为 Citrix 终端节点管理环境配置设置

用于 Citrix 端点管理的 Citrix ADC 向导将指导您完成 Citrix 端点管理部署的 Citrix ADC 功能的配置。您可以使用向导执行以下操作:

  • **设置一个微型 VPN。 **在这种情况下,远程用户可以访问内部网络中的应用程序和桌面。

    • 对于 Citrix 端点管理模式,必须使用 Citrix 网关进行身份验证。

    • 对于 MDM 部署,Citrix 推荐用于移动设备 VPN 的 Citrix 网关。

    • 对于 ENT 部署,如果用户选择退出 MDM 注册,则设备将在旧版 MAM 模式下运行,并使用 Citrix 网关 FQDN 进行注册。

  • 配置基于证书的身份验证。 Citrix 端点管理的默认配置是用户名和密码身份验证。要为注册和访问 Citrix 端点管理环境添加另一层安全性,请考虑使用基于证书的身份验证。
  • **负载平衡 Citrix 端点管理服务器。 **如果您有多个 Citrix 端点管理服务器,或者 Citrix 端点管理位于 DMZ 或内部网络内(因此流量从设备流向 Citrix ADC 流向 Citrix 端点管理),则所有 Citrix 端点管理设备模式都需要 Citrix ADC 负载平衡。在这种情况下,Citrix ADC 设备位于用户设备和 Citrix 端点管理服务器之间的 DMZ 中,以便对从移动设备到 Citrix 端点管理服务器的加密数据进行负载平衡。
  • 负载平衡微软 Exchange 服务器与电子邮件筛选. 在这种情况下,Citrix ADC 设备位于用户设备与 Citrix 端点管理 Citrix ADC 连接器 (XNC) 之间,以及用户设备与 Microsoft Exchange CAS 服务器之间。来自用户设备的所有请求都会转到 Citrix 网关设备,然后该设备与 XNC 通信以检索有关设备的信息。根据来自 XNC 的响应,Citrix ADC 设备将请求从列入白名单的设备转发到内部网络中的服务器,或从列入黑名单的设备中断连接。
  • 负载平衡共享文件存储连接器根据请求的内容类型. 此方案提示您输入有关 Storagezones 控制器环境的基本信息,然后生成执行以下操作的配置:
    • 负载平衡存储控制器之间的流量。
    • 为存储器连接器提供用户身份验证。
    • 验证 ShareFile 上传和下载的 URI 签名。
    • 终止 Citrix ADC 设备上的 SSL 连接。

有关配置 ShareFile 的更多信息,请参阅为存储控制器配置 Citrix ADC

重要

在使用 Citrix 终端节点管理向导之前,请务必参阅以下 Citrix 终端节点管理部署文章,了解设计和部署信息和建议:

Citrix 端点管理集成

与 Citrix Gateway 和 Citrix ADC 相集成

MDX 应用程序的 SSO 和代理注意事项

身份验证

只能使用 Citrix ADC 用于 Citrix 端点管理向导一次。如果需要多个 Citrix 端点管理实例(例如用于测试、开发和生产环境),则必须为其他环境手动配置 Citrix ADC。以下支持文章列出了向导运行的命令,并提供了运行这些命令以创建新 Citrix ADC 实例的说明:

Citrix ADC-SSL 桥上的 Citrix 端点管理向导生成的命令

Citrix ADC 上的 Citrix 端点管理向导生成的命令-SSL 卸载

Citrix ADC 功能的许可证要求

您必须安装许可证才能启用以下 Citrix ADC 功能:

  • Citrix 端点管理 MDM 负载平衡需要 Citrix ADC 标准许可证。
  • 使用存储器进行共享文件负载平衡需要 Citrix ADC 标准许可证。
  • Exchange 负载平衡需要 Citrix ADC 许可证或企业许可证,并添加了集成缓存许可证。

面向思杰端点管理向导的思杰 ADC

本节提供了使用 Citrix ADC 用于 Citrix 端点管理向导的示例:

  • 为远程用户连接到内部网络中由 Citrix 端点管理管理的资源设置微型 VPN 访问权限
  • 配置基于证书的身份验证。有关获取和安装公用 SSL 证书的信息,请参阅安装和管理证书
  • 为 Citrix 端点管理服务器配置负载平衡。

要使用向导,请执行以下操作:

  1. 在配置实用程序中,单击 “ 配置 ” 选项卡,然后单击 “ Citrix 终端节点管理 ”。

    本地化后的图片

  2. 选择 Citrix 终端节点管理版本,然后单击 “ 开始”。
  3. 选中要配置的功能的复选框。请记住,您只能使用一次此向导,因此您需要手动执行后续配置。这些说明假定您选择了以下设置: 通过 Citrix 网关访问 (对于在 ENT 或 MAM 模式下运行的 Citrix 端点管理) 负载平衡 Citrix 端点管理服务器

    本地化后的图片

  4. Citrix 网关设置 页面上,输入面向外部的 Citrix 网关 IP 地址端口虚拟服务器名称 的值。

    本地化后的图片

  5. Citrix 网关的服务器证书 页上,从 “ 证书文件 ” 下拉菜单中,从 “ 本地 ” 或 “ 设备 ” 中选择证书文件。如果您的证书位于本地计算机上:

    本地化后的图片

    如果您的证书位于设备上:

    本地化后的图片

  6. 在 “ 身份验证设置 ” 页的 “ 主身份验证方法 ” 字段中,选择 “ 客户端证书 ”。

    这将在接下来的两个字段中自动选择 “ 使用现有证书策略 ” 和 “证书 身份验 证”。以下步骤假定您已经有证书策略。

    如果需要创建证书策略,请单击 “ 创建证书策略 ” 并完成设置。在 Citrix 端点管理证书 屏幕上,选择现有服务器证书或安装新证书。如果您正在运行多个 Citrix 终端节点管理服务器,则将为每个服务器添加一个证书。对于 服务器登录名称属性,请根据您 的要求指定用户主名称或同一帐户名称。

    本地化后的图片

    • a. 选择 “单击此处” 以更改 CA 证书 ,然后在 “ 浏览 ” 列表中导航到所需的 CA 证书。

      本地化后的图片

    • b. 将客户端证书作为主身份验证类型,您可以选择将 LDPA(或 RADIUS)配置为辅助身份验证类型。

      若要仅使用客户端证书身份验证,请将 第二个身份验证方法 保留为 ,然后单击 继续

      要使用客户端证书 + 域 (LDAP) 身份验证,请将 第二个身份验证方法 更改为 LDAP 并配置身份验证服务器设置。

    • c. 在 “设 备证书 ” 屏幕上,如果尚未安装证书,则必须从 Citrix 端点管理控制台导出此证书:在控制台中,单击右上角的齿轮图标以打开 “ 设置 ” 屏幕。

    • d. 单击 证书 ,然后从列表中选择 CA 证书。

    • e. 单击导出

    • f. 返回到 Citrix ADC 向导,然后选择导出(下载)的证书以进行安装。

    • g. 单击继续

    将显示您配置的 Citrix 终端节点管理 IP 地址。

  7. 配置 Citrix 端点管理应用程序管理设置

    本地化后的图片

    • 输入 Citrix 终端节点管理 FQDN。这是适用于 MAM 的负载平衡 FQDN。
    • 负载平衡 Citrix 端点管理服务器的虚拟服务器输入仅适用于 MAMA 内部负载平衡 IP 地址 。Citrix 网关通过此 MAM 负载平衡虚拟 IP 与 Citrix 端点管理进行通信。
    • 这是 SSL 卸载部署,因此在 与 Citrix 端点管理服务器通信 中选择 HTTP
    • MicroVPN 字段的拆分 DNS 模式 自动设置为 两者

    如果您的部署需要拆分隧道,请选择 “ 启用拆分隧道”。接下来,如果启用拆分隧道,则必须配置 Intranet 应用程序绑定。

    默认情况下,安全 Web 访问通道到内部网络,这意味着安全 Web 使用每个应用程序的 VPN 隧道返回到内部网络进行所有网络访问,Citrix ADC 设备使用拆分隧道设置。

    本地化后的图片

  8. 要为 Citrix 网关上的用户连接配置拦截规则,必须配置 Intranet 应用程序绑定。单击 + 以 添加绑定。

    本地化后的图片

  9. 完成允许网络访问的参数,然后单击 创建

    本地化后的图片

  10. 添加 Citrix 终端节点管理证书。这将用于 MAM 负载平衡虚拟服务器。

    本地化后的图片

  11. Citrix 端点管理服务器下,单击 添加服务器以添加 Citrix 端点管理 IP 地址以绑定到负载平衡虚拟 IP。

    本地化后的图片

  12. 在 Citrix ADC 仪表板上,确认 Citrix 网关和 Citrix 端点管理负载均衡配置如下。

    本地化后的图片

    如果您将使用用户证书中的 SamAccount 属性作为用户主体名称 (UPN) 的替代品,请按照中所述配置证书配置文件手动配置 Citrix 网关以进行客户端证书身份验证

为 Citrix 终端节点管理环境配置设置