-
Planejar e criar uma implantação
-
-
Pools de identidades de diferentes tipos de junção de identidade de máquina
-
Pool de identidades da identidade do computador ingressado no Active Directory local
-
Pool de identidades da identidade do computador ingressado no Azure Active Directory
-
Pool de identidades da identidade de computador ingressada no Azure Active Directory híbrido
-
Pool de identidades da identidade do computador habilitado para Microsoft Intune
-
Pool de identidades de identidade de máquina não ingressada no domínio
-
-
Migrar cargas de trabalho entre locais de recursos usando o Image Portability Service
-
-
HDX Direto
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
HDX Direto
Ao acessar os recursos fornecidos pela Citrix, o HDX Direct permite que dispositivos clientes internos e externos estabeleçam uma conexão direta segura com o host da sessão, se a comunicação direta for possível.
Importante:
O HDX Direct para usuários externos está atualmente em versão prévia. Esse recurso é fornecido sem suporte e ainda não é recomendado para uso em ambientes de produção. Para enviar comentários ou relatar problemas, use Este formulário.
Requisitos do sistema
A seguir estão os requisitos do sistema para usar o HDX Direct:
-
Plano de controle
- Citrix DaaS
- Citrix Virtual Apps and Desktops 2411 ou posterior
-
Agente de entrega virtual (VDA)
- Windows: versão 2411 ou posterior
-
Aplicativo Workspace
- Windows: versão 2409 ou posterior
- Linux: versão 2411 ou posterior
- Mac: versão 2411 ou posterior
-
Camada de acesso
- Citrix Workspace com Citrix Gateway Service
- Citrix Workspace com NetScaler Gateway
-
Outro
- O transporte adaptativo deve ser ativado para conexões diretas externas
Requisitos de rede
Veja a seguir os requisitos de rede para usar o HDX Direct.
Hosts da sessão
Se os hosts da sessão tiverem um firewall, como o Windows Defender Firewall, você deverá permitir o seguinte tráfego de entrada para conexões internas. | Descrição | Fonte | Protocolo | Porto | | — | — | — | — | | Conexão interna direta | Cliente | TCP | 443 | | Conexão interna direta | Cliente | UDP | 443 |
Observação:
O instalador do VDA adiciona as regras de entrada apropriadas ao Windows Defender Firewall. Se você usar um firewall diferente, deverá adicionar as regras acima.
Rede de clientes
A tabela a seguir descreve a rede do cliente para usuários internos e externos.
Usuários internos
Descrição | Protocolo | Fonte | Porta de origem | Destino | Porto de destino | — | — | — | — | — | — | Conexão interna direta | TCP | Rede de clientes | 1024–65535 | Rede VDA | 443 | Conexão interna direta | UDP | Rede de clientes | 1024–65535 | Rede VDA | 443 |
Usuários externos
Descrição | Protocolo | Fonte | Porta de origem | Destino | Porto de destino | — | — | — | — | — | — | STUN (somente usuários externos) | UDP | Rede de clientes | 1024–65535 | Internet (ver nota abaixo) | 3478, 19302 | Conexão de usuário externo | UDP | Rede de clientes | 1024–65535 | Endereço IP público do data center | 1024–65535 |
Rede de data center
A tabela a seguir descreve a rede do data center para usuários internos e externos.
Usuários internos
Descrição | Protocolo | Fonte | Porta de origem | Destino | Porto de destino | — | — | — | — | — | — | Conexão interna direta | TCP | Rede de clientes | 1024–65535 | Rede VDA | 443 | Conexão interna direta | UDP | Rede de clientes | 1024–65535 | Rede VDA | 443 |
Usuários externos
Descrição | Protocolo | Fonte | Porta de origem | Destino | Porto de destino | — | — | — | — | — | — | STUN (somente usuários externos) | UDP | Rede VDA | 1024–65535 | Internet (ver nota abaixo) | 3478, 19302 | Conexão de usuário externo | UDP | DMZ / Rede interna | 1024–65535 | Rede VDA | Rolamento 55000–55250 | Conexão de usuário externo | UDP | Rede VDA | Rolamento 55000–55250 | IP público do cliente | 1024–65535 |
Observação:
O VDA e o aplicativo Workspace tentam enviar solicitações STUN para os seguintes servidores na mesma ordem:
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
Se você alterar o intervalo de portas padrão para conexões de usuário externo usando o comando Faixa de portas HDX Direct configuração de política, as regras de firewall correspondentes devem corresponder ao seu intervalo de portas personalizado.
Configuração
O HDX Direct está desabilitado por padrão. Você pode configurar esse recurso usando o HDX Direto na política Citrix.
- HDX Direto: Para ativar ou desativar um recurso.
- Modo HDX Direct: Determina se HDX Direto está disponível apenas para clientes internos ou para clientes internos e externos.
- Faixa de portas HDX Direct: Define o intervalo de portas que o VDA usa para conexões de clientes externos.
Considerações
Veja a seguir as considerações para usar o HDX Direct:
- O HDX Direct para usuários externos só está disponível com EDT (UDP) como protocolo de transporte. Portanto Transporte adaptativo deve ser habilitado.
- Se você estiver usando Visão HDX, observe que o uso de HDX Direto impede a coleta de dados do HDX Insight, pois a sessão não seria mais enviada por proxy por meio do NetScaler Gateway.
- Ao usar máquinas não persistentes para seus aplicativos e desktops virtuais, a Citrix recomenda habilitar HDX Direto nos hosts da sessão em vez de na imagem mestre/modelo para que cada máquina gere seus próprios certificados.
- No momento, não há suporte para o uso de seus próprios certificados com o HDX Direct.
Como funciona
O HDX Direct permite que os clientes estabeleçam uma conexão direta com o host da sessão quando a comunicação direta estiver disponível. Quando conexões diretas são feitas usando HDX Direct, certificados autoassinados são usados para proteger a conexão direta com criptografia de nível de rede (TLS/DTLS).
Usuários internos
O diagrama a seguir descreve a visão geral do processo de conexão HDX Direct de usuários internos.
- O cliente estabelece uma sessão HDX por meio do Serviço de Gateway.
- Após uma conexão bem-sucedida, o VDA envia ao cliente o FQDN da máquina VDA, uma lista de seus endereços IP e o certificado da máquina VDA por meio da conexão HDX.
- O cliente investiga os endereços IP para ver se ele pode acessar o VDA diretamente.
- Se o cliente puder acessar o VDA diretamente com qualquer um dos endereços IP compartilhados, o cliente estabelecerá uma conexão direta com o VDA, protegida com (D)TLS usando um certificado que corresponda ao trocado na etapa (2).
- Depois que a conexão direta for estabelecida com êxito, a sessão será transferida para a nova conexão e a conexão com o Serviço de Gateway será encerrada.
Observação:
Após estabelecer a conexão na etapa 2, acima, a sessão fica ativa. As etapas subsequentes não atrasam ou interferem na capacidade do usuário de usar o aplicativo virtual ou a área de trabalho. Se qualquer uma das etapas subsequentes falhar, a conexão por meio do Gateway será mantida sem interromper a sessão do usuário.
Usuários externos
O diagrama a seguir mostra a visão geral do processo de conexão HDX Direct para usuários externos:
- O cliente estabelece uma sessão HDX por meio do Serviço de Gateway.
- Após uma conexão bem-sucedida, o cliente e o VDA enviam uma solicitação STUN para descobrir seus endereços IP e portas públicas.
- O servidor STUN responde ao cliente e ao VDA com seus endereços IP públicos e portas correspondentes.
- Por meio da conexão HDX, o cliente e o VDA trocam seus endereços IP públicos e portas UDP, e o VDA envia seu certificado ao cliente.
- O VDA envia pacotes UDP para o endereço IP público e a porta UDP do cliente. O cliente envia pacotes UDP para o endereço IP público e a porta UDP do VDA.
- Após o recebimento de uma mensagem do VDA, o cliente responde com uma solicitação de conexão segura.
- Durante o handshake DTLS, o cliente verifica se o certificado corresponde ao certificado trocado na etapa (4). Após a validação, o cliente envia seu token de autorização. Uma conexão direta segura agora está estabelecida.
- Depois que a conexão direta for estabelecida com êxito, a sessão será transferida para a nova conexão e a conexão com o Serviço de Gateway será encerrada.
Observação:
Após estabelecer a conexão na etapa 2, acima, a sessão fica ativa. As etapas subsequentes não atrasam ou interferem na capacidade do usuário de usar o aplicativo virtual ou a área de trabalho. Se qualquer uma das etapas subsequentes falhar, a conexão por meio do Gateway será mantida sem interromper a sessão do usuário.
Gerenciamento de certificados
Anfitrião da sessão
Os dois serviços a seguir na máquina VDA lidam com a criação e o gerenciamento de certificados, ambos configurados para serem executados automaticamente na inicialização da máquina:
- Citrix ClxMtp Service: Responsável pela geração e rotação de chaves de certificado CA.
- Citrix Certificate Manager Service: Responsável por gerar e gerenciar o certificado CA raiz autoassinado e os certificados da máquina.
As etapas a seguir descrevem o processo de gerenciamento de certificados:
- Os serviços começam na inicialização da máquina.
-
Serviço Citrix ClxMtp
cria chaves se nenhuma já tiver sido criada. - O Citrix Certificate Manager Service verifica se HDX Direto está ativado. Caso contrário, o serviço será interrompido.
- Se HDX Direto estiver ativado, o Citrix Certificate Manager Service verificará se existe um certificado CA raiz autoassinado. Caso contrário, um certificado raiz autoassinado será criado.
- Quando um certificado CA raiz estiver disponível, o Citrix Certificate Manager Service verificará se existe um certificado de máquina autoassinado. Caso contrário, o serviço gera chaves e cria um novo certificado usando o FQDN do computador.
- Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome da entidade não corresponder ao FQDN da máquina, um novo certificado será gerado.
Observação:
O Citrix Certificate Manager Service gera certificados RSA que aproveitam chaves de 2048 bits.
Dispositivo cliente
Para estabelecer com êxito um HDX Direto conexão, o cliente deve confiar nos certificados usados para proteger a sessão. Para facilitar isso, o cliente recebe o certificado CA para a sessão por meio do arquivo ICA (fornecido pelo Workspace), portanto, não é necessário distribuir certificados CA para os armazenamentos de certificados dos dispositivos clientes.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.