Citrix Gateway

Bereitstellen von Citrix Gateway mit dem Webinterface

Wenn Sie Citrix Gateway bereitstellen, um sicheren Remotezugriff auf Citrix Virtual Apps and Desktops bereitzustellen, ist Citrix Gateway mit dem Webinterface und der Secure Ticket Authority (STA) kompatibel, um Zugriff auf veröffentlichte Anwendungen und Desktops zu ermöglichen, die in einer Serverfarm gehostet werden.

Die Bereitstellung von Citrix Gateway in der DMZ ist die gebräuchlichste Konfiguration, wenn Citrix Gateway mit einer Serverfarm arbeitet. In dieser Konfiguration bietet Citrix Gateway einen sicheren einzigen Zugriffspunkt für die Webbrowser und die Citrix Workspace-App, die über das Webinterface auf die veröffentlichten Ressourcen zugreifen. In diesem Abschnitt werden die grundlegenden Aspekte dieser Bereitstellungsoption behandelt.

Die Konfiguration des Netzwerks Ihrer Organisation bestimmt, wo Sie Citrix Gateway bereitstellen, wenn es mit einer Serverfarm arbeitet. Die folgenden zwei Optionen sind verfügbar:

  • Wenn Ihre Organisation das interne Netzwerk mit einer einzigen DMZ schützt, stellen Sie Citrix Gateway in der DMZ bereit.
  • Wenn Ihre Organisation das interne Netzwerk mit zwei DMZs schützt, stellen Sie ein Citrix Gateway in jedem der beiden Netzwerksegmente in einer Double-Hop-DMZ-Konfiguration bereit. Weitere Informationen finden Sie unter Bereitstellen von Citrix Gateway in einer Double-Hop-DMZ. Hinweis: Sie können eine Double-Hop-DMZ auch mit der zweiten Citrix Gateway-Appliance im sicheren Netzwerk konfigurieren.

Wenn Sie Citrix Gateway in der DMZ bereitstellen, um Remotezugriff auf eine Serverfarm bereitzustellen, können Sie eine der folgenden drei Bereitstellungsoptionen implementieren:

  • Stellen Sie das Webinterface hinter Citrix Gateway in der DMZ bereit. In dieser Konfiguration werden, wie in der folgenden Abbildung gezeigt, sowohl Citrix Gateway als auch das Webinterface in der DMZ bereitgestellt. Die erste Benutzerverbindung führt zu Citrix Gateway und wird dann zum Webinterface umgeleitet. Abbildung 1. Webinterface hinter Citrix Gateway im DMZ-Webinterface hinter Citrix Gateway in der DMZ
  • Stellen Sie Citrix Gateway parallel zum Webinterface in der DMZ bereit. In dieser Konfiguration werden sowohl Citrix Gateway als auch das Webinterface in der DMZ bereitgestellt, die anfängliche Benutzerverbindung wird jedoch anstelle von Citrix Gateway zum Webinterface hergestellt.
  • Stellen Sie Citrix Gateway in der DMZ bereit und stellen Sie das Webinterface im internen Netzwerk bereit. In dieser Konfiguration authentifiziert Citrix Gateway Benutzeranforderungen, bevor die Anforderung an das Webinterface im sicheren Netzwerk weitergeleitet wird. Das Webinterface führt keine Authentifizierung durch, sondern interagiert mit der STA und generiert eine ICA-Datei, um sicherzustellen, dass der ICA-Verkehr über Citrix Gateway zur Serverfarm geleitet wird.

Der Ort, an dem Sie das Webinterface bereitstellen, hängt von verschiedenen Faktoren ab, darunter:

  • Authentifizierung. Wenn sich Benutzer anmelden, können entweder Citrix Gateway oder das Webinterface Benutzeranmeldeinformationen authentifizieren. Wo Sie das Webinterface in Ihrem Netzwerk platzieren, ist ein Faktor, der teilweise bestimmt, wo sich Benutzer authentifizieren.
  • Benutzer-Software. Benutzer können entweder mit Citrix Secure Access Agent oder der Citrix Workspace-App eine Verbindung zum Webinterface herstellen. Sie können die Ressourcen einschränken, auf die Benutzer zugreifen können, indem Sie nur die Citrix Workspace-App verwenden, oder Benutzern mit Citrix Secure Access Agent besseren Netzwerkzugriff gewähren. Wie Benutzer eine Verbindung herstellen und mit welchen Ressourcen Sie Benutzern eine Verbindung herstellen können, können Sie ermitteln, wo Sie das Webinterface in Ihrem Netzwerk bereitstellen.

Stellen Sie das Webinterface in einem sicheren Netzwerk bereit

Bei dieser Bereitstellung ist das Webinterface im sicheren, internen Netzwerk. Citrix Gateway ist in der DMZ. Citrix Gateway authentifiziert Benutzeranfragen, bevor die Anfragen an das Webinterface gesendet werden.

Wenn Sie das Webinterface im sicheren Netzwerk bereitstellen, müssen Sie die Authentifizierung auf Citrix Gateway konfigurieren.

Wenn Sie das Webinterface mit Citrix Virtual Apps and Desktops bereitstellen, ist die Bereitstellung des Webinterface im sicheren Netzwerk das Standardbereitstellungsszenario. Wenn der Desktop Delivery Controller installiert ist, wird auch eine benutzerdefinierte Version des Webinterface installiert.

Wichtig: Wenn sich das Webinterface im sicheren Netzwerk befindet, müssen Sie die Authentifizierung auf Citrix Gateway aktivieren. Benutzer stellen eine Verbindung zu Citrix Gateway her, geben ihre Anmeldeinformationen ein und stellen dann eine Verbindung zum Webinterface her. Wenn Sie die Authentifizierung deaktivieren, werden nicht authentifizierte HTTP-Anfragen direkt an den Server gesendet, auf dem das Webinterface ausgeführt wird. Das Deaktivieren der Authentifizierung auf Citrix Gateway wird nur empfohlen, wenn sich das Webinterface in der DMZ befindet und Benutzer eine direkte Verbindung zum Webinterface herstellen.

Abbildung 1. Webinterface ist im sicheren Netzwerk

Abbildung der Bereitstellung

Stellen Sie das Webinterface parallel zu Citrix Gateway in einer DMZ bereit

Bei dieser Bereitstellung sind das Webinterface und Citrix Gateway beide in der DMZ. Benutzer stellen mithilfe eines Webbrowsers oder einer Citrix Workspace-App eine direkte Verbindung zum Webinterface her. Benutzerverbindungen werden zuerst zur Authentifizierung an das Webinterface gesendet. Nach der Authentifizierung werden die Verbindungen über Citrix Gateway geroutet. Nachdem sich Benutzer erfolgreich am Webinterface angemeldet haben, können sie auf veröffentlichte Anwendungen oder Desktops in der Serverfarm zugreifen. Wenn Benutzer eine Anwendung oder einen Desktop starten, sendet das Webinterface eine ICA-Datei mit Anweisungen zum Weiterleiten des ICA-Datenverkehrs über Citrix Gateway, als wäre es ein Server, auf dem Secure Gateway ausgeführt wird. Die vom Webinterface gelieferte ICA-Datei enthält ein von der Secure Ticket Authority (STA) erstelltes Sitzungsticket.

Wenn die Citrix Workspace-App eine Verbindung zu Citrix Gateway herstellt, wird das Ticket angezeigt. Citrix Gateway kontaktiert die STA, um das Sitzungsticket zu validieren. Wenn das Ticket weiterhin gültig ist, wird der ICA-Verkehr des Benutzers an den Server in der Serverfarm weitergeleitet. Die folgende Abbildung zeigt diese Bereitstellung.

Abbildung 1. Das Webinterface wurde parallel zu Citrix Gateway installiert

Webinterface läuft parallel zu Citrix Gateway

Wenn das Webinterface parallel zu Citrix Gateway in der DMZ ausgeführt wird, müssen Sie die Authentifizierung auf Citrix Gateway nicht konfigurieren. Das Webinterface authentifiziert Benutzer.

Stellen Sie das Webinterface hinter Citrix Gateway in einer DMZ bereit

In dieser Konfiguration werden sowohl Citrix Gateway als auch das Webinterface in der DMZ bereitgestellt. Wenn sich Benutzer mit der Citrix Workspace-App anmelden, wird die erste Benutzerverbindung zu Citrix Gateway hergestellt und dann zum Webinterface umgeleitet. Um den gesamten HTTPS- und ICA-Datenverkehr über einen einzelnen externen Port weiterzuleiten und die Verwendung eines einzelnen SSL-Zertifikats zu erfordern, fungiert Citrix Gateway als Reverse-Webproxy für das Webinterface.

Abbildung 1. Webinterface ist hinter Citrix Gateway

Abbildung der Bereitstellung

Wenn das Webinterface hinter Citrix Gateway in der DMZ bereitgestellt wird, können Sie die Authentifizierung auf dem Gerät konfigurieren, dies ist jedoch nicht erforderlich. Sie können entweder Citrix Gateway oder das Webinterface Benutzer authentifizieren lassen, da sich beide in der DMZ befinden.

Bereitstellen von Citrix Gateway mit dem Webinterface