This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
无状态 RDP 代理
无状态 RDP 代理访问 RDP 主机。当用户在单独的 Citrix Gateway 身份验证器 RDPListener
上进行身份验证时,将通过 Citrix Gateway 上的授予访问权限。Citrix Gateway 所需的 RDPListener
信息安全地存储在 STA 服务器上。只要 Citrix Gateway 和应用程序枚举服务器可以访问 STA 服务器,就可以将 STA 服务器放置在任何地方。有关详细信息,请参阅 https://support.citrix.com/article/CTX101997。
连接流程
RDP 代理流程中涉及两个连接。第一个连接是用户与 Citrix Gateway VIP 的 SSL VPN 连接,以及 RDP 资源的枚举。
第二个连接是与 Citrix Gateway 上的 RDP 侦听器(使用 RDPip 和 RDPort 配置)的本机 RDP 客户端连接,以及随后将 RDP 客户端安全地代理到服务器数据包。
-
用户连接到身份验证器网关 VIP 并提供凭据。
-
成功登录网关后,用户将被重定向到主页/外部门户,该门户列举了用户可以访问的远程桌面资源。
-
用户选择 RDP 资源后,身份验证器网关 VIP 将收到一个请求,格式
https://AGVIP/rdpproxy/ip:port/rdptargetproxy
表示用户单击的已发布资源。此请求包含有关用户选择的 RDP 服务器的 IP 和端口的信息。 -
身份验证器网关处理 /rdpproxy/ 请求。由于用户已经过身份验证,因此此请求附带有效的网关 cookie。
-
RDPTarget
和RDPUser
信息存储在 STA 服务器上,然后生成 STA 票证。信息存储为 XML blob,可以选择使用配置的预共享密钥对其进行加密。如果加密,则 blob 将进行 base64 编码和存储。身份验证器网关使用在网关虚拟服务器上配置的 STA 服务器之一。 -
XML blob 采用以下格式
<Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>n <Value name=”`Username`”>username</Value>\n<Value name=”Password”>pwd</Value> <!--NeedCopy-->
-
在 /rdpproxy/ 请求中获得的
rdptargetproxy
将作为“fulladdress
”放置,STA 票证(预先附有 STA AuthID)作为loadbalanceinfo
放置在 .rdp 文件中。 -
.rdp
文件将被发送回客户端端点。 -
本机 RDP 客户端启动并连接到
RDPListener Gateway
。它以最初的 x.224 数据包发送 STA 票证。 -
RDPListener Gateway
验证 STA 票证并获取RDPTarget
和RDPUser
信息。要使用的 STA 服务器是使用中存在的“AuthID”检索的loadbalanceinfo
。 -
创建网关会话用于存储授权/审核策略。如果用户存在会话,则会重复使用该会话。
-
RDPListener Gateway
使用 CREDSSP 连接到RDPTarget
和单点登录。
必备条件
-
用户已在 Citrix Gateway 身份验证器上进行身份验证。
-
初始 /rdpproxy URL 和 RDP 客户端连接到另一个
RDPListener Citrix Gateway
。 -
使用 STA 服务器的身份验证器网关可以安全地传递
RDPListener Gateway
信息。
使用 CLI 配置无状态 RDP 代理
-
添加
rdpServer
配置文件。服务器配置文件在上配置RDPListener Gateway
。注意:
- 一旦在 VPN 虚拟服务器上配置了 RDP 服务器配置文件,就无法对其进行修改。此外,同一 ServerProfile 不能在另一台 VPN 虚拟服务器上重复使用。
add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA]. <!--NeedCopy-->
使用以下命令在 VPN 虚拟服务器上配置 RDP 服务器配置文件:
add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile] <!--NeedCopy-->
示例
add vpn vserver v1 SSL 1.1.1.1 443 -rdpServerProfile rdp_server_prof <!--NeedCopy-->
重要:
-
同一 STA 服务器必须同时绑定到 RDP 身份验证器网关和侦听器网关。
-
对于无状态 RDP 代理,STA 服务器会验证 RDP 客户端发送的 STA 票证,以获取 RDP 目标服务器和 RDP 用户的信息。除了 VPN 虚拟服务器之外,还必须绑定 STA 服务器。在以下示例中,RDP 目标服务器为 1.1.1.0,RDP 侦听器网关虚拟服务器为 1.1.1.2。
add vpn url url4 RDP2 "rdp://1.1.1.0/1.1.1.2:443" <!--NeedCopy-->
使用以下命令在身份验证器网关上配置客户端配置文件:
add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]
[-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
[-rdpCookieValidity <positive_integer>][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams <string>]
<!--NeedCopy-->
—rdphost 配置用于单个网关部署中。只有 psk
是必填参数,必须与 RDP 侦听器网关的 RDP 服务器配置文件中添加的 psk 相同。
- 将 RDP 配置文件与 VPN 虚拟服务器关联。
您可以通过配置 sessionAction+sessionPolicy 或设置全局 VPN 参数来关联 RDP 配置文件。
示例:
add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>
add vpn sessionpolicy <polname> NS_TRUE <actname>
bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
<!--NeedCopy-->
或者
set vpn parameter –rdpClientprofile <name>
<!--NeedCopy-->
使用 GUI 配置无状态 RDP 代理
无状态 RDP 代理配置涉及以下高级步骤。有关详细步骤,请参阅 RDP 代理配置。
- 创建 RDP 服务器配置文件
- 创建 RDP 客户端配置文件
- 创建虚拟服务器
- 创建书签
- 创建或编辑会话配置文件或策略
- 绑定书签
重要:
对于无状态 RDP 代理,除了 VPN 虚拟服务器之外,还必须绑定 STA 服务器。
连接计数器
添加了一个新的连接计数器 ns_rdp_tot_curr_active_conn,它保留了正在使用的活动连接数的记录。它可以被视为 Citrix ADC shell 上 nsconmsg
命令的一部分。计划稍后添加查看这些计数器的 CLI 命令。
升级说明
之前在 VPN 虚拟服务器上配置的 RdpIP 和 rdPort 是 RdpServerProfile 的一部分。将 rdp Profile
重命名为 rdp ClientProfile
,并删除参数 clientSSL。因此,早期的配置不起作用。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.