Produktdokumentation
Citrix Endpoint Management™
PDF anzeigen

Integration mit NetScaler Gateway und Citrix ADC

April 17, 2026
Beitrag von: 
C C

Bei der Integration mit Citrix Endpoint Management bietet NetScaler Gateway einen Authentifizierungsmechanismus für den Remote-Gerätezugriff auf das interne Netzwerk für MAM-Geräte. Die Integration ermöglicht es Citrix Mobile-Produktivitäts-Apps, über ein Micro-VPN eine Verbindung zu Unternehmensservern im Intranet herzustellen. Citrix Endpoint Management erstellt ein Micro-VPN von den Apps auf dem Gerät zum NetScaler Gateway. NetScaler Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multi-Faktor-Authentifizierung.

Wenn ein Benutzer die MDM-Registrierung ablehnt, registrieren sich Geräte über den NetScaler Gateway FQDN.

Citrix Cloud Operations verwaltet das Citrix ADC Load Balancing.

  • Designentscheidungen

Die folgenden Abschnitte fassen die vielen Designentscheidungen zusammen, die bei der Planung einer NetScaler Gateway-Integration mit Citrix Endpoint Management zu berücksichtigen sind.

Zertifikate

Details zur Entscheidung:

  • Benötigen Sie ein höheres Maß an Sicherheit für die Registrierung und den Zugriff auf die Citrix Endpoint Management-Umgebung?
  • Ist LDAP keine Option?

Designrichtlinien:

Die Standardkonfiguration für Citrix Endpoint Management ist die Authentifizierung mit Benutzername und Kennwort. Um eine weitere Sicherheitsebene für die Registrierung und den Zugriff auf die Citrix Endpoint Management-Umgebung hinzuzufügen, sollten Sie die zertifikatbasierte Authentifizierung in Betracht ziehen. Sie können Zertifikate mit LDAP für die Zwei-Faktor-Authentifizierung verwenden, was ein höheres Maß an Sicherheit bietet, ohne einen RSA-Server zu benötigen.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch die Konfiguration von Zertifikaten eine Smartcard in Citrix Endpoint Management darstellen. Benutzer registrieren sich dann mit einer eindeutigen PIN, die Citrix Endpoint Management für sie generiert. Nachdem ein Benutzer Zugriff hat, erstellt und stellt Citrix Endpoint Management das Zertifikat bereit, das später zur Authentifizierung in der Citrix Endpoint Management-Umgebung verwendet wird.

  • Citrix Endpoint Management unterstützt die Zertifikatsperrliste (CRL) nur für eine Drittanbieter-Zertifizierungsstelle. Wenn Sie eine Microsoft CA konfiguriert haben, verwendet Citrix Endpoint Management NetScaler Gateway zur Verwaltung des Widerrufs. Wenn Sie die clientzertifikatbasierte Authentifizierung konfigurieren, sollten Sie prüfen, ob Sie die NetScaler Gateway-Einstellung für die Zertifikatsperrliste (CRL) CRL Auto Refresh aktivieren konfigurieren müssen. Dieser Schritt stellt sicher, dass der Benutzer eines nur in MAM registrierten Geräts sich nicht mit einem vorhandenen Zertifikat auf dem Gerät authentifizieren kann. Citrix Endpoint Management stellt ein neues Zertifikat aus, da es einen Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines widerrufen wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn die CRL nach abgelaufenen PKI-Entitäten sucht.

Dedizierte oder gemeinsam genutzte NetScaler Gateway VIPs

Details zur Entscheidung:

  • Verwenden Sie NetScaler Gateway derzeit für Citrix Virtual Apps and Desktops?
  • Wird Citrix Endpoint Management dasselbe NetScaler Gateway wie Citrix Virtual Apps and Desktops verwenden?

  • Welche Authentifizierungsanforderungen gibt es für beide Datenflüsse?

  • Designrichtlinien:

Wenn Ihre Citrix-Umgebung Citrix Endpoint Management sowie Virtual Apps and Desktops umfasst, können Sie denselben virtuellen NetScaler Gateway-Server für beide verwenden. Aufgrund potenzieller Versionskonflikte und der Umgebungsisolation wird ein dediziertes NetScaler Gateway für jede Citrix Endpoint Management-Umgebung empfohlen.

Wenn Sie die LDAP-Authentifizierung verwenden, kann Citrix Secure Hub problemlos dasselbe NetScaler Gateway authentifizieren. Wenn Sie die zertifikatbasierte Authentifizierung verwenden, pusht Citrix Endpoint Management ein Zertifikat in den MDX-Container, und Citrix Secure Hub verwendet das Zertifikat zur Authentifizierung mit NetScaler Gateway.

Sie könnten diesen Workaround in Betracht ziehen, der es Ihnen ermöglicht, denselben FQDN für zwei NetScaler Gateway VIPs zu verwenden. Sie können zwei NetScaler Gateway VIPs mit derselben IP-Adresse erstellen. Der für Citrix Secure Hub verwendet den Standardport 443 und der für Citrix Virtual Apps and Desktops (der die Citrix Workspace-App bereitstellt) verwendet Port 444. Dann löst ein FQDN dieselbe IP-Adresse auf. Für diesen Workaround müssen Sie möglicherweise StoreFront so konfigurieren, dass eine ICA-Datei für Port 444 anstelle des Standardports 443 zurückgegeben wird. Dieser Workaround erfordert nicht, dass Benutzer eine Portnummer eingeben.

NetScaler Gateway-Timeouts

Details zur Entscheidung:

  • Wie möchten Sie die NetScaler Gateway-Timeouts für den Citrix Endpoint Management-Datenverkehr konfigurieren?

  • Designrichtlinien:

NetScaler Gateway enthält die Einstellungen Sitzungs-Timeout und Erzwingen des Timeouts. Weitere Informationen finden Sie unter Empfohlene Konfigurationen. Beachten Sie, dass es unterschiedliche Timeout-Werte für Hintergrunddienste, NetScaler Gateway und für den Zugriff auf Anwendungen im Offline-Modus gibt.

Registrierungs-FQDN

  • Wichtig:

    Das Ändern des Registrierungs-FQDN erfordert eine neue SQL Server-Datenbank und einen Neuaufbau des Citrix Endpoint Management-Servers.

  • Citrix Secure Web-Datenverkehr

Details zur Entscheidung:

  • Werden Sie Citrix Secure Web nur auf internes Web-Browsing beschränken?
  • Werden Sie Citrix Secure Web für internes und externes Web-Browsing aktivieren?

Designrichtlinien:

  • Wenn Sie Citrix Secure Web nur für internes Web-Browsing verwenden möchten, ist die NetScaler Gateway-Konfiguration unkompliziert. Wenn Citrix Secure Web jedoch standardmäßig nicht alle internen Sites erreichen kann, müssen Sie möglicherweise Firewalls und Proxyserver konfigurieren.

Wenn Sie Citrix Secure Web für internes und externes Browsing verwenden möchten, müssen Sie den SNIP für den ausgehenden Internetzugriff aktivieren. Die IT betrachtet registrierte Geräte (die den MDX-Container verwenden) im Allgemeinen als Erweiterung des Unternehmensnetzwerks. Daher möchte die IT in der Regel, dass Citrix Secure Web-Verbindungen zum NetScaler Gateway zurückkehren, über einen Proxyserver geleitet werden und dann ins Internet gehen. Standardmäßig tunnelt der Citrix Secure Web-Zugriff zum internen Netzwerk. Citrix Secure Web verwendet einen VPN-Tunnel pro Anwendung zurück zum internen Netzwerk für den gesamten Netzwerkzugriff, und NetScaler Gateway verwendet Split-Tunnel-Einstellungen.

Eine Erläuterung der Citrix Secure Web-Verbindungen finden Sie unter Benutzerverbindungen konfigurieren.

  • Push-Benachrichtigungen für Citrix Secure Mail

Details zur Entscheidung:

  • Werden Sie Push-Benachrichtigungen verwenden?

Designrichtlinien für iOS:

Wenn Ihre NetScaler Gateway-Konfiguration Secure Ticket Authority (STA) enthält und Split-Tunneling deaktiviert ist: NetScaler Gateway muss den Datenverkehr von Citrix Secure Mail zu den URLs des Citrix Listener-Dienstes zulassen. Diese URLs sind in Push-Benachrichtigungen für Citrix Secure Mail für iOS angegeben.

Designrichtlinien für Android:

Verwenden Sie Firebase Cloud Messaging (FCM), um zu steuern, wie und wann Android-Geräte eine Verbindung zu Citrix Endpoint Management herstellen müssen. Wenn FCM konfiguriert ist, löst jede Sicherheitsaktion oder jeder Bereitstellungsbefehl eine Push-Benachrichtigung an Citrix Secure Hub aus, um den Benutzer aufzufordern, die Verbindung zum Citrix Endpoint Management-Server wiederherzustellen.

HDX™ STAs

Entscheidungsdetails:

  • Welche STAs sollen verwendet werden, wenn Sie den HDX-Anwendungszugriff integrieren?

Design-Leitfaden:

HDX-STAs müssen mit den STAs in StoreFront übereinstimmen und für die Virtual Apps and Desktops-Site gültig sein.

Citrix Files und ShareFile

Entscheidungsdetails:

  • Werden Sie einen Storage Zones Controller in der Umgebung verwenden?
  • Welche Citrix Files VIP-URL werden Sie verwenden?

Design-Leitfaden:

Wenn Sie einen Storage Zones Controller in Ihrer Umgebung einbeziehen, stellen Sie sicher, dass Sie Folgendes korrekt konfigurieren:

  • Citrix Files Content Switch VIP (wird von der Citrix Files Control Plane zur Kommunikation mit den Storage Zones Controller-Servern verwendet)
  • Citrix Files Load Balancing VIPs
  • Alle erforderlichen Richtlinien und Profile

Weitere Informationen finden Sie in der Dokumentation zu Storage Zones Controller.

SAML IdP

Entscheidungsdetail:

  • Wenn SAML für Citrix Files erforderlich ist, möchten Sie Citrix Endpoint Management als SAML IdP verwenden?

Design-Leitfaden:

Die empfohlene Best Practice ist die Integration von Citrix Files mit Citrix Endpoint Management, eine einfachere Alternative zur Konfiguration einer SAML-basierten Föderation. Citrix Endpoint Management bietet Citrix Files Folgendes:

  • Single Sign-On (SSO)-Authentifizierung von Benutzern mobiler Citrix Produktivitäts-Apps
  • Benutzerkontenbereitstellung basierend auf Active Directory
  • Umfassende Zugriffssteuerungsrichtlinien.

Die Citrix Endpoint Management-Konsole ermöglicht Ihnen die Konfiguration von Citrix Files sowie die Überwachung von Service-Levels und Lizenznutzung.

Es gibt zwei Arten von Citrix Files-Clients: Citrix Files für Citrix Endpoint Management (auch bekannt als Wrapped Citrix Files) und Citrix Files Mobile Clients (auch bekannt als Unwrapped Citrix Files). Um die Unterschiede zu verstehen, siehe Wie sich Citrix Files für Citrix Endpoint Management-Clients von Citrix Files Mobile Clients unterscheiden.

Sie können Citrix Endpoint Management und Citrix Files so konfigurieren, dass SAML für den SSO-Zugriff verwendet wird auf:

  • Citrix Files-Apps, die MAM SDK-fähig sind oder mit dem MDX Toolkit umschlossen wurden
  • Nicht-umschlossene Citrix Files-Clients, wie die Website, das Outlook-Plug-in oder Synchronisierungs-Clients

Wenn Sie Citrix Endpoint Management als SAML IdP für Citrix Files verwenden möchten, stellen Sie sicher, dass die entsprechenden Konfigurationen vorhanden sind. Details finden Sie unter SAML für SSO mit Citrix Files.

ShareConnect-Direktverbindungen

Entscheidungsdetail:

  • Werden Benutzer über direkte Verbindungen von einem Computer oder Mobilgerät, auf dem ShareConnect ausgeführt wird, auf einen Hostcomputer zugreifen?

Design-Leitfaden:

ShareConnect ermöglicht Benutzern, sich über iPads, Android-Tablets und Android-Telefone sicher mit ihren Computern zu verbinden, um auf ihre Dateien und Anwendungen zuzugreifen. Für direkte Verbindungen verwendet Citrix Endpoint Management NetScaler Gateway, um sicheren Zugriff auf Ressourcen außerhalb des lokalen Netzwerks zu ermöglichen. Konfigurationsdetails finden Sie unter ShareConnect.

Registrierungs-FQDN für jeden Verwaltungsmodus

Verwaltungsmodus Registrierungs-FQDN
MDM+MAM mit obligatorischer MDM-Registrierung FQDN des Citrix Endpoint Management-Servers
MDM+MAM mit optionaler MDM-Registrierung FQDN des Citrix Endpoint Management-Servers
Nur MAM FQDN des Citrix Endpoint Management-Servers

Bereitstellungsübersicht

Wenn Sie mehrere Citrix Endpoint Management-Instanzen haben, z. B. für Test-, Entwicklungs- und Produktionsumgebungen, müssen Sie NetScaler Gateway für die zusätzlichen Umgebungen manuell konfigurieren. Wenn Sie eine funktionierende Umgebung haben, notieren Sie sich die Einstellungen, bevor Sie versuchen, NetScaler Gateway manuell für Citrix Endpoint Management zu konfigurieren.

Eine wichtige Entscheidung ist, ob HTTPS oder HTTP für die Kommunikation mit dem Citrix Endpoint Management-Server verwendet werden soll. HTTPS bietet eine sichere Backend-Kommunikation, da der Datenverkehr zwischen NetScaler Gateway und Citrix Endpoint Management verschlüsselt ist. Die erneute Verschlüsselung beeinträchtigt die Leistung des Citrix Endpoint Management-Servers. HTTP bietet eine bessere Leistung des Citrix Endpoint Management-Servers. Der Datenverkehr zwischen NetScaler Gateway und Citrix Endpoint Management ist nicht verschlüsselt. Die folgenden Tabellen zeigen die HTTP- und HTTPS-Portanforderungen für NetScaler Gateway und Citrix Endpoint Management.

HTTPS

Citrix empfiehlt in der Regel SSL Bridge für NetScaler Gateway MDM-Virtual-Server-Konfigurationen. Für die Verwendung von NetScaler Gateway SSL Offload mit MDM-Virtual-Servern unterstützt Citrix Endpoint Management nur Port 80 als Backend-Dienst.

Verwaltungsmodus NetScaler Gateway Lastausgleichsmethode SSL-Neuverschlüsselung Citrix Endpoint Management-Server-Port
MAM SSL Offload Aktiviert 8443
MDM+MAM MDM: SSL Bridge N/A 443, 8443
MDM+MAM MAM: SSL Offload Aktiviert 8443

HTTP

Verwaltungsmodus NetScaler Gateway Lastausgleichsmethode SSL-Neuverschlüsselung Citrix Endpoint Management-Server-Port
MAM SSL Offload Aktiviert 8443
MDM+MAM MDM: SSL Offload Nicht unterstützt 80
MDM+MAM MAM: SSL Offload Aktiviert 8443

Diagramme von NetScaler Gateway in Citrix Endpoint Management-Bereitstellungen finden Sie unter Architektur.

Integration mit NetScaler Gateway und Citrix ADC
April 17, 2026
Beitrag von: 
C C
April 17, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.