>:<port>”
または“socks5://<FQDN or IP>:<port>”
などです。
現在、PACファイルを使用したプロキシ構成はサポートされていません。
ランデブーの検証
すべての要件を満たしている場合は、次の手順に従って、ランデブーが使用されているかを検証します:
- HDXセッション内でPowerShellまたはコマンドプロンプトを起動します。
-
ctxsession.exe –v
を実行します。 - 使用中のトランスポートプロトコルは、接続の種類を示しています:
- TCPランデブー:TCP > SSL > CGP > ICA
- EDTランデブー:UDP > DTLS > CGP > ICA
- Cloud Connectorを介したプロキシ:TCP > CGP > ICA
補足的な注意事項
Windowsの暗号の組み合わせの順序
カスタムの暗号の組み合わせの順序については、VDAでサポートされている暗号の組み合わせが含まれていることを次のリストから確認してください:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
カスタムの暗号の組み合わせの順序にこれらの暗号の組み合わせが含まれていない場合、ランデブー接続は失敗します。
Zscaler Private Access
Zscaler Private Access(ZPA)を使用している場合は、Gatewayサービスのバイパス設定を構成して、遅延の増加とそれに伴うパフォーマンスへの影響を回避することを強くお勧めします。これを行うには、要件で指定されているGatewayサービスアドレスのアプリケーションセグメントを定義し、それらを常にバイパスするように設定する必要があります。ZPAをバイパスするようにアプリケーションセグメントを構成する方法については、「Zscalerのドキュメント」を参照してください。
ランデブーのしくみ
この図は、ランデブー接続フローの概要です。
フローを理解するためには、次の手順を実行してください:
- Citrix Workspaceに移動します。
- Citrix Workspaceで資格情報を入力します。
- オンプレミスActive Directoryを使用する場合、Citrix Virtual Apps and DesktopsサービスはCloud Connectorチャネルを使用してActive Directoryで資格情報を認証します。
- Citrix Workspaceに、Citrix Virtual Apps and Desktopサービスから列挙されたリソースが表示されます。
- Citrix Workspaceでリソースを選択します。Citrix Virtual Apps and Desktopサービスは、VDAにメッセージを送信して、受信セッションの準備をします。
- Citrix Workspaceは、Citrix Cloudによって生成されたSTAチケットを含むICAファイルをエンドポイントに送信します。
- エンドポイントはCitrix Gatewayサービスに接続し、VDAに接続するためにこのチケットを提供し、Citrix Cloudはチケットを検証します。
- Citrix Gatewayサービスは、接続情報をCloud Connectorに送信します。Cloud Connectorは、接続がランデブー接続であるかどうかを判断し、その情報をVDAに送信します。
- VDAは、Citrix Gatewayサービスへの直接接続を確立します。
- VDAとCitrix Gatewayサービス間の直接接続が不可能な場合、VDAはCloud Connectorを介して接続にプロキシを設定します。
- Citrix Gatewayサービスは、エンドポイントデバイスとVDA間の接続を確立します。
- VDAは、Cloud Connectorを介してCitrix Virtual Apps and Desktopサービスでライセンスを検証します。
- Citrix Virtual Apps and Desktopサービスは、Cloud Connectorを介してセッションポリシーをVDAに送信して適用します。