Virtuelle Server erstellen

Ein virtueller Server ist ein Zugriffspunkt, an dem sich Benutzer anmelden. Jeder virtuelle Server hat seine eigene IP-Adresse, sein eigenes Zertifikat und einen eigenen Richtliniensatz. Ein virtueller Server besteht aus einer Kombination aus einer IP-Adresse, einem Port und einem Protokoll, das eingehenden Datenverkehr akzeptiert. Virtuelle Server enthalten die Verbindungseinstellungen für die Anmeldung von Benutzern an der Appliance. Sie können die folgenden Einstellungen auf virtuellen Servern konfigurieren:

  • Zertifikate
  • Authentifizierung
  • Richtlinien
  • Lesezeichen
  • Adresspools (auch als IP-Pools oder Intranet-IPs bezeichnet)
  • Double-Hop-DMZ-Bereitstellung mit NetScaler Gateway
  • Secure Ticket Authority
  • SmartAccess ICA-Proxy-Sitzungsübertragung

Wenn Sie den NetScaler Gateway-Assistenten ausführen, können Sie während des Assistenten einen virtuellen Server erstellen. Sie können mehr virtuelle Server auf folgende Weise konfigurieren:

  • Vom Knoten der virtuellen Server. Dieser Knoten ist im Navigationsbereich des Konfigurationsdienstprogramms. Mithilfe des Konfigurationsdienstprogramms können Sie virtuelle Server hinzufügen, bearbeiten und entfernen.
  • Mit dem Schnellkonfigurations-Assistenten. Wenn Sie Citrix Endpoint Management, StoreFront oder das Webinterface in Ihrer Umgebung bereitstellen, können Sie den Assistenten für die Schnellkonfiguration verwenden, um den virtuellen Server und alle für Ihre Bereitstellung erforderlichen Richtlinien zu erstellen.

Wenn Sie möchten, dass sich Benutzer anmelden und einen bestimmten Authentifizierungstyp wie RADIUS verwenden, können Sie einen virtuellen Server konfigurieren und dem Server eine eindeutige IP-Adresse zuweisen. Wenn sich Benutzer anmelden, werden sie zum virtuellen Server weitergeleitet und dann zur Eingabe ihrer RADIUS-Anmeldeinformationen aufgefordert.

Sie können auch konfigurieren, wie sich Benutzer bei NetScaler Gateway anmelden. Sie können eine Sitzungsrichtlinie verwenden, um den Typ der Benutzersoftware, die Zugriffsmethode und die Homepage zu konfigurieren, die Benutzer nach dem Anmelden sehen.

So erstellen Sie virtuelle Server

Sie können virtuelle Server mithilfe der NetScaler Gateway GUI oder des Schnellkonfigurationsassistenten hinzufügen, ändern, aktivieren oder deaktivieren und entfernen. Weitere Informationen zum Konfigurieren eines virtuellen Servers mit dem Schnellkonfigurationsassistenten finden Sie unter Konfigurieren von Einstellungen mit dem Schnellkonfigurationsassistenten.

Hinweis:

Der virtuelle VPN-Server unterstützt standardmäßig DTLS Version 1.0. Informationen zum Aktivieren der DTLS-Version 1.2 finden Sie unter Konfigurieren des virtuellen DTLS-VPN-Servers mithilfe des virtuellen SSL-VPN-Servers.

Virtueller HTTP QUIC VPN-Server

Ab Version 14.1 Build 8.x unterstützt NetScaler Gateway die Verwendung von HTML5 in Ihrem Browser, um ICA-Verkehr mit QUIC zu senden und Citrix DaaS-Sitzungen zu starten. Sie können einen virtuellen VPN-Server vom Diensttyp HTTP QUIC erstellen, um Citrix DaaS DaaS-Anwendungen über QUIC auf HTML5-Clients ohne Client-Plug-in-Software zu starten. Bisher mussten Citrix DaaS DaaS-Anwendungen über Browser mit der Citrix Workspace-App-Client-Plug-in-Software oder HTML5-Client-Apps mithilfe von WebSockets (clientloser Zugriff) gestartet werden.

HTML5-Clients unterstützen das WebTransport-Protokoll. Das WebTransport-Protokoll verwendet HTTP3 über QUIC, um die Kommunikation zwischen einem Client und einem Webserver herzustellen. Weitere Informationen zu HTTP über QUIC finden Sie unter HTTP über QUIC-Protokoll.

Konfigurieren Sie den virtuellen HTTP QUIC VPN-Server mithilfe der GUI

  1. Konfigurieren Sie den virtuellen HTTP QUIC VPN-Server.

    1. Navigieren Sie zu Konfiguration > NetScaler Gateway > Virtuelle Server.

    2. Klicken Sie auf der Seite NetScaler Gateway Virtual Servers auf Hinzufügen.

    3. Wählen Sie unter Protokolldie Option HTTP_QUICaus.

    4. Aktualisieren Sie die verbleibenden Felder nach Bedarf und klicken Sie auf OK.

  2. Aktivieren Sie HTTP/3 WebTransport für das HTTP-Profil.

    • Navigieren Sie zu System > Profile > HTTP-Profile. Aktivieren Sie im Abschnitt HTTP/3 das Kontrollkästchen HTTP/3-WebTransport. Einzelheiten zu HTTP-Profilen finden Sie unter HTTP-Konfigurationen.

Konfigurieren Sie den virtuellen HTTP QUIC VPN-Server mithilfe der CLI

  1. Konfigurieren Sie einen virtuellen VPN-Server vom Diensttyp HTTP QUIC.

    add vpn vserver <VPN server name> -service type <HTTP_QUIC> -dtls <off> -Listenpolicy <NONE> -httpProfileName <name of the HTTP QUIC profile> -deploymentType <ICA_STOREFRONT> -vserverFqdn <URL>
    <!--NeedCopy-->
    
  2. Aktivieren Sie HTTP/3 WebTransport für das HTTP-Profil.

    set httpprofile nshttp_default_http_quic_profile -http3webTransport ENABLED

In der Ausgabe des folgenden Show-Befehls wird der Parameter angezeigt HTTP/3 WebTransport: ENABLED. Dieser Parameter gibt an, dass der Diensttyp HTTP QUIC zum Senden von WebTransport-Datenverkehr zwischen dem Client und dem virtuellen VPN-Server verwendet wird.

sh httpprofile <name>

HTTP/2 Strict Cipher: ENABLED
        HTTP/3: ENABLED
        HTTP/3 maximum header field section size: 24576
        HTTP/3 maximum header table size: 4096
        HTTP/3 maximum header blocked streams: 100
        HTTP/3 WebTransport: ENABLED
        gRPC Buffer Limit: 131072
        gRPC Buffer Timeout: 1000
        gRPC Length Delimited Message: ENABLED
        Apdex Client Response Threshold: 500
        HTTP pipeline req buffer size: 131072
        Reference count: 2

<!--NeedCopy-->

Hinweise:

So erstellen Sie einen virtuellen Server über die GUI

  1. Navigieren Sie zu NetScaler Gateway > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Konfigurieren Sie die Einstellungen gemäß Ihren Anforderungen.
  4. Klicken Sie auf Create und dann auf Close.

So erstellen Sie einen virtuellen Server über die CLI

Geben Sie an der Eingabeaufforderung;

add vpn vserver <name> <serviceType> [<IPAddress> <port>]
<!--NeedCopy-->

Beispiel:

add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->

Punkte, die beim Binden eines Netzprofils an den virtuellen VPN-Server zu beachten sind

Sie können Netzprofile (Netzwerkprofile) erstellen, um die Appliance für die Verwendung einer bestimmten Quell-IP-Adresse zu konfigurieren und das Netzprofil an den virtuellen VPN-Server zu binden. Beachten Sie jedoch Folgendes, wenn Sie ein Netzprofil an den virtuellen VPN-Server binden.

  • Wenn Sie ein Netzprofil an einen virtuellen NetScaler Gateway-Server binden, wählt das Netzprofil kein bestimmtes SNIP aus, das vom virtuellen Server oder Dienst für den Datenverkehr zu Back-End-Servern verwendet werden soll. Stattdessen ignoriert das Gateway-Gerät die Netzprofilbindung und verwendet die Round-Robin-Methode zur Auswahl der SNIPs.

  • Das Netzprofil funktioniert nicht für dynamisch generierte Dienste (STA, SF-Monitor). Für STA und andere dynamisch generierte Dienste können Sie das Netzprofil direkt an diese Monitore binden, und diese Monitore werden zu diesem Zeitpunkt verwendet. Wenn Sie jedoch mehrere Gateways auf derselben Appliance haben, verwenden alle Gateways dasselbe Netzprofil für die konfigurierten Monitore.

    Weitere Einzelheiten zum Netzprofil finden Sie unter Verwenden einer angegebenen Quell-IP für die Back-End-Kommunikation.

Quell-IP-Adresse des Netzprofils in einer virtuellen DTLS-VPN-Serverkonfiguration für den UDP-Start

Ab Version 14.1 Build 17.38 wählt NetScaler Gateway, das mit DTLS Listener konfiguriert ist, die Quell-IP-Adresse aus dem Netzprofil aus, um eine UDP-Verbindung mit dem Virtual Delivery Agent (VDA) herzustellen. Stellen Sie sicher, dass das Netzprofil an den virtuellen SSL-VPN-Server gebunden ist.

Führen Sie die folgenden CLI-Befehle aus, um ein Netzprofil auf dem virtuellen VPN-Server zu konfigurieren:

add ip <IPAddress><netmask> -type SNIP
add netprofile net1 -srcIP <IPAddress>
set vpn vserver <name> -netProfile net1
<!--NeedCopy-->

Führen Sie den CLI-Befehl show connectiontable aus, um zu überprüfen, ob die gewählte Quell-IP-Adresse verwendet wird.

Aktuelle Benutzer und insgesamt verbundene Benutzer auf dem virtuellen Server

Aktuelle Benutzer: Anzahl der Benutzer, die an einem bestimmten virtuellen Server angemeldet sind. Es wird empfohlen, dass Sie die aktuellen Benutzer für die Verfolgung von CCUs überwachen.

Gesamtzahl der verbundenen Benutzer: Anzahl der Benutzer, die eine oder mehrere aktive Verbindungen über den bestimmten virtuellen Server haben. Die Gesamtzahl der verbundenen Benutzer wird hauptsächlich im ICA-Proxy verwendet.

Sie können die Anzahl der Zähler für verbundene Benutzer insgesamt in den folgenden Szenarien verwenden:

  • Bedenken Sie, dass eine ICA-Verbindung hergestellt wurde, aber keine entsprechende Authentifizierungs-, Autorisierungs- und Überwachungssitzung hergestellt wird. In diesem Szenario startet ein Benutzer eine Anwendung oder einen Desktop, schließt den Browser, arbeitet weiterhin an der gestarteten App oder dem gestarteten Desktop. Die Authentifizierungs-, Autorisierungs- und Überwachungssitzung läuft ab, aber die Verbindung ist immer noch aktiv. Die Gesamtzahl der verbundenen Benutzer kann verwendet werden, um die Benutzer zu identifizieren, die noch verbunden sind.

  • Beim optimalen HDX-Routing können sich das Authentifizierungs-Gateway und das ICA-Gateway auf verschiedenen Geräten befinden. Die Gesamtzahl der verbundenen Benutzer kann in diesem Fall verwendet werden, um die Anzahl der verbundenen Benutzer auf dem ICA-Gateway zu ermitteln.

Zu beachtende Punkte:

  • Aktuelle Benutzer überschreiten die Gesamtzahl der verbundenen Benutzer, wenn es aktive Sitzungen gibt (noch nicht abgelaufen), aber es gibt keine aktiven Verbindungen in diesen Sitzungen. Beispielsweise startete ein Benutzer eine Anwendung oder einen Desktop und schloss sie sofort, meldete sich jedoch nicht von der Authentifizierungs-, Autorisierungs- und Überwachungssitzung ab.

  • Die Gesamtzahl der verbundenen Benutzer übersteigt die aktuellen Benutzer, wenn das Timeout für Authentifizierungs-, Autorisierungs- und Überwachungssitzungen abläuft, ICA-

  • In einem reinen VPN-Setup (keine ICA ist beteiligt) sind die Anzahl der aktuellen Benutzer und die Gesamtzahl der verbundenen Benutzer gleich.

Konfigurieren von Verbindungstypen auf dem virtuellen Server

Wenn Sie einen virtuellen Server erstellen und konfigurieren, können Sie die folgenden Verbindungsoptionen konfigurieren:

  • Verbindungen mit der Citrix Workspace-App nur mit Citrix Virtual Apps and Desktops ohne SmartAccess-, Endpunktanalyse- oder Netzwerkschicht-Tunneling-Funktionen.
  • Verbindungen mit dem Citrix Secure Access-Client und SmartAccess, die die Verwendung von SmartAccess-, Endpunktanalysen- und Tunneling-Funktionen auf Netzwerkebene ermöglichen.
  • Verbindungen mit Secure Hub, der eine Micro-VPN-Verbindung von Mobilgeräten zu NetScaler Gateway herstellt.
  • Parallele Verbindungen, die von einem Benutzer über das ICA-Sitzungsprotokoll von mehreren Geräten hergestellt wurden. Die Verbindungen werden zu einer einzigen Sitzung migriert, um die Verwendung mehrerer Universal-Lizenzen zu verhindern.

Wenn Sie möchten, dass sich Benutzer ohne Benutzersoftware anmelden, können Sie eine clientlose Zugriffsrichtlinie konfigurieren und an den virtuellen Server binden.

So konfigurieren Sie Basic- oder SmartAccess-Verbindungen auf einem virtuellen Server

  1. Navigieren Sie zu NetScaler Gateway und klicken Sie dann auf Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie unter Nameeinen Namen für den virtuellen Server ein.
  4. Geben Sie unter IP-Adresse und Portdie IP-Adresse und die Portnummer für den virtuellen Server ein.
  5. Führen Sie einen der folgenden Schritte aus:
    • Um nur ICA-Verbindungen zuzulassen, klicken Sie auf Grundmodus.
    • Um die Benutzeranmeldung mit Secure Hub, dem Citrix Secure Access-Client und SmartAccess zuzulassen, klicken Sie auf SmartAccess-Modus.
    • Damit SmartAccess ICA-Proxysitzungen für mehrere Benutzerverbindungen verwalten kann, klicken Sie auf ICA-Proxysitzungsmigration.
  6. Konfigurieren Sie die anderen Einstellungen für den virtuellen Server, klicken Sie auf Erstellenund dann auf Schließen.

Konfigurieren einer Listen-Richtlinie für virtuelle Platzhalter-Server

Sie können virtuelle NetScaler Gateway-Server so konfigurieren, dass ein virtueller Server die Möglichkeit einschränkt, auf einem bestimmten VLAN zu hören. Sie können einen virtuellen Platzhalterserver mit einer Listen-Richtlinie erstellen, die ihn auf die Verarbeitung des Datenverkehrs im angegebenen VLAN beschränkt.

Die Konfigurationsparameter lauten:

Parameter Beschreibung
Name Der Name des virtuellen Servers. Der Name ist erforderlich und Sie können ihn nicht ändern, nachdem Sie den virtuellen Server erstellt haben. Der Name darf 127 Zeichen nicht überschreiten und das erste Zeichen muss eine Zahl oder ein Buchstabe sein. Sie können auch die folgenden Zeichen verwenden: bei Symbol (@), Unterstrich (_), Bindestrich (-), Punkt (.), Doppelpunkt (:), Pfundzeichen (#) und ein Leerzeichen.
IP Die IP-Adresse des virtuellen Servers. Für einen virtuellen Platzhalterserver, der an das VLAN gebunden ist, ist der Wert immer *.
Typ Das Verhalten des Dienstes. Sie haben die Wahl: HTTP, SSL, FTP, TCP, SSL_TCP, UDP, SSL_BRIDGE, NNTP, DNS, ANY, SIP-UDP, DNS-TCP und RTSP.
Port Der Port, auf dem der virtuelle Server auf Benutzerverbindungen wartet. Die Portnummer muss zwischen 0 und 65535 liegen. Für den virtuellen Platzhalterserver, der an ein VLAN gebunden ist, ist der Wert normalerweise *.
Hören Sie Priorität Die Priorität, die der Listening-Richtlinie zugewiesen ist. Die Priorität wird in umgekehrter Reihenfolge ausgewertet; je niedriger die Zahl, desto höher ist die der Listen-Richtlinie zugewiesene Priorität.
Richtlinienregel hören Die Richtlinienregel, die verwendet werden soll, um das VLAN zu identifizieren, auf das der virtuelle Server hören muss. Die Regel ist CLIENT.VLAN.ID.EQ (<ipaddressat>). <ipaddressat> Ersetzen Sie durch die dem VLAN zugewiesene ID.

So erstellen Sie einen virtuellen Platzhalterserver mit einer Listenrichtlinie

  1. Erweitern Sie im Navigationsbereich NetScaler Gateway und klicken Sie dann auf Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie unter Nameeinen Namen für den virtuellen Server ein.
  4. Wählen Sie unter Protokolldas Protokoll aus.
  5. Geben Sie unter IP-Adressedie IP-Adresse für den virtuellen Server ein.
  6. Geben Sie unter Portden Port für den virtuellen Server ein.
  7. Geben Sie auf der Registerkarte Erweitert unter Listenrichtlinie unter Listenprioritätdie Priorität für die Listen-Richtlinie ein.
  8. Klicken Sie neben Listen-Richtlinienregel auf Konfigurieren.
  9. Klicken Sie im Dialogfeld Ausdruck erstellen auf Hinzufügen, konfigurieren Sie den Ausdruck, und klicken Sie dann auf OK.
  10. Klicken Sie auf Create und dann auf Close.