Citrix Virtual Apps and Desktops

HDX Direct(技术预览版)

访问 Citrix 提供的资源时,如果有直接路径,HDX Direct 允许客户端设备与 VDA 建立安全的直接连接。

重要:

HDX Direct 目前处于技术预览阶段。要提交反馈或报告问题,请使用此表单

要求

下面是使用 HDX Direct 的要求:

  • 控制平面

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 或更高版本
  • Virtual Delivery Agent (VDA)

    • Windows:版本 2303 或更高版本
  • Workspace 应用程序

    • Windows:版本 2303 或更高版本
  • 访问层

    • Citrix Workspace
    • Citrix Gateway 服务
    • NetScaler Gateway
  • 防火墙

    • VDA 计算机

      • TCP 443 入站 (ICA over TCP)
      • UDP 443 入站 (ICA over EDT)
    • 网络

      协议 Port(端口) 目标
      TCP 443 客户端 VDA
      UDP 443 客户端 VDA

配置

默认情况下,HDX Direct 处于禁用状态。可以使用 Citrix 策略中的 HDX Direct 设置来配置此功能。

  • 允许:HDX Direct 已启用,并在连接会话时尝试与会话主机建立直接连接。
  • 禁止:默认设置。HDX Direct 已禁用,可防止客户端在通过网关连接时尝试直接连接到会话主机。

要确认 HDX Direct 成功建立了直接连接,请使用 VDA 计算机上的 CtxSession.exe 实用程序。

要使用 CtxSession.exe 实用程序,请在会话中启动命令提示符或 PowerShell 并运行 ctxsession.exe -v。如果成功建立了 HDX Direct 连接,您将看到以下内容:

  • 传输协议

    • UDP > DTLS > CGP > ICA(如果使用 EDT)
    • TCP > SSL > CGP > ICA(如果使用 TCP)
  • 远程地址和客户端地址相同

    HDX Direct 远程地址和客户端地址

注意事项

下面是使用 HDX Direct 的注意事项:

  • 对您的虚拟应用程序和桌面使用非永久性计算机时,请勿在主映像/模板映像中启用 HDX Direct,以避免为主虚拟机 (VM) 生成证书。

工作原理

可以进行直接通信时,HDX Direct 允许客户端与会话主机建立直接连接。使用 HDX Direct 建立直接连接时,将使用网络级加密 (TLS/DTLS) 利用自签名证书来保护直接连接。

有三个阶段涵盖该功能的不同部分:启动前、启动和启动后。

启动前阶段

这是初始阶段,涵盖证书的创建和管理。这些任务由 VDA 计算机上的以下服务进行处理,这两个服务都设置为在计算机启动时自动运行:

  • Citrix ClxMtp Service:负责 CA 证书的生成和轮换。
  • Citrix Certificate Manager Service:负责生成和管理自签名的根 CA 证书、计算机证书的密钥和计算机证书。

下面是证书管理过程的概述:

  1. 服务在计算机启动时启动。
  2. 如果尚未创建密钥,Citrix ClxMtp Service 将进行创建。
  3. Citrix Certificate Manager Service 检查 HDX Direct 是否已启用。否则,该服务会自行停止。
  4. 如果启用了 HDX Direct,Citrix Certificate Manager Service 会检查自签名的根 CA 证书是否存在。如果不存在,则创建自签名的根证书。
  5. 一旦根 CA 证书可用,Citrix Certificate Manager Service 就会检查自签名的计算机证书是否存在。否则,该服务会生成密钥并使用计算机的 FQDN 创建新证书。
  6. 如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书,并且使用者名称与计算机的 FQDN 不匹配,则会生成新证书。

注意:

Citrix Certificate Manager Service 生成利用 2048 位密钥的 RSA 证书。

启动阶段

要成功建立安全的 HDX Direct 连接,客户端必须信任用于保护会话的证书。为方便起见,VDA 会在代理会话时向 Broker 发送其证书信息。随后,Broker 会将此信息发送到 Workspace,以包含在发送给客户端以启动会话的 ICA 文件中。

启动后阶段

成功代理会话后,该会话即会启动。下面是 HDX Direct 连接过程的概述:

HDX Direct 连接过程

  1. 客户端通过网关服务与 VDA 建立连接。
  2. 成功连接后,VDA 将 VDA 计算机的 FQDN 及其 IP 地址列表发送给客户端。
  3. 客户端探测 IP 地址以查看其是否可以直接到达 VDA。
  4. 如果客户端能够使用任何共享 IP 地址直接访问 VDA,客户端将与 VDA 建立安全的直接连接。
  5. 成功建立直接连接后,会话将转移到新连接,与网关服务的连接将结束。

已知问题

下面是 HDX Direct 的已知问题:

  • 禁用 Rendezvous 时,HDX Direct 连接可能会失败。
  • 从本地 Citrix Virtual Apps and Desktops 2303 站点启动会话时,HDX Direct 连接可能会失败。
  • 如果 VDA 在 Windows 11 上运行,Workspace 应用程序可能会崩溃。
HDX Direct(技术预览版)