Clientendpunkte kommunizieren mit einem Verbindungsserver-Host über sichere Verbindungen.
Die erste Clientverbindung, die für die Benutzerauthentifizierung und für die Auswahl von Remote-Desktops und -anwendungen verwendet wird, wird über HTTPS erstellt, wenn ein Benutzer einen Domänennamen für Horizon Client bereitstellt. Wenn die Firewall und die Lastausgleichssoftware in Ihrer Netzwerkumgebung ordnungsgemäß konfiguriert sind, wird diese Anforderung an den Verbindungsserver-Host gesendet. Diese Verbindung wird zur Benutzerauthentifizierung und Auswahl eines Desktops oder einer Anwendung verwendet, aber die Benutzer haben noch keine Verbindung mit dem Remote-Desktop oder der Remoteanwendung hergestellt.
Wenn Benutzer eine Verbindung mit Remote-Desktops und -anwendungen herstellen, stellt der Client standardmäßig eine zweite Verbindung mit dem Verbindungsserver-Host her. Diese Verbindung wird als „Tunnelverbindung“ bezeichnet, da sie einen sicheren Tunnel für die Übertragung von RDP-Daten und anderen Daten über HTTPS bereitstellt.
Wenn Benutzer mit dem PCoIP-Anzeigeprotokoll eine Verbindung mit Remote-Desktops und -anwendungen herstellen, kann der Client auf dem Verbindungsserver-Host eine weitere Verbindung mit dem PCoIP Secure Gateway aufbauen. Über das PCoIP Secure Gateway wird sichergestellt, dass nur authentifizierte Benutzer mit Remote-Desktops und -anwendungen über PCoIP kommunizieren können.
Sichere Verbindungen können auch für Benutzer, die mit dem VMware Blast-Anzeigeprotokoll eine Verbindung mit Remote-Desktops und -anwendungen herstellen, und für externe Benutzer, die HTML Access zum Herstellen einer Verbindung mit Remote-Desktops verwenden, bereitgestellt werden. Das Blast Secure Gateway sorgt dafür, dass nur authentifizierte Benutzer mit Remote-Desktops kommunizieren können.
Abhängig vom Typ des verwendeten Clientgeräts werden weitere Kanäle eingerichtet, um Datenverkehr wie USB-Umleitungsdaten an das Clientgerät zu übertragen. Diese Datenkanäle leiten Datenverkehr über den sicheren Tunnel weiter, sofern dieser aktiviert ist.
Wenn der sichere Tunnel und sichere Gateways deaktiviert sind, werden Desktop- und Anwendungssitzungen direkt zwischen dem Clientgerät und der Remote-Maschine eingerichtet, d. h., der Verbindungsserver-Host werden umgangen. Dieser Verbindungstyp wird als direkte Verbindung bezeichnet.
Desktop- und Anwendungssitzungen, die direkte Verbindungen verwenden, bleiben auch dann verbunden, wenn der Verbindungsserver nicht mehr ausgeführt wird.
In der Regel aktivieren Sie den sicheren Tunnel, das PCoIP Secure Gateway und das Blast Secure Gateway, um sichere Verbindungen für externe Clients bereitzustellen, die über ein WAN eine Verbindung mit einem Verbindungsserver-Host herstellen. Sie können den sicheren Tunnel und die sicheren Gateways deaktivieren, um internen, mit dem LAN verbundenen Clients das Herstellen von direkten Verbindungen mit Remote-Desktop und -anwendungen zu ermöglichen.
Wenn Sie nur den sicheren Tunnel und nur ein sicheres Gateway aktivieren, verwendet eine Sitzung möglicherweise eine direkte Verbindung für einen Teil des Datenverkehrs, sendet aber den anderen Datenverkehr über den Verbindungsserver-Host. Entscheidend ist hier der Typ des verwendeten Clients.
TLS ist für alle Clientverbindungen mit Hosts von Verbindungsservern erforderlich.