Konfigurieren der Citrix SD-WAN WANOP-Appliance zur Optimierung des sicheren Windows-Datenverkehrs

Sie müssen die Citrix SD-WAN WANOP-Appliance zur Windows-Sicherheitsinfrastruktur hinzufügen, bevor Sie das signierte Windows-Dateisystem und den verschlüsselten MAPI Outlook/Exchange-Datenverkehr optimieren können.

Als Ergebnis von Verbesserungen am Windows-Sicherheitssystem in den letzten Windows-Versionen sichern Clients und Server den Datenverkehr durch Authentifizierung und Verschlüsselung. Dies erfordert, dass die Citrix SD-WAN WANOP-Appliance ein vertrauenswürdiges Mitglied der Windows-Sicherheitsinfrastruktur ist, bevor sie signiertes Windows-Dateisystem und verschlüsselten MAPI Outlook/Exchange-Datenverkehr optimieren kann.

Nachdem Sie die Appliance zur Windows-Sicherheitsinfrastruktur hinzugefügt haben, verfügt die Appliance über folgende Funktionen:

  • Beschleunigung des Dateiserververkehrs für Microsoft Windows-Server, NetApp-Server und Hitachi HNAS mithilfe von signiertem SMB- und signiertem SMB2-Protokoll.

  • Beschleunigung des Microsoft Exchange-Serververkehrs, wenn Outlook-Clients mit verschlüsseltem MAPI oder RPC über HTTPS darauf zugreifen.

Funktionsweise der Citrix SD-WAN WANOP-Appliance in einem Windows-Sicherheitssystem

Das Hinzufügen der Appliance zu einer Windows-Domäne erfordert Administratoranmeldeinformationen. Wenn sie der Windows-Domäne beitritt, wird die Appliance zu einem vertrauenswürdigen Mitglied der Domäne. Dadurch kann die Appliance als Mitglied der Sicherheitsinfrastruktur der Domäne deklariert werden.

Nachdem die Appliance Teil der Windows-Sicherheitsinfrastruktur geworden ist, müssen Benutzer authentifiziert werden, bevor sie auf Ressourcen zugreifen können. Um die Schwierigkeiten beim Konfigurieren einer großen Anzahl von Benutzern in der Domäne zu vermeiden, können Sie die Authentifizierungszuständigkeit an einen Benutzer delegieren.

Sie erstellen einen Delegatbenutzer im Active Directory. Dieser Benutzer ähnelt einem normalen Benutzer, aber mit speziellen Berechtigungen. Nachdem Sie den Delegatbenutzer erstellt haben, müssen Sie diesen Benutzer auf der Citrix SD-WAN WANOP-Appliance konfigurieren. Die Appliance verwendet den Delegatbenutzer, um sich im Namen von Benutzern zu authentifizieren, wenn sie mithilfe von Windows-Protokollen wie CIFS und MAPI auf authentifizierte und verschlüsselte Datenströme zugreifen.

Zur Beschleunigung des CIFS- und MAPI-Datenverkehrs ermöglicht der standardmäßige Windows-Delegierungsmechanismus die Einschränkung der Sicherheitsdelegierung auf die relevanten Dienste. Diese eingeschränkte Delegierung ist seit der Veröffentlichung von Windows Server 2003 verfügbar.

Nachdem die Appliance Teil der Domäne geworden ist, beschleunigt die Appliance den sicheren Windows-Datenverkehr. Eine Datencenter-Appliance, die einer Windows-Domäne beitritt, muss über eine sichere Peer-Beziehung mit der Remote-Appliance oder dem Citrix SD-WAN WANOP-Plug-In verfügen, aber nur die Datencenter-Appliance tritt der Windows-Domäne bei. Für Zwecke der CIFS- oder MAPI-Beschleunigung fungiert die Remote-Appliance als Slave für die Datencenter-Appliance und wird über den sicheren SSL-Tunnel zwischen den beiden gesteuert. Daher verlassen die Anmeldeinformationen des Delegaten nicht das Datencenter.

Die folgende Abbildung zeigt ein Beispiel-Topologiediagramm für diese Einrichtung.

lokalisierte Grafik

In der obigen Abbildung greift ein Zweigstellenclient auf Ressourcen des Rechenzentrums zu. Der Zweigstellenclient, der sich in einer anderen Domäne befindet, verwendet die NTLM-Authentifizierung als Teil des Windows-Sicherheitssystems. Wie bei allen beschleunigten Verbindungen zwischen zwei Citrix SD-WAN WANOP-Appliances in einer sicheren Peer-Beziehung werden die CIFS- oder MAPI-Verbindungen und NTLM-Authentifizierungen über das WAN verschlüsselt. Abhängig von der Version des Windows-Domänencontroller wird die Benutzeranforderung der Citrix SD-WAN WANOP-Appliance mit dem NTLM- oder Kerberos-Authentifizierungsprotokoll authentifiziert. Nachdem die Domäne den Benutzer authentifiziert hat, verwenden nachfolgende Zugriffsanforderungen an den Exchange-Server und Dateiserver das Kerberos-Authentifizierungsprotokoll. Die Citrix SD-WAN WANOP-Appliance optimiert dann die Verbindungen zwischen dem Client und dem Server.

Wenn die Appliances keine sichere Peer-Beziehung haben oder wenn die Datencenter-Appliance der Domäne nicht erfolgreich beigetreten ist, verwenden die Verbindungen die TCP-Durchflusssteuerungsbeschleunigung, die keine Sicherheitsoperationen, keine Komprimierung oder Datentransformationen durchführt. Die Verbindungen zwischen Client und Server werden so hergestellt, als wären die Citrix SD-WAN WANOP-Appliances nicht vorhanden.

Sie können verschiedene Clientauthentifizierungsmodi unter Windows-Betriebssystemen konfigurieren. Die von der Citrix SD-WAN WANOP-Appliance optimierten Verbindungstypen hängen vom konfigurierten Clientauthentifizierungsmodus ab.

In der folgenden Tabelle sind die Windows-Clientauthentifizierungsmodi unter Windows und die entsprechenden Citrix SD-WAN WANOP-Optimierungen aufgeführt.

Unterstützte Authentifizierung und Optimierung für Windows-Betriebssystem

Client-Betriebssystem Client-Authentifizierungsmodus Optimierung Kommentare
Windows XP/Windows Vista/Windows 7/Windows 8 Authentifizierung aushandeln (SPNEGO) TCP-Durchflussregelbeschleunigung, Kompression, CIFS-Protokollbeschleunigung Standardeinstellung für alle Windows-Versionen.
Windows XP/Windows Vista/Windows 7/Windows 8 Nur NTLM oder nur Kerberos TCP-Durchflussregelbeschleunigung nur Nicht-Standard-Authentifizierungsmodi

Hinweis: Wenn Sie nur NTLM oder nur Kerberos Client-Authentifizierungsmodi verwenden, wird der Datenverkehr nicht beschleunigt, wenn er verschlüsselt ist.

Anforderungen zum Hinzufügen einer Citrix SD-WAN WANOP-Appliance zum Windows-Sicherheitssystem

Um den Datenverkehr für gesicherten Windows signierten SMB- und verschlüsselten MAPI-Datenverkehr zu optimieren, muss Ihre Citrix SD-WAN WANOP-Bereitstellung die folgenden Anforderungen erfüllen, bevor Sie die Appliance zur Windows-Sicherheitsinfrastruktur hinzufügen:

  • Sowohl die clientseitige als auch die serverseitige Beschleunigungs-Appliances müssen eine sichere Peer-Beziehung aufgebaut haben.

  • Die Appliances müssen einen NTP-Server verwenden, der eng mit der Zeit auf dem Windows-Domänenserver synchronisiert ist. Idealerweise sind die Appliances und der Windows-Domänenserver alle Clients desselben NTP-Servers.

  • Outlook darf nicht für die (nicht standardmäßige) Kerberos- oder NTLM-Option konfiguriert werden. Die Standardoption (ausgehandelt) ist für die Beschleunigung erforderlich.

  • Der Client und der Server können Mitglieder jeder Domäne sein, die eine bidirektionale Vertrauensstellung mit der Domäne der serverseitigen Appliance hat. Die unidirektionale Vertrauensstellung wird nicht unterstützt.

  • Ein Kerberos-Delegatbenutzer muss auf dem Domänencontroller eingerichtet sein, um von der Appliance verwendet werden, die an der Sicherheitsinfrastruktur der Domäne beteiligt ist.

  • Die DNS-Server-IP-Adressen für die Domäne müssen auf der serverseitigen Appliance konfiguriert und erreichbar sein.

  • Die Domänenserver müssen vollständig erreichbar sein, wobei sowohl Forward- als auch Reverse-Lookups für alle IP-Adressen der Domänencontroller, die auf den DNS-Servern konfiguriert sind.

  • Der Hostname der serverseitigen Citrix SD-WAN WANOP-Appliance muss eindeutig sein. Die Verwendung des standardmäßigen Hostnamens hostname führt wahrscheinlich zu Problemen.

    Hinweis

    Der Macintosh-Outlook-Client verwendet nicht den MAPI-Standard (Outlook/Exchange) und wird durch dieses Feature nicht beschleunigt.

Hinzufügen einer Citrix SD-WAN WANOP-Appliance zur Windows-Sicherheitsinfrastruktur

Um den sicheren Windows-Datenverkehr zu optimieren, muss die Citrix SD-WAN WANOP-Appliance Teil des Windows-Sicherheitssystems sein und sich beim Sicherheitssystem oder der Domäne authentifizieren. Wie in der folgenden Abbildung dargestellt, müssen Sie die Appliance als Teil des Windows-Sicherheitssystems machen, um die Appliance einer Domäne beitreten (unter Verwendung von Administratoranmeldeinformationen). Darüber hinaus müssen Sie einen neuen oder vorhandenen Benutzer als Delegatbenutzer konfigurieren, indem Sie CIFS- und Exchange-Dienste diesem Benutzer zuordnen. Anschließend müssen Sie diesen Delegatbenutzer auf der Citrix SD-WAN WANOP-Appliance konfigurieren.

Sie können das Dienstprogramm vor der Domänenüberprüfung verwenden, um herauszufinden, ob Probleme beim Beitritt der Appliance zu einer Domäne auftreten.

Hinweis

Das Windows-Sicherheitssystem verwendet den Exchange-Dienst, um MAPI-Verbindungen zu verwalten. Konfigurieren des Setups zur Optimierung des sicheren Windows-Datenverkehrs

lokalisierte Grafik

Verbinden Sie eine Citrix SD-WAN WANOP-Appliance mit der Windows-Domäne:

Wenn die Appliance der Domäne beitritt, tauscht sie einen gemeinsamen Schlüssel mit dem Domänencontroller aus, sodass die Appliance unbegrenzt Teil der Domäne bleibt. Stellen Sie beim Beitritt einer Appliance zu einer Domäne sicher, dass Sie über Administratoranmeldeinformationen für den Domänencontroller verfügen.

Um sicherzustellen, dass die Citrix SD-WAN WANOP-Appliance den CIFS- und MAPI-Datenverkehr (einschließlich Datenverkehr, der als RPC über HTTPS gekapselt ist) optimiert, müssen Sie die Appliance Teil der Domäne machen, zu der der Windows-Dateiserver und Exchange-Server gehören. Sie müssen die serverseitige Appliance der Domäne beitreten.

Hinweis: Die Anmeldeinformationen für die Domänenverwaltung werden nicht auf der Appliance gespeichert.

So verbinden Sie eine Citrix SD-WAN WANOP-Appliance mit einer Windows-Domäne:

  1. Navigieren Sie zur Registerkarte Konfiguration > Sichere Beschleunigung > Windows-Domäne.

  2. Klicken Sie auf Windows-Domäne beitreten.

  3. Geben Sie den Windows-Domänennamen in das Feld Domänenname ein.

  4. Geben Sie im Feld Benutzername den Benutzernamen des Domänencontroller Administrators ein.

  5. Geben Sie im Feld Kennwort das Administratorkennwort des Domänencontroller an.

  6. Bearbeiten Sie bei Bedarf die DNS-Server auf Konsistenz mit der Windows-Domäne.

  7. Klicken Sie auf OK.

  8. Fügen Sie im Abschnitt Delegierte Benutzer einen Delegatbenutzer hinzu, wie in den folgenden Verfahren beschrieben.

    lokalisierte Grafik

Konfigurieren Sie einen Delegatbenutzer:

Nachdem Sie die Appliance einer Windows-Domäne hinzugefügt haben, müssen Sie einen Benutzer erstellen, mit dem die Appliance Benutzer bei der Domäne authentifizieren kann. Dieser Benutzer wird als Delegatbenutzerbezeichnet.

Hinweis: Um ein Delegatbenutzerkonto zu erstellen, benötigen Sie Administratorzugriff auf den Windows-Domänencontroller und die Appliance. Wenn Sie keinen Administratorzugriff auf den Windows-Domänencontroller haben, stellen Sie sicher, dass ein autorisierter Administrator die erforderlichen Aufgaben auf dem Domänencontroller ausführt.

Das Einrichten der Benutzerauthentifizierung mithilfe der Kerberos-Delegierung umfasst zwei Aufgaben: Das Konfigurieren eines Delegatbenutzers auf dem Domänencontroller und das Hinzufügen dieses Benutzers zur Citrix SD-WAN WANOP-Appliance.

Konfigurieren Sie einen Delegatbenutzer auf einem Domänencontroller:

Bevor Sie einen Delegatbenutzer auf einer Citrix SD-WAN WANOP-Appliance konfigurieren, müssen Sie einen Delegatbenutzer mit den erforderlichen Eigenschaften auf dem Domänencontroller konfigurieren. Sie können entweder ein Delegatbenutzerkonto erstellen oder ein vorhandenes Benutzerkonto als Delegatbenutzerkonto verwenden.

Aktivieren Sie nach dem Erstellen eines Kontos oder der Auswahl eines vorhandenen Kontos die Delegierung für diesen Benutzer. Anschließend ordnen Sie den Delegatbenutzer den CIFS- und Exchange-Diensten zu, damit der Datenverkehr für diese Dienste beschleunigt werden kann. Nachdem Sie diesen Benutzer zur Citrix SD-WAN WANOP-Appliance hinzugefügt haben, stellt die Appliance delegierte Anmeldeinformationen für die mit diesem Konto verknüpften Dienste bereit.

Erstellen Sie ein Delegatbenutzerkonto:

Erstellen Sie ein Delegatbenutzerkonto auf dem Windows-Domänencontroller, damit die Citrix SD-WAN WANOP-Appliance dieses Konto im Auftrag der Benutzer verwenden kann, um sie beim Domänencontroller zu authentifizieren.

Hinweis: Wenn Sie einen vorhandenen Benutzer als Delegatbenutzer konfigurieren möchten, überspringen Sie diese Prozedur.

So erstellen Sie ein Delegatbenutzerkonto:

  1. Melden Sie sich beim Windows-Domänencontroller als Administrator an. Stellen Sie sicher, dass der Dateiserver oder Exchange-Server Mitglied dieser Domäne ist.

  2. Öffnen Sie im Startmenü das Fenster Active Directory Benutzer und -Computer.

  3. Erstellen Sie einen Delegatbenutzer, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

Delegierung für einen Benutzer aktivieren:

Bisher ähnelt der von Ihnen erstellte Benutzer jedem Benutzer, den Sie auf dem Active Directory -Server erstellen. Um die Delegierung für den Benutzer zu aktivieren, müssen Sie das Dienstprinzipalname-Attribut des Benutzers festlegen, um den Delegatbenutzer mit den erforderlichen Diensten zu delegieren und zuzuordnen. Dadurch erhält der Benutzer spezielle Berechtigungen, die ihm zugewiesen sind und ihn zu einem Delegatbenutzer machen.

So aktivieren Sie die Delegierung für den Benutzer:

  1. Öffnen Sie im Startmenü das Fenster Active Directory Benutzer und -Computer.

  2. Wählen Sie im Menü Ansicht die Option Erweiterte Funktionenaus.

  3. Wählen Sie den Knoten Benutzer aus.

  4. Klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie als Delegatbenutzer festlegen möchten.

  5. Wählen Sie im Kontextmenü Eigenschaften und navigieren Sie zur Registerkarte Attribut-Editor, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  6. Wählen Sie in der Liste Attribute die Option ServicePrincipalName aus, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  7. Klicken Sie auf Edit.

  8. Geben Sie im Dialogfeld Mehrwertiger String-Editor im Feld Zu hinzuzufügender Wert delegate/<Benutzername> an, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  9. Klicken Sie auf Hinzufügen.

  10. Klicken Sie auf OK.

  11. Klicken Sie auf Übernehmen.

  12. Klicken Sie auf OK.

  13. Öffnen Sie das Dialogfeld MAPI-CIFS-Delegate-Benutzereigenschaften des Benutzers, und stellen Sie sicher, dass die Registerkarte Delegierung dem Dialogfeld hinzugefügt wurde, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

Ordnen Sie den Delegatbenutzer CIFS- und Exchange-Dienstenzu:

Nachdem Sie die Registerkarte Delegierung für den Benutzer aktiviert haben, können Sie den Benutzer Dienste zuordnen, für die der Benutzer delegierte Anmeldeinformationen präsentieren kann. Wenn Sie diesen Benutzer zur Citrix SD-WAN WANOP-Appliance hinzufügen, stellt die Appliance delegierte Anmeldeinformationen für die mit diesem Konto verknüpften Dienste bereit. Hinweis: Die Windows-Sicherheitsinfrastruktur verwendet den Exchange-Dienst, um den MAPI-Datenverkehr zu verwalten.

So ordnen Sie den Delegatbenutzer CIFS- und Exchange-Dienstenzu:

  1. Wählen Sie auf der Registerkarte Delegierung die Option Nur diesem Benutzer für Delegierung an bestimmte Dienste vertrauen aus.

  2. Wählen Sie die Option Beliebiges Authentifizierungsprotokoll verwenden aus.

  3. Klicken Sie auf Hinzufügen, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  4. Klicken Sie im Dialogfeld Dienst hinzufügen auf Benutzer und Computer .

  5. Fügen Sie im Dialogfeld Benutzer oder Computer auswählen den zu wählenden lokalen Computer hinzu, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  6. Klicken Sie auf OK.

  7. Wählen Sie im Dialogfeld Dienste hinzufügen aus der Liste Verfügbare Dienstecifs aus, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  8. Wenn Sie die MAPI-Beschleunigung auf der Citrix SD-WAN WANOP-Appliance einrichten müssen, halten Sie die Strg-Taste gedrückt, und wählen Sie den ExchangeMDB-Dienst aus.

  9. Klicken Sie auf OK. Die von Ihnen ausgewählten Dienste werden zu den Diensten hinzugefügt, denen dieses Konto delegierte Anmeldeinformationen anzeigen kann, wie im folgenden Screenshot gezeigt:

    lokalisierte Grafik

  10. Klicken Sie auf OK.

  11. Schließen Sie das Fenster Active Directory Benutzer und -Computer .

Konfigurieren Sie einen Delegatbenutzer auf einer Citrix SD-WAN WANOP-Appliance:

Nachdem Sie den Delegatbenutzer auf dem Active Directory -Server konfiguriert haben, müssen Sie diesen Benutzer auf der Citrix SD-WAN WANOP-Appliance konfigurieren, damit die Appliance die delegierten Anmeldeinformationen dieses Benutzers der Domäne präsentieren kann. Dadurch kann die Appliance den Netzwerkverkehr für die erweiterten CIFS- und MAPI-Beschleunigungsfunktionen aktiv optimieren.

So fügen Sie der serverseitigen Appliance den Delegatbenutzerhinzu:

  1. Navigieren Sie zur Registerkarte Konfiguration > Sichere Beschleunigung > Windows-Domäne.

  2. Klicken Sie auf die Schaltfläche Windows-Domäne beitreten, falls vorhanden.

  3. Klicken Sie unter Delegieren Benutzerauf Hinzufügen.

  4. Geben Sie im Feld Domänenname den Domänennamen an. Dies ist in der Regel die Domäne, die Sie im Abschnitt Windows-Domäne angegeben haben.

  5. Geben Sie im Feld Benutzername den Benutzernamen des Delegatbenutzers ein.

  6. Geben Sie im Feld Kennwort das Kennwort des Delegatbenutzers an.

  7. Klicken Sie auf Hinzufügen.

    lokalisierte Grafik

Stellen Sie sicher, dass die Appliance der Domäne beigetreten ist

Wenn Sie nach dem Hinzufügen der Appliance zur Domäne feststellen, dass die Appliance den sicheren Windows-Datenverkehr nicht optimiert, hat möglicherweise ein Fehler verhindert, dass die Appliance der Domäne beitritt. Sie können das Dienstprogramm vor der Domänenüberprüfung verwenden, um herauszufinden, ob Probleme mit dem Beitritt der Appliance zur Domäne auftreten. Sie können dieses Dienstprogramm sogar ausführen, um mögliche Probleme zu identifizieren, bevor Sie versuchen, die Appliance einer Domäne beitreten.

So überprüfen Sie den Delegatbenutzer:

  1. Melden Sie sich bei der serverseitigen Citrix SD-WAN WANOP-Appliance an.

  2. Navigieren Sie zu Konfiguration > Sichere Beschleunigung > Registerkarte Windows .

  3. Klicken Sie auf die Schaltfläche Windows-Domäne beitreten, falls vorhanden.

  4. Wählen Sie einen Delegatbenutzer aus, und klicken Sie auf Bearbeiten.

  5. Klicken Sie auf Delegate-Benutzer überprüfen.

  6. Warten Sie, bis die Delegate-Benutzerdomänenüberprüfung abgeschlossen ist, und überprüfen Sie die Ergebnisse.

    lokalisierte Grafik