Gateway

Zustandsloser RDP-Proxy

Der Stateless RDP Proxy greift auf einen RDP-Host zu. Der Zugriff wird über den RDPListener auf Citrix Gateway gewährt, wenn sich der Benutzer auf einem separaten Citrix Gateway Authenticator authentifiziert. Die vom RDPListener für Citrix Gateway benötigten Informationen werden sicher auf einem STA-Server gespeichert.

Der Ablauf und die neuen Regler, die für diese Funktion erstellt wurden, werden hier beschrieben.

Voraussetzungen

  • Der Benutzer wird am Citrix Gateway-Authentifikator authentifiziert.

  • Die anfängliche /rdpproxy URL und der RDP-Client sind mit einem anderen RDPListener Citrix Gateway verbunden.

  • Die RDPListener Gateway-Informationen werden vom Authenticator Gateway mithilfe eines STA-Servers sicher weitergegeben.

Konfiguration

  • Fügen Sie ein neues rdpServer-Profil hinzu. Das Serverprofil ist auf dem RDPListener Gateway konfiguriert.

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
     <!--NeedCopy-->
    

    Bei statusfreien RDP-Proxys validiert der STA-Server das STA-Ticket, das vom RDP-Client gesendet wird, um die RDP-Ziel-/RDP-Benutzerinformationen abzurufen.

    Das RDPServer-Profil wird auf dem virtuellen VPN-Server mit dem folgenden Befehl konfiguriert:

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
     <!--NeedCopy-->
    

    Warnung Sobald das rdpServerProfile auf dem VPN-vServer konfiguriert ist, kann es nicht mehr geändert werden. Außerdem kann dasselbe ServerProfile nicht auf einem anderen VPN-vserver wiederverwendet werden.

Der Befehl rdp profile wurde in rdpClient profile umbenannt und hat neue Parameter. Der Befehl MultiMonitorSupport wurde hinzugefügt. Außerdem wurde eine Option zum Konfigurieren benutzerdefinierter Parameter hinzugefügt, die als Teil des RDP-Clientprofils nicht unterstützt werden. Der ClientSSL-Param wurde entfernt, da die Verbindung immer gesichert ist. Das Clientprofil ist auf dem Authenticator Gateway konfiguriert.

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> \[-rdpUrlOverride \( ENABLE | DISABLE )] \[-redirectClipboard \( ENABLE | DISABLE )] \[-redirectDrives \( ENABLE | DISABLE )]

        \[-redirectPrinters \( ENABLE | DISABLE )] \[-keyboardHook <keyboardHook>] \[-audioCaptureMode \( ENABLE | DISABLE )] \[-videoPlaybackMode \( ENABLE | DISABLE )]

        \[-rdpCookieValidity <positive\_integer>]\[-multiMonitorSupport \( ENABLE | DISABLE )] \[-rdpCustomParams <string>] Die —rdphHost-Konfiguration wird in einer einzelnen Gateway-Bereitstellung verwendet.
  • Ordnen Sie das RDP-Profil dem virtuellen VPN-Server zu.

Dies kann entweder durch Konfiguration einer SessionAction+SessionPolicy oder durch Festlegen des globalen VPN-Parameters erfolgen.

Beispiel

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

OR

set vpn parameter –rdpClientprofile <name>

Verbindungszähler

Ein neuer Verbindungszähler ns_rdp_tot_curr_active_conn wurde hinzugefügt, der die Anzahl der verwendeten aktiven Verbindungen aufzeichnet. Es kann als Teil des Befehls nsconmsg in der NetScaler-Shell angezeigt werden. Später werden wir einen neuen CLI-Befehl bereitstellen, um diese Zähler anzuzeigen.

Ablauf der Verbindung

Am RDP-Proxyfluss sind zwei Verbindungen beteiligt. Die erste Verbindung ist die SSL-VPN-Verbindung des Benutzers zum Citrix Gateway VIP und die Aufzählung der RDP-Ressourcen.

Die zweite Verbindung ist die native RDP-Clientverbindung zum RDP-Listener (konfiguriert mit RDPIP und RDPPort) auf dem Citrix Gateway und das anschließende sichere Proxy des RDP-Clients an Serverpakete.

Lokalisierte Abbildung

  1. Der Benutzer stellt eine Verbindung zum Authenticator Gateway VIP her und gibt seine/ihre Anmeldeinformationen ein.

  2. Nach erfolgreicher Anmeldung am Gateway wird der Benutzer zur Homepage/zum externen Portal weitergeleitet, das die Remote-Desktop-Ressourcen auflistet, auf die der Benutzer zugreifen kann.

  3. Sobald der Benutzer eine RDP-Ressource auswählt, empfängt der Authenticator Gateway VIP eine Anfrage im Format https://AGVIP/rdpproxy/ip:port/rdptargetproxy, das die veröffentlichte Ressource angibt, auf die der Benutzer geklickt hat. Diese Anforderung enthält die Informationen über die IP und den Port des RDP-Servers, die der Benutzer ausgewählt hat.

  4. Die /rdpproxy/-Anfrage wird vom Authenticator Gateway verarbeitet. Da der Benutzer bereits authentifiziert ist, enthält diese Anfrage ein gültiges Gateway-Cookie.

  5. Die RDPTarget- und RDPUser-Informationen werden auf dem STA-Server gespeichert und ein STA-Ticket wird generiert. Die Informationen werden als XML-Blob gespeichert, das optional mit dem konfigurierten Pre-Shared-Schlüssel verschlüsselt wird. Wenn es verschlüsselt ist, wird das Blob base64-codiert und gespeichert. Das Authenticator Gateway verwendet einen der STA-Server, der auf dem Gateway Vserver konfiguriert ist.

  6. Das XML-Blob wird das folgende Format haben

    <Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>\n

    <Value name=”Username”>username</Value>\n<Value name=”Password”>pwd</Value>

  7. Der in der /rdpproxy/-Anfrage erhaltene “rdptargetproxy” wird als “Fulladdress” angegeben und das STA-Ticket (mit der STA AuthID vorangestellt) wird als “loadbalanceinfo” in die RDP-Datei eingefügt.

  8. Die RDP-Datei wird an den Client-Endpunkt zurückgesendet.

  9. Der native RDP-Client wird gestartet und stellt eine Verbindung zum RDPListener Gateway her. Es sendet das STA-Ticket im ersten x.224-Paket.

  10. Das RDPListener Gateway validiert das STA-Ticket und ruft die RDPTarget- und RDPUser-Informationen ab. Der zu verwendende STA-Server wird mit der in loadbalanceinfo vorhandenen ‘AuthID’ abgerufen.

  11. Eine Gateway-Sitzung wird zum Speichern von Autorisierungs-/Überwachungsrichtlinien erstellt. Wenn für den Benutzer bereits eine Sitzung existiert, wird sie wiederverwendet.

  12. Das RDPListener Gateway stellt eine Verbindung zum RDPTarget her und meldet sich über CREDSSP per Single Sign-On an.

Kompatibilität mit einem einzigen Gateway

Wenn die RDP-Datei mit der URL /rdpproxy/rdptarget/rdptargetproxy generiert wird, generieren wir ein STA-Ticket, andernfalls wird die aktuelle Methode von ‘loadbalanceinfo’ verwendet, die sich direkt auf die Sitzung bezieht.

Lokalisierte Abbildung

Bei einer einzelnen Gateway-Bereitstellung wird die URL /rdpproxy zum Authenticator Gateway selbst weitergeleitet. Ein STA-Server ist nicht erforderlich. Das Authenticator-Gateway kodiert das RDPTarget und das AAA-Sitzungscookie sicher und sendet dies als „loadbalanceinfo“ in der RDP-Datei. Wenn der RDP-Client dieses Token im x.224-Paket sendet, dekodiert das Authenticator-Gateway die RDPTarget-Informationen, sucht nach der Sitzung und stellt eine Verbindung zum RDPTarget her.

Hinweise zum Upgrade

Eine frühere Konfiguration funktioniert mit dieser neuen Version nicht, da die Parameter rdpip und rdppPort, die zuvor auf dem VPN-vserver konfiguriert wurden, so aktualisiert wurden, dass sie Teil des RdpServerProfile sind, und „rdp Profile“ in „rdp clientProfile“ umbenannt wurde und der alte Parameter clientSSL entfernt wurde.

RDP-Serverprofil erstellen

  1. Gehen Sie zu Citrix Gateway > Richtlinien > RDP.

    Lokalisierte Abbildung

  2. Gehen Sie zur Registerkarte Serverprofile und klicken Sie auf Hinzufügen.

    Lokalisierte Abbildung

  3. Geben Sie die folgenden Informationen ein, um das RDP-Serverprofil zu erstellen.

    Lokalisierte Abbildung

RDP-Clientprofil konfigurieren

  1. Gehen Sie zu Citrix Gateway > Richtlinien > RDP

    Lokalisierte Abbildung

  2. Gehen Sie zur Registerkarte Kundenprofile und klicken Sie auf Hinzufügen.

    Lokalisierte Abbildung

  3. Geben Sie die folgenden Informationen ein, um das RDP-Serverprofil zu konfigurieren.

    Lokalisierte Abbildung

Richten Sie einen virtuellen Server ein

  1. Gehen Sie zu Citrix Gateway > Virtueller Server.

    Lokalisierte Abbildung

  2. Klicken Sie auf Hinzufügen, um einen neuen RDP-Server zu erstellen.

    Lokalisierte Abbildung

  3. Vervollständigen Sie die Daten auf dieser Seite mit den Grundeinstellungen und klicken Sie auf OK.

    Lokalisierte Abbildung

  4. Klicken Sie auf den Stift, um die Seite zu bearbeiten.

    Lokalisierte Abbildung

Zustandsloser RDP-Proxy