詳細流程：

1. 客戶端上的receiver負責解析ICA文件，並根據ICA文件的內容發起連接請求。若是外網訪問，則ICA文件中記錄的是NetScaler的AG FQDN信息，連接請求發至NetScaler的AG，流程按順序往下走；若是內網訪問，則ICA文件中記錄的是虛擬機的IP信息，客戶端直連虛擬機。

2. 登錄虛擬機：虛擬機收到連接請求後，需要執行三個步驟：Logon Ticket驗證，License驗證，登錄。

b) DDC接收到調用請求後，向STA服務校驗Logon Ticket是否有效。由於金航的項目是智能卡傳遞，所以向STA服務校驗是不成功的，校驗無效，則向AD-LADAP進行再次的身份驗證，將換回來的域帳號信息發回給DDC。

b) VDA收到域帳號信息後，XP下是通過Citrix的picagina.dll負責將域帳號信息貼在登錄窗口，以完成登錄，WIN7下是通過Windows的Credential Provider API完成的。

3、最後，VDA向DDC更新其狀態為“使用中”，並更新數據庫，至此，登錄流程結束。

虛擬應用架構流程圖

1、 用戶的虛擬桌面裏面右鍵Citrix聯機插件或者在開始所有程序那裏點開所需要訪問的應用程序圖標，Citrix聯機插件接受到用戶的指令後，通過HTTPS協議走SSL加密的通道和443端口將用戶證書傳遞到Citrix Web Intece站點；

【技術細節：虛擬桌面裏會安裝Client證書，Citrix Web Intece站點會安裝一個Server證書，在用戶發起請求的時候，Client證書與Server證書會先確認對方是它相連接的，而不是第三方冒充的。相互確認之後，Client證書與Server證書會交換session key，用於連接後數據的傳輸加密和hash校驗。Client證書與Server證書加密（內容加密）之後，再走SSL加密（通道加密）】

2、 CitrixWeb Intece將用戶身份證書通過XML Broker TCP 80和443端口傳輸到XenApp服務器中IMA服務，IMA服務將用戶身份證書傳遞給本地的Lsass.exe進程；

3、 XenApp服務器中Lsass.exe將用戶驗證信息傳遞給域進行身份驗證；

4、 域控傳給LDAP服務器；

5、 LDAP返回結果；

6、 AD將身份驗證結果返回給XenApp服務器的Lsass.exe，然後傳遞給IMA服務；

7、 XenApp去數據庫枚舉應用列表；

8、 數據庫返回應用列表；

9、 根據結果信息查看應用在那個FARM；

10、 成員服務器返回結果；

11、 XenApp服務器中的IMA服務將身份驗證結果及XenApp發布應用列表和策略通過XML Broker返回給Web intece站點服務器；

12、 WebIntece站點將身份驗證結果及XenApp發布應用列表和策略返回給客戶端（citrix Receiver或瀏覽器）指定客戶端需要訪問的XenApp服務器，並傳輸ICA文件到客戶端；

13、 客戶端通過Receiver或者online plug-in打開ICA文件，訪問發布的應用程序（citrix Receiver-Web Intece-XenApp Farm）；

14、 XenApp服務器訪問XenApp服務器ZDC尋求驗證信息；

15、 XenAppZDC發送請求到licensing服務器上看是否有空余的授權；

16、 Licensing服務器返回可用License查詢結果給ZDC；

17、 XenAppZDC去RDS服務器產看是否有終端授權許可；

18、 RDS返回許可；

19、 ZDC返回信息給XenApp成員服務器；

20、 XenApp與客戶端建立會話，並啟動應用程序；

附圖一張：

Citrix XenApp登錄App服務器過程詳解