Adresspools konfigurieren

In einigen Situationen benötigen Benutzer, die eine Verbindung mit dem Citrix Secure Access Client herstellen, eine eindeutige IP-Adresse für NetScaler Gateway. In einer Samba-Umgebung muss beispielsweise jeder Benutzer, der eine Verbindung zu einem zugeordneten Netzlaufwerk herstellt, scheinbar von einer anderen IP-Adresse stammen. Wenn Sie Adresspools (auch als IP-Pooling bezeichnet) für eine Gruppe aktivieren, kann NetScaler Gateway jedem Benutzer einen eindeutigen IP-Adressalias zuweisen.

Sie konfigurieren Adresspools mit Intranet-IP-Adressen. Die folgenden Arten von Anwendungen müssen möglicherweise eine eindeutige IP-Adresse verwenden, die aus dem IP-Pool stammt:

• Voice-Over-IP
• Aktiv FTP
• Instant Messaging
• Sichere Shell (SSH)
• Virtual Network Computing (VNC) zur Verbindung mit einem Computerdesktop
• Remotedesktop (RDP), um eine Verbindung zu einem Clientdesktop herzustellen

Sie können NetScaler Gateway so konfigurieren, dass Benutzern, die eine Verbindung zu NetScaler Gateway herstellen, eine interne IP-Adresse zuweisen. Statische IP-Adressen können Benutzern zugewiesen werden oder ein Bereich von IP-Adressen kann einer Gruppe, einem virtuellen Server oder dem System global zugewiesen werden.

Mit NetScaler Gateway können Sie Ihren Remote-Benutzern IP-Adressen aus Ihrem internen Netzwerk zuweisen. Eine IP-Adresse im internen Netzwerk kann einen Remote-Benutzer ansprechen. Wenn Sie sich für die Verwendung eines IP-Adressbereichs entscheiden, weist das System einem Remote-Benutzer bei Bedarf dynamisch eine IP-Adresse aus diesem Bereich zu.

Beachten Sie beim Konfigurieren von Adresspools Folgendes:

• Zugewiesene IP-Adressen müssen korrekt geroutet werden. Beachten Sie Folgendes, um das korrekte Routing sicherzustellen:
  • Wenn Sie kein Split-Tunneling aktivieren, stellen Sie sicher, dass die IP-Adressen über Geräte zur Netzwerkadressübersetzung (NAT) weitergeleitet werden können.
  • Auf allen Servern, auf die über Benutzerverbindungen mit Intranet-IP-Adressen zugegriffen wird, müssen die richtigen Gateways konfiguriert sein, um diese Netzwerke zu erreichen.
  • Konfigurieren Sie Gateways oder eine statische Route auf NetScaler Gateway, damit der Netzwerkverkehr von der Benutzersoftware an das interne Netzwerk weitergeleitet wird.
• Bei der Zuweisung von IP-Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines Bereichs kann einer untergeordneten Entität zugewiesen werden. Wenn beispielsweise ein IP-Adressbereich an einen virtuellen Server gebunden ist, binden Sie eine Teilmenge des Bereichs an eine Gruppe.
• IP-Adressbereiche können nicht an mehrere Entitäten innerhalb einer Bindungsebene gebunden werden. Beispielsweise kann eine Teilmenge eines Adressbereichs, die an eine Gruppe gebunden ist, nicht an eine zweite Gruppe gebunden werden.
• NetScaler Gateway erlaubt es Ihnen nicht, IP-Adressen zu entfernen oder zu lösen, während sie aktiv von einer Benutzersitzung verwendet werden.
• Interne Netzwerk-IP-Adressen werden Benutzern mithilfe der folgenden Hierarchie zugewiesen:
  • Direkte Bindung des Nutzers
  • Gruppe zugewiesener Adresspool
  • Dem virtuellen Server zugewiesener Adresspool
  • Globaler Adressbereich
• Bei der Zuweisung von Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines zugewiesenen Bereichs kann jedoch weiter einer untergeordneten Entität zugewiesen werden. Ein gebundener globaler Adressbereich kann einen Bereich haben, der an Folgendes gebunden ist:
  • Virtueller Server
  • Gruppe
  • User
• Ein gebundener Adressbereich eines virtuellen Servers kann eine Teilmenge haben, die an Folgendes gebunden ist:
  • Gruppe
  • User

Ein gebundener Gruppenadressbereich kann eine Teilmenge haben, die an einen Benutzer gebunden ist.

Wenn einem Benutzer eine IP-Adresse zugewiesen wird, ist die Adresse für die nächste Anmeldung des Benutzers reserviert, bis der Adresspoollbereich erschöpft ist. Wenn die Adressen erschöpft sind, fordert NetScaler Gateway die IP-Adresse des Benutzers zurück, der am längsten von NetScaler Gateway abgemeldet ist.

Wenn eine Adresse nicht zurückgewonnen werden kann und alle Adressen aktiv verwendet werden, erlaubt NetScaler Gateway dem Benutzer nicht, sich anzumelden. Sie können diese Situation verhindern, indem Sie NetScaler Gateway erlauben, die zugeordnete IP-Adresse als Intranet-IP-Adresse zu verwenden, wenn alle anderen IP-Adressen nicht verfügbar sind.

Intranet-IP-DNS-Registrierung

Wenn eine Intranet-IP einem Clientcomputer zugewiesen wird und nach dem Aufbau eines VIP-Tunnels, prüft das VPN-Plug-In, ob dieser Clientcomputer einer Domäne beigetreten ist. Wenn es sich bei dem Clientcomputer um eine mit der Domäne verbundene Maschine handelt, initiiert das VPN-Plug-In den DNS-Registrierungsprozess, um das Hostnamensintranet des Rechners mit der zugewiesenen Intranet-IP-Adresse zu verknüpfen. Diese Registrierung wird vor der Wiederherstellung des Tunnels rückgängig gemacht.

Stellen Sie für eine erfolgreiche DNS-Registrierung sicher, dass die folgenden nsapimgr-Regler eingestellt sind. Stellen Sie außerdem sicher, dass der autorisierende DNS-Server so eingestellt ist, dass er “nicht sichere” DNS-Aktualisierungen zulässt.

• nsapimgr -ys enable_vpn_dns_override=1: Dieses Flag wird zusammen mit den anderen Konfigurationsparametern an den NetScaler Gateway VPN-Client gesendet. Wenn dieses Flag nicht gesetzt ist und der VPN-Client eine DNS/WINS-Anforderung abfängt, sendet er eine entsprechende HTTP-Anforderung “GET /DNS” über den Tunnel an den virtuellen NetScaler Gateway-Server, um die aufgelöste IP-Adresse abzurufen. Wenn jedoch das Flag ‘enable_vpn_dnstruncate_fix’ gesetzt ist, leitet der VPN-Client die DNS/WINS-Anforderungen transparent an den virtuellen NetScaler Gateway-Server weiter. In diesem Fall wird das DNS-Paket unvereinbar über den VPN-Tunnel an den virtuellen NetScaler Gateway-Server gesendet. Dies hilft in Fällen, in denen die DNS-Datensätze, die von den im NetScaler Gateway konfigurierten Nameservern zurückkommen, riesig sind und nicht in das UPD-Antwortpaket passen. Wenn in diesem Fall der Client auf die Verwendung von TCP-DNS zurückgreift, erreicht dieses TCP-DNS-Paket den NetScaler Gateway-Server wie es ist, und daher stellt der NetScaler Gateway-Server eine TCP-DNS-Abfrage an einen DNS-Server.

• nsapimgr -ys enable_vpn_dnstruncate_fix=1: Dieses Flag wird vom NetScaler Gateway-Server selbst verwendet. Wenn dieses Flag gesetzt ist, überschreibt NetScaler Gateway das Ziel für die “TCP-Verbindungen auf DNS-Port” zu den auf NetScaler Gateway konfigurierten DNS-Servern (anstatt zu versuchen, sie an die DNS-Server-IP zu senden, die ursprünglich im eingehenden TCP-DNS-Paket vorhanden war). Für UDP-DNS-Anfragen wird standardmäßig die konfigurierte DNS-Server für die DNS-Auflösung verwendet. Das NetScaler Gateway Plug-In für Windows unterstützt sowohl sichere als auch nicht sichere DNS-Updates. Die Unterstützung für sichere DNS-Updates ist standardmäßig in Builds 21.7.1.1 oder höher verfügbar.

  Das sichere DNS-Update im Windows-Plug-In ist standardmäßig deaktiviert. Um es zu aktivieren, erstellen Sie einen Wert vom Typ REG_DWORD in HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access und setzen Sie ihn auf 1.

  • Wenn Sie den Wert auf 1 setzen, versucht das VPN-Plug-In zuerst die unsichere DNS-Aktualisierung. Wenn das unsichere DNS-Update fehlschlägt, versucht das VPN-Plug-in das sichere DNS-Update.
  • Um nur das sichere DNS-Update auszuprobieren, können Sie den Wert auf 2 setzen.

Weitere Informationen zum Einstellen dieser Regler finden Sie unter https://support.citrix.com/article/CTX200243.

Konfigurieren von Adresspools für einen Benutzer, eine Gruppe oder einen virtuellen Server

1. Erweitern Sie im Konfigurationsdienstprogramm im Navigationsbereich NetScaler Gatewayund führen Sie eine der folgenden Aktionen aus:
   • Erweitern Sie NetScaler Gateway User Administration und klicken Sie dann auf AAA-Benutzer.
   • Erweitern Sie NetScaler Gateway > Benutzerverwaltung und klicken Sie dann auf AAA-Gruppen.
   • Erweitern Sie NetScaler Gateway und klicken Sie dann auf VirtuelleServer.
2. Klicken Sie im Detailbereich auf einen Benutzer, eine Gruppe oder einen virtuellen Server und dann auf Öffnen.
3. Geben Sie auf der Registerkarte Intranet-IPs unter IP-Adresse und Netzmaske die IP-Adresse und die Subnetzmaske ein und klicken Sie dann auf Hinzufügen.
4. Wiederholen Sie Schritt 3 für jede IP-Adresse, die Sie dem Pool hinzufügen möchten, und klicken Sie dann auf OK.

Konfigurieren von Adresspools global

1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
2. Klicken Sie im Detailbereich unter Intranet-IPsauf Um eine eindeutige, statische IP-Adresse oder einen Pool von IP-Adressen für die Verwendung durch alle NetScaler Gateway-Clientsitzungen zuzuweisen, konfigurieren Sie Intranet-IPs.
3. Klicken Sie im Dialogfeld Intranet-IPs binden auf Aktion und dann auf Einfügen.
4. Geben Sie unter IP-Adresse und Netzmaske die IP-Adresse und die Subnetzmaske ein und klicken Sie dann auf Hinzufügen.
5. Wiederholen Sie die Schritte 3 und 4 für jede IP-Adresse, die Sie dem Pool hinzufügen möchten, und klicken Sie dann auf OK.

Definieren von Adresspools Optionen

Sie können eine Sitzungsrichtlinie oder die globalen NetScaler Gateway-Einstellungen verwenden, um zu steuern, ob Intranet-IP-Adressen während einer Benutzersitzung zugewiesen werden. Durch das Definieren von Adresspools können Sie NetScaler Gateway Intranet-IP-Adressen zuweisen und gleichzeitig die Verwendung von Intranet-IP-Adressen für eine bestimmte Benutzergruppe deaktivieren.

Sie können Adresspools mithilfe einer Sitzungsrichtlinie auf eine der folgenden drei Arten konfigurieren:

• Nospillover - Wenn Sie Adresspools für die Intranet-IP-Adresse konfigurieren, erhalten Sie eine Sitzung mit einer verfügbaren IP aus dem Pool. Für Benutzer, die alle verfügbaren Intranet-IP-Adressen verwendet haben, wird die Seite Anmeldung übertragen angezeigt.
• Überlauf - Wenn Sie Adresspools konfigurieren und die zugeordnete IP als Intranet-IP-Adresse verwendet wird, wird die zugeordnete IP-Adresse für Benutzer verwendet, die alle verfügbaren Intranet-IP-Adressen verwendet haben.
• Aus — Adresspools sind nicht konfiguriert.

Hinweis:

Wenn die zugeordnete IP-Adresse nicht konfiguriert ist, wird SNIP verwendet.

So definieren Sie Adresspools

1. Erweitern Sie im Konfigurationsprogramm auf der RegisterkarteKonfigurationim NavigationsbereichNetScaler Gateway > Richtlinien,und klicken Sie dann auf Sitzung.
2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
4. Klicken Sie neben Profil anfordernauf Neu.
5. Geben Sie im Feld Name einen Namen für das Profil ein.
6. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
7. Klicken Sie neben Intranet IP auf Override Global und wählen Sie dann eine Option aus.
8. Wenn Sie in Schritt 9 SPILLOVER auswählen, klicken Sie neben Zugeordnete IP auf Global überschreiben, wählen Sie den Hostnamen der Appliance aus, klicken Sie auf OK, und klicken Sie dann auf Erstellen.
9. Erstellen Sie im Dialogfeld Sitzungsrichtlinie erstellen einen Ausdruck. Klicken Sie auf Erstellen und dann auf Schließen.

Seite “Anmeldung übertragen” konfigurieren

Wenn ein Benutzer keine Intranet-IP-Adresse zur Verfügung hat und dann versucht, eine weitere Sitzung mit NetScaler Gateway aufzubauen, wird die Seite “Anmeldung übertragen” angezeigt. Auf der Seite “Anmeldung übertragen” können Benutzer ihre bestehende NetScaler Gateway-Sitzung durch eine neue Sitzung ersetzen.

Die Seite “Anmeldung übertragen” kann auch verwendet werden, wenn die Abmeldeanforderung verloren geht oder wenn der Benutzer keine saubere Abmeldung durchführt. Beispiel:

• Einem Benutzer wird eine statische Intranet-IP-Adresse zugewiesen und verfügt über eine vorhandene NetScaler Gateway-Sitzung. Wenn der Benutzer versucht, eine zweite Sitzung von einem anderen Gerät aus aufzubauen, wird die Seite Anmeldung übertragen angezeigt, und der Benutzer kann die Sitzung auf das neue Gerät übertragen.
• Einem Benutzer werden fünf Intranet-IP-Adressen zugewiesen und hat fünf Sitzungen über NetScaler Gateway. Wenn der Benutzer versucht, eine sechste Sitzung einzurichten, wird die Seite “Anmeldung übertragen” angezeigt, und der Benutzer kann wählen, ob er eine bestehende Sitzung durch eine neue Sitzung ersetzen möchte.

Hinweise:

• Wenn dem Benutzer keine zugewiesene IP-Adresse zur Verfügung steht, weshalb keine neue Sitzung eingerichtet werden kann, wird eine Fehlermeldung angezeigt.

• Citrix Secure Access für Android 23.12.1 und höhere Versionen unterstützen die Anmeldungsübertragungsfunktion von NetScaler Gateway im Always-On-VPN-Modus.

Die Seite “Anmeldung übertragen” wird nur angezeigt, wenn Sie Adresspools konfigurieren und Spillover deaktivieren.

DNS-Suffix konfigurieren

Wenn sich ein Benutzer bei NetScaler Gateway anmeldet und eine IP-Adresse zugewiesen wird, wird dem NetScaler Gateway DNS-Cache ein DNS-Datensatz für die Kombination aus Benutzernamen und IP-Adresse hinzugefügt. Sie können ein DNS-Suffix so konfigurieren, dass es an den Benutzernamen angehängt wird, wenn der DNS-Eintrag zum Cache hinzugefügt wird. Auf diese Weise können Benutzer mit dem DNS-Namen referenziert werden, der leichter zu merken ist als eine IP-Adresse. Wenn sich der Benutzer von NetScaler Gateway abmeldet, wird der Datensatz aus dem DNS-Cache entfernt.

So konfigurieren Sie ein DNS-Suffix

1. Erweitern Sie im Konfigurationsprogramm auf der RegisterkarteKonfigurationim NavigationsbereichNetScaler Gateway > Richtlinien,und klicken Sie dann auf Sitzung.
2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien eine Sitzungsrichtlinie aus und klicken Sie dann auf Öffnen.
3. Klicken Sie neben Profil anfordern auf Ändern.
4. Klicken Sie auf der Registerkarte Netzwerkkonfiguration auf Erweitert.
5. Klicken Sie neben Intranet-IP-DNS-Suffix auf Override Global, geben Sie das DNS-Suffix ein und klicken Sie dann dreimal auf OK.