用于将 FQDN 解析为 IP 地址的 DNS 后缀
DNS 后缀是一种适用于所有最终用户的全局配置。Citrix Secure Private Access 服务的 DNS 后缀功能可用于以下用例:
- 通过为后端服务器添加 DNS 后缀域,使 Citrix Secure Access 客户端能够将非完全限定域名(主机名)解析为完全限定域名 (FQDN)。
- 允许管理员使用 IP 地址(IP CIDR/IP 范围)配置应用程序,以便最终用户可以使用 DNS 后缀域下相应的 FQDN 访问应用程序。
例如,在解析非完全限定域名“workday”时,如果配置了 DNS 后缀“citrix.net”,则操作系统会附加后缀“citrix.net”并解析为“workday.citrix.net”。
如果配置了多个 DNS 后缀,则按顺序解析 DNS 后缀。例如,假设添加了以下后缀:
".citrix.net"".citrix.com"".xenserver.com"
当最终用户键入“workday”时,操作系统会尝试按以下顺序解析 FQDN。如果成功使用一个后缀,则跳过其余的后缀。
- workday.citrix.net
- workday.citrix.com
- workday.xenserver.com
重要:
必备条件
- 客户必须有权使用 Secure Private Access Advanced 版才能使用 DNS 后缀功能。
- 请联系 Citrix Product Management 团队以启用 DNS 后缀功能标志。
支持的客户版本
在以下客户端版本上,Citrix Secure Access 客户端支持 DNS 后缀功能:
- macOS - 22.06.1 及更高版本。
- Windows - 23.2.23.2。可以从 https://citrix.sharefile.com/d-sc0dfbdb2ab60476b8df51c4fa20e0619 中下载该版本。
如何添加 DNS 后缀
-
在“Secure Private Access”磁贴上,单击“管理”。
-
在“Secure Private Access”登录页面上,单击“设置”, 然后单击 DNS 后缀。
-
在 DNS 后缀字段中,输入解析非完全限定名称时必须附加的后缀。
-
单击添加。
后缀是根据添加顺序列出的。管理员可以删除或修改后缀。
示例用例
请注意以下事项:
- 管理员已将 IP 地址 192.0.2.1 分配给客户网络中的一台计算机。
- 计算机的 FQDN(IP 地址为 192.0.2.1)位于“citrix.net”域(例如,workday.citrix.net)。
| DNS 后缀和应用程序配置 | 最终用户体验 | ||
|---|---|---|---|
| 1 | 管理员将 DNS 后缀配置为“citrix.net”,并创建一个 IP 地址为 192.0.2.1 的应用程序,将 user1 的访问策略设置为“允许”。 | 当 user1 尝试连接到“workday”时,FQDN 的后缀是“citrix.net”(workday.citrix.net),IP 地址解析为 192.0.2.1。由于配置了应用程序的 user1 允许 192.0.2.1,因此授予访问权限。 | |
| 注意: 最终用户可以使用 192.0.2.1、workday.citrix.net 或“workday”访问 Workday 应用程序。 | |||
| 如果不配置 DNS 后缀,则通过“workday”和“workday.citrix.net”进行访问将被拒绝。 | |||
| 2 | 管理员将 DNS 后缀配置为“citrix.net”,使用 FQDN (workday.citrix.net) 创建应用程序,并将 user1 的访问策略设置为“允许”。 | 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是“workday”(workday.citrix.net)。最终用户可以访问 Workday,因为应用程序配置了“workday.citrix.net”,并且 user1 的访问策略设置为“允许”。 | |
| 注意: 最终用户可以通过 workday.citrix.net 或“workday”访问 Workday 应用程序。 | |||
| 对 192.0.2.1 的访问被拒绝,因为没有使用此 IP 地址配置任何应用程序。 | |||
| 3 | 管理员将 DNS 后缀配置为“citrix.net”,使用通配符域“*.citrix.net”创建应用程序,并将 user1 的访问策略设置为“允许”。 | 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是“workday”(workday.citrix.net)。最终用户可以访问 Workday,因为应用程序配置了“*.citrix.net”,并且 user1 的访问策略设置为“允许”。 | |
| 注意: 最终用户可以使用 workday.citrix.net 或“workday”访问 Workday。 | |||
| 对 192.0.2.1 的访问被拒绝,因为没有使用此 IP 地址配置任何应用程序。 | |||
| 4 | 管理员将 DNS 后缀配置为“citrix.net”。没有为使用 FQDN (workday.citrix.net) 或 192.0.2.1 的 user1 配置任何应用程序。 | 当 user1 尝试连接到“workday”时,客户端将“workday”后缀为“citrix.net”,并将“workday.citrix.net”解析为 192.0.2.1。但是,user1 无法连接到专用服务器 (workday.citrix.net/192.0.2.1),因为没有为 user1 配置了 192.0.2.1、workday.citrix.net 或 *. citrix.net 的应用程序。 | |
| 5 | 管理员将 DNS 后缀配置为“citrix.net”。添加 IP 地址为 192.0.2.1 的应用程序,并将 user1 的访问策略设置为“拒绝”。然后添加另一个具有解析为 192.0.2.1 的 FQDN (workday.citrix.net) 的应用程序,并将 user1 的访问策略设置为“允许”。 | 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是 Workday (workday.citrix.net),IP 地址解析为 192.0.2.1。但是,由于配置了 IP 192.0.2.1 的应用程序的策略优先于使用 FQDN 配置的应用程序,因此对 Workday 的访问被拒绝。 | |
用于将 FQDN 解析为 IP 地址的 DNS 后缀
已复制!
失败!