-
Pflege und Überwachung von NetScaler Gateway-Systemen
-
VPN-Konfiguration auf einem NetScaler Gateway-Gerät
-
So verbinden sich Benutzer mit dem NetScaler Gateway Plug-in
-
Bereitstellen von NetScaler Gateway-Plug-Ins für den Benutzerzugriff
-
Integrieren des NetScaler Gateway Plug-ins in die Citrix Workspace-App
-
Konfigurieren von Verbindungen für das NetScaler Gateway Plug-in
-
Erweiterte Richtlinienunterstützung für Enterprise-Lesezeichen
-
-
Virtuellen DTLS-VPN-Server über den virtuellen SSL-VPN-Server konfigurieren
-
NetScaler Gateway mit Citrix Produkten integrieren
-
So verbinden sich Benutzer mit Anwendungen, Desktops und ShareFile
-
NetScaler Gateway mit Citrix Virtual Apps and Desktops integrieren
-
Einstellungen für Ihre Citrix Endpoint Management-Umgebung konfigurieren
-
Lastausgleichsserver für Citrix Endpoint Management konfigurieren
-
Lastausgleichsserver für Microsoft Exchange mit Email Security-Filterung konfigurieren
-
Citrix Endpoint Management NetScaler Connector (XNC) ActiveSync-Filterung konfigurieren
-
Zugriff mit Mobilgeräten über mobile Produktivitätsapps von Citrix zulassen
-
Domänen- und Sicherheitstoken-Authentifizierung für Citrix Endpoint Management konfigurieren
-
Clientzertifikat- oder Clientzertifikat und Domänenauthentifizierung konfigurieren
-
-
-
-
Wann sollte die integrierte Intune-MDM-Lösung verwendet werden?
-
Netzwerkzugriffssteuerungsgeräteprüfung für den virtuellen NetScaler Gateway-Server bei Bereitstellung von Einzelfaktor-Authentifizierung konfigurieren
-
NetScaler Gateway Virtual Server für die Microsoft ADAL Token-Authentifizierung konfigurieren
-
NetScaler Gateway für Micro-VPN mit Microsoft Endpoint Manager einrichten
-
-
NetScaler Gateway aktiviert PCoIP-Proxy-Unterstützung für VMware Horizon View
-
Automatische Proxy-Konfiguration für ausgehende Proxy-Unterstützung für NetScaler Gateway
-
Zugreifen auf Citrix Virtual Apps and Desktops-Ressourcen über das Webinterface
-
Konfigurieren zusätzlicher Webinterface-Einstellungen auf NetScaler Gateway
-
Konfigurieren des Zugriffs auf Anwendungen und virtuelle Desktops im Webinterface
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Konfigurieren der Überprüfung des Netzwerkzugriffssteuerungsgeräts für den virtuellen Citrix Gateway-Server für die Single
Dieses Thema enthält Informationen zum Konfigurieren von Citrix Gateway für die Verbindung mit einem internen Netzwerk von einem mobilen Gerät (iOS und Android) mit der von Microsoft Intune angebotenen Network Access Compliance (NAC) -Sicherheit. Wenn ein Benutzer versucht, von einem iOS- oder Android-VPN-Client aus eine Verbindung zu Citrix Gateway herzustellen, prüft das Gateway zunächst beim Intune-Dienst, ob das Gerät ein verwaltetes und ein kompatibles Gerät ist.
- Verwaltet: Das Gerät wird über den Intune Company Portal-Client registriert.
- Konform: Erforderliche Richtlinien, die vom Intune MDM-Server übertragen wurden, werden angewendet.
Nur wenn das Gerät sowohl verwaltet als auch konform ist, wird die VPN-Sitzung eingerichtet und der Benutzer erhält Zugriff auf die internen Ressourcen.
Hinweis:
In diesem Setup spricht Citrix Gateway im Back-End mit dem Intune-Dienst. Die SSL-Profile verarbeiten die eingehenden Verbindungen zum Citrix Gateway. Die Citrix Gateway-Back-End-Kommunikation verarbeitet alle SNI-Anforderungen der Back-End-Cloud-Dienste (Intune).
Der virtuelle SNI für den virtuellen DTLS-Gateway-Server wird in Citrix Gateway Version 13.0 Build 64.x und höher unterstützt.
Intune NAC Check für das Pro-App-VPN oder sogar geräteweites VPN wird nur unterstützt, wenn das VPN-Profil vom Intune-Verwaltungsportal (jetzt als Microsoft Endpoint Manager bekannt) bereitgestellt wird. Diese Funktionen werden für vom Endbenutzer hinzugefügte VPN-Profile nicht unterstützt. Auf dem Endbenutzergerät muss das VPN-Profil von Microsoft Endpoint Manager von seinem Intune-Administrator auf seinem Gerät bereitgestellt werden, um die NAC-Prüfung verwenden zu können.
Lizenzierung
Für diese Funktion ist eine Citrix Enterprise Edition-Lizenz erforderlich.
Systemanforderungen
- Citrix Gateway Version 11.1 Build 51.21 oder höher
- iOS VPN — 10.6 oder höher
- Android VPN — 2.0.13 oder höher
- Microsoft
- Azure AD-Zugriff (mit Mandanten- und Administratorrechten)
- Mandant mit aktiviertem Intune
- Firewall
Aktivieren Sie Firewall-Regeln für den gesamten DNS- und SSL-Verkehr von der Subnetz-IP-Adresse zu
https://login.microsoftonline.comundhttps://graph.windows.net(Port 53 und Port 443)
Voraussetzungen
- Alle bestehenden Authentifizierungsrichtlinien müssen von klassischen auf erweiterte Richtlinien umgestellt werden. Informationen zur Umstellung von klassischen Richtlinien auf erweiterte Richtlinien finden Sie unter https://support.citrix.com/article/CTX131024.
- Erstellen Sie eine Citrix Gateway-Anwendung im Azure-Portal. Einzelheiten finden Sie unter Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal.
- Konfigurieren Sie die OAuth-Richtlinie in der Citrix Gateway-Anwendung, die Sie mit den folgenden anwendungsspezifischen Informationen erstellt haben.
- Client-ID/Anwendungs-ID
- Client geheim/ Anwendungsschlüssel
- Azure-Tenant-ID
Referenzen
- Dieses Dokument erfasst die Citrix Gateway-Setup-Konfiguration. Der größte Teil der Konfiguration des Citrix SSO-Clients (iOS/Android) erfolgt auf der Intune-Seite. Einzelheiten zur Intune-VPN-Konfiguration für NAC finden Sie unter https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
- Informationen zum Konfigurieren des VPN-Profils für eine iOS-App finden Sie unter https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- Informationen zum Einrichten der Citrix Gateway-Anwendung im Azure-Portal finden Sie unter Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal.
So fügen Sie einen virtuellen Citrix Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu
-
Navigieren Sie zu Citrix Gateway > Virtuelle Server.
-
Klicken Sie auf Hinzufügen.
-
Geben Sie die erforderlichen Informationen im Bereich Grundeinstellungen ein und klicken Sie auf OK.
-
Wählen Sie Serverzertifikat.
-
Wählen Sie das erforderliche Serverzertifikat und klicken Sie auf Bind.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf das Pluszeichen [+] neben Richtlinien und wählen Sie Sitzung aus der Liste Richtlinie auswählen aus. Wählen Sie in der Liste Typ auswählen die Option Anforderung aus und klicken Sie auf Weiter.
-
Klicken Sie auf das Plus-Symbol [+] neben Richtlinie auswählen.
-
Geben Sie auf der Seite Create Citrix Gateway Sitzungsrichtlinie einen Namen für die Sitzungsrichtlinie an.
-
Klicken Sie auf das Plus-Symbol [+] neben Profil und geben Sie auf der Seite Citrix Gateway-Sitzungsprofil erstellen einen Namen für das Sitzungsprofil an.
-
Klicken Sie auf der Registerkarte Client Experience auf das Kontrollkästchen neben Clientless Access, und wählen Sie aus der Liste Aus.
-
Klicken Sie auf das Kontrollkästchen neben Plug-In-Typ und wählen Sie Windows/Mac OS X aus der Liste aus.
-
Klicken Sie auf Erweiterte Einstellungen, aktivieren Sie das Kontrollkästchen neben Clientauswahl und setzen Sie den Wert auf ON.
-
Klicken Sie auf der Registerkarte Sicherheit auf das Kontrollkästchen neben Standardermächtigungsaktion und wählen Sie Zulassen aus der Liste aus.
-
Klicken Sie auf der Registerkarte Published Applications auf das Kontrollkästchen neben ICA-Proxy, und wählen Sie AUS in der Liste aus.
-
Klicken Sie auf Erstellen.
-
Konfigurieren Sie auf der Seite Citrix Gateway-Sitzungsrichtlinie erstellen im Bereich Ausdruck den qualifizierenden Ausdruck.
-
Klicken Sie auf Erstellen.
-
Klicken Sie auf Bind.
-
Wählen Sie unter Erweiterte EinstellungenAuthentifizierungsprofil.
-
Klicken Sie auf das Pluszeichen [+] und geben Sie einen Namen für das Authentifizierungsprofil ein.
-
Klicken Sie auf das Pluszeichen [+], um einen virtuellen Authentifizierungsserver zu erstellen.
-
Geben Sie im Bereich Grundeinstellungen den Namen und den IP-Adresstyp für den virtuellen Authentifizierungsserver an und klicken Sie auf OK.Der IP-Adresstyp kann auch nicht adressierbar sein.
-
Klicke auf Authentifizierungsrichtlinie.
-
Klicken Sie in der Ansicht Richtlinienbindung auf das Pluszeichen [+], um eine Authentifizierungsrichtlinie zu erstellen.
-
Wählen Sie OAUTH als Aktionstyp aus und klicken Sie auf das Plus-Symbol [+], um eine OAuth-Aktion für NAC zu erstellen.
-
Erstellen Sie eine OAuth Aktion mit Client-ID, Client Secretund Mandanten-ID.
Hinweis:
- Client-ID, Client Secret und Mandanten-ID werden nach der Konfiguration der Citrix Gateway-Anwendung im Azure-Portal generiert.
- Notieren Sie sich die Client-ID/Anwendungs-ID, Client Secret/Application Secret und Azure-Tenant-ID-Informationen, da sie beim späteren Erstellen einer OAuth-Aktion auf Citrix Gateway erforderlich sind.
Stellen Sie sicher, dass auf Ihrer Appliance ein geeigneter DNS-Nameserver konfiguriert ist, um aufzulösen und zu erreichen;
https://login.microsoftonline.com/,\- - - `https://graph.windows.net/`, *.manage.microsoft.com.
-
Erstellen Sie eine Authentifizierungsrichtlinie für OAuth Action.
Regel:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Klicken Sie auf das Plus-Symbol [+], um eine NextFactor-Policy Label zu erstellen.
-
Klicken Sie auf das Plus-Symbol [+], um ein Anmeldeschema zu erstellen.
-
Wählen Sie
noschemaals Authentifizierungsschema aus und klicken Sie auf Erstellen.
-
Klicken Sie nach Auswahl des erstellten Anmeldeschemas auf Weiter.
-
Wählen Sie unter Richtlinie auswähleneine bestehende Authentifizierungsrichtlinie für die Benutzeranmeldung aus oder klicken Sie auf das Plus-Symbol +, um eine Authentifizierungsrichtlinie zu erstellen. Einzelheiten zum Erstellen einer Authentifizierungsrichtlinie finden Sie unter Konfigurieren erweiterter Authentifizierungsrichtlinien und Konfigurieren der LDAP-Authentifizierung.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Fertig.
-
Klicken Sie auf Erstellen.
-
Klicken Sie auf OK.
-
Klicken Sie auf Fertig.
So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.
-
Wählen Sie den zuvor ausgewählten virtuellen Server aus und klicken Sie auf Bearbeiten.
-
Klicken Sie unter Erweiterte Einstellungen auf Anmeldeschemas.
-
Klicken Sie auf Login Schemas, um zu binden.
-
Klicken Sie auf [>], um die vorhandenen Richtlinien für das Build-In-Anmeldeschema für die NAC-Geräteprüfung auszuwählen und zu binden.
-
Wählen Sie die für Ihre Authentifizierungsbereitstellung geeignete Richtlinie für das Anmeldeschema aus und klicken Sie auf Auswählen
In der zuvor erläuterten Bereitstellung wird eine Single-Faktor-Authentifizierung (LDAP) zusammen mit einer NAC OAuth Action-Richtlinie verwendet, daher wurde lschema_single_factor_deviceid ausgewählt.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
Problembehandlung
Allgemeine Probleme
| Problem | Auflösung |
|---|---|
| Die Meldung “Richtlinie hinzufügen erforderlich” wird angezeigt, wenn Sie eine App öffnen | Hinzufügen von Richtlinien in der Microsoft Graph-API |
| Es gibt Richtlinienkonflikte | Es ist nur eine einzige Richtlinie pro App zulässig |
| Ihre App kann keine Verbindung zu internen Ressourcen herstellen | Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, Sie die Mandanten-ID korrigieren und so weiter |
Citrix Gateway-Probleme
| Problem | Auflösung |
|---|---|
| Die Berechtigungen, die für die Gateway-App auf Azure konfiguriert werden müssen, sind nicht verfügbar. | Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um festzustellen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht. |
Citrix Gateway kann nicht erreichen login.microsoftonline.comandgraph.windows.net. |
Prüfen Sie von NS Shell aus, ob Sie die folgende Microsoft-Website erreichen können: cURL -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf Citrix Gateway konfiguriert ist. Vergewissern Sie sich auch, dass die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall gespeichert sind). |
| Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. | Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt. |
| Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. | Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App. |
| Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. | Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist. |
Status und Fehlerzustand von Citrix Gateway OAuth
| Status | Zustand des Fehlers |
|---|---|
| AADFORGRAPH | Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout |
| MDMINFO |
*manage.microsoft.comist ausgefallen oder nicht erreichbar |
| GRAPH | Graph-Endpunkt nicht erreichbar |
| CERTFETCH | Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu validieren, gehen Sie zur Shell-Eingabeaufforderung und geben cURL ein https://login.microsoftonline.com. Der Befehl muss validieren. |
Hinweis: Wenn der OAuth Status erfolgreich ist, wird der Status als COMPLETE angezeigt.
Intune-Konfigurationsprüfung
Stellen Sie sicher, dass Sie das Kontrollkästchen Ich stimme zu unter Basis-iOS-VPN-Konfiguration für Citrix SSO > Netzwerkzugriffskontrolle (NAC) aktivieren. Sonst funktioniert der NAC-Check nicht.
Teilen
Teilen
In diesem Artikel
- Lizenzierung
- Systemanforderungen
- Voraussetzungen
- Referenzen
- So fügen Sie einen virtuellen Citrix Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu
- So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden
- Problembehandlung
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.