Gateway

在 Windows 登录之前始终可用的 VPN(正式的 Always On 服务)

Windows 登录前的 AlwaysOn VPN (正式为始终开启服务)功能使用户甚至可以在用户登录 Windows 系统之前就建立计算机级 VPN 通道。在计算机关闭之前,通道将保持活动状态。用户登录后,计算机级 VPN 通道将由用户级 VPN 通道接管。用户注销后,用户级通道将被撕裂并建立计算机级通道。只能使用高级身份验证策略来配置Windows 登录前始终开启 VPN 。有关详细信息,请参阅在 Windows 登录之前配置始终可用的 VPN

Windows 登录前始终开启 VPN 功能

  • 管理员可以为首次远程工作的用户提供一次性密码,用户可以使用该密码连接到域控制器来更改其密码。
  • 管理员甚至可以在用户登录之前远程管理/强制执行设备的 AD 策略。
  • 管理员可以在用户登录后根据用户组为用户提供精细级别的控制。例如,使用用户级通道,您可以限制或提供对特定用户组的资源访问权限。
  • 可以根据用户要求为 MFA 配置用户通道。
  • 多个用户可以使用同一台计算机。根据用户配置文件提供对选择性资源的访问权限。例如,多个用户可以轻松地在自助终端中使用一台计算机。
  • 远程工作的用户连接到域控制器以更改密码。
  • Windows 计算机可以使用企业活动目录 (AD) 验证用户的登录凭据,并且不会缓存计算机上的 Windows 凭据。此外,新的公司 AD 用户还可以无缝登录计算机。
  • 甚至在用户登录之前,Windows 计算机就成为企业内部网的一部分,从而允许 IT 管理员从公司网络访问客户端计算机以进行调试。
  • 即使不同的用户登录或注销计算机,Windows 计算机的 VPN 通道仍保持连接状态。

在 Windows 登录之前了解始终可用的 VPN

以下是“Windows 登录前始终开启 VPN”功能的事件流。

使用用户个人流程始终开启

  • 用户打开笔记本电脑。使用设备证书作为身份建立通往 Citrix Gateway 的计算机级通道。
  • 用户使用 AD 凭据登录到笔记本电脑。
  • 登录后,用户面临 MFA 的挑战。
  • 成功进行身份验证后,计算机级通道将替换为用户级通道。
  • 用户注销后,用户级通道将替换为计算机级通道。

注意事项:

  • Citrix Gateway 和 VPN 插件的版本必须为 13.0.41.20 及更高版本。
  • 如果客户端计算机没有互联网连接,请 在建立 VPN 通道之前 Windows 登录等待互联网连接可用之前始终 打开 VPN。
  • 如果客户端计算机连接到俘虏门户网络,请 在 Windows 登录等待用户向俘虏门户进行身份验证之前始终打开 VPN 。在用户登录并启用互联网访问后,在 Windows 登录之前始终打开 VPN 建立了 VPN 通道。
  • Windows 登录前始终可用的 VPN 功能支持 Citrix ADC 的强制门户。
  • 如果 Windows 未启用缓存的登录凭据选项,则在以下情况下用户将无法登录:
    • 计算机没有 Internet 连接
    • 计算机已连接到强制门户网络
  • 在向最终用户显示登录页面之前,管理员必须检查设备证书吊销状态。

Windows 登录配置之前的始终可用的 VPN 之后的 Windows 凭据管理器屏幕

配置“Windows 登录前始终打开 VPN”功能后, Windows 凭据管理器 屏幕将按如下所示进行修改。

Windows 凭据管理器屏幕

单击 登录屏幕上的登录选项 时,将显示以下信息:

  • Citrix Gateway 图标表示计算机是否已连接到 Citrix Gateway。
  • 根据用户配置模式,登录屏幕上会显示以下语句之一。
    • Citrix Gateway 已在服务模式下连接
    • Citrix Gateway 已在用户模式下连接
在 Windows 登录之前始终可用的 VPN(正式的 Always On 服务)