Citrix DaaS™

Rendezvous V2

使用 Citrix Gateway Service 时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud™ Connector,直接安全地连接到 Citrix Cloud 控制平面。

Rendezvous V2 支持标准域加入计算机、混合 Azure AD 加入计算机、Azure AD 加入计算机和非域加入计算机。

注意:

目前,只有 _Azure AD 加入_和_非域加入_计算机才可能实现无连接器部署。标准 AD 域加入计算机和混合 Azure AD 加入计算机仍需要 Cloud Connector 进行 VDA 注册和会话代理。但是,使用 Rendezvous V2 没有 DNS 要求。

Cloud Connector 对其他与 VDA 通信无关的功能(例如连接到本地 AD 域、MCS 预配到本地管理程序等)的要求保持不变。

要求

使用 Rendezvous V2 的要求如下:

  • 使用 Citrix Workspace™ 和 Citrix Gateway Service 访问环境
  • 控制平面:Citrix DaaS™
  • VDA 版本 2203
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅Rendezvous 协议策略设置
  • 必须在 VDA 上启用会话可靠性
  • VDA 计算机必须能够访问:
    • https://*.xendesktop.net(通过 TCP 443)。如果无法以这种方式允许所有子域,则可以使用 https://<customer_ID>.xendesktop.net,其中 <customer_ID> 是 Citrix Cloud 管理员门户中显示的 Citrix Cloud 客户 ID。
    • https://*.*.nssvc.net(通过 TCP 443),用于与 Gateway Service 建立控制连接。
    • https://*.*.nssvc.net(通过 TCP 443UDP 443),分别用于通过 TCP 和 EDT 建立 HDX 会话。

    注意:

    如果无法使用 https://*.*.nssvc.net 允许所有子域,则可以使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅知识中心文章 CTX270584

代理配置

使用 Rendezvous 时,VDA 支持通过代理连接控制流量和 HDX™ 会话流量。这两种流量的要求和注意事项不同,请仔细查看。

控制流量代理注意事项

  • 仅支持 HTTP 代理。
  • 不支持数据包解密和检查。配置例外,以便 VDA 与 Citrix Cloud 控制平面之间的控制流量不会被拦截、解密或检查。否则,连接将失败。
  • 仅当 VDA 计算机加入 AD 域时才支持基于计算机的身份验证。它可以使用 Negotiate/Kerberos 或 NTLM 身份验证。

    注意:

    要使用 Kerberos,请为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在与 Citrix Cloud 建立连接时会生成 HTTP/<proxyURL> 格式的 SPN。如果您不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,都使用 VDA 计算机的身份进行身份验证。

HDX 流量代理注意事项

  • 支持 HTTP 和 SOCKS5 代理。
  • EDT 只能与 SOCKS5 代理一起使用。
  • 默认情况下,HDX 流量使用为控制流量定义的代理。如果您必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用Rendezvous 代理配置策略设置。
  • 不支持数据包解密和检查。配置例外,以便 VDA 与 Citrix Cloud 控制平面之间的 HDX 流量不会被拦截、解密或检查。否则,连接将失败。
  • 仅当 VDA 计算机加入 AD 域时,才支持使用 HTTP 代理进行基于计算机的身份验证。它可以使用 Negotiate/Kerberos 或 NTLM 身份验证。

    注意:

    要使用 Kerberos,请为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时会生成 HTTP/<proxyURL> 格式的 SPN,其中代理 URL 是从Rendezvous 代理配置策略设置中检索的。如果您不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,都使用 VDA 计算机的身份进行身份验证。

  • 目前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,请配置例外,以便发往 Gateway Service 地址(在要求中指定)的流量可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

如果在网络中使用透明代理,则无需在 VDA 上进行额外配置。

非透明代理

如果在网络中使用非透明代理,请在 VDA 安装期间指定代理,以便控制流量可以到达 Citrix Cloud 控制平面。在继续安装和配置之前,请务必查看控制流量代理注意事项。

在 VDA 安装向导中,在附加组件页面中选择Rendezvous 代理配置。此选项使Rendezvous 代理配置页面在安装向导的后续步骤中可用。在此处,输入代理地址或 PAC 文件的路径,以便 VDA 知道要使用哪个代理。例如:

  • 代理地址:http://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如 HDX 流量代理注意事项中所述,HDX 流量默认使用 VDA 安装期间定义的代理。如果您必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用Rendezvous 代理配置策略设置。启用该设置后,请指定 HTTP 或 SOCKS5 代理地址。您还可以输入 PAC 文件的路径,以便 VDA 知道要使用哪个代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如,PROXY socks5=<URL or IP>:<port>

如何配置 Rendezvous

以下是在您的环境中配置 Rendezvous 的步骤:

  1. 确保满足所有要求。
  2. 如果必须在您的环境中使用非透明 HTTP 代理,请在 VDA 安装期间对其进行配置。有关详细信息,请参阅代理配置部分。
  3. 安装完成后,重新启动 VDA 计算机。
  4. 创建 Citrix 策略,或编辑现有策略:
    • Rendezvous 协议设置设为允许
    • 如果您必须为 HDX 流量配置 HTTP 或 SOCKS5 代理,请配置Rendezvous 代理配置设置。
    • 确保 Citrix 策略筛选器设置正确。该策略适用于需要启用 Rendezvous 的计算机。
  5. 确保 Citrix 策略具有正确的优先级,以免覆盖其他策略。

注意:

如果您使用的是 VDA 版本 2308 或更早版本,则默认使用 V1。有关如何配置要使用的版本的详细信息,请参阅通过注册表管理的 HDX 功能

Rendezvous 验证

如果满足所有要求并已完成配置,请按照以下步骤验证 Rendezvous 是否正在使用中:

  1. 在虚拟桌面中,打开命令提示符或 PowerShell。
  2. 运行 ctxsession.exe -v
  3. 显示的传输协议指示连接类型:
    • TCP Rendezvous:TCP > SSL > CGP > ICA
    • EDT Rendezvous:UDP > DTLS > CGP > ICA
    • 非 Rendezvous:TCP > CGP > ICA
  4. 报告的 Rendezvous 版本指示正在使用的版本。

其他注意事项

Windows 密码套件顺序

如果 VDA 计算机中的密码套件顺序已修改,请确保包含 VDA 支持的密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件,则 Rendezvous 连接将失败。

Zscaler Private Access

如果使用 Zscaler Private Access (ZPA),建议您为 Gateway Service 配置旁路设置,以避免增加延迟和相关的性能影响。为此,您必须为 Gateway Service 地址(在要求中指定)定义应用程序段,并将其设置为始终旁路。有关配置应用程序段以旁路 ZPA 的信息,请参阅 Zscaler 文档

已知问题

VDA 2203 安装程序不允许为代理地址输入斜杠 ( / )

作为一种解决方法,您可以在安装 VDA 后在注册表中配置代理:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: String
            Value name: ProxySettings
            Value data: 代理地址或 PAC 文件路径。例如:
                代理地址: http://squidk.test.local:3128
                PAC 文件: http://file.test.com/config/proxy.pac

Rendezvous 流量流

下图说明了 Rendezvous 流量流的步骤序列。

Rendezvous 流量流

  1. VDA 与 Citrix Cloud 建立 WebSocket 连接并注册。
  2. VDA 向 Citrix Gateway Service 注册并获取专用令牌。
  3. VDA 与 Gateway Service 建立持久控制连接。
  4. 用户导航到 Citrix Workspace。
  5. Workspace 评估身份验证配置,并将用户重定向到相应的 IdP 进行身份验证。
  6. 用户输入其凭据。
  7. 成功验证用户凭据后,用户将被重定向到 Workspace。
  8. Workspace 计算用户的资源并显示它们。
  9. 用户从 Workspace 中选择桌面或应用程序。Workspace 将请求发送到 Citrix DaaS,Citrix DaaS 代理连接并指示 VDA 准备会话。
  10. VDA 响应 Rendezvous 功能及其身份。
  11. Citrix DaaS 生成启动票证并通过 Workspace 将其发送到用户设备。
  12. 用户的端点连接到 Gateway Service,并提供启动票证以进行身份验证并识别要连接的资源。
  13. Gateway Service 将连接信息发送到 VDA。
  14. VDA 与 Gateway Service 建立会话的直接连接。
  15. Gateway Service 完成端点与 VDA 之间的连接。
  16. VDA 验证会话的许可。
  17. Citrix DaaS 将适用的策略发送到 VDA。
Rendezvous V2