Citrix Gateway Connector

NetScaler Gateway Connectorは、クラウドサービス（Secure Private Accessサービス、ADMなど）とWebサーバーなどのオンプレミスコンポーネント間の通信チャネルとして機能するCitrixコンポーネントです。Citrix Hypervisor、VMware ESXi、およびMicrosoft Hyper-Vと小型フォームファクタで互換性のある仮想アプライアンスです。NetScaler Gateway Connectorは、エンタープライズWebアプリケーションへのリモートアクセスを容易にします。

重要：

• NetScaler Gateway Connectorは廃止されました。Citrixでは、Connector Appliance への移行をお勧めします。Connector Applianceについて詳しくは、 クラウドサービス用Connector Applianceを参照してください。

• Gateway ConnectorをConnector Applianceに移行するには、 「Connector ApplianceへのGateway Connectorの移行」を参照してください。

• TCP アプリの場合、Connector Applianceを使用する必要があります。

機能

NetScaler Gateway Connectorは、Citrix Cloud とリソースの場所の間のすべての通信を認証および暗号化します。NetScaler Gateway ConnectorとCitrix Cloud の間の通信はアウトバウンドです。すべての接続は、標準のHTTPSポート（443）とTCPプロトコルを使用して、NetScaler Gateway Connectorからクラウドに確立されます。受信接続は受け入れられません。次の FQDN を持つ TCP ポート 443 は、アウトバウンドが許可されます。

• *.nssvc.net
• *.netscalermgmt.net
• *.citrixworkspacesapi.net
• *.citrixnetworkapi.net
• *.citrix.com
• *.servicebus.windows.net
• *.adm.cloud.com

注：

NetScaler Gateway Connectorを展開する必要があるオンプレミスのデータセンターにSSLインターセプトデバイスがある場合、これらのFQDNでSSLインターセプトが有効になっていると、コネクタの登録は成功しません。コネクタを正常に登録するには、これらの FQDN に対して SSL インターセプトを無効にする必要があります。

NetScaler Gateway Connectorの機能

NetScaler Gateway Connectorの機能の一部を次に示します。

• リバースプロキシとして機能する — NetScaler Gateway Connectorは、エンタープライズWebアプリケーションへのリバースプロキシとして機能します。必要な Web アプリケーションポートは、Gateway Connectorからアプリに開く必要があります。
• シングルサインオンを有効にする：NetScaler Gateway Connectorは、Secure Private Accessサービスで次のシングルサインオン機能を提供します。
  • 基本SSO
  • kerberos
  • フォームベース
  • SAML
  • SSOなし

詳しくは、「エンタープライズ Web アプリのサポート」および「SaaSアプリのサポート」を参照してください。

システム要件

NetScaler Gateway Connectorは仮想アプライアンスです。NetScaler Gateway Connectorの最小システム要件は次のとおりです。

• 仮想 CPU の数は正確に 2 にする必要があります。

• 最小 4 GB RAM。

  重要:

  RAM の新しい最小システム要件が変更されました。既存のNetScaler Gateway Connectorを使用している場合は、仮想マシンのシステムメモリをアップグレードして、新しい要件である4 GB RAMと一致させます。

詳しくは、「 NetScaler Gateway Connector仮想マシンのシステムメモリのアップグレード」を参照してください。

• 1 つのネットワークアダプタ (仮想 NIC)。必要に応じて、追加の仮想 NIC を追加できます。

• ファイアウォール:

  • DNS サーバへの UDP ポート 53
  • Active Directory ドメインコントローラへの TCP および UDP ポート 389 (オプション* - *の説明はページの最後に記載されています)
  • Active Directory ドメインコントローラへのTCPポート 636（オプション *）
  • Active Directory ドメインコントローラへの TCP ポート 3268 (オプション *)
  • Active Directory ドメインコントローラへの TCP ポート 3269 (オプション *)
  • 次の FQDN を持つ TCP ポート 443 は、アウトバウンドが許可されます。
    • *.nssvc.net
    • *.netscalermgmt.net
    • *.citrixworkspacesapi.net
    • *.citrixnetworkapi.net
    • *.citrix.com
    • *.servicebus.windows.net
    • *.adm.cloud.com
  • NetScaler Gateway Connectorを使用してアクセスされるWebサーバーへのTCPポート（**）

  • Webベースの管理のためにポート8443インバウンドを開く

    * - Webアプリケーションへのドメインベースのシングルサインオンを実行するために必要 **- ポート80と443は顧客の環境によって決定されます。

推奨: 初期設定を簡素化するために、DHCP を有効にしたネットワーク。

NetScaler Gateway Connectorをインストールする方法

NetScaler Gateway Connectorは、次のいずれかの方法でインストールできます。

• Citrix Cloudのユーザーインターフェイスから
• エンタープライズ Web アプリの追加中

どちらの場合も、次のセクションで説明するように、新しい仮想マシンを作成する必要があります。

新しい仮想マシンの作成

1. Citrix Cloudにサインインします。
2. 画面左上のメニューから、[ リソースの場所] を選択します。
   • 既存のリソースの場所がない場合、［リソースの場所］ページで ［ダウンロード］ をクリックします。プロンプトが表示されたら、cwcconnector.exeファイルを保存します。詳しくは、「 Cloud Connector のインストール」を参照してください。
   • リソースの場所がありCloud Connectorがインストールされていない場合は、Cloud Connectorバーをクリックし、［ダウンロード］ を選択します。プロンプトが表示されたら、cwcconnector.exeファイルを保存します。

3. [ Gateway Connector] をクリックします。

4. ハイパーバイザーを選択し、[ イメージのダウンロード] をクリックします。ローカルにダウンロードしたイメージをハイパーバイザーにインポートし、新しい仮想マシンを作成します（NetScaler Gateway Connector）。

5. [ アクティベーションコードを取得] をクリックします。

6. アクティベーションコードは次のように生成されます。

   

7. インストールが完了したら、[ Detect] をクリックします。

Citrix Cloudユーザーインターフェイスを使用してNetScaler Gateway コネクタをインストールする

Citrix Cloudユーザーインターフェイスを使用してリソースの場所を設定し、NetScaler Gateway Connectorをインストールする手順は次のとおりです。

1. Citrix Cloud画面の左上にあるハンバーガーアイコンをクリックし 、［ リソースの場所］を選択します。[ リソースの場所] の横のプラスアイコンをクリックします。

2. リソースの場所の名前を入力し、[ 保存] をクリックします。

3. 新しく作成したリソースの場所で、NetScaler Gateway Connectorの横にあるプラスアイコンをダブルクリックします。

4. 「 新しい仮想マシンの作成」の説明に従って手順を完了します。

エンタープライズWebアプリの追加中にNetScaler Gateway Connectorをインストールする

Secure Private Access サービスのユーザーインターフェイスを使用してエンタープライズ Web アプリを追加するときに、新しいリソースの場所を設定し、コネクタをダウンロードできます。エンタープライズ Web アプリの追加について詳しくは、「エンタープライズ Web アプリのサポート」を参照してください。

リソースの場所を設定し、コネクタをダウンロードするには、次の手順に従います。

1. [ Web アプリの接続 ] セクションで、[ 新規作成 ] ラジオボタンを選択します。リソースの場所の名前を入力し、[ 保存] をクリックします。

2. ［ NetScaler Gateway Connectorのインストール］をクリックします

   

3. 「 新しい仮想マシンの作成」の説明に従って手順を完了します。

URLを使用してNetScaler Gateway Connectorのユーザーインターフェイスにアクセスします

NetScaler Gateway Connectorのユーザーインターフェイスには、新しくインストールされたNetScaler Gateway Connector仮想マシンのいずれかのメッセージに表示されるURLを使用してアクセスできます。NetScaler Gateway Connector CLIに管理者としてログオンし、DHCP経由でNetScaler Gateway Connectorに割り当てられたIPアドレスを表示するshow ipコマンドを実行することもできます。次に、https://<IP address>:8443をブラウザーで開いて、NetScaler Gateway Connector管理ユーザーインターフェイスにアクセスできます。

重要：

Azureの場合は、Azure仮想ネットワーク内からNetScaler Gateway Connectorのユーザーインターフェイスにアクセスすることをお勧めします。

ログオンしてNetScaler Gateway Connectorをセットアップする

NetScaler Gateway Connectorのインストールが完了したら、新しくインストールされた仮想マシン（NetScaler Gateway Connector）で次のメッセージを探します。

上記のURLをブラウザーに入力して、NetScaler Gateway Connectorユーザーインターフェイスにアクセスします。NetScaler Gateway Connector CLIに管理者としてログオンし、 show ipコマンドを実行することもできます。このコマンドは、DHCPを介してNetScaler Gateway Connectorに割り当てられたIPアドレスを表示します。次に、<https://IP address:8443>をブラウザーで開き、NetScaler Gateway Connectorの管理ユーザーインターフェイスにアクセスします。

1. 次の画面のユーザー名とパスワードは、 最初のユーザーのadministratorです。

   

2. [ 管理者パスワードの設定] セクションで任意のパスワードを入力してパスワードを変更し 、[ 続行] をクリックします。

3. [ システム設定 ] セクションに次の構成の詳細を入力し、[ 続行] をクリックします。
   • コネクタの IP アドレス — Gateway Connectorの IP アドレス。
   • サブネットマスク — Gateway Connectorの IP アドレスのサブネットマスク。
   • デフォルトゲートウェイ — デフォルトゲートウェイの IP アドレス。
   • DNSサーバ ：DNSサーバのIPアドレス。NetScaler Gateway Connectorリリース13.0以降、DNSサーバーの構成が変更されています。詳しくは、「 DNS サーバー設定の変更方法」を参照してください。
   • プロキシ IP — 内部プロキシサーバーの IP アドレス。
   • プロキシポート — プロキシサーバーのポート。

   

   DNS サーバー設定への変更:

   NetScaler Gateway Connector 13.0.400.xxから、Connector Appliance上のUDPプロトコルとTCPプロトコルの両方のDNS構成が［ システム設定 ］セクションで設定されると、自動的に更新されます。ただし、以前のバージョンからコネクタをアップグレードする場合は、DNS 設定を手動で削除し、再度読み取る必要があります。これを行うには、次の手順を実行します。

   1. NetScaler Gateway Connectorダッシュボードの［設定の編集］に移動します。
   2. 最初の DNS サーバフィールドの横にある [削除] アイコンをクリックし、[ 続行] をクリックします。
   3. [ 設定の編集 ] ページに移動し、同じ DNS サーバーを読み取り、[ 続行] をクリックします。
   4. 2 番目の DNS サーバーに対して手順を繰り返します。 注：
      • 13.0 NetScaler Gateway Connectorの新しいインスタンスについては、以下の手順を実行する必要はありません。
      • アップグレード直後に、前述の手順を実行する必要はありません。これが行われないと、機能が失われることはありません。これらの手順は、エンタープライズ Web アプリを正しく機能させるには、DNS over TCP 機能を必要とする企業の顧客に対して実行する必要があります。

4. [ シングルサインオン ] セクションで、基本認証以外の機能については、[ Kerberos シングルサインオンを有効にする ] をオンにします。

   Active Directory ドメインはグローバルドメインであり、KCD アカウントのレルムとして設定されます。ユーザーのグローバルレルムを上書きする場合は、コネクタで次のコマンドを使用できます。コネクタ設定ページへのログオンに使用するのと同じ認証情報を使用して、Gateway Connectorに SSH 接続します。次のコマンドを入力します。

   set kcdaccount ngs_kcdaccount -userRealm <value>
   <!--NeedCopy-->
   

   例:この例では 、レルム aa.local がグローバルドメインで、bbb.local はオーバーライドされたユーザーレルムです。

   ssh kcdaccount
     KCD Account : ngs_kcdaccount
     Keytab :
     Realm : AAA.LOCAL
     User Realm : BBB.LOCAL
     DelegatedUser :
     User Certificate :
     CA Certificate :
   Done
   <!--NeedCopy-->
   

   レルム専用モードと完全な Kerberos 制約付き委任 (KCD) の 2 つの方法で Kerberos の詳細を検証できます。

   重要：

   NetScaler Gateway ConnectorでKCDを使用するには、NetScaler Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定する必要があります。詳しくは、「 NetScaler Gateway ConnectorでKCDを構成する前に、データセンターでKCDをセットアップするための前提条件」を参照してください。

   [ テスト ] オプションは、デバッグ目的で使用できます。たとえば、Kerberos の詳細が正しく設定されておらず、アプリが追加された場合、アプリケーションに対する SSO は失敗します。

   1. レルム専用モードの場合は、[ Kerberos シングルサインオンを有効にする] を選択し、 次の詳細を入力して [ Kerberos のテスト] をクリックします。
      • Active Directory ドメイン — アクセスを許可するユーザーの Active Directory ドメイン。
      • サービス FQDN -サービスの完全修飾名 (ユーザーが Web アプリを構成してアクセスする必要があるサービス FQDN)。
      • [ ユーザー名] — ログオンしているユーザーのユーザー名。
      • 「パスワード 」— ログオンしているユーザーのパスワード。

      

   2. 完全な Kerberos 制約付き委任の場合は、[ Kerberos 制約付き委任] を選択し、 次の詳細を入力し、[ Kerberos のテスト] をクリックします。
      • Active Directory ドメイン — アクセスを許可するユーザーの Active Directory ドメイン。
      • サービスアカウントのユーザー名 — 委任に使用されるサービスアカウントのユーザー名。詳しくは、「 NetScaler Gateway ConnectorでKCDを構成する前に、データセンターでKCDをセットアップするための前提条件」を参照してください。
      • [サービスアカウントのパスワード ] — 委任に使用するサービスアカウントのユーザー名のパスワード。
      • サービス FQDN -サービスの完全修飾名 (ユーザーが Web アプリを構成してアクセスする必要があるサービス FQDN)。
      • ユーザー名 ：ログオンしているユーザーのユーザー名。

      

   どちらの場合も、検証が成功したかどうかに基づいて、それぞれのメッセージが表示されます。次の図は、検証エラーメッセージの例を示しています。

5. ライセンス認証コードを入力して、コネクタをCitrix Cloudに登録します。[ 保存して終了] をクリックします。

6. [ 接続テスト] をクリックします。(このステップはオプションです)

   

   [ 接続テスト ] オプションを使用すると、Gateway Connectorの構成にエラーがなく、Gateway Connectorが URL に接続できることを確認できます。この手順はオプションです。この手順をスキップして、Gateway Connectorのアクティブ化に進むことができます。

   • [ 接続テスト] をクリックすると、一連の URL がバックエンドで実行され、コネクタがこれらの URL に接続できることを確認します。すべての URL が正常に実行されると、接続テスト成功のメッセージが表示されます。[接続テスト] をクリックすると、次の FQDN が実行されます。

     • agent.netscalermgmt.net
     • agent.netscalermgmt.net
     • trust.citrixnetworkapi.net
     • download.citrixnetworkapi.net
     • web-reg.c.nssvc.net
     • agent.adm.cloud.com
     • anse.agent.adm.cloud.com
     • railay.agent.adm.cloud.com
     • agent.netscalermgmt.net
     • evergreen.citrixnetworkapi.net
     • agenthub.citrixworkspacesapi.net
     • callhome.citrix.com

   • これらの URL のいずれかが応答しない場合、エラーメッセージが表示され、対応する URL が表示されます。エラーメッセージは 3 つのカテゴリに分類されます。

     • DNS エラー
     • サーバーエラー
     • SSL 例外

   次の画像は、エラーメッセージの例を示しています。

   

   

7. 最後に、ライセンス認証コードを入力してコネクタをCitrix Cloudに登録し、［ 保存して完了］をクリックします。

   アクティベーションコードの取得方法について詳しくは、「 新しい仮想マシンの作成」を参照してください。

NetScaler Gateway ConnectorでKCDを構成する前に、データセンターでKCDを設定するための前提条件

1. 委任に使用する必要があるユーザーアカウントを Active Directory に作成します。

   

2. KCD を使用する必要がある Web サーバーのサービスプリンシパル名 (SPN) を追加するには、次のコマンドを使用します。

   setspn -A http://<webserver fqdn> <domain\Kerberos user>
   <!--NeedCopy-->
   

3. 次のコマンドを使用して、Kerberos ユーザーの SPN を確認します。

   setspn –l <Kerberos user>
   <!--NeedCopy-->
   

   次の例では、KCD アカウントがアクセスする必要がある Web サーバーの SPN が追加されます。

   

   setspnコマンドを実行すると、[ 委任 ] タブが表示されることに注意してください。

   

4. [ 指定したサービスへの委任にのみこのユーザーを信頼する ] と [ 任意の認証プロトコルを使用する] を選択します。

5. Kerberos SSO を必要とする Web サーバを追加し、[ サービスタイプ ] を [ http] として選択します。

   

注：

NetScaler Gateway ConnectorでKCDを構成するときに、このユーザーアカウントを使用できるようになりました。このユーザーアカウントは、サービスアカウントのユーザー名として追加する必要があります。

NetScaler Gateway Connectorの登録の問題

トレース機能およびログのダウンロード機能を使用して、NetScaler Gateway Connectorの登録に関する問題のトラブルシューティングを行うことができます

トレース機能

NetScaler Gateway Connectorの登録中に、登録が成功しない可能性がある問題が発生することがあります。これらの問題のトラブルシューティングを行うには、コネクタを初めて登録するときに表示される [ トレース情報 ] リンクを使用できます。トレースファイルをダウンロードし、トラブルシューティングのために管理者と共有できます。トレースファイルは暗号化された形式です。 [ トレース情報 ] リンクは、登録後もGateway Connectorのダッシュボードでも使用できます。デバッグの問題のために、ダッシュボードからトレースファイルをキャプチャしてダウンロードすることもできます。

トレースファイルのダウンロード方法

1. [ トレース情報] をクリックします。

   

2. [ トレース] ダイアログボックスで、トレースを実行する期間を選択し 、[ 開始] をクリックします。[ トレース ] ダイアログボックスに進行状況が表示されます。

   

3. 処理中のトレースは、完了する前に停止できます。次に、[ダウンロード] ボタンをクリックして、 トレースファイルをダウンロードできます 。ダイアログボックスから新しいトレースを開始することもできます。

   

注： 登録の失敗をデバッグするには、あらかじめ設定された間隔を指定してトレースを開始し、アクティベーションコードを入力し、登録のために送信します。

• 登録に失敗した場合は、[ トレース情報 ] リンクをクリックして、[ トレース ] ダイアログボックスを表示し、トレースを停止し、トレースファイルをダウンロードできます。
• 登録が成功すると、ダッシュボードコンソールが起動し、トレースはバックグラウンドで自動的に停止します。

重要：

• トレースが完了する前に [トレース ] ウィンドウを閉じても、トレースは停止しません。トレースは、完了するまでバックグラウンドで実行され続けます。
• トレースの進行中にブラウザを更新または閉じると、トレースが無期限に実行されないようにするには、[ トレース情報 ] リンクをクリックしてトレースを手動で停止する必要があります。このシナリオでは、[ トレース情報 ] リンクは、[ 停止 ] ボタンのみを表示し、[ ダウンロード ] ボタンは表示されません。したがって、キャプチャされたトレースをダウンロードできません。トレースを再度キャプチャするには、[ 新しいトレースを開始] をクリックします。

ログをダウンロードする

[ログのダウンロード] オプションは、Gateway Connectorのバージョン 401.251 から使用できます。以前のバージョンのコネクタを使用していて、コネクタをバージョン 401.251 にアップグレードしても、[ログのダウンロード] リンクが使用可能であっても、 ログをダウンロードできません 。

ログをダウンロードする方法

1. [ ログのダウンロード] をクリックします。

   [ ログのダウンロード ] リンクは、コネクタのセットアップに役立つ初回使用時でも使用できます。

   ログファイルが生成されます。ログファイルの生成にはしばらく時間がかかります。ログファイルが生成されると、ダウンロードファイルへのリンクを含むメッセージが表示されます。

2. ［Download］ をクリックします。.tgz ファイルがダウンロードされます。

ダウンロードフォルダ内のすべてのファイルは、暗号化された形式です。Citrix Cloudサポートチームにお問い合わせください。

NetScaler Gateway Connectorを削除する

NetScaler Gateway Connectorを削除するには、次の手順を実行します。

1. Citrix Cloudにサインインします。

2. 画面左上のメニューから [ リソースの場所 ] を選択します。

3. [リソースの場所] ページで、特定のリソースの場所の [ Gateway Connector ] をクリックします。

4. 削除するGateway Connectorを選択し、省略記号メニューをクリックします。

5. [ コネクタを削除] を選択します。

   確認ダイアログボックスが開きます。

6. ［OK］ をクリックします。

   注: Gateway Connectorが [リソースの場所] ページから削除されるまでに数分かかる場合があります。また、Gateway Connectorがゲートウェイコントローラから登録解除されるまでに時間がかかる場合があります。

NetScaler Gateway Connector仮想マシンのシステムメモリをアップグレードする

Gateway Connectorの RAM サイズは、デフォルトで 2 GB です。したがって、最適なパフォーマンスを得るために、RAM サイズを 4 GB に増やすことをお勧めします。この推奨事項は、新規または既存のコネクタのインストールに適用されます。

高可用性を実現するために、リソースの場所ごとに 2 つのコネクタがある場合は、次の手順を実行してコネクタの仮想マシンをアップグレードします。

1. ハイパーバイザーから、コネクタ仮想マシンの 1 つをシャットダウンします。
2. ハイパーバイザーのタイプに応じて、仮想マシンのハードウェア構成または設定を編集します。
3. [メモリ] タブに移動します。
4. RAM サイズが 2,048 MB の場合は、4,096 MB に増やし、設定を保存します。
5. 仮想マシンをパワーアップします。
6. 2 番目のコネクタの仮想マシンでもこれらの手順を繰り返します。

重要:

停止を避けるために、一度に 1 つのコネクタをアップグレードしてください。

NetScaler Gateway Connectorの継続的な可用性

各リソースの場所でNetScaler Gateway Connectorの継続的な可用性を確保している限り、システム停止期間を回避するために、それらがインストールされているマシンを一度に1つずつ管理できます。

継続的な可用性を実現するには、各リソースの場所に複数のNetScaler Gateway Connectorをインストールします。各リソースの場所に少なくとも2つのNetScaler Gateway Connectorを使用することをお勧めします。1つのNetScaler Gateway Connectorがいつでも使用できない場合、他のNetScaler Gateway Connectorは接続を維持できます。 使用可能なNetScaler Gateway Connectorが1つある限り、Citrix Cloud との通信が失われません。 NetScaler Gateway Connectorは、24時間ごとに指定されたメンテナンスウィンドウ内のアップグレードを制限し、リソースの場所ごとに制御できます。

負荷管理

各リソースの場所に複数のNetScaler Gateway Connectorをインストールして、負荷を管理します。各NetScaler Gateway Connectorはステートレスであるため、使用可能なすべてのNetScaler Gateway Connectorに負荷を分散できます。この負荷分散機能を構成する必要はありません。この機能は自動化されています。