Rendezvous V1
在使用 Citrix Gateway 服务的环境中,Rendezvous 协议允许 HDX 会话绕过 Citrix Cloud Connector™,直接安全地连接到 Citrix Gateway 服务。
-
要求
-
- 使用 Citrix Workspace™ 和 Citrix Gateway 服务访问环境。
-
- 控制平面:Citrix Virtual Apps and Desktops™ 服务 (Citrix Cloud)。
-
- Linux VDA 2112 或更高版本。
- 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅Rendezvous 协议策略设置。
- VDA 必须能够访问
https://*.nssvc.net,包括所有子域。如果无法以这种方式将所有子域列入白名单,请改用https://*.c.nssvc.net和https://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档的Internet 连接要求部分(在 Virtual Apps and Desktop 服务下)和知识中心文章 CTX270584。 - Cloud Connector 在代理会话时必须获取 VDA 的 FQDN。为实现此目标,请为站点启用 DNS 解析:使用 Citrix Virtual Apps and Desktops Remote PowerShell SDK 运行命令
Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops Remote PowerShell SDK 的详细信息,请参阅 SDK 和 API。
-
代理配置
- VDA 支持通过 HTTP 代理建立 Rendezvous 连接。
代理注意事项
- 将代理与 Rendezvous 结合使用时,请考虑以下事项:
-
支持非透明 HTTP 代理。
-
不支持数据包解密和检查。配置例外,以便 VDA 与 Gateway Service 之间的 ICA® 流量不会被拦截、解密或检查。否则,连接会中断。
-
HTTP 代理通过使用 Negotiate 和 Kerberos 身份验证协议支持基于计算机的身份验证。当您连接到代理服务器时,Negotiate 身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。
注意:
-
-
要使用 Kerberos,您必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时会生成
HTTP/<proxyURL>格式的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果您不创建 SPN,身份验证将失败。
-
-
对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。
非透明代理
在网络中使用非透明代理时,请配置 Rendezvous 代理配置设置。启用该设置后,请指定 HTTP 代理地址,以便 VDA 知道要使用哪个代理。例如:
- 代理地址:
http://<URL or IP>:<port>
Rendezvous 验证
如果满足所有要求,请按照以下步骤验证 Rendezvous 是否正在使用中:
- 在 VDA 上启动终端。
- 运行
/opt/Citrix/VDA/bin/ctxqurey -f iP。 - 传输协议 (TRANSPORT PROTOCOLS) 指示连接类型:
- TCP Rendezvous: TCP - TLS - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- 通过 Cloud Connector 代理:TCP - CGP - ICA
提示:
如果您启用 Rendezvous 且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 会回退到通过 Cloud Connector 代理 HDX™ 会话。
Rendezvous 的工作原理
此图是 Rendezvous 连接流程的概述。
请按照以下步骤了解流程。
- 导航到 Citrix Workspace。
- 在 Citrix Workspace 中输入凭据。
- 如果使用本地 Active Directory,Citrix Virtual Apps™ and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 验证凭据。
- Citrix Workspace 显示来自 Citrix Virtual Apps and Desktops 服务的枚举资源。
- 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送消息,以准备传入会话。
- Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
- 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 验证该票证。
- Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为 Rendezvous 连接,并将信息发送到 VDA。
- VDA 与 Citrix Gateway 服务建立直接连接。
- 如果 VDA 与 Citrix Gateway 服务之间无法建立直接连接,则 VDA 会通过 Cloud Connector 代理其连接。
- Citrix Gateway 服务在端点设备和 VDA 之间建立连接。
- VDA 通过 Cloud Connector 与 Citrix Virtual Apps and Desktops 服务验证其许可证。
- Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 将会话策略发送到 VDA。这些策略将应用。