アドレスプールの設定
場合によっては、Citrix Gatewayプラグインを使用して接続するユーザーに、Citrix Gateway用の一意のIPアドレスが必要です。たとえば、Samba環境では、マップされたネットワークドライブに接続する各ユーザーは、異なるIPアドレスから発信されているように見える必要があります。グループのアドレスプール(IPプールとも呼ばれます)を有効にすると、Citrix Gateway で各ユーザーに一意のIPアドレスエイリアスを割り当てることができます。
アドレスプールは、イントラネット IP アドレスを使用して構成します。次のタイプのアプリケーションでは、IP プールから取得される一意の IP アドレスを使用する必要があります。
- ボイスオーバー IP
- アクティブな FTP
- インスタントメッセージ
- セキュアシェル(SSH)
- コンピュータのデスクトップに接続するための仮想ネットワークコンピューティング(VNC)
- クライアントデスクトップに接続するためのリモートデスクトップ (RDP)
Citrix Gateway に接続するユーザーに内部IPアドレスを割り当てるようにCitrix Gatewayを構成できます。固定 IP アドレスをユーザに割り当てたり、グループ、仮想サーバ、またはシステムにグローバルに割り当てたりする IP アドレスの範囲を指定できます。
Citrix Gateway では、内部ネットワークのIPアドレスをリモートユーザーに割り当てることができます。リモートユーザは、内部ネットワーク上の IP アドレスでアドレス指定できます。IP アドレスの範囲を使用することを選択した場合、システムは要求に応じてその範囲の IP アドレスをリモートユーザに動的に割り当てます。
アドレスプールを設定する場合は、次の点に注意してください。
- 割り当てられた IP アドレスは正しくルーティングされる必要があります。正しいルーティングを行うために、次の点を考慮してください。
- 分割トンネリングを有効にしない場合は、IP アドレスを Network Address Translation(NAT; ネットワークアドレス変換)デバイス経由でルーティングできることを確認してください。
- イントラネット IP アドレスを持つユーザー接続によってアクセスされるサーバーには、それらのネットワークに到達するための適切なゲートウェイが構成されている必要があります。
- ユーザーソフトウェアからのネットワークトラフィックが内部ネットワークにルーティングされるように、Citrix Gateway でゲートウェイまたは静的ルートを構成します。
- IP アドレス範囲を割り当てるときは、連続したサブネットマスクだけを使用できます。範囲のサブセットは、下位レベルのエンティティに割り当てることができます。たとえば、IP アドレス範囲が仮想サーバにバインドされている場合は、範囲のサブセットをグループにバインドします。
- IP アドレス範囲は、バインディングレベル内の複数のエンティティにバインドすることはできません。たとえば、グループにバインドされているアドレス範囲のサブセットを 2 番目のグループにバインドすることはできません。
- Citrix Gateway では、ユーザーセッションでアクティブに使用されているIPアドレスを削除またはバインド解除することはできません。
- 内部ネットワーク IP アドレスは、次の階層を使用してユーザーに割り当てられます。
- ユーザーの直接バインド
- グループに割り当てられたアドレスプール
- 仮想サーバに割り当てられたアドレスプール
- アドレスのグローバル範囲
- アドレス範囲の割り当てに使用できるのは、連続したサブネットマスクだけです。ただし、割り当てられた範囲のサブセットは、さらに下位レベルのエンティティに割り当てられる場合があります。
バインドされたグローバルアドレス範囲は、次の範囲にバインドできます。
- 仮想サーバ
- グループ
- ユーザー
- バインドされた仮想サーバアドレス範囲は、次のサブセットにバインドできます。
- グループ
- ユーザー
バインドされたグループアドレス範囲は、ユーザーにバインドされたサブセットを持つことができます。
IP アドレスがユーザーに割り当てられると、アドレスプールの範囲がなくなるまで、ユーザーの次回のログオン用にアドレスが予約されます。アドレスが使い果たされると、Citrix Gateway からログオフしたユーザーのIPアドレスを最も長く再利用します。
アドレスを再利用できず、すべてのアドレスがアクティブに使用されている場合、Citrix Gateway はユーザーのログオンを許可しません。この状況を回避するには、他のすべてのIPアドレスが使用できない場合に、マッピングされたIPアドレスをイントラネットIPアドレスとして使用することをCitrix Gateway に許可します。
イントラネット IP DNS 登録
イントラネット IP がクライアントマシンに割り当てられ、VIP トンネルの確立後に、VPN プラグインはそのクライアントマシンがドメインに参加しているかどうかをチェックします。クライアントマシンがドメインに参加しているマシンの場合、VPN プラグインは DNS 登録プロセスを開始し、マシンのホスト名のイントラネットと割り当てられたイントラネット IP アドレスを結び付けます。この登録は、トンネルの確立解除前に元に戻されます。
DSN 登録を成功させるには、次の nsapimgr ノブが設定されていることを確認します。また、権限のある DNS サーバーが「セキュリティで保護されていない」DNS 更新を許可するように設定されていることを確認します。
-
nsapimgr-ys enable_vpn_dns_override=1:このフラグは、他の構成パラメータとともにNetScaler Gateway VPNクライアントに送信されます。このフラグが設定されていない場合、VPNクライアントがDNS/WINSリクエストをインターセプトすると、対応するGET/DNSHTTPリクエストをトンネル経由でNetScaler Gateway 仮想サーバーに送信し、解決されたIPアドレスを取得します。ただし、’enable_vpn_dnstruncate_fix’フラグが設定されている場合、VPNクライアントはDNS/WINS要求を透過的にNetScaler Gateway 仮想サーバーに転送します。この場合、DNSパケットはそのままVPNトンネルを介してNetScaler Gateway 仮想サーバーに送信されます。これは、NetScaler Gateway で構成されたネームサーバーから戻ってくるDNSレコードが大きく、UPD応答パケットに収まらない場合に役立ちます。この場合、クライアントがTCP-DNSを使用するようにフォールバックすると、このTCP-DNSパケットはそのままNetScaler Gateway サーバーに送信されるため、NetScaler GatewayサーバーはDNSサーバーに対してTCP-DNSクエリを実行します。
-
このフラグは、NetScaler Gateway サーバー自体によって使用されます。このフラグが設定されている場合、NetScaler Gateway は、「DNSポート上のTCP接続」の宛先をNetScaler Gatewayで構成されたDNSサーバーへの宛先を上書きします(元の着信TCP-DNSパケットに存在するDNSサーバーIPに送信する代わりに)。UDP DNS 要求の場合、デフォルトでは、設定された DNS サーバを DNS 解決に使用します。
これらのノブの設定の詳細については、https://support.citrix.com/article/CTX200243を参照してください。