客户端端点通过安全连接与连接服务器主机通信。

用于用户身份验证以及远程桌面和应用程序选择的初始客户端连接将在用户向 Horizon Client 提供域名时通过 HTTPS 创建。如果您网络环境中的防火墙和负载均衡软件配置正确，此请求将会发送到连接服务器主机。通过该连接可实现用户身份验证以及桌面或应用程序选取，但不会将用户连接到远程桌面或应用程序。

用户连接到远程桌面和应用程序时，客户端默认会建立到连接服务器主机的第二个连接。此连接提供了一条通过 HTTPS 传送 RDP 数据和其他数据的安全加密链路，因此称作安全加密链路连接。

用户通过 PCoIP 显示协议连接到远程桌面和应用程序时，客户端可建立到连接服务器主机上的 PCoIP 安全网关的另一个连接。PCoIP 安全网关可确保只有经过身份验证的用户才能通过 PCoIP 与远程桌面和应用程序进行通信。

您还可以向通过 VMware Blast 显示协议连接到远程桌面和应用程序的用户，以及使用 HTML Access 连接到远程桌面的外部用户提供安全连接。Blast 安全网关可确保只有经过身份验证的用户才能与远程桌面进行通信。

根据使用的客户端设备的类型，建立更多通道以传送其他流量，如传送 USB 重定向数据至客户端设备。如果启用安全加密链路，则这些数据通道将通过它传送流量。

禁用安全加密链路和安全网关后，将绕过连接服务器主机，直接在客户端设备与远程计算机之间建立桌面和应用程序会话。这种连接类型被称为直接连接。

即使连接服务器不再运行，直接连接的桌面和应用程序会话也会保持连接。

通常情况下，为了通过 WAN 向连接到安全服务器主机的外部客户端提供安全连接，您需要启用安全加密链路、PCoIP 安全网关和 Blast 安全网关。您可以禁用安全加密链路和安全网关来允许连接 LAN 的内部客户端与远程桌面和应用程序建立直接连接。

如果仅启用安全加密链路或仅启用一个安全网关，则会话可能会根据使用的客户端类型，对某些流量使用直接连接，而通过连接服务器主机发送其他流量。

与连接服务器主机进行的所有客户端连接都需要使用 TLS。