Citrix Gateway Connector

Citrix Gateway Connectorは、クラウドサービス(Citrix Gatewayサービス、ADMなど)とWebサーバーなどのオンプレミスコンポーネント間の通信チャネルとして機能するCitrixコンポーネントです。Citrix Hypervisor、VMware ESXi、およびMicrosoft Hyper-Vと小型フォームファクタで互換性のある仮想アプライアンスです。Citrix Gateway Connectorは、エンタープライズWebアプリケーションへのリモートアクセスを容易にします。

機能

Citrix Gateway Connectorは、Citrix Cloudとリソースの場所間のすべての通信を認証および暗号化します。Citrix Gateway ConnectorとCitrix Cloud間の通信は送信です。すべての接続が、標準HTTPSポート(443)とTCPプロトコルを使用してCitrix Gateway Connectorからクラウドに対して確立されます。受信接続は受け入れられません。次の FQDN を持つ TCP ポート 443 は、送信が許可されます。

  • *.nssvc.net
  • *.netscalermgmt.net
  • *.citrixworkspacesapi.net
  • *.citrixnetworkapi.net
  • *.citrix.com
  • *.servicebus.windows.net
  • *.adm.cloud.com

重要:

Citrix Gateway Connectorを展開する必要があるオンプレミスのデータセンターにSSLインターセプトデバイスがある場合、これらのFQDNに対してSSLインターセプトが有効になっていると、コネクタの登録は成功しません。コネクタを正常に登録するには、これらの FQDN に対して SSL インターセプトを無効にする必要があります。

Citrix Gateway Connectorの機能

Citrix Gateway Connectorの機能の一部を次に示します。

  • リバースプロキシとして機能する — Citrix Gateway Connectorは、エンタープライズWebアプリケーションへのリバースプロキシとして機能します。必要な Web アプリケーションポートは、Gateway Connectorからアプリに開く必要があります。
  • シングルサインオンを有効にします:Citrix Gateway Connectorは、Citrix Gatewayサービスで次のシングルサインオン機能を提供します。
    • 基本SSO
    • kerberos
    • フォームベース
    • SAML
    • SSOなし
  • セキュリティでSecure Workspace Access 介してオプションのセキュリティポリシーを適用可能 — Citrix Gateway Connectorは、Citrix Secure Workspace Access サービスを通じて強化されたセキュリティ機能を提供します。例:
    • クリップボード アクセスを制限
    • 印刷を制限
    • 移動を制限
    • ダウンロードを制限
    • 透かしを表示
    • アプリ保護ポリシー
    • モバイルデバイスにポリシーを適用する

詳細については、 エンタープライズ Web アプリおよびSoftware as a Serviceアプリのサポートのサポートを参照してください。

システム要件

Citrix Gateway Connectorは仮想アプライアンスです。Citrix Gateway Connectorの最小システム要件は次のとおりです。

  • 仮想 CPU の数は正確に 2 にする必要があります。
  • 最小 4 GB RAM。

    重要:

    RAM の新しい最小システム要件が変更されました。既存のCitrix Gateway Connectorを使用している場合は、仮想マシンのシステムメモリをアップグレードして、新しい要件である4 GB RAMと一致させます。

詳しくは、「Citrix Gateway Connector仮想マシンのシステムメモリをアップグレードする」を参照してください。

  • 1 つのネットワークアダプタ (仮想 NIC)。必要に応じて、追加の仮想 NIC を追加できます。
  • ファイアウォール:

    • DNS サーバへの UDP ポート 53
    • TCPおよびUDPポート389からActive Directory ドメインコントローラへの接続(オプション* - *の説明はページの最後に記載されています)
    • Active Directory ドメインコントローラへのTCPポート 636(オプション *
    • Active Directory ドメインコントローラへの TCP ポート 3268 (オプション *)
    • Active Directory ドメインコントローラへの TCP ポート 3269 (オプション *)
    • 次の FQDN を持つ TCP ポート 443 は、送信が許可されます。
      • *.nssvc.net
      • *.netscalermgmt.net
      • *.citrixworkspacesapi.net
      • *.citrixnetworkapi.net
      • *.citrix.com
      • *.servicebus.windows.net
      • *.adm.cloud.com
    • Citrix Gateway Connectorを使用してアクセスするWebサーバーへのTCPポート(**)
    • Webベースの管理のためにポート8443インバウンドを開く

      * - Webアプリケーションへのドメインベースのシングルサインオンを実行するために必要 **- ポート80と443はお客様の環境によって決定されます。

推奨: 初期設定を簡素化するために、DHCP を有効にしたネットワーク。

Citrix Gateway Connectorをインストールする方法

Citrix Gatewayコネクタは、次のいずれかの方法でインストールできます。

どちらの場合も、次のセクションで説明するように、新しい仮想マシンを作成する必要があります。

新しい仮想マシンの作成

  1. Citrix Cloudにサインインします。
  2. 画面左上のメニューで、[リソースの場所] を選択します。
    • 既存のリソースの場所がない場合、[リソースの場所]ページで [ダウンロード] をクリックします。プロンプトが表示されたら、cwcconnector.exeファイルを保存します。詳しくは、「Cloud Connectorのインストール」を参照してください。
    • リソースの場所がありCloud Connectorがインストールされていない場合は、Cloud Connectorバーをクリックし、[ダウンロード] を選択します。プロンプトが表示されたら、cwcconnector.exeファイルを保存します。
  3. [ Gateway Connector] をクリックします。

    コネクタ新規作成

  4. ハイパーバイザーを選択し、[ イメージのダウンロード] をクリックします。ローカルにダウンロードしたイメージをハイパーバイザーにインポートし、新しい仮想マシンを作成します(Citrix Gateway Connector)。

    画像のダウンロード

  5. [ アクティベーションコードを取得] をクリックします。

    アクティベーションコードを取得する

  6. アクティベーションコードは次のように生成されます。

    アクティベーションコード

  7. インストールが完了したら、[ Detect] をクリックします。

    コネクタの検出

Citrix Cloudユーザーインターフェイスを使用してCitrix Gateway Connectorをインストールする

Citrix Cloudユーザーインターフェイスを使用してリソースの場所を設定し、Citrix Gateway Connectorをインストールする手順は次のとおりです。

  1. Citrix Cloud画面の左上にあるハンバーガーアイコンをクリックし 、[ リソースの場所]を選択します。[ リソースの場所] の横のプラスアイコンをクリックします。

    リソースの場所

  2. リソースの場所の名前を入力し、[ 保存] をクリックします。

    場所の名前

  3. 新しく作成したリソースの場所で、Citrix Gateway Connectorの横にあるプラスアイコンをダブルクリックします。

    コネクタ新規作成

  4. 新しい仮想マシンの作成の説明に従って、手順を完了します。

エンタープライズWebアプリの追加中にCitrix Gateway Connectorをインストールする

Citrix Gatewayサービスのユーザーインターフェイスを使用してエンタープライズWebアプリを追加するときに 、新しいリソースの場所を設定し、コネクタをダウンロードできます。エンタープライズ Web アプリケーションの追加の詳細については、「エンタープライズWebアプリのサポート」を参照してください。

リソースの場所を設定し、コネクタをダウンロードするには、次の手順に従います。

  1. [ Web アプリの接続 ] セクションで、[ 新規作成 ] ラジオボタンを選択します。リソースの場所の名前を入力し、[ 保存] をクリックします。

    新しいリソースの場所

  2. Citrix Gateway Connectorのインストール]をクリックします。

    コネクタをインストールする

  3. 新しい仮想マシンの作成の説明に従って、手順を完了します。

URLを使用してCitrix Gateway Connectorのユーザーインターフェイスにアクセスします

Citrix Gateway Connectorのユーザーインターフェイスにアクセスするには、新しくインストールしたCitrix Gateway Connectorの仮想マシンのいずれかのメッセージに表示されるURLを使用します。Citrix Gateway Connector CLIに管理者としてログオンし、DHCP経由でCitrix Gateway Connectorに割り当てられたIPアドレスを表示するshow ipコマンドを実行することもできます。その後、ブラウザでhttps://<IP address>:8443を開いて、Citrix Gateway Connectorの管理ユーザーインターフェイスにアクセスできます。

重要:

Azureの場合は、Azure仮想ネットワーク内からCitrix Gateway Connectorのユーザーインターフェイスにアクセスすることをお勧めします。

ログオンしてCitrix Gateway Connectorをセットアップする

Citrix Gateway Connectorのインストールが完了したら、新しくインストールされた仮想マシン(Citrix Gateway Connector)で次のメッセージを探します。

コネクタの取り付け後

上記のURLをブラウザーに入力して、Citrix Gateway Connectorのユーザーインターフェイスにアクセスします。Citrix Gateway ConnectorCLIに管理者としてログオンし、 show ipコマンドを実行することもできます。このコマンドを実行すると、DHCP経由でCitrix Gateway Connectorに割り当てられたIPアドレスが表示されます。その後、ブラウザで<https://IP address:8443>を開いて、Citrix Gateway Connectorの管理ユーザーインターフェイスにアクセスします。

  1. 次の画面で、初回アクセスユーザーのユーザー名とパスワードは「administrator」です。

    ログオン資格情報

  2. [ 管理者パスワードの設定] セクションで任意のパスワードを入力してパスワードを変更し 、[ 続行] をクリックします。

  3. [ システム設定 ] セクションに次の構成の詳細を入力し、[ 続行] をクリックします。
    • ConnectorのIPアドレス :Gateway ConnectorのIPアドレス。
    • サブネットマスク :Gateway ConnectorのIPアドレスのサブネットマスク。
    • デフォルトゲートウェイ — デフォルトゲートウェイの IP アドレス。
    • DNSサーバ :DNSサーバのIPアドレス。Citrix Gateway Connectorリリース13.0以降、DNSサーバーの構成が変更されています。詳細については、「 DNS サーバー設定の変更方法」を参照してください。
    • プロキシ IP — 内部プロキシサーバーの IP アドレス。
    • プロキシポート - プロキシサーバのポート。

    システム設定

    DNS サーバー設定への変更:

    Citrix Gateway Connector 13.0.400.xxから、コネクタアプライアンス上のUDPプロトコルとTCPプロトコルの両方のDNS構成が[ システム設定 ]セクションで設定されると、自動的に更新されます。ただし、以前のバージョンからコネクタをアップグレードする場合は、DNS 設定を手動で削除し、再度読み取る必要があります。これを行うには、次の手順を実行します。

    1. Citrix Gateway Connectorダッシュボードの[設定の編集]に移動します。
    2. 最初の DNS サーバフィールドの横にある [削除] アイコンをクリックし、[ 続行] をクリックします。
    3. [ 設定の編集 ] ページに移動し、同じ DNS サーバーを読み取り、[ 続行] をクリックします。
    4. 2 番目の DNS サーバーに対して手順を繰り返します。 注:
      • 13.0 Citrix Gateway Connectorの新しいインスタンスについては、以下の手順を実行する必要はありません。
      • アップグレード直後に、前述の手順を実行する必要はありません。これが行われないと、機能が失われることはありません。これらの手順は、エンタープライズ Web アプリを正しく機能させるには、DNS over TCP 機能を必要とする企業のお客様に対して実行する必要があります。
  4. [ シングルサインオン ] セクションで、基本認証以外の機能については、[ Kerberos シングルサインオンを有効にする ] をオンにします。

    Active Directory ドメインはグローバルドメインであり、KCD アカウントのレルムとして設定されます。ユーザーのグローバルレルムを上書きする場合は、コネクタで次のコマンドを使用できます。コネクタ設定ページへのログオンに使用するのと同じ認証情報を使用して、Gateway Connectorに SSH 接続します。次のコマンドを入力します。

    set kcdaccount ngs_kcdaccount -userRealm <value>
    

    例:この例では 、レルム aa.local がグローバルドメインで、bbb.local はオーバーライドされたユーザーレルムです。

    ssh kcdaccount
      KCD Account : ngs_kcdaccount
      Keytab :
      Realm : AAA.LOCAL
      User Realm : BBB.LOCAL
      DelegatedUser :
      User Certificate :
      CA Certificate :
    Done
    

    レルム専用モードと完全な Kerberos 制約付き委任 (KCD) の 2 つの方法で Kerberos の詳細を検証できます。

    重要:

    Citrix GatewayコネクタでKCDを使用するには、Citrix Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定する必要があります。詳しくは、「Citrix Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定するための前提条件」を参照してください。

    [ テスト ] オプションは、デバッグ目的で使用できます。たとえば、Kerberos の詳細が正しく設定されておらず、アプリが追加された場合、アプリケーションに対する SSO は失敗します。

    1. レルム専用モードの場合は、[ Kerberos シングルサインオンを有効にする] を選択し、 次の詳細を入力して [ Kerberos のテスト] をクリックします。
      • Active Directory ドメイン—アクセスを許可するユーザーのActive Directory toryドメイン。
      • サービス FQDN -サービスの完全修飾名 (ユーザーが Web アプリを構成してアクセスする必要があるサービス FQDN)。
      • [ ユーザー名] — ログオンしているユーザーのユーザー名。
      • パスワード 」— ログオンしているユーザーのパスワード。

      kerberos 検証なし

    2. 完全な Kerberos 制約付き委任の場合は、[ Kerberos 制約付き委任] を選択し、 次の詳細を入力し、[ Kerberos のテスト] をクリックします。
      • Active Directory ドメイン—アクセスを許可するユーザーのActive Directory toryドメイン。
      • サービスアカウントのユーザー名 — 委任に使用されるサービスアカウントのユーザー名。詳しくは、「Citrix Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定するための前提条件」を参照してください。
      • [サービスアカウントのパスワード ] — 委任に使用するサービスアカウントのユーザー名のパスワード。
      • サービス FQDN -サービスの完全修飾名 (ユーザーが Web アプリを構成してアクセスする必要があるサービス FQDN)。
      • ユーザー名 :ログオンしているユーザーのユーザー名。

      Kerberos の検証

    どちらの場合も、検証が成功したかどうかに基づいて、それぞれのメッセージが表示されます。次の図は、検証エラーメッセージの例を示しています。 Kerberos 検証失敗メッセージ

  5. ライセンス認証コードを入力して、コネクタをCitrix Cloudに登録します。[ 保存して終了] をクリックします。

  6. [ 接続テスト] をクリックします。(このステップはオプションです)

    接続のテスト

    [ 接続テスト ] オプションを使用すると、Gateway Connectorの構成にエラーがなく、Gateway Connectorが URL に接続できることを確認できます。この手順はオプションです。この手順をスキップして、Gateway Connectorのアクティブ化に進むことができます。

    • [ 接続テスト] をクリックすると、一連の URL がバックエンドで実行され、コネクタがこれらの URL に接続できることを確認します。すべての URL が正常に実行されると、接続テスト成功のメッセージが表示されます。[接続テスト] をクリックすると、次の FQDN が実行されます。

      • agent.netscalermgmt.net
      • agent.netscalermgmt.net
      • trust.citrixnetworkapi.net
      • download.citrixnetworkapi.net
      • web-reg.c.nssvc.net
      • agent.adm.cloud.com
      • anse.agent.adm.cloud.com
      • railay.agent.adm.cloud.com
      • agent.netscalermgmt.net
      • evergreen.citrixnetworkapi.net
      • agenthub.citrixworkspacesapi.net
      • callhome.citrix.com
    • これらの URL のいずれかが応答しない場合、エラーメッセージが表示され、対応する URL が表示されます。エラーメッセージは 3 つのカテゴリに分類されます。

      • DNS エラー
      • サーバーエラー
      • SSL 例外

    次の画像は、エラーメッセージの例を示しています。

    接続メッセージをテスト1

    接続メッセージをテスト2

  7. 最後に、ライセンス認証コードを入力してコネクタをCitrix Cloudに登録し、[ 保存して完了]をクリックします。

    アクティベーションコードの取得方法の詳細については、「新しい仮想マシンの作成」を参照してください。

保存して終了

Citrix Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定するための前提条件

  1. 委任に使用する必要があるユーザーアカウントを Active Directory に作成します。

    アクティブディレクトリにアカウントを作成する

  2. KCD を使用する必要がある Web サーバーのサービスプリンシパル名 (SPN) を追加するには、次のコマンドを使用します。

    setspn –A http/<webserver fqdn> <domain\Kerberos user>
    
  3. 次のコマンドを使用して、Kerberos ユーザーの SPN を確認します。

    setspn –l <Kerberos user>
    

    次の例では、KCD アカウントがアクセスする必要がある Web サーバーの SPN が追加されます。

    ウェブサーバーのサンプルの SPN を追加する

    setspnコマンドを実行すると、[ 委任 ] タブが表示されることに注意してください。

    SPN コマンドを実行した後、[委任] タブ

  4. [ 指定したサービスへの委任にのみこのユーザーを信頼する ] と [ 任意の認証プロトコルを使用する] を選択します。

  5. Kerberos SSO を必要とする Web サーバを追加し、[ サービスタイプ ] を [ http] として選択します。

    [委任] タブの設定

注:

Citrix Gateway ConnectorでKCDを構成するときに、このユーザーアカウントを使用できるようになりました。このユーザーアカウントは、サービスアカウントのユーザー名として追加する必要があります。

Citrix Gateway Connectorの登録の問題

トレース機能およびログのダウンロード機能を使用して、Citrix Gateway Connectorの登録に関する問題のトラブルシューティングを行うことができます

トレース機能

Citrix Gateway Connectorの登録中に、登録が成功しない可能性がある問題が発生することがあります。これらの問題のトラブルシューティングを行うには、コネクタを初めて登録するときに表示される [ トレース情報 ] リンクを使用できます。トレースファイルをダウンロードし、トラブルシューティングのために管理者と共有できます。トレースファイルは暗号化された形式です。 [ トレース情報 ] リンクは、登録後もGateway Connectorのダッシュボードでも使用できます。デバッグの問題のために、ダッシュボードからトレースファイルをキャプチャしてダウンロードすることもできます。

トレースファイルのダウンロード方法

  1. [ トレース情報] をクリックします。

    トレース情報リンク

  2. [ トレース] ダイアログボックスで、トレースを実行する期間を選択し 、[ 開始] をクリックします。[ トレース ] ダイアログボックスに進行状況が表示されます。

    トレースダイアログ

  3. 処理中のトレースは、完了する前に停止できます。次に、[ダウンロード] ボタンをクリックして、 トレースファイルをダウンロードできます 。ダイアログボックスから新しいトレースを開始することもできます。

    トレースをダウンロード

: 登録の失敗をデバッグするには、あらかじめ設定された間隔を指定してトレースを開始し、アクティベーションコードを入力し、登録のために送信します。

  • 登録に失敗した場合は、[ トレース情報 ] リンクをクリックして、[ トレース ] ダイアログボックスを表示し、トレースを停止し、トレースファイルをダウンロードできます。
  • 登録が成功すると、ダッシュボードコンソールが起動し、トレースはバックグラウンドで自動的に停止します。

重要:

  • トレースが完了する前に [トレース ] ウィンドウを閉じても、トレースは停止しません。トレースは、完了するまでバックグラウンドで実行され続けます。
  • トレースの進行中にブラウザを更新または閉じると、トレースが無期限に実行されないようにするには、[ トレース情報 ] リンクをクリックしてトレースを手動で停止する必要があります。このシナリオでは、[ トレース情報 ] リンクは、[ 停止 ] ボタンのみを表示し、[ ダウンロード ] ボタンは表示されません。したがって、キャプチャされたトレースをダウンロードできません。トレースを再度キャプチャするには、[ 新しいトレースを開始] をクリックします。

ログをダウンロードする

ダウンロードログオプションは、バージョン401.251からGateway Connectorで利用可能です。以前のバージョンのコネクタを使用していて、コネクタをバージョン 401.251 にアップグレードしても、[ログのダウンロード] リンクが使用可能であっても、ログをダウンロードできません。

ログをダウンロードする方法

  1. [ ログのダウンロード] をクリックします。

    [ ログをダウンロード ] リンクは、初めてを使用してコネクタをセットアップするときでも使用できます。

    ログファイルが生成されます。ログファイルの生成にはしばらく時間がかかります。ログファイルが生成されると、ダウンロードファイルへのリンクを含むメッセージが表示されます。

  2. [Download] をクリックします。.tgz ファイルがダウンロードされます。

ダウンロードフォルダ内のすべてのファイルは、暗号化された形式です。Citrix Cloudサポートチームにお問い合わせください。

Citrix Gateway Connectorの削除

Citrix Gateway Connectorを削除するには、次の手順を実行します。

  1. Citrix Cloudにサインインします。

  2. 画面の左上のメニューから「 リソースの場所 」を選択します。

  3. [リソースの場所] ページで、特定のリソースの場所の [ Gateway Connector ] をクリックします。

    リソースの場所-コネクタの選択

  4. 削除するGateway Connectorを選択し、省略記号メニューをクリックします。

    コネクタの削除

  5. [ コネクタを削除] を選択します。

    確認ダイアログボックスが開きます。

  6. [OK] をクリックします。

    : Gateway Connectorが [リソースの場所] ページから削除されるまでに数分かかる場合があります。また、Gateway Connectorがゲートウェイコントローラーから登録解除されるまでに時間がかかる場合があります。

Citrix Gateway Connector仮想マシンのシステムメモリをアップグレードする

Gateway Connectorの RAM サイズは、デフォルトで 2 GB です。したがって、最適なパフォーマンスを得るために、RAM サイズを 4 GB に増やすことをお勧めします。この推奨事項は、新規または既存のコネクタのインストールに適用されます。

高可用性を実現するために、リソースの場所ごとに 2 つのコネクタがある場合は、次の手順を実行してコネクタの仮想マシンをアップグレードします。

  1. ハイパーバイザーから、コネクタ仮想マシンの 1 つをシャットダウンします。
  2. ハイパーバイザーのタイプに応じて、仮想マシンのハードウェア構成または設定を編集します。
  3. [メモリ] タブに移動します。
  4. RAM サイズが 2,048 MB の場合は、4,096 MB に増やし、設定を保存します。
  5. 仮想マシンをパワーアップします。
  6. 2 番目のコネクタの仮想マシンでもこれらの手順を繰り返します。

重要:

停止を避けるために、一度に 1 つのコネクタをアップグレードしてください。

Citrix Gateway Connectorの継続的な可用性

各リソースの場所でCitrix Gateway Connectorの継続的な可用性を確保している限り、システム停止期間を回避するために、それらがインストールされているマシンを一度に1つずつ管理できます。

継続的な可用性を確保するために、各リソースの場所に複数のCitrix Gateway Connectorをインストールします。各リソースの場所に少なくとも2つのCloud Gateway Connectorを使用することをお勧めします。1つのCitrix Gateway Connectorがいつでも使用できない場合、他のCitrix Gateway Connectorは接続を維持できます。 利用可能なCitrix Gateway Connectorが1つある限り、Citrix Cloudとの通信は失われません。 Citrix Gateway Connectorは、リソースの場所ごとに制御され、24時間ごとに特定のメンテナンス期間中にアップグレードを制限できます。

負荷管理

各リソースの場所に複数のCitrix Gateway Connectorをインストールして、負荷を管理します。各Citrix Gateway Connectorはステートレスであるため、使用可能なすべてのCitrix Gateway Connectorに負荷を分散できます。この負荷分散機能を構成する必要はありません。この機能は自動化されています。