Créer des serveurs virtuels
Un serveur virtuel est un point d’accès auquel les utilisateurs ouvrent une session. Chaque serveur virtuel possède sa propre adresse IP, son propre certificat et son propre jeu de stratégies. Un serveur virtuel consiste en une combinaison d’une adresse IP, d’un port et d’un protocole qui accepte le trafic entrant. Les serveurs virtuels contiennent les paramètres de connexion lorsque les utilisateurs ouvrent une session sur l’appliance. Vous pouvez configurer les paramètres suivants sur les serveurs virtuels :
- Certificats
- Authentification
- Stratégies
- Signets
- Pools d’adresses (également appelés pools d’adresses IP ou IP intranet)
- Déploiement de DMZ à double saut avec NetScaler Gateway
- Secure Ticket Authority
- Transfert de session proxy ICA SmartAccess
Si vous exécutez l’assistant NetScaler Gateway, vous pouvez créer un serveur virtuel au cours de l’assistant. Vous pouvez configurer d’autres serveurs virtuels de l’une des manières suivantes :
- Depuis le nœud des serveurs virtuels. Ce nœud se trouve dans le volet de navigation de l’utilitaire de configuration. Vous pouvez ajouter, modifier et supprimer des serveurs virtuels à l’aide de l’utilitaire de configuration.
- Avec l’assistant de configuration rapide. Si vous déployez Citrix Endpoint Management, StoreFront ou l’interface Web dans votre environnement, vous pouvez utiliser l’assistant de configuration rapide pour créer le serveur virtuel et toutes les stratégies nécessaires à votre déploiement.
Si vous souhaitez que les utilisateurs ouvrent une session et utilisent un type d’authentification spécifique, tel que RADIUS, vous pouvez configurer un serveur virtuel et attribuer au serveur une adresse IP unique. Lorsque les utilisateurs ouvrent une session, ils sont dirigés vers le serveur virtuel, puis invités à entrer leurs informations d’identification RADIUS.
Vous pouvez également configurer la manière dont les utilisateurs se connectent à NetScaler Gateway. Vous pouvez utiliser une stratégie de session pour configurer le type de logiciel utilisateur, la méthode d’accès et la page d’accueil affichée par les utilisateurs après la connexion.
Pour créer des serveurs virtuels
Vous pouvez ajouter, modifier, activer ou désactiver et supprimer des serveurs virtuels à l’aide de l’interface graphique de NetScaler Gateway ou de l’assistant de configuration rapide. Pour plus d’informations sur la configuration d’un serveur virtuel à l’aide de l’assistant de configuration rapide, consultez Configuration des paramètres à l’aide de l’assistant de configuration rapide.
Remarque :
Le serveur virtuel VPN prend en charge la version 1.0 de DTLS par défaut. Pour activer la version 1.2 de DTLS, voir Configurer le serveur virtuel VPN DTLS à l’aide d’un serveur virtuel VPN SSL.
Pour créer un serveur virtuel à l’aide de l’interface graphique
- Accédez à NetScaler Gateway > Serveurs virtuels.
- Dans le volet d’informations, cliquez sur Ajouter.
- Configurez les paramètres en fonction de vos besoins.
- Cliquez sur Create, puis cliquez sur Close.
Pour créer un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez ;
add vpn vserver <name> <serviceType> [<IPAddress> [<port>]
<!--NeedCopy-->
Exemple :
add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->
Points à noter lors de la liaison d’un profil réseau au serveur virtuel VPN
Vous pouvez créer des profils réseau (profils réseau) pour configurer l’appliance pour qu’elle utilise une adresse IP source spécifiée et lie le profil réseau au serveur virtuel VPN. Toutefois, notez les points suivants lorsque vous liez un profil réseau au serveur virtuel VPN.
-
Lorsque vous liez un profil réseau à un serveur virtuel NetScaler Gateway, le profil réseau ne sélectionne pas de SNIP spécifique à utiliser par le serveur virtuel ou le service pour le trafic vers les serveurs principaux. Au lieu de cela, l’appliance de passerelle ignore la liaison du profil réseau et utilise la méthode Round Robin pour sélectionner les SNIP.
-
Le profil réseau ne fonctionne pas pour les services générés dynamiquement (STA, moniteur SF). Pour STA et d’autres services générés dynamiquement, vous pouvez lier directement le profil réseau à ces moniteurs et ces moniteurs sont utilisés à ce stade. Toutefois, si vous disposez de plusieurs passerelles sur le même dispositif, toutes les passerelles utilisent le même profil réseau pour les moniteurs configurés.
Pour plus d’informations sur le profil réseau, consultez Utiliser une adresse IP source spécifiée pour la communicationprincipale.
Utilisateurs actuels et nombre total d’utilisateurs connectés sur le serveur virtuel
Utilisateurs actuels : nombre d’utilisateurs connectés à un serveur virtuel spécifique. Il est recommandé de surveiller les utilisateurs actuels pour le suivi des CCU.
Nombretotal d’utilisateurs connectés : nombre d’utilisateurs disposant d’une ou de plusieurs connexions actives via le serveur virtuel spécifique. Le nombre total d’utilisateurs connectés est principalement utilisé dans le proxy ICA.
Vous pouvez utiliser le compteur du nombre total d’utilisateurs connectés dans les scénarios suivants :
-
Considérez qu’une connexion ICA est établie mais qu’aucune session d’authentification, d’autorisation et d’audit correspondante n’est établie. Dans ce scénario, un utilisateur lance une application ou un bureau, ferme le navigateur et continue de travailler sur l’application ou le bureau lancé. La session d’authentification, d’autorisation et d’audit est dépassé, mais la connexion est toujours active. Le nombre total d’utilisateurs connectés peut être utilisé pour identifier les utilisateurs qui sont toujours connectés.
-
Dans le routage optimal HDX, la passerelle d’authentification et la passerelle ICA peuvent se trouver sur différentes appliances. Dans ce cas, le nombre total d’utilisateurs connectés peut être utilisé pour identifier le nombre d’utilisateurs connectés sur la passerelle ICA.
Points à noter :
-
Les utilisateurs actuels dépassent le nombre total d’utilisateurs connectés lorsqu’il y a des sessions actives (pas encore dépassées) mais qu’il n’y a pas de connexion active sur ces sessions. Par exemple, un utilisateur a lancé une application ou un bureau et l’a fermé immédiatement, mais ne s’est pas déconnecté de la session d’authentification, d’autorisation et d’audit.
-
Le nombre total d’utilisateurs connectés dépasse le nombre d’utilisateurs actuels si les sessions d’authentification, d’autorisation et d’audit expirent, mais que les connexions ICA sont toujours actives.
-
Dans une configuration VPN pure (aucune ICA n’est impliquée), le nombre d’utilisateurs actuels et le nombre total d’utilisateurs connectés sont égaux.
Configuration des types de connexion sur le serveur virtuel
Lorsque vous créez et configurez un serveur virtuel, vous pouvez configurer les options de connexion suivantes :
- Connexions avec l’application Citrix Workspace uniquement à Citrix Virtual Apps and Desktops sans SmartAccess, analyse des points de terminaison ou fonctionnalités de tunneling de la couche réseau.
- Connexions avec le client Citrix Secure Access et SmartAccess, qui permettent d’utiliser SmartAccess, l’analyse des points de terminaison et les fonctions de tunneling de la couche réseau.
- Connexions avec Secure Hub qui établit une connexion micro VPN entre des appareils mobiles et NetScaler Gateway.
- Connexions parallèles effectuées via le protocole de session ICA par un utilisateur à partir de plusieurs appareils. Les connexions sont migrées vers une session unique pour empêcher l’utilisation de plusieurs licences universelles.
Si vous souhaitez que les utilisateurs ouvrent une session sans logiciel utilisateur, vous pouvez configurer une stratégie d’accès sans client et la lier au serveur virtuel.
Pour configurer les connexions Basic ou SmartAccess sur un serveur virtuel
- Accédez à NetScaler Gateway, puis cliquez sur Virtual Servers.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans Nom, tapez le nom du serveur virtuel.
- Dans Adresse IP et port, tapez l’adresse IP et le numéro de port du serveur virtuel.
- Procédez comme suit :
- Pour autoriser uniquement les connexions ICA, cliquez sur Mode de base.
- Pour autoriser les utilisateurs à se connecter avec Secure Hub, le client Citrix Secure Access et SmartAccess, cliquez sur Mode SmartAccess.
- Pour permettre à SmartAccess de gérer les sessions de proxy ICA pour plusieurs connexions utilisateur, cliquez sur Migration de session de proxy ICA.
- Configurez les autres paramètres du serveur virtuel, cliquez sur Créer, puis sur Fermer.
Configurer une stratégie d’écoute pour les serveurs virtuels génériques
Vous pouvez configurer les serveurs virtuels NetScaler Gateway pour restreindre la capacité d’un serveur virtuel à écouter sur un VLAN spécifique. Vous pouvez créer un serveur virtuel générique avec une stratégie d’écoute qui le limite au traitement du trafic sur le VLAN spécifié.
Les paramètres de configuration sont les suivants :
Paramètre | Description |
---|---|
Nom | Le nom du serveur virtuel. Le nom est obligatoire et vous ne pouvez pas le modifier après avoir créé le serveur virtuel. Le nom ne peut pas dépasser 127 caractères et le premier caractère doit être un chiffre ou une lettre. Vous pouvez également utiliser les caractères suivants : symbole arobase (@), trait de soulignement (_), tiret (-), point (.), deux-points (:), signe dièse (#) et espace. |
Adresse IP | L’adresse IP du serveur virtuel. Pour un serveur virtuel générique lié au VLAN, la valeur est toujours *. |
Type | Le comportement du service. Vous avez le choix entre HTTP, SSL, FTP, TCP, SSL_TCP, UDP, SSL_BRIDGE, NNTP, DNS, ANY, SIP-UDP, DNS-TCP et RTSP. |
Port | Port sur lequel le serveur virtuel écoute les connexions des utilisateurs. Le numéro de port doit être compris entre 0 et 65535. Pour le serveur virtuel générique lié à un VLAN, la valeur est généralement *. |
Priorité écoute | Priorité attribuée à la stratégie d’écoute. La priorité est évaluée dans l’ordre inverse ; plus le nombre est bas, plus la priorité attribuée à la stratégie d’écoute est élevée. |
Règle de stratégie d’écoute | La règle de stratégie à utiliser pour identifier le VLAN que le serveur virtuel doit écouter. La règle est la suivante : CLIENT.VLAN.ID.EQ (<ipaddressat> ) Pour,<ipaddressat> remplacez le numéro d’ID attribué au VLAN. |
Pour créer un serveur virtuel générique avec une stratégie d’écoute
- Dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Serveurs virtuels.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans Nom, tapez le nom du serveur virtuel.
- Dans Protocole, sélectionnez le protocole.
- Dans Adresse IP, tapez l’adresse IP du serveur virtuel.
- Dans Port, tapez le port du serveur virtuel.
- Dans l’onglet Avancé, sous Stratégie d’écoute, dans Priorité d’écoute, tapez la priorité de la stratégie d’écoute.
- En regard de Règle de stratégie d’écoute, cliquez sur Configurer.
- Dans la boîte de dialogue Créer une expression, cliquez sur Ajouter, configurez l’expression, puis cliquez sur OK.
- Cliquez sur Create, puis cliquez sur Close.
Dans cet article
- Pour créer des serveurs virtuels
- Points à noter lors de la liaison d’un profil réseau au serveur virtuel VPN
- Utilisateurs actuels et nombre total d’utilisateurs connectés sur le serveur virtuel
- Configuration des types de connexion sur le serveur virtuel
- Configurer une stratégie d’écoute pour les serveurs virtuels génériques