Citrix DaaS™

Rendezvous V1

Quando se usa o Citrix Gateway Service, o protocolo Rendezvous permite que os VDAs ignorem os Citrix Cloud™ Connectors para se conectar direta e seguramente ao plano de controle do Citrix Cloud.

Requisitos

  • Acesso ao ambiente usando Citrix Workspace™ e Citrix Gateway service.
  • Plano de Controle: Citrix DaaS™ (Citrix Cloud).
  • VDA: Versão 1912 ou posterior.
    • A versão 2012 é o mínimo exigido para o Rendezvous EDT.
    • A versão 2012 é o mínimo exigido para suporte a proxy não transparente (sem suporte a arquivo PAC).
    • A versão 2103 é o mínimo exigido para configuração de proxy com um arquivo PAC.
  • Habilite o protocolo Rendezvous na política Citrix. Para obter mais informações, consulte Configuração da política de protocolo Rendezvous.
  • Os VDAs devem ter acesso a https://*.nssvc.net, incluindo todos os subdomínios. Se não for possível adicionar todos os subdomínios à lista de permissões dessa forma, use https://*.c.nssvc.net e https://*.g.nssvc.net em vez disso. Para obter mais informações, consulte a seção Requisitos de Conectividade com a Internet da documentação do Citrix Cloud (em Citrix DaaS) e o artigo da Central de Conhecimento CTX270584.
  • Os VDAs devem ser capazes de se conectar aos endereços mencionados anteriormente nas portas TCP 443 e UDP 443 para TCP Rendezvous e EDT Rendezvous, respectivamente.
  • Os Cloud Connectors devem obter os FQDNs dos VDAs ao intermediar uma sessão. Realize essa tarefa de uma destas duas maneiras:
    • Habilitar a resolução de DNS para o site. Navegue até “Configurações” > “Configurações do site” e ative a configuração “Habilitar resolução de DNS”. Alternativamente, use o SDK do PowerShell Remoto do Citrix Virtual Apps and Desktops e execute o comando Set-BrokerSite -DnsResolutionEnabled $true. Para obter mais informações sobre o SDK do PowerShell Remoto do Citrix Virtual Apps and Desktops, consulte SDKs e APIs.
    • Zona de pesquisa inversa de DNS com registros PTR para os VDAs. Se você escolher esta opção, recomendamos que configure os VDAs para sempre tentar registrar registros PTR. Para fazer isso, use o Editor de Política de Grupo ou Objeto de Política de Grupo, navegue até “Configuração do Computador” > “Modelos Administrativos” > “Rede” > “Cliente DNS” e defina “Registrar Registros PTR” como “Habilitado e Registrar”. Se o sufixo DNS da conexão não corresponder ao sufixo DNS do domínio, você também deve configurar a configuração “Sufixo DNS específico da conexão” para que as máquinas registrem os registros PTR com sucesso.

    Observação:

    Se usar a opção de resolução de DNS, os Cloud Connectors devem ser capazes de resolver os nomes de domínio totalmente qualificados (FQDNs) das máquinas VDA. Caso os usuários internos se conectem diretamente às máquinas VDA, os dispositivos cliente também devem ser capazes de resolver os FQDNs das máquinas VDA.

    Se usar uma zona de pesquisa inversa de DNS, os FQDNs nos registros PTR devem corresponder aos FQDNs das máquinas VDA. Se o registro PTR contiver um FQDN diferente, a conexão Rendezvous falhará. Por exemplo, se o FQDN da máquina for vda01.domain.net, o registro PTR deve conter vda01.domain.net. Um FQDN diferente, como vda01.sub.domain.net, não funcionará.

Configuração de proxy

O VDA oferece suporte ao estabelecimento de conexões Rendezvous por meio de um proxy.

Considerações sobre proxy

Considere o seguinte ao usar proxies com Rendezvous:

  • Proxies transparentes, proxies HTTP não transparentes e proxies SOCKS5 são suportados.
  • A descriptografia e inspeção de pacotes não são suportadas. Configure uma exceção para que o tráfego ICA® entre o VDA e o Gateway Service não seja interceptado, descriptografado ou inspecionado. Caso contrário, a conexão será interrompida.
  • Proxies HTTP suportam autenticação baseada em máquina usando os protocolos de autenticação Negotiate e Kerberos ou NT LAN Manager (NTLM).

    Ao se conectar ao servidor proxy, o esquema de autenticação Negotiate seleciona automaticamente o protocolo Kerberos. Se o Kerberos não for suportado, o Negotiate retorna ao NTLM para autenticação.

    Observação:

    Para usar o Kerberos, você deve criar o nome principal de serviço (SPN) para o servidor proxy e associá-lo à conta do Active Directory do proxy. O VDA gera o SPN no formato HTTP/<proxyURL> ao estabelecer uma sessão, onde a URL do proxy é recuperada da configuração da política “Rendezvous proxy”. Se você não criar um SPN, a autenticação retornará ao NTLM. Em ambos os casos, a identidade da máquina VDA é usada para autenticação.

  • A autenticação com um proxy SOCKS5 não é atualmente suportada. Se estiver usando um proxy SOCKS5, você deve configurar uma exceção para que o tráfego destinado aos endereços do Gateway Service (especificados nos requisitos) possa ignorar a autenticação.
  • Apenas proxies SOCKS5 suportam transporte de dados via EDT. Para um proxy HTTP, use TCP como protocolo de transporte para ICA.

Proxy transparente

Se estiver usando um proxy transparente em sua rede, nenhuma configuração adicional é necessária no VDA.

Proxy não transparente

Se estiver usando um proxy não transparente em sua rede, configure a definição Configuração de proxy Rendezvous. Quando a configuração estiver habilitada, especifique o endereço do proxy HTTP ou SOCKS5, ou insira o caminho para o arquivo PAC para que o VDA saiba qual proxy usar. Por exemplo:

  • Endereço do proxy: http://<URL or IP>:<port> ou socks5://<URL or IP>:<port>
  • Arquivo PAC: http://<URL or IP>/<path>/<filename>.pac

Se você usar o arquivo PAC para configurar o proxy, defina o proxy usando a sintaxe exigida pelo serviço HTTP do Windows: PROXY [<scheme>=]<URL or IP>:<port>. Por exemplo, PROXY socks5=<URL or IP>:<port>.

Validação do Rendezvous

Se você atender a todos os requisitos, siga estas etapas para validar se o Rendezvous está em uso:

  1. Inicie o PowerShell ou um prompt de comando dentro da sessão HDX™.
  2. Execute ctxsession.exe –v.
  3. Os protocolos de transporte em uso indicam o tipo de conexão:
    • TCP Rendezvous: TCP > SSL > CGP > ICA
    • EDT Rendezvous: UDP > DTLS > CGP > ICA
    • Proxy via Cloud Connector: TCP > CGP > ICA

Outras considerações

Ordem da suíte de cifras do Windows

Para uma ordem de suíte de cifras personalizada, certifique-se de incluir as suítes de cifras suportadas pelo VDA da seguinte lista:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Se a ordem da suíte de cifras personalizada não contiver essas suítes de cifras, a conexão Rendezvous falhará.

Zscaler Private Access

Se estiver usando o Zscaler Private Access (ZPA), é recomendável configurar as definições de bypass para o Gateway Service para evitar o aumento da latência e o impacto associado no desempenho. Para fazer isso, você deve definir segmentos de aplicativo para os endereços do Gateway Service – especificados nos requisitos – e configurá-los para sempre ignorar. Para obter informações sobre como configurar segmentos de aplicativo para ignorar o ZPA, consulte a documentação do Zscaler.

Rendezvous V1