Citrix DaaS

HDX Direct(技术预览版)

访问 Citrix 提供的资源时,如果有直接视线,HDX Direct 允许客户端设备与 VDA 建立安全的直接连接。

重要:

HDX Direct 目前处于技术预览阶段。要提交反馈或报告问题,请使用 此表单

要求

以下是使用 HDX Direct 的要求:

  • 控制平面

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 或更高版本
  • Virtual Delivery Agent (VDA)

    • Windows:版本 2303 或更高版本
  • Workspace 应用程序

    • Windows:版本 2303 或更高版本
  • 访问等级

    • Citrix Workspace
    • Citrix Gateway 服务
    • NetScaler Gateway
  • 防火墙

    • VDA 计算机

      • TCP 443 入站 (ICA over TCP)
      • UDP 443 入站 (ICA over EDT)
    • 网络

      协议 Port(端口) 目标
      TCP 443 客户端 VDA
      UDP 443 客户端 VDA

配置

默认情况下,HDX Direct 处于禁用状态。您可以使用 Citrix 策略中的 HDX Direct 设置来配置此功能。

  • 允许:HDX Direct 已启用,并在连接会话时尝试与会话主机建立直接连接。
  • 禁止:默认设置。HDX Direct 已禁用,可防止客户端在通过网关连接时尝试直接连接到会话主机。

要确认 HDX Direct 成功建立了直接连接,请使用 VDA 计算机上的 CtxSession.exe 实用程序。

要使用 CtxSession.exe 实用程序,请在会话中启动命令提示符或 PowerShell 并运行 ctxsession.exe-v。如果成功建立 HDX Direct 连接,您将看到以下内容:

  • 传输协议

    • UDP > DTLS > CGP > ICA(如果使用 EDT)
    • TCP > SSL > CGP > ICA(如果使用 TCP)
  • 远程地址和客户机地址相同

    DX Direct 远程地址和客户端地址

注意事项

以下是使用 HDX Direct 的注意事项:

  • 在虚拟应用程序和桌面上使用非永久计算机时,不要在主/模板映像中启用 HDX Direct,以避免为主虚拟机 (VM) 生成证书。

工作原理

当可以进行直接通信时,HDX Direct 允许客户端与会话主机建立直接连接。使用 HDX Direct 建立直接连接时,使用网络级加密 (TLS/DTLS) 利用自签名证书来保护直接连接。

有三个阶段涵盖该功能的不同部分:发布前、启动和发布后。

启动前阶段

这是初始阶段,涵盖证书的创建和管理。这些任务由 VDA 计算机上的以下服务处理,这两个服务都设置为在计算机启动时自动运行:

  • Citrix ClxMtp Service:负责 CA 证书的生成和轮换。
  • Citrix Certificate Manager Service:负责生成和管理自签名的根 CA 证书、计算机证书的密钥和计算机证书。

以下是证书管理过程的概述:

  1. 服务在计算机启动时启动。
  2. 如果尚未创建密钥,Citrix ClxMtp Service 会创建密钥。
  3. Citrix Certificate Manager Service 检查 HDX Direct 是否已启用。否则,服务会自行停止。
  4. 如果启用 HDX Direct,Citrix Certificate Manager Service 会检查自签名的根 CA 证书是否存在。如果不是,则创建自签名根证书。Citrix Certificate Manager Service
  5. 一旦根 CA 证书可用,Citrix Certificate Manager Service 就会检查自签名的计算机证书是否存在。否则,该服务会生成密钥并使用计算机的 FQDN 创建新证书。
  6. 如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书,并且主题名称与计算机的 FQDN 不匹配,则会生成新证书。

注意:

Citrix Certificate Manager Service 生成利用 2048 位密钥的 RSA 证书。

启动阶段

要成功建立安全的 HDX Direct 连接,客户端必须信任用于保护会话的证书。为方便起见,VDA 会在会话中介时向代理发送其证书信息。随后,代理将此信息发送到工作区,以包含在发送给客户端以启动会话的 ICA 文件中。

启动后阶段

成功代理会话后,该会话即会启动。以下是 DX Direct 连接过程的概述:

DX Direct 连接流程

  1. 客户端通过网关服务与 VDA 建立连接。
  2. 成功连接后,VDA 将 VDA 计算机的 FQDN 及其 IP 地址列表发送给客户端。
  3. 客户端探测 IP 地址以查看它是否可以直接到达 VDA。
  4. 如果客户端能够使用任何共享 IP 地址直接访问 VDA,则客户端将与 VDA 建立安全的直接连接。
  5. 成功建立直接连接后,会话将转移到新连接,与网关服务的连接将结束。

已知问题

以下是 HDX Direct 的已知问题:

  • 禁用 Rendezvous 时,HDX Direct 连接可能会失败。
  • 从本地 Citrix Virtual Apps and Desktops 2303 站点启动会话时,HDX Direct 连接可能会失败。
  • 如果 VDA 在 Windows 11 上运行,则工作区应用程序可能会崩溃。
HDX Direct(技术预览版)