Citrix Gateway

Unified Gateway に関するよくある質問

Unified Gateway とは何ですか

Unified Gatewayは、Citrix ADC 11.0リリースの新機能であり、単一の仮想サーバー(Unified Gateway 仮想サーバーと呼ばれる)でトラフィックを受信し、必要に応じてそのトラフィックをUnified Gateway仮想サーバーにバインドされている仮想サーバーに内部的に転送する機能を提供します。

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者は、IPアドレスを解放し、Citrix Gateway 展開の構成を簡素化できます。

各Unified Gateway 仮想サーバーは、フォーメーションの一部として、ゼロ個以上の負荷分散仮想サーバーとともに、1つのCitrix Gateway 仮想サーバーをフロントエンドにすることができます。Unified Gateway は、Citrix ADCアプライアンスのコンテンツスイッチング機能を使用して機能します。

Unified Gateway の展開の例をいくつか示します。

  • Unified Gateway 仮想サーバー->[1つのCitrix Gateway 仮想サーバー]
  • Unified Gateway 仮想サーバー->[1つのCitrix Gateway 仮想サーバー、1つの負荷分散仮想サーバー]
  • Unified Gateway 仮想サーバー-> [1つのCitrix Gateway 仮想サーバー、2つの負荷分散仮想サーバー]
  • Unified Gateway 仮想サーバー-> [1つのCitrix Gateway 仮想サーバー、3つの負荷分散仮想サーバー]

各負荷分散仮想サーバーは、Microsoft ExchangeやCitrix ShareFileなどのバックエンドサービスをホストする標準負荷分散サーバーであればどれでもかまいません。

Unified Gateway を使用する理由

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者にとっての利点は、IPアドレスを解放し、Citrix Gateway 展開の構成を簡素化できることです。  

複数の Unified Gateway 仮想サーバを使用できますか

はい。Unified Gateway 仮想サーバは必要な数だけ存在できます。

Unified Gateway でコンテンツスイッチングが必要なのはなぜですか

コンテンツスイッチング仮想サーバーは、トラフィックを受信し、内部的に適切な仮想サーバーに誘導する仮想サーバーであるため、コンテンツスイッチング機能が必要です。コンテンツスイッチング仮想サーバーは、Unified Gateway 機能のプライマリコンポーネントです。

11.0 より前のリリースでは、コンテンツスイッチングを使用して複数の仮想サーバのトラフィックを受信できます。その使用方法は Unified Gateway とも呼ばれますか

複数の仮想サーバーのトラフィックを受信するためのコンテンツスイッチ仮想サーバーの使用は、11.0 より前のリリースでサポートされています。ただし、コンテンツスイッチングでは、Citrix Gateway 仮想サーバーにトラフィックを転送することはできません。

11.0の拡張により、コンテンツスイッチング仮想サーバーは、Citrix Gateway 仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます。

Unified Gateway のコンテンツスイッチングポリシーで何が変わったのですか

  1. コンテンツスイッチングアクション用の新しいコマンドラインパラメータ「-targetVServer」が追加されました。新しいパラメーターは、ターゲットのCitrix Gateway 仮想サーバーを指定するために使用されます。例:

    add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

    Citrix Gateway 構成ユーティリティでは、コンテンツスイッチングアクションに新しいオプション「ターゲット仮想サーバー」が追加されました。このオプションは、Citrix Gateway 仮想サーバーを参照できます。

  2. 新しい高度なポリシー式is_vpn_urlを使用して、Citrix Gateway および認証固有のリクエストを照合できます。

ユニファイドゲートウェイで現在サポートされていないCitrix Gatewayの機能は何ですか?

Unified Gateway では、すべての機能がサポートされています。ただし、VPN プラグインを介したネイティブログオンでは、軽微な問題(問題 ID 544325)が報告されています。この場合、シームレスシングルサインオン (SSO) は機能しません。

Unified Gateway では、EPA スキャンの動作はどのようなものですか

Unified Gateway では、エンドポイント分析はCitrix Gateway アクセス方法に対してのみトリガーされ、Citrix ADC AAA TMアクセスではトリガーされません。Citrix Gateway 仮想サーバーで認証が行われているにもかかわらず、ユーザーがCitrix ADC AAA TM仮想サーバーにアクセスしようとすると、EPAスキャンはトリガーされません。ただし、ユーザがクライアントレス VPN/フル VPN アクセスを取得しようとすると、設定された EPA スキャンがトリガーされます。その場合は、認証またはシームレス SSO のいずれかが行われます。

Unified Gateway のライセンス要件は何ですか

Unified Gateway は、アドバンスドライセンスおよびプレミアムライセンスでのみサポートされます。Citrix Gateway のみのライセンスエディションまたはスタンダードライセンスエディションでは使用できません。

Unified Gatewayで使用されるCitrix Gateway 仮想サーバーには、IP/ポート/SSL構成が必要ですか?

Unified Gateway仮想サーバーで使用されるCitrix Gateway 仮想サーバーの場合、Citrix Gateway 仮想サーバーでIP/ポート/SSL構成は必要ありません。ただし、RDPプロキシ機能の場合、同じSSL/TLSサーバー証明書をCitrix Gateway 仮想サーバーにバインドできます。

Citrix Gateway 仮想サーバー上にあるSSL/TLS証明書を、Unified Gateway 仮想サーバーで使用するために再プロビジョニングする必要がありますか

Citrix Gateway 仮想サーバーに現在バインドされている証明書を再プロビジョニングする必要はありません。既存の SSL 証明書を自由に再利用し、それらを Unified Gateway 仮想サーバーにバインドできます。

単一の URL とマルチホスト展開の違いは何ですか? どちらが必要ですか

単一の URL は、Unified Gateway 仮想サーバが 1 つの完全修飾ドメイン名 (FQDN) のトラフィックを処理する能力を指します。この制限は、証明書のサブジェクトに FQDN が入力された SSL/TLS サーバ証明書を Unified Gateway が使用する場合に存在します。例:ug.citrix.com

Unified Gateway がワイルドカードサーバ証明書を使用している場合、複数のサブドメインのトラフィックを処理できます。例:*.citrix.com

もう 1 つのオプションは、複数の SSL/TLS サーバー証明書のバインドを可能にするサーバー名インジケータ (SNI) 機能を備えた SSL/TLS 構成です。例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp

単一ホストと複数ホストは、Web サーバー (Apache HTTP サーバーや Microsoft インターネットインフォメーションサービス (IIS) など) で Web サイトが一般的にホストされる方法に似ています。単一のホストがある場合は、Apache でエイリアスまたは「仮想ディレクトリ」を使用する場合と同じ方法で、サイトパスを使用してトラフィックを切り替えることができます。複数のホストがある場合は、Apache で仮想ホストを使用する場合と同様に、ホストヘッダーを使用してトラフィックを切り替えます。

Unified Gateway ではどのような認証メカニズムを使用できますか

Citrix Gateway と互換性のある既存の認証メカニズムはすべて、Unified Gateway とも互換性があります。

これには、LDAP、RADIUS、SAML、Kerberos、証明書ベースの認証などが含まれます。

アップグレード前にCitrix Gateway 仮想サーバーで構成されている認証メカニズムは、Citrix Gateway 仮想サーバーがUnified Gateway 仮想サーバーの背後に配置されたときに自動的に使用されます。アドレス指定不可能なIPアドレス(0.0.0.0)をCitrix Gateway 仮想サーバーに割り当てる以外に、追加の構成手順は必要ありません。

「selfAuth」認証とは何ですか

selfAuth は、それ自体では認証タイプではありません。selfAuth は、URL の作成方法を記述します。VPN URL設定には 、新しいコマンドラインパラメータssotypeを使用できます。例:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

selfAuth は、 ssotype パラメータの値の 1 つです。このタイプの URL は、Unified Gateway 仮想サーバと同じドメインにないリソースにアクセスするために使用できます。この設定は、ブックマークを構成するときに構成ユーティリティで確認できます。

「StepUp」認証」って何ですか

Citrix ADC AAA TMリソースにアクセスするために、より安全なレベルの認証が必要な場合は、StepUp認証を使用できます。コマンドラインで、authnProfile コマンドを使用して AuthenticationLevel パラメーターを設定します。例:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

この認証プロファイルは、負荷分散仮想サーバーにバインドされます。

ステップアップ認証はCitrix ADC AAA TM仮想サーバーでサポートされていますか

はい、サポートされています。

login once/logout onceって何ですか

Login Once:VPNユーザーは、Citrix ADC AAA TMまたはCitrix Gateway仮想サーバーのいずれかに一度ログインします。それ以降、VPN ユーザーはすべてのエンタープライズ/クラウド/Web アプリケーションにシームレスにアクセスできます。ユーザは再認証される必要はありません。ただし、再認証は、Citrix ADC AAA TM StepUp などの特殊なケースに対して行われます。

Logout Once:最初のCitrix ADC AAA TMまたはCitrix Gatewayセッションが作成された後、そのユーザーの後続のCitrix ADC AAA TMまたはCitrix Gatewayセッションを作成するために使用されます。これらのセッションのいずれかがログアウトすると、Citrix ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします。

負荷分散仮想サーバーレベルでCitrix ADC AAA TM負荷分散仮想サーバー固有の認証バインドを使用して、共通の認証ポリシーをUnified Gatewayレベルで指定できますか? このユースケースをサポートするための構成手順を教えてください

Unified Gateway の背後にあるCitrix ADC AAA TM仮想サーバーに個別の認証ポリシーを指定する必要がある場合は、個別のアドレス指定可能な認証仮想サーバーが必要です(通常のCitrix ADC AAA TM構成と同様)。負荷分散仮想サーバーの認証ホスト設定は、この認証仮想サーバーを指し示す必要があります。

バインドされたCitrix ADC AAA TM仮想サーバーが独自の認証ポリシーを持つように、Unified Gatewayをどのように構成しますか

このシナリオでは、負荷分散サーバーで、Citrix ADC AAA TM仮想サーバーを指すように認証FQDNオプションを設定する必要があります。Citrix ADC AAA TM仮想サーバーは、独立したIPアドレスを持っており、Citrix ADCおよびクライアントから到達可能である必要があります。

Citrix ADC AAA TM認証仮想サーバーは、Unified Gateway 仮想サーバーを介して来るユーザーを認証するために必要ですか?

なしCitrix Gateway 仮想サーバーは、Citrix ADC AAA TM ユーザーも認証します。

Citrix Gateway 認証ポリシーは、Unified Gateway 仮想サーバーまたはCitrix Gateway 仮想サーバーでどこで指定しますか

認証ポリシーは、Citrix Gateway 仮想サーバーにバインドされます。

Unified Gateway コンテンツスイッチング仮想サーバーの背後にあるCitrix ADC AAA TM仮想サーバーで認証を有効にするにはどうすればよいですか

Citrix ADC AAA TM で認証を有効にし、認証ホストをUnified Gateway コンテンツスイッチング FQDN にポイントします。

コンテンツスイッチング(単一URLとマルチホスト)の背後にTM仮想サーバーを追加するにはどうすればよいですか

単一のURLに対してCitrix ADC AAA TM仮想サーバーを追加することと、複数のホストに追加することには違いはありません。いずれの場合も、仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます。単一の URL とマルチホストの違いは、コンテンツスイッチングポリシールールによって実装されます。

仮想サーバーがUnified Gateway 仮想サーバーの背後に移動された場合、Citrix ADC AAA TM負荷分散仮想サーバーにバインドされた認証ポリシーはどうなりますか?

認証ポリシーは認証仮想サーバーにバインドされ、認証仮想サーバーは負荷分散仮想サーバーにバインドされます。Unified Gateway仮想サーバーの場合、Citrix Gateway 仮想サーバーを単一の認証ポイントとして使用することをお勧めします。これにより、認証仮想サーバーで認証を実行する必要がなくなります(または特定の認証仮想サーバーの必要性さえあります)。認証ホストをUnified Gateway仮想サーバーのFQDNを指すようにすることで、Citrix Gateway 仮想サーバーによって認証が行われることが保証されます。認証ホストに Unified Gateway のコンテンツスイッチングをポイントし、まだ認証仮想サーバがバインドされている場合、認証仮想サーバにバインドされた認証ポリシーは無視されます。ただし、認証ホストを独立したアドレス指定可能な認証仮想サーバーを指す場合、バインドされた認証ポリシーが有効になります。

Citrix ADC AAA TMセッションのセッションポリシーをどのように構成しますか?

Unified Gateway で、Citrix ADC AAA TM仮想サーバーに認証仮想サーバーが指定されていない場合、Citrix ADC AAA TMセッションはCitrix Gatewayセッションポリシーを継承します。認証仮想サーバーが指定されている場合、その仮想サーバーにバインドされたCitrix ADC AAA TMセッションポリシーが適用されます。

Citrix ADC 11.0のCitrix Gatewayポータルの変更点は何ですか?

11.0より前のCitrix ADCリリースでは、グローバルレベルで単一のポータルのカスタマイズを設定できます。特定のCitrix ADCアプライアンス内のすべてのゲートウェイ仮想サーバーは、グローバルポータルのカスタマイズを使用します。

Citrix ADC 11.0では、ポータル・テーマ機能を使用して、複数のポータル・テーマを設定できます。テーマはグローバルにバインドすることも、特定の仮想サーバーにバインドすることもできます。

Citrix ADC 11.0はCitrix Gatewayポータルのカスタマイズをサポートしていますか

構成ユーティリティーを使用して、新しいポータル・テーマ機能を使用して、ポータル・テーマを完全にカスタマイズおよび作成できます。さまざまな画像をアップロードしたり、配色を設定したり、テキストラベルを変更したりすることができます。

カスタマイズ可能なポータルページは次のとおりです。

  • ログインページ
  • エンドポイント分析ページ
  • エンドポイント分析エラーページ
  • ポストエンドポイント分析ページ
  • VPN 接続ページ
  • ポータルのホームページ

このリリースでは、独自のポータル設計でCitrix Gateway 仮想サーバーをカスタマイズできます。

ポータル・テーマは、Citrix ADCの高可用性またはクラスター展開でサポートされていますか?

はい。ポータルのテーマは、Citrix ADCの高可用性およびクラスター展開でサポートされています。

カスタマイズは、Citrix ADC 11.0アップグレードプロセスの一環として移行されますか?

なしrc.conf/rc.netscalerファイルの変更または10.1/10.5のカスタムテーマ機能を使用して呼び出されたCitrix Gateway ポータルページに対する既存のカスタマイズは、Citrix ADC 11.0へのアップグレード時に自動的に移行されません。

Citrix ADC 11.0のポータルテーマの準備をするために従うべきアップグレード前の手順はありますか

既存のカスタマイズは、rc.conf ファイルまたは rc.netscaler ファイルから削除する必要があります。

もう 1 つのオプションは、カスタムテーマを使用する場合は、[デフォルト] 設定を割り当てる必要があることです。

  1. 構成]>[Citrix Gateway]>[グローバル設定]に移動します

  2. [ グローバル設定の変更] をクリックします。

  3. [ クライアントエクスペリエンス ] をクリックし、[ UI テーマ ] リストから [ デフォルト ] を選択します。

rc.confまたはrc.netscalerによって呼び出されるCitrix ADCインスタンスに保存されているカスタマイズがあります。ポータル・テーマに移動するにはどうすればよいですか

シトリックスナレッジセンターの記事CTX126206には 、10.0ビルド73.5001.eまでのCitrix ADC 9.3および10.0リリースのこのような構成について詳しく説明しています。Citrix ADC 10.0ビルド10.0 73.5002.e(10.1および10.5を含む)以降、UITHEME CUSTOMパラメータを使用して、再起動後もカスタマイズを保持できるようになりました。カスタマイズがCitrix ADCハードドライブに保存されており、これらのカスタマイズを引き続き使用する場合は、11.0 GUIファイルをバックアップし、既存のカスタムテーマファイルに挿入します。ポータル・テーマに移動する場合は、まず、「 クライアント・エクスペリエンス」の「グローバル設定」または「セッション」プロファイルの「UITHEME」パラメーターの設定を解除する必要があります。または、DEFAULT または GREENBUBBBLE に設定することもできます。その後、ポータル・テーマの作成とバインドを開始できます。

Citrix ADC 11.0にアップグレードする前に、現在のカスタマイズをエクスポートして保存するにはどうすればよいですか? エクスポートしたファイルを別のCitrix ADCアプライアンスに移動できますか?

ns_gui_custom フォルダにアップロードされたカスタマイズファイルは、ディスク上に保存され、アップグレード後も保持されます。ただし、これらのファイルは、新しいCitrix ADC 11.0カーネルおよびカーネルの一部である他のGUIファイルと完全に互換性があるとは限りません。したがって、11.0のGUIファイルをバックアップし、バックアップをカスタマイズすることをお勧めします。

さらに、構成ユーティリティには、 ns_custom_guiフォルダーを別のCitrix ADCアプライアンスにエクスポートするユーティリティはありません。SSHまたはWinSCPなどのファイル転送ユーティリティを使用して、Citrix ADCインスタンスからファイルを削除します。

ポータル・テーマは、Citrix ADC AAA TM 仮想サーバーでサポートされていますか

はい。ポータル・テーマは、Citrix ADC AAA TM 仮想サーバーでサポートされています。

Citrix Gateway 11.0のRDPプロキシ機能の変更点は何ですか?

Citrix ADC 10.5.e拡張リリース以降、RDPプロキシに多くの機能強化が加えられました。Citrix ADC 11.0では、この機能は最初にリリースされたビルドから利用できます。

ライセンスの変更

Citrix ADC 11.0のRDPプロキシ機能は、プレミアムエディションとアドバンスドエディションでのみ使用できます。Citrix 同時ユーザー(CCU)ライセンスは、ユーザーごとに取得する必要があります。

コマンドを有効にする

Citrix ADC 10.5.eでは、RDPプロキシを有効にするコマンドはありませんでした。Citrix ADC 11.0では、有効コマンドが追加されました。

enable feature rdpproxy
<!--NeedCopy-->

このコマンドを実行するには、機能のライセンスが必要です。

RDP プロキシのその他の変更

サーバプロファイルの事前共有キー(PSK)属性が必須になりました。

RDPプロキシ用の既存のCitrix ADC 10.5.e構成をCitrix ADC 11.0に移行するには、次の詳細を理解し、対処する必要があります。

管理者が既存の RDP プロキシ構成を選択した Unified Gateway 展開に追加する場合は、次の手順を実行します。

  • Citrix Gateway 仮想サーバーのIPアドレスを編集し、アドレス指定できないIPアドレス(0.0.0.0)に設定する必要があります。
  • SSL/TLSサーバー証明書、認証ポリシーは、選択したUnified Gatewayフォーメーションの一部であるCitrix Gateway 仮想サーバーにバインドする必要があります。

Citrix ADC 10.5.eに基づくリモートデスクトッププロトコル(RDP)プロキシ構成をCitrix ADC 11.0にどのように移行しますか

オプション1:プレミアムライセンスまたはアドバンスドライセンスを使用して、RDPプロキシ構成の既存のCitrix Gateway 仮想サーバーをそのまま維持します。

オプション2:RDPプロキシ構成で既存のCitrix Gateway 仮想サーバーを移動し、Unified Gateway 仮想サーバーの背後に配置します。

オプション3:RDPプロキシ構成を持つスタンドアロンのCitrix Gateway 仮想サーバーを既存のStandard Editionアプライアンスに追加します。

Citrix ADC 11.0リリースを使用して、RDPプロキシ構成用にCitrix Gateway をどのようにセットアップしますか

NS 11.0 リリースを使用して RDP プロキシを展開するには、次の 2 つのオプションがあります。

  1. 外部に面したCitrix Gateway 仮想サーバーを使用する。これには、Citrix Gateway 仮想サーバーに対して外部から見えるIPアドレス/FQDNが1つ必要です。このオプションは、Citrix ADC 10.5.eで利用可能なものです。

  2. Unified Gateway 仮想サーバーを使用して、Citrix Gateway 仮想サーバーをフロントエンドにします。

オプション2では、Citrix Gateway 仮想サーバーはアドレス指定不可能なIPアドレス(0.0.0.0)を使用するため、独自のIPアドレス/FQDNを必要としません。

HDX Insight はUnified Gateway と互換性がありますか

Citrix Gateway をUnified Gatewayとともに展開する場合、Citrix Gateway 仮想サーバーに有効なSSL証明書がバインドされている必要があり、HDX Insightレポート用にCitrix ADC Insight CenterのAppFlowレコードを生成するには、アップ状態である必要があります。

既存のHDX Insight構成を移行するにはどうすればよいですか

移行は必要ありません。Citrix Gateway 仮想サーバーがUnified Gateway ゲートウェイ仮想サーバーの背後に配置されている場合、Citrix Gateway 仮想サーバーにバインドされたAppFlowポリシーが引き継がれます。

Citrix Gateway 仮想サーバー用のCitrix ADCInsight Center にある既存のデータについては、次の2つの可能性があります。

  • Citrix Gateway 仮想サーバーのIPアドレスがUnified Gatewayへの移行の一環としてUnified Gateway 仮想サーバーに割り当てられている場合、データはCitrix Unified Gateway ateway 仮想サーバーにリンクされたままになります。
  • Unified Gateway 仮想サーバーに別のIPアドレスが割り当てられている場合、Citrix Gateway 仮想サーバーからのAppFlowデータはその新しいIPアドレスにリンクされます。したがって、既存のデータは新しいデータの一部ではありません。
Unified Gateway に関するよくある質問

この記事の概要