Los endpoints cliente se comunican con un host del servidor de conexión a través de conexiones seguras.
La conexión cliente inicial, que se usa para autenticar al usuario y seleccionar aplicaciones y escritorios remotos, se crea mediante HTTPS cuando un usuario proporciona un nombre de dominio de Horizon Client. Si un firewall y un software de equilibrio de carga están configurados correctamente en el entorno de red, esta solicitud llega al host del servidor de conexión. Con esta conexión, los usuarios se autentican y se selecciona un escritorio o una aplicación, pero los usuarios aún no se conectan a esta aplicación o este escritorio remotos.
Cuando los usuarios se conectan a aplicaciones y escritorios remotos, de forma predeterminada, el cliente establece una segunda conexión al host del servidor de conexión. Esta conexión se denomina conexión de túnel porque proporciona un túnel seguro para enviar RDP y otros datos mediante HTTPS.
Cuando los usuarios se conectan a aplicaciones y escritorios remotos con el protocolo de visualización PCoIP, el cliente puede establecer otra conexión a la puerta de enlace segura PCoIP en el host del servidor de conexión. La puerta de enlace segura PCoIP asegura que solo los usuarios autenticados puedan comunicarse con las aplicaciones y los escritorios remotos mediante PCoIP.
También puede proporcionar conexiones seguras para que los usuarios se conecten a las aplicaciones y los escritorios remotos con el protocolo de visualización VMware Blast y para que los usuarios externos que usan HTML Access se conecten a los escritorios remotos. La puerta de enlace segura Blast asegura que solo los usuarios autenticados puedan comunicarse con los escritorios remotos.
Dependiendo del tipo de dispositivo cliente que se utilice, se establecen canales adicionales para llevar otro tráfico, como los datos de redireccionamiento USB, al dispositivo cliente. Estos canales de datos enrutan el tráfico a través del túnel seguro si este está establecido.
Cuando el túnel seguro y las puertas de enlace seguras estén deshabilitadas, las sesiones de aplicaciones y de escritorios se establecen directamente entre el dispositivo cliente y el equipo remoto, omitiendo el host del servidor de conexión. Este tipo de conexión se denomina conexión directa.
Las sesiones de aplicaciones y de escritorios que usan conexiones directas siguen conectadas aunque el servidor de conexión ya no se ejecute.
Normalmente, para proporcionar conexiones seguras a los clientes externos que se conectan a un host del servidor de conexión a través de una WAN, es necesario que habilite el túnel seguro, la puerta de enlace segura PCoIP y la puerta de enlace segura de Blast. Puede deshabilitar el túnel seguro y las puertas de enlace seguras para permitir que los clientes internos y conectados a través de LAN establezcan conexiones directas a las aplicaciones y los escritorios remotos.
Si solo habilita el túnel seguro o una puerta de enlace segura, una sesión puede usar una conexión directa para algunos tráficos, pero envía los otros a través del host del servidor de conexión, dependiendo del tipo de cliente que se utilice.
TLS es necesario para todas las conexiones cliente a los hosts del servidor de conexión.