Documentation produit

HDX™ Direct

May 31, 2026
Contributeur: 
C

Lors de l’accès aux ressources fournies par Citrix, HDX Direct permet aux périphériques clients internes et externes d’établir une connexion directe sécurisée avec l’hôte de session si une communication directe est possible.

Important :

HDX Direct pour les utilisateurs externes est actuellement en préversion. Cette fonctionnalité est fournie sans support et n’est pas encore recommandée pour une utilisation dans des environnements de production. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.

Configuration système requise

Voici la configuration système requise pour l’utilisation de HDX Direct :

  • Plan de contrôle

    • Citrix DaaS™
    • Citrix Virtual Apps and Desktops™ 2411 ou version ultérieure

  • Virtual Delivery Agent (VDA)

    • Windows : version 2411 ou ultérieure

  • Application Workspace

    • Windows : version 2409 ou ultérieure
    • Linux : version 2411 ou ultérieure
    • Mac : version 2411 ou ultérieure

  • Niveau d’accès

    • Citrix Workspace™ avec Citrix Gateway Service
    • Citrix Workspace avec NetScaler® Gateway

  • Autre

    • Le transport adaptatif doit être activé pour les connexions directes externes

Exigences réseau

Voici les exigences réseau pour l’utilisation de HDX Direct.

Hôtes de session

Si vos hôtes de session disposent d’un pare-feu tel que le Pare-feu Windows Defender, vous devez autoriser le trafic entrant suivant pour les connexions internes.

Description Source Protocole Port
Connexion interne directe Client TCP 443
Connexion interne directe Client UDP 443

Remarque :

L’installateur VDA ajoute les règles entrantes appropriées au pare-feu Windows Defender. Si vous utilisez un pare-feu différent, vous devez ajouter les règles ci-dessus.

Réseau client

Le tableau suivant décrit le réseau client pour les utilisateurs internes et externes.

Utilisateurs internes

Description Protocole Source Port source Destination Port de destination
Connexion interne directe TCP Réseau client 1024–65535 Réseau VDA 443
Connexion interne directe UDP Réseau client 1024–65535 Réseau VDA 443

Utilisateurs externes

Description Protocole Source Port source Destination Port de destination
STUN (utilisateurs externes uniquement) UDP Réseau client 1024–65535 Internet (voir la note ci-dessous) 3478, 19302
Connexion utilisateur externe UDP Réseau client 1024–65535 Adresse IP publique du centre de données 1024–65535

Réseau du centre de données

Le tableau suivant décrit le réseau du centre de données pour les utilisateurs internes et externes.

Utilisateurs internes

Description Protocole Source Port source Destination Port de destination
Connexion interne directe TCP Réseau client 1024–65535 Réseau VDA 443
Connexion interne directe UDP Réseau client 1024–65535 Réseau VDA 443

Utilisateurs externes

Description Protocole Source Port source Destination Port de destination
STUN (utilisateurs externes uniquement) UDP Réseau VDA 1024–65535 Internet (voir la note ci-dessous) 3478, 19302
Connexion utilisateur externe UDP DMZ / Réseau interne 1024–65535 Réseau VDA 55000–55250
Connexion utilisateur externe UDP Réseau VDA 55000–55250 Adresse IP publique du client 1024–65535

Remarque :

Le VDA et l’application Workspace tentent d’envoyer des requêtes STUN aux serveurs suivants, dans le même ordre :

  • stun.cloud.com:3478
  • stun.cloudflare.com:3478
  • stun.l.google.com:19302

Si vous modifiez la plage de ports par défaut pour les connexions utilisateur externes à l’aide du paramètre de stratégie Plage de ports HDX Direct, les règles de pare-feu correspondantes doivent correspondre à votre plage de ports personnalisée.

Configuration

HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.

  • HDX Direct : Pour activer ou désactiver une fonctionnalité.
  • Mode HDX Direct : Détermine si HDX Direct est disponible uniquement pour les clients internes ou pour les clients internes et externes.
  • Plage de ports HDX Direct : Définit la plage de ports que le VDA utilise pour les connexions provenant de clients externes.

Considérations

Voici les considérations relatives à l’utilisation de HDX Direct :

  • HDX Direct pour les utilisateurs externes est uniquement disponible avec EDT (UDP) comme protocole de transport. Par conséquent, le transport adaptatif doit être activé.
  • Si vous utilisez HDX Insight, notez que l’utilisation de HDX Direct empêche la collecte de données HDX Insight, car la session ne serait plus acheminée via NetScaler Gateway.
  • Lorsque vous utilisez des machines non persistantes pour vos applications et bureaux virtuels, Citrix recommande d’activer HDX Direct sur les hôtes de session plutôt que dans l’image principale/modèle afin que chaque machine génère ses propres certificats.
  • L’utilisation de vos propres certificats avec HDX Direct n’est pas prise en charge actuellement.

Fonctionnement

HDX Direct permet aux clients d’établir une connexion directe avec l’hôte de session lorsque la communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, des certificats auto-signés sont utilisés pour sécuriser la connexion directe avec un chiffrement au niveau du réseau (TLS/DTLS).

Utilisateurs internes

Le diagramme suivant présente un aperçu du processus de connexion HDX Direct pour les utilisateurs internes.

Présentation de HDX Direct

  1. Le client établit une session HDX via le service Gateway.
  2. Une fois la connexion établie, le VDA envoie au client le FQDN de la machine VDA, une liste de ses adresses IP et le certificat de la machine VDA via la connexion HDX.
  3. Le client sonde les adresses IP pour vérifier s’il peut atteindre le VDA directement.
  4. Si le client peut atteindre le VDA directement avec l’une des adresses IP partagées, il établit une connexion directe avec le VDA, sécurisée par (D)TLS à l’aide d’un certificat correspondant à celui échangé à l’étape (2).
  5. Une fois la connexion directe établie avec succès, la session est transférée vers la nouvelle connexion, et la connexion au service Gateway est terminée.

Remarque :

Après avoir établi la connexion à l’étape 2, ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’interfèrent avec la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via la passerelle est maintenue sans interrompre la session de l’utilisateur.

Utilisateurs externes

Le diagramme suivant présente un aperçu du processus de connexion HDX Direct pour les utilisateurs externes :

Processus de connexion HDX Direct

  1. Le client établit une session HDX via le service Gateway.
  2. Après une connexion réussie, le client et le VDA envoient une requête STUN pour découvrir leurs adresses IP publiques et leurs ports.
  3. Le serveur STUN répond au client et au VDA avec leurs adresses IP publiques et leurs ports correspondants.
  4. Via la connexion HDX, le client et le VDA échangent leurs adresses IP publiques et leurs ports UDP, et le VDA envoie son certificat au client.
  5. Le VDA envoie des paquets UDP à l’adresse IP publique et au port UDP du client. Le client envoie des paquets UDP à l’adresse IP publique et au port UDP du VDA.
  6. Dès réception d’un message du VDA, le client répond par une demande de connexion sécurisée.
  7. Pendant l’établissement de liaison DTLS, le client vérifie que le certificat correspond au certificat échangé à l’étape (4). Après validation, le client envoie son jeton d’autorisation. Une connexion directe sécurisée est maintenant établie.
  8. Une fois la connexion directe établie avec succès, la session est transférée vers la nouvelle connexion, et la connexion au service Gateway est terminée.

Remarque :

Une fois la connexion établie à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’interfèrent avec la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via la passerelle est maintenue sans interrompre la session de l’utilisateur.

Gestion des certificats

Hôte de session

Les deux services suivants sur la machine VDA gèrent la création et la gestion des certificats, et sont tous deux configurés pour s’exécuter automatiquement au démarrage de la machine :

  • Citrix ClxMtp Service : Responsable de la génération et de la rotation des clés de certificat d’autorité de certification.
  • Citrix Certificate Manager Service : Responsable de la génération et de la gestion du certificat d’autorité de certification racine auto-signé et des certificats machine.

Les étapes suivantes décrivent le processus de gestion des certificats :

  1. Les services démarrent au démarrage de la machine.
  2. Citrix ClxMtp Service crée des clés si aucune n’a déjà été créée.
  3. Le service Citrix Certificate Manager vérifie si HDX Direct est activé. Si ce n’est pas le cas, le service s’arrête.
  4. Si HDX Direct est activé, le service Citrix Certificate Manager vérifie si un certificat d’autorité de certification racine auto-signé existe. Si ce n’est pas le cas, un certificat racine auto-signé est créé.
  5. Une fois qu’un certificat d’autorité de certification racine est disponible, le service Citrix Certificate Manager vérifie si un certificat machine auto-signé existe. Si ce n’est pas le cas, le service génère des clés et crée un nouveau certificat en utilisant le FQDN de la machine.
  6. S’il existe un certificat machine créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au FQDN de la machine, un nouveau certificat est généré.

Remarque :

Le service Citrix Certificate Manager génère des certificats RSA qui utilisent des clés de 2048 bits.

Appareil client

Pour établir avec succès une connexion HDX Direct sécurisée, le client doit faire confiance aux certificats utilisés pour sécuriser la session. Pour ce faire, le client reçoit le certificat d’autorité de certification pour la session via le fichier ICA® (fourni par Workspace), il n’est donc pas nécessaire de distribuer les certificats d’autorité de certification aux magasins de certificats des appareils clients.

HDX™ Direct
May 31, 2026
Contributeur: 
C
May 31, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.