-
-
-
-
-
-
Citrix Endpoint Management、Citrix Virtual Apps、およびCitrix Virtual Desktops を使用した展開
-
Web Interfaceを使用したCitrix Virtual Apps and Desktops リソースへのアクセス
-
RDPプロキシ
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
RDPプロキシ
Citrix Gateway によるRDPプロキシの概要と機能拡張
以下のRDPプロキシ機能を使用すると、Citrix Gateway 経由でリモートデスクトップファームにアクセスできます。
-
CVPNまたはICAプロキシモード(フルトンネルなし)を介してRDPトラフィックを保護します。
-
Citrix Gateway を介してRDPサーバーへのシングルサインオン(SSO)。また、必要に応じてSSOを無効にするオプションも用意されています)。
-
適用(SmartAccess)機能。Citrix ADC管理者は、Citrix Gateway 構成を通じて特定のRDP機能を無効にできます。
-
すべてのニーズに対応するシングル/ステートレス(デュアル) Gatewayソリューション(VPN/ICA/RDP/Citrix Endpoint Management)。
-
カスタムクライアントを必要とせずに、RDP 用のネイティブ Windows MSTSC クライアントとの互換性。
-
Microsoftが提供する既存の RDP クライアントを MACOSX、iOS、Android で使用する。
導入の概要
次の図は、展開の概要を示しています。
RDPプロキシ機能は、Citrix Gateway の一部として提供されます。一般的な展開では、RDP クライアントはリモートユーザーのマシンで実行されます。Citrix Gateway アプライアンスはDMZ内に展開され、RDPサーバーファームは社内ネットワークにあります。リモートユーザーは、Citrix Gateway のパブリックIPアドレスに接続し、SSL VPN接続を確立し、自己認証を行います。その後、ユーザーはCitrix Gatewayアプライアンスを介してリモートデスクトップにアクセスできます。
RDPプロキシ機能は、CVPNおよびICAプロキシモードでサポートされています。
注: Citrix Gateway は、リモートデスクトップセッションホスト(RDSH)/リモートアプリケーション/RDSマルチユーザーRDPセッションをサポートしていません。
CVPN を介した配置
このモードでは、RDP リンクは、 Gatewayのホームページまたはポータルに、ブックマークとして、「Add vpn URL」構成を介して、または外部ポータル経由で公開されます。ユーザーは、これらのリンクをクリックして、リモートデスクトップにアクセスできます。
ICAプロキシによる展開
このモードでは、wihome パラメーターを使用して、 Gateway VIP にカスタムホームページが設定されます。このホームページは、ユーザーがアクセスできるリモートデスクトップリソースの一覧を使用してカスタマイズできます。このカスタムページは、Citrix ADC でホストできます。外部の場合は、既存の Gateway ポータルページの iFrame にすることができます。
どちらのモードでも、プロビジョニングされたRDPリンクまたはアイコンをクリックすると、対応するリソースに対するHTTPSリクエストがCitrix Gateway に到着します。 Gatewayは、要求された接続の RDP ファイルのコンテンツを生成し、クライアントにプッシュします。ネイティブ RDP クライアントが呼び出され、Gateway 上の RDP リスナーに接続します。Gateway は、適用(SmartAccess)をサポートすることにより、RDPサーバーへのSSOを実行します。SmartAccess では、Citrix ADC構成に基づいてゲートウェイが特定のRDP機能へのクライアントアクセスをブロックし、RDPクライアントとサーバー間のRDPトラフィックをプロキシします。
強制の詳細
Citrix ADC管理者は、Citrix Gateway 構成を使用して特定のRDP機能を設定できます。Citrix Gateway では、重要なRDPパラメーターに対して「RDP強制」機能が提供されます。Citrix ADCは、クライアントがブロックされたパラメータを有効にできないようにします。ブロックされたパラメータが有効になっている場合、RDP 強制機能はクライアント対応パラメータよりも優先され、これらのパラメータは考慮されません。
適用でサポートされる RDP パラメータ
次のリダイレクションパラメータの適用がサポートされています。これらは、RDP クライアントプロファイルの一部として構成できます。
-
クリップボードのリダイレクト
-
プリンタのリダイレクト
-
ディスクドライブのリダイレクト
-
COM ポートのリダイレクト
-
pnp デバイスのリダイレクト
接続フロー
接続フローは、次の 2 つのステップに分けることができます。
-
RDP リソースの列挙と RDP ファイルのダウンロード。
-
RDP 接続の起動。
上記の接続フローに基づいて、2 つの展開ソリューションがあります。
-
ステートレス(デュアル)Gateway ソリューション-RDPリソースの列挙とRDPファイルのダウンロードはオーセンティケータGateway を介して行われますが、RDP接続の起動はRDPリスナーGateway を介して行われます。
-
単一Gateway ソリューション-RDP リソース列挙、RDP ファイルのダウンロード、および RDP 接続の起動は、同じGateway を介して行われます。
ステートレス(デュアル) Gateway互換性
次の図は、展開を示しています。
-
ユーザはオーセンティケータゲートウェイ VIP に接続し、クレデンシャルを提供します。
-
Gateway へのログインに成功すると、ユーザーはホームページまたは外部ポータルにリダイレクトされ、ユーザーがアクセスできるリモートデスクトップリソースが列挙されます。
-
ユーザーが RDP リソースを選択すると、ユーザーがクリックした公開リソースを示す形式
https://vserver-vip/rdpproxy/rdptarget/listenerで、オーセンティケータゲートウェイ VIP によって要求が受信されます。この要求には、ユーザーが選択した RDP サーバーの IP アドレスとポートに関する情報が含まれます。 -
/rdpproxy/ 要求は、オーセンティケータゲートウェイによって処理されます。ユーザーはすでに認証されているため、このリクエストには有効な Gatewayクッキーが付属しています。
-
RDPTarget および RDPUser 情報は STA サーバーに格納され、STA チケットが生成されます。STAサーバに保存された情報は、構成済みの事前共有キーを使用して暗号化されます。オーセンティケータ Gateway は、 Gateway仮想サーバ上に構成されている STA サーバの 1 つを使用します。
-
/rdpproxy/要求で取得された「リスナー」情報は、「fulladdress」として.rdpファイルに格納され、STAチケット(STA認証IDが先頭に付属)は、「loadbalanceinfo」として.rdpファイルに格納されます。
-
.rdp ファイルは、クライアントエンドポイントに送り返されます。
-
ネイティブ RDP クライアントが起動し、RDPListener Gatewayに接続します。STA チケットを初期パケットで送信します。
RDPListener Gatewayは、STA チケットを検証し、RDPTarget および RDPUser の情報を取得します。使用する STA サーバーは、ロードバランス情報に存在する ‘AuthID’ を使用して取得されます。
シングル Gatewayの互換性
次の図は、展開を示しています。
単一Gateway 配置の場合、STA サーバーは必要ありません。オーセンティケータGateway は、RDPTargetとCitrix ADC AAAセッションCookieを安全にエンコードし、.rdpファイルに負荷分散情報として送信します。RDP クライアントが最初のパケットでこのトークンを送信すると、オーセンティケータ Gateway は RDPTarget 情報をデコードし、セッションを検索して RDPTarget に接続します。
RDP プロキシのライセンス要件
プレミアムエディション、アドバンスエディション
注: Gatewayプラットフォームライセンスのみまたは標準エディションのみをお持ちのお客様には、RDP Proxy 機能をご利用いただけません。
RDP プロキシが機能するには、RDP プロキシ機能を有効にする必要があります。
enable feature rdpProxy
<!--NeedCopy-->
構成の手順
構成手順の概要は、次のとおりです。
- 機能の有効化
- Gatewayポータルでブックマークを作成するか、RDPリソースを列挙するカスタマイズされたGatewayポータルを使用する
- RDP クライアントプロファイルの構成
- RDP サーバープロファイルの構成
必要な機能とモードを有効にする
-
enable ns feature ssl
-
enable ns feature sslvpn
-
enable ns feature rdpproxy
-
enable mode usnip
ブックマークの作成
-
RDP リソースにアクセスするために、ポータルページにブックマークを作成します (actualURL は rdp: // で始まります)。
-
vpn url
<urlName> <linkName> <actualURL>の追加- URL は、次の形式である必要があります:
rdp://<TargetIP:Port>。 -
ステートレス RDP プロキシモードの場合、URL は次の形式である必要があります:
rdp://<TargetIP:Port>/<ListenerIP:Port>。 - URL は、次の形式でポータルに公開されます:
https://<VPN-VIP>/rdpproxy/<TargetIP:Port>https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>。
- URL は、次の形式である必要があります:
-
ブックマークをユーザ、グループ、または vpn 仮想サーバ、または vpn グローバルにバインドします。
クライアントプロファイルの設定
オーセンティケータ Gateway でクライアントプロファイルを設定します。次に、設定例を示します。
add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->
RDP クライアントプロファイルを vpn vserver に関連付けます。
これは、sessionAction+sessionPolicy を設定するか、グローバル vpn パラメータを設定することによって実行できます。
例:
add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>
add vpn sessionpolicy <polname> NS_TRUE <actname>
bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
または
set vpn parameter –rdpClientprofile <name>
サーバプロファイルの設定
リスナーGateway でサーバープロファイルを設定します。
• add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>
rdpServer プロファイルは、「vpn 仮想サーバー」で構成する必要があります。
• add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>
構成例
-
必要な機能とモードを有効にする
-
enable ns feature ssl
-
enable ns feature sslvpn
-
enable ns feature rdpproxy
-
enable mode usnip
-
-
ターゲット情報を持つユーザーの VPN URL を追加する
add aaa user Administrator –password freebsd123$%^ add vpn url rdp RdpLink rdp://rdpserverinfo add dns addrec rdpserverinfo 10.102.147.132 bind aaa user Administrator –urlName rdp <!--NeedCopy--> -
VPN 接続用の RDP クライアントとサーバープロファイルを構成する
add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix add vpn vserver mygateway SSL 10.102.147.134 443 –rdpserverprofile p1 set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1 add ssl certKey gatewaykey -cert rdp_rootcert.pem -key rdp_rootkey bind ssl vserver mygateway -certkeyName gatewaykey <!--NeedCopy--> -
Citrix ADCからターゲットに接続するためのSNIPを追加
add ns ip 10.102.147.135 255.255.255.0 –type SNIP <!--NeedCopy-->
SSO を無効にするオプション
RDPプロキシを使用したSSO(シングルサインオン)機能は、Citrix ADCトラフィックポリシーを構成することで無効にできます。これにより、ユーザーは常に資格情報の入力を求められます。SSO が無効になっていると、RDP の適用 (SmartAccess) が機能しません。
設定例:
add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->
トラフィックポリシーは、要件に従って設定できます。次に、2 つの例を示します。
• すべてのトラフィックの SSO を無効にするには、次の手順を実行します。
add vpn trafficpolicy <TrafficPolicyName> "url contains rdpproxy" <TrafficActionName>
<!--NeedCopy-->
• 送信元/宛先 IP/FQDN に基づいて SSO を無効にするには
add vpn trafficPolicy <TrafficPolicyName> "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>
<!--NeedCopy-->
単一リスナーのサポート
-
RDP トラフィックと SSL トラフィックの両方に対する単一リスナー。
-
RDPファイルのダウンロードとRDPトラフィックは、Citrix ADC上の同じ2タプル(IPとポート)を介して処理できます。
ブックマーク
ポータル経由の RDP リンク生成。ユーザーの RDP リンクを構成したり、外部ポータル経由で RDP リンクを公開したりする代わりに、targerIP: Port を指定することで、ユーザーに独自の URL を生成するオプションを与えることができます。ステートレス RDP プロキシ展開の場合、管理者は RDP クライアントプロファイルの一部として FQDN: ポート形式で RDP リスナー情報を含めることができます。これは、rdpListener オプションの下で行われます。この構成は、デュアル Gatewayモードでポータルを介した RDP リンク生成に使用されます。
RDP プロキシの設定
RDP プロキシを設定するには、次の手順を実行します。
-
[Citrix Gateway]を展開し、[ ポリシー]を展開し、[RDP]を右クリックして[ 機能を有効にする]をクリックします。
-
左側の [RDP] をクリックします。右側の [ クライアントプロファイル ] タブに切り替えて、[ 追加 ] をクリックします。
-
クライアントプロファイルに名前を付け、必要に応じて構成します。下にスクロールする
-
[RDPホスト]フィールドに、RDPプロキシリスナーに解決するFQDNを入力します。これは通常、Citrix Gateway アプライアンスのFDQNと同じFQDNです。
-
下部付近には事前共有キーがあります。パスワードを入力し、[ OK] をクリックします。これは後で必要になります。
-
サーバプロファイルに名前を付けます。
-
これをバインドする Gateway仮想サーバーのIPアドレスを入力します。
-
RDP クライアントプロファイルに設定したのと同じ事前共有キーを入力します。[作成] をクリックします。
-
クライアントレスアクセスのポータルページにRDPブックマークを配置する場合は、左側で [Citrix Gateway]、[ リソース]、[ ブックマーク]の順に展開します。
-
右側の [ 追加] をクリックします。
-
ブックマークに名前を付けます。
-
URL には、「rdp: //IP または DNS を使用して MyRDPサーバ」と入力します。
-
[Citrix Gatewayをリバースプロキシとして使用]の横にあるチェックボックスをオンにし、[作成]をクリックします。
-
必要に応じて、さらにブックマークを作成します。
-
セッションプロファイルまたはポリシーを作成または編集します。
-
[セキュリティ] タブで、[ 既定の承認操作 ] を [ 許可 ] に設定します。または、承認ポリシーを使用してアクセスを制御することもできます。
-
[リモートデスクトップ] タブで、前に作成した RDP クライアントプロファイルを選択します。
-
ブックマークを使用する場合は、[ クライアントエクスペリエンス ] タブで、[ クライアントレスアクセス ] を [オン ] に設定します。
-
[ 公開アプリケーション ] タブで、 ICAプロキシがOFF になっていることを確認します。
-
Gateway仮想サーバーを変更または作成します。
-
[ 基本設定] セクションで、[ 詳細 ] をクリックします。
-
RDP サーバープロファイルリストを使用して、前に作成した RDP サーバープロファイルを選択します。
-
下にスクロールします。[ ICAのみ] がオフになっていることを確認します。
-
証明書をバインドします。
-
バインド認証ポリシー。
-
RDP クライアントプロファイルが設定されているセッションポリシー/プロファイルをバインドします。
-
ブックマークは、Citrix Gateway仮想サーバーまたはCitrix ADC AAAグループにバインドできます。Citrix Gateway 仮想サーバーにバインドするには、右側の[詳細設定]セクションで[ 公開アプリケーション]をクリックします。
![[公開アプリケーション] をクリックします。](/en-us/citrix-gateway/media/Figure24_PublishedApplications.png)
-
左側の [ 公開アプリケーション ] セクションで、[ URL なし ] をクリックします。
-
ブックマークをバインドします。
-
このCitrix Gateway 仮想サーバーにはICAのみが指定されていないため、Citrix Gatewayユニバーサルライセンスが正しく構成されていることを確認してください。左側で Citrix Gateway を展開し、[ グローバル設定] をクリックします。
-
右側の [ 認証 AAA 設定の変更] をクリックします。
-
[ 最大ユーザー数] をライセンス制限に変更します。
-
DNS を使用して RDP サーバーに接続する場合は、アプライアンスで DNS サーバーが設定されていることを確認します(トラフィック管理 > DNS > ネームサーバー)。
-
FQDN の代わりに短い名前を使用する場合は、DNS サフィックスを追加します ([トラフィック管理] > [DNS] > [DNS サフィックス])。
-
Gatewayに接続してログオンします。
-
ブックマークを設定した場合は、 **ブックマーク**をクリックします。
-
アドレスバーを /rdpproxy/MyRDPServerに変更することができます。IP アドレス (例:rdpproxy/192.168.1.50) または DNS 名 (/rdpproxy/myserver) を入力できます。
-
ダウンロードした.rdp ファイルを開きます。
-
Citrix Gateway ポリシー]>[RDP]の順に選択して、現在接続しているユーザーを表示できます。 **右側は [ **接続 ] タブです。
![[接続] タブをクリックします。](/en-us/citrix-gateway/media/Figure35_Connections.png)
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.