Citrix Gateway

在 Windows 登录之前配置 AlwaysOn VPN

Windows 登录之前 AlwaysOn VPN 提供以下功能。

  • 管理员为首次远程工作的用户提供一次性密码,使用该密码,用户可以连接到域 Controller 以更改其密码。
  • 即使在用户登录之前,管理员也可远程管理/强制执行 AD 策略。
  • 在用户登录后,管理员根据用户组为用户提供精细级别的控制。例如,使用用户级隧道,限制或提供对特定用户组的资源的访问权限是可能的。
  • 可根据用户要求为 MFA 配置用户隧道。
  • 同一台机器可以被多个用户使用,根据用户配置文件提供对选择性资源的访问。例如,在自助亭中,一台机器可以被多个用户毫不费力地使用。
  • 远程工作的用户连接到域 Controller 以更改其密码。

了解 Windows 登录之前的 AlwaysOn VPN

以下是 Windows 登录功能之前的 AlwaysOn 的事件流程。

AlwaysOn 与用户个人流程

  • 用户打开笔记本电脑后,使用设备证书作为标识,针对 Citrix Gateway 建立计算机级隧道。
  • 用户使用 AD 凭据登录到笔记本电脑。
  • 登录后,用户将面临 MFA 的挑战。
  • 身份验证成功后,计算机级隧道将替换为用户级隧道。
  • 用户注销后,用户级隧道将替换为机器级隧道。

通过使用 GUI 在 Windows 登录之前配置 AlwaysOn VPN

必备条件

  • Citrix Gateway 和 VPN 插件必须是版本 13.0.41.20 及更高版本。
  • Citrix ADC 高级版及更高版本才能使解决方案工作。
  • 您只能使用高级策略配置功能。

配置涉及以下高级别步骤:

  • 创建身份验证配置文件
  • 创建身份验证虚拟服务器
  • 创建身份验证策略
  • 将策略绑定到身份验证配置文件

使用 GUI 配置功能

基于客户端证书的身份验证

  1. 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器
  2. 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑
  3. 在 VPN 虚拟服务器页面上,单击编辑图标。
  4. 单击“设备证书 CA”部分旁的添加”,然后单击“确定”。

    为设备证书添加 ca

    注意: 请勿选中“启用设备证书”复选框。

  5. 要将 CA 证书绑定到虚拟服务器,请单击“证书”部分下的 CA 书。单击 SSL 虚拟服务器 CA 证书绑定页面下的 **添加 绑定** 。

  6. 单击文本, 单击以选择选 择所需的证书。

    为设备证书添加 ca

  7. 选择所需的 CA 证书。

    为设备证书添加 ca

  8. 单击 Bind(绑定)。

  9. 在 VPN 虚拟服务器页上的身份验证配置文件部分下,单击 添加
  10. 在“创建身份验证配置文件”页上,提供身份验证配置文件的名称,然后单击“添加”。 创建身份验证配置文件
  11. 在“身份验证虚拟服务器”页上,提供身份验证虚拟服务器的名称,选择“IP 地址类型”为 不可寻址, 然后单 击“确定”。 选择不可寻址的 IP 类型
  12. 在“高级身份验证策略”下,单击“身份验证策略”内部。
  13. 在策略绑定页面上,单击 选择策略 旁边的 添加
  14. 在“创建身份验证策略”页面上;
    1. 输入高级身份验证策略的名称。
    2. 操作类型列表中选择 EPA
    3. 点击 作旁边的 添加选择 EPA 动作类型
  15. 在“创建身份验证 EPA 操作”页面上;
    1. 输入要创建的 EPA 操作的名称。
    2. 在“ 达式”字段 中输入系统服务器(“设备-证书 _0_0”)
    3. 单击创建

    创建表达式

  16. 在“创建身份验证策略”页面上;
    1. 输入身份验证策略的名称。
    2. 在“达式”字段中输入“服 务”。
    3. 单击创建

    创建表达式 2

  17. 在策略绑定页面上,输入 100优先级 ,然后单击 绑定

    绑定策略

    注意: 机器级隧道配置现已完成。如果您不希望 Windows 登录后使用用户级隧道,则可以跳过步骤 18-25 并继续进行客户端配置。

    要在 Windows 登录后将计算机级隧道替换为用户级隧道,请继续执行以下配置。

  18. 将“转到”表达式 更改为“下一 步”而不是“结束”步骤 17 中绑定的策略。

    绑定策略

  19. 在“身份验证虚拟服务器”页面上,单击“身份验证策略”内部。
  20. 在“身份验证策略”页上,单击“添加绑定”选项卡。
  21. 在“策略绑定”页面上,单击“选择策略”旁边的“添加”。 绑定策略 2
  22. 在“创建身份验证策略”页面上;
    1. 输入要创建的“无身份验证”策略的名称。
    2. 选择操作类型作为 NO_Authn
    3. 在“达式”字段中输入“不是”。
    4. 单击创建

      注意: 表达 式不适用 于 Citrix Gateway 13.0 版本 41.20 及更高版本。

    选择无效操作类型

  23. 在策略绑定页面上,在“优先级”中输入 110 ,单击“选择下一个因素”旁边 的“添加”。
  24. 在身份验证策略标签页上,创建 LDAP 身份验证策略。请参阅以下文章以创建 LDAP 身份验证策略。欲了解更多详情,请参阅使用配置实用程序配置 LDAP 身份验证
  25. 单击策略 绑定 页面上的绑定。

客户端配置

AlwaysOn、locationDetection 和 suffixList 注册表是可选的,仅当需要位置检测功能时才需要。

注册表项 注册表类型 价值和说明
AlwaysOnService REG_DWORD 1 => 在没有用户角色的情况下启用 AlwaysOn 服务; 2 => 对用户角色启用 AlwaysOn 服务
AlwaysOnURL REG SZ Citrix Gateway 虚拟服务器用户要连接的 URL。示例:https://xyz.companyDomain.com
AlwaysOn REG_DWORD 1 => 在 VPN 故障时允许网络访问;2=> 在 VPN 故障时阻止网络访问
locationDetection REG_DWORD 1 => 启用位置检测; 0 => 禁用位置检测
suffixList REG SZ 以逗号分隔的内联网域列表。启用位置检测时使用。

有关这些注册表项的更多信息,请参阅AlwaysOn

若要在 Windows 登录之前使用经典策略配置 AlwaysOn VPN,请参阅使用经典策略在 Windows 登录之前配置始终在 VPN 上

在 Windows 登录之前配置 AlwaysOn VPN