Gateway

Erlauben Sie den Zugriff von Mobilgeräten mit Citrix Mobile Productivity Apps

Der NetScaler für XenMobile-Assistent konfiguriert die Einstellungen, die erforderlich sind, damit Benutzer von unterstützten Geräten über NetScaler Gateway eine Verbindung zu mobilen Apps und Ressourcen im internen Netzwerk herstellen können. Benutzer verbinden sich mithilfe von Secure Hub (zuvor Citrix Secure Hub), das einen Micro-VPN-Tunnel einrichtet. Wenn Benutzer eine Verbindung herstellen, öffnet sich ein VPN-Tunnel zu NetScaler Gateway und wird dann im internen Netzwerk an XenMobile weitergeleitet. Benutzer können dann von XenMobile aus auf ihre Web-, Mobil- und SaaS-Apps zugreifen.

Um sicherzustellen, dass Benutzer eine einzige Universal-Lizenz verbrauchen, wenn sie mit mehreren Geräten gleichzeitig eine Verbindung zu NetScaler Gateway herstellen, können Sie die Sitzungsübertragung auf dem virtuellen Server aktivieren. Einzelheiten finden Sie unter Konfigurieren von Verbindungstypen auf dem virtuellen Server.

Wenn Sie Ihre Konfiguration ändern müssen, nachdem Sie den NetScaler für XenMobile-Assistenten verwendet haben, verwenden Sie die Abschnitte in diesem Artikel als Anleitung. Stellen Sie vor dem Ändern der Einstellungen sicher, dass Sie die Auswirkungen Ihrer Änderungen verstehen. Weitere Informationen finden Sie in den Artikeln zur XenMobile-Bereitstellung.

Konfigurieren von Secure Browse in NetScaler Gateway

Sie können Secure Browse als Teil globaler Einstellungen oder als Teil eines Sitzungsprofils ändern. Sie können die Sitzungsrichtlinie an Benutzer, Gruppen oder virtuelle Server binden. Wenn Sie Secure Browse konfigurieren, müssen Sie auch den clientlosen Zugriff aktivieren. Für den clientlosen Zugriff müssen Sie jedoch nicht Secure Browse aktivieren. Wenn Sie den clientlosen Zugriff konfigurieren, legen Sie die URL-Kodierung für den clientlosen Zugriff aufClearfest.

So konfigurieren Sie Secure Browse global:

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie im Dialogfeld Globale NetScaler Gateway-Einstellungen auf der Registerkarte Sicherheit auf Secure Browse und dann auf OK.

So konfigurieren Sie Secure Browse in einer Sitzungsrichtlinie und einem Profil:

  1. Erweitern Sie im Konfigurationsprogramm auf der RegisterkarteKonfigurationim NavigationsbereichNetScaler Gateway > Policiesund klicken Sie dann auf Sitzung.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Wenn Sie eine neue Sitzungsrichtlinie erstellen, klicken Sie auf Hinzufügen.
    • Wenn Sie eine bestehende Richtlinie ändern, wählen Sie eine Richtlinie aus und klicken Sie dann auf Öffnen.
  3. Erstellen Sie in der Richtlinie ein Profil oder ändern Sie ein vorhandenes Profil. Führen Sie dazu einen der folgenden Schritte aus:
    • Klicken Sie neben Profil anfordernauf Neu.
    • Klicken Sie neben Profil anfordern auf Ändern.
  4. Klicken Sie auf der Registerkarte Sicherheit neben Secure Browseauf Override Global und wählen Sie dann Secure Browseaus.
  5. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie ein neues Profil erstellen, klicken Sie auf Erstellen, legen Sie den Ausdruck im Richtliniendialogfeld fest, klicken Sie auf Erstellen und dann auf Schließen.
    • Wenn Sie ein vorhandenes Profil ändern, klicken Sie nach der Auswahl zweimal auf OK.

So konfigurieren Sie Verkehrsrichtlinien für Secure Web im Secure Browse-Modus:

Verwenden Sie die folgenden Schritte, um Verkehrsrichtlinien für die Weiterleitung von Secure Web Webverkehr über einen Proxyserver im Secure Browse-Modus zu konfigurieren.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte KonfigurationNetScaler Gateway > Richtlinien, und klicken Sie dann aufVerkehr.
  2. Klicken Sie im rechten Bereich auf die Registerkarte Verkehrsprofile und dann auf Hinzufügen.
  3. Geben Sie unter Nameeinen Namen für das Profil ein, wählen Sie TCP als Protokollaus und lassen Sie den Rest der Einstellungen unverändert.
  4. Klicken Sie auf Erstellen.
  5. Klicken Sie auf die Registerkarte Verkehrsprofile und dann auf Hinzufügen.
  6. Geben Sie unter Nameeinen Namen für das Profil ein und wählen Sie dann HTTP als Protokollaus. Dieses Verkehrsprofil ist sowohl für HTTP als auch für SSL. Clientloser VPN-Verkehr ist vom Design her HTTP-Verkehr, unabhängig vom Zielport oder Diensttyp. Daher geben Sie sowohl SSL- als auch HTTP-Verkehr als HTTP im Verkehrsprofil an.
  7. Geben Sie unter Proxydie IP-Adresse des Proxyservers ein. Geben Sie unter Portdie Portnummer des Proxyservers ein.
  8. Klicken Sie auf Erstellen.
  9. Klicken Sie auf die Registerkarte Verkehrsrichtlinien und dann auf Hinzufügen.
  10. Geben Sie den Namen der Verkehrsrichtlinie ein und wählen Sie für Profil anforderndas Verkehrsprofil aus, das Sie in Schritt 3 erstellt haben. Geben Sie den folgenden Ausdruck ein und klicken Sie dann auf Erstellen:

    REQ.HTTP.HEADER HOST contains ActiveSyncServer || REQ.HTTP.HEADER User-Agent CONTAINS WorxMail || REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise || REQ.HTTP.HEADER User-Agent CONTAINS Citrix Secure Hub || REQ.HTTP.URL CONTAINS AGServices || REQ.HTTP.URL CONTAINS StoreWeb
    <!--NeedCopy-->
    

    Diese Regel führt eine Überprüfung basierend auf dem Host-Header durch. Um den aktiven Sync-Verkehr vom Proxy zu umgehen, ersetzen Sie ActiveSyncServer durch den entsprechenden Active-Sync-Servernamen.

  11. Klicken Sie auf die Registerkarte Verkehrsrichtlinien und dann auf Hinzufügen. Geben Sie den Namen der Verkehrsrichtlinie ein und wählen Sie für Profil anforderndas in Schritt 6 erstellte Verkehrsprofil aus. Geben Sie den folgenden Ausdruck ein und klicken Sie dann auf Erstellen:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  12. Klicken Sie auf die Registerkarte Verkehrsrichtlinien und dann auf Hinzufügen. Geben Sie den Namen der Verkehrsrichtlinie ein und wählen Sie für Profil anforderndas in Schritt 6 erstellte Verkehrsprofil aus. Geben Sie den folgenden Ausdruck ein und klicken Sie dann auf Erstellen:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  13. Navigieren Sie zu NetScaler Gateway > Virtuelle Server, wählen Sie den virtuellen Server im rechten Bereich aus und klicken Sie dann auf Bearbeiten.
  14. Klicken Sie in der Zeile Richtlinien auf +.
  15. Wählen Sie im Menü Richtlinie wählen die Option Trafficaus.
  16. Klicken Sie auf Weiter.
  17. Klicken Sie unter Policy Bindinggegenüber von Richtlinie auswählenauf >.
  18. Wählen Sie die Richtlinie aus, die Sie in Schritt 10 erstellt haben, und klicken Sie dann auf OK.
  19. Klicken Sie auf Bind.
  20. Klicken Sie unter Richtlinienauf Traffic Policy.
  21. Klicken Sie unter VPN Virtual Server Traffic Policy Bindingauf Bindung hinzufügen
  22. Klicken Sie unter Richtlinienbindungneben dem Menü Richtlinie auswählen auf >, um die Richtlinienliste anzuzeigen.
  23. Wählen Sie die Richtlinie aus, die Sie in Schritt 11 erstellt haben, und klicken Sie dann auf OK.
  24. Klicken Sie auf Bind.
  25. Klicken Sie unter Richtlinienauf Verkehrsrichtlinien.
  26. Klicken Sie unter VPN Virtual Server Traffic Policy Bindingauf Bindung hinzufügen
  27. Klicken Sie unter Richtlinienbindungneben dem Menü Richtlinie auswählen auf >, um die Richtlinienliste anzuzeigen.
  28. Wählen Sie die Richtlinie aus, die Sie in Schritt 12 erstellt haben, und klicken Sie dann auf OK.
  29. Klicken Sie auf Bind.
  30. Klicken Sie auf Schließen.
  31. Klicken Sie auf Fertig.

Konfigurieren Sie die Secure Web (WorxWeb) -App unbedingt in der XenMobile-Konsole. Gehen Sie zu Konfigurieren > Apps, wählen Sie die Secure Web App aus, klicken Sie auf Bearbeitenund nehmen Sie dann die folgenden Änderungen vor:

  • Ändern Sie auf der App-Informationsseite den ursprünglichen VPN-Modus in Secure Browse.
  • Ändern Sie auf der iOS-Seite den anfänglichen VPN-Modus in Secure Browse.
  • Ändern Sie auf der Android-Seite den bevorzugten VPN-Modus in Secure Browse.

Konfigurieren von Timeouts für Anwendungen und MDX-Token

Wenn sich Benutzer von einem iOS- oder Android-Gerät aus anmelden, wird ein Anwendungstoken oder ein MDX-Token ausgegeben. Das Token ähnelt der Secure Ticket Authority (STA).

Sie können die Anzahl der Sekunden oder Minuten festlegen, für die die Token aktiv sind. Wenn das Token abläuft, können Benutzer nicht auf die angeforderte Ressource zugreifen, z. B. auf eine Anwendung oder eine Webseite.

Token-Time-Outs sind globale Einstellungen. Wenn Sie die Einstellung konfigurieren, gilt sie für alle Benutzer, die sich bei NetScaler Gateway anmelden.

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie im Dialogfeld Globale NetScaler Gateway-Einstellungen auf der Registerkarte Client Experience auf Erweiterte Einstellungen.
  4. Geben Sie auf der Registerkarte Allgemein in Application Token Timeout (Sek.) die Anzahl der Sekunden ein, bevor das Token abläuft. Der Standardwert beträgt 100 Sekunden.
  5. Geben Sie in MDX Token Timeout (Minuten)die Anzahl der Minuten ein, bevor das Token abläuft, und klicken Sie dann auf OK. Die Standardeinstellung beträgt 10 Minuten.

Deaktivieren Sie Endpoint Analysis für mobile Geräte

Wenn Sie Endpoint Analysis konfigurieren, müssen Sie die Richtlinienausdrücke so konfigurieren, dass die Endpoint Analysis-Scans nicht auf Android- oder iOS-Mobilgeräten ausgeführt werden. Endpoint Analysis-Scans werden auf Mobilgeräten nicht unterstützt.

Wenn Sie eine Endpoint Analysis-Richtlinie an einen virtuellen Server binden, müssen Sie einen sekundären virtuellen Server für mobile Geräte erstellen. Binden Sie keine Vorauthentifizierungs- oder Nachauthentifizierungsrichtlinien an den virtuellen Server des Mobilgeräts.

Wenn Sie den Richtlinienausdruck in einer Vorauthentifizierungsrichtlinie konfigurieren, fügen Sie die User-Agent-Zeichenfolge hinzu, um Android oder iOS auszuschließen. Wenn sich Benutzer von einem dieser Geräte aus anmelden und Sie den Gerätetyp ausschließen, wird die Endpunktanalyse nicht ausgeführt.

Beispielsweise erstellen Sie den folgenden Richtlinienausdruck, um zu überprüfen, ob der User-Agent Android enthält, ob die Anwendung virus.exe nicht existiert, und um den Prozess keylogger.exe zu beenden, wenn er mithilfe des Vorauthentifizierungsprofils ausgeführt wird. Der Richtlinienausdruck könnte so aussehen:

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains

Nachdem Sie die Vorauthentifizierungsrichtlinie und das Profil erstellt haben, binden Sie die Richtlinie an den virtuellen Server. Wenn sich Benutzer von einem Android- oder iOS-Gerät aus anmelden, wird der Scan nicht ausgeführt. Wenn sich Benutzer von einem Windows-basierten Gerät aus anmelden, wird der Scan ausgeführt.

Weitere Informationen zum Konfigurieren von Vorauthentifizierungsrichtlinien finden Sie unter Konfigurieren von Endpunktrichtlinien.

Unterstützt DNS-Abfragen mithilfe von DNS-Suffixen für Android-Geräte

Wenn Benutzer eine Micro-VPN-Verbindung von einem Android-Gerät aus herstellen, sendet NetScaler Gateway geteilte DNS-Einstellungen an das Benutzergerät. NetScaler Gateway unterstützt geteilte DNS-Abfragen basierend auf den von Ihnen konfigurierten geteilten DNS-Einstellungen. NetScaler Gateway kann auch geteilte DNS-Abfragen basierend auf DNS-Suffixen unterstützen, die Sie auf der Appliance konfigurieren. Wenn Benutzer von einem Android-Gerät aus eine Verbindung herstellen, müssen Sie DNS-Einstellungen auf NetScaler Gateway konfigurieren.

Split DNS funktioniert auf folgende Weise:

  • Wenn Sie Split-DNS auf “ Lokal” setzen, sendet das Android-Gerät alle DNS-Anfragen an den lokalen DNS-Server.
  • Wenn Sie geteiltes DNS auf Remotefestlegen, werden alle DNS-Anforderungen zur Auflösung an die auf NetScaler Gateway (Remote-DNS-Server) konfigurierten DNS-Server gesendet.
  • Wenn Sie Split-DNS auf Beidefestlegen, sucht das Android-Gerät nach dem DNS-Anforderungstyp.
    • Wenn der DNS-Anforderungstyp nicht “A” ist, sendet er das DNS-Anforderungspaket sowohl an lokale als auch an Remote-DNS-Server.
    • Wenn der DNS-Anforderungstyp “A” ist, extrahiert das Android-Plug-In den Abfrage-FQDN und vergleicht diesen FQDN mit der DNS-Suffixliste, die auf der NetScaler Appliance konfiguriert ist. Wenn der FQDN der DNS-Anforderung übereinstimmt, wird die DNS-Anforderung an den Remote-DNS-Server gesendet. Wenn der FQDN nicht übereinstimmt, wird die DNS-Anforderung an lokale DNS-Server gesendet.

In der folgenden Tabelle werden geteilte DNS-Arbeiten basierend auf dem Datensatz vom Typ A und der Suffix-Liste zusammengefasst.

Geteilte DNS-Einstellung Typ A-Datensatz? Auf der Suffix-Liste? Wohin die DNS-Anfrage gesendet wird
Lokal beide Ja oder Nein beide Ja oder Nein Lokal
Remote beide Ja oder Nein beide Ja oder Nein Remote
Beide Nein Nicht verfügbar Beide
Beide Ja Ja Remote
Beide Ja Nein Lokal

So konfigurieren Sie ein DNS-Suffix:

  1. Erweitern Sie im Konfigurationsprogramm auf der RegisterkarteKonfigurationim NavigationsbereichNetScaler Gateway > Policiesund klicken Sie dann auf Sitzung.
  2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien eine Sitzungsrichtlinie aus und klicken Sie dann auf Öffnen.
  3. Klicken Sie neben Profil anfordern auf Ändern.
  4. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
  5. Klicken Sie neben Intranet-IP-DNS-Suffix auf Override Global, geben Sie das DNS-Suffix ein und klicken Sie dann dreimal auf OK.

So konfigurieren Sie geteiltes DNS global auf NetScaler Gateway:

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte „ Kundenerlebnis “ auf Erweiterte Einstellungen.
  4. Wählen Sie auf der Registerkarte Allgemein in Split DNSBeide,RemoteoderLokalaus und klicken Sie dann aufOK.

So konfigurieren Sie geteiltes DNS in einer Sitzungsrichtlinie auf NetScaler Gateway:

  1. Erweitern Sie im Konfigurationsprogramm auf der RegisterkarteKonfigurationim NavigationsbereichNetScaler Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte „ Kundenerlebnis “ auf Erweiterte Einstellungen.
  7. Klicken Sie auf der Registerkarte Allgemein neben Split DNSauf Global überschreiben, wählen Sie Beide, Remoteoder Lokal aus und klicken Sie dann auf OK.
  8. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrückedie Option Allgemeinaus, wählen Sie Trueaus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.
Erlauben Sie den Zugriff von Mobilgeräten mit Citrix Mobile Productivity Apps