Citrix Secure Access Client für Benutzer auswählen

Wenn Sie NetScaler Gateway konfigurieren, können Sie wählen, wie sich Benutzer anmelden. Benutzer können sich mit einem der folgenden Plug-Ins anmelden:

• Citrix Secure Access Client für Windows
• Citrix Secure Access Client für macOS

Sie schließen die Konfiguration ab, indem Sie eine Sitzungsrichtlinie erstellen und die Richtlinie dann an Benutzer, Gruppen oder virtuelle Server binden. Sie können Plug-Ins auch aktivieren, indem Sie globale Einstellungen konfigurieren. Innerhalb des globalen Profils oder des Sitzungsprofils wählen Sie entweder Windows oder macOS X als Plug-In-Typ aus. Wenn sich Benutzer anmelden, erhalten sie das Plug-In wie global oder im Sitzungsprofil und in der Richtlinie definiert. Erstellen Sie separate Profile für den Plug-In-Typ.

Konfigurieren Sie das Plug-In global

1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf Globale Einstellungen.
2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
3. Wählen Sie auf der Registerkarte Client Experience neben Plug-In-Typ Windows/macOS X aus und klicken Sie dann auf OK.

Konfigurieren Sie den Plug-In-Typ für Windows oder macOS in einem Sitzungsprofil

1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im NavigationsbereichNetScaler Gateway > Policiesund klicken Sie dann auf Sitzung.
2. Führen Sie einen der folgenden Schritte aus:
   • Wenn Sie eine Sitzungsrichtlinie erstellen, klicken Sie im Detailbereich auf Hinzufügen.
   • Wenn Sie eine bestehende Richtlinie ändern, wählen Sie eine Richtlinie aus, und klicken Sie dann auf Öffnen.
3. Erstellen Sie ein Profil oder ändern Sie ein vorhandenes Profil. Führen Sie dazu einen der folgenden Schritte aus:
   • Klicken Sie neben Profil anfordernauf Neu.
   • Klicken Sie neben Profil anfordern auf Ändern.
4. Klicken Sie auf der Registerkarte Client Experience neben Plug-In-Typauf Override Global und wählen Sie dann Windows/macOS Xaus.
5. Führen Sie einen der folgenden Schritte aus:
   • Wenn Sie ein Profil erstellen, klicken Sie auf Erstellen, legen Sie den Ausdruck im Richtliniendialogfeld fest, klicken Sie auf Erstellen und dann auf Schließen.
   • Wenn Sie ein vorhandenes Profil ändern, klicken Sie nach der Auswahl zweimal auf OK.

Citrix Secure Access Client für Windows

Wenn sich Benutzer bei NetScaler Gateway anmelden, laden sie den Citrix Secure Access Client herunter und installieren ihn auf dem Benutzergerät.

Um das Plug-In zu installieren, müssen Benutzer ein lokaler Administrator oder ein Mitglied der Gruppe Administratoren sein. Diese Einschränkung gilt nur für die Erstinstallation. Plug-In-Upgrades erfordern keinen Zugriff auf Administratorebene.

Damit Benutzer eine Verbindung zu NetScaler Gateway herstellen und diese verwenden können, müssen Sie ihnen die folgenden Informationen bereitstellen:

• NetScaler Gateway-Webadresse wie https://NetScalerGatewayFQDN/
• Alle Systemanforderungen für die Ausführung des Citrix Secure Access Clients, wenn Sie Endpunktressourcen und -richtlinien konfiguriert haben

Abhängig von der Konfiguration des Benutzergeräts müssen Sie möglicherweise auch die folgenden Informationen angeben:

• Wenn Benutzer eine Firewall auf ihrem Computer ausführen, müssen sie die Firewalleinstellungen so ändern, dass die Firewall keinen Datenverkehr zu oder von den IP-Adressen blockiert, die den Ressourcen entsprechen, für die Sie Zugriff gewährt haben. Der Citrix Secure Access Client verwaltet automatisch die Internetverbindungsfirewall in Windows XP und die Windows-Firewall in Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 oder Windows 8.1.
• Benutzer, die Datenverkehr über eine NetScaler Gateway-Verbindung an FTP senden möchten, müssen ihre FTP-Anwendung so einstellen, dass passive Übertragungen durchgeführt werden. Eine passive Übertragung bedeutet, dass der Remotecomputer die Datenverbindung zu Ihrem FTP-Server herstellt, anstatt die Datenverbindung durch den FTP-Server zum Remotecomputer herzustellen.
• Benutzer, die X-Clientanwendungen über die Verbindung ausführen möchten, müssen einen X-Server, z. B. XManager, auf ihren Computern ausführen.
• Benutzer, die Receiver für Windows oder Receiver für Mac installieren, können den Citrix Secure Access Client über Receiver oder mithilfe eines Webbrowsers starten. Stellen Sie Benutzern Anweisungen zur Anmeldung mit dem Citrix Secure Access Client über Receiver oder einen Webbrowser zur Verfügung.

Da Benutzer an Dateien und Anwendungen arbeiten, als wären sie lokal im Netzwerk der Organisation, müssen Sie Benutzer nicht umschulen oder Anwendungen konfigurieren.

Um zum ersten Mal eine sichere Verbindung herzustellen, melden Sie sich über die Webanmeldeseite bei NetScaler Gateway an. Das typische Format einer Webadresse ist https://companyname.com. Wenn sich Benutzer anmelden, können sie den Citrix Secure Access Client herunterladen und auf ihrem Computer installieren.

Installieren Sie den Citrix Secure Access Client für Windows

1. Geben Sie in einem Webbrowser die Webadresse von NetScaler Gateway ein.
2. Geben Sie den Benutzernamen und das Kennwort ein und klicken Sie dann auf Anmelden.
3. Wählen Sie Netzwerkzugriff und klicken Sie dann auf Herunterladen.
4. Folgen Sie den Anweisungen, um das Plug-In zu installieren.

Wenn der Download abgeschlossen ist, stellt der Citrix Secure Access Client eine Verbindung her und zeigt auf einem Windows-Computer eine Meldung im Infobereich an.

Wenn Sie möchten, dass Benutzer eine Verbindung mit dem Citrix Secure Access Client herstellen, ohne einen Webbrowser zu verwenden, können Sie das Plug-in so konfigurieren, dass das Anmeldedialogfeld angezeigt wird, wenn Benutzer auf einem Windows-Computer mit der rechten Maustaste auf das NetScaler Gateway-Symbol im Infobereich klicken oder das Plug-in über das Startmenü starten.

Konfigurieren Sie das Anmeldedialogfeld für den Citrix Secure Access Client für Windows

Um den Citrix Secure Access Client für die Verwendung des Anmeldedialogfelds zu konfigurieren, müssen Benutzer angemeldet sein, um dieses Verfahren abzuschließen.

1. Klicken Sie auf einem Windows-basierten Computer im Infobereich mit der rechten Maustaste auf das NetScaler Gateway-Symbol, und klicken Sie dann auf NetScaler Gateway konfigurieren.
2. Klicken Sie auf die Registerkarte Profil und dann auf Profil ändern.
3. Klicken Sie auf der Registerkarte Optionen auf Citrix Secure Access Client für die Anmeldung verwenden. Hinweis: Wenn Benutzer das Dialogfeld NetScaler Gateway konfigurieren in Receiver öffnen, ist die Registerkarte Optionen nicht verfügbar.

Stellen Sie den Abhörmodus für den Citrix Secure Access Client für Windows ein

Wenn Sie den Citrix Secure Access Client für Windows konfigurieren, müssen Sie auch den Abhörmodus konfigurieren und ihn auf transparent setzen.

1. Klicken Sie im Konfigurationsdienstprogramm auf die Registerkarte Konfiguration, erweitern Sie NetScaler Gateway > Ressourcen, und klicken Sie dann auf Intranet-Anwendungen.
2. Klicken Sie im Detailbereich auf Hinzufügen.
3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
4. Klicken Sie auf Transparent.
5. Wählen Sie unter Protokolldie Option BELIEBIGaus.
6. Wählen Sie unter Zieltypdie Option IP-Adresse und Netzwerkmaskeaus.
7. Geben Sie unter IP-Adresse die IP-Adresse ein.
8. Geben Sie unter Netzwerkmaskedie Subnetzmaske ein, klicken Sie auf Erstellen und dann auf Schließen.

Erzwingen des lokalen LAN-Zugriffs für Endbenutzer basierend auf der ADC-Konfiguration

Administratoren können die Endbenutzer daran hindern, die lokale LAN-Zugriffsoption auf ihren Client-Computern zu deaktivieren. Eine neue Option, FORCED, wird zu den vorhandenen Parameterwerten für lokalen LAN-Zugriff hinzugefügt. Wenn der Wert Lokaler LAN-Zugriff auf FORCED gesetzt ist, ist der lokale LAN-Zugriff für Endbenutzer auf den Client-Computern immer aktiviert. Endbenutzer können die lokalen LAN-Einstellungen nicht über die Benutzeroberfläche des Citrix Secure Access Clients deaktivieren.

Administratoren können Endbenutzern den Zugriff auf die lokalen LAN-Ressourcen auf ihrem Client-Computer ermöglichen, indem sie den lokalen LAN-Zugriffsparameter auf ON setzen. Um zu verhindern, dass Endbenutzer auf die lokalen LAN-Ressourcen auf ihrem Client-Computer zugreifen, können Administratoren den lokalen LAN-Zugriffsparameter auf OFF setzen. Einzelheiten zu den Endbenutzerkonfigurationen finden Sie unter Lokaler LAN-Zugriff für macOS und Lokaler LAN-Zugriff für iOS.

So aktivieren Sie die Option Forced mithilfe der GUI:

1. Navigieren Sie zu NetScaler Gateway > Globale Einstellungen > Globale Einstellungen ändern.
2. Klicken Sie auf die Registerkarte Clienterfahrung und dann auf Erweiterte Einstellungen.
3. Wählen Sie unter Lokaler LAN-Zugriffdie Option FORCED

Führen Sie den folgenden Befehl aus, um die Option Forced mithilfe der CLI zu aktivieren:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Hinweise:

• Der Citrix Secure Access Client für macOS/iOS und höhere Versionen unterstützen die lokale LAN-Zugriffsfunktion von NetScaler Gateway.

• Ab dem Citrix Secure Access Client für Windows 23.10.1.7 wird der lokale LAN-Zugriff in einem Tunnel auf Maschinenebene unterstützt, wenn der Parameter Local LAN Access auf NetScaler Gateway auf Forced gesetzt ist.

Microsoft Edge WebView-Unterstützung für Windows Citrix Secure Access — Vorschau

Die Unterstützung von Microsoft Edge WebView für Windows Citrix Secure Access führt zu einer verbesserten Endbenutzererfahrung. Weitere Informationen finden Sie unter Microsoft Edge WebView-Unterstützung für Windows Citrix Secure Access

Windows Citrix Secure Access Client, der die Windows-Filterplattform verwendet

Die Windows Filtering Platform (WFP) ist eine Reihe von API- und Systemdiensten, die eine Plattform zum Erstellen von Netzwerkfilteranwendungen bieten. WFP wurde entwickelt, um frühere Paketfiltertechnologien zu ersetzen, den Network Driver Interface Specification (NDIS) -Filter, der mit dem DNE-Treiber verwendet wurde. Der WFP-Modus wird vom 22.6.1.5-Build des Windows Citrix Secure Access Clients unterstützt.

Installieren Sie den WFP-Build

Sie können den WFP-Build mit einer der folgenden Methoden installieren.

• Installieren Sie das VPN-Plug-in mit dem DNE- und dem WFP-Treiber (Standardmethode)

  Wenn das Plug-In sowohl mit dem DNE- als auch dem WFP-Treiber installiert wird, können Administratoren entweder den WFP- oder den DNE-Treiber für das Tunneling über einen Registrierungsknopf verwenden. Standardmäßig wird der DNE-Treiber für das Tunneln verwendet.

• Installieren Sie das VPN-Plugin nur mit dem WFP-Treiber (DNE-Treiberinstallation überspringen)

  DNE-Treiber werden von einigen Anwendungen von Drittanbietern nicht unterstützt, auch wenn sie nicht verwendet werden. Für diese Bereitstellungen können Administratoren diesen Installationstyp verwenden. Da der DNE-Treiber nicht installiert ist, wird nur der WFP-Treiber für das Tunneln verwendet.

Wählen Sie einen WFP-Treiber anstelle eines DNE-Treibers

Führen Sie die folgenden Schritte aus, um den WFP-Treiber anstelle des DNE-Treibers auszuwählen.

Hinweis:

Dies funktioniert nur mit der Standardinstallationsmethode.

1. Laden Sie das WFP-unterstützte VPN-Plug-in-Build herunter und installieren Sie das neue
2. Standardmäßig wird der DNE-Treiber verwendet, um den Verkehr zu tunneln. Um den WFP-Treiber für das Tunneling zu verwenden, müssen Administratoren den folgenden Registrierungseintrag erstellen:
   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - EnableWFP
     • REG_VALUE — Legen Sie den Wert auf 1 fest, um WFP zu verwenden, und 0, um DNE zu verwenden (standardmäßig ist DNE aktiviert, wenn dieser Registrierungswert nicht vorhanden oder auf 0 gesetzt ist)

Hinweis:

Nach dem Umschalten des Tunnelmodus von DNE auf WFP oder umgekehrt muss das System neu gestartet werden, damit die Änderungen ordnungsgemäß wirksam werden.

Überspringen Sie die DNE-Installation vollständig

Führen Sie die folgenden Schritte aus, um die DNE-Installation zu überspringen.

1. Führen Sie eine saubere Deinstallation des VPN-Plugins durch.
   1. Deinstallieren Sie das aktuelle VPN-Plug-in auf dem Computer und starten Sie den Computer neu
   2. Überprüfen Sie mit einer der folgenden Optionen, ob der DNE-Treiber deinstalliert wurde.
      • Öffnen Sie eine erweiterte Eingabeaufforderung (oder PowerShell). Führen Sie die folgenden Befehle aus (die Beispielausgabe zeigt, dass der DNE-basierte Treiber auf dem System installiert ist)

      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      Wenn der Treiber nicht installiert ist, wird die folgende Ausgabe angezeigt:

      The specified service does not exist as an installed service.

   Da der DNE-Treiber (dnelwf64.sys) auch von anderen Anbietern verwendet wird, ist er möglicherweise auch dann vorhanden, wenn der Citrix Secure Access Client nicht auf dem System installiert ist. Andererseits wird das CAG-Plug-In nur vom Citrix Secure Access Client verwendet.

   • Das Vorhandensein von DNE kann auch überprüft werden, indem versucht wird, die CAG- und DNE-Treiber zu starten. Öffnen Sie die Eingabeaufforderung mit Administratorrechten und führen Sie die folgenden Befehle aus:

      net start cag
      net start dne
      <!--NeedCopy-->
     

     • Wenn die Ausgabemeldung anzeigt, dass die Dienste nicht gefunden werden können (der Dienstname ist ungültig.), wurden die Plug-In- und Treiberkomponenten erfolgreich deinstalliert. Fahren Sie in diesem Fall mit Schritt 2 fort.
     • Wenn das Plug-In und die Treiberkomponenten nicht erfolgreich deinstalliert wurden, führen Sie das Cleanup-Dienstprogramm auf dem Clientcomputer aus, indem Sie die Anweisungen unter befolgen https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332.
       • Entpacken Sie das Cleanup-Dienstprogramm und kopieren Sie es in einen Ordner.
       • Führen Sie nsRmSAC.exe von der Befehlszeile aus.
       • Starten Sie die Maschine neu.

2. Erstellen Sie die folgenden Registrierungseinträge.

   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - SkipDNE
     • REG_VALUE - Auf 1 setzen, um sicherzustellen, dass DNE nicht auf dem Computer installiert ist
   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - EnableWFP
     • REG_VALUE - Auf 1 setzen, um WFP zu aktivieren (dieser Eintrag muss erstellt werden, wenn die DNE-Installation übersprungen wird)

   Hinweis:

   • Wenn die Registrierungseinträge nicht vor der Installation erstellt werden, wird DNE standardmäßig installiert. Sie können auch die VPN-Protokolldateien überprüfen, um zu überprüfen, ob WFP oder DNE verwendet wird.
   • Wenn die DNE-Installation übersprungen wird, muss EnableWFP auf 1 gesetzt werden. In diesem Fall können Sie nicht zum DNE-basierten Plug-In wechseln, ohne den Citrix Secure Access Client neu zu installieren.

3. Installieren Sie das neue VPN Plug-in.

4. Überprüfen Sie, ob der WFP-Treiber auf dem System installiert ist. Öffnen Sie eine erweiterte Befehlszeile, und führen Sie den folgenden Befehl aus. Die Beispielausgabe zeigt, dass der WFP-Treiber auf dem System installiert ist.

   PS C:\Users\Administrator> sc qc ctxsgwcallout
   [SC] QueryServiceConfig SUCCESS
   
   SERVICE_NAME: ctxsgwcallout
       TYPE               : 1  KERNEL_DRIVER
       START_TYPE         : 1   SYSTEM_START
       ERROR_CONTROL      : 0   IGNORE
       BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
       LOAD_ORDER_GROUP   :
       TAG                : 0
       DISPLAY_NAME       : Citrix Secure Access Callout Driver
       DEPENDENCIES       :
       SERVICE_START_NAME :
   <!--NeedCopy-->
   

Wenn der Treiber nicht installiert ist, wird die folgende Ausgabe angezeigt:

The specified service does not exist as an installed service.

1. Starten Sie die Maschine neu.

Vorteile von WFP

Im Folgenden sind einige der Vorteile von WFP aufgeführt, wenn eine eigenständige WFP-Treiberinstallation auf dem Client durchgeführt wird.

• FQDN-basierte Unterstützung für Reverse-Split-Tunnel: Der WFP-Treiber unterstützt FQDN-basiertes REVERSE-Split-Tun Es wird mit dem DNE-Treiber nicht unterstützt. Weitere Einzelheiten finden Sie unter Split-Tunneling-Optionen.

• Wireshark-Unterstützung: DNE erlaubt aufgrund seiner Verbindung mit dem Ethernet/Wi-Fi-Adapter keinen bidirektionalen Datenverkehr auf einem Client-Computer. Dies ist kein Problem mit dem neuen WFP-Treiber. Jede Datenverkehrserfassung (einseitig oder bidirektional) ist verschlüsselt und erfordert SSL-Schlüssel, um sie zu entschlüsseln.

• NMAP-Unterstützung: Der neue WFP-Treiber unterstützt NMAP-Scans, während das VPN-Plug-In zum Tunneln des Datenverkehrs verwendet wird, wohingegen der DNE keine NMAP-Scanns zulässt, während das VPN-Plug-In zum Tunneln des Datenverkehrs verwendet wird.

• Netzwerkgeschwindigkeit: Wenn DNE auf einem Client-Computer installiert ist, werden in einigen Szenarien die Download- und Upload-Geschwindigkeit beeinträchtigt, was bei WFP nicht der Fall ist.

• Verbesserte nslookup-Performance: Manchmal mit DNE, schlägt die Antwort von nslookup mit einer geringeren Anzahl von Versuchen fehl. Das wird bei WFP nicht beobachtet.

• Verbesserte Iperf-Leistung gegenüber UDP: Bei DNE wurde bei Skalierbarkeitstests mit iperf über UDP ein gewisser Paketverlust beobachtet. Paketverlust wird bei WFP nicht beobachtet.