Konfigurieren der VPN-Benutzererfahrung

Konfigurieren von AlwaysOn-VPN vor der Windows-Anmeldung

AlwaysOn VPN vor der Windows-Anmeldung bietet die folgenden Funktionen.

  • Administrator stellt ein einmaliges Kennwort für Benutzer bereit, die zum ersten Mal remote arbeiten, mit dem Benutzer eine Verbindung zum Domänencontroller herstellen können, um ihr Kennwort zu ändern.
  • Der Administrator verwaltet AD-Richtlinien remote auf dem Gerät, bevor sich der Benutzer anmeldet.
  • Administrator bietet Benutzern eine detaillierte Steuerungsebene basierend auf der Benutzergruppe, nachdem sich der Benutzer angemeldet hat. Beispielsweise ist die Verwendung eines Tunnels auf Benutzerebene möglich, das Beschränken oder Bereitstellen des Zugriffs für eine Ressource auf eine bestimmte Benutzergruppe.
  • Der Benutzertunnel kann je nach Benutzeranforderungen für MFA konfiguriert werden.
  • Dieselbe Maschine kann von mehreren Benutzern verwendet werden, der Zugriff auf selektive Ressourcen wird basierend auf dem Benutzerprofil bereitgestellt. Zum Beispiel im Kiosk kann eine Maschine von mehreren Benutzern ohne Aufwand genutzt werden.
  • Benutzer, die remote eine Verbindung zum Domänencontroller herstellen, um ihr Kennwort zu ändern.

Grundlegendes zu AlwaysOn VPN vor der Windows-Anmeldung

Im Folgenden finden Sie den Ablauf von Ereignissen für die AlwaysOn-VPN vor Windows-Anmeldefunktion.

Alwayson mit persönlichem Benutzerfluss

  • Benutzer schaltet den Laptop ein, Maschine-Ebene Tunnel wird in Richtung Citrix Gateway mit Gerätezertifikat als Identität eingerichtet.
  • Der Benutzer meldet sich mit AD-Anmeldeinformationen am Laptop an.
  • Nach der Anmeldung wird der Benutzer mit MFA herausgefordert.
  • Bei erfolgreicher Authentifizierung wird der Tunnel auf Maschinenebene durch einen Tunnel auf Benutzerebene ersetzt.
  • Sobald der Benutzer sich abmeldet, wird der Tunnel auf Benutzerebene durch den Tunnel auf Maschinenebene ersetzt.

Konfigurieren Sie AlwaysOn-VPN vor der Windows-Anmeldung mithilfe der GUI

Voraussetzung

  • Citrix Gateway und VPN-Plug-In müssen Version 13.0.41.20 und höher sein.
  • Citrix ADC Advanced Edition und höher ist erforderlich, damit die Lösung funktioniert.
  • Sie können die Funktionalität nur mithilfe erweiterter Richtlinien konfigurieren.

Die Konfiguration umfasst die folgenden High-Level-Schritte:

  • Erstellen eines Authentifizierungsprofils
  • Erstellen eines virtuellen Authentifizierungsservers
  • Erstellen von Authentifizierungsrichtlinien
  • Binden Sie die Richtlinien an das Authentifizierungsprofil

So konfigurieren Sie die Funktionalität mithilfe der GUI

Clientzertifikatbasierte Authentifizierung

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
  2. Wählen Sie auf der Seite Virtuelle Citrix Gateway Server einen vorhandenen virtuellen Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite Virtueller VPN-Server auf das Symbol Bearbeiten.
  4. Klicken Sie neben dem Abschnitt Zertifizierungsstelle für Gerätezertifikat auf Hinzufügen, und klicken Sie auf OK .

    CA-Gerät Zertifikat hinzufügen

    Hinweis: Aktivieren Sie nicht das Kontrollkästchen Gerätezertifikat aktivieren .

  5. Um ein Zertifizierungsstellenzertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt Zertifikat auf Zertifizierungsstellenzertifikat. Klicken Sie unter SSL Virtual Server CA-Zertifikatbindung auf Bindung hinzufügen.

  6. Klicken Sie auf den Text, Klicken Sie, um das erforderliche Zertifikat auszuwählen.

    CA-Gerät Zertifikat hinzufügen

  7. Wählen Sie das erforderliche Zertifizierungsstellenzertifikat aus.

    CA-Gerät Zertifikat hinzufügen

  8. Klicken Sie auf Bind.

  9. Klicken Sie auf der Seite Virtuelle VPN-Server unter Authentifizierungsprofil auf Hinzufügen.
  10. Geben Sie auf der Seite Authentifizierungsprofil erstellen einen Namen für das Authentifizierungsprofil ein, und klicken Sie auf Hinzufügen. Erstellen eines Authentifizungsprofils
  11. Geben Sie auf der Seite Virtueller Authentifizierungsserver einen Namen für den virtuellen Authentifizierungsserver ein, wählen Sie IP-Adresstyp als nicht adressierbar aus, und klicken Sie auf OK . Wählen Sie nicht adressierbaren IP-Typ
  12. Klicken Sie unter Erweiterte Authentifizierungsrichtlinien innerhalb der Authentifizierungsrichtlinie.
  13. Klicken Sie auf der Seite Richtlinienbindung neben Richtlinie auswählen auf Hinzufügen .
  14. Auf der Seite Authentifizierungsrichtlinie erstellen:
    1. Geben Sie einen Namen für die Vorabauthentifizierungsrichtlinie ein.
    2. Wählen Sie EPA aus der Liste Aktionstyp .
    3. Klicken Sie neben Aktion auf Hinzufügen . EPA-Aktionstyp auswählen
  15. Auf der Seite Authentifizierungs-EPA-Aktion erstellen;
    1. Geben Sie einen Namen für die zu erstellende EPA-Aktion ein.
    2. Geben Sie sys.client_expr (“device-cert_0_0”) in das Feld Ausdruck ein.
    3. Klicken Sie auf Erstellen.

    Ausdruck erstellen

  16. Auf der Seite Authentifizierungsrichtlinie erstellen:
    1. Geben Sie einen Namen für die Authentifizierungsrichtlinie ein.
    2. Geben Sie is_aoservice in das Feld Ausdruck ein.
    3. Klicken Sie auf Erstellen.

    Ausdruck2 erstellen

  17. Geben Sie auf der Seite Richtlinienbindung 100 unter Priorität ein, und klicken Sie auf Binden.

    Bind-Richtlinie

    Hinweis: Die Tunnelkonfiguration auf Maschinenebene ist nun abgeschlossen. Sie können die Schritte 18-25 überspringen und mit der clientseitigen Konfiguration fortfahren, wenn der Tunnel auf Benutzerebene nach der Windows-Anmeldung nicht gewünscht wird.

    Um Tunnel auf Maschinenebene durch Tunnel auf Benutzerebene nach der Windows-Anmeldung zu ersetzen, fahren Sie mit der folgenden Konfiguration fort.

  18. Ändern Sie den Gehe zu Ausdruck auf Weiter anstelle von Ende für die Richtlinie, die in Schritt 17 gebunden ist.

    Bind-Richtlinie

  19. Klicken Sie auf der Seite Virtueller Authentifizierungsserver auf Authentifizierungsrichtlinie.
  20. Klicken Sie auf der Seite Authentifizierungsrichtlinie auf die Registerkarte Bindung hinzufügen.
  21. Klicken Sie auf der Seite Richtlinienbindung neben Richtlinie auswählen auf Hinzufügen. Bindungsrichtlinien2
  22. Auf der Seite Authentifizierungsrichtlinie erstellen:
    1. Geben Sie einen Namen für die Richtlinie “Keine Authentifizierung” ein, die erstellt werden soll.
    2. Wählen Sie den Aktionstyp als No_Authnaus.
    3. Geben Sie is_aoservice.not in das Feld Ausdruck ein.
    4. Klicken Sie auf Erstellen.

      Hinweis: Der Ausdruck is_aoservice.not ist ab Citrix Gateway Version 13.0 Build 41.20 gültig.

    Noauth-Aktionstyp auswählen

  23. Geben Sie auf der Seite Richtlinienbindung 110 unter Priorität ein, und klicken Sie neben Nächster Faktor auswählen auf Hinzufügen .
  24. Erstellen Sie auf der Seite “Authentifizierungsrichtlinienlabel” die LDAP-Authentifizierungsrichtlinie. Lesen Sie den folgenden Artikel, um LDAP-Authentifizierungsrichtlinie zu erstellen. Weitere Informationen finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mit dem Konfigurationsdienstprogramm.
  25. Klicken Sie auf der Seite Richtlinienbindung auf Binden.

Clientseitige Konfiguration

AlwaysOn-, LocationDetection- und SuffixList-Register sind optional und nur erforderlich, wenn die Standorterkennungsfunktion erforderlich ist.

Registrierungsschlüssel Registrierungstyp Werte und Beschreibung
AlwaysOnService REG_DWORD 1 => AlwaysOn-Dienst ohne Benutzerpersona aktivieren; 2 => AlwaysOn-Dienst mit Benutzerpersona aktivieren
AlwaysOnURL REG SZ URL des virtuellen Citrix Gateway-Serverbenutzers, mit dem eine Verbindung hergestellt werden soll. Beispiel: https://xyz.companyDomain.com
AlwaysOn REG_DWORD 1 => Netzwerkzugriff bei VPN-Ausfall zulassen; 2=> Netzwerkzugriff bei VPN-Ausfall blockieren
locationDetection REG_DWORD 1 => So aktivieren Sie die Standorterkennung; 0 => So deaktivieren Sie die Standorterkennung
suffixList REG SZ Kommagetrennte Liste der Intranetdomänen. Wird verwendet, wenn die Standorterkennung aktiviert ist.

Weitere Hinweise zu diesen Registrierungseinträgen finden Sie unter AlwaysOn.

Informationen zum Konfigurieren von AlwaysOn-VPN vor der Windows-Anmeldung mithilfe der klassischen Richtlinie finden Sie unter Konfigurieren von Always On VPN vor der Windows-Anmeldung mithilfe der klassischen Richtlinie

Konfigurieren von AlwaysOn-VPN vor der Windows-Anmeldung