-
-
-
HDX Direct
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
HDX™ ダイレクト (プレビュー)
Citrixが提供するリソースにアクセスする場合、HDX Directにより、直接通信が可能な場合、内部および外部のクライアントデバイスの両方がセッションホストと安全な直接接続を確立できます。
重要:
HDX Directは現在プレビュー版です。この機能はサポートなしで提供されており、本番環境での使用はまだ推奨されていません。フィードバックの送信または問題の報告には、こちらのフォームをご利用ください。
システム要件
HDX Directを使用するためのシステム要件は次のとおりです。
-
コントロールプレーン
- シトリックス DaaS™
- シトリックス バーチャルアプリおよびデスクトップ™ 2311 以降
-
バーチャルデリバリーエージェント (VDA)
- Windows: バージョン 2311 以降
-
ワークスペースアプリ
- Windows: バージョン 2311 以降
-
アクセス層
- シトリックス ワークスペース™ と シトリックス ゲートウェイサービス
- ネットスケーラー ゲートウェイ を使用した シトリックス ワークスペース
-
その他
- 外部からの直接接続には、アダプティブトランスポートを有効にする必要があります
ネットワーク要件
HDX Direct を使用するためのネットワーク要件は次のとおりです。
セッションホスト
セッションホストに Windows Defender ファイアウォールなどのファイアウォールがある場合は、内部接続に対して次の受信トラフィックを許可する必要があります。
| 説明文 | ソース | プロトコル | ポート |
|---|---|---|---|
| 内部への直接接続 | クライアント | TCP | 443 |
| 直接的な内部接続 | クライアント | UDP | 443 |
注:
VDAインストーラーは、適切な受信規則をWindows Defender ファイアウォールに追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。
クライアントネットワーク
次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。
内部ユーザー
| 説明内容 | プロトコル | ソース | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 直接的な内部接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | ソース | ソースポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN (外部ユーザーのみ) | UDP | クライアントネットワーク | 1024~65535 | インターネット (下記の注記を参照) | 3478, 19302 |
| 外部ユーザー接続 | UDP | クライアントネットワーク | 1024~65535 | データセンターのパブリックIPアドレス | 1024–65535 |
データセンターネットワーク
次の表は、内部ユーザーと外部ユーザー向けのデータセンターネットワークについて説明しています。
内部ユーザー
| 項目説明 | プロトコル | ソース | ソースポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 直接的な内部接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | ソース | ソースポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN (外部ユーザーのみ) | UDP | VDAネットワーク | 1024–65535 | インターネット (下記の注記を参照) | 3478, 19302 |
| 外部ユーザー接続 | UDP | DMZ / 内部ネットワーク | 1024–65535 | VDAネットワーク | 55000–55250 |
| 外部ユーザー接続 | UDP | VDAネットワーク | 55000–55250 | クライアントのパブリックIP | 1024–65535 |
注:
VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
HDX Direct port range ポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更する場合、対応するファイアウォールルールはカスタムポート範囲と一致する必要があります。
構成について
HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。
- HDX Direct: 機能を有効または無効にするため。
- HDX Direct mode: HDX Directが内部クライアントのみに利用可能か、内部クライアントと外部クライアントの両方に利用可能かを決定します。
- HDX Direct port range: VDAが外部クライアントからの接続に使用するポート範囲を定義します。
考慮事項
HDX Directを使用する際の考慮事項は以下のとおりです。
- 外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。したがって、アダプティブトランスポートを有効にする必要があります。
- HDX Insightを使用している場合、HDX Directを使用すると、セッションがNetScaler Gatewayを介してプロキシされなくなるため、HDX Insightのデータ収集が妨げられることに注意してください。
- 仮想アプリおよびデスクトップに非永続マシンを使用する場合、Citrixは、各マシンが独自の証明書を生成するように、マスター/テンプレートイメージではなくセッションホストでHDX Directを有効にすることを推奨します。
- HDX Directで独自の証明書を使用することは、現在サポートされていません。
仕組み
HDX Directを使用すると、直接通信が可能な場合、クライアントはセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書が使用され、ネットワークレベルの暗号化 (TLS/DTLS) で直接接続を保護します。
内部ユーザー
次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。
HDXダイレクトの概要(/ja-jp/citrix-virtual-apps-desktops/2311/media/hdx-direct-overview.png)
- クライアントはGateway Serviceを介してHDXセッションを確立します。
- 接続が成功すると、VDAはHDX接続を介して、VDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をクライアントに送信します。
- クライアントはIPアドレスをプローブし、VDAに直接到達できるかどうかを確認します。
- クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立し、ステップ (2) で交換された証明書と一致する証明書を使用して (D)TLSで保護します。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。
注:
上記のステップ2で接続を確立した後、セッションはアクティブになります。その後のステップは、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後のステップのいずれかが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。
外部ユーザー
次の図は、外部ユーザー向けのHDX Direct接続プロセスの概要を示しています。
HDX Direct の接続プロセス(/ja-jp/citrix-virtual-apps-desktops/2311/media/hdx-direct-connection-process.png)
- クライアントはGateway Serviceを介してHDXセッションを確立します。
- 接続が成功すると、クライアントとVDAの両方がSTUNリクエストを送信して、それぞれのパブリックIPアドレスとポートを検出します。
- STUNサーバーは、クライアントとVDAにそれぞれのパブリックIPアドレスとポートで応答します。
- HDX接続を介して、クライアントとVDAはそれぞれのパブリックIPアドレスとUDPポートを交換し、VDAはクライアントに証明書を送信します。
- VDAはクライアントのパブリックIPアドレスとUDPポートにUDPパケットを送信します。クライアントはVDAのパブリックIPアドレスとUDPポートにUDPパケットを送信します。
- VDAからのメッセージを受信すると、クライアントはセキュアな接続リクエストで応答します。
- DTLSハンドシェイク中に、クライアントは証明書がステップ(4)で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。
注:
上記のステップ2で接続を確立した後、セッションはアクティブになります。その後のステップは、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後のステップのいずれかが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。
証明書の管理
セッションホスト
VDAマシン上の以下の2つのサービスは、証明書の作成と管理を処理します。これらは両方ともマシンの起動時に自動的に実行されるように設定されています。
- Citrix ClxMtp Service: CA証明書キーの生成とローテーションを担当します。
- Citrix Certificate Manager Service: 自己署名ルートCA証明書とマシン証明書の生成および管理を担当します。
次の一連の手順は、証明書管理プロセスを示しています。
- サービスはマシンの起動時に開始されます。
- まだキーが作成されていない場合、
Citrix ClxMtp Serviceがキーを作成します。 - Citrix Certificate Manager Serviceは、HDX Directが有効になっているかどうかを確認します。有効になっていない場合、サービスは自身を停止します。
- HDX Directが有効になっている場合、Citrix Certificate Manager Serviceは自己署名ルートCA証明書が存在するかどうかを確認します。存在しない場合、自己署名ルート証明書が作成されます。
- ルートCA証明書が利用可能になると、Citrix Certificate Manager Serviceは自己署名マシン証明書が存在するかどうかを確認します。存在しない場合、サービスはキーを生成し、マシンのFQDNを使用して新しい証明書を作成します。
- Citrix Certificate Manager Serviceによって作成された既存のマシン証明書があり、そのサブジェクト名がマシンのFQDNと一致しない場合、新しい証明書が生成されます。
注:
シトリックス証明書マネージャーサービスは、2048ビットキーを利用するRSA証明書を生成します。
クライアントデバイス
安全なHDX Direct接続を正常に確立するには、クライアントはセッションを保護するために使用される証明書を信頼する必要があります。これを容易にするため、クライアントはICA®ファイル(Workspaceによって提供)を介してセッションのCA証明書を受信するため、CA証明書をクライアントデバイスの証明書ストアに配布する必要はありません。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.