Citrix Virtual Apps and Desktops

HDX Direct (Technical Preview)

Beim Zugriff auf von Citrix gelieferten Ressourcen ermöglicht HDX Direct Clientgeräten, eine sichere Direktverbindung mit dem VDA herzustellen, sofern eine direkte Verbindung möglich ist.

Wichtig:

HDX Direct ist derzeit in der Technical Preview. Verwenden Sie dieses Formular, um Feedback einzureichen oder Probleme zu melden.

Anforderungen

Für die Verwendung von HDX Direct gelten die folgenden Voraussetzungen:

  • Steuerungsebene

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 oder höher
  • Virtual Delivery Agent (VDA)

    • Windows: Version 2303 oder höher
  • Workspace-App

    • Windows: Version 2303 oder höher
  • Zugriffsebene

    • Citrix Workspace
    • Citrix Gateway Service
    • NetScaler Gateway
  • Firewall

    • VDA-Maschine

      • TCP 443 eingehend (ICA über TCP)
      • UDP 443 eingehend (ICA über EDT)
    • Netzwerk

      Protokoll Port Quelle Ziel
      TCP 443 Client VDA
      UDP 443 Client VDA

Konfiguration

HDX Direct ist standardmäßig deaktiviert. Sie können das Feature mithilfe der HDX Direct-Einstellung der Citrix Richtlinie konfigurieren.

  • Zugelassen: HDX Direct ist aktiviert und versucht, eine direkte Verbindung zum Sitzungshost herzustellen, wenn eine Sitzung verbunden wird.
  • Nicht zugelassen: Standardeinstellung. HDX Direct ist deaktiviert und verhindert, dass der Client versucht, eine direkte Verbindung zum Sitzungshost herzustellen, wenn er über ein Gateway verbunden ist.

Verwenden Sie das Hilfsprogramm CtxSession.exe auf der VDA-Maschine, um zu überprüfen, ob HDX Direct eine direkte Verbindung hergestellt hat.

Um das Hilfsprogramm CtxSession.exe zu verwenden, starten Sie eine Eingabeaufforderung oder PowerShell in der Sitzung und führen Sie ctxsession.exe -v aus. Wenn eine HDX Direct-Verbindung hergestellt wurde, wird Folgendes angezeigt:

  • Transportprotokoll

    • UDP > DTLS > CGP > ICA (bei Verwendung von EDT)
    • TCP > SSL > CGP > ICA (bei Verwendung von TCP)
  • Remote Address und Client Address sind identisch.

    HDX Direct – Remote- und Clientadresse

Überlegungen

Bei der Verwendung von HDX Direct ist Folgendes zu berücksichtigen:

  • Wenn Sie nicht persistente Maschinen für virtuelle Apps und Desktops verwenden, aktivieren Sie HDX Direct nicht im Master-/Vorlagen-Image, damit keine Zertifikate für die Master-VM generiert werden.

Funktionsweise

HDX Direct ermöglicht es Clients, eine direkte Verbindung zum Sitzungshost herzustellen, wenn eine direkte Kommunikation verfügbar ist. Wenn direkte Verbindungen mit HDX Direct hergestellt werden, werden diese mit Verschlüsselung auf Netzwerkebene (TLS/DTLS) geschützt. Hierbei werden selbstsignierte Zertifikate verwendet.

Es gibt drei Phasen, die verschiedene Teile des Features abdecken: vor dem Start, während des Starts, nach dem Start

Vor dem Start

In dieser ersten Phase werden Zertifikate erstellt und verwaltet. Diese Aufgaben werden von den folgenden Diensten auf der VDA-Maschine übernommen, die beide beim Start der Maschine automatisch ausgeführt werden:

  • Citrix ClxMtp Service: verantwortlich für die Generierung und Rotation von ZS-Zertifikaten.
  • Citrix Certificate Manager Service: verantwortlich für die Generierung und Verwaltung des selbstsignierten Stamm-ZS-Zertifikats, der Schlüssel der Maschinenzertifikate und der Maschinenzertifikate.

Im Folgenden finden Sie eine Übersicht über den Zertifikatverwaltungsprozess:

  1. Die Dienste werden beim Start der Maschine gestartet.
  2. Citrix ClxMtp Service erstellt Schlüssel, falls noch keine erstellt wurden.
  3. Citrix Certificate Manager Service überprüft, ob HDX Direct aktiviert ist. Andernfalls stoppt der Dienst selbsttätig.
  4. Wenn HDX Direct aktiviert ist, prüft Citrix Certificate Manager Service, ob ein selbstsigniertes Stamm-ZS-Zertifikat vorhanden ist. Ist dies nicht der Fall, wird ein selbstsigniertes Stammzertifikat erstellt.
  5. Sobald ein Stamm-ZS-Zertifikat verfügbar ist, prüft Citrix Certificate Manager Service, ob ein selbstsigniertes Maschinenzertifikat vorhanden ist. Ist dies nicht der Fall, generiert der Dienst Schlüssel und erstellt mithilfe des Maschinen-FQDN ein Zertifikat.
  6. Ist ein von Citrix Certificate Manager Service erstelltes Maschinenzertifikat vorhanden und der Antragstellername stimmt nicht mit dem Maschinen-FQDN überein, wird ein neues Zertifikat generiert.

Hinweis:

Citrix Certificate Manager Service generiert RSA-Zertifikate, die 2048-Bit-Schlüssel nutzen.

Während des Starts

Damit eine sichere HDX Direct-Verbindung hergestellt werden kann, muss der Client den Zertifikaten vertrauen, die zum Schutz der Sitzung verwendet wurden. Um dies zu erleichtern, sendet der VDA dem Broker seine Zertifikatsinformationen, wenn eine Sitzung vermittelt wird. Der Broker sendet diese Informationen dann an Workspace, damit sie in der ICA-Datei, die für den Sitzungsstart an den Client gesendet wird, aufgenommen werden.

Nach dem Start

Sobald eine Sitzung erfolgreich vermittelt wurde, wird sie gestartet. Im Folgenden finden Sie eine Übersicht über den HDX Direct-Verbindungsprozess:

HDX Direct-Verbindungsprozess

  1. Der Client stellt über Gateway Service eine Verbindung mit dem VDA her.
  2. Wenn die Verbindung steht, sendet der VDA den FQDN der VDA-Maschine und eine Liste ihrer IP-Adressen an den Client.
  3. Der Client überprüft die IP-Adressen, um festzustellen, ob er den VDA direkt erreichen kann.
  4. Kann der Client den VDA mit einer der IP-Adressen direkt erreichen, stellt er eine sichere Direktverbindung mit dem VDA her.
  5. Sobald die direkte Verbindung hergestellt ist, wird die Sitzung an sie übertragen und die Verbindung zu Gateway Service wird beendet.

Bekannte Probleme

Die folgenden Probleme mit HDX Direct sind bekannt:

  • Die HDX Direct-Verbindung kann fehlschlagen, wenn Rendezvous deaktiviert ist.
  • Die HDX Direct-Verbindung kann fehlschlagen, wenn Sitzungen von einer Citrix Virtual Apps and Desktops 2303-On-Premises-Site gestartet werden.
  • Die Workspace-App kann abstürzen, wenn der VDA unter Windows 11 ausgeführt wird.
HDX Direct (Technical Preview)