Citrix Gateway

ユーザー用のCitrix Secure Access Agentを選択する

Citrix Gateway を構成するときに、ユーザーのログオン方法を選択できます。ユーザーは、次のいずれかのプラグインを使用してログオンできます。

  • Windows向けCitrix Secure Access Agent
  • macOS向けCitrix Secure Access Agent

セッションポリシーを作成し、そのポリシーをユーザー、グループ、または仮想サーバーにバインドして、構成を完了します。グローバル設定を構成して、プラグインを有効にすることもできます。グローバルプロファイルまたはセッションプロファイル内で、プラグインタイプとして Windows または macOS X のいずれかを選択します。ユーザーがログオンすると、グローバルに、またはセッションプロファイルとポリシーで定義されているプラグインを受け取ります。プラグインタイプ用に個別のプロファイルを作成します。

プラグインをグローバルに構成する

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ウィンドウの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. [クライアントエクスペリエンス]タブで、[プラグインの種類]の横にある[Windows/macOS X]を選択し、[OK]をクリックします。

セッションプロファイルで Windows または macOS のプラグインタイプを構成する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]の順に展開し、[ セッション]をクリックします。
  2. 次のいずれかを行います:
    • セッションポリシーを作成する場合は、詳細ペインで [ 追加] をクリックします。
    • 既存のポリシーを変更する場合は、ポリシーを選択し、[ 開く] をクリックします。
  3. プロファイルを作成するか、既存のプロファイルを変更します。これを行うには、次のいずれかを実行します。
    • [ 要求プロファイル] の横にある [ 新規] をクリックします
    • [ プロファイルの要求] の横にある [ 変更] をクリックします
  4. [ クライアントエクスペリエンス ] タブで、[ プラグインの種類] の横にある [ グローバルを上書き ] をクリックし、[ Windows/macOS X] を選択します。
  5. 次のいずれかを行います:
    • プロファイルを作成する場合は、[ 作成] をクリックし、ポリシーダイアログボックスで式を設定し、[ 作成 ]、[ 閉じる] の順にクリックします。
    • 既存のプロファイルを修正する場合は、選択後、「 OK」 を 2 回クリックします。

Windows向けCitrix Secure Access Agent

ユーザーは、Citrix Gateway にログオンすると、Citrix Secure Accessエージェントをダウンロードしてユーザーデバイスにインストールします。

プラグインをインストールするには、ユーザーがローカル管理者または Administrators グループのメンバーである必要があります。この制限は、初回のインストールにのみ適用されます。プラグインのアップグレードには、管理者レベルのアクセス権は必要ありません。

ユーザーがCitrix Gateway に接続して使用できるようにするには、次の情報を提供する必要があります。

  • Citrix Gateway Webアドレス(例: https://NetScalerGatewayFQDN/
  • エンドポイントのリソースとポリシーを構成した場合に、Citrix Secure Accessエージェントを実行するためのシステム要件

ユーザーデバイスの構成によっては、次の情報も提供する必要があります。

  • ユーザーが自分のコンピュータでファイアウォールを実行している場合、アクセスを許可したリソースに対応する IP アドレスとのトラフィックをファイアウォールがブロックしないように、ファイアウォールの設定を変更する必要がある場合があります。Citrix Secure Access Agentは、Windows XPではインターネット接続ファイアウォールを、Windows XPサービスパック2、Windows Vista、Windows 7、Windows 8、またはWindows 8.1ではWindowsファイアウォールを自動的に処理します。
  • Citrix Gateway 接続を介してFTPにトラフィックを送信するユーザーは、パッシブ転送を実行するようにFTPアプリケーションを設定する必要があります。パッシブ転送とは、FTP サーバーからリモートコンピューターへのデータ接続が確立されるのではなく、リモートコンピューターが FTP サーバーへのデータ接続を確立することを意味します。
  • 接続を介して X クライアントアプリケーションを実行したいユーザーは、コンピュータ上で X サーバ (など XManager) を実行する必要があります。
  • Receiver for WindowsまたはReceiver for Macをインストールしたユーザーは、Receiverから、またはWebブラウザーを使用して、Citrix Secure Access Agentを起動できます。ReceiverまたはWebブラウザーからCitrix Secure Accessエージェントにログオンする方法について、ユーザーに指示を伝えます。

ユーザーは、ファイルやアプリケーションを、組織のネットワークに対してローカルであるかのように操作するため、ユーザーを再トレーニングしたり、アプリケーションを構成したりする必要はありません。

セキュリティで保護された接続を初めて確立するには、Webログオンページを使用してCitrix Gateway にログオンします。Web アドレスの一般的な形式はhttps://companyname.comです。ユーザーがログオンすると、Citrix Secure Accessエージェントをダウンロードしてコンピューターにインストールできます。

Windows向けCitrix Secure Access Agentをインストールする

  1. Webブラウザーで、Citrix Gateway のWebアドレスを入力します。
  2. ユーザー名とパスワードを入力し、[ログオン] をクリックします。
  3. [ネットワークアクセス] を選択し、[ダウンロード] をクリックします。
  4. 指示に従ってプラグインをインストールします。

ダウンロードが完了すると、Citrix Secure Accessエージェントが接続し、Windowsベースのコンピューターの通知領域にメッセージが表示されます。

ユーザーがWebブラウザーを使用せずにCitrix Secure Accessエージェントに接続できるようにするには、 Windowsベースのコンピューターの通知領域にあるCitrix Gateway アイコンを右クリックするか、[スタート]メニューからプラグインを起動したときに、ログオンダイアログボックスを表示するようにプラグインを構成できます。

Windows向けCitrix Secure Accessエージェントのログオンダイアログボックスを構成する

ログオンダイアログボックスを使用するようにCitrix Secure Accessエージェントを構成するには、ユーザーがログオンしてこの手順を完了する必要があります。

  1. Windowsベースのコンピューターでは、通知領域でCitrix Gateway アイコンを右クリックし、[Citrix Gateway の構成]をクリックします。
  2. [プロファイル] タブをクリックし、[プロファイルの変更] をクリックします。
  3. [オプション]タブで、[ログオンにCitrix Secure Accessエージェントを使用する]をクリックします。 注:Receiver内から[Citrix Gateway の構成]ダイアログボックスを開いた場合、[ オプション]タブは使用できません。

Windows向けCitrix Secure Accessエージェントの傍受モードを設定する

Windows向けCitrix Secure Accessエージェントを構成する場合は、傍受モードを構成して透過モードに設定する必要もあります。

  1. 構成ユーティリティで、[構成]タブをクリックし、[ Citrix Gateway]>[リソース]の順に展開し、イントラネットアプリケーション]をクリックします。
  2. 詳細ウィンドウで、[ 追加] をクリックします。
  3. [名前] に、ポリシーの名前を入力します。
  4. [ 透明] をクリックします。
  5. [ プロトコル] で [ 任意] を選択します。
  6. [ 宛先タイプ] で、[ IP アドレス] と [ネットマスク] を選択します
  7. [ IP アドレス ] に IP アドレスを入力します。
  8. [ ネットマスク] にサブネットマスクを入力し、[ 作成]、 [ 閉じる] の順にクリックします。

ADC 構成に基づいてエンドユーザーにローカル LAN アクセスを強制する

管理者は、エンドユーザーがクライアントマシンでローカル LAN アクセスオプションを有効または無効にするよう制限できます。既存のローカル LAN アクセスパラメータ値に、FORCED という新しいオプションが追加されました。[ローカル LAN アクセス] の値が [FORCED] に設定されている場合、エンドユーザーはクライアントマシンでローカル LAN アクセスオプションを使用できなくなります。エンドユーザーがローカルLANアクセスを有効または無効にする必要がある場合、管理者はそれに応じてCitrix ADCアプライアンスのローカルLANアクセスオプションを再構成する必要があります。

GUI を使用して [強制] オプションを有効にするには:

  1. Citrix Gateway >[グローバル設定]>[グローバル設定の変更]に移動します
  2. [ クライアントエクスペリエンス ] タブをクリックし、[ 詳細設定] をクリックします。
  3. [ ローカル LAN アクセス] で [ 強制] を選択します

ローカル LAN アクセスを有効にする

CLI を使用して Forced オプションを有効にするには、次のコマンドを実行します。

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Windows フィルタリングプラットフォームを使用する Windows Citrix Secure Access Agent

Windows Filtering Platform (WFP) は、ネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する API およびシステムサービスのセットです。WFP は、DNE ドライバーで使用されていたネットワークドライバーインターフェイス仕様 (NDIS) フィルターという、以前のパケットフィルター技術を置き換えるように設計されています。WFPモードは、Windows Citrix Secure Access Agentの22.6.1.5ビルドでサポートされています。

WFP ビルドをインストールする

WFP ビルドは、次のいずれかの方法でインストールできます。

  • DNE と WFP の両方のドライバーで VPN プラグインをインストールします (既定の方法)

    プラグインが DNE と WFP の両方のドライバーと共にインストールされている場合、管理者はレジストリノブを介して WFP または DNE ドライバーをトンネリングに使用できます。デフォルトでは、DNE ドライバーはトンネリングに使用されます。

  • WFP ドライバーだけで VPN プラグインをインストールする (DNE ドライバーのインストールをスキップ)

    DNEドライバーは、使用していないときでも一部のサードパーティ製アプリケーションではサポートされていません。これらの展開では、管理者はこのインストールタイプを使用できます。DNE ドライバーはインストールされていないため、トンネリングには WFP ドライバーのみが使用されます。

DNE ドライバーの代わりに WFP ドライバーを選択する

DNE ドライバーの代わりに WFP ドライバーを選択するには、次の手順を実行します。

注:

これは、既定のインストール方法でのみ機能します。

  1. WFP がサポートする VPN プラグインビルドをダウンロードし、新しい VPN プラグインをインストールします。
  2. デフォルトでは、DNE ドライバーはトラフィックのトンネリングに使用されます。WFP ドライバーをトンネリングに使用するには、管理者は次のレジストリエントリを作成する必要があります。
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — WFP を使用する場合は値を 1 に設定し、DNE を使用する場合は 0 に設定します (このレジストリ値が存在しない場合、または 0 に設定されている場合は、デフォルトで DNE が有効になります)

注:

トンネリングモードを DNE から WFP に、またはその逆に切り替えた後、変更を適切に有効にするには、システムを再起動する必要があります。

DNE のインストールを完全にスキップする

DNE のインストールをスキップするには、次の手順を実行します。

  1. VPN プラグインのクリーンアンインストールを実行します。
    1. マシンに現在存在するVPNプラグインをアンインストールし、マシンを再起動します。
    2. 次のいずれかのオプションを使用して、DNE ドライバーがアンインストールされているかどうかを確認します。
      • 管理者特権のコマンドプロンプト (または PowerShell) を開きます。次のコマンドを実行します (出力例は、DNE ベースのドライバーがシステムにインストールされていることを示しています)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      ドライバがインストールされていない場合は、次の出力が表示されます。

      The specified service does not exist as an installed service.

    DNEドライバー(dnelwf64.sys)は他のベンダーでも使用されているため、Citrix Secure Accessエージェントがシステムにインストールされていない場合でも存在する可能性があります。一方、CAGプラグインはCitrix Secure Accessエージェントによってのみ使用されます。

    • DNEの存在は、CAGとDNEドライバを起動しようとすることによっても確認できます。管理者権限を使用してコマンドプロンプトを開き、次のコマンドを実行します。

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • 出力メッセージに、サービスが見つからない (サービス名が無効である) ことが示されている場合、プラグインおよびドライバコンポーネントは正常にアンインストールされます。この場合は、手順 2 に進みます。
      • プラグインおよびドライバコンポーネントが正常にアンインストールされない場合は、https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332に記載されている手順に従って、クライアントマシンでクリーンアップユーティリティを実行します。
        • クリーンアップユーティリティを解凍し、フォルダにコピーします。
        • コマンドプロンプトから nsRmSAC.exe を実行します。
        • クライアントマシンを再起動します。
  2. 次のレジストリエントリを作成します。

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE-DNE がマシンにインストールされていないことを確認するには 1 に設定します
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE-WFP を有効にする場合は 1 に設定します (DNE インストールをスキップする場合は、このエントリを作成する必要があります)

    注:

    • インストール前にレジストリエントリが作成されていない場合は、デフォルトで DNE がインストールされます。また、VPN ログファイルをチェックして、WFP と DNE のどちらが使用されているかを検証できます。
    • DNE インストールをスキップする場合は、EnableWFP を 1 に設定する必要があります。この場合、Citrix Secure Accessエージェントを再インストールしない限り、DNEベースのプラグインに切り替えることはできません。
  3. 新しい VPN プラグインをインストールします。
  4. WFP ドライバーがシステムにインストールされているかどうかを確認します。管理者特権のコマンドプロンプトを開き、次のコマンドを実行します。サンプル出力は、WFP ドライバーがシステムにインストールされていることを示しています。

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

ドライバがインストールされていない場合は、次の出力が表示されます。

The specified service does not exist as an installed service.

  1. クライアントマシンを再起動します。

WFPの利点

スタンドアロン WFP ドライバーのインストールがクライアントで実行される場合の WFP の利点の一部を以下に示します。

  • FQDN ベースのリバーススプリットトンネルのサポート: WFP ドライバーは、FQDN ベースの REVERSE スプリットトンネリングのサポートを可能にします。DNE ドライバーではサポートされていません。詳細については、 スプリットトンネリングオプションを参照してください

  • Wireshark のサポート: DNE は Ethernet/Wi-Fi アダプタとリンクしているため、クライアントマシンで双方向トラフィックをキャプチャできません。これは新しい WFP ドライバーの問題ではありません。

  • NMAPサポート: 新しいWFPドライバーはNMAPスキャンをサポートしますが、VPNプラグインはトラフィックのトンネリングに使用されますが、DNEはNMAPスキャンを許可しませんが、VPNプラグインはトラフィックのトンネリングに使用されます。

  • ネットワーク速度: 一部のシナリオでは、クライアントマシンに DNE がインストールされている場合、ダウンロードとアップロードの速度が影響を受けますが、これは WFP には当てはまりません。

  • nslookup パフォーマンスの向上: DNE では、nslookupがより少ない試行回数で応答できないことがあり、WFPでは同じことが見られません。

  • UDP 上の iperf パフォーマンスの向上:DNE では、iperf over UDP を使用したスケーラビリティテスト中にパケット損失が観察されました。WFP ではパケットロスは発生しません。

ユーザー用のCitrix Secure Access Agentを選択する