-
Pianificare e costruire una distribuzione
-
-
Pool di identità di diversi tipi di join di identità del computer
-
Pool di identità dell'identità del computer aggiunto ad Active Directory locale
-
Pool di identità dell'identità del computer aggiunto ad Azure Active Directory
-
Pool di identità dell'identità del computer aggiunto ad Azure Active Directory ibrido
-
Pool di identità dell'identità del computer abilitata per Microsoft Intune
-
Pool di identità dell'identità del computer non appartenente a un dominio
-
-
Migrare i carichi di lavoro tra le posizioni delle risorse utilizzando Image Portability Service
-
-
HDX diretto
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
HDX diretto
Quando si accede alle risorse fornite da Citrix, HDX Direct consente ai dispositivi client interni ed esterni di stabilire una connessione diretta sicura con l’host della sessione, se è possibile una comunicazione diretta.
Importante:
HDX Direct per utenti esterni è attualmente in anteprima. Questa funzionalità è fornita senza supporto e non è ancora consigliata per l’uso in ambienti di produzione. Per inviare feedback o segnalare problemi, utilizza Questo modulo.
Requisiti di sistema
Di seguito sono riportati i requisiti di sistema per l’utilizzo di HDX Direct:
-
Piano di controllo
- Citrix DaaS
- Citrix Virtual Apps and Desktops 2411 o versioni successive
-
Agente di consegna virtuale (VDA)
- Windows: versione 2411 o successiva
-
App per l’area di lavoro
- Windows: versione 2409 o successiva
- Linux: versione 2411 o successiva
- Mac: versione 2411 o successiva
-
Livello di accesso
- Citrix Workspace con il servizio Citrix Gateway
- Citrix Workspace con NetScaler Gateway
-
Altro
- Il trasporto adattivo deve essere abilitato per le connessioni dirette esterne
Requisiti di rete
Di seguito sono riportati i requisiti di rete per l’utilizzo di HDX Direct.
Host di sessione
Se gli host di sessione dispongono di un firewall, ad esempio Windows Defender Firewall, è necessario consentire il traffico in ingresso seguente per le connessioni interne. | Descrizione | Fonte | Protocollo | Porto | | — | — | — | — | | Collegamento interno diretto | Cliente | TCP | 443 | | Collegamento interno diretto | Cliente | UDP | 443 |
Nota:
Il programma di installazione VDA aggiunge le regole in entrata appropriate a Windows Defender Firewall. Se si utilizza un firewall diverso, è necessario aggiungere le regole di cui sopra.
Rete clienti
Nella tabella seguente viene descritta la rete client per gli utenti interni ed esterni.
Utenti interni
Descrizione | Protocollo | Fonte | Porta di origine | Destinazione | Porto di destinazione | — | — | — | — | — | — | Collegamento interno diretto | TCP | Rete clienti | 1024–65535 | Rete VDA | 443 | Collegamento interno diretto | UDP | Rete clienti | 1024–65535 | Rete VDA | 443 |
Utenti esterni
Descrizione | Protocollo | Fonte | Porta di origine | Destinazione | Porto di destinazione | — | — | — | — | — | — | STORDIMENTO (solo utenti esterni) | UDP | Rete clienti | 1024–65535 | Internet (vedi nota sotto) | 3478, 19302 | Connessione utente esterno | UDP | Rete clienti | 1024–65535 | Indirizzo IP pubblico del data center | 1024–65535 |
Rete di data center
Nella tabella seguente viene descritta la rete del data center per gli utenti interni ed esterni.
Utenti interni
Descrizione | Protocollo | Fonte | Porta di origine | Destinazione | Porto di destinazione | — | — | — | — | — | — | Collegamento interno diretto | TCP | Rete clienti | 1024–65535 | Rete VDA | 443 | Collegamento interno diretto | UDP | Rete clienti | 1024–65535 | Rete VDA | 443 |
Utenti esterni
Descrizione | Protocollo | Fonte | Porta di origine | Destinazione | Porto di destinazione | — | — | — | — | — | — | STORDIMENTO (solo utenti esterni) | UDP | Rete VDA | 1024–65535 | Internet (vedi nota sotto) | 3478, 19302 | Connessione utente esterno | UDP | DMZ / Rete interna | 1024–65535 | Rete VDA | 55000–55250 | Connessione utente esterno | UDP | Rete VDA | 55000–55250 | IP pubblico del cliente | 1024–65535 |
Nota:
Sia il VDA che l’app Workspace tentano di inviare richieste STUN ai seguenti server nello stesso ordine:
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
Se si modifica l’intervallo di porte predefinito per le connessioni utente esterne utilizzando il pulsante Gamma di porte HDX Direct , le regole del firewall corrispondenti devono corrispondere all’intervallo di porte personalizzato.
Configurazione
HDX Direct è disabilitato per impostazione predefinita. È possibile configurare questa funzione utilizzando il pulsante HDX diretto nella policy Citrix.
- HDX diretto: per abilitare o disabilitare una funzione.
- Modalità diretta HDX: Determina se HDX diretto è disponibile solo per i clienti interni o per i clienti interni ed esterni.
- Gamma di porte HDX Direct: definisce l’intervallo di porte utilizzato dal VDA per le connessioni da client esterni.
Considerazioni
Di seguito sono riportate alcune considerazioni per l’utilizzo di HDX Direct:
- HDX Direct per utenti esterni è disponibile solo con EDT (UDP) come protocollo di trasporto. Pertanto Trasporto adattivo deve essere abilitato.
- Se stai utilizzando Approfondimenti HDX, si noti che utilizzando HDX diretto impedisce la raccolta dei dati di HDX Insight, in quanto la sessione non verrebbe più inoltrata tramite NetScaler Gateway.
- Quando si utilizzano macchine non persistenti per le app e i desktop virtuali, Citrix consiglia di abilitare HDX diretto sugli host di sessione anziché nell’immagine master/modello in modo che ogni macchina generi i propri certificati.
- L’utilizzo dei propri certificati con HDX Direct non è attualmente supportato.
Come funziona
HDX Direct consente ai client di stabilire una connessione diretta all’host della sessione quando è disponibile la comunicazione diretta. Quando le connessioni dirette vengono effettuate utilizzando HDX Direct, vengono utilizzati certificati autofirmati per proteggere la connessione diretta con la crittografia a livello di rete (TLS/DTLS).
Utenti interni
Il diagramma seguente illustra la panoramica del processo di connessione HDX Direct degli utenti interni.
- Il client stabilisce una sessione HDX tramite il servizio gateway.
- Una volta stabilita la connessione, il VDA invia al client l’FQDN della macchina VDA, un elenco dei suoi indirizzi IP e il certificato della macchina VDA tramite la connessione HDX.
- Il client sonda gli indirizzi IP per verificare se è possibile raggiungere direttamente il VDA.
- Se il client è in grado di raggiungere direttamente il VDA con uno qualsiasi degli indirizzi IP condivisi, il client stabilisce una connessione diretta con il VDA, protetta con (D)TLS utilizzando un certificato che corrisponde a quello scambiato nel passaggio (2).
- Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al servizio gateway viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, la sessione è attiva. I passaggi successivi non ritardano o interferiscono con la capacità dell’utente di utilizzare l’applicazione virtuale o il desktop. Se uno dei passaggi successivi non riesce, la connessione tramite il gateway viene mantenuta senza interrompere la sessione dell’utente.
Utenti esterni
Il diagramma seguente illustra la panoramica del processo di connessione HDX Direct per gli utenti esterni:
- Il client stabilisce una sessione HDX tramite il servizio gateway.
- Una volta stabilita la connessione, sia il client che il VDA inviano una richiesta STUN per individuare gli indirizzi IP e le porte pubbliche.
- Il server STUN risponde al client e al VDA con gli indirizzi IP pubblici e le porte corrispondenti.
- Tramite la connessione HDX, il client e il VDA si scambiano i propri indirizzi IP pubblici e le porte UDP e il VDA invia il proprio certificato al client.
- Il VDA invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del client. Il client invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del VDA.
- Alla ricezione di un messaggio dal VDA, il client risponde con una richiesta di connessione sicura.
- Durante l’handshake DTLS, il client verifica che il certificato corrisponda al certificato scambiato nel passaggio (4). Dopo la convalida, il client invia il token di autorizzazione. A questo punto è stata stabilita una connessione diretta sicura.
- Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al servizio gateway viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, la sessione è attiva. I passaggi successivi non ritardano o interferiscono con la capacità dell’utente di utilizzare l’applicazione virtuale o il desktop. Se uno dei passaggi successivi non riesce, la connessione tramite il gateway viene mantenuta senza interrompere la sessione dell’utente.
Gestione dei certificati
Host della sessione
I due servizi seguenti sulla macchina VDA gestiscono la creazione e la gestione dei certificati, entrambi impostati per l’esecuzione automatica all’avvio della macchina:
- Citrix ClxMtp Service: responsabile della generazione e della rotazione delle chiavi dei certificati CA.
- Servizio Citrix Certificate Manager: responsabile della generazione e della gestione del certificato CA radice autofirmato e dei certificati della macchina.
I passaggi seguenti illustrano il processo di gestione dei certificati:
- I servizi vengono avviati all’avvio della macchina.
-
Servizio Citrix ClxMtp
Crea chiavi se non ne sono già state create nessuna. - Il servizio Citrix Certificate Manager verifica se HDX diretto è abilitato. In caso contrario, il servizio si arresta automaticamente.
- Se HDX diretto è abilitato, il servizio Citrix Certificate Manager verifica se esiste un certificato CA radice autofirmato. In caso contrario, viene creato un certificato radice autofirmato.
- Una volta che è disponibile un certificato CA radice, il servizio Citrix Certificate Manager verifica se esiste un certificato macchina autofirmato. In caso contrario, il servizio genera le chiavi e crea un nuovo certificato utilizzando il nome di dominio completo del computer.
- Se è presente un certificato del computer esistente creato dal servizio Citrix Certificate Manager e il nome del soggetto non corrisponde al nome di dominio completo del computer, viene generato un nuovo certificato.
Nota:
Il servizio Citrix Certificate Manager genera certificati RSA che sfruttano le chiavi a 2048 bit.
Dispositivo client
Per stabilire con successo un sistema di HDX diretto connessione, il client deve considerare attendibili i certificati utilizzati per proteggere la sessione. Per facilitare questa operazione, il client riceve il certificato CA per la sessione tramite il file ICA (fornito da Workspace), quindi non è necessario distribuire i certificati CA agli archivi certificati dei dispositivi client.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.