产品文档
Linux Virtual Delivery Agent
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
查看 PDF

Rendezvous V1

April 17, 2026
投稿者: 
C C

使用 Citrix Gateway 服务时,Rendezvous 协议允许流量绕过 Citrix Cloud™ 连接器,并直接安全地连接到 Citrix Cloud 控制平面。

需要考虑两种类型的流量:1) 用于 VDA 注册和会话代理的控制流量;2) HDX™ 会话流量。

  • Rendezvous V1 允许 HDX 会话流量绕过 Cloud Connector,但仍需要 Cloud Connector 代理所有用于 VDA 注册和会话代理的控制流量。

要求

  • 使用 Citrix Workspace™ 和 Citrix Gateway 服务访问环境。
    • 控制平面:Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops™ 服务)。
    • Linux VDA 版本 2112 或更高版本。
    • 版本 2112 是非透明 HTTP 代理的最低要求。
    • 版本 2204 是透明和 SOCKS5 代理的最低要求。
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置
    • VDA 必须能够访问 https://*.nssvc.net,包括所有子域。如果无法以这种方式将所有子域添加到允许列表中,请改用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档的 Internet 连接要求部分(在 Virtual Apps and Desktop 服务下)和知识中心文章 CTX270584
    • Cloud Connector 必须在代理会话时获取 VDA 的 FQDN。可通过以下两种方式之一完成此任务:
    • 为站点启用 DNS 解析。 导航到完整配置 > 设置,然后启用启用 DNS 解析设置。或者,使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 并运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API
    • 具有 VDA 的 PTR 记录的 DNS 反向查找区域。 如果选择此选项,建议您将 VDA 配置为始终尝试注册 PTR 记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后将注册 PTR 记录设置为已启用和注册。如果连接的 DNS 后缀与域的 DNS 后缀不匹配,则还必须配置特定于连接的 DNS 后缀设置,以使计算机成功注册 PTR 记录。

    注意:

    如果使用 DNS 解析选项,Cloud Connector 必须能够解析 VDA 计算机的完全限定域名 (FQDN)。如果内部用户直接连接到 VDA 计算机,则客户端设备也必须能够解析 VDA 计算机的 FQDN。

  • 如果使用 DNS 反向查找区域,则 PTR 记录中的 FQDN 必须与 VDA 计算机的 FQDN 匹配。如果 PTR 记录包含不同的 FQDN,则 Rendezvous 连接将失败。例如,如果计算机的 FQDN 为 vda01.domain.net,则 PTR 记录必须包含 vda01.domain.net。诸如 vda01.sub.domain.net 之类的不同 FQDN 将不起作用。

代理配置

VDA 支持通过 HTTP 和 SOCKS5 代理建立 Rendezvous 连接。

  • 代理注意事项

将代理与 Rendezvous 结合使用时,请考虑以下事项:

  • 支持非透明 HTTP 代理和 SOCKS5 代理。

    • 不支持数据包解密和检查。配置例外,以便 VDA 与 Gateway Service 之间的 ICA® 流量不会被拦截、解密或检查。否则,连接将中断。

    • HTTP 代理通过使用 Negotiate 和 Kerberos 身份验证协议支持基于计算机的身份验证。连接到代理服务器时,Negotiate 身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。

    注意:

    • 要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时会生成 HTTP/<proxyURL> 格式的 SPN,其中代理 URL 是从Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将失败。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,则必须配置例外,以便发往 Gateway Service 地址(在要求中指定)的流量可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

Rendezvous 支持透明 HTTP 代理。如果在网络中使用透明代理,则 VDA 上不需要进行额外配置。

非透明代理

在网络中使用非透明代理时,请配置 Rendezvous 代理配置 设置。启用该设置后,指定 HTTP 或 SOCKS5 代理地址,以便 VDA 知道要使用哪个代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>

Rendezvous 验证

如果满足所有要求,请按照以下步骤验证 Rendezvous 是否正在使用:

  1. 在 VDA 上启动终端。
  2. 运行 /opt/Citrix/VDA/bin/ctxquery -f iP
  3. 传输协议指示连接类型:
    • TCP Rendezvous:TCP - TLS - CGP - ICA
    • EDT Rendezvous:UDP - DTLS - CGP - ICA
    • 通过 Cloud Connector 代理:TCP - PROXY - SSL - CGP - ICA 或 UDP - PROXY - DTLS - CGP - ICA

提示:

如果 VDA 在启用 Rendezvous 的情况下无法直接访问 Citrix Gateway 服务,VDA 将回退到通过 Cloud Connector 代理 HDX 会话。

Rendezvous 的工作原理

此图概述了 Rendezvous 连接流。

Rendezvous 协议概述

请按照以下步骤了解此流程。

  1. 导航到 Citrix Workspace。
  2. 在 Citrix Workspace 中输入凭据。
  3. 如果使用本地 Active Directory,Citrix DaaS™ 使用 Cloud Connector 通道通过 Active Directory 验证凭据。
  4. Citrix Workspace 显示来自 Citrix DaaS 的枚举资源。
  5. 从 Citrix Workspace 中选择资源。Citrix DaaS 向 VDA 发送消息,以准备传入会话。
  6. Citrix Workspace 向包含由 Citrix Cloud 生成的 STA 票证的端点发送 ICA 文件。
  7. 端点连接到 Citrix Gateway 服务,提供票证以连接到 VDA,并且 Citrix Cloud 验证票证。
  8. Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否为 Rendezvous 连接,并将信息发送到 VDA。
  9. VDA 与 Citrix Gateway 服务建立直接连接。
  10. 如果 VDA 与 Citrix Gateway 服务之间无法建立直接连接,VDA 将通过 Cloud Connector 代理其连接。
  11. Citrix Gateway 服务在端点设备和 VDA 之间建立连接。
  12. VDA 通过 Cloud Connector 验证其在 Citrix DaaS 中的许可证。
  13. Citrix DaaS 通过 Cloud Connector 将会话策略发送到 VDA。这些策略将应用。
Rendezvous V1
April 17, 2026
投稿者: 
C C
April 17, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.