无状态 RDP 代理

无状态 RDP 代理访问 RDP 主机。当用户在单独的 Citrix 网关身份验证器上进行身份验证时,将通过 Citrix 网关上的 RDplistener 授予访问权限。Citrix 网关的 RDplistener 所需的信息安全地存储在 STA 服务器上。

此处介绍了为此功能创建的流程和新旋钮。

必备条件

  • 用户在 Citrix 网关身份验证器上进行身份验证。

  • 初始 /rdpproxy URL 和 RDP 客户端连接到不同的 RDPListener 思杰网关。

  • 验证器网关使用 STA 服务器安全地传递 RDplistener 网关信息。

配置

  • 添加新的 RDPServer 配置文件。在 RDPListener 网关上配置了服务器配置文件。

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
    

    对于无状态 RDP 代理,STA 服务器验证由 RDP 客户端发送的 STA 票证,以获取 RDP 目标 /RDP用户信息。

    使用以下命令在 vpn 虚拟服务器上配置 RDPServer 配置文件:

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
    

    警告 一旦在 VPN vserver 上配置了 RDPServer 配置文件,无法修改它。此外,同一个服务器配置文件不能在另一个 VPN vserver 上重复使用。

rdp 配置文件 命令已重命名为 RDPClient 配置文件 并具有新参数。添加了多监视器支持命令。此外,还添加了一个选项来配置自定义参数,该参数不支持作为 RDP 客户端配置文件的一部分。客户端 SSL 参数已被删除,因为连接始终是安全的。在身份验证器网关上配置客户端配置文件。

添加 RDP-客户端配置文件 <name>-Rdphost <optional FQDN that will be put in the RDP file as 'fulladdress'> [-Rdpurloverride(启用 | 禁用)] [-重新直接剪贴板(启用 | 禁用)] [-重新直接驱动器(启用 | 禁用)]

[-重新直接打印机 (启用 | 禁用)] [-键盘挂接 <keyboardHook>] [-音频遥控 (启用 | 禁用)] [-视频播放模式 (启用 | 禁用)]

[-RDP-可操作性 <positive_integer>] [-多监视器支持 (启用 | 禁用)] [-RDP-自定义参数 <string>] 在单个网关部署中使用 —rdphost 配置。
  • 将 RDP 配置文件与 VPN 虚拟服务器关联。

这可以通过配置会话操作 + 会话策略或通过设置全局 vpn 参数来完成。

示例

<rdpprofilename>添加 VPN 会话操作 <actname>-RDP-客户端配置文件

<actname>添加 VPN 会话 <polname> 策略

<prioritynumber>绑定 VPN vserver <vservername>-策略 <polname>-优先级

或者

<name>设置 VPN 参数 —RDP-客户端配置文件

连接计数器

添加了一个新的连接计数器 n_rdp_totr_curr_active_conn,该计数器保留正在使用的活动连接数的记录。它可以被视为 NetScaler 外壳上 nsconmsg 命令的一部分。稍后,我们将提供一个新的 CLI 命令来查看此计数器。

连接流程

RDP 代理流中涉及两个连接。第一个连接是用户与 Citrix 网关 VIP 的 SSL VPN 连接,以及 RDP 资源的枚举。

第二个连接是与 Citrix 网关上 RDP 侦听器的本机 RDP 客户端连接(使用 RDPIP 和 RDPPort 进行配置),以及随后将 RDP 客户端安全地代理到服务器数据包。

本地化后的图片

  1. 用户连接到身份验证器网关 VIP 并提供其凭据。

  2. 成功登录到网关后,用户将被重定向到主页/外部门户,该门户枚举用户可以访问的远程桌面资源。

  3. 用户选择 RDP 资源后,身份验证器网关 VIP 将接收请求,格式为https://AGVIP/rdpproxy/ip:port/rdptargetproxy 指示用户单击的已发布资源。此请求包含有关用户选择的 RDP 服务器的 IP 和端口的信息。

  4. /rdpproxy/ 请求由身份验证器网关处理。由于用户已经通过身份验证,因此此请求附带有效的网关 cookie。

  5. RDPTarget 和 RDP用户信息存储在 STA 服务器上,并生成 STA 票证。信息存储为 XML Blob,可选择使用配置的预共享密钥加密。如果加密,则 Blob 将被 base64 编码和存储。身份验证器网关将使用网关 vserver 上配置的 STA 服务器之一。

  6. XML Blob 将采用以下格式

    <Value name=” IPAddress” >第 </Value> 一波特<Value name=” Port” > n </Value>

    <Value name=” Username” >用户名 </Value><Value name=” Password” > NPWD </Value>

  7. 在 /rdpproxy/ 请求中获得的 “rdptargetproxy” 被放置为 “完整地址”,STA 票证(预先使用 STA AuthID)被放置为 .rdp 文件中的 “负载均衡信息”。

  8. .rdp 文件被发送回客户端端点。

  9. 本机 RDP 客户端启动并连接到 RDPListener 网关。它在初始 x.224 数据包中发送 STA 票证。

  10. RDPListener 网关验证 STA 票证并获取 RDPs 目标和 RDPs 用户信息。使用负载均衡信息中存在的 “AuthID” 检索要使用的 STA 服务器。

  11. 创建网关会话用于存储授权/审核策略。如果用户已经存在会话,则会重新使用该会话。

  12. RDPListener 网关连接到使用 CredSSP 的 RDPTarget 和单个标志。

单网关兼容性

如果 RDP 文件是使用 /rdpproxy/rdp目标/rdp目标代理URL 生成的,我们将生成 STA 票证,否则将使用当前指向会话的 “负载平衡信息” 方法。

本地化后的图片

在单个网关部署的情况下,/rdpproxy URL 进入身份验证器网关本身。STA 服务器不是必需的。身份验证器网关对 RDPTarget 和 AAA 会话 cookie 进行安全编码,并将其作为 .rdp 文件中的 “负载均衡信息” 发送。当 RDP 客户端在 x.224 数据包中发送此令牌时,身份验证器网关将解码 RDPTarget 信息,查找会话并连接到 RDPTarget。

升级说明

较早的配置不适用于此新版本,因为之前在 vpn vserver 上配置的参数 RDPip 和 RDPPort 已更新为 RdpServerProfile 的一部分,并且 “rdp 配置文件” 已重命名为 “rdp 客户端配置文件”,旧参数客户端 SSL 已被删除。

创建 RDP 服务器配置文件

  1. 转到思杰网关 > 政策 > RDP。

    本地化后的图片

  2. 转到服务器配置文件选项卡,然后单击 添加

    本地化后的图片

  3. 输入以下信息以创建 RDP 服务器配置文件。

    本地化后的图片

配置 RDP 客户端配置文件

  1. 转到思杰网关 > 政策 > RDP

    本地化后的图片

  2. 转到客户配置文件选项卡,然后单击 添加

    本地化后的图片

  3. 输入以下信息以配置 RDP 服务器配置文件。

    本地化后的图片

设置虚拟服务器

  1. 转到 Citrix 网关 > 虚拟服务器。

    本地化后的图片

  2. 单击 添加 以创建新的 RDP 服务器。

    本地化后的图片

  3. 完成此基本设置页面上的数据,然后单 击确定

    本地化后的图片

  4. 单击 铅笔 以编辑页面。

    本地化后的图片