Citrix Virtual Apps and Desktops

Framehawk

Wichtig:

Ab Citrix Virtual Apps and Desktops 7 1903 wird Framehawk nicht mehr unterstützt. Verwenden Sie stattdessen Thinwire mit aktiviertem adaptivem Transport.

Framehawk ist eine Spezialtechnologie für das Anzeigeremoting für mobile Mitarbeiter mit drahtlosen Breitbandverbindungen (WiFi und 4G/LTE-Mobilfunknetze) mit hohem Paketverlust. Framehawk überwindet die Herausforderungen der spektralen Interferenz und des Mehrwegeempfangs. Framehawk liefert eine flüssige, interaktive Benutzererfahrung für virtuelle Apps und Desktops auf mobilen Windows- und iOS-Geräten (Laptops, Tablets usw.). Zur Maximierung der Serverskalierbarkeit unter minimalem Bandbreitenverbrauch empfiehlt Citrix die ausschließliche Verwendung von Framehawk für den oben beschriebenen Anwendungsfall. Für alle anderen Anwendungsfälle wird zur Maximierung des Datendurchsatzes der adaptive Transport empfohlen, der viele Framehawk-Konzepte umfasst.

Sie können Framehawk mit Citrix Richtlinienvorlagen für Benutzergruppen und Zugriffsszenarios in einer für Ihr Unternehmen geeigneten Weise implementieren. Framehawk ist für mobile Einzelbildschirm-Anwendungsfälle (Laptops, Tablets usw.) vorgesehen. Verwenden Sie Framehawk, wenn der geschäftliche Wert einer Echtzeit-Interaktivität die Kosten zusätzlicher Serverressourcen und das Erfordernis einer Breitbandverbindung rechtfertigt.

Wirkungsweise von Framehawk

Bei der Betrachtung des Inhalts des Framepuffers und der Unterscheidung verschiedener Inhaltsarten auf dem Bildschirm wirkt Framehawk wie das menschliche Auge. Was ist dem Benutzer wichtig? In Bildschirmbereichen mit schnellen Änderungen (Video, Animationen etc.) spielt es für das menschliche Auge keine Rolle, wenn einige Pixel verloren gehen. Diese Bereiche werden schnell mit neuen Daten überschrieben.

Bei statischen Bereichen ist das menschliche Auge anspruchsvoll. Beispiele für solche Bereiche wären die Symbole im Infobereich, eine Symbolleiste oder Text nach dem Scrollen. Diese Bereiche müssen pixelgenau sein. Im Gegensatz zu Protokollen, bei denen die technische Präzision im Sinne von Nullen und Einsen im Vordergrund steht, ist Framehawk stärker auf die menschlichen Nutzer von Technik ausgelegt.

Framehawk umfasst einen völlig neuen QoS-Signalverstärker sowie eine zeitabhängige Heatmap zur exakteren und effizienten Arbeitslasterkennung. Zusätzlich zur Datenkomprimierung werden in Framehawk autonome, selbstkorrigierende Transformationen verwendet, die erneute Übertragung von Daten wird zur Gewährleistung von Klickantwort, Linearität und konsistenter Kadenz vermieden. In einem verlustreichen Netzwerk kann Framehawk Verluste durch Interpolation ausgleichen, sodass der Benutzer die Bildqualität weiterhin als gut empfindet und die Benutzererfahrung sogar flüssiger wird. Darüber hinaus unterscheiden die Algorithmen von Framehawk zwischen verschiedenen Paketverlusttypen. Etwa den regellosen Verlust (weitere Daten zur Kompensierung senden) und den Verlust durch Engpässe (keine weiteren Daten senden, da der Kanal bereits blockiert ist).

Die Framehawk Intent Engine der Citrix Workspace-App unterscheidet Bildlauf nach oben oder unten, Vergrößern, Verschieben nach links oder rechts, Lesen, Eingeben und weitere übliche Aktionen. Die Engine steuert zudem die Antwort an den Virtual Delivery Agent (VDA) mit einem gemeinsamen Wörterbuch. Wenn der Benutzer lesen möchte, muss die visuelle Qualität des Texts hervorragend sein. Führt er einen Bildlauf durch, muss dieser schnell und gleichmäßig sein. Er muss außerdem unterbrochen werden können, damit der Benutzer die Interaktion mit der Anwendung oder dem Desktop jederzeit unter Kontrolle hat.

Durch die Messung der Kadenz der Netzwerkverbindung (Gearing, analog zur Spannung einer Fahrradkette) reagiert die Framehawk-Logik schneller und bei Verbindungen mit hoher Latenz wird eine bessere Benutzererfahrung ermöglicht. Dieses einzigartige, patentierte Verfahren liefert kontinuierlich aktuelle Rückmeldungen zu Netzwerkbedingungen, sodass Framehawk auf Änderungen bei Bandbreite, Latenz und Verlust sofort reagieren kann.

Thinwire und Framehawk – Überlegungen zur Auslegung

In Framehawk wird eine auf UDP (User Datagram Protocol) aufbauende Datentransportschicht verwendet. UDP hat einen kleinen Anteil an der Überwindung von Paketverlusten bei Framehawk im Vergleich mit dessen Leistung mit anderen UDP-basierten Protokollen. UDP bildet eine wichtige Grundlage für die menschenorientierte Technik, die Framehawk von anderen Lösungen abhebt.

Wie viel Bandbreite benötigt Framehawk?

Die Bezeichnung Breitband-WLAN hängt von verschiedenen Faktoren ab, etwa der Zahl der Benutzer, die eine Verbindung teilen, der Qualität der Verbindung und der verwendeten Apps. Zur Erzielung einer optimalen Leistung empfiehlt Citrix einen Grundwert von 4 oder 5 MBit/s plus ca. 150 KBit/s pro gleichzeitig verbundenem Benutzer.

Für Thinwire wird generell eine Bandbreite von 1,5 MBit/s plus 150 KBit/s pro Benutzer empfohlen. Weitere Informationen finden Sie im Blog zu Citrix Virtual Apps and Desktops-Bandbreiten. Bei einem Paketverlust von 3 % benötigt Thinwire viel mehr Bandbreite als Framehawk, um eine gute Benutzererfahrung zu gewährleisten.

Thinwire ist weiterhin der Primärkanal für das Anzeigen-Remoting des ICA-Protokolls. Framehawk ist standardmäßig deaktiviert. Citrix empfiehlt die selektive Aktivierung für spezifische Breitband-WLAN-Szenarios in Ihrer Organisation. Denken Sie daran, dass Framehawk erheblich mehr Serverressourcen (CPU und Speicher) erfordert als Thinwire.

Anforderungen und Überlegungen

Framehawk erfordert mindestens VDA 7.6.300 und Gruppenrichtlinienverwaltung 7.6.300.

Auf dem Endpunkt muss mindestens Citrix Workspace-App für Windows 1808 oder Citrix Receiver für Windows 4.3.100 bzw. Citrix Workspace-App für iOS 1808 oder Citrix Receiver für iOS 6.0.1 ausgeführt werden.

Standardmäßig verwendet Framehawk den bidirektionalen UDP-Portbereich (3224–3324) zum Austausch von Framehawk-Anzeigekanaldaten mit der Citrix Workspace-App. Dieser Bereich kann über die Richtlinieneinstellung Portbereich für Framehawk-Anzeigekanal angepasst werden. Jede einzelne Verbindung zwischen dem Client und dem virtuellen Desktop erfordert einen eigenen Port. Definieren Sie in Betriebssystemumgebungen mit mehreren Benutzern (z. B. Citrix Virtual Apps-Server) ausreichend Ports für die maximale Zahl gleichzeitiger Benutzersitzungen. Bei Einzelbenutzer-Betriebssystemen wie etwa VDI-Desktops reicht ein UDP-Port. Framehawk versucht die Verwendung der Ports beginnend vom ersten bis zum letzten im angegebenen Bereich. Dies gilt sowohl für Verbindungen über Citrix Gateway als auch für direkte interne Verbindungen mit dem StoreFront-Server.

Für den Remotezugriff muss Citrix Gateway bereitgestellt sein. Standardmäßig verwendet Citrix Gateway UDP-Port 443 für die verschlüsselte Kommunikation zwischen der Citrix Workspace-App auf dem Client und dem Gateway. Dieser Port muss in allen externen Firewalls geöffnet sein, damit eine sichere Kommunikation in beide Richtungen möglich ist. Das Feature wird als “Datagram Transport Security” (DTLS) bezeichnet.

Hinweis:

Framehawk-/DTLS-Verbindungen werden auf FIPS-Geräten nicht unterstützt.

Verschlüsselte Framehawk-Verbindungen werden unter NetScaler Gateway ab Version 11.0.62 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

NetScaler mit hoher Verfügbarkeit wird von XenApp und XenDesktop 7.12 unterstützt.

Bei der Implementierung von Framehawk sind folgende Empfehlungen in Betracht zu ziehen:

  • Vergewissern Sie sich beim Sicherheitsadministrator, dass die für Framehawk definierten UDP-Ports in der Firewall geöffnet sind. Die Firewall wird bei der Installation nicht automatisch konfiguriert.
  • Oft ist Citrix Gateway in der DMZ umgeben von einer externen und einer internen Firewall installiert. UDP-Port 443 muss in der externen Firewall geöffnet sein. Wenn die Standardportbereiche verwendet werden, muss der UDP-Portbereich 3224–3324 in der internen Firewall geöffnet sein.

Konfiguration

Achtung:

Citrix empfiehlt, Framehawk nur für Benutzer zu aktivieren, bei denen ein hoher Paketverlust wahrscheinlich ist. Citrix empfiehlt außerdem, Framehawk nicht als universelle Richtlinie für alle Objekte der Site zu aktivieren.

Framehawk ist standardmäßig deaktiviert. Wenn das Feature aktiviert ist, versucht der Server, Framehawk für die Grafiken und Eingaben der Benutzer zu verwenden. Sind die Voraussetzungen nicht erfüllt, wird die Verbindung im Standardmodus (Thinwire) hergestellt.

Die folgenden Richtlinieneinstellungen wirken sich auf Framehawk aus:

  • Framehawk-Anzeigekanal: aktiviert oder deaktiviert das Feature.
  • Portbereich für Framehawk-Anzeigekanal: Bereich der UDP-Portnummern (niedrigste bis höchste Portnummer), die der VDA für den Austausch von Framehawk-Anzeigekanaldaten mit dem Benutzergerät verwendet. Der VDA versucht die Verwendung eines Ports, beginnend bei dem Port mit der niedrigsten Nummer und geht dann ggf. zu dem Port mit der nächsthöheren Nummer über. Über den Port erfolgen eingehende und ausgehende Datenübertragungen.

Öffnen von Ports für den Framehawk-Anzeigekanal

In XenApp und XenDesktop 7.8 gibt es eine Option zum Umkonfigurieren der Firewall im Schritt Features des VDA-Installationsprogramms. Über das zugehörige Kontrollkästchen werden die UDP-Ports 3224–3324 in der Windows-Firewall geöffnet. In folgenden Fällen ist eine manuelle Firewallkonfiguration erforderlich:

  • Es handelt sich um eine Netzwerkfirewall. Oder
  • Der Standardportbereich wurde angepasst.

Zum Öffnen der UDP-Ports aktivieren Sie das Kontrollkästchen Framehawk:

UDP-Ports öffnen

Sie können die UDP-Ports für Framehawk auch über die Befehlszeile mit /ENABLE_FRAMEHAWK_PORT öffnen:

Geöffnete FH-Ports

Überprüfen der UDP-Portzuweisungen für Framehawk

Während der Installation können Sie die Framehawk zugewiesenen UDP-Ports im Bildschirm Firewall überprüfen:

Standard-UDP-Ports

Auf der Registerkarte Zusammenfassung wird angezeigt, ob Framehawk aktiviert ist:

Zusammenfassungsbildschirm

Citrix Gateway-Unterstützung für Framehawk

Verschlüsselter Framehawk-Datenverkehr wird unter Citrix Gateway ab Version 1808 und NetScaler Gateway ab Version 11.0.62.10 sowie unter Citrix Unified Gateway ab Version 1808 und NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

  • Citrix Gateway bezieht sich auf eine Bereitstellungsarchitektur, in der der virtuelle Gateway-VPN-Server direkt für das Gerät des Endbenutzers zugänglich ist. Das bedeutet, dass der virtuelle VPN-Server eine öffentliche IP-Adresse hat und der Benutzer direkt eine Verbindung mit dieser IP-Adresse herstellt.
  • Citrix Gateway mit Unified Gateway bezieht sich auf eine Bereitstellung, in der der virtuelle Gateway-VPN-Server als Ziel an den virtuellen Content Switching-Server (CS) gebunden ist. In einer solchen Bereitstellung hat der virtuelle CS-Server die öffentliche IP-Adresse und der virtuelle Gateway-VPN-Server eine Pseudo-IP-Adresse.

Zum Aktivieren der Framehawk-Unterstützung unter Citrix Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in Citrix Virtual Apps bzw. Citrix Virtual Desktops ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN–Server und dem Benutzergerät verschlüsselt.

Citrix Gateway, Unified Gateway und Citrix Gateway + Global Server Load Balancing werden mit Framehawk unterstützt.

Folgendes wird mit Framehawk nicht unterstützt:

  • HDX Insight
  • Citrix Gateway im IPv6-Modus
  • Citrix Gateway Double Hop
  • Citrix Gateway im Cluster
Szenario Unterstützung für Framehawk
Citrix Gateway Ja
Globaler Serverlastausgleich mit Citrix Gateway Ja
Citrix Gateway mit Unified Gateway Ja. Hinweis: Unified Gateway wird ab Version 11.0.64.34 unterstützt.
HDX Insight Nein
Citrix Gateway im IPv6-Modus Nein
Citrix Gateway Double Hop Nein
Mehrere Secure Ticket Authoritys auf dem Citrix Gateway Ja
Citrix Gateway mit hoher Verfügbarkeit Ja
Citrix Gateway im Cluster Nein

Konfigurieren von Citrix Gateway für Framehawk-Unterstützung

Aktivieren Sie zum Aktivieren der Framehawk-Unterstützung unter Citrix Gateway den DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers. Wenn der Parameter aktiviert ist und die Komponenten in Citrix Virtual Apps and Desktops ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN-Server und dem Benutzergerät verschlüsselt.

Diese Konfiguration ist erforderlich, wenn Sie die UDP-Verschlüsselung unter Citrix Gateway für den Remotezugriff aktivieren.

Bei Konfiguration von Citrix Gateway für Framehawk-Unterstützung:

  • UDP-Port 443 muss in der externen Firewall geöffnet sein.
  • CGP-Standardport 2598 muss in der externen Firewall geöffnet sein.
  • DTLS muss in den Einstellungen des virtuellen VPN-Servers aktiviert sein.
  • Lösen Sie die Bindung des SSL-Zertifikatschlüsselpaars und binden Sie es erneut. Dies ist nicht erforderlich, wenn Sie Citrix Gateway ab Version 1808 oder NetScaler ab Version 11.0.64.34 verwenden.

Konfigurieren von Citrix Gateway für Framehawk-Unterstützung:

  1. Stellen Sie Citrix Gateway bereit und konfigurieren Sie es für die Kommunikation mit StoreFront und zur Authentifizierung der Benutzer von Citrix Virtual Apps and Desktops.
  2. Erweitern Sie auf der Registerkarte “Configuration” von Citrix Gateway die Option “Citrix Gateway” und wählen Sie Virtual Servers.
  3. Klicken Sie auf Edit, um die Grundeinstellungen des virtuellen VPN-Servers anzuzeigen und prüfen Sie die DTLS-Einstellung.
  4. Wählen Sie More, um weitere Konfigurationsoptionen aufzurufen:
  5. Wählen Sie DTLS, um die Sicherheit für Datagramm-Protokolle wie Framehawk zu aktivieren. Klicken Sie auf OK. Der Bereich “Basic Settings” für den virtuellen VPN-Server zeigt, dass das DTLS-Flag auf True festgelegt ist.
  6. Öffnen Sie den Bildschirm “Server Certificate Binding” neu und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  7. Wählen Sie das Zertifikatschlüsselpaar (siehe oben) und klicken Sie auf Select.
  8. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  9. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  10. Ignorieren Sie Meldung No usable ciphers configured on the SSL vserver/service, sofern sie angezeigt wird.

Schritte bei älteren NetScaler Gateway-Versionen

Wenn Sie eine ältere Version als NetScaler Gateway 11.0.64.34 verwenden, gehen Sie folgendermaßen vor:

  1. Öffnen Sie den Bildschirm “Server Certificate Binding” neu und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  2. Wählen Sie das Zertifikatschlüsselpaar (siehe oben) und klicken Sie auf Select.
  3. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  4. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  5. Ignorieren Sie Meldung No usable ciphers configured on the SSL vserver/service, sofern sie angezeigt wird.

Konfigurieren der Unified Gateway-Unterstützung für Framehawk

  1. Vergewissern Sie sich, dass Unified Gateway installiert und richtig konfiguriert ist. Weitere Informationen finden Sie auf der Website mit der Citrix Produktdokumentation unter Unified Gateway.
  2. Aktivieren Sie DTLS auf dem virtuellen VPN-Server, der an den virtuellen CS-Server als virtueller Zielserver gebunden ist.

Einschränkungen

Wenn veraltete DNS-Einträge für den virtuellen Citrix Gateway-Server, auf einem Clientgerät vorliegen, erfolgt für den adaptiven Transport und Framehawk möglicherweise ein Fallback auf TCP anstelle von UDP. Bei einem Fallback auf TCP leeren Sie als Workaround den DNS-Cache auf dem Client und stellen Sie wieder eine Verbindung her, um die Sitzung mit UDP zu starten.

Framehawk unterstützt keine 32-Bit-Mauscursor, wie sie in Anwendungen wie PTC Creo vorkommen.

Framehawk ist für mobile Geräte wie Laptops und Tablets mit Einzelmonitor ausgelegt, bei Konfigurationen mit mehrere Monitoren wird auf Thinwire umgestellt.

Unterstützung für andere VPN-Produkte

Citrix Gateway ist das einzige SSL VPN-Produkt, das die von Framehawk benötigte UDP-Verschlüsselung unterstützt. Wenn ein anderes SSL-VPN oder eine falsche Version von Citrix Gateway verwendet wird, wird die Framehawk-Richtlinie möglicherweise nicht angewendet. Konventionelle IPsec-VPN-Produkte unterstützen Framehawk, ohne dass eine Modifizierung erforderlich ist.

Überwachen von Framehawk

Sie können die Verwendung und Leistung von Framehawk über Citrix Director überwachen. Die Detailansicht für den virtuellen HDX-Kanal enthält nützliche Informationen zur Überwachung und Problembehandlung von Framehawk in jeder Sitzung. Zum Anzeigen von Zahlen für Framehawk wählen Sie Grafiken - Framehawk.

Wenn die Framehawk-Verbindung steht, wird auf der Detailseite Anbieter = VD3D und Verbunden = True angezeigt. Der Status “Im Leerlauf” des virtuellen Kanals ist normal, da er den Signalkanal überwacht, der nur beim ersten Handshake verwendet wird. Die Seite bietet auch andere nützliche Statistiken zu der Verbindung.

Wenn Probleme auftreten, besuchen Sie den Blog Framehawk troubleshooting.