アドレスプールの設定
状況によっては、Citrix Secure Accessクライアントに接続するユーザーがNetScaler Gatewayに固有のIPアドレスが必要になることがあります。たとえば、Samba 環境では、マップされたネットワークドライブに接続する各ユーザーは、異なる IP アドレスから発信されているように見える必要があります。グループのアドレスプール(IPプーリングとも呼ばれる)を有効にすると、NetScaler Gateway は各ユーザーに一意のIPアドレスエイリアスを割り当てることができます。
アドレスプールは、イントラネット IP アドレスを使用して構成します。次のタイプのアプリケーションでは、IP プールから取得された一意の IP アドレスを使用する必要がある場合があります。
- ボイスオーバー IP
- アクティブFTP
- インスタントメッセージング
- セキュアシェル (SSH)
- コンピュータのデスクトップに接続するための仮想ネットワークコンピューティング (VNC)
- クライアントデスクトップに接続するためのリモートデスクトップ (RDP)
NetScaler Gateway に接続するユーザーに内部IPアドレスを割り当てるように、NetScaler Gateway を構成できます。固定 IP アドレスをユーザーに割り当てることも、IP アドレスの範囲をグループ、仮想サーバー、またはシステムにグローバルに割り当てることもできます。
NetScaler Gateway では、内部ネットワークのIPアドレスをリモートユーザーに割り当てることができます。内部ネットワークの IP アドレスは、リモートユーザをアドレス指定することができます。IP アドレスの範囲を使用することを選択した場合、システムはオンデマンドでその範囲の IP アドレスをリモートユーザに動的に割り当てます。
アドレスプールを設定するときは、次の点に注意してください。
- 割り当てられた IP アドレスは正しくルーティングされる必要があります。正しいルーティングを確実に行うには、次の点を考慮してください。
- 分割トンネリングを有効にしない場合は、IP アドレスが Network Address Translation(NAT; ネットワークアドレス変換)デバイスを介してルーティングできることを確認してください。
- イントラネット IP アドレスを持つユーザー接続によってアクセスされるサーバーには、それらのネットワークに到達するための適切なゲートウェイが構成されている必要があります。
- ユーザーソフトウェアからのネットワークトラフィックが内部ネットワークにルーティングされるように、NetScaler Gateway でゲートウェイまたは静的ルートを構成します。
- IP アドレス範囲を割り当てるときは、連続したサブネットマスクだけを使用できます。範囲のサブセットは、下位レベルのエンティティに割り当てることができます。たとえば、IP アドレス範囲が仮想サーバーにバインドされている場合は、範囲のサブセットをグループにバインドします。
- IP アドレス範囲は、バインドレベル内の複数のエンティティにバインドできません。たとえば、グループにバインドされているアドレス範囲のサブセットを 2 番目のグループにバインドすることはできません。
- NetScaler Gateway では、ユーザーセッションでアクティブに使用されているIPアドレスを削除またはバインド解除することはできません。
- 内部ネットワーク IP アドレスは、次の階層を使用してユーザーに割り当てられます。
- ユーザーのダイレクトバインディング
- グループ割り当てアドレスプール
- 仮想サーバ割り当てアドレスプール
- グローバルアドレス範囲
- アドレス範囲の割り当てに使用できるのは、連続したサブネットマスクだけです。ただし、割り当てられた範囲のサブセットは、下位レベルのエンティティにさらに割り当てられる場合があります。
バインドされたグローバルアドレス範囲には、次の範囲をバインドできます。
- 仮想サーバー
- グループ
- ユーザー
- バインドされた仮想サーバーのアドレス範囲には、次のサブセットをバインドできます。
- グループ
- ユーザー
バインドされたグループアドレス範囲は、ユーザーにバインドされたサブセットを持つことができます。
IP アドレスがユーザーに割り当てられると、アドレスプールの範囲がなくなるまで、そのアドレスはユーザーの次回のログオン用に予約されます。アドレスが使い果たされると、NetScaler Gateway は、NetScaler Gateway から最も長くログオフしたユーザーのIPアドレスを再利用します。
アドレスを再利用できず、すべてのアドレスがアクティブに使用されている場合、NetScaler Gateway はユーザーのログオンを許可しません。この状況を回避するには、他のすべてのIPアドレスが使用できない場合に、NetScaler Gateway でマップされたIPアドレスをイントラネットIPアドレスとして使用できるようにします。
イントラネット IP DNS 登録
イントラネット IP がクライアントマシンに割り当てられ、VIP トンネルの確立後に、VPN プラグインは、そのクライアントマシンがドメインに参加しているかどうかをチェックします。クライアントマシンがドメインに参加しているマシンの場合、VPN プラグインは DNS 登録プロセスを開始して、マシンのホスト名イントラネットと割り当てられたイントラネット IP アドレスを結び付けます。この登録は、トンネルの確立解除前に元に戻されます。
DNS 登録を正常に行うには、次のnsapimgr
ノブが設定されていることを確認してください。また、権限のあるDNSサーバーが「非セキュア」DNS更新を許可するように設定されていることも確認してください。
-
nsapimgr
-ys enable_vpn_dns_override=1: このフラグは、他の構成パラメータとともにNetScaler Gateway VPNクライアントに送信されます。このフラグが設定されていない状態でVPNクライアントがDNS/WINS要求をインターセプトすると、対応する「GET/DNS」HTTP要求をトンネル経由でNetScaler Gateway仮想サーバーに送信し、解決されたIPアドレスを取得します。ただし、「enable_vpn_dnstruncate_fix」フラグが設定されている場合、VPNクライアントはDNS/WINS要求をNetScaler Gateway仮想サーバーに透過的に転送します。この場合、DNSパケットはVPNトンネルを介してそのままNetScaler Gateway仮想サーバーに送信されます。これは、NetScaler Gateway で構成されたネームサーバーから返されるDNSレコードが大きく、UPD応答パケットに収まらない場合に役立ちます。この場合、クライアントがTCP-DNSを使用するようフォールバックすると、このTCP-DNSパケットはそのままNetScaler Gatewayサーバーに到達するため、NetScaler GatewayサーバーはDNSサーバーにTCP-DNSクエリを行います。 -
nsapimgr-ys enable_vpn_dnstruncate_fix=1: このフラグは NetScaler Gateway サーバー自体によって使用されます。このフラグが設定されている場合、NetScaler Gateway は「DNSポート上のTCP接続」の宛先を、(受信TCP-DNSパケットに元々存在していたDNSサーバーIPに送信しようとするのではなく)NetScaler Gatewayで構成されたDNSサーバーに上書きします。UDP DNS 要求の場合、デフォルトでは、DNS 解決用に設定された DNS サーバが使用されます。Windows用NetScaler Gateway プラグインは、セキュアなDNSアップデートと非セキュアなDNS 21.7.1.1 以降のビルドでは、セキュア DNS 更新サポートがデフォルトで存在します。
Windows プラグインのセキュア DNS アップデートは、デフォルトでは無効になっています。有効にするには、
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access
にREG_DWORD 型の値を作成して 1 に設定します。- 値を 1 に設定すると、VPN プラグインはセキュリティで保護されていない DNS アップデートを最初に試みます。セキュリティで保護されていない DNS の更新が失敗した場合、VPN プラグインは安全な DNS の更新を試みます。
- セキュリティで保護された DNS アップデートのみを試すには、値を 2 に設定します。
これらのノブの設定の詳細については、「https://support.citrix.com/article/CTX200243」を参照してください。
ユーザー、グループ、または仮想サーバーのアドレスプールを構成する
- 構成ユーティリティのナビゲーションペインで、[ NetScaler Gateway]を展開し、次のいずれかの操作を行います。
- 「NetScaler Gateway ユーザー管理」を展開し、「 AAAユーザー」をクリックします。
- 「 NetScaler Gateway 」>「 ユーザー管理 」を展開し、「 AAAグループ」をクリックします。
- 「 NetScaler Gateway 」を展開し、「 仮想サーバー」をクリックします。
- 詳細ウィンドウで、ユーザー、グループ、または仮想サーバーをクリックし、[ 開く] をクリックします。
- [ イントラネット IP ] タブの [IP アドレスとネットマスク] に IP アドレスとサブネットマスクを入力し、[ 追加] をクリックします。
- プールに追加するIPアドレスごとに手順3を繰り返し、[ OK]をクリックします。
アドレスプールをグローバルに設定
- 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ NetScaler Gateway ]を展開し、[ グローバル設定]をクリックします。
- 詳細ペインの[ イントラネットIP]で、[すべてのクライアントNetScaler Gateway セッションで使用する一意の静的IPアドレスまたはIPアドレスのプールを割り当てるには、イントラネットIPを構成します]をクリックします。
- [ イントラネット IP のバインド ] ダイアログボックスで、[ 操作]、 [ 挿入] の順にクリックします。
- [IP アドレスとネットマスク] に IP アドレスとサブネットマスクを入力し、[ 追加] をクリックします。
- プールに追加するIPアドレスごとに手順3と4を繰り返し、[ OK]をクリックします。
アドレスプールオプションの定義
セッションポリシーまたはグローバルNetScaler Gateway 設定を使用して、ユーザーセッション中にイントラネットIPアドレスを割り当てるかどうかを制御できます。アドレスプールオプションを定義すると、イントラネットIPアドレスをNetScaler Gateway に割り当てる一方で、特定のユーザーグループのイントラネットIPアドレスの使用を無効にすることができます。
アドレスプールは、次の 3 つの方法のいずれかでセッションポリシーを使用して設定できます:
-
Nospillover
-イントラネット IP アドレスのアドレスプールを構成すると、プールから使用可能な IP を持つセッションが取得されます。使用可能なイントラネット IP アドレスをすべて使用したユーザーには、[ログオンの転送] ページが表示されます。 - スピルオーバー -アドレスプールを構成し、マッピング IP をイントラネット IP アドレスとして使用する場合、マップされた IP アドレスは、使用可能なすべてのイントラネット IP アドレスを使用したユーザーに使用されます。
- Off -アドレスプールは設定されていません。
注:
マッピング IP アドレスが設定されていない場合、SNIP が使用されます。
アドレスプールを定義するには
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[NetScaler Gateway]>[ポリシー]を展開し、[セッション]をクリックします。
- 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [ ネットワーク構成 ] タブで、[ 詳細設定] をクリックします。
- [イントラネット IP] の横にある [ グローバルを上書き ] をクリックし、オプションを選択します。
- 手順9で [ SPILLOVER ] を選択した場合は、[Mapped IP] の横にある [ Override Global] をクリックし、アプライアンスのホスト名を選択して [ OK] をクリックし、 [ 作成] をクリックします。
- 「 セッション・ポリシーの作成 」ダイアログ・ボックスで、式を作成します。[ 作成] をクリックし、 [ 閉じる] をクリックします。
「ログオンを転送」ページの設定
ユーザーがイントラネットIPアドレスを使用できず、NetScaler Gatewayとの別のセッションを確立しようとすると、[ログオン転送]ページが表示されます。ログオン転送ページでは、ユーザーは既存のNetScaler Gatewayセッションを新しいセッションに置き換えることができます。
ログオンの転送ページは、ログオフ要求が失われた場合や、ユーザーがクリーンログオフを実行しなかった場合にも使用できます。例:
- ユーザーには静的イントラネットIPアドレスが割り当てられ、既存のNetScaler Gateway セッションがあります。ユーザーが別のデバイスから 2 つ目のセッションを確立しようとすると、「ログオンの転送」ページが表示され、ユーザーはセッションを新しいデバイスに転送できます。
- ユーザーには5つのイントラネットIPアドレスが割り当てられ、NetScaler Gateway を介して5つのセッションがあります。ユーザーが 6 回目のセッションを確立しようとすると、「ログオンの転送」ページが表示され、ユーザーは既存のセッションを新しいセッションに置き換えることを選択できます。
メモ:
ユーザーに IP アドレスが割り当てられていないため、新しいセッションを確立できない場合、エラーメッセージが表示されます。
Citrix Secure Access for Android 23.12.1以降のバージョンでは、NetScaler Gatewayのログオン転送機能が常時接続VPNモードでサポートされています。
Transfer Logon ページは、アドレスプールを設定してスピルオーバーを無効にした場合にのみ表示されます。
DNS サフィックスを構成する
ユーザーがNetScaler Gateway にログオンし、IPアドレスが割り当てられると、ユーザー名とIPアドレスの組み合わせのDNSレコードがNetScaler Gateway DNSキャッシュに追加されます。DNS レコードがキャッシュに追加されたときにユーザー名に追加するように DNS サフィックスを構成できます。これにより、ユーザは DNS 名で参照され、IP アドレスよりも覚えやすくなります。ユーザーがNetScaler Gateway からログオフすると、レコードはDNSキャッシュから削除されます。
DNS サフィックスを構成するには
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[NetScaler Gateway]>[ポリシー]を展開し、[セッション]をクリックします。
- 詳細ペインの [ ポリシー ] タブで、セッションポリシーを選択し、[ 開く] をクリックします。
- 「リクエストプロファイル」の横にある「 変更」をクリックします。
- [ ネットワーク構成 ] タブで、[ 詳細設定] をクリックします。
- 「イントラネット IP DNS サフィックス」の横にある「グローバルを上書き」をクリックし、DNS サフィックスを入力して「OK」を 3 回クリックします。