Citrix DaaS

Rendezvous V2

使用 Citrix Gateway 服务时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connector,以直接安全地连接到 Citrix Cloud 控制平面。

加入标准域的计算机、加入混合 Azure AD 的计算机、加入 Azure AD 的计算机和未加入域的计算机支持 Rendezvous V2。

注意:

目前,无连接器部署仅适用于_已加入 Azure AD_ 和_未加入域_的计算机。加入标准 AD 域的计算机和加入混合 Azure AD 的计算机仍需要 Cloud Connector 进行 VDA 注册和会话代理。但是,使用 Rendezvous V2 没有 DNS 要求。

Cloud Connector 对与 VDA 通信无关的其他功能(例如连接到本地 AD 域、将 MCS 配置到本地虚拟机管理程序等)的要求保持不变。

要求

使用 Rendezvous V2 的要求是:

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix DaaS
  • VDA 版本 2203
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置
  • 必须在 VDA 上启用会话可靠性
  • VDA 计算机必须有权访问:
    • https://*.xendesktop.net(通过 TCP 443)。如果您无法以这种方式允许所有子域,则可以使用 https://<customer_ID>.xendesktop.net,其中 <customer_ID> 是您的 Citrix Cloud 客户 ID,如 Citrix Cloud 管理员门户所示。
    • TCP 443 上的 https://*.*.nssvc.net 用于与网关服务的控制连接。
    • https://*.*.nssvc.net(对于使用 TCP 和 EDT 进行连接的 HDX 会话,分别通过 TCP 443UDP 443)。

    注意:

    如果您不允许所有子域名使用 https://*.*.nssvc.net,则可以改用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅知识中心文章 CTX270584

代理配置

使用 Rendezvous 时,VDA 支持通过代理连接控制流量和 HDX 会话流量。两种类型的流量的要求和注意事项不同,因此请仔细查看。

控制流量代理注意事项

  • 仅支持 HTTP 代理。
  • 不支持数据包解密和检查。配置例外,以便 VDA 和 Citrix Cloud 控制平面之间的控制流量不会被拦截、解密或检查。否则,连接将失败。
  • 不支持代理身份验证。

HDX 流量代理注意事项

  • 支持 HTTP 和 SOCKS5 代理。
  • EDT 只能与 SOCKS5 代理一起使用。
  • 默认情况下,HDX 流量使用为控制流量定义的代理。如果必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用 Rendezvous 代理配置策略设置。
  • 不支持数据包解密和检查。配置例外,以便 VDA 和 Citrix Cloud 控制平面之间的 HDX 流量不会被拦截、解密或检查。否则,连接将失败。
  • 只有 HTTP 代理支持基于计算机的身份验证,并且前提是 VDA 计算机已加入 AD 域。它可以使用协商/Kerberos 或 NTLM 身份验证。

    注意:

    要使用 Kerberos,请为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从 Rendezvous 代理配置策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,请配置例外,以便发往网关服务地址的流量(在要求中指定)可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。

非透明代理

如果在网络中使用非透明代理,请在 VDA 安装期间指定代理,以便控制流量可以到达 Citrix Cloud 控制平面。在继续安装和配置之前,请务必查看控制流量代理注意事项。

在 VDA 安装向导中,在其他组件页面中选择 Rendezvous 代理配置。此选项使 Rendezvous 代理配置页面稍后在安装向导中可见。请在此处输入代理地址或 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如 HDX 流量代理注意事项中所述,默认情况下,HDX 流量使用在 VDA 安装期间定义的代理。如果必须为 HDX 流量使用不同的代理(无论是不同的 HTTP 代理还是 SOCKS5 代理),请使用 Rendezvous 代理配置策略设置。启用此设置后,请指定 HTTP 或 SOCKS5 代理地址。还可以输入 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path/<filename>.pac

如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如,PROXY socks5=<URL or IP>:<port>.

如何配置 Rendezvous

下面是在您的环境中配置 Rendezvous 的步骤:

  1. 请确保满足所有要求。
  2. 如果必须在环境中使用非透明 HTTP 代理,请在 VDA 安装期间对其进行配置。有关详细信息,请参阅代理配置部分。
  3. 安装完成后重新启动 VDA 计算机。
  4. 创建 Citrix 策略或者编辑现有策略:
    • Rendezvous 协议设置设为允许
    • 如果必须为 HDX 流量配置 HTTP 或 SOCKS5 代理,请配置 Rendezvous 代理配置设置。
    • 请务必正确设置 Citrix 策略过滤器。该策略适用于需要启用 Rendezvous 的计算机。
  5. 请确保 Citrix 策略具有正确的优先级,以免覆盖其他策略。

注意:

如果您使用的是 VDA 版本 2308 或更早版本,则默认使用 V1。有关如何配置要使用的版本的更多信息,请参阅通过注册表管理的 HDX 功能

Rendezvous 验证

如果您满足所有要求并且已完成配置,请按照以下步骤验证 Rendezvous 是否正在使用中:

  1. 在虚拟桌面中,打开命令提示符或 PowerShell。
  2. 运行 ctxsession.exe -v
  3. 显示的传输协议指明连接类型:
    • TCP 汇聚:TCP > SSL > CGP > ICA
    • EDT 汇聚:UDP > DTLS > CGP > ICA
    • 不是 Rendezvous:TCP > CGP > ICA
  4. 报告的 Rendezvous 版本表示正在使用的版本。

其他注意事项

Windows 密码套件顺序

如果已在 VDA 计算机中修改密码套件顺序,请务必包含 VDA 支持的密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件,汇聚连接将失败。

Zscaler Private Access

如果使用 Zscaler Private Access (ZPA),建议您为网关服务配置绕过设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在要求中指定),并将其设置为始终绕过。有关配置应用程序段以绕过 ZPA 的信息,请参阅 Zscaler 文档

已知问题

如果之前使用过 Rendezvous V1,则 Rendezvous V2 不起作用

如果您在 DaaS 站点中启用 DNS 解析设置以使用 Rendezvous V1,则 Rendezvous V2 连接将失败。要使用 Rendezvous V2,您必须使用以下选项之一在 DaaS 站点中禁用 DNS 解析:

  • 导航到完整配置 > 设置 ,然后关闭启用 DNS 解析设置
  • 使用 Citrix DaaS Remote PowerShell SDK 并运行命令 Set-BrokerSite -DnsResolutionEnabled $false

VDA 2203 安装程序不允许为代理地址输入斜杠 (/)

解决方法:可以在安装 VDA 后在注册表中配置代理:

            Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent
            Value type: String
            Value name: ProxySettings
            Value data: Proxy address or path to pac file. For example:
                Proxy address: http://squidk.test.local:3128
                Pac file: http://file.test.com/config/proxy.pac

Rendezvous 通信流

下图说明了有关 Rendezvous 通信流的步骤顺序。

Rendezvous 通信流

  1. VDA 与 Citrix Cloud 建立 WebSocket 连接并注册。
  2. VDA 在 Citrix Gateway 服务中注册并获得专用令牌。
  3. VDA 与 Gateway 服务建立永久控制连接。
  4. 用户导航到 Citrix Workspace。
  5. Workspace 评估身份验证配置并将用户重定向到相应的 IdP 进行身份验证。
  6. 用户输入自己的证书。
  7. 成功验证用户凭据后,用户将被重定向到 Workspace。
  8. Workspace 为用户计算资源的数量并显示这些资源。
  9. 用户从 Workspace 中选择桌面或应用程序。Workspace 向 Citrix DaaS 发送请求,后者代理连接并指示 VDA 为会话做好准备。
  10. VDA 使用 Rendezvous 功能及其标识进行响应。
  11. Citrix DaaS 会生成启动票据,并通过 Workspace 将其发送到用户设备。
  12. 用户的端点连接到网关服务,并提供启动票据以验证和标识要连接的资源。
  13. 网关服务将连接信息发送到 VDA。
  14. VDA 为与 Gateway 服务的会话建立直接连接。
  15. Gateway 服务完成端点与 VDA 之间的连接。
  16. VDA 验证会话的许可。
  17. Citrix DaaS 向 VDA 发送适用的策略。
Rendezvous V2