Citrix Virtual Apps and Desktops

集合点协议

在使用 Citrix Gateway 服务的环境中,集合点协议允许 HDX 会话绕过 Citrix Cloud Connector 直接安全地连接到 Citrix Gateway 服务。 要求:

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix Virtual Apps and Desktops 服务 (Citrix Cloud)
  • VDA:1912 或更高版本。
  • 在 Citrix 策略中启用集合点协议。有关详细信息,请参阅集合点协议策略设置
  • VDA 必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果无法通过该方式将所有子域添加到允许列表中,请该为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅请参阅 Citrix Cloud 文档(Virtual Apps and Desktops 服务下)的“Internet 连接要求”部分和知识中心文章 CTX270584
  • 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。通过以下两种方式之一完成此操作:
    • 为站点启用 DNS 解析。使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API
    • 具有 VDA 的 PTR 记录的 DNS 反向查找区域。如果选择此选项,我们建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后将注册 PTR 记录设置为已启用并注册
  • 在 VDA 上,配置 SSL 密码套件顺序。使用组策略编辑器或组策略对象。在计算机配置节点下,转到 管理模板 > 网络 > SSL 配置设置 > SSL 密码套件顺序

    重要:

    SSL 密码套件的规则:

    SSL 密码套件顺序列表必须采用严格的逗号分隔的格式。

    除了最后一个字符串外,每个字符串都必须以逗号 (,) 结尾。

    请勿添加空格。

    如果 VDA 计算机是非持久性的(即,通过 MCS 或 PVS 预配),请在主映像中配置密码套件顺序。

    选择以下顺序:

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

重要:

集合点协议不支持透明代理或显式代理。要使用的代理,请继续使用 Cloud Connector 传输 ICA 流量。

如果启用了集合点,并且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 将回退到通过 Cloud Connector 代理 HDX 会话。

如果您满足所有要求,请按照下列步骤验证是否正在使用集合点:

  1. 在 HDX 会话中启动 PowerShell 或命令提示符。
  2. 运行 ctxsession.exe –v
  3. 记录本地地址。如果正在使用集合点,则本地地址为 0.0.0.0 后跟一个 5 位数的端口号(例如,0.0.0.0:50343)。

下图概述了集合点连接流程。请按照步骤了解流程。

集合点协议概述

  1. 导航到 Citrix Workspace
  2. 在 Citrix Workspace 中输入凭据。
  3. 如果使用本地 Active Directory,Citrix Virtual Apps and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
  4. Citrix Workspace 显示 Citrix Virtual Apps and Desktops 服务中的枚举资源。
  5. 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送一条消息,以便为传入会话做好准备。
  6. Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
  7. 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
  8. Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为集合点连接,并将信息发送到 VDA。
  9. VDA 建立与 Citrix Gateway 服务的直接连接。
  10. 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 将代理其与 Cloud Connector 的连接。
  11. Citrix Gateway 服务在端点与 VDA 之间建立连接。
  12. VDA 通过 Cloud Connector 借助 Citrix Virtual Apps and Desktops 服务验证其许可证。
  13. Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 向 VDA 发送会话策略。这些政策已应用。

集合点协议