Always On
Die Funktion Always On von Citrix Gateway stellt sicher, dass Benutzer immer mit dem Unternehmensnetzwerk verbunden sind. Diese dauerhafte VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels erreicht.
Hinweis
Always On-Funktion unterstützt Captive-Portale für Citrix ADC 12.0 Build 51.24 und höher.
Wann sollte Always On verwendet werden
Verwenden Sie Always On, wenn Sie eine nahtlose VPN-Konnektivität basierend auf dem Benutzerstandort bereitstellen und den Netzwerkzugriff eines Benutzers verhindern müssen, der nicht mit einem VPN verbunden ist.
Die folgenden Szenarien veranschaulichen die Verwendung von Always On.
- Ein Mitarbeiter startet den Laptop außerhalb des Unternehmensnetzwerks und benötigt Unterstützung beim Aufbau der VPN-Konnektivität.
Lösung: Wenn der Laptop außerhalb des Unternehmensnetzwerks gestartet wird, richtet Always On nahtlos einen Tunnel ein und bietet VPN-Konnektivität. - Ein Mitarbeiter, der VPN-Konnektivität nutzt, wechselt ins Unternehmensnetzwerk. Der Mitarbeiter wird auf ein Unternehmensnetzwerk umgestellt, bleibt jedoch mit dem VPN-Tunnel verbunden, was kein wünschenswerter Zustand ist.
Lösung: Wenn der Mitarbeiter in das Unternehmensnetzwerk wechselt, reißt Always On den VPN-Tunnel ab und schaltet den Mitarbeiter nahtlos in das Unternehmensnetzwerk um. - Ein Mitarbeiter bewegt sich außerhalb des Unternehmensnetzwerks und schließt den Laptop (nicht heruntergefahren). Der Mitarbeiter benötigt Unterstützung beim Aufbau der VPN-Konnektivität, wenn er die Arbeit am Laptop wieder aufnimmt.
Lösung: Wenn der Mitarbeiter das Unternehmensnetzwerk verlässt, baut Always On nahtlos einen Tunnel auf und stellt VPN-Konnektivität bereit. - Ein Unternehmen möchte den Netzwerkzugriff regulieren, der seinen Benutzern gewährt wird, wenn sie nicht mit einem VPN-Tunnel verbunden sind.
Lösung: Je nach Konfiguration schränkt Always On den Zugriff ein, sodass Benutzer nur auf das Gateway-Netzwerk zugreifen können.
Das Always On Framework verstehen
Always On verbindet einen Benutzer automatisch mit einem VPN-Tunnel, den der Client zuvor eingerichtet hat. Das erste Mal, wenn der Benutzer einen VPN-Tunnel benötigt, muss der Benutzer eine Verbindung zur Citrix Gateway-URL herstellen und den Tunnel einrichten. Nachdem die Always On Konfiguration auf den Client heruntergeladen wurde, treibt diese Konfiguration den nachfolgenden Aufbau des Tunnels voran.
Die ausführbare Citrix Gateway-Clientdatei wird immer auf dem Clientcomputer ausgeführt. Wenn sich der Benutzer anmeldet oder sich das Netzwerk ändert, bestimmt der Citrix Gateway-Client, ob sich der Benutzerlaptop im Unternehmensnetzwerk befindet. Je nach Standort und Konfiguration richtet der Citrix Gateway-Client entweder einen Tunnel ein oder reißt einen vorhandenen Tunnel ab.
Der Tunnelaufbau wird erst eingeleitet, nachdem sich der Benutzer am Computer anmeldet. Der Citrix Gateway-Client verwendet die Anmeldeinformationen des Client-Computers, um sich beim Gateway-Server zu authentifizieren, und versucht, einen Tunnel einzurichten.
Automatischer Wiedereinbau eines Tunnels
Die automatische Wiederherstellung eines Tunnels wird ausgelöst, wenn ein VPN-Tunnel von Citrix Gateway abgerissen wird.
Hinweis
Bei einem Fehler von Endpoint Analysis versucht der Citrix Gateway-Client nicht erneut den Tunnelaufbau, sondern zeigt eine Fehlermeldung an. Wenn ein Authentifizierungsfehler auftritt, fordert der Citrix Gateway-Client den Benutzer zur Eingabe von Anmeldeinformationen auf.
Unterstützte Benutzerauthentifizierungsmethoden für nahtlosen Tunnelaufbau
Die unterstützten Benutzerauthentifizierungsmethoden lauten wie folgt:
- Benutzername + AD-Kennwort: Wenn der Windows-Benutzername und das Kennwort für die Authentifizierung verwendet werden, richtet der Citrix Gateway-Client den Tunnel mithilfe dieser Anmeldeinformationen nahtlos ein.
-
Benutzerzertifikat: Wenn ein Benutzerzertifikat für die Authentifizierung verwendet wird und nur ein Zertifikat auf der Clientmaschine vorhanden ist, baut der Citrix Secure Access Client mithilfe dieses Zertifikats nahtlos einen Tunnel auf. Wenn mehrere Clientzertifikate installiert sind, wird der Tunnel eingerichtet, nachdem der Benutzer das bevorzugte Zertifikat ausgewählt hat. Der Citrix Secure Access Client verwendet dieses bevorzugte Zertifikat für spätere Tunnel.
Wenn die Smartcards ein Benutzerzertifikat gemeinsam nutzen, kann die automatische Anmeldung nicht erreicht werden, wenn die Zertifikate im Speicher im Vergleich zu den im Speicher vorhandenen Zertifikaten dynamisch installiert werden.
- Benutzerzertifikat und Benutzername + AD-Kennwort: Diese Authentifizierungsmethode ist die Kombination zuvor beschriebener Authentifizierungsmethoden.
Hinweis
Alle anderen Authentifizierungsmechanismen werden unterstützt, aber der Tunnelaufbau ist für keine anderen Authentifizierungsmethoden nahtlos. Für alle anderen Authentifizierungsmethoden ist ein Benutzereingriff erforderlich.
Konfigurationsanforderungen für Always On
Der Unternehmensadministrator muss für die verwalteten Geräte Folgendes durchsetzen:
- Der Benutzer darf den Prozess/Dienst für eine bestimmte Konfiguration nicht beenden können
- Der Benutzer darf das Paket für eine bestimmte Konfiguration nicht deinstallieren können
- Der Benutzer darf bestimmte Registrierungseinträge nicht ändern können
Hinweis
Die Funktion funktioniert möglicherweise nicht wie erwartet, wenn der Benutzer über Administratorrechte verfügt, wie bei nicht verwalteten Geräten.
Überlegungen beim Aktivieren der AlwaysOn Funktion
Lesen Sie den folgenden Abschnitt, bevor Sie die Funktion Always On aktivieren.
Primärer Netzwerkzugriff: Wenn der Tunnel eingerichtet ist, wird der Verkehr zum Unternehmensnetzwerk basierend auf der Split-Tunnelkonfiguration festgelegt. Andere Konfigurationen sind nicht vorgesehen, um dieses Verhalten außer Kraft zu setzen.
Proxy-Einstellungen des Clientcomputers: Proxy-Einstellungen des Clientcomputers werden für die Verbindung mit dem Gateway-Server ignoriert.
Hinweis
Die Proxykonfiguration der Citrix ADC Appliance wird nicht ignoriert. Nur die Proxy-Einstellungen des Clientcomputers werden ignoriert. Benutzer, die einen Proxy auf ihren Systemen konfiguriert haben, werden benachrichtigt, dass das VPN-Plug-In ihre Proxy-Einstellungen ignoriert hat.
Wenn der Konfigurationswert auf „Verweigern“ gesetzt ist, gelten die folgenden Änderungen:
- Client-UI - Die Abmelde- und Exit-Optionen aus dem Kontextmenü des Plug-Ins und der Plug-In-Benutzeroberfläche sind deaktiviert. Benutzer dürfen die Gateway-URL nicht ändern.
- Browser-Anmeldung - Die Anmeldung des Browsers an einem anderen Gateway ist nicht zulässig. Client-Steuerelemente sind deaktiviert.
Konfigurieren von Always On
Erstellen Sie zum Konfigurieren von Always On ein Alwayson-Profil auf dem Citrix Gateway-Gerät und wenden Sie das Profil an.
So erstellen Sie ein Alwayson-Profil:
- Navigieren Sie in der Citrix ADC GUI zu Konfiguration > Citrix Gateway > Richtlinien > AlwaysOn.
- Klicken Sie auf der Seite AlwaysOn-Profile auf Hinzufügen.
- Geben Sie auf der Seite „ AlwaysOn-Profil erstellen “ die folgenden Details ein:
- Name — Der Name für Ihr Profil.
- **Standortbasiertes VPN (clientseitiger Registrierungsname: LocationDetection) — Wählen Sie eine der folgenden Einstellungen aus:
- Remote, damit ein Client erkennen kann, ob er sich im Unternehmensnetzwerk befindet, und den Tunnel einrichten kann, wenn nicht im Unternehmensnetzwerk. Remote ist die Standardeinstellung.
- Überall, um einen Kunden die Standorterkennung überspringen zu lassen und den Tunnel einzurichten, unabhängig vom Standort des Kunden
-
Clientsteuerung — Wählen Sie eine der folgenden Einstellungen aus:
- Verweigern, um zu verhindern, dass sich der Benutzer abmeldet und eine Verbindung zu einem anderen Gateway herstellt. Verweigern ist die Standardeinstellung.
- Ermöglicht es dem Benutzer, sich abzumelden und eine Verbindung zu einem anderen Gateway herzustellen.
-
Netzwerkzugriff bei VPN-Fehler (clientseitiger Registrierungsname: AlwaysOn) — Wählen Sie eine der folgenden Einstellungen aus:
- Voller Zugriff, damit der Netzwerkverkehr zum und vom Client fließen kann, wenn der Tunnel nicht eingerichtet ist. Voller Zugriff ist die Standardeinstellung.
-
Nur zum Gateway, um zu verhindern, dass Netzwerkverkehr zum oder vom Client fließt, wenn der Tunnel nicht eingerichtet ist. Der Verkehr zur oder von der Gateway-IP-Adresse ist jedoch zulässig.
Hinweis: Im Modus Nur zum Gateway werden nur der virtuelle Server, das DNS und der DHCP-Verkehr entsperrt. Um andere Websites, IP-Adressbereiche oder IP-Adressen zu entsperren, müssen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen festlegen. Zum Beispiel mycompany.com, mycdn.com, 10.120.67.0-10.120.67.255.67,67,67,67
- Klicke auf Erstellen, um die Erstellung deines Profils abzuschließen.
So wenden Sie das Alwayson-Profil an:
- Wählen Sie in der Citrix ADC-Schnittstelle Konfiguration > Citrix Gateway > Globale Einstellungenaus.
- Klicken Sie auf der Seite Globale Einstellungen auf den Link Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.
- Wählen Sie im Dropdown-Menü AlwaysON-Profilname das neu erstellte Profil aus und klicken Sie auf OK.
Hinweis
Eine ähnliche Konfiguration kann im Sitzungsprofil vorgenommen werden, um die Richtlinien auf Gruppenebene, Serverhebel oder Benutzerebene anzuwenden.
Hinweis zu IIPs
Der Tunnel auf Maschinenebene verwendet die zertifikatbasierte Authentifizierung, und die erstellte Sitzung hat den allgemeinen Namen des Zertifikats als Benutzernamen. Wenn Gerätezertifikate eindeutige gemeinsame Namen haben, haben die Sitzungen verschiedener Computer unterschiedliche Benutzernamen und damit unterschiedliche IIPs. Stellen Sie sicher, dass Sie ein Gerätezertifikat mit eindeutigen Namen generieren. Im Idealfall müssen Sie Maschinennamen als allgemeinen Namen des Gerätezertifikats verwenden.
Verhaltensübersicht verschiedener Konfigurationen für Admin-Benutzer und Nicht-Admin-Benutzer
In der folgenden Tabelle wird das Verhalten für verschiedene Konfigurationen zusammengefasst. Es beschreibt auch die Möglichkeit bestimmter Benutzeraktionen, die sich auf die Always-On-Funktionalität auswirken können.
networkAccessONVPNFailure | Kontrolle durch den Kunden | Nicht-Admin-Benutzer | Admin-Benutzer |
---|---|---|---|
fullaccess |
Allow | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Netzwerk fernbleiben. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Unternehmensnetzwerk fernhalten. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. |
fullaccess |
Verweigern | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln. |
onlyToGateway | Allow | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden (kein Netzwerkzugriff). Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. In diesem Fall wird der Zugriff nur auf das neu gerichtete Citrix Gateway gewährt. | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln. |
onlyToGateway | Verweigern | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. | Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln. |
Ausgewählte URLs zulassen, wenn “Immer ein” nicht aktiviert ist
Benutzer können auf einige Websites zugreifen, selbst wenn Always On nicht verfügbar ist und das Netzwerk gesperrt ist. Administratoren können die AlwaysOnAllowList-Registrierung verwenden, um die Websites hinzuzufügen, auf die Sie Zugriff gewähren möchten, wenn Always On nicht verfügbar ist.
Hinweis:
- Die AlwaysOnAllowList-Registrierung wird ab Version 13.0 Build 47.x und höher unterstützt.
- Der AlwaysOnAllowList-Registrierungsspeicherort ist Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client.
- Platzhalter-URLs/FQDNs werden in der AlwaysOnAllowList-Registrierung nicht unterstützt.
So legen Sie die AlwaysOnAllowlist-Registrierung fest
Legen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen fest, auf die Sie Zugriff gewähren möchten.
Beispiel: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100
Die folgende Abbildung zeigt ein Beispiel für eine AlwaysOnAllowlist-Registrierung.