Produktdokumentation
XenMobile® Server
PDF anzeigen

Citrix Gateway connector™ für Exchange ActiveSync

April 29, 2026
Beitrag von: 
C C

Der XenMobile Citrix ADC Connector ist jetzt ein Citrix Gateway Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix Portfolio finden Sie im Citrix Produktleitfaden.

Der Connector für Exchange ActiveSync bietet einen Autorisierungsdienst auf Geräteebene für ActiveSync-Clients für Citrix ADC, der als Reverse-Proxy für das Exchange ActiveSync-Protokoll fungiert. Die Autorisierung wird durch eine Kombination von Richtlinien gesteuert, die Sie in XenMobile® definieren, und durch Regeln, die lokal vom Citrix Gateway Connector für Exchange ActiveSync definiert werden.

Weitere Informationen finden Sie unter ActiveSync Gateway.

Ein detailliertes Referenzarchitekturdiagramm finden Sie unter Architektur.

Die aktuelle Version des Citrix Gateway Connectors für Exchange ActiveSync ist Version 8.5.2.

Wichtig:

Ab Oktober 2022 unterstützen die Endpoint Management- und Citrix Gateway-Connectors für Exchange ActiveSync Exchange Online aufgrund der von Microsoft hier angekündigten Authentifizierungsänderungen nicht mehr. Der Endpoint Management Connector für Exchange funktioniert weiterhin mit Microsoft Exchange Server (lokal).

Neuerungen

Die folgenden Abschnitte listen die Neuerungen in der aktuellen und früheren Versionen des Citrix Gateway Connectors für Exchange ActiveSync, ehemals XenMobile Citrix ADC Connector, auf.

Neuerungen in Version 8.5.3

  • Diese Version fügt Unterstützung für die ActiveSync-Protokolle 16.0 und 16.1 hinzu.
  • Die an Google Analytics gesendeten Analysedaten wurden detaillierter gestaltet, insbesondere in Bezug auf Snapshots. [CXM-52261]

Neuerungen in Version 8.5.2

  • Der XenMobile Citrix ADC Connector ist jetzt ein Citrix Gateway Connector für Exchange ActiveSync.

Die folgenden Probleme wurden in dieser Version behoben:

  • Wenn bei der Definition einer Richtlinienregel mehr als ein Kriterium verwendet wird und eines der Kriterien die Benutzer-ID betrifft, kann das folgende Problem auftreten: Wenn ein Benutzer mehrere Aliase hat, werden die Aliase beim Anwenden der Regel nicht ebenfalls überprüft. [CXM-55355]

Hinweis:

Der folgende Abschnitt „Neuerungen“ bezieht sich auf den Citrix Gateway Connector für Exchange ActiveSync unter seinem früheren Namen XenMobile Citrix ADC Connector. Der Name wurde ab Version 8.5.2 geändert.

Neuerungen in Version 8.5.1.11

  • Änderung der Systemanforderungen: Die aktuelle Version des Citrix ADC Connectors erfordert Microsoft .NET Framework 4.5.

  • Google Analytics-Unterstützung: Wir möchten wissen, wie Sie einen XenMobile Citrix ADC Connector verwenden, damit wir uns darauf konzentrieren können, das Produkt zu verbessern.

  • Unterstützung für TLS 1.1 und 1.2: Aufgrund der nachlassenden Sicherheit wird TLS 1.0 vom PCI Council als veraltet eingestuft. Die Unterstützung für TLS 1.1 und 1.2 wurde dem XenMobile Citrix ADC Connector hinzugefügt.

Überwachung des Citrix Gateway Connectors für Exchange ActiveSync

Das Konfigurationsdienstprogramm des Citrix Gateway Connectors für Exchange ActiveSync bietet eine detaillierte Protokollierung, mit der Sie den gesamten Datenverkehr anzeigen können, der Ihren Exchange Server durchläuft und entweder vom Secure Mobile Gateway zugelassen oder blockiert wird.

Verwenden Sie die Registerkarte Protokoll, um den Verlauf der ActiveSync-Anfragen anzuzeigen, die von Citrix ADC zur Autorisierung an den Connector für Exchange ActiveSync weitergeleitet wurden.

Um sicherzustellen, dass der Webdienst des Citrix Gateway Connectors für Exchange ActiveSync ausgeführt wird, laden Sie außerdem die folgende URL in einen Browser auf dem Connector-Server: https://<host:port>/services/ActiveSync/Version. Wenn die URL die Produktversion als Zeichenfolge zurückgibt, ist der Webdienst reaktionsfähig.

So simulieren Sie ActiveSync-Datenverkehr mit dem Citrix Gateway Connector für Exchange ActiveSync

Sie können den Citrix Gateway Connector für Exchange ActiveSync verwenden, um zu simulieren, wie ActiveSync-Datenverkehr mit Ihren Richtlinien aussieht. Wählen Sie im Konfigurationsdienstprogramm des Connectors die Registerkarte Simulator. Die Ergebnisse zeigen Ihnen, wie Ihre Richtlinien gemäß den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für den Citrix Gateway Connector für Exchange ActiveSync

Die Filter des Citrix Gateway Connectors für Exchange ActiveSync funktionieren, indem sie ein Gerät auf eine bestimmte Richtlinienverletzung oder Eigenschaftseinstellung analysieren. Wenn das Gerät die Kriterien erfüllt, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Zulassungsliste noch eine Sperrliste. Es ist eine Liste von Geräten, die die definierten Kriterien erfüllen. Die folgenden Filter sind für den Connector innerhalb von XenMobile verfügbar. Die beiden Optionen für jeden Filter sind Zulassen oder Verweigern.

  • Anonyme Geräte: Ermöglicht oder verweigert Geräte, die in XenMobile registriert sind, deren Benutzeridentität jedoch unbekannt ist. Dies könnte beispielsweise ein Benutzer sein, der registriert wurde, dessen Active Directory-Passwort jedoch abgelaufen ist, oder ein Benutzer, der sich mit unbekannten Anmeldeinformationen registriert hat.
  • Fehlgeschlagene Samsung KNOX-Bestätigung: Samsung-Geräte verfügen über Funktionen für Sicherheit und Diagnose. Dieser Filter bestätigt, dass das Gerät für KNOX eingerichtet ist. Weitere Informationen finden Sie unter Samsung Knox.
  • Verbotene Apps: Ermöglicht oder verweigert Geräte basierend auf der Geräteliste, die durch Sperrlistenrichtlinien und das Vorhandensein blockierter Apps definiert ist.
  • Implizites Zulassen/Verweigern: Erstellt eine Geräteliste aller Geräte, die keine der anderen Filterregelkriterien erfüllen, und erlaubt oder verweigert basierend auf dieser Liste. Die Option “Implizites Zulassen/Verweigern” stellt sicher, dass der Status des Citrix Gateway Connectors für Exchange ActiveSync auf der Registerkarte “Geräte” aktiviert ist und den Connector-Status für Ihre Geräte anzeigt. Die Option “Implizites Zulassen/Verweigern” steuert auch alle anderen Connector-Filter, die nicht ausgewählt wurden. Zum Beispiel verweigert der Connector blockierte Apps, lässt aber alle anderen Filter zu, da die Option “Implizites Zulassen/Verweigern” auf Zulassen eingestellt ist.
  • Inaktive Geräte: Erstellt eine Geräteliste von Geräten, die innerhalb einer bestimmten Zeit nicht mit XenMobile kommuniziert haben. Diese Geräte gelten als inaktiv. Der Filter erlaubt oder verweigert die Geräte entsprechend.
  • Fehlende erforderliche Apps: Wenn sich ein Benutzer registriert, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende erforderliche Apps zeigt an, dass eine oder mehrere der Apps nicht mehr vorhanden sind; zum Beispiel hat der Benutzer eine oder mehrere Apps gelöscht.
  • Nicht vorgeschlagene Apps: Wenn sich ein Benutzer registriert, erhält er eine Liste der Apps, die er installieren muss. Der Filter für nicht vorgeschlagene Apps überprüft das Gerät auf Apps, die nicht in dieser Liste enthalten sind.
  • Nicht konformes Passwort: Erstellt eine Geräteliste aller Geräte, die kein Passwort auf dem Gerät haben.
  • Nicht konforme Geräte: Ermöglicht Ihnen, Geräte zu verweigern oder zuzulassen, die Ihre internen IT-Compliance-Kriterien erfüllen. Compliance ist eine beliebige Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert wird, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell erstellen und den Wert festlegen, oder Sie können automatisierte Aktionen verwenden, um diese Eigenschaft auf einem Gerät zu erstellen, wenn das Gerät bestimmte Kriterien erfüllt oder nicht erfüllt.)
    • Out of Compliance = True. Wenn ein Gerät die von Ihrer IT-Abteilung festgelegten Compliance-Standards und Richtliniendefinitionen nicht erfüllt, ist das Gerät nicht konform.
    • Out of Compliance = False. Wenn ein Gerät die von Ihrer IT-Abteilung festgelegten Compliance-Standards und Richtliniendefinitionen erfüllt, ist das Gerät konform.
  • Widerrufener Status: Erstellt eine Geräteliste aller widerrufenen Geräte und erlaubt oder verweigert basierend auf dem widerrufenen Status.
  • Gerootete Android-/Jailbroken iOS-Geräte. Erstellt eine Geräteliste aller als gerootet gekennzeichneten Geräte und erlaubt oder verweigert basierend auf dem gerooteten Status.
  • Nicht verwaltete Geräte. Erstellt eine Geräteliste aller Geräte in der XenMobile-Datenbank. Das Mobile Application Gateway muss im Blockierungsmodus bereitgestellt werden.

So konfigurieren Sie eine Verbindung zum Citrix Gateway Connector für Exchange ActiveSync

Der Citrix Gateway Connector für Exchange ActiveSync kommuniziert mit XenMobile und anderen Remote-Konfigurationsanbietern über sichere Webdienste.

  1. Klicken Sie im Konfigurationsdienstprogramm des Connectors auf die Registerkarte Konfigurationsanbieter und dann auf Hinzufügen.
  2. Geben Sie im Dialogfeld Konfigurationsanbieter unter Name einen Benutzernamen ein, der über administrative Berechtigungen verfügt und für die grundlegende HTTP-Autorisierung mit dem XenMobile Server verwendet wird.
  3. Geben Sie unter URL die Webadresse des XenMobile GCS ein, typischerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>. Der Name MagConfigService ist Groß-/Kleinschreibung-sensitiv.
  4. Geben Sie unter Passwort das Passwort ein, das für die grundlegende HTTP-Autorisierung mit dem XenMobile Server verwendet wird.
  5. Geben Sie unter Verwaltender Host den Namen des Connector-Servers ein.
  6. Geben Sie unter Basisintervall einen Zeitraum an, wann ein neuer aktualisierter dynamischer Regelsatz vom Device Manager abgerufen wird.
  7. Geben Sie unter Delta-Intervall einen Zeitraum an, wann eine Aktualisierung dynamischer Regeln abgerufen wird.
  8. Geben Sie unter Anfrage-Timeout das Timeout-Intervall für Serveranfragen an.
  9. Wählen Sie unter Konfigurationsanbieter aus, ob die Konfigurationsanbieter-Serverinstanz die Richtlinienkonfiguration bereitstellt.
  10. Aktivieren Sie unter Ereignisse aktiviert diese Option, wenn der Connector XenMobile benachrichtigen soll, wenn ein Gerät blockiert wird. Diese Option ist erforderlich, wenn Sie die Connector-Regeln in einer Ihrer automatisierten XenMobile-Aktionen verwenden.
  11. Klicken Sie auf Speichern und dann auf Konnektivität testen, um die Konnektivität zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewall-Einstellungen die Verbindung zulassen, oder wenden Sie sich an Ihren Administrator.
  12. Wenn die Verbindung erfolgreich hergestellt wurde, deaktivieren Sie das Kontrollkästchen Deaktiviert und klicken Sie dann auf Speichern.

Wenn Sie einen neuen Konfigurationsanbieter hinzufügen, erstellt der Citrix Gateway Connector für Exchange ActiveSync automatisch eine oder mehrere Richtlinien, die mit dem Anbieter verknüpft sind. Diese Richtlinien werden durch eine Vorlagendefinition definiert, die in config\policyTemplates.xml im Abschnitt “NewPolicyTemplate” enthalten ist. Für jedes in diesem Abschnitt definierte Richtlinienelement wird eine neue Richtlinie erstellt.

Der Operator kann Richtlinienelemente hinzufügen, entfernen oder ändern, wenn Folgendes zutrifft: Das Richtlinienelement entspricht der Schemadefinition und die Standard-Ersetzungszeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie anschließend neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie, um die neuen Gruppen aufzunehmen.

So importieren Sie eine Richtlinie aus XenMobile

  1. Klicken Sie im Konfigurationsdienstprogramm des Citrix Gateway Connectors für Exchange ActiveSync auf die Registerkarte Konfigurationsanbieter und dann auf Hinzufügen.
  2. Geben Sie im Dialogfeld Konfigurationsanbieter unter Name einen Benutzernamen ein, der für die grundlegende HTTP-Autorisierung mit dem XenMobile Server verwendet wird und über administrative Berechtigungen verfügt.
  3. Geben Sie unter URL die Webadresse des XenMobile Gateway-Konfigurationsdienstes (GCS) ein, typischerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>. Der Name MagConfigService ist Groß-/Kleinschreibung-sensitiv.
  4. Geben Sie unter Passwort das Passwort ein, das für die grundlegende HTTP-Autorisierung mit dem XenMobile Server verwendet wird.
  5. Klicken Sie auf Konnektivität testen, um die Konnektivität zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob Ihre lokalen Firewall-Einstellungen die Verbindung zulassen, oder wenden Sie sich an Ihren Administrator.
  6. Wenn eine Verbindung erfolgreich hergestellt wurde, deaktivieren Sie das Kontrollkästchen Deaktiviert und klicken Sie dann auf Speichern.
  7. Lassen Sie unter Verwaltender Host den Standard-DNS-Namen des lokalen Host-Computers. Diese Einstellung wird verwendet, um die Kommunikation mit XenMobile zu koordinieren, wenn mehrere Forefront Threat Management Gateway (TMG)-Server in einem Array konfiguriert sind.

Nachdem Sie die Einstellungen gespeichert haben, öffnen Sie den GCS.

Konfigurieren des Richtlinienmodus des Citrix Gateway Connectors für Exchange ActiveSync

Der Citrix Gateway Connector für Exchange ActiveSync kann in den folgenden sechs Modi ausgeführt werden:

  • Alles zulassen. Dieser Richtlinienmodus gewährt Zugriff für den gesamten Datenverkehr, der den Connector durchläuft. Es werden keine weiteren Filterregeln verwendet.
  • Alles verweigern. Dieser Richtlinienmodus blockiert den Zugriff für den gesamten Datenverkehr, der den Connector durchläuft. Es werden keine weiteren Filterregeln verwendet.
  • Statische Regeln: Blockierungsmodus. Dieser Richtlinienmodus führt statische Regeln mit einer impliziten Verweigerungs- oder Blockierungsanweisung am Ende aus. Der Connector blockiert Geräte, die nicht über andere Filterregeln zugelassen oder erlaubt sind.
  • Statische Regeln: Zulassungsmodus. Dieser Richtlinienmodus führt statische Regeln mit einer impliziten Zulassungs- oder Erlaubnisanweisung am Ende aus. Geräte, die nicht über andere Filterregeln blockiert oder verweigert werden, werden über den Connector zugelassen.
  • Statische + ZDM-Regeln: Blockierungsmodus. Dieser Richtlinienmodus führt zuerst statische Regeln aus, gefolgt von dynamischen Regeln von XenMobile mit einer impliziten Verweigerungs- oder Blockierungsanweisung am Ende. Geräte werden basierend auf definierten Filtern und Device Manager-Regeln zugelassen oder verweigert. Alle Geräte, die nicht mit definierten Filtern und Regeln übereinstimmen, werden blockiert.
  • Statische + ZDM-Regeln: Zulassungsmodus. Dieser Richtlinienmodus führt zuerst statische Regeln aus, gefolgt von dynamischen Regeln von XenMobile mit einer impliziten Zulassungs- oder Erlaubnisanweisung am Ende. Geräte werden basierend auf definierten Filtern und XenMobile-Regeln zugelassen oder verweigert. Alle Geräte, die nicht mit definierten Filtern und Regeln übereinstimmen, werden zugelassen.

Der Prozess des Citrix Gateway Connectors für Exchange ActiveSync erlaubt oder blockiert dynamische Regeln basierend auf eindeutigen ActiveSync-IDs für iOS- und Windows-basierte Mobilgeräte, die von XenMobile empfangen werden. Android-Geräte unterscheiden sich in ihrem Verhalten je nach Hersteller, und einige legen keine eindeutige ActiveSync-ID offen. Um dies zu kompensieren, sendet XenMobile Benutzer-ID-Informationen für Android-Geräte, um eine Zulassungs- oder Blockierungsentscheidung zu treffen. Wenn ein Benutzer nur ein Android-Gerät hat, funktionieren Zulassungen und Blockierungen normal. Wenn der Benutzer mehrere Android-Geräte hat, werden alle Geräte zugelassen, da Android-Geräte nicht unterschieden werden können. Sie können das Gateway so konfigurieren, dass diese Geräte statisch nach ActiveSyncID blockiert werden, falls diese bekannt sind. Sie können das Gateway auch so konfigurieren, dass es basierend auf dem Gerätetyp oder dem Benutzeragenten blockiert.

Um den Richtlinienmodus anzugeben, gehen Sie im SMG Controller-Konfigurationsdienstprogramm wie folgt vor:

  1. Klicken Sie auf die Registerkarte Pfadfilter und dann auf Hinzufügen.
  2. Wählen Sie im Dialogfeld Pfadeigenschaften einen Richtlinienmodus aus der Liste Richtlinie aus und klicken Sie dann auf Speichern.

Sie können die Regeln auf der Registerkarte Richtlinien des Konfigurationsdienstprogramms überprüfen. Die Regeln werden auf dem Citrix Gateway Connector für Exchange ActiveSync von oben nach unten verarbeitet. Die Zulassungsrichtlinien werden mit einem grünen Häkchen angezeigt. Die Ablehnungsrichtlinien werden als roter Kreis mit einem Querstrich angezeigt. Um den Bildschirm zu aktualisieren und die neuesten Regeln anzuzeigen, klicken Sie auf Aktualisieren. Sie können auch die Reihenfolge der Regeln in der Datei config.xml ändern.

Um die Regeln zu testen, klicken Sie auf die Registerkarte Simulator. Geben Sie Werte in die Felder ein. Diese können auch aus den Protokollen abgerufen werden. Eine Ergebnisnachricht wird angezeigt, die Zulassen oder Blockieren angibt.

Statische Regeln konfigurieren

Geben Sie statische Regeln mit Werten ein, die die ISAPI-Filterung der HTTP-Anforderungen der ActiveSync-Verbindung liest. Statische Regeln ermöglichen es dem Citrix Gateway Connector für Exchange ActiveSync, den Datenverkehr anhand der folgenden Kriterien zuzulassen oder zu blockieren:

  • Benutzer: Der Citrix Gateway Connector für Exchange ActiveSync verwendet den Wert des autorisierten Benutzers und die Namensstruktur, die während der Geräteregistrierung erfasst wurden. Dies wird häufig als Domäne\Benutzername gefunden, wie vom Server, auf dem XenMobile ausgeführt wird und der über LDAP mit dem Active Directory verbunden ist, referenziert. Die Registerkarte Protokoll im Konfigurationsdienstprogramm des Connectors zeigt die Werte an, die durch den Connector geleitet werden. Die Werte werden übergeben, wenn die Wertestruktur bestimmt werden muss oder anders ist.
  • Geräte-ID (ActiveSyncID): Auch bekannt als ActiveSyncID des verbundenen Geräts. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite in der XenMobile-Konsole zu finden. Dieser Wert kann auch über die Registerkarte Protokoll im Konfigurationsdienstprogramm des Connectors überprüft werden.
  • Gerätetyp: Der Connector kann feststellen, ob es sich bei einem Gerät um ein iPhone, iPad oder einen anderen Gerätetyp handelt, und kann den Zugriff basierend auf diesen Kriterien zulassen oder blockieren. Wie bei anderen Werten kann das Konfigurationsdienstprogramm des Connectors alle verbundenen Gerätetypen anzeigen, die für die ActiveSync-Verbindung verarbeitet werden.
  • User-Agent: Enthält Informationen über den verwendeten ActiveSync-Client. Normalerweise entspricht der angegebene Wert einem bestimmten Betriebssystem-Build und einer Version für die mobile Geräteplattform.

Das auf dem Server ausgeführte Konfigurationsdienstprogramm des Connectors verwaltet immer die statischen Regeln.

  1. Klicken Sie im SMG Controller-Konfigurationsdienstprogramm auf die Registerkarte Statische Regeln und dann auf Hinzufügen.
  2. Geben Sie im Dialogfeld Eigenschaften der statischen Regel die Werte an, die Sie als Kriterien verwenden möchten. Sie können beispielsweise einen Benutzer eingeben, um den Zugriff zu erlauben, indem Sie den Benutzernamen (z. B. AllowedUser) eingeben und dann das Kontrollkästchen Deaktiviert deaktivieren.
  3. Klicken Sie auf Speichern.

Die statische Regel ist nun wirksam. Sie können auch reguläre Ausdrücke verwenden, um Werte zu definieren, müssen aber den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

Dynamische Regeln konfigurieren

Geräterichtlinien und -eigenschaften in XenMobile definieren dynamische Regeln und können einen dynamischen Citrix Gateway Connector für den Exchange ActiveSync-Filter auslösen. Die Auslöser basieren auf dem Vorhandensein einer Richtlinienverletzung oder einer Eigenschaftseinstellung. Die Connector-Filter analysieren ein Gerät auf eine bestimmte Richtlinienverletzung oder Eigenschaftseinstellung. Wenn das Gerät die Kriterien erfüllt, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist keine Zulassungsliste oder Sperrliste. Es ist eine Liste von Geräten, die die definierten Kriterien erfüllen. Die folgenden Konfigurationsoptionen ermöglichen es Ihnen, festzulegen, ob Sie die Geräte in der Geräteliste über den Connector zulassen oder ablehnen möchten.

Hinweis:

Sie müssen die XenMobile-Konsole verwenden, um dynamische Regeln zu konfigurieren.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie unter Server auf ActiveSync Gateway. Die Seite ActiveSync Gateway wird angezeigt.
  3. Wählen Sie unter Folgende Regeln aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.
  4. Klicken Sie nur für Android unter Android-Domänenbenutzer an ActiveSync Gateway senden auf JA, um sicherzustellen, dass XenMobile Android-Geräteinformationen an das Secure Mobile Gateway sendet.

Wenn diese Option aktiviert ist, sendet XenMobile Android-Geräteinformationen an den Citrix Gateway Connector für Exchange ActiveSync, wenn XenMobile den ActiveSync-Bezeichner für den Android-Gerätebenutzer nicht besitzt.

Benutzerdefinierte Richtlinien durch Bearbeiten der XML-Datei des Citrix Gateway Connectors für Exchange ActiveSync konfigurieren

Sie können die grundlegenden Richtlinien in der Standardkonfiguration auf der Registerkarte Richtlinien des Konfigurationsdienstprogramms des Citrix Gateway Connectors für Exchange ActiveSync anzeigen. Wenn Sie benutzerdefinierte Richtlinien erstellen möchten, können Sie die XML-Konfigurationsdatei des Connectors (config\config.xml) bearbeiten.

  1. Suchen Sie den Abschnitt PolicyList in der Datei und fügen Sie dann ein neues Policy-Element hinzu.
  2. Wenn auch eine neue Gruppe erforderlich ist, z. B. eine weitere statische Gruppe oder eine Gruppe zur Unterstützung eines anderen GCP, fügen Sie das neue Group-Element zum Abschnitt GroupList hinzu.
  3. Optional können Sie die Reihenfolge der Gruppen innerhalb einer vorhandenen Richtlinie ändern, indem Sie die GroupRef-Elemente neu anordnen.

Konfigurieren der XML-Datei des Citrix Gateway Connectors für Exchange ActiveSync

Der Citrix Gateway Connector für Exchange ActiveSync verwendet eine XML-Konfigurationsdatei, um die Aktionen des Connectors zu bestimmen. Neben anderen Einträgen gibt die Datei die Gruppendateien und die zugehörigen Aktionen an, die der Filter bei der Auswertung von HTTP-Anforderungen ausführt. Standardmäßig heißt die Datei config.xml und befindet sich am folgenden Speicherort: ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config\.

GroupRef-Knoten

Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind AllowGroup und DenyGroup.

Hinweis:

Die Reihenfolge der GroupRef-Knoten, wie sie im GroupRefList-Knoten erscheinen, ist von Bedeutung.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container oder eine Sammlung von Mitgliedern, die zum Abgleichen spezifischer Benutzerkonten oder Geräte verwendet werden. Die Aktionsattribute geben an, wie der Filter ein Mitglied behandelt, das einer Regel in der Sammlung entspricht. Zum Beispiel wird ein Benutzerkonto oder Gerät, das einer Regel im AllowGroup-Set entspricht, “durchgelassen”. Durchgelassen bedeutet, dass der Zugriff auf den Exchange CAS erlaubt ist. Ein Benutzerkonto oder Gerät, das einer Regel im DenyGroup-Set entspricht, wird “abgelehnt”. Abgelehnt bedeutet, dass der Zugriff auf den Exchange CAS nicht erlaubt ist.

Wenn ein bestimmtes Benutzerkonto/Gerät oder eine Kombination Regeln in beiden Gruppen erfüllt, wird eine Präzedenzkonvention verwendet, um das Ergebnis der Anforderung zu steuern. Die Präzedenz ist in der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten verankert. Die GroupRef-Knoten werden in der Prioritätsreihenfolge eingestuft. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für dieselbe Bedingung in der Deny-Gruppe.

Gruppenknoten

Zusätzlich definiert die config.xml Gruppenknoten. Diese Knoten verknüpfen die logischen Container AllowGroup und DenyGroup mit externen XML-Dateien. Einträge, die in den externen Dateien gespeichert sind, bilden die Grundlage der Filterregeln.

Hinweis:

In dieser Version werden nur externe XML-Dateien unterstützt.

Die Standardinstallation implementiert zwei XML-Dateien in der Konfiguration: allow.xml und deny.xml.

Konfigurieren des Citrix Gateway Connectors für Exchange ActiveSync

Sie können den Citrix Gateway Connector für Exchange ActiveSync so konfigurieren, dass ActiveSync-Anforderungen selektiv blockiert oder zugelassen werden, basierend auf den folgenden Eigenschaften: Active Sync Service-ID, Gerätetyp, User-Agent (Gerätebetriebssystem), Autorisierter Benutzer und ActiveSync-Befehl.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen verwalten Sie mit dem SMG Controller-Konfigurationsdienstprogramm. Die statischen Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte, die einen bestimmten User-Agent verwenden.

Eine externe Quelle, ein sogenannter Gateway Configuration Provider, verwaltet dynamische Gruppen. Der Citrix Gateway Connector für Exchange ActiveSync verbindet die Gruppen regelmäßig. XenMobile kann Gruppen von zugelassenen und blockierten Geräten und Benutzern an den Connector exportieren.

Dynamische Gruppen werden von einer externen Quelle, einem sogenannten Gateway Configuration Provider, verwaltet und vom Citrix Gateway Connector für Exchange ActiveSync regelmäßig erfasst. XenMobile kann Gruppen von zugelassenen und blockierten Geräten und Benutzern an den Connector exportieren.

Eine Richtlinie ist eine geordnete Liste von Gruppen, wobei jede Gruppe eine zugehörige Aktion (zulassen oder blockieren) und eine Liste von Gruppenmitgliedern hat. Eine Richtlinie kann eine beliebige Anzahl von Gruppen enthalten. Die Gruppenreihenfolge innerhalb einer Richtlinie ist wichtig, da bei einer Übereinstimmung die Aktion der Gruppe ausgeführt wird und nachfolgende Gruppen nicht ausgewertet werden.

Ein Mitglied definiert eine Möglichkeit, die Eigenschaften einer Anforderung abzugleichen. Es kann eine einzelne Eigenschaft, wie die Geräte-ID, oder mehrere Eigenschaften, wie Gerätetyp und User-Agent, abgleichen.

Auswahl eines Sicherheitsmodells für den Citrix Gateway Connector für Exchange ActiveSync

Die Etablierung eines Sicherheitsmodells ist für eine erfolgreiche Bereitstellung mobiler Geräte in Unternehmen jeder Größe unerlässlich. Es ist üblich, standardmäßig eine geschützte oder unter Quarantäne gestellte Netzwerksteuerung zu verwenden, um einem Benutzer, Computer oder Gerät den Zugriff zu ermöglichen. Diese Praxis ist nicht immer ideal. Jede Organisation, die IT-Sicherheit verwaltet, kann einen leicht unterschiedlichen oder maßgeschneiderten Ansatz für die Sicherheit mobiler Geräte haben.

Dieselbe Logik gilt für die Sicherheit mobiler Geräte. Die Verwendung eines permissiven Modells ist aufgrund der Vielzahl mobiler Geräte und Typen, mobiler Geräte pro Benutzer und verfügbarer Betriebssystemplattformen und Apps eine schwache Wahl. In den meisten Organisationen ist das restriktive Modell die logischste Wahl.

Die Konfigurationsszenarien, die Citrix für die Integration des Citrix Gateway Connectors für Exchange ActiveSync mit XenMobile zulässt, sind wie folgt:

Permissives Modell (Zulassungsmodus)

Das permissive Sicherheitsmodell basiert auf der Annahme, dass standardmäßig alles erlaubt oder der Zugriff gewährt wird. Nur durch Regeln und Filterung wird etwas blockiert und eine Einschränkung angewendet. Das permissive Sicherheitsmodell ist gut für Organisationen, die relativ geringe Sicherheitsbedenken hinsichtlich mobiler Geräte haben. Das Modell wendet restriktive Kontrollen nur an, um den Zugriff gegebenenfalls zu verweigern (wenn eine Richtlinienregel fehlschlägt).

Restriktives Modell (Blockmodus)

Das restriktive Sicherheitsmodell basiert auf der Prämisse, dass standardmäßig nichts erlaubt oder der Zugriff gewährt wird. Alles, was den Sicherheitsprüfpunkt passiert, wird gefiltert und inspiziert, und der Zugriff wird verweigert, es sei denn, die Zugriffsregeln werden erfüllt. Das restriktive Sicherheitsmodell eignet sich gut für Organisationen, die relativ strenge Sicherheitskriterien für mobile Geräte haben. Der Modus gewährt nur dann Zugriff für die Nutzung und Funktionalität mit den Netzwerkdiensten, wenn alle Zugriffsregeln erfüllt wurden.

Verwalten des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können den Citrix Gateway-Connector für Exchange ActiveSync verwenden, um Zugriffssteuerungsregeln zu erstellen. Die Regeln erlauben oder blockieren den Zugriff auf ActiveSync-Verbindungsanfragen von verwalteten Geräten. Der Zugriff basiert auf dem Gerätestatus, App-Zulassungs- oder Sperrlisten und anderen Compliance-Bedingungen.

Mithilfe des Citrix Gateway-Connectors für das Exchange ActiveSync-Konfigurationsdienstprogramm können Sie dynamische und statische Regeln erstellen, die Unternehmens-E-Mail-Richtlinien durchsetzen, sodass Sie Benutzer blockieren können, die gegen Compliance-Standards verstoßen. Sie können auch die E-Mail-Anhangsverschlüsselung einrichten, sodass alle Anhänge, die über Ihren Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt und nur auf verwalteten Geräten von autorisierten Benutzern angezeigt werden können.

So deinstallieren Sie den Citrix Gateway-Connector für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe mit einem Administratorkonto aus.
  2. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Deinstallation abzuschließen.

So installieren, aktualisieren oder deinstallieren Sie den Citrix Gateway-Connector für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe mit einem Administratorkonto aus, um den Connector zu installieren oder ein Upgrade oder die Entfernung eines vorhandenen Connectors zu ermöglichen.
  2. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Installation, das Upgrade oder die Deinstallation abzuschließen.

Nach der Installation des Connectors müssen Sie den XenMobile-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren des Citrix Gateway-Connectors für Exchange ActiveSync

Sie installieren den Citrix Gateway-Connector für Exchange ActiveSync auf einem eigenen Windows Server.

Die CPU-Last, die der Connector auf einem Server verursacht, hängt davon ab, wie viele Geräte verwaltet werden. Bei einer großen Anzahl von Geräten (mehr als 50.000) müssen Sie möglicherweise mehr als einen Kern bereitstellen, wenn Sie keine Cluster-Umgebung haben. Der Speicherbedarf des Connectors ist nicht signifikant genug, um mehr Arbeitsspeicher zu rechtfertigen.

Systemanforderungen für den Citrix Gateway-Connector für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kommuniziert mit Citrix ADC über eine SSL-Bridge, die auf der Citrix ADC-Appliance konfiguriert ist. Die Bridge ermöglicht es der Appliance, den gesamten sicheren Datenverkehr direkt an XenMobile zu überbrücken. Der Connector erfordert die folgende Mindestsystemkonfiguration:

Komponente Anforderung
Computer und Prozessor 733 MHz Pentium III 733 MHz oder höherer Prozessor. 2,0 GHz Pentium III oder höherer Prozessor (empfohlen)
Citrix ADC Citrix ADC-Appliance mit Softwareversion 10
Arbeitsspeicher 1 GB
Festplatte NTFS-formatierte lokale Partition mit 150 MB freiem Festplattenspeicher
Betriebssystem Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2008 R2 Service Pack 1. Muss ein englischsprachiger Server sein. Der Support für Windows Server 2008 R2 Service Pack 1 endet am 14. Januar 2020 und der Support für Windows Server 2012 R2 endet am 10. Oktober 2023.
Andere Geräte Netzwerkadapter, der mit dem Host-Betriebssystem für die Kommunikation mit dem internen Netzwerk kompatibel ist
Microsoft .NET Framework Version 8.5.1.11 erfordert Microsoft .NET Framework 4.5.
Anzeige VGA-Monitor oder Monitor mit höherer Auflösung

Der Hostcomputer für den Citrix Gateway-Connector für Exchange ActiveSync erfordert den folgenden minimalen freien Festplattenspeicher:

  • Anwendung: 10–15 MB (100 MB empfohlen)
  • Protokollierung: 1 GB (20 GB empfohlen)

Informationen zur Plattformunterstützung für den Citrix Gateway-Connector für Exchange ActiveSync finden Sie unter Unterstützte Gerätebetriebssysteme.

E-Mail-Clients für Geräte

Nicht alle E-Mail-Clients geben konsistent dieselbe ActiveSync-ID für ein Gerät zurück. Da der Citrix Gateway-Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, gilt Folgendes: Es werden nur E-Mail-Clients unterstützt, die konsistent dieselben, eindeutigen ActiveSync-IDs für jedes Gerät generieren. Citrix hat diese E-Mail-Clients getestet, und die Clients haben fehlerfrei funktioniert:

  • Nativer Samsung E-Mail-Client
  • Nativer iOS E-Mail-Client

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync ermöglicht Ihnen die Verwendung von Citrix ADC zum Proxying und Lastenausgleich der XenMobile Server-Kommunikation mit XenMobile-verwalteten Geräten. Der Connector kommuniziert regelmäßig mit XenMobile, um Richtlinien zu synchronisieren. Der Connector und XenMobile können zusammen oder unabhängig voneinander geclustert und vom Citrix ADC lastausgeglichen werden.

Komponenten des Citrix Gateway-Connectors für Exchange ActiveSync

  • Citrix Gateway-Connector für Exchange ActiveSync-Dienst: Dieser Dienst bietet eine REST-Webdienstschnittstelle, die von Citrix ADC aufgerufen werden kann, um festzustellen, ob eine ActiveSync-Anfrage von einem Gerät autorisiert ist.
  • XenMobile-Konfigurationsdienst: Dieser Dienst kommuniziert mit XenMobile, um XenMobile-Richtlinienänderungen mit dem Connector zu synchronisieren.
  • XenMobile-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an XenMobile. Auf diese Weise kann XenMobile geeignete Maßnahmen ergreifen, z. B. den Benutzer darüber informieren, warum das Gerät blockiert wurde.
  • Citrix Gateway-Connector für Exchange ActiveSync-Konfigurationsdienstprogramm: Diese Anwendung ermöglicht dem Administrator die Konfiguration und Überwachung des Connectors.

So richten Sie Überwachungsadressen für den Citrix Gateway-Connector für Exchange ActiveSync ein

Damit der Citrix Gateway-Connector für Exchange ActiveSync Anfragen von Citrix ADC zur Autorisierung des ActiveSync-Datenverkehrs empfangen kann, gehen Sie wie folgt vor. Geben Sie den Port an, an dem der Connector auf Citrix ADC-Webdienstaufrufe lauscht.

  1. Wählen Sie im Startmenü das Konfigurationsdienstprogramm des Citrix Gateway-Connectors für Exchange ActiveSync aus.
  2. Klicken Sie auf die Registerkarte Webdienst und geben Sie dann die Überwachungsadressen für den Connector-Webdienst ein. Sie können HTTP oder HTTPS oder beides auswählen. Wenn der Connector zusammen mit XenMobile installiert ist (auf demselben Server), wählen Sie Portwerte, die nicht mit XenMobile in Konflikt stehen.
  3. Nachdem die Werte konfiguriert wurden, klicken Sie auf Speichern und dann auf Dienst starten, um den Webdienst zu starten.

So konfigurieren Sie Gerätezugriffssteuerungsrichtlinien im Citrix Gateway-Connector für Exchange ActiveSync

Gehen Sie wie folgt vor, um die Zugriffssteuerungsrichtlinie zu konfigurieren, die Sie auf Ihre verwalteten Geräte anwenden möchten:

  1. Klicken Sie im Citrix Gateway-Connector für das Exchange ActiveSync-Konfigurationsdienstprogramm auf die Registerkarte Pfadfilter.
  2. Wählen Sie die erste Zeile, Microsoft-Server-ActiveSync ist für ActiveSync, aus und klicken Sie dann auf Bearbeiten.
  3. Wählen Sie aus der Liste Richtlinie die gewünschte Richtlinie aus. Für eine Richtlinie, die XenMobile-Richtlinien einschließt, wählen Sie Statisch + ZDM: Zulassungsmodus oder Statisch + ZDM: Blockierungsmodus. Diese Richtlinien kombinieren lokale (oder statische) Regeln mit den Regeln von XenMobile. Der Zulassungsmodus bedeutet, dass allen Geräten, die nicht explizit durch die Regeln identifiziert werden, der Zugriff auf ActiveSync gestattet ist. Der Blockierungsmodus bedeutet, dass solche Geräte blockiert werden.
  4. Nachdem Sie die Richtlinien festgelegt haben, klicken Sie auf Speichern.

So konfigurieren Sie die Kommunikation mit XenMobile

Geben Sie den Namen und die Eigenschaften des XenMobile Servers (auch als Konfigurationsanbieter bezeichnet) an, den Sie mit dem Citrix Gateway-Connector für Exchange ActiveSync und Citrix ADC verwenden möchten.

Hinweis:

Diese Aufgabe setzt voraus, dass Sie XenMobile bereits installiert und konfiguriert haben.

  1. Klicken Sie im Citrix Gateway-Connector für das Exchange ActiveSync-Konfigurationsdienstprogramm auf die Registerkarte Konfigurationsanbieter und dann auf Hinzufügen.
  2. Geben Sie den Namen und die URL des XenMobile Servers ein, den Sie in dieser Bereitstellung verwenden. Wenn Sie mehrere XenMobile Server in einer Mehrmandantenbereitstellung bereitgestellt haben, muss dieser Name für jede Serverinstanz eindeutig sein. Geben Sie beispielsweise für Name den Wert XMS ein.
  3. Geben Sie unter URL die Webadresse des XenMobile GlobalConfig Providers (GCP) ein, typischerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>. Der Name MagConfigService ist Groß-/Kleinschreibung-sensitiv.
  4. Geben Sie unter Kennwort das Kennwort ein, das für die grundlegende HTTP-Autorisierung mit dem XenMobile-Webserver verwendet wird.
  5. Geben Sie unter Verwaltender Host den Servernamen ein, auf dem Sie den Citrix Gateway-Connector für Exchange ActiveSync installiert haben.
  6. Geben Sie unter Baseline-Intervall einen Zeitraum an, wann ein neuer aktualisierter dynamischer Regelsatz von XenMobile abgerufen wird.
  7. Geben Sie unter Anfrage-Timeout das Server-Anfrage-Timeout-Intervall an.
  8. Wählen Sie unter Konfigurationsanbieter aus, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  9. Aktivieren Sie unter Ereignisse aktiviert diese Option, wenn Secure Mobile Gateway XenMobile benachrichtigen soll, wenn ein Gerät blockiert wird. Diese Option ist erforderlich, wenn Sie Secure Mobile Gateway-Regeln in einer Ihrer automatisierten Aktionen des Geräte-Managers verwenden.
  10. Nachdem Sie den Server konfiguriert haben, klicken Sie auf Konnektivität testen, um die Verbindung zu XenMobile zu testen.
  11. Sobald die Verbindung hergestellt wurde, klicken Sie auf Speichern.

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync für Redundanz und Skalierbarkeit

Wenn Sie Ihre Bereitstellung des Citrix Gateway-Connectors für Exchange ActiveSync und XenMobile skalieren möchten, können Sie Instanzen des Connectors auf mehreren Windows Servern installieren, die alle auf dieselbe XenMobile-Instanz verweisen, und dann Citrix ADC verwenden, um die Server lastauszugleichen.

Es gibt zwei Modi für die Konfiguration des Citrix Gateway-Connectors für Exchange ActiveSync:

  • Im nicht freigegebenen Modus kommuniziert jede Instanz des Citrix Gateway-Connectors für Exchange ActiveSync mit einem XenMobile Server und behält eine eigene private Kopie der resultierenden Richtlinie. Wenn Sie beispielsweise einen Cluster von XenMobile Servern hätten, könnten Sie eine Connector-Instanz auf jedem XenMobile Server ausführen, und der Connector würde Richtlinien von der lokalen XenMobile-Instanz abrufen.
  • Im freigegebenen Modus wird ein Connector-Knoten als primärer Knoten ausgewählt und kommuniziert mit XenMobile. Die resultierende Konfiguration wird entweder über eine Windows-Netzwerkfreigabe oder über Windows- (oder Drittanbieter-) Replikation unter den anderen Knoten geteilt.

Die gesamte Connector-Konfiguration befindet sich in einem einzigen Ordner (bestehend aus einigen XML-Dateien). Der Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration automatisch neu. Es gibt kein Failover für den primären Knoten im freigegebenen Modus. Das System kann jedoch tolerieren, dass der primäre Server für einige Minuten (z. B. zum Neustart) ausgefallen ist, da die letzte bekannte gute Konfiguration im Connector-Prozess zwischengespeichert wird.

Citrix Gateway connector™ für Exchange ActiveSync
April 29, 2026
Beitrag von: 
C C
April 29, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.