AlwaysON

Citrix GatewayのAlwaysON機能を使用すると、ユーザーは常に企業ネットワークに接続できます。この永続的な VPN 接続は、VPN トンネルの自動確立によって実現されます。

AlwaysON 機能は、Citrix ADC 12.0 ビルド 51.24 以降のキャプティブポータルをサポートします。

AlwaysONにするタイミング

AlwaysON は、ユーザーの位置に基づいてシームレスな VPN 接続を提供し、VPN に接続していないユーザーによるネットワークアクセスを防止する必要がある場合に使用します。  

次のシナリオは、AlwaysON の使用方法を示しています。  

  • 従業員は、企業ネットワークの外部でラップトップを起動し、VPN 接続を確立するための支援を必要としています。
    解決策: ラップトップが企業ネットワークの外部で起動されると、AlwaysON はトンネルをシームレスに確立し、VPN 接続を提供します。
  • VPN 接続を使用する従業員は、企業ネットワークに移行します。従業員は企業ネットワークに切り替えられますが、VPN トンネルに接続されたままですが、これは望ましい状態ではありません。
    解決策: 従業員が企業ネットワークに移行すると、AlwaysOn は VPN トンネルを切断し、従業員を企業ネットワークにシームレスに切り替えます。
  • 従業員が企業ネットワークの外に移動して、ラップトップを閉じます (シャットダウンしません)。従業員は、ラップトップで作業を再開する際、VPN接続を確立するための支援を必要とします。
    解決策:従業員が企業ネットワークの外に移動すると、AlwaysON はトンネルをシームレスに確立し、VPN 接続を提供します。
  • ある企業は、VPN トンネルに接続されていないユーザに対して提供されるネットワークアクセスを規制したいと考えています。
    解決方法: 設定に応じて、AlwaysON はアクセスを制限し、ユーザーはGateway ネットワークのみにアクセスできるようにします。

AlwaysON フレームワークについて

AlwaysON は、クライアントが以前に確立した VPN トンネルにユーザを自動的に接続します。ユーザーが初めてVPNトンネルを必要とする場合、ユーザーはCitrix Gateway のURLに接続してトンネルを確立する必要があります。AlwaysON 設定がクライアントにダウンロードされた後、この設定はトンネルのその後の確立を駆動します。

Citrix Gateway クライアント実行可能ファイルは、常にクライアントマシンで実行されます。ユーザーがログオンしたりネットワークが変更されたりすると、Citrix Gateway クライアントはユーザーのラップトップが企業ネットワーク上にあるかどうかを判断します。場所と構成に応じて、Citrix Gateway クライアントはトンネルを確立するか、既存のトンネルを切断します。

トンネルの確立は、ユーザーがコンピューターにログオンした後にのみ開始されます。Citrix Gateway クライアントは、クライアントマシンの資格情報を使用してGatewayサーバーとの認証を行い、トンネルの確立を試みます。

トンネルの自動再確立

VPNトンネルがCitrix Gateway によって切断されると、トンネルの自動再確立がトリガーされます。

エンドポイント分析の失敗で、Citrix Gateway クライアントはトンネルの確立を再試行しませんが、エラーメッセージを表示します。認証に失敗した場合、Citrix Gateway クライアントはユーザーに資格情報の入力を要求します。

シームレスなトンネル確立でサポートされるユーザ認証方式

サポートされているユーザー認証方法は次のとおりです。

  • ユーザー名とADパスワード:認証にWindowsのユーザー名とパスワードが使用されている場合、Citrix Gateway クライアントはこれらの資格情報を使用してトンネルをシームレスに確立します。
  • ユーザー証明書:認証にユーザー証明書が使用され、マシン上に証明書が1つしかない場合、Citrix Gateway クライアントはこの証明書を使用してトンネルをシームレスに確立します。複数のクライアント証明書がインストールされている場合、ユーザが優先証明書を選択した後にトンネルが確立されます。Citrix Gateway クライアントは、後で確立されたトンネルに対してこの設定を使用します。
  • ユーザー証明書とユーザー名 + AD パスワード:この認証方法は、前述の認証方法の組み合わせです。

その他の認証メカニズムはすべてサポートされていますが、トンネルの確立は他の認証方式に対してシームレスではありません。他のすべての認証方法では、ユーザーの介入が必要です。

AlwaysON の設定要件

エンタープライズ管理者は、管理対象デバイスに対して次のことを強制する必要があります。

  • 特定の構成のプロセス/サービスを終了できないこと
  • ユーザーが特定の構成のためにパッケージをアンインストールできないこと
  • ユーザーは特定のレジストリエントリを変更できません

管理対象外のデバイスの場合と同様に、ユーザーが管理権限を持っている場合、この機能は期待どおりに機能しないことがあります。

AlwaysON 機能を有効にする際の考慮事項

AlwaysON 機能を有効にする前に、次のセクションを確認してください。

プライマリネットワークアクセス:トンネルが確立されると、企業ネットワークへのトラフィックはスプリットトンネルの構成に基づいて決定されます。この動作をオーバーライドするための追加の設定は提供されません。

クライアントマシンのプロキシ設定:クライアントマシンのプロキシ設定は、Gateway サーバーへの接続時に無視されます。

Citrix ADCアプライアンスのプロキシ構成は無視されません。クライアントマシンのプロキシ設定のみが無視されます。システムにプロキシが設定されているユーザには、VPN プラグインがプロキシ設定を無視したことが通知されます。

構成値が「拒否」に設定されている場合、次の変更が適用されます。

  • クライアント UI-プラグインのコンテキストメニューとプラグイン UI の [ログオフ] オプションと [終了] オプションが無効になります。ユーザーは Gateway URL を変更できません。
  • ブラウザのログオン-別のGateway へのブラウザのログオンは許可されていません。クライアントコントロールは無効です。

AlwaysONの構成

AlwaysONを構成するには、Citrix Gateway wayアプライアンスでAlwaysOnプロファイルを作成し、プロファイルを適用します。

AlwaysOn プロファイルを作成するには、次の手順に従います。

  1. Citrix ADC GUIで、[ 構成]>[Citrix Gateway]>[ポリシー]>[AlwaysON]の順に選択します。
  2. [AlwaysON プロファイル] ページで、[ 追加] をクリックします。
  3. [AlwaysON プロファイルの作成] ページで、次の詳細を入力します。
    • [ 名前] — プロファイルの名前。
    • ロケーションベースの VPN — 次のいずれかの設定を選択します。
      • [ リモート ]: クライアントが企業ネットワーク内にあるかどうかを検出し、企業ネットワーク内にない場合はトンネルを確立できるようにします。これがデフォルトの設定です。
      • クライアントの場所に関係なく、クライアントが場所の検出をスキップしてトンネルを確立できるようにする場所
    • クライアント制御 」— 次のいずれかの設定を選択します。
      • ユーザーがログオフして別のGateway に接続できないようにするには、[拒否 ] をクリックします。これがデフォルトの設定です。
      • ユーザーがログオフして別のGatewayに接続できるようにすることを許可します。
    • 「VPNでのネットワークアクセス障害 」— 次のいずれかの設定を選択します。
      • [ フルアクセス] : トンネルが確立されていないときに、クライアントとの間でネットワークトラフィックが送受信されるようにします。これがデフォルトの設定です。
      • トンネルが確立されていないときに、クライアントとの間でネットワークトラフィックが流れるのを防ぐには、[ Gatewayへのみ]を選択します。ただし、 Gateway IP アドレスとの間で送受信されるトラフィックは許可されます。
  4. [ 作成 ] をクリックして、プロファイルの作成を終了します。

AlwaysOn プロファイルを適用するには、次の手順に従います。

  1. Citrix ADCインターフェイスで、[ 構成]> Citrix Gateway >[グローバル設定]を選択します。
  2. [グローバル設定] ページで、[ グローバル設定の変更] リンクをクリックし、[ クライアントエクスペリエンス ] タブを選択します。
  3. [ AlwaysON プロファイル名 ] ドロップダウンメニューから、新しく作成したプロファイルを選択し、[ OK ] をクリックします。

同様の構成は、グループレベル、サーバーレバー、またはユーザーレベルでポリシーを適用するために、セッションプロファイルで行うことができます。

管理ユーザと非管理者ユーザに対するさまざまな設定の動作の要約

次の表は、さまざまな構成の動作をまとめたものです。また、AlwaysON 機能に影響を与える可能性のある特定のユーザー操作の可能性についても詳しく説明します。

networkAccessONVPNFailure クライアント制御 管理者以外のユーザー 管理者ユーザー
fullaccess 許可 トンネルは自動的に確立されます。ユーザーはログオフしてネットワークから離れることができます。ユーザーは、別のCitrix Gateway をポイントすることもできます。 トンネルは自動的に確立されます。ユーザーはログオフして、エンタープライズネットワークから離れたままにすることができます。ユーザーは、別のCitrix Gateway をポイントすることもできます。
fullaccess 禁止 トンネルが自動的に確立されます。ユーザーがログオフしたり、別のCitrix Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーは、Citrix Gateway クライアントをアンインストールしたり、別のCitrix Gatewayに移動したりできます。
onlyToGateway 許可 トンネルは自動的に確立されます。ユーザーはログオフできます(ネットワークアクセスなし)。ユーザーは、別のCitrix Gateway をポイントすることもできます。この場合、アクセスは新しくポイントされたCitrix Gatewayにのみ与えられます。 トンネルは自動的に確立されます。ユーザーは、Citrix Gateway クライアントをアンインストールしたり、別のCitrix Gatewayに移動したりできます。
onlyToGateway 禁止 トンネルが自動的に確立されます。ユーザーがログオフしたり、別のCitrix Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーは、Citrix Gateway クライアントをアンインストールしたり、別のCitrix Gatewayに移動したりできます。

AlwaysOn がダウンしているときに URL をホワイトリストに登録する

AlwaysONがダウンし、ネットワークがロックされている場合でも、ユーザーはいくつかのWebサイトにアクセスできます。管理者は AlwaysOnWhitelist レジストリを使用して、AlwaysOn が停止しているときにアクセスを有効にする Web サイトを追加できます。

注:

  • AlwaysOnWhitelist レジストリは、リリース 13.0 ビルド 47.x 以降でサポートされています。
  • AlwaysOnWhitelistレジストリの場所はComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client。
  • Wildcard URLs/FQDNsはAlwaysOnWhitelistレジストリでサポートされていません。

AlwaysOnWhitelistレジストリを設定するには

AlwaysOnWhitelist レジストリに、アクセスを許可する FQDN、IP アドレス範囲、または IP アドレスのセミコロン区切りのリストを設定します。

例: mycompany.com-mycdn.com-10.120.67.0-10.120.67.255,67.67.67.67

次の図は、 AlwaysOnWhitelist レジストリのサンプルを示しています。

Alwaysonwhitelist-registry