This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
HDX™ 直连 (预览版)
访问 Citrix 提供的资源时,如果直接通信可行,HDX Direct 允许内部和外部客户端设备与会话主机建立安全的直接连接。
重要提示:
HDX Direct 目前处于预览阶段。此功能不提供支持,尚不建议在生产环境中使用。要提交反馈或报告问题,请使用此表单。
系统必备条件
以下是使用 HDX Direct 的系统要求:
-
控制平面
- 思杰桌面即服务™
- 思杰虚拟应用和桌面™ 2311 或更高版本
-
虚拟投递代理 (VDA)
- Windows:版本 2311 或更高版本
-
工作区应用程序
- Windows:版本 2311 或更高版本
-
访问层
- Citrix 工作区™ 搭配 Citrix 网关服务
- 思杰工作区与 NetScaler® 网关
-
其他
- 自适应传输必须启用,以便支持外部直接连接。
网络连接要求
以下是使用 HDX Direct 的网络要求。
会话主机
如果您的会话主机具有防火墙(例如 Windows Defender 防火墙),则必须允许以下入站流量用于内部连接。
| Description | 源 | 协议 | 端口 |
|---|---|---|---|
| 直接的内部网络连接 | 客户端 | TCP | 443 |
| 直接的内部网络连接 | 客户端 | UDP | 443 |
注意:
VDA 安装程序会将相应的入站规则添加到 Windows Defender 防火墙。如果您使用其他防火墙,则必须添加上述规则。
客户端网络
以下表格详细说明了内部用户和外部用户的客户端网络配置。
内部用户
| 描述信息 | 协议 | 源 | 源端口 | 目的地 | 目标端口 |
|---|---|---|---|---|---|
| 直接的内部连接 | TCP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
| 直接的内部连接 | UDP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
外部用户
| 详细描述 | 协议 | 源 | 源端口 | 目标地址 | 目标端口 |
|---|---|---|---|---|---|
| STUN(仅限外部用户) | UDP | 客户端网络 | 1024–65535 | Internet(请参阅下面的注释) | 3478, 19302 |
| 外部用户连接 | UDP | 客户端网络 | 1024–65535 | 数据中心的公共 IP 地址 | 1024–65535 |
数据中心网络
下表详细描述了内部和外部用户的数据中心网络。
内部用户
| 描述信息 | 协议 | 源 | 源端口 | 目的地 | 目标端口 |
|---|---|---|---|---|---|
| 直接的内部连接 | TCP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
| 直接的内部连接 | UDP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
外部用户
| 内容描述 | 协议 | 源 | 源端口 | 目的地 | 目标端口 |
|---|---|---|---|---|---|
| STUN(仅限外部用户) | UDP | VDA 网络 | 1024–65535 | Internet(请参阅下面的注释) | 3478, 19302 |
| 外部用户连接 | UDP | DMZ / 内部网络 | 1024–65535 | VDA 网络 | 55000–55250 |
| 外部用户连接 | UDP | VDA 网络 | 55000–55250 | 客户端的公共 IP | 1024–65535 |
注意:
VDA 和 Workspace 应用程序都尝试按以下相同顺序向以下服务器发送 STUN 请求:
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
如果您使用 HDX Direct 端口范围策略设置更改了外部用户连接的默认端口范围,则相应的防火墙规则必须与您的自定义端口范围匹配。
配置说明
HDX Direct 默认处于禁用状态。您可以使用 Citrix 策略中的 HDX Direct 设置来配置此功能。
- HDX Direct:用于启用或禁用功能。
- HDX Direct 模式:确定 HDX Direct 仅适用于内部客户端,还是同时适用于内部和外部客户端。
- HDX Direct 端口范围:定义 VDA 用于来自外部客户端连接的端口范围。
注意事项
使用 HDX Direct 时,请注意以下事项:
- HDX Direct 适用于外部用户时,仅支持 EDT (UDP) 作为传输协议。因此,必须启用自适应传输。
- 如果您正在使用 HDX Insight,请注意,使用 HDX Direct 会阻止 HDX Insight 数据收集,因为会话将不再通过 NetScaler Gateway 代理。
- 当您将非持久性计算机用于虚拟应用程序和桌面时,Citrix 建议在会话主机而不是主/模板映像中启用 HDX Direct,以便每台计算机生成自己的证书。
- 目前不支持将您自己的证书与 HDX Direct 配合使用。
工作原理
当直接通信可用时,HDX Direct 允许客户端与会话主机建立直接连接。当使用 HDX Direct 建立直接连接时,将使用自签名证书通过网络级加密 (TLS/DTLS) 来保护直接连接。
内部用户
下图描绘了内部用户的 HDX Direct 连接过程概述。
- 客户端通过网关服务建立 HDX 会话。
- 连接成功后,VDA 通过 HDX 连接向客户端发送 VDA 计算机的 FQDN、其 IP 地址列表以及 VDA 计算机的证书。
- 客户端探测 IP 地址,以查看是否可以直接访问 VDA。
- 如果客户端可以使用共享的任何 IP 地址直接访问 VDA,则客户端将与 VDA 建立直接连接,并使用与步骤 (2) 中交换的证书匹配的证书通过 (D)TLS 进行保护。
- 直接连接成功建立后,会话将转移到新连接,并且与 Gateway Service 的连接将终止。
注意:
在上述步骤 2 中建立连接后,会话将处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果任何后续步骤失败,通过网关的连接将保持不变,而不会中断用户会话。
外部用户
下图描述了外部用户的 HDX Direct 连接过程概述:
- 客户端通过网关服务建立 HDX 会话。
- 连接成功后,客户端和 VDA 都会发送 STUN 请求以发现其公共 IP 地址和端口。
- STUN 服务器向客户端和 VDA 响应其相应的公共 IP 地址和端口。
- 通过 HDX 连接,客户端和 VDA 交换其公共 IP 地址和 UDP 端口,并且 VDA 将其证书发送给客户端。
- VDA 将 UDP 数据包发送到客户端的公共 IP 地址和 UDP 端口。客户端将 UDP 数据包发送到 VDA 的公共 IP 地址和 UDP 端口。
- 收到来自 VDA 的消息后,客户端会响应一个安全连接请求。
- 在 DTLS 握手期间,客户端会验证证书是否与步骤 (4) 中交换的证书匹配。验证后,客户端会发送其授权令牌。此时已建立安全的直接连接。
- 直接连接成功建立后,会话将转移到新连接,并且与 Gateway Service 的连接将终止。
注意:
在上述步骤 2 中建立连接后,会话将处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果任何后续步骤失败,通过网关的连接将保持不变,而不会中断用户会话。
对证书的管理
会话主机
VDA 计算机上的以下两个服务负责证书的创建和管理,这两个服务都设置为在计算机启动时自动运行:
- Citrix ClxMtp 服务:负责 CA 证书密钥的生成和轮换。
- Citrix 证书管理器服务:负责生成和管理自签名根 CA 证书以及计算机证书。
以下步骤详细描述了证书管理过程:
- 服务在计算机启动时启动。
- 如果尚未创建密钥,则
Citrix ClxMtp Service会创建密钥。 - Citrix 证书管理器服务检查是否启用了 HDX Direct。如果未启用,服务将自行停止。
- 如果启用了 HDX Direct,Citrix Certificate Manager Service 将检查是否存在自签名根 CA 证书。如果不存在,则会创建一个自签名根证书。
- 一旦根 CA 证书可用,Citrix Certificate Manager Service 将检查是否存在自签名计算机证书。如果不存在,服务将生成密钥并使用计算机的 FQDN 创建新证书。
- 如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书,并且主题名称与计算机的 FQDN 不匹配,则会生成新证书。
注意:
Citrix 证书管理器服务生成利用 2048 位密钥的 RSA 证书。
客户端设备
为了成功建立安全的 HDX Direct 连接,客户端必须信任用于保护会话的证书。为此,客户端通过 ICA® 文件(由 Workspace 提供)接收会话的 CA 证书,因此无需将 CA 证书分发到客户端设备的证书存储。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.