Os endpoints do cliente se comunicam com um host do Servidor de Conexão por meio de conexões seguras.
A conexão inicial do cliente, que é usada para autenticação do usuário e área de trabalho remota e seleção de aplicativo, é criada por HTTPS quando um usuário fornece um nome de domínio para Horizon Client. Se o firewall e o software de balanceamento de carga estiverem configurados corretamente no seu ambiente de rede, essa solicitação chegará ao host do Servidor de Conexão. Com essa conexão, os usuários são autenticados e uma área de trabalho ou aplicativo é selecionado, mas os usuários ainda não se conectaram à área de trabalho remota ou aplicativo.
Quando os usuários se conectam a áreas de trabalho e aplicativos remotos, por padrão, o cliente faz uma segunda conexão com o host do Servidor de Conexão. Essa conexão é chamada de conexão de túnel porque fornece um túnel seguro para transportar RDP e outros dados por HTTPS.
Quando os usuários se conectam a áreas de trabalho remotas e aplicativos com o protocolo de exibição PCoIP, o cliente pode fazer outra conexão com o Gateway Seguro PCoIP no host do Servidor de Conexão. O PCoIP Secure Gateway garante que somente usuários autenticados possam se comunicar com áreas de trabalho remotas e aplicativos por meio de PCoIP.
Você também pode fornecer conexões seguras para usuários que se conectam a áreas de trabalho remotas e aplicativos com o protocolo de exibição VMware Blast e a usuários externos que usam HTML Access para se conectar a áreas de trabalho remotas. O Blast Secure Gateway garante que somente usuários autenticados possam se comunicar com áreas de trabalho remotas.
Dependendo do tipo de dispositivo cliente que está sendo usado, são estabelecidos canais adicionais para transportar outro tráfego, como dados de redirecionamento USB para o dispositivo cliente. Esses canais de dados roteiam o tráfego por meio do túnel seguro, se ele estiver ativado.
Quando o túnel seguro e os gateways seguros estão desativados, as sessões de área de trabalho e de aplicativo são estabelecidas diretamente entre o dispositivo cliente e a máquina remota, ignorando o host do Servidor de Conexão. Esse tipo de conexão é chamado de conexão direta.
As sessões de área de trabalho e de aplicativo que usam conexões diretas permanecem conectadas mesmo que o Servidor de Conexão não esteja mais em execução.
Normalmente, para fornecer conexões seguras para clientes externos que se conectam a um host do Servidor de Conexão por meio de uma WAN, habilite o túnel seguro, o PCoIP Secure Gateway e o Blast Secure Gateway. Você pode desativar o túnel seguro e os gateways seguros para permitir que clientes internos conectados à LAN estabeleçam conexões diretas com aplicativos e áreas de trabalho remotas.
Se você habilitar apenas o túnel seguro ou apenas um gateway seguro, uma sessão poderá usar uma conexão direta para algum tráfego, mas enviar outro tráfego por meio do host do Servidor de Conexão, dependendo do tipo de cliente que está sendo usado.
O TLS é necessário para todas as conexões de cliente com hosts do Servidor de Conexão.