Gateway

Always On

Die Funktion Always On von Citrix Gateway stellt sicher, dass Benutzer immer mit dem Unternehmensnetzwerk verbunden sind. Diese dauerhafte VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels erreicht.

Hinweis

Always On-Funktion unterstützt Captive-Portale für Citrix ADC 12.0 Build 51.24 und höher.

Wann sollte Always On verwendet werden

Verwenden Sie Always On, wenn Sie eine nahtlose VPN-Konnektivität basierend auf dem Benutzerstandort bereitstellen und den Netzwerkzugriff eines Benutzers verhindern müssen, der nicht mit einem VPN verbunden ist.  

Die folgenden Szenarien veranschaulichen die Verwendung von Always On.  

  • Ein Mitarbeiter startet den Laptop außerhalb des Unternehmensnetzwerks und benötigt Unterstützung beim Aufbau der VPN-Konnektivität.
    Lösung: Wenn der Laptop außerhalb des Unternehmensnetzwerks gestartet wird, richtet Always On nahtlos einen Tunnel ein und bietet VPN-Konnektivität.
  • Ein Mitarbeiter, der VPN-Konnektivität nutzt, wechselt ins Unternehmensnetzwerk. Der Mitarbeiter wird auf ein Unternehmensnetzwerk umgestellt, bleibt jedoch mit dem VPN-Tunnel verbunden, was kein wünschenswerter Zustand ist.
    Lösung: Wenn der Mitarbeiter in das Unternehmensnetzwerk wechselt, reißt Always On den VPN-Tunnel ab und schaltet den Mitarbeiter nahtlos in das Unternehmensnetzwerk um.
  • Ein Mitarbeiter bewegt sich außerhalb des Unternehmensnetzwerks und schließt den Laptop (nicht heruntergefahren). Der Mitarbeiter benötigt Unterstützung beim Aufbau der VPN-Konnektivität, wenn er die Arbeit am Laptop wieder aufnimmt.
    Lösung: Wenn der Mitarbeiter das Unternehmensnetzwerk verlässt, baut Always On nahtlos einen Tunnel auf und stellt VPN-Konnektivität bereit.
  • Ein Unternehmen möchte den Netzwerkzugriff regulieren, der seinen Benutzern gewährt wird, wenn sie nicht mit einem VPN-Tunnel verbunden sind.
    Lösung: Je nach Konfiguration schränkt Always On den Zugriff ein, sodass Benutzer nur auf das Gateway-Netzwerk zugreifen können.

Das Always On Framework verstehen

Always On verbindet einen Benutzer automatisch mit einem VPN-Tunnel, den der Client zuvor eingerichtet hat. Das erste Mal, wenn der Benutzer einen VPN-Tunnel benötigt, muss der Benutzer eine Verbindung zur Citrix Gateway-URL herstellen und den Tunnel einrichten. Nachdem die Always On Konfiguration auf den Client heruntergeladen wurde, treibt diese Konfiguration den nachfolgenden Aufbau des Tunnels voran.

Die ausführbare Citrix Gateway-Clientdatei wird immer auf dem Clientcomputer ausgeführt. Wenn sich der Benutzer anmeldet oder sich das Netzwerk ändert, bestimmt der Citrix Gateway-Client, ob sich der Benutzerlaptop im Unternehmensnetzwerk befindet. Je nach Standort und Konfiguration richtet der Citrix Gateway-Client entweder einen Tunnel ein oder reißt einen vorhandenen Tunnel ab.

Der Tunnelaufbau wird erst eingeleitet, nachdem sich der Benutzer am Computer anmeldet. Der Citrix Gateway-Client verwendet die Anmeldeinformationen des Client-Computers, um sich beim Gateway-Server zu authentifizieren, und versucht, einen Tunnel einzurichten.

Automatischer Wiedereinbau eines Tunnels

Die automatische Wiederherstellung eines Tunnels wird ausgelöst, wenn ein VPN-Tunnel von Citrix Gateway abgerissen wird.

Hinweis

Bei einem Fehler von Endpoint Analysis versucht der Citrix Gateway-Client nicht erneut den Tunnelaufbau, sondern zeigt eine Fehlermeldung an. Wenn ein Authentifizierungsfehler auftritt, fordert der Citrix Gateway-Client den Benutzer zur Eingabe von Anmeldeinformationen auf.

Unterstützte Benutzerauthentifizierungsmethoden für nahtlosen Tunnelaufbau

Die unterstützten Benutzerauthentifizierungsmethoden lauten wie folgt:

  • Benutzername + AD-Kennwort: Wenn der Windows-Benutzername und das Kennwort für die Authentifizierung verwendet werden, richtet der Citrix Gateway-Client den Tunnel mithilfe dieser Anmeldeinformationen nahtlos ein.
  • Benutzerzertifikat: Wenn ein Benutzerzertifikat für die Authentifizierung verwendet wird und sich nur ein Zertifikat auf dem Computer befindet, richtet der Citrix Gateway-Client den Tunnel mithilfe dieses Zertifikats nahtlos ein. Wenn mehrere Clientzertifikate installiert sind, wird der Tunnel eingerichtet, nachdem der Benutzer das bevorzugte Zertifikat ausgewählt hat. Der Citrix Gateway-Client verwendet diese Einstellung für die nächsten eingerichteten Tunnel.
  • Benutzerzertifikat und Benutzername und AD-Kennwort: Diese Authentifizierungsmethode ist die Kombination der zuvor beschriebenen Authentifizierungsmethoden.

Hinweis

Alle anderen Authentifizierungsmechanismen werden unterstützt, aber der Tunnelaufbau ist für keine anderen Authentifizierungsmethoden nahtlos. Für alle anderen Authentifizierungsmethoden ist ein Benutzereingriff erforderlich.

Konfigurationsanforderungen für Always On

Der Unternehmensadministrator muss für die verwalteten Geräte Folgendes durchsetzen:

  • Der Benutzer darf den Prozess/Dienst für eine bestimmte Konfiguration nicht beenden können
  • Der Benutzer darf das Paket für eine bestimmte Konfiguration nicht deinstallieren können
  • Der Benutzer darf bestimmte Registrierungseinträge nicht ändern können

Hinweis

Die Funktion funktioniert möglicherweise nicht wie erwartet, wenn der Benutzer über Administratorrechte verfügt, wie bei nicht verwalteten Geräten.

Überlegungen beim Aktivieren der AlwaysOn Funktion

Lesen Sie den folgenden Abschnitt, bevor Sie die Funktion Always On aktivieren.

Primärer Netzwerkzugriff: Wenn der Tunnel eingerichtet ist, wird der Verkehr zum Unternehmensnetzwerk basierend auf der Split-Tunnelkonfiguration festgelegt. Zusätzliche Konfigurationen werden nicht bereitgestellt, um dieses Verhalten zu überschreiben.

Proxy-Einstellungen des Clientcomputers: Proxy-Einstellungen des Clientcomputers werden für die Verbindung mit dem Gateway-Server ignoriert.

Hinweis

Die Proxy-Konfiguration der Citrix ADC Appliance wird nicht ignoriert. Nur die Proxy-Einstellungen des Clientcomputers werden ignoriert. Benutzer, die einen Proxy auf ihren Systemen konfiguriert haben, werden benachrichtigt, dass das VPN-Plug-In ihre Proxy-Einstellungen ignoriert hat.

Wenn der Konfigurationswert auf “Verweigern” eingestellt ist, gelten die folgenden Änderungen:

  • Client-UI - Die Abmelde- und Exit-Optionen aus dem Kontextmenü des Plug-Ins und der Plug-In-Benutzeroberfläche sind deaktiviert. Benutzer dürfen die Gateway-URL nicht ändern.
  • Browser-Anmeldung - Die Anmeldung des Browsers an einem anderen Gateway ist nicht zulässig. Client-Steuerelemente sind deaktiviert.

Konfigurieren von Always On

Erstellen Sie zum Konfigurieren von Always On ein Alwayson-Profil auf dem Citrix Gateway-Gerät und wenden Sie das Profil an.

So erstellen Sie ein Alwayson-Profil:

  1. Navigieren Sie in der Citrix ADC GUI zu Konfiguration > Citrix Gateway > Richtlinien > AlwaysOn.
  2. Klicken Sie auf der Seite AlwaysOn-Profile auf Hinzufügen.
  3. Geben Sie auf der Seite AlwaysOn-Profil erstellen die folgenden Details ein:
    • Name — Der Name für Ihr Profil.
    • Standortbasiertes VPN — Wählen Sie eine der folgenden Einstellungen aus:
      • Remote, damit ein Client erkennen kann, ob er sich im Unternehmensnetzwerk befindet oder nicht, und den Tunnel einrichten kann, falls er sich nicht im Unternehmensnetzwerk befindet. Dies ist die Standardeinstellung.
      • Überall, damit der Kunde die Standorterkennung überspringen und den Tunnel einrichten kann, unabhängig vom Standort des Kunden
    • Clientsteuerung — Wählen Sie eine der folgenden Einstellungen aus:
      • Verweigern, um zu verhindern, dass sich der Benutzer abmeldet und eine Verbindung zu einem anderen Gateway herstellt. Dies ist die Standardeinstellung.
      • Erlaubt es dem Benutzer, sich abzumelden und eine Verbindung zu einem anderen Gateway herzustellen.
    • Netzwerkzugriff bei VPN-Ausfall — Wählen Sie eine der folgenden Einstellungen aus:
      • Voller Zugriff, damit der Netzwerkverkehr zum und vom Client fließen kann, wenn der Tunnel nicht eingerichtet ist. Dies ist die Standardeinstellung.
      • Nur zum Gateway, um zu verhindern, dass Netzwerkverkehr zum oder vom Client fließt, wenn der Tunnel nicht eingerichtet ist. Der Verkehr zur oder von der Gateway-IP-Adresse ist jedoch zulässig.
  4. Klicke auf Erstellen, um die Erstellung deines Profils abzuschließen.

So wenden Sie das Alwayson-Profil an:

  1. Wählen Sie in der Citrix ADC-Schnittstelle Konfiguration > Citrix Gateway > Globale Einstellungenaus.
  2. Klicken Sie auf der Seite Globale Einstellungen auf den Link Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.
  3. Wählen Sie im Dropdownmenü AlwaysOn-Profilname das neu erstellte Profil aus und klicken Sie auf OK.

Hinweis

Eine ähnliche Konfiguration kann im Sitzungsprofil vorgenommen werden, um die Richtlinien auf Gruppenebene, Serverhebel oder Benutzerebene anzuwenden.

Hinweis zu IIPs

Der Tunnel auf Maschinenebene verwendet zertifikatbasierte Authentifizierung, und die erstellte Sitzung hat den allgemeinen Namen des Zertifikats als Benutzernamen. Wenn Gerätezertifikate also eindeutige gebräuchliche Namen haben, haben die Sitzungen verschiedener Maschinen unterschiedliche Benutzernamen und damit unterschiedliche IIPs. Stellen Sie sicher, dass Sie ein Gerätezertifikat mit eindeutigen Namen generieren. Idealerweise müssen Sie Computernamen als gebräuchlichen Namen des Gerätezertifikats verwenden.

Verhaltensübersicht verschiedener Konfigurationen für Admin-Benutzer und Nicht-Admin-Benutzer

In der folgenden Tabelle wird das Verhalten für verschiedene Konfigurationen zusammengefasst. Es beschreibt auch die Möglichkeit bestimmter Benutzeraktionen, die sich auf die Always-On-Funktionalität auswirken können.

networkAccessONVPNFailure Kontrolle durch den Kunden Nicht-Admin-Benutzer Admin-Benutzer
fullaccess Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Netzwerk fernbleiben. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Unternehmensnetzwerk fernhalten. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen.
fullaccess Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden (kein Netzwerkzugriff). Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. In diesem Fall wird der Zugriff nur auf das neu gerichtete Citrix Gateway gewährt. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.
Always On