Documentação de produtos

HDX™ Direct

May 31, 2026
Contribuição de: 
C

Ao acessar recursos fornecidos pela Citrix, o HDX Direct permite que dispositivos cliente internos e externos estabeleçam uma conexão direta segura com o host da sessão se a comunicação direta for possível.

Importante:

O HDX Direct para usuários externos está atualmente em pré-visualização. Este recurso é fornecido sem suporte e ainda não é recomendado para uso em ambientes de produção. Para enviar feedback ou relatar problemas, use este formulário.

Requisitos do sistema

A seguir estão os requisitos do sistema para usar o HDX Direct:

  • Plano de controle

    • Citrix DaaS™
    • Citrix Virtual Apps and Desktops™ 2411 ou posterior

  • Virtual Delivery Agent (VDA)

    • Windows: versão 2411 ou posterior

  • Aplicativo Workspace

    • Windows: versão 2409 ou posterior
    • Linux: versão 2411 ou posterior
    • Mac: versão 2411 ou posterior

  • Camada de acesso

    • Citrix Workspace™ com Citrix Gateway Service
    • Citrix Workspace com NetScaler® Gateway

  • Outro

    • O Adaptive Transport deve ser habilitado para conexões diretas externas

Requisitos de rede

A seguir estão os requisitos de rede para usar o HDX Direct.

Hosts de sessão

Se seus hosts de sessão tiverem um firewall, como o Firewall do Windows Defender, você deve permitir o seguinte tráfego de entrada para conexões internas.

Descrição Origem Protocolo Porta
Conexão interna direta Cliente TCP 443
Conexão interna direta Cliente UDP 443

Nota:

O instalador do VDA adiciona as regras de entrada apropriadas ao Firewall do Windows Defender. Se você usar um firewall diferente, deverá adicionar as regras acima.

Rede do cliente

A tabela a seguir descreve a rede do cliente para usuários internos e externos.

Usuários internos

Descrição Protocolo Origem Porta de origem Destino Porta de destino
Conexão interna direta TCP Rede do cliente 1024–65535 Rede VDA 443
Conexão interna direta UDP Rede do cliente 1024–65535 Rede VDA 443

Usuários externos

Descrição Protocolo Origem Porta de origem Destino Porta de destino
STUN (somente usuários externos) UDP Rede do cliente 1024–65535 Internet (ver nota abaixo) 3478, 19302
Conexão de usuário externo UDP Rede do cliente 1024–65535 Endereço IP público do data center 1024–65535

Rede do data center

A tabela a seguir descreve a rede do data center para usuários internos e externos.

Usuários internos

Descrição Protocolo Origem Porta de origem Destino Porta de destino
Conexão interna direta TCP Rede do cliente 1024–65535 Rede VDA 443
Conexão interna direta UDP Rede do cliente 1024–65535 Rede VDA 443

Usuários externos

Descrição Protocolo Origem Porta de origem Destino Porta de destino
STUN (somente usuários externos) UDP Rede VDA 1024–65535 Internet (ver nota abaixo) 3478, 19302
Conexão de usuário externo UDP DMZ / Rede interna 1024–65535 Rede VDA 55000–55250
Conexão de usuário externo UDP Rede VDA 55000–55250 IP público do cliente 1024–65535

Nota:

Tanto o VDA quanto o aplicativo Workspace tentam enviar solicitações STUN para os seguintes servidores na mesma ordem:

  • stun.cloud.com:3478
  • stun.cloudflare.com:3478
  • stun.l.google.com:19302

Se você alterar o intervalo de portas padrão para conexões de usuários externos usando a configuração de política Intervalo de portas HDX Direct, as regras de firewall correspondentes devem corresponder ao seu intervalo de portas personalizado.

Configuração

O HDX Direct está desabilitado por padrão. Você pode configurar esse recurso usando a configuração HDX Direct na política Citrix.

  • HDX Direct: Para habilitar ou desabilitar um recurso.
  • Modo HDX Direct: Determina se o HDX Direct está disponível apenas para clientes internos ou para clientes internos e externos.
  • Intervalo de portas HDX Direct: Define o intervalo de portas que o VDA usa para conexões de clientes externos.

Considerações

A seguir estão as considerações para usar o HDX Direct:

  • O HDX Direct para usuários externos está disponível apenas com EDT (UDP) como protocolo de transporte. Portanto, o Transporte Adaptativo deve ser habilitado.
  • Se você estiver usando o HDX Insight, observe que o uso do HDX Direct impede a coleta de dados do HDX Insight, pois a sessão não seria mais proxy através do NetScaler Gateway.
  • Ao usar máquinas não persistentes para seus aplicativos e desktops virtuais, a Citrix recomenda habilitar o HDX Direct nos hosts de sessão em vez de na imagem mestre/modelo para que cada máquina gere seus próprios certificados.
  • O uso de seus próprios certificados com o HDX Direct não é atualmente suportado.

Como funciona

O HDX Direct permite que os clientes estabeleçam uma conexão direta com o host de sessão quando a comunicação direta está disponível. Quando as conexões diretas são feitas usando o HDX Direct, certificados autoassinados são usados para proteger a conexão direta com criptografia em nível de rede (TLS/DTLS).

Usuários internos

O diagrama a seguir descreve a visão geral do processo de conexão HDX Direct para usuários internos.

Visão geral do HDX Direct

  1. O cliente estabelece uma sessão HDX através do Gateway Service.
  2. Após uma conexão bem-sucedida, o VDA envia ao cliente o FQDN da máquina VDA, uma lista de seus endereços IP e o certificado da máquina VDA via conexão HDX.
  3. O cliente sonda os endereços IP para verificar se consegue alcançar o VDA diretamente.
  4. Se o cliente conseguir alcançar o VDA diretamente com qualquer um dos endereços IP compartilhados, o cliente estabelece uma conexão direta com o VDA, protegida com (D)TLS usando um certificado que corresponde ao trocado na etapa (2).
  5. Uma vez que a conexão direta é estabelecida com sucesso, a sessão é transferida para a nova conexão, e a conexão com o Serviço de Gateway é encerrada.

Nota:

Após estabelecer a conexão na etapa 2, acima, a sessão está ativa. As etapas subsequentes não atrasam nem interferem na capacidade do usuário de usar o aplicativo ou desktop virtual. Se alguma das etapas subsequentes falhar, a conexão através do Gateway é mantida sem interromper a sessão do usuário.

Usuários externos

O diagrama a seguir descreve a visão geral do processo de conexão HDX Direct para usuários externos:

Processo de conexão HDX Direct

  1. O cliente estabelece uma sessão HDX através do Serviço de Gateway.
  2. Após uma conexão bem-sucedida, tanto o cliente quanto o VDA enviam uma solicitação STUN para descobrir seus endereços IP públicos e portas.
  3. O servidor STUN responde ao cliente e ao VDA com seus respectivos endereços IP públicos e portas.
  4. Através da conexão HDX, o cliente e o VDA trocam seus endereços IP públicos e portas UDP, e o VDA envia seu certificado ao cliente.
  5. O VDA envia pacotes UDP para o endereço IP público e porta UDP do cliente. O cliente envia pacotes UDP para o endereço IP público e porta UDP do VDA.
  6. Ao receber uma mensagem do VDA, o cliente responde com uma solicitação de conexão segura.
  7. Durante o handshake DTLS, o cliente verifica se o certificado corresponde ao certificado trocado na etapa (4). Após a validação, o cliente envia seu token de autorização. Uma conexão direta segura é agora estabelecida.
  8. Uma vez que a conexão direta é estabelecida com sucesso, a sessão é transferida para a nova conexão, e a conexão com o Serviço de Gateway é encerrada.

Nota:

Após estabelecer a conexão na etapa 2, acima, a sessão está ativa. As etapas subsequentes não atrasam nem interferem na capacidade do usuário de usar o aplicativo ou desktop virtual. Se alguma das etapas subsequentes falhar, a conexão através do Gateway é mantida sem interromper a sessão do usuário.

Gerenciamento de certificados

Host de sessão

Os dois serviços a seguir na máquina VDA lidam com a criação e o gerenciamento de certificados, ambos configurados para serem executados automaticamente na inicialização da máquina:

  • Citrix ClxMtp Service: Responsável pela geração e rotação de chaves de certificado CA.
  • Citrix Certificate Manager Service: Responsável por gerar e gerenciar o certificado CA raiz autoassinado e os certificados da máquina.

As etapas a seguir descrevem o processo de gerenciamento de certificados:

  1. Os serviços iniciam na inicialização da máquina.
  2. Citrix ClxMtp Service cria chaves se nenhuma tiver sido criada ainda.
  3. O Citrix Certificate Manager Service verifica se o HDX Direct está ativado. Caso contrário, o serviço se interrompe.
  4. Se o HDX Direct estiver ativado, o Citrix Certificate Manager Service verifica se existe um certificado CA raiz autoassinado. Caso contrário, um certificado raiz autoassinado é criado.
  5. Uma vez que um certificado CA raiz esteja disponível, o Citrix Certificate Manager Service verifica se existe um certificado de máquina autoassinado. Caso contrário, o serviço gera chaves e cria um novo certificado usando o FQDN da máquina.
  6. Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome do assunto não corresponder ao FQDN da máquina, um novo certificado será gerado.

Nota:

O Citrix Certificate Manager Service gera certificados RSA que utilizam chaves de 2048 bits.

Dispositivo cliente

Para estabelecer com sucesso uma conexão segura HDX Direct, o cliente deve confiar nos certificados usados para proteger a sessão. Para facilitar isso, o cliente recebe o certificado CA para a sessão através do arquivo ICA® (fornecido pelo Workspace), portanto, não é necessário distribuir certificados CA para os armazenamentos de certificados dos dispositivos cliente.

HDX™ Direct
May 31, 2026
Contribuição de: 
C
May 31, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.