Citrix Application Delivery Management

HDX Insight データ収集の有効化

HDX Insight は、Citrix ADCインスタンスまたはCitrix SD-WANアプライアンスを通過するICAトラフィックをこれまでにないエンドツーエンドで可視化することで、Citrix Application Delivery Management(ADM) Analyticsが卓越したユーザーエクスペリエンスを提供できるようにします。HDX Insightは、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリック向けの優秀かつ有能なビジネスインテリジェンスとエラー分析機能を提供します。HDX Insightはユーザーの問題を優先度によってすぐに選別すると同時に、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成して、それらをビジュアルレポートとして提示します。

Citrix ADC でデータ収集を有効にする構成は、展開トポロジでのアプライアンスの位置によって異なります。

LANユーザーモードで展開されたCitrix ADCを監視するためのデータ収集の有効化

Citrix Virtual Apps and Desktops アプリケーションにアクセスする外部ユーザーは、Citrix Gatewayで自分自身を認証する必要があります。ただし、内部ユーザーはCitrix Gateway にリダイレクトする必要がない場合があります。また、透過モードの展開では、管理者が手動でルーティングポリシーを適用して、要求がCitrix ADC アプライアンスにリダイレクトされるようにする必要があります。

これらの課題を克服し、LANユーザーがCitrix Virtual Apps and Desktopsアプリケーションに直接接続できるようにするには、Citrix Gatewayアプライアンス上でSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成して、LANユーザーモードでCitrix ADCアプライアンスを展開します。

ローカライズされた画像

注: Citrix ADM とCitrix Gateway アプライアンスは同じサブネットにあります。

このモードで展開されているCitrix ADCアプライアンスを監視するには、まずCitrix ADCアプライアンスをNetScaler Insightインベントリに追加し、AppFlow を有効にして、ダッシュボードでレポートを表示します。

Citrix ADCアプライアンスをCitrix ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。

  • ADCインスタンスでは、[ システム ] > [ AppFlow ] > [ コレクター] の順に選択し、コレクター(つまり、Citrix ADM)が起動しているかどうかを確認できます。Citrix ADC インスタンスは、NSIPを使用してAppFlow レコードをCitrix ADM に送信します。ただし、インスタンスはSNIPを使用してCitrix ADM との接続を確認します。そのため、インスタンスで SNIP が設定されていることを確認します。
  • Citrix ADM構成ユーティリティを使用して、LANユーザーモードで展開されたCitrix ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用方法について詳しくは、コマンドリファレンスを参照してください。
  • ポリシー式について詳しくは、ポリシーと表現を参照してください。

コマンドラインインターフェイスを使用してCitrix ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います。

  1. アプライアンスにログオンします。

  2. プロキシIPおよびポートを指定してフォワードプロキシキャッシュリダイレクト仮想サーバーを追加します。また、サービスタイプとしてHDXを指定します。

    仮想サーバーを追加 <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [-cltTimeout <secs>]

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    注: Citrix Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックに一致するポリシーによって適用されるアクションを追加します。

    vpn トラフィックアクションを追加する <name> <qual> [-HDX (オンまたはオフ)]

    VPN トラフィックポリシーを追加する <name> <rule> <action>

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. Citrix ADM をCitrix ADC アプライアンスのアプリケーションフローコレクタとして追加します。

    appflow コレクタを追加 <name> -ipaddress <ip_addr>

    例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    
  4. AppFlowアクションを作成して、コレクターを関連付けます。

    appflow アクションを追加 <name> -コレクター <string>…

    例:

    add appflow action act -collectors MyInsight
    <!--NeedCopy-->
    
  5. トラフィック生成の規則を指定するためのAppFlowポリシーを作成します。

    add appflow policy <ポリシーの名前> <規則> <アクション>アクション>規則>ポリシーの名前>

    例:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. グローバルバインドポートにAppFlowポリシーをバインドします。

    **アプリケーションフローグローバル型をバインドする** <policyname> <priority> <type>

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    注: ICAトラフィックに適用するには、タイプの値は ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT である必要があります。

  7. AppFlowのflowRecordIntervalパラメーターの値を60秒に設定します。

    appflow パラメータを設定する-flowRecordInterval 60

    例:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. 構成を保存します。種類:save ns config

シングルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集の有効化

Citrix Gateway をシングルホップモードで展開すると、ネットワークのエッジになります。ゲートウェイインスタンスは、デスクトップ配信インフラストラクチャへのプロキシICA接続を提供します。シングルホップは、最も単純で最も一般的な展開です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを提供します。 シングルホップモードでは、ユーザーは仮想プライベートネットワーク(VPN)を介してCitrix ADC アプライアンスにアクセスします。

レポートの収集を開始するには、Citrix GatewayアプライアンスをCitrixCitrix Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlow を有効にする必要があります。

ローカライズされた画像

Citrix ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするCitrix ADC インスタンスを選択します。

  4. [ アクションの選択] ドロップダウンから、[ アナリティクスの設定] を選択します。

  5. VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  6. AppFlow を有効にする 」フィールドに「 true」と入力し、「 ICA」を選択します。

  7. [OK] をクリックします。

    ローカライズされた画像

注:シングルホップモードでAppFlowを有効にすると、次のコマンドがバックグラウンドで実行されます。トラブルシューティングのため、こちらにそのコマンドを明記します。

  • add appflow collector <name> -IPAddress <ip_addr>
  • add appflow action <名前> -collectors <文字列>文字列>名前>
  • set appflow param -flowRecordInterval <secs>
  • disable ns feature AppFlow
  • enable ns feature AppFlow
  • add appflow policy <name> <rule> <expression>
  • set appflow policy <名前> -rule <式>式>名前>
  • bind vpn vserver <仮想サーバーの名前> -policy <文字列> -type <タイプ> -priority <正の整数>正の整数>タイプ>文字列>仮想サーバーの名前>
  • set vpn vserver <名前> -appflowLog ENABLED名前>
  • save ns config

EUEM仮想チャネルデータは、Citrix ADM がゲートウェイインスタンスから受信するHDX Insight データの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合でも、残りのHDX Insight データはCitrix ADM に表示されます。

ダブルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集の有効化

Citrix Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入してセキュアネットワークのサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(Citrix Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、Citrix ADMをインストールして、Citrix Gatewayアプライアンスこれらの重要な統計を報告する。

ローカライズされた画像

最初のDMZのCitrix Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。

2つ目のDMZのCitrix Gateway は、Citrix Gateway プロキシデバイスとして機能します。このCitrix Gateway を使用すると、ICAトラフィックが2番目のDMZを通過してサーバーファームへのユーザー接続を完了できます。

Citrix ADM は、最初のDMZのCitrix Gateway アプライアンスに属するサブネットまたは2番目のDMZに属するサブネットに展開できます。上の画像では、最初のDMZのCitrix ADM とCitrix Gateway が同じサブネットに展開されています。

ダブルホップモードでは、Citrix ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。Citrix Gateway アプライアンスをCitrix ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップ数と接続チェーンIDを追跡してレポートをエクスポートします。

Citrix ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップ数は、クライアントからサーバーへのトラフィックが通過するCitrix Gateway アプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

Citrix ADM は、ホップ数と接続チェーンIDを使用して、両方のCitrix Gateway アプライアンスのデータを相互に関連付け、レポートを生成します。

このモードで展開されているCitrix Gateway アプライアンスを監視するには、まずCitrix GatewayをCitrix ADM インベントリに追加し、Citrix ADMでAppFlow を有効にして、Citrix ADMダッシュボードでレポートを表示する必要があります。

Citrix ADM でのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにCitrix ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況を克服するには、最初のCitrix Gateway アプライアンスのいずれかでICA用AppFlow owを有効にし、2番目のアプライアンスでTCP用AppFlowを有効にする必要があります。この作業を行うことにより、一方のアプライアンスはICA AppFlowレコードをエクスポートし、もう一方のアプライアンスはTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

Citrix ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするCitrix ADC インスタンスを選択します。

  4. [ アクションの選択] ドロップダウンから、[ アナリティクスの設定] を選択します。

  5. VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  6. AppFlow を有効にする 」フィールドに「 true」と入力し、ICAトラフィック用の ICA/TCP 、TCPトラフィック用のICA/TCP をそれぞれ選択します。

    注: Citrix ADC アプライアンスの各サービスまたはサービスグループでAppFlow ログが有効になっていない場合、[Insight]列に[有効]と表示されていても、Citrix ADM ダッシュボードにレコードが表示されません。

  7. [OK] をクリックします。

ローカライズされた画像

データをエクスポートするためのCitrix Gateway アプライアンスの構成

Citrix Gateway アプライアンスをインストールした後、Citrix Gatewayアプライアンスで次の設定を構成して、レポートをCitrix ADM にエクスポートする必要があります。

  • 1つ目と2つ目のDMZでCitrix Gateway アプライアンスの仮想サーバーを相互に通信するように構成します。
  • 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。
  • 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。
  • 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。
  • いずれかのCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにする
  • 他のCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。
  • 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

コマンドラインインターフェイスを使用したCitrix Gateway の構成:

  1. 最初のDMZのCitrix Gateway 仮想サーバーが、2番目のDMZのCitrix Gateway仮想サーバーと通信するように構成します。

    vpn nextHopServer を追加<name> <nextHopIP> <nextHopPort> [-セキュア(オンまたはオフ)] [-imgGiftopng]…

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

  2. 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。最初のDMZのCitrix Gateway で次のコマンドを実行します。

    bind vpn vserver <name> **-nextHopServer** <name>

    bind vpn vserver vs1 -nextHopServer nh1

  3. 2つ目のDMZのCitrix Gateway でダブルホップとAppFlow を有効にします。

    vpn vserver を設定<name> [-ダブルホップ(有効または無効)] [-AppFlowLog(有効または無効)]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

  4. 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。

    VPN 仮想サーバーを設定する<name> [-認証(オンまたはオフ)]

    set vpn vserver vs -authentication OFF

  5. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    vpn vserver をバインド<name> [**-ポリシー優先順位<string> <positive_integer>] [タイプ**<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

  6. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    vpn vserver をバインド<name> [**-ポリシー優先順位<string> <positive_integer>] [タイプ**<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

  7. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

    AppFlowパラメータを設定する[-接続チェーン(有効または無効)]

    set appflow param -connectionChaining ENABLED

構成ユーティリティを使用したCitrix Gateway の構成:

  1. 最初のDMZのCitrix Gateway を構成して、2番目のDMZのCitrix Gateway と通信し、2番目のDMZのCitrix Gatewayを最初のDMZのCitrix Gatewayにバインドします。

    1. 構成]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Published Applications]を展開します。

    3. ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2つ目のCitrix Gateway アプライアンスにバインドします。

  2. 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。

    1. 構成 ]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで、仮想サーバーをダブルクリックし、[基本設定 ] グループの [編集] アイコンをクリックします。

    3. [More]を展開し、[Double Hop]を選択して[OK]をクリックします。

  3. 2つ目のDMZのCitrix Gateway 上の仮想サーバーでの認証を無効にします。

    1. 構成]タブで[Citrix Gatewayを展開し仮想サーバー]をクリックします。

    2. 右側のペインで、仮想サーバーをダブルクリックし、[基本設定 ] グループの [編集] アイコンをクリックします。

    3. [More]を展開し、[Enable Authentication]をオフにします。

  4. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. 構成]タブで[Citrix Gatewayを展開し仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Policies]を展開します。

    3. [+]アイコンをクリックし、[ポリシーの選択 ]ドロップダウンリストから[AppFlow]を選択し、[ タイプの選択 ]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  5. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    1. 構成]タブで[Citrix Gatewayを展開し仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定 ] グループで [**ポリシー **] を展開します。

    3. [+]アイコンをクリックし、[ポリシーの選択]ドロップダウンリストから[AppFlow ]を選択し、[タイプ]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  6. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

    1. [Configuration]タブで、[System]>[Appflow]の順に選択します。

    2. 右側のペインの [設定 ] グループで、[Appflow 設定の変更] をクリックします。

    3. [Connection Chaining]を選択し、[OK]をクリックします。

  7. 最初のDMZのCitrix Gateway を構成して、2番目のDMZのCitrix Gateway と通信し、2番目のDMZのCitrix Gatewayを最初のDMZのCitrix Gatewayにバインドします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで[公開アプリケーション] を展開します。

    3. ネクストホップサーバー]をクリックし、ネクストホップサーバーを2番目のCitrix Gatewayアプライアンスにバインドします。

  8. 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. [詳細] を展開し、[ダブルホップ] を選択して [OK] をクリックします。

  9. 2つ目のDMZのCitrix Gateway 上の仮想サーバーでの認証を無効にします。

    1. [構成]タブで[Citrix Gatewayを展開し、仮想サーバー]をクリックします。

    2. 右側のペインで、仮想サーバーをダブルクリックし、[基本設定 ] グループの [編集] アイコンをクリックします。

    3. [More]を展開し、[Enable Authentication]をオフにします。

  10. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +]アイコンをクリックし、[ポリシーの選択]ドロップダウンリストから[AppFlow]を選択し、[タイプの選択]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  11. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +]アイコンをクリックし、[ポリシーの選択]ドロップダウンリストから**[AppFlow]を選択し、[**タイプの選択]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  12. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

透過モードで展開されたCitrix ADCを監視するためのデータ収集の有効化

Citrix ADC を透過モードで展開すると、クライアントは仮想サーバーを介さず、直接サーバーにアクセスできます。Citrix ADCアプライアンスがCitrix Virtual Apps and Desktop環境で透過モードで展開されている場合、ICAトラフィックはVPN経由で送信されません。

Citrix ADCをCitrix ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。データ収集を有効にできるかどうかは、デバイスとモードによって決まります。その場合は、Citrix ADM をAppFlow コレクターとして各Citrix ADC アプライアンスに追加する必要があります。AppFlowポリシーを構成して、アプライアンスを流れるすべてのICAトラフィックまたは特定のICAトラフィックを収集する必要があります。

  • Citrix ADM構成ユーティリティを使用して、透過モードで展開されたCitrix ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用方法について詳しくは、コマンドリファレンスを参照してください。
  • ポリシー式について詳しくは、ポリシーと表現を参照してください。

次の図は、Citrix ADCが透過モードで展開された場合のCitrix ADMのネットワーク展開を示しています。

ローカライズされた画像

コマンドラインインターフェイスを使用してCitrix ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います。

  1. アプライアンスにログオンします。

  2. Citrix ADC アプライアンスがトラフィックをリッスンするICAポートを指定します。

    set ns param --icaPorts <port>...
    <!--NeedCopy-->
    

    例:

    set ns param -icaPorts 2598 1494
    <!--NeedCopy-->
    

    • このコマンドでは、最大10個のポートを指定できます。
    • デフォルトのポート番号は2598です。ポート番号は、必要に応じて変更できます。
  3. NetScaler Insight Center をCitrix ADC アプライアンスのアプリケーションフローコレクターとして追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    

    注: Citrix ADC アプライアンスに構成されているアプリフローコレクターを表示するには、show appflow collector コマンドを使用します。

  4. AppFlowアクションを作成して、コレクターを関連付けます。

    add appflow action <name> -collectors <string> ...
    <!--NeedCopy-->
    

    例:

    add appflow action act -collectors MyInsight

  5. トラフィック生成の規則を指定するためのAppFlowポリシーを作成します。

    add appflow policy <policyname> <rule> <action>
    <!--NeedCopy-->
    

    例:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. グローバルバインドポートにAppFlowポリシーをバインドします。

    bind appflow global <policyname> <priority> -type <type>
    <!--NeedCopy-->
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    注:ICAトラフィックに適用するには、タイプの値は ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT である必要があります。

  7. AppFlowのflowRecordIntervalパラメーターの値を60秒に設定します。

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    

    例:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. 構成を保存します。種類:save ns config