产品文档
Citrix Endpoint Management
查看 PDF

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

November 7, 2022
投稿者: 
C

XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。有关 Citrix 统一产品组合的更多详细信息,请参阅 Citrix 产品指南

适用于 Exchange ActiveSync 的连接器向 NetScaler 提供 ActiveSync 客户端的设备级别授权服务,而 Citrix Gateway 用作 Exchange ActiveSync 协议的反向代理。可以通过以下组合来控制授权:

  • 您在 Endpoint Management 中定义的策略
  • 由适用于 Exchange ActiveSync 的 Citrix Gateway 连接器在本地定义的规则

有关详细信息,请参阅 ActiveSync Gateway

有关详细的参考体系结构图,请参阅体系结构

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的当前版本为版本 8.5.3。

要下载连接器,请执行以下操作:

  1. 转到 https://www.citrix.com/downloads
  2. 导航到 Citrix Endpoint Management(和 Citrix XenMobile Server)> XenMobile Server (本地) > 产品软件 > XenMobile Server 10 > 服务器组件
  3. Citrix Gateway 连接器磁贴上,单击下载文件

要安装连接器,请参阅安 装适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

重要:

鉴于 Microsoft 在此处宣布的身份验证更改,自 2022 年 10 月起,适用于 Exchange ActiveSync 的 Endpoint Management 和 Citrix Gateway 连接器将不再支持 Exchange Online。适用于 Exchange 的 Endpoint Management 连接器将继续与 Microsoft Exchange Server(本地)结合使用。

版本 8.5.3 中的新增功能

  • 本版本增加了对 ActiveSync 协议 16.0 和 16.1 的支持。
  • 更多详细信息已添加到发送至 Google Analytics 的分析中,特别是相关的快照。[CXM-52261]

早期版本中的新增功能

注意:

以下“新增功能”部分在提到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器时使用其以前的名称 XenMobile NetScaler Connector。名称自版本 8.5.2 起更改。

版本 8.5.2 中的新增功能

  • XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。

此版本中修复了以下问题:

  • 如果在定义策略规则时使用多个条件,并且某个条件涉及用户 ID,则会出现以下问题:如果用户有多个别名,应用该规则时不会检查这些别名。[CXM-55355]

版本 8.5.1.11 中的新增功能

  • 系统要求变更: NetScaler Connector 的当前版本需要使用 Microsoft.NET Framework 4.5。

  • Google Analytics 支持: 我们希望了解您使用 Connector 的方式,以便我们可以专注于可以改进产品的方面。

  • 对 TLS 1.1 和 1.2 的支持: 由于安全性的削弱,PCI 委员会正在弃用 TLS 1.0 和 TLS 1.1。对 TLS 1.2 的支持已添加到 XenMobile NetScaler Connector 中。

监视适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序提供了详细的日志记录。使用日志查看 Secure Mobile Gateway 允许或阻止的通过 Exchange Server 传输的所有流量。

使用日志选项卡可查看转发到适用于 Exchange ActiveSync 的连接器以进行授权的 ActiveSync 请求的历史记录。

此外,为确保适用于 Exchange ActiveSync 的连接器 Web 服务运行,还可将以下 URL 加载到连接器服务器上的浏览器中:https://<host:port>/services/ActiveSync/Version。如果 URL 以字符串形式返回产品版本,则 Web 服务为可响应。

使用适用于 Exchange ActiveSync 的连接器模拟 ActiveSync 流量

可以使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器模拟启用了您的策略时的 ActiveSync 流量。在连接器配置实用程序中,单击 Simulator(模拟器)选项卡。结果将根据您配置的规则显示策略的应用方式。

为适用于 Exchange ActiveSync 的连接器选择过滤器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。以下过滤器可用于 Endpoint Management 中的适用于 Exchange ActiveSync 的连接器。每个过滤器均有两个选项:允许拒绝

  • 匿名设备: 允许或拒绝在 Endpoint Management 中已注册但用户的身份未知的设备。例如,如果用户具有过期的 Active Directory 密码或未知凭据,已注册的用户将具有未知身份。
  • 禁止的应用程序: 基于策略中的阻止列表定义的设备列表以及是否存在阻止列表中的应用程序来允许或拒绝设备。
  • 隐式允许/拒绝: 创建不满足其他任何过滤器规则条件的所有设备的设备列表,并根据该列表允许或拒绝。“隐式允许/拒绝”选项可确保“设备”选项卡中的适用于 Exchange ActiveSync 的连接器状态为已启用,并显示您设备的连接器状态。“隐式允许/拒绝”选项还可以控制所有其他未选定的连接器过滤器。例如,连接器拒绝运行阻止列表中的应用程序。但是,连接器允许所有其他过滤器,因为“隐式允许/拒绝”选项设置为允许
  • 不活动设备: 创建在指定时间内与 Endpoint Management 没有通信的设备的设备列表。这些设备被视为非活动状态。因此,过滤器会允许或拒绝这些设备。
  • 缺少所需的应用程序: 用户注册时,将收到必须安装的所需应用程序的列表。“缺少所需的应用程序”过滤器指示一个或多个应用程序不再存在;例如,用户删除了一个或多个应用程序。
  • 非推荐应用程序: 用户注册时,用户将收到要安装的应用程序列表。“非推荐应用程序”过滤器会在设备中检查不在该列表中的应用程序。
  • 不合规密码: 创建设备上没有通行码的所有设备的设备列表。
  • 不合规设备: 允许您拒绝或允许满足自己内部 IT 合规条件的设备。合规是由名为“不合规”的设备属性定义的任意设置,它是一个可以为的布尔标志。(您可以手动创建此属性并设置值。或者,您可以根据设备是否满足特定条件,使用自动操作在设备上创建此属性。)
    • 不合规 = True: 如果设备不满足您 IT 部门设定的合规标准和策略定义,则该设备不合规。
    • 不合规 = False: 如果设备满足您 IT 部门设定的合规标准和策略定义,则该设备合规。
  • 吊销状态: 创建所有已吊销设备的设备列表,并根据吊销状态允许或拒绝。
  • 已获得 Root 权限的 Android 设备/已越狱的 iOS 设备: 创建包括所有标记为获得 root 权限的设备的设备列表,并根据获得 root 权限的状态允许或拒绝。
  • 未托管设备: 创建包括 Endpoint Management 数据库中所有设备的设备列表。在阻止模式下部署移动应用程序网关。

配置与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的连接

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器通过安全 Web 服务与 Endpoint Management 和其他远程配置提供程序进行通信。

  1. 在适用于 Exchange ActiveSync 的连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入具有管理权限并用于 Endpoint Management 服务器的基本 HTTP 授权的用户名。
  3. URL 中,输入 Endpoint Management GCS 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入用于 Endpoint Management 服务器的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入适用于 Exchange ActiveSync 的连接器的服务器名称。
  6. Baseline Interval(基准时间间隔)中,指定从 Endpoint Management 提取新刷新的动态规则集的时间间隔。
  7. Delta interval(时间间隔差)中,指定提取动态规则更新的时间间隔。
  8. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  9. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  10. Events Enabled(事件已启用)中,如果希望在设备被阻止时适用于 Exchange ActiveSync 的连接器通知 Endpoint Management,则启用此选项。如果要在任何 Endpoint Management 自动化操作中使用连接器规则,则需要使用此选项。
  11. 依次单击 Save(保存)和 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员联系。
  12. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。

添加配置提供程序时,适用于 Exchange ActiveSync 的连接器会自动创建一个或多个与该提供程序关联的策略。NewPolicyTemplate 部分的 config\policyTemplates.xml 中包含的模板定义将定义策略。会为在本节中定义的每个策略元素创建一个新策略。

如果满足以下条件,操作员可以添加、删除或修改策略元素:策略元素符合架构定义,并且不修改标准替换字符串(用括号括起)。接下来,为提供程序添加新组并更新策略以将新组包括在内。

从 Endpoint Management 中导入策略

  1. 在适用于 Exchange ActiveSync 的连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入用于 Endpoint Management 的基本 HTTP 授权的用户名。用户必须具有管理权限。
  3. URL 中,输入 Endpoint Management Gateway Configuration Service (GCS) 的 Web 地址,格式通常为 https://<xdmHost>/xdm/services/<MagConfigService>。MagConfigService 名称区分大小写。
  4. Password(密码)中,输入用于 Endpoint Management 服务器的基本 HTTP 授权的密码。
  5. 单击 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员核查。
  6. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。

  7. Managing Host(管理主机)中,保留本地主机计算机的默认 DNS 名称。在多个 Forefront Threat Management Gateway (TMG) 服务器配置在一个阵列中时,此设置用于协调与 Endpoint Management 的通信。

    保存设置后,打开 GCS。

配置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器策略模式

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器可以在以下 6 种模式下运行:

  • Allow All(全部允许):此策略模式授权对通过适用于 Exchange ActiveSync 的连接器的所有流量进行访问。不使用其他过滤规则。
  • Deny All(全部拒绝):此策略模式阻止通过适用于 Exchange ActiveSync 的连接器的所有流量进行访问。不使用其他过滤规则。
  • Static Rules: Block Mode(静态规则: 阻止模式):此策略模式运行在结尾具有隐式拒绝或阻止语句的静态规则。适用于 Exchange ActiveSync 的连接器会阻止其他过滤规则不允许使用的设备。
  • Static Rules: Permit Mode(静态规则: 允许模式):此策略模式运行在结尾具有隐式许可或允许语句的静态规则。允许未被阻止的设备或被其他过滤规则拒绝的设备通过适用于 Exchange ActiveSync 的连接器。
  • Static + ZDM Rules: Block Mode(静态 + ZDM 规则: 阻止模式)。此策略模式首先运行静态规则,然后执行来自 Endpoint Management 的、在结尾具有隐式拒绝或阻止语句的动态规则。将根据已定义的过滤器和 Endpoint Management 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被阻止。
  • Static + ZDM Rules: Permit Mode(静态 + ZDM 规则: 许可模式)。此策略模式首先运行静态规则,然后执行来自 Endpoint Management 的、在结尾具有显式许可或允许语句的动态规则。将根据已定义的过滤器和 Endpoint Management 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被允许。

适用于 Exchange ActiveSync 的连接器进程根据从 Endpoint Management 收到的基于 iOS 和 Windows 的移动设备的唯一 ActiveSync ID 允许或阻止动态规则。Android 设备的特性由于制造商不同而有所不同,且有些设备没有准备好公开唯一的 ActiveSync ID。为进行补偿,Endpoint Management 会发送 Android 设备的用户 ID 信息,以便做出允许或阻止决定。因此,如果用户只有一个 Android 设备,则其允许和阻止功能正常。如果用户具有多个 Android 设备,则所有设备都被允许,因为无法区别 Android 设备。可以将网关配置为通过 ActiveSyncID(如果已知)静态阻止这些设备。还可以将网关配置为根据设备类型或用户代理进行阻止。

要指定策略模式,请在 SMG Controller 配置实用程序中执行以下操作:

  1. 单击 Path Filters(路径过滤器)选项卡,然后单击 Add(添加)。
  2. Path Properties(路径属性)对话框中,从 Policy(策略)列表中选择策略模式,然后单击 Save(保存)。

可以在配置实用程序的 Policies(策略)选项卡中查看这些规则。这些规则将在适用于 Exchange ActiveSync 的连接器上自上而下处理。“Allow”(允许)策略显示时带有绿色选中标记。“Deny”(拒绝)策略显示为红色圆圈,中间横穿一条直线。要刷新屏幕并查看最新更新的规则,请单击 Refresh(刷新)。也可在 config.xml 文件中修改规则的顺序。

要测试规则,请单击 Simulator(模拟器)选项卡。在字段中指定值。可以从日志中获取值。结果消息指定“允许”或“阻止”。

配置静态规则

请输入具有 ActiveSync 连接 HTTP 请求的 ISAPI 过滤功能读取的值的静态规则。静态规则支持适用于 Exchange ActiveSync 的连接器根据下列准则允许或阻止流量:

  • User(用户):适用于 Exchange ActiveSync 的连接器使用在设备注册时捕获的授权用户值和名称结构。该结构的常见形式是 domain\username,由运行 Endpoint Management 的服务器引用,该服务器通过 LDAP 连接到 Active Directory。连接器配置实用程序中的 Log(日志)选项卡显示通过连接器传递的值。如果连接器必须确定值结构或者如果结构不同,则会传递这些值。
  • DeviceID (ActiveSyncID): 也称为所连接设备的 ActiveSyncID。此值通常可在 Endpoint Management 控制台的特定设备属性页面中找到。此值也可从适用于 Exchange ActiveSync 的连接器配置实用程序的 Log(日志)选项卡中筛选出来。
  • DeviceType(设备类型):适用于 Exchange ActiveSync 的连接器可确定设备是 iPhone、iPad 还是其他设备类型,并能根据准则加以允许或阻止。与其他值一样,连接器配置实用程序可显示为 ActiveSync 连接处理的所有已连接设备的类型。
  • UserAgent(用户代理):包含有关所使用的 ActiveSync 客户端的信息。通常情况下,指定的值对应于移动设备平台的特定操作系统内部版本和版本。

在服务器上运行的适用于 Exchange ActiveSync 的连接器配置实用程序始终管理静态规则。

  1. 在 SMG Controller 配置实用程序中,单击 Static Rules(静态规则)选项卡,然后单击 Add(添加)。
  2. Static Rule Properties(静态规则属性)对话框中,指定要用作条件的值。例如,可通过输入用户名(例如 AllowedUser)然后取消选中 Disabled(禁用)复选框,输入允许访问的用户。

  3. 单击保存

    静态规则现在即生效。此外,还可使用正则表达式来定义值,但必须在 config.xml 文件中启用规则处理模式。

配置动态规则

Endpoint Management 中的设备策略和属性定义动态规则,并且可以触发动态适用于 Exchange ActiveSync 的连接器过滤器。触发器建立在是否存在策略冲突或属性设置的基础之上。适用于 Exchange ActiveSync 的连接器过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。以下配置选项可用于定义是否要使用适用于 Exchange ActiveSync 的连接器允许或拒绝“设备列表”中的设备。

注意:

请使用 Endpoint Management 控制台配置动态规则。

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 ActiveSync Gateway。此时将显示 ActiveSync Gateway 页面。

  3. 激活以下规则中,选择要激活的一个或多个规则。

  4. 在“仅限 Android”中的将 Android 域用户发送到 ActiveSync Gateway 中,单击以确保 Endpoint Management 将 Android 设备信息发送到 Secure Mobile Gateway。

    启用了此选项后,如果 Endpoint Management 没有设备用户的 ActiveSync 标识符,Endpoint Management 会将 Android 设备信息发送到连接器。

通过编辑适用于 Exchange ActiveSync 的连接器的 XML 文件来配置自定义策略

可以在适用于 Exchange ActiveSync 的连接器配置实用程序的策略选项卡上查看默认配置中的基本策略。如果要创建自定义策略,可以编辑适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的 XML 配置文件 (config\config.xml)。

  1. 在文件中找到 PolicyList 部分,然后添加新的 Policy 元素。
  2. 如果还需要新组,例如另一个静态组或支持另一个 GCP 的组,请将新 Group 元素添加到 GroupList 部分。
  3. 也可以通过重新排列 GroupRef 元素,更改现有策略中组的顺序。

配置适用于 Exchange ActiveSync 的连接器的 XML 文件

适用于 Exchange ActiveSync 的连接器使用 XML 配置文件表示连接器的各项操作。此外,此文件还指定组文件和过滤器在评估 HTTP 请求时采取的关联操作。默认情况下,此文件命名为 config.xml 且位于以下位置:..\Program Files\Citrix\XenMobile NetScaler Connector\config。

GroupRef 节点

GroupRef 节点定义逻辑组名称。默认值为 AllowGroup 和 DenyGroup。

注意:

GroupRef 节点在 GroupRefList 节点中出现的顺序非常重要。

GroupRef 节点的 ID 值标识逻辑容器或用于匹配特定用户帐户或设备的成员集合。操作属性指定过滤器处理与集合中的规则匹配的成员的方式。例如,与 AllowGroup 集中的规则匹配的用户帐户或设备将为“passes”。pass 表示允许其访问 Exchange CAS。与 DenyGroup 集中的规则匹配的用户帐户或设备为“rejected”。rejected 表示不允许其访问 Exchange CAS。

特定的用户帐户/设备或组合满足两个组中的规则时,会使用优先级约定来引导请求的结果。优先级通过 GroupRef 节点在 config.xml 文件中的自上而下的顺序体现。GroupRef 节点以优先级顺序排序。“允许”组中针对给定条件的规则将始终优先于“拒绝”组中针对相同条件的规则。

组节点

此外,config.xml 还定义组节点。这些节点将逻辑容器 AllowGroup 和 DenyGroup 链接到外部 XML 文件。存储在外部文件中的条目构成过滤器规则的基础。

注意:

在此版本中,仅支持外部 XML 文件。

默认安装会在配置中实施两个 XML 文件:allow.xml 和 deny.xml。

配置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以将适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置为基于以下属性,选择性地阻止或允许 ActiveSync 请求:Active Sync 服务 ID设备类型用户代理(设备操作系统)、授权用户ActiveSync 命令

默认配置支持静态和动态组的组合。通过使用 SMG Controller 配置实用程序维护静态组。静态组可由已知类别的设备组成,如使用给定用户代理的所有设备。

名为网关配置提供程序的外部源负责维护动态组。适用于 Exchange ActiveSync 的连接器会定期连接这些组。Endpoint Management 可以将允许和阻止设备与用户的组导出到适用于 Exchange ActiveSync 的连接器。

名为网关配置提供程序的外部源负责维护动态组。适用于 Exchange ActiveSync 的连接器定期收集动态组。Endpoint Management 可以将允许和阻止设备与用户的组导出到连接器。

策略是组的有序列表,其中每个组都有关联的操作(允许或阻止)和组成员列表。一个策略可以有任何数量的组。策略内组的排序很重要,因为找到匹配项时就会执行组的操作,不会评估后续的组。

成员定义匹配请求中属性的方式。可以匹配单个属性,如设备 ID,或多个属性,如设备类型和用户代理。

为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器选择安全模型

建立安全模型对于为任何规模的组织成功部署移动设备都至关重要。默认情况下,通常使用受保护或被隔离的网络控制来允许访问用户、计算机或设备。这种做法并非始终属于理想做法。对于确保移动设备的安全性,每个管理 IT 安全的组织的做法可能会略有不同,或者采用定制的方法。

相同的逻辑适用于移动设备安全性。由于移动设备和类型、每个用户的移动设备以及操作系统平台和应用程序的数量都非常大,因此,使用宽容模型属于较差的选择。在大多数组织中,受限模式是最合乎逻辑的选择。

Citrix 允许适用于 Exchange ActiveSync 的连接器与 Endpoint Management 集成的配置方案如下所示:

宽容模型(许可模式)

宽容安全模型的运行前提是,默认情况下允许或授权任何设备进行访问。只有通过规则和过滤,某些设备才将被阻止并应用限制。宽容安全模型非常适合对移动设备的安全要求相对宽松的组织。该模型仅应用限制性控制来在适当的位置拒绝访问(策略规则失败时)。

限制性模型(阻止模式)

受限安全模型的运行前提是,默认情况下不允许或授权任何设备进行访问。通过安全检查点的任何访问都要进行过滤和检查,并且拒绝访问,除非允许访问的规则获得通过。受限安全模型适合对移动设备具有相对严格的安全标准的组织。该模式仅在所有允许访问的规则都通过时,才授权访问网络服务的使用和功能。

管理适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器构建访问控制规则。这些规则允许或阻止访问来自托管设备的 ActiveSync 连接请求。访问基于设备状态、应用程序允许列表或阻止列表以及其他合规条件。

通过使用适用于 Exchange ActiveSync 的连接器配置实用程序,可以构建强制实施公司电子邮件策略的动态和静态规则。这些规则和策略允许您阻止违反合规性标准的用户。也可设置电子邮件附件加密,使通过您的 Exchange Server 到达托管设备的所有附件都被加密。只有具有托管设备的授权用户才能查看加密的附件。

卸载 XNC

  1. 使用管理员帐户运行 XncInstaller.exe。
  2. 按照屏幕说明完成卸载。

安装、升级或卸载适用于 Exchange ActiveSync 的连接器

  1. 使用管理员帐户运行 XncInstaller.exe 以安装适用于 Exchange ActiveSync 的连接器,或者升级或删除现有连接器。
  2. 按照屏幕说明完成安装、升级或卸载。

安装适用于 Exchange ActiveSync 的连接器后,必须手动重新启动 Endpoint Management 配置服务和通知服务。

安装适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以将适用于 Exchange ActiveSync 的连接器安装在其自己的服务器上,或与 Endpoint Management 安装在相同的服务器上。

可出于以下原因考虑将适用于 Exchange ActiveSync 的连接器安装在其自己的服务器上(与 Endpoint Management 分开):

  • Endpoint Management 服务器在云端被远程托管(物理位置)
  • 如果您不希望Endpoint Management 服务器的重新启动影响适用于 Exchange ActiveSync 的连接器(可用性)。
  • 如果您希望服务器的系统资源完全专用于适用于 Exchange ActiveSync 的连接器(性能)

适用于 Exchange ActiveSync 的连接器在服务器上放置的 CPU 负载取决于托管的设备数量。一般建议是,如果连接器与 Endpoint Management 部署在同一台服务器上,则会再配置一个 CPU 核心。对于大量设备(超过 50000 个),如果没有群集环境,可能需要预配更多核心。连接器的内存占用量不足,无法保证更多内存。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的系统要求

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器通过在 Citrix Gateway 设备上配置的 SSL 桥接与 Citrix Gateway 进行通信。该桥接允许设备将所有安全流量直接桥接到 Endpoint Management。适用于 Exchange ActiveSync 的连接器要求的最低系统配置如下:

组件 要求
计算机和处理器 733 MHz Pentium III 733 MHz 或更高版本的处理器。2.0 GHz Pentium III 或更高版本的处理器(建议)
Citrix Gateway Citrix Gateway 设备,软件版本 10
内存 1 GB
硬盘 具有 150 MB 可用硬盘空间的 NTFS 格式本地分区
操作系统 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持将于 2020 年 1 月 14 日结束。
其他设备 与主机操作系统兼容的网络适配器(用于与内部网络通信)
Microsoft .NET Framework 版本 8.5.1.11 需要使用 Microsoft.NET Framework 4.5。
显示 VGA 或更高分辨率的显示器

适用于 Exchange ActiveSync 的连接器的主机计算机要求的最小可用硬盘空间如下:

  • 应用程序: 10 - 15 MB(建议 100 MB)
  • 日志记录: 1 GB(建议 20 GB)

有关 Exchange ActiveSync 连接器的平台支持的信息,请参阅 支持的设备操作系统

设备电子邮件客户端

并非所有电子邮件客户端都一致地为设备返回相同的 ActiveSync ID。由于适用于 Exchange ActiveSync 的连接器要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。Citrix 已测试这些电子邮件客户端,并且这些客户端在执行时没有错误:

  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端

部署适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器使您可以使用 Citrix Gateway 来代理并平衡 Endpoint Management 服务器与 Endpoint Management 托管设备之间的通信负载。适用于 Exchange ActiveSync 的连接器定期与 Endpoint Management 通信以同步策略。可以将适用于 Exchange ActiveSync 的连接器和 Endpoint Management 共同或单独组成群集。

适用于 Exchange ActiveSync 的连接器组件

  • 适用于 Exchange ActiveSync 的连接器服务: 此服务提供一个 REST Web 服务界面,Citrix Gateway 可以调用该界面以确定来自设备的 ActiveSync 请求是否获得授权。
  • Endpoint Management 配置服务: 此服务与 Endpoint Management 进行通信,以将 Endpoint Management 策略更改与适用于 Exchange ActiveSync 的连接器同步。
  • Endpoint Management 通知服务: 此服务将未经授权的设备访问通知发送到 Endpoint Management。这样,Endpoint Management 可以采取恰当的措施,例如通知用户设备被阻止的原因。
  • 适用于 Exchange ActiveSync 的连接器配置实用程序:此应用程序允许管理员配置并监视适用于 Exchange ActiveSync 的连接器。

设置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的侦听地址

要使适用于 Exchange ActiveSync 的 Citrix Gateway 连接器接收来自 Citrix Gateway 的授权传输 ActiveSync 流量的请求,请执行以下操作。指定适用于 Exchange ActiveSync 的连接器在其上侦听 Citrix Gateway Web 服务调用的端口。

  1. 开始菜单中,选择适用于 Exchange ActiveSync 的连接器配置实用程序。
  2. 单击 Web Service(Web 服务)选项卡,然后键入连接器 Web 服务的侦听地址。可以选择 HTTPHTTPS,或者同时选择两者。如果适用于 Exchange ActiveSync 的连接器与 Endpoint Management 的位置相同(安装在同一服务器上),请选择与 Endpoint Management 不冲突的端口值。
  3. 配置值后,单击 Save(保存),然后单击 Start Service(启动服务),启动 Web 服务。

在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器中配置设备访问控制策略

要配置将应用于托管设备的访问控制策略,请执行以下操作:

  1. 在适用于 Exchange ActiveSync 的连接器配置实用程序中,单击 Path Filters(路径过滤器)选项卡。
  2. 选择第一行 Microsoft-Server-ActiveSync is for ActiveSync(Microsoft-Server-ActiveSync 适用于 ActiveSync),然后单击 Edit(编辑)。
  3. Policy(策略)列表中,选择所需策略。对于包含 Endpoint Management 策略的策略,请选择 Static + ZDM: Permit Mode(静态 + ZDM: 允许模式)或 Static + ZDM: Block Mode(静态 + ZDM: 阻止模式)。这些策略将本地(或静态)规则与 Endpoint Management 的规则组合在一起。Permit Mode(许可模式)表示允许未被规则明确识别的所有设备访问 ActiveSync。Block Mode(阻止模式)表示阻止此类设备。
  4. 设置策略后,单击 Save(保存)。

配置与 Endpoint Management 的通信

指定要与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器和 Citrix Gateway 结合使用的 Endpoint Management 服务器的名称和属性。

注意:

此任务假定您已安装并配置 Endpoint Management。Exchange ActiveSync 配置实用程序使用“适用于 Endpoint Management 的配置提供程序”这一术语。

  1. 在适用于 Exchange ActiveSync 的连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. 输入您在此部署中使用的 Endpoint Management 服务器的名称和 URL。如果您在多租户部署中部署了多个 Endpoint Management 服务器,则对每个服务器实例而言,此名称必须唯一。
  3. URL 中,输入 Endpoint Management 全局配置提供程序 (GCP) 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入用于 Endpoint Management Web 服务器的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入安装了适用于 Exchange ActiveSync 的连接器的服务器名称。
  6. Baseline Interval(基准时间间隔)中,指定从 Endpoint Management 提取新刷新的动态规则集的时间间隔。
  7. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  8. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  9. Events Enabled(事件已启用)中,如果希望在设备被阻止时 Secure Mobile Gateway 通知 Endpoint Management,则启用此选项。如果在任何 Endpoint Management 自动操作中都使用了 Secure Mobile Gateway 规则,则此选项是必需的。
  10. 配置服务器后,单击 Test Connectivity(测试连接),测试与 Endpoint Management 的连接。
  11. 建立连接后,单击 Save(保存)。

为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器部署冗余和可扩展性

要扩展适用于 Exchange ActiveSync 的 Citrix Gateway 连接器和 Endpoint Management 部署,可在多个 Windows Server 上安装适用于 Exchange ActiveSync 的连接器实例。所有连接器实例都指向同一个 Endpoint Management 实例。然后,您可以使用 Citrix Gateway 来平衡服务器的负载。

适用于 Exchange ActiveSync 的连接器配置有两种模式:

  • 在非共享模式下,每个适用于 Exchange ActiveSync 的连接器实例都与一个 Endpoint Management 服务器进行通信,并且保存所产生策略的自己的私有副本。例如,对于 Endpoint Management 服务器的群集,您可以在每个 Endpoint Management 服务器上运行一个连接器实例。然后,连接器从本地 Endpoint Management 实例获取策略。
  • 在共享模式下,一个适用于 Exchange ActiveSync 的连接器节点被指定为主节点。连接器与 Endpoint Management 进行通信。其他节点通过 Windows 网络共享或 Windows(或第三方)复制功能共享产生的配置。

整个适用于 Exchange ActiveSync 的连接器配置在一个文件夹中(由多个 XML 文件组成)。连接器进程将检测对此文件夹中的任何文件所做的更改,并自动重新加载配置。共享模式中的主节点没有故障转移功能。但是,系统可以容忍主服务器关闭几分钟(例如,重新启动)。上次已知良好的配置在连接器进程中缓存。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
November 7, 2022
投稿者: 
C
November 7, 2022
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.