XenApp and XenDesktop

Framehawk

Framehawk est une technologie de communication à distance d’écran pour les travailleurs mobiles via des connexions sans fil haut débit (réseaux cellulaires Wi-Fi et 4G/LTE). Framehawk aide à résoudre les problèmes d’interférence spectrale et de propagation à trajets multiples, proposant une expérience fluide et interactive aux utilisateurs d’applications et de bureaux virtuels. Framehawk peut être une solution idéale pour les utilisateurs sur connexions réseau longue distance à haut débit (à latence élevée) où une petite quantité de perte de paquets peut dégrader l’expérience de l’utilisateur. Nous vous suggérons d’utiliser le transport adaptatif pour ce scénario ; pour plus d’informations, consultez la section Transport adaptatif.

Vous pouvez utiliser les modèles de stratégie Citrix pour mettre en œuvre Framehawk pour un ensemble d’utilisateurs et de scénarios d’accès de manière appropriée pour votre organisation. Framehawk cible les configurations à écran unique telles que les ordinateurs portables et les tablettes. Utilisez Framehawk lorsque l’importance de performances interactives en temps réel justifie les coûts supplémentaires en ressources serveur et le besoin d’une connexion haut débit.

Comment Framehawk assure une expérience utilisateur fluide

Imaginez Framehawk comme une implémentation logicielle de l’œil humain, observant ce qui se trouve dans le tampon de trame et identifiant les différents types de contenu sur l’écran. Qu’est-ce qui est important pour l’utilisateur ? Pour les zones de l’écran qui changent rapidement, comme les vidéos ou les graphiques animés, il n’est pas très important pour l’œil humain que quelques pixels se perdent, car ils sont rapidement remplacés par de nouvelles données.

Toutefois, pour les zones statiques de l’écran, telles que les icônes dans la barre d’outils ou la zone de notification ou un texte qui s’affiche après défilement par l’utilisateur pour atteindre son point de lecture, l’œil humain est très exigeant. Un utilisateur attend une perfection au pixel près. À l’inverse des protocoles qui recherchent la précision technique, Framehawk vise à s’adapter à l’être humain utilisant la technologie.

Framehawk comprend un amplificateur de signal (QoS) nouvelle génération ainsi qu’une carte thermique temporelle pour une identification plus précise et plus efficace des charges de travail. Il utilise des transformations autonomiques à réparation spontanée en plus de la compression de données, et évite la retransmission des données pour maintenir une réponse rapide aux clics, la linéarité et une cadence régulière. Sur une connexion réseau avec perte, Framehawk peut masquer la perte avec une interpolation, permettant à l’utilisateur de continuer à percevoir une bonne qualité d’image tout en bénéficiant d’une expérience plus fluide. En outre, les algorithmes Framehawk peuvent faire la distinction entre les différents types de perte de paquets. Par exemple, perte aléatoire (envoi de données supplémentaires pour compenser) ou perte avec congestion (arrêt de l’envoi de données, car le canal est déjà saturé).

Le moteur Framehawk Intent Engine dans Citrix Receiver fait la distinction entre le défilement vers le haut ou vers le bas, le zoom, le déplacement vers la gauche ou vers la droite, la lecture, la saisie et autres actions courantes. Le moteur gère également les communications vers le Virtual Delivery Agent (VDA) à l’aide d’un dictionnaire partagé. Si l’utilisateur lit un texte, la qualité visuelle du texte doit être excellente. Si l’utilisateur fait défiler l’écran, le mouvement doit être rapide et fluide. Par ailleurs, il doit pouvoir être interrompu, de façon à ce que l’utilisateur puisse constamment contrôler l’interaction avec l’application ou le bureau.

En mesurant la cadence sur la connexion réseau (engrenage, par analogie avec la tension d’une chaîne de vélo), la logique de Framehawk réagit plus rapidement, offrant une expérience supérieure sur des connexions à latence élevée. Ce système d’engrenage unique et breveté offre un retour permanent sur les conditions du réseau, ce qui permet à Framehawk de réagir immédiatement aux changements de bande passante, à la latence et à la perte de données.

Considérations relatives à la conception avec Thinwire et Framehawk

Bien que Thinwire soit leader du secteur en termes d’efficacité de bande passante et soit adapté à un large éventail de scénarios d’accès et de conditions de réseau, il utilise TCP pour des communications de données fiables. Par conséquent, il doit retransmettre les données en cas de réseau avec perte ou saturé, entraînant un décalage pour l’utilisateur. Thinwire sur une couche Enlightened Data Transport (EDT) est disponible ; cette solution résout les limitations de TCP sur des connexions réseau à latence élevée.

Framehawk utilise une couche de transport de données fondée sur UDP. UDP ne représente qu’une petite partie de la façon dont Framehawk traite les problèmes de perte, comme vous pouvez le voir en comparant les performances de Framehawk avec d’autres protocoles basés sur UDP. UDP joue un rôle fondamental pour les techniques centrées sur l’être humain qui distinguent Framehawk du reste.

Quelle quantité de bande passante est requise par Framehawk ?

Une connexion sans fil haut débit repose sur plusieurs facteurs, y compris le nombre d’utilisateurs qui partagent la connexion, la qualité de la connexion et les applications en cours d’utilisation. Pour des performances optimales, Citrix suggère une configuration de base de 4 ou 5 Mbits/s ainsi que 150 Kbits/s par utilisateur.

Pour Thinwire, nous recommandons une bande passante de 1,5 Mbits/s ainsi que 150 Kbits/s par utilisateur. Pour plus d’informations, veuillez consulter le blog sur la bande passante XenApp et XenDesktop. Avec une perte de paquets de 3 %, vous remarquerez que Thinwire requiert beaucoup plus de bande passante que Framehawk pour garantir une expérience utilisateur positive.

Thinwire reste le canal de communication à distance d’écran principal dans le protocole ICA. Framehawk est désactivé par défaut. Citrix recommande de l’activer pour répondre aux scénarios d’accès sans fil haut débit dans votre organisation. N’oubliez pas que Framehawk requiert beaucoup plus de ressources serveur (UC et mémoire) que Thinwire.

Framehawk et HDX 3D Pro

Framehawk prend en charge tous les cas d’utilisation de HDX 3D Pro, pour XenApp (OS de serveur) et XenDesktop (OS de bureau). Il a été validé dans des environnements client avec 400-500 ms de latence et 1-2 % de perte de paquets, offrant par conséquent une bonne interactivité avec des applications de modélisation 3D standard telles que AutoCAD, Siemens NX et autres. Cette prise en charge améliore la capacité d’afficher et de manipuler des modèles CAD de grande taille en déplacement ou en cas de travail délocalisé ou de conditions de réseau insatisfaisantes. (Les organisations devant mettre à disposition des applications 3D sur des connexions réseau longue distance sont encouragées à utiliser le transport adaptatif. Pour plus d’informations, consultez la section Transport adaptatif.

L’activation de cette fonctionnalité ne nécessite pas de tâches de configuration supplémentaires. Lors de l’installation du VDA, sélectionnez l’option 3DPro au début de l’installation :

HDX 3D Pro

Avec cette sélection, HDX utilise le pilote vidéo du fournisseur de GPU plutôt que le pilote vidéo Citrix. Il se règle par défaut sur l’encodage H.264 plein écran via Thinwire plutôt que sur l’affichage adaptatif par défaut habituel avec encodage H.264 sélectif.

Configuration requise et considérations

Framehawk requiert au minimum VDA 7.6.300 et Gestion de stratégie de groupe 7.6.300.

Le point de terminaison doit disposer au minimum de Citrix Receiver pour Windows 4.3.100 ou Citrix Receiver pour iOS 6.0.1.

Par défaut, Framehawk utilise un port UDP bidirectionnel (3224-3324) pour échanger des données de canal d’affichage Framehawk à l’aide de Citrix Receiver. La plage peut être personnalisée dans un paramètre de stratégie appelé Plage de ports du canal d’affichage Framehawk. Chaque connexion simultanée entre le client et le bureau virtuel requiert un port unique. Dans les environnements de système d’exploitation multi-utilisateurs, tels que les serveurs XenApp, définissez suffisamment de ports pour prendre en charge le nombre maximal de sessions utilisateur simultanées. Pour un système d’exploitation à utilisateur unique, tels que les bureaux VDI, il suffit de définir un port UDP unique. Framehawk tente d’abord d’utiliser le premier port défini et progresse jusqu’au dernier port spécifié dans la plage. Ce comportement s’applique à la fois à la communication via NetScaler Gateway et aux connexions internes directes vers le serveur StoreFront.

Pour l’accès à distance, NetScaler Gateway doit être déployé. Par défaut, NetScaler utilise le port UDP 443 pour les communications cryptées entre les Citrix Receiver du client et Gateway. Ce port doit être ouvert sur les pare-feu externes pour permettre les communications sécurisées dans les deux sens. La fonctionnalité est appelée Datagram Transport Security (DTLS).

Remarque :

Les connexions Framehawk/DTLS ne sont pas prises en charge sur les boîtiers FIPS.

Les connexions Framehawk chiffrées sont prises en charge, depuis NetScaler Gateway version 11.0.62 et NetScaler Unified Gateway version 11.0.64.34 ou version ultérieure.

NetScaler High Availability (HA) est pris en charge depuis XenApp et XenDesktop 7.12.

Tenez compte des recommandations suivantes avant la mise en place de Framehawk :

  • Contactez votre administrateur de sécurité pour vérifier que les ports UDP définis pour Framehawk sont bien ouverts sur le pare-feu. Le processus d’installation ne configure pas automatiquement le pare-feu.
  • NetScaler Gateway peut être installé dans la DMZ, entouré de pare-feu du côté externe ainsi que du côté interne. S’assurer que le port UDP 443 est ouvert sur le pare-feu externe Assurez-vous que les ports UDP 3224-3324 sont ouverts sur le pare-feu interne si votre environnement utilise les plages de port par défaut.

Configuration

Attention :

Citrix vous recommande d’activer Framehawk uniquement pour les utilisateurs qui sont susceptibles de rencontrer une perte importante de paquets. Nous vous recommandons de ne pas activer Framehawk en tant que stratégie universelle pour tous les objets du site.

Framehawk est désactivé par défaut. Lorsque cette option est activée, le serveur tente d’utiliser Framehawk pour les graphiques et la saisie. Si les conditions requises ne sont pas réunies pour quelque raison que ce soit, la connexion est établie à l’aide du mode par défaut (Thinwire).

Les paramètres de stratégie suivants affectent Framehawk :

  • Canal d’affichage Framehawk : active ou désactive la fonctionnalité.
  • Plage de ports du canal d’affichage Framehawk : spécifie la plage de numéros de port UDP (le numéro de port le plus bas vers le plus élevé) que le VDA peut utiliser pour échanger les données de canal d’affichage Framehawk avec la machine utilisateur. Le VDA tente d’utiliser chaque port, en commençant par le numéro de port le plus bas et en remontant pour chaque tentative. Le port gère le trafic entrant et sortant.

Ouverture de ports pour le canal d’affichage Framehawk

Dans XenApp et XenDesktop 7.8, vous pouvez choisir de reconfigurer le pare-feu lors de l’étape Fonctionnalités du programme d’installation du VDA. Cette case à cocher ouvre les ports UDP 3224-3324 sur le pare-feu Windows, si elle est sélectionnée. La configuration manuelle des pare-feux est requise dans certaines circonstances :

  • pour les pare-feux de réseau
    ou
  • si la plage de ports par défaut est personnalisée.

Pour ouvrir ces ports UDP, sélectionnez la case à cocher Framehawk :

ouvrir les ports UDP

Vous pouvez également utiliser la ligne de commande pour ouvrir les ports UDP pour Framehawk à l’aide de /ENABLE_FRAMEHAWK_PORT :

ouvrir les ports FH

Vérification des attributions de port UDP Framehawk

Lors de l’installation, vous pouvez vérifier les ports UDP attribués à Framehawk dans l’écran Pare-feu :

ports UDP par défaut

L’écran Résumé indique si la fonctionnalité de Framehawk est activée :

écran résumé FH

Prise en charge de NetScaler Gateway pour Framehawk

Le trafic Framehawk crypté est pris en charge sur NetScaler Gateway 11.0.62.10 ou version ultérieure, et NetScaler Unified Gateway 11.0.64.34 ou version ultérieure.

  • NetScaler Gateway fait référence à l’architecture de déploiement dans laquelle le VPN vServer de passerelle est directement accessible depuis la machine cliente. Une adresse IP publique est attribuée au VPN vServer et l’utilisateur se connecte directement à cette adresse IP.
  • NetScaler avec Unified Gateway fait référence au déploiement dans lequel le VPN vServer de passerelle est lié en tant que cible au vServer de basculement du contenu (CS). Dans ce déploiement, CS vServer dispose de l’adresse de protocole Internet public et le VPN vServer de passerelle dispose d’une adresse de protocole Internet fictive.

Pour activer la prise en charge de Framehawk sur NetScaler Gateway, le paramètre DTLS au niveau du vServer VPN de passerelle doit être activé. Une fois que ce paramètre est activé et que les composants sur XenApp ou XenDesktop sont mis à jour correctement, le trafic audio, vidéo et interactif Framehawk est crypté entre le VPN vServer de passerelle et la machine utilisateur.

NetScaler Gateway, Unified Gateway et NetScaler Gateway + équilibrage de charge de serveur global sont pris en charge avec Framehawk.

Les scénarios suivants ne sont pas pris en charge avec Framehawk :

  • HDX Insight
  • NetScaler Gateway en mode IPv6
  • NetScaler Gateway Double Hop
  • NetScaler Gateway avec la configuration en cluster
Scénario Prise en charge de Framehawk
NetScaler Gateway Oui
NetScaler + équilibrage de charge de serveur global Oui
NetScaler avec Unified Gateway Oui. Remarque : Unified Gateway version 11.0.64.34 et supérieure est prise en charge.
HDX Insight Non
NetScaler Gateway en mode IPv6 Non
NetScaler Gateway Double Hop Non
Plusieurs Secure Ticket Authority sur NetScaler Gateway Oui
NetScaler Gateway et haute disponibilité Oui
NetScaler Gateway et la configuration en cluster Non

Configuration de NetScaler pour la prise en charge de Framehawk

Pour activer la prise en charge de Framehawk sur NetScaler Gateway, activez le paramètre DTLS au niveau du *vServer* VPN de passerelle. Une fois que ce paramètre est activé et que les composants sur XenApp ou XenDesktop sont mis à jour correctement, le trafic audio, vidéo et interactif Framehawk est crypté entre le VPN vServer de passerelle et la machine utilisateur.

Cette configuration est nécessaire si vous activez le cryptage UDP sur NetScaler Gateway pour l’accès distant.

Lors de la configuration de NetScaler pour la prise en charge de Framehawk :

  • S’assurer que le port UDP 443 est ouvert sur les pare-feu externes
  • S’assurer que le port CGP (par défaut 2598) est ouvert sur les pare-feu externes
  • Activer DTLS dans les paramètres pour le serveur virtuel VPN
  • Annuler puis rétablir la liaison de la paire cert-clé SSL. Cette étape n’est pas obligatoire si vous utilisez NetScaler version 11.0.64.34 ou version ultérieure.

Pour configurer NetScaler Gateway pour la prise en charge de Framehawk :

  1. Déployez et configurez NetScaler Gateway pour communiquer avec StoreFront et authentifier les utilisateurs pour XenApp et XenDesktop.
  2. Dans l’onglet de configuration NetScaler, développez NetScaler Gateway et sélectionnez Serveurs virtuels.
  3. Cliquez sur Modifier pour afficher les paramètres de base pour le serveur virtuel VPN ; vérifiez l’état du paramètre DTLS.
  4. Cliquez sur Plus pour afficher d’autres options de configuration :
  5. Sélectionnez DTLS pour assurer la sécurité des communications pour les protocoles UDP tels que Framehawk. Cliquez sur OK. La zone Paramètres de base du serveur virtuel VPN indique que l’indicateur DTLS est défini sur True.
  6. Ouvrez de nouveau l’écran Server Certificate Binding et cliquez sur + pour lier la paire de clés de certificat.
  7. Choisissez la paire de clés de certificat requise et cliquez sur Select.
  8. Enregistrez les modifications apportées à la liaison du certificat du serveur.
  9. Après l’enregistrement, la paire de clés de certificat s’affiche. Cliquez sur Bind.
  10. Ignorez le message No usable ciphers configured on the SSL vserver/service s’il s’affiche.

Étapes pour les anciennes versions de NetScaler Gateway

Si vous utilisez une version de NetScaler Gateway antérieure à 11.0.64.34 :

  1. Ouvrez de nouveau l’écran Server Certificate Binding et cliquez sur + pour lier la paire de clés de certificat.
  2. Choisissez la paire de clés de certificat requise et cliquez sur Select.
  3. Enregistrez les modifications apportées à la liaison du certificat du serveur.
  4. Après l’enregistrement, la paire de clés de certificat s’affiche. Cliquez sur Bind.
  5. Ignorez le message No usable ciphers configured on the SSL vserver/service s’il s’affiche.

Pour configurer Unified Gateway pour la prise en charge de Framehawk :

  1. Assurez-vous que Unified Gateway est installé et correctement configuré. Pour de plus amples informations, reportez-vous à la section Unified Gateway sur le site de documentation des produits Citrix.
  2. Activez le paramètre DTLS sur le vServer VPN qui est lié au vServer CS en tant que vServer cible.

Limitations

S’il existe des entrées DNS périmées pour le serveur virtuel NetScaler Gateway sur la machine cliente, le transport adaptatif et Framehawk peuvent revenir au transport TCP au lieu du transport UDP. En cas de retour vers le transport TCP, purgez le cache DNS sur le client et reconnectez pour établir la session à l’aide du transport UDP.

Prise en charge d’autres produits VPN

NetScaler Gateway est le seul produit VPN SSL qui prend en charge le cryptage UDP requis par Framehawk. Si un autre VPN SSL ou une version incorrecte de NetScaler Gateway est utilisé(e), la stratégie Framehawk peut ne pas s’appliquer. Les produits VPN IPsec traditionnels prennent en charge Framehawk sans nécessiter de modifications.

Configurer Citrix Receiver pour iOS pour la prise en charge de Framehawk

Pour configurer les anciennes versions de Citrix Receiver pour iOS pour la prise en charge de Framehawk, vous devez manuellement modifier default.ica.

  1. Sur le serveur StoreFront, accédez au répertoire App_Data de votre magasin dans c:\inetpub\wwwroot\.
  2. Ouvrez le fichier default.ica et ajoutez la ligne suivante dans la section WFClient : Framehawk=On
  3. Enregistrez les modifications.

Cette procédure permet aux sessions Framehawk d’être établies depuis un Citrix Receiver compatible sur des appareils iOS. Cette étape n’est pas nécessaire si vous utilisez Citrix Receiver pour Windows.

Remarque :

Lors de l’utilisation de Citrix Receiver pour iOS version 7.0 et versions ultérieures, vous n’avez pas à ajouter explicitement le paramètre Framehawk=On dans le fichier default.ica.

Contrôle de Framehawk

Vous pouvez contrôler l’utilisation et les performances de Framehawk depuis Citrix Director. La vue Détails du canal virtuel HDX contient des informations utiles pour la résolution des problèmes et le contrôle de Framehawk dans une session. Pour afficher les statistiques concernant Framehawk, sélectionnez Graphiques - Framehawk.

Si la connexion avec Framehawk est établie, vous voyez Provider=VD3D et Connected=True dans la page des détails. Il est normal que l’état du canal virtuel soit inactif car il surveille le canal de signalisation, qui est uniquement utilisé durant la négociation initiale. Cette page fournit également d’autres statistiques utiles relatives à la connexion.

Si vous rencontrez des problèmes, consultez le blog de résolution des problèmes Framehawk.