Verwalten des Remotezugriffs auf Stores über Citrix Gateway

Mit der Aufgabe “Remotezugriffeinstellungen” können Sie den Zugriff auf Stores über Citrix Gateway für Benutzer in öffentlichen Netzwerken konfigurieren. Remotezugriff über Citrix Gateway ist nicht für Stores ohne Authentifizierung möglich.

Wichtig:

Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

  1. Klicken Sie auf der Windows-Startseite oder auf der Seite “Apps” auf die Kachel Citrix StoreFront.

  2. Wählen Sie im rechten Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten “Stores” und im Ergebnisbereich einen Store aus. Klicken Sie im Bereich “Aktionen” auf Remotezugriffeinstellungen konfigurieren.

  3. Geben Sie im Dialogfeld “Remotezugriffeinstellungen konfigurieren” an, ob und wie Benutzer, die eine Verbindung von öffentlichen Netzwerken aus herstellen, über Citrix Gateway auf den Store zugreifen können.

    • Soll der Store Benutzern in öffentlichen Netzwerken nicht zur Verfügung stehen, deaktivieren Sie die Option Remotezugriff aktivieren. Nur lokale Benutzer im internen Netzwerk können dann auf den Store zugreifen.
    • Um den Remotezugriff zu ermöglichen, aktivieren Sie Remotezugriff aktivieren.
      • Wenn Sie Ressourcen, die über den Store angeboten werden, über Citrix Gateway verfügbar machen möchten, wählen Sie Kein VPN-Tunnel aus. Die Benutzer melden sich entweder über ICAProxy oder ein clientloses VPN (CVPN) bei Citrix Gateway an und benötigen das Citrix Gateway-Plug-In nicht für ein vollständiges VPN.
      • Wählen Sie Vollständiger VPN-Tunnel aus, um den Store und andere Ressourcen im internen Netzwerk über einen SSL-VPN-Tunnel (SSL = Secure Sockets Layer, VPN = virtuelles privates Netzwerk) verfügbar zu machen. Die Benutzer benötigen das Citrix Gateway-Plug-In für das Erstellen des VPN-Tunnels.

      Wenn Sie Remotezugriff auf den Store konfigurieren, wird automatisch die Passthrough-Authentifizierung von Citrix Gateway aktiviert. Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet.

  4. Wenn Sie Remotezugriff aktiviert haben, wählen Sie in der Liste Citrix Gateway-Geräte die Bereitstellungen aus, über die die Benutzer auf den Store zugreifen können. Die Liste enthält alle Bereitstellungen, die zuvor für diesen und andere Stores konfiguriert wurden. Wenn Sie eine weitere Bereitstellung hinzufügen möchten, klicken Sie auf Hinzufügen. Fahren Sie andernfalls mit Schritt 14 fort.

  5. Geben Sie auf der Seite “Allgemeine Einstellungen” einen Anzeigenamen für das Citrix Gateway-Gerät an, anhand dessen die Benutzer dieses erkennen können.

    Den Benutzern wird der Anzeigename angezeigt, den Sie in der Citrix Workspace-App angegeben haben. Nehmen Sie deshalb relevante Informationen in den Namen auf, damit die Benutzer leichter entscheiden können, ob sie das Gateway verwenden möchten. Beispielsweise können Sie den geographischen Standort in die Anzeigenamen der Citrix Gateway-Bereitstellungen einfügen, damit Benutzer problemlos das nächstgelegene Gateway für ihren Standort identifizieren können.

  6. Geben Sie für Citrix Gateway-URL die URL:Port-Kombination des virtuellen Citrix Gateway-Servers Ihrer Bereitstellung ein. Wird kein Port angegeben, wird der Standard-https://-Port 443 verwendet. Port 443 muss in der URL nicht angegeben werden.

  7. Wählen Sie aus den verfügbaren Optionen die Verwendung des Citrix Gateways aus.
    • Authentifizierung und HDX-Routing: Das Citrix Gateway wird für die Authentifizierung und das Routing von HDX-Sitzungen verwendet.
    • Nur Authentifizierung: Das Citrix Gateway wird nur für die Authentifizierung, jedoch nicht für das HDX-Sitzungsrouting verwendet.
    • Nur HDX-Routing: Das Citrix Gateway wird für das HDX-Routing, nicht aber für die Authentifizierung verwendet.
  8. Liste Sie für alle Bereitstellungen, in denen Sie Ressourcen von Citrix Virtual Apps and Desktops oder XenApp 6.5 im Store verfügbar machen, auf der Seite Secure Ticket Authority (STA) alle URLs für Server auf, auf denen die STA ausgeführt wird. Geben Sie aus Gründen der Fehlertoleranz URLs für mehrere STAs ein und führen Sie die Server dabei in der Reihenfolge ihrer Priorität auf, um die Failoversequenz festzulegen.

    Die STA wird auf Citrix Virtual Apps and Desktops- bzw. XenApp 6.5-Servern gehostet und gibt Sitzungstickets als Reaktion auf Verbindungsanforderungen aus. Auf diesen Sitzungstickets basiert die Authentifizierung und Autorisierung für den Zugriff auf Citrix Virtual Apps and Desktops- bzw. XenApp 6.5-Ressourcen. Verwenden Sie die richtige STA URL (HTTPS:// oder HTTP://) je nachdem, wie Ihre Delivery Controller konfiguriert sind. Die STA URL muss mit der in Citrix Gateway auf dem virtuellen Server konfigurierten URL identisch sein.

  9. Wählen Sie für die STA Load Balancing aus. Sie können auch ein Zeitintervall festlegen, nach dem STAs, die nicht antworten, umgangen werden.

  10. Um sicherzustellen, dass Citrix Virtual Apps and Desktops bzw. XenApp 6.5 getrennte Sitzungen aufrechterhält, während die Citrix Workspace-App eine automatische Wiederverbindung versucht, wählen Sie Sitzungszuverlässigkeit aktivieren.

  11. Aktivieren Sie Tickets von zwei Secure Ticket Authoritys anfordern (falls verfügbar), wenn Sie mehrere STAs konfigurieren und sicherstellen möchten, dass Sitzungszuverlässigkeit immer gegeben ist. StoreFront ruft dann Tickets von zwei verschiedenen Secure Ticket Authoritys ab und Benutzersitzungen werden nicht unterbrochen, wenn eine Secure Ticket Authority während der Sitzung ausfällt. Wenn StoreFront aus irgendeinem Grund keine Verbindung zu zwei Secure Ticket Authoritys herstellen kann, wird automatisch nur eine Secure Ticket Authority verwendet.

  12. Geben Sie auf der Seite Authentifizierungseinstellungen die vServer-IP-Adresse (VIP) des Citrix Gateway-Geräts ein.

    Verwenden Sie die private IP-Adresse des virtuellen Citrix Gateway-Servers und nicht die öffentliche, die der privaten per Netzwerkadressübersetzung zugeordnet ist. Gateways werden von StoreFront normalerweise über ihre URL identifiziert. Wenn Sie Global Server Load Balancing (GSLB) verwenden, müssen Sie die VIP jedem Gateway hinzufügen. Dadurch kann StoreFront mehrere Gateways identifizieren, die alle dieselbe URL (GSLB-Domänennamen) als separate Gateways verwenden. Beispielsweise können für den Store drei Gateways mit der URL https://gslb.domain.com konfiguriert werden, jedes hat jedoch eine eindeutige VIP (z. B. 10.0.0.1, 10.0.0.2 und 10.0.0.3).

  13. Wenn Sie ein Gerät mit Citrix Gateway hinzufügen, wählen Sie aus der Liste Anmeldetyp die Authentifizierungsmethode aus, die Sie auf dem Gerät für Benutzer der Citrix Workspace-App konfiguriert haben.

    • Wenn Benutzer die Domänenanmeldeinformationen für Microsoft Active Directory eingeben müssen, wählen Sie Domäne.
    • Wählen Sie Sicherheitstoken, wenn Benutzer einen Tokencode von einem Sicherheitstoken eingeben müssen.
    • Wählen Sie Domäne und Sicherheitstoken, wenn Benutzer ihre Domänenanmeldeinformationen und einen Tokencode von einem Sicherheitstoken eingeben müssen.
    • Wählen Sie SMS-Authentifizierung, wenn Benutzer ein in einer Textnachricht gesendetes Einmalkennwort eingeben müssen.
    • Wenn Benutzer eine Smartcard vorlegen und eine PIN eingeben müssen, wählen Sie Smartcard.

    Wenn Sie die Smartcardauthentifizierung mit einer sekundären Authentifizierungsmethode konfigurieren, auf die Benutzer zurückgreifen können, wenn es Probleme mit den Smartcards gibt, wählen Sie die sekundäre Authentifizierungsmethode aus der Liste Smartcard-Fallback.

  14. Wenn Sie StoreFront für Citrix Gateway konfigurieren und SmartAccess verwenden möchten, müssen Sie eine Callback-URL eingeben. StoreFront fügt automatisch den Standardteil der URL an. Geben Sie die intern zugängliche URL des Geräts ein. StoreFront kontaktiert den Citrix Gateway-Authentifizierungsdienst, um zu überprüfen, ob von Citrix Gateway empfangene Anforderungen auch tatsächlich von diesem Gerät ausgehen.

    Bei Verwendung von GSLB empfiehlt es sich, eine eindeutige Callback-URL für jedes GSLB-Gateway zu konfigurieren. StoreFront muss jede eindeutige Callback-URL in die private VIP auflösen können, die für den jeweiligen virtuellen GSLB-Gateway-Server konfiguriert ist. Beispielsweise müssen emeagateway.domain.com, usgateway.domain.com und apacgateway.domain.com in die korrekte Gateway-VIP aufgelöst werden.

  15. Klicken Sie auf Erstellen, um das Citrix Gateway-Gerät der Liste im Dialogfeld Remotezugriffeinstellungen hinzuzufügen.

    Die Informationen zur Konfiguration von Citrix Gateway-Geräten werden der CR-Provisioningdatei für den Store hinzugefügt. Dadurch kann die Citrix Workspace-App die richtige Verbindungsanforderung senden, wenn ein Gerät zum ersten Mal kontaktiert wird.

  16. Wiederholen Sie erforderlichenfalls die Schritte 4 bis 13 zum Hinzufügen weiterer Citrix Gateway-Geräte zu der Liste. Wenn Sie Zugriff über mehrere Geräte aktivieren, indem Sie mehr als einen Eintrag in der Liste auswählen, geben Sie das Standardgerät für den Zugriff auf den Store an.

  17. Klicken Sie auf OK, um die Konfiguration zu speichern und das Dialogfeld “Remotezugriff konfigurieren” zu schließen.

Verwalten des Remotezugriffs auf Stores über Citrix Gateway