Citrix DaaS

Rendezvous V2

使用 Citrix Gateway 服务时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connector,以直接安全地连接到 Citrix Cloud 控制平面。

已加入域的标准计算机、已加入 Azure AD 的计算机和未加入域的计算机都支持 Rendezvous V2。

注意:

目前,只有加入 Azure AD 的计算机_和未加入域的计算机才能进行无连接器部署。标准(_非 Azure AD)域加入的计算机仍需要 Cloud Connector 进行 VDA 注册和会话代理。但是,使用 Rendezvous V2 没有 DNS 要求。

要求

使用 Rendezvous V2 的要求是:

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix DaaS
  • VDA 版本 2203
  • 必须在 VDA 上启用会话可靠性
  • VDA 计算机必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果您无法通过该方式允许使用所有子域,请改为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅知识中心文章 CTX270584
  • VDA 必须能够连接到上文提到的地址:
    • 在 TCP 443 上,用于 TCP Rendezvous。
    • 在 UDP 443 上,用于 EDT Rendezvous。

代理配置

使用 Rendezvous 时,VDA 支持通过代理连接控制流量和 HDX 会话流量。两种类型的流量的要求和注意事项不同,因此请仔细查看。

控制流量代理注意事项

  • 仅支持 HTTP 代理。
  • 不支持数据包解密和检查。配置例外,以便 VDA 和 Citrix Cloud 控制平面之间的控制流量不会被拦截、解密或检查。否则,连接将失败。
  • 不支持代理身份验证。

HDX 流量代理注意事项

  • 支持 HTTP 和 SOCKS5 代理。
  • EDT 只能与 SOCKS5 代理一起使用。
  • 默认情况下,HDX 流量使用为控制流量定义的代理。如果必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用 Rendezvous 代理配置策略设置。
  • 不支持数据包解密和检查。配置例外,以便 VDA 和 Citrix Cloud 控制平面之间的 HDX 流量不会被拦截、解密或检查。否则,连接将失败。
  • 只有 HTTP 代理支持基于计算机的身份验证,并且前提是 VDA 计算机已加入 AD 域。它可以使用协商/Kerberos 或 NTLM 身份验证。

    注意:

    要使用 Kerberos,请为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从 Rendezvous 代理配置策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,请配置例外,以便发往网关服务地址的流量(在要求中指定)可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。

非透明代理

如果在网络中使用非透明代理,请在 VDA 安装期间指定代理,以便控制流量可以到达 Citrix Cloud 控制平面。在继续安装和配置之前,请务必查看控制流量代理注意事项。

在 VDA 安装向导中,在其他组件页面中选择 Rendezvous 代理配置。此选项使 Rendezvous 代理配置页面稍后在安装向导中可见。请在此处输入代理地址或 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如 HDX 流量代理注意事项中所述,默认情况下,HDX 流量使用在 VDA 安装期间定义的代理。如果必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用 Rendezvous 代理配置策略设置。启用此设置后,请指定 HTTP 或 SOCKS5 代理地址。还可以输入 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如, PROXY socks5=<URL or IP>:<port>.

如何配置 Rendezvous

下面是在您的环境中配置 Rendezvous 的步骤:

  1. 请确保满足所有要求。
  2. 如果必须在环境中使用非透明 HTTP 代理,请在 VDA 安装期间对其进行配置。有关详细信息,请参阅代理配置部分。
  3. 安装 VDA 后,添加以下注册表值:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: DWORD
            Value name: GctRegistration
            Value data: 1
    
  4. 重新启动 VDA 计算机。
  5. 创建 Citrix 策略或者编辑现有策略:
    • Rendezvous 协议设置设为允许
    • 如果必须为 HDX 流量配置 HTTP 或 SOCKS5 代理,请配置 Rendezvous 代理配置设置。
    • 请务必正确设置 Citrix 策略过滤器。该策略适用于需要启用 Rendezvous 的计算机。
  6. 请确保 Citrix 策略具有正确的优先级,以免覆盖其他策略。

Rendezvous 验证

如果您满足所有要求并且已完成配置,请按照以下步骤验证 Rendezvous 是否正在使用中:

  1. 在虚拟桌面中,打开命令提示符或 PowerShell。
  2. 运行 ctxsession.exe -v
  3. 显示的传输协议指明连接类型:
    • TCP 汇聚:TCP > SSL > CGP > ICA
    • EDT 汇聚:UDP > DTLS > CGP > ICA
    • 不是 Rendezvous:TCP > CGP > ICA
  4. 报告的 Rendezvous 版本表示正在使用的版本。

其他注意事项

Windows 密码套件顺序

如果已在 VDA 计算机中修改密码套件顺序,请务必包含 VDA 支持的密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件,汇聚连接将失败。

Zscaler Private Access

如果使用 Zscaler Private Access (ZPA),建议您为网关服务配置绕过设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在要求中指定),并将其设置为始终绕过。有关配置应用程序段以绕过 ZPA 的信息,请参阅 Zscaler 文档

已知问题

VDA 安装程序不允许为代理地址输入斜杠 (/)

解决方法:可以在安装 VDA 后在注册表中配置代理:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: String
            Value name: ProxySettings
            Value data: Proxy address or path to pac file. For example:
                Proxy address: http://squidk.test.local:3128
                Pac file: http://file.test.com/config/proxy.pac

Rendezvous 通信流

下图说明了有关 Rendezvous 通信流的步骤顺序。

Rendezvous 通信流

  1. VDA 与 Citrix Cloud 建立了 WebSocket 连接并进行注册。
  2. VDA 在 Citrix Gateway 服务中注册并获得专用令牌。
  3. VDA 与网关服务建立持久控制连接。
  4. 用户导航到 Citrix Workspace。
  5. Workspace 评估身份验证配置,并将用户重定向到相应的 IdP 进行身份验证。
  6. 用户输入其凭据。
  7. 成功验证用户凭据后,用户将被重定向到 Workspace。
  8. Workspace 为用户统计资源并显示这些资源。
  9. 用户从 Workspace 中选择桌面或应用程序。Workspace 将请求发送到 Citrix DaaS,后者代理连接并指示 VDA 为会话做准备。
  10. VDA 使用 Rendezvous 功能及其标识进行响应。
  11. Citrix DaaS 会生成启动票据,并通过 Workspace 将其发送到用户设备。
  12. 用户的端点连接到网关服务,并提供启动票据以验证和标识要连接的资源。
  13. 网关服务将连接信息发送到 VDA。
  14. VDA 为与网关服务的会话建立直接连接。
  15. 网关服务完成端点与 VDA 之间的连接。
  16. VDA 将验证会话的许可。
  17. Citrix DaaS 将适用的策略发送到 VDA。
Rendezvous V2