Rendezvous V2
Citrix Gatewayサービスを使用する場合、Rendezvousプロトコルにより、トラフィックはCitrix Cloud™ Connectorをバイパスし、Citrix Cloudコントロールプレーンに直接かつ安全に接続できます。
考慮すべきトラフィックには、1) VDA登録およびセッションブローカリング用の制御トラフィック、2) HDX™セッションのトラフィックの2種類があります。
Rendezvous V1ではHDXセッションのトラフィックがCloud Connectorをバイパスできますが、VDA登録およびセッションブローカリング用のすべての制御トラフィックをプロキシするには、引き続きCloud Connectorが必要です。
- シングルセッションおよびマルチセッションのLinux VDAでRendezvous V2を使用する場合、標準のADドメイン参加済みマシンと非ドメイン参加済みマシンがサポートされます。非ドメイン参加済みマシンでは、Rendezvous V2によりHDXトラフィックと制御トラフィックの両方がCloud Connectorをバイパスできます。
要件
-
Rendezvous V2を使用するための要件は次のとおりです。
- Citrix Workspace™およびCitrix Gatewayサービスを使用した環境へのアクセス
- コントロールプレーン:Citrix DaaS(旧Citrix Virtual Apps and Desktops™サービス)
- VDAバージョン2201以降
- HTTPおよびSOCKS5プロキシにはバージョン2204が最低限必要です
- CitrixポリシーでRendezvousプロトコルを有効にします。詳しくは、「Rendezvousプロトコルポリシー設定」を参照してください
- VDAは、すべてのサブドメインを含む
https://*.nssvc.netにアクセスできる必要があります。この方法ですべてのサブドメインをホワイトリストに登録できない場合は、代わりにhttps://*.c.nssvc.netおよびhttps://*.g.nssvc.netを使用してください。詳しくは、Citrix Cloudドキュメントの「インターネット接続要件」セクション(Virtual Apps and Desktopサービスの下)およびKnowledge Centerの記事「CTX270584」を参照してください
- VDAは、前述のアドレスに接続できる必要があります
- TCP Rendezvousの場合はTCP 443
- EDT Rendezvousの場合はUDP 443
プロキシ構成
Rendezvousを使用する場合、VDAは制御トラフィックとHDXセッションのトラフィックの両方でプロキシ経由の接続をサポートします。両方の種類のトラフィックの要件と考慮事項は異なるため、注意深く確認してください。
-
制御トラフィックのプロキシに関する考慮事項
- HTTPプロキシのみがサポートされます
- パケットの復号化と検査はサポートされていません。VDAとCitrix Cloudコントロールプレーン間の制御トラフィックが傍受、復号化、または検査されないように例外を構成してください。そうしないと、接続が失敗します
- プロキシ認証はサポートされていません
-
制御トラフィックのプロキシを構成するには、次のようにレジストリを編集します
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force <!--NeedCopy-->
HDXトラフィックのプロキシに関する考慮事項
- HTTPおよびSOCKS5プロキシがサポートされます
- EDTはSOCKS5プロキシでのみ使用できます
- HDXトラフィックのプロキシを構成するには、Rendezvousプロキシ構成ポリシー設定を使用します
- パケットの復号化と検査はサポートされていません。VDAとCitrix Cloudコントロールプレーン間のHDXトラフィックが傍受、復号化、または検査されないように例外を構成してください。そうしないと、接続が失敗します
- HTTPプロキシは、NegotiateおよびKerberos認証プロトコルを使用したマシンベースの認証をサポートします。プロキシサーバーに接続すると、Negotiate認証スキームによってKerberosプロトコルが自動的に選択されます。Kerberosは、Linux VDAがサポートする唯一のスキームです
注: - > - > Kerberosを使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシのActive Directoryアカウントに関連付ける必要があります。VDAはセッション確立時に
HTTP/<proxyURL>形式でSPNを生成します。ここで、プロキシURLはRendezvousプロキシポリシー設定から取得されます。SPNを作成しない場合、認証は失敗します。
- SOCKS5プロキシでの認証は現在サポートされていません。SOCKS5プロキシを使用する場合は、Gateway Serviceアドレス(要件で指定)宛てのトラフィックが認証をバイパスできるように例外を構成する必要があります
-
SOCKS5プロキシのみがEDTを介したデータ転送をサポートします。HTTPプロキシの場合は、ICAのトランスポートプロトコルとしてTCPを使用します
-
透過型プロキシ
- Rendezvousでは透過型HTTPプロキシがサポートされています。ネットワークで透過型プロキシを使用している場合、VDAに追加の構成は必要ありません。
Rendezvous V2の構成方法
環境でRendezvousを構成する手順は次のとおりです。
- すべての要件が満たされていることを確認します
-
VDAのインストール後、次のコマンドを実行して必要なレジストリキーを設定します
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force <!--NeedCopy--> - VDAマシンを再起動します
- Citrixポリシーを作成するか、既存のポリシーを編集します
- Rendezvousプロトコル設定を許可に設定します
- Citrixポリシーフィルターが適切に設定されていることを確認します。このポリシーは、Rendezvousを有効にする必要があるマシンに適用されます
- Citrixポリシーが正しい優先順位を持ち、他のポリシーを上書きしないことを確認します
Rendezvousの検証
セッションがRendezvousプロトコルを使用しているかどうかを確認するには、ターミナルで/opt/Citrix/VDA/bin/ctxquery -f iPコマンドを実行します。
表示されるトランスポートプロトコルは、接続の種類を示します。
- TCP Rendezvous:TCP - TLS - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- Cloud Connector経由のプロキシ:TCP - PROXY - SSL - CGP - ICAまたはUDP - PROXY - DTLS - CGP - ICA
Rendezvous V2が使用されている場合、プロトコルバージョンは2.0と表示されます。
ヒント:
Rendezvousが有効になっている状態でVDAがCitrix Gatewayサービスに直接到達できない場合、VDAはCloud Connectorを介してHDXセッションをプロキシするようにフォールバックします。