XenMobile NetScaler Connector

2018 年 6 月 20 日

有关 XenMobile NetScaler Connector 的最新信息,请参阅 XenMobile Service 文档 XenMobile NetScaler Connector

XenMobile NetScaler Connector 向 NetScaler 提供 ActiveSync 客户端的设备级别授权服务,而 NetScaler 用作 Exchange ActiveSync 协议的反向代理。授权由在 XenMobile 中定义的策略组合以及 XenMobile NetScaler Connector 本地定义的规则控制。

有关详细信息,请参阅 ActiveSync Gateway

有关详细的参考体系结构图,请参阅《XenMobile 部署手册》文章面向本地部署的参考体系结构

XenMobile NetScaler Connector 的当前版本是版本 8.5.1.11。

当前版本中的新增功能

  • 系统要求变更: NetScaler Connector 的当前版本需要使用 Microsoft.NET Framework 4.5。

  • Google Analytics 支持: 我们希望了解您使用 XenMobile NetScaler Connector 的方式,以便我们可以专注于可以改进产品的方面。

  • 支持 TLS 1.1 和 1.2: 由于其日渐削弱的安全性,PCI 委员会正在弃用 TLS 1.0。对 TLS 1.1 和 1.2 的支持已添加到 XenMobile NetScaler Connector 中。

监视 XenMobile NetScaler Connector

XenMobile NetScaler Connector 配置实用程序提供详细的日志记录,可用于查看 Secure Mobile Gateway 允许或阻止的通过 Exchange Server 的所有流量。

使用日志选项卡可查看由 NetScaler 转发到 XenMobile NetScaler Connector 以进行授权的 ActiveSync 请求的历史记录。

此外,为确保 XenMobile NetScaler Connector Web 服务运行,还可将以下 URL 加载到 XenMobile NetScaler Connector 服务器上的浏览器中:http://<host:port>/services/ActiveSync/Version。如果 URL 以字符串形式返回产品版本,则 Web 服务为可响应。

模拟与 XenMobile NetScaler Connector 之间的 ActiveSync 流量

可以使用 XenMobile NetScaler Connector 模拟启用了您的策略时 ActiveSync 流量的具体表现。在 XenMobile NetScaler Connector 配置实用程序中,单击 Simulator(模拟器)选项卡。结果将根据您已配置的规则显示策略的应用方式。

为 XenMobile NetScaler Connector 选择过滤器

XenMobile NetScaler Connector 过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。 此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。在 XenMobile 中 XenMobile NetScaler Connector 可使用下列过滤器。

  • 匿名设备: 允许或拒绝在 XenMobile 中已注册但用户的身份未知的设备。例如,可以是以前注册的用户,但用户的 Active Directory 密码已过期,或者是用未知凭据注册的用户。
  • Samsung KNOX 认证失败: 选项包括允许或拒绝。
  • 禁止的应用程序:基于由黑名单策略定义的设备列表以及是否存在加入黑名单的应用程序来允许或拒绝设备。
  • 隐式允许/拒绝: 创建不满足其他任何过滤器规则条件的所有设备的设备列表,并根据该列表允许或拒绝。“隐式允许/拒绝”选项确保“设备”选项卡中的 XenMobile NetScaler Connector 状态启用,并显示设备的 XenMobile NetScaler Connector 状态。“隐式允许/拒绝”选项还控制所有其他尚未被选定的 XenMobile NetScaler Connector 过滤器。例如,加入黑名单的应用程序将被 XenMobile NetScaler Connector 拒绝(阻止),而其他所有过滤器将被允许,因为“隐式允许/拒绝”选项被选定为允许
  • 不活动设备: 创建在指定时间段内与 XenMobile 没有通信(并因此视为处于不活动状态)的设备的设备列表,并相应允许或拒绝设备。
  • 缺少所需的应用程序: 选项包括允许或拒绝。
  • 非推荐应用程序:
  • 不合规密码: 创建设备上没有通行码的所有设备的设备列表。
  • 不合规设备: 允许您拒绝或允许满足自己内部 IT 合规条件的设备。合规是由名为“不合规”的设备属性定义的任意设置,它是一个可以为“真”或“假”的布尔标志。(可以手动创建此属性并设定值,或者也可在设备满足或不满足特定条件时,使用自动操作在设备上创建此属性。)
    • 不合规 = 真。如果设备不满足您 IT 部门设定的合规标准和策略定义,则该设备不合规。
    • 不合规 = 假。如果设备满足您 IT 部门设定的合规标准和策略定义,则该设备合规。
  • 吊销状态: 创建所有已吊销设备的设备列表,并根据吊销状态允许或拒绝。
  • 已获得 Root 权限的 Android 设备/已越狱的 iOS 设备。创建包括所有标记为获得 root 权限的设备的设备列表,并根据获得 root 权限的状态允许或拒绝。
  • 未托管设备。创建包括 XenMobile 数据库中所有设备的设备列表。需要在阻止模式下部署移动应用程序网关。

配置到 XenMobile NetScaler Connector 的连接

XenMobile NetScaler Connector 通过安全 Web 服务与 XenMobile 和其他远程配置提供程序进行通信。

  1. 在 XenMobile NetScaler Connector 配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入具有管理权限并用于 XenMobile Server 的基本 HTTP 授权的用户名。
  3. URL 中,输入 XenMobile GCS 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入将用于 XenMobile Server 的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入 XenMobile NetScaler Connector 服务器名称。
  6. Baseline Interval(基准时间间隔)中,指定从 Device Manager 提取新刷新的动态规则集的时间间隔。
  7. Delta interval(时间间隔差)中,指定提取动态规则更新的时间间隔。
  8. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  9. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  10. Events Enabled(事件已启用)中,如果希望在设备被阻止时 XenMobile NetScaler Connector 通知 XenMobile,则启用此选项。如果在任何 XenMobile 自动操作中都使用了 XenMobile NetScaler Connector 规则,则必须使用此选项。
  11. 依次单击 Save(保存)和 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员联系。
  12. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。

添加新的配置提供程序时,XenMobile NetScaler Connector 会自动创建一个或多个与提供程序关联的策略。这些策略由模板定义进行定义,模板定义包含在 NewPolicyTemplate 部分的 config\policyTemplates.xml 中。会为在本节中定义的每个策略元素创建一个新策略。

如果满足以下条件,操作员可以添加、删除或修改策略元素:策略元素符合架构定义,并且不修改标准替换字符串(用括号括起)。接下来,为提供程序添加新组并更新策略以将新组包括在内。

从 XenMobile 中导入策略

  1. 在 XenMobile NetScaler 配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入将用于 XenMobile Server 的基本 HTTP 授权以及具有管理权限的用户名。
  3. URL 中,输入 XenMobile Gateway Configuration Service (GCS) 的 Web 地址,格式通常为 https://<xdmHost>/xdm/services/<MagConfigService>。MagConfigService 名称区分大小写。
  4. Password(密码)中,输入用于 XenMobile Server 的基本 HTTP 授权的密码。
  5. 单击 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员核查。
  6. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。
  7. Managing Host(管理主机)中,保留本地主机计算机的默认 DNS 名称。在多个 Forefront Threat Management Gateway (TMG) 服务器配置在一个阵列中时,此设置用于协调与 XenMobile 的通信。

    保存设置后,打开 GCS。

配置 XenMobile NetScaler Connector 策略模式

XenMobile NetScaler Connector 可采用以下六种模式运行:

  • Allow All(全部允许)。此策略模式授权对通过 XenMobile NetScaler Connector 的所有流量进行访问。不使用其他过滤规则。
  • Deny All(全部拒绝)。此策略模式阻止对通过 XenMobile NetScaler Connector 的所有流量进行访问。不使用其他过滤规则。
  • Static Rules: Block Mode(静态规则: 阻止模式)。此策略模式执行在结尾具有隐式拒绝或阻止语句的静态规则。XenMobile NetScaler Connector 阻止其他过滤规则不允许使用的设备。
  • Static Rules: Permit Mode(静态规则: 许可模式)。此策略模式执行在结尾具有隐式许可或允许语句的静态规则。允许未被阻止的设备或被其他过滤规则拒绝的设备通过 XenMobile NetScaler Connector。
  • Static + ZDM Rules: Block Mode(静态 + ZDM 规则: 阻止模式)。此策略模式首先执行静态规则,然后执行来自 XenMobile 的、在结尾具有隐式拒绝或阻止语句的动态规则。将根据已定义的过滤器和 Device Manager 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被阻止。
  • Static + ZDM Rules: Permit Mode(静态 + ZDM 规则: 许可模式)。此策略模式首先执行静态规则,然后执行来自 XenMobile 的、在结尾具有隐式许可或允许语句的动态规则。将根据已定义的过滤器和 XenMobile 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被允许。

XenMobile NetScaler Connector 根据 iOS 唯一的 ActiveSync ID 以及从 XenMobile 收到的基于 Windows 的移动设备,处理动态规则的允许或阻止。Android 设备的特性由于制造商不同而有所不同,且有些设备没有准备好公开唯一的 ActiveSync ID。为进行补偿,XenMobile 会发送 Android 设备的用户 ID 信息,以便做出允许或阻止决定。因此,如果用户只有一个 Android 设备,则其允许和阻止功能正常。如果用户具有多个 Android 设备,则所有设备都被允许,因为无法区别 Android 设备。可以将网关配置为通过 ActiveSyncID(如果已知)静态阻止这些设备。还可以将网关配置为根据设备类型或用户代理进行阻止。

要指定策略模式,请在 SMG Controller 配置实用程序中执行以下操作:

  1. 单击 Path Filters(路径过滤器)选项卡,然后单击 Add(添加)。
  2. Path Properties(路径属性)对话框中,从 Policy(策略)列表中选择策略模式,然后单击 Save(保存)。

可以在配置实用程序的 Policies(策略)选项卡中查看这些规则。在 XenMobile NetScaler Connector 中自上而下处理这些规则。“Allow”(允许)策略显示时带有绿色选中标记。“Deny”(拒绝)策略显示为红色圆圈,中间横穿一条直线。要刷新屏幕并查看最新更新的规则,请单击 Refresh(刷新)。也可在 config.xml 文件中修改规则的顺序。

要测试规则,请单击 Simulator(模拟器)选项卡。在字段中指定值。这些值也可从日志中获得。将出现指定“允许”或“阻止”的结果消息。

配置静态规则

请输入具有 ActiveSync 连接 HTTP 请求的 ISAPI 过滤功能读取的值的静态规则。静态规则使 XenMobile NetScaler Connector 能够根据下列准则允许或阻止流量:

  • User。XenMobile NetScaler Connector 使用在设备注册时捕获的授权用户值和名称结构。其常见形式是“域\用户名”,由运行 XenMobile 的服务器引用,该服务器通过 LDAP 连接到 Active Directory。XenMobile NetScaler Connector 配置实用程序中的 Log(日志)选项卡将显示通过 XenMobile NetScaler Connector 传递的值。如果需要确定值结构或者值结构不同,则将传递这些值。
  • Deviceid (ActiveSyncID)。也称为所连接设备的 ActiveSyncID。此值通常可在 XenMobile 控制台的特定设备属性页面中找到。此值也可从 XenMobile NetScaler Connector 配置实用程序的 Log(日志)选项卡中筛选出来。
  • DeviceType。XenMobile NetScaler Connector 可确定设备是 iPhone、iPad 还是其他设备类型,并能根据准则加以允许或阻止。与其他值一样,XenMobile NetScaler Connector 配置实用程序可显示为 ActiveSync 连接处理的所有已连接设备的类型。
  • UserAgent。包含有关所使用的 ActiveSync 客户端的信息。在大多数情况下,指定的值对应于移动设备平台的特定操作系统内部版本和版本。

在服务器上运行的 XenMobile NetScaler Connector 配置实用程序始终管理静态规则。

  1. 在 SMG Controller 配置实用程序中,单击 Static Rules(静态规则)选项卡,然后单击 Add(添加)。
  2. Static Rule Properties(静态规则属性)对话框中,指定要用作条件的值。例如,可通过输入用户名(例如 AllowedUser)然后取消选中 Disabled(禁用)复选框,输入允许访问的用户。
  3. 单击 Save(保存)。

    静态规则现在即生效。此外,还可使用正则表达式来定义值,但必须在 config.xml 文件中启用规则处理模式。

配置动态规则

Device Manager 中的设备策略和属性定义动态规则,并且可以触发动态 XenMobile NetScaler Connector 过滤器。触发器建立在是否存在策略冲突或属性设置的基础之上。XenMobile NetScaler Connector 过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。通过以下配置选项可定义是否要使用 XenMobile NetScaler Connector 允许或拒绝设备列表中的设备。

注意:

必须使用 XenMobile 控制台配置动态规则。

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 ActiveSync Gateway。此时将显示 ActiveSync Gateway 页面。

  3. 激活以下规则中,选择要激活的一个或多个规则。

  4. 在“仅限 Android”下,在将 Android 域用户发送到 ActiveSync Gateway 中单击,以确保 XenMobile 将 Android 设备信息发送到 Secure Mobile Gateway。

    启用了此选项时,如果 XenMobile 不具有 Android 设备用户的 ActiveSync 标识符,XenMobile 会将 Android 设备信息发送到 XenMobile NetScaler Connector。

通过编辑 XenMobile NetScaler Connector XML 文件配置自定义策略

可以在 XenMobile NetScaler Connector 配置实用程序的 Policies(策略)选项卡上的默认配置中查看基本策略。如果要创建自定义策略,可编辑 XenMobile NetScaler Connector XML 配置文件 (config\config.xml)。

  1. 在文件中找到 PolicyList 部分,然后添加新的 Policy 元素。
  2. 如果还需要新组,例如另一个静态组或支持另一个 GCP 的组,请将新 Group 元素添加到 GroupList 部分。
  3. 也可以通过重新排列 GroupRef 元素,更改现有策略中组的顺序。

配置 XenMobile NetScaler Connector XML 文件

XenMobile NetScaler Connector 使用 XML 配置文件来规定 XenMobile NetScaler Connector 的操作。此外,此文件还指定组文件和过滤器在评估 HTTP 请求时采取的关联操作。默认情况下,此文件命名为 config.xml 且位于:..\Program Files\Citrix\XenMobile NetScaler Connector\config\。

GroupRef 节点

GroupRef 节点定义逻辑组名称。默认值为 AllowGroup 和 DenyGroup。

注意:

GroupRef 节点在 GroupRefList 节点中出现的顺序非常重要。

GroupRef 节点的 ID 值标识逻辑容器或用于匹配特定用户帐户或设备的成员集合。操作属性指定过滤器处理与集合中的规则匹配的成员的方式。例如,与 AllowGroup 集中的规则匹配的用户帐户或设备将为“pass”。pass 表示允许其访问 Exchange CAS。与 DenyGroup 集中的规则匹配的用户帐户或设备为“rejected”。rejected 表示不允许其访问 Exchange CAS。

特定的用户帐户/设备或组合满足两个组中的规则时,会使用优先级约定来引导请求的结果。优先级通过 GroupRef 节点在 config.xml 文件中的自上而下的顺序体现。GroupRef 节点以优先级顺序排序。“允许”组中针对给定条件的规则将始终优先于“拒绝”组中针对相同条件的规则。

组节点

此外,config.xml 还定义组节点。这些节点将逻辑容器 AllowGroup 和 DenyGroup 链接到外部 XML 文件。存储在外部文件中的条目构成过滤器规则的基础。

注意:

在此版本中,仅支持外部 XML 文件。

默认安装会在配置中实施两个 XML 文件:allow.xml 和 deny.xml。

配置 XenMobile NetScaler Connector

可以将 XenMobile NetScaler Connector 配置为基于以下属性,选择性地阻止或允许 ActiveSync 请求:Active Sync 服务 ID设备类型用户代理(设备操作系统)、授权用户ActiveSync 命令

默认配置支持静态和动态组的组合。通过使用 SMG Controller 配置实用程序维护静态组。静态组可由已知类别的设备组成,如使用给定用户代理的所有设备。

名为网关配置提供程序的外部源负责维护动态组。XenMobile NetScaler Connector 将定期连接这些组。XenMobile 可将允许和阻止设备和用户的组导出到 XenMobile NetScaler Connector。

动态组由称为“网关配置提供程序”的外部源维护,并由 XenMobile NetScaler Connector 定期收集。XenMobile 可将允许和阻止设备和用户的组导出到 XenMobile NetScaler Connector。

策略是组的有序列表,其中每个组都有关联的操作(允许或阻止)和组成员列表。一个策略可以有任何数量的组。策略内组的排序很重要,因为找到匹配项时就会执行组的操作,不会评估后续的组。

成员定义匹配请求中属性的方式。可以匹配单个属性,如设备 ID,或多个属性,如设备类型和用户代理。

为 XenMobile NetScaler Connector 选择安全模型

建立安全模型对于为任何规模的组织成功部署移动设备都至关重要。默认情况下,通常使用受保护或被隔离的网络控制来允许访问用户、计算机或设备。这种做法并非始终属于理想做法。对于确保移动设备的安全性,每个管理 IT 安全的组织的做法会略有不同,或者采用定制的方法。

相同的逻辑适用于移动设备安全性。由于移动设备和类型、每个用户的移动设备以及操作系统平台和应用程序的数量都非常大,因此,使用宽容模型属于较差的选择。在大多数组织中,受限模式将是最合乎逻辑的选择。

Citrix 允许 XenMobile NetScaler Connector 与 XenMobile 集成的配置方案如下:

宽容模型(许可模式)

宽容安全模型的运行前提是,默认情况下允许或授权任何设备进行访问。只有通过规则和过滤,某些设备才将被阻止并应用限制。宽容安全模型非常适合对移动设备的安全要求相对宽松的组织。该模型仅应用限制性控制来在适当的位置拒绝访问(策略规则失败时)。

限制性模型(阻止模式)

受限安全模型的运行前提是,默认情况下不允许或授权任何设备进行访问。通过安全检查点的任何访问都要进行过滤和检查,并且拒绝访问,除非允许访问的规则获得通过。受限安全模型适合对移动设备具有相对严格的安全标准的组织。该模式仅在所有允许访问的规则都通过时,才授权访问网络服务的使用和功能。

管理 XenMobile NetScaler Connector

可以使用 XenMobile NetScaler Connector 构建访问控制规则。这些规则允许或阻止访问来自托管设备的 ActiveSync 连接请求。访问基于设备状态、应用程序黑名单或白名单以及其他合规条件。

使用 XenMobile NetScaler Connector 配置实用程序,可构建强制执行公司电子邮件策略的动态和静态规则,从而阻止违反合规性标准的用户。也可设置电子邮件附件加密,使通过您的 Exchange Server 到达托管设备的所有附件都被加密,且只有获得授权的用户才能在托管设备上查看。

卸载 XNC

  1. 使用管理员帐户运行 XncInstaller.exe。
  2. 按照屏幕说明完成卸载。

安装、升级或卸载 XenMobile NetScaler Connector

  1. 使用管理员帐户运行 XncInstaller.exe 以安装 XenMobile NetScaler Connector,或者升级或删除现有的 XenMobile NetScaler Connector。
  2. 按照屏幕说明完成安装、升级或卸载。

安装 XenMobile NetScaler Connector 后,必须手动重新启动 XenMobile 配置服务和通知服务。

安装 XenMobile NetScaler Connector

可以将 XenMobile NetScaler Connector 安装在其自己的服务器上,或与 XenMobile 安装在相同的服务器上。

可出于以下原因考虑将 XenMobile NetScaler Connector 安装在其自己的服务器上(与 XenMobile 分开):

  • 如果您的 XenMobile Server 远程托管在云中(物理位置)。
  • 如果您不希望 XenMobile NetScaler Connector 受 XenMobile Server 的重新启动影响(可用性)。
  • 希望服务器的系统资源完全专用于 XenMobile NetScaler Connector(性能)。

XenMobile NetScaler Connector 在服务器上放置的 CPU 负载取决于托管的设备数量。惯例为,如果 XenMobile NetScaler Connector 与 XenMobile 部署在相同的服务器上,则会再预配一个 CPU 核心。对于大量设备(超过 50000 个),如果没有群集环境,可能需要预配更多核心。XenMobile NetScaler Connector 的内存占用量不足,无法保证更多内存。

XenMobile NetScaler Connector 系统要求

XenMobile NetScaler Connector 通过 NetScaler 设备上配置的 SSL 桥接与 NetScaler 进行通信。该桥接允许设备将所有安全流量直接桥接到 XenMobile。XenMobile NetScaler Connector 要求以下最低系统配置:

组件 要求
计算机和处理器 733 MHz Pentium III 733 MHz 或更高版本的处理器。2.0 GHz Pentium III 或更高版本的处理器(建议)
NetScaler NetScaler 设备,软件版本 10
内存 1 GB
硬盘 具有 150 MB 可用硬盘空间的 NTFS 格式本地分区
操作系统 Microsoft Windows Server 2008 R2、Microsoft Windows Server 2008 SP2、Microsoft Windows Server 2012 R2
其他设备 与主机操作系统兼容的网络适配器(用于与内部网络通信)
Microsoft .NET Framework 版本 8.5.1.11 需要使用 Microsoft.NET Framework 4.5。
显示 VGA 或更高分辨率的显示器

XenMobile NetScaler Connector 的主机计算机要求以下最小可用硬盘空间:

  • 应用程序: 10 -15 MB(建议 100 MB)
  • 日志记录: 1 GB(建议 20 GB)

有关支持 XenMobile NetScaler Connector 的平台的信息,请参阅支持的设备操作系统

设备电子邮件客户端

并非所有电子邮件客户端都一致地为设备返回相同的 ActiveSync ID。由于 XenMobile NetScaler Connect 要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。Citrix 已测试这些电子邮件客户端,并且这些客户端在执行时没有错误:

  • HTC 本机电子邮件客户端
  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端
  • TouchDown

部署 XenMobile NetScaler Connector

XenMobile NetScaler Connector 使您可以使用 NetScaler 来代理并平衡 XenMobile Server 与 XenMobile 托管设备之间的通信负载。XenMobile NetScaler Connector 定期与 XenMobile 通信以同步策略。XenMobile NetScaler Connector 和 XenMobile 可以共同或单独组成群集,并且可以通过 NetScaler 平衡负载。

XenMobile NetScaler Connector 组件

  • XenMobile NetScaler Connector 服务: 此服务提供一个 REST Web 服务界面,NetScaler 可以调用该界面以确定来自设备的 ActiveSync 请求是否获得授权。
  • XenMobile 配置服务: 此服务与 Device Manager 进行通信,将 Device Manager 策略更改与 XenMobile NetScaler Connector 同步。
  • XenMobile 通知服务: 此服务将未经授权的设备访问通知发送到 Device Manager。这样,Device Manager 可以采取恰当的措施,例如通知用户设备被阻止的原因。
  • XenMobile NetScaler 配置实用程序: 此应用程序允许管理员配置和监视 XenMobile NetScaler Connector。

设置 XenMobile NetScaler Connector 的侦听地址

要使 XenMobile NetScaler Connector 接收来自 NetScaler 的授权传输 ActiveSync 流量的请求,请执行以下操作。指定 XenMobile NetScaler Connector 在上面侦听 NetScaler Web 服务调用的端口。

  1. 开始菜单中,选择 XenMobile NetScaler 配置实用程序。
  2. 单击 Web Service(Web 服务)选项卡,然后键入 XenMobile NetScaler Connector Web 服务的侦听地址。可以选择 HTTPHTTPS,或者同时选择两者。如果 XenMobile NetScaler Connector 与 XenMobile 的位置相同(安装在同一服务器上),请选择与 XenMobile 不冲突的端口值。
  3. 配置值后,单击 Save(保存),然后单击 Start Service(启动服务),启动 Web 服务。

在 XenMobile NetScaler Connector 中配置设备访问控制策略

要配置将应用于托管设备的访问控制策略,请执行以下操作:

  1. 在 XenMobile NetScaler 配置实用程序中,单击 Path Filters(路径过滤器)选项卡。
  2. 选择第一行 Microsoft-Server-ActiveSync is for ActiveSync(Microsoft-Server-ActiveSync 适用于 ActiveSync),然后单击 Edit(编辑)。
  3. Policy(策略)列表中,选择所需策略。对于包含 XenMobile 策略的策略,请选择 Static + ZDM: Permit Mode(静态 + ZDM: 许可模式)或 Static + ZDM: Block Mode(静态 + ZDM: 阻止模式)。这些策略将本地(或静态)规则与 XenMobile 的规则组合在一起。Permit Mode(许可模式)表示允许未被规则明确识别的所有设备访问 ActiveSync。Block Mode(阻止模式)表示阻止此类设备。
  4. 设置策略后,单击 Save(保存)。

配置与 XenMobile 的通信

指定要与 XenMobile NetScaler Connector 和 NetScaler 结合使用的 XenMobile Server(又称为配置提供程序)的名称和属性。

注意: 此任务假定您已安装并配置 XenMobile。

  1. 在 XenMobile NetScaler Connector 配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. 输入您在此部署中使用的 XenMobile Server 的名称和 URL。如果您在多租户部署中部署了多个 XenMobile Server,则对每个服务器实例而言,此名称必须唯一。例如,可以在 Name(名称)中键入 XMS
  3. URL 中,输入 XenMobile 全局配置提供程序 (GCP) 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入将用于 XenMobile Web 服务器的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入安装了 XenMobile NetScaler Connector 的服务器的名称。
  6. Baseline Interval(基准时间间隔)中,指定从 XenMobile 提取新刷新的动态规则集的时间间隔。
  7. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  8. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  9. Events Enabled(事件已启用)中,如果希望在设备被阻止时 Secure Mobile Gateway 通知 XenMobile,则启用此选项。如果在任何 Device Manager 自动操作中都使用了 Secure Mobile Gateway 规则,则此选项是必需的。
  10. 配置服务器后,单击 Test Connectivity(测试连接),测试与 XenMobile 的连接。
  11. 建立连接后,单击 Save(保存)。

部署 XenMobile NetScaler Connector 以实现冗余和可扩展性

如果要扩展 XenMobile NetScaler Connector 和 XenMobile 部署,可在多个 Windows Server 上安装 XenMobile NetScaler Connector 实例,全都指向同一 XenMobile 实例,然后可使用 NetScaler 来平衡服务器的负载。

XenMobile NetScaler Connector 配置有两种模式:

  • 在非共享模式下,每个 XenMobile NetScaler Connector 实例都与一个 XenMobile Server 进行通信,并且保存所产生策略的自己的私有副本。例如,如果您有一群 XenMobile Server,则可在每个 XenMobile Server 上运行 XenMobile NetScaler Connector 实例,然后 XenMobile NetScaler Connector 将从本地 XenMobile 获取策略。
  • 在共享模式中,将一个 XenMobile NetScaler Connector 节点指定为主节点,它与 XenMobile 进行通信。产生的配置通过 Windows 网络共享或 Windows(或第三方)复制功能在其他节点中共享。

整个 XenMobile NetScaler Connector 配置在一个文件夹中(由几个 XML 文件组成)。XenMobile NetScaler Connector 进程检测此文件夹中任何文件的更改,并自动重新加载配置。共享模式中的主节点没有故障转移功能。但系统可容许主服务器关闭几分钟(例如,重新启动),因为上次已知的正确配置缓存在 XenMobile NetScaler Connector 进程中。