Gateway

Unified Gateway に関するよくある質問

Unified Gateway とは何ですか

Unified Gatewayは、NetScaler ADC 11.0リリースの新機能であり、単一の仮想サーバー(Unified Gateway 仮想サーバーと呼ばれる)でトラフィックを受信し、必要に応じてそのトラフィックをUnified Gateway仮想サーバーにバインドされている仮想サーバーに内部的に転送する機能を提供します。

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者は、IPアドレスを解放し、NetScaler Gateway 展開の構成を簡素化できます。

各Unified Gateway 仮想サーバーは、フォーメーションの一部として、ゼロ個以上の負荷分散仮想サーバーとともに、1つのNetScaler Gateway 仮想サーバーをフロントエンドにすることができます。Unified Gateway は、NetScaler ADCアプライアンスのコンテンツスイッチング機能を使用して機能します。

Unified Gateway の展開の例をいくつか示します:

  • Unified Gateway 仮想サーバー-> [1 台のNetScaler Gateway 仮想サーバー]
  • Unified Gateway 仮想サーバー-> [1つのNetScaler Gateway仮想サーバー、1つの負荷分散仮想サーバー]
  • Unified Gateway 仮想サーバー-> [NetScaler Gateway仮想サーバー1台、負荷分散仮想サーバー2台]
  • Unified Gateway 仮想サーバー-> [NetScaler Gateway仮想サーバー1台、負荷分散仮想サーバー3台]

各負荷分散仮想サーバーは、Microsoft ExchangeやCitrix ShareFileなどのバックエンドサービスをホストする標準負荷分散サーバーであればどれでもかまいません。

Unified Gateway を使用する理由

Unified Gateway 機能を使用すると、エンドユーザは(Unified Gateway 仮想サーバに関連付けられた)単一の IP アドレスまたは URL を使用して複数のサービスにアクセスできます。管理者にとっての利点は、IPアドレスを解放し、NetScaler Gateway 展開の構成を簡素化できることです。  

複数の Unified Gateway 仮想サーバを使用できますか

はい。Unified Gateway 仮想サーバは必要な数だけ存在できます。

Unified Gateway でコンテンツスイッチングが必要なのはなぜですか

コンテンツスイッチング仮想サーバーは、トラフィックを受信し、内部的に適切な仮想サーバーに誘導する仮想サーバーであるため、コンテンツスイッチング機能が必要です。コンテンツスイッチング仮想サーバーは、Unified Gateway 機能のプライマリコンポーネントです。

11.0 より前のリリースでは、コンテンツスイッチングを使用して複数の仮想サーバのトラフィックを受信できます。その使用方法は Unified Gateway とも呼ばれますか

複数の仮想サーバーのトラフィックを受信するためのコンテンツスイッチ仮想サーバーの使用は、11.0 より前のリリースでサポートされています。ただし、コンテンツスイッチングでは、NetScaler Gateway 仮想サーバーにトラフィックを転送することはできません。

11.0の拡張により、コンテンツスイッチング仮想サーバーは、NetScaler Gateway 仮想サーバーを含む任意の仮想サーバーにトラフィックを転送できます。

Unified Gateway のコンテンツスイッチングポリシーで何が変わったのですか

  1. コンテンツスイッチングアクション用の新しいコマンドラインパラメータ「-targetVServer」が追加されました。新しいパラメーターは、ターゲットのNetScaler Gateway 仮想サーバーを指定するために使用されます。例:

    add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

    NetScaler Gateway 構成ユーティリティでは、コンテンツスイッチングアクションに新しいオプション「ターゲット仮想サーバー」が追加されました。このオプションは、NetScaler Gateway 仮想サーバーを参照できます。

  2. 新しい高度なポリシー式is_vpn_urlを使用して、NetScaler Gateway および認証固有のリクエストを照合できます。

Unified Gatewayで現在サポートされていないNetScaler Gatewayの機能は何ですか?

Unified Gateway では、すべての機能がサポートされています。ただし、VPN プラグインを介したネイティブログオンでは、軽微な問題(問題 ID 544325)が報告されています。この場合、シームレスシングルサインオン (SSO) は機能しません。

Unified Gateway では、EPA スキャンの動作はどのようなものですか

Unified Gateway では、エンドポイント分析はNetScaler Gateway アクセス方法に対してのみトリガーされ、NetScaler ADC AAA TMアクセスではトリガーされません。NetScaler Gateway 仮想サーバーで認証が行われているにもかかわらず、ユーザーがNetScaler ADC AAA TM仮想サーバーにアクセスしようとすると、EPAスキャンはトリガーされません。ただし、ユーザがクライアントレス VPN/フル VPN アクセスを取得しようとすると、設定された EPA スキャンがトリガーされます。その場合は、認証またはシームレス SSO のいずれかが行われます。

Unified Gateway のライセンス要件は何ですか

Unified Gateway は、アドバンスドライセンスおよびプレミアムライセンスでのみサポートされます。NetScaler Gateway のみのライセンスエディションまたはスタンダードライセンスエディションでは使用できません。

Unified Gatewayで使用されるNetScaler Gateway 仮想サーバーには、IP/ポート/SSL構成が必要ですか?

Unified Gateway仮想サーバーで使用されるNetScaler Gateway 仮想サーバーの場合、NetScaler Gateway 仮想サーバーでIP/ポート/SSL構成は必要ありません。ただし、RDPプロキシ機能の場合、同じSSL/TLSサーバー証明書をNetScaler Gateway 仮想サーバーにバインドできます。

NetScaler Gateway 仮想サーバー上にあるSSL/TLS証明書を、Unified Gateway 仮想サーバーで使用するために再プロビジョニングする必要がありますか

NetScaler Gateway 仮想サーバーに現在バインドされている証明書を再プロビジョニングする必要はありません。既存の SSL 証明書を自由に再利用し、それらを Unified Gateway 仮想サーバーにバインドできます。

単一の URL とマルチホスト展開の違いは何ですか? どちらが必要ですか

単一の URL は、Unified Gateway 仮想サーバが 1 つの完全修飾ドメイン名 (FQDN) のトラフィックを処理する能力を指します。この制限は、証明書のサブジェクトに FQDN が入力された SSL/TLS サーバ証明書を Unified Gateway が使用する場合に存在します。例:ug.citrix.com

Unified Gateway がワイルドカードサーバ証明書を使用している場合、複数のサブドメインのトラフィックを処理できます。例:*.citrix.com

もう 1 つのオプションは、複数の SSL/TLS サーバー証明書のバインドを可能にするサーバー名インジケータ (SNI) 機能を備えた SSL/TLS 構成です。例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp

単一ホストと複数ホストは、Web サーバー (Apache HTTP サーバーや Microsoft インターネットインフォメーションサービス (IIS) など) で Web サイトが一般的にホストされる方法に似ています。単一のホストがある場合は、Apache でエイリアスまたは「仮想ディレクトリ」を使用する場合と同じ方法で、サイトパスを使用してトラフィックを切り替えることができます。複数のホストがある場合は、Apache で仮想ホストを使用する場合と同様に、ホストヘッダーを使用してトラフィックを切り替えます。

Unified Gateway ではどのような認証メカニズムを使用できますか

NetScaler Gateway と互換性のある既存の認証メカニズムはすべて、Unified Gateway とも互換性があります。

これには、LDAP、RADIUS、SAML、Kerberos、証明書ベースの認証などが含まれます。

アップグレード前にNetScaler Gateway 仮想サーバーで構成されている認証メカニズムは、NetScaler Gateway 仮想サーバーがUnified Gateway 仮想サーバーの背後に配置されたときに自動的に使用されます。アドレス指定不可能なIPアドレス(0.0.0.0)をNetScaler Gateway 仮想サーバーに割り当てる以外に、追加の構成手順は必要ありません。

「selfAuth」認証とは何ですか

selfAuth は、それ自体では認証タイプではありません。selfAuth は、URL の作成方法を記述します。VPN URL設定には 、新しいコマンドラインパラメータssotypeを使用できます。例:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

selfAuth は、 ssotype パラメータの値の 1 つです。このタイプの URL は、Unified Gateway 仮想サーバと同じドメインにないリソースにアクセスするために使用できます。この設定は、ブックマークを構成するときに構成ユーティリティで確認できます。

「StepUp」認証」って何ですか

NetScaler ADC AAA TMリソースにアクセスするために、より安全なレベルの認証が必要な場合は、StepUp認証を使用できます。コマンドラインで、authnProfile コマンドを使用して authenticationLevel パラメーターを設定します。例:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

この認証プロファイルは、負荷分散仮想サーバーにバインドされます。

ステップアップ認証はNetScaler ADC AAA TM仮想サーバーでサポートされていますか

はい、サポートされています。

login once/logout onceって何ですか

Login Once:VPNユーザーは、NetScaler ADC AAA TMまたはNetScaler Gateway仮想サーバーのいずれかに一度ログインします。それ以降、VPN ユーザーはすべてのエンタープライズ/クラウド/Web アプリケーションにシームレスにアクセスできます。ユーザは再認証される必要はありません。ただし、再認証は、NetScaler ADC AAA TM StepUp などの特殊なケースに対して行われます。

Logout Once:最初のNetScaler ADC AAA TMまたはNetScaler Gatewayセッションが作成された後、そのユーザーの後続のNetScaler ADC AAA TMまたはNetScaler Gatewayセッションを作成するために使用されます。これらのセッションのいずれかがログアウトすると、NetScaler ADCアプライアンスはユーザーの他のアプリケーションまたはセッションもログアウトします。

負荷分散仮想サーバーレベルでNetScaler ADC AAA TM負荷分散仮想サーバー固有の認証バインドを使用して、共通の認証ポリシーをUnified Gatewayレベルで指定できますか? このユースケースをサポートするための構成手順を教えてください

Unified Gateway の背後にあるNetScaler ADC AAA TM仮想サーバーに個別の認証ポリシーを指定する必要がある場合は、個別のアドレス指定可能な認証仮想サーバーが必要です(通常のNetScaler ADC AAA TM構成と同様)。負荷分散仮想サーバーの認証ホスト設定は、この認証仮想サーバーを指し示す必要があります。

バインドされたNetScaler ADC AAA TM仮想サーバーが独自の認証ポリシーを持つように、Unified Gatewayをどのように構成しますか

このシナリオでは、負荷分散サーバーで、NetScaler ADC AAA TM仮想サーバーを指すように認証FQDNオプションを設定する必要があります。NetScaler ADC AAA TM仮想サーバーは、独立したIPアドレスを持っており、NetScaler ADCおよびクライアントから到達可能である必要があります。

NetScaler ADC AAA TM認証仮想サーバーは、Unified Gateway 仮想サーバーを介して来るユーザーを認証するために必要ですか?

なしNetScaler Gateway 仮想サーバーは、NetScaler ADC AAA TM ユーザーも認証します。

NetScaler Gateway 認証ポリシーは、Unified Gateway 仮想サーバーまたはNetScaler Gateway 仮想サーバーでどこで指定しますか

認証ポリシーは、NetScaler Gateway 仮想サーバーにバインドされます。

Unified Gateway コンテンツスイッチング仮想サーバーの背後にあるNetScaler ADC AAA TM仮想サーバーで認証を有効にするにはどうすればよいですか

NetScaler ADC AAA TM で認証を有効にし、認証ホストをUnified Gateway コンテンツスイッチング FQDN にポイントします。

コンテンツスイッチの後ろに TM 仮想サーバーを追加する方法 (単一の URL とマルチホスト)

単一のURLに対してNetScaler ADC AAA TM仮想サーバーを追加することと、複数のホストに追加することには違いはありません。いずれの場合も、仮想サーバーはコンテンツスイッチングアクションのターゲットとして追加されます。単一の URL とマルチホストの違いは、コンテンツスイッチングポリシールールによって実装されます。

仮想サーバーがUnified Gateway 仮想サーバーの背後に移動された場合、NetScaler ADC AAA TM負荷分散仮想サーバーにバインドされた認証ポリシーはどうなりますか?

認証ポリシーは認証仮想サーバーにバインドされ、認証仮想サーバーは負荷分散仮想サーバーにバインドされます。Unified Gateway仮想サーバーの場合、NetScaler Gateway 仮想サーバーを単一の認証ポイントとして使用することをお勧めします。これにより、認証仮想サーバーで認証を実行する必要がなくなります(または特定の認証仮想サーバーの必要性さえあります)。認証ホストをUnified Gateway仮想サーバーのFQDNを指すようにすることで、NetScaler Gateway 仮想サーバーによって認証が行われることが保証されます。認証ホストに Unified Gateway のコンテンツスイッチングをポイントし、まだ認証仮想サーバがバインドされている場合、認証仮想サーバにバインドされた認証ポリシーは無視されます。ただし、認証ホストを独立したアドレス指定可能な認証仮想サーバーを指す場合、バインドされた認証ポリシーが有効になります。

NetScaler ADC AAA TMセッションのセッションポリシーをどのように構成しますか?

Unified Gateway で、NetScaler ADC AAA TM仮想サーバーに認証仮想サーバーが指定されていない場合、NetScaler ADC AAA TMセッションはNetScaler Gatewayセッションポリシーを継承します。認証仮想サーバーが指定されている場合、その仮想サーバーにバインドされたNetScaler ADC AAA TMセッションポリシーが適用されます。

NetScaler ADC 11.0のNetScaler Gatewayポータルの変更点は何ですか?

11.0より前のNetScaler ADCリリースでは、グローバルレベルで単一のポータルのカスタマイズを設定できます。特定のNetScaler ADCアプライアンス内のすべてのゲートウェイ仮想サーバーは、グローバルポータルのカスタマイズを使用します。

NetScaler ADC 11.0では、ポータル・テーマ機能を使用して、複数のポータル・テーマを設定できます。テーマはグローバルにバインドすることも、特定の仮想サーバーにバインドすることもできます。

NetScaler ADC 11.0はNetScaler Gatewayポータルのカスタマイズをサポートしていますか

構成ユーティリティーを使用して、新しいポータル・テーマ機能を使用して、ポータル・テーマを完全にカスタマイズおよび作成できます。さまざまな画像をアップロードしたり、配色を設定したり、テキストラベルを変更したりすることができます。

カスタマイズ可能なポータルページは次のとおりです。

  • ログインページ
  • エンドポイント分析ページ
  • エンドポイント分析エラーページ
  • ポストエンドポイント分析ページ
  • VPN 接続ページ
  • ポータルのホームページ

このリリースでは、独自のポータル設計でNetScaler Gateway 仮想サーバーをカスタマイズできます。

ポータル・テーマは、NetScaler ADCの高可用性またはクラスター展開でサポートされていますか?

はい。ポータルのテーマは、NetScaler ADCの高可用性およびクラスター展開でサポートされています。

カスタマイズは、NetScaler ADC 11.0アップグレードプロセスの一環として移行されますか?

なしrc.conf/rc.netscalerファイルの変更または10.1/10.5のカスタムテーマ機能を使用して呼び出されたNetScaler Gateway ポータルページに対する既存のカスタマイズは、NetScaler ADC 11.0へのアップグレード時に自動的に移行されません。

NetScaler ADC 11.0のポータルテーマの準備をするために従うべきアップグレード前の手順はありますか

既存のカスタマイズは、rc.conf ファイルまたは rc.netscaler ファイルから削除する必要があります。

もう 1 つのオプションは、カスタムテーマを使用する場合は、[デフォルト] 設定を割り当てる必要があることです:

  1. 構成]>[NetScaler Gateway]>[グローバル設定]に移動します

  2. [ グローバル設定の変更] をクリックします。

  3. [ クライアントエクスペリエンス ] をクリックし、[ UI テーマ ] リストから [ デフォルト ] を選択します。

rc.confまたはrc.netscalerによって呼び出されるNetScaler ADCインスタンスに保存されているカスタマイズがあります。ポータル・テーマに移動するにはどうすればよいですか

Citrix ナレッジセンターの記事CTX126206には 、10.0ビルド73.5001.eまでのNetScaler ADC 9.3および10.0リリースのこのような構成について詳しく説明しています。NetScaler ADC 10.0ビルド10.0 73.5002.e(10.1および10.5を含む)以降、UITHEME CUSTOMパラメータを使用して、再起動後もカスタマイズを保持できるようになりました。カスタマイズがNetScaler ADCハードドライブに保存されており、これらのカスタマイズを引き続き使用する場合は、11.0 GUIファイルをバックアップし、既存のカスタムテーマファイルに挿入します。 ポータルのテーマに移動する場合は、まず [クライアントエクスペリエンス] の [グローバル設定] または [セッションプロファイル] で UITHEME パラメーターの設定を解除する必要があります。または、DEFAULT または GREENBUBBBLE に設定することもできます。その後、ポータル・テーマの作成とバインドを開始できます。

NetScaler ADC 11.0にアップグレードする前に、現在のカスタマイズをエクスポートして保存するにはどうすればよいですか? エクスポートしたファイルを別のNetScaler ADCアプライアンスに移動できますか?

ns_gui_custom フォルダにアップロードされたカスタマイズファイルは、ディスク上に保存され、アップグレード後も保持されます。ただし、これらのファイルは、新しいNetScaler ADC 11.0カーネルおよびカーネルの一部である他のGUIファイルと完全に互換性があるとは限りません。したがって、11.0のGUIファイルをバックアップし、バックアップをカスタマイズすることをお勧めします。

さらに、構成ユーティリティには、 ns_custom_guiフォルダーを別のCitrix ADCアプライアンスにエクスポートするユーティリティはありません。SSHまたはWinSCPなどのファイル転送ユーティリティを使用して、NetScaler ADCインスタンスからファイルを削除します。

ポータル・テーマは、NetScaler ADC AAA TM 仮想サーバーでサポートされていますか

はい。ポータル・テーマは、NetScaler ADC AAA TM 仮想サーバーでサポートされています。

NetScaler Gateway 11.0のRDPプロキシ機能の変更点は何ですか?

NetScaler ADC 10.5.e拡張リリース以降、RDPプロキシに多くの機能強化が加えられました。NetScaler ADC 11.0では、この機能は最初にリリースされたビルドから利用できます。

ライセンスの変更

NetScaler ADC 11.0のRDPプロキシ機能は、プレミアムエディションとアドバンスドエディションでのみ使用できます。Citrix 同時ユーザー(CCU)ライセンスは、ユーザーごとに取得する必要があります。

コマンドを有効にする

NetScaler ADC 10.5.eでは、RDPプロキシを有効にするコマンドはありませんでした。NetScaler ADC 11.0では、有効コマンドが追加されました:

enable feature rdpproxy
<!--NeedCopy-->

このコマンドを実行するには、機能のライセンスが必要です。

RDP プロキシのその他の変更

サーバプロファイルの事前共有キー(PSK)属性が必須になりました。

RDPプロキシ用の既存のNetScaler ADC 10.5.e構成をNetScaler ADC 11.0に移行するには、次の詳細を理解し、対処する必要があります。

管理者が既存の RDP プロキシ構成を選択した Unified Gateway 展開に追加する場合は、次の手順を実行します:

  • NetScaler Gateway 仮想サーバーのIPアドレスを編集し、アドレス指定できないIPアドレス(0.0.0.0)に設定する必要があります。
  • SSL/TLSサーバー証明書、認証ポリシーは、選択したUnified Gatewayフォーメーションの一部であるNetScaler Gateway 仮想サーバーにバインドする必要があります。

NetScaler ADC 10.5.eに基づくリモートデスクトッププロトコル(RDP)プロキシ構成をNetScaler ADC 11.0にどのように移行しますか

オプション1:プレミアムライセンスまたはアドバンスドライセンスを使用して、RDPプロキシ構成の既存のNetScaler Gateway 仮想サーバーをそのまま維持します。

オプション2:RDPプロキシ構成で既存のNetScaler Gateway 仮想サーバーを移動し、Unified Gateway 仮想サーバーの背後に配置します。

オプション3:RDPプロキシ構成を持つスタンドアロンのNetScaler Gateway 仮想サーバーを既存のStandard Editionアプライアンスに追加します。

NetScaler ADC 11.0リリースを使用して、RDPプロキシ構成用にNetScaler Gateway をどのようにセットアップしますか

NS 11.0 リリースを使用して RDP プロキシを展開するには、次の 2 つのオプションがあります:

  1. 外部に面したNetScaler Gateway 仮想サーバーを使用する。これには、NetScaler Gateway 仮想サーバーに対して外部から見えるIPアドレス/FQDNが1つ必要です。このオプションは、NetScaler ADC 10.5.eで利用可能なものです。

  2. Unified Gateway 仮想サーバーを使用して、NetScaler Gateway 仮想サーバーをフロントエンドにします。

オプション2では、NetScaler Gateway 仮想サーバーはアドレス指定不可能なIPアドレス(0.0.0.0)を使用するため、独自のIPアドレス/FQDNを必要としません。

HDX Insight はUnified Gateway と互換性がありますか

NetScaler GatewayをUnified Gateway で展開する場合は、次の条件を満たす必要があります。

  • NetScaler Gateway 仮想サーバーには、有効なSSL証明書がバインドされている必要があります。

  • HDX Insightのレポートを作成するために、NetScaler ADM でAppFlowレコードを生成するには、NetScaler Gateway仮想サーバーが稼働状態になっている必要があります。

既存のHDX Insight構成を移行するにはどうすればよいですか

移行は必要ありません。NetScaler Gateway 仮想サーバーがUnified Gateway ゲートウェイ仮想サーバーの背後に配置されている場合、NetScaler Gateway 仮想サーバーにバインドされたAppFlowポリシーが引き継がれます。

NetScaler Gateway仮想サーバーのNetScaler ADM 上の既存のデータについては、次の2つの可能性があります:

  • NetScaler Gateway 仮想サーバーのIPアドレスがUnified Gatewayへの移行の一環としてUnified Gateway 仮想サーバーに割り当てられている場合、データはCitrix Unified Gateway ateway 仮想サーバーにリンクされたままになります
  • Unified Gateway 仮想サーバーに別のIPアドレスが割り当てられている場合、NetScaler Gateway 仮想サーバーからのAppFlowデータはその新しいIPアドレスにリンクされます。したがって、既存のデータは新しいデータの一部ではありません。
Unified Gateway に関するよくある質問

この記事の概要