ユーザー用のCitrix Secure Accessクライアントを選択してください
NetScaler Gateway を構成するときに、ユーザーのログオン方法を選択できます。ユーザーは、次のいずれかのプラグインを使用してログオンできます。
- Windows 用Citrix Secure Access クライアント
- macOS向けCitrix Secure Access クライアント
セッションポリシーを作成し、そのポリシーをユーザー、グループ、または仮想サーバーにバインドして、構成を完了します。グローバル設定を構成して、プラグインを有効にすることもできます。グローバルプロファイルまたはセッションプロファイル内で、プラグインタイプとして Windows または macOS X のいずれかを選択します。ユーザーがログオンすると、グローバルに、またはセッションプロファイルとポリシーで定義されているプラグインを受け取ります。プラグインタイプ用に個別のプロファイルを作成します。
プラグインをグローバルに構成する
- 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[NetScaler Gateway]を展開し、[ グローバル設定]をクリックします。
- 詳細ペインの [ 設定] で、[グローバル設定の変更] をクリックします。
- [クライアントエクスペリエンス]タブで、[プラグインの種類]の横にある[Windows/macOS X]を選択し、[OK]をクリックします。
セッションプロファイルで Windows または macOS のプラグインタイプを構成する
- 構成ユーティリティの [構成] タブのナビゲーションペインで、[ NetScaler Gateway] > [ポリシー ] を展開し、[セッション] をクリックします。
- 次のいずれかを行います:
- セッションポリシーを作成する場合は、詳細ペインで [ 追加] をクリックします。
- 既存のポリシーを変更する場合は、ポリシーを選択し、[ 開く] をクリックします。
- プロファイルを作成するか、既存のプロファイルを変更します。これを行うには、次のいずれかを実行します:
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- 「 リクエストプロファイル」の横にある「 変更」をクリックします。
- [ クライアントエクスペリエンス ] タブで、[ プラグインの種類] の横にある [ グローバルを上書き ] をクリックし、[ Windows/macOS X] を選択します。
- 次のいずれかを行います:
- プロファイルを作成する場合は、[ 作成] をクリックし、ポリシーダイアログボックスで式を設定し、[ 作成 ]、[ 閉じる] の順にクリックします。
- 既存のプロファイルを変更する場合は、選択後、「 OK」 を 2 回クリックします。
Windows 用Citrix Secure Access クライアント
ユーザーがNetScaler Gatewayにログオンすると、Citrix Secure Accessクライアントをユーザーデバイスにダウンロードしてインストールします。
プラグインをインストールするには、ユーザーがローカル管理者または Administrators グループのメンバーである必要があります。この制限は、初回のインストールにのみ適用されます。プラグインのアップグレードには、管理者レベルのアクセス権は必要ありません。
ユーザーがNetScaler Gateway に接続して使用できるようにするには、次の情報を提供する必要があります。
- NetScaler Gateway Webアドレス(例: https://NetScalerGatewayFQDN/
- エンドポイントリソースとポリシーを構成した場合、Citrix Secure Accessクライアントを実行するためのシステム要件
ユーザーデバイスの構成によっては、次の情報も提供する必要があります:
- ユーザーが自分のコンピューターでファイアウォールを実行する場合、アクセスを許可したリソースに対応する IP アドレスとの間のトラフィックがファイアウォールでブロックされないように、ファイアウォールの設定を変更する必要があります。Citrix Secure Accessクライアントは、Windows XPのインターネット接続ファイアウォールとWindows XP Service Pack 2、Windows Vista、Windows 7、Windows 8、またはWindows 8.1のWindowsファイアウォールを自動的に処理します。
- NetScaler Gateway 接続を介してFTPにトラフィックを送信するユーザーは、パッシブ転送を実行するようにFTPアプリケーションを設定する必要があります。パッシブ転送とは、FTP サーバーからリモートコンピューターへのデータ接続が確立されるのではなく、リモートコンピューターが FTP サーバーへのデータ接続を確立することを意味します。
- 接続を介して X クライアントアプリケーションを実行したいユーザーは、コンピュータ上で X サーバ (など
XManager
) を実行する必要があります。 - Receiver for WindowsまたはReceiver for Macをインストールしたユーザーは、Receiverから、またはWebブラウザーを使用してCitrix Secure Accessクライアントを起動できます。ReceiverまたはWebブラウザを使用してCitrix Secure Accessクライアントにログオンする方法について、ユーザーに説明してください。
ユーザーは、ファイルやアプリケーションを、組織のネットワークに対してローカルであるかのように操作するため、ユーザーを再トレーニングしたり、アプリケーションを構成したりする必要はありません。
セキュリティで保護された接続を初めて確立するには、Webログオンページを使用してNetScaler Gateway にログオンします。Web アドレスの一般的な形式はhttps://companyname.comです。ユーザーがログオンすると、Citrix Secure Accessクライアントをコンピューターにダウンロードしてインストールできます。
Windows 用 Citrix Secure Access クライアントのインストール
- Webブラウザーで、NetScaler Gateway のWebアドレスを入力します。
- ユーザー名とパスワードを入力し、[ログオン] をクリックします。
- [ネットワークアクセス] を選択し、[ダウンロード] をクリックします。
- 指示に従ってプラグインをインストールします。
ダウンロードが完了すると、Citrix Secure Accessクライアントが接続し、Windowsベースのコンピューターの通知領域にメッセージを表示します。
ユーザーがWebブラウザーを使用せずにCitrix Secure Accessクライアントに接続できるようにするには、 Windowsベースのコンピューターの通知領域にあるNetScaler Gatewayアイコンを右クリックしたときにログオンダイアログボックスを表示するか 、[スタート] メニューからプラグインを起動したときにログオンダイアログボックスを表示するようにプラグインを構成できます。
Windows向けCitrix Secure Accessクライアントのログオンダイアログボックスの構成
ログオンダイアログボックスを使用するようにCitrix Secure Accessクライアントを構成するには、ユーザーがログオンしてこの手順を完了する必要があります。
- Windowsベースのコンピューターでは、通知領域でNetScaler Gateway アイコンを右クリックし、[NetScaler Gateway の構成]をクリックします。
- [プロファイル] タブをクリックし、[プロファイルの変更] をクリックします。
- [オプション]タブで、[ログオンにCitrix Secure Accessクライアントを使用する]をクリックします。 注:Receiver内から[NetScaler Gateway の構成]ダイアログボックスを開いた場合、[ オプション]タブは使用できません。
Windows向けCitrix Secure Access クライアントのインターセプトモードを設定します
Windows向けCitrix Secure Accessクライアントを構成する場合は、インターセプトモードを構成して透過モードに設定する必要もあります。
- 構成ユーティリティで、[構成]タブをクリックし、[ NetScaler Gateway]>[リソース]の順に展開し、 [ イントラネットアプリケーション]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- [ 透明] をクリックします。
- 「 プロトコル」で「 任意」を選択します。
- [ 宛先タイプ] で、[ IP アドレス] と [ネットマスク] を選択します。
- [ IP アドレス ] に IP アドレスを入力します。
- [ ネットマスク] にサブネットマスクを入力し、[ 作成]、 [ 閉じる] の順にクリックします。
ADC 構成に基づいてエンドユーザーにローカル LAN アクセスを強制する
管理者は、エンドユーザーがクライアントマシンのローカル LAN アクセスオプションを無効にすることを制限できます。既存のローカル LAN アクセスパラメータ値に、FORCED という新しいオプションが追加されました。ローカル LAN アクセス値が FORCED に設定されている場合、クライアントマシンのエンドユーザーはローカル LAN アクセスが常に有効になります。エンドユーザーは、Citrix Secure AccessクライアントUIを使用してローカルLAN設定を無効にすることはできません。
管理者は、ローカル LAN アクセスパラメータを ON に設定することで、エンドユーザーがクライアントマシン上のローカル LAN リソースにアクセスできるようにすることができます。エンドユーザーがクライアントマシン上のローカル LAN リソースにアクセスできないようにするには、管理者はローカル LAN アクセスパラメーターを OFF に設定できます。エンドユーザー構成の詳細については、「 macOS のローカル LAN アクセス 」と「 iOS のローカル LAN アクセス」を参照してください。
GUI を使用して [強制] オプションを有効にするには:
- [ NetScaler Gateway]>[グローバル設定]>[グローバル設定の変更]に移動します。
- [ クライアントエクスペリエンス ] タブをクリックし、[ 詳細設定] をクリックします。
- [ ローカル LAN アクセス] で [ 強制] を選択します
CLI を使用して Forced オプションを有効にするには、次のコマンドを実行します。
set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->
メモ:
macOS/iOS向けCitrix Secure Accessクライアントとそれ以降のバージョンは、NetScaler GatewayのローカルLANアクセス機能をサポートしています。
Windows 23.10.1.7向けCitrix Secure Accessクライアント以降、ローカルLANアクセスパラメーターが「NetScaler Gatewayで強制」に設定されている場合、ローカルLANアクセスはマシンレベルのトンネルでサポートされます。
Windows Citrix Secure Access のMicrosoft Edge WebView サポート — プレビュー
Windows Citrix Secure Access の Microsoft Edge WebView サポートにより、エンドユーザーエクスペリエンスが強化されます。詳細については、「 Windows Citrix Secure Access の Microsoft Edge WebView サポート」を参照してください。
Windows フィルタリングプラットフォームを使用する Windows Citrix Secure Access クライアント
Windows Filtering Platform (WFP) は、ネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する API およびシステムサービスのセットです。WFP は、DNE ドライバーで使用されていたネットワークドライバーインターフェイス仕様 (NDIS) フィルターという、以前のパケットフィルター技術を置き換えるように設計されています。WFPモードは、Windows Citrix Secure Accessクライアントの22.6.1.5ビルドでサポートされています。
WFP ビルドをインストールする
WFP ビルドは、次のいずれかの方法でインストールできます。
-
DNE と WFP の両方のドライバーで VPN プラグインをインストールします (既定の方法)
プラグインが DNE と WFP の両方のドライバーと共にインストールされている場合、管理者はレジストリノブを介して WFP または DNE ドライバーをトンネリングに使用できます。デフォルトでは、DNE ドライバーはトンネリングに使用されます。
-
WFP ドライバーだけで VPN プラグインをインストールする (DNE ドライバーのインストールをスキップ)
DNEドライバーは、使用していないときでも一部のサードパーティ製アプリケーションではサポートされていません。これらの展開では、管理者はこのインストールタイプを使用できます。DNE ドライバーはインストールされていないため、トンネリングには WFP ドライバーのみが使用されます。
DNE ドライバーの代わりに WFP ドライバーを選択する
DNE ドライバーの代わりに WFP ドライバーを選択するには、次の手順を実行します。
注:
これは、既定のインストール方法でのみ機能します。
- WFP がサポートする VPN プラグインビルドをダウンロードし、新しい VPN プラグインをインストールします。
- デフォルトでは、DNE ドライバーはトラフィックのトンネリングに使用されます。WFP ドライバーをトンネリングに使用するには、管理者は次のレジストリエントリを作成する必要があります。
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - EnableWFP
- REG_VALUE — WFP を使用する場合は値を 1 に設定し、DNE を使用する場合は 0 に設定します (このレジストリ値が存在しない場合、または 0 に設定されている場合は、デフォルトで DNE が有効になります)
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
注:
トンネリングモードを DNE から WFP に、またはその逆に切り替えた後、変更を適切に有効にするには、システムを再起動する必要があります。
DNE のインストールを完全にスキップする
DNE のインストールをスキップするには、次の手順を実行します。
- VPN プラグインのクリーンアンインストールを実行します。
- マシンに現在存在するVPNプラグインをアンインストールし、マシンを再起動します。
- 次のいずれかのオプションを使用して、DNE ドライバーがアンインストールされているかどうかを確認します。
- 管理者特権のコマンドプロンプト (または PowerShell) を開きます。次のコマンドを実行します (出力例は、DNE ベースのドライバーがシステムにインストールされていることを示しています)
PS C:\Users\Administrator> sc qc cag [SC] QueryServiceConfig SUCCESS SERVICE_NAME: cag TYPE : 1 KERNEL_DRIVER START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Citrix cag plugin for Access Gateway DEPENDENCIES : SERVICE_START_NAME : PS C:\Users\Administrator> sc qc dne [SC] QueryServiceConfig SUCCESS SERVICE_NAME: dne TYPE : 1 KERNEL_DRIVER START_TYPE : 1 SYSTEM_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : \SystemRoot\system32\DRIVERS\dnelwf64.sys LOAD_ORDER_GROUP : NDIS TAG : 38 DISPLAY_NAME : DNE LightWeight Filter DEPENDENCIES : SERVICE_START_NAME : <!--NeedCopy-->
ドライバがインストールされていない場合は、次の出力が表示されます。
The specified service does not exist as an installed service.
DNEドライバー(dnelwf64.sys)は他のベンダーでも使用されているため、Citrix Secure Accessクライアントがシステムにインストールされていない場合でも存在する可能性があります。一方、CAGプラグインはCitrix Secure Accessクライアントでのみ使用されます。
-
DNEの存在は、CAGとDNEドライバを起動しようとすることによっても確認できます。管理者権限を使用してコマンドプロンプトを開き、次のコマンドを実行します。
net start cag net start dne <!--NeedCopy-->
- 出力メッセージに、サービスが見つからない (サービス名が無効である) ことが示されている場合、プラグインおよびドライバコンポーネントは正常にアンインストールされます。この場合は、手順 2 に進みます。
- プラグインおよびドライバコンポーネントが正常にアンインストールされない場合は、https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332に記載されている手順に従って、クライアントマシンでクリーンアップユーティリティを実行します。
- クリーンアップユーティリティを解凍し、フォルダにコピーします。
- コマンドプロンプトから nsRmSAC.exe を実行します。
- クライアントマシンを再起動します。
-
次のレジストリエントリを作成します。
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - SkipDNE
- REG_VALUE-DNE がマシンにインストールされていないことを確認するには 1 に設定します
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - EnableWFP
- REG_VALUE-WFP を有効にする場合は 1 に設定します (DNE インストールをスキップする場合は、このエントリを作成する必要があります)
注:
- インストール前にレジストリエントリが作成されていない場合は、デフォルトで DNE がインストールされます。また、VPN ログファイルをチェックして、WFP と DNE のどちらが使用されているかを検証できます。
- DNE インストールをスキップする場合は、EnableWFP を 1 に設定する必要があります。この場合、Citrix Secure Accessクライアントを再インストールしない限り、DNEベースのプラグインに切り替えることはできません。
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- 新しい VPN プラグインをインストールします。
-
WFP ドライバーがシステムにインストールされているかどうかを確認します。管理者特権のコマンドプロンプトを開き、次のコマンドを実行します。サンプル出力は、WFP ドライバーがシステムにインストールされていることを示しています。
PS C:\Users\Administrator> sc qc ctxsgwcallout [SC] QueryServiceConfig SUCCESS SERVICE_NAME: ctxsgwcallout TYPE : 1 KERNEL_DRIVER START_TYPE : 1 SYSTEM_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Citrix Secure Access Callout Driver DEPENDENCIES : SERVICE_START_NAME : <!--NeedCopy-->
ドライバがインストールされていない場合は、次の出力が表示されます。
The specified service does not exist as an installed service.
- クライアントマシンを再起動します。
WFPの利点
スタンドアロン WFP ドライバーのインストールがクライアントで実行される場合の WFP の利点の一部を以下に示します。
-
FQDN ベースのリバース分割トンネルのサポート: WFP ドライバーは、FQDN ベースの REVERSE 分割トンネリングのサポートを可能にします。DNE ドライバーではサポートされていません。詳細については、 分割トンネリングオプションを参照してください。
-
Wireshark のサポート: DNE は Ethernet/Wi-Fi アダプタとリンクしているため、クライアントマシンで双方向トラフィックをキャプチャできません。これは新しい WFP ドライバーの問題ではありません。トラフィックキャプチャ(一方向または双方向)はすべて暗号化され、復号化するには SSL キーが必要です。
-
NMAP サポート: 新しい WFP ドライバーは NMAP スキャンをサポートしますが、VPN プラグインはトラフィックをトンネリングするのに対し、DNE は NMAP スキャンを許可しませんが、VPN プラグインはトラフィックのトンネリングに使用されます。
-
ネットワーク速度: 一部のシナリオでは、クライアントマシンに DNE がインストールされている場合、ダウンロードとアップロードの速度が影響を受けますが、これは WFP には当てはまりません。
-
nslookup パフォーマンスの向上: DNE では、
nslookup
がより少ない試行回数で応答できないことがあり、WFPでは同じことが見られません。 -
UDP 上の iperf パフォーマンスの向上:DNE では、iperf over UDP を使用したスケーラビリティテスト中にパケット損失が観察されました。WFP ではパケットロスは発生しません。