Citrix Gateway

アドレスプールの設定

状況によっては、Citrix Secure Accessエージェントに接続するユーザーに、Citrix Gateway 用に一意のIPアドレスが必要になることがあります。たとえば、Samba 環境では、マップされたネットワークドライブに接続する各ユーザーは、異なる IP アドレスから発信されているように見える必要があります。グループのアドレスプール(IPプーリングとも呼ばれる)を有効にすると、Citrix Gateway は各ユーザーに一意のIPアドレスエイリアスを割り当てることができます。

アドレスプールは、イントラネット IP アドレスを使用して構成します。次のタイプのアプリケーションでは、IP プールから取得された一意の IP アドレスを使用する必要がある場合があります。

  • ボイスオーバー IP
  • アクティブFTP
  • インスタントメッセージング
  • セキュアシェル (SSH)
  • コンピュータのデスクトップに接続するための仮想ネットワークコンピューティング (VNC)
  • クライアントデスクトップに接続するためのリモートデスクトップ (RDP)

Citrix Gateway に接続するユーザーに内部IPアドレスを割り当てるように、Citrix Gateway を構成できます。固定 IP アドレスをユーザーに割り当てることも、IP アドレスの範囲をグループ、仮想サーバー、またはシステムにグローバルに割り当てることもできます。

Citrix Gateway では、内部ネットワークのIPアドレスをリモートユーザーに割り当てることができます。内部ネットワークの IP アドレスは、リモートユーザをアドレス指定することができます。IP アドレスの範囲を使用することを選択した場合、システムはオンデマンドでその範囲の IP アドレスをリモートユーザに動的に割り当てます。

アドレスプールを設定するときは、次の点に注意してください。

  • 割り当てられた IP アドレスは正しくルーティングされる必要があります。正しいルーティングを確実に行うには、次の点を考慮してください。
    • スプリットトンネリングを有効にしない場合は、IP アドレスが Network Address Translation(NAT; ネットワークアドレス変換)デバイスを介してルーティングできることを確認してください。
    • イントラネット IP アドレスを持つユーザー接続によってアクセスされるサーバーには、それらのネットワークに到達するための適切なゲートウェイが構成されている必要があります。
    • ユーザーソフトウェアからのネットワークトラフィックが内部ネットワークにルーティングされるように、Citrix Gateway でゲートウェイまたは静的ルートを構成します。
  • IP アドレス範囲を割り当てるときは、連続したサブネットマスクだけを使用できます。範囲のサブセットは、下位レベルのエンティティに割り当てることができます。たとえば、IP アドレス範囲が仮想サーバーにバインドされている場合は、範囲のサブセットをグループにバインドします。
  • IP アドレス範囲は、バインドレベル内の複数のエンティティにバインドできません。たとえば、グループにバインドされているアドレス範囲のサブセットを 2 番目のグループにバインドすることはできません。
  • Citrix Gateway では、ユーザーセッションでアクティブに使用されているIPアドレスを削除またはバインド解除することはできません。
  • 内部ネットワーク IP アドレスは、次の階層を使用してユーザーに割り当てられます。
    • ユーザーのダイレクトバインディング
    • グループ割り当てアドレスプール
    • 仮想サーバ割り当てアドレスプール
    • グローバルアドレス範囲
  • アドレス範囲の割り当てに使用できるのは、連続したサブネットマスクだけです。ただし、割り当てられた範囲のサブセットは、下位レベルのエンティティにさらに割り当てられる場合があります。 バインドされたグローバルアドレス範囲には、次の範囲をバインドできます。
    • 仮想サーバー
    • グループ
    • ユーザー
  • バインドされた仮想サーバーのアドレス範囲には、次のサブセットをバインドできます。
    • グループ
    • ユーザー

バインドされたグループアドレス範囲は、ユーザーにバインドされたサブセットを持つことができます。

IP アドレスがユーザーに割り当てられると、アドレスプールの範囲がなくなるまで、そのアドレスはユーザーの次回のログオン用に予約されます。アドレスが使い果たされると、Citrix Gateway は、Citrix Gateway から最も長くログオフしたユーザーのIPアドレスを再利用します。

アドレスを再利用できず、すべてのアドレスがアクティブに使用されている場合、Citrix Gateway はユーザーのログオンを許可しません。この状況を回避するには、他のすべてのIPアドレスが使用できない場合に、Citrix Gateway でマップされたIPアドレスをイントラネットIPアドレスとして使用できるようにします。

イントラネット IP DNS 登録

イントラネット IP がクライアントマシンに割り当てられ、VIP トンネルの確立後に、VPN プラグインは、そのクライアントマシンがドメインに参加しているかどうかをチェックします。クライアントマシンがドメインに参加しているマシンの場合、VPN プラグインは DNS 登録プロセスを開始して、マシンのホスト名イントラネットと割り当てられたイントラネット IP アドレスを結び付けます。この登録は、トンネルの確立解除前に元に戻されます。

DNS 登録を正常に行うには、次のnsapimgrノブが設定されていることを確認してください。また、権限のあるDNSサーバーが「非セキュア」DNS更新を許可するように設定されていることも確認してください。

  • nsapimgr -ys enable_vpn_dns_override=1: このフラグは、他の構成パラメータとともにCitrix Gateway VPNクライアントに送信されます。このフラグが設定されていない状態でVPNクライアントがDNS/WINS要求をインターセプトすると、対応する「GET/DNS」HTTP要求をトンネル経由でCitrix Gateway仮想サーバーに送信し、解決されたIPアドレスを取得します。ただし、「enable_vpn_dnstruncate_fix」フラグが設定されている場合、VPNクライアントはDNS/WINS要求をCitrix Gateway仮想サーバーに透過的に転送します。この場合、DNSパケットはVPNトンネルを介してそのままCitrix Gateway仮想サーバーに送信されます。これは、Citrix Gateway で構成されたネームサーバーから返されるDNSレコードが大きく、UPD応答パケットに収まらない場合に役立ちます。この場合、クライアントがTCP-DNSを使用するようフォールバックすると、このTCP-DNSパケットはそのままCitrix Gatewayサーバーに到達するため、Citrix GatewayサーバーはDNSサーバーにTCP-DNSクエリを行います。

  • nsapimgr-ys enable_vpn_dnstruncate_fix=1: このフラグは Citrix Gateway サーバー自体によって使用されます。このフラグが設定されている場合、Citrix Gateway は「DNSポート上のTCP接続」の宛先を、(受信TCP-DNSパケットに元々存在していたDNSサーバーIPに送信しようとするのではなく)Citrix Gatewayで構成されたDNSサーバーに上書きします。UDP DNS 要求の場合、デフォルトでは、DNS 解決用に設定された DNS サーバが使用されます。Windows用Citrix Gateway プラグインは、セキュアなDNSアップデートと非セキュアなDNS 21.7.1.1 以降のビルドでは、セキュア DNS 更新サポートがデフォルトで存在します。

    Windows プラグインのセキュア DNS アップデートは、デフォルトでは無効になっています。有効にするには、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure AccessにREG_DWORD 型の値を作成して 1 に設定します。

    • 値を 1 に設定すると、VPN プラグインはセキュリティで保護されていない DNS アップデートを最初に試みます。セキュリティで保護されていない DNS の更新が失敗した場合、VPN プラグインは安全な DNS の更新を試みます。
    • セキュリティで保護された DNS アップデートのみを試すには、値を 2 に設定します。

これらのノブの設定の詳細については、「https://support.citrix.com/article/CTX200243」を参照してください。

ユーザー、グループ、または仮想サーバーのアドレスプールを構成する

  1. 構成ユーティリティのナビゲーションペインで、[ Citrix Gateway]を展開し、次のいずれかの操作を行います。
    • Citrix Gateway ユーザー管理]を展開し、[ AAAユーザー]をクリックします。
    • [Citrix Gateway] >[ ユーザー管理 ]を展開し、[ AAAグループ]をクリックします
    • Citrix Gateway を展開し、[ 仮想サーバー]をクリックします。
  2. 詳細ウィンドウで、ユーザー、グループ、または仮想サーバーをクリックし、[ 開く] をクリックします。
  3. [ イントラネット IP ] タブの [IP アドレスとネットマスク] に IP アドレスとサブネットマスクを入力し、[ 追加] をクリックします。
  4. プールに追加するIPアドレスごとに手順3を繰り返し、[ OK]をクリックします。

アドレスプールをグローバルに設定

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの[ イントラネットIP]で、[すべてのクライアントCitrix Gateway セッションで使用する一意の静的IPアドレスまたはIPアドレスのプールを割り当てるには、イントラネットIPを構成します]をクリックします。
  3. [ イントラネット IP のバインド ] ダイアログボックスで、[ 操作]、 [ 挿入] の順にクリックします。
  4. [IP アドレスとネットマスク] に IP アドレスとサブネットマスクを入力し、[ 追加] をクリックします。
  5. プールに追加するIPアドレスごとに手順3と4を繰り返し、[ OK]をクリックします。

アドレスプールオプションの定義

セッションポリシーまたはグローバルCitrix Gateway 設定を使用して、ユーザーセッション中にイントラネットIPアドレスを割り当てるかどうかを制御できます。アドレスプールオプションを定義すると、イントラネットIPアドレスをCitrix Gateway に割り当てる一方で、特定のユーザーグループのイントラネットIPアドレスの使用を無効にすることができます。

アドレスプールは、次の 3 つの方法のいずれかでセッションポリシーを使用して設定できます。

  • Nospillover -イントラネット IP アドレスのアドレスプールを構成すると、プールから使用可能な IP を持つセッションが取得されます。使用可能なイントラネット IP アドレスをすべて使用したユーザーの場合、[ログインの転送] ページが表示されます。
  • スピルオーバー -アドレスプールを構成し、マッピング IP をイントラネット IP アドレスとして使用する場合、マップされた IP アドレスは、使用可能なすべてのイントラネット IP アドレスを使用したユーザーに使用されます。
  • オフ -アドレスプールは設定されません。

注:

マッピング IP アドレスが設定されていない場合、SNIP が使用されます。

アドレスプールを定義するには

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー]を展開し、セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
  3. [名前] に、ポリシーの名前を入力します。
  4. [ 要求プロファイル] の横にある [ 新規] をクリックします
  5. [名前] に、プロファイルの名前を入力します。
  6. [ ネットワーク構成 ] タブで、[ 詳細設定] をクリックします。
  7. [イントラネット IP] の横にある [ グローバルを上書き ] をクリックし、オプションを選択します。
  8. 手順9で [ SPILLOVER ] を選択した場合は、[Mapped IP] の横にある [ Override Global] をクリックし、アプライアンスのホスト名を選択して [ OK] をクリックし、 [ 作成] をクリックします。
  9. セッション・ポリシーの作成 」ダイアログ・ボックスで、式を作成します。[ 作成] をクリックし、 [ 閉じる] をクリックします。

転送ログインページの設定

ユーザーがイントラネットIPアドレスを持たず、Citrix Gateway との別のセッションを確立しようとすると、[ログインの転送]ページが表示されます。[ログインの転送]ページでは、既存のCitrix Gateway セッションを新しいセッションに置き換えることができます。

[ログインの転送(Transfer Login)] ページは、ログオフ要求が失われた場合や、ユーザがクリーンログオフを実行しない場合にも使用できます。例:

  • ユーザーには静的イントラネットIPアドレスが割り当てられ、既存のCitrix Gateway セッションがあります。ユーザが別のデバイスから 2 番目のセッションを確立しようとすると、[ログインの転送(Transfer Login)] ページが表示され、セッションを新しいデバイスに転送できます。
  • ユーザーには5つのイントラネットIPアドレスが割り当てられ、Citrix Gateway を介して5つのセッションがあります。ユーザが 6 番目のセッションを確立しようとすると、[ログインの転送(Transfer Login)] ページが表示され、既存のセッションを新しいセッションに置き換えることができます。

注:

ユーザに割り当てられた IP アドレスがなく、[ログインの転送(Transfer Login)] ページを使用して新しい >Session を確立できない場合、ユーザはエラーメッセージを受け取ります。

[Transfer Login] ページは、アドレスプールを設定し、スピルオーバーを無効にした場合にのみ表示されます。

DNS サフィックスを構成する

ユーザーがCitrix Gateway にログオンし、IPアドレスが割り当てられると、ユーザー名とIPアドレスの組み合わせのDNSレコードがCitrix Gateway DNSキャッシュに追加されます。DNS レコードがキャッシュに追加されたときにユーザー名に追加するように DNS サフィックスを構成できます。これにより、ユーザは DNS 名で参照され、IP アドレスよりも覚えやすくなります。ユーザーがCitrix Gateway からログオフすると、レコードはDNSキャッシュから削除されます。

DNS サフィックスを構成するには

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー]を展開し、セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、セッションポリシーを選択し、[ 開く] をクリックします。
  3. 「プロフィールをリクエスト」の横にある「 変更」をクリックします。
  4. [ ネットワーク構成 ] タブで、[ 詳細設定] をクリックします。
  5. [イントラネット IP DNS サフィックス] の横にある [ グローバルオーバーライド] をクリックし、DNS サフィックスを入力して [ OK ] を 3 回クリックします。