FQDN を IP アドレスに変換するための DNS サフィックス
DNS サフィックスは、すべてのエンドユーザーに適用されるグローバル設定です。Citrix Secure Private Access サービスのDNSサフィックス機能は、以下の用途に使用できます。
- Citrix Secure Accessクライアントが、バックエンドサーバーのDNSサフィックスドメインを追加して、非完全修飾ドメイン名(ホスト名)を完全修飾ドメイン名(FQDN)に変換できるようにします。
- 管理者がIPアドレス(IP CIDR/IP範囲)を使用してアプリケーションを設定できるようにします。これにより、エンドユーザーは、DNSサフィックスドメインの対応するFQDNを使用してアプリケーションにアクセスできるようになります。
たとえば、非完全修飾ドメイン名「workday」を解決するときに、DNS サフィックス「citrix.net」が設定されている場合、オペレーティングシステムはサフィックス「citrix.net」を追加し、解決は「workday.citrix.net」になります。
複数の DNS サフィックスが設定されている場合、DNS サフィックスは順番に解決されます。たとえば、次のサフィックスが追加されたとします。
".citrix.net"".citrix.com"".xenserver.com"
エンドユーザーが「workday」と入力すると、オペレーティングシステムは次の順序で FQDN の解決を試みます。1 つのサフィックスで成功すると、残りのサフィックスはスキップされます。
- workday.citrix.net
- workday.citrix.com
- workday.xenserver.com
重要:
DNS サフィックス設定では、DNS サフィックス機能を使用して設定されたドメインにサフィックスを付けることによってのみ、クライアントは完全修飾されていないドメイン名を解決できます。エンドユーザーが DNS サフィックスドメインの FQDN にアクセスするには、管理者がアプリケーションに IP アドレス、FQDN、またはワイルドカードドメインを設定する必要があります。詳細については、「 ユースケース例」のポイント 4 を参照してください。
2 つの異なるアプリケーション (1 つは FQDN、もう 1 つは IP アドレスで、どちらも同じバックエンドサーバーに対応する) が設定されている場合、IP アドレスを持つアプリケーションのポリシーが優先されます。詳細については、「 ユースケース例」のポイント 5 を参照してください。
前提条件
- お客様が DNS サフィックス機能を使用するには、Secure Private Accessアドバンスト・エディションの資格が必要です。
- Citrix製品管理チームに連絡して、DNSサフィックス機能フラグを有効にしてください。
DNS サフィックスを追加する方法
-
「Secure Private Access」タイルで、「 管理」をクリックします。
-
Secure Private Accessのランディングページで、「 設定」をクリックし、 「 DNSサフィックス」をクリックします。
-
「 DNS Suffix 」フィールドに、非完全修飾名を解決するときに追加する必要があるサフィックスを入力します。
-
[追加] をクリックします。
サフィックスは、追加された順序に基づいて一覧表示されます。管理者はサフィックスを削除または変更できます。
ユースケースの例
以下に注意してください:
- 管理者が IP アドレス 192.0.2.1 をお客様のネットワーク内のマシンに割り当てました。
- マシンのFQDN(IPアドレスが192.0.2.1の)は、「citrix.net」というドメイン(たとえば、workday.citrix.net)にあります。
| DNS サフィックスとアプリ設定 | エンドユーザーエクスペリエンス | ||
|---|---|---|---|
| 1 | 管理者はDNSサフィックスを「citrix.net」に設定し、ユーザー1のアクセスポリシーを「許可」に設定したIPアドレス192.0.2.1のアプリを作成します。 | ユーザー1が「workday」に接続しようとすると、FQDNのサフィックスには「citrix.net」(workday.citrix.net) が付き、IPアドレスは192.0.2.1に解決されます。アプリが設定されているユーザー1には192.0.2.1が許可されているため、アクセスが許可されます。 | |
| 注: エンドユーザーは、192.0.2.1 または workday.citrix.net または「workday」から Workday アプリにアクセスできます。 | |||
| DNS サフィックスを設定しないと、「workday」および「workday.citrix.net」経由のアクセスは拒否されます。 | |||
| 2 | 管理者はDNSサフィックスを「citrix.net」に設定し、FQDN(workday.citrix.net)を使用してアプリを作成し、ユーザー1のアクセスポリシーを「許可」に設定します。 | ユーザー1が「作業日」に接続しようとすると、「citrix.net」の末尾に「workday」が付きます (workday.citrix.net)。アプリケーションが「workday.citrix.net」で構成され、ユーザー1のアクセスポリシーが「許可」に設定されているため、エンドユーザーはWorkdayにアクセスできます。 | |
| 注: エンドユーザーは workday.citrix.net または「workday」から Workday アプリにアクセスできます。 | |||
| この IP アドレスで設定されているアプリがないため、192.0.2.1 へのアクセスは拒否されます。 | |||
| 3 | 管理者はDNSサフィックスを「citrix.net」に設定し、ワイルドカードドメイン「*.citrix.net」を使用してアプリを作成し、 ユーザー1のアクセスポリシーを「許可」に設定します。 | ユーザー1が「作業日」に接続しようとすると、「citrix.net」の末尾に「workday」が付きます (workday.citrix.net)。アプリケーションが「*.citrix.net」で構成され、ユーザー1のアクセスポリシーが「許可」に設定されているため、エンドユーザーはWorkdayにアクセスできます。 | |
| 注: エンドユーザーは workday.citrix.net または「workday」を使用して Workday にアクセスできます。 | |||
| この IP アドレスで設定されているアプリがないため、192.0.2.1 へのアクセスは拒否されます。 | |||
| 4 | 管理者は DNS サフィックスを「citrix.net」として設定します。ユーザー 1 には、FQDN (workday.citrix.net) または 192.0.2.1 のアプリケーションは設定されていません。 | ユーザー1が「workday」に接続しようとすると、クライアントは「workday」のサフィックスに「citrix.net」を付け、「workday.citrix.net」を192.0.2.1と解決します。ただし、ユーザー1はプライベートサーバー (workday.citrix.net/192.0.2.1) に接続できません。これは、ユーザー1が192.0.2.1またはworkday.citrix.netまたは*.citrix.netで構成されているアプリがないため、ユーザー1はプライベートサーバー (workday.citrix.net/192.0.2.1) に接続できません。 | |
| 5 | 管理者は DNS サフィックスを「citrix.net」として設定します。IP アドレス 192.0.2.1 のアプリを追加し、user1 のアクセスポリシーを「拒否」に設定します。次に、解決が192.0.2.1となるFQDNを持つ別のアプリ(workday.citrix.net)を追加し、ユーザー1のアクセスポリシーを「許可」に設定します。 | ユーザー1が「workday」に接続しようとすると、「citrix.net」のサフィックスがWorkday (workday.citrix.net) になり、IPアドレスは192.0.2.1に解決されます。ただし、IP 192.0.2.1 で設定されたアプリケーションのポリシーが FQDN で設定されたアプリケーションよりも優先されるため、Workday へのアクセスは拒否されます。 | |