Citrix Gateway

Konfigurieren von Adresspools

In einigen Situationen benötigen Benutzer, die eine Verbindung mit Citrix Secure Access Agent herstellen, eine eindeutige IP-Adresse für Citrix Gateway. In einer Samba-Umgebung muss beispielsweise jeder Benutzer, der eine Verbindung zu einem zugeordneten Netzlaufwerk herstellt, scheinbar von einer anderen IP-Adresse stammen. Wenn Sie Adresspools (auch als IP-Pooling bezeichnet) für eine Gruppe aktivieren, kann Citrix Gateway jedem Benutzer einen eindeutigen IP-Adressalias zuweisen.

Sie konfigurieren Adresspools mit Intranet-IP-Adressen. Die folgenden Arten von Anwendungen müssen möglicherweise eine eindeutige IP-Adresse verwenden, die aus dem IP-Pool stammt:

  • Voice-Over-IP
  • Aktiv FTP
  • Instant Messaging
  • Sichere Shell (SSH)
  • Virtual Network Computing (VNC) zur Verbindung mit einem Computerdesktop
  • Remotedesktop (RDP), um eine Verbindung zu einem Clientdesktop herzustellen

Sie können Citrix Gateway so konfigurieren, dass Benutzern, die eine Verbindung zu Citrix Gateway herstellen, eine interne IP-Adresse zuweisen. Statische IP-Adressen können Benutzern zugewiesen werden oder ein Bereich von IP-Adressen kann einer Gruppe, einem virtuellen Server oder dem System global zugewiesen werden.

Mit Citrix Gateway können Sie Ihren Remote-Benutzern IP-Adressen aus Ihrem internen Netzwerk zuweisen. Eine IP-Adresse im internen Netzwerk kann einen Remote-Benutzer ansprechen. Wenn Sie sich für die Verwendung eines IP-Adressbereichs entscheiden, weist das System einem Remote-Benutzer bei Bedarf dynamisch eine IP-Adresse aus diesem Bereich zu.

Beachten Sie beim Konfigurieren von Adresspools Folgendes:

  • Zugewiesene IP-Adressen müssen korrekt geroutet werden. Beachten Sie Folgendes, um das korrekte Routing sicherzustellen:
    • Wenn Sie kein Split-Tunneling aktivieren, stellen Sie sicher, dass die IP-Adressen über Geräte zur Netzwerkadressübersetzung (NAT) weitergeleitet werden können.
    • Auf allen Servern, auf die über Benutzerverbindungen mit Intranet-IP-Adressen zugegriffen wird, müssen die richtigen Gateways konfiguriert sein, um diese Netzwerke zu erreichen.
    • Konfigurieren Sie Gateways oder eine statische Route auf Citrix Gateway, damit der Netzwerkverkehr von der Benutzersoftware an das interne Netzwerk weitergeleitet wird.
  • Bei der Zuweisung von IP-Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines Bereichs kann einer untergeordneten Entität zugewiesen werden. Wenn beispielsweise ein IP-Adressbereich an einen virtuellen Server gebunden ist, binden Sie eine Teilmenge des Bereichs an eine Gruppe.
  • IP-Adressbereiche können nicht an mehrere Entitäten innerhalb einer Bindungsebene gebunden werden. Beispielsweise kann eine Teilmenge eines Adressbereichs, die an eine Gruppe gebunden ist, nicht an eine zweite Gruppe gebunden werden.
  • Citrix Gateway erlaubt es Ihnen nicht, IP-Adressen zu entfernen oder zu lösen, während sie aktiv von einer Benutzersitzung verwendet werden.
  • Interne Netzwerk-IP-Adressen werden Benutzern mithilfe der folgenden Hierarchie zugewiesen:
    • Direkte Bindung des Nutzers
    • Gruppe zugewiesener Adresspool
    • Dem virtuellen Server zugewiesener Adresspool
    • Globaler Adressbereich
  • Bei der Zuweisung von Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines zugewiesenen Bereichs kann jedoch weiter einer untergeordneten Entität zugewiesen werden. Ein gebundener globaler Adressbereich kann einen Bereich haben, der an Folgendes gebunden ist:
    • Virtueller Server
    • Gruppe
    • Benutzer
  • Ein gebundener Adressbereich eines virtuellen Servers kann eine Teilmenge haben, die an Folgendes gebunden ist:
    • Gruppe
    • Benutzer

Ein gebundener Gruppenadressbereich kann eine Teilmenge haben, die an einen Benutzer gebunden ist.

Wenn einem Benutzer eine IP-Adresse zugewiesen wird, ist die Adresse für die nächste Anmeldung des Benutzers reserviert, bis der Adresspoollbereich erschöpft ist. Wenn die Adressen erschöpft sind, fordert Citrix Gateway die IP-Adresse des Benutzers zurück, der am längsten von Citrix Gateway abgemeldet ist.

Wenn eine Adresse nicht zurückgewonnen werden kann und alle Adressen aktiv verwendet werden, erlaubt Citrix Gateway dem Benutzer nicht, sich anzumelden. Sie können diese Situation verhindern, indem Sie Citrix Gateway erlauben, die zugeordnete IP-Adresse als Intranet-IP-Adresse zu verwenden, wenn alle anderen IP-Adressen nicht verfügbar sind.

Intranet-IP-DNS-Registrierung

Wenn eine Intranet-IP einem Clientcomputer zugewiesen wird und nach dem Aufbau eines VIP-Tunnels, prüft das VPN-Plug-In, ob dieser Clientcomputer einer Domäne beigetreten ist. Wenn es sich bei dem Clientcomputer um eine mit der Domäne verbundene Maschine handelt, initiiert das VPN-Plug-In den DNS-Registrierungsprozess, um das Hostnamensintranet des Rechners mit der zugewiesenen Intranet-IP-Adresse zu verknüpfen. Diese Registrierung wird vor der Wiederherstellung des Tunnels rückgängig gemacht.

Stellen Sie für eine erfolgreiche DNS-Registrierung sicher, dass die folgenden nsapimgr-Regler eingestellt sind. Stellen Sie außerdem sicher, dass der autorisierende DNS-Server so eingestellt ist, dass er “nicht sichere” DNS-Aktualisierungen zulässt.

  • nsapimgr -ys enable_vpn_dns_override=1: Dieses Flag wird zusammen mit den anderen Konfigurationsparametern an den Citrix Gateway VPN-Client gesendet. Wenn dieses Flag nicht gesetzt ist und der VPN-Client eine DNS/WINS-Anforderung abfängt, sendet er eine entsprechende HTTP-Anforderung “GET /DNS” über den Tunnel an den virtuellen Citrix Gateway-Server, um die aufgelöste IP-Adresse abzurufen. Wenn jedoch das Flag ‘enable_vpn_dnstruncate_fix’ gesetzt ist, leitet der VPN-Client die DNS/WINS-Anforderungen transparent an den virtuellen Citrix Gateway-Server weiter. In diesem Fall wird das DNS-Paket unverändert über den VPN-Tunnel an den virtuellen Citrix Gateway-Server gesendet. Dies hilft in Fällen, in denen die DNS-Einträge, die von den im Citrix Gateway konfigurierten Nameservern zurückkommen, riesig sind und nicht in das UPD-Antwortpaket passen. In diesem Fall erreicht dieses TCP-DNS-Paket unverändert den Citrix Gateway-Server, wenn der Client wieder TCP-DNS verwendet, und daher führt der Citrix Gateway-Server eine TCP-DNS-Abfrage an einen DNS-Server durch.

  • nsapimgr -ys enable_vpn_dnstruncate_fix=1: Dieses Flag wird vom Citrix Gateway-Server selbst verwendet. Wenn dieses Flag gesetzt ist, überschreibt Citrix Gateway das Ziel für die TCP-Verbindungen am DNS-Port zu den DNS-Servern, die auf Citrix Gateway konfiguriert sind (anstatt zu versuchen, sie an die DNS-Server-IP zu senden, die ursprünglich im eingehenden TCP-DNS-Paket vorhanden war). Für UDP-DNS-Anfragen wird standardmäßig die konfigurierte DNS-Server für die DNS-Auflösung verwendet. Das Citrix Gateway Plug-In für Windows unterstützt sowohl sichere als auch nicht sichere DNS-Updates. Die Unterstützung für sichere DNS-Updates ist standardmäßig in Builds 21.7.1.1 oder höher verfügbar.

    Das sichere DNS-Update im Windows-Plug-In ist standardmäßig deaktiviert. Um es zu aktivieren, erstellen Sie einen Wert vom Typ REG_DWORD in HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access und setzen Sie ihn auf 1.

    • Wenn Sie den Wert auf 1 setzen, versucht das VPN-Plug-In zuerst die unsichere DNS-Aktualisierung. Wenn das unsichere DNS-Update fehlschlägt, versucht das VPN-Plug-in das sichere DNS-Update.
    • Um nur das sichere DNS-Update auszuprobieren, können Sie den Wert auf 2 setzen.

Weitere Informationen zum Einstellen dieser Regler finden Sie unter https://support.citrix.com/article/CTX200243.

Konfigurieren von Adresspools für einen Benutzer, eine Gruppe oder einen virtuellen Server

  1. Erweitern Sie im Konfigurationsdienstprogramm im Navigationsbereich Citrix Gatewayund führen Sie eine der folgenden Aktionen aus:
    • Erweitern Sie Citrix Gateway Benutzerverwaltung und klicken Sie dann auf AAA-Benutzer.
    • Erweitern Sie Citrix Gateway > Benutzerverwaltung, und klicken Sie dann auf AAA-Gruppen.
    • Erweitern Sie Citrix Gateway und klicken Sie dann auf Virtuelle Server.
  2. Klicken Sie im Detailbereich auf einen Benutzer, eine Gruppe oder einen virtuellen Server und dann auf Öffnen.
  3. Geben Sie auf der Registerkarte Intranet-IPs unter IP-Adresse und Netzmaske die IP-Adresse und die Subnetzmaske ein und klicken Sie dann auf Hinzufügen.
  4. Wiederholen Sie Schritt 3 für jede IP-Adresse, die Sie dem Pool hinzufügen möchten, und klicken Sie dann auf OK.

Konfigurieren von Adresspools global

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Intranet-IPsauf Um eine eindeutige, statische IP-Adresse oder einen Pool von IP-Adressen für die Verwendung durch alle Citrix Gateway-Clientsitzungen zuzuweisen, konfigurieren Sie Intranet-IPs.
  3. Klicken Sie im Dialogfeld Intranet-IPs binden auf Aktion und dann auf Einfügen.
  4. Geben Sie unter IP-Adresse und Netzmaske die IP-Adresse und die Subnetzmaske ein und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie die Schritte 3 und 4 für jede IP-Adresse, die Sie dem Pool hinzufügen möchten, und klicken Sie dann auf OK.

Definieren von Adresspools Optionen

Sie können eine Sitzungsrichtlinie oder die globalen Citrix Gateway-Einstellungen verwenden, um zu steuern, ob Intranet-IP-Adressen während einer Benutzersitzung zugewiesen werden. Durch das Definieren von Adresspools können Sie Citrix Gateway Intranet-IP-Adressen zuweisen und gleichzeitig die Verwendung von Intranet-IP-Adressen für eine bestimmte Benutzergruppe deaktivieren.

Sie können Adresspools mithilfe einer Sitzungsrichtlinie auf eine der folgenden drei Arten konfigurieren:

  • Nospillover - Wenn Sie Adresspools für die Intranet-IP-Adresse konfigurieren, erhalten Sie eine Sitzung mit einer verfügbaren IP aus dem Pool. Für Benutzer, die alle verfügbaren Intranet-IP-Adressen verwendet haben, wird die Seite Login übertragen angezeigt.
  • Überlauf - Wenn Sie Adresspools konfigurieren und die zugeordnete IP als Intranet-IP-Adresse verwendet wird, wird die zugeordnete IP-Adresse für Benutzer verwendet, die alle verfügbaren Intranet-IP-Adressen verwendet haben.
  • Aus - Adresspools sind nicht konfiguriert.

Hinweis:

Wenn die zugeordnete IP-Adresse nicht konfiguriert ist, wird SNIP verwendet.

So definieren Sie Adresspools

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
  7. Klicken Sie neben Intranet IP auf Override Global und wählen Sie dann eine Option aus.
  8. Wenn Sie in Schritt 9 SPILLOVER auswählen, klicken Sie neben Zugeordnete IP auf Global überschreiben, wählen Sie den Hostnamen der Appliance aus, klicken Sie auf OK, und klicken Sie dann auf Erstellen.
  9. Erstellen Sie im Dialogfeld Sitzungsrichtlinie erstellen einen Ausdruck. Klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren Sie die Transferanmeldeseite

Wenn ein Benutzer keine Intranet-IP-Adresse zur Verfügung hat und dann versucht, eine weitere Sitzung mit Citrix Gateway einzurichten, wird die Seite Anmeldung übertragen angezeigt. Auf der Seite Anmeldung übertragen können Benutzer ihre bestehende Citrix Gateway-Sitzung durch eine neue Sitzung ersetzen.

Die Seite “Anmeldung übertragen” kann auch verwendet werden, wenn die Abmeldeanforderung verloren geht oder wenn der Benutzer keine saubere Abmeldung durchführt. Beispiel:

  • Einem Benutzer wird eine statische Intranet-IP-Adresse zugewiesen und verfügt über eine vorhandene Citrix Gateway-Sitzung. Wenn der Benutzer versucht, eine zweite Sitzung von einem anderen Gerät aus einzurichten, wird die Seite Anmeldung übertragen angezeigt und der Benutzer kann die Sitzung auf das neue Gerät übertragen.
  • Einem Benutzer werden fünf Intranet-IP-Adressen zugewiesen und hat fünf Sitzungen über Citrix Gateway. Wenn der Benutzer versucht, eine sechste Sitzung einzurichten, wird die Seite Login übertragen angezeigt, und der Benutzer kann wählen, eine bestehende Sitzung durch eine neue Sitzung zu ersetzen.

Hinweis:

Wenn dem Benutzer keine zugewiesene IP-Adresse zur Verfügung steht und eine neue >Sitzung nicht mithilfe der Seite “Anmeldung übertragen” eingerichtet werden kann, erhält der Benutzer eine Fehlermeldung.

Die Seite Login übertragen wird nur angezeigt, wenn Sie Adresspools konfigurieren und Spillover deaktivieren.

Konfigurieren eines DNS-Suffix

Wenn sich ein Benutzer bei Citrix Gateway anmeldet und eine IP-Adresse zugewiesen wird, wird dem Citrix Gateway DNS-Cache ein DNS-Datensatz für die Kombination aus Benutzernamen und IP-Adresse hinzugefügt. Sie können ein DNS-Suffix so konfigurieren, dass es an den Benutzernamen angehängt wird, wenn der DNS-Eintrag zum Cache hinzugefügt wird. Auf diese Weise können Benutzer mit dem DNS-Namen referenziert werden, der leichter zu merken ist als eine IP-Adresse. Wenn sich der Benutzer von Citrix Gateway abmeldet, wird der Datensatz aus dem DNS-Cache entfernt.

So konfigurieren Sie ein DNS-Suffix

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien eine Sitzungsrichtlinie aus und klicken Sie dann auf Öffnen.
  3. Klicken Sie neben Anforderungsprofil auf Ändern.
  4. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
  5. Klicken Sie neben Intranet-IP-DNS-Suffix auf Global überschreiben, geben Sie das DNS-Suffix ein, und klicken Sie dann dreimal auf OK.