Citrix Application Delivery Management

HDX Insight データ収集の有効化

HDX Insight は、Citrix ADCインスタンスまたはCitrix SD-WANアプライアンスを通過するICAトラフィックをこれまでにないエンドツーエンドで可視化することで、Citrix Application Delivery Management(ADM) Analyticsが卓越したユーザーエクスペリエンスを提供できるようにします。HDX Insight は、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリックに対して、魅力的で強力なビジネスインテリジェンスと障害分析機能を提供します。HDX Insightはユーザーの問題を優先度によってすぐに選別すると同時に、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成して、それらをビジュアルレポートとして提示します。

Citrix ADC でデータ収集を有効にする構成は、展開トポロジでのアプライアンスの位置によって異なります。

LANユーザーモードで展開されたCitrix ADCを監視するためのデータ収集の有効化

Citrix Virtual AppおよびDesktopアプリケーションにアクセスする外部ユーザーは、Citrix Gatewayで自身を認証する必要があります。ただし、内部ユーザーはCitrix Gateway にリダイレクトする必要がない場合があります。また、透過モードの展開では、管理者が手動でルーティングポリシーを適用して、要求がCitrix ADC アプライアンスにリダイレクトされるようにする必要があります。

これらの課題を克服し、LANユーザーがCitrix Virtual AppおよびDesktopアプリケーションに直接接続できるようにするには、Citrix GatewayアプライアンスでSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成することで、Citrix ADCアプライアンスをLANユーザーモードで展開します。

LANユーザー・モードでADCを導入

注: Citrix ADM とCitrix Gateway アプライアンスは同じサブネットにあります。

このモードで展開されているCitrix ADC アプライアンスを監視するには、まずCitrix ADC アプライアンスをNetScaler Insightインベントリに追加し、AppFlow を有効にして、ダッシュボードでレポートを表示します。

Citrix ADCアプライアンスをCitrix ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。

  • ADC インスタンスでは、[ 設定] > [AppFlow] > [コレクター]に移動して、コレクター(Citrix ADM)が稼働しているかどうかを確認できます。Citrix ADC インスタンスは、NSIPを使用してAppFlow レコードをCitrix ADM に送信します。ただし、インスタンスはSNIPを使用してCitrix ADM との接続を確認します。そのため、インスタンスで SNIP が設定されていることを確認します。
  • Citrix ADM構成ユーティリティを使用して、LANユーザーモードで展開されたCitrix ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

コマンドラインインターフェイスを使用してCitrix ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います。

  1. アプライアンスにログオンします。

  2. プロキシIPおよびポートを指定してフォワードプロキシキャッシュリダイレクト仮想サーバーを追加します。また、サービスタイプとしてHDXを指定します。

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
    <!--NeedCopy-->
    

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    注: Citrix Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックに一致するポリシーによって適用されるアクションを追加します。

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
    
    add vpn trafficPolicy <name> <rule> <action>
    <!--NeedCopy-->
    

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. Citrix ADMをAppFlow コレクタとしてCitrix ADCアプライアンスに追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    Example:

    ``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string>
    

    例:

    add appflow action act -collectors MyInsight
    
  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    タイプの値は、ICAトラフィックに適用するには、ICA_REQ_OVERRIDEまたは ICA_REQ_DEFAULTである必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config

シングルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集の有効化

Citrix Gateway をシングルホップモードで展開すると、ネットワークのエッジになります。ゲートウェイインスタンスは、デスクトップ配信インフラストラクチャへのプロキシICA接続を提供します。シングルホップは、最も単純で最も一般的な展開です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを提供します。 シングルホップモードでは、ユーザーは仮想プライベートネットワーク(VPN)を介してCitrix ADC アプライアンスにアクセスします。

レポートの収集を開始するには、Citrix GatewayアプライアンスをCitrix Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlow を有効にする必要があります。

シングルホップモード

Citrix ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、[ Analyticsを有効にする] をクリックします。

  6. HDX Insight 」を選択し、「 ICA」を選択します。

  7. [OK] をクリックします。

    分析を有効にする

シングルホップモードで AppFlow を有効にすると、次のコマンドがバックグラウンドで実行されます。トラブルシューティングのため、こちらにそのコマンドを明記します。

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

EUEM仮想チャネルデータは、Citrix ADM がゲートウェイインスタンスから受信するHDX Insight データの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合でも、残りのHDX Insight データはCitrix ADM に表示されます。

ダブルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集の有効化

Citrix Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入してセキュアネットワークのサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(Citrix Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、Citrix ADMをインストールして、Citrix Gatewayアプライアンスこれらの重要な統計を報告する。

分析を有効にする

最初のDMZのCitrix Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。

2つ目のDMZのCitrix Gateway は、Citrix Gateway プロキシデバイスとして機能します。このCitrix Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。

Citrix ADM は、最初のDMZのCitrix Gateway アプライアンスに属するサブネットまたは2番目のDMZに属するサブネットに展開できます。上の画像では、最初のDMZのCitrix ADM とCitrix Gateway が同じサブネットに展開されています。

ダブルホップモードでは、Citrix ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。Citrix Gateway アプライアンスをCitrix ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップ数と接続チェーンIDを追跡してレポートをエクスポートします。

Citrix ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップ数は、クライアントからサーバーへのトラフィックが通過するCitrix Gateway アプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

Citrix ADM は、ホップ数と接続チェーンIDを使用して、両方のCitrix Gateway アプライアンスのデータを相互に関連付け、レポートを生成します。

このモードで展開されているCitrix Gateway アプライアンスを監視するには、まずCitrix GatewayをCitrix ADM インベントリに追加し、Citrix ADMでAppFlow を有効にして、Citrix ADMダッシュボードでレポートを表示する必要があります。

最適なゲートウェイに使用する仮想サーバーでのHDX Insight の構成

最適なゲートウェイで使用する仮想サーバーでHDX Insight を設定する手順:

  1. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 認証用に構成された VPN 仮想サーバーを選択し、[ Analytics を有効にする] をクリックします。

  4. HDX Insight 」を選択し、「 ICA」を選択します。

  5. 必要に応じて、その他の詳細オプションを選択します。

  6. [OK] をクリックします。

  7. 他の VPN 仮想サーバで手順 3 ~ 6 を繰り返します。

Analyticsの有効化

Citrix ADMでのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにCitrix ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況を克服するには、最初のCitrix Gateway アプライアンスのいずれかでICA用AppFlow owを有効にし、2番目のアプライアンスでTCP用AppFlowを有効にする必要があります。これにより、一方のアプライアンスがICA AppFlow レコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

Citrix ADM からAppFlow 機能を有効にするには:

  1. Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、[ Analyticsを有効にする] をクリックします。

  6. [ HDX Insight ] を選択し、 ICA トラフィックまたは TCP トラフィックにICAまたは TCPを選択します。

    Citrix ADC アプライアンスの各サービスまたはサービスグループでAppFlow ログが有効になっていない場合、[Insight]列に[Enabled]と表示されていても、Citrix ADM ダッシュボードにレコードが表示されません。

  7. [OK] をクリックします。

ICAまたはTCP

データをエクスポートするためのCitrix Gateway アプライアンスの構成

Citrix Gateway アプライアンスをインストールした後、Citrix Gatewayアプライアンスで次の設定を構成して、レポートをCitrix ADM にエクスポートする必要があります。

  • 1つ目と2つ目のDMZでCitrix Gateway アプライアンスの仮想サーバーを相互に通信するように構成します。

  • 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。

  • 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。

  • 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。

  • いずれかのCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにする

  • 他のCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

  • 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

コマンドラインインターフェイスを使用してCitrix Gatewayを構成します。

  1. 最初のDMZのCitrix Gateway 仮想サーバーが、2番目のDMZのCitrix Gateway仮想サーバーと通信するように構成します。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]
    
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。最初のDMZのCitrix Gateway で次のコマンドを実行します。

    bind vpn vserver <name> -nextHopServer <name>
    
    bind vpn vserver vs1 -nextHopServer nh1
    
    
  3. 2つ目のDMZのCitrix Gateway でダブルホップとAppFlow を有効にします。

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
    
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。

    set vpn vserver <name> [-authentication (ON or OFF)]
    
    set vpn vserver vs -authentication OFF
    
  5. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]
    
    set appflow param -connectionChaining ENABLED
    

構成ユーティリティを使用してCitrix Gatewayを構成します。

  1. 最初のDMZのCitrix Gateway を構成して、2番目のDMZのCitrix Gateway と通信し、2番目のDMZのCitrix Gatewayを最初のDMZのCitrix Gatewayにバインドします。

    1. 構成]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [公開アプリケーション] を展開します。

    3. ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2つ目のCitrix Gateway アプライアンスにバインドします。

  2. 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。

    1. 構成 ]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [詳細] を展開し、[ダブルホップ] を選択して [OK] をクリックします。

  3. 2つ目のDMZのCitrix Gateway 上の仮想サーバーでの認証を無効にします。

    1. 構成]タブで[Citrix Gateway]を展開して[仮想サーバー]をクリックします

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [詳細] を展開し、[認証を有効にする] をオフにします

  4. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. 構成]タブで[Citrix Gateway]を展開して[仮想サーバー]をクリックします

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +アイコンをクリックし、[ポリシーの選択 ] リストから [AppFlow] を選択し、[ タイプの選択 ] リストから [その他の TCP 要求] を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  5. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    1. 構成]タブで[Citrix Gateway]を展開して[仮想サーバー]をクリックします

    2. 右側のウィンドウで、仮想サーバをダブルクリックし、 [ 詳細設定 ] グループで [ ポリシー ] を展開します。

    3. + アイコンをクリックし、[ポリシーの選択] リストから [AppFlow] を選択し、[Chose Type] リストから [その他の TCP 要求] を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  6. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

    1. [Configuration]タブで、[System]>[Appflow]の順に選択します。

    2. 右側のウィンドウの [設定 ] グループで、[Appflow 設定の変更] をダブルクリックします。

    3. [Connection Chaining]を選択し、[OK]をクリックします。

  7. 最初のDMZのCitrix Gateway を構成して、2番目のDMZのCitrix Gateway と通信し、2番目のDMZのCitrix Gatewayを最初のDMZのCitrix Gatewayにバインドします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [公開アプリケーション] を展開します。

    3. ネクストホップサーバー]をクリックし、ネクストホップサーバーを2番目のCitrix Gatewayアプライアンスにバインドします。

  8. 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. [詳細] を展開し、[ダブルホップ] を選択して、[OK] をクリックします。

  9. 2つ目のDMZのCitrix Gateway 上の仮想サーバーでの認証を無効にします。

    1. [構成]タブで[Citrix Gateway]を展開して[仮想サーバー]をクリックします

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. [詳細] を展開し、[認証を有効にする] をオフにします

  10. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. **+** アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、 「タイプの選択」 リストから「 その他のTCPリクエスト 」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  11. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    1. [構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +アイコンをクリックし、[ポリシーの選択]リストから[AppFlow] を選択し、[ タイプの選択] リストから [その他の TCP 要求] を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  12. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

透過モードで展開されたCitrix ADCを監視するためのデータ収集を有効にする

Citrix ADC を透過モードで展開すると、クライアントは仮想サーバーを介さず、直接サーバーにアクセスできます。Citrix ADCアプライアンスがCitrix Virtual Apps and Desktop環境で透過モードで展開されている場合、ICAトラフィックはVPN経由で送信されません。

Citrix ADCをCitrix ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。データ収集を有効にできるかどうかは、デバイスとモードによって決まります。その場合は、Citrix ADMをAppFlow コレクタとして各Citrix ADCアプライアンスに追加する必要があります。また、AppFlow ポリシーを構成して、アプライアンスを通過するすべてのICAトラフィックまたは特定のICAトラフィックを収集する必要があります。

  • Citrix ADM構成ユーティリティを使用して、透過モードで展開されたCitrix ADCでデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

次の図は、Citrix ADCが透過モードで展開された場合のCitrix ADMのネットワーク展開を示しています。

透過モード

コマンドラインインターフェイスを使用してCitrix ADC アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います。

  1. アプライアンスにログオンします。

  2. Citrix ADC アプライアンスがトラフィックをリッスンするICAポートを指定します。

    set ns param --icaPorts <port>...
    

    例:

    set ns param -icaPorts 2598 1494
    

    • このコマンドでは、最大10個のポートを指定できます。
    • デフォルトのポート番号は2598です。ポート番号は、必要に応じて変更できます。
  3. Citrix ADCアプライアンスで、NetScaler Insight Center をAppFlow コレクタとして追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    

    例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    

    注: Citrix ADCアプライアンスで構成されたAppFlowコレクタを表示するには、show appflow コレクタコマンドを使用します

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string> ...
    

    例:

    AppFlow アクションアクションコレクターを追加する MyInsight

  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    ICA トラフィックに適用するには、TYPE の値は ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT である必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config ```