Serverinitiierte Verbindungen konfigurieren

Für jeden Benutzer, der bei NetScaler Gateway mit aktivierten IP-Adressen angemeldet ist, wird das DNS-Suffix an den Benutzernamen angehängt und ein DNS-Adressdatensatz wird zum DNS-Cache der Appliance hinzugefügt. Diese Technik hilft dabei, Benutzern einen DNS-Namen anstelle der IP-Adressen der Benutzer zur Verfügung zu stellen.

Wenn der Sitzung eines Benutzers eine IP-Adresse zugewiesen wird, ist es möglich, über das interne Netzwerk eine Verbindung zum Gerät des Benutzers herzustellen. Beispielsweise können Benutzer, die sich mit dem Remotedesktop oder einem Virtual Network Computing (VNC) -Client verbinden, auf das Benutzergerät zugreifen, um eine Problemanwendung zu diagnostizieren. Es ist auch möglich, dass zwei NetScaler Gateway-Benutzer mit internen Netzwerk-IP-Adressen, die remote angemeldet sind, über NetScaler Gateway miteinander kommunizieren. Das Erkennen der internen Netzwerk-IP-Adressen der angemeldeten Benutzer auf der Appliance ermöglicht diese Kommunikation.

Ein Remotebenutzer kann dann den folgenden Ping-Befehl verwenden, um die interne Netzwerk-IP-Adresse eines Benutzers zu ermitteln, der bei NetScaler Gateway angemeldet sein kann:

ping \<username.domainname\>

Ein Server kann auf folgende verschiedene Arten eine Verbindung zu einem Benutzergerät herstellen:

• TCP- oder UDP-Verbindungen. Die Verbindungen können von einem externen System im internen Netzwerk oder von einem anderen bei NetScaler Gateway angemeldeten Computer stammen. Die interne Netzwerk-IP-Adresse, die jedem bei NetScaler Gateway angemeldeten Benutzergerät zugewiesen wird, wird für diese Verbindungen verwendet. Die verschiedenen Arten von serverinitiierten Verbindungen, die NetScaler Gateway unterstützt, werden beschrieben. Bei TCP- oder UDP-Server-initiierten Verbindungen verfügt der Server über Vorkenntnisse über die IP-Adresse und den Port des Benutzergeräts und stellt eine Verbindung zu diesem her. NetScaler Gateway fängt diese Verbindung ab.

  Dann stellt das Benutzergerät eine erste Verbindung zum Server her und der Server stellt an einem Port eine Verbindung zum Benutzergerät her, der bekannt ist oder von dem ersten konfigurierten Port abgeleitet ist.

  In diesem Szenario stellt das Benutzergerät eine erste Verbindung zum Server her und tauscht dann Ports und IP-Adressen mit dem Server aus, indem ein anwendungsspezifisches Protokoll verwendet wird, in das diese Informationen eingebettet sind. Auf diese Weise kann das NetScaler Gateway Anwendungen wie aktive FTP-Verbindungen unterstützen.

• Port-Befehl. Dies wird in einem aktiven FTP und in bestimmten Voice-over-IP-Protokollen verwendet.

• Verbindungen zwischen Plug-Ins. NetScaler Gateway unterstützt Verbindungen zwischen Plug-Ins mithilfe der internen Netzwerk-IP-Adressen.

  Bei dieser Art von Verbindung können zwei NetScaler Gateway-Benutzergeräte, die dasselbe NetScaler Gateway verwenden, Verbindungen miteinander herstellen. Ein Beispiel für diesen Typ ist die Verwendung von Instant Messaging-Anwendungen wie Office Communicator oder Yahoo! Bote.

Wenn sich ein Benutzer von NetScaler Gateway abmeldet und die Abmeldeanforderung das Gerät nicht erreicht hat, kann sich der Benutzer mithilfe eines beliebigen Geräts erneut anmelden und die vorherige Sitzung durch eine neue Sitzung ersetzen. Diese Funktion kann bei Bereitstellungen von Vorteil sein, bei denen pro Benutzer eine IP-Adresse zugewiesen wird.

Wenn sich ein Benutzer zum ersten Mal bei NetScaler Gateway anmeldet, wird eine Sitzung erstellt und dem Benutzer eine IP-Adresse zugewiesen. Wenn sich der Benutzer abmeldet, die Abmeldeanforderung jedoch verloren geht oder das Benutzergerät keine saubere Abmeldung durchführt, wird die Sitzung auf dem System aufrechterhalten. Wenn der Benutzer versucht, sich von demselben Gerät oder einem anderen Gerät aus erneut anzumelden, wird nach erfolgreicher Authentifizierung ein Anmeldedialogfeld für die Übertragung angezeigt. Wenn der Benutzer die Anmeldung übertragen möchte, wird die vorherige Sitzung auf NetScaler Gateway geschlossen und eine neue Sitzung erstellt. Die Übertragung der Anmeldung ist nach der Abmeldung nur zwei Minuten lang aktiv, und wenn die Anmeldung von mehreren Geräten gleichzeitig versucht wird, ersetzt der letzte Anmeldeversuch die ursprüngliche Sitzung.

Privaten Portbereich für serverinitiierte Verbindungen konfigurieren

Ab Citrix Secure Access Client Version 23.10.1.7 können Sie einen privaten Port zwischen 49152 und 64535 für serverinitiierte Verbindungen (SIC) konfigurieren. Durch die Konfiguration privater Ports werden Konflikte vermieden, die auftreten können, wenn Sie Ports verwenden, um Sockets zwischen dem Citrix Secure Access Client und Apps von Drittanbietern auf den Client-Computern zu erstellen. Dies gilt nur, wenn der WFP-Treiber verwendet wird.

Sie können die privaten Ports mithilfe der Windows-VPN-Registrierung SicBeginPort konfigurieren. Alternativ können Sie den privaten Portbereich mithilfe einer JSON-Datei zur Anpassung des VPN-Plug-ins auf NetScaler konfigurieren.

Wenn ein Server eine Verbindung initiiert, verwendet der Citrix Secure Access Client die ersten 1000 Ports, ausgehend von der Windows-VPN-Registrierung SicBeginPort, um die Sockets zu erstellen. Wenn die Registrierung auf einem Client-Computer konfiguriert ist, hat die Registrierungseinstellung Vorrang vor der NetScaler JSON-Einstellung.

Das Folgende ist ein Beispiel für die JSON-Konfiguration des VPN-Plug-ins auf NetScaler:

root@ADC# cat /var/netscaler/gui/vpn/pluginCustomization.json

{"SicBeginPort" : 51000}
<!--NeedCopy-->

Einzelheiten zu den Registrierungseinstellungen finden Sie unter NetScaler Gateway Windows VPN-Client-Registrierungsschlüssel.

Hinweis:

Der Standard-Portbereich, der zum Erstellen von Sockets verwendet wird, ist 62500—63500.