Citrix DaaS

HDX Direct (Preview técnico)

Ao acessar os recursos fornecidos pela Citrix, o HDX Direct permite que os dispositivos do cliente estabeleçam uma conexão direta segura com o VDA se houver uma linha de visão direta.

Importante:

O HDX Direct está atualmente na versão Preview técnica. Para enviar feedback ou relatar problemas, use este formulário.

Requisitos

A seguir estão os requisitos para usar o HDX Direct:

  • Plano de controle

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 ou posterior
  • Virtual Delivery Agent (VDA)

    • Windows: versão 2303 ou posterior
  • Aplicativo Workspace

    • Windows: versão 2303 ou posterior
  • Nível de acesso

    • Citrix Workspace
    • Citrix Gateway Service
    • NetScaler Gateway
  • Firewall

    • Máquina VDA

      • TCP 443 de entrada (ICA por TCP)
      • UDP 443 de entrada (ICA por EDT)
    • Rede

      Protocolo Porta Origem Destino
      TCP 443 Cliente VDA
      UDP 443 Cliente VDA

Configuração

O HDX Direct está desativado por padrão. Você pode configurar esse recurso usando a configuração HDX Direct na política da Citrix.

  • Allowed: o HDX Direct está ativado e tenta estabelecer uma conexão direta com o host da sessão quando uma sessão está conectada.
  • Prohibited: a configuração padrão. O HDX Direct está desativado e impede que o cliente tente se conectar diretamente ao host da sessão quando conectado por meio de um Gateway.

Para confirmar que o HDX Direct estabeleceu com êxito uma conexão direta, use o utilitário CtxSession.exe na máquina VDA.

Para usar o utilitário CtxSession.exe, inicie um prompt de comando ou PowerShell dentro da sessão e execute ctxsession.exe -v. Se uma conexão HDX Direct foi estabelecida com sucesso, você verá o seguinte:

  • Protocolo de transporte

    • UDP > DTLS > CGP > ICA (se estiver usando EDT)
    • TCP > SSL > CGP > ICA (se estiver usando TCP)
  • O endereço remoto e o endereço do cliente são iguais

    Endereço do cliente e remoto do HDX Direct

Considerações

A seguir estão algumas considerações sobre o uso do HDX Direct:

  • Ao usar máquinas não persistentes para seus aplicativos e áreas de trabalho virtuais, não habilite o HDX Direct na imagem mestre/modelo para evitar gerar certificados para a máquina virtual (VM) mestre.

Como funciona

O HDX Direct permite que os clientes estabeleçam uma conexão direta com o host da sessão quando a comunicação direta está disponível. Quando as conexões diretas são feitas usando o HDX Direct, a criptografia em nível de rede (TLS/DTLS) é usada para protegê-las, aproveitando os certificados autoassinados.

Há três estágios que abrangem diferentes partes do recurso: pré-lançamento, lançamento e pós-lançamento.

Etapa de pré-lançamento

Esse é o estágio inicial, que abrange a criação e o gerenciamento de certificados. Essas tarefas são gerenciadas pelos seguintes serviços na máquina VDA, e são configuradas para serem executadas automaticamente na inicialização da máquina:

  • Citrix ClxMtp Service: responsável pela geração e rotação do certificado CA.
  • Citrix Certificate Manager Service: responsável por gerar e gerenciar o certificado CA raiz autoassinado, as chaves dos certificados da máquina e os certificados da máquina.

Veja a seguir uma visão geral do processo de gerenciamento de certificados:

  1. Os serviços começam na inicialização da máquina.
  2. O Citrix ClxMtp Service cria chaves se nenhuma tiver sido criada ainda.
  3. O Citrix Certificate Manager Service verifica se o HDX Direct está ativado. Se não estiver, o serviço para sozinho.
  4. Se o HDX Direct estiver ativado, o Citrix Certificate Manager Service verifica se há um certificado CA raiz autoassinado. Se não houver, é criado um certificado raiz autoassinado.
  5. Quando um certificado CA raiz está disponível, o Citrix Certificate Manager Service verifica se há um certificado de máquina autoassinado. Se não houver, o serviço gera chaves e cria um novo certificado usando o FQDN da máquina.
  6. Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome do assunto não corresponder ao FQDN da máquina, um novo certificado será gerado.

Nota:

O Citrix Certificate Manager Service gera certificados RSA que utilizam chaves de 2048 bits.

Etapa de lançamento

Para estabelecer com êxito uma conexão HDX Direct segura, o cliente deve confiar nos certificados usados para proteger a sessão. Para facilitar, o VDA envia suas informações de certificado ao agente quando uma sessão está sendo intermediada. Posteriormente, o agente envia essas informações ao Workspace para serem incluídas no arquivo ICA que é enviado ao cliente para iniciar a sessão.

Etapa pós-lançamento

Depois que uma sessão é intermediada com sucesso, a sessão é iniciada. A seguir você tem uma visão geral do processo de conexão HDX Direct:

Processo de conexão direta HDX

  1. O cliente estabelece uma conexão com o VDA por meio do Gateway Service.
  2. Após uma conexão bem-sucedida, o VDA envia o FQDN da máquina VDA e uma lista de seus endereços IP para o cliente.
  3. O cliente examina os endereços IP para ver se consegue acessar o VDA diretamente.
  4. Se o cliente conseguir acessar o VDA diretamente com qualquer um dos endereços IP compartilhados, o cliente estabelecerá uma conexão direta segura com o VDA.
  5. Quando a conexão direta é estabelecida com êxito, a sessão é transferida para a nova conexão, e a conexão com o Gateway Service é encerrada.

Problemas conhecidos

A seguir estão os problemas conhecidos com o HDX Direct:

  • A conexão HDX Direct pode falhar quando o Rendezvous está desativado.
  • A conexão HDX Direct pode falhar ao iniciar sessões a partir de um site do Citrix Virtual Apps and Desktops 2303 no local.
  • O aplicativo Workspace pode falhar se o VDA estiver em execução no Windows 11.
HDX Direct (Preview técnico)