Citrix Gateway

Wählen Sie Citrix Secure Access Agent für Benutzer

Wenn Sie Citrix Gateway konfigurieren, können Sie wählen, wie sich Benutzer anmelden. Benutzer können sich mit einem der folgenden Plug-Ins anmelden:

  • Citrix Secure Access Agent für Windows
  • Citrix Secure Access Agent für macOS

Sie schließen die Konfiguration ab, indem Sie eine Sitzungsrichtlinie erstellen und die Richtlinie dann an Benutzer, Gruppen oder virtuelle Server binden. Sie können Plug-Ins auch aktivieren, indem Sie globale Einstellungen konfigurieren. Innerhalb des globalen Profils oder des Sitzungsprofils wählen Sie entweder Windows oder macOS X als Plug-In-Typ aus. Wenn sich Benutzer anmelden, erhalten sie das Plug-In wie global oder im Sitzungsprofil und in der Richtlinie definiert. Erstellen Sie separate Profile für den Plug-In-Typ.

Konfigurieren Sie das Plug-In global

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungen auf “Globale Einstellungen ändern”.
  3. Wählen Sie auf der Registerkarte Client Experience neben Plug-In-Typ Windows/macOS X aus und klicken Sie dann auf OK.

Konfigurieren Sie den Plug-In-Typ für Windows oder macOS in einem Sitzungsprofil

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie eine Sitzungsrichtlinie erstellen, klicken Sie im Detailbereich auf Hinzufügen.
    • Wenn Sie eine bestehende Richtlinie ändern, wählen Sie eine Richtlinie aus, und klicken Sie dann auf Öffnen.
  3. Erstellen Sie ein Profil oder ändern Sie ein vorhandenes Profil. Führen Sie dazu einen der folgenden Schritte aus:
    • Klicken Sie neben Profil anfordernauf Neu.
    • Klicken Sie neben Profil anfordernauf Ändern.
  4. Klicken Sie auf der Registerkarte Client Experience neben Plug-In-Typauf Override Global und wählen Sie dann Windows/macOS Xaus.
  5. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie ein Profil erstellen, klicken Sie auf Erstellen, legen Sie den Ausdruck im Richtliniendialogfeld fest, klicken Sie auf Erstellen und dann auf Schließen.
    • Wenn Sie ein vorhandenes Profil ändern, klicken Sie nach der Auswahl zweimal auf OK .

Citrix Secure Access Agent für Windows

Wenn sich Benutzer bei Citrix Gateway anmelden, laden sie Citrix Secure Access Agent herunter und installieren ihn auf dem Benutzergerät.

Um das Plug-In zu installieren, müssen Benutzer ein lokaler Administrator oder ein Mitglied der Gruppe Administratoren sein. Diese Einschränkung gilt nur für die Erstinstallation. Plug-In-Upgrades erfordern keinen Zugriff auf Administratorebene.

Damit Benutzer eine Verbindung zu Citrix Gateway herstellen und diese verwenden können, müssen Sie ihnen die folgenden Informationen bereitstellen:

  • Citrix Gateway-Webadresse wie https://NetScalerGatewayFQDN/
  • Alle Systemanforderungen für die Ausführung von Citrix Secure Access Agent, wenn Sie Endpunktressourcen und Richtlinien konfiguriert haben

Abhängig von der Konfiguration des Benutzergeräts müssen Sie möglicherweise auch die folgenden Informationen angeben:

  • Wenn Benutzer eine Firewall auf ihrem Computer ausführen, müssen sie möglicherweise die Firewall-Einstellungen ändern, damit die Firewall keinen Datenverkehr zu oder von den IP-Adressen blockiert, die den Ressourcen entsprechen, für die Sie Zugriff gewährt haben. Citrix Secure Access Agent behandelt automatisch die Internetverbindungsfirewall in Windows XP und die Windows-Firewall in Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 oder Windows 8.1.
  • Benutzer, die Datenverkehr über eine Citrix Gateway-Verbindung an FTP senden möchten, müssen ihre FTP-Anwendung so einstellen, dass passive Übertragungen durchgeführt werden. Eine passive Übertragung bedeutet, dass der Remotecomputer die Datenverbindung zu Ihrem FTP-Server herstellt, anstatt die Datenverbindung durch den FTP-Server zum Remotecomputer herzustellen.
  • Benutzer, die X-Clientanwendungen über die Verbindung ausführen möchten, müssen einen X-Server, z. B. XManager, auf ihren Computern ausführen.
  • Benutzer, die Receiver für Windows oder Receiver für Mac installieren, können Citrix Secure Access Agent von Receiver oder mit einem Webbrowser aus starten. Geben Sie Benutzern Anweisungen zum Anmelden mit Citrix Secure Access Agent über Receiver oder einen Webbrowser.

Da Benutzer an Dateien und Anwendungen arbeiten, als wären sie lokal im Netzwerk der Organisation, müssen Sie Benutzer nicht umschulen oder Anwendungen konfigurieren.

Um zum ersten Mal eine sichere Verbindung herzustellen, melden Sie sich über die Webanmeldeseite bei Citrix Gateway an. Das typische Format einer Webadresse ist https://companyname.com. Wenn sich Benutzer anmelden, können sie Citrix Secure Access Agent herunterladen und auf ihrem Computer installieren.

Installieren von Citrix Secure Access Agent für Windows

  1. Geben Sie in einem Webbrowser die Webadresse von Citrix Gateway ein.
  2. Geben Sie den Benutzernamen und das Kennwort ein und klicken Sie dann auf Anmelden.
  3. Wählen Sie Netzwerkzugriff und klicken Sie dann auf Herunterladen.
  4. Folgen Sie den Anweisungen, um das Plug-In zu installieren.

Wenn der Download abgeschlossen ist, stellt Citrix Secure Access Agent eine Verbindung her und zeigt eine Meldung im Infobereich auf einem Windows-basierten Computer an.

Wenn Sie möchten, dass Benutzer eine Verbindung mit dem Citrix Secure Access Agent herstellen, ohne einen Webbrowser zu verwenden, können Sie das Plug-In so konfigurieren, dass das Anmeldedialogfeld angezeigt wird, wenn Benutzer mit der rechten Maustaste auf das Citrix Gateway-Symbol im Infobereich eines Windows-basierten Computers klicken oder das Plug-In über das Startmenü starten.

Konfigurieren des Anmeldedialogfelds für Citrix Secure Access Agent für Windows

Um Citrix Secure Access Agent für die Verwendung des Anmeldedialogfelds zu konfigurieren, müssen Benutzer angemeldet sein, um dieses Verfahren abzuschließen.

  1. Klicken Sie auf einem Windows-basierten Computer im Infobereich mit der rechten Maustaste auf das Citrix Gateway-Symbol, und klicken Sie dann auf Citrix Gateway konfigurieren.
  2. Klicken Sie auf die Registerkarte Profil und dann auf Profil ändern.
  3. Klicken Sie auf der Registerkarte “Optionen” auf “Citrix Secure Access Agenten für die Anmeldung verwenden”. Hinweis: Wenn Benutzer das Dialogfeld Citrix Gateway konfigurieren in Receiver öffnen, ist die Registerkarte Optionen nicht verfügbar.

Festlegen des Abfangmodus für Citrix Secure Access Agent für Windows

Wenn Sie Citrix Secure Access Agent für Windows konfigurieren, müssen Sie auch den Abfangmodus konfigurieren und auf transparent setzen.

  1. Klicken Sie im Konfigurationsdienstprogramm auf die Registerkarte Konfiguration, erweitern Sie Citrix Gateway > Ressourcen, und klicken Sie dann auf Intranet-Anwendungen.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie auf Transparent.
  5. Wählen Sie unter ProtokollANYaus.
  6. Wählen Sie unter Zieltypdie Option IP-Adresse und Netzwerkmaskeaus.
  7. Geben Sie unter IP-Adresse die IP-Adresse ein.
  8. Geben Sie unter Netzwerkmaskedie Subnetzmaske ein, klicken Sie auf Erstellen und dann auf Schließen.

Erzwingen des lokalen LAN-Zugriffs für Endbenutzer basierend auf der ADC-Konfiguration

Administratoren können die Endbenutzer einschränken, um die lokale LAN-Zugriffsoption auf ihren Client-Computern zu aktivieren oder zu deaktivieren. Eine neue Option, FORCED, wird zu den vorhandenen Parameterwerten für lokalen LAN-Zugriff hinzugefügt. Wenn der Wert Lokaler LAN-Zugriff auf FORCED festgelegt ist, können Endbenutzer die Option für den lokalen LAN-Zugriff auf ihren Clientcomputern nicht verwenden. Wenn die Endbenutzer den lokalen LAN-Zugriff aktivieren oder deaktivieren müssen, müssen die Administratoren die Option Lokaler LAN-Zugriff in der Citrix ADC Appliance entsprechend neu konfigurieren.

So aktivieren Sie die Option Forced mithilfe der GUI:

  1. Navigieren Sie zu Citrix Gateway > Globale Einstellungen > Globale Einstellungen ändern.
  2. Klicken Sie auf die Registerkarte Clienterfahrung und dann auf Erweiterte Einstellungen.
  3. Wählen Sie unter Lokaler LAN-Zugriffdie Option FORCED

Lokalen LAN-Zugriff aktivieren

Führen Sie den folgenden Befehl aus, um die Option Forced mithilfe der CLI zu aktivieren:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Windows Citrix Secure Access Agent mit Windows-Filterplattform

Die Windows Filtering Platform (WFP) ist eine Reihe von API- und Systemdiensten, die eine Plattform zum Erstellen von Netzwerkfilteranwendungen bieten. WFP wurde entwickelt, um frühere Paketfiltertechnologien zu ersetzen, den Network Driver Interface Specification (NDIS) -Filter, der mit dem DNE-Treiber verwendet wurde. Der WFP-Modus wird mit dem Build 22.6.1.5 des Windows Citrix Secure Access Agents unterstützt.

Installieren Sie den WFP-Build

Sie können den WFP-Build mit einer der folgenden Methoden installieren.

  • Installieren Sie das VPN-Plug-in mit dem DNE- und dem WFP-Treiber (Standardmethode)

    Wenn das Plug-In sowohl mit dem DNE- als auch dem WFP-Treiber installiert wird, können Administratoren entweder den WFP- oder den DNE-Treiber für das Tunneling über einen Registrierungsknopf verwenden. Standardmäßig wird der DNE-Treiber für das Tunneln verwendet.

  • Installieren Sie das VPN-Plugin nur mit dem WFP-Treiber (DNE-Treiberinstallation überspringen)

    DNE-Treiber werden von einigen Anwendungen von Drittanbietern nicht unterstützt, auch wenn sie nicht verwendet werden. Für diese Bereitstellungen können Administratoren diesen Installationstyp verwenden. Da der DNE-Treiber nicht installiert ist, wird nur der WFP-Treiber für das Tunneln verwendet.

Wählen Sie einen WFP-Treiber anstelle eines DNE-Treibers

Führen Sie die folgenden Schritte aus, um den WFP-Treiber anstelle des DNE-Treibers auszuwählen.

Hinweis:

Dies funktioniert nur mit der Standardinstallationsmethode.

  1. Laden Sie das WFP-unterstützte VPN-Plug-in-Build herunter und installieren Sie das neue
  2. Standardmäßig wird der DNE-Treiber verwendet, um den Verkehr zu tunneln. Um den WFP-Treiber für das Tunneling zu verwenden, müssen Administratoren den folgenden Registrierungseintrag erstellen:
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — Legen Sie den Wert auf 1 fest, um WFP zu verwenden, und 0, um DNE zu verwenden (standardmäßig ist DNE aktiviert, wenn dieser Registrierungswert nicht vorhanden oder auf 0 gesetzt ist)

Hinweis:

Nach dem Umschalten des Tunnelmodus von DNE auf WFP oder umgekehrt muss das System neu gestartet werden, damit die Änderungen ordnungsgemäß wirksam werden.

Überspringen Sie die DNE-Installation vollständig

Führen Sie die folgenden Schritte aus, um die DNE-Installation zu überspringen.

  1. Führen Sie eine saubere Deinstallation des VPN-Plugins durch.
    1. Deinstallieren Sie das aktuelle VPN-Plug-in auf dem Computer und starten Sie den Computer neu
    2. Überprüfen Sie mit einer der folgenden Optionen, ob der DNE-Treiber deinstalliert wurde.
      • Öffnen Sie eine erweiterte Eingabeaufforderung (oder PowerShell). Führen Sie die folgenden Befehle aus (die Beispielausgabe zeigt, dass der DNE-basierte Treiber auf dem System installiert ist)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      Wenn der Treiber nicht installiert ist, wird die folgende Ausgabe angezeigt:

      The specified service does not exist as an installed service.

    Da der DNE-Treiber (dnelwf64.sys) auch von anderen Anbietern verwendet wird, ist er möglicherweise auch dann vorhanden, wenn der Citrix Secure Access Agent nicht auf dem System installiert ist. Auf der anderen Seite wird das CAG-Plug-In nur vom Citrix Secure Access Agent verwendet.

    • Das Vorhandensein von DNE kann auch überprüft werden, indem versucht wird, die CAG- und DNE-Treiber zu starten. Öffnen Sie die Eingabeaufforderung mit Administratorrechten und führen Sie die folgenden Befehle aus:

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • Wenn die Ausgabemeldung anzeigt, dass die Dienste nicht gefunden werden können (der Dienstname ist ungültig.), wurden die Plug-In- und Treiberkomponenten erfolgreich deinstalliert. Fahren Sie in diesem Fall mit Schritt 2 fort.
      • Wenn das Plug-In und die Treiberkomponenten nicht erfolgreich deinstalliert wurden, führen Sie das Cleanup-Dienstprogramm auf dem Clientcomputer aus, indem Sie die Anweisungen unter befolgen https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332.
        • Entpacken Sie das Cleanup-Dienstprogramm und kopieren Sie es in einen Ordner.
        • Führen Sie nsRmSAC.exe von der Befehlszeile aus.
        • Starten Sie die Maschine neu.
  2. Erstellen Sie die folgenden Registrierungseinträge.

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE - Auf 1 setzen, um sicherzustellen, dass DNE nicht auf dem Computer installiert ist
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE - Auf 1 setzen, um WFP zu aktivieren (dieser Eintrag muss erstellt werden, wenn die DNE-Installation übersprungen wird)

    Hinweis:

    • Wenn die Registrierungseinträge nicht vor der Installation erstellt werden, wird DNE standardmäßig installiert. Sie können auch die VPN-Protokolldateien überprüfen, um zu überprüfen, ob WFP oder DNE verwendet wird.
    • Wenn die DNE-Installation übersprungen wird, muss EnableWFP auf 1 gesetzt werden. In diesem Fall können Sie nicht zum DNE-basierten Plug-In wechseln, ohne den Citrix Secure Access Agent neu zu installieren.
  3. Installieren Sie das neue VPN Plug-in.
  4. Überprüfen Sie, ob der WFP-Treiber auf dem System installiert ist. Öffnen Sie eine erweiterte Befehlszeile, und führen Sie den folgenden Befehl aus. Die Beispielausgabe zeigt, dass der WFP-Treiber auf dem System installiert ist.

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

Wenn der Treiber nicht installiert ist, wird die folgende Ausgabe angezeigt:

The specified service does not exist as an installed service.

  1. Starten Sie die Maschine neu.

Vorteile von WFP

Im Folgenden sind einige der Vorteile von WFP aufgeführt, wenn eine eigenständige WFP-Treiberinstallation auf dem Client durchgeführt wird.

  • FQDN-basierte Unterstützung für Reverse-Split-Tunnel: Der WFP-Treiber unterstützt FQDN-basiertes REVERSE-Split-Tun Es wird mit dem DNE-Treiber nicht unterstützt. Weitere Einzelheiten finden Sie unter Split-Tunneling-Optionen.

  • Wireshark-Unterstützung: DNE erlaubt aufgrund seiner Verbindung mit dem Ethernet/Wi-Fi-Adapter keinen bidirektionalen Datenverkehr auf einem Client-Computer. Dies ist kein Problem mit dem neuen WFP-Treiber.

  • NMAP-Unterstützung: Der neue WFP-Treiber unterstützt NMAP-Scans, während das VPN-Plug-In zum Tunneln des Datenverkehrs verwendet wird, wohingegen der DNE kein NMAP-Scan zulässt, während das VPN-Plug-In zum Tunneln

  • Netzwerkgeschwindigkeit: Wenn DNE auf einem Client-Computer installiert ist, werden in einigen Szenarien die Download- und Upload-Geschwindigkeit beeinträchtigt, was bei WFP nicht der Fall ist.

  • Verbesserte nslookup-Performance: Manchmal mit DNE, schlägt die Antwort von nslookup mit einer geringeren Anzahl von Versuchen fehl. Das wird bei WFP nicht beobachtet.

  • Verbesserte Iperf-Leistung gegenüber UDP: Bei DNE wurde bei Skalierbarkeitstests mit iperf über UDP ein gewisser Paketverlust beobachtet. Paketverlust wird bei WFP nicht beobachtet.

Wählen Sie Citrix Secure Access Agent für Benutzer