会合V2
当使用Citrix网关服务时,Rendezvous协议允许vda绕过Citrix云连接器,直接安全地连接到Citrix云控制平面。
标准域连接机器、Azure AD连接机器和非域连接机器都支持Rendezvous V2。
注意:
目前,无连接部署是可能的Azure AD加入和无领域加入机器。标准的AD域加入机器仍然需要云连接器来进行VDA注册和会话代理。但是,使用Rendezvous V2没有DNS需求。
云连接器对与VDA通信无关的其他功能的需求保持不变,例如连接到本地AD域、MCS配置到本地管理程序等。
需求
使用Rendezvous V2的要求是:
- 使用Citrix Workspace和Citrix Gateway Service访问环境
- 控制平面:Citrix DaaS
- VDA版本2203
- 在Citrix策略中启用Rendezvous协议。有关更多信息,请参见交会协议策略设置.
- vda上必须开启“会话可靠性”
- VDA机器必须能够访问:
https:// *。* .nssvc.net在TCP 443和UDP 443分别用于TCP和EDT上的HDX会话。如果您不能以这种方式允许所有子域,您可以使用https:// * .c.nssvc.net和https:// * .g.nssvc.net代替。有关更多信息,请参阅知识中心文章CTX270584.https:// * .xendesktop.net在TCP 443.如果您不能以这种方式允许所有子域,您可以使用https:// < customer_ID > .xendesktop.net,在那里是您在Citrix Cloud管理员门户中显示的Citrix Cloud客户ID。
代理配置
当使用Rendezvous时,VDA支持通过代理连接控制流量和HDX会话流量。这两种类型的流量的需求和考虑因素是不同的,因此请仔细查看它们。
控制流量代理注意事项
- 仅支持HTTP代理。
- 不支持报文解密和检测。配置异常,使VDA与Citrix Cloud控制平面之间的控制流量不被拦截、解密和检测。否则,连接失败。
- 不支持代理身份验证。
HDX流量代理注意事项
- 支持HTTP和SOCKS5代理。
- EDT只能与SOCKS5代理一起使用。
- 缺省情况下,HDX流量使用为控制流量定义的代理。如果您必须为HDX流量使用不同的代理,无论是不同的HTTP代理还是SOCKS5代理,请使用交会代理配置策略设置。
- 不支持报文解密和检测。配置例外,使VDA与Citrix Cloud控制平面之间的HDX流量不被拦截、解密和检测。否则,连接失败。
- 基于机器的身份验证仅支持HTTP代理,并且如果VDA机器加入了AD域。它可以使用协商/Kerberos或NTLM身份验证。
注意:
要使用Kerberos,需要为代理服务器创建服务主体名称(SPN),并将其与代理的Active Directory帐户关联。VDA生成SPN的格式为
HTTP / < proxyURL >在建立会话时,代理URL从交会代理配置策略设置。如果不创建SPN,身份验证将退回到NTLM。在这两种情况下,都使用VDA机器的标识进行身份验证。 - 目前不支持使用SOCKS5代理进行身份验证。如果使用SOCKS5代理,请配置例外,以便到达网关服务地址(在需求中指定)的流量可以绕过认证。
- 只有SOCKS5代理支持通过EDT进行数据传输。对于HTTP代理,使用TCP作为ICA的传输协议。
透明代理
如果在您的网络中使用透明代理,则不需要在VDA上进行额外配置。
不透明的代理
如果您的网络中使用非透明代理,请在安装VDA时指定代理,以便控制流量能够到达Citrix Cloud的控制平面。在继续安装和配置之前,请确保查看控制流量代理的注意事项。
在VDA安装向导中,选择交会代理配置在附加组件页面。此选项使交会代理配置页稍后在安装向导中可用。在这里,输入代理地址或PAC文件的路径,以便VDA知道要使用哪个代理。例如:
- 代理地址:
http://:<端口> - PAC文件:
http:/// .pac
如HDX流量代理注意事项中所述,HDX流量默认使用VDA安装期间定义的代理。如果您必须为HDX流量使用不同的代理,无论是不同的HTTP代理还是SOCKS5代理,请使用交会代理配置策略设置。启用时,请指定HTTP或SOCKS5代理地址。您还可以输入PAC文件的路径,以便VDA知道要使用哪个代理。例如:
- 代理地址:
http://或:<端口> socks5://:<端口> - PAC文件:
http:/// .pac
如果您使用PAC文件配置代理,请使用Windows HTTP服务所需的语法定义代理:PROXY [.例如,代理socks5=
如何配置交会
以下是在您的环境中配置Rendezvous的步骤:
- 确保满足所有要求。
- 如果必须在环境中使用非透明HTTP代理,请在VDA安装期间配置它。参考代理配置节获取详细信息。
VDA安装完成后,需要添加以下注册表值:
关键字:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent值类型:DWORD值名称:gcregistry值数据:1- 重新启动VDA机器。
- 创建一个Citrix策略,或者编辑一个已有的策略:
- 设置对接协议设置为允许.
- 如果必须为HDX流量配置HTTP或SOCKS5代理,请配置交会代理配置设置。
- 确保正确设置了Citrix策略过滤器。该策略适用于需要启用Rendezvous的机器。
- 确保Citrix策略具有正确的优先级,以免覆盖其他策略。
会合验证
如果您满足所有要求并已完成配置,请按照以下步骤验证是否正在使用Rendezvous:
- 在虚拟桌面中,打开命令提示符或PowerShell。
- 运行
ctxsession.exe - v. - 显示的传输协议指示连接的类型:
- TCP会合:TCP > SSL > CGP > ICA
- EDT集合:UDP > DTLS > CGP > ICA
- 不会合:TCP > CGP > ICA
- 报告的交会版本表示正在使用的版本。
其他的考虑
Windows密码套件命令
如果在VDA机器中修改了密码套件顺序,请确保包含VDA支持的密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
如果自定义密码套件订单不包含这些密码套件,则交会连接将失败。
Zscaler私有访问
如果使用Zscaler Private Access (ZPA),建议您为Gateway Service配置旁路设置,以避免延迟增加和相关的性能影响。为此,您必须为网关服务地址定义应用程序段(在需求中指定),并将它们设置为始终绕过。有关配置应用段绕过ZPA的信息,请参见Zscaler文档.
已知的问题
如果先前使用过交会V1,交会V2将无法工作
如果您在DaaS站点中启用了DNS解析设置以使用Rendezvous V1,那么Rendezvous V2连接将失败。要使用Rendezvous V2,您必须在DaaS站点中使用以下选项之一禁用DNS解析:
- 导航到完整配置>设置然后关掉开启DNS解析功能设置
- 使用Citrix DaaS远程PowerShell SDK并执行该命令
Set-BrokerSite - dnsresoltionenabled $false
VDA 2203安装程序不允许在代理地址中输入斜杠(/)
作为一种解决方案,您可以在安装VDA后在注册表中配置代理:
关键字:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\VirtualDesktopAgent值类型:字符串值名称:ProxySettings值数据:代理地址或pac文件路径。例如:代理地址:http://squidk.test.local:3128 Pac文件:http://file.test.com/config/proxy.pac交会交通流
下图说明了关于Rendezvous交通流的步骤顺序。
- VDA与Citrix Cloud建立WebSocket连接并进行注册。
- VDA向Citrix Gateway Service注册并获取专用令牌。
- VDA与网关服务建立持久的控制连接。
- 用户导航到Citrix Workspace。
- 工作区评估身份验证配置,并将用户重定向到适当的IdP进行身份验证。
- 用户输入他们的凭证。
- 成功验证用户凭据后,将用户重定向到Workspace。
- 工作区为用户计算资源并显示它们。
- 用户从工作区中选择桌面或应用程序。工作区将请求发送到Citrix DaaS,后者代理连接并指示VDA为会话做准备。
- VDA以交会能力和它的身份响应。
- Citrix DaaS生成一个启动票据,并通过Workspace将其发送到用户设备。
- 用户的端点连接到Gateway Service,并提供启动票据来验证和标识要连接的资源。
- 网关服务将连接信息发送给VDA。
- VDA为会话与网关服务建立直接连接。
- Gateway Service完成端点和VDA之间的连接。
- VDA对会话进行授权验证。
- Citrix DaaS将适用的策略发送给VDA。