对接协议

在使用Citrix Gateway服务的环境中，Rendezvous协议允许HDX会话绕过Citrix Cloud Connector，直接安全地连接到Citrix Gateway服务。

需求

• 使用Citrix Workspace和Citrix Gateway服务访问环境。
• 控制平面:Citrix虚拟应用和桌面服务(Citrix Cloud)。
• VDA:版本1912或以后。
  • 版本2012是EDT会合的最低要求。
  • 版本2012是非透明代理支持(不支持PAC文件)所需的最低要求。
  • 版本2103是使用PAC文件进行代理配置所需的最低要求。
• 在Citrix策略中启用Rendezvous协议。有关更多信息，请参见会合协议策略设置．
• VDAs必须有访问权限https:// * .nssvc.net，包括所有子域。如果您不能以这种方式将所有子域名添加到允许列表中，请使用https:// * .c.nssvc.net和https:// * .g.nssvc.net代替。有关更多信息，请参见网络连接要求Citrix Cloud文档的一部分(在虚拟应用程序和桌面服务下面)和知识中心文章CTX270584．
• vda必须能够在TCP 443和UDP 443上连接到上面提到的地址，分别用于TCP Rendezvous和EDT Rendezvous。
• 云连接器在代理会话时必须获得VDAs的FQDNs。用以下两种方法之一来完成:
  • 为站点启用DNS解析。导航到>设置然后打开使DNS解析设置。或者，使用Citrix Virtual Apps和桌面远程PowerShell SDK运行命令Set-BrokerSite -DnsResolutionEnabled真正的美元．有关Citrix虚拟应用程序和桌面远程PowerShell SDK的更多信息，请参见sdk和api．
  • DNS Reverse Lookup Zone with PTR records for the VDAs。如果您选择此选项，我们建议您将VDAs配置为总是尝试注册PTR记录。为此，请使用组策略编辑器或组策略对象，导航到计算机配置>管理模板>网络> DNS客户端,并设置注册PTR记录来启用并注册．如果连接的DNS后缀与域的DNS后缀不匹配，还必须配置Connection-specific DNS后缀设置机器成功注册PTR记录。

  注意:

  如果使用DNS解析选项，云连接器必须能够解析VDA机器的完全限定域名(FQDNs)。在内部用户直接连接到VDA机器的情况下，客户端设备还必须能够解析VDA机器的FQDNs。

  如果使用DNS反向查找区域，则PTR记录中的FQDNs必须与VDA机器的FQDNs匹配。如果PTR记录中包含不同的FQDN，则Rendezvous连接失败。例如，如果机器的FQDN是vda01.domain.net， PTR记录必须包含vda01.domain.net．一个不同的FQDN，比如vda01.sub.domain.net不工作。

代理配置

VDA支持通过代理建立Rendezvous连接。

代理注意事项

在使用Rendezvous代理时，请考虑以下事项:

• 支持透明代理、非透明HTTP代理和SOCKS5代理。
• 不支持报文解密和报文检测。配置例外，使VDA与Gateway Service之间的ICA流量不被拦截、解密和检测。否则，连接中断。

• HTTP代理通过使用Negotiate和Kerberos或NT LAN Manager (NTLM)身份验证协议支持基于机器的身份验证。

  当连接代理服务器时，Negotiate认证方案会自动选择Kerberos协议。如果不支持Kerberos，则Negotiate将退回到NTLM进行身份验证。

  注意:

  要使用Kerberos，必须为代理服务器创建服务主体名(SPN)，并将其与代理的Active Directory帐户关联。VDA按此格式生成SPNHTTP / < proxyURL >在建立会话时，从对接代理策略设置。如果不创建SPN，身份验证将退回到NTLM。在这两种情况下，VDA机器的身份都用于身份验证。

• 目前不支持使用SOCKS5代理进行身份验证。如果使用SOCKS5代理，您必须配置一个例外，以便到达网关服务地址(在需求中指定)的流量可以绕过认证。
• 只有SOCKS5代理支持EDT数据传输。对于HTTP代理，请使用TCP作为ICA的传输协议。

透明代理

如果在您的网络中使用透明代理，则不需要在VDA上进行额外配置。

不透明的代理

如果在您的网络中使用非透明代理，请配置对接代理配置设置。当启用该设置时，请指定HTTP或SOCKS5代理地址，或输入PAC文件的路径，以便VDA知道使用哪个代理。例如:

• 代理地址:http:// < URL或IP >: <端口>或socks5: / / < URL或IP >: <口>
• PAC文件:http:// < URL或IP > / <路径> / <文件名> .pac

如果你使用PAC文件来配置代理，使用Windows HTTP服务所需的语法定义代理:PROXY [=]: . PROXY [=．例如,socks5代理= < URL或IP >: <口>．

会合验证

如果您满足所有要求，请按照以下步骤验证是否正在使用Rendezvous:

1. 在HDX会话中启动PowerShell或命令提示符。
2. 运行ctxsession.exe - v．
3. 使用的传输协议表示连接的类型:
   • TCP对接:TCP > SSL > CGP > ica
   • 约会地点:美国东部时间Udp > DTLS > CGP > ica
   • 通过云连接器代理:TCP > CGP > ica

额外的注意事项

Windows密码套件命令

对于自定义密码套件顺序，请确保从以下列表中包含vda支持的密码套件:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

如果自定义密码套件顺序不包含这些密码套件，则Rendezvous连接失败。

Zscaler私人访问

如果使用Zscaler Private Access (ZPA)，强烈建议您为Gateway Service配置旁路设置，以避免增加延迟和相关的性能影响。为此，您必须为需求中指定的Gateway Service地址定义应用程序段，并将它们设置为始终绕过。有关配置应用程序段以绕过ZPA的信息，请参阅Zscaler文档．

约会是如何工作的

此图是Rendezvous连接流的概述。

按照以下步骤了解Rendezvous连接流:

1. 导航到Citrix工作区。
2. 在Citrix工作区中输入凭据。
3. 如果使用本地活动目录，Citrix虚拟应用和桌面服务将使用云连接器通道使用活动目录验证凭据。
4. Citrix工作区显示从Citrix虚拟应用程序和桌面服务统计的资源。
5. 从Citrix工作区中选择资源。Citrix虚拟应用程序和桌面服务向VDA发送消息，为即将到来的会话做准备。
6. Citrix Workspace向终端发送一个包含由Citrix Cloud生成的STA票据的ICA文件。
7. 终端连接到Citrix Gateway服务，提供连接到VDA的票据，Citrix Cloud验证票据。
8. Citrix Gateway服务将连接信息发送到云连接器。云连接器确定连接是否应该是一个Rendezvous连接，并将信息发送给VDA。
9. VDA与Citrix Gateway服务建立直接连接。
10. 如果VDA和Citrix Gateway服务之间不能直接连接，VDA将通过云连接器代理其连接。
11. Citrix Gateway服务用于在终端设备和VDA之间建立连接。
12. VDA通过云连接器与Citrix虚拟应用程序和桌面服务验证其许可。
13. Citrix Virtual Apps和desktop服务通过云连接器将会话策略发送到VDA并应用。