配置 Citrix SD-WAN WANOP 设备以优化安全的 Windows 流量
必须先将 Citrix SD-WAN WANOP 设备添加到 Windows 安全基础架构,然后才能优化已签名的 Windows 文件系统和加密的 MAPI Outloo/Exchange 流量。
由于在最近的 Windows 版本中增强了 Windows 安全系统,客户端和服务器通过对数据进行身份验证和加密来保护流量。这要求 Citrix SD-WAN WANOP 设备在优化已签名的 Windows 文件系统和加密的 MAPI Outloo/Exchange 流量之前是 Windows 安全基础架构的可信成员。
将设备添加到 Windows 安全基础结构后,该设备具有以下功能:
-
通过使用签名的 SMB 和签名的 SMB2 协议,加速 Microsoft Windows Server、NetApp 服务器和 Hitachi HNAS 的文件服务器流量。
-
加速 Microsoft Exchange Server 通信时,Outlook 客户端使用加密的 MAPI 或 RPC 通过 HTTPS 对其进行访问。
Citrix SD-WAN WANOP 设备如何在 Windows 安全系统中工作
将设备加入 Windows 域需要管理员凭据。当它加入 Windows 域时,设备将成为域的受信任成员。这允许将设备声明为域安全基础结构的成员。
设备成为 Windows 安全基础结构的一部分后,用户必须先进行身份验证,然后才能访问资源。为了避免在域中配置大量用户的困难,您可以将身份验证责任委派给委派用户。
在活动目录中创建委托用户。此用户与普通用户类似,但具有特殊权限。创建委托用户后,您必须在 Citrix SD-WAN WANOP 设备上配置此用户。当用户使用 Windows 协议(例如 CIFS 和 MAPI)访问经过身份验证和加密的数据流时,设备使用委托用户代表用户进行身份验证。
为了加速 CIFS 和 MAPI 流量,标准 Windows 委派机制允许您将安全委派限制到相关服务。自 Windows Server 2003 发布以来,此限制委派一直可用。
成为域的一部分后,设备会加速安全的 Windows 流量。加入 Windows 域的数据中心设备必须与远程设备或 Citrix SD-WAN WANOP 插件建立安全的对等关系,但只有数据中心设备加入 Windows 域。出于 CIFS 或 MAPI 加速的目的,远程设备充当数据中心设备的从属,通过两者之间的安全 SSL 隧道进行控制。因此,委派用户凭据不会离开数据中心。
下图显示了此设置的示例拓扑图。
在上图中,分支机构客户端访问数据中心的资源。分支机构客户端位于另一个域中,使用 NTLM 身份验证作为 Windows 安全系统的一部分。与在安全对等关系中的两个 Citrix SD-WAN WANOP 设备之间的所有加速连接一样,WAN 上的 CIFS 或 MAPI 连接和 NTLM 身份验证都会加密。根据 Windows 域控制器版本,来自数据中心 Citrix SD-WAN WANOP 设备的用户请求使用 NTLM 或 Kerberos 身份验证协议进行身份验证。域对用户进行身份验证后,对 Exchange Server 和文件服务器的后续访问请求将使用 Kerberos 身份验证协议。然后,Citrix SD-WAN WANOP 设备将优化客户端和服务器之间建立的连接。
如果设备没有安全的对等关系,或者如果数据中心设备未成功加入域,则这些连接将使用 TCP 流控制加速,该加速不执行任何安全操作、压缩或数据转换。在客户端和服务器之间建立连接,就好像 Citrix SD-WAN WANOP 设备不在那里一样。
您可以在 Windows 操作系统上配置不同的客户端身份验证模式。Citrix SD-WAN WANOP 设备优化的连接类型取决于您配置的客户端身份验证模式。
下表列出了 Windows 上的 Windows 客户端身份验证模式以及相应的 Citrix SD-WAN WANOP 优化。
Windows 操作系统支持身份验证和优化
客户端操作系统 | 客户端身份验证模式 | 优化 | 注意 |
---|---|---|---|
Windows XP/Windows Vista/Windows7/Windows 8 | 协商身份验证 (SPNEGO) | TCP 流量控制加速,压缩,CIFS 协议加速 | 用于所有 Windows 版本的默认设置。 |
Windows XP/Windows Vista/Windows 7/Windows 8 | 仅限 NTLM 或仅限 Kerberos | 仅 TCP 流量控制加速 | 非默认身份验证模式 |
注意:如果您仅使用 NTLM 或仅使用 Kerberos 客户端身份验证模式,则加密后流量不会加速。
将 Citrix SD-WAN WANOP 设备添加到 Windows 安全系统的要求
要优化安全的 Windows 签名 SMB 和加密的 MAPI 流量的流量,Citrix SD-WAN WANOP 部署必须满足以下要求,然后再将设备添加到 Windows 安全基础结构:
-
客户端和服务器端加速设备都必须建立安全的对等关系。
-
设备必须使用与 Windows 域服务器上的时间密切同步的 NTP 服务器。理想情况下,设备和 Windows 域服务器都是同一 NTP 服务器的所有客户端。
-
不能 为(非默认)仅 Kerberos 或仅NTLM 选项配置 Outlook。加速需要使用默认(协商)选项。
-
客户端和服务器可以是与服务器端设备的域具有双向信任的任何域的成员。不支持单向信任。
-
必须在域控制器上设置 Kerberos 委托用户,以供参与域安全基础结构的设备使用。
-
域的 DNS 服务器 IP 地址必须配置并在服务器端设备上访问。
-
域服务器必须完全可访问,同时对 DNS 服务器上配置的域控制器的所有 IP 地址进行正向和反向查找。
-
服务器端 Citrix SD-WAN WANOP 设备的主机名必须唯一。使用默认主机名 “主机名” 可能会导致问题。
注意
Macintosh Outlook 客户端不使用 MAPI (Outlook/Exchange) 标准,并且不加速此功能。
将 Citrix SD-WAN WANOP 设备添加到 Windows 安全基础结构
要优化安全 Windows 流量,Citrix SD-WAN WANOP 设备必须是 Windows 安全系统的一部分,并且必须通过安全系统或域进行身份验证。如下图所示,要使设备成为 Windows 安全系统的一部分,必须使设备加入域(使用管理凭据)。此外,您需要通过将 CIFS 和 Exchange 服务与该用户关联,将新用户或现有用户配置为委托用户。然后,您必须在 Citrix SD-WAN WANOP 设备上配置此委托用户。
您可以使用 预域检查 实用程序来了解将设备加入域时是否存在任何问题。
注意
Windows 安全系统使用 Exchange 服务来管理 MAPI 连接。配置设置以优化安全 Windows 流量
将 Citrix SD-WAN WANOP 设备加入 Windows 域:
当设备加入域时,它会与域控制器交换共享机密,从而允许设备无限期地保留域的一部分。将设备加入域时,请确保您拥有域控制器的管理员凭据。
要确保 Citrix SD-WAN WANOP 设备优化 CIFS 和 MAPI 流量(包括通过 HTTPS 封装为 RPC 的流量),您必须使设备成为 Windows 文件服务器和 Exchange 服务器所属域的一部分。您需要将服务器端设备加入域。
注意:域管理凭据不会保存在设备上。
要将 Citrix SD-WAN WANOP 设备加入 Windows 域,请执行以下操作:
-
导航到 配置 > 安全加速 > Windows 域 选项卡。
-
单击 加入 Windows 域。
-
在域名字段中输入 Windows 域名。
-
在 “用户名” 字段中,输入域控制器管理员的用户名。
-
在密码字段中,指定域控制器管理员密码。
-
如有必要,请编辑 DNS 服务器,以便与 Windows 域保持一致。
-
单击确定。
-
在 “委派用户” 部分中,添加委派用户,如下面的过程所述。
配置委托用户:
将设备加入 Windows 域后,必须创建一个用户,该设备可用于对域的用户进行身份验证。此用户称为委 托用户。
注意:要创建委托用户帐户,您需要对 Windows 域控制器和设备的管理员访问权限。如果您没有 Windows 域控制器的管理员访问权限,请确保授权的管理员在域控制器上执行所需的任务。
使用 Kerberos 委派设置用户身份验证涉及两项任务:在域控制器上配置委托用户,然后将此用户添加到 Citrix SD-WAN WANOP 设备。
在域控制器上配置委托用户:
在 Citrix SD-WAN WANOP 设备上配置委托用户之前,必须在域控制器上为委托用户配置所需属性。您可以创建委托用户帐户或使用现有用户帐户作为委托用户帐户。
创建帐户或选择现有帐户后,为此用户启用委派。然后,您将委派用户与 CIFS 和 Exchange 服务关联,以便可以加速这些服务的流量。将此用户添加到 Citrix SD-WAN WANOP 设备后,设备会显示与此帐户关联的服务的委托凭据。
创建委托用户帐户:
在 Windows 域控制器上创建委托用户帐户,以便 Citrix SD-WAN WANOP 设备可以代表用户使用此帐户向域控制器对其进行身份验证。
注意:如果要将现有用户配置为委托用户,请跳过此过程。
要创建委托用户帐户,请执行以下操作:
-
以管理员身份登录到 Windows 域控制器。请确保文件服务器或 Exchange Server 是此域的成员。
-
从 “开 始 菜单中,打开 Active Directory 用户和计算机 窗口。
-
创建委托用户,如以下屏幕截图所示:
为用户启用委派:
到目前为止,您创建的用户与您在 Active Directory 服务器上创建的任何用户类似。若要为用户启用委派,必须将委派用户的服务主体名称属性设置为 委派 并将委派用户与所需服务关联。这使得用户具有附加到它的特殊权限并使其成为委托用户。
要为用户启用委派,请执行以下操作:
-
从 “开 始 菜单中,打开 Active Directory 用户和计算机 窗口。
-
从 “视图” 菜单中,选择 高级功能”。
-
选择用 户 节点。
-
右键单击要成为委托用户的用户。
-
从快捷菜单中,选择 “属 性 并导航到 属性编辑器 选项卡,如以下屏幕截图所示:
-
从 属性 列表中,选择 servicePrincipalName,如以下屏幕截图所示:
-
单击编辑。
-
在 多值字符串编辑器 对话框的 要添加的值 字段中,指定 委托 /< User_Name > ,如以下屏 幕 截图所示:
-
单击添加。
-
单击确定。
-
单击应用。
-
单击确定。
-
打开用户的 MAPI-CIFS 委派用户属性 对话框,并验证是否已将 “委 派 选项卡添加到对话框中,如以下屏幕截图所示:
将委托用户与 CIFS 和 Exchange 服务关联:
为用户启用 “委派” 选项卡后,您可以将用户与用户可以为其提供委派凭据的服务关联。将此用户添加到 Citrix SD-WAN WANOP 设备时,设备会为与此帐户关联的服务提供委派凭据。 注意:Windows 安全基础结构使用 Exchange 服务来管理 MAPI 流量。
要将委派用户与 CIFS 和 Exchange 服务关联,请执行以下操作:
-
在 “委派” 选项卡中,选择 信任此用户以便仅委派到特定服务 选项。
-
选择 “使 用任何身份验证协议 选项。
-
单击 添加”,如以下屏幕截图所示:
-
在 添加服务 对话框中,单击 用户和计算机。
-
在 “选 择用户或计算机 对话框中,添加要选择的本地计算机,如以下屏幕截图所示:
-
单击 OK(确定)。
-
在 “添加服务” 对话框中的 可用服务 列表中,选择 cifs ,如以下屏幕截图所示:
-
如果必须在 Citrix SD-WAN WANOP 设备上设置 MAPI 加速,请按住 Ctrl 键,然后选择 Exchange EMDB 服务。
-
单击确定。您选择的服务将添加到 此帐户可向其呈现委派凭据的服 务列表中,如以下屏幕截图所示:
-
单击 OK(确定)。
-
关闭 Active Directory 用户和计算机 窗口。
在Citrix SD-WAN WANOP 设备上配置委托用户:
在 Active Directory 服务器上配置委托用户后,必须在 Citrix SD-WAN WANOP 设备上配置此用户,以便设备可以向域显示此用户的委托凭据。这样,设备就可以主动优化高级 CIFS 和 MAPI 加速功能的网络流量。
要将委托用户添加到服务器端设备,请执行以下操作:
-
导航到 配置> 安全加速> Windows 域 选项卡。
-
单击加入 Windows 域按钮(如果存在)。
-
在 委派用户下,单击 添加。
-
在 域名 字段中,指定域名。这通常是您在 Windows 域部分下指定的域。
-
在 “用 户名 字段中,输入委派用户的用户名。
-
在 密码 字段中,指定委派用户的密码。
-
单击添加。
验证设备是否已加入域
如果在将设备添加到域后,您注意到设备未优化安全 Windows 流量,则某些错误可能导致设备无法加入域。您可以使用 预域检查 实用程序来查看加入域的设备是否存在任何问题。在尝试将设备加入域之前,您甚至可以运行此实用程序来确定可能出现的问题。
要检查委托用户,请执行以下操作:
-
登录到服务器端 Citrix SD-WAN WANOP 设备。
-
导航到配置 > 安全加速 > Windows 选项卡。
-
单击加入 Windows 域按钮(如果存在)。
-
选择一个委托用户,然后单击 编辑。
-
点击 检查委托用户。
-
等待委派用户域检查完成并检查结果。