Gateway

Unified Gateway に関するよくある質問

Unified Gateway とは何ですか。 **

Unified Gatewayは、NetScaler ADC 11.0リリースの新機能であり、単一の仮想サーバー(Unified Gateway 仮想サーバーと呼ばれる)でトラフィックを受信し、必要に応じてそのトラフィックをUnified Gateway仮想サーバーにバインドされている仮想サーバーに内部的に転送する機能を提供します。

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者は、IPアドレスを解放し、NetScaler Gateway 展開の構成を簡素化できます。

各Unified Gateway 仮想サーバーは、フォーメーションの一部として、ゼロ個以上の負荷分散仮想サーバーとともに、1つのNetScaler Gateway 仮想サーバーをフロントエンドにすることができます。Unified Gateway は、Citrix ADCアプライアンスのコンテンツスイッチング機能を活用して機能します。

Unified Gateway の展開の例をいくつか示します:

  • Unified Gateway 仮想サーバー-> [1 台のNetScaler Gateway 仮想サーバー]
  • Unified Gateway 仮想サーバー-> [1つのNetScaler Gateway仮想サーバー、1つの負荷分散仮想サーバー]
  • Unified Gateway 仮想サーバー-> [NetScaler Gateway仮想サーバー1台、負荷分散仮想サーバー2台]
  • Unified Gateway 仮想サーバー-> [NetScaler Gateway仮想サーバー1台、負荷分散仮想サーバー3台]

各負荷分散仮想サーバーは、Microsoft ExchangeやCitrix ShareFileなどのバックエンドサービスをホストする標準の負荷分散サーバーであればどれでもかまいません。

Unified Gateway を使用する理由 **

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者にとっての利点は、IPアドレスを解放し、NetScaler Gateway 展開の構成を簡素化できることです。  

複数の Unified Gateway 仮想サーバを使用できますか。 **

はい。Unified Gateway 仮想サーバは必要な数だけ存在できます。

Unified Gateway でコンテンツスイッチングが必要なのはなぜですか **

コンテンツスイッチング仮想サーバーは、トラフィックを受信し、内部的に適切な仮想サーバーに誘導する仮想サーバーであるため、コンテンツスイッチング機能が必要です。コンテンツスイッチング仮想サーバーは、Unified Gateway 機能のプライマリコンポーネントです。

11.0 より前のリリースでは、コンテンツスイッチングを使用して複数の仮想サーバのトラフィックを受信できます。その使用方法は Unified Gateway とも呼ばれますか。 **

複数の仮想サーバーのトラフィックを受信するためのコンテンツスイッチ仮想サーバーの使用は、11.0 より前のリリースでサポートされています。ただし、コンテンツスイッチングでは、トラフィックをNetScaler Gateway 仮想サーバーに転送できませんでした。

11.0の拡張により、コンテンツスイッチング仮想サーバーは、NetScaler Gateway 仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます。

Unified Gateway のコンテンツスイッチングポリシーで何が変わったのですか。 **

1. コンテンツスイッチングアクション用の新しいコマンドラインパラメータ「-targetVServer」が追加されました。新しいパラメーターは、ターゲットのNetScaler Gateway 仮想サーバーを指定するために使用されます。例:

add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

NetScaler Gateway 構成ユーティリティでは、コンテンツスイッチングアクションに新しいオプション「ターゲット仮想サーバー」が追加されました。このオプションは、NetScaler Gateway 仮想サーバーを参照できます。

2. 新しい高度なポリシー式is_vpn_urlを使用して、NetScaler Gateway および認証固有のリクエストを照合できます。

Unified Gatewayで現在サポートされていないNetScaler Gatewayの機能は何ですか? **

Unified Gateway では、すべての機能がサポートされています。ただし、VPN プラグインを介したネイティブログオンに関する軽微な問題 (問題 ID 544325) が報告されています。この場合、シームレスシングルサインオン (SSO) は機能しません。

Unified Gateway では、EPA スキャンの動作はどのようなものですか。 **

Unified Gatewayでは、エンドポイント分析はNetScaler Gatewayアクセス方法でのみトリガーされ、AAA-TMアクセスではトリガーされません。NetScaler Gateway 仮想サーバーで認証が行われたにもかかわらず、ユーザーがAAA-TM仮想サーバーにアクセスしようとしても、EPAスキャンはトリガーされません。ただし、ユーザがクライアントレス VPN/フル VPN アクセスを取得しようとすると、設定された EPA スキャンがトリガーされます。その場合は、認証またはシームレス SSO のいずれかが行われます。

セットアップ

Unified Gateway のライセンス要件は何ですか。 **

Unified Gateway は、エンタープライズライセンスとプラチナライセンスでのみサポートされています。NetScaler Gateway のみまたは標準ライセンスエディションでは使用できません。

Unified Gatewayで使用されるNetScaler Gateway 仮想サーバーには、IP/ポート/SSL構成が必要ですか? **

ユニファイドゲートウェイ仮想サーバーと併用するNetScaler Gateway仮想サーバーの場合、NetScaler Gateway仮想サーバーでIP/ポート/SSL構成は必要ありません。ただし、RDPプロキシ機能の場合、同じSSL/TLSサーバー証明書をNetScaler Gateway 仮想サーバーにバインドできます。

NetScaler Gateway 仮想サーバー上の SSL/TLS 証明書をUnified Gateway 仮想サーバーで使用するために再プロビジョニングする必要がありますか? **

現在NetScaler Gateway 仮想サーバーにバインドされている証明書を再プロビジョニングする必要はありません。既存の SSL 証明書は自由に再利用でき、Unified Gateway 仮想サーバにバインドすることもできます。

単一の URL とマルチホスト展開の違いは何ですか? どちらが必要ですか? **

単一の URL は、Unified Gateway 仮想サーバが 1 つの完全修飾ドメイン名 (FQDN) のトラフィックを処理する能力を指します。この制限は、証明書のサブジェクトに FQDN が入力された SSL/TLS サーバ証明書を Unified Gateway が使用する場合に存在します。例:ug.citrix.com

ただし、Unified Gateway がワイルドカードサーバ証明書を使用している場合は、複数のサブドメインのトラフィックを処理できます。例:*.citrix.com

もう 1 つのオプションは、複数の SSL/TLS サーバー証明書のバインドを可能にするサーバー名インジケータ (SNI) 機能を備えた SSL/TLS 構成です。例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp

単一ホスト対複数ホストは、Web サイトが一般的な Web サーバー (Apache HTTP サーバーや Microsoft インターネットインフォメーションサービス (IIS) など) でホストされる方法と似ています。ホストが 1 つの場合は、Apache でエイリアスや「仮想ディレクトリ」を使用するのと同じ方法で、サイトパスを使用してトラフィックを切り替えることができます。複数のホストがある場合は、Apache で仮想ホストを使用する場合と同様に、ホストヘッダーを使用してトラフィックを切り替えます。

認証

Unified Gateway ではどのような認証メカニズムを使用できますか。 **

NetScaler Gatewayで機能する既存の認証メカニズムはすべてUnified Gateway と連携します。

これには、LDAP、RADIUS、SAML、Kerberos、証明書ベースの認証などが含まれます。

アップグレード前にNetScaler Gateway 仮想サーバーで構成されていた認証メカニズムは、NetScaler Gateway 仮想サーバーがUnified Gateway仮想サーバーの背後に配置されたときに自動的に使用されます。アドレス指定できないIPアドレス(0.0.0.0)をNetScaler Gateway 仮想サーバーに割り当てる以外に、追加の構成手順は必要ありません。

「selfAuth」認証とは何ですか? **

selfAuth は、それ自体では認証タイプではありません。selfAuth は、URL の作成方法を記述します。VPN URL の設定には、新しいコマンドラインパラメータ ssotype を使用できます。例:

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth は ssotype パラメーターの値の 1 つです。このタイプの URL は、Unified Gateway 仮想サーバと同じドメインにないリソースにアクセスするために使用できます。この設定は、ブックマークを構成するときに構成ユーティリティで確認できます。

「StepUp」認証」って何ですか? **

AAA-TM リソースにアクセスするために、さらに安全なレベルの認証が必要な場合は、StepUp 認証を使用できます。コマンドラインで、authnProfile コマンドを使用して authenticationLevel パラメーターを設定します。例:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

この認証プロファイルは、負荷分散仮想サーバーにバインドされます。

StepUp 認証は AAA-TM 仮想サーバーでサポートされていますか? **

はい、サポートされています。

1 回ログイン/1 回ログアウトとは何ですか? **

一度ログイン:VPNユーザーは、AAA-TMまたはNetScaler Gateway 仮想サーバーのいずれかに一度ログインします。それ以降、VPN ユーザーはすべてのエンタープライズ/クラウド/Web アプリケーションにシームレスにアクセスできます。ユーザは再認証される必要はありません。ただし、AAA-TM StepUp などの特殊なケースでは再認証が行われます。

一度ログアウト:最初のAAA-TMまたはNetScaler Gateway セッションが作成されると、そのセッションを使用してそのユーザーの後続の AAA-TM または NetScaler Gateway セッションが作成されます。これらのセッションのいずれかがログアウトすると、NetScaler ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします。

Unified Gateway レベルで共通の認証ポリシーを指定し、AAA-TM 負荷分散仮想サーバ固有の認証を負荷分散仮想サーバレベルでバインドすることはできますか。このユースケースをサポートするための構成手順を教えてください。 **

Unified Gateway の背後にある AAA-TM 仮想サーバに個別の認証ポリシーを指定する必要がある場合は、個別にアドレス指定可能な認証仮想サーバを個別に用意する必要があります(通常の AAA-TM 構成と同様)。負荷分散仮想サーバーの認証ホスト設定は、この認証仮想サーバーを指している必要があります。

バインドされた AAA-TM 仮想サーバに独自の認証ポリシーが適用されるように Unified Gateway をどのように構成しますか。 **

このシナリオでは、負荷分散サーバの認証 FQDN オプションが AAA-TM 仮想サーバを指すように設定されている必要があります。AAA-TM 仮想サーバーには独立した IP アドレスがあり、Citrix ADC およびクライアントからアクセスできる必要があります。

Unified Gateway 仮想サーバを経由するユーザを認証するには、AAA-TM 認証仮想サーバが必要ですか。 **

いいえ。NetScaler Gateway 仮想サーバーは、AAA-TM ユーザーであっても認証を行います。

NetScaler Gateway 認証ポリシーは、Unified Gateway 仮想サーバーまたはNetScaler Gateway 仮想サーバーでどこで指定しますか。 **

認証ポリシーは、NetScaler Gateway 仮想サーバーにバインドする必要があります。

Unified Gateway コンテンツスイッチング仮想サーバの背後にある AAA-TM 仮想サーバで認証を有効にするにはどうすればよいですか? **

AAA-TM で認証を有効にし、認証ホストを Unified Gateway コンテンツスイッチング FQDN にポイントします。

AAA トラフィック管理

コンテンツスイッチの後ろに TM 仮想サーバーを追加する方法 (単一の URL とマルチホスト) **

単一の URL に AAA-TM 仮想サーバを追加することと、複数のホストに追加することには違いはありません。いずれの場合も、仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます。単一の URL とマルチホストの違いは、コンテンツスイッチングポリシールールによって実装されます。

AAA-TM 負荷分散仮想サーバが Unified Gateway 仮想サーバの背後に移動された場合、その仮想サーバにバインドされた認証ポリシーはどうなりますか? **

認証ポリシーは認証仮想サーバーにバインドされ、認証仮想サーバーは負荷分散仮想サーバーにバインドされます。Unified Gateway仮想サーバーの場合、NetScaler Gateway 仮想サーバーを単一の認証ポイントとして使用することをお勧めします。これにより、認証仮想サーバーで認証を実行する必要がなくなります(または特定の認証仮想サーバーの必要性さえあります)。認証ホストをUnified Gateway仮想サーバーのFQDNにポイントすることで、NetScaler Gateway 仮想サーバーによって認証が確実に行われます。認証ホストに Unified Gateway のコンテンツスイッチングをポイントし、まだ認証仮想サーバがバインドされている場合、認証仮想サーバにバインドされた認証ポリシーは無視されます。ただし、認証ホストを独立したアドレス指定可能な認証仮想サーバーを指す場合、バインドされた認証ポリシーが有効になります。

AAA-TM セッションのセッションポリシーはどのように設定しますか。 **

Unified Gatewayで、AAA-TM仮想サーバーに認証仮想サーバーが指定されていない場合、AAA-TMセッションはNetScaler Gatewayセッションポリシーを継承します。認証仮想サーバーを指定すると、その仮想サーバーにバインドされた AAA-TM セッションポリシーが適用されます。

ポータルのカスタマイズ

Citrix ADC 11.0のNetScaler Gatewayポータルにはどのような変更点がありますか? **

11.0より前のNetScaler ADCリリースでは、グローバルレベルで単一のポータルのカスタマイズを設定できます。特定のNetScaler ADCアプライアンス内のすべてのゲートウェイ仮想サーバーは、グローバルポータルのカスタマイズを使用します。

NetScaler ADC 11.0では、ポータル・テーマ機能を使用して、複数のポータル・テーマを設定できます。テーマはグローバルにバインドすることも、特定の仮想サーバーにバインドすることもできます。

NetScaler ADC 11.0はNetScaler Gatewayポータルのカスタマイズをサポートしていますか? **

構成ユーティリティーを使用すると、新しいポータル・テーマ機能を使用して、新しいポータル・テーマを完全にカスタマイズおよび作成できます。さまざまな画像をアップロードしたり、配色を設定したり、テキストラベルを変更したりすることができます。

カスタマイズ可能なポータルページは次のとおりです。

  • ログインページ
  • エンドポイント分析ページ
  • エンドポイント分析エラーページ
  • ポストエンドポイント分析ページ
  • VPN 接続ページ
  • ポータルのホームページ

このリリースでは、独自のポータル設計でNetScaler Gateway 仮想サーバーをカスタマイズできます。

ポータル・テーマは、NetScaler ADCの高可用性またはクラスター展開でサポートされていますか? **

はい。ポータルのテーマは、NetScaler ADCの高可用性およびクラスター展開でサポートされています。

カスタマイズはCitrix ADC 11.0のアップグレードプロセスの一部として移行されますか? **

いいえ。rc.conf/rc.netscalerファイルの変更または10.1/10.5のカスタムテーマ機能を使用して呼び出されたNetScaler Gatewayポータルページへの既存のカスタマイズは、Citrix ADC 11.0へのアップグレード時に自動的に移行されません。

NetScaler ADC 11.0のポータルテーマの準備をするために従うべきアップグレード前の手順はありますか? **

既存のカスタマイズはすべて rc.conf または rc.netscaler ファイルから削除する必要があります。

もう 1 つのオプションは、カスタムテーマを使用する場合は、[デフォルト] 設定を割り当てる必要があることです:

構成]>[NetScaler Gateway]>[グローバル設定]に移動します

[ グローバル設定の変更] をクリックします。「 クライアントエクスペリエンス 」をクリックし、UI テーマ 」ドロップダウンリストから「 デフォルト 」を選択します。

rc.confまたはrc.netscalerによって呼び出されるNetScaler ADCインスタンスに保存されているカスタマイズがあります。ポータル・テーマに移動するにはどうすればよいですか。 **

Citrix ナレッジセンターの記事CTX126206には 、10.0ビルド73.5001.eまでのNetScaler ADC 9.3および10.0リリースのこのような構成について詳しく説明しています。NetScaler ADC 10.0ビルド10.0 73.5002.e(10.1および10.5を含む)以降、UITHEME CUSTOMパラメータを使用して、再起動後もカスタマイズを保持できるようになりました。カスタマイズがCitrix ADCハードドライブに保存されていて、そのカスタマイズを引き続き使用したい場合は、11.0 GUIファイルをバックアップして、既存のカスタムテーマファイルに挿入します。ポータル・テーマに移動する場合は、まず、「 クライアント・エクスペリエンス」の「グローバル設定」または「セッション」プロファイルの「UITHEME」パラメーターの設定を解除する必要があります。または、DEFAULT または GREENBUBBBLE に設定することもできます。その後、ポータル・テーマの作成とバインドを開始できます。

NetScaler ADC 11.0にアップグレードする前に、現在のカスタマイズをエクスポートして保存するにはどうすればよいですか? エクスポートしたファイルを別のNetScaler ADCアプライアンスに移動できますか? **

ns_gui_custom フォルダにアップロードされたカスタマイズファイルは、ディスク上に保存され、アップグレード後も保持されます。ただし、これらのファイルは、新しいNetScaler ADC 11.0カーネルおよびカーネルの一部である他のGUIファイルと完全に互換性があるとは限りません。したがって、11.0のGUIファイルをバックアップし、バックアップをカスタマイズすることをお勧めします。

さらに、構成ユーティリティには、 ns_custom_guiフォルダーを別のCitrix ADCアプライアンスにエクスポートするユーティリティはありません。Citrix ADC インスタンスからファイルを取り出すには、SSH または WinSCP などのファイル転送ユーティリティを使用する必要があります。

ポータル・テーマは AAA-TM 仮想サーバーでサポートされていますか? **

はい。ポータル・テーマは AAA-TM 仮想サーバーでサポートされています。

RDPプロキシ

NetScaler Gateway 11.0のRDPプロキシでは何が変更されましたか? **

NetScaler ADC 10.5.e拡張リリース以降、RDPプロキシに多くの機能強化が加えられました。NetScaler ADC 11.0では、この機能は最初にリリースされたビルドから利用できます。

ライセンスの変更

Citrix ADC 11.0のRDPプロキシ機能は、プラチナエディションとエンタープライズエディションでのみ使用できます。Citrix 同時ユーザー(CCU)ライセンスは、ユーザーごとに取得する必要があります。

コマンドを有効にする

NetScaler ADC 10.5.eでは、RDPプロキシを有効にするコマンドはありませんでした。NetScaler ADC 11.0では、有効コマンドが追加されました:

RDP プロキシ機能を有効にする

このコマンドを実行するには、機能のライセンスが必要です。

RDP プロキシのその他の変更

サーバプロファイルの事前共有キー(PSK)属性が必須になりました。

RDPプロキシの既存のCitrix ADC 10.5.e構成をCitrix ADC 11.0に移行するには、次の詳細を理解して対処する必要があります。

管理者が既存の RDP プロキシ構成を選択した Unified Gateway 展開に追加する場合は、次の手順を実行します:

  • NetScaler Gateway 仮想サーバーのIPアドレスを編集し、アドレス指定できないIPアドレス(0.0.0.0)に設定する必要があります。
  • SSL/TLSサーバー証明書、認証ポリシーは、選択したUnified Gatewayフォーメーションの一部であるNetScaler Gateway 仮想サーバーにバインドする必要があります。

NetScaler ADC 10.5.eに基づくリモートデスクトッププロトコル(RDP)プロキシ構成をNetScaler ADC 11.0にどのように移行しますか? **

オプション1:プラチナライセンスまたはエンタープライズライセンスで、RDPプロキシ構成を使用する既存のNetScaler Gateway 仮想サーバーをそのまま維持します。

オプション2:RDPプロキシ構成で既存のNetScaler Gateway 仮想サーバーを移動し、Unified Gateway 仮想サーバーの背後に配置します。

オプション3:RDPプロキシ構成を持つスタンドアロンのNetScaler Gateway 仮想サーバーを既存のStandard Editionアプライアンスに追加します。

NetScaler ADC 11.0リリースを使用して、RDPプロキシ構成用にNetScaler Gateway をどのようにセットアップしますか? **

NS 11.0 リリースを使用して RDP プロキシを展開するには、次の 2 つのオプションがあります:

1) 外部に面したNetScaler Gateway 仮想サーバーを使用する。これには、NetScaler Gateway 仮想サーバーに対して外部から見えるIPアドレス/FQDNが1つ必要です。このオプションは、NetScaler ADC 10.5.eで利用可能なものです。

2)NetScaler Gateway 仮想サーバーのフロントエンドであるユニファイドゲートウェイ仮想サーバーを使用する。

オプション2では、NetScaler Gateway 仮想サーバーはアドレス指定不可能なIPアドレス(0.0.0.0)を使用するため、独自のIPアドレス/FQDNを必要としません。

他のCitrix ソフトウェアとの統合

HDX Insight はUnified Gateway と互換性がありますか

NetScaler GatewayをUnified Gateway で展開する場合は、次の条件を満たす必要があります。

  • NetScaler Gateway 仮想サーバーには、有効なSSL証明書がバインドされている必要があります。

  • HDX Insightのレポートを作成するために、NetScaler ADM でAppFlowレコードを生成するには、NetScaler Gateway仮想サーバーが稼働状態になっている必要があります。

既存のHDX Insight構成を移行するにはどうすればよいですか

移行は必要ありません。NetScaler Gateway 仮想サーバーがUnified Gateway ゲートウェイ仮想サーバーの背後に配置されている場合、NetScaler Gateway 仮想サーバーにバインドされたAppFlowポリシーが引き継がれます。

NetScaler Gateway仮想サーバーのNetScaler ADM 上の既存のデータについては、次の2つの可能性があります:

  • NetScaler Gateway 仮想サーバーのIPアドレスがUnified Gatewayへの移行の一環としてUnified Gateway 仮想サーバーに割り当てられている場合、データはCitrix Unified Gateway ateway 仮想サーバーにリンクされたままになります
  • Unified Gateway 仮想サーバーに別のIPアドレスが割り当てられている場合、NetScaler Gateway仮想サーバーからのAppFlowデータはその新しいIPアドレスにリンクされます。したがって、既存のデータは新しいデータの一部にはなりません。
Unified Gateway に関するよくある質問