Citrix Gateway 13.0

Checkliste für die Installation

Die Checkliste enthält eine Liste der Aufgaben und Planungsinformationen, die Sie vor der Installation von Citrix Gateway ausführen sollten.

Es wird Platz bereitgestellt, damit Sie jede Aufgabe beim Abschluss abchecken und Notizen machen können. Citrix empfiehlt, sich die Konfigurationswerte zu notieren, die Sie während des Installationsvorgangs und beim Konfigurieren von Citrix Gateway eingeben müssen.

Informationen zum Installieren und Konfigurieren von Citrix Gateway finden Sie unterInstallieren von Citrix Gateway.

Benutzergeräte

  • Stellen Sie sicher, dass Benutzergeräte die Installationsvoraussetzungen erfüllen, die unter Systemanforderungen für das Citrix Gateway-Plug-In
  • Identifizieren Sie die mobilen Geräte, mit denen Benutzer eine Verbindung herstellen. Hinweis: Wenn Benutzer eine Verbindung mit einem iOS-Gerät herstellen, müssen Sie Secure Browse in einem Sitzungsprofil aktivieren.

Citrix Gateway Grundlegende Netzwerkkonnektivität

Citrix empfiehlt, Lizenzen und signierte Serverzertifikate zu beziehen, bevor Sie mit der Konfiguration der Appliance beginnen.

  • Identifizieren und notieren Sie den Citrix Gateway-Hostnamen. Hinweis: Dies ist nicht der vollqualifizierte Domänenname (FQDN). Der FQDN ist im signierten Serverzertifikat enthalten, das an den virtuellen Server gebunden ist.
  • Erhalten Sie universelle Lizenzen von derCitrix-Website
  • Generieren Sie eine Certificate Signing Request (CSR) und senden Sie sie an eine Certificate Authority (CA). Geben Sie das Datum ein, an dem Sie die CSR an die Zertifizierungsstelle senden.
  • Notieren Sie sich die System-IP-Adresse und die Subnetzmaske.
  • Notieren Sie die Subnetz-IP-Adresse und die Subnetzmaske.
  • Notieren Sie sich das Administratorkennwort. Das Standardkennwort, das mit Citrix Gateway geliefert wird, ist nsroot.
  • Notieren Sie sich die Portnummer. Dies ist der Port, auf dem Citrix Gateway auf sichere Benutzerverbindungen wartet. Der Standardwert ist TCP-Port 443. Dieser Port muss in der Firewall zwischen dem ungesicherten Netzwerk (Internet) und der DMZ geöffnet sein.
  • Notieren Sie sich die Standard-Gateway-IP-Adresse.
  • Notieren Sie sich die IP-Adresse und die Portnummer des DNS-Servers. Die Standardportnummer ist 53. Wenn Sie den DNS-Server direkt hinzufügen, müssen Sie außerdem ICMP (ping) auf der Appliance konfigurieren.
  • Notieren Sie sich die erste IP-Adresse des virtuellen Servers und den Hostnamen.
  • Notieren Sie sich die zweite IP-Adresse des virtuellen Servers und den Hostnamen (falls zutreffend).
  • Notieren Sie sich die IP-Adresse des WINS-Servers (falls zutreffend).

Interne Netzwerke, auf die über Citrix Gateway zugegriffen werden kann

  • Notieren Sie sich die internen Netzwerke, auf die Benutzer über Citrix Gateway zugreifen können. Beispiel: 10.10.0.0/24
  • Geben Sie alle internen Netzwerke und Netzwerksegmente ein, auf die Benutzer zugreifen müssen, wenn sie mithilfe des Citrix Gateway-Plug-ins eine Verbindung über Citrix Gateway herstellen.

Hohe Verfügbarkeit

Wenn Sie über zwei Citrix Gateway-Appliances verfügen, können Sie diese in einer Hochverfügbarkeitskonfiguration bereitstellen, in der ein Citrix Gateway Verbindungen akzeptiert und verwaltet, während ein zweites Citrix Gateway die erste Appliance überwacht. Wenn das erste Citrix Gateway Verbindungen aus irgendeinem Grund nicht mehr akzeptiert, übernimmt das zweite Citrix Gateway die Übernahme und nimmt aktiv Verbindungen an.

  • Notieren Sie sich die Versionsnummer der Citrix Gateway-Software.
  • Die Versionsnummer muss auf beiden Citrix Gateway-Appliances identisch sein.
  • Notieren Sie sich das Administratorkennwort (nsroot). Das Kennwort muss auf beiden Appliances identisch sein.
  • Notieren Sie sich die primäre Citrix Gateway-IP-Adresse und -ID. Die maximale ID-Nummer ist 64.
  • Notieren Sie sich die sekundäre Citrix Gateway-IP-Adresse und -ID.
  • Beziehen und installieren Sie die Universallizenz auf beiden Appliances.
  • Sie müssen dieselbe Universallizenz auf beiden Appliances installieren.
  • Notieren Sie sich das Kennwort des RPC-Knotens.

Authentifizierung und Autorisierung

Citrix Gateway unterstützt verschiedene Authentifizierungs- und Autorisierungstypen, die in einer Vielzahl von Kombinationen verwendet werden können. Ausführliche Hinweise zur Authentifizierung und Autorisierung finden Sie unter Authentifizierung und Autorisierung.

LDAP-Authentifizierung

Wenn Ihre Umgebung einen LDAP-Server enthält, können Sie LDAP für die Authentifizierung verwenden.

  • Notieren Sie sich die IP-Adresse und den Port des LDAP-Servers.

    Wenn Sie unsichere Verbindungen zum LDAP-Server zulassen, ist der Standardwert Port 389. Wenn Sie Verbindungen zum LDAP-Server mit SSL verschlüsseln, ist der Standardwert Port 636.

  • Notieren Sie sich den Sicherheitstyp.

    Sie können die Sicherheit mit oder ohne Verschlüsselung konfigurieren.

  • Notieren Sie den Administrator-Bind-DN.

    Wenn Ihr LDAP-Server eine Authentifizierung erfordert, geben Sie den Administrator-DN ein, mit dem Citrix Gateway bei Abfragen zum LDAP-Verzeichnis authentifiziert werden soll. Ein Beispiel ist cn = administrator, cn = Users, dc = ace, dc = com.

  • Notieren Sie sich das Administratorkennwort.

    Dies ist das Kennwort, das dem Administrator-Bind-DN zugeordnet ist.

  • Notieren Sie den Basis-DN.

    DN (oder Verzeichnisebene), unter dem sich Benutzer befinden; z. B. ou = users, dc = ace, dc = com.

  • Notieren Sie sich das Attribut für den Anmeldenamen des Servers.

    Geben Sie das LDAP-Verzeichnispersonenobjektattribut ein, das den Anmeldenamen eines Benutzers angibt. Der Standardwert ist SAMAccountName. Wenn Sie Active Directory nicht verwenden, sind allgemeine Werte für diese Einstellung cn oder uid. Weitere Informationen zu LDAP-Verzeichniseinstellungen finden Sie unterKonfigurieren der LDAP-Authentifizierung

  • Notieren Sie sich das Gruppenattribut. Geben Sie das LDAP-Verzeichnispersonenobjektattribut ein, das die Gruppen angibt, zu denen ein Benutzer gehört. Der Standardwert ist memberOf. Mit diesem Attribut kann Citrix Gateway die Verzeichnisgruppen identifizieren, zu denen ein Benutzer gehört.
  • Notieren Sie sich den Namen des Subattributs.

RADIUS-Authentifizierung und Autorisierung

Wenn Ihre Umgebung einen RADIUS-Server enthält, können Sie RADIUS für die Authentifizierung verwenden. RADIUS-Authentifizierung umfasst RSA SecurID, SafeWord und Gemalto Protiva Produkte.

  • Notieren Sie sich die primäre IP-Adresse und den Port des RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie sich den primären RADIUS-Servergeheimnis (Shared Secret).
  • Notieren Sie die IP-Adresse und den Port des sekundären RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie sich den sekundären RADIUS-Servergeheimnis (Shared Secret).
  • Notieren Sie sich den Typ der Kennwortcodierung (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

SAML-Authentifizierung

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Dienstanbietern.

  • Beziehen Sie ein sicheres IdP-Zertifikat auf Citrix Gateway und installieren Sie es.
  • Notieren Sie sich die Umleitungs-URL.
  • Notieren Sie sich das Benutzerfeld.
  • Notieren Sie sich den Namen des Signaturzertifikats.
  • Notieren Sie sich den Namen des SAML-Ausstellers.
  • Notieren Sie sich die Standardauthentifizierungsgruppe.

Ports über Firewalls öffnen (Single-Hop DMZ)

Wenn Ihr Unternehmen das interne Netzwerk mit einer einzigen DMZ schützt und Sie Citrix Gateway in der DMZ bereitstellen, öffnen Sie die folgenden Ports über die Firewalls. Informationen zum Installieren von zwei Citrix Gateway-Appliances in einer Double-Hop-DMZ-Bereitstellung finden Sie unterÖffnen der entsprechenden Ports auf den Firewalls.

Auf der Firewall zwischen dem ungesicherten Netzwerk und der DMZ

  • Öffnen Sie einen TCP/SSL -Port (Standard 443) auf der Firewall zwischen dem Internet und Citrix Gateway. Benutzergeräte stellen über diesen Port eine Verbindung mit Citrix Gateway her.

Auf der Firewall zwischen dem gesicherten Netzwerk

  • Öffnen Sie einen oder mehrere geeignete Ports an der Firewall zwischen der DMZ und dem gesicherten Netzwerk. Citrix Gateway stellt eine Verbindung zu einem oder mehreren Authentifizierungsservern oder zu Computern her, auf denen Citrix Virtual Apps and Desktops im gesicherten Netzwerk auf diesen Ports ausgeführt wird.
  • Notieren Sie sich die Authentifizierungsports.

    Öffnen Sie nur den Port, der für Ihre Citrix Gateway-Konfiguration geeignet ist.

    • Bei LDAP-Verbindungen ist der Standardwert TCP-Port 389.
    • Bei einer RADIUS-Verbindung ist der Standardwert UDP-Port 1812. Notieren Sie sich die Citrix Virtual Apps and Desktops Ports.
  • Wenn Sie Citrix Gateway mit Citrix Virtual Apps and Desktops verwenden, öffnen Sie den TCP-Port 1494. Wenn Sie die Sitzungszuverlässigkeit aktivieren, öffnen Sie den TCP-Port 2598 anstelle von 1494. Citrix empfiehlt, beide Ports offen zu halten.

Citrix Virtual Desktops, Citrix Virtual Apps, Webinterface oder StoreFront

Führen Sie die folgenden Aufgaben aus, wenn Sie Citrix Gateway bereitstellen, um über das Webinterface oder StoreFront den Zugriff auf Citrix Virtual Apps and Desktops zu ermöglichen. Das Citrix Gateway-Plug-In ist für diese Bereitstellung nicht erforderlich. Benutzer greifen über Citrix Gateway auf veröffentlichte Anwendungen und Desktops nur über Webbrowser und Citrix Receiver zu.

  • Notieren Sie sich den FQDN oder die IP-Adresse des Servers, auf dem das Webinterface oder StoreFront ausgeführt wird.
  • Notieren Sie sich den FQDN oder die IP-Adresse des Servers, auf dem die Secure Ticket Authority (STA) ausgeführt wird (nur für Webinterface).

Citrix Endpoint Management

Führen Sie die folgenden Aufgaben aus, wenn Sie Citrix Endpoint Management in Ihrem internen Netzwerk bereitstellen. Wenn Benutzer über ein externes Netzwerk, z. B. über das Internet, eine Verbindung mit Endpoint Management herstellen, müssen Benutzer eine Verbindung zu Citrix Gateway herstellen, bevor sie auf mobile, Web- und SaaS-Apps zugreifen.

  • Notieren Sie sich den FQDN oder die IP-Adresse von Endpoint Management.
  • Identifizieren Sie Web-, SaaS und mobile iOS- oder Android-Anwendungen, auf die Benutzer zugreifen können.

Double-Hop-DMZ-Bereitstellung mit Citrix Virtual Apps

Führen Sie die folgenden Aufgaben aus, wenn Sie zwei Citrix Gateway-Appliances in einer Double-Hop-DMZ-Konfiguration bereitstellen, um den Zugriff auf Server mit Citrix Virtual Apps zu unterstützen.

Citrix Gateway in der ersten DMZ

Die erste DMZ ist die DMZ am äußersten Rand Ihres internen Netzwerks (am nächsten zum Internet oder unsicheres Netzwerk). Clients stellen eine Verbindung mit Citrix Gateway in der ersten DMZ über die Firewall her, die das Internet von der DMZ trennt. Sammeln Sie diese Informationen, bevor Sie Citrix Gateway in der ersten DMZ installieren.

  • Füllen Sie die Elemente im Abschnitt “Citrix Gateway Basic Network Connectivity” dieser Checkliste für dieses Citrix Gateway aus.

    Beachten Sie beim Abschluss dieser Elemente, dass Interface 0 dieses Citrix Gateway mit dem Internet verbindet und Schnittstelle 1 dieses Citrix Gateway mit Citrix Gateway in der zweiten DMZ verbindet.

  • Konfigurieren Sie die Informationen der zweiten DMZ-Appliance auf der primären Appliance.

    Um Citrix Gateway als ersten Hop in der Double-Hop-DMZ zu konfigurieren, müssen Sie den Hostnamen oder die IP-Adresse von Citrix Gateway in der zweiten DMZ auf der Appliance in der ersten DMZ angeben. Nachdem Sie angegeben haben, wann der Citrix Gateway-Proxy auf der Appliance im ersten Hop konfiguriert ist, binden Sie ihn global an Citrix Gateway oder an einen virtuellen Server.

  • Notieren Sie das Verbindungsprotokoll und den Port zwischen Appliances.

    Um Citrix Gateway als ersten Hop in der doppelten DMZ zu konfigurieren, müssen Sie das Verbindungsprotokoll und den Port angeben, auf dem Citrix Gateway in der zweiten DMZ auf Verbindungen wartet. Das Verbindungsprotokoll und der Port sind SOCKS mit SSL (Standardport 443). Protokoll und Port müssen über die Firewall geöffnet sein, die die erste DMZ und die zweite DMZ trennt.

Citrix Gateway in der zweiten DMZ

Die zweite DMZ ist die DMZ, die Ihrem internen, sicheren Netzwerk am nächsten kommt. Citrix Gateway, das in der zweiten DMZ bereitgestellt wird, dient als Proxy für ICA-Datenverkehr und durchquert die zweite DMZ zwischen den externen Benutzergeräten und den Servern im internen Netzwerk.

  • Führen Sie die Aufgaben im Abschnitt Citrix Gateway Basic Network Connectivity dieser Checkliste für dieses Citrix Gateway aus.

    Beachten Sie beim Abschluss dieser Elemente, dass Interface 0 dieses Citrix Gateway in der ersten DMZ mit Citrix Gateway verbindet. Schnittstelle 1 verbindet dieses Citrix Gateway mit dem gesicherten Netzwerk.