Gateway

为用户选择 Citrix Secure Access 客户端

配置 NetScaler Gateway 时,可以选择用户的登录方式。用户可以使用以下插件之一登录:

  • 适用于 Windows 的 Citrix Secure Access 客户端
  • 适用于 macOS 的 Citrix Secure Access 客户端

通过创建会话策略,然后将策略绑定到用户、组或虚拟服务器来完成配置。您还可以通过配置全局设置来启用插件。在全局配置文件或会话配置文件中,您可以选择 Windows 或 macOS X 作为插件类型。当用户登录时,他们会收到全局或会话配置文件和策略中定义的插件。为插件类型创建单独的配置文件。

全局配置插件

  1. 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
  2. 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
  3. 在“客户端体验”选项卡上的“插件类型”旁边,选择 Windows/macOS X,然后单击“确定”。

在会话配置文件中为 Windows 或 macOS 配置插件类型

  1. 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击会话
  2. 执行以下操作之一:
    • 如果要创建会话策略,请在详细信息窗格中单击 添加
    • 如果要更改现有策略,请选择一个策略,然后单击“打开”。
  3. 创建配置文件或修改现有配置文件。为此,请执行以下操作之一:
    • 在“请求配置文件”旁边,单击“新建”。
    • 在“请求配置文件”旁边,单击“修改”。
  4. 在“客户端体验”选项卡上的“插件类型”旁边,单击“覆盖全局”,然后选择 Windows/macOS X
  5. 执行以下操作之一:
    • 如果要创建配置文件,请单击“创建”,在策略对话框中设置表达式,单击“创建”, 然后单击“关闭”。
    • 如果您正在修改现有配置文件,则在进行选择后,请两次单击“确定”。

适用于 Windows 的 Citrix Secure Access 客户端

当用户登录 NetScaler Gateway 时,他们会在用户设备上下载并安装 Citrix Secure Access 客户端。

要安装插件,用户必须是本地管理员或管理员组的成员。此限制仅适用于首次安装。插件升级不需要管理员级别的访问权限。

要使用户能够连接和使用 NetScaler Gateway,您需要向他们提供以下信息:

  • NetScaler Gateway Web 地址,例如 https://NetScalerGatewayFQDN/
  • 如果您配置了端点资源和策略,则运行 Citrix Secure Access 客户端的任何系统要求

根据用户设备的配置,您可能还需要提供以下信息:

  • 如果用户在其计算机上运行防火墙,他们必须更改防火墙设置,这样防火墙就不会阻止流入或来自与您授予访问权限的资源对应的 IP 地址的流量。Citrix Secure Access 客户端自动处理 Windows XP 中的 Internet 连接防火墙和 Windows XP Service Pack 2、Windows Vista、Windows 7、Windows 8 或 Windows 8.1 中的 Windows XP 和 Windows 防火墙。
  • 想要通过 NetScaler Gateway 连接向 FTP 发送流量的用户必须将其 FTP 应用程序设置为执行被动传输。被动传输意味着远程计算机建立与 FTP 服务器的数据连接,而不是 FTP 服务器与远程计算机建立数据连接。
  • 想要通过连接运行 X 客户端应用程序的用户必须在其计算机上运行 X 服务器 XManager,例如。
  • 安装适用于 Windows 的 Receiver 或 Mac 版 Receiver 的用户可以从 Receiver 或使用网络浏览器启动 Citrix Secure Access 客户端。向用户提供有关如何通过 Receiver 或 Web 浏览器登录 Citrix Secure Access 客户端的说明。

由于用户在处理文件和应用程序时就好像他们是组织网络的本地用户一样,因此您无需重新培训用户或配置应用程序。

要首次建立安全连接,请使用 Web 登录页面登录 NetScaler Gateway。Web 地址的典型格式是 https://companyname.com。当用户登录时,他们可以在自己的计算机上下载并安装 Citrix Secure Access 客户端。

安装适用于 Windows 的 Citrix Secure Access 客户端

  1. 在 Web 浏览器中,键入 NetScaler Gateway 的 Web 地址。
  2. 键入用户名和密码,然后单击“登录”。
  3. 选择网络访问,然后单击下载。
  4. 按照说明安装插件。

下载完成后,Citrix Secure Access 客户端将连接并在基于 Windows 的计算机的通知区域中显示一条消息。

如果您希望用户在不使用 Web 浏览器的情况下连接 Citrix Secure Access 客户端,则可以将插件配置为在用户右键单击 Windows 计算机通知区域中的 NetScaler Gateway 图标时显示登录对话框,或者从“开始”菜单启动插件。

为适用于 Windows 的 Citrix Secure Access 客户端配置登录对话框

要将 Citrix Secure Access 客户端配置为使用登录对话框,用户必须登录才能完成此过程。

  1. 在基于 Windows 的计算机上,在通知区域中,右键单击 NetScaler Gateway 图标,然后单击配置 NetScaler Gateway。
  2. 单击配置文件选项卡,然后单击更改配置文件
  3. 在“选项”选项卡上,单击“使用 Citrix Secure Access 客户端登录”。 注意:如果用户从 Receiver 中打开“ 配置 NetScaler Gateway”对话框,则“ 选项”选项卡不可用。

为适用于 Windows 的 Citrix Secure Access 客户端设置拦截模式

如果您正在为 Windows 配置 Citrix Secure Access 客户端,则还需要配置拦截模式并将其设置为透明。

  1. 在配置实用程序中,单击配置选项卡,展开 NetScaler Gateway > 资源, 然后单击 Intranet 应用程序
  2. 在详细信息窗格中,单击“添加”。
  3. 名称中,键入策略的名称。
  4. 单击“透明”。
  5. 协议中,选择任意
  6. 目标类型中,选择 IP 地址和网络掩码
  7. IP 地址 中键入 IP 地址。
  8. Netmask中,键入子网掩码,单击 创建, 然后单击 关闭

根据 ADC 配置对最终用户实施本地 LAN 访问

管理员可以限制最终用户在其客户端计算机上禁用本地局域网访问选项。一个新选项“强制”将添加到现有的“本地局域网访问”参数值中。当本地局域网访问值设置为 FORCED 时,客户端计算机上始终为最终用户启用本地局域网访问。最终用户无法使用 Citrix Secure Access 客户端用户界面禁用本地局域网设置。

通过将本地 LAN 访问参数设置为 ON,管理员可以让最终用户访问其客户端计算机上的本地 LAN 资源。要阻止最终用户访问其客户端计算机上的本地 LAN 资源,管理员可以将本地 LAN 访问参数设置为“关”。有关最终用户配置的详细信息,请参阅 macOS 的本地局域网访问iOS 的本地局域网访问

要使用 GUI 启用 Forced 选项,请执行以下操作:

  1. 导航到 NetScaler Gateway > 全局设置 > 更改全局设置
  2. 单击“客户端体验”选项卡,然后单击“高级设置”
  3. 本地局域网访问中,选择 强制

启用本地 LAN 访问

要使用 CLI 启用 Forced 选项,请运行以下命令:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

备注:

  • 适用于 macOS/iOS 的 Citrix Secure Access 客户端及更高版本支持 NetScaler Gateway 的本地局域网访问功能。

  • 从适用于 Windows 的 Citrix Secure Access 客户端 23.10.1.7 开始,如果在 NetScaler Gateway 上将“本地局域网访问”参数设置为“强制”,则计算机级通道支持本地局域网接入。

Microsoft Edge WebView 对 Windows Citrix Secure Access 的支持 - 预览版

Microsoft Edge WebView 对 Windows Citrix Secure Access 的支持引入了增强的最终用户体验。有关详细信息,请参阅 Microsoft Edge WebView 对 Windows Citrix Secure Access 的支持

使用 Windows 筛选平台的 Windows Citrix Secure Access 客户端

Windows 筛选平台 (WFP) 是一组 API 和系统服务,提供用于创建网络过滤应用程序的平台。WFP 旨在取代以前的包过滤技术,即与 DNE 驱动程序一起使用的网络驱动程序接口规范 (NDIS) 过滤器。Windows Citrix Secure Access 客户端的 22.6.1.5 版本支持 WFP 模式。

安装 WFP 版本

您可以使用以下方法之一安装 WFP 版本。

  • 使用 DNE 和 WFP 驱动程序安装 VPN 插件(默认方法)

    当插件安装了 DNE 和 WFP 驱动程序时,管理员可以通过注册表旋钮使用 WFP 或 DNE 驱动程序进行通道传输。默认情况下,DNE 驱动程序用于通道。

  • 仅使用 WFP 驱动程序安装 VPN 插件(跳过 DNE 驱动程序安装)

    某些第三方应用程序不支持 DNE 驱动程序,即使未使用。对于这些部署,管理员可以使用此安装类型。由于未安装 DNE 驱动程序,因此只使用 WFP 驱动程序进行通道开发。

选择 WFP 驱动程序而不是 DNE 驱动程序

执行以下步骤以选择 WFP 驱动程序而不是 DNE 驱动程序。

注意:

这仅适用于默认安装方法。

  1. 下载 WFP 支持的 VPN 插件版本并安装新的 VPN 插件。
  2. 默认情况下,DNE 驱动程序用于通过通道传输流量。要使用 WFP 驱动程序进行通道传输,管理员必须创建以下注册表项:
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — 将值设置为 1 以使用 WFP,将 0 设置为 DNE(如果此注册表值不存在或设置为 0,则默认启用 DNE)

注意:

将通道模式从 DNE 切换到 WFP 后,或者相反,必须重新启动系统才能使更改正确生效。

完全跳过 DNE 安装

执行以下步骤可跳过 DNE 安装。

  1. 执行 VPN 插件的全新卸载。
    1. 卸载计算机上的当前 VPN 插件并重新启动计算机。
    2. 使用以下任一选项检查 DNE 驱动程序是否已卸载。
      • 打开提升的命令提示符(或 PowerShell)。运行以下命令(示例输出显示系统上安装了基于 DNE 的驱动程序)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      如果未安装驱动程序,则会显示以下输出:

      The specified service does not exist as an installed service.

    由于其他供应商也使用 DNE 驱动程序 (dnelwf64.sys),因此即使系统上未安装 Citrix Secure Access 客户端,它也可能存在。另一方面,CAG 插件仅由 Citrix Secure Access 客户端使用。

    • 也可以通过尝试启动 CAG 和 DNE 驱动程序来检查 DNE 的存在。使用管理员权限打开命令提示符并运行以下命令:

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • 如果输出消息指示无法找到服务(服务名称无效。),则插件和驱动程序组件已成功卸载。在这种情况下,请移至步骤 2。
      • 如果未成功卸载插件和驱动程序组件,请按照 https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332 中提供的说明在客户端计算机上运行清理实用程序。
        • 解压清理实用程序并将其复制到文件夹。
        • 在命令提示符下运行 nsRmSAC.exe。
        • 重新启动客户端计算机。
  2. 创建以下注册表项。

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE-设置为 1 可确保计算机上未安装 DNE
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE-设置为 1 以启用 WFP(如果跳过 DNE 安装,则必须创建此条目)

    注意:

    • 如果在安装之前未创建注册表项,则默认情况下会安装 DNE。此外,您可以检查 VPN 日志文件以验证是否使用了 WFP 或 DNE。
    • 如果跳过 DNE 安装, 则必须将 EnableWFP 设置为 1。在这种情况下,如果不重新安装 Citrix Secure Access 客户端,就无法切换到基于 DNE 的插件。
  3. 安装新的 VPN 插件。
  4. 确认系统上是否安装了 WFP 驱动程序。打开提升的命令提示符并运行以下命令。示例输出显示系统上安装了 WFP 驱动程序。

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

如果未安装驱动程序,则会显示以下输出:

The specified service does not exist as an installed service.

  1. 重新启动客户端计算机。

WFP 的优势

以下是如果在客户端上安装独立的 WFP 驱动程序,WFP 的一些优势在于。

  • 基于 FQDN 的反向拆分通道支持: WFP 驱动程序支持基于 FQDN 的反向拆分通道。DNE 驱动程序不支持此功能。有关更多详细信息,请参阅 拆分通道选项

  • Wireshark 支持: DNE 不允许在客户端计算机上捕获双向流量,因为它与以太网/Wi-Fi 适配器链接。对于新的 WFP 驱动程序来说,这不是问题。任何流量捕获(单向或双向)都经过加密,并且需要 SSL 密钥才能对其进行解密。

  • NMAP 支持: 新的 WFP 驱动程序支持 NMAP 扫描,而 VPN 插件用于通道传送流量,而 DNE 不允许 NMAP 扫描,而 VPN 插件则用于对流量进行通道传输。

  • 网络速度: 在某些情况下,如果在客户端计算机上安装了 DNE,则下载和上载速度会受到影响,而 WFP 的情况并非如此。

  • 提高了 nslookup 性能: 有时使用 DNE 时,尝试次数较少时 nslookup 无法响应,而 WFP 则没有观察到同样的情况。

  • UDP 相比提高了 iperf 性能: 使用 DNE,在使用 iperf over UDP 进行可扩展性测试时观察到一些数据包丢失。WFP 没有发现数据包丢失。