Citrix Virtual Apps and Desktops

HDX Direct (Technical Preview)

Lors de l’accès à des ressources fournies par Citrix, HDX Direct permet aux appareils clients d’établir une connexion directe sécurisée avec le VDA en l’absence d’obstacle.

Important :

HDX Direct est actuellement disponible en version Technical Preview. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.

Exigences

Les conditions requises pour utiliser HDX Direct sont les suivantes :

  • Plan de contrôle

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 ou version ultérieure
  • Virtual Delivery Agent (VDA)

    • Windows : version 2303 ou ultérieure
  • Application Workspace

    • Windows : version 2303 ou ultérieure
  • Niveau d’accès

    • Citrix Workspace
    • Citrix Gateway Service
    • NetScaler Gateway
  • Pare-feu

    • Machine VDA

      • TCP 443 entrant (ICA sur TCP)
      • UDP 443 entrant (ICA sur EDT)
    • Réseau

      Protocole Port Source Destination
      TCP 443 Client VDA
      UDP 443 Client VDA

Configuration

HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.

  • Autorisé : HDX Direct est activé et tente d’établir une connexion directe avec l’hôte de session lors d’une ouverture de session.
  • Interdit : paramètre par défaut. HDX Direct est désactivé et empêche le client de tenter de se connecter directement à l’hôte de session lorsqu’il est connecté via une passerelle.

Pour vérifier que HDX Direct a réussi à établir une connexion directe, utilisez l’utilitaire CtxSession.exe sur la machine VDA.

Pour utiliser l’utilitaire CtxSession.exe, lancez une invite de commandes ou PowerShell au sein de la session et exécutez ctxsession.exe. Si une connexion HDX Direct a été établie avec succès, vous verrez ce qui suit :

  • Protocole de transport :

    • UDP > DTLS > CGP > ICA (si vous utilisez EDT)
    • TCP > SSL > CGP > ICA (si vous utilisez TCP)
  • L’adresse distante et l’adresse du client sont identiques.

    Adresses distante et du client HDX Direct

Considérations

Les points suivants sont à prendre en compte lors de l’utilisation de HDX Direct :

  • Lorsque vous utilisez des machines non persistantes pour vos applications et bureaux virtuels, n’activez pas HDX Direct dans l’image maître/modèle afin d’éviter de générer des certificats pour la machine virtuelle (VM) principale.

Fonctionnement

HDX Direct permet aux clients d’établir une connexion directe avec l’hôte de session lorsqu’une communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, le chiffrement au niveau du réseau (TLS/DTLS) est utilisé pour les sécuriser, en s’appuyant sur des certificats autosignés.

Trois étapes couvrent différentes parties de la fonctionnalité : le pré-lancement, le lancement et le post-lancement.

Étape de pré-lancement

Il s’agit de la phase initiale qui couvre la création et la gestion des certificats. Ces tâches sont gérées par les services suivants sur la machine VDA. Ceux-ci sont configurés pour s’exécuter automatiquement au démarrage de la machine :

  • Service Citrix ClxMtp : responsable de la génération et de la rotation des certificats CA.
  • Service Citrix Certificate Manager : responsable de la génération et de la gestion du certificat CA racine autosigné, des clés des certificats de machine et des certificats de machine.

Voici un aperçu du processus de gestion des certificats :

  1. Les services sont lancés au démarrage de la machine.
  2. Le service Citrix ClxMtp crée des clés si aucune n’a déjà été créée.
  3. Le service Citrix Certificate Manager vérifie si HDX Direct est activé. Dans le cas contraire, le service s’arrête de lui-même.
  4. Si HDX Direct est activé, le service Citrix Certificate Manager vérifie si un certificat CA racine autosigné existe. Dans le cas contraire, un certificat racine autosigné est créé.
  5. Une fois qu’un certificat d’autorité de certification racine est disponible, le service Citrix Certificate Manager vérifie s’il existe un certificat de machine autosigné. Dans le cas contraire, le service génère des clés et crée un nouveau certificat à l’aide du nom de domaine complet de la machine.
  6. Si un certificat de machine existant a été créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au nom de domaine complet de la machine, un nouveau certificat est généré.

Remarque :

Le service Citrix Certificate Manager génère des certificats RSA qui exploitent des clés de 2 048 bits.

Étape de lancement

Pour établir correctement une connexion HDX Direct sécurisée, le client doit faire confiance aux certificats utilisés pour sécuriser la session. Pour cela, le VDA envoie au Broker ses informations de certificat lorsqu’une session est négociée. Le Broker envoie ensuite ces informations à Workspace pour les inclure dans le fichier ICA qui est envoyé au client pour lancer la session.

Étape post-lancement

Une fois qu’une session est négociée avec succès, elle est lancée. Voici un aperçu du processus de connexion HDX Direct :

Processus de connexion HDX Direct

  1. Le client établit une connexion avec le VDA via Gateway Service.
  2. Une fois la connexion établie, le VDA envoie le nom de domaine complet de la machine VDA et une liste de ses adresses IP au client.
  3. Le client analyse les adresses IP pour voir s’il peut accéder directement au VDA.
  4. Si le client est en mesure d’accéder directement au VDA avec l’une des adresses IP partagées, le client établit une connexion directe sécurisée avec le VDA.
  5. Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion et la connexion à Gateway Service prend fin.

Problèmes connus

Les problèmes connus liés à HDX Direct sont les suivants :

  • La connexion HDX Direct peut échouer lorsque Rendezvous est désactivé.
  • La connexion HDX Direct peut échouer lors du lancement de sessions à partir d’un site Citrix Virtual Apps and Desktops 2303 local.
  • L’application Workspace peut se bloquer si le VDA s’exécute sous Windows 11.
HDX Direct (Technical Preview)