仮想サーバーを作成する
仮想サーバは、ユーザがログオンするアクセスポイントです。各仮想サーバには、独自の IP アドレス、証明書、およびポリシーセットがあります。仮想サーバーは、着信トラフィックを受け入れるIPアドレス、ポート、およびプロトコルの組み合わせで構成されます。仮想サーバーには、ユーザーがアプライアンスにログオンするときの接続設定が含まれています。仮想サーバーでは、次の設定を構成できます。
- 証明書
- 認証
- ポリシー
- ブックマーク
- アドレスプール (IP プールまたはイントラネット IP とも呼ばれます)
- NetScaler Gateway を使用したダブルホップDMZ展開
- Secure Ticket Authority
- SmartAccess ICA プロキシセッション転送
NetScaler Gateway ウィザードを実行すると、ウィザード中に仮想サーバーを作成できます。次の方法で、より多くの仮想サーバーを構成できます。
- 仮想サーバノードから。このノードは、構成ユーティリティのナビゲーションペインにあります。構成ユーティリティを使用して、仮想サーバーを追加、編集、および削除できます。
- クイック構成ウィザード。Citrix Endpoint Management、StoreFront、またはWeb Interfaceを環境に展開する場合は、クイック構成ウィザードを使用して、展開に必要な仮想サーバーとすべてのポリシーを作成できます。
ユーザーがログオンし、RADIUS などの特定の認証タイプを使用できるようにする場合は、仮想サーバを設定し、サーバに一意の IP アドレスを割り当てることができます。ユーザーがログオンすると、仮想サーバーに転送され、RADIUS 資格情報の入力を求められます。
また、ユーザーがNetScaler Gateway にログオンする方法を構成することもできます。セッションポリシーを使用して、ユーザーソフトウェアの種類、アクセス方法、およびログオン後にユーザーに表示されるホームページを構成できます。
仮想サーバーを作成するには
仮想サーバーを追加、変更、有効化、無効化、および削除するには、NetScaler Gateway GUIまたはクイック構成ウィザードを使用します。クイック構成ウィザードを使用した仮想サーバーの構成の詳細については、「 クイック構成ウィザードを使用した設定の構成」を参照してください。
注:
VPN 仮想サーバーは、デフォルトで DTLS バージョン 1.0 をサポートしています。DTLS バージョン 1.2 を有効にするには、「 SSL VPN 仮想サーバーを使用した DTLS VPN 仮想サーバーの設定」を参照してください。
GUI を使用して仮想サーバーを作成するには
- [ NetScaler Gateway]>[仮想サーバー]に移動します。
- 詳細ペインで、[ 追加] をクリックします。
- 要件に従って設定を構成します。
- [Create] をクリックしてから、[Close] をクリックします。
CLI を使用して仮想サーバーを作成するには
コマンドプロンプトで次を入力します:
add vpn vserver <name> <serviceType> [<IPAddress> [<port>]
<!--NeedCopy-->
例:
add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->
ネットプロファイルを VPN 仮想サーバーにバインドする際の注意点
ネットプロファイル(ネットワークプロファイル)を作成して、指定した送信元 IP アドレスを使用するようにアプライアンスを設定し、ネットプロファイルを VPN 仮想サーバーにバインドできます。ただし、ネットプロファイルを VPN 仮想サーバーにバインドする場合は、次の点に注意してください。
-
ネットプロファイルをNetScaler Gateway 仮想サーバーにバインドすると、ネットプロファイルは、バックエンドサーバーへのトラフィック用に仮想サーバーまたはサービスによって使用される特定のSNIPを選択しません。代わりに、Gateway Appliance はネットプロファイルバインディングを無視し、ラウンドロビン方式を使用して SNIP を選択します。
-
ネットプロファイルは、動的に生成されたサービス(STA、SF モニタ)では機能しません。STA およびその他の動的に生成されるサービスの場合、ネットプロファイルをそれらのモニタに直接バインドでき、その時点でそれらのモニタが使用されます。ただし、同じアプライアンスに複数のゲートウェイがある場合、すべてのゲートウェイは、設定されたモニタに対して同じネットプロファイルを使用します。
ネットプロファイルの詳細については、 バックエンド通信に指定されたソース IP を使用するを参照してください。
仮想サーバ上の現在のユーザーと接続しているユーザーの総数
現在のユーザー: 特定の仮想サーバーにログオンしているユーザーの数。CCU を追跡するために現在のユーザを監視することをお勧めします。
接続しているユーザーの合計: 特定の仮想サーバーを介して 1 つ以上のアクティブな接続を持つユーザーの数。接続しているユーザーの総数は、主にICAプロキシで使用されます。
接続ユーザーの合計数カウンタは、次のシナリオで使用できます。
-
ICA接続は確立されているが、対応する認証、承認、および監査セッションが確立されていないとします。このシナリオでは、ユーザーがアプリケーションまたはデスクトップを起動してブラウザを閉じ、起動したアプリケーションまたはデスクトップで作業を続行します。認証、承認、および監査セッションはタイムアウトしますが、接続はまだアクティブです。接続しているユーザーの合計数を使用して、まだ接続しているユーザーを識別できます。
-
HDX最適ルーティングでは、認証ゲートウェイとICAゲートウェイを異なるアプライアンス上に置くことができます。この場合の接続ユーザーの合計は、ICAゲートウェイ上の接続ユーザーの数を識別するために使用できます。
注意事項:
-
アクティブなセッションがある(まだタイムアウトしていない)が、これらのセッションにアクティブな接続がない場合、現在のユーザは合計接続ユーザ数を超えています。たとえば、ユーザーがアプリケーションまたはデスクトップを起動してすぐに閉じたものの、認証、承認、および監査セッションからログアウトしなかった場合などです。
-
認証、承認、および監査セッションがタイムアウトしても、ICA接続がアクティブな場合、接続しているユーザーの合計が現在のユーザーを超えています。
-
純粋なVPN設定(ICAは関与しない)では、現在のユーザー数と接続ユーザーの総数は等しくなります。
仮想サーバーで接続タイプを構成する
仮想サーバーを作成および構成するときに、次の接続オプションを構成できます:
- Citrix Workspace アプリとの接続は、SmartAccess、エンドポイント分析、またはネットワーク層トンネリング機能を使用せずに、Citrix Virtual Apps and Desktops にのみ接続します。
- NetScaler Gateway プラグインおよびSmartAccessとの接続。これにより、SmartAccess、エンドポイント分析、およびネットワーク層トンネリング機能を使用できます。
- モバイルデバイスからNetScaler Gateway へのマイクロVPN接続を確立するSecure Hub との接続。
- 複数のデバイスからユーザーがICAセッションプロトコルを介して行われる並列接続。複数のユニバーサルライセンスを使用しないように、接続は 1 つのセッションに移行されます。
ユーザがユーザソフトウェアなしでログオンできるようにする場合は、クライアントレスアクセスポリシーを設定し、それを仮想サーバにバインドできます。
仮想サーバーで基本接続または SmartAccess 接続を構成するには
- [ NetScaler Gateway ]に移動し、[ 仮想サーバー]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [ 名前] に、仮想サーバーの名前を入力します。
- [ IP **アドレスとポート**] に、仮想サーバーのIPアドレスとポート番号を入力します。
- 次のいずれかを行います:
- ICA 接続のみを許可するには、[ 基本モード] をクリックします。
- Secure Hub、NetScaler Gateway プラグイン、およびSmartAccessを使用したユーザーログオンを許可するには、[ SmartAccess モード]をクリックします。
- SmartAccessが複数のユーザー接続のICAプロキシセッションを管理できるようにするには、「 ICAプロキシセッション移行」をクリックします。
- 仮想サーバーのその他の設定を構成し、[ 作成]、[ 閉じる] の順にクリックします。
ワイルドカード仮想サーバー用のリッスンポリシーを構成する
NetScaler Gateway 仮想サーバーを構成して、仮想サーバーが特定のVLANでリッスンする機能を制限できます。指定された VLAN 上のトラフィックの処理に制限するリッスンポリシーを使用して、ワイルドカード仮想サーバを作成できます。
設定パラメータは次のとおりです。
パラメーター | 説明 |
---|---|
名前 | 仮想サーバーの名前。この名前は必須であり、仮想サーバーの作成後に名前を変更することはできません。名前は 127 文字を超えることはできません。また、最初の文字は数字または文字である必要があります。また、アットマーク (@)、アンダースコア (_)、ダッシュ (-)、ピリオド (.)、コロン (:)、シャープ記号 (#)、およびスペースを使用することもできます。 |
IP | 仮想サーバの IP アドレス。VLAN にバインドされたワイルドカード仮想サーバの場合、値は常に* です。 |
種類 | サービスの動作。選択肢は、HTTP、SSL、FTP、TCP、SSL_TCP、UDP、SSL_BRIDGE、NNTP、DNS、ANY、SIP-UDP、DNS-TCP、RTSPです。 |
ポート | 仮想サーバーがユーザー接続をリッスンするポート。ポート番号は 0 ~ 65535 の範囲で指定する必要があります。VLAN にバインドされたワイルドカード仮想サーバの場合、値は通常* です。 |
リスニング優先度 | リッスンポリシーに割り当てられている優先順位。プライオリティは逆の順序で評価されます。数字が小さいほど、リッスンポリシーに割り当てられるプライオリティが高くなります。 |
リッスンポリシールール | 仮想サーバがリッスンする必要がある VLAN の識別に使用するポリシールール。ルールは次のとおりです。CLIENT.VLAN.ID.EQ (<ipaddressat> ) <ipaddressat> の場合は、VLAN に割り当てられた ID 番号を置き換えます。 |
リッスンポリシーを使用してワイルドカード仮想サーバーを作成するには
- ナビゲーションペインで[ NetScaler Gateway] を展開し、[ 仮想サーバー]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [ 名前] に、仮想サーバーの名前を入力します。
- [ プロトコル] で、プロトコルを選択します。
- [ IP アドレス] に、仮想サーバーの IP アドレスを入力します。
- [ ポート] に、仮想サーバーのポートを入力します。
- [ 詳細設定 ] タブの [リッスンポリシー] の [ リッスン優先度] に、リッスンポリシーの優先度を入力します。
- [リッスンポリシールール] の横にある [ 構成] をクリックします。
- 「 式の作成 」ダイアログで、「 追加」をクリックして式を設定し、「 OK」をクリックします。
- [Create] をクリックしてから、[Close] をクリックします。