サーバー起動接続を構成する
IPアドレスが有効なNetScaler Gateway にログオンしたユーザーごとに、DNSサフィックスがユーザー名に追加され、DNSアドレスレコードがアプライアンスのDNSキャッシュに追加されます。この手法は、ユーザの IP アドレスではなく DNS 名をユーザに提供するのに役立ちます。
IPアドレスがユーザーのセッションに割り当てられると、内部ネットワークからユーザーのデバイスに接続できます。たとえば、リモートデスクトップまたは仮想ネットワークコンピューティング (VNC) クライアントを使用して接続しているユーザーは、問題のあるアプリケーションを診断するためにユーザーデバイスにアクセスできます。また、リモートでログオンしている内部ネットワークIPアドレスを持つ2人のNetScaler Gateway ユーザーが、NetScaler Gateway を介して相互に通信することも可能です。アプライアンスでログオンしているユーザーの内部ネットワーク IP アドレスの検出を許可すると、この通信が補助されます。
リモートユーザーは、次のpingコマンドを使用して、NetScaler Gateway にログオンできるユーザーの内部ネットワークIPアドレスを検出できます。
ping \<username.domainname\>
サーバーは、次のさまざまな方法でユーザーデバイスへの接続を開始できます:
-
TCP または UDP 接続。接続は、内部ネットワーク内の外部システム、またはNetScaler Gateway にログオンしている別のコンピューターから発生します。NetScaler Gateway にログオンした各ユーザーデバイスに割り当てられた内部ネットワークIPアドレスは、これらの接続に使用されます。NetScaler Gateway がサポートするさまざまな種類のサーバー起動接続について説明します。 TCP または UDP サーバー起動接続の場合、サーバーはユーザーデバイスの IP アドレスとポートに関する予備知識を持ち、それに接続します。NetScaler Gateway はこの接続を傍受します。
次に、ユーザーデバイスはサーバーへの初期接続を行い、サーバーは、既知または最初に構成されたポートから派生したポートでユーザーデバイスに接続します。
このシナリオでは、ユーザーデバイスはサーバーへの初期接続を行い、この情報が埋め込まれているアプリケーション固有のプロトコルを使用して、サーバーとポートと IP アドレスを交換します。これにより、NetScaler Gateway は、アクティブなFTP接続などのアプリケーションをサポートできるようになります。
-
Port コマンド。これは、アクティブな FTP および特定の Voice over IP プロトコルで使用されます。
-
プラグイン間の接続。NetScaler Gateway は、内部ネットワークIPアドレスを使用したプラグイン間の接続をサポートします。
このタイプの接続では、同じNetScaler Gateway を使用する2つのNetScaler Gateway ユーザーデバイスが相互に接続を開始できます。このタイプの例としては、Office Communicator や Yahoo! メッセンジャー。
ユーザーがNetScaler Gateway からログオフし、ログオフ要求がアプライアンスに到達しなかった場合、ユーザーは任意のデバイスを使用して再度ログオンし、以前のセッションを新しいセッションに置き換えることができます。この機能は、ユーザごとに 1 つの IP アドレスが割り当てられる展開で役立つ場合があります。
ユーザーがNetScaler Gateway に初めてログオンすると、セッションが作成され、IPアドレスがユーザーに割り当てられます。ユーザーがログオフしてもログオフ要求が失われた場合、またはユーザーデバイスがクリーンログオフを実行できない場合、セッションはシステム上で維持されます。ユーザーが同じデバイスまたは別のデバイスから再度ログオンしようとすると、認証が成功すると、[ログオン転送]ダイアログボックスが表示されます。ユーザーがログオンの転送を選択すると、NetScaler Gateway 上の以前のセッションが閉じられ、新しいセッションが作成されます。ログオンの転送は、ログオフ後 2 分間だけアクティブになります。複数のデバイスから同時にログオンを試みた場合は、最後のログオン試行で元のセッションが置き換えられます。
サーバーが開始する接続のプライベートポート範囲の設定
Citrix Secure Accessクライアントのリリース23.10.1.7以降、サーバー開始接続(SIC)用に49152から64535までのプライベートポートを構成できます。 プライベートポートを構成することで、ポートを使用してCitrix Secure Accessクライアントとクライアントマシン上のサードパーティアプリとの間でソケットを作成するときに発生する可能性のある競合を回避できます。これは WFP ドライバが使用されている場合にのみ適用されます。
SicBeginPort
Windows VPN レジストリを使用してプライベートポートを構成できます。または、NetScalerのVPNプラグインカスタマイズJSONファイルを使用してプライベートポート範囲を構成することもできます。
サーバーが接続を開始すると、Citrix Secure AccessクライアントはSicBeginPort
Windows VPNレジストリから始まる最初の1000個のポートを使用してソケットを作成します。レジストリがクライアントマシン上で構成されている場合、レジストリ設定はNetScaler JSON設定よりも優先されます。
以下は、NetScaler上のVPNプラグインJSON構成の例です:
root@ADC# cat /var/netscaler/gui/vpn/pluginCustomization.json
{"SicBeginPort" : 51000}
<!--NeedCopy-->
レジストリ設定について詳しくは、「 NetScaler Gateway Windows VPNクライアントのレジストリキー」を参照してください。
注:
ソケットの作成に使用されるデフォルトのポート範囲は 62500 ~ 63500 です。