Horizon-Protokolle

Wenn ein Horizon Client-Benutzer eine Verbindung mit einer Horizon-Umgebung herstellt, werden verschiedene Protokolle eingesetzt. Die erste Verbindung ist immer das primäre XML-API-Protokoll über HTTPS. Nach der erfolgreichen Authentifizierung werden dann sekundäre Protokolle verwendet.

• Primäres Horizon-Protokoll

  Der Benutzer gibt auf dem Horizon Client einen Hostnamen ein. Dies startet das primäre Horizon-Protokoll. Dies ist ein Steuerungsprotokoll zur Authentifizierungsautorisierung und Sitzungsverwaltung. Das Protokoll verwendet strukturierte XML-Nachrichten über HTTPS. Dieses Protokoll wird teilweise als Horizon XML-API-Steuerungsprotokoll bezeichnet. In einer Umgebung mit Lastausgleich, wie sie in der Abbildung „Mehrere Unified Access Gateway-Appliances hinter einem Lastausgleichsdienst“ dargestellt ist, leitet der Lastausgleichsdienst diese Verbindung an eine der Unified Access Gateway-Appliances weiter. Der Lastausgleichsdienst wählt die Appliance in der Regel zuerst anhand der Verfügbarkeit aus und leitet den Datenverkehr dann an die verfügbare Appliance mit der geringsten Anzahl aktueller Sitzungen weiter. Diese Konfiguration verteilt den Datenverkehr von verschiedenen Clients gleichmäßig auf die verfügbaren Unified Access Gateway-Appliances.

• Sekundäre Horizon-Protokolle

  Nachdem der Horizon Client eine sichere Kommunikation mit einer der Unified Access Gateway-Appliances hergestellt hat, wird der Benutzer authentifiziert. Wenn dieser Authentifizierungsversuch erfolgreich verläuft, wird mindestens eine sekundäre Verbindung vom Horizon Client hergestellt. Zu diesen sekundären Verbindungen können folgende Verbindungen gehören:

  • HTTPS-Tunnel, die zum Kapseln von TCP-Protokollen wie RDP, MMR/CDR und dem Clientframework-Kanal verwendet werden. (TCP 443)

  • Blast Extreme-Anzeigeprotokoll (TCP 443, TCP 8443, UDP 443 und UDP 8443)

  • PCoIP-Anzeigeprotokoll (TCP 4172, UDP 4172).

Diese sekundären Horizon-Protokolle müssen zu derselben Unified Access Gateway-Appliance weitergeleitet werden, zu der das primäre Horizon-Protokoll weitergeleitet wurde. Unified Access Gateway kann die sekundären Protokolle dann auf der Grundlage der authentifizierten Benutzersitzung autorisieren. Eine wichtige Sicherheitsfunktion von Unified Access Gateway besteht darin, dass Unified Access Gateway nur dann Datenverkehr in das Datencenter des Unternehmens weiterleitet, wenn der Datenverkehr zu einem authentifizierten Benutzer gehört. Wenn das sekundäre Protokoll fälschlicherweise an eine andere Unified Access Gateway-Appliance weitergeleitet wird als das primäre Protokoll, werden Benutzer nicht autorisiert und in der DMZ verworfen. Die Verbindung schlägt fehl. Ein falsches Routing der sekundären Protokolle ist ein häufiges Problem, wenn der Lastausgleichsdienst nicht richtig konfiguriert ist.

Überlegungen zum Lastausgleich für Content Gateway und Tunnel-Proxy

Beachten Sie die folgenden Punkte, wenn Sie einen Lastausgleichsdienst mit Content Gateway und Tunnel-Proxy verwenden:

• Konfigurieren Sie die Lastausgleichsdienste mit „Original-HTTP-Kopfzeilen senden“, um Probleme hinsichtlich der Gerätekonnektivität zu vermeiden. Content Gateway und Tunnel-Proxy verwenden Informationen aus der HTTP-Kopfzeile der Anforderung, um Geräte zu authentifizieren.

• Die Tunnel-über-App-Komponente erfordert eine Authentifizierung jedes Clients nach der Herstellung einer Verbindung. Wenn die Verbindung hergestellt ist, wird eine Sitzung für den Client erstellt und im Arbeitsspeicher gespeichert. Dieselbe Sitzung wird dann für jede Art von Clientdaten verwendet, damit die Daten mit dem gleichen Schlüssel verschlüsselt und entschlüsselt werden können. Beim Entwerfen einer Lastausgleichslösung muss der Lastausgleichsdienst mit aktivierter IP-/sitzungsbasierter Persistenz konfiguriert werden. Alternativ können Sie clientseitig DNS-Round-Robin verwenden, wodurch der Client für jede Verbindung einen anderen Server auswählen kann.