Citrix DaaS

Rendezvous V2

Ao usar o Citrix Gateway Service, o protocolo Rendezvous permite que os VDAs ignorem os Citrix Cloud Connectors para se conectarem diretamente e com segurança ao plano de controle do Citrix Cloud.

O Rendezvous V2 é compatível com máquinas ingressadas no domínio padrão, máquinas ingressadas no Azure AD e máquinas não ingressadas no domínio.

Nota:

Atualmente, implantações sem conector são possíveis somente com máquinas ingressadas no Azure AD e não ingressadas no domínio. As máquinas ingressadas no domínio AD padrão ainda exigem Cloud Connectors para o registro de VDA e a intermediação de sessão. No entanto, não há requisitos de DNS para usar o Rendezvous V2.

Os requisitos do Cloud Connector para outras funções não relacionadas à comunicação VDA, como conexão ao seu domínio do AD local, provisionamento de MCS para hipervisores locais etc., permanecem os mesmos.

Requisitos

Os requisitos para usar o Rendezvous V2 são:

  • Acesso ao ambiente usando Citrix Workspace e Citrix Gateway Service
  • Plano de controle: Citrix DaaS
  • VDA versão 2203
  • A confiabilidade da sessão deve estar ativada nos VDAs
  • As máquinas VDA devem ter acesso a:
    • https://*.*.nssvc.net em TCP 443 e UDP 443 para sessões HDX por TCP e EDT, respectivamente. Se você não pode permitir todos os subdomínios dessa maneira, use https://*.c.nssvc.net e https://*.g.nssvc.net em vez disso. Para obter mais informações, consulte o artigo do Knowledge Center CTX270584.
    • https://*.xendesktop.net em TCP 443. Se você não puder permitir todos os subdomínios dessa maneira, poderá usar https://<customer_ID>.xendesktop.net, onde é o seu ID de cliente do Citrix Cloud, conforme mostrado no portal do administrador do Citrix Cloud.

Configuração de proxy

O VDA oferece suporte à conexão por meio de proxies para o tráfego de controle e o tráfego de sessão HDX ao usar o Rendezvous. Os requisitos e considerações para os dois tipos de tráfego são diferentes, portanto, analise-os cuidadosamente.

Considerações sobre o proxy de tráfego de controle

  • Somente proxies HTTP são aceitos.
  • A descriptografia e a inspeção de pacotes não são suportadas. Configure uma exceção para que o tráfego de controle entre o VDA e o plano de controle do Citrix Cloud não seja interceptado, descriptografado ou inspecionado. Caso contrário, a conexão falhará.
  • A autenticação de proxy não é suportada.

Considerações sobre proxy de tráfego HDX

  • Proxies HTTP e SOCKS5 são suportados.
  • O EDT só pode ser usado com proxies SOCKS5.
  • Por padrão, o tráfego HDX usa o proxy definido para o tráfego de controle. Se você precisar usar um proxy diferente para o tráfego HDX, seja um proxy HTTP diferente ou um proxy SOCKS5, use a configuração de política de configuração do proxy do Rendezvous.
  • A descriptografia e a inspeção de pacotes não são suportadas. Configure uma exceção para que o tráfego HDX entre o VDA e o plano de controle do Citrix Cloud não seja interceptado, descriptografado ou inspecionado. Caso contrário, a conexão falhará.
  • A autenticação baseada em máquina é suportada apenas com proxies HTTP e se a máquina VDA for ingressada no domínio AD. Ela pode usar a autenticação Negotiate/Kerberos ou NTLM.

    Nota:

    Para usar o Kerberos, crie o nome da entidade de serviço (SPN) para o servidor proxy e associe-o à conta do Active Directory do proxy. O VDA gera o SPN no formato HTTP/<proxyURL> ao estabelecer uma sessão, onde o URL do proxy é recuperado da configuração da política de configuração do proxy do Rendezvous. Se você não criar um SPN, a autenticação voltará para o NTLM. Em ambos os casos, a identidade da máquina VDA é usada para autenticação.

  • A autenticação com um proxy SOCKS5 não é suportada no momento. Se estiver usando um proxy SOCKS5, configure uma exceção para que o tráfego destinado aos endereços do Gateway Service (especificados nos requisitos) possa ignorar a autenticação.
  • Apenas os proxies SOCKS5 dão suporte ao transporte de dados através do EDT. Para um proxy HTTP, use TCP como o protocolo de transporte para ICA.

Proxy transparente

Se estiver usando um proxy transparente em sua rede, nenhuma configuração adicional será necessária no VDA.

Proxy não transparente

Se estiver usando um proxy não transparente em sua rede, especifique o proxy durante a instalação do VDA para que o tráfego de controle possa alcançar o plano de controle do Citrix Cloud. Certifique-se de revisar as considerações do proxy de tráfego de controle antes de prosseguir com a instalação e a configuração.

No assistente de instalação do VDA, selecione Rendezvous Proxy Configuration na página Additional Components. Essa opção disponibiliza a página Rendezvous Proxy Configuration posteriormente no assistente de instalação. Quando estiver nela, insira o endereço do proxy ou o caminho ao arquivo PAC para que o VDA saiba qual proxy usar. Por exemplo:

  • Endereço proxy: http://<URL or IP>:<port>
  • Arquivo PAC: http://<URL or IP>/<path/<filename>.pac

Conforme mencionado nas considerações de proxy de tráfego HDX, o tráfego HDX usa o proxy definido durante a instalação do VDA por padrão. Se você precisar usar um proxy diferente para o tráfego HDX, seja um proxy HTTP diferente ou um proxy SOCKS5, use a configuração de política de configuração do proxy do Rendezvous. Quando a configuração estiver habilitada, especifique o endereço de proxy HTTP ou SOCKS5. Você também pode inserir o caminho para o arquivo PAC para que o VDA saiba qual proxy usar. Por exemplo:

  • Endereço proxy: http://<URL or IP>:<port> ou socks5://<URL or IP>:<port>
  • Arquivo PAC: http://<URL or IP>/<path/<filename>.pac

Se você usar o arquivo PAC para configurar o proxy, defina o proxy usando a sintaxe exigida pelo serviço Windows HTTP: PROXY [<scheme>=]<URL or IP>:<port>. Por exemplo, PROXY socks5=<URL or IP>:<port>.

Como configurar o Rendezvous

A seguir estão as etapas para configurar o Rendezvous no seu ambiente:

  1. Certifique-se de que todos os requisitos sejam atendidos.
  2. Se você precisar usar um proxy HTTP não transparente no seu ambiente, configure-o durante a instalação do VDA. Consulte a seção de configuração de proxy para obter detalhes.
  3. Depois que o VDA for instalado, adicione o seguinte valor de registro:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: DWORD
            Value name: GctRegistration
            Value data: 1
    
  4. Reinicialize a máquina VDA.
  5. Crie uma política da Citrix ou edite uma existente:
    • Defina a configuração de Rendezvous Protocol como Allowed.
    • Se você precisar configurar um proxy HTTP ou SOCKS5 para o tráfego HDX, configure o parâmetro Rendezvous proxy configuration.
    • Certifique-se de que os filtros da política da Citrix estejam configurados corretamente. A política se aplica às máquinas que precisam do Rendezvous habilitado.
  6. Certifique-se de que a política da Citrix tem a prioridade correta para que ela não substitua outra política.

Validação do Rendezvous

Se você atender a todos os requisitos e tiver concluído a configuração, siga estas etapas para validar se o Rendezvous está em uso:

  1. Na área de trabalho virtual, abra um prompt de comando ou o PowerShell.
  2. Execute ctxsession.exe -v.
  3. Os protocolos de transporte exibidos indicam o tipo de conexão:
    • TCP Rendezvous: TCP > SSL > CGP > ICA
    • EDT Rendezvous: UDP > DTLS > CGP > ICA
    • Não Rendezvous: TCP > CGP > ICA
  4. A versão do Rendezvous exibida indica a versão em uso.

Outras considerações

Ordem do pacote de codificação Windows

Se a ordem do pacote de codificação tiver sido modificada nas máquinas VDA, certifique-se de incluir os pacotes de codificação compatíveis com VDA:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Se a ordem do pacote de codificação personalizada não contiver esses pacotes de codificação, a conexão do Rendezvous falhará.

Zscaler Private Access

Se estiver usando o Zscaler Private Access (ZPA), é recomendável que você defina as configurações de bypass para o Gateway Service para evitar o aumento da latência e o impacto no desempenho associado. Para isso, você deve definir segmentos do aplicativo para os endereços do Gateway Service — especificados nos requisitos — e defini-los para sempre fazer o bypass. Para obter informações sobre como configurar segmentos do aplicativo para ignorar o ZPA, consulte a documentação do Zscaler.

Problemas conhecidos

O Rendezvous V2 não funciona se o Rendezvous V1 estava em uso anteriormente

Se você habilitou a configuração de resolução de DNS em seu site DaaS para usar o Rendezvous V1, as conexões do Rendezvous V2 falharão. Para usar o Rendezvous V2, você deve desativar a resolução de DNS em seu site DaaS usando uma das seguintes opções:

  • Vá para Full Configuration > Settings e ative a configuração Enable DNS resolution.
  • Use o Citrix DaaS Remote PowerShell SDK e execute o comando Set-BrokerSite -DnsResolutionEnabled $false

O instalador de VDA 2203 não permite inserir barra (/) no endereço proxy

Como alternativa, você pode configurar o proxy no registro depois que o VDA for instalado:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: String
            Value name: ProxySettings
            Value data: Proxy address or path to pac file. For example:
                Proxy address: http://squidk.test.local:3128
                Pac file: http://file.test.com/config/proxy.pac

Fluxo de tráfego do Rendezvous

O diagrama a seguir ilustra a sequência de etapas sobre o fluxo de tráfego do Rendezvous.

Fluxo de tráfego do Rendezvous

  1. O VDA estabelece uma conexão WebSocket com o Citrix Cloud e se registra.
  2. O VDA se registra no Citrix Gateway Service e obtém um token dedicado.
  3. O VDA estabelece uma conexão de controle persistente com o Gateway Service.
  4. O usuário navega até o Citrix Workspace.
  5. O Workspace avalia a configuração de autenticação e redireciona os usuários para o IdP apropriado para autenticação.
  6. O usuário insere suas credenciais.
  7. Depois de validar com êxito as credenciais do usuário, o usuário é redirecionado para o Workspace.
  8. O Workspace faz a contagem dos recursos para o usuário e os exibe.
  9. O usuário seleciona uma área de trabalho ou aplicativo no Workspace. O Workspace envia a solicitação ao Citrix DaaS, que faz a intermediação da conexão e instrui o VDA para se preparar para a sessão.
  10. O VDA responde com o recurso Rendezvous e sua identidade.
  11. O Citrix DaaS gera um tíquete de inicialização e o envia para o dispositivo do usuário por meio do Workspace.
  12. O ponto de extremidade do usuário se conecta ao Gateway Service e fornece o tíquete de inicialização para autenticar e identificar o recurso ao qual se conectar.
  13. O Gateway Service envia as informações de conexão para o VDA.
  14. O VDA estabelece uma conexão direta para a sessão com o Gateway Service.
  15. O Gateway Service conclui a conexão entre o ponto de extremidade e o VDA.
  16. O VDA verifica o licenciamento para a sessão.
  17. O Citrix DaaS envia as políticas aplicáveis ao VDA.
Rendezvous V2