Citrix Gateway 13.0

RDP-Proxy

Überblick über RDP-Proxy und Verbesserungen über Citrix Gateway

Die folgenden RDP-Proxy-Funktionen ermöglichen den Zugriff auf eine Remotedesktopfarm über Citrix Gateway:

  • Sicherer RDP-Datenverkehr über CVPN- oder ICA-Proxy-Modus (ohne Full Tunnel).

  • Single Sign-On (SSO) für RDP-Server über Citrix Gateway. Bietet auch eine Option zum Deaktivieren von SSO bei Bedarf).

  • Erzwingungsfunktion (SmartAccess), bei der Citrix ADC-Administratoren bestimmte RDP-Funktionen über die Citrix Gateway-Konfiguration deaktivieren können.

  • Single/Stateless (Dual) Gateway-Lösung für alle Anforderungen (VPN/ICA/RDP/Citrix Endpoint Management).

  • Kompatibilität mit dem nativen Windows MSTSC-Client für RDP, ohne dass benutzerdefinierte Clients erforderlich sind.

  • Verwendung des vorhandenen von Microsoft bereitgestellten RDP-Clients auf MACOSX, iOS und Android.

Bereitstellungsübersicht

Die folgende Abbildung zeigt einen Überblick über die Bereitstellung:

Übersicht über RDP-Proxy

Die RDP-Proxy-Funktionalität wird als Teil des Citrix Gateways bereitgestellt. In einer typischen Bereitstellung wird der RDP-Client auf dem Computer eines Remotebenutzers ausgeführt. Die Citrix Gateway-Appliance wird innerhalb der DMZ bereitgestellt, und die RDP-Serverfarm befindet sich im internen Unternehmensnetzwerk. Der Remotebenutzer stellt eine Verbindung mit der öffentlichen IP-Adresse von Citrix Gateway her, stellt eine SSL-VPN-Verbindung her und authentifiziert sich selbst. Danach kann der Benutzer über die Citrix Gateway-Appliance auf die Remote-Desktops zugreifen.

Die RDP-Proxy-Funktion wird im CVPN- und ICA-Proxy-Modus unterstützt.

Hinweis: Citrix Gateway unterstützt RDSH (Remote Desktop Session Host) /Remote App/RDS Mehrbenutzer-RDP-Sitzungen nicht.

Bereitstellung über CVPN

In diesem Modus werden die RDP-Links auf der Gateway-Homepage oder im Portal veröffentlicht, als Lesezeichen, über die Konfiguration “add vpn url” oder über externes Portal. Der Benutzer kann auf diese Links klicken, um Zugriff auf den Remotedesktop zu erhalten.

Bereitstellung über ICA-Proxy

In diesem Modus wird eine benutzerdefinierte Homepage auf dem Gateway VIP mithilfe des wihome-Parameters konfiguriert. Diese Homepage kann mit der Liste der Remotedesktopressourcen angepasst werden, auf die der Benutzer zugreifen darf. Diese benutzerdefinierte Seite kann auf Citrix ADC gehostet werden, oder wenn sie extern ist, kann es sich um einen iFrame auf der vorhandenen Gateway-Portalseite handeln.

Nachdem der Benutzer in beiden Modus auf den bereitgestellten RDP-Link oder das bereitgestellte Symbol geklickt hat, wird eine HTTPS-Anforderung für die entsprechende Ressource an Citrix Gateway gesendet.Das Gateway generiert den Inhalt der RDP-Datei für die angeforderte Verbindung und verschiebt ihn an den Client. Der native RDP-Client wird aufgerufen und stellt eine Verbindung mit einem RDP-Listener auf Gateway her. Gateway führt SSO zum RDP-Server durch Unterstützung der Erzwingung (SmartAccess) durch, in dem das Gateway den Clientzugriff auf bestimmte RDP-Funktionen blockiert, basierend auf der Citrix ADC Konfiguration und dann den RDP-Datenverkehr zwischen dem RDP-Client und dem Server proxyiert.

Durchsetzungsdetails

Der Citrix ADC-Administrator kann bestimmte RDP-Funktionen über die Citrix Gateway-Konfiguration konfigurieren. Citrix Gateway stellt die Funktion “RDP-Erzwingung” für wichtige RDP-Parameter bereit. Citrix ADC stellt sicher, dass der Client blockierte Parameter nicht aktivieren kann. Wenn die blockierten Parameter aktiviert sind, ersetzt die RDP-Erzwingungsfunktion die Client-aktivierten Parameter, und sie werden nicht berücksichtigt.

Unterstützte RDP-Parameter für die Erzwingung

Die Erzwingung für folgende Umleitungsparameter wird unterstützt. Diese können als Teil eines RDP-Clientprofils konfiguriert werden.

  • Umleitung der Zwischenablage

  • Umleitung von Druckern

  • Umleitung von Festplattenlaufwerken

  • Umleitung von COM-Ports

  • Umleitung von pnp-Geräten

Verbindungsablauf

Anschlussfluss kann in zwei Stufen unterteilt werden:

  • RDP-Ressourcenaufzählung und RDP-Dateidownload.

  • RDP-Verbindung wird gestartet.

Basierend auf dem obigen Verbindungsfluss gibt es zwei Bereitstellungslösungen:

  • Stateless (Dual) Gateway-Lösung - Die RDP-Ressourcenaufzählung und der RDP-Dateidownload erfolgt über das Authentifikator-Gateway, aber der Start der RDP-Verbindung erfolgt über das RDP-Listener-Gateway.

  • Einzelgateway-Lösung: Die RDP-Ressourcenaufzählung, der RDP-Dateidownload und der RDP-Verbindungsstart erfolgen über dasselbe Gateway.

Stateless (Dual) Gateway-Kompatibilität

Die folgende Abbildung zeigt die Bereitstellung:

Dual-Gateway Kompatibilität

  • Der Benutzer stellt eine Verbindung mit dem Authenticator Gateway-VIP her und stellt die Anmeldeinformationen bereit.

  • Nach erfolgreicher Anmeldung beim Gateway wird der Benutzer zur Startseite oder zum externen Portal umgeleitet, in dem die Remotedesktopressourcen aufgelistet werden, auf die der Benutzer zugreifen kann.

  • Sobald der Benutzer eine RDP-Ressource ausgewählt hat, erhält der Authenticator Gateway VIP eine Anforderung in dem Format, das die veröffentlichte Ressourcehttps://vserver-vip/rdpproxy/rdptarget/listener angibt, auf die der Benutzer geklickt hat. Diese Anforderung enthält die Informationen über die IP-Adresse und den Port des RDP-Servers, den der Benutzer ausgewählt hat.

  • Die Anforderung /rdpproxy/ wird vom Authenticator Gateway verarbeitet. Da der Benutzer bereits authentifiziert ist, kommt diese Anforderung mit einem gültigen Gateway-Cookie.

  • Die RDPtarget- und RDPUser-Informationen werden auf dem STA-Server gespeichert und ein STA-Ticket wird generiert. Die auf dem STA-Server gespeicherten Informationen werden mithilfe des konfigurierten vorinstallierten Schlüssels verschlüsselt. Das Authenticator Gateway verwendet einen der STA-Server, der auf dem virtuellen Gatewayserver konfiguriert ist.

  • Die in der Anforderung /rdpproxy/ erhaltenen “Listener” Informationen werden als “fulladdress” in die RDP-Datei abgelegt, und das STA-Ticket (vorab mit der STA AuthID) wird als “loadbalanceinfo in die RDP-Datei abgelegt. “

  • Die RDP-Datei wird an den Client-Endpunkt zurückgesendet.

  • Der native RDP-Client startet und stellt eine Verbindung mit dem RDPListener Gateway her. Es sendet das STA Ticket im Anfangspaket.

    Das RDPListener Gateway validiert das STA-Ticket und ruft die RDPTarget und RDPUser Informationen ab. Der zu verwendende STA-Server wird mit der “authID” abgerufen, die im loadbalanceinfo vorhanden ist.

Kompatibilität mit einem Gateway

Die folgende Abbildung zeigt die Bereitstellung:

Single-Gateway Kompatibilität

Bei einer einzelnen Gateway-Bereitstellung ist der STA-Server nicht erforderlich. Das Authentifikatorgateway kodiert das RDPTarget und das Citrix ADC AAA-Sitzungscookie sicher und sendet sie als loadbalanceinfo in der RDP-Datei. Wenn der RDP-Client dieses Token im Anfangspaket sendet, dekodiert das Authentifikator-Gateway die RDPTarget-Informationen, sucht die Sitzung nach und stellt eine Verbindung mit dem RDPTarget her.

Lizenzanforderungen für RDP-Proxy

Premium Edition, Advanced Edition

Hinweis: Die RDP-Proxy-Funktion ist nicht für Kunden verfügbar, die nur über eine Gateway-Plattformlizenz oder nur die Standard Edition verfügen.

Die RDP-Proxy-Funktion muss aktiviert sein, damit der RDP-Proxy funktioniert.

enable feature rdpProxy

Konfigurationsschritte

Die Konfigurationsschritte auf hoher Ebene werden wie folgt aufgelistet:

  1. Aktivieren der Funktion
  2. Erstellen Sie Lesezeichen im Gateway-Portal oder verwenden Sie ein benutzerdefiniertes Gateway-Portal, das RDP-Ressourcen aufzählt
  3. Konfigurieren eines RDP-Clientprofils
  4. Konfigurieren eines RDP-Serverprofils

Aktivieren der erforderlichen Funktionen und Modi

  • enable ns feature ssl

  • enable ns feature sslvpn

  • enable ns feature rdpproxy

  • enable mode usnip

Lesezeichen erstellen

  1. Erstellen Sie Lesezeichen auf der Portalseite, um auf die RDP-Ressourcen zuzugreifen: (actualURL beginnt mit rdp://).

  2. Add vpn url <urlName> <linkName>  <actualURL>

    • Die URL muss im folgenden Format vorliegen: rdp://<TargetIP:Port>.
    • Für den Stateless RDP-Proxy-Modus muss die URL im folgenden Format sein: rdp://<TargetIP:Port>/<ListenerIP:Port>

    • Die URL wird im Portal im Format veröffentlicht: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Binden Sie die Lesezeichen an den Benutzer oder die Gruppe oder den virtuellen VPN-Server oder vpn global.

Konfigurieren eines Client-Profils

Konfigurieren Sie das Client-Profil auf dem Authenticator-Gateway. Im Folgenden finden Sie eine Beispielkonfiguration:

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

Ordnen Sie das RDP-Client-Profil dem vpn vserver zu.

Dies kann entweder durch Konfigurieren von sessionAction+sessionPolicy oder durch Festlegen des globalen vpn Parameters erfolgen.

Beispiel:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

ODER

set vpn parameter –rdpClientprofile <name>

Konfigurieren eines Serverprofils

Konfigurieren Sie das Serverprofil auf dem Listener-Gateway.

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

Das RDPServer-Profil muss auf dem virtuellen VPN-Server konfiguriert sein.

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Beispielkonfiguration

Beispielkonfiguration

  • Aktivieren der erforderlichen Funktionen und Modi

    • enable ns feature ssl

    • enable ns feature sslvpn

    • enable ns feature rdpproxy

    • enable mode usnip

  • VPN-URL für den Benutzer mit Zielinformationen hinzufügen

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
    
  • Konfigurieren des RDP-Client- und Serverprofils für die VPN-Verbindung

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
    
  • ADD SNIP für die Verbindung von Citrix ADC zum Ziel

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
    

Option zum Deaktivieren von SSO

Die SSO-Funktion (Single Sign On) mit RDP-Proxy kann durch Konfigurieren von Citrix ADC-Datenverkehrsrichtlinien deaktiviert werden, sodass der Benutzer immer zur Eingabe von Anmeldeinformationen aufgefordert wird. Wenn SSO deaktiviert ist, funktioniert die RDP-Erzwingung (SmartAccess) nicht.

Beispielkonfiguration:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF

Die Datenverkehrsrichtlinie kann gemäß der Anforderung konfiguriert werden, im Folgenden sind zwei Beispiele:

• So deaktivieren Sie SSO für den gesamten Datenverkehr:

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>

• So deaktivieren Sie SSO basierend auf Quell-/Ziel-IP/FQDN

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>

Unterstützung für Single Listener

  • Einzelner Listener für RDP- und SSL-Datenverkehr.

  • Der Download der RDP-Datei und der RDP-Datenverkehr können über dasselbe 2 Tupel (d. h. IP und Port) auf Citrix ADC verarbeitet werden.

Lesezeichen

RDP-Link-Generierung über Portal. Anstatt die RDP-Links für den Benutzer zu konfigurieren oder die RDP-Links über ein externes Portal zu veröffentlichen, können Sie Benutzern die Möglichkeit geben, eigene URLs zu generieren, indem Sie TargerIP:Port angeben. Für die statuslose Bereitstellung von RDP-Proxy kann der Administrator RDP-Listener-Informationen im FQDN: Port-Format als Teil des RDP-Clientprofils hinzufügen. Dies geschieht unter der Option rdpListener. Diese Konfiguration wird für die RDP-Link-Generierung über das Portal im Dual-Gateway-Modus verwendet.

Lesezeichen

RDP-Proxykonfiguration

Gehen Sie folgendermaßen vor, um den RDP-Proxy zu konfigurieren:

  1. Erweitern Sie Citrix Gateway, erweitern Sie Richtlinien, klicken Sie mit der rechten Maustaste auf RDP, und klicken Sie auf Feature aktivieren.

    Funktion aktivieren

  2. Klicken Sie links auf RDP. Wechseln Sie auf der rechten Seite zur Registerkarte Client-Profile, und klicken Sie auf Hinzufügen.

    Client-Profil erstellen

  3. Geben Sie dem Client-Profil einen Namen und konfigurieren Sie ihn wie gewünscht. Scrollen Sie nach unten

    Name für Profil hinzufügen

  4. Geben Sie im Feld “RDP-Host” den FQDN ein, der in den RDP-Proxy-Listener aufgelöst wird. Dieser ist in der Regel der gleiche FQDN wie der FDQN der Citrix Gateway-Appliance.

  5. Unten befindet sich ein Pre Shared Key. Geben Sie ein Kennwort ein und klicken Sie auf OK. Du brauchst das später.

    Kennwort für den vordefinierten Schlüssel

  6. Geben Sie dem Serverprofil einen Namen.

  7. Geben Sie die IP-Adresse des virtuellen Gateway-Servers ein, den Sie binden möchten.

  8. Geben Sie denselben Pre Shared Key ein, den Sie für das RDP-Clientprofil konfiguriert haben. Klicken Sie auf Erstellen.

    Kennwort für den vordefinierten Schlüssel erneut eingeben

  9. Wenn Sie RDP-Lesezeichen auf der Portalseite Clientless Access einfügen möchten, erweitern Sie auf der linken Seite Citrix Gateway, erweitern Sie Ressourcen, und klicken Sie auf Lesezeichen.

    Lesezeichen hinzufügen

  10. Klicken Sie rechts auf Hinzufügen.

    Lesezeichen hinzufügen2

  11. Geben Sie dem Lesezeichen einen Namen.

  12. Geben Sie für die URL rdp://MyRDPServer mit IP oder DNS ein.

  13. Aktivieren Sie das Kontrollkästchen neben Citrix Gateway als Reverse Proxy verwenden, und klicken Sie auf Erstellen.

  14. Erstellen Sie weitere Lesezeichen wie gewünscht.

    Mehrere Lesezeichen hinzufügen

  15. Erstellen oder Bearbeiten eines Sitzungsprofils oder einer Richtlinie.

  16. Legen Sie auf der Registerkarte Sicherheit die Standardautorisierungsaktion auf Zulassen fest. Oder Sie können Autorisierungsrichtlinien verwenden, um den Zugriff zu steuern.

    Standardauth-Aktion festlegen

  17. Wählen Sie auf der Registerkarte Remotedesktop das RDP-Clientprofil aus, das Sie zuvor erstellt haben.

    RDP-Clientprofil auswählen

  18. Wenn Sie Lesezeichen verwenden möchten, legen Sie auf der Registerkarte Clienterfahrung den Clientlosen Zugriffauf Ein fest.

    Festlegen des clientlosen Zugriffs auf Ein

  19. Stellen Sie auf der Registerkarte Veröffentlichte Anwendungen sicher, dass ICA-Proxydeaktiviert ist.

    ICA-Proxy auf OFF setzen

  20. Ändern oder Erstellen Sie Ihren virtuellen Gateway-Server.

  21. Klicken Sie im Abschnitt Grundeinstellungen auf Mehr.

    Grundeinstellungen festlegen

  22. Verwenden Sie die Liste RDP-Serverprofil, um das zuvor erstellte RDP-Serverprofil auszuwählen.

    RDP-Serverprofil verwenden

  23. Scrollen Sie nach unten. Stellen Sie sicher, dass ICA Only nicht aktiviert ist.

    ICA nur auf Aus setzen

  24. Binden Sie ein Zertifikat.

  25. Binden von Authentifizierungsrichtlinien.

  26. Binden Sie die Sitzungsrichtlinien/Profil, für die das RDP-Clientprofil konfiguriert ist.

    Bind-Sitzungsrichtlinie

  27. Sie können Lesezeichen entweder an den virtuellen Citrix Gateway-Server oder an eine Citrix ADC AAA Gruppe binden. Um eine Bindung an den virtuellen Citrix Gateway-Server herzustellen, klicken Sie rechts im Abschnitt Erweiterte Einstellungen auf Veröffentlichte Anwendungen.

    Klicken Sie auf veröffentlichte Anwendungen

  28. Klicken Sie links im Abschnitt Veröffentlichte Anwendungen auf Keine URL.

    Keine URL festlegen

  29. Binden Sie Ihre Lesezeichen.

    Lesezeichen binden

  30. Da nur ICA für diesen virtuellen Citrix Gateway-Server nicht angegeben ist, stellen Sie sicher, dass die universellen Citrix Gateway-Lizenzen korrekt konfiguriert sind. Erweitern Sie auf der linken Seite Citrix Gateway, und klicken Sie auf Globale Einstellungen.

    Globale Einstellungen festlegen

  31. Klicken Sie auf der rechten Seite auf Authentifizierung-AAA-Einstellungen ändern.

    Ändern der Citrix ADC AAA Einstellungen

  32. Ändern Sie die maximale Anzahl von Benutzern auf Ihr lizenziertes Limit.

    Maximale Anzahl von Benutzern festlegen

  33. Wenn Sie mithilfe von DNS eine Verbindung mit RDP-Servern herstellen möchten, stellen Sie sicher, dass DNS-Server auf der Appliance konfiguriert sind (Verkehrsverwaltung > DNS > Namensserver).

    Konfigurieren von DNS-Servern

  34. Wenn Sie die Kurznamen anstelle von FQDNs verwenden möchten, fügen Sie ein DNS-Suffix hinzu (Traffic Management > DNS > DNS Suffix).

    FQDNs verwenden

  35. Verbinden Sie sich mit Ihrem Gateway und melden Sie sich an.

    Verbindung zum Gateway herstellen

  36. Wenn Sie Lesezeichenkonfiguriert haben, klicken Sie auf das Lesezeichen.

    Klicken Sie auf Lesezeichen

  37. Sie können die Adressleiste in /rdpproxy/MyRDPServerändern. Sie können eine IP-Adresse (z. B. rdpproxy/192.168.1.50) oder einen DNS-Namen (/rdpproxy/myserver) eingeben.

    Adressleiste ändern

  38. Öffnen Sie die heruntergeladene RDP-Datei.

    RDP-Datei herunterladen

  39. Sie können die aktuell verbundenen Benutzer anzeigen, indem Sie zu Citrix Gateway-Richtlinien > RDP gehen. Auf der rechten Seite befindet sich die Registerkarte Verbindungen.

    Klicken Sie auf die Registerkarte "Verbindungen"