Citrix Virtual Apps and Desktops 服务

汇聚协议

在使用 Citrix Gateway 服务的环境中,汇聚协议允许 HDX 会话绕过 Citrix Cloud Connector 直接安全地连接到 Citrix Gateway 服务。

要求

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix Virtual Apps and Desktops 服务 (Citrix Cloud)。
  • VDA:1912 或更高版本。
    • 版本 2012 是 EDT Rendezvous 所需的最低版本。
    • 版本 2012 是非透明代理支持所需的最低版本(不支持 PAC 文件)。
    • 版本 2103 是使用 PAC 文件进行代理配置所需的最低版本。
  • 在 Citrix 策略中启用汇聚协议。有关详细信息,请参阅汇聚协议策略设置
  • VDA 必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果无法通过该方式将所有子域添加到允许列表中,请该为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档(在 Virtual Apps and Desktops 服务下方)的 Internet 连接要求部分和知识中心文章 CTX270584
  • VDA 必须能够分别连接到上文 TCP Rendezvous 和 EDT Rendezvous 的 TCP 443 和 UDP 443 中提到的地址。
  • 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。通过以下两种方式之一完成此操作:
    • 为站点启用 DNS 解析。导航到完整配置 > 设置并打开启用 DNS 解析设置。或者,使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 并运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API
    • 具有 VDA 的 PTR 记录的 DNS 反向查找区域。如果选择此选项,我们建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后将注册 PTR 记录设置为已启用并注册。如果连接的 DNS 后缀与域的 DNS 后缀不匹配,您还必须配置 Connection-specific DNS suffix(连接特有的 DNS 后缀)设置,以便计算机能够成功注册 PTR 记录。

    注意:

    如果使用 DNS 解析选项,则 Cloud Connector 必须能够解析 VDA 计算机的完全限定域名 (FQDN)。在内部用户直接连接到 VDA 计算机的情况下,客户端设备还必须能够解析 VDA 计算机的 FQDN。

    如果使用 DNS 反向查找区域,则 PTR 记录中的 FQDN 必须与 VDA 计算机的 FQDN 相匹配。如果 PTR 记录包含不同的 FQDN,则汇聚连接将失败。例如,如果计算机的 FQDN 是 vda01.domain.net,则 PTR 记录必须包含 vda01.domain.net。使用其他 FQDN(例如 vda01.sub.domain.net )将不起作用。

代理配置

VDA 支持通过代理建立汇聚连接。

代理注意事项

在汇聚中使用代理时,请注意以下事项:

  • 支持透明代理、非透明 HTTP 代理和 SOCKS5 代理。
  • 不支持数据包解密和检查。配置异常,以便 VDA 与网关服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。
  • HTTP 代理通过使用协商和 Kerberos 或 NT 局域网管理器 (NTLM) 身份验证协议支持基于计算机的身份验证。

    连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。如果 Kerberos 不受支持,协商将回退到 NTLM 进行身份验证。

    注意:

    要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从汇聚代理策略设置中检索的。如果不创建 SPN,身份验证将回退到 NTLM。在这两种情况下,VDA 计算机的身份都用于身份验证。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,必须配置例外,以便发往网关服务地址的流量(在要求中指定)可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。

非透明代理

如果在网络中使用非透明代理,请配置汇聚代理配置设置。启用该设置后,请指定 HTTP 或 SOCKS5 代理地址,或者输入 PAC 文件的路径,以便 VDA 知晓要使用的代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>
  • PAC 文件:http://<URL or IP>/<path>/<filename>.pac

如果使用 PAC 文件配置代理,请使用 Windows HTTP 服务所需的语法定义代理:PROXY [<scheme>=]<URL or IP>:<port>。例如,PROXY socks5=<URL or IP>:<port>

汇聚验证

如果您满足所有要求,请按照下列步骤验证是否正在使用汇聚:

  1. 在 HDX 会话中启动 PowerShell 或命令提示符。
  2. 运行 ctxsession.exe –v
  3. 正在使用的传输协议指明连接类型:
    • TCP 汇聚:TCP > SSL > CGP > ICA
    • EDT 汇聚:UDP > DTLS > CGP > ICA
    • 通过 Cloud Connector 代理:TCP > CGP > ICA

其他注意事项

Windows 密码套件顺序

对于自定义密码套件顺序,请确保在以下列表中包含 VDA 支持的密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件,汇聚连接将失败。

Zscaler Private Access

如果使用 Zscaler Private Access (ZPA),强烈建议您为网关服务配置绕过设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在要求中指定),并将其设置为始终绕过。有关配置应用程序段以绕过 ZPA 的信息,请参阅 Zscaler 文档

汇聚的工作原理

下图概述了汇聚连接流程。

汇聚协议概述

请按照以下步骤了解汇聚连接流程:

  1. 导航到 Citrix Workspace。
  2. 在 Citrix Workspace 中输入凭据。
  3. 如果使用本地 Active Directory,Citrix Virtual Apps and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
  4. Citrix Workspace 显示 Citrix Virtual Apps and Desktops 服务中的计数的资源。
  5. 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送一条消息,以便为传入会话做好准备。
  6. Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
  7. 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
  8. Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为汇聚连接,并将信息发送到 VDA。
  9. VDA 建立与 Citrix Gateway 服务的直接连接。
  10. 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 通过 Cloud Connector 代理其连接。
  11. Citrix Gateway 服务在端点与 VDA 之间建立连接。
  12. VDA 通过 Cloud Connector 借助 Citrix Virtual Apps and Desktops 服务验证其许可证。
  13. Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 向 VDA 发送会话策略并对其应用这些策略。
汇聚协议