Rendezvous V2
Citrix Gateway サービスを使用する場合、Rendezvous プロトコルにより、トラフィックは Citrix Cloud™ Connector をバイパスし、Citrix Cloud コントロールプレーンに直接かつ安全に接続できます。
考慮すべきトラフィックには、1) VDA 登録とセッションブローカリングのための制御トラフィック、2) HDX™ セッショントラフィックの 2 種類があります。
Rendezvous V1 では、HDX セッショントラフィックは Cloud Connector をバイパスできますが、VDA 登録とセッションブローカリングのためのすべての制御トラフィックをプロキシするには、依然として Cloud Connector が必要です。
- Rendezvous V2 をシングルセッションおよびマルチセッションの Linux VDA で使用する場合、標準の AD ドメイン参加済みマシンと非ドメイン参加済みマシンがサポートされます。非ドメイン参加済みマシンでは、Rendezvous V2 により、HDX トラフィックと制御トラフィックの両方が Cloud Connector をバイパスできます。
要件
-
Rendezvous V2 を使用するための要件は次のとおりです。
- Citrix Workspace™ および Citrix Gateway サービスを使用した環境へのアクセス
- コントロールプレーン:Citrix DaaS(旧称 Citrix Virtual Apps and Desktops™ サービス)
- VDA バージョン 2201 以降
- HTTP および SOCKS5 プロキシにはバージョン 2204 以降が必要です
- Citrix ポリシーで Rendezvous プロトコルを有効にする。詳しくは、「Rendezvous プロトコルポリシー設定」を参照してください。
- VDA は、すべてのサブドメインを含む
https://*.nssvc.netにアクセスできる必要があります。すべてのサブドメインをその方法でホワイトリストに登録できない場合は、代わりにhttps://*.c.nssvc.netとhttps://*.g.nssvc.netを使用してください。詳しくは、Citrix Cloud ドキュメントの「インターネット接続要件」セクション(Virtual Apps and Desktop サービスの下)および Knowledge Center の記事「CTX270584」を参照してください。
- VDA は、前述のアドレスに接続できる必要があります
- TCP Rendezvous の場合は TCP 443
- EDT Rendezvous の場合は UDP 443
プロキシ構成
Rendezvous を使用する場合、VDA は制御トラフィックと HDX セッショントラフィックの両方でプロキシ経由の接続をサポートします。両方のトラフィックタイプで要件と考慮事項が異なるため、注意深く確認してください。
-
制御トラフィックのプロキシに関する考慮事項
- HTTP プロキシのみがサポートされます
- パケットの復号化と検査はサポートされていません。VDA と Citrix Cloud コントロールプレーン間の制御トラフィックが傍受、復号化、または検査されないように例外を構成してください。そうしないと、接続が失敗します。
- プロキシ認証はサポートされていません
-
制御トラフィックのプロキシを構成するには、次のようにレジストリを編集します
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force <!--NeedCopy-->
HDX トラフィックのプロキシに関する考慮事項
- HTTP および SOCKS5 プロキシがサポートされます
- EDT は SOCKS5 プロキシでのみ使用できます
- HDX トラフィックのプロキシを構成するには、Rendezvous プロキシ構成ポリシー設定を使用します
- パケットの復号化と検査はサポートされていません。VDA と Citrix Cloud コントロールプレーン間の HDX トラフィックが傍受、復号化、または検査されないように例外を構成してください。そうしないと、接続が失敗します。
- HTTP プロキシは、Negotiate および Kerberos 認証プロトコルを使用してマシンベースの認証をサポートします。プロキシサーバーに接続すると、Negotiate 認証スキームは自動的に Kerberos プロトコルを選択します。Kerberos は Linux VDA がサポートする唯一のスキームです。
注:
-
-
Kerberos を使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシの Active Directory アカウントに関連付ける必要があります。VDA はセッション確立時に
HTTP/<proxyURL>の形式で SPN を生成します。ここで、プロキシ URL は Rendezvous プロキシポリシー設定から取得されます。SPN を作成しない場合、認証は失敗します。
- SOCKS5 プロキシでの認証は現在サポートされていません。SOCKS5 プロキシを使用する場合は、Gateway Service アドレス(要件で指定)宛てのトラフィックが認証をバイパスできるように例外を構成する必要があります。
-
SOCKS5 プロキシのみが EDT を介したデータ転送をサポートします。HTTP プロキシの場合は、ICA の転送プロトコルとして TCP を使用してください。
-
透過型プロキシ
- Rendezvous では透過型 HTTP プロキシがサポートされています。ネットワークで透過型プロキシを使用している場合、VDA で追加の構成は必要ありません。
Rendezvous V2 の構成方法
環境で Rendezvous を構成する手順は次のとおりです。
- すべての要件が満たされていることを確認します。
-
VDA のインストール後、次のコマンドを実行して必要なレジストリキーを設定します。
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force <!--NeedCopy--> - VDA マシンを再起動します。
- Citrix ポリシーを作成するか、既存のポリシーを編集します
- Rendezvous プロトコル設定を [許可] に設定します
- Citrix ポリシーフィルターが適切に設定されていることを確認します。このポリシーは、Rendezvous を有効にする必要があるマシンに適用されます。
- Citrix ポリシーが他のポリシーを上書きしないように、正しい優先順位を持っていることを確認します。
Rendezvous の検証
セッションが Rendezvous プロトコルを使用しているかどうかを確認するには、ターミナルで /opt/Citrix/VDA/bin/ctxquery -f iP コマンドを実行します。
表示される転送プロトコルは接続のタイプを示します。
- TCP Rendezvous:TCP - TLS - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- Cloud Connector 経由のプロキシ:TCP - PROXY - SSL - CGP - ICA または UDP - PROXY - DTLS - CGP - ICA
Rendezvous V2 が使用されている場合、プロトコルバージョンは 2.0 と表示されます。
ヒント:
Rendezvous が有効な状態で VDA が Citrix Gateway サービスに直接到達できない場合、VDA は Cloud Connector を介して HDX セッションをプロキシするようにフォールバックします。