XenApp and XenDesktop

Framehawk

Framehawk ist eine Technologie für das Anzeigeremoting für mobile Mitarbeiter mit drahtlosen Breitbandverbindungen (WiFi und 4G/LTE-Mobilfunknetze). Framehawk überwindet die Herausforderungen der spektralen Interferenz und des Mehrwegeempfangs und liefert eine flüssige, interaktive Benutzererfahrung für virtuelle Apps und Desktops. Framehawk kann in Langstrecken-Breitbandnetzwerken mit hoher Latenz eingesetzt werden, bei denen geringfügige Paketverluste die Benutzererfahrung verschlechtern können. Citrix empfiehlt die Verwendung des adaptiven Transports für diesen Anwendungsfall. Weitere Informationen finden Sie unter Adaptiver Transport.

Sie können Framehawk mit Citrix Richtlinienvorlagen für Benutzergruppen und Zugriffsszenarios in einer für Ihr Unternehmen geeigneten Weise implementieren. Framehawk ist für mobile Einzelbildschirm-Anwendungsfälle (Laptops, Tablets usw.) vorgesehen. Verwenden Sie Framehawk, wenn der geschäftliche Wert einer Echtzeit-Interaktivität die Kosten zusätzlicher Serverressourcen und das Erfordernis einer Breitbandverbindung rechtfertigt.

Wirkungsweise von Framehawk

Bei der Betrachtung des Inhalts des Framepuffers und der Unterscheidung verschiedener Inhaltsarten auf dem Bildschirm wirkt Framehawk wie das menschliche Auge. Was ist dem Benutzer wichtig? In Bildschirmbereichen mit schnellen Änderungen (Video, Animationen etc.) spielt es für das menschliche Auge keine Rolle, wenn einige Pixel verloren gehen, da sie schnell durch neue Daten überschrieben werden.

Bei statischen Bereichen, z. B. Symbolleisten oder Text kurz nach Ausführen eines Bildlaufs, den der Benutzer direkt lesen möchte, ist das menschliche Auge sehr anspruchsvoll. Diese Bereiche müssen pixelgenau sein. Im Gegensatz zu Protokollen, bei denen die technische Präzision im Sinne von Nullen und Einsen im Vordergrund steht, ist Framehawk stärker auf die menschlichen Nutzer von Technik ausgelegt.

Framehawk umfasst einen völlig neuen QoS-Signalverstärker sowie eine zeitabhängige Heatmap zur exakteren und effizienten Arbeitslasterkennung. Zusätzlich zur Datenkomprimierung werden in Framehawk autonome, selbstkorrigierende Transformationen verwendet, die erneute Übertragung von Daten wird zur Gewährleistung von Klickantwort, Linearität und konsistenter Kadenz vermieden. In einem verlustreichen Netzwerk kann Framehawk Verluste durch Interpolation ausgleichen, sodass der Benutzer die Bildqualität weiterhin als gut empfindet und die Benutzererfahrung sogar flüssiger wird. Darüber hinaus unterscheiden die Algorithmen von Framehawk zwischen verschiedenen Paketverlusttypen. Etwa den regellosen Verlust (weitere Daten zur Kompensierung senden) und den Verlust durch Engpässe (keine weiteren Daten senden, da der Kanal bereits blockiert ist).

Die Framehawk Intent Engine in Citrix Receiver unterscheidet Bildlauf nach oben oder unten, Vergrößern, Verschieben nach links oder rechts, Lesen, Eingeben und weitere übliche Aktionen. Die Engine steuert zudem die Antwort an den Virtual Delivery Agent (VDA) mit einem gemeinsamen Wörterbuch. Wenn der Benutzer lesen möchte, muss die visuelle Qualität des Texts hervorragend sein. Führt er einen Bildlauf durch, muss dieser schnell und gleichmäßig sein. Er muss außerdem unterbrochen werden können, damit der Benutzer die Interaktion mit der Anwendung oder dem Desktop jederzeit unter Kontrolle hat.

Durch die Messung der Kadenz der Netzwerkverbindung (Gearing, analog zur Spannung einer Fahrradkette) reagiert die Framehawk-Logik schneller und bei Verbindungen mit hoher Latenz wird eine bessere Benutzererfahrung ermöglicht. Dieses einzigartige, patentierte Verfahren liefert kontinuierlich aktuelle Rückmeldungen zu Netzwerkbedingungen, sodass Framehawk auf Änderungen bei Bandbreite, Latenz und Verlust sofort reagieren kann.

Thinwire und Framehawk – Überlegungen zur Auslegung

ThinWire ist branchenweit erste Wahl in puncto Bandbreiteneffizienz und eignet sich gut für viele Zugriffsszenarien und Netzwerkbedingungen. Allerdings wird zur Gewährleistung einer zuverlässigen Datenkommunikation bei ThinWire TCP verwendet. Aus diesem Grund ist in verlustreichen oder überlasteten Netzwerken eine Paketneuübertragung erforderlich, was zu Verzögerungen beim Endbenutzer führt. ThinWire steht über eine neue Enlightened Data Transport-Ebene zur Verfügung, die die Probleme von TCP bei Netzwerkverbindungen mit hoher Latenz ausräumen soll.

In Framehawk wird eine auf UDP (User Datagram Protocol) aufbauende Datentransportschicht verwendet. UDP hat einen kleinen Anteil an der Überwindung von Paketverlusten bei Framehawk im Vergleich mit dessen Leistung mit anderen UDP-basierten Protokollen. UDP bildet eine wichtige Grundlage für die menschenorientierte Technik, die Framehawk von anderen Lösungen abhebt.

Wie viel Bandbreite benötigt Framehawk?

Die Bezeichnung Breitband-WLAN hängt von verschiedenen Faktoren ab, etwa der Zahl der Benutzer, die eine Verbindung teilen, der Qualität der Verbindung und der verwendeten Apps. Zur Erzielung einer optimalen Leistung empfiehlt Citrix einen Grundwert von 4 oder 5 MBit/s plus ca. 150 KBit/s pro gleichzeitig verbundenem Benutzer.

Für Thinwire wird generell eine Bandbreite von 1,5 MBit/s plus 150 KBit/s pro Benutzer empfohlen. Details siehe Blog zu XenApp- und XenDesktop-Bandbreite. Bei einem Paketverlust von 3 % benötigt Thinwire viel mehr Bandbreite als Framehawk, um eine gute Benutzererfahrung zu gewährleisten.

Thinwire ist weiterhin der Primärkanal für das Anzeigen-Remoting des ICA-Protokolls. Framehawk ist standardmäßig deaktiviert. Citrix empfiehlt die selektive Aktivierung für spezifische Breitband-WLAN-Szenarios in Ihrer Organisation. Denken Sie daran, dass Framehawk erheblich mehr Serverressourcen (CPU und Speicher) erfordert als Thinwire.

Framehawk und HDX 3D Pro

Framehawk unterstützt alle Anwendungsfälle von HDX 3D Pro für XenApp-Apps (Serverbetriebssystem) und XenDesktop-Apps (Desktopbetriebssystem). Es wurde in Kundenumgebungen bei Latenzen von 400–500 ms und Paketverlusten von 1–2 % validiert. Bei gebräuchlichen Anwendungen zur 3D-Modellierung (z. B. AutoCAD, Siemens NX) wird eine gute Interaktivität erzielt. Diese Unterstützung ermöglicht nun auch die Anzeige von und Arbeit an großen CAD-Modellen im mobilen Einsatz oder an entfernten Standorten mit schlechten Netzwerkverbindungen. (Organisationen, die 3D-Anwendungen über Langstrecken-Netzwerkverbindungen bereitstellen müssen, sollten den adaptiven Transport verwenden. Weitere Informationen finden Sie unter Adaptiver Transport.)

Zur Aktivierung dieser Funktion ist keine gesonderte Konfiguration erforderlich. Beim Installieren des VDAs wählen Sie die 3DPro-Option zu Beginn der Installation aus:

HDX 3D Pro

Mit dieser Auswahl wird von HDX der Videotreiber des GPU-Herstellers anstelle des Citrix Videotreibers verwendet. Standardmäßig wird dann eine Vollbild-H.264-Codierung über ThinWire anstatt der normalerweise verwendeten Standardeinstellung (adaptive Anzeige mit selektiver H.264-Codierung) verwendet.

Anforderungen und Überlegungen

Framehawk erfordert mindestens VDA 7.6.300 und Gruppenrichtlinienverwaltung 7.6.300.

Auf dem Endpunkt muss mindestens Citrix Receiver für Windows 4.3.100 oder Citrix Receiver für iOS 6.0.1 ausgeführt werden.

Standardmäßig verwendet Framehawk einen Bereich bidirektionaler UDP-Ports (3224–3324) zum Austausch von Framehawk-Anzeigekanaldaten mit Citrix Receiver. Dieser Bereich kann über die Richtlinieneinstellung Portbereich für Framehawk-Anzeigekanal angepasst werden. Jede einzelne Verbindung zwischen dem Client und dem virtuellen Desktop erfordert einen eigenen Port. Definieren Sie in Betriebssystemumgebungen mit mehreren Benutzern (z. B. XenApp-Server) ausreichend Ports für die maximale Zahl gleichzeitiger Benutzersitzungen. Bei Einzelbenutzer-Betriebssystemen wie etwa VDI-Desktops reicht ein UDP-Port. Framehawk versucht die Verwendung der Ports beginnend vom ersten bis zum letzten im angegebenen Bereich. Dies gilt sowohl für Verbindungen über NetScaler Gateway als auch für direkte interne Verbindungen mit dem StoreFront-Server.

Für den Remotezugriff muss NetScaler Gateway bereitgestellt sein. Standardmäßig verwendet NetScaler UDP-Port 443 für die verschlüsselte Kommunikation zwischen Citrix Receiver auf dem Client und dem Gateway. Dieser Port muss in allen externen Firewalls geöffnet sein, damit eine sichere Kommunikation in beide Richtungen möglich ist. Das Feature wird als “Datagram Transport Security” (DTLS) bezeichnet.

Hinweis:

Framehawk-/DTLS-Verbindungen werden auf FIPS-Geräten nicht unterstützt.

Verschlüsselte Framehawk-Verbindungen werden unter NetScaler Gateway ab Version 11.0.62 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

NetScaler mit hoher Verfügbarkeit wird von XenApp und XenDesktop 7.12 unterstützt.

Bei der Implementierung von Framehawk empfehlen sich folgende bewährte Methoden:

  • Vergewissern Sie sich beim Sicherheitsadministrator, dass die für Framehawk definierten UDP-Ports in der Firewall geöffnet sind. Die Firewall wird bei der Installation nicht automatisch konfiguriert.
  • Oft ist NetScaler Gateway in der DMZ umgeben von einer externen und einer internen Firewall installiert. UDP-Port 443 muss in der externen Firewall geöffnet sein. Wenn die Standardportbereiche verwendet werden, muss der UDP-Portbereich 3224–3324 in der internen Firewall geöffnet sein.

Konfiguration

Achtung:

Citrix empfiehlt, Framehawk nur für Benutzer zu aktivieren, bei denen ein hoher Paketverlust wahrscheinlich ist. Citrix empfiehlt außerdem, Framehawk nicht als universelle Richtlinie für alle Objekte der Site zu aktivieren.

Framehawk ist standardmäßig deaktiviert. Wenn das Feature aktiviert ist, versucht der Server, Framehawk für die Grafiken und Eingaben der Benutzer zu verwenden. Sind die Voraussetzungen nicht erfüllt, wird die Verbindung im Standardmodus (Thinwire) hergestellt.

Die folgenden Richtlinieneinstellungen wirken sich auf Framehawk aus:

  • Framehawk-Anzeigekanal: aktiviert oder deaktiviert das Feature.
  • Portbereich für Framehawk-Anzeigekanal: Bereich der UDP-Portnummern (niedrigste bis höchste Portnummer), die der VDA für den Austausch von Framehawk-Anzeigekanaldaten mit dem Benutzergerät verwendet. Der VDA versucht die Verwendung eines Ports, beginnend bei dem Port mit der niedrigsten Nummer und geht dann ggf. zu dem Port mit der nächsthöheren Nummer über. Über den Port erfolgen eingehende und ausgehende Datenübertragungen.

Öffnen von Ports für den Framehawk-Anzeigekanal

In XenApp und XenDesktop 7.8 gibt es eine Option zum Umkonfigurieren der Firewall im Schritt Features des VDA-Installationsprogramms. Über das zugehörige Kontrollkästchen werden die UDP-Ports 3224–3324 in der Windows-Firewall geöffnet. In folgenden Fällen ist eine manuelle Firewallkonfiguration erforderlich:

  • Es handelt sich um eine Netzwerkfirewall.
    oder
  • Der Standardportbereich wurde angepasst.

Zum Öffnen der UDP-Ports aktivieren Sie das Kontrollkästchen Framehawk:

UDP-Ports öffnen

Sie können die UDP-Ports für Framehawk auch über die Befehlszeile mit /ENABLE_FRAMEHAWK_PORT öffnen:

Geöffnete FH-Ports

Überprüfen der UDP-Portzuweisungen für Framehawk

Während der Installation können Sie die Framehawk zugewiesenen UDP-Ports im Bildschirm Firewall überprüfen:

Standard-UDP-Ports

Auf der Registerkarte Zusammenfassung wird angezeigt, ob Framehawk aktiviert ist:

Zusammenfassungsbildschirm

NetScaler Gateway-Unterstützung für Framehawk

Verschlüsselter Framehawk-Datenverkehr wird unter NetScaler Gateway ab Version 11.0.62.10 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

  • NetScaler Gateway bezieht sich auf eine Bereitstellungsarchitektur, in der der virtuelle Gateway-VPN-Server direkt für das Gerät des Endbenutzers zugänglich ist. Das bedeutet, dass der virtuelle VPN-Server eine öffentliche IP-Adresse hat und der Benutzer direkt eine Verbindung mit dieser IP-Adresse herstellt.
  • NetScaler Unified Gateway bezieht sich auf eine Bereitstellung, in der der virtuelle Gateway-VPN-Server als Ziel an den virtuellen Content Switching-Server (CS) gebunden ist. In einer solchen Bereitstellung hat der virtuelle CS-Server die öffentliche IP-Adresse und der virtuelle Gateway-VPN-Server eine Pseudo-IP-Adresse.

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN–Server und dem Benutzergerät verschlüsselt.

NetScaler Gateway, Unified Gateway und NetScaler Gateway + Global Server Load Balancing werden mit Framehawk unterstützt.

Folgendes wird mit Framehawk nicht unterstützt:

  • HDX Insight
  • NetScaler Gateway im IPv6-Modus
  • NetScaler Gateway-Double-Hop
  • NetScaler Gateway im Cluster
Szenario Unterstützung für Framehawk
NetScaler Gateway Ja
NetScaler und Global Server Load Balancing Ja
NetScaler mit Unified Gateway Ja. Hinweis: Unified Gateway wird ab Version 11.0.64.34 unterstützt.
HDX Insight Nein
NetScaler Gateway im IPv6-Modus Nein
NetScaler Gateway-Double-Hop Nein
Mehrere Secure Ticket Authoritys für NetScaler Gateway Ja
NetScaler Gateway mit hoher Verfügbarkeit Ja
NetScaler Gateway und Clustereinrichtung Nein

Konfigurieren der NetScaler-Unterstützung für Framehawk

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway aktivieren Sie den DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN–Server und dem Benutzergerät verschlüsselt.

Diese Konfiguration ist erforderlich, wenn Sie die UDP-Verschlüsselung unter NetScaler Gateway für den Remotezugriff aktivieren.

NetScaler-Unterstützung für Framehawk erfordert Folgendes:

  • UDP-Port 443 muss in der externen Firewall geöffnet sein.
  • CGP-Standardport 2598 muss in der externen Firewall geöffnet sein.
  • DTLS muss in den Einstellungen des virtuellen VPN-Servers aktiviert sein.
  • Lösen Sie die Bindung des SSL-Zertifikatschlüsselpaars und binden Sie es erneut. Dies ist nicht erforderlich, wenn Sie NetScaler ab Version 11.0.64.34 verwenden.

Konfigurieren der NetScaler Gateway-Unterstützung für Framehawk

  1. Stellen Sie NetScaler Gateway bereit und konfigurieren Sie es für die Kommunikation mit StoreFront und zur Authentifizierung der Benutzer von XenApp und XenDesktop.
  2. Erweitern Sie auf der Registerkarte “Configuration” von NetScaler die Option “NetScaler Gateway” und wählen Sie Virtual Servers.
  3. Klicken Sie auf Edit, um die Grundeinstellungen des virtuellen VPN-Servers anzuzeigen und prüfen Sie die DTLS-Einstellung.
  4. Klicken Sie auf More, um weitere Konfigurationsoptionen aufzurufen:
  5. Wählen Sie DTLS, um die Sicherheit für Datagramm-Protokolle wie Framehawk zu aktivieren. Klicken Sie auf OK. Der Bereich “Basic Settings” für den virtuellen VPN-Server zeigt, dass das DTLS-Flag auf True festgelegt ist.
  6. Öffnen Sie den Bildschirm “Server Certificate Binding” neu und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  7. Wählen Sie das Zertifikatschlüsselpaar (siehe oben) und klicken Sie auf Select.
  8. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  9. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  10. Ignorieren Sie Meldung No usable ciphers configured on the SSL vserver/service, sofern sie angezeigt wird.

Schritte bei älteren NetScaler Gateway-Versionen

Wenn Sie eine ältere Version als NetScaler Gateway 11.0.64.34 verwenden, gehen Sie folgendermaßen vor:

  1. Öffnen Sie den Bildschirm “Server Certificate Binding” neu und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  2. Wählen Sie das Zertifikatschlüsselpaar (siehe oben) und klicken Sie auf Select.
  3. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  4. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  5. Ignorieren Sie Meldung No usable ciphers configured on the SSL vserver/service, sofern sie angezeigt wird.

Konfigurieren der Unified Gateway-Unterstützung für Framehawk

  1. Vergewissern Sie sich, dass Unified Gateway installiert und richtig konfiguriert ist. Weitere Informationen finden Sie auf der Website mit der Citrix Produktdokumentation unter Unified Gateway.
  2. Aktivieren Sie DTLS im virtuellen VPN-Server, der an den virtuellen CS-Server als virtueller Zielserver gebunden ist.

Einschränkungen

Wenn veraltete DNS-Einträge für den virtuellen NetScaler Gateway-Server, auf einem Clientgerät vorliegen, erfolgt für den adaptiven Transport und Framehawk möglicherweise ein Fallback auf TCP anstelle von UDP. Bei einem Fallback auf TCP leeren Sie als Workaround den DNS-Cache auf dem Client und stellen Sie wieder eine Verbindung her, um die Sitzung mit UDP zu starten.

Unterstützung für andere VPN-Produkte

NetScaler Gateway ist das einzige SSL VPN-Produkt, das die von Framehawk benötigte UDP-Verschlüsselung unterstützt. Wenn ein anderes SSL-VPN oder eine falsche Version von NetScaler Gateway verwendet wird, wird die Framehawk-Richtlinie möglicherweise nicht angewendet. Konventionelle IPsec-VPN-Produkte unterstützen Framehawk, ohne dass eine Modifizierung erforderlich ist.

Konfigurieren von Citrix Receiver für iOS zur Framehawk-Unterstützung

Zum Konfigurieren älterer Versionen von Citrix Receiver für iOS zur Framehawk-Unterstützung müssen Sie die Datei default.ica manuell bearbeiten.

  1. Öffnen Sie auf dem StoreFront-Server das App_Data-Verzeichnis im Pfad c:\inetpub\wwwroot\.
  2. Öffnen Sie die Datei default.ica und fügen Sie im Abschnitt “WFClient” die Zeile “Framehawk=On” hinzu.
  3. Speichern Sie die Änderung.

Damit können Framehawk-Sitzungen von kompatiblen Citrix Receiver-Instanzen auf iOS-Geräten hergestellt werden. Dieser Schritt ist nicht erforderlich, wenn Sie Citrix Receiver für Windows verwenden.

Hinweis:

Ab Citrix Receiver für iOS 7.0 müssen Sie der Datei default.ica den Parameter Framehawk=On nicht explizit hinzufügen.

Überwachen von Framehawk

Sie können die Verwendung und Leistung von Framehawk über Citrix Director überwachen. Die Detailansicht für den virtuellen HDX-Kanal enthält nützliche Informationen zur Überwachung und Problembehandlung von Framehawk in jeder Sitzung. Zum Anzeigen von Zahlen für Framehawk wählen Sie Grafiken - Framehawk.

Wenn die Framehawk-Verbindung steht, wird auf der Detailseite Anbieter = VD3D und Verbunden = True angezeigt. Der Status “Im Leerlauf” des virtuellen Kanals ist normal, da er den Signalkanal überwacht, der nur beim ersten Handshake verwendet wird. Die Seite bietet auch andere nützliche Statistiken zu der Verbindung.

Wenn Probleme auftreten, besuchen Sie den Blog Framehawk troubleshooting.