会合V1
当使用Citrix网关服务时,Rendezvous协议允许vda绕过Citrix云连接器,直接安全地连接到Citrix云控制平面。
需求
- 使用Citrix Workspace和Citrix Gateway服务访问环境。
- 控制平面:Citrix DaaS (Citrix Cloud)。
- VDA: 1912或更高版本。
- 版本2012是EDT交会的最低要求。
- Version 2012是非透明代理支持(不支持PAC文件)的最低要求。
- 版本2103是带有PAC文件的代理配置的最低要求。
- 在Citrix策略中启用Rendezvous协议。有关更多信息,请参见交会协议策略设置。
- vda必须有权访问
https:// * .nssvc.net,包括所有子域。如果不能以这种方式将所有子域添加到允许列表中,请使用https:// * .c.nssvc.net和https:// * .g.nssvc.net代替。有关更多信息,请参见互联网连接要求Citrix Cloud文档的部分(在Citrix DaaS下)和知识中心的文章CTX270584。 - vda必须能够分别连接到TCP 443和UDP 443上提到的地址,用于TCP Rendezvous和EDT Rendezvous。
- 在代理会话时,云连接器必须获取vda的fqdn。通过以下两种方式之一完成此任务:
- 开启站点的DNS解析功能。导航到完整配置>设置然后打开开启DNS解析功能设置。或者,使用Citrix虚拟应用程序和桌面远程PowerShell SDK并运行该命令
Set-BrokerSite - dnsresoltionenabled $true。有关Citrix虚拟应用程序和桌面远程PowerShell SDK的详细信息,请参见sdk和api。 - vda有PTR记录的DNS反向解析区。如果您选择此选项,我们建议您将vda配置为始终尝试注册PTR记录。为此,请使用组策略编辑器或组策略对象,导航到计算机配置>管理模板>网络> DNS客户端,并设置注册PTR记录来启用和注册。如果连接的DNS后缀与域的DNS后缀不匹配,还必须配置特定于连接的DNS后缀设置机器成功注册PTR记录。
注意:
如果使用DNS解析选项,云连接器必须能够解析VDA机器的完全限定域名(FQDNs)。在内部用户直接连接到VDA机器的情况下,客户端设备也必须能够解析VDA机器的fqdn。
如果使用DNS反向查找区域,PTR记录中的FQDNs必须与VDA机器的FQDNs匹配。如果PTR记录包含不同的FQDN,则交会连接失败。例如,如果机器的FQDN是
vda01.domain.net, PTR记录必须包含vda01.domain.net。不同的FQDN,例如vda01.sub.domain.net不工作。 - 开启站点的DNS解析功能。导航到完整配置>设置然后打开开启DNS解析功能设置。或者,使用Citrix虚拟应用程序和桌面远程PowerShell SDK并运行该命令
代理配置
VDA支持通过代理建立Rendezvous连接。
代理注意事项
在使用代理和Rendezvous时,请考虑以下几点:
- 支持透明代理、非透明HTTP代理和SOCKS5代理。
- 不支持报文解密和检测。配置例外,使VDA与Gateway Service之间的ICA流量不被拦截、解密或检测。否则,连接断开。
HTTP代理通过使用Negotiate和Kerberos或NT LAN Manager (NTLM)身份验证协议支持基于机器的身份验证。
当您连接到代理服务器时,Negotiate身份验证方案会自动选择Kerberos协议。如果不支持Kerberos,那么Negotiate将返回到NTLM进行身份验证。
注意:
要使用Kerberos,必须为代理服务器创建服务主体名称(SPN),并将其与代理的Active Directory帐户关联。VDA生成SPN的格式为
HTTP / < proxyURL >在建立会话时,代理URL从对接代理策略设置。如果不创建SPN,身份验证将退回到NTLM。在这两种情况下,都使用VDA机器的标识进行身份验证。- 目前不支持使用SOCKS5代理进行身份验证。如果使用SOCKS5代理,则必须配置例外,以便到达网关服务地址(在需求中指定)的流量可以绕过认证。
- 只有SOCKS5代理支持通过EDT进行数据传输。对于HTTP代理,使用TCP作为ICA的传输协议。
透明代理
如果在您的网络中使用透明代理,则不需要在VDA上进行额外配置。
不透明的代理
如果在您的网络中使用非透明代理,请配置交会代理配置设置。启用该设置后,请指定HTTP或SOCKS5代理地址,或者输入PAC文件的路径,以便VDA知道要使用哪个代理。例如:
- 代理地址:
http://或: socks5://: - PAC文件:
http:/// / .pac
如果您使用PAC文件配置代理,请使用Windows HTTP服务所需的语法定义代理:PROXY [。例如,代理socks5=。
会合验证
如果您满足所有要求,请按照以下步骤验证是否正在使用Rendezvous:
- 在HDX会话中启动PowerShell或命令提示符。
- 运行
ctxsession.exe - v。 - 使用的传输协议表示连接的类型:
- TCP对接:TCP > SSL > CGP > ica
- 约会地点:美国东部时间Udp > DTLS > CGP > ica
- 通过云连接器的代理:TCP > CGP > ica
其他的考虑
Windows密码套件命令
对于自定义密码套件订单,请确保从以下列表中包含vda支持的密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
如果自定义密码套件订单不包含这些密码套件,则交会连接将失败。
Zscaler私有访问
如果使用Zscaler Private Access (ZPA),建议您为Gateway Service配置旁路设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在需求中指定),并将它们设置为始终绕过。有关配置应用段绕过ZPA的信息,请参见Zscaler文档。