Citrix SD-WAN WANOP

安全なWindowsトラフィックを最適化するようにCitrix SD-WAN WANOPアプライアンスを構成する

署名付き Windows ファイルシステムと暗号化された MAPI Outlook/Exchange トラフィックを最適化する前に、Citrix SD-WAN WANOP アプライアンスをWindowsセキュリティインフラストラクチャに追加する必要があります。

最近のWindowsリリースでWindowsセキュリティシステムが強化された結果、クライアントとサーバーはデータを認証および暗号化することでトラフィックを保護します。これには、署名付きWindowsファイルシステムと暗号化されたMAPI Outlook/Exchangeトラフィックを最適化する前に、Citrix SD-WAN WANOPアプライアンスがWindowsセキュリティインフラストラクチャの信頼できるメンバーである必要があります。

アプライアンスをWindowsセキュリティインフラストラクチャに追加すると、アプライアンスには次の機能があります。

  • 署名付きSMBおよび署名付きSMB2プロトコルを使用した、Microsoft Windowsサーバー、NetAppサーバー、およびHitachiHNASのファイルサーバートラフィックの高速化。

  • 暗号化されたMAPIまたはRPC over HTTPSを使用してOutlookクライアントからアクセスされた場合のMicrosoft Exchangeサーバートラフィックの高速化。

WindowsセキュリティシステムでのCitrix SD-WAN WANOPアプライアンスのしくみ

アプライアンスをWindowsドメインに参加させるには、管理者の資格情報が必要です。Windowsドメインに参加すると、アプライアンスはドメインの信頼できるメンバーになります。これにより、アプライアンスをドメインのセキュリティインフラストラクチャのメンバーとして宣言できます。

アプライアンスがWindowsセキュリティインフラストラクチャの一部になった後、ユーザーがリソースにアクセスする前に認証を受ける必要があります。ドメイン内に多数のユーザーを構成することの難しさを回避するために、認証の責任を委任ユーザーに委任できます。

ActiveDirectoryにデリゲートユーザーを作成します。このユーザーは通常のユーザーに似ていますが、特別な権限があります。代理ユーザーを作成したら、Citrix SD-WAN WANOP アプライアンスでこのユーザーを構成する必要があります。アプライアンスは、ユーザーがCIFSやMAPIなどのWindowsプロトコルを使用して認証および暗号化されたデータストリームにアクセスするときに、デリゲートユーザーを使用してユーザーに代わって認証します。

CIFSおよびMAPIトラフィックを高速化するために、標準のWindows委任メカニズムを使用すると、セキュリティ委任を関連するサービスに制限できます。この制約付きの委任は、Windows Server 2003のリリース以降利用可能です。

ドメインの一部になった後、アプライアンスは安全なWindowsトラフィックを加速します。Windows ドメインに参加させるデータセンターアプライアンスは、リモートアプライアンスまたは Citrix SD-WAN WANOP プラグインとのセキュアなピア関係を持つ必要がありますが、Windows ドメインに参加できるのはデータセンターアプライアンスだけです。CIFSまたはMAPIアクセラレーションの目的で、リモートアプライアンスはデータセンターアプライアンスのスレーブとして機能し、2つの間の安全なSSLトンネルを介して制御されます。したがって、デリゲートユーザーの資格情報はデータセンターを離れません。

次の図は、このセットアップのトポロジ図の例を示しています。

ローカライズされた画像

上の図では、ブランチオフィスのクライアントがデータセンターのリソースにアクセスしています。別のドメインにあるブランチオフィスクライアントは、Windowsセキュリティシステムの一部としてNTLM認証を使用します。セキュアなピア関係にある2つのCitrix SD-WAN WANOPアプライアンス間の高速接続と同様に、CIFSまたはMAPI接続、およびWANを介したNTLM認証は暗号化されます。Windowsドメインコントローラーのバージョンに応じて、データセンターのCitrix SD-WAN WANOPアプライアンスからのユーザー要求は、NTLMまたはKerberos認証プロトコルを使用して認証されます。ドメインがユーザーを認証した後、Exchangeサーバーおよびファイルサーバーへの後続のアクセス要求はKerberos認証プロトコルを使用します。次に、Citrix SD-WAN WANOP アプライアンスは、クライアントとサーバー間で確立された接続を最適化します。

アプライアンスに安全なピア関係がない場合、またはデータセンターアプライアンスがドメインに正常に参加していない場合、接続はTCPフロー制御アクセラレーションを使用します。これにより、セキュリティ操作、圧縮、またはデータ変換は実行されません。クライアントとサーバー間の接続は、Citrix SD-WAN WANOPアプライアンスがないかのように確立されます。

Windowsオペレーティングシステムでさまざまなクライアント認証モードを構成できます。Citrix SD-WAN WANOP アプライアンスが最適化する接続の種類は、構成するクライアント認証モードによって異なります。

次の表は、Windows上のWindowsクライアント認証モードと、対応するCitrix SD-WAN WANOPの最適化を示しています。

Windowsオペレーティングシステムでサポートされる認証と最適化

クライアントオペレーティングシステム クライアント認証モード 最適化 コメント
Windows XP/Windows Vista/Windows7/Windows 8 認証のネゴシエーション(SPNEGO) TCPフロー制御アクセラレーション、圧縮、CIFSプロトコルアクセラレーション すべてのWindowsリリースで使用されるデフォルト設定。
Windows XP/Windows Vista/Windows 7/Windows 8 NTLMのみまたはKerberosのみ TCPフロー制御アクセラレーションのみ デフォルト以外の認証モード

注:NTLM のみ、または Kerberos のみのクライアント認証モードを使用する場合、暗号化されているトラフィックは高速化されません。

Citrix SD-WAN WANOP アプライアンスをWindowsセキュリティシステムに追加するための要件

保護されたWindows署名付きSMBおよび暗号化されたMAPIトラフィックのトラフィックを最適化するには、アプライアンスをWindowsセキュリティインフラストラクチャに追加する前に、Citrix SD-WAN WANOP展開が次の要件を満たしている必要があります。

  • クライアント側とサーバー側の両方のアクセラレーションアプライアンスは、安全なピア関係を確立している必要があります。

  • アプライアンスは、Windowsドメインサーバーの時刻と厳密に同期されたNTPサーバーを使用する必要があります。理想的には、アプライアンスとWindowsドメインサーバーはすべて同じNTPサーバーのクライアントです。

  • Outlook 、(デフォルト以外の) Kerberosのみ または NTLMのみの オプション用に構成しないでください。アクセラレーションには、デフォルトの(ネゴシエートされた)オプションが必要です。

  • クライアントとサーバーは、サーバー側アプライアンスのドメインと双方向の信頼関係を持つ任意のドメインのメンバーにすることができます。一方向の信頼はサポートされていません。

  • ドメインのセキュリティインフラストラクチャに参加しているアプライアンスで使用するには、Kerberosデリゲートユーザーをドメインコントローラーに設定する必要があります。

  • ドメインのDNSサーバーのIPアドレスを構成し、サーバー側のアプライアンスで到達可能にする必要があります。

  • ドメインサーバーは完全に到達可能である必要があり、DNSサーバーで構成されたドメインコントローラーのすべてのIPアドレスの順方向と逆方向の両方のルックアップが必要です。

  • サーバー側のCitrix SD-WAN WANOPアプライアンスのホスト名は一意である必要があります。デフォルトのホスト名「hostname」を使用すると、問題が発生する可能性があります。

    Macintosh OutlookクライアントはMAPIを使用しません (Outlook/Exchange) 標準であり、この機能によって加速されません。

Citrix SD-WAN WANOPアプライアンスをWindowsセキュリティインフラストラクチャに追加します

セキュリティで保護された Windows トラフィックを最適化するには、Citrix SD-WAN WANOP アプライアンスは Windows セキュリティシステムの一部であり、セキュリティシステムまたはドメインで自身を認証する必要があります。次の図に示すように、アプライアンスをWindowsセキュリティシステムの一部にするには、アプライアンスをドメインに参加させる必要があります(管理者の資格情報を使用)。さらに、CIFSおよびExchangeサービスをそのユーザーに関連付けることにより、新規または既存のユーザーを委任ユーザーとして構成する必要があります。次に、Citrix SD-WAN WANOP アプライアンスでこの代理ユーザーを構成する必要があります。

プレドメインチェック ユーティリティを使用して、アプライアンスのドメインへの参加に問題があるかどうかを確認できます。

Windowsセキュリティシステムは、Exchangeサービスを使用してMAPI接続を管理します。安全なWindowsトラフィックを最適化するためのセットアップの構成

ローカライズされた画像

Citrix SD-WAN WANOP アプライアンスをWindowsドメインに参加します。

アプライアンスがドメインに参加すると、共有シークレットがドメインコントローラーと交換され、アプライアンスがドメインの一部であり続けることができます。アプライアンスをドメインに参加させるときは、ドメインコントローラーの管理者資格情報があることを確認してください。

Citrix SD-WAN WANOP アプライアンスがCIFSおよびMAPIトラフィック(HTTPS経由でRPCとしてカプセル化されたトラフィックを含む)を最適化するには、アプライアンスをWindowsファイルサーバとExchangeサーバが属するドメインの一部にする必要があります。サーバー側アプライアンスをドメインに参加させる必要があります。

注:ドメイン管理資格情報はアプライアンスに保存されません。

Citrix SD-WAN WANOP アプライアンスをWindowsドメインに参加するには

  1. 構成 > 安全な加速 > Windowsドメイン タブに移動します。

  2. [ Windowsドメインに参加]をクリックします。

  3. [ドメイン名]フィールドにWindowsドメイン名を入力します。

  4. [ユーザー名]フィールドに、ドメインコントローラー管理者のユーザー名を入力します。

  5. [パスワード]フィールドで、ドメインコントローラーの管理者パスワードを指定します。

  6. 必要に応じて、Windowsドメインとの整合性を保つためにDNSサーバーを編集します。

  7. [OK] をクリックします。

  8. 以下の手順の説明に従って、[代理ユーザー]セクションで代理ユーザーを追加します。

    ローカライズされた画像

デリゲートユーザーを構成する:

アプライアンスをWindowsドメインに参加させた後、アプライアンスがドメインでユーザーを認証するために使用できるユーザーを作成する必要があります。このユーザーは、 デリゲートユーザーと呼ばれます。

注:デリゲートユーザーアカウントを作成するには、Windowsドメインコントローラーとアプライアンスへの管理者アクセスが必要です。Windowsドメインコントローラーへの管理者アクセス権がない場合は、権限のある管理者がドメインコントローラーで必要なタスクを実行していることを確認してください。

Kerberos委任を使用してユーザー認証を設定するには、ドメインコントローラ上で代理ユーザーを構成し、そのユーザーをCitrix SD-WAN WANOPアプライアンスに追加します。

ドメインコントローラーでデリゲートユーザーを構成する:

Citrix SD-WAN WANOP アプライアンスで代理ユーザーを構成する前に、ドメインコントローラーで必要なプロパティを使用して代理ユーザーを構成する必要があります。デリゲートユーザーアカウントを作成するか、既存のユーザーアカウントをデリゲートユーザーアカウントとして使用できます。

アカウントを作成するか、既存のアカウントを選択した後、このユーザーの委任を有効にします。次に、デリゲートユーザーをCIFSおよびExchangeサービスに関連付けて、これらのサービスのトラフィックを高速化できるようにします。このユーザーをCitrix SD-WAN WANOPアプライアンスに追加すると、アプライアンスはこのアカウントに関連付けられたサービスの委任された資格情報を提示します。

代理ユーザーアカウントを作成する:

Citrix SD-WAN WANOP アプライアンスがユーザーの代わりにこのアカウントを使用して、ドメインコントローラーでユーザーを認証できるように、Windowsドメインコントローラー上に委任ユーザーアカウントを作成します。

注:既存のユーザーを委任ユーザーとして構成する場合は、この手順をスキップしてください。

代理ユーザーアカウントを作成するには:

  1. 管理者としてWindowsドメインコントローラーにログオンします。ファイルサーバーまたはExchangeサーバーがこのドメインのメンバーであることを確認してください。

  2. [スタート ]メニューから、 [ Active Directory ユーザーとコンピューター] ウィンドウを開きます。

  3. 次のスクリーンショットに示すように、デリゲートユーザーを作成します。

    ローカライズされた画像

ユーザーの委任を有効にする:

これまでのところ、作成したユーザーは、ActiveDirectoryサーバーで作成した他のユーザーと似ています。ユーザーの委任を有効にするには、ユーザーのサービスプリンシパル名属性を設定して 委任 し、委任ユーザーを必要なサービスに関連付ける必要があります。これにより、ユーザーは特別な特権を付与され、委任ユーザーになります。

ユーザーの委任を有効にするには:

  1. [スタート ]メニューから、 [ Active Directory ユーザーとコンピューター] ウィンドウを開きます。

  2. [表示]メニューから、[ 高度な機能]を選択します。

  3. ユーザー ノードを選択します。

  4. デリゲートユーザーにするユーザーを右クリックします。

  5. 次のスクリーンショットに示すように、ショートカットメニューから[ プロパティ ]を選択し、[ 属性エディター ]タブに移動します。

    ローカライズされた画像

  6. 次のスクリーンショットに示すように、[ 属性]リストから[ servicePrincipalName]を選択します。

    ローカライズされた画像

  7. [編集] をクリックします。

  8. [複数値の文字列エディター]ダイアログボックスの[追加する値]フィールドで、 delegate /を指定します。 < User_Name > 、次のスクリーンショットに示すように:**

    ローカライズされた画像

  9. [追加] をクリックします。

  10. [OK] をクリックします。

  11. [Apply] をクリックします。

  12. [OK] をクリックします。

  13. 次のスクリーンショットに示すように、ユーザーの MAPI-CIFS Delegate User Properties ダイアログボックスを開き、[ Delegation ]タブがダイアログボックスに追加されていることを確認します。

    ローカライズされた画像

代理ユーザーをCIFSおよびExchangeサービスに関連付けます:

ユーザーの[委任]タブを有効にした後、ユーザーを委任された資格情報を提示できるサービスに関連付けることができます。このユーザーをCitrix SD-WAN WANOPアプライアンスに追加すると、アプライアンスはこのアカウントに関連付けられたサービスの委任された資格情報を提示します。 注:Windowsセキュリティインフラストラクチャは、Exchangeサービスを使用してMAPIトラフィックを管理します。

デリゲートユーザーをCIFSおよびExchangeサービスに関連付けるには:

  1. [委任]タブで、[ 特定のサービスのみへの委任についてこのユーザーを信頼 する]オプションを選択します。

  2. [ 任意の認証プロトコルを使用する ]オプションを選択します。

  3. 次のスクリーンショットに示すように、[ 追加]をクリックします。

    ローカライズされた画像

  4. [ サービス の追加]ダイアログボックスで、[ ユーザーとコンピューター]をクリックします。

  5. 次のスクリーンショットに示すように、 [ユーザーまたはコンピューター の選択]ダイアログボックスで、選択するローカルコンピューターを追加します。

    ローカライズされた画像

  6. [OK] をクリックします。

  7. 次のスクリーンショットに示すように、[ サービス の追加]ダイアログボックスの[利用可能なサービス]リストから、 cifsを選択します。

    ローカライズされた画像

  8. Citrix SD-WAN WANOP アプライアンスで MAPI アクセラレーションを設定する必要がある場合は、 Ctrl キーを押しながらExchangeMDB サービスを選択します。

  9. [OK] をクリックします。次のスクリーンショットに示すように、選択した サービスが、このアカウントが委任された資格情報 リストを提示できるサービスに追加されます。

    ローカライズされた画像

  10. [OK] をクリックします。

  11. ActiveDirectory ユーザーとコンピューター ウィンドウを閉じます。

Citrix SD-WAN WANOP アプライアンスで代理ユーザーを構成します

Active Directory サーバーで代理ユーザーを構成した後、Citrix SD-WAN WANOPアプライアンスでこのユーザーを構成して、アプライアンスがこのユーザーの委任された資格情報をドメインに提示できるようにする必要があります。これにより、アプライアンスは高度なCIFSおよびMAPIアクセラレーション機能のためにネットワークトラフィックをアクティブに最適化できます。

デリゲートユーザーをサーバー側アプライアンスに追加するには:

  1. [ 構成] > [ セキュリティで保護されたアクセラレーション] > [ Windows ドメイン ] タブに移動します。

  2. 存在する場合は、 [Windowsドメインに参加 ]ボタンをクリックします。

  3. [ ユーザーの委任]で、[ 追加]をクリックします。

  4. ドメイン名」 フィールドで、ドメイン名を指定します。これは通常、 [Windowsドメイン] セクションで指定したドメインです。

  5. ユーザー名」 フィールドに、代理ユーザーのユーザー名を入力します。

  6. [ パスワード] フィールドで、代理ユーザーのパスワードを指定します。

  7. [追加] をクリックします。

    ローカライズされた画像

アプライアンスがドメインに参加していることを確認します

アプライアンスをドメインに追加した後、アプライアンスが安全なWindowsトラフィックを最適化していないことに気付いた場合は、何らかのエラーが原因でアプライアンスがドメインに参加できなかった可能性があります。Pre Domain Check ユーティリティを使用して、ドメインへのアプライアンスの参加に問題があるかどうかを確認できます。アプライアンスをドメインに参加させる前に、このユーティリティを実行して考えられる問題を特定することもできます。

デリゲートユーザーを確認するには:

  1. サーバー側のCitrix SD-WAN WANOPアプライアンスにログオンします。

  2. 構成 > 安全な加速 > Windows タブに移動します。

  3. 存在する場合は、 [Windowsドメインに参加 ]ボタンをクリックします。

  4. 委任ユーザーを選択し、[ 編集]をクリックします。

  5. [ デリゲートユーザーの確認]をクリックします。

  6. デリゲートユーザードメインチェックが完了するのを待ち、結果を調べます。

    ローカライズされた画像

安全なWindowsトラフィックを最適化するようにCitrix SD-WAN WANOPアプライアンスを構成する