Product Documentation

Framehawk

Jun 20, 2017

Einführung

Framehawk ist eine Technologie für das Anzeigeremoting für mobile Mitarbeiter mit drahtlosen Breitbandverbindungen (WiFi und 4G/LTE-Mobilfunknetze). Framehawk überwindet die Herausforderungen der spektralen Interferenz und des Mehrwegeempfangs und liefert eine flüssige, interaktive Benutzererfahrung für virtuelle Apps und Desktops. Framehawk kann auch in Langstrecken-Breitbandnetzwerken mit hoher Latenz eingesetzt werden, bei denen selbst geringfügige Paketverluste die Benutzererfahrung verschlechtern können. Citrix empfiehlt die Verwendung des adaptiven Transports für diesen Anwendungsfall. Weitere Informationen finden Sie unter Adaptiver Transport.

Sie können Framehawk mit Citrix Richtlinienvorlagen für Benutzergruppen und Zugriffsszenarios in einer für Ihr Unternehmen geeigneten Weise implementieren. Framehawk ist für mobile Einzelbildschirm-Anwendungsfälle (Laptops, Tablets usw.) vorgesehen. Verwenden Sie Framehawk, wenn der geschäftliche Wert einer Echtzeit-Interaktivität die Kosten zusätzlicher Serverressourcen und das Erfordernis einer Breitbandverbindung rechtfertigt. 

Wirkungsweise von Framehawk

Bei der Betrachtung des Inhalts des Framepuffers und der Unterscheidung verschiedener Inhaltsarten auf dem Bildschirm wirkt Framehawk wie das menschliche Auge. Was ist dem Benutzer wichtig? In Bildschirmbereichen mit schnellen Änderungen (Video, Animationen etc.) spielt es für das menschliche Auge keine Rolle, wenn einige Pixel verloren gehen, da sie schnell durch neue Daten überschrieben werden.

Bei statischen Bereichen, z. B. Symbolleisten oder Text kurz nach Ausführen eines Bildlaufs an, den der Benutzer direkt lesen möchte, ist das menschliche Auge sehr anspruchsvoll. Diese Bereiche müssen pixelgenau sein. Im Gegensatz zu Protokollen, bei denen dich technische Präzision im Sinne von Nullen und Einsen im Vordergrund steht, ist Framehawk stärker auf die menschlichen Nutzer von Technik ausgelegt.

Framehawk umfasst einen völlig neuen QoS-Signalverstärker sowie eine zeitabhängige Heatmap zur exakteren und effizienten Arbeitslasterkennung. Zusätzlich zur Datenkomprimierung werden in Framehawk autonome, selbstkorrigierende Transformationen verwendet, die erneute Übertragung von Daten wird zur Gewährleistung von Klickantwort, Linearität und konsistenter Kadenz vermieden. In einem verlustreichen Netzwerk kann Framehawk Verluste durch Interpolation ausgleichen, sodass der Benutzer die Bildqualität weiterhin als gut empfindet und die Benutzererfahrung sogar flüssiger wird. Die Algorithmen von Framehawk können darüber hinaus die verschiedenen Arten des Paketverlusts unterscheiden, etwa den regellosen Verlust (weitere Daten zur Kompensierung senden) und den Verlust durch Engpässe (keine weiteren Daten senden, da der Kanal bereits blockiert ist).

Die Framehawk Intent Engine in Citrix Receiver unterscheidet Bildlauf nach oben oder unten, Vergrößern, Verschieben nach links oder rechts, Lesen, Eingeben und weitere übliche Aktionen und steuert die Antwort an den Virtual Delivery Agent (VDA) mit einem freigegebenen Wörterbuch. Wenn der Benutzer lesen möchte, muss die visuelle Qualität des Texts hervorragend sein. Führt er einen Bildlauf durch, muss dieser schnell und gleichmäßig sein. Er muss außerdem unterbrochen werden können, damit der Benutzer die Interaktion mit der Anwendung oder dem Desktop jederzeit unter Kontrolle hat.

Durch die Messung der Kadenz der Netzwerkverbindung kann die Framehawk-Logik schneller reagieren und bei Verbindungen mit hoher Latenz eine bessere Benutzererfahrung ermöglichen. Dieses einzigartige, patentierte Verfahren liefert kontinuierlich aktuelle Rückmeldungen zu Netzwerkbedingungen, sodass Framehawk auf Änderungen bei Bandbreite, Latenz und Verlust sofort reagieren kann.

ThinWire und Framehawk – Überlegungen zur Auslegung

ThinWire ist branchenweit erste Wahl in puncto Bandbreiteneffizienz und eignet sich gut für viele Zugriffsszenarien und Netzwerkbedingungen. Allerdings wird zur Gewährleistung einer zuverlässigen Datenkommunikation bei ThinWire TCP verwendet, wodurch in verlustreichen oder überlasteten Netzwerken eine Paketneuübertragung erforderlich ist, um Verzögerungen beim Endbenutzer zu vermeiden. ThinWire steht über eine neue Enlightened Data Transport-Ebene zur Verfügung, die die Probleme von TCP bei Netzwerkverbindungen mit hoher Latenz ausräumen soll.

In Framehawk wird eine auf UDP aufbauende Datentransportschicht verwendet. UDP macht nur einen kleinen Teil der Überwindung von Paketverlusten bei Framehawk aus, was deutlich wird, wenn man seine Leistung mit der anderer UDP-basierter Protokolle vergleicht. Allerdings bildet UDP die Grundlage für die menschenorientierte Technik, die Framehawk von anderen Lösungen abhebt.

Wie viel Bandbreite benötigt Framehawk?

Die Bezeichnung Breitband-WLAN hängt von verschiedenen Faktoren ab, etwa der Zahl der Benutzer, die eine Verbindung teilen, der Qualität der Verbindung und der verwendeten Apps. Zur Erzielung einer optimalen Leistung empfiehlt Citrix einen Grundwert von 4 oder 5 MBit/s plus ca. 150 KBit/s pro gleichzeitig verbundenem Benutzer. 

Citrix empfiehlt für ThinWire generell eine Bandbreite von 1,5 MBit/s plus 150 KBit/s pro Benutzer (Details siehe Blog zu XenApp- und XenDesktop-Bandbreite), bei einem Paketverlust von 3 % benötigt ThinWire über TCP aber viel mehr Bandbreite als Framehawk, um eine gute Benutzererfahrung zu gewährleisten.

Hinweis: ThinWire ist weiterhin der Primärkanal für das Anzeigen-Remoting des ICA-Protokolls. Framehawk ist standardmäßig deaktiviert. Citrix empfiehlt die selektive Aktivierung für spezifische Breitband-WLAN-Szenarios in Ihrer Organisation. Denken Sie daran, dass Framehawk erheblich mehr Serverressourcen (CPU und Speicher) erfordert als ThinWire.

Framehawk und HDX 3D Pro

Framehawk unterstützt alle Anwendungsfälle von HDX 3D Pro für XenApp-Apps (Serverbetriebssystem) und XenDesktop-Apps (Desktopbetriebssystem). In frühen Previews wurden in Kundenumgebungen Latenzen von 400-500 ms und Paketverluste von 1-2 % gemessen, wodurch bei gebräuchlichen Anwendungen zur 3D-Modellierung (z. B. AutoCAD, Siemens NX) eine gute Interaktivität erzielt wird. Diese Unterstützung ermöglicht nun auch die Anzeige von und Arbeit an großen CAD-Modellen im mobilen Einsatz oder an entfernten Standorten mit schlechten Netzwerkverbindungen.(Organisationen, die 3D-Anwendungen über Langstrecken-Netzwerkverbindungen bereitstellen müssen, sollten den adaptiven Transport verwenden. Weitere Informationen finden Sie unter Adaptiver Transport.)

Zur Aktivierung dieser Funktion ist keine gesonderte Konfiguration erforderlich. Beim Installieren des VDAs wählen Sie die 3DPro-Option zu Beginn der Installation aus:

localized image

Mit dieser Auswahl wird von HDX der Videotreiber des GPU-Herstellers anstelle des Citrix Videotreibers sowie standardmäßig eine Vollbild-H.264-Codierung über ThinWire anstatt der normalerweise verwendeten Standardeinstellung (adaptive Anzeige mit selektiver H.264-Codierung) verwendet.

Anforderungen und Überlegungen

Framehawk erfordert mindestens VDA 7.6.300 und Gruppenrichtlinienverwaltung 7.6.300.

Auf dem Endpunkt muss mindestens Citrix Receiver für Windows 4.3.100 oder Citrix Receiver für iOS 6.0.1 ausgeführt werden.

Standardmäßig verwendet Framehawk den bidirektionalen UDP-Portbereich (3224-3324) zum Austausch von Framehawk-Anzeigekanaldaten mit Citrix Receiver. Dieser Bereich kann über die Richtlinieneinstellung "Portbereich für Framehawk-Anzeigekanal" angepasst werden. Jede einzelne Verbindung zwischen dem Client und dem virtuellen Desktop erfordert einen eigenen Port. In Betriebssystemumgebungen mit mehreren Benutzern (z. B. XenApp-Server) müssen Sie ausreichend Ports für die maximale Zahl gleichzeitiger Benutzersitzungen definieren. Bei Einzelbenutzer-Betriebssystemen wie etwa VDI-Desktops reicht ein UDP-Port. Framehawk versucht die Verwendung der Ports beginnend vom ersten bis zum letzten im angegebenen Bereich. Dies gilt sowohl für Verbindungen über NetScaler Gateway als auch für direkte interne Verbindungen mit dem StoreFront-Server.

Für den Remotezugriff muss NetScaler Gateway bereitgestellt sein. Standardmäßig verwendet NetScaler UDP-Port 443 für die verschlüsselte Kommunikation zwischen Citrix Receiver auf dem Client und dem Gateway. Dieser Port muss in allen externen Firewalls geöffnet sein, damit eine sichere Kommunikation in beide Richtungen möglich ist. Das Feature wird als "Datagram Transport Security" (DTLS) bezeichnet.

Hinweis: Framehawk-/DTLS-Verbindungen werden auf FIPS-Geräten nicht unterstützt.

Verschlüsselte Framehawk-Verbindungen werden unter NetScaler Gateway ab Version 11.0.62 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt. 

NetScaler mit hoher Verfügbarkeit wird von XenApp und XenDesktop 7.12 unterstützt.

Bei der Implementierung von Framehawk empfehlen sich folgende bewährte Methoden:

  • Vergewissern Sie sich beim Sicherheitsadministrator, dass die für Framehawk definierten UDP-Ports in der Firewall geöffnet sind. Die Firewall wird bei der Installation nicht automatisch konfiguriert.
  • In vielen Fällen ist NetScaler Gateway in der DMZ umgeben von einer externen und einer internen Firewall installiert. UDP-Port 443 muss in der externen Firewall geöffnet sein. Wenn die Standardportbereiche verwendet werden, muss der UDP-Portbereich 3224-3324 in der internen Firewall geöffnet sein.

Konfiguration

Achtung: Framehawk sollte nur für Benutzer aktiviert werden, bei denen ein hoher Paketverlust wahrscheinlich ist. Es wird außerdem empfohlen, Framehawk nicht als universelle Richtlinie für alle Objekte der Site zu aktivieren.

Framehawk ist standardmäßig deaktiviert. Wenn das Feature aktiviert ist, versucht der Server, Framehawk für die Grafiken und Eingaben der Benutzer zu verwenden. Sind die Voraussetzungen nicht erfüllt, wird die Verbindung im Standardmodus (ThinWire) hergestellt.

Die folgenden Richtlinieneinstellungen wirken sich auf Framehawk aus:

  • Framehawk-Anzeigekanal: aktiviert oder deaktiviert das Feature.
  • Portbereich für Framehawk-Anzeigekanal: Bereich der UDP-Portnummern (niedrigste Portnummer bis höchste Portnummer), die der VDA für den Austausch von Framehawk-Anzeigekanaldaten mit dem Benutzergerät verwendet. Der VDA versucht die Verwendung eines Ports, beginnend bei dem Port mit der niedrigsten Nummer und geht dann ggf. zu dem Port mit der nächsthöheren Nummer über. Über den Port erfolgen eingehende und ausgehende Datenübertragungen.

Öffnen von Ports für den Framehawk-Anzeigekanal

In XenApp und XenDesktop 7.8 gibt es eine Option zum Umkonfigurieren der Firewall im Schritt Features des VDA-Installationsprogramms. Über das zugehörige Kontrollkästchen werden die UDP-Ports 3224-3324 in der Windows-Firewall geöffnet. In folgenden Fällen ist eine manuelle Firewallkonfiguration erforderlich:

  • Es handelt sich um eine Netzwerkfirewall.
  • Der Standardportbereich wird angepasst.

Zum Öffnen der UDP-Ports aktivieren Sie das Kontrollkästchen Framehawk:

localized image

Sie können die UDP-Ports für Framehawk auch über die Befehlszeile durch Eingabe von /ENABLE_FRAMEHAWK_PORT öffnen:

localized image

Überprüfen der UDP-Portzuweisungen für Framehawk

Während der Installation können Sie die Framehawk zugewiesenen UDP-Ports im Bildschirm Firewall überprüfen:

localized image

Auf der Registerkarte Zusammenfassung wird angezeigt, ob Framehawk aktiviert ist:

localized image

NetScaler Gateway-Unterstützung für Framehawk

Verschlüsselter Framehawk-Datenverkehr wird unter NetScaler Gateway ab Version 11.0.62.10 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

  • NetScaler Gateway bezieht sich auf eine Bereitstellungsarchitektur, in der der virtuelle Gateway-VPN-Server direkt für das Gerät des Endbenutzers zugänglich ist, d. h. der virtuelle VPN-Server hat eine öffentliche IP-Adresse und der Benutzer stellt direkt eine Verbindung mit dieser IP-Adresse her.
  • NetScaler Unified Gateway bezieht sich auf eine Bereitstellung, in der der virtuelle Gateway-VPN-Server als Ziel an den virtuellen Content Switching-Server (CS) gebunden ist. In einer solchen Bereitstellung hat der virtuelle CS-Server die öffentliche IP-Adresse und der virtuelle Gateway-VPN-Server hat eine Pseudo-IP-Adresse.

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN--Server und dem Benutzergerät verschlüsselt. 

NetScaler Gateway, Unified Gateway und NetScaler Gateway + Global Server Load Balancing werden mit Framehawk unterstützt.

Folgendes wird mit Framehawk nicht unterstützt:

  • HDX Insight
  • NetScaler Gateway im IPv6-Modus
  • NetScaler Gateway-Double-Hop
  • NetScaler Gateway im Cluster
Szenario Unterstützung für Framehawk
NetScaler Gateway Ja
NetScaler Gateway und globaler Serverlastausgleich Ja
NetScaler mit Unified Gateway

Ja

Hinweis: Unified Gateway wird ab Version 11.0.64.34 unterstützt.

HDX Insight Nein
NetScaler Gateway im IPv6-Modus Nein
NetScaler Gateway-Double-Hop Nein
Mehrere Secure Ticket Authoritys (STA) für NetScaler Gateway Ja
NetScaler Gateway mit hoher Verfügbarkeit Ja
NetScaler Gateway im Cluster Nein

Konfigurieren der NetScaler-Unterstützung für Framehawk

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN--Server und dem Benutzergerät verschlüsselt. 

Diese Konfiguration ist erforderlich, wenn Sie die UDP-Verschlüsselung unter NetScaler Gateway für den Remotezugriff aktivieren. 

NetScaler-Unterstützung für Framehawk erfordert Folgendes:

  • UDP-Port 443 muss in der externen Firewall geöffnet sein.
  • CGP-Standardport 2598 muss in der externen Firewall geöffnet sein.
  • DTLS muss in den Einstellungen des virtuellen VPN-Servers aktiviert sein.
  • Lösen Sie die Bindung des SSL-Zertifikatschlüsselpaars und binden Sie es erneut. Dies ist nicht erforderlich, wenn Sie NetScaler ab Version 11.0.64.34 verwenden.

Konfigurieren der NetScaler Gateway-Unterstützung für Framehawk

  1. Stellen Sie NetScaler Gateway bereit und konfigurieren Sie es für die Kommunikation mit StoreFront und zur Authentifizierung der Benutzer von XenApp und XenDesktop.
  2. Erweitern Sie auf der Registerkarte "Configuration" von NetScaler die Option "NetScaler Gateway" und wählen Sie Virtual Servers.
  3. Klicken Sie auf Edit, um die Grundeinstellungen des virtuellen VPN-Servers anzuzeigen und prüfen Sie die DTLS-Einstellung.
  4. Klicken Sie auf More, um weitere Konfigurationsoptionen aufzurufen:
  5. Wählen Sie DTLS, um die Sicherheit für Datagramm-Protokolle wie Framehawk zu aktivieren. Klicken Sie auf OK. Im Bereich mit den Grundeinstellungen des virtuellen VPN-Servers wird das DTLS-Flag mit der Einstellung True angezeigt. 
  6. Öffnen Sie den Bildschirm "Server Certificate Binding" erneut und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  7. Wählen Sie das Zertifikatschlüsselpaar (s. oben) und dann Select.
  8. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  9. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  10. Ignorieren Sie Meldung "No usable ciphers configured on the SSL vserver/service", sofern sie angezeigt wird.

Zusätzliche Schritte bei älteren NetScaler Gateway-Versionen

Wenn Sie eine ältere Version als NetScaler Gateway 11.0.64.34 verwenden, gehen Sie folgendermaßen vor:

  1. Öffnen Sie den Bildschirm "Server Certificate Binding" erneut und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  2. Wählen Sie das Zertifikatschlüsselpaar (s. oben) und dann "Select".
  3. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  4. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf "Bind".
  5. Ignorieren Sie Meldung "No usable ciphers configured on the SSL vserver/service", sofern sie angezeigt wird.

Konfigurieren der Unified Gateway-Unterstützung für Framehawk

  1. Vergewissern Sie sich, dass Unified Gateway installiert und richtig konfiguriert ist. Weitere Informationen finden Sie auf der Website mit der Citrix Produktdokumentation unter Unified Gateway
  2. Aktivieren Sie DTLS im virtuellen VPN-Server, der an den virtuellen CS-Server als virtueller Zielserver gebunden ist.

Unterstützung für andere VPN-Produkte

NetScaler Gateway ist das einzige SSL VPN-Produkt, das die von Framehawk benötigte UDP-Verschlüsselung unterstützt. Die Framehawk-Richtlinie wird möglicherweise nicht angewendet, wenn ein anderes SSL-VPN oder eine falsche Version von NetScaler Gateway verwendet wird. Konventionelle IPSec VPNs-Produkte unterstützen Framehawk, ohne dass eine Modifizierung erforderlich ist.

Konfigurieren von Citrix Receiver für iOS zur Framehawk-Unterstützung

Zum Konfigurieren älterer Versionen von Citrix Receiver für iOS zur Framehawk-Unterstützung müssen Sie die Datei default.ica manuell bearbeiten.

  1. Öffnen Sie auf dem StoreFront-Server das App_Data-Verzeichnis im Pfad c:\inetpub\wwwroot\.
  2. Öffnen Sie die Datei default.ica und fügen Sie im Abschnitt "WFClient" die Zeile "Framehawk=On" hinzu.
  3. Speichern Sie die Änderung.

Damit können Framehawk-Sitzungen von kompatiblen Citrix Receiver-Instanzen auf iOS-Geräten hergestellt werden. Dieser Schritt ist nicht erforderlich, wenn Sie Citrix Receiver für Windows verwenden.

Hinweis

Ab Receiver für iOS 7.0 müssen Sie der Datei default.ica den Parameter Framehawk=On nicht explizit hinzufügen.

Überwachen von Framehawk

Sie können die Verwendung und Leistung von Framehawk über Citrix Director überwachen. Die Detailansicht für den virtuellen HDX-Kanal enthält nützliche Informationen zur Überwachung und Problembehandlung von Framehawk in jeder Sitzung. Zum Anzeigen von Zahlen für Framehawk wählen Sie Grafiken - Framehawk.

Wenn die Framehawk-Verbindung steht, wird auf der Detailseite Anbieter = VD3D und Verbunden = True angezeigt. Der Status "Im Leerlauf" des virtuellen Kanals ist normal, da er den Signalkanal überwacht, der nur beim ersten Handshake verwendet wird. Die Seite bietet auch andere nützliche Statistiken zu der Verbindung.

Wenn Probleme auftreten, besuchen Sie das Blog zur Problembehandlung bei Framehawk.