Citrix XenApp登录App服务器过程详解

Posted 2021-02-03 biglu

详细流程：

1. 客户端上的receiver负责解析ICA文件，并根据ICA文件的内容发起连接请求。若是外网访问，则ICA文件中记录的是NetScaler的AG FQDN信息，连接请求发至NetScaler的AG，流程按顺序往下走；若是内网访问，则ICA文件中记录的是虚拟机的IP信息，客户端直连虚拟机。

2. 登录虚拟机：虚拟机收到连接请求后，需要执行三个步骤：Logon Ticket验证，License验证，登录。

b) DDC接收到调用请求后，向STA服务校验Logon Ticket是否有效。由于金航的项目是智能卡传递，所以向STA服务校验是不成功的，校验无效，则向AD-LADAP进行再次的身份验证，将换回来的域帐号信息发回给DDC。

b) VDA收到域帐号信息后，XP下是通过Citrix的picagina.dll负责将域帐号信息贴在登录窗口，以完成登录，WIN7下是通过Windows的Credential Provider API完成的。

3、最后，VDA向DDC更新其状态为“使用中”，并更新数据库，至此，登录流程结束。

虚拟应用架构流程图

1、 用户的虚拟桌面里面右键Citrix联机插件或者在开始所有程序那里点开所需要访问的应用程序图标，Citrix联机插件接受到用户的指令后，通过HTTPS协议走SSL加密的通道和443端口将用户证书传递到Citrix Web Intece站点；

【技术细节：虚拟桌面里会安装Client证书，Citrix Web Intece站点会安装一个Server证书，在用户发起请求的时候，Client证书与Server证书会先确认对方是它相连接的，而不是第三方冒充的。相互确认之后，Client证书与Server证书会交换session key，用于连接后数据的传输加密和hash校验。Client证书与Server证书加密（内容加密）之后，再走SSL加密（通道加密）】

2、 CitrixWeb Intece将用户身份证书通过XML Broker TCP 80和443端口传输到XenApp服务器中IMA服务，IMA服务将用户身份证书传递给本地的Lsass.exe进程；

3、 XenApp服务器中Lsass.exe将用户验证信息传递给域进行身份验证；

4、 域控传给LDAP服务器；

5、 LDAP返回结果；

6、 AD将身份验证结果返回给XenApp服务器的Lsass.exe，然后传递给IMA服务；

7、 XenApp去数据库枚举应用列表；

8、 数据库返回应用列表；

9、 根据结果信息查看应用在那个FARM；

10、 成员服务器返回结果；

11、 XenApp服务器中的IMA服务将身份验证结果及XenApp发布应用列表和策略通过XML Broker返回给Web intece站点服务器；

12、 WebIntece站点将身份验证结果及XenApp发布应用列表和策略返回给客户端（citrix Receiver或浏览器）指定客户端需要访问的XenApp服务器，并传输ICA文件到客户端；

13、 客户端通过Receiver或者online plug-in打开ICA文件，访问发布的应用程序（citrix Receiver-Web Intece-XenApp Farm）；

14、 XenApp服务器访问XenApp服务器ZDC寻求验证信息；

15、 XenAppZDC发送请求到licensing服务器上看是否有空余的授权；

16、 Licensing服务器返回可用License查询结果给ZDC；

17、 XenAppZDC去RDS服务器产看是否有终端授权许可；

18、 RDS返回许可；

19、 ZDC返回信息给XenApp成员服务器；

20、 XenApp与客户端建立会话，并启动应用程序；

附图一张：