This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
HDX™ ダイレクト
Citrixが提供するリソースにアクセスする場合、直接通信が可能であれば、HDX Directにより、内部および外部のクライアントデバイスはセッションホストとの安全な直接接続を確立できます。
システム要件
HDX Directを使用するためのシステム要件は以下のとおりです。
-
コントロールプレーン
- シトリックス DaaS™
- シトリックス バーチャル アプリケーションズ アンド デスクトップ™ 2503 以降
-
仮想配信エージェント (VDA)
- Windows: バージョン2503以降
-
ワークスペースアプリ
- Windows: バージョン2503以降
- Linux: バージョン2411以降
- Mac: バージョン2411以降
-
アクセス層
- Citrix ワークスペース™
- シトリックス ストアフロント™ 2503 以降
- シトリックス ゲートウェイ サービス
- シトリックス ネットスケーラー® ゲートウェイ
ネットワーク要件
HDX Direct を使用するためのネットワーク要件は以下のとおりです。
セッションホスト
セッションホストに Windows Defender ファイアウォールなどのファイアウォールがある場合、内部接続に対して以下の受信トラフィックを許可する必要があります。
| 項目説明 | 送信元 | プロトコル | ポート |
|---|---|---|---|
| 直接的な内部接続 | クライアント | TCP | 443 |
| 直接的な内部接続 | クライアント | UDP | 443 |
注:
VDAインストーラーは、適切な受信規則をWindows Defender ファイアウォールに追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。
クライアントネットワーク
次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。
内部ユーザー
| 説明内容 | プロトコル | 送信元 | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 直接的な内部接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | 送信元 | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN (外部ユーザーのみ) | UDP | クライアントネットワーク | 1024~65535 | インターネット (下記の注記を参照) | 3478、19302 |
| 外部ユーザー接続 | UDP | クライアントネットワーク | 1024~65535 | データセンターのパブリックIPアドレス | 1024–65535 |
データセンターネットワーク
次の表は、内部ユーザーと外部ユーザー向けのデータセンターネットワークについて説明しています。
内部ユーザー
| 項目説明 | プロトコル | 送信元 | 送信元ポート | 送信先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 内部ネットワークへの直接接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | 送信元 | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN (外部ユーザーのみ) | UDP | VDAネットワーク | 1024–65535 | インターネット (下記の注記を参照) | 3478, 19302 |
| 外部ユーザー接続 | UDP | DMZ / 内部ネットワーク | 1024–65535 | VDAネットワーク | 55000–55250 |
| 外部ユーザー接続 | UDP | VDAネットワーク | 55000–55250 | クライアントのパブリックIP | 1024~65535 |
注:
VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
HDX Direct port rangeポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更する場合、対応するファイアウォールルールはカスタムポート範囲と一致する必要があります。
構成について
HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。
- HDX Direct: 機能を有効または無効にするため。
- HDX Direct mode: HDX Directが内部クライアントのみに利用可能か、内部クライアントと外部クライアントの両方に利用可能かを決定します。
- HDX Direct port range: VDAが外部クライアントからの接続に使用するポート範囲を定義します。
必要に応じて、HDX Directが使用するSTUNサーバーのリストは、以下のレジストリ値を編集することで変更できます。
- Key: HKLM\SOFTWARE\Citrix\HDX-Direct
- Value type: REG_MULTI_SZ
- Value name: STUNServers
- Data: stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302
注:
外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。そのため、アダプティブトランスポートを有効にする必要があります。
考慮事項
HDX Directを使用する際の考慮事項は次のとおりです。
- 外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。そのため、アダプティブトランスポートを有効にする必要があります。
- HDX Insightを使用している場合、HDX Directを使用すると、セッションがNetScaler Gatewayを介してプロキシされなくなるため、HDX Insightのデータ収集が妨げられることに注意してください。
- マルチセッションセッションホストを使用する環境では、HDX Directでは、ユーザーログオンが1分以内に完了する必要があります。ログオン時間がこのしきい値を超えると、HDX Directはトリガーされず、セッションはGatewayを介して接続されたままになります。ログオン時間を長くするために、HDX Directのタイムアウトを増やすことができます。詳細については、レジストリで管理されるHDX機能を参照してください。
仕組み
HDX Directを使用すると、直接通信が可能な場合に、クライアントはセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書を使用して、ネットワークレベルの暗号化 (TLS/DTLS) で直接接続を保護します。
内部ユーザー
次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。
HDX ダイレクトの概要(/ja-jp/citrix-virtual-apps-desktops/media/hdx-direct-overview.png)
- クライアントはGateway Serviceを介してHDXセッションを確立します。
- 接続が成功すると、VDAはHDX接続を介して、VDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をクライアントに送信します。
- クライアントは、VDAに直接到達できるかどうかを確認するためにIPアドレスをプローブします。
- クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立します。この接続は、ステップ(2)で交換された証明書と一致する証明書を使用して(D)TLSで保護されます。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。
注:
上記のステップ2で接続を確立した後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。
従来の直接接続の仕組み
Storefront、Direct Workload Connectionを使用するWorkspace、または内部接続専用に構成されたWorkspaceを使用する場合、クライアントとセッションホスト間の直接接続は、最初にGatewayを介してルーティングする必要なく確立されます。
これらの場合、接続は本質的に直接的であるため、HDX Directはトリガーされません。ただし、HDX Directが有効になっている場合、これらの接続はHDX Direct証明書を利用してセッションを保護します。
外部ユーザー
次の図は、外部ユーザー向けのHDX Direct接続プロセスの概要を示しています。
HDX ダイレクト接続プロセス(/ja-jp/citrix-virtual-apps-desktops/media/hdx-direct-connection-process.png)
- クライアントはGateway Serviceを介してHDXセッションを確立します。
- 接続が成功すると、クライアントとVDAの両方がSTUNリクエストを送信して、それぞれのパブリックIPアドレスとポートを検出します。
- STUNサーバーは、クライアントとVDAにそれぞれのパブリックIPアドレスとポートで応答します。
- HDX接続を介して、クライアントとVDAはそれぞれのパブリックIPアドレスとUDPポートを交換し、VDAはクライアントに証明書を送信します。
- VDAはクライアントのパブリックIPアドレスとUDPポートにUDPパケットを送信します。クライアントはVDAのパブリックIPアドレスとUDPポートにUDPパケットを送信します。
- VDAからのメッセージを受信すると、クライアントはセキュアな接続要求で応答します。
- DTLSハンドシェイク中に、クライアントは証明書がステップ(4)で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。
注:
上記のステップ2で接続が確立された後、セッションはアクティブになります。その後のステップは、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後のステップのいずれかが失敗した場合でも、ユーザーのセッションを中断することなく、Gatewayを介した接続は維持されます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.