汇聚协议
在使用 Citrix Gateway 服务的环境中,汇聚协议允许 HDX 会话绕过 Citrix Cloud Connector 直接安全地连接到 Citrix Gateway 服务。
要求
- 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
- 控制平面:Citrix Virtual Apps and Desktops 服务 (Citrix Cloud)。
- VDA:1912 或更高版本。
- 版本 2012 是 EDT Rendezvous 所需的最低版本。
- 版本 2012 是非透明代理支持所需的最低版本(不支持 PAC 文件)。
- 版本 2103 是使用 PAC 文件进行代理配置所需的最低版本。
- 在 Citrix 策略中启用汇聚协议。有关详细信息,请参阅汇聚协议策略设置。
- VDA 必须对
https://*.nssvc.net具有访问权限,包括所有子域。如果无法通过该方式将所有子域添加到允许列表中,请该为使用https://*.c.nssvc.net和https://*.g.nssvc.net。有关详细信息,请参阅请参阅 Citrix Cloud 文档(Virtual Apps and Desktops 服务下)的 Internet 连接要求部分和知识中心文章 CTX270584。 - VDA 必须能够分别连接到上文 TCP Rendezvous 和 EDT Rendezvous 的 TCP 443 和 UDP 443 中提到的地址。
- 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。通过以下两种方式之一完成此操作:
-
为站点启用 DNS 解析。使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 运行命令
Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API。 - 具有 VDA 的 PTR 记录的 DNS 反向查找区域。如果选择此选项,我们建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后将注册 PTR 记录设置为已启用并注册。如果连接的 DNS 后缀与域的 DNS 后缀不匹配,您还必须配置 Connection-specific DNS suffix(连接特有的 DNS 后缀)设置,以便计算机能够成功注册 PTR 记录。
-
为站点启用 DNS 解析。使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 运行命令
代理配置
VDA 支持通过代理建立汇聚连接。
代理注意事项
在汇聚中使用代理时,请注意以下事项:
- 支持透明代理、非透明 HTTP 代理和 SOCKS5 代理。
- 不支持数据包解密和检查。配置异常,以便 VDA 与网关服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。
-
HTTP 代理通过使用协商和 Kerberos 或 NT 局域网管理器 (NTLM) 身份验证协议支持基于计算机的身份验证。
连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。如果 Kerberos 不受支持,协商将回退到 NTLM 进行身份验证。
注意:
要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为
HTTP/<proxyURL>的 SPN,其中代理 URL 是从汇聚代理策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。 - 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,必须配置例外,以便发往网关服务地址的流量(在要求中指定)可以绕过身份验证。
- 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。
透明代理
如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。
非透明代理
如果在网络中使用非透明代理,请配置 汇聚代理配置 设置。启用该设置后,请指定 HTTP 或 SOCKS5 代理地址,或者输入 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:
- 代理地址:
http://<URL or IP>:<port>或socks5://<URL or IP>:<port> - PAC 文件:
http://<URL or IP>/<path>/<filename>.pac
如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如 PROXY socks5=<URL or IP>:<port>。
汇聚验证
如果您满足所有要求,请按照下列步骤验证是否正在使用汇聚:
- 在 HDX 会话中启动 PowerShell 或命令提示符。
- 运行
ctxsession.exe –v。 - 正在使用的传输协议指明连接类型:
- TCP 汇聚:TCP > SSL > CGP > ICA
- EDT 汇聚:UDP > DTLS > CGP > ICA
- 通过 Cloud Connector 代理:TCP > CGP > ICA
其他注意事项
Windows 密码套件顺序
对于自定义密码套件顺序,请确保在以下列表中包含 VDA 支持的密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
如果自定义密码套件顺序不包含这些密码套件,汇聚连接将失败。
Zscaler Private Access
如果使用 Zscaler Private Access (ZPA),强烈建议您为网关服务配置绕过设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在要求中指定),并将其设置为始终绕过。有关配置应用程序段以绕过 ZPA 的信息,请参阅Zscaler 文档。
汇聚的工作原理
下图概述了汇聚连接流程。
请按照以下步骤了解汇聚连接流程:
- 导航到 Citrix Workspace。
- 在 Citrix Workspace 中输入凭据。
- 如果使用本地 Active Directory,Citrix Virtual Apps and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
- Citrix Workspace 显示 Citrix Virtual Apps and Desktops 服务中的计数的资源。
- 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送一条消息,以便为传入会话做好准备。
- Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
- 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
- Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为汇聚连接,并将信息发送到 VDA。
- VDA 建立与 Citrix Gateway 服务的直接连接。
- 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 通过 Cloud Connector 代理其连接。
- Citrix Gateway 服务在端点与 VDA 之间建立连接。
- VDA 通过 Cloud Connector 借助 Citrix Virtual Apps and Desktops 服务验证其许可证。
- Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 向 VDA 发送会话策略并对其应用这些策略。