クライアント エンドポイントは、安全な接続を介して Connection Server ホストと通信します。

ユーザー認証およびリモート デスクトップとアプリケーションの選択に使用されるクライアントの初期接続は、ユーザーが Horizon Client にドメイン名を入力したときに HTTPS を介して作成されます。ファイアウォールおよびロード バランシング ソフトウェアがネットワーク環境内で正しく構成されている場合、この要求は Connection Server ホストに到達します。この接続ではユーザーが認証され、デスクトップまたはアプリケーションが選択されますが、ユーザーはまだリモート デスクトップまたはアプリケーションに接続されていません。

ユーザーがリモート デスクトップおよびアプリケーションに接続すると、クライアントはデフォルトで Connection Server ホストへの接続を再度行います。この接続は、RDP などのデータを HTTPS 上で送信するための安全なトンネルになるため、トンネル接続と呼ばれます。

ユーザーが PCoIP 表示プロトコルを使用してリモート デスクトップおよびアプリケーションに接続した場合には、クライアントはさらに Connection Server ホスト上の PCoIP Secure Gateway に接続することができます。PCoIP Secure Gateway は、認証されたユーザーのみが PCoIP 上でリモート デスクトップおよびアプリケーションとの通信を行えるようにします。

また、VMware Blast 表示プロトコルを使用してリモート デスクトップおよびアプリケーションに接続するユーザーと、HTML Access を使用してリモート デスクトップに接続する外部ユーザーに対して、安全な接続を提供することもできます。Blast Secure Gateway は、認証されたユーザーのみがリモート デスクトップとの通信を行えるようにします。

使用しているクライアント デバイスのタイプに応じて、クライアント デバイスに USB リダイレクト データなどの他のトラフィックを送信するために、追加のチャネルが確立されます。これらのデータ チャネルは、安全なトンネルが有効な場合は安全なトンネルにトラフィックをルーティングします。

セキュアなトンネルおよび安全なゲートウェイが無効になっていると、デスクトップおよびアプリケーション セッションが、Connection Server ホストをバイパスして、クライアント デバイスとリモート マシンとの間で直接確立されるようになります。このタイプの接続を直接接続といいます。

直接接続を使用するデスクトップおよびアプリケーション セッションは、Connection Server が稼動しなくなっても、接続されたままになります。

通常、Connection Server ホストに WAN 経由で接続する外部クライアントに対して安全な接続を提供するには、セキュアなトンネル、PCoIP Secure Gateway、および Blast Secure Gateway を有効にします。LAN 接続された内部クライアントがリモート デスクトップとアプリケーションに直接接続できるように、安全なトンネルと安全なゲートウェイを無効にすることができます。

セキュアなトンネルのみまたは安全なゲートウェイ 1 つのみを有効にする場合、使用しているクライアントのタイプによっては、セッションで一部のトラフィックに直接接続を使用する一方で、その他のトラフィックを Connection Server ホストを経由して送信する可能性があります。

クライアントから Connection Server ホストへの接続には TLS が必要です。