Citrix Endpoint Management

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器

XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器。有关 Citrix 统一产品组合的更多详细信息,请参阅 Citrix 产品指南

适用于 Exchange ActiveSync 的连接器向 NetScaler Gateway 提供 ActiveSync 客户端的设备级别授权服务,而 NetScaler Gateway 用作 Exchange ActiveSync 协议的反向代理。可以通过以下组合来控制授权:

  • 您在 Citrix Endpoint Management 中定义的策略
  • 由适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器在本地定义的规则

有关详细信息,请参阅 ActiveSync Gateway

有关详细的参考体系结构图,请参阅体系结构

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器的当前版本为 8.5.3 版。

要下载连接器,请执行以下操作:

  1. 转到 https://www.citrix.com/downloads
  2. 导航到 Citrix Endpoint Management(和 Citrix XenMobile Server)> XenMobile Server (本地) > 产品软件 > XenMobile Server 10 > 服务器组件
  3. NetScaler Gateway 连接器磁贴上,单击下载文件

要安装连接器,请参阅安装适用于 Exchange ActiveSync 的 NetScaler Gateway 接口

重要:

鉴于 Microsoft 在此处宣布的身份验证变更,从 2022 年 10 月开始,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 和 NetScaler Gateway 连接器将不再支持 Exchange Online。适用于 Exchange 的 Citrix Endpoint Management 连接器可继续与 Microsoft Exchange Server(本地)配合使用。

版本 8.5.3 中的新增功能

  • 本版本增加了对 ActiveSync 协议 16.0 和 16.1 的支持。
  • 更多详细信息已添加到发送至 Google Analytics 的分析中,特别是相关的快照。[CXM-52261]

早期版本中的新增功能

注意:

以下“新增内容”部分指的是适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器,其原名为 XenMobile NetScaler Connector。该名称已从 8.5.2 版本更改。

版本 8.5.2 中的新增功能

  • XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器。

此版本修复了以下问题:

  • 如果在定义策略规则时使用多个标准,并且如果标准涉及用户 ID,则可能会出现以下问题:如果用户有更多别名,则在应用规则时也不会检查别名。[CXM-55355]

版本 8.5.1.11 中的新增功能

  • 系统要求变更: NetScaler Connector 的当前版本需要使用 Microsoft.NET Framework 4.5。

  • Google Analytics 支持: 我们希望了解您使用 Connector 的方式,以便我们可以专注于可以改进产品的方面。

  • 对 TLS 1.1 和 1.2 的支持: 由于安全性的削弱,PCI 委员会正在弃用 TLS 1.0 和 TLS 1.1。对 TLS 1.2 的支持已添加到 XenMobile NetScaler Connector 中。

监视 Exchange ActiveSync 的 NetScaler Gateway 连接器

适用于 Exchange ActiveSync 配置工具的 NetScaler Gateway 连接器提供详细的日志。使用日志查看 Secure Mobile Gateway 允许或阻止的通过 Exchange Server 传输的所有流量。

使用日志选项卡可查看转发到适用于 Exchange ActiveSync 的连接器以进行授权的 ActiveSync 请求的历史记录。

此外,为确保 Exchange ActiveSync 网络服务的连接器正在运行,请将以下 URL 加载到连接器服务器 https://<host:port>/services/ActiveSync/Version 的浏览器中。如果 URL 以字符串形式返回产品版本,则 Web 服务为可响应。

使用适用于 Exchange ActiveSync 的连接器模拟 ActiveSync 流量

您可以使用适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器根据您的策略模拟 ActiveSync 流量。在连接器配置实用程序中,单击 Simulator(模拟器)选项卡。结果将根据您配置的规则显示策略的应用方式。

为适用于 Exchange ActiveSync 的连接器选择过滤器

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器过滤器的工作原理是分析设备中是否存在给定的策略违规行为或属性设置。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。以下过滤器可用于 Citrix Endpoint Management 中的 Exchange ActiveSync 连接器。每个过滤器均有两个选项:允许拒绝

  • 匿名设备: 允许或拒绝已在 Citrix Endpoint Management 中注册但用户身份未知的设备。例如,如果用户具有过期的 Active Directory 密码或未知凭据,已注册的用户将具有未知身份。
  • 禁止的应用程序: 基于策略中的阻止列表定义的设备列表以及是否存在阻止列表中的应用程序来允许或拒绝设备。
  • 隐式允许/拒绝: 创建不满足其他任何过滤器规则条件的所有设备的设备列表,并根据该列表允许或拒绝。隐式允许/拒绝选项可确保“设备”标签中的 Exchange ActiveSync 连接器状态处于启用状态,并显示设备的连接器状态。“隐式允许/拒绝”选项还可以控制所有其他未选定的连接器过滤器。例如,连接器拒绝运行阻止列表中的应用程序。但是,连接器允许所有其他过滤器,因为“隐式允许/拒绝”选项设置为允许
  • 非活动设备: 创建在指定时间内未与 Citrix Endpoint Management 通信的设备的设备列表。这些设备被视为非活动设备。因此,过滤器会允许或拒绝这些设备。
  • 缺少所需的应用程序: 用户注册时,将收到必须安装的所需应用程序的列表。“缺少所需的应用程序”过滤器指示一个或多个应用程序不再存在;例如,用户删除了一个或多个应用程序。
  • 非推荐应用程序: 用户注册时,用户将收到要安装的应用程序列表。非建议应用程序过滤器会检查设备中是否有不在该列表中的应用程序。
  • 不合规密码: 创建设备上没有通行码的所有设备的设备列表。
  • 不合规设备: 允许您拒绝或允许满足自己内部 IT 合规条件的设备。合规是由名为“不合规”的设备属性定义的任意设置,它是一个可以为的布尔标志。(您可以手动创建此属性并设置值。或者,您可以根据设备是否满足特定条件,使用自动操作在设备上创建此属性。)
    • 不合规 = True: 如果设备不满足您 IT 部门设定的合规标准和策略定义,则该设备不合规。
    • 不合规 = False: 如果设备满足您 IT 部门设定的合规标准和策略定义,则该设备合规。
  • 吊销状态: 创建所有已吊销设备的设备列表,并根据吊销状态允许或拒绝。
  • 已获得 Root 权限的 Android 设备/已越狱的 iOS 设备: 创建包括所有标记为获得 root 权限的设备的设备列表,并根据获得 root 权限的状态允许或拒绝。
  • 非托管设备: 创建 Citrix Endpoint Management 数据库中所有设备的设备列表。在阻止模式下部署 Mobile Application Gateway。

配置与适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器的连接

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器通过 Citrix Secure Web 服务与 Citrix Endpoint Management 和其他远程配置提供商进行通信。

  1. 在 Exchange ActiveSync 配置工具的连接器中,单击“配置提供商”选项卡,然后单击“添加”。
  2. 配置提供程序 对话框的 名称中,输入具有管理权限的用户名,该用户名用于通过 Citrix Endpoint Management 服务器进行基本 HTTP 授权。
  3. URL中,输入 Citrix Endpoint Management GCS 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. 密码中,输入用于通过 Citrix Endpoint Management 服务器进行基本 HTTP 授权的密码。
  5. 管理主机中,输入 Exchange ActiveSync 服务器名称的连接器。
  6. 基准间隔中,指定何时从 Citrix Endpoint Management 中提取新的刷新动态规则集的时间段。
  7. Delta interval(时间间隔差)中,指定提取动态规则更新的时间间隔。
  8. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  9. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  10. 如果您希望 Exchange ActiveSync 的连接器在设备被封锁时通知 Citrix Endpoint Management,请在“启用事件”中启用此选项。如果您在任何 Citrix Endpoint Management 自动操作中使用连接器规则,则必须使用此选项。
  11. 依次单击 Save(保存)和 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员联系。
  12. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。

添加配置提供程序时,适用于 Exchange ActiveSync 的连接器会自动创建一个或多个与该提供程序关联的策略。NewPolicyTemplate 部分的 config\policyTemplates.xml 中包含的模板定义将定义策略。会为在本节中定义的每个策略元素创建一个新策略。

如果满足以下条件,则操作员可以添加、删除或修改策略元素:策略元素符合架构定义,标准替代字符串(括在大括号中)未修改。接下来,为提供程序添加新组并更新策略以将新组包括在内。

从 Citrix Endpoint Management 导入策略

  1. 在 Exchange ActiveSync 配置工具的连接器中,单击“配置提供商”选项卡,然后单击“添加”。
  2. 在“配置提供商”对话框的“名称”中,输入使用 Citrix Endpoint Management 进行基本 HTTP 授权的用户名。用户必须具有管理权限。
  3. URL 中,输入 Citrix Endpoint Management Gateway Configuration Service (GCS) 的 Web 地址,格式通常为 https://<xdmHost>/xdm/services/<MagConfigService>。MagConfigService 名称区分大小写。
  4. 密码中,输入用于通过 Citrix Endpoint Management 服务器进行基本 HTTP 授权的密码。
  5. 单击 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员核查。
  6. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。
  7. Managing Host(管理主机)中,保留本地主机计算机的默认 DNS 名称。此设置用于在阵列中配置多台 Forefront 威胁管理网关 (TMG) 服务器时协调与 Citrix Endpoint Management 的通信。

    保存设置后,打开 GCS。

为 Exchange ActiveSync 策略模式配置 NetScaler Gateway 连接器

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器可以在以下六种模式下运行:

  • 全部允许: 此策略模式授权对通过适用于 Exchange ActiveSync 的连接器的所有流量进行访问。不使用其他过滤规则。
  • 全部拒绝: 此策略模式阻止通过适用于 Exchange ActiveSync 的连接器的所有流量进行访问。不使用其他过滤规则。
  • 静态规则: 阻止模式: 此策略模式运行在结尾具有隐式拒绝或阻止语句的静态规则。Exchange ActiveSync 的连接器会屏蔽其他筛选规则不允许或不允许的设备。
  • 静态规则: 允许模式: 此策略模式运行在结尾具有隐式许可或允许语句的静态规则。未通过其他筛选规则阻止或拒绝的设备允许通过 Exchange ActiveSync 连接器通过。
  • Static + ZDM Rules: Block Mode(静态 + ZDM 规则: 阻止模式)。此策略模式首先运行静态规则,然后运行来自 Citrix Endpoint Management 的动态规则,最后是隐式拒绝或阻止语句。根据定义的筛选条件和 Citrix Endpoint Management 规则,允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被阻止。
  • Static + ZDM Rules: Permit Mode(静态 + ZDM 规则: 许可模式)。此策略模式首先运行静态规则,然后运行来自 Citrix Endpoint Management 的动态规则,最后是隐含的允许或允许语句。根据定义的筛选条件和 Citrix Endpoint Management 规则,允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被允许。

Exchange ActiveSync 进程的连接器根据从 Citrix Endpoint Management 收到的 iOS 和 Windows 移动设备的唯一 ActiveSync ID 允许或阻止动态规则。Android 设备的特性由于制造商不同而有所不同,且有些设备没有准备好公开唯一的 ActiveSync ID。作为补偿,Citrix Endpoint Management 会向 Android 设备发送用户 ID 信息,以做出许可或封锁决定。因此,如果用户只有一个 Android 设备,则其允许和阻止功能正常。如果用户拥有多台 Android 设备,则允许使用所有设备,因为无法区分 Android 设备。如果已知这些设备,您可以将网关配置为通过 ActiveSyncID 静态屏蔽它们。还可以将网关配置为根据设备类型或用户代理进行阻止。

要指定策略模式,请在 SMG Controller 配置实用程序中执行以下操作:

  1. 单击 Path Filters(路径过滤器)选项卡,然后单击 Add(添加)。
  2. Path Properties(路径属性)对话框中,从 Policy(策略)列表中选择策略模式,然后单击 Save(保存)。

可以在配置实用程序的 Policies(策略)选项卡中查看这些规则。这些规则将在适用于 Exchange ActiveSync 的连接器上自上而下处理。“Allow”(允许)策略显示时带有绿色选中标记。“Deny”(拒绝)策略显示为红色圆圈,中间横穿一条直线。要刷新屏幕并查看最新更新的规则,请单击 Refresh(刷新)。也可在 config.xml 文件中修改规则的顺序。

要测试规则,请单击 Simulator(模拟器)选项卡。在字段中指定值。可以从日志中获取值。结果消息指定“允许”或“阻止”。

配置静态规则

请输入具有 ActiveSync 连接 HTTP 请求的 ISAPI 过滤功能读取的值的静态规则。静态规则支持适用于 Exchange ActiveSync 的连接器根据下列准则允许或阻止流量:

  • 用户: 适用于 Exchange ActiveSync 的连接器使用在设备注册时捕获的授权用户值和名称结构。该结构的常见形式是 domain\username,由运行 Citrix Endpoint Management 的服务器引用,该服务器通过 LDAP 连接到 Active Directory。连接器配置实用程序中的 Log(日志)选项卡显示通过连接器传递的值。如果连接器必须确定值结构或者如果结构不同,则会传递这些值。
  • DeviceID (ActiveSyncID): 也称为所连接设备的 ActiveSyncID。此值通常位于 Citrix Endpoint Management 控制台的特定设备属性页面中。也可以从 Exchange ActiveSync 配置工具连接器的“日志”标签中筛选该值。
  • 设备类型: 适用于 Exchange ActiveSync 的连接器可确定设备是 iPhone、iPad 还是其他设备类型,并能根据准则加以允许或阻止。与其他值一样,连接器配置实用程序可显示为 ActiveSync 连接处理的所有已连接设备的类型。
  • 用户代理: 包含有关所使用的 ActiveSync 客户端的信息。通常情况下,指定的值对应于移动设备平台的特定操作系统内部版本和版本。

服务器上运行的 Exchange ActiveSync 配置工具的连接器始终管理静态规则。

  1. 在 SMG Controller 配置实用程序中,单击 Static Rules(静态规则)选项卡,然后单击 Add(添加)。
  2. Static Rule Properties(静态规则属性)对话框中,指定要用作条件的值。例如,可通过输入用户名(例如 AllowedUser)然后取消选中 Disabled(禁用)复选框,输入允许访问的用户。
  3. 单击保存

    静态规则现在即生效。此外,还可使用正则表达式来定义值,但必须在 config.xml 文件中启用规则处理模式。

配置动态规则

Citrix Endpoint Management 中的设备策略和属性定义了动态规则,可以触发 Exchange ActiveSync 过滤器的动态连接器。触发器建立在是否存在策略冲突或属性设置的基础之上。适用于 Exchange ActiveSync 的连接器过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。以下配置选项可用于定义是否要使用适用于 Exchange ActiveSync 的连接器允许或拒绝“设备列表”中的设备。

注意:

使用 Citrix Endpoint Management 控制台配置动态规则。

  1. 在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 ActiveSync Gateway。此时将显示“ActiveSync Gateway”页面。

  3. 激活以下规则中,选择要激活的一个或多个规则。

  4. 在“仅限 Android”中,在“将 Android 域用户发送到 ActiveSync Gateway”中,单击“”以确保 Citrix Endpoint Management 将 Android 设备信息发送到 Secure Mobile Gateway。

    启用此选项后,如果 Citrix Endpoint Management 没有设备用户的 ActiveSync 标识符,Citrix Endpoint Management 会将 Android 设备信息发送到连接器。

通过编辑 Exchange ActiveSync XML 文件的连接器来配置定制策略

您可以在 Exchange ActiveSync 配置工具的连接器的“策略”选项卡上查看默认配置中的基本策略。如果您想创建定制策略,可以编辑 Exchange ActiveSync XML 配置文件 (config\config.xml) 的 NetScaler Gateway 连接器。

  1. 在文件中找到 PolicyList 部分,然后添加新的 Policy 元素。
  2. 如果还需要新组,例如另一个静态组或支持另一个 GCP 的组,请将新 Group 元素添加到 GroupList 部分。
  3. 也可以通过重新排列 GroupRef 元素,更改现有策略中组的顺序。

配置适用于 Exchange ActiveSync 的连接器的 XML 文件

适用于 Exchange ActiveSync 的连接器使用 XML 配置文件表示连接器的各项操作。此外,此文件还指定组文件和过滤器在评估 HTTP 请求时采取的关联操作。默认情况下,此文件命名为 config.xml 且位于以下位置:..\Program Files\Citrix\XenMobile NetScaler Connector\config。

GroupRef 节点

GroupRef 节点定义逻辑组名称。默认值为 AllowGroup 和 DenyGroup。

注意:

GroupRef 节点在 GroupRefList 节点中出现的顺序非常重要。

GroupRef 节点的 ID 值标识逻辑容器或用于匹配特定用户帐户或设备的成员集合。操作属性指定过滤器处理与集合中的规则匹配的成员的方式。例如,与 AllowGroup 集中的规则匹配的用户帐户或设备将为“passes”。pass 表示允许其访问 Exchange CAS。与 DenyGroup 集中的规则匹配的用户帐户或设备为“rejected”。rejected 表示不允许其访问 Exchange CAS。

特定的用户帐户/设备或组合满足两个组中的规则时,会使用优先级约定来引导请求的结果。优先级通过 GroupRef 节点在 config.xml 文件中的自上而下的顺序体现。GroupRef 节点以优先级顺序排序。“允许”组中针对给定条件的规则将始终优先于“拒绝”组中针对相同条件的规则。

组节点

此外,config.xml 还定义组节点。这些节点将逻辑容器 AllowGroup 和 DenyGroup 链接到外部 XML 文件。存储在外部文件中的条目构成过滤器规则的基础。

注意:

在此版本中,仅支持外部 XML 文件。

默认安装会在配置中实施两个 XML 文件:allow.xml 和 deny.xml。

为 Exchange ActiveSync 配置 NetScaler Gateway 连接器

您可以将适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器配置为根据以下属性有选择地阻止或允许 ActiveSync 请求:Active Sync Service ID设备类型用户代理(设备操作系统)、授权用户ActiveSync 命令

默认配置支持静态和动态组的组合。通过使用 SMG Controller 配置实用程序维护静态组。静态组可由已知类别的设备组成,如使用给定用户代理的所有设备。

名为网关配置提供程序的外部源负责维护动态组。适用于 Exchange ActiveSync 的连接器会定期连接这些组。Citrix Endpoint Management 可以将允许和封锁的设备和用户组导出到 Exchange ActiveSync 的连接器。

名为网关配置提供程序的外部源负责维护动态组。适用于 Exchange ActiveSync 的连接器定期收集动态组。Citrix Endpoint Management 可以将允许和阻止的设备和用户组导出到连接器。

策略是组的有序列表,其中每个组都有关联的操作(允许或阻止)和组成员列表。一个策略可以有任何数量的组。策略中的组排序很重要,因为当找到匹配项时,将对组采取操作,不会对后续组进行评估。

成员定义匹配请求中属性的方式。可以匹配单个属性,如设备 ID,或多个属性,如设备类型和用户代理。

为适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器选择安全模型

建立安全模型对于为任何规模的组织成功部署移动设备都至关重要。默认情况下,通常使用受保护或被隔离的网络控制来允许访问用户、计算机或设备。这种做法并不总是理想的。对于确保移动设备的安全性,每个管理 IT 安全的组织的做法可能会略有不同,或者采用定制的方法。

相同的逻辑适用于移动设备安全性。由于移动设备和类型众多,每个用户的移动设备以及可用的操作系统平台和应用程序都很多,因此使用许可模型是一个薄弱的选择。在大多数组织中,受限模式是最合乎逻辑的选择。

Citrix 允许将 Exchange ActiveSync 连接器与 Citrix Endpoint Management 集成在一起的配置场景如下:

宽容模型(许可模式)

宽容安全模型的运行前提是,默认情况下允许或授权任何设备进行访问。只有通过规则和过滤,某些设备才将被阻止并应用限制。宽容安全模型非常适合对移动设备的安全要求相对宽松的组织。该模型仅应用限制性控制来在适当的位置拒绝访问(策略规则失败时)。

限制性模型(阻止模式)

受限安全模型的运行前提是,默认情况下不允许或授权任何设备进行访问。通过安全检查点的任何访问都要进行过滤和检查,并且拒绝访问,除非允许访问的规则获得通过。受限安全模型适合对移动设备具有相对严格的安全标准的组织。该模式仅在所有允许访问的规则都通过时,才授权访问网络服务的使用和功能。

管理适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器

您可以使用适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器来构建访问控制规则。这些规则允许或阻止访问来自托管设备的 ActiveSync 连接请求。访问基于设备状态、应用程序允许列表或阻止列表以及其他合规条件。

通过使用适用于 Exchange ActiveSync 配置工具的连接器,您可以构建强制执行公司电子邮件策略的动态和静态规则。这些规则和策略允许您阻止违反合规性标准的用户。也可设置电子邮件附件加密,使通过您的 Exchange Server 到达托管设备的所有附件都被加密。只有具有托管设备的授权用户才能查看加密的附件。

卸载 XNC

  1. 使用管理员帐户运行 XncInstaller.exe。
  2. 按照屏幕说明完成卸载。

安装、升级或卸载适用于 Exchange ActiveSync 的连接器

  1. 使用管理员帐户运行 XncInstaller.exe 以安装适用于 Exchange ActiveSync 的连接器,或者升级或删除现有连接器。
  2. 按照屏幕说明完成安装、升级或卸载。

安装 Exchange ActiveSync 连接器后,必须手动重启 Citrix Endpoint Management 配置服务和通知服务。

安装适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器

您可以将 Exchange ActiveSync 连接器安装在其自己的服务器上,也可以安装在安装 Citrix Endpoint Management 的同一台服务器上。

您可以考虑将 Exchange ActiveSync 连接器安装在其自己的服务器上(与 Citrix Endpoint Management 分开),原因如下:

  • 如果您的 Citrix Endpoint Management 服务器远程托管在云端(物理位置)
  • 如果您不想让 Citrix Endpoint Management 服务器的重启影响 Exchange ActiveSync 的连接器(可用性)
  • 如果您希望服务器的系统资源完全专用于适用于 Exchange ActiveSync 的连接器(性能)

适用于 Exchange ActiveSync 的连接器在服务器上放置的 CPU 负载取决于托管的设备数量。一般建议是,如果连接器与 Citrix Endpoint Management 部署在同一台服务器上,则再配置一个 CPU 内核。对于大量设备(超过 50000 个),如果没有群集环境,可能需要预配更多核心。连接器的内存占用量不足以保证更多的内存。

适用于 Exchange ActiveSync 系统要求的 NetScaler Gateway 连接器

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器通过 NetScaler Gateway 设备上配置的 SSL 网桥与 NetScaler Gateway 进行通信。该桥使设备能够将所有安全流量直接桥接到 Citrix Endpoint Management。适用于 Exchange ActiveSync 的连接器要求的最低系统配置如下:

组件 要求
计算机和处理器 733 MHz Pentium III 733 MHz 或更高版本的处理器。2.0 GHz Pentium III 或更高版本的处理器(建议)
Citrix Gateway Citrix Gateway 设备,软件版本 10
内存 1 GB
硬盘 具有 150 MB 可用硬盘空间的 NTFS 格式本地分区
操作系统 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持于 2020 年 1 月 14 日结束,对 Windows Server 2012 R2 的支持于 2023 年 10 月 10 日结束。
其他设备 与主机操作系统兼容的网络适配器(用于与内部网络通信)
Microsoft .NET Framework 版本 8.5.1.11 需要使用 Microsoft.NET Framework 4.5。
显示 VGA 或更高分辨率的显示器

适用于 Exchange ActiveSync 的连接器的主机计算机要求的最小可用硬盘空间如下:

  • 应用程序: 10 - 15 MB(建议 100 MB)
  • 日志记录: 1 GB(建议 20 GB)

有关 Exchange ActiveSync 连接器的平台支持的信息,请参阅 支持的设备操作系统

设备电子邮件客户端

并非所有电子邮件客户端都一致地为设备返回相同的 ActiveSync ID。由于Exchange ActiveSync的连接器要求每台设备都有一个唯一的ActiveSync ID,因此以下情况是正确的:仅支持为每台设备持续生成相同唯一的ActiveSync ID的电子邮件客户端。Citrix 已经测试了这些电子邮件客户端,这些客户机没有出现错误:

  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端

为 Exchange ActiveSync 部署 NetScaler Gateway 连接器

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器使您能够使用 NetScaler Gateway 对 Citrix Endpoint Management 服务器与 Citrix Endpoint Management 托管设备的通信进行代理和负载平衡。Exchange ActiveSync 的连接器定期与 Citrix Endpoint Management 进行通信以同步策略。您可以将 Exchange ActiveSync 和 Citrix Endpoint Management 的连接器组合在一起,也可以单独群集。

适用于 Exchange ActiveSync 的连接器组件

  • Exchange ActiveSync 服务连接器: 该服务提供 REST 网络服务接口,NetScaler Gateway 可以调用该接口来确定来自设备的 ActiveSync 请求是否获得授权。
  • Citrix Endpoint Management 配置服务: 此服务与 Citrix Endpoint Management 通信,将 Citrix Endpoint Management 策略更改与 Exchange ActiveSync 连接器同步。
  • Citrix Endpoint Management 通知服务: 此服务将设备未经授权访问的通知发送到 Citrix Endpoint Management。通过这种方式,Citrix Endpoint Management 可以采取适当的措施,例如通知用户设备被封锁的原因。
  • 适用于 Exchange ActiveSync 的连接器配置实用程序: 此应用程序允许管理员配置并监视适用于 Exchange ActiveSync 的连接器。

为适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器设置侦听地址

要使适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器接收来自 NetScaler Gateway 的授权 ActiveSync 流量的请求,请执行以下操作。指定 Exchange ActiveSync 连接器监听 NetScaler Gateway 网络服务调用的端口。

  1. 从“开始”菜单中,选择 Exchange ActiveSync 配置工具的连接器。
  2. 单击 Web Service(Web 服务)选项卡,然后键入连接器 Web 服务的侦听地址。可以选择 HTTPHTTPS,或者同时选择两者。如果 Exchange ActiveSync 的连接器与 Citrix Endpoint Management(安装在同一台服务器上)共存,请选择与 Citrix Endpoint Management 不冲突的端口值。
  3. 配置值后,单击 Save(保存),然后单击 Start Service(启动服务),启动 Web 服务。

在适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器中配置设备访问控制策略

要配置将应用于托管设备的访问控制策略,请执行以下操作:

  1. 在 Exchange ActiveSync 配置工具的连接器中,单击“路径过滤器”选项卡。
  2. 选择第一行 Microsoft-Server-ActiveSync is for ActiveSync(Microsoft-Server-ActiveSync 适用于 ActiveSync),然后单击 Edit(编辑)。
  3. Policy(策略)列表中,选择所需策略。对于包含 Citrix Endpoint Management 策略的策略, 请选择静态 + ZDM:允许模式或静态 + ZDM:屏蔽模式。这些策略将本地(或静态)规则与 Citrix Endpoint Management 的规则相结合。Permit Mode(许可模式)表示允许未被规则明确识别的所有设备访问 ActiveSync。Block Mode(阻止模式)表示阻止此类设备。
  4. 设置策略后,单击 Save(保存)。

配置与 Citrix Endpoint Management 的通信

指定要与适用于 Exchange ActiveSync 和 NetScaler Gateway 的 NetScaler Gateway 连接器一起使用的 Citrix Endpoint Management 服务器的名称和属性。

注意:

此任务假设您已经安装并配置了 Citrix Endpoint Management。Exchange ActiveSync 配置实用程序使用了 Citrix Endpoint Management 的配置提供程序一词。

  1. 在 Exchange ActiveSync 配置工具的连接器中,单击“配置提供商”选项卡,然后单击“添加”。
  2. 输入您在此部署中使用的 Citrix Endpoint Management 服务器的名称和 URL。如果您在多租户部署中部署了多台 Citrix Endpoint Management 服务器,则每个服务器实例的此名称必须是唯一的。
  3. URL 中,输入 Citrix Endpoint Management GlobalConfig Provider (GCP) 的 URL,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. 密码中,输入用于通过 Citrix Endpoint Management Web 服务器进行基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入安装了适用于 Exchange ActiveSync 的连接器的服务器名称。
  6. 基准间隔中,指定从 Citrix Endpoint Management 中提取新刷新的动态规则集的时间段。
  7. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  8. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  9. 如果您希望 Secure Mobile Gateway 在设备被封锁时通知 Citrix Endpoint Management,请在“启用事件”中启用此选项。如果您在任何 Citrix Endpoint Management 自动操作中使用 Secure Mobile Gateway 规则,则必须使用此选项。
  10. 配置服务器后,单击“测试连接”以测试与 Citrix Endpoint Management 的连接。
  11. 建立连接后,单击 Save(保存)。

为 Exchange ActiveSync 部署 NetScaler Gateway 连接器以实现冗余和可扩展性

要扩展适用于 Exchange ActiveSync 和 Citrix Endpoint Management 部署的 NetScaler Gateway 连接器,可以在多台 Windows 服务器上安装适用于 Exchange ActiveSync 的 Connector 实例。所有连接器实例都指向相同的 Citrix Endpoint Management 实例。然后,您可以使用 NetScaler Gateway 对服务器进行负载平衡。

适用于 Exchange ActiveSync 的连接器配置有两种模式:

  • 在非共享模式下,Exchange ActiveSync 实例的每个连接器都与 Citrix Endpoint Management 服务器通信,并保留自己生成的策略的专用副本。例如,对于 Citrix Endpoint Management 服务器群集,您可以在每台 Citrix Endpoint Management 服务器上运行连接器实例。然后,连接器从本地 Citrix Endpoint Management 实例获取策略。
  • 在共享模式下,Exchange ActiveSync节点的一个连接器被指定为主节点。连接器与 Citrix Endpoint Management 通信。其他节点通过 Windows 网络共享或 Windows(或第三方)复制功能共享产生的配置。

整个适用于 Exchange ActiveSync 的连接器配置在一个文件夹中(由多个 XML 文件组成)。连接器进程将检测对此文件夹中的任何文件所做的更改,并自动重新加载配置。共享模式中的主节点没有故障转移功能。但是,系统可以容忍主服务器关闭几分钟(例如,重新启动)。上次已知良好的配置在连接器进程中缓存。

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器