-
NetScaler Gateway アプライアンスのインストールと構成
-
-
NetScaler Gateway アプライアンスでのVPN構成
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ステートレス RDP プロキシ
ステートレス RDP プロキシは RDP ホストにアクセスします。ユーザーが別のNetScaler Gateway Authenticatorで認証すると、NetScaler Gateway上のRDPListenerを介してアクセスが許可されます。NetScaler Gateway用にRDPListenerに必要な情報は、STAサーバーに安全に保存されます。STAサーバーは、NetScaler Gateway およびアプリケーション列挙サーバーが到達できる限り、どこにでも配置できます。詳細については、https://support.citrix.com/article/CTX101997を参照してください。
接続フロー
RDP プロキシフローには 2 つの接続が含まれます。最初の接続は、NetScaler Gateway VIPへのユーザーのSSL VPN接続と、RDPリソースの列挙です。
2番目の接続は、NetScaler Gateway 上のRDPリスナー(RDPIPおよびrdpPortを使用して構成)へのネイティブRDPクライアント接続と、その後のRDPクライアントのサーバーパケットへの安全なプロキシです。
-
ユーザはAuthenticator Gateway VIP に接続し、クレデンシャルを提供します。
-
ゲートウェイへのログインに成功すると、ユーザーはホームページ/外部ポータルにリダイレクトされます。このポータルには、ユーザーがアクセスできるリモートデスクトップリソースが列挙されます。
-
ユーザーが RDP リソースを選択すると、Authenticator Gateway VIP によって、ユーザーがクリックした公開リソースを示す形式
https://AGVIP/rdpproxy/ip:port/rdptargetproxyで要求が受信されます。この要求には、ユーザーが選択した RDP サーバーの IP およびポートに関する情報が含まれます。 -
Authenticator Gatewayは /rdpproxy/ 要求を処理します。ユーザはすでに認証されているため、この要求には有効なゲートウェイ Cookie が付属しています。
-
RDPTargetとRDPUserの情報は STA サーバに保存され、STA チケットが生成されます。情報は XML BLOB として格納され、設定済みの事前共有キーを使用してオプションで暗号化されます。暗号化されている場合、BLOB は base64 でエンコードされて格納されます。Authenticator Gatewayは、ゲートウェイ仮想サーバ上に構成されている STA サーバの 1 つを使用します。 -
XML BLOB の形式は次のとおりです。
<Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>n <Value name=”`Username`”>username</Value>\n<Value name=”Password”>pwd</Value> <!--NeedCopy--> -
/rdpproxy/ リクエストで取得された
rdptargetproxyは’fulladdress’ として配置され、STA チケット (STA AuthID の前に) がloadbalanceinfoとして.rdp ファイルに配置されます。 -
.rdpファイルはクライアントのエンドポイントに送り返されます。 -
ネイティブ RDP クライアントが起動し、
RDPListener Gatewayに接続します。STA チケットは最初の x.224 パケットで送信されます。 -
RDPListener GatewayはSTAチケットを検証し、RDPTargetおよびRDPUser情報を取得します。使用する STA サーバは、loadbalanceinfoに存在する「AuthID」を使用して取得されます。 -
Gateway セッションは、承認/監査ポリシーを格納するために作成されます。ユーザーのセッションが存在する場合、そのセッションは再利用されます。
-
RDPListener GatewayはRDPTargetに接続し、CREDSSP を使用してシングルサインオンします。
前提条件
-
ユーザーはNetScaler Gateway Authenticatorで認証されます。
-
最初の /rdpproxy URL と RDP クライアントは、別の
RDPListener NetScaler Gatewayに接続されています。 -
STA サーバを使用するAuthenticator Gatewayは、
RDPListener Gateway情報を安全に渡します。
CLI を使用したステートレス RDP プロキシの設定
-
rdpServerプロファイルを追加します。サーバプロファイルはRDPListener Gatewayで設定されます。注:
- RDPSServer プロファイルが VPN 仮想サーバーで設定されると、変更できません。また、同じ ServerProfile を別の VPN 仮想サーバーで再利用することはできません。
add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA]. <!--NeedCopy-->次のコマンドを使用して、VPN 仮想サーバーの RDP サーバープロファイルを設定します。
add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile] <!--NeedCopy-->例
add vpn vserver v1 SSL 1.1.1.1 443 -rdpServerProfile rdp_server_prof <!--NeedCopy-->重要:
-
同じ STA サーバーを RDP 認証ゲートウェイとリスナーゲートウェイの両方にバインドする必要があります。
-
ステートレス RDP プロキシの場合、STA サーバーは RDP クライアントから送信された STA チケットを検証して、RDP ターゲットサーバーと RDP ユーザーの情報を取得します。VPN 仮想サーバーに加えて STA サーバーをバインドする必要があります。次の例では、RDP ターゲットサーバーは 1.1.1.0 で、RDP リスナーゲートウェイ仮想サーバー 1.1.1.2 です。
add vpn url url4 RDP2 "rdp://1.1.1.0/1.1.1.2:443" <!--NeedCopy-->
次のコマンドを使用して、オーセンティケータ Gateway のクライアントプロファイルを設定します。
add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]
[-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
[-rdpCookieValidity <positive_integer>][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams <string>]
<!--NeedCopy-->
—rdpHost設定は、単一のゲートウェイ展開で使用されます。pskのみ は必須の引数で、RDP リスナーゲートウェイの RDP サーバープロファイルに追加された PSK と同じ PSK でなければなりません。
- RDP プロファイルを VPN 仮想サーバに関連付けます。
RDP プロファイルを関連付けるには、SessionAction+SessionPolicy を設定するか、グローバル VPN パラメータを設定します。
例:
add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>
add vpn sessionpolicy <polname> NS_TRUE <actname>
bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
<!--NeedCopy-->
または
set vpn parameter –rdpClientprofile <name>
<!--NeedCopy-->
GUI を使用してステートレス RDP プロキシを構成する
ステートレス RDP プロキシの設定には、次の高レベルの手順が含まれます。詳細な手順については、「 RDP プロキシの設定」を参照してください。
- RDP サーバープロファイルを作成する
- RDP クライアントプロファイルを作成する
- 仮想サーバーの作成
- ブックマークを作成する
- セッションプロファイルまたはポリシーを作成または編集する
- ブックマークをバインドする
重要:
ステートレス RDP プロキシの場合は、VPN 仮想サーバーに加えて STA サーバーをバインドする必要があります。
接続カウンタ
新しい接続カウンタ ns_rdp_tot_curr_active_conn が追加されました。これは、使用中のアクティブな接続数の記録を保持します。これは、NetScaler ADCシェルのnsconmsgコマンドの一部として表示できます。これらのカウンタを表示する CLI コマンドは、後で追加される予定です。
アップグレードノート
以前VPN仮想サーバー上で構成されていた rdpIP と rdpPort は、rdpServerProfile の一部です。rdp Profileの名前がrdp ClientProfileに変更され、パラメータ clientSSL が削除されます。したがって、以前の設定は機能しません。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.