无状态RDP代理
无状态RDP Proxy访问RDP主机。通过访问权限RDPListener在Citrix网关上,当用户在单独的Citrix Gateway身份验证器上进行身份验证时。所需的信息RDPListener对于Citrix,网关安全地存储在STA服务器上。只要Citrix网关和应用程序枚举服务器可以到达STA服务器,STA服务器就可以放置在任何位置。详情见,https://support.citrix.com/article/CTX101997.
连接流
在RDP代理流中涉及到两个连接。第一个连接是用户到Citrix Gateway VIP的SSL VPN连接,并枚举RDP资源。
第二个连接是到Citrix网关上RDP侦听器(使用rdpIP和rdpPort配置)的本机RDP客户端连接,以及RDP客户端到服务器数据包的安全代理。
用户连接到验证器网关VIP并提供凭据。
成功登录到网关后,用户将重定向到主页/外部门户,其中列出了用户可以访问的远程桌面资源。
一旦用户选择RDP资源,验证者网关vip会以格式接收一个请求
https://AGVIP/rdpproxy/ip:port/rdptargetproxy指示用户单击的已发布资源。此请求包含有关用户选择的RDP服务器的IP和端口的信息。验证器网关处理/rdpproxy/请求。因为用户已经通过了身份验证,所以该请求附带一个有效的网关cookie。
的
RDPTarget和RDPUser信息存储在STA服务器上,并生成STA Ticket。信息存储为XML blob,可以使用配置的预共享密钥对其进行加密。如果是加密的,blob将使用base64编码并存储。Authenticator Gateway使用网关虚拟服务器上配置的STA服务器之一。XML blob的格式如下
ipaddr \nPort n Username \n pwd\ 的
rdptargetproxy在/rdpproxy/请求中获得的作为'fulladdress'和STA票(用STA authid pre-perded)放在上面负载平衡信息在。rdpfile.的
.rdp文件被发送回客户端端点。本机RDP客户端启动并连接到
RDPListener网关.它在最初的x.224包中发送STA票据。的
RDPListener网关验证STA票据并获取RDPTarget和RDPUser信息。的“AuthID”检索要使用的STA服务器负载平衡信息.创建网关会话以存储授权/审核策略。如果用户存在会话,则会重复使用该会话。
的
RDPListener网关连接到RDPTarget使用CREDSSP进行单签。
先决条件
用户在Citrix网关验证器上进行身份验证。
初始/rdpproxy URL和RDP Client连接到不同的URL
RDPListener Citrix网关.使用STA服务器的验证器网关安全地通过
RDPListener网关信息。
使用CLI配置无状态RDP代理
添加A.
RDPServer轮廓服务器配置文件是在上配置的RDPListener网关.注:
- 一旦在VPN虚拟服务器上配置了rdpServer配置文件,就无法对其进行修改。此外,不能在另一个VPN虚拟服务器上重复使用相同的服务器配置文件。
- 之前在VPN虚拟服务器上配置的rdpIP和rdpPort是rdpServerProfile的一部分。的
rdp文件更名为rdp客户端配置文件并删除参数clientSSL。因此,之前的配置无法使用。
添加RDP服务器配置文件[profilename]-rdpIP[RDP侦听器的IPV4地址]-rdpPort[用于终止RDP客户端连接的端口]-psk[用于解密RDPTarget/RDPUser信息的密钥,在使用STA时需要]。<--需要复制-->VPN虚拟服务器上配置rdpServer配置文件。
添加VPN vserver v1 ssl [pulityip] [portforterminationvpnconnections] -rdpserverprofile [rdpserver profile] <! - callcopy - >重要:
- 对于无状态RDP代理,STA服务器对RDP客户端发送的STA票据进行验证,以获得RDP代理
RDPTarget/RDPUser信息。需要在绑定VPN虚拟服务器的同时绑定STA服务器。例如;
添加vpn url url4 RDP2“rdp://1.1.1.0/1.1.1.2:443“-->这里RDP是1.1.1.0,1.1.1.2是虚拟服务器<--需要复制-->
的rdp配置文件命令重命名为rdpClient配置文件并且有了新的参数。新增multiMonitorSupport命令。另外,还添加了一个配置自定义参数的选项,RDP客户端概要文件不支持这些参数。删除了clientSSL参数,因为连接始终是安全的。在验证方网关上配置客户端配置文件。
add rdpClient profile -rdpHost [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook ] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )] [-rdpCookieValidity ][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams ] -rdphost配置用于单个网关部署。
- 将RDP配置文件与VPN虚拟服务器关联。
您可以通过配置sessionAction+sessionPolicy或设置全局VPN参数来关联RDP配置文件。
例子:
添加vpn会话操作-rdpClientprofile添加vpn会话策略NS\u TRUE绑定vpn服务器-策略-优先级--需要复制--> 或
设置vpn参数-rdpClientprofile 通过GUI界面配置无状态RDP代理
无状态RDP代理配置涉及以下高级步骤。有关详细步骤,请参见RDP代理配置.
- 创建RDP服务器配置文件
- 创建RDP客户端配置文件
- 创建虚拟服务器
- 创建书签
- 创建或编辑会话配置文件或策略
- 装订书签
重要:
对于无状态RDP代理,您必须除VPN虚拟服务器外,必须绑定STA服务器。
连接计数器
添加了一个新的连接计数器NS_RDP_TOT_Curr_Active_Conn,它保留了使用中的活动连接数的记录。它可以被视为一部分nsconmsg命令。CLI命令查看这些计数器是计划以后添加的。
升级说明
之前在VPN虚拟服务器上配置的rdpIP和rdpPort是rdpServerProfile的一部分。的rdp文件更名为rdp客户端配置文件并删除参数clientSSL。因此,之前的配置无法使用。