Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Netzwerkverbindungen
Einführung
Dieser Artikel enthält Details zu mehreren Bereitstellungsszenarien bei Verwendung eines Citrix Managed Azure-Abonnements.
Beim Erstellen eines Katalogs geben Sie an, ob und wie Benutzer von ihren Citrix DaaS Standard für Azure-Desktops und -Apps (früher Citrix Virtual Apps and Desktops Standard für Azure) auf Standorte und Ressourcen in ihrem lokalen Unternehmensnetzwerk zugreifen.
Bei Verwendung eines Citrix Managed Azure-Abonnements haben Sie folgende Auswahlmöglichkeiten:
Wenn Sie eines Ihrer eigenen, vom Kunden verwalteten Azure-Abonnements verwenden, müssen Sie keine Verbindung zu Citrix DaaS für Azure herstellen. Sie fügen einfach das Azure-Abonnement zu Citrix DaaS für Azurehinzu.
Sie können den Verbindungstyp eines Katalogs nicht mehr ändern, nachdem der Katalog erstellt wurde.
Anforderungen für alle Netzwerkverbindungen
- Beim Erstellen einer Verbindung müssen Sie über gültige DNS-Servereinträgeverfügen.
- Wenn Sie Secure DNS oder einen DNS-Anbieter eines Drittanbieters verwenden, müssen Sie den Adressbereich, der für die Verwendung durch Citrix DaaS für Azure zugewiesen ist, den IP-Adressen des DNS-Anbieters auf der Zulassungsliste hinzufügen. Dieser Adressbereich wird beim Herstellen einer Verbindung angegeben.
- Alle Dienstressourcen, die die Verbindung verwenden (der Domäne angehörende Computer), müssen Ihren Network Time Protocol (NTP)-Server erreichen können, um die Zeitsynchronisierung sicherzustellen.
Keine Konnektivität
Wenn ein Katalog mit Keine Konnektivitätkonfiguriert ist, können Benutzer nicht auf Ressourcen in ihren lokalen oder anderen Netzwerken zugreifen. Dies ist die einzige Option beim Erstellen eines Katalogs mit der Schnellerstellung.
Informationen zu Azure VNet-Peeringverbindungen
Virtuelles Netzwerk-Peering verbindet nahtlos zwei virtuelle Azure-Netzwerke (VNets): Ihr Netzwerk und das Citrix DaaS für Azure VNet. Peering ermöglicht Benutzern außerdem den Zugriff auf Dateien und andere Elemente aus Ihren lokalen Netzwerken.
Wie in der folgenden Grafik dargestellt, erstellen Sie mittels Azure VNet-Peering eine Verbindung vom Citrix Managed Azure-Abonnement zum VNet im Azure-Abonnement Ihres Unternehmens.
Hier ist eine weitere Abbildung des VNet-Peerings.
Benutzer können auf ihre lokalen Netzwerkressourcen (z. B. Dateiserver) zugreifen, indem sie beim Erstellen eines Katalogs der lokalen Domäne beitreten. (Das heißt, Sie treten der AD-Domäne bei, in der sich Dateifreigaben und andere benötigte Ressourcen befinden.) Ihr Azure-Abonnement stellt eine Verbindung zu diesen Ressourcen her (in der Grafik über ein VPN oder Azure ExpressRoute). Beim Erstellen des Katalogs geben Sie die Domänen-, Organisationseinheits- und Kontoanmeldeinformationen an.
Wichtig:
- Informieren Sie sich über VNet-Peering, bevor Sie es in Citrix DaaS für Azure verwenden.
- Erstellen Sie eine VNet-Peering-Verbindung, bevor Sie einen Katalog erstellen, der sie verwendet.
Benutzerdefinierte Routen für Azure VNet-Peering
Benutzerdefinierte oder vom Benutzer definierte Routen überschreiben die Standardsystemrouten von Azure zum Leiten des Datenverkehrs zwischen virtuellen Maschinen in einem VNet-Peering, lokalen Netzwerken und dem Internet. Sie können benutzerdefinierte Routen verwenden, wenn es Netzwerke gibt, auf die Citrix DaaS für Azure-Ressourcen zugreifen sollen, die aber nicht direkt über VNet-Peering verbunden sind. Sie können beispielsweise eine benutzerdefinierte Route erstellen, die den Datenverkehr über ein Netzwerkgerät zum Internet oder zu einem lokalen Netzwerksubnetz leitet.
So verwenden Sie benutzerdefinierte Routen:
- Sie müssen über ein vorhandenes Azure VPN-Gateway oder ein Netzwerkgerät in Ihrer Citrix DaaS für Azure-Umgebung verfügen.
- Wenn Sie benutzerdefinierte Routen hinzufügen, müssen Sie die Routentabellen Ihres Unternehmens mit den Citrix DaaS für Azure-Ziel-VNet-Informationen aktualisieren, um eine End-to-End-Konnektivität sicherzustellen.
- Benutzerdefinierte Routen werden in Citrix DaaS für Azure in der Reihenfolge angezeigt, in der sie eingegeben werden. Diese Anzeigereihenfolge hat keinen Einfluss auf die Reihenfolge, in der Azure Routen auswählt.
Lesen Sie vor der Verwendung benutzerdefinierter Routen den Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs , um mehr über die Verwendung benutzerdefinierter Routen, die Typen des nächsten Hops und die Art und Weise zu erfahren, wie Azure Routen für ausgehenden Datenverkehr auswählt.
Sie können benutzerdefinierte Routen hinzufügen, wenn Sie eine Azure VNet-Peering-Verbindung erstellen oder zu vorhandenen Verbindungen in Ihrer Citrix DaaS für Azure-Umgebung. Wenn Sie bereit sind, benutzerdefinierte Routen mit Ihrem VNet-Peering zu verwenden, lesen Sie die folgenden Abschnitte in diesem Artikel:
- Für benutzerdefinierte Routen mit neuen Azure VNet-Peerings: Erstellen einer Azure VNet-Peering-Verbindung
- Für benutzerdefinierte Routen mit vorhandenen Azure VNet-Peerings: Benutzerdefinierte Routen für vorhandene Azure VNet-Peerverbindungen verwalten
Azure VNet-Peering – Anforderungen und Vorbereitung
- Anmeldeinformationen für den Besitzer eines Azure Resource Manager-Abonnements. Dies muss ein Azure Active Directory-Konto sein. Citrix DaaS für Azure unterstützt keine anderen Kontotypen, wie etwa live.com oder externe Azure AD-Konten (in einem anderen Mandanten).
- Ein Azure-Abonnement, eine Ressourcengruppe und ein virtuelles Netzwerk (VNet).
- Richten Sie die Azure-Netzwerkrouten ein, damit VDAs im Citrix Managed Azure-Abonnement mit Ihren Netzwerkstandorten kommunizieren können.
- Öffnen Sie Azure-Netzwerksicherheitsgruppen von Ihrem VNet für den angegebenen IP-Bereich.
-
Active Directory: Für Szenarien mit Domänenbeitritt empfehlen wir, dass Sie eine Form von Active Directory-Diensten im Peering-VNet ausführen. Hierbei wird von den geringen Latenzeigenschaften der Azure VNet-Peering-Technologie profitiert.
Die Konfiguration kann beispielsweise Azure Active Directory Domain Services (AADDS), eine Domänencontroller-VM im VNet oder Azure AD Connect mit Ihrem lokalen Active Directory umfassen.
Nachdem Sie AADDS aktiviert haben, können Sie Ihre verwaltete Domäne nicht in ein anderes VNet verschieben, ohne die verwaltete Domäne zu löschen. Daher ist es wichtig, das richtige VNet auszuwählen, um Ihre verwaltete Domäne zu aktivieren. Lesen Sie, bevor Sie fortfahren, den Microsoft-Artikel Netzwerküberlegungen für Azure AD-Domänendienste.
-
VNet-IP-Bereich: Beim Erstellen der Verbindung müssen Sie einen verfügbaren CIDR-Adressraum (IP-Adresse und Netzwerkpräfix) angeben, der unter den Netzwerkressourcen und den verbundenen Azure VNets eindeutig ist. Dies ist der IP-Bereich, der den VMs innerhalb des Citrix DaaS für Azure Peered VNet zugewiesen ist.
Stellen Sie sicher, dass Sie einen IP-Bereich angeben, der sich nicht mit den Adressen überschneidet, die Sie in Ihren Azure- und lokalen Netzwerken verwenden.
-
Wenn Ihr Azure VNet beispielsweise einen Adressraum von 10.0.0.0 /16 hat, erstellen Sie die VNet-Peering-Verbindung in Citrix DaaS für Azure beispielsweise als 192.168.0.0 /24.
-
In diesem Beispiel würde das Erstellen einer Peering-Verbindung mit einem IP-Bereich 10.0.0.0 /24 als überlappender Adressbereich betrachtet werden.
Bei einer Adressenüberschneidung kann die VNet-Peering-Verbindung möglicherweise nicht erfolgreich hergestellt werden. Auch bei Site-Administrationsaufgaben funktioniert es nicht richtig.
-
Weitere Informationen zum VNet-Peering finden Sie in den folgenden Microsoft-Artikeln.
- Virtuelles Netzwerk-Peering
- Azure VPN Gateway
- Erstellen einer Site-to-Site-Verbindung im Azure-Portal
- VPN Gateway FAQ (suche nach „Überlappung“)
Erstellen einer Azure VNet-Peeringverbindung
-
Erweitern Sie im Dashboard Azure Quick Deploy verwalten > in Citrix DaaS für Azure rechts Netzwerkverbindungen . Wenn Sie bereits Verbindungen eingerichtet haben, werden diese aufgelistet.
- Klicken Sie auf Verbindung hinzufügen.
-
Klicken Sie irgendwo in das Feld Azure VNet Peering hinzufügen .
-
Klicken Sie auf Azure-Konto authentifizieren.
-
Citrix DaaS für Azure leitet Sie automatisch zur Azure-Anmeldeseite weiter, um Ihre Azure-Abonnements zu authentifizieren. Nachdem Sie sich bei Azure angemeldet haben (mit den Anmeldeinformationen des globalen Administratorkontos) und die Bedingungen akzeptiert haben, werden Sie zum Dialogfeld mit den Details zur Verbindungserstellung zurückgeleitet.
- Geben Sie einen Namen für den Azure VNet-Peer ein.
- Wählen Sie das Azure-Abonnement, die Ressourcengruppe und das VNet zum Peering aus.
- Geben Sie an, ob das ausgewählte VNet ein Azure Virtual Network Gateway verwendet. Informationen finden Sie im Microsoft-Artikel Azure VPN Gateway.
-
Wenn Sie im vorherigen Schritt mit Ja geantwortet haben (das ausgewählte VNet verwendet ein virtuelles Azure-Netzwerkgateway), geben Sie an, ob Sie die Routenausbreitung des virtuellen Netzwerkgateways aktivieren möchten. Wenn aktiviert, lernt (fügt) Azure automatisch alle Routen durch das Gateway hinzu.
Sie können diese Einstellung später auf der Seite „ Details “ der Verbindung ändern. Eine Änderung kann allerdings zu Änderungen des Routenverlaufs und zu VDA-Verkehrsunterbrechungen führen. Wenn Sie es später deaktivieren, müssen Sie außerdem manuell Routen zu Netzwerken hinzufügen, die von VDAs verwendet werden.
-
Geben Sie eine IP-Adresse ein und wählen Sie eine Netzwerkmaske aus. Angezeigt wird der zu verwendende Adressbereich sowie die Anzahl der Adressen, die der Bereich unterstützt. Stellen Sie sicher, dass sich der IP-Bereich nicht mit Adressen überschneidet, die Sie in Ihren Azure- und lokalen Netzwerken verwenden.
- Wenn Ihr Azure VNet beispielsweise einen Adressraum von 10.0.0.0 /16 hat, erstellen Sie die VNet-Peering-Verbindung in Citrix Virtual Apps and Desktops Standard beispielsweise als 192.168.0.0 /24.
- In diesem Beispiel würde das Erstellen einer VNet-Peering-Verbindung mit einem IP-Bereich 10.0.0.0 /24 als überlappender Adressbereich betrachtet werden.
Bei einer Adressenüberschneidung kann die VNet-Peering-Verbindung möglicherweise nicht erfolgreich hergestellt werden. Auch bei Site-Administrationsaufgaben funktioniert es nicht richtig.
- Geben Sie an, ob Sie der VNet-Peering-Verbindung benutzerdefinierte Routen hinzufügen möchten. Wenn Sie Jaauswählen, geben Sie die folgenden Informationen ein:
- Geben Sie einen benutzerfreundlichen Namen für die benutzerdefinierte Route ein.
- Geben Sie die Ziel-IP-Adresse und das Netzwerkpräfix ein. Das Netzwerkpräfix muss zwischen 16 und 24 liegen.
-
Wählen Sie einen nächsten Hop-Typ für die Route aus, zu der der Datenverkehr weitergeleitet werden soll. Wenn Sie Virtuelle Applianceauswählen, geben Sie die interne IP-Adresse der Appliance ein.
Weitere Informationen zu den Typen des nächsten Hops finden Sie unter Benutzerdefinierte Routen im Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs.
- Klicken Sie auf Route hinzufügen , um eine weitere benutzerdefinierte Route für die Verbindung zu erstellen.
- Klicken Sie auf VNet-Peering hinzufügen.
Nachdem die Verbindung erstellt wurde, wird sie unter Netzwerkverbindungen > Azure VNet-Peers auf der rechten Seite des Dashboards Verwalten > Azure Quick Deploy aufgeführt. Wenn Sie einen Katalog erstellen, wird diese Verbindung in die Liste der verfügbaren Netzwerkverbindungen aufgenommen.
Anzeigen von Azure VNet-Peering-Verbindungsdetails
- Erweitern Sie im Dashboard Azure Quick Deploy verwalten > in Citrix DaaS für Azure rechts Netzwerkverbindungen .
- Wählen Sie die Azure VNet-Peering-Verbindung aus, die Sie anzeigen möchten.
Zu den Einzelheiten gehören:
- Die Anzahl der Kataloge, Maschinen, Bilder und Bastionen, die diese Verbindung verwenden.
- Die Region, der zugewiesene Netzwerkplatz und die Peer-VNets.
- Die aktuell für die VNet-Peering-Verbindung konfigurierten Routen.
Verwalten benutzerdefinierter Routen für vorhandene Azure VNet-Peerverbindungen
Sie können einer vorhandenen Verbindung neue benutzerdefinierte Routen hinzufügen oder vorhandene benutzerdefinierte Routen ändern, einschließlich der Deaktivierung oder Löschung benutzerdefinierter Routen.
Wichtig:
Durch das Ändern, Deaktivieren oder Löschen benutzerdefinierter Routen wird der Datenfluss der Verbindung geändert und möglicherweise aktive Benutzersitzungen werden möglicherweise unterbrochen.
So fügen Sie eine benutzerdefinierte Route hinzu:
- Wählen Sie in den VNet-Peering-Verbindungsdetails Routen aus und klicken Sie dann auf Route hinzufügen.
- Geben Sie einen benutzerfreundlichen Namen, die Ziel-IP-Adresse und das Präfix sowie den nächsten Hop-Typ ein, den Sie verwenden möchten. Wenn Sie Virtual Appliance als nächsten Hop-Typ auswählen, geben Sie die interne IP-Adresse der Appliance ein.
- Geben Sie an, ob Sie die benutzerdefinierte Route aktivieren möchten. Standardmäßig ist die benutzerdefinierte Route aktiviert.
- Klicken Sie auf Route hinzufügen.
So ändern oder deaktivieren Sie eine benutzerdefinierte Route:
- Wählen Sie in den VNet-Peering-Verbindungsdetails Routen aus und suchen Sie dann die benutzerdefinierte Route, die Sie verwalten möchten.
-
Wählen Sie im Auslassungsmenü Bearbeitenaus.
- Nehmen Sie bei Bedarf die erforderlichen Änderungen an der Ziel-IP-Adresse und dem Präfix oder dem nächsten Hop-Typ vor.
- Um eine benutzerdefinierte Route zu aktivieren oder zu deaktivieren, wählen Sie unter Diese Route aktivieren?die Option Ja oder Neinaus.
- Klicken Sie auf Speichern.
So löschen Sie eine benutzerdefinierte Route:
- Wählen Sie in den VNet-Peering-Verbindungsdetails Routen aus und suchen Sie dann die benutzerdefinierte Route, die Sie verwalten möchten.
- Wählen Sie im Auslassungsmenü Löschenaus.
- Wählen Sie . Das Löschen einer Route kann aktive Sitzungen unterbrechen. , um die Auswirkungen des Löschens der benutzerdefinierten Route zu bestätigen.
- Klicken Sie auf Route löschen.
Löschen einer Azure VNet-Peeringverbindung
Bevor Sie einen Azure VNet-Peer löschen können, entfernen Sie alle damit verknüpften Kataloge. Siehe Einen Katalog löschen.
- Erweitern Sie im Dashboard Azure Quick Deploy verwalten > in Citrix DaaS für Azure rechts Netzwerkverbindungen .
- Wählen Sie die Verbindung aus, die Sie löschen möchten.
- Klicken Sie in den Verbindungsdetails auf Verbindung löschen.
Azure-VPN-Gateway
Die Azure VPN-Funktion ist als technische Vorschau verfügbar.
Informationen zu Azure VPN Gateway-Verbindungen
Eine Azure VPN-Gateway-Verbindung stellt eine Kommunikationsverbindung zwischen Ihren von Citrix verwalteten Azure VDAs (Desktops und Apps) und den Ressourcen Ihres Unternehmens her, beispielsweise lokalen Netzwerken oder Ressourcen an anderen Cloud-Standorten. Dies ist vergleichbar mit dem Einrichten und Herstellen einer Verbindung zu einer Remote-Zweigstelle.
Die sichere Konnektivität verwendet die Industriestandardprotokolle Internet Protocol Security (IPsec) und Internet Key Exchange (IKE).
Während des Verbindungserstellungsprozesses:
-
Sie geben Informationen an, die Citrix zum Erstellen des Gateways und der Verbindung verwendet.
-
Citrix erstellt ein Site-to-Site-routenbasiertes Azure VPN-Gateway. Das VPN-Gateway bildet einen direkten Internet Protocol Security (IPsec)-Tunnel zwischen dem von Citrix verwalteten Azure-Abonnement und dem Hostgerät Ihres VPN.
-
Nachdem Citrix das Azure VPN-Gateway und die Verbindung erstellt hat, aktualisieren Sie die Konfiguration, Firewall-Regeln und Routentabellen Ihres VPN. Für diesen Vorgang verwenden Sie eine von Citrix bereitgestellte öffentliche IP-Adresse und einen von Ihnen bereitgestellten Pre-Shared Key (PSK) zum Herstellen der Verbindung.
Eine Beispielverbindung wird in Erstellen einer Azure VPN-Gateway-Verbindungdargestellt.
Sie benötigen kein eigenes Azure-Abonnement, um diese Art von Verbindung herzustellen.
Optional können Sie mit diesem Verbindungstyp auch benutzerdefinierte Routen verwenden.
Benutzerdefinierte Routen für Azure VPN Gateway
Benutzerdefinierte oder vom Benutzer definierte Routen überschreiben standardmäßige Systemrouten zur Weiterleitung des Datenverkehrs zwischen virtuellen Maschinen in Ihren Netzwerken und dem Internet. Sie können benutzerdefinierte Routen verwenden, wenn es Netzwerke gibt, auf die Citrix Virtual Apps and Desktops Standard-Ressourcen zugreifen sollen, die aber nicht direkt über ein Azure VPN-Gateway verbunden sind. Sie können beispielsweise eine benutzerdefinierte Route erstellen, die den Datenverkehr über ein Netzwerkgerät zum Internet oder zu einem lokalen Netzwerksubnetz leitet.
Wenn Sie einer Verbindung benutzerdefinierte Routen hinzufügen, gelten diese Routen für alle Computer, die diese Verbindung verwenden.
So verwenden Sie benutzerdefinierte Routen:
- Sie müssen über ein vorhandenes virtuelles Netzwerkgateway oder ein Netzwerkgerät in Ihrer Citrix Virtual Apps and Desktops Standardumgebung verfügen.
- Wenn Sie benutzerdefinierte Routen hinzufügen, müssen Sie die Routentabellen Ihres Unternehmens mit den Ziel-VPN-Informationen aktualisieren, um eine End-to-End-Konnektivität sicherzustellen.
- Benutzerdefinierte Routen werden auf der Registerkarte Verbindung > Routen in der Reihenfolge angezeigt, in der sie eingegeben werden. Diese Anzeigereihenfolge hat keinen Einfluss auf die Reihenfolge, in der Routen ausgewählt werden.
Lesen Sie vor der Verwendung benutzerdefinierter Routen den Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs , um mehr über die Verwendung benutzerdefinierter Routen, die Typen des nächsten Hops und die Art und Weise zu erfahren, wie Azure Routen für ausgehenden Datenverkehr auswählt.
Sie können benutzerdefinierte Routen hinzufügen, wenn Sie eine Azure VPN-Gateway-Verbindung erstellen oder zu vorhandenen Verbindungen in Ihrer Serviceumgebung.
Anforderungen und Vorbereitung für die Azure VPN-Gateway-Verbindung
-
Weitere Informationen zum Azure VPN Gateway finden Sie im Microsoft-Artikel Was ist ein VPN Gateway?
-
Überprüfen Sie die Anforderungen für alle Netzwerkverbindungen.
-
Sie müssen über ein konfiguriertes VPN verfügen. Das virtuelle Netzwerk muss in der Lage sein, Datenverkehr über das VPN-Gateway zu senden und zu empfangen. Ein virtuelles Netzwerk kann nicht mit mehr als einem virtuellen Netzwerkgateway verknüpft werden.
-
Sie müssen über ein IPsec-Gerät mit einer öffentlichen IP-Adresse verfügen. Weitere Informationen zu validierten VPN-Geräten finden Sie im Microsoft-Artikel Informationen zu VPN-Geräten.
-
Lesen Sie sich das Verfahren Erstellen einer Azure VPN Gateway-Verbindung noch einmal durch, bevor Sie es tatsächlich starten, damit Sie die benötigten Informationen sammeln können. Sie benötigen beispielsweise zulässige Adressen in Ihrem Netzwerk, IP-Bereiche für die VDAs und das Gateway, den gewünschten Durchsatz und das gewünschte Leistungsniveau sowie DNS-Serveradressen.
Erstellen einer Azure VPN-Gatewayverbindung
Lesen Sie sich dieses Verfahren unbedingt noch einmal durch, bevor Sie es tatsächlich starten.
Das folgende Diagramm zeigt ein Beispiel für die Konfiguration einer Azure VPN-Gateway-Verbindung. Im Allgemeinen verwaltet Citrix die Ressourcen auf der linken Seite des Diagramms und Sie verwalten die Ressourcen auf der rechten Seite. Einige Beschreibungen im folgenden Verfahren enthalten Verweise auf die Beispiele im Diagramm.
-
Erweitern Sie im Dashboard Verwalten in Citrix DaaS für Azure rechts Netzwerkverbindungen .
-
Klicken Sie auf Verbindung hinzufügen.
-
Klicken Sie irgendwo in das Feld Azure VPN Gateway .
-
Überprüfen Sie die Informationen auf der Seite VPN-Verbindung hinzufügen und klicken Sie dann auf VPN-Konfiguration beginnen.
-
Geben Sie auf der Seite Verbindung hinzufügen die folgenden Informationen ein.
-
Name: Ein Name für die Verbindung. (Im Diagramm lautet der Name TestVPNGW1.)
-
VPN-IP-Adresse: Ihre öffentliche IP-Adresse.
Im Diagramm lautet die Adresse 40.71.184.214.
-
Erlaubte Netzwerke: Ein oder mehrere Adressbereiche, auf die der Citrix-Dienst in Ihrem Netzwerk zugreifen darf. Normalerweise enthält dieser Adressbereich die Ressourcen, auf die Ihre Benutzer zugreifen müssen, beispielsweise Dateiserver.
Um mehr als einen Bereich hinzuzufügen, klicken Sie auf , fügen Sie weitere IP-Adressen hinzu und geben Sie einen Wert ein. Bei Bedarf wiederholen.
Im Diagramm ist der Adressbereich 192.168.3.0/24.
-
Vorinstallierter Schlüssel: Ein Wert, der von beiden Enden des VPN zur Authentifizierung verwendet wird (ähnlich einem Passwort). Sie entscheiden, wie hoch dieser Wert ist. Notieren Sie sich unbedingt den Wert. Sie benötigen es später, wenn Sie Ihr VPN mit den Verbindungsinformationen konfigurieren.
-
Leistung und Durchsatz: Die zu verwendende Bandbreitenstufe, wenn Ihre Benutzer auf Ressourcen in Ihrem Netzwerk zugreifen.
Nicht alle Auswahlmöglichkeiten unterstützen unbedingt das Border Gateway Protocol (BGP). In diesen Fällen sind die Felder BCP-Einstellungen nicht verfügbar.
-
Region: Azure-Region, in der Citrix Maschinen bereitstellt, die Desktops und Apps (VDAs) bereitstellen, wenn Sie Kataloge erstellen, die diese Verbindung verwenden. Sie können diese Auswahl nach dem Herstellen der Verbindung nicht mehr ändern. Wenn Sie sich später für die Verwendung einer anderen Region entscheiden, müssen Sie eine andere Verbindung erstellen oder verwenden, die die gewünschte Region angibt.
Im Diagramm ist die Region EastUS.
-
Aktiv-Aktiv-Modus (hohe Verfügbarkeit): Ob zwei VPN-Gateways für hohe Verfügbarkeit erstellt werden. Wenn dieser Modus aktiviert ist, ist immer nur ein Gateway aktiv. Informationen zum Active/Active Azure VPN Gateway finden Sie im Microsoft-Dokument Hochverfügbare standortübergreifende Konnektivität.
-
BGP-Einstellungen: (Nur verfügbar, wenn die ausgewählte Leistung und der ausgewählte Durchsatz BGP unterstützen.) Gibt an, ob das Border Gateway Protocol (BGP) verwendet werden soll. Erfahren Sie mehr über BGP im Microsoft-Dokument: Informationen zu BGP mit Azure VPN Gateway. Wenn Sie BGP aktivieren, geben Sie die folgenden Informationen an:
-
Autonome Systemnummer (ASN): Azure virtuellen Netzwerkgateways wird eine Standard-ASN von 65515 zugewiesen. Eine BGP-fähige Verbindung zwischen zwei Netzwerk-Gateways erfordert, dass ihre ASNs unterschiedlich sind. Bei Bedarf können Sie die ASN jetzt oder nach der Erstellung des Gateways ändern.
-
BGP-IP-Peering-IP-Adresse: Azure unterstützt BGP-IP im Bereich 169.254.21.x bis 169.254.22.x.
-
-
VDA-Subnetz: Der Adressbereich, in dem sich Citrix VDAs (Maschinen, die Desktops und Apps bereitstellen) und Cloud Connectors befinden, wenn Sie einen Katalog erstellen, der diese Verbindung verwendet. Nachdem Sie eine IP-Adresse eingegeben und eine Netzwerkmaske ausgewählt haben, wird der Adressbereich sowie die Anzahl der vom Bereich unterstützten Adressen angezeigt.
Although this address range is maintained in the Citrix-managed Azure subscription, it functions as if it is an extension of your network.
-
Der IP-Bereich darf sich nicht mit Adressen überschneiden, die Sie in Ihren lokalen oder anderen Cloud-Netzwerken verwenden. Bei einer Adressüberschneidung kann es vorkommen, dass die Verbindung nicht erfolgreich hergestellt werden kann. Darüber hinaus funktioniert eine überlappende Adresse für Site-Administrationsaufgaben nicht richtig.
-
Der VDA-Subnetzbereich muss sich von der Gateway-Subnetzadresse unterscheiden.
-
Sie können diesen Wert nach dem Herstellen der Verbindung nicht mehr ändern. Um einen anderen Wert zu verwenden, erstellen Sie eine andere Verbindung.
Im Diagramm ist das VDA-Subnetz 10.11.0.0/16.
-
-
Gateway-Subnetz: Der Adressbereich, in dem sich das Azure VPN-Gateway befindet, wenn Sie einen Katalog erstellen, der diese Verbindung verwendet.
-
Der IP-Bereich darf sich nicht mit Adressen überschneiden, die Sie in Ihren lokalen oder anderen Cloud-Netzwerken verwenden. Bei einer Adressüberschneidung kann es vorkommen, dass die Verbindung nicht erfolgreich hergestellt werden kann. Darüber hinaus funktioniert eine überlappende Adresse für Site-Administrationsaufgaben nicht richtig.
-
Der Gateway-Subnetzbereich muss sich von der VDA-Subnetzadresse unterscheiden.
-
Sie können diesen Wert nach dem Herstellen der Verbindung nicht mehr ändern. Um einen anderen Wert zu verwenden, erstellen Sie eine andere Verbindung.
Im Diagramm ist das Gateway-Subnetz 10.12.0.9/16.
-
-
Routen: Geben Sie an, ob Sie der Verbindung benutzerdefinierte Routen hinzufügen möchten. Wenn Sie benutzerdefinierte Routen hinzufügen möchten, geben Sie die folgenden Informationen an:
-
Geben Sie einen benutzerfreundlichen Namen für die benutzerdefinierte Route ein.
-
Geben Sie die Ziel-IP-Adresse und das Netzwerkpräfix ein. Das Netzwerkpräfix muss zwischen 16 und 24 liegen.
-
Wählen Sie einen nächsten Hop-Typ für die Route aus, zu der der Datenverkehr weitergeleitet werden soll. Wenn Sie **Virtuelle Appliance“ auswählen, geben Sie die interne IP-Adresse der Appliance ein. Weitere Informationen zu den Typen des nächsten Hops finden Sie unter Benutzerdefinierte Routen im Microsoft-Artikel Routing des virtuellen Netzwerkverkehrs.
-
Um mehr als eine Route hinzuzufügen, klicken Sie auf Route hinzufügen und geben Sie die angeforderten Informationen ein.
-
DNS-Server: Geben Sie die Adressen Ihrer DNS-Server ein und geben Sie den bevorzugten Server an. Obwohl Sie die DNS-Servereinträge später ändern können, sollten Sie bedenken, dass eine Änderung dieser Einträge möglicherweise zu Verbindungsproblemen bei den Maschinen in Katalogen führen kann, die diese Verbindung verwenden.
Um mehr als zwei DNS-Serveradressen hinzuzufügen, klicken Sie auf Alternative DNS hinzufügen und geben Sie dann die angeforderten Informationen ein.
-
-
Klicken Sie auf VPN-Verbindung erstellen.
Nachdem Citrix die Verbindung hergestellt hat, wird sie unter Netzwerkverbindungen > Azure VPN Gateway auf dem Dashboard Verwalten in Citrix DaaS für Azure aufgeführt. Die Anschlusskarte enthält eine öffentliche IP-Adresse. (Im Diagramm lautet die Adresse 131.1.1.1.)
-
Verwenden Sie diese Adresse (und den vorab freigegebenen Schlüssel, den Sie beim Erstellen der Verbindung angegeben haben), um Ihr VPN und Ihre Firewalls zu konfigurieren. Wenn Sie Ihren Pre-Shared Key vergessen haben, können Sie ihn auf der Seite „ Details “ der Verbindung ändern. Sie benötigen den neuen Schlüssel, um Ihr Ende des VPN-Gateways zu konfigurieren.
Lassen Sie beispielsweise Ausnahmen in Ihrer Firewall für die von Ihnen konfigurierten VDA- und Gateway-Subnetz-IP-Adressbereiche zu.
-
Aktualisieren Sie die Routentabellen Ihres Unternehmens mit den Verbindungsinformationen des Azure VPN-Gateways, um eine End-to-End-Konnektivität sicherzustellen.
Im Diagramm werden neue Routen für den Datenverkehr von 192.168.3.0/24 zu 10.11.0.0/16 und 10.12.0.9/16 (die VDA- und Gateway-Subnetze) benötigt.
-
Wenn Sie benutzerdefinierte Routen konfiguriert haben, nehmen Sie auch für diese die entsprechenden Aktualisierungen vor.
Wenn beide Enden der Verbindung erfolgreich konfiguriert sind, zeigt der Eintrag der Verbindung in Netzwerkverbindungen > Azure VPN Gateway Einsatzbereitan.
Anzeigen einer Azure VPN-Gatewayverbindung
-
Erweitern Sie im Dashboard Verwalten in Citrix DaaS für Azure rechts Netzwerkverbindungen .
-
Wählen Sie die Verbindung aus, die Sie anzeigen möchten.
Zeigt:
-
Die Registerkarte Details zeigt die Anzahl der Kataloge, Maschinen, Bilder und Bastionen, die diese Verbindung verwenden. Es enthält auch die meisten Informationen, die Sie für diese Verbindung konfiguriert haben.
-
Die Registerkarte Routen listet benutzerdefinierte Routeninformationen für die Verbindung auf.
Verwalten benutzerdefinierter Routen für eine Azure VPN-Gatewayverbindung
In einer bestehenden Azure VPN-Gateway-Verbindung können Sie benutzerdefinierte Routen hinzufügen, ändern, deaktivieren und löschen.
Informationen zum Hinzufügen benutzerdefinierter Routen beim Erstellen einer Verbindung finden Sie unter Erstellen einer Azure VPN-Gateway-Verbindung.
Wichtig:
Das Ändern, Deaktivieren oder Löschen benutzerdefinierter Routen ändert den Datenfluss der Verbindung und kann aktive Benutzersitzungen stören.
-
Erweitern Sie im Dashboard Verwalten in Citrix DaaS für Azure rechts Netzwerkverbindungen .
-
Wählen Sie die Verbindung aus, die Sie anzeigen möchten.
-
So fügen Sie eine benutzerdefinierte Route hinzu:
-
Klicken Sie auf der Registerkarte Routen der Verbindung auf Route hinzufügen.
-
Geben Sie einen benutzerfreundlichen Namen, die Ziel-IP-Adresse und das Präfix sowie den nächsten Hop-Typ ein, den Sie verwenden möchten. Wenn Sie Virtual Appliance als nächsten Hop-Typ auswählen, geben Sie die interne IP-Adresse der Appliance ein.
-
Geben Sie an, ob Sie die benutzerdefinierte Route aktivieren möchten. Standardmäßig ist die benutzerdefinierte Route aktiviert.
-
Klicken Sie auf Route hinzufügen.
-
-
So ändern oder aktivieren/deaktivieren Sie eine benutzerdefinierte Route:
-
Suchen Sie auf der Registerkarte Routen der Verbindung die benutzerdefinierte Route, die Sie verwalten möchten.
-
Wählen Sie im Auslassungsmenü Bearbeitenaus.
-
Ändern Sie nach Bedarf die Ziel-IP-Adresse und das Präfix oder den nächsten Hop-Typ.
-
Geben Sie an, ob Sie die Route aktivieren möchten.
-
Klicken Sie auf Speichern.
-
-
So löschen Sie eine benutzerdefinierte Route:
-
Suchen Sie auf der Registerkarte Routen der Verbindung die benutzerdefinierte Route, die Sie verwalten möchten.
-
Wählen Sie im Auslassungsmenü Löschenaus.
-
Wählen Sie . Das Löschen einer Route kann aktive Sitzungen unterbrechen. , um die Auswirkungen des Löschens der benutzerdefinierten Route zu bestätigen.
-
Klicken Sie auf Route löschen.
-
-
Zurücksetzen oder Löschen einer Azure VPN-Gatewayverbindung
Wichtig:
Das Zurücksetzen einer Verbindung führt dazu, dass die aktuelle Verbindung verloren geht und beide Enden sie wiederherstellen müssen. Ein Reset unterbricht aktive Benutzersitzungen.
Bevor Sie eine Verbindung löschen können, löschen Sie alle Kataloge, die sie verwenden. Siehe Einen Katalog löschen.
So setzen Sie eine Verbindung zurück oder löschen sie:
-
Erweitern Sie im Dashboard Verwalten in Citrix DaaS für Azure rechts Netzwerkverbindungen .
-
Wählen Sie die Verbindung aus, die Sie zurücksetzen oder löschen möchten.
-
Über die Registerkarte Details der Verbindung:
-
Um die Verbindung zurückzusetzen, klicken Sie auf Verbindung zurücksetzen.
-
Um die Verbindung zu löschen, klicken Sie auf Verbindung löschen.
-
-
Bestätigen Sie die Aktion, wenn Sie dazu aufgefordert werden.
Erstellen einer öffentlichen statischen IP-Adresse
Wenn Sie möchten, dass alle Maschinen-VDAs einer Verbindung eine einzige ausgehende öffentliche statische IP-Adresse (Gateway) zum Internet verwenden, aktivieren Sie ein NAT-Gateway. Sie können ein NAT-Gateway für Verbindungen zu Katalogen aktivieren, die einer Domäne angehören oder nicht.
So aktivieren Sie ein NAT-Gateway für eine Verbindung:
- Erweitern Sie im Dashboard Azure Quick Deploy verwalten > in Citrix DaaS für Azure rechts Netzwerkverbindungen .
- Wählen Sie unter Netzwerkverbindungeneine Verbindung unter CITRIX MANAGED oder AZURE VNET PEERINGSaus.
- Klicken Sie in der Verbindungsdetailseite auf NAT-Gateway aktivieren.
- Bewegen Sie auf der Seite „NAT-Gateway aktivieren“ den Schieberegler auf Ja und konfigurieren Sie eine Leerlaufzeit.
- Klicken Sie auf Änderungen bestätigen.
Wenn Sie ein NAT-Gateway aktivieren:
-
Azure weist dem Gateway automatisch eine öffentliche statische IP-Adresse zu. (Sie können diese Adresse nicht angeben.) Alle VDAs in allen Katalogen, die diese Verbindung verwenden, verwenden diese Adresse für die ausgehende Konnektivität.
-
Sie können einen Leerlauf-Timeout-Wert angeben. Dieser Wert gibt die Anzahl der Minuten an, die eine offene ausgehende Verbindung über das NAT-Gateway im Leerlauf bleiben kann, bevor die Verbindung geschlossen wird.
-
Sie müssen die öffentliche statische IP-Adresse in Ihrer Firewall zulassen.
Sie können zur Karte mit den Verbindungsdetails zurückkehren, um das NAT-Gateway zu aktivieren oder zu deaktivieren und den Timeout-Wert zu ändern.
In diesem Artikel
- Einführung
- Anforderungen für alle Netzwerkverbindungen
- Keine Konnektivität
-
Informationen zu Azure VNet-Peeringverbindungen
- Benutzerdefinierte Routen für Azure VNet-Peering
- Azure VNet-Peering – Anforderungen und Vorbereitung
- Erstellen einer Azure VNet-Peeringverbindung
- Anzeigen von Azure VNet-Peering-Verbindungsdetails
- Verwalten benutzerdefinierter Routen für vorhandene Azure VNet-Peerverbindungen
- Löschen einer Azure VNet-Peeringverbindung
-
Azure-VPN-Gateway
- Informationen zu Azure VPN Gateway-Verbindungen
- Benutzerdefinierte Routen für Azure VPN Gateway
- Anforderungen und Vorbereitung für die Azure VPN-Gateway-Verbindung
- Erstellen einer Azure VPN-Gatewayverbindung
- Anzeigen einer Azure VPN-Gatewayverbindung
- Verwalten benutzerdefinierter Routen für eine Azure VPN-Gatewayverbindung
- Zurücksetzen oder Löschen einer Azure VPN-Gatewayverbindung
- Erstellen einer öffentlichen statischen IP-Adresse