Citrix Virtual Apps and Desktops

HDX Direct(Tech Preview)

Citrixが提供するリソースにアクセスする場合、HDX Directを使用すると、クライアントデバイスはVDAとのセキュアな直接接続を確立できます(直接接続が使用可能な場合)。

重要:

HDX Directは現在、Tech Preview段階にあります。フィードバックを送信したり、問題を報告したりする場合は、このフォームを使用してください。

要件

HDX Directを使用するための要件は次のとおりです:

  • コントロールプレーン

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303以降
  • Virtual Delivery Agent(VDA)

    • Windows:バージョン2303以降
  • Workspaceアプリ

    • Windows:バージョン2303以降
  • アクセス層

    • Citrix Workspace
    • Citrix Gatewayサービス
    • NetScaler Gateway
  • ファイアウォール

    • VDAマシン

      • TCP 443受信(ICA over TCP)
      • UDP 443受信(ICA over EDT)
    • ネットワーク

      Protocol ポート 接続元 接続先
      TCP 443 Client VDA
      UDP 443 Client VDA

構成

デフォルトでは、HDX Directは無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。

  • 許可:HDX Directが有効になっており、セッションが接続されると、セッションホストへの直接接続を確立しようとします。
  • 禁止:デフォルト設定。HDX Directが無効になり、クライアントがGateway経由で接続されているときに、セッションホストに直接接続しようとするのを防ぎます。

HDX Directが直接接続を正常に確立したことを確認する場合は、VDAマシンでCtxSession.exeユーティリティを使用します。

CtxSession.exeユーティリティを使用するには、セッション内でコマンドプロンプトまたはPowerShellを起動し、「ctxsession.exe -v」を実行します。HDX Direct接続が正常に確立されると、次のように表示されます:

  • トランスポートプロトコル

    • UDP > DTLS > CGP > ICA(EDTを使用する場合)
    • TCP > SSL > CGP > ICA(TCPを使用する場合)
  • リモートアドレスとクライアントアドレスが同じです

    HDX Directのリモートおよびクライアントアドレス

注意事項

HDX Directを使用するための注意事項は次のとおりです:

  • 仮想アプリとデスクトップに非永続的マシンを使用する場合は、マスター/テンプレートイメージでHDX Directを有効にしないでください。これで、マスター仮想マシン(VM)の証明書を生成しないようにすることができます。

機能

HDX Directを使用すると、直接通信が利用できる場合、クライアントはセッションホストへの直接接続を確立できます。HDX Directで直接接続を行うと、それらを保護するために、自己署名証明書を活用したネットワークレベルの暗号化(TLS/DTLS)が使用されます。

この機能のさまざまな部分はすべて次の3つの段階に含まれます。起動前、起動、起動後です。

起動前段階

これは、証明書の作成と管理を扱う初期段階です。これらのタスクは、VDAマシン上の次のサービスによって処理されます。どちらも、マシンの起動時に自動的に実行されるように設定されています:

  • Citrix ClxMtpサービス:CA証明書の生成とローテーションを担当します。
  • Citrix Certificate Managerサービス:自己署名のルートCA証明書、マシン証明書のキー、およびマシン証明書の生成と管理を担当します。

以下は、証明書管理プロセスの概要です:

  1. サービスは、マシンの起動時に開始されます。
  2. Citrix ClxMtpサービスは、キーがまだ作成されていない場合、キーを作成します。
  3. Citrix Certificate Managerサービスは、HDX Directが有効になっているかどうかを確認します。有効になっていない場合、サービスは自動的に停止します。
  4. HDX Directが有効になっていると、Citrix Certificate Managerサービスは、自己署名のルートCA証明書が存在するかを確認します。存在しない場合は、自己署名のルート証明書が作成されます。
  5. ルートCA証明書が使用できるようになると、Citrix Certificate Managerサービスは、自己署名のマシン証明書が存在するかを確認します。存在しない場合は、サービスはキーを生成し、マシンのFQDNを使用して新しい証明書を作成します。
  6. Citrix Certificate Managerサービスによって作成された既存のマシン証明書があり、サブジェクト名がマシンのFQDNと一致しない場合、新しい証明書が生成されます。

注:

Citrix Certificate Managerサービスは、2048ビットキーを利用するRSA証明書を生成します。

起動段階

セキュアなHDX Direct接続を正常に確立するには、クライアントはセッションの保護に使用される証明書を信頼する必要があります。これを容易にするために、VDAはセッションが仲介されているときにブローカーに証明書情報を送信します。その後、ブローカーはこの情報をWorkspaceに送信して、セッションを開始するためにクライアントに送信されるICAファイルに追加します。

起動後段階

セッションが正常に仲介されると、セッションが開始されます。以下は、HDX Direct接続プロセスの概要です:

HDX Direct接続プロセス

  1. クライアントは、Gatewayサービス経由でVDAへの直接接続を確立します。
  2. 接続が成功すると、VDAはVDAマシンのFQDNとそのIPアドレスの一覧をクライアントに送信します。
  3. クライアントはIPアドレスをプローブして、VDAに直接アクセスできるかどうかを確認します。
  4. クライアントがいずれかの共有IPアドレスを使用してVDAに直接アクセスできる場合、クライアントはVDAとの安全な直接接続を確立します。
  5. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gatewayサービスへの接続が終了します。

既知の問題

HDX Directの既知の問題は次のとおりです:

  • ランデブーが無効になっていると、HDX Direct接続が失敗することがあります。
  • オンプレミスのCitrix Virtual Apps and Desktops 2303サイトからセッションを起動すると、HDX Direct接続が失敗することがあります。
  • VDAがWindows 11で実行されている場合、Workspaceアプリがクラッシュすることがあります。
HDX Direct(Tech Preview)