Produktdokumentation
Gateway
Current Release 13.1 13.0 12.1
PDF anzeigen

Checkliste für Gateway-Vorinstallation

January 29, 2024
Beitrag von: 
C

Die Checkliste besteht aus einer Liste von Aufgaben und Planungsinformationen, die Sie vor der Installation von NetScaler Gateway ausführen müssen.

Es ist Platz vorhanden, damit Sie jede Aufgabe abhaken und sich Notizen machen können. Citrix empfiehlt, dass Sie sich die Konfigurationswerte notieren, die Sie während des Installationsvorgangs und während der Konfiguration von NetScaler Gateway eingeben müssen.

Schritte zum Installieren und Konfigurieren von NetScaler Gateway finden Sie unter Installieren von NetScaler Gateway.

Benutzergeräte

NetScaler Gateway grundlegende Netzwerkkonnektivität

Citrix empfiehlt, Lizenzen und signierte Serverzertifikate zu beziehen, bevor Sie mit der Konfiguration der Appliance beginnen.

  • Identifizieren und notieren Sie den Hostnamen von NetScaler Gateway. Hinweis: Dies ist nicht der vollqualifizierte Domainname (FQDN). Der FQDN ist im signierten Serverzertifikat enthalten, das an den virtuellen Server gebunden ist.
  • Beziehen Sie Universal-Lizenzen von der Citrix Website
  • Generieren Sie eine Certificate Signing Request (CSR) und senden Sie sie an eine Zertifizierungsstelle (CA). Geben Sie das Datum ein, an dem Sie die CSR an die Zertifizierungsstelle senden.
  • Notieren Sie die System-IP-Adresse und die Subnetzmaske.
  • Notieren Sie die Subnetz-IP-Adresse und die Subnetzmaske.
  • Notieren Sie sich das Administratorkennwort. Das Standardkennwort, das mit NetScaler Gateway geliefert wird, lautet nsroot.
  • Notieren Sie sich die Portnummer, auf der NetScaler Gateway auf sichere Benutzerverbindungen wartet. Der Standardwert ist TCP-Port 443. Dieser Port muss an der Firewall zwischen dem ungesicherten Netzwerk (Internet) und der DMZ geöffnet sein.
  • Notieren Sie sich die standardmäßige Gateway-IP-Adresse.
  • Notieren Sie die IP-Adresse und Portnummer des DNS-Servers. Die Standardportnummer ist 53. Wenn Sie den DNS-Server direkt hinzufügen, müssen Sie außerdem ICMP (Ping) auf der Appliance konfigurieren.
  • Notieren Sie die erste IP-Adresse und den Hostnamen des virtuellen Servers.
  • Notieren Sie die IP-Adresse und den Hostnamen des zweiten virtuellen Servers (falls zutreffend).
  • Notieren Sie die IP-Adresse des WINS-Servers (falls zutreffend).

Interne Netzwerke, die über NetScaler Gateway zugänglich sind

  • Notieren Sie die internen Netzwerke, auf die Benutzer über NetScaler Gateway zugreifen können. Beispiel: 10.10.0.0/24
  • Geben Sie alle internen Netzwerke und Netzwerksegmente ein, auf die Benutzer Zugriff benötigen, wenn sie mithilfe des Citrix Secure Access-Clients eine Verbindung über NetScaler Gateway herstellen.

Hohe Verfügbarkeit

Wenn Sie über zwei NetScaler Gateway-Appliances verfügen, können Sie sie in einer Hochverfügbarkeitskonfiguration bereitstellen, in der ein NetScaler Gateway Verbindungen akzeptiert und verwaltet, während ein zweites NetScaler Gateway das erste Gerät überwacht. Wenn das erste NetScaler Gateway aus irgendeinem Grund keine Verbindungen mehr akzeptiert, übernimmt das zweite NetScaler Gateway die Kontrolle und beginnt aktiv Verbindungen zu akzeptieren.

  • Notieren Sie sich die Versionsnummer der NetScaler Gateway-Software.
  • Die Versionsnummer muss auf beiden NetScaler Gateway-Appliances identisch sein.
  • Notieren Sie sich das Administratorkennwort (nsroot). Das Kennwort muss auf beiden Geräten gleich sein.
  • Notieren Sie die primäre NetScaler Gateway-IP-Adresse und -ID. Die maximale ID-Nummer beträgt 64.
  • Notieren Sie die sekundäre NetScaler Gateway IP-Adresse und ID.
  • Besorgen und installieren Sie die Universal-Lizenz auf beiden Geräten.
  • Installieren Sie dieselbe Universal-Lizenz auf beiden Appliances.
  • Notieren Sie sich das RPC-Knotenkennwort.

Authentifizierung und Autorisierung

NetScaler Gateway unterstützt verschiedene Authentifizierungs- und Autorisierungstypen, die in verschiedenen Kombinationen verwendet werden können. Ausführliche Informationen zur Authentifizierung und Autorisierung finden Sie unter Authentifizierung und Autorisierung.

LDAP-Authentifizierung

Wenn Ihre Umgebung einen LDAP-Server enthält, können Sie LDAP für die Authentifizierung verwenden.

  • Notieren Sie die IP-Adresse und den Port des LDAP-Servers.

    Wenn Sie unsichere Verbindungen zum LDAP-Server zulassen, ist der Standardport 389. Wenn Sie Verbindungen zum LDAP-Server mit SSL verschlüsseln, ist der Standardport 636.

  • Notieren Sie sich den Sicherheitstyp.

    Sie können die Sicherheit mit oder ohne Verschlüsselung konfigurieren.

  • Notieren Sie den Administrator-Bind-DN.

    Wenn Ihr LDAP-Server eine Authentifizierung erfordert, geben Sie den Administrator-DN ein, den NetScaler Gateway zur Authentifizierung verwenden muss, wenn Sie Abfragen an das LDAP-Verzeichnis stellen. Ein Beispiel ist cn=Administrator, CN=Users, dc=ace, dc=com.

  • Notieren Sie sich das Administratorkennwort.

    Das Kennwort ist mit dem Administrator-Bind-DN verknüpft.

  • Notieren Sie den Basis-DN.

    DN (oder Verzeichnisebene), unter dem sich Benutzer befinden; zum Beispiel ou=users, dc=ace, dc=com.

  • Notieren Sie das Attribut für den Serveranmeldenamen.

    Geben Sie das LDAP-Verzeichnis Personenobjektattribut ein, das den Anmeldenamen eines Benutzers angibt. Der Standardwert ist sAMAccountName. Wenn Sie Active Directory nicht verwenden, lauten die üblichen Werte für diese Einstellung cn oder uid. Weitere Informationen zu LDAP-Verzeichniseinstellungen finden Sie unter Konfigurieren der LDAP-Authentifizierung

  • Notieren Sie das Gruppenattribut. Geben Sie das LDAP-Verzeichnis Personenobjektattribut ein, das die Gruppen angibt, zu denen ein Benutzer gehört. Die Standardeinstellung ist MemberOf. Mit diesem Attribut kann NetScaler Gateway die Verzeichnisgruppen identifizieren, zu denen ein Benutzer gehört.
  • Notieren Sie den Namen des Unterattributs.

RADIUS-Authentifizierung und Autorisierung

Wenn Ihre Umgebung einen RADIUS-Server enthält, können Sie RADIUS für die Authentifizierung verwenden. Die RADIUS-Authentifizierung umfasst RSA SecurID-, SafeWord- und Gemalto Protiva-Produkte.

  • Notieren Sie die IP-Adresse und den Port des primären RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie das primäre RADIUS-Server-Secret (Shared Secret).
  • Notieren Sie die IP-Adresse und den Port des sekundären RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie das sekundäre RADIUS-Server-Secret (Shared Secret)
  • Notieren Sie sich die Art der Kennwortkodierung (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

SAML-Authentifizierung

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Service Providern.

  • Besorgen und installieren Sie auf NetScaler Gateway ein sicheres IdP-Zertifikat.
  • Notieren Sie sich die Umleitungs-URL.
  • Notieren Sie sich das Benutzerfeld.
  • Notieren Sie den Namen des Signaturzertifikats.
  • Notieren Sie den Namen des SAML-Ausstellers.
  • Notieren Sie die Standardauthentifizierungsgruppe.

Ports durch die Firewalls öffnen (Single-Hop-DMZ)

Wenn Ihre Organisation das interne Netzwerk mit einer einzigen DMZ schützt und Sie das NetScaler Gateway in der DMZ bereitstellen, öffnen Sie die folgenden Ports durch die Firewalls. Wenn Sie zwei NetScaler Gateway-Appliances in einer Double-Hop-DMZ-Bereitstellung installieren, lesen Sie Öffnen der entsprechenden Ports auf den Firewalls.

Auf der Firewall zwischen dem ungesicherten Netzwerk und der DMZ

  • Öffnen Sie einen TCP/SSL-Port (Standard 443) auf der Firewall zwischen dem Internet und NetScaler Gateway. Benutzergeräte stellen über diesen Port eine Verbindung zu NetScaler Gateway her.

Auf der Firewall zwischen dem gesicherten Netzwerk

  • Öffnen Sie einen oder mehrere geeignete Ports an der Firewall zwischen der DMZ und dem gesicherten Netzwerk. NetScaler Gateway stellt eine Verbindung zu einem oder mehreren Authentifizierungsservern oder zu Computern her, auf denen Citrix Virtual Apps and Desktops im gesicherten Netzwerk an diesen Ports ausgeführt wird.

  • Notieren Sie die Authentifizierungsports.

    Öffnen Sie nur den für Ihre NetScaler Gateway-Konfiguration geeigneten Port.

    • Für LDAP-Verbindungen ist der Standardwert TCP-Port 389.
    • Für eine RADIUS-Verbindung ist der Standardwert der UDP-Port 1812. Notieren Sie die Ports für Citrix Virtual Apps and Desktops.
  • Wenn Sie NetScaler Gateway mit Citrix Virtual Apps and Desktops verwenden, öffnen Sie den TCP-Port 1494. Wenn Sie die Sitzungszuverlässigkeit aktivieren, öffnen Sie den TCP-Port 2598 anstelle von 1494. Citrix empfiehlt, diese beiden Ports offen zu halten.

Citrix Virtual Desktops, Citrix Virtual Apps, das Webinterface oder StoreFront

Führen Sie die folgenden Aufgaben aus, wenn Sie NetScaler Gateway bereitstellen, um Zugriff auf Citrix Virtual Apps and Desktops über das Webinterface oder StoreFront zu gewähren. Der Citrix Secure Access-Client ist für diese Bereitstellung nicht erforderlich. Benutzer greifen über NetScaler Gateway auf veröffentlichte Anwendungen und Desktops zu, indem sie nur Webbrowser und Citrix Receiver verwenden.

  • Notieren Sie den FQDN oder die IP-Adresse des Servers, auf dem das Webinterface oder StoreFront ausgeführt wird.
  • Notieren Sie den FQDN oder die IP-Adresse des Servers, auf dem die Secure Ticket Authority (STA) ausgeführt wird (nur für das Webinterface).

Citrix Endpoint Management

Führen Sie die folgenden Aufgaben aus, wenn Sie Citrix Endpoint Management in Ihrem internen Netzwerk bereitstellen. Wenn Benutzer über ein externes Netzwerk wie das Internet eine Verbindung zu Endpoint Management herstellen, müssen Benutzer eine Verbindung zu NetScaler Gateway herstellen, bevor sie auf Mobil-, Web- und SaaS-Apps zugreifen können.

  • Notieren Sie den FQDN oder die IP-Adresse von Endpoint Management.
  • Identifizieren Sie Web-, SaaS- und mobile iOS- oder Android-Anwendungen, auf die Benutzer zugreifen können.

Double-Hop-DMZ-Bereitstellung mit Citrix Virtual Apps

Führen Sie die folgenden Aufgaben aus, wenn Sie zwei NetScaler Gateway-Appliances in einer Double-Hop-DMZ-Konfiguration bereitstellen, um den Zugriff auf Server zu unterstützen, auf denen Citrix Virtual Apps ausgeführt wird.

NetScaler Gateway in der ersten DMZ

Die erste DMZ ist die DMZ am äußersten Rand Ihres internen Netzwerks (am nächsten zum Internet oder unsicherem Netzwerk). Clients verbinden sich in der ersten DMZ über die Firewall, die das Internet von der DMZ trennt, mit NetScaler Gateway. Sammeln Sie diese Informationen, bevor Sie NetScaler Gateway in der ersten DMZ installieren.

  • Füllen Sie die Elemente im Abschnitt NetScaler Gateway Basic Network Connectivity dieser Checkliste für dieses NetScaler Gateway aus.

    Wenn diese Elemente abgeschlossen sind, verbindet Interface 0 dieses NetScaler Gateway mit dem Internet und Interface 1 verbindet dieses NetScaler Gateway mit NetScaler Gateway in der zweiten DMZ.

  • Konfigurieren Sie die zweiten DMZ-Appliance-Informationen auf dem primären Gerät.

    Um NetScaler Gateway als ersten Hop in der Double-Hop-DMZ zu konfigurieren, müssen Sie den Hostnamen oder die IP-Adresse von NetScaler Gateway in der zweiten DMZ auf dem Gerät in der ersten DMZ angeben. Nachdem Sie im ersten Hop angegeben haben, wann der NetScaler Gateway-Proxy auf dem Gerät konfiguriert ist, binden Sie ihn global an NetScaler Gateway oder an einen virtuellen Server.

  • Notieren Sie das Verbindungsprotokoll und den Port zwischen Geräten.

    Um NetScaler Gateway als ersten Hop in der doppelten DMZ zu konfigurieren, müssen Sie das Verbindungsprotokoll und den Port angeben, auf dem NetScaler Gateway in der zweiten DMZ auf Verbindungen wartet. Das Verbindungsprotokoll und der Port sind SOCKS mit SSL (Standardport 443). Das Protokoll und der Port müssen durch die Firewall geöffnet sein, die die erste DMZ und die zweite DMZ trennt.

NetScaler Gateway in der zweiten DMZ

Die zweite DMZ ist die DMZ, die Ihrem internen, sicheren Netzwerk am nächsten liegt. NetScaler Gateway, das in der zweiten DMZ bereitgestellt wird, dient als Proxy für ICA-Verkehr und durchquert die zweite DMZ zwischen den externen Benutzergeräten und den Servern im internen Netzwerk.

  • Schließen Sie die Aufgaben im Abschnitt NetScaler Gateway Basic Network Connectivity dieser Checkliste für dieses NetScaler Gateway ab.

    Wenn diese Elemente fertiggestellt werden, verbindet Interface 0 dieses NetScaler Gateway mit NetScaler Gateway in der ersten DMZ. Schnittstelle 1 verbindet dieses NetScaler Gateway mit dem gesicherten Netzwerk.

Checkliste für Gateway-Vorinstallation
January 29, 2024
Beitrag von: 
C
January 29, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.