Citrix Gateway 13.0

Zulassen des Zugriffs über mobile Geräte mit mobilen Produktivitätsapps von Citrix

Der Citrix ADC für XenMobile-Assistent konfiguriert die erforderlichen Einstellungen, damit Benutzer von unterstützten Geräten über Citrix Gateway eine Verbindung zu mobilen Apps und Ressourcen im internen Netzwerk herstellen können. Benutzer stellen eine Verbindung über Secure Hub (früher Worx Home) her, der einen Micro VPN-Tunnel einrichtet. Wenn Benutzer eine Verbindung herstellen, wird ein VPN-Tunnel für Citrix Gateway geöffnet und anschließend im internen Netzwerk an XenMobile übergeben. Benutzer können dann über XenMobile auf ihre Web-, Mobil- und SaaS-Apps zugreifen.

Um sicherzustellen, dass Benutzer beim gleichzeitigen Herstellen einer Verbindung mit Citrix Gateway mit mehreren Geräten eine einzige Universallizenz verwenden, können Sie die Sitzungstransfer auf dem virtuellen Server aktivieren. Einzelheiten finden Sie unter Konfigurieren von Verbindungstypen auf dem virtuellen Server.

Wenn Sie Ihre Konfiguration nach der Verwendung des Citrix ADC für XenMobile-Assistenten ändern müssen, verwenden Sie die Abschnitte in diesem Artikel als Anhaltspunkte. Stellen Sie vor dem Ändern der Einstellungen sicher, dass Sie die Auswirkungen Ihrer Änderungen verstehen. Weitere Informationen finden Sie in denBereitstellung von XenMobileArtikeln.

Konfigurieren von Secure Browse in Citrix Gateway

Sie können Secure Browse als Teil der globalen Einstellungen oder als Teil eines Sitzungsprofils ändern. Sie können die Sitzungsrichtlinie an Benutzer, Gruppen oder virtuelle Server binden. Wenn Sie Secure Browse konfigurieren, müssen Sie auch den clientlosen Zugriff aktivieren. Für den clientlosen Zugriff ist es jedoch nicht erforderlich, Secure Browse zu aktivieren. Wenn Sie den clientlosen Zugriff konfigurieren, legen Sie die URL-Encodierung für den Clientlosen Zugriff auf Löschen fest.

So konfigurieren Sie Secure Browse global:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie im Dialogfeld Globale Citrix Gateway-Einstellungen auf der Registerkarte Sicherheit auf Secure Browse, und klicken Sie dann auf OK.

So konfigurieren Sie Secure Browse in einer Sitzungsrichtlinie und einem Profil:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung .
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Wenn Sie eine neue Sitzungsrichtlinie erstellen, klicken Sie auf Hinzufügen.
    • Wenn Sie eine vorhandene Richtlinie ändern, wählen Sie eine Richtlinie aus, und klicken Sie dann auf Öffnen.
  3. Erstellen Sie in der Richtlinie ein neues Profil oder ändern Sie ein vorhandenes Profil. Führen Sie hierzu einen der folgenden Schritte aus:
    • Klicken Sie neben Profil anfordernauf Neu.
    • Klicken Sie neben Profil anfordernauf Ändern.
  4. Klicken Sie auf der Registerkarte Sicherheit neben Secure Browse auf Global überschreiben, und wählen Sie dann Secure Browse aus.
  5. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie ein neues Profil erstellen, klicken Sie auf Erstellen, legen Sie den Ausdruck im Richtliniendialogfeld fest, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
    • Wenn Sie ein vorhandenes Profil ändern, klicken Sie nach der Auswahl zweimal auf OK.

So konfigurieren Sie Verkehrsrichtlinien für Secure Web im Secure Browse-Modus:

Gehen Sie wie folgt vor, um Datenverkehrsrichtlinien so zu konfigurieren, dass Secure Web Datenverkehr über einen Proxyserver im Modus “Secure Browse” weitergeleitet wird.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte KonfigurationCitrix Gateway > Richtlinien, und klicken Sie dann auf Datenverkehr.
  2. Klicken Sie im rechten Bereich auf die Registerkarte Datenverkehrsprofile, und klicken Sie dann auf Hinzufügen.
  3. Geben Sie unter Nameeinen Namen für das Profil ein, wählen Sie TCPals Protokollaus, und lassen Sie die restlichen Einstellungen unverändert.
  4. Klicken Sie auf Erstellen.
  5. Klicken Sie auf die Registerkarte Datenverkehrsprofile und dann auf Hinzufügen.
  6. Geben Sie unter Nameeinen Namen für das Profil ein, und wählen Sie dann HTTPals Protokollaus. Dieses Verkehrsprofil ist sowohl für HTTP als auch für SSL geeignet. CVPN-Datenverkehr ist entwurfsweise HTTP-Datenverkehr, unabhängig vom Zielport oder Diensttyp. Daher geben Sie sowohl SSL- als auch HTTP-Datenverkehr im Datenverkehrsprofil als HTTP an.
  7. Geben Sie unter Proxydie IP-Adresse des Proxyservers ein. Geben Sie unter Portdie Portnummer des Proxyservers ein.
  8. Klicken Sie auf Erstellen.
  9. Klicken Sie auf die Registerkarte Datenverkehrsprofile und dann auf Hinzufügen.
  10. Geben Sie den Namen der Verkehrsrichtlinie ein, und wählen Sie für Anforderungsprofil das Verkehrsprofil aus, das Sie in Schritt 3 erstellt haben. Geben Sie den folgenden Ausdruck ein, und klicken Sie dann auf Erstellen:

    REQ.HTTP.HEADER HOST contains ActiveSyncServer   REQ.HTTP.HEADER User-Agent CONTAINS WorxMail   REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise   REQ.HTTP.HEADER User-Agent CONTAINS WorxHome   REQ.HTTP.URL CONTAINS AGServices   REQ.HTTP.URL CONTAINS StoreWeb

    Diese Regel führt eine Überprüfung basierend auf dem Host-Header durch. Um den ActiveSync-Datenverkehr vom Proxy zu umgehen, ersetzen Sie ActiveSyncServer durch den entsprechenden ActiveSync-Servernamen.

  11. Klicken Sie auf die Registerkarte Datenverkehrsprofile und dann auf Hinzufügen. Geben Sie den Namen der Datenverkehrsrichtlinie ein, und wählen Sie für Anforderungsprofil das in Schritt 6 erstellte Verkehrsprofil aus. Geben Sie den folgenden Ausdruck ein, und klicken Sie dann auf Erstellen:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 80
  12. Klicken Sie auf die Registerkarte Datenverkehrsprofile und dann auf Hinzufügen. Geben Sie den Namen der Verkehrsrichtlinie ein, und wählen Sie für Anforderungsprofil das in Schritt 6 erstellte Verkehrsprofil aus. Geben Sie den folgenden Ausdruck ein, und klicken Sie dann auf Erstellen:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 443
  13. Navigieren Sie zu Citrix Gateway > Virtuelle Server, wählen Sie den virtuellen Server aus und klicken Sie auf Bearbeiten.
  14. Klicken Sie in der Zeile Richtlinien auf +.
  15. Wählen Sie im Menü Richtlinie auswählen die Option Datenverkehr aus.
  16. Klicken Sie auf Weiter.
  17. Klicken Sie unter Richtlinienbindunggegenüber Richtlinie auswählenauf >.
  18. Wählen Sie die Richtlinie aus, die Sie in Schritt 10 erstellt haben, und klicken Sie dann auf OK.
  19. Klicken Sie auf Bind.
  20. Klicken Sie unter Richtlinienauf Verkehrsrichtlinie.
  21. Klicken Sie unter VPN Virtual Server Traffic Policy Bindingauf Bindung hinzufügen.
  22. Klicken Sie unter Richtlinienbindungneben dem Menü Richtlinie auswählenauf >, um die Richtlinienliste anzuzeigen.
  23. Wählen Sie die Richtlinie aus, die Sie in Schritt 17 erstellt haben, und klicken Sie dann auf OK.**
  24. Klicken Sie auf Bind.
  25. Klicken Sie unter Richtlinienauf Verkehrsrichtlinien.
  26. Klicken Sie unter VPN Virtual Server Traffic Policy Bindingauf Bindung hinzufügen.
  27. Klicken Sie unter Richtlinienbindungneben dem Menü Richtlinie auswählenauf >, um die Richtlinienliste anzuzeigen.
  28. Wählen Sie die Richtlinie aus, die Sie in Schritt 18 erstellt haben, und klicken Sie dann auf OK.
  29. Klicken Sie auf Bind.
  30. Klicken Sie auf Schließen.
  31. Klicken Sie auf Fertig.

Stellen Sie sicher, dass Sie die Secure Web (WorxWeb) -App in der XenMobile-Konsole konfigurieren. Wechseln Sie zu Konfigurieren > Apps, wählen Sie die Secure Web App aus, klicken Sie auf Bearbeiten, und nehmen Sie dann die folgenden Änderungen vor:

  • Ändern Sie auf der Seite App-Informationen den initialen VPN-Modus in Secure Browse.
  • Ändern Sie auf der iOS -Seite den initialen VPN-Modus in Secure Browse.
  • Ändern Sie auf der Android -Seite den bevorzugten VPN-Modus in Secure Browse.

Konfigurieren von Zeitüberschreitungen für Anwendungs- und MDX-Token

Wenn sich Benutzer von einem iOS- oder Android-Gerät anmelden, wird ein Anwendungstoken oder ein MDX-Token ausgegeben. Das Token ähnelt der Secure Ticket Authority (STA).

Sie können festlegen, wie viele Sekunden oder Minuten die Token aktiv sind. Wenn das Token abläuft, können Benutzer nicht auf die angeforderte Ressource zugreifen, z. B. eine Anwendung oder eine Webseite.

Token-Zeitüberschreitungen sind globale Einstellungen. Wenn Sie die Einstellung konfigurieren, gilt sie für alle Benutzer, die sich bei Citrix Gateway anmelden.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie im Dialogfeld Globale Citrix Gateway-Einstellungen auf der Registerkarte Client Experience auf Erweiterte Einstellungen.
  4. Geben Sie auf der Registerkarte Allgemein unter Zeitüberschreitung für Anwendungstoken (Sek.) die Anzahl der Sekunden ein, bevor das Token abläuft. Der Standardwert ist 100 Sekunden.
  5. Geben Sie in MDX-Token Timeout (Minuten)die Anzahl der Minuten ein, bevor das Token abläuft, und klicken Sie dann auf OK. Der Standardwert ist 10 Minuten.

Deaktivieren der Endpunktanalyse für mobile Geräte

Wenn Sie die Endpunktanalyse konfigurieren, müssen Sie die Richtlinienausdrücke so konfigurieren, dass die Endpunktanalysescans nicht auf mobilen Android- oder iOS-Geräten ausgeführt werden. Endpunktanalysescans werden auf mobilen Geräten nicht unterstützt.

Wenn Sie eine Endpunktanalyse-Richtlinie an einen virtuellen Server binden, müssen Sie einen sekundären virtuellen Server für mobile Geräte erstellen. Binden Sie keine Vorauthentifizierungs- oder Nachauthentifizierungsrichtlinien an den virtuellen Server für mobile Geräte.

Wenn Sie den Richtlinienausdruck in einer Vorauthentifizierungsrichtlinie konfigurieren, fügen Sie die Zeichenfolge User-Agent hinzu, um Android oder iOS auszuschließen. Wenn sich Benutzer von einem dieser Geräte anmelden und Sie den Gerätetyp ausschließen, wird die Endpunktanalyse nicht ausgeführt.

Beispielsweise erstellen Sie den folgenden Richtlinienausdruck, um zu überprüfen, ob der User-Agent Android enthält, ob die Anwendung virus.exe nicht vorhanden ist, und beenden Sie den Prozess keylogger.exe, wenn er mit dem Vorauthentifizierungsprofil ausgeführt wird. Der Richtlinienausdruck könnte folgendermaßen aussehen:

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains   CLIENT.APPLICATION.PROCESS (virus.exe) contains

Binden Sie die Richtlinie nach dem Erstellen der Vorauthentifizierungsrichtlinie und des Profils an den virtuellen Server. Wenn sich Benutzer von einem Android- oder iOS-Gerät anmelden, wird der Scan nicht ausgeführt. Wenn sich Benutzer von einem Windows-basierten Gerät anmelden, wird der Scan ausgeführt.

Weitere Hinweise zum Konfigurieren von Richtlinien zur Vorauthentifizierung finden Sie unterKonfigurieren von Endpunktrichtlinien.

Unterstützung von DNS-Abfragen durch Verwendung von DNS-Suffixe für Android-Geräte

Wenn Benutzer eine Micro-VPN-Verbindung von einem Android-Gerät herstellen, sendet Citrix Gateway geteilte DNS-Einstellungen an das Benutzergerät. Citrix Gateway unterstützt geteilte DNS-Abfragen basierend auf den von Ihnen konfigurierten geteilten DNS-Einstellungen. Citrix Gateway kann auch geteilte DNS-Abfragen unterstützen, die auf DNS-Suffixe basieren, die Sie auf der Appliance konfigurieren. Wenn Benutzer über ein Android-Gerät eine Verbindung herstellen, müssen Sie DNS-Einstellungen auf Citrix Gateway konfigurieren.

Split DNS funktioniert auf folgende Weise:

  • Wenn Sie Split DNS auf Lokalsetzen, sendet das Android-Gerät alle DNS-Anfragen an den lokalen DNS-Server.
  • Wenn Sie geteiltes DNS auf Remotefestlegen, werden alle DNS-Anforderungen an die DNS-Server gesendet, die auf Citrix Gateway (Remote-DNS-Server) zur Auflösung konfiguriert sind.
  • Wenn Sie Split-DNS auf Beidefestlegen, sucht das Android-Gerät nach dem DNS-Anforderungstyp.
    • Wenn der DNS-Anforderungstyp nicht “A” ist, sendet er das DNS-Anforderungspaket an lokale und Remote-DNS-Server.
    • Wenn der DNS-Anforderungstyp “A” lautet, extrahiert das Android-Plugin Abfrage-FQDN und gleicht diesen FQDN mit der DNS-Suffixliste ab, die auf Citrix ADC konfiguriert ist. Wenn der FQDN der DNS-Anforderung übereinstimmt, wird die DNS-Anforderung an den Remote-DNS-Server gesendet. Wenn der FQDN nicht übereinstimmt, wird die DNS-Anforderung an lokale DNS-Server gesendet.

In der folgenden Tabelle werden geteilte DNS zusammengefasst, die auf der Grundlage des Datensatzes Typ A und der Suffixliste arbeiten.

DNS-Einstellung teilen Ist es ein Datensatz vom Typ A? Ist es auf der Suffixliste? Wo die DNS-Anforderung gesendet wird
Lokal beide Ja oder Nein beide Ja oder Nein Lokal
Remote beide Ja oder Nein beide Ja oder Nein Remote
Beide Nein Nicht verfügbar Beide
Beide Ja Ja Remote
Beide Ja Nein Lokal

So konfigurieren Sie ein DNS-Suffix:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung .
  2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien eine Sitzungsrichtlinie aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie neben Profil anfordernauf Ändern.
  4. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
  5. Klicken Sie neben Intranet-IP-DNS-Suffixauf Global überschreiben, geben Sie das DNS-Suffix ein, und klicken Sie dann dreimal auf OK.

So konfigurieren Sie geteiltes DNS global auf Citrix Gateway:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Clienterfahrung auf Erweiterte Einstellungen.
  4. Wählen Sie auf der Registerkarte Allgemein unter DNS teilen die Option Beide, Remote oder Lokal aus, und klicken Sie dann auf OK.

So konfigurieren Sie geteilte DNS in einer Sitzungsrichtlinie auf Citrix Gateway:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung .
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie unter Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie unter Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Clienterfahrung auf Erweiterte Einstellungen.
  7. Klicken Sie auf der Registerkarte Allgemein neben DNS teilen auf Global überschreiben, wählen Sie Beide, Remote oder Lokal aus, und klicken Sie dann auf OK.
  8. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrückedie Option Allgemein aus, wählen Sie True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.
Zulassen des Zugriffs über mobile Geräte mit mobilen Produktivitätsapps von Citrix