Citrix SD-WAN WANOP

Configurar el dispositivo Citrix SD-WAN WANOP para optimizar el tráfico seguro de Windows

Debe agregar el dispositivo Citrix SD-WAN WANOP a la infraestructura de seguridad de Windows antes de poder optimizar el sistema de archivos firmado de Windows y el tráfico cifrado de MAPI Outlook/Exchange.

Como resultado de las mejoras introducidas en el sistema de seguridad de Windows en las últimas versiones de Windows, los clientes y servidores protegen el tráfico mediante la autenticación y el cifrado de datos. Esto requiere que el dispositivo Citrix SD-WAN WANOP sea un miembro de confianza de la infraestructura de seguridad de Windows antes de que pueda optimizar el sistema de archivos firmado de Windows y el tráfico cifrado de MAPI Outlook/Exchange.

Después de agregar el dispositivo a la infraestructura de seguridad de Windows, el dispositivo tiene las siguientes capacidades:

  • Aceleración del tráfico de servidores de archivos para servidores Microsoft Windows, servidores NetApp y Hitachi HNAS mediante el protocolo SMB firmado y SMB2 firmado.

  • Aceleración del tráfico del servidor de Microsoft Exchange cuando los clientes de Outlook acceden a él mediante MAPI o RPC cifrado a través de HTTPS.

Cómo funciona el dispositivo Citrix SD-WAN WANOP en un sistema de seguridad de Windows

Unir el dispositivo a un dominio de Windows requiere credenciales de administrador. Cuando se une al dominio de Windows, el dispositivo se convierte en un miembro de confianza del dominio. Esto permite que el dispositivo se declare miembro de la infraestructura de seguridad del dominio.

Una vez que el dispositivo se ha convertido en parte de la infraestructura de seguridad de Windows, los usuarios deben autenticarse para poder acceder a los recursos. Para evitar la dificultad de configurar un gran número de usuarios en el dominio, puede delegar la responsabilidad de autenticación en un usuario delegado.

Crear un usuario delegado en el directorio activo. Este usuario es similar a un usuario normal, pero con privilegios especiales. Después de crear el usuario delegado, debe configurarlo en el dispositivo Citrix SD-WAN WANOP. El dispositivo utiliza el usuario delegado para autenticarse en nombre de los usuarios cuando tienen acceso a secuencias de datos autenticadas y cifradas mediante protocolos de Windows, como CIFS y MAPI.

Para acelerar el tráfico CIFS y MAPI, el mecanismo de delegación estándar de Windows permite limitar la delegación de seguridad a los servicios pertinentes. Esta delegación restringida ha estado disponible desde el lanzamiento de Windows Server 2003.

Después de convertirse en parte del dominio, el dispositivo acelera el tráfico seguro de Windows. Un dispositivo de centro de datos que se une a un dominio de Windows debe tener una relación de pares segura con el dispositivo remoto o el complemento de Citrix SD-WAN WANOP, pero solo el dispositivo del centro de datos se une al dominio de Windows. A efectos de la aceleración CIFS o MAPI, el dispositivo remoto actúa como esclavo del dispositivo del centro de datos, controlándose a través del túnel SSL seguro entre ambos. Por lo tanto, las credenciales de usuario delegado no salen del centro de datos.

La siguiente imagen muestra un diagrama de topología de ejemplo para esta configuración.

Imagen localizada

En la imagen anterior, un cliente de sucursal accede a los recursos del centro de datos. El cliente de la sucursal, al estar en otro dominio, utiliza la autenticación NTLM como parte del sistema de seguridad de Windows. Al igual que con todas las conexiones aceleradas entre dos dispositivos Citrix SD-WAN WANOP en una relación de pares segura, las conexiones CIFS o MAPI y las autenticaciones NTLM a través de la WAN se cifran. Dependiendo de la versión del Controller de dominio de Windows, la solicitud del usuario del dispositivo de Citrix SD-WAN WANOP del centro de datos se autentica mediante el protocolo de autenticación NTLM o Kerberos. Después de que el dominio autentica al usuario, las solicitudes de acceso posteriores al servidor de Exchange y los servidores de archivos utilizan el protocolo de autenticación Kerberos. A continuación, el dispositivo Citrix SD-WAN WANOP optimiza las conexiones establecidas entre el cliente y el servidor.

Si los dispositivos no tienen una relación de pares segura o si el dispositivo del centro de datos no se ha unido correctamente al dominio, las conexiones utilizan la aceleración de control de flujo TCP, que no realiza operaciones de seguridad, compresión ni transformaciones de datos. Las conexiones entre el cliente y el servidor se establecen como si los dispositivos de Citrix SD-WAN WANOP no estuvieran allí.

Puede configurar diferentes modos de autenticación de cliente en sistemas operativos Windows. Los tipos de conexiones que optimiza el dispositivo Citrix SD-WAN WANOP dependen del modo de autenticación de cliente que configure.

En la siguiente tabla se enumeran los modos de autenticación de cliente de Windows en Windows y las optimizaciones de Citrix SD-WAN WANOP correspondientes.

Autenticación y optimización compatibles con el sistema operativo Windows

Sistema operativo cliente Modo de autenticación de cliente Optimización Comentarios
Windows XP/Windows Vista/Windows 7/Windows 8 Autenticación de negociación (SPNEGO) Aceleración de control de flujo TCP, compresión, aceleración del protocolo CIFS Configuración predeterminada utilizada para todas las versiones de Windows.
Windows XP/Windows Vista/Windows7/Windows 8 Solo NTLM o solo Kerberos Aceleración de control de flujo TCP solamente Modos de autenticación no predeterminados

Nota: Si utiliza los modos de autenticación de cliente solo NTLM o solo Kerberos, el tráfico no se acelera si está cifrado.

Requisitos para agregar un dispositivo Citrix SD-WAN WANOP al sistema de seguridad de Windows

Para optimizar el tráfico para SMB firmado por Windows y tráfico MAPI cifrado, la implementación de Citrix SD-WAN WANOP debe cumplir los siguientes requisitos antes de agregar el dispositivo a la infraestructura de seguridad de Windows:

  • Tanto los dispositivos de aceleración del lado del cliente como del lado del servidor deben haber establecido una relación de pares segura.

  • Los dispositivos deben utilizar un servidor NTP que esté estrechamente sincronizado con la hora en el servidor de dominio de Windows. Idealmente, los dispositivos y el servidor de dominio de Windows son todos clientes del mismo servidor NTP.

  • Outlook no debe configurarse para la opción solo Kerberos (no predeterminada) o solo NTLM. La opción predeterminada (negociada) es necesaria para la aceleración.

  • El cliente y el servidor pueden ser miembros de cualquier dominio que tenga confianza bidireccional con el dominio del dispositivo del servidor. No se admite la confianza unidireccional.

  • Se debe configurar un usuario delegado de Kerberos en el Controller de dominio, para que lo utilice el dispositivo que participa en la infraestructura de seguridad del dominio.

  • Las direcciones IP del servidor DNS para el dominio deben configurarse y alcanzarse en el dispositivo del servidor.

  • Los servidores de dominio deben ser totalmente accesibles, con búsquedas tanto hacia adelante como hacia atrás para todas las direcciones IP de los controladores de dominio configurados en los servidores DNS.

  • El nombre de host del dispositivo WANOP Citrix SD-WAN del lado del servidor debe ser único. Es probable que el uso del nombre de host predeterminado de hostname cause problemas.

    Nota

    El cliente Macintosh Outlook no utiliza el estándar MAPI (Outlook/Exchange) y esta función no acelera.

Agregar un dispositivo Citrix SD-WAN WANOP a la infraestructura de seguridad de Windows

Para optimizar el tráfico seguro de Windows, el dispositivo Citrix SD-WAN WANOP debe formar parte del sistema de seguridad de Windows y debe autenticarse con el sistema de seguridad o el dominio. Como se muestra en la imagen siguiente, para que el dispositivo forme parte del sistema de seguridad de Windows, debe hacer que el dispositivo se una a un dominio (mediante credenciales administrativas). Además, debe configurar un usuario nuevo o existente como usuario delegado asociando los servicios CIFS y Exchange con ese usuario. A continuación, debe configurar este usuario delegado en el dispositivo Citrix SD-WAN WANOP.

Puede utilizar la utilidad Comprobación previa del dominio para averiguar si hay algún problema al unir el dispositivo a un dominio.

Nota

El sistema de seguridad de Windows utiliza el servicio de Exchange para administrar las conexiones MAPI. Configuración de la instalación para optimizar el tráfico seguro de Windows

Imagen localizada

Unir un dispositivo Citrix SD-WAN WANOP al dominio de Windows:

Cuando el dispositivo se une al dominio, intercambia un secreto compartido con el Controller de dominio, lo que permite que el dispositivo permanezca parte del dominio indefinidamente. Al unir un dispositivo a un dominio, asegúrese de que dispone de credenciales de administrador para el Controller de dominio.

Para asegurarse de que el dispositivo Citrix SD-WAN WANOP optimiza el tráfico CIFS y MAPI (incluido el tráfico encapsulado como RPC sobre HTTPS), debe convertir al dispositivo en parte del dominio del que forman parte el servidor de archivos de Windows y el servidor de Exchange. Debe unir el dispositivo del lado del servidor al dominio.

Nota: Las credenciales de administración del dominio no se guardan en el dispositivo.

Para unir un dispositivo Citrix SD-WAN WANOP a un dominio de Windows:

  1. Vaya a la ficha Configuración > Aceleración segura > Dominio de Windows.

  2. Haga clic en Unirse al dominio de Windows.

  3. Escriba el nombre de dominio de Windows en el campo Nombre de dominio.

  4. En el campo Nombre de usuario, escriba el nombre de usuario del administrador del Controller de dominio.

  5. En el campo Contraseña, especifique la contraseña del administrador del Controller de dominio.

  6. Si es necesario, modifique los servidores DNS para obtener coherencia con el dominio de Windows.

  7. Haga clic en OK.

  8. En la sección Delegar usuarios, agregue un usuario delegado, como se describe en los procedimientos siguientes.

    Imagen localizada

Configurar un usuario delegado:

Después de unir el dispositivo a un dominio de Windows, debe crear un usuario que el dispositivo pueda utilizar para autenticar usuarios con el dominio. Este usuario se conoce como usuario delegado.

Nota: Para crear una cuenta de usuario delegado, necesita acceso de administrador al Controller de dominio de Windows y al dispositivo. Si no tiene acceso de administrador al Controller de dominio de Windows, asegúrese de que un administrador autorizado realiza las tareas necesarias en el Controller de dominio.

Configurar la autenticación de usuario mediante la delegación Kerberos implica dos tareas: configurar un usuario delegado en el Controller de dominio y, a continuación, agregar este usuario al dispositivo Citrix SD-WAN WANOP.

Configurar un usuario delegado en un Controller de dominio:

Antes de configurar un usuario delegado en un dispositivo Citrix SD-WAN WANOP, debe configurar un usuario delegado con las propiedades necesarias en el Controller de dominio. Puede crear una cuenta de usuario delegado o utilizar una cuenta de usuario existente como cuenta de usuario delegado.

Después de crear una cuenta o seleccionar una cuenta existente, habilite la delegación para este usuario. A continuación, asociará el usuario delegado con los servicios CIFS y Exchange, de modo que el tráfico de estos servicios se pueda acelerar. Después de agregar este usuario al dispositivo Citrix SD-WAN WANOP, el dispositivo presenta credenciales delegadas para los servicios asociados a esta cuenta.

Crear una cuenta de usuario delegado:

Cree una cuenta de usuario delegado en el Controller de dominio de Windows para que el dispositivo Citrix SD-WAN WANOP pueda utilizar esta cuenta en nombre de los usuarios para autenticarlos con el Controller de dominio.

Nota: Si desea configurar un usuario existente como usuario delegado, omita este procedimiento.

Para crear una cuenta de usuario delegado:

  1. Inicie sesión en el Controller de dominio de Windows como administrador. Asegúrese de que el servidor de archivos o el servidor de Exchange es miembro de este dominio.

  2. En el menú Inicio, abra la ventana Usuarios y equipos de Active Directory.

  3. Cree un usuario delegado, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

Habilitar delegación para un usuario:

Hasta ahora, el usuario que ha creado es similar a cualquier usuario que cree en el servidor de Active Directory. Para habilitar la delegación para el usuario, debe establecer el atributo Nombre principal de servicio del usuario para delegar y asociar el usuario delegado con los servicios necesarios. Esto hace que el usuario tenga privilegios especiales asociados y lo convierta en un usuario delegado.

Para habilitar la delegación para el usuario:

  1. En el menú Inicio, abra la ventana Usuarios y equipos de Active Directory.

  2. En el menú Ver, seleccione Funciones avanzadas.

  3. Seleccione el nodo Usuario.

  4. Haga clic con el botón secundario del mouse (ratón) en el usuario que desea convertir en usuario delegado.

  5. En el menú contextual, seleccione Propiedades y vaya a la ficha Editor de atributos, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  6. En la lista Atributos, seleccione ServicePrincipalName, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  7. Haga clic en Edit.

  8. En el cuadro de diálogo Editor de cadenas de valores múltiples, en el campo Valor a agregar, especifique delegate/<User_Name>, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  9. Haga clic en Agregar.

  10. Haga clic en OK.

  11. Haga clic en Aplicar.

  12. Haga clic en OK.

  13. Abra el cuadro de diálogo Propiedades de usuario delegado MAPI-CIFS del usuario y compruebe que se ha agregado la ficha Delegación al cuadro de diálogo, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

Asocie el usuario delegado a CIFS y Servicios de Exchange:

Después de habilitar la ficha Delegación para el usuario, puede asociar el usuario con servicios para los que el usuario puede presentar credenciales delegadas. Cuando agrega este usuario al dispositivo Citrix SD-WAN WANOP, el dispositivo presenta credenciales delegadas para los servicios asociados a esta cuenta. Nota: La infraestructura de seguridad de Windows utiliza el servicio Exchange para administrar el tráfico MAPI.

Para asociar el usuario delegado a los servicios CIFS y Exchange:

  1. En la ficha Delegación, seleccione la opción Confiar en este usuario solo para la delegación a servicios específicos.

  2. Seleccione la opción Usar cualquier protocolo de autenticación.

  3. Haga clic en Agregar, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  4. En el cuadro de diálogo Agregar servicio, haga clic en Usuarios y equipos.

  5. En el cuadro de diálogo Seleccionar usuarios o equipos, agregue el equipo local que se va a seleccionar, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  6. Haga clic en OK.

  7. En el cuadro de diálogo Agregar servicios, en la lista Servicios disponibles, seleccione cifs, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  8. Si tiene que configurar la aceleración MAPI en el dispositivo Citrix SD-WAN WANOP, mantenga presionada la tecla Ctrl y seleccione el servicio ExchangeMDB.

  9. Haga clic en OK. Los servicios que ha seleccionado se agregan a la lista Servicios en los que esta cuenta puede presentar credenciales delegadas, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  10. Haga clic en Aceptar.

  11. Cierre la ventana Usuarios y equipos de Active Directory.

Configure un usuario delegado en un dispositivo Citrix SD-WAN WANOP:

Después de configurar el usuario delegado en el servidor de Active Directory, debe configurarlo en el dispositivo Citrix SD-WAN WANOP, de modo que el dispositivo pueda presentar las credenciales delegadas de este usuario en el dominio. Esto permite al dispositivo optimizar activamente el tráfico de red para las funciones avanzadas de aceleración CIFS y MAPI.

Para agregar el usuario delegado al dispositivo del servidor:

  1. Vaya a la ficha Configuración > Aceleración segura > Dominio de Windows.

  2. Haga clic en el botón Unirse al dominio de Windows, si está presente.

  3. En Delegar usuarios, haga clic en Agregar.

  4. En el campo Nombre de dominio, especifique el nombre de dominio. Normalmente es el dominio que especificó en la sección Dominio de Windows.

  5. En el campo Nombre de usuario, escriba el nombre de usuario del usuario delegado.

  6. En el campo Contraseña, especifique la contraseña del usuario delegado.

  7. Haga clic en Agregar.

    Imagen localizada

Compruebe que el dispositivo se ha unido al dominio

Si, después de agregar el dispositivo al dominio, observa que el dispositivo no está optimizando el tráfico seguro de Windows, es posible que algún error haya impedido que el dispositivo se una al dominio. Puede utilizar la utilidad Comprobación previa del dominio para averiguar si hay algún problema con el dispositivo que se une al dominio. Incluso puede ejecutar esta utilidad para identificar posibles problemas antes de intentar unir el dispositivo a un dominio.

Para comprobar el usuario delegado:

  1. Inicie sesión en el dispositivo Citrix SD-WAN WANOP del lado del servidor.

  2. Vaya a Configuración > Aceleración segura > ficha Windows.

  3. Haga clic en el botón Unirse al dominio de Windows, si está presente.

  4. Seleccione un usuario delegado y haga clic en Modificar.

  5. Haga clic en Comprobar usuario delegado.

  6. Espere a que finalice la comprobación de dominio de usuario delegado y examine los resultados.

    Imagen localizada

Configurar el dispositivo Citrix SD-WAN WANOP para optimizar el tráfico seguro de Windows