Unified Gateway に関する FAQ

Unified Gateway とは **

Unified Gateway は、Citrix ADC 11.0リリースの新機能であり、単一の仮想サーバー(Unified Gateway 仮想サーバーと呼ばれます)でトラフィックを受信し、必要に応じてそのトラフィックを内部的に転送して、Unified Gateway 仮想サーバーにバインドされた仮想サーバーに転送する機能を提供します。

Unified Gateway 機能を使用すると、エンドユーザは、単一の IP アドレスまたは URL(Unified Gateway 仮想サーバに関連付けられている)を使用して複数のサービスにアクセスできます。管理者は、IPアドレスを解放し、Citrix Gateway 展開の構成を簡素化できます。

各Unified Gateway 仮想サーバーは、1台のCitrix Gateway 仮想サーバーをフロントエンドできます。また、フォーメーションの一環として、ゼロ個以上の負荷分散仮想サーバーをフロントエンドできます。Unified Gateway は、Citrix ADCアプライアンスのコンテンツスイッチング機能を利用して機能します。

Unified Gateway の配置の例を次に示します。

  • Unified Gateway 仮想サーバー-> [1つのCitrix Gateway 仮想サーバー]
  • Unified Gateway 仮想サーバー-> [Citrix Gateway 仮想サーバー1つ、負荷分散仮想サーバー1つ]
  • Unified Gateway 仮想サーバー-> [Citrix Gateway 仮想サーバー1台、負荷分散仮想サーバー2台]
  • Unified Gateway 仮想サーバー-> [Citrix Gateway 仮想サーバー1台、負荷分散仮想サーバー3台]

各負荷分散仮想サーバーには、Microsoft ExchangeやCitrix ShareFileなどのバックエンドサービスをホストする標準の負荷分散サーバーを使用できます。

Unified Gateway を使用する理由 **

Unified Gateway 機能を使用すると、エンドユーザは、単一の IP アドレスまたは URL(Unified Gateway 仮想サーバに関連付けられている)を使用して複数のサービスにアクセスできます。管理者は、IPアドレスを解放し、Citrix Gateway 展開の構成を簡素化できるという利点があります。  

複数のUnified Gateway 仮想サーバを使用できますか。 **

はい。Unified Gateway 仮想サーバは必要な数だけ存在できます。

Unified Gatewayでコンテンツスイッチングが必要なのはなぜですか。 **

コンテンツスイッチング仮想サーバは、トラフィックを受信し、内部的に適切な仮想サーバに送信するため、コンテンツスイッチング機能が必要です。コンテンツスイッチング仮想サーバは、Unified Gateway 機能のプライマリコンポーネントです。

11.0 より前のリリースでは、コンテンツスイッチングを使用して、複数の仮想サーバのトラフィックを受信できます。その使用はUnified Gateway とも呼ばれていますか。 **

複数の仮想サーバのトラフィックを受信するためのコンテンツスイッチング仮想サーバの使用は、11.0 より前のリリースでサポートされています。ただし、コンテンツスイッチングでは、Citrix Gateway 仮想サーバーにトラフィックを送信できませんでした。

11.0の機能強化により、コンテンツスイッチング仮想サーバーはCitrix Gateway 仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます。

Unified Gateway のコンテンツスイッチングポリシーで何が変わったのですか。 **

1. コンテンツスイッチングアクションに新しいコマンドラインパラメータ「-targetVserver」が追加されました。新しいパラメーターは、ターゲットのCitrix Gateway 仮想サーバーを指定するために使用されます。例:

アクション UG_CSACT_MyUG ターゲットVサーバ UG_VPN_MyUG を追加

Citrix Gateway 構成ユーティリティでは、コンテンツスイッチング操作に、Citrix Gateway仮想サーバーを参照できる「ターゲット仮想サーバー」という新しいオプションが追加されました。

2. 新しい高度なポリシー表現is_vpn_urlを使用して、Citrix Gateway および認証固有の要求を照合できます。

Unified Gateway では現在サポートされていないCitrix Gatewayの機能は何ですか? **

Unified Gateway では、すべての機能がサポートされています。ただし、VPN プラグインを介したネイティブログオンでは、マイナーな問題 (問題 ID 544325) が報告されています。この場合、シームレスなシングルサインオン (SSO) は機能しません。

Unified Gateway では、EPA スキャンの動作はどのようなものですか。 **

Unified Gateway では、エンドポイント分析はCitrix Gateway のアクセス方法でのみトリガーされ、AAA-TMアクセスではトリガーされません。Citrix Gateway 仮想サーバーで認証が行われた場合でも、ユーザーがAAA-TM仮想サーバーにアクセスしようとすると、EPAスキャンはトリガーされません。ただし、ユーザがクライアントレス VPN/フル VPN アクセスを取得しようとすると、設定された EPA スキャンがトリガーされます。この場合、認証またはシームレスな SSO のいずれかが実行されます。

セットアップ

Unified Gateway のライセンス要件はどのようなものですか。 **

Unified Gateway は、アドバンストライセンスとプレミアムライセンスでのみサポートされます。Citrix Gateway のみまたは標準ライセンスエディションでは使用できません。

Unified Gateway で使用されるCitrix Gateway仮想サーバーには、IP/ポート/SSL構成が必要ですか? **

Unified Gateway 仮想サーバーで使用されるCitrix Gateway仮想サーバーの場合、Citrix Gateway 仮想サーバー上でIP/ポート/SSL構成は必要ありません。ただし、RDPプロキシ機能では、同じSSL/TLSサーバー証明書をCitrix Gateway 仮想サーバーにバインドできます。

Unified Gateway 仮想サーバーで使用するために、Citrix Gateway 仮想サーバー上にあるSSL/TLS証明書を再プロビジョニングする必要がありますか? **

現在Citrix Gateway 仮想サーバーにバインドされている証明書を再プロビジョニングする必要はありません。既存の SSL 証明書は自由に再利用でき、これらを Unified Gateway 仮想サーバにバインドできます。

単一URLとマルチホスト展開の違いは何ですか? どちらが必要ですか? **

単一の URL とは、Unified Gateway 仮想サーバが 1 つの完全修飾ドメイン名 (FQDN) のトラフィックを処理する機能です。この制限は、Unified Gateway が、FQDN が設定された証明書のサブジェクトを持つ SSL/TLS サーバ証明書を使用する場合に発生します。たとえば、次のように入力します。

ただし、Unified Gateway がワイルドカードサーバ証明書を使用している場合、複数のサブドメインのトラフィックを処理できます。例:*.citrix.com

もう 1 つのオプションは、複数の SSL/TLS サーバー証明書のバインドを可能にするサーバー名インジケータ (SNI) 機能を持つ SSL/TLS 構成です。例:オーサトリックス、オーサトリックス、オーサトリックス、オーサトリックス

単一ホストと複数ホストは、Web サイトが Web サーバー (Apache HTTP サーバーや Microsoft インターネットインフォメーションサービス (IIS) など) でホストされる方法に似ています。ホストが 1 つある場合は、Apache でエイリアスまたは「仮想ディレクトリ」を使用する場合と同じ方法で、サイトパスを使用してトラフィックを切り替えることができます。複数のホストがある場合は、Apache で仮想ホストを使用する方法と同様に、ホストヘッダーを使用してトラフィックを切り替えます。

認証

Unified Gateway ではどのような認証メカニズムを使用できますか。 **

Citrix Gateway で動作する既存の認証メカニズムはすべて、Unified Gateway で動作します。

これには、LDAP、RADIUS、SAML、Kerberos、証明書ベースの認証などがあります。

Citrix Gateway仮想サーバーがUnified Gateway 仮想サーバーの背後に配置されるときに、アップグレードが自動的に使用される前に、Citrix Gateway仮想サーバー上で構成されている認証メカニズム。アドレス指定できないIPアドレス(0.0.0.0)をCitrix Gateway 仮想サーバーに割り当てる以外に、追加の構成手順は必要ありません。

「自己認証」認証とは何ですか? **

SelfAuth は認証タイプではありません。SelfAuth は、URL の作成方法を記述します。VPN URL 設定では、新しいコマンドラインパラメータ ssotype を使用できます。例:

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth は、ssotype パラメータの値の 1 つです。このタイプの URL を使用して、Unified Gateway 仮想サーバと同じドメイン内にないリソースにアクセスできます。この設定は、ブックマークを設定するときに構成ユーティリティに表示されます。

「ステップアップ」認証」とは何ですか? **

AAA-TM リソースへのアクセスに、さらに安全なレベルの認証が必要な場合は、StepUp 認証を使用できます。コマンドラインで authnProfile コマンドを使用して、認証レベルパラメータを設定します。例:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

この認証プロファイルは、負荷分散仮想サーバーにバインドされます。

ステップアップ認証は AAA-TM 仮想サーバでサポートされていますか。 **

はい、サポートされています。

一度ログイン/ログアウトとは何ですか? **

1回ログインする:VPNユーザーは、AAA-TMまたはCitrix Gateway 仮想サーバーに1回ログインします。その後、VPNユーザーはすべてのエンタープライズ/クラウド/Webアプリケーションにシームレスにアクセスできます。ユーザーを再認証する必要はありません。ただし、再認証は、AAA-TM StepUp などの特殊な場合に行われます。

一度ログアウトする:最初のAAA-TMセッションまたはCitrix Gateway セッションが作成されると、そのユーザーの後続のAAA-TMセッションまたはCitrix Gatewayセッションの作成に使用されます。これらのセッションのいずれかがログアウトされると、Citrix ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします。

共通認証ポリシーは、ロードバランシング仮想サーバレベルで AAA-TM ロードバランシング仮想サーバ固有の認証バインドを使用して Unified Gateway レベルで指定できますか。このユースケースをサポートするための構成手順は何ですか? **

Unified Gateway の背後にある AAA-TM 仮想サーバに対して個別の認証ポリシーを指定する必要がある場合は、別個のアドレス指定可能な認証仮想サーバが必要です(通常の AAA-TM 設定と同様)。負荷分散仮想サーバーの認証ホストの設定は、この認証仮想サーバーを指している必要があります。

バインドされた AAA-TM 仮想サーバに独自の認証ポリシーが設定されるように、Unified Gateway をどのように設定しますか。 **

このシナリオでは、ロードバランシングサーバに、AAA-TM 仮想サーバを指すように認証 FQDN オプションが設定されている必要があります。AAA-TM仮想サーバーは独立したIPアドレスを持っており、Citrix ADCおよびクライアントから到達可能である必要があります。

Unified Gateway 仮想サーバを経由するユーザを認証するには、AAA-TM 認証仮想サーバが必要ですか。 **

いいえ。 Citrix Gateway 仮想サーバーは、AAA-TMユーザーも認証します。

Citrix Gateway 認証ポリシーは、Unified Gateway 仮想サーバーとCitrix Gateway仮想サーバーのどちらで指定しますか? **

認証ポリシーは、Citrix Gateway 仮想サーバーにバインドされます。

Unified Gateway コンテンツスイッチング仮想サーバの背後にある AAA-TM 仮想サーバで認証を有効にするにはどうすればよいですか。 **

AAA-TM で認証を有効にし、認証ホストをUnified Gateway コンテンツスイッチング FQDN にポイントします。

AAA-Traffic Management

コンテンツスイッチングの背後にTM仮想サーバーを追加するにはどうすればよいですか(単一URLとマルチホスト)? **

単一の URL に AAA-TM 仮想サーバを追加することと、複数のホストに追加することには違いはありません。いずれの場合も、仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます。単一の URL とマルチホストの違いは、コンテンツスイッチングポリシールールによって実装されます。

仮想サーバが Unified Gateway 仮想サーバの背後に移動された場合、AAA-TM ロードバランシング仮想サーバにバインドされた認証ポリシーはどうなりますか。 **

認証ポリシーは認証仮想サーバーにバインドされ、認証仮想サーバーは負荷分散仮想サーバーにバインドされます。Unified Gateway 仮想サーバーの場合、Citrix Gateway仮想サーバーを単一の認証ポイントとして使用することをお勧めします。これにより、認証仮想サーバー上で認証を実行する必要がなくなります(または特定の認証仮想サーバーを使用する必要もあります)。認証ホストをUnified Gateway 仮想サーバーFQDNにポイントすると、認証がCitrix Gateway 仮想サーバーによって行われることが保証されます。Unified Gateway のコンテンツスイッチングを認証ホストにポイントしても、認証仮想サーバがバインドされている場合、認証仮想サーバにバインドされた認証ポリシーは無視されます。ただし、認証ホストをアドレス指定可能な独立した認証仮想サーバーに指定すると、バインドされた認証ポリシーが有効になります。

AAA-TM セッションのセッションポリシーをどのように設定しますか。 **

Unified Gateway で、AAA-TM仮想サーバーに認証仮想サーバーが指定されていない場合、AAA-TMセッションはCitrix Gateway セッションポリシーを継承します。認証仮想サーバが指定されている場合、その仮想サーバにバインドされた AAA-TM セッションポリシーが適用されます。

ポータルのカスタマイズ

Citrix ADC 11.0でのCitrix Gatewayポータルへの変更は何ですか? **

Citrix ADCリリース11.0より前のバージョンでは、単一のポータルのカスタマイズをグローバルレベルで設定できます。特定のCitrix ADCアプライアンスのすべてのGateway 仮想サーバーは、グローバルポータルのカスタマイズを使用します。

Citrix ADC 11.0では、ポータル・テーマ機能を使用して、複数のポータル・テーマを設定できます。テーマは、グローバルにバインドすることも、特定の仮想サーバーにバインドすることもできます。

Citrix ADC 11.0は、Citrix Gateway ポータルのカスタマイズをサポートしていますか? **

構成ユーティリティーを使用すると、新しいポータル・テーマ機能を使用して、新しいポータル・テーマを完全にカスタマイズおよび作成できます。異なる画像をアップロードしたり、カラースキームを設定したり、テキストラベルを変更したりすることができます。

カスタマイズ可能なポータル・ページは次のとおりです。

  • ログインページ
  • エンドポイント分析ページ
  • エンドポイント分析エラーページ
  • ポストエンドポイント分析ページ
  • VPN 接続ページ
  • ポータルのホームページ

このリリースでは、Citrix Gateway 仮想サーバーを独自のポータル設計でカスタマイズできます。

ポータル・テーマは、Citrix ADC 高可用性またはクラスター展開でサポートされていますか? **

はい。ポータルのテーマは、Citrix ADC 高可用性およびクラスター展開でサポートされています。

Citrix ADC 11.0のアップグレードプロセスの一部としてカスタマイズが移行されますか? **

いいえ。 rc.conf/rc.netscalerファイルの変更または10.1/10.5のカスタムテーマ機能を使用して呼び出されるCitrix Gateway ポータルページの既存のカスタマイズは、Citrix ADC 11.0へのアップグレード時に自動的に移行されません。

Citrix ADC 11.0でポータル・テーマの準備のために従うべきアップグレード前の手順はありますか? **

既存のカスタマイズはすべて、rc.conf ファイルまたは rc.netscaler ファイルから削除する必要があります。

もう 1 つのオプションは、カスタムテーマを使用する場合は、[既定] の設定を割り当てる必要があることです。

構成]> Citrix Gateway >[グローバル設定]に移動します。

[ グローバル設定の変更] をクリックします。[ クライアントエクスペリエンス ] をクリックし、[ UI テーマ ] ドロップダウンリストから [ デフォルト ] を選択します。

私は、rc.confまたはrc.netscalerによって呼び出されるCitrix ADCインスタンスに保存されているカスタマイズを持っています。ポータル・テーマに移動する方法 **

Citrix ADC ナレッジセンターの記事CTX126206では、Citrix ADC 9.3と10.0のビルド73.5001.eまで、このような構成の詳細をリリースします。Citrix ADC 10.0は10.0 73.5002.e(10.1および10.5を含む)をビルドするため、UITHEMEカスタムパラメータを使用すると、再起動後もカスタマイズを維持できます。カスタマイズがCitrix ADCハードドライブに保存されていて、これらのカスタマイズを引き続き使用する場合は、11.0のGUIファイルをバックアップし、既存のカスタムテーマファイルに挿入します。ポータル・テーマに移動する場合は、まず、「クライアント・エクスペリエンス」の「グローバル設定」または「セッション・プロファイル」の「UITHEME」パラメーターの設定を解除する必要があります。または、デフォルトまたはグリーンバブルに設定することもできます。その後、ポータル・テーマの作成とバインドを開始できます。

Citrix ADC 11.0にアップグレードする前に、現在のカスタマイズをエクスポートして保存するにはどうすればよいですか? エクスポートしたファイルを別のCitrix ADCアプライアンスに移動できますか? **

ns_gui_custom フォルダにアップロードされたカスタマイズされたファイルは、ディスク上にあり、アップグレード後も保持されます。ただし、これらのファイルは、新しいCitrix ADC 11.0カーネルおよびカーネルの一部である他のGUIファイルと完全には互換性がない場合があります。したがって、11.0のGUIファイルをバックアップし、バックアップをカスタマイズすることをお勧めします。

さらに、構成ユーティリティーには、ns_custom_guiフォルダーを別のCitrix ADCアプライアンスにエクスポートするユーティリティーはありません。Citrix ADCインスタンスからファイルを削除するには、SSHまたはWinSCPなどのファイル転送ユーティリティを使用する必要があります。

ポータル・テーマは AAA-TM 仮想サーバーでサポートされていますか? **

はい。ポータルテーマは、AAA-TM 仮想サーバーでサポートされています。

RDPプロキシ

Citrix Gateway 11.0のRDPプロキシで何が変更されましたか? **

Citrix ADC 10.5.e拡張リリース以降、RDPプロキシには多くの機能が強化されています。Citrix ADC 11.0 では、この機能は最初にリリースされたビルドから利用できます。

ライセンスの変更

Citrix ADC 11.0のRDPプロキシ機能は、プレミアムエディションとアドバンスエディションでのみ使用できます。Citrix 同時ユーザー(CCU)ライセンスは、ユーザーごとに取得する必要があります。

コマンドを有効にする

Citrix ADC 10.5.eでは、RDPプロキシを有効にするコマンドはありませんでした。Citrix ADC 11.0では、次のコマンドが追加されました。

フィーチャー rdpproxy の有効化

このコマンドを実行するには、機能のライセンスが必要です。

その他の RDP プロキシの変更

サーバプロファイルの PSK(事前共有キー)属性が必須になりました。

RDPプロキシ用の既存のCitrix ADC 10.5.e構成をCitrix ADC 11.0に移行するには、以下の詳細を理解し、対処する必要があります。

管理者が既存の RDP プロキシ設定を選択したUnified Gateway 配置に追加する場合は、次の手順を実行します。

  • Citrix Gateway 仮想サーバーのIPアドレスを編集し、アドレス指定できないIPアドレス(0.0.0.0)に設定する必要があります。
  • SSL/TLSサーバー証明書、認証ポリシーは、選択したUnified Gateway 構成の一部であるCitrix Gateway way仮想サーバーにバインドする必要があります。

Citrix ADC 10.5.eに基づくリモートデスクトッププロトコル(RDP)プロキシ構成をCitrix ADC 11.0に移行するにはどうすればよいですか? **

オプション1:プレミアムライセンスまたはアドバンスライセンスを使用して、既存のCitrix Gateway 仮想サーバーをRDPプロキシ構成のままにします。

オプション2:既存のCitrix Gateway 仮想サーバーをRDPプロキシ構成で移動し、Unified Gateway 仮想サーバーの背後に配置します。

オプション3:RDPプロキシ構成を持つスタンドアロンのCitrix Gateway 仮想サーバーを既存の標準エディションアプライアンスに追加します。

Citrix ADC 11.0リリースを使用して、RDPプロキシ構成用にCitrix Gatewayをどのようにセットアップしますか? **

NS 11.0 リリースを使用して RDP プロキシを展開するには、次の 2 つのオプションがあります。

1)外部に面したCitrix Gateway 仮想サーバーを使用する。これには、Citrix Gateway 仮想サーバーの外部から見えるIPアドレス/FQDNが1つ必要です。このオプションは、Citrix ADC 10.5.eで利用できるものです。

2) Citrix Gateway仮想サーバーのフロントエンドのUnified Gateway 仮想サーバーを使用する。

オプション2では、アドレス指定不可能なIPアドレス(0.0.0.0)を使用するため、Citrix Gateway 仮想サーバーは独自のIPアドレス/FQDNを必要としません。

他のCitrix ソフトウェアとの統合

HDX InsightはUnified Gateway と連携しますか? **

Citrix Gateway をUnified Gateway で展開する場合、Citrix Gateway 仮想サーバーには有効なSSL証明書がバインドされている必要があります。また、HDX Insight レポート用にCitrix ADCInsight Center 用のAppFlowレコードを生成するには、その証明書がUP状態である必要があります。

既存のHDX Insight構成を移行するにはどうすればよいですか? **

移行は不要です。Citrix Gateway 仮想サーバーにバインドされたAppFlowポリシーは、そのCitrix Gateway仮想サーバーがUnified Gateway 仮想サーバーの背後に配置されている場合に引き継がれます。

Citrix Gateway 仮想サーバーのCitrix ADC Insight Center にある既存のデータについては、次の2つの可能性があります。

  • Citrix Gateway 仮想サーバーのIPアドレスが、Unified Gateway への移行の一環としてUnified Gateway 仮想サーバーに割り当てられている場合、データはCitrix Gateway仮想サーバーにリンクされたままになります。
  • Unified Gateway 仮想サーバーに別のIPアドレスが割り当てられている場合、Citrix Gateway 仮想サーバーのAppFlowデータはその新しいIPアドレスにリンクされます。したがって、既存のデータは新しいデータの一部にはなりません。