docAccess Gateway 5.0 - Product Documentation
download 
Denúncia Transcrição
Access Gateway 5.0 - Product Documentation
Access Gateway 5.0 2014-10-27 18:16:23 UTC © 2014 Citrix Systems, Inc. All rights reserved. Terms of Use | Trademarks | Privacy Statement Inhalt Access Gateway 5.0 .......................................................................................... 14 Access Gateway 5.0.............................................................................. 16 Info zu diesem Release .................................................................... 17 Einführung .............................................................................. 18 Hauptfeatures ......................................................................... 19 Access Gateway-Verwendungsmodi ........................................... 21 Kompatibilität mit Citrix Produkten .......................................... 22 Terminologieänderungen ....................................................... 23 Neue Funktionen ...................................................................... 24 Access Gateway Management Console ....................................... 26 So melden Sie sich an der Access Gateway Management Console an ............................................................................. 27 So ändern Sie das Administratorkennwort in der Managementkonsole ....................................................... 28 Übersicht über Anmeldepunkte................................................ 29 Übersicht über SmartGroups ................................................... 30 Übersicht über Geräteprofile .................................................. 31 Übersicht über Snapshots....................................................... 32 Übersicht über Netzwerkressourcen .......................................... 33 Übersicht über die Delivery Services Console ............................... 34 Überblick über Clustering und Load Balancing .............................. 35 Überblick über die erweiterte Endpoint Analysis ........................... 36 Nicht mehr verwendete Features und Funktionen.......................... 37 Bekannte Probleme ................................................................... 39 Systemanforderungen ...................................................................... 44 Anforderungen für das Access Gateway-Gerät ................................... 45 Anforderungen für die Access Gateway Management Console............ 46 Systemanforderungen für Access Controller ...................................... 47 Serverrollen, Dienste und Features für Access Controller................. 48 Netzwerkanforderungen ........................................................ 50 2 3 Anforderungen für Konten...................................................... 51 Datenbankanforderungen....................................................... 53 Anforderungen an Authentifizierungssoftware .............................. 54 Anforderungen für SmartAccess ............................................... 55 Anforderungen für die Drittanbieterportalintegration ..................... 56 Anforderungen für die Delivery Services Console........................... 57 Systemanforderungen für Clustering und Load Balancing....................... 58 Anforderungen zum Konfigurieren eines externen Load Balancers 59 Benutzergerätanforderungen........................................................ 60 Systemanforderungen für das Access Gateway Plug-in .................... 61 Anforderungen für Endpoint Analysis ......................................... 66 Citrix XenApp- und XenDesktop-Integrationsanforderungen.................... 67 Systemanforderungen für Single Sign-On am Webinterface............... 68 Planen ........................................................................................ 69 Access Gateway 5.0-Installationscheckliste....................................... 70 Planen der Sicherheit mit Access Gateway ....................................... 81 Entwickeln einer Zugriffsstrategie ................................................. 83 Bereitstellung ............................................................................... 86 Bereitstellen von Access Gateway-Geräten in der DMZ ......................... 87 Bereitstellen von Access Gateway im gesicherten Netzwerk................... 89 Bereitstellen von Access Gateway mit XenApp oder XenDesktop.............. 91 Bereitstellen zusätzlicher Access Gateway-Geräte für das Load Balancing und Gerätefailover .................................................................... 92 Bereitstellen von Access Gateway mit Access Controller ....................... 93 Bereitstellen von Plug-ins für den Benutzerzugriff .............................. 95 Bereitstellungsoptionen für das Webinterface ................................... 97 Bereitstellen des Webinterface im gesicherten Netzwerk ................ 98 Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ ................................................................................ 99 Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ ................................................................................ 101 Installation und Setup...................................................................... 102 Planen der Installation von Access Controller .................................... 103 So installieren Sie Access Controller.......................................... 106 Deinstallieren von Access Controller ......................................... 108 Lizenzierung ................................................................................. 109 Lizenztypen für Access Gateway.................................................... 110 Abrufen der Plattform- oder universellen Lizenzdateien ....................... 112 Migrieren der Lizenzen von Access Gateway 4.6, Standard Edition 115 So installieren Sie eine Lizenz auf dem Access Gateway-Gerät 116 Lizenzierung für mehrere Geräte ............................................. 117 Kulanzzeitraum für die Lizenzierung ............................................... 118 So zeigen Sie Lizenzierungsinformationen an..................................... 119 Upgrade und Migration..................................................................... 120 Aktualisieren der Access Gateway-Gerätesoftware.............................. 122 So laden Sie die Access Gateway-Software herunter....................... 123 So aktualisieren Sie die Access Gateway-Software ......................... 124 So stellen Sie eine frühere Version der Software wieder her ............. 125 So löschen Sie eine Access Gateway-Softwareversion ..................... 126 Upgrade von Access Gateway-Geräten in einem Gerätefailoverpaar 127 Upgrade von Access Controller...................................................... 128 So aktualisieren Sie Access Controller........................................ 129 Migrieren auf Access Gateway 5.0 .................................................. 130 Access Gateway-Gerätemigrationseinstellungen ........................... 132 Nicht migrierte Access Gateway-Einstellungen ............................. 135 Weggefallene Einstellungen für das Access Gateway-Gerät .............. 137 Access Controller-Migrationseinstellungen .................................. 140 Nicht migrierte Access Controller-Einstellungen............................ 145 Weggefallene Einstellungen und Features für Access Controller 149 Migration von Access Gateway Advanced Edition ................................ 4 152 Checkliste für die Migration der Einstellungen auf Access Controller 154 Migrieren der vorhandenen Konfigurationsdaten ........................... 155 So installieren Sie den Migrationsassistenten ............................... 156 So exportieren und konvertieren Sie bestehende Advanced Access Control-Konfigurationsdaten ................................................... 157 Importieren der Clusterkonfigurationsdaten ................................ 158 Migrieren von benutzerdefinierten Endpoint Analysis-Scanpaketen 160 Erstellen von Snapshots .............................................................. 161 Verwalten von Snapshots für das Gerätefailover ........................... 162 Verwalten von Snapshots und Access Controller ............................ 163 So erstellen Sie einen Snapshot ............................................... 164 So exportieren Sie einen Snapshot ............................................ 165 So importieren Sie einen gespeicherten Snapshot .......................... 166 So stellen Sie eine frühere oder spätere Version eines Snapshots wieder her ........................................................................ 167 So löschen Sie einen Snapshot ................................................. 168 Neuinstallieren der Access Gateway 5.0-Software............................... 169 Neustart oder Ausschalten des Access Gateways................................. 171 Verwaltung................................................................................... 172 Verwalten des Access Gateway-Geräts ............................................ 173 Installieren und Verwalten von Zertifikaten................................. 174 Installieren eines signierten digitalen Zertifikats und eines privaten Schlüssels ......................................................... 175 Verwalten von Zertifikaten im Access Gateway Certificate Manager ................................................................ 176 Übersicht über Zertifikatsignieranforderungen 177 So erstellen Sie eine Zertifikatsignieranforderung 178 So importieren Sie ein signiertes Serverzertifikat in Access Gateway.................................................. 180 So installieren Sie ein Zertifikat und einen privaten Schlüssel von einem Windows-basierten Computer.................................... 181 Installieren von Stammzertifikaten auf dem Access Gateway 182 Installieren mehrerer Stammzertifikate ................................ 183 Konfigurieren von Platzhalterzertifikaten.............................. 184 So zeigen Sie die Details eines Zertifikats an .......................... 185 So exportieren Sie ein Zertifikat ......................................... 186 Installieren von Zwischenzertifikaten ................................... 187 Hinzufügen von Netzwerkeinstellungen ...................................... 190 Designieren von Netzwerkadaptern für bestimmte Zwecke 191 Ändern von Netzwerkadaptereigenschaften ........................... 192 Umleiten von Verbindungen auf Port 80 an einen sicheren Port 193 Hinzufügen von Namensdienstanbietern................................ 194 Bearbeiten der HOSTS-Datei.............................................. 195 Definieren statischer Routen ............................................. 197 Beispiel für eine statische Route ................................... 198 Ändern von Datum und Uhrzeit auf dem Access Gateway 200 Synchronisieren des Access Gateways mit einem NTP-Server 201 Einrichten des Netzwerkzugriffs ......................................... 202 Installieren zusätzlicher Access Gateway-Geräte........................... 204 Gerätefailover in Access Gateway 5.0 .................................. 206 So aktivieren Sie Gerätefailover auf einem Netzwerkadapter 209 So konfigurieren Sie Gerätefailover auf dem primären Gerät 210 So konfigurieren Sie Gerätefailover auf dem sekundären Gerät.................................................................... 211 So erzwingen Sie ein Failover auf das sekundäre Gerät 212 Einrichten mehrerer Geräte für die Verwendung eines externen Load Balancers.............................................................. 5 213 So erstellen Sie eine Zertifikat für Geräte hinter einem Load Balancer ................................................................ 215 Festlegen eines Load Balancers als Standardgateway 217 Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway .................................................................. 218 Hinzufügen von Authentifizierungsprofilen auf dem Access Gateway-Gerät ............................................................. 219 Erstellen von LDAP-Authentifizierungsprofilen auf dem Gerät 221 So erstellen Sie ein LDAP-Authentifizierungsprofil auf dem Gerät.................................................................... 223 So lassen Sie die Kennwortänderung durch die Benutzer auf dem Gerät zu .......................................................... 225 Bestimmen der Attribute im LDAP-Verzeichnis 226 Erstellen von RADIUS-Authentifizierungsprofilen auf dem Access Gateway-Gerät ............................................................. 227 Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2008 ............................................................ 229 Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2003 ............................................................ 231 So konfigurieren Sie die RADIUS-Authentifizierung 233 Erstellen von RSA SecurID-Authentifizierungsprofilen auf dem Access Gateway-Gerät..................................................... 234 So erstellen Sie ein RSA SecurID-Authentifizierungsprofil auf dem Gerät.............................................................. 236 Hinzufügen der RSA-Einstellungen für mehrere Geräte 237 Erstellen der RSA Agent Host-Datei für das Gerätefailover 238 Zurücksetzen des Node Secrets..................................... 239 Hinzufügen der Autorisierung zum Authentifizierungsprofil auf dem Access Gateway-Gerät............................................... 240 Hinzufügen der LDAP-Autorisierung auf dem Gerät 6 241 So konfigurieren Sie die LDAP-Autorisierung auf dem Gerät .............................................................. 243 LDAP-Gruppenextrahierung direkt vom Benutzerobjekt 244 LDAP-Gruppenextrahierung indirekt vom Gruppenobjekt 245 Hinzufügen der RADIUS-Autorisierung auf dem Access Gateway-Gerät ........................................................ 246 So entfernen Sie von Authentifizierungsprofile aus Access Gateway ..................................................................... 247 Erstellen von Geräteprofilen ................................................... 248 Geräteprofiltypen .......................................................... 249 So fügen Sie einen Dateiscan hinzu ................................ 250 So fügen Sie einen Prozessscan hinzu.............................. 251 So fügen Sie einen Registrierungsscan hinzu 252 So fügen Sie einen Betriebssystemscan hinzu 253 So fügen Sie einen Portscan hinzu.................................. 254 Erstellen eines Scanausdrucks ............................................ 255 Erstellen eines Geräteprofils ............................................. 257 Konfigurieren von Netzwerkressourcen ...................................... 258 Konfigurieren des Netzwerkrouting ..................................... 259 Bereitstellen von Netzwerkzugriff für Benutzer....................... 260 Netzwerkressourcentopologie ............................................ 261 So fügen Sie eine Netzwerkressource hinzu ............................ 263 So entfernen Sie eine Netzwerkressource .............................. 264 Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät 7 265 Anmeldepunkttypen und -einstellungen ................................ 266 Wählen des Authentifizierungstyps für Anmeldepunkte 268 So konfigurieren Sie einen Basic-Anmeldepunkt auf dem Access Gateway ..................................................................... 269 Hinzufügen von Webressourcen zu einem Basic-Anmeldepunkt 270 So konfigurieren Sie einen SmartAccess-Anmeldepunkt auf dem Access Gateway............................................................. 272 So legen Sie den Standardanmeldepunkt auf dem Access Gateway fest ........................................................................... 273 So aktivieren Sie einen SmartAccess-Anmeldepunktanzeige 274 So konfigurieren Sie Zweiquellenauthentifizierung und -autorisierung ............................................................... 276 So konfigurieren Sie die Timeouteinstellungen für einen Anmeldepunkt .............................................................. 277 So deaktivieren Sie einen Anmeldepunkt............................... 278 So löschen Sie einen Anmeldepunkt aus Access Gateway 279 Anpassen der Access Gateway-Anmeldeseite .......................... 280 Hinzufügen von SmartGroups .................................................. 283 So erstellen Sie eine SmartGroup ........................................ 284 Konfigurieren von SmartGroup-Einstellungen.......................... 285 So definieren Sie eine Homepage für Benutzer........................ 287 So fügen Sie einer SmartGroup einen Anmeldepunkt hinzu 288 So fügen Sie einer SmartGroup Geräteprofile hinzu .................. 289 So konfigurieren Sie die Gruppenmitgliedschaft in einer SmartGroup ................................................................. 290 Hinzufügen von Netzwerkressourcen zu einer SmartGroup 292 Definieren von Adresspools ............................................... 293 Wählen der erweiterten Eigenschaften für eine SmartGroup 295 So konfigurieren Sie Timeouteinstellungen für eine SmartGroup ............................................................ 296 Konfigurieren von Access Gateway-Geräteeinstellungen über die Befehlszeile....................................................................... 298 Konfigurieren von Access Gateway 5.0 mit Express Setup So konfigurieren Sie die anfänglichen Netzwerkeinstellungen für Access Gateway 5.0 mit Express Setup........................ 301 Verwalten des Access Gateways über die Befehlszeile 303 Aktivieren von SSH-Zugriff auf die Access Gateway-Befehlszeile 304 So setzen Sie die Standardkonfiguration für Access Gateway über die Befehlszeile zurück ........................................ 305 So setzen Sie Zertifikate über die Befehlszeile zurück 306 Problembehandlung für Access Gateway über die Befehlszeile 307 Aufzeichnen der Netzwerkeinstellungen für die Problembehandlung .................................................. 308 Erstellen eines Support Bundles .................................... 309 Konfigurieren der Protokollierung über die Befehlszeile 311 Verwalten von Access Controller ................................................... 312 Erstkonfiguration von Access Controller ..................................... 313 Funktionsweise der Serverkonfiguration................................ 314 So starten Sie die Serverkonfiguration ............................ 316 Aktivieren von Access Controller ........................................ 318 So fügen Sie Access Controller dem Access Gateway hinzu 320 So aktivieren Sie Access Controller auf dem Access Gateway-Gerät ........................................................ 321 Verwenden der Delivery Services Console ................................... 322 Benutzeroberfläche der Delivery Services Console ................... 323 Suchen von Objekten in Ihrer Umgebung mit der Discovery 324 Konfigurieren von Einstellungen mit dem Dialogfeld "Erste Schritte" ..................................................................... 325 Anpassen der Anzeige mit Ansichten .................................... 326 Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway .................................................................. 327 Erstellen eines Active Directory-Authentifizierungsprofils in Access Controller ........................................................... 328 Erstellen eines LDAP-Authentifizierungsprofils in Access Controller.................................................................... 330 So ermöglichen Sie das benutzerseitige Ändern der Kennwörter für Access Controller .................................. 333 Erstellen eines RADIUS-Authentifizierungsprofils in Access Controller.................................................................... 334 Erstellen eines RSA SecurID-Authentifizierungsprofils in Access Controller.................................................................... 336 Zuweisen von Authentifizierungsprofilen zu Anmeldepunkten 338 So konfigurieren Sie die Zweiquellenauthentifizierung auf dem Access Controller ............................................... So authentifizieren Sie Benutzer in Access Controller Erstellen von Anmeldepunkten auf dem Access Controller ............... 8 300 340 341 342 Konfigurieren eines Basic-Anmeldepunkts.............................. 344 Hinzufügen eines SmartAccess-Anmeldepunkts........................ 346 So stellen Sie einen Anmeldepunkt bereit.............................. 349 Aktualisieren der Informationen auf der Anmeldeseite 350 Einstellen des Standardanmeldepunkts ................................. 351 Entfernen von Anmeldepunkten ......................................... 352 Anpassen der EPA-Wartungsmeldung.................................... 353 Hinzufügen von Ressourcen zum Access Controller ........................ 354 Erstellen von Netzwerkressourcen....................................... 355 Erstellen von Webressourcen ............................................. 358 Konfigurieren von Single Sign-On für Webressourcen Erstellen von Dateifreigaben ............................................. Konfigurieren von Single Sign-On für Dateifreigaben 362 364 Verwenden von dynamischen Systemtoken ............................ 365 Erstellen von Ressourcengruppen für die einfache Richtlinienverwaltung ..................................................... 366 Steuern von Zugriff mit Richtlinien ........................................... 368 Steuern des Benutzerzugriffs ............................................. 369 Integrieren der Zugriffsstrategie......................................... 370 Erstellen von Zugriffsrichtlinien ......................................... 373 Einstellen der Zugriffsebene für Ressourcen 9 361 376 Erstellen von Richtlinieneinstellungen zur Benutzeraktionssteuerung ................................................ 378 Erstellen von Richtlinienfiltern........................................... 380 Erstellen von benutzerdefinierten Filtern ........................ 382 Einstellen von Bedingungen für die Anzeige der Anmeldeseite 384 Konfigurieren der Dokumentsteuerung ................................. 388 Einschränkungen des clientlosen Zugriffs .............................. 390 Überprüfen von Richtlinieninformationen mit der Richtlinienverwaltung ..................................................... 391 Überprüfen von Anforderungen auf Benutzergeräten ...................... 393 Konfigurieren der Endpunktanalyse ..................................... 394 Erstellen von Endpoint Analysis-Scans .................................. 396 Bearbeiten von Bedingungen und Regeln ............................... 399 Hinzufügen von Regeln zu Scans.................................... 400 Scanpakete .................................................................. 403 Hinzufügen von Scanpaketen........................................ 404 Referenz für Scanpakete .................................................. 406 Antivirusscans ......................................................... 407 Einfache Scanpakete ................................................. 412 Browserscans .......................................................... 423 Firewallscans .......................................................... 427 Computeridentifikationsscanpakete ............................... 432 Scanpakete für Betriebssystem ..................................... 434 Verwenden von Scanausgaben in anderen Scans ...................... 437 Verwenden von Datengruppen in Scans ................................. 439 Skripte und Terminierung für Scanupdates............................. 441 Erstellen von erweiterten Endpoint Analysis-Scans ................... 444 Funktionsweise des Citrix Endpoint Analysis Portals Funktionsweise des Malware Scanners 447 Download der Dateien vom Citrix Endpoint Analysis Portal 448 Erstellen einer Richtlinie mit dem erweiterten Endpoint Analysis-Scan .......................................................... 449 So importieren Sie die benutzerdefinierte CAB-Datei in Access Controller ................................................ 450 So erstellen Sie eine Richtlinie mit der erweiterten Endpoint Analysis in Access Controller 451 Konfigurieren zusätzlicher Optionen für erweiterte Endpoint Analysis-Scans ........................................ 453 Bereitstellen des Advanced Endpoint Analysis-Plug-ins 10 445 455 So installieren Sie das Advanced Endpoint Analysis Plug-in in Access Controller.................................... 456 So ordnen Sie das Advanced Endpoint Analysis Plug-in einem Anmeldepunkt zu........................................ 457 Konfigurieren von Clustering und Load Balancing .......................... 458 Funktionsweise von Clustering und Load Balancing ................... 459 So fügen Sie Access Controller-Server einem Cluster hinzu 461 Verwalten mehrerer Cluster in der Delivery Services Console 462 So konfigurieren Sie Load Balancing für Access Controller 463 So konfigurieren Sie Load Balancing für Access Gateway 464 Entfernen des Access Controller-Servers vom Cluster 465 So entfernen Sie ein Access Gateway-Gerät aus dem Cluster 466 Erstellen von API-Abfragen für die Systemüberwachung 467 Benutzerverbindungen ..................................................................... 473 Funktionsweise von Benutzerverbindungen ....................................... 475 Einrichten des sicheren Tunnels............................................... 477 Verbindungen durch Firewalls und Proxyserver ............................. 478 Beenden des sicheren Tunnels und Zurücksenden von Paketen an das Benutzergerät .................................................................... 480 Integrieren des Access Gateway Plug-ins mit Citrix Receiver .................. 481 11 Hinzufügen des Access Gateway Plug-ins in Receiver...................... 483 Konfigurieren von XenApp-Verbindungen mit einer XenApp Services-Site ...................................................................... 486 Definieren globaler Einstellungen für Benutzerverbindungen auf dem Access Gateway-Gerät................................................................ 488 So konfigurieren Sie Single Sign-On für Windows ........................... 489 So aktivieren Sie Split-Tunneling in Access Gateway....................... 490 So authentifizieren Sie Benutzer nach Netzwerk- und Systemunterbrechungen ........................................................ 491 So aktivieren Sie Split DNS ..................................................... 492 Aktivieren von Sitzungstimeouts für Access Gateway Plug-ins ........... 493 Aktivieren von Multistream-ICA-Verbindungen .............................. 495 So schließen Sie Benutzerverbindungen...................................... 496 Konfigurieren der Access Gateway Plug-in-Einstellungen in Access Controller............................................................................... 497 Erstellen von Verbindungsrichtlinien ......................................... 499 Aktivieren von Split-Tunneling in Access Controller........................ 502 So aktivieren Sie das Repeater Plug-in ....................................... 503 Gewähren von Zugriff auf das gesamte Netzwerk .......................... 504 Installieren des Access Gateway Plug-ins mit dem Microsoft Installer (MSI)-Paket ............................................................................. 505 Installation des MSI-Pakets mit einer Gruppenrichtlinie................... 506 Installieren des MSI-Pakets durch Ankündigen .............................. 507 Verbinden mit Access Gateway und Netzwerkressourcen....................... 509 Bereitstellen von Anmeldeinformationen für die Benutzer ............... 511 Installieren des Access Gateway Plug-ins .................................... 512 Anmelden am Access Gateway über den Anmeldepunkt .................. 513 Anmelden mit dem Access Gateway Plug-in für Windows ................. 514 Anmelden mit dem Access Gateway Plug-in für Mac OS X................. 516 Aktualisieren des Access Gateway Plug-ins .................................. 517 Zulassen von Benutzeranmeldungen mit früheren Versionen des Access Gateway Plug-ins........................................................ 518 Überlegungen zur Webbrowsersicherheit .................................... 520 Hinzufügen von Proxyservern für das Access Gateway Plug-in ........... 522 Integration ................................................................................... 523 Zugriff auf veröffentlichte Anwendungen und Desktops ........................ 524 Integrieren von Access Gateway mit XenApp oder XenDesktop 525 Herstellen einer sicheren Verbindung zur Serverfarm ..................... 526 Einrichten einer Webinterface-Site für Access Gateway........................ 530 Webinterface-Funktionen ...................................................... 531 12 Einrichten einer Webinterface-Site ........................................... 532 Wählen der Zugriffsmethode ............................................. 533 Erstellen einer Webinterface-Site in XenApp 5.0 ........................... 534 So konfigurieren Sie Access Gateway-Einstellungen für das Webinterface in XenApp 5.0 .............................................. 536 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.2 537 Erstellen einer Webinterface 5.3-Site ........................................ 540 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.3 ............................................................................ 542 Hinzufügen von XenApp und XenDesktop zu einer einzelnen Site 544 Erstellen von Benutzerverbindungen durch Access Gateway zu XenApp 5.0.................................................................................. 546 Erstellen von Benutzerverbindungen zu XenApp 6 oder XenDesktop 5 547 So erstellen Sie einen XenApp 6.0-Richtlinienfilter für Access Gateway-Verbindungen.................................................... 548 So erstellen Sie eine XenApp 6.0-XML-Vertrauensstellungsrichtlinie .................................. 549 So erstellen Sie einen XenDesktop 5-Richtlinienfilter für Access Gateway-Verbindungen.................................................... 550 So erstellen Sie eine XenDesktop 5-XML-Vertrauensstellungsrichtlinie..................................... 551 Benutzer ihre Kennwörter im Webinterface ändern lassen ............... 552 Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface .......................................................................... 553 So konfigurieren Sie das Access Gateway-Gerät für die Secure Ticket Authority .......................................................................... 554 So konfigurieren Sie die ICA-Zugriffssteuerung auf dem Access Gateway-Gerät ................................................................... 555 So konfigurieren Sie das Webinterface als Anmeldeseite ................. 556 Konfigurieren von Access Gateway für eine XenApp Services-Site 557 Konfigurieren von Single Sign-On am Webinterface auf dem Access Gateway-Gerät ........................................................................ 559 So konfigurieren Sie einen einfachen Anmeldepunkt für Single Sign-On am Webinterface ................................................................ 560 So konfigurieren Sie eine SmartGroup für Single Sign-On am Webinterface ..................................................................... 561 Konfigurieren des Webinterface für Single Sign-On ........................ 562 Integrieren von XenApp und XenDesktop mit Access Controller. .............. 563 Verknüpfen von Access Controller und Citrix XenApp oder XenDesktop 564 Angeben von XenApp-Serverfarmen .......................................... 566 Konfigurieren von Adressmodi............................................ 568 Integrieren des Webinterface.................................................. 569 Beibehalten von Workspace Control..................................... 571 Koordinieren von Access Controller und Webinterface-Einstellungen .............................................. 572 13 Konfigurieren von Single Sign-On beim Webinterface auf dem Access Controller ..................................................... 573 Hinzufügen der Secure Ticket Authority auf dem Access Controller.................................................................... 574 Hinzufügen der ICA-Zugriffssteuerung auf dem Access Controller 575 Konfigurieren der Dateitypzuordnung................................... 577 Konfigurieren von Load Balancing oder Failover für XenApp 578 Integrieren von Drittanbieterportalen .................................. 580 Überwachung ................................................................................ 582 Einrichten der Ereignisprotokollierung in Access Gateway ..................... 584 Verfügbare Access Gateway-Ereignisprotokolltypen ....................... 585 Konfigurieren der Access Gateway-Ereignisprotokollierung............... 586 Anzeigen von Access Gateway-Protokollen .................................. 588 So filtern Sie Access Gateway-Protokolle............................... 589 Anzeigen der Access Gateway Plug-in-Verbindungsprotokolle............ 590 Verwalten der Access Controller-Umgebung ...................................... 591 Steuern des Zugriffs mit mehreren Konsolen................................ 592 Sichern der Delivery Services Console mit COM+ ........................... 593 Aktivieren der Sicherheit zwischen Access Gateway und Access Controller ......................................................................... 595 Sicherstellen der Clusterverfügbarkeit ....................................... 597 Ändern der Anmeldeinformationen für das Dienstkonto und die Datenbank ........................................................................ 600 Überwachen von Sitzungen..................................................... 601 Überwachen des Zugriffs auf interne Netzwerkressourcen ..................... 603 Konfigurieren der Überwachungsprotokollierung ........................... 604 Interpretieren der Überwachungsereignisse................................. 608 Fehlerbehebung beim Benutzerzugriff auf Ressourcen .................... 609 Access Gateway 5.0 Citrix Access Gateway ist eine sichere Anwendungszugriffslösung, die Administratoren durch Richtlinien auf Anwendungsebene und Aktionssteuerung ermöglicht, den Zugriff auf Anwendungen und Daten zu sichern während sie Benutzern gleichzeitig ermöglichen, an einem beliebigen Ort zu arbeiten. IT-Administratoren erhalten eine Steuerungszentrale und Tools, die sie dabei unterstützen, Regelungen einzuhalten und hochgradige Informationssicherheit innerhalb und außerhalb des Unternehmens zu gewährleisten. Gleichzeitig gibt es Benutzern einen einzelnen Zugriffspunkt zu den Unternehmensanwendungen und Daten, die sie benötigen – optimiert anhand von Rollen, Geräten und Netzwerken. Diese einzigartige Kombination von Funktionen hilft, die Produktivität der heutigen, mobilen Mitarbeiter zu maximieren. Access Gateway 5.0 umfasst das Access Gateway-Gerät und eine optionale Komponente, Citrix Access Controller. Viele Funktionen, die Sie früher in Access Controller konfiguriert haben, werden jetzt auf dem Gerät konfiguriert. An dieser Stelle In diesem Bereich der eDocs wird Access Gateway 5.0 eingeführt und beschrieben, wie Sie das Access Gateway-Gerät und Access Controller konfigurieren. 14 Info zu diesem Release Enthält Informationen über dieses Release, einschließlich Access Gateway-Features, Komponenten, neue Funktionen und bekannte Probleme. Systemanforderungen Enthält Systemanforderungen für das Gerät, Access Controller, das Access Gateway Plug-in und Single Sign-On am Webinterface. Außerdem finden Sie Informationen über das Clustering und Load Balancing für Access Gateway-Geräte und Access Controller-Server. Planen Bietet Informationen für die Evaluierung und Planung der Installation von Access Gateway. Bereitstellung Bietet Informationen über die Bereitstellung von Access Gateway, Access Controller, sowie die Bereitstellung mit XenApp und XenDesktop. Außerdem finden Sie Informationen zum Bereitstellen des Webinterface mit Access Gateway. Installation und Einrichtung Enthält die Access Gateway-Installationscheckliste und Informationen über die Installation von Access Controller. Access Gateway 5.0 15 Lizenzierung Enthält Informationen über die Lizenzierung von Access Gateway 5.0. Upgrade und Migration Biete Anweisungen für das Upgrade von Gerät und Access Controller sowie die Einstellungen, die von früheren Versionen migriert werden können. Verwalten Bietet Informationen über das Konfigurieren der Einstellungen auf dem Access Gateway-Gerät und in Access Controller. Benutzerverbindungen Bietet Informationen über das Bereitstellen des Access Gateway Plug-ins und die Methoden, mit denen Benutzer die Verbindung herstellen können. Integration Finden Sie eine Beschreibung, wie Sie Citrix XenApp- und Citrix XenDesktop-Einstellungen auf dem Access Gateway-Gerät und in Access Controller konfigurieren. Überwachen Finden Sie eine Beschreibung der Verwaltungsaufgaben in der Access Gateway-Umgebung. Info zu diesem Release Citrix Access Gateway 5.0 bietet neue Features und Funktionalität für Benutzerverbindungen. Mit Access Gateway 5.0 wird die Access Gateway Management Console eingeführt, eine webbasierte Anwendung, die Sie für die folgenden neuen Features und Netzwerkkonfigurationsoptionen verwenden: • SmartGroups • Anmeldepunkte • Geräteprofile • Snapshots • Gerätefailover • Clustering und Load Balancing mit Access Controller Zu den neuen Features für Access Controller gehören die Delivery Services Console, Active Directory-Authentifizierung (nicht LDAP), erweiterte Endpoint Analysis, zentrale Steuerung für mehrere Access Gateway-Geräte und zentralisierte Protokollierung. Dieser Abschnitt bietet eine Einführung in Access Gateway, neue und wichtige Features für Access Gateway und Access Controller sowie bekannte Probleme für Access Gateway, Access Controller und das Access Gateway Plug-in. 16 Info zu diesem Release Citrix Access Gateway 5.0 bietet neue Features und Funktionalität für Benutzerverbindungen. Mit Access Gateway 5.0 wird die Access Gateway Management Console eingeführt, eine webbasierte Anwendung, die Sie für die folgenden neuen Features und Netzwerkkonfigurationsoptionen verwenden: • SmartGroups • Anmeldepunkte • Geräteprofile • Snapshots • Gerätefailover • Clustering und Load Balancing mit Access Controller Zu den neuen Features für Access Controller gehören die Delivery Services Console, Active Directory-Authentifizierung (nicht LDAP), erweiterte Endpoint Analysis, zentrale Steuerung für mehrere Access Gateway-Geräte und zentralisierte Protokollierung. Dieser Abschnitt bietet eine Einführung in Access Gateway, neue und wichtige Features für Access Gateway und Access Controller sowie bekannte Probleme für Access Gateway, Access Controller und das Access Gateway Plug-in. 17 Einführung Bevor Sie Access Gateway installieren und konfigurieren, sollten Sie Ihre Bereitstellung planen. Dies kann folgende Punkte umfassen: wo das Gerät installiert wird, Installation mehrerer Geräte in der DMZ, Bereitstellen der Access Controller-Software unter Windows Server 2008 und wo die Lizenzen installiert werden. Sie können auch die Access Gateway-Installationscheckliste verwenden, in der Sie Ihre Einstellungen vor der Access Gateway-Konfiguration notieren können. Das Access Gateway kann in einer beliebigen Netzwerkinfrastruktur ohne Änderungen an der vorhandenen Hardware oder der Software, die im sicheren Netzwerk ausgeführt wird, installiert werden. Access Gateway kann zusammen mit anderen Netzwerkprodukten, wie z. B. Server Load Balancers, Cache-Engines, Firewalls, Routern und drahtlosen IEEE 802.11-Geräten eingesetzt werden. Bevor Sie Access Gateway installieren, beachten Sie die folgenden Informationen über die ersten Schritte mit Access Gateway. 18 Access Gateway 5.0-Installationscheckliste Bietet Planungsinformationen und eine Liste der Aufgaben, bevor Sie Access Gateway im Netzwerk installieren. Bereitstellen von Access Gateway im Netzwerk Bietet Informationen über die Bereitstellung des Access Gateways in der DMZ des Netzwerks, in einem gesicherten Netzwerk ohne DMZ und mit weiteren Geräten für Load Balancing und Failover. Außerdem finden Sie Informationen über die Bereitstellung von Access Gateway mit Citrix XenApp und Citrix XenDesktop. Migrieren auf Access Gateway 5.0 Bietet Informationen über die Migration von Access Gateway und Access Controller von früheren Versionen. Enthält Informationen über migrierte Einstellungen und Features, die nicht weitergeführt werden. Access Gateway Management Console Bietet Informationen über die Access Gateway Management Console zum Konfigurieren von Einstellungen und für andere Aufgaben. Installieren von Lizenzen auf dem Access Gateway Bietet Informationen über die Installation von Lizenzen auf dem Gerät und das Verwalten von Lizenzen mit der Citrix Lizenzierung. Bietet außerdem Informationen über das Installieren von Lizenzen auf mehreren Access Gateway-Geräten. Hauptfeatures Access Gateway lässt sich leicht bereitstellen und verwalten. In einer typischen Bereitstellungskonfiguration wird das Access Gateway-Gerät in der DMZ installiert. Sie können in Ihrem Netzwerk mehrere Access Gateway-Geräte installieren, um eine komplexe Bereitstellung zu erreichen. Wenn Sie zusätzliche Funktionen benötigen, können Sie auch Access Controller bereitstellen. Wenn Sie Access Gateway zum ersten Mal starten, konfigurieren Sie in der Access Gateway Management Console die Grundeinstellungen für Ihr internes Netzwerk, z. B. IP-Adresse, Subnetzmaske, Standardgateway-IP-Adresse und DNS-Adresse. Nachdem Sie die Grundeinstellungen für das Netzwerk konfiguriert haben, konfigurieren Sie die Einstellungen für den Access Gateway-Betrieb, z. B. Authentifizierungsoptionen, Autorisierung, Netzwerkressourcen, Anmeldepunkte, SmartGroups, Adresspools und Geräteprofile, um Endpunktrichtlinien zu konfigurieren. Die Hauptfeatures von Access Gateway sind: • Authentifizierung • Beenden verschlüsselter Sitzungen • Zugriffssteuerung (basierend auf Berechtigungen) • Datenverkehrübertragung (wenn die ersten drei Funktionen ausgeführt werden) • Unterstützung für mehrere Anmeldepunkte Access Controller-Komponenten und -Features Access Controller erweitert die Access Gateway-Umgebung mit den folgenden Standardkomponenten und -features: 19 • Zentralisierte Administration: In Bereitstellungen mit mehreren Geräten können Sie mit der Delivery Services Console Authentifizierungs- und Zugriffssteuerungsrichtlinien an derselben Stelle definieren. Sie können auch Einstellungen konfigurieren, damit die Richtlinien auf allen Geräten in der Umgebung durchgesetzt werden. Die Delivery Services Console ist dasselbe Tool, mit dem Sie Citrix XenApp und Citrix XenDesktop konfigurieren. • Windows-Authentifizierung mit Active Directory: Anstelle von LDAP- oder RADIUS-Protokollen kann Access Controller native Windows-APIs für die Authentifizierung verwenden, um einen passenden Domänencontroller zu finden und Benutzer von mehreren vertrauenswürdigen Domänen zu authentifizieren. • Clientloser Zugriff auf Websites und Dateifreigaben: Mit Access Controller können Sie den Zugriff auf Web- und Dateiressourcen definieren und steuern. Wenn sich Benutzer an Access Gateway anmelden, wird ihnen eine dynamisch erstellte Zugriffsnavigationsseite mit Links zu den Ressourcen angezeigt, auf die sie zugreifen können. Hauptfeatures • Erweiterte Endpunktanalyse: Access Controller bietet erweiterte Endpunktanalysescans, u. a.: • Erkennen von Antiviren- und persönlicher Firewallsoftware von McAfee, Symantec, Norton und TrendMicro • Unterstützen von Windows Security Center für Windows XP SP3, Windows Vista und Action Center für Windows 7 • Verbesserte Clientnetzwerkbandbreite • Unterstützen von Windows Service Packs und Updates Unterstützen von Benutzergerät-MAC-Adressen Sie erstellen einen erweiterten Endpoint Analysis-Scan mit dem Citrix Endpoint Analysis Portal, powered by OPSWAT. Sie können benutzerdefinierte Endpoint Analysis-Scans für eine große Anzahl von Produkten erstellen. Weitere Informationen finden Sie unter Erstellen von erweiterten Endpoint Analysis-Scans. • 20 • Endpoint Analysis SDK: Kunden und Partner können mit dem Citrix Endpoint Analysis SDK für Access Controller Endpoint Analysis-Scans erweitern. • Erweiterte Verfügbarkeit: Wenn Sie mehrere Geräte bereitstellen, kann Access Controller den eingehenden Datenverkehr eigenständig auf mehrere Geräte und mehrere Controller-Server verteilen. Access Gateway-Verwendungsmodi Sie können Access Gateway auf die drei folgenden Arten verwenden: 21 • Verbindungen nur über das Gerät: In diesem Szenario ist das Access Gateway als eigenständige Anwendung in der DMZ installiert. Benutzer melden sich mit dem Citrix Access Gateway Plug-in an, um eine direkte Verbindung zu Access Gateway herzustellen. Sie können dann auf Netzwerkressourcen wie E-Mail und Webserver zugreifen. • Verbindungen über das Webinterface, Citrix XenApp oder Citrix XenDesktop: In diesem Szenario melden sich Benutzer am Webinterface an. Dann stellen Sie eine Verbindung zu ihren Anwendungen auf XenApp oder veröffentlichten Desktops auf XenDesktop her. Je nachdem wie das Access Gateway mit XenApp bereitgestellt wurde, können Benutzer nur mit Citrix Online Plug-ins oder mit dem Access Gateway Plug-in Verbindungen herstellen oder sie können gleichzeitige Verbindungen mit beiden Plug-ins herstellen. Weitere Informationen finden Sie unter Bereitstellen von Access Gateway mit XenApp oder XenDesktop. • Verbindungen mit Access Controller: In diesem Szenario ist das Access Gateway in der DMZ installiert. Sie konfigurieren die anfänglichen TCP/IP-Einstellungen für das Gerät bei der Installation des Geräts. Um fortgeschrittene Einstellungen für die Verwaltung des Access Gateways zu konfigurieren, verwenden Sie die Delivery Services Console, die Teil von Access Controller ist. Weitere Informationen finden Sie unter Bereitstellen von Access Gateway mit Access Controller. Kompatibilität mit Citrix Produkten Die folgende Tabelle enthält die Namen und Versionen der Citrix Produkte, die mit Access Gateway Version 5.0 kompatibel sind. Citrix Produkt Releaseversion Branch Repeater 5.7 und 5.5 NetScaler 9.2 und 9.1 Webinterface 5.4 und 5.3 XenApp 6.0 für Windows Server 2008 R2 5.0 Feature Pack 2 für Windows Server 2003 5.0 (Windows Server 2003 und 2008) 22 XenDesktop 5.0 und 4.0 XenServer 5.6 und 5.5 Terminologieänderungen Mit dem Release von Access Gateway 5.0 hat sich die Terminologie, mit der Produktkomponenten beschrieben werden, teilweise geändert. In der folgenden Liste finden Sie aktualisierte Terminologie für die Clientsoftware, Citrix XenApp und die Managementkonsolen. Unter Vorgang Access-Serverfarm Cluster Administration Tool Access Gateway Management Console Administration Portal Access Management Console Citrix Delivery Services Console (für XenApp, XenDesktop und Access Controller) Citrix Webinterface-Verwaltung (für Webinterface 5.2 und 5.3) Authentifizierungsberei ch LDAP-Authentifizierungsprofil Program Neighborhood Agent Citrix XenApp Plug-ins (Version 11.0) Citrix Online Plug-ins (Version 11.2 und höher) 23 Citrix WANScaler Citrix Branch Repeater Citrix Webclient Citrix XenApp Web Plug-in Endpoint Analysis Client Endpoint Analysis Plug-in Endpoint Analysis-Richtlinien Geräteprofile (gelten nur für das Gerät) IP-Pools Adresspools Standardhomepage oder Navigationsseite Access Interface WANScaler Client Repeater Plug-in Webclient Citrix Web Plug-in Neue Funktionen Access Gateway 5.0 enthält folgende neue Features auf dem Gerät: 24 • Access Gateway Management Console: Die Managementkonsole ersetzt das Administration Tool und Administration Portal in früheren Versionen des Geräts. Die Managementkonsole, eine webbasierte Anwendung, erleichtert die Installation von Zertifikaten, die Konfiguration der Zugriffssteuerung und die Überwachung der Aktivität von Flash-fähigen Webbrowsern. • Authentifizierungsprofile: Authentifizierungsprofile ersetzen Authentifizierungsbereiche. Sie können LDAP-, RADIUS- und RSA-Profile auf dem Gerät konfigurieren. Mit Anmeldepunkten können Sie Zweiquellenauthentifizierung konfigurieren. Außerdem können Sie auf dem Access Controller Active Directory-Authentifizierung verwenden. Weitere Informationen zum Konfigurieren der Authentifizierung in Gateway oder Access Controller finden Sie unter Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway und Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway. • Anmeldepunkte: Jedes Access Gateway-Gerät kann mehrere Anmeldepunkte hosten, um verschiedene Features oder verschiedene Benutzergruppen zu unterstützen. Sie können Basic- und SmartAccess-Anmeldepunkte konfigurieren. Mit Basic-Anmeldepunkten können Benutzer nur mit Citrix Online Plug-ins Verbindungen herstellen, wodurch sie Zugriff auf veröffentlichte Anwendungen oder Desktops erhalten. Benutzer benötigen keine universelle Lizenz, wenn sie sich über einen Basic-Anmeldepunkt anmelden. Mit SmartAccess-Anmeldepunkten können Benutzer Verbindungen mit dem Access Gateway Plug-in herstellen und haben größeren Zugriff auf Netzwerkressourcen. • SmartGroups: SmartGroups in Access Gateway enthalten eine Sammlung von Einstellungen, die Benutzer nach folgenden Kriterien zusammenfassen: Identität, Authentifizierungs- und Autorisierungstyp und Ergebnisse der Endpunktanalyse (wie in den Geräteprofilen definiert). Zuerst definieren Sie die Kriterien, die Benutzer erfüllen müssen, um Mitglied einer SmartGroup zu werden, und dann definieren Sie die Netzwerkressourcen, Aktionen und anderen Einstellungen für die SmartGroup. • Geräteprofile: Mit Geräteprofilen können Sie Endpoint Analysis-Scans konfigurieren. Wenn Sie ein Geräteprofil in einem Anmeldepunkt aktivieren, ermittelt der Endpoint Analysis-Scan, ob Benutzern die Anmeldeseite angezeigt wird und ob sie sich anschließend anmelden. Wenn Sie ein Geräteprofil in einer SmartGroup aktivieren, bestimmt das ausgewählte Geräteprofil, ob der Benutzer die Berechtigungen für diese SmartGroup erhält. • Snapshots: Sie können einen Snapshot der Gerätekonfiguration zu einem bestimmten Zeitpunkt machen. Sie können Snapshots auf Ihren Computer exportieren und zu einem früheren Snapshot zurückgehen. Mit der Registerkarte Snapshots in der Managementkonsole können Sie Upgrades auf neue Versionen der Access Gateway-Software durchführen. • Gerätefailover: Sie können zwei Access Gateway-Geräte als Failoverpaar konfigurieren. Die Geräte arbeiten im Aktiv/Passiv-Modus, in dem das primäre Gerät alle Benutzerverbindungen verarbeitet und das sekundäre Gerät das primäre Gerät Neue Funktionen überwacht und Sitzungsinformationen synchronisiert. Wenn das primäre Gerät ausfällt, tritt das sekundäre Gerät an seine Stelle. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Access Gateway-Geräte für das Load Balancing und Gerätefailover. Neues in Access Controller Neue Features in Access Controller: 25 • Erweiterte Verfügbarkeit: Wenn in Access Gateway 5.0 auf mehreren Servern Access Controller ausgeführt wird, werden diese Server als Cluster bezeichnet. Mehrere Geräte und mehrere Controller stellen gemeinsam eine ununterbrochene Verfügbarkeit der Lösung sicher. • Erweiterte Endpunktabfrageoptionen: Sie können die Endpoint Analysis-Anforderungen auf dem Access Controller konfigurieren. Sie können die integrierten Optionen zum Erstellen von Scanpaketen verwenden. Sie können außerdem Scanpakete und ein aktualisiertes Endpoint Analysis Plug-in mit dem Citrix Portal powered by OPSWAT erstellen. • Erweiterte Authentifizierungsoptionen: Zusätzlich zu LDAP-, RADIUS- und RSA-Authentifizierung können Sie Active Directory-Authentifizierungsprofile in Access Controller konfigurieren. • Zentralisierte Steuerung mehrerer Access Gateway-Geräte: Sie verwenden das Clusterund Load Balancing-Feature, um ein Cluster von Access Controller-Servern zu erstellen und dann einen Lastausgleich der Server und Access Gateway-Geräte vorzunehmen. • Sitzungsfreigabe über mehrere Access Gateway-Geräte: Wenn sich Benutzer anmelden, leitet Access Gateway die Verbindung an den Access Controller-Server weiter. Access Controller leitet die Sitzung dann an ein Gerät im Netzwerk weiter mit Sitzungsfreigabe über mehrere Geräte. • Zentralisierte Zugriffsprotokollierung: Sie können die Protokollierung in Access Gateway konfigurieren, um gesetzliche Vorschriften zu erfüllen und den Benutzerzugriff auf das Netzwerk zu überwachen. • Delivery Services Console: Sie können Access Controller mit der Delivery Services Console konfigurieren, die jetzt stärker an XenApp und XenDesktop angelehnt ist. Access Gateway Management Console Die Access Gateway Management Console bietet eine webbasierte Benutzeroberfläche, mit der Sie administrative Aufgaben in Access Gateway durchführen können. Nachdem das Access Gateway-Gerät physikalisch im Netzwerk installiert ist und Sie die anfänglichen TCP/IP-Einstellungen konfiguriert haben, können Sie mit der Access Gateway Management Console weitere Einstellungen konfigurieren. Hinweis: Sie können wählen, welcher Netzwerkadapter zum Verwalten des Access Gateways verwendet wird. Access Gateway VPX unterstützt mehr als zwei Netzwerkadapter, Sie können also wählen, welcher Adapter für die Verwaltungsrolle verwendet wird. Weitere Informationen über das Angeben des Netzwerkadapters für den Zugriff auf die Managementkonsole finden Sie unter Designieren von Netzwerkadaptern für bestimmte Zwecke. In der Managementkonsole können Sie Folgendes tun: • Ändern des Administratorkennworts • Anzeigen der Gerätestatistiken • Konfigurieren der Netzwerkeinstellungen • Überwachen der Netzwerkverbindungen • Anzeigen der Access Gateway-Protokolle • Installieren und Verwalten von Zertifikaten • Hochladen von Lizenzen auf das Access Gateway-Gerät • Erstellen von Geräteprofilen und Aktivieren von Geräteprofilen in Anmeldepunkten und SmartGroups • Hochladen einer gespeicherten Konfiguration oder eines Softwareupgrades • Speichern der Access Gateway-Konfiguration • Neustarten und Herunterfahren des Access Gateways Wenn Sie Access Controller als Teil der Bereitstellung verwenden, konfigurieren Sie die Einstellungen für einen Access Controller-Server auf dem Access Gateway in der Managementkonsole. Wenn Access Gateway eine Verbindung zu Access Controller herstellt, führt Access Gateway automatisch ein Discovery für alle Access Controller-Server im Cluster durch. 26 So melden Sie sich an der Access Gateway Management Console an 1. Geben in einem Webbrowser die IP-Adresse und den Administratoranmeldepunkt für die Managementkonsole ein. Beispiel: https://AccessGatewayIPAddress/lp/adminlogonpoint/ 2. Geben Sie in das Feld User name den Text admin ein. 3. In das Feld Password geben Sie das Standardkennwort admin ein oder das neue Kennwort, wenn Sie es mit der seriellen Konsole geändert haben. 4. Klicken Sie auf Log On, um die Managementkonsole zu öffnen. Hinweis: Um die Managementkonsole im Vollbildmodus anzuzeigen, klicken Sie auf die Maximieren-Schaltfläche oder drücken Sie F11. 27 So ändern Sie das Administratorkennwort in der Managementkonsole Access Gateway hat ein standardmäßiges Administratorkonto, das vollen Zugriff auf das Gerät ermöglicht. Der vorkonfigurierte Standardbenutzername ist admin und das Kennwort ist admin. Sie können das Administratorkennwort in der Access Gateway Management Console oder der seriellen Konsole ändern. Um das Access Gateway vor nicht autorisiertem Zugriff zu schützen, empfiehlt Citrix, dass Sie das Administratorkennwort mit der seriellen Konsole ändern, wenn Sie das Gerät zum ersten Mal im Netzwerk installieren. Hinweis: Wenn Sie das Kennwort des Administratorkontos auf den Standardwert zurücksetzen möchten, müssen Sie die Access Gateway-Gerätesoftware neu installieren. Das neue Kennwort darf 6 bis 127 Zeichen enthalten. Weder am Anfang noch am Ende darf ein Leerzeichen stehen. 1. Klicken Sie in der Access Gateway Management Console auf die Registerkarte Management. 2. Klicken Sie unter System Administration auf Password. 3. Geben Sie unter Administrative Password das aktuelle Kennwort und das neue Kennwort in die erforderlichen Felder ein. 4. Klicken Sie auf Save. 28 Übersicht über Anmeldepunkte Auf einem Access Gateway definiert ein Anmeldepunkt die Anmeldeseite für Benutzer und gibt die Einstellungen an, die in Benutzersitzungen angewendet werden. Zu diesen Einstellungen gehören der Authentifizierungstyp, der Autorisierungstyp, der Anmeldepunkttyp, die zu verwendende Clientsoftware und die Geräteprofileinstellungen. Access Gateway unterstützt die folgenden zwei Anmeldepunkttypen: • Basic: Basic-Anmeldepunkte werden nur für XenApp- oder XenDesktop-Verbindungen verwendet. Endpunktanalyse, Verbindungen mit dem Access Gateway Plug-in, SmartAccess sowie andere fortgeschrittene Features sind deaktiviert. Diese Basic-Funktionen werden mit einer Plattformlizenz aktiviert, die eine unbegrenzte Anzahl von Benutzern unterstützt. Benutzer verbrauchen keine universelle Access Gateway-Lizenz, wenn sie sich mit einem Basic-Anmeldepunkt anmelden. Authentifizierte Benutzer, die sich von einem Webbrowser anmelden, werden an eine einzelne URL weitergeleitet. Dies ist üblicherweise ein Webinterface-Server im sicheren Netzwerk. • SmartAccess: SmartAccess-Anmeldepunkte ermöglichen Verbindungen vom Access Gateway Plug-in und den Citrix Online Plug-ins. Benutzern stehen alle Access Gateway-Features, die von einer Kombination aus Gerät und Access Controller geboten werden, zur Verfügung, u. a. clientloser Zugriff, Geräteprofile, erweiterte Endpunktanalyse und SmartAccess-Filter für XenApp und XenDesktop. Benutzer verbrauchen eine universelle Access Gateway-Lizenz bei der Anmeldung. Weitere Informationen zu Anmeldepunkten finden Sie unter Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät. 29 Übersicht über SmartGroups SmartGroups enthalten eine Sammlung von Einstellungen, die Benutzer nach folgenden Kriterien zusammenfassen: Identität, Standort, Authentifizierungstyp und Ergebnisse der Endpunktanalyse (wie in den Geräteprofilen definiert). Zuerst definieren Sie die Kriterien, die Benutzer erfüllen müssen, um Mitglied einer SmartGroup zu werden. Dann definieren Sie die Netzwerkressourcen, Aktionen und anderen Einstellungen für die SmartGroup. Sie können eine oder mehrere SmartGroups auf dem Access Gateway-Gerät, um den Zugriff auf Ressourcen zu steuern. Außerdem können Sie Anmeldepunkte konfigurieren, die die Kriterien dafür definieren, Mitglied einer SmartGroup zu werden. Weitere Informationen zur Verwendung und Konfiguration von SmartGroups finden Sie unter Hinzufügen von SmartGroups. 30 Übersicht über Geräteprofile Sie können mit Geräteprofilen ein Profil erstellen, das eine Reihe von Kriterien auf dem Benutzergerät überprüft, wenn sich ein Benutzer am Netzwerk anmeldet. Bevor Benutzer Zugriff auf das Netzwerk erhalten, muss das Gerät die Kriterien erfüllen, die Sie im Geräteprofil festgelegt haben. Beispiel: Ein Administrator in der Firma ABC definiert ein Geräteprofil mit dem Namen "Firmenlaptop mit Vista", das Windows Vista-Computern in der Domäne ABC entspricht und einen Wasserzeichenwert in der Windows-Registrierung enthält. Wenn das Benutzergerät diese Kriterien erfüllt, darf der Benutzer sich am Netzwerk anmelden. Nachdem Sie das Geräteprofil konfiguriert haben, können Sie es in einem Anmeldepunkt und einer SmartGroup folgendermaßen aktivieren: • Anmeldepunkte konfigurieren Sie auf dem Access Gateway-Gerät. Anmeldepunkte definieren die Anmeldeseite für Benutzer und legen fest, welche Einstellungen, z. B. Geräteprofile, auf Benutzersitzungen angewendet werden. Weitere Informationen zu Anmeldepunkten finden Sie unter Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät. • Sie definieren SmartGroups auf dem Access Gateway-Gerät, um den Zugriff auf Ressourcen zu steuern. Wenn Sie ein Geräteprofil in der SmartGroup aktivieren, bestimmt das Geräteprofil die Zugriffsberechtigungen der Benutzer für diese SmartGroup. Weitere Informationen über SmartGroups finden Sie unter Hinzufügen von SmartGroups. Weitere Informationen über Geräteprofile finden Sie unter Erstellen von Geräteprofilen. 31 Übersicht über Snapshots Sie verwenden Konfigurationssnapshots, um alle Access Gateway-Einstellungen, Lizenzen und Zertifikate zu einem bestimmten Zeitpunkt aufzuzeichnen. Mit diesem Feature können Sie später problemlos Ihre Konfigurationseinstellungen wiederherstellen, indem Sie einen gespeicherten Snapshot importieren, um beispielsweise eine neues Image auf das Gerät zu kopieren. Wenn Sie Access Gateway 5.0 das erste Mal installieren, erstellt das Access Gateway-Gerät automatisch einen Snapshot der Konfiguration. Wenn Sie Access Gateway auf Access Controller umstellen, erstellt das Gerät automatisch einen Konfigurationssnapshot. Sie können zusätzlich zu verschiedenen Zeitpunkten Snapshots erstellen, beispielsweise nachdem Sie die anfänglichen Einstellungen konfiguriert, Anmeldepunkte oder SmartGroups erstellt haben. Weitere Informationen über Snapshots finden Sie unter Verwalten des Access Gateways mit Snapshots. 32 Übersicht über Netzwerkressourcen Netzwerkressourcen identifizieren die Bereiche im sicheren Netzwerk, zu denen Sie Benutzern Zugriff gewähren. Beispiel: Sie können einem Benutzer Zugriff auf eine einzelne Dateifreigabe gewähren oder dem Benutzer vollen Zugriff auf alle Ressourcen im Netzwerk geben. Nachdem Sie Netzwerkressourcen in der Access Gateway Management Console erstellt haben, konfigurieren Sie SmartGroups, um Zugriff auf die Netzwerkressource zu gewähren oder zu verbieten. Weitere Informationen über Netzwerkressourcen finden Sie unter Konfigurieren von Netzwerkressourcen. 33 Übersicht über die Delivery Services Console Die Delivery Services Console erweitert die Verwaltungsmöglichkeiten für Ihre Bereitstellung durch Integration vieler Verwaltungsfunktionen Ihrer Citrix Produkte in die Microsoft Management Console (MMC). Sie verwenden die Delivery Services Console, um die Einstellungen auf dem Access Controller zu konfigurieren. Die Delivery Service Console ist ein Snap-In für die MMC. Die Managementfunktionen werden durch eine Anzahl an Verwaltungstools (Erweiterungs-Snap-Ins) zur Verfügung gestellt, die Sie bei der Installation von Citrix Access Controller auswählen oder später der Konsole hinzufügen können. Sie können die Delivery Services Console auf jedem Computer im Netzwerk installieren. Weitere Informationen finden Sie unter Anforderungen für die Delivery Services Console. Die Delivery Services Console ersetzt die Access Management Console. Weitere Informationen finden Sie unter Verwenden der Delivery Services Console. 34 Überblick über Clustering und Load Balancing Sie können mehrere Server mit Access Controller und mehrere Access Gateway-Geräte bereitstellen. Wenn Sie diese Konfiguration bereitstellen, entsteht ein Cluster. Beim Erstellen eines Clusters konfigurieren Sie das Access Gateway-Gerät mit den Einstellungen eines Access Controller-Servers. Das Gerät erkennt dann automatisch alle Access Controller-Server in dem Cluster. Access Controller bietet außerdem Load Balancing von Benutzerverbindungen. Durch dieses integrierte Feature ist ein externer Load Balancer nicht mehr notwendig. Sie geben den Benutzern die Access Gateway-Webadresse. Ein Access Gateway in der Bereitstellung überwacht alle Benutzerverbindungen und legt fest, an welchen Access Controller die Verbindungsanfrage gesendet wird. Wenn Access Gateway den Access Controller kontaktiert, legt der Server dann fest, an welches Access Gateway die Sitzung geleitet wird. Weitere Informationen über Clustering und Load Balancing finden Sie unter Konfigurieren von Clustering und Load Balancing. 35 Überblick über die erweiterte Endpoint Analysis Sie erstellen einen erweiterten Endpoint Analysis-Scan mit dem Citrix Endpoint Analysis Portal, powered by OPSWAT. Sie können benutzerdefinierte Endpoint Analysis-Scans für eine große Anzahl von Produkten erstellen. Wenn Sie die erweiterte Endpoint Analysis konfigurieren, erstellen Sie eine Scanrichtlinie, die die Softwareversionen enthält, die Sie auf den Benutzergeräten verlangen. Sie können beispielsweise einen Richtlinienscan für Antivirussoftware von Norton und McAfee erstellen. Sie laden dann die Richtliniendatei, eine benutzerdefinierte CAB-Datei, und das Endpoint Analysis Plug-in vom Citrix Endpoint Analysis Portal auf Ihren Computer herunter. Sie können dann diese Dateien in Access Controller importieren. Wenn Benutzer sich anmelden, wird das Endpoint Analysis Plug-in automatisch auf dem Benutzergerät installiert. Es durchsucht das Gerät, um sicherzustellen, dass die erforderliche Software vorhanden sind. Ist dies der Fall, besteht das Benutzergerät den Scan und Benutzer können sich anmelden. Weitere Informationen über die erweiterte Endpoint Analysis finden Sie unter Erstellen von erweiterten Endpoint Analysis-Scans. 36 Nicht mehr verwendete Features und Funktionen In der folgenden Tabelle werden die Features und die Funktionalität aufgelistet, die veraltet sind oder in Access Gateway 5.0 entfernt wurden. Eine Liste der weggefallene Features, sowie Einstellungen für Access Gateway und Access Controller folgenden Abschnitten: 37 • Weggefallene Einstellungen für das Access Gateway-Gerät • Weggefallene Einstellungen und Features für Access Controller • Aktualisieren und Migrieren auf Access Gateway 5.0 Feature Access Gateway Access Controller Kommentar Double-Hop-DMZ x Dynamisches Routing mit dem Routing Information-Protokoll (RIP) x Windows NT LAN Manager (NTLM) als Authentifizierungsmethode x Lokal definierte Benutzer auf dem Access Gateway x Benutzer werden durch Gruppenmitgliedschaft in der SmartGroup ermittelt. Administration Tool x Dieses Feature wird durch die Access Gateway Management Console ersetzt. Administration Portal x Dieses Feature wird durch die Access Gateway Management Console ersetzt. HTML-Vorschau x Dieses Feature war Teil der Access Gateway Advanced Edition und wurde aus Access Controller entfernt. LiveEdit x Dieses Feature war Teil der Access Gateway Advanced Edition und wurde aus Access Controller entfernt. Nicht mehr verwendete Features und Funktionen Web-E-Mail 38 x Dieses Feature wird durch Outlook Web Access oder Outlook Web App ersetzt. Bekannte Probleme Readmeversion: 1.0 Hinweise • Sie können die Citrix Access Gateway-Software nur auf dem physikalischen Gerät Model 2010 installieren oder Sie können ein virtuelles Gerät verwenden. • Sie können Citrix Access Controller nur unter Windows Server 2008 oder Windows Server 2008 R2 installieren. • Upgrades der Access Gateway-Software, der Access Controller-Software und des Access Gateway Plug-ins von der Beta 1- oder Beta 2-Version auf dieses Release von Access Gateway 5.0 werden nicht unterstützt. • Wenn Sie Access Controller in der Bereitstellung verwenden, müssen Sie einen NTP-Server (Network Time Protocol) konfigurieren, um die Zeit zwischen Access Gateway und Access Controller zu synchronisieren. • Eine aktuelle Liste der bekannten und gelösten Probleme finden Sie in dem Readmedokument Access Gateway 5.0-Wartungsrelease im Citrix Knowledge Center. Nicht unterstützte Features in diesem Release Die folgenden Features werden in diesem Release nicht unterstützt: • Access Gateway Plug-in für Mac OS X Version 1.2 oder früher • Citrix Receiver 1.2 Installationsprobleme 1. Wenn Sie Access Controller unter Windows Server 2008 R2 64 Bit installieren, wird die Diagnostic Facility nicht im linken Bereich der Delivery Services Console angezeigt. Um die Diagnostic Facility zu installieren, verwenden Sie das Assembly Registration-Programm regasm.exe, um die Datei CdfExtension.dll zu registrieren. Öffnen Sie eine Eingabeaufforderung mit Administratorrechten und führen Sie den folgenden Befehl aus: C:\Windows\Microsoft.NET\Framework\v2.0.50727>RegAsm.exe "C:\Programme (x86)\Common Files\Citrix\Access Management Console - Diagnostics\CdfExtension.dll" Microsoft (R) .NET Framework Assembly Registration Utility 2.0.50727.4927 [#29707] 39 Bekannte Probleme Migrationsprobleme 1. Wenn Sie einen benutzerdefinierten Filter mit "Anderer Filter" haben, der einen benutzerdefinierten oder nicht-unterstützten Scan verwendet, schlägt der Import der Farm in Access Controller fehl und die ganze Farm geht verloren. Bevor Sie mit der Migration der Farm beginnen, sollten Sie alle Filterreferenzen in einem benutzerdefinierten Filter in Advanced Access Control entfernen. [#30304] Bekannte Probleme mit Access Gateway 1. Wenn Sie die AES-Verschlüsselung auf dem Access Gateway konfigurieren und Benutzer sich mit Internet Explorer 8 oder Google Chrome anmelden, können sie nicht auf den Anmeldepunkt zugreifen. Benutzer müssen TLS 1.0 in Internet Explorer und Google Chrome aktivieren, um auf den Anmeldepunkt zugreifen zu können. Wenn sich Benutzer in Windows XP mit Internet Explorer 7 oder Internet Explorer 8 anmelden, können sie nicht auf den Anmeldepunkt zugreifen und die Anmeldeseite wird nicht angezeigt. Internet Explorer in Windows XP unterstützt nicht AES-basierte-TLS-Verschlüsselungssammlungen. [#29687, 29852] 2. Wenn Sie mehrere RADIUS-Server in Access Gateway konfigurieren, sich Benutzer das erste Mal anmelden und die Versuche bei einem RADIUS-Server fehlschlagen, findet kein Failover auf dem Gerät zu den anderen RADIUS-Servern statt. [#29896] 3. Wenn Sie ein Upgrade von Access Gateway Version 4.6.x auf Version 5.0 durchführen und einen remoten Lizenzserver mit einem vollqualifizierten Domänennamen (FQDN) verwenden, werden die Lizenzdateien nicht im Bereich Licensing angezeigt, nachdem das Upgrade abgeschlossen ist. Wenn Sie das Access Gateway neu starten, werden die Lizenzdateien anschließend angezeigt. [#30069] 4. Bei einem Upgrade von Access Gateway 4.6 müssen Sie die Plattformlizenz auf dem Gerät neu installieren, damit das Gerät den Kulanzzeitraum von 48 Stunden verlässt. [#30531] 5. Der Zugriff auf alle Anmeldepunkte ist nach 24 Tagen nicht möglich. Starten Sie in diesem Fall das Access Gateway über die Befehlszeile neu. [#30590] 40 Bekannte Probleme Bekannte Probleme mit Access Controller 1. Benutzer können nicht Microsoft Word 2007-Dokumente von SharePoint 2007 aus erstellen und speichern. Benutzer sollten das Dokument auf ihrem lokalen Computer erstellen und es auf SharePoint hochladen. [#28453] 2. Wenn sich Benutzer mit den Citrix Online Plug-ins Version 12.0 anmelden, schlägt die Dateitypzuordnung fehl. Wenn Sie in Access Controller die Dateitypzuordnung verwenden, ist die mindestens erforderliche Version des Citrix Online Plug-ins 12.0.30 oder höher. Weitere Informationen erhalten Sie von Citrix Technical Support, erkundigen Sie sich nach private_Online_Plug-in_12.0.30. [#28621] 3. Wenn Sie Single Sign-On für Webanwendungen deaktivieren und Benutzer von einem iPad aus Outlook Web Access oder SharePoint öffnen, wird eine Meldung angezeigt, die eine Synchronisierung zeigt, Benutzer erhalten aber keine Anmeldeseite und die Verbindung überschreitet das Zeitlimit. [#28627] 4. Wenn Sie eine Webressource für Outlook Web Access, Outlook Web App oder SharePoint 2007 konfigurieren, Single Sign-On nicht aktivieren und Benutzer sich ab- und wieder anmelden, werden Benutzer nicht aufgefordert, die Anmeldeinformationen einzugeben. [#28839] 5. Wenn Sie eine benutzerdefinierten Filter mit einem komplexen Ausdruck erstellen, erhalten Sie beim Speichern des Filters möglicherweise eine Fehlermeldung, dass der Filter nicht leer sein darf, auch wenn er nicht leer ist. Dieses Problem tritt nicht auf, wenn Sie einen benutzerdefinierten Filter bearbeiten. [#28883] 6. Wenn XenApp Teil der Bereitstellung ist, Benutzer sich mit den Citrix Online Plug-ins anmelden und ein neues Dokument in SharePoint 2007 erstellen, wird der Inhalt der ICA-Datei angezeigt statt ein leeres Dokument. [#29000] 7. Wenn Sie einen Endpoint Analysis-Scan für Dateien oder Prozesse konfigurieren und Benutzer sich mit Google Chrome anmelden, schlägt die Endpunktanalyse fehl, auch wenn das Benutzergerät den Scan besteht. [#29136] 8. Wenn im Access Interface aufgeführte Websites Digest-Authentifizierung verwenden, werden die Websites nicht geöffnet, wenn Benutzer darauf zugreifen möchten. [#29454] 9. Wenn Sie Access Controller starten wird der Bereitstellungsserver möglicherweise nicht innerhalb des zulässigen Zeitraums gestartet und Sie finden eine Fehlermeldung auf der Seite Problem Reports and Solutions. [#29572] 10. Wenn sich Benutzer über den Firefox-Webbrowser mit SharePoint 2007 verbinden, auf Freigegebene Dokumente klicken und dann aus dem Menü Aktionen die Option In eine Kalkulationstabelle exportieren wählen, erhalten sie beim Klicken auf Öffnen eine Fehlermeldung, dass Excel keine Verbindung zur SharePoint-Liste herstellen kann. [#29715] 11. Sind in Access Controller keine Dateifreigaben konfiguriert, ist der Dateifreigabebereich im Access Interface leer, wenn Benutzer sich anmelden. [#29726] 12. Wenn Sie einen DFS-Link (Distributed File System) ohne den vollständigen Domänennamen konfigurieren und Benutzer im Access Interface auf den Link klicken, erhalten sie eine Fehlermeldung, dass der Dienst nicht verfügbar ist. [#29829] 41 Bekannte Probleme Benutzerverbindungsprobleme 1. Wenn sich Benutzer mit dem Access Gateway Plug-in anmelden und einen Sierra- oder AT&T 3G-W Wireless-Netzwerkadapter verwenden, kann Folgendes auftreten: • Benutzer können keine Verbindung zu Netzwerkressourcen im gesicherten Netzwerk herstellen. • Benutzerverbindungen werden fallen gelassen, wenn Sie Split-Tunneling in Access Gateway deaktivieren. Benutzerverbindungen mit dem Access Gateway Plug-in fangen nicht Netzwerkverkehr ab, wenn das Benutzergerät aus dem Standbymodus oder Ruhezustand kommt. Benutzer können den Netzwerkadapter entfernen und dann wieder an das Benutzergerät anschließen. [#29637, 30290, 30434] • 2. Wenn sich Benutzer mit Google Chrome und Citrix Online Plug-ins Version 12.0 anmelden, werden veröffentlichte Anwendungen nicht geöffnet. [#29844] 3. Wenn sich Benutzer mit dem Access Gateway Plug-in anmelden, den Endpoint Analysis-Scan nicht bestehen und die Fehlermeldung einen Hyperlink enthält, dann wird die Webseite in der Fehlermeldung geöffnet, statt in einer neuen Instanz des Webbrowsers. [#30027] 4. Wenn sich Benutzer mit dem Access Gateway Plug-in unter Windows Vista oder Windows 7 anmelden und die Benutzerkontensteuerung (UAC) aktiviert ist, erhalten sie eine Fehlermeldung, dass das Access Gateway Plug-in nicht signiert ist. Benutzer können auf Zulassen klicken und mit der Anmeldung fortfahren. [#30554] Citrix Receiver-Probleme Access Gateway 5.0 bietet Tech Preview-Unterstützung für Citrix Receiver 2.0. Folgende Probleme sind bekannt, wenn Sie das Access Gateway Plug-in für Windows mit Citrix Receiver 2.0 bereitstellen: 1. Wenn sich Benutzer mit dem Access Gateway Plug-in für Windows über Citrix Receiver anmelden, werden verfügbare Optionen nicht angezeigt. [#29872] 2. Wenn Benutzer das Access Gateway Plug-in für Windows sowie Citrix Receiver installieren, anschließend das Access Gateway Plug-in deinstallieren und dann Citrix Receiver wieder starten, wird das Symbol nicht in der Taskleiste angezeigt. Task-Manager zeigt, dass der Prozess ausgeführt wird, aber Benutzer können nicht auf Citrix Receiver zugreifen. Benutzer müssen den Prozess im Task-Manager beenden und dann Citrix Receiver neu starten. [#29916] 3. Wenn Sie einen Proxyserver für Benutzerverbindungen konfigurieren, schlägt Mit Bereitstellungsdiensten verbinden in Citrix Receiver fehl, weil Citrix Receiver den Anmeldepunkt abschneidet, wenn Benutzer das Access Gateway Plug-in starten. [#30106] 4. Wenn Sie Single Sign-On bei Windows konfigurieren und Benutzer sich mit dem Plug-in über Citrix Receiver anmelden, schlägt Single Sign-On fehl. [#30129] 42 Bekannte Probleme 5. Wenn Benutzer Access Gateway Plug-in über Citrix Receiver installieren, ist die Installation erfolgreich. Das Access Gateway Plug-in wird aber nicht im Plug-in-Statusfenster angezeigt. Benutzer können auf Mit Bereitstellungsdiensten verbinden klicken, um sich anzumelden. [#30128] 6. Wenn das Access Gateway Plug-in Teil von Citrix Receiver ist und Benutzer das Access Gateway Plug-in über die Systemsteuerung entfernen, schlägt Citrix Receiver möglicherweise fehl. [#30276] 7. Wenn sich Benutzer mit Access Gateway Plug-in über Citrix Receiver mit einem 3G-Netzwerkadapter anmelden und die Netzwerkverbindung hat ein schwaches Signal, ist Mit Bereitstellungsdiensten verbinden in Citrix Receiver deaktiviert. [#30357] 8. Wenn Sie ein Upgrade des Access Gateway Plug-ins auf eine höhere Buildnummer von Version 5.0 in Merchandising Server planen, wird das Access Gateway Plug-in nicht in Citrix Receiver aktualisiert. Wenn beispielsweise Version 5.0.0.120 auf dem Benutzergerät installiert ist und Sie das Upgrade auf Version 5.0.0.125 des Plug-ins planen. Das Problem tritt auf, weil Citrix Receiver erkennt, dass Version 5.0 bereits auf dem Benutzergerät installiert ist. [#30431] 43 Systemanforderungen In diesem Abschnitt werden die Systemanforderungen für das Citrix Access Gateway-Gerät beschrieben, einschließlich Access Gateway Management Console und Citrix Access Controller. Bevor Sie das Access Gateway-Gerät im Netzwerk installieren, sollten Sie sich den Abschnitt Access Gateway-Geräte ansehen. Dort wird die Gerätehardware beschrieben, die Installation des Geräts in einem Rack und im Netzwerk und wie Sie das Gerät bei der Erstverwendung konfigurieren. Nachdem Sie Access Gateway installiert haben, können Sie Access Controller im Netzwerk installieren. Für Access Controller ist das Gerät als Teil der Netzwerklösung erforderlich. Machen Sie sich vor der Installation von Access Controller mit den Systemanforderungen für Access Controller in diesem Abschnitt vertraut. Nachdem Sie Access Gateway und Access Controller installiert haben, lesen Sie die Systemanforderungen und Anleitungen in diesem Abschnitt zu folgenden Themen: 44 • Cluster mit Access Gateway-Geräten und Access Controller-Servern erstellen und einen externen Load Balancer konfigurieren • Benutzerverbindungen verwalten, um Inhalte an Webbrowser bereitzustellen, vom Access Gateway Plug-in, von Citrix Online Plug-ins und über den clientlosen Zugriff • Endpoint Analysis Plug-in auf dem Benutzergerät verwenden • Auf Anwendungen und Desktops zugreifen, die in XenApp oder XenDesktop veröffentlicht wurden, über die Installation von Citrix Online Plug-ins oder Citrix Receiver auf dem Benutzergerät Anforderungen für das Access Gateway-Gerät Aktualisiert: 2014-01-31 Citrix Access Gateway kann in einer beliebigen Netzwerkinfrastruktur ohne Änderungen an der vorhandenen Hardware oder Backendsoftware installiert werden. Access Gateway kann zusammen mit anderen Netzwerkprodukten, wie z. B. Server Load Balancers, Cache-Engines, Firewalls, Routern und drahtlosen IEEE 802.11-Geräten eingesetzt werden. Citrix empfiehlt, Access Gateway in der DMZ des Netzwerks zu installieren. Wenn es in der DMZ installiert wird, ist Access Gateway Teil von zwei Netzwerken: einem privaten Netzwerk und dem Internet mit einer öffentlich routbaren IP-Adresse. Sie können für Zugriffssteuerungs- und Sicherheitszwecke mit Access Gateway auch organisationsintern LANs partitionieren. Sie können Partitionen zwischen Kabel- oder Funknetzwerken und zwischen Daten- und Sprachnetzwerken erstellen. Access Gateway 5.0 wird auf dem Model 2010-Gerät unterstützt. Nachdem Sie das Gerät zum ersten Mal installiert und konfiguriert haben, können Sie mit der Access Management Console die restlichen Einstellungen konfigurieren. Weitere Informationen über die Gerätehardware finden Sie unter Access Gateway Model 2010 Appliance. 45 Anforderungen für die Access Gateway Management Console Um die Managementkonsole effektiv zu nutzen, sollten Sie die folgenden Mindestanforderungen und Empfehlungen für die Anzeige berücksichtigen: 46 • Die Anzeigegröße der Managementkonsole ist 1024 x 800. • Für die Managementkonsole ist Adobe Flash Player Version 10.1 erforderlich. • Wenn Sie die Managementkonsole auf einem Laptop ausführen, können Sie durch Ausblenden aller Symbolleisten mehr Bildschirmfläche für die Konsole erhalten. • Um die Managementkonsole im Vollbildmodus anzuzeigen, klicken Sie auf die Maximieren-Schaltfläche oder drücken Sie F11. Systemanforderungen für Access Controller Überprüfen Sie vor der Access Controller-Installation, dass Ihre Server die Hardware- und Softwareanforderungen erfüllen. Wichtig: Um die fehlerfreie Access Controller-Installation zu garantieren, sollten Sie Server verwenden, die nicht als Domänencontroller konfiguriert sind. Bei der Installation fügt Access Controller der lokalen Administratorgruppe, die auf Domänencontrollern nicht vorhanden ist, ein Dienstkonto hinzu. Beim Versuch, Access Controller auf einem Domänencontroller zu installieren, kann Access Controller das Dienstkonto nicht hinzufügen und die Installation schlägt fehl. Die folgenden Anforderungen und Empfehlungen gelten für die Hardware und Software für Access Controller: • Computer mit einem 1-Gigahertz (GHz)-Prozessor Citrix empfiehlt einen 2 GHz Dual Core-Prozessor • Mindestens 2048 Megabytes (MB) RAM. Citrix empfiehlt 4 Gigabyte (GB) oder mehr • 40 GB verfügbarer Festplattenspeicher. Citrix empfiehlt 100 GB oder mehr • Microsoft Windows Server 2008 32 Bit, Standard Edition oder Enterprise Edition mit allen Service Packs und Updates • Microsoft Windows Server 2008 64 Bit, Standard Edition oder Enterprise Edition mit allen Service Packs und Updates • Microsoft Windows Server 2008 R2 64 Bit, Standard Edition oder Enterprise Edition mit allen Service Packs und Updates • IIS 7.0 mit 6.0-Metabasiskompatibilitäts-Komponenten und ASP.NET • Microsoft Windows Installer 4.5 • Microsoft .NET Framework 3.5 mit Service Pack 1 • Anwendungsserver mit Microsoft Windows Communication Foundation (WCF) mit HTTP-Aktivierung • COM+-Netzwerkzugriff aktiviert Achten Sie in der Internetinformationsdienste-Verwaltungskonsole (IIS) darauf, dass Sie auf der Seite ISAPI- und CGI-Einschränkungen ASP.NET zulassen, bevor Sie Access Controller installieren. Wenn Windows Server 2008 als Terminalserver konfiguriert ist, wird die Installation von Access Controller nicht unterstützt. 47 Serverrollen, Dienste und Features für Access Controller Bevor Sie Access Controller installieren müssen die folgenden Rollen, Dienste und Features für den Windows-Server aktiviert werden. Anwendungsserver und Webserver werden unter Rollen aufgelistet. Das .NET Framework 3.5 wird unter Features in Server-Manager aufgelistet. Anwendungsserver • Application Server Foundation • Unterstützung von Webservern (IIS) • COM+-Netzwerkzugriff Webserver (IIS) Aktivieren Sie unter Webserver Folgendes: • Allgemeine HTTP-Features • Statischer Inhalt • HTTP-Fehler Aktivieren Sie unter ISAPI- und CGI-Einschränkungen ASP.NET. Aktivieren Sie unter Verwaltungsprogramme Folgendes: 48 • IIS-Verwaltungsskripts und -tools • Vewaltungsdienst • IIS 6-Verwaltungskompatibilität • IIS 6-Metabasiskompatibilität • IIS 6-WMI-Kompatibilität • IIS 6-Skriptingtools Serverrollen, Dienste und Features für Access Controller .NET Framework 3.5.1-Features 49 • .NET Framework 3.5.1 HTTP-Aktivierung • Windows Community Foundation (WCF)-Aktivierung • HTTP-Aktivierung Netzwerkanforderungen Überprüfen Sie vor der Installation von Access Controller, ob die Netzwerkkonfiguration die folgenden Anforderungen erfüllt: • Alle Computer oder Ressourcen, auf die Benutzer zugreifen, sind mit den bereitgestellten Servern, auf denen Access Controller ausgeführt wird, verbunden. • Der Server, auf dem Access Controller ausgeführt wird, ist Mitglied einer der folgenden Domänen: • Ein Mitglied der Domäne, der Benutzer, die sich bei dem Server authentifizieren, angehören. Ein Mitglied einer Domäne, die der Domäne der Benutzer vertraut, die sich authentifizieren, und der von den Domänen der Benutzer vertraut wird. In einer Umgebung mit mehreren Domänen werden Vertrauensbeziehungen hergestellt, damit sich Benutzer in allen Domänen authentifizieren und auf Ressourcen zugreifen können. • • • Um Zugriff auf das Internet zu bieten, muss ein DNS-Hosteintrag Adressen in eine öffentliche IP-Adresse für das Access Gateway-Gerät auflösen. Hinweis: Damit Access Controller erfolgreich konfiguriert werden kann, muss der Server einer Domäne angehören. Wenn der Server, auf dem Access Controller ausgeführt wird, Mitglied einer Arbeitsgruppe und nicht einer Domäne ist, wird der Serverkonfigurationsassistent nicht ausgeführt. 50 Anforderungen für Konten Bevor Sie Access Controller installieren, brauchen Sie die folgenden Serverkonten. Anforderungen für Microsoft SQL Server-Benutzerkonten Beim Erstellen eines Clusters fordert Access Controller Sie auf, ein Konto für den Zugriff auf SQL Server anzugeben. Das angegebene Konto muss zulassen, dass Access Controller eine Datenbank für die den Cluster erstellt sowie anschließend die Verbindung von Access Controller zur Datenbank ermöglichen. Um die Datenbank während der Installation zu erstellen, muss das Konto mindestens die Serverrolle Database Creator auf dem SQL Server haben. Nachdem die Datenbank von Access Controller erstellt wurde, müssen Sie Datenbankbenutzern die Berechtigungen db_datareader und db_datawriter zuweisen. SQL Server 2008 unterstützt den Windows-Authentifizierungsmodus, bei dem Windows-Benutzerkonten für den Zugriff erforderlich sind. SQL Server 2008 unterstützt außerdem einen gemischten Modus, bei dem Windows-Benutzerkonten und SQL Server-Konten verwendet werden können. Wenn Sie Access Controller zuerst erstellen und einen Cluster erstellen, erstellt die Access Controller-Serverkonfiguration eine Datenbank mit dem gleichen Namen wie der Cluster. Die Serverkonfiguration erstellt keine weiteren Datenbanken, wenn Sie dem Cluster Server hinzufügen. Die neuen Server stellen die Verbindung zu der Datenbank auf dem ursprünglichen SQL Server her, wenn Sie einem bestehenden Cluster beitreten. Hinweis: Die in diesem Abschnitt beschriebenen Anforderungen für Datenbankerstellung und -zugriff gelten für die SQL Serverauthentifizierung sowie für Windows-Authentifizierung von Datenbankbenutzerkonten. Anforderungen für Dienstkonten Wenn Sie Access Controller installieren und einen neuen Cluster erstellen, werden Sie im Serverkonfigurationsassistenten aufgefordert, ein Konto für die Kommunikation mit Diensten und Servern im Cluster anzugeben. Dieses Konto wird als Dienstkonto bezeichnet. Das Konto für das Dienstkonto muss bereits vorhanden sein. Erstellen Sie es ggf. vor der Installation von Access Controller. Gültige Dienstkonten müssen die folgenden Anforderungen erfüllen: 51 • Das Dienstkonto muss auf jedem Server des Clusters Mitglied der lokalen Administratorengruppe sein. • Das Dienstkonto muss aktiviert sein, sollte nicht ablaufen oder sonstigen Änderungen der Anmeldeinformationen unterliegen. Wenn Sie das Dienstkonto entfernen, funktioniert der Cluster nicht mehr. Anforderungen für Konten • Für das Dienstkonto kann nur dann ein lokales Benutzerkonto verwendet werden, wenn Sie einen Cluster mit einem einzelnen Server erstellen und nicht beabsichtigen, den Cluster zu erweitern. Sie können Access Controller nicht auf mehreren Servern mit einem lokalen Benutzerkonto als Dienstkonto installieren. Citrix empfiehlt dringend bei der Installation von Access Controller ein Domänenkonto statt ein lokales Benutzerkonto zu verwenden. Wichtig: Wenn Sie ein lokales Benutzerkonto als Dienstkonto angeben, müssen Sie sicherstellen, dass das lokale Benutzerkonto Konto auch Datenbankbesitzerrechte für die Datenbank hat, die Access Controller bei der Serverkonfiguration erstellt. Wenn das lokale Benutzerkonto diese Rechte nicht hat, können Benutzer auf einige Funktionen nicht zugreifen. • Wenn Sie in einer Active Directory-Umgebung den Benutzernamen für das Dienstkonto im UPN-Format (User Principal Name) oder alternativen UPN-Format eingeben, müssen Sie den vollständigen Domänennamen angeben. Falls notwendig, können Sie das Dienstkonto nach der Installation von Access Controller ändern. Hinweis: Falls Sie Access Controller in einer Umgebung einsetzen, in der die Richtlinie "Eingeschränkte Gruppen" verwendet wird, um die Mitgliedschaft in der lokalen Administratorgruppe zu steuern, müssen Sie sicherstellen, dass der mit dem Dienstkonto verknüpfte Benutzer in einer der Gruppen ist, die durch die Richtlinie "Eingeschränkte Gruppe" hinzugefügt wird. Anwenden von Sicherheitsvorlagen für das Dienstkonto Die IT-Politik Ihres Unternehmens erfordert gegebenenfalls die Verwendung von Sicherheitsvorlagen, um die Angriffsfläche Ihrer Windows-Server zu verringern. Die Vorlage für eine hohe Sicherheit (Hisecws.inf) entfernt das Dienstkonto aus der lokalen Administratorgruppe, wenn Sie die Vorlage nach der Installation von Access Controller anwenden. Fügen Sie das Dienstkonto nach der Anwendung der Sicherheitsvorlage wieder der lokalen Administratorgruppe hinzu. Andernfalls kann Access Controller nicht korrekt ausgeführt werden. 52 Datenbankanforderungen Access Controller unterstützt die folgenden Datenbankpakete: • Microsoft SQL Server 2008 • Microsoft SQL Server Express 2008 Hinweis: Wenn Sie vor der Installation von Access Controller SQL Server installieren und eine Datenbank erstellen, achten Sie bei der Datenbankerstellung darauf, dass bei der Sortierung die Groß- und Kleinschreibung nicht beachtet wird. Hierdurch wird sichergestellt, dass die Namen, die Sie Ressourcen zuweisen, eindeutig sind, und verhindert, dass Sie Ressourcen mit doppelten Namen erstellen. 53 Anforderungen an Authentifizierungssoftware Access Controller unterstützt die Verwendung von Microsoft Active Directory-Domänendiensten, um die Sicherheit in Ihrer Bereitstellung zu stärken. Die folgenden Authentifizierungstypen können auf dem Access Gateway-Gerät oder dem Access Controller konfiguriert werden. • Lightweight Directory Access Protocol (LDAP) • Remote Authentication Dial-In User Service (RADIUS) • RSA SecurID Sie können die Active Directory-Authentifizierung nur auf dem Access Controller konfigurieren. 54 Anforderungen für SmartAccess Mit der SmartAccess-Funktion können Organisationen besser steuern, wie auf Netzwerkressourcen und veröffentlichte Anwendungen zugegriffen wird und wie sie verwendet werden. Sie können SmartAccess mit Access Controller verwenden, um zu steuern, auf welche Netzwerkressourcen Benutzer abhängig von ihrem Zugriffsszenario zugreifen können und was sie mit den Ressourcen machen dürfen, nachdem sie Zugriff haben. SmartAccess integriert mit dem Webinterface für Citrix XenApp bietet Organisationen Feinsteuerung von veröffentlichten Anwendungen. Für die Verwendung von SmartAccess brauchen Sie folgende Komponenten in Ihrer Umgebung: • Access Controller • XenApp 6 • XenApp 5 Hinweis: SmartAccess wird unter Citrix Presentation Server für UNIX oder XenApp für UNIX 4.0 mit Feature Pack 1 nicht unterstützt. Wenn Sie das Webinterface für den Zugriff auf veröffentlichte Anwendungen verwenden, benötigen Sie auch die folgende Software: • Erweiterte XenApp-Konfiguration (in Version 5.0) • Delivery Services Console in XenApp 6.0 • Webinterface-Version 5.0 oder höher Sie müssen außerdem sicherstellen, dass die Einstellungen für die Adressübersetzung und die Firewall für das Webinterface und Access Controller identisch sind. 55 Anforderungen für die Drittanbieterportalintegration Access Controller unterstützt die Integration in Drittanbieterportalen, wie z. B. Microsoft SharePoint, für benutzerfreundlichen Zugriff auf Webressourcen, Dateifreigaben, Web-E-Mail und veröffentlichte Anwendungen. Eine Integration mit SharePoint 2007 ist möglich. Normalerweise arbeiten Benutzer mit von SharePoint verwalteten Dokumenten mit menügesteuerten Befehlen. Die nachfolgende Tabelle führt diese Menüoptionen auf: 56 Menüelement ActiveX erforderlich? Standardmäßig für Benutzer verfügbar? Eigenschaften anzeigen Nein Ja Eigenschaften bearbeiten Nein Ja In Microsoft Office bearbeiten Ja Nein Löschen Nein Ja Einchecken Nein Ja Auschecken Nein Ja Versionsverlauf Nein Ja Benachrichtigen Nein Ja Diskutieren Ja Nein Dokumentarbeitsbereich erstellen Nein Ja Anforderungen für die Delivery Services Console Die Delivery Services Console ist das Konfigurations- und Administrationstool für Access Controller. Sie können die Konsole auf einem Access Controller-Server installieren oder auf einem anderen Computer im Netzwerk. Mindestvoraussetzungen für die Delivery Services Console: • Windows Server 2008, 32 Bit, Standard Edition, Enterprise Edition oder Datacenter Edition • Windows Server 2008 (64 Bit) • Windows Server 2008 R2 (64 Bit) • Windows XP Professional, 32-Bit-Edition mit Service Pack 3 • Windows Vista, Business, Enterprise oder Ultimate Edition, 64 Bit • Windows Vista, Enterprise, 32 Bit • Windows 7, Enterprise oder Ultimate Edition • 25 MB verfügbarer Festplattenspeicher Hinweis: Stellen Sie vor der Installation von Access Controller unter Windows Server 2008 R2 sicher, dass die folgenden Komponenten installiert und und funktionsbereit sind: 57 • Registrieren Sie ASP.NET bei den Internetinformationsdiensten (IIS) 7.0. • Installieren Sie die IIS 6.0-Metabasis-Komponenten. Systemanforderungen für Clustering und Load Balancing Verwenden Sie beim Erstellen eines Clusters von Access Gateway-Geräten und Access Controller-Servern die folgenden Richtlinien: • Stellen Sie mindestens zwei Access Gateway-Geräte in Ihrem Netzwerk bereit, damit Sie einen Lastausgleich für die Verbindungen vornehmen können. Sie können auch mehrere Access Gateway-Geräte bereitstellen, die für Gerätefailover konfiguriert sind. Beispiel: Sie haben drei Geräte und zwei sind als ein Gerätefailover-Paar konfiguriert. Benutzer stellen zu einem Gerät im Paar eine Verbindung her. Access Controller sendet die Sitzungen dann zu einem der drei Geräte, abhängig von der gewählten Methode für das Load Balancing. Wenn Sie Access Controller auf Access Gateway aktivieren, geben Sie die Einstellungen für einen Access Controller-Server an. Access Gateway erkennt dann alle Access Controller-Server im Netzwerk. • Stellen Sie jedes Access Gateway-Gerät mit einer eigenen IP-Adresse und eigenem Zertifikat oder Platzhalterzertifikat bereit. • Installieren Sie mindestens zwei Access Controller-Server im sicheren Netzwerk. Die Server stellen Access Gateway die Konfigurationseinstellungen bereit. • Wählen Sie bei der Installation von Access Controller SQL Server als eine externe SQL Server-Datenbank. Sie können einen SQL Server-Datenbankcluster konfigurieren. Sie können zwei Datenbanken haben, die dieselbe physikalische Datenbank gemeinsam verwenden. Beim Erstellen eines Clusters unterstützt Access Controller nicht SQL Server Express. • Installieren Sie einen NTP-Server (Network Time Protocol), der für das Synchronisieren des Datums und der Uhrzeit zwischen Access Gateway und Access Controller benötigt wird. Wenn Sie Access Gateway für Access Controller konfigurieren, müssen Sie einen NTP-Server bereitstellen und NTP auf Access Gateway konfigurieren. Auf dem Access Controller-Server aktivieren Sie NTP, wenn Sie die Tools und Einstellungen für den Windows-Zeitdienst mit dem Befehl Net time konfigurieren. 58 Anforderungen zum Konfigurieren eines externen Load Balancers Installieren und konfigurieren Sie den Load Balancer gemäß der Dokumentation des Herstellers in der DMZ des Netzwerks. Die folgenden Konfigurationsschritte sind erforderlich, damit der Load Balancer mit den Access Gateway-Geräten zusammenarbeitet: 59 • Konfigurieren Sie den Load Balancer so, dass das Load Balancing der Verbindungen zum Access Gateway-Gerät anhand der Quell-IP durchgeführt wird. • Konfigurieren Sie den Load Balancer mit einem vollqualifizierten Domänennamen, (FQDN) den Access Gateway beim Aufbauen der Verbindung zum Load Balancer verwendet. • Konfigurieren Sie den Load Balancer so, dass die SSL-Verschlüsselung nicht beendet wird. Die SSL-Verbindung muss an Access Gateway übergeben werden und Access Gateway muss die SSL-Verschlüsselung beendet. • Installieren Sie das gleiche Serverzertifikat auf jedem Access Gateway-Gerät. Benutzergerätanforderungen Sie können Access Gateway und Access Controller verwenden, um Benutzern das Anzeigen sowie den Upload oder Download von webbasierten Ressourcen von einem Benutzergerät mit einem Webbrowser zu ermöglichen. Andere Funktionen erfordern die Verwendung einer zusätzlichen Serversoftware. Access Gateway behandelt alle Benutzerverbindungen. Dazu gehören Verbindungen vom Access Gateway Plug-in, Citrix Online Plug-ins und der clientlose Zugriff. Die folgenden Informationen beschreiben die Benutzergerätanforderungen für die Computerbetriebssysteme und Webbrowser, die von Access Gateway unterstützt werden. Betriebssystem Webbrowser Windows 7 Internet Explorer 8 Windows Vista Internet Explorer 7 Windows XP mit Service Pack 3 Mozilla Firefox 3.0 oder höher Google Chrome 5.0 Apple Mac OS X (nur Englisch) 10.5 und Safari 10.6 Die folgende Tabelle führt die Smartphone-Geräte und Betriebssysteme auf, die von Access Gateway unterstützt werden: Gerät Betriebssystemversion Google Nexus Android Android 2.2 Froyo Blackberry OS 4.7.1.40 iPad-Version iOS 3.2 iPhone 3G iOS 3.1 iPhone 3GS iOS 3.1 Microsoft Word Windows Mobile 6.5 Professional Nokia Symbian OS 11.2021 Hinweis: Wenn Sie Mac OS X verwenden, sollten Sie alle Updates, Service Packs und Sicherheitsupdates anwenden, um sicherzustellen, dass die webbasierten Funktionen korrekt ausgeführt werden. Access Gateway übermittelt Inhalte an Webbrowser, indem Webseiten mit HTML und JavaScript verschlüsselt übertragen werden. In den meisten Fällen wird Access Gateway von den Standardclientkonfigurationen unterstützt. Stellen Sie sicher, dass das Ausführen von clientseitigem JavaScript für jeden Webbrowser aktiviert wurde: 60 Systemanforderungen für das Access Gateway Plug-in Aktualisiert: 2013-07-30 Das Access Gateway Plug-in stellt eine Verbindung vom Benutzergerät zum Access Gateway-Gerät her. Das Access Gateway Plug-in kann als Desktopanwendung für die Betriebssysteme Microsoft Windows oder Mac OS X verteilt werden. Das Access Gateway Plug-in wird automatisch heruntergeladen und installiert, wenn Benutzer die sichere Webadresse des Access Gateway-Geräts und eines Anmeldepunkts in einem Webbrowser eingeben. Das Access Gateway Plug-in wird von folgenden Betriebssystemen und Webbrowsern unterstützt. Betriebssystem 32 Bit 64 Bit Browser Mac OS X (10.7 und 10.8) x x Safari Google Chrome Windows 7 Home Basic Edition x x Google Chrome Microsoft Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows 7 Home Premium Edition x x Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 61 Systemanforderungen für das Access Gateway Plug-in Windows 7 Professional Edition x x Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox Version 9 Mozilla Firefox Version 10 Windows 7 Enterprise Edition x x Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows 7 Ultimate Edition x x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 62 Systemanforderungen für das Access Gateway Plug-in Windows Vista Home Basic Edition x x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Home Premium Edition x x Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Enterprise Edition x x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 63 Systemanforderungen für das Access Gateway Plug-in Windows Vista Business Edition x x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Ultimate Edition x x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows XP Home Edition x Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 64 Systemanforderungen für das Access Gateway Plug-in Windows XP Professional Edition x Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 65 Anforderungen für Endpoint Analysis Aktualisiert: 2012-03-13 Wenn Access Gateway das Endpoint Analysis Plug-in auf dem Benutzergerät installiert, scannt das Plug-in das Benutzergerät auf Endpunktsicherheitsanforderungen, die Sie in Access Gateway konfiguriert haben. Die Anforderungen schließen Informationen wie das Betriebssystem, Antivirussoftware oder Webbrowserversionen ein. Das Endpoint Analysis Plug-in wird als Windows 32-Bit-Anwendung bereitgestellt. Wenn Benutzer die Verbindung herstellen, installiert Access Gateway das Endpoint Analysis Plug-in ohne Benutzereingriffe. Wenn Benutzer sich das nächste Mal anmelden, prüft Access Gateway die Version des Plug-ins. Stimmen die Versionen nicht überein, aktualisiert Access Gateway das Plug-in, das dann das Benutzergerät scannt. Die folgende Software ist für die Verwendung des Endpoint Analysis Plug-ins auf dem Benutzergerät erforderlich: • Windows XP, Windows Vista oder Windows 7, einschließlich aller Service Packs und kritischer Updates • Internet Explorer mit aktivierten Cookies. Mindestens erforderliche Version ist 7.0. • Firefox 3.0 mit aktiviertem Endpoint Analysis Plug-in. Mindestens erforderliche Version ist 3.0. Sie können Endpoint Analysis-Scans konfigurieren, um Benutzergeräte auf Sicherheitsmaßnahmen, wie z. B. ein Betriebssystem mit oder ohne Service Packs und Antivirussoftware zu überprüfen, bevor Benutzern der Zugriff auf Ressourcen im gesicherten Netzwerk gewährt wird. Um Endpoint Analysis-Scans auszuführen, ist das Endpoint Analysis Plug-in für Windows erforderlich, das als 32-Bit-Windows-Anwendung installiert wird. Windows-Benutzer müssen Hauptbenutzer oder Administratoren des Benutzergeräts sein, um das Plug-in herunterladen und installieren zu können. Das Endpoint Analysis Plug-in wird auf das Benutzergerät heruntergeladen und dort installiert, wenn sich Benutzer zum ersten Mal an Access Gateway anmelden. Wichtig: Wenn ein Benutzer das Endpoint Analysis Plug-in nicht auf dem Benutzergerät installiert oder den Scan überspringt, kann er sich nicht mit dem Access Gateway Plug-in anmelden. Der Benutzer kann auf Ressourcen, für die kein Scan benötigt wird, entweder clientlos oder mit Citrix Receiver zugreifen. 66 Citrix XenApp- und XenDesktop-Integrationsanforderungen Sie können Access Gateway und Access Controller für den Zugriff auf Anwendungen und Desktops konfigurieren, die mit XenApp oder XenDesktop veröffentlicht wurden. Dafür installieren Benutzer die Citrix Online Plug-ins auf dem Benutzergerät. Access Gateway und Access Controller unterstützen die Integration mit den folgenden Versionen von XenApp und XenDesktop: • Citrix XenApp 6.0 • Citrix XenApp 5.0 • Citrix XenApp 5 Feature Pack 2 für Windows Server 2003 • XenDesktop 5 • XenDesktop 4 Sie können einfache Anmeldepunkte so konfigurieren, dass die Citrix Online Plug-ins verwendet werden, wenn Benutzer auf veröffentlichte Anwendungen und Desktops zugreifen. Access Controller unterstützt die folgende Benutzersoftware: Client Englisch Japanisc h Deutsc h Spanisc h Französi sch Vereinfachtes Chinesisch Citrix Online Plug-in Version 11.2 oder höher Ja Ja Ja Ja Ja Ja Citrix XenApp Web Plug-in Version 11.0 Ja Ja Ja Ja Ja Ja Citrix XenApp Ja Ja Ja Ja Ja Ja Plug-ins 11.0 Weitere Informationen zum Konfigurieren von Access Controller für den Zugriff auf veröffentlichte Anwendungen und Desktops finden Sie unter Integrieren von Access Gateway 5.0 mit XenApp und XenDesktop. 67 Systemanforderungen für Single Sign-On am Webinterface Die Mindestanforderungen an das System für das Konfigurieren des Single Sign-Ons beim Webinterface sind: • Webinterface 5.0 oder höher • XenApp 6.0 • XenApp 5.0 Wichtig: Der Webinterface-Server muss dem Access Gateway-Zertifikat vertrauen und den vollqualifizierten Domänennamen (FQDN) in die korrekte IP-Adresse auflösen können. Wenn das Webinterface dem Zertifikat nicht vertraut, funktioniert Single Sign-On möglicherweise nicht korrekt. Single Sign-On unterstützt die Anmeldung und Authentifizierung mit LDAP oder RADIUS und Active Directory für Access Gateway und das Webinterface. Wenn Sie LDAP oder RADIUS verwenden, müssen der Benutzername und das Kennwort in der Active Directory-Domäne gültig sein. Sie müssen das Webinterface hinter dem Access Gateway bereitstellen, entweder in der DMZ oder im sicheren Netzwerk. Wenn Sie Access Gateway hinter einem externen Load Balancer bereitstellen, funktioniert das Single Sign-On beim Webinterface möglicherweise nicht korrekt. Sie können in dem Fall Folgendes tun, um Single Sign-On am Webinterface zu aktivieren: 68 • Stellen Sie Access Controller bereit und konfigurieren Sie dann das Webinterface so, dass es auf Access Controller verweist, statt auf das Access Gateway, wenn ein Callback für Single Sign-On angefordert wird. • Konfigurieren Sie eine separate Webinterface-Site für jedes Access Gateway oder Failoverpaar. Planen der Zugriffsstrategie Überprüfen Sie vor der Installation von Citrix Access Gateway und Citrix Access Controller Ihre Infrastruktur und sammeln Sie die Informationen, die für die Planung einer auf die Unternehmensanforderungen zugeschnittenen Zugriffsstrategie erforderlich sind. Dieser Abschnitt enthält Themen, die Ihnen beim Planen einer Zugriffsstrategie helfen. Wenn Sie Ihre Zugriffsstrategie definieren, müssen Sie die Auswirkungen auf die Sicherheit, die Netzwerke, zu denen Benutzer eine Verbindung herstellen können, und die Richtlinien, die für Benutzerverbindungen erforderlich sind, berücksichtigen. Sie können außerdem entscheiden, nur das Access Gateway-Gerät bereitzustellen oder mit Access Controller detailliertere Konfigurationseinstellungen zu erstellen. Grundschritte Führen Sie beim Vorbereiten der Zugriffsstrategie die folgenden Grundschritte aus: 69 • Identifizieren der Ressourcen: Erstellen Sie eine Liste der Netzwerkressourcen, für die Sie Zugriff gewährleisten möchten, wie z. B. Web- oder veröffentlichte Anwendungen, Dienste und Daten, die Sie in Ihrer Risikoanalyse definiert haben. • Entwickeln von Zugriffsszenarios: Erstellen Sie Zugriffsszenarios, die beschreiben, wie Benutzer auf Netzwerkressourcen zugreifen. Ein Zugriffsszenario wird durch den Anmeldepunkt, über den auf das Netzwerk zugegriffen wird, die Scanergebnisse einer Endpunktanalyse, den Authentifizierungstyp, SmartGroups oder eine Kombination dieser Elemente definiert. Diese Zugriffsszenarios legen auch die Aktionen fest, die Benutzer ausführen können, wenn ihnen Zugriff gewährt wurde. Sie können beispielsweise festlegen, ob Benutzer Dokumente mit einer veröffentlichten Anwendung oder durch Verbinden mit einer Dateifreigabe ändern dürfen. • Verknüpfen von Richtlinien mit Benutzern: Die Richtlinien, die Sie für Access Gateway und Access Controller erstellen, bestimmen, wann der Benutzer oder die Benutzergruppe angegebene Bedingungen erfüllt. Sie legen die Bedingungen basierend auf den Zugriffsszenarios, die Sie erstellen, fest. Dann erstellen Sie Richtlinien, die die Sicherheit Ihres Netzwerks erweitern, indem sie steuern, auf welche Ressourcen Benutzer zugreifen und welche Aktionen sie dann durchführen können. Sie verknüpfen die Richtlinien mit den entsprechenden Benutzern. Weitere Informationen dazu, wie Sie auf dem Access Controller Richtlinien implementieren und Strategien entwickeln, um Ressourcenzugriff basierend auf dem Benutzerszenario zu steuern, finden Sie unter Steuern von Zugriff mit Richtlinien. Weitere Informationen zum Konfigurieren von Netzwerkressourcen auf dem Access Gateway finden Sie unter Konfigurieren von Netzwerkressourcen. Access Gateway 5.0-Installationscheckliste Dieser Abschnitt enthält eine Checkliste für die Aufgaben und Planungsinformationen, die Sie vor der Installation von Citrix Access Gateway 5.0 ausführen und zusammenstellen sollten. Citrix empfiehlt, dass Sie die Checkliste ausdrucken und ausfüllen. Es gibt eine zusätzliche Spalte, in der Sie jede abgeschlossene Aufgabe abhaken können. Die Checkliste listet die Konfigurationswerte auf, die Sie zum Installieren und Konfigurieren von Access Gateway brauchen. Notieren Sie sich diese Werte, bevor Sie das Gerät installieren und konfigurieren. Weitere Anweisungen, wie Sie das Access Gateway-Gerät installieren und konfigurieren, finden Sie unter Introducing Access Gateway Hardware. Benutzergeräte 1 Stellen Sie sicher, dass die Benutzergeräte die Installationsvoraussetzungen erfüllen. Weitere Informationen finden Sie unter Systemanforderungen für das Access Gateway Plug-in. 70 Access Gateway 5.0-Installationscheckliste Access Gateway - Grundlegende Netzwerkkonnektivität 2 Hostname des Access Gateways Dies ist der vollqualifizierte Domänenname (FQDN). 3 IP-Adresse und Subnetzmaske, die für eth0 reserviert ist. Der Netzwerkadapter eth0 verbindet üblicherweise Access Gateway mit dem externen Netzwerk. 4 (Optional) IP-Adresse und Subnetzmaske, die für eth1 reserviert ist. Der Netzwerkadapter eth1 verbindet Access Gateway mit dem internen Netzwerk. Wenn Access Gateway im internen Netzwerk bereitgestellt wird, ist die Konfiguration von eth1 optional. Weitere Informationen finden Sie unter Bereitstellen von Access Gateway im Netzwerk. 5 Netzwerkgeschwindigkeit Geben Sie die Rate an, mit der in Ihrem Netzwerk die Daten übertragen werden. Diese Rate kann 10 Mbps, 100 Mbps oder 1.000 Mbps sein. Hinweis: Sie verwenden die Access Gateway Management Console zum Konfigurieren der Netzwerkgeschwindigkeit. Netzwerkgeschwindigkeiten lassen sich nicht über die Befehlszeile konfigurieren. 6 Port: Geben Sie den Port an, den Access Gateway auf SSL-Benutzerverbindungen abhört. Standardwert ist TCP-Port 443. Dieser Port muss in der Firewall zwischen Access Gateway und der ersten Firewall in DMZ geöffnet sein. 71 7 Standardgateway IP-Adresse 8 Erster DNS-Server Access Gateway 5.0-Installationscheckliste 9 Zweiter DNS-Server (wenn vorhanden) 10 Dritter DNS-Server (wenn vorhanden) 11 WINS-Server (wenn vorhanden) Verwaltungsrollen für die Netzwerkadapter 12 Sie wählen die Verwaltungsrollen für die Netzwerkadapter auf dem Access Gateway. 13 Extern: Der Netzwerkadapter, der mit dem Internet oder dem externen Netzwerk verbunden ist. 14 Intern: Der Netzwerkadapter, der mit dem gesicherten Netzwerk verbunden ist. 15 Gerätefailover: Die Netzwerkadapter, die ein anders Access Gateway in einem Gerätefailoverpaar überwachen. Sie können einen oder mehrere Adapter für ein Gerätefailoverpaar verwenden. 16 Management: Die Netzwerkadapter, mit denen Sie die Access Gateway Management Console verbinden. Authentifizierung und Autorisierung Access Gateway unterstützt verschiedene Authentifizierungs- und Autorisierungstypen, die Sie in einer Reihe von Kombinationen verwenden können. Füllen Sie die folgenden Felder für die Authentifizierung und Autorisierung für Ihre Netzwerkumgebung entsprechend aus. Weitere Einzelheiten zur Konfiguration der Authentifizierung und Autorisierung finden Sie unter Hinzufügen der Autorisierung zum Authentifizierungsprofil auf dem Access Gateway-Gerät. RADIUS-Authentifizierung und -Autorisierung Wenn zu der Umgebung ein RADIUS-Server gehört, können Sie RADIUS nur für die Authentifizierung oder für die Authentifizierung und Autorisierung verwenden. Füllen Sie die folgenden Felder wie erforderlich aus. 72 Access Gateway 5.0-Installationscheckliste Authentifizierungseinstellungen 17 IP-Adresse und Portnummer für den primären RADIUS-Server Der Standardport ist 1812. 18 Gemeinsamer geheimer Schlüssel für den primären RADIUS-Server 19 IP-Adresse und Portnummer für den sekundären RADIUS-Server Der Standardport ist 1812. 20 Gemeinsamer geheimer Schlüssel für den sekundären RADIUS-Server RADIUS-Autorisierungseinstellungen Diese RADIUS-Einstellungen sind auch erforderlich, wenn Sie den Microsoft-Internetauthentifizierungsdienst (IAS) oder den Netzwerkrichtlinienserver (NPS) für die RADIUS-Unterstützung konfigurieren. Wenn Sie die RADIUS-Autorisierung für Access Gateway konfigurieren, geben Sie die gleichen Werte an, die Sie für IAS oder NPS verwendet haben. 21 Herstellercode Dieser Wert muss die gleiche herstellerspezifische Attributnummer sein, die Sie in IAS im Dialogfeld Herstellerspezifische Attributinformationen eingegeben haben. Wenn Sie RADIUS-Standard wählen, ist der Standardwert 0 (Null). 22 Herstellerattribut Dies ist der zugewiesene Wert für das Attribut User Group. Der Standardwert ist 0. 23 Attributwertpräfix Für das Access Gateway ist das Attributwertpräfix CTXSUserGroups=Gruppenname. Wenn zwei Gruppen definiert sind, z. B. die Gruppen "Vertrieb" und "Finanzen", ist der Attributwert CTXSUserGroups=Vertrie b;Finanzen. Trennen Sie mehrere Gruppen durch das Zeichen, das im folgenden Feld als Trennzeichen angegeben wird. 73 Access Gateway 5.0-Installationscheckliste 24 Trennzeichen Das Trennzeichen ist das Satzzeichen, das zwischen Gruppen im Attributwertpräfix gesetzt wird. Der Standardwert ist ein Semikolon (;). LDAP-Authentifizierung und -Autorisierung Wenn zu der Umgebung ein LDAP-Server gehört, können Sie LDAP nur für die Authentifizierung, nur für die Autorisierung oder für die Authentifizierung und Autorisierung verwenden. 74 Access Gateway 5.0-Installationscheckliste Authentifizierungs- und Autorisierungseinstellungen 25 IP-Adresse und Port des LDAP-Servers Wenn Sie ungesicherte Verbindungen zum LDAP-Server zulassen, dann ist der Standardport 389. Wenn Sie Verbindungen zum LDAP-Server mit SSL verschlüsseln, dann ist der Standardport 636. 26 Sichere Verbindung verwenden Wenn Sie die LDAP-Authentifizierung oder -Autorisierung konfigurieren, haben Sie die Option, die Verbindungen zwischen Access Gateway und dem LDAP-Server zu verschlüsseln. Um die Verbindung zu verschlüsseln, müssen Sie das Stammzertifikat des LDAP-Servers, das von einer Zertifizierungsstelle signiert ist, auf dem Access Gateway installieren. Wenn Sie diese Option aktivieren, können Benutzer ihr Kennwort ändern. 27 Administrator-Bind-DN Wenn für den LDAP-Server Authentifizierung erforderlich ist, geben Sie den Administrator-Bind-DN ein, den Access Gateway für die Authentifizierung bei Abfragen am LDAP-Verzeichnis verwenden soll. Ein Beispiel ist "cn=administrator, cn=Users, dc=ace, dc=com." 28 Administatorkennwort Das Kennwort, das dem Administrator-Bind-DN zugeordnet ist. 29 Basis-DN DN (oder Verzeichnisebene), unter dem/der Benutzer sind; beispielsweise "ou=users, dc=ace, dc=com". 30 Namensattribut für Serveranmeldung Geben Sie das Person-Objektattribut für das LDAP-Verzeichnis ein, mit dem der Anmeldename eines Benutzers angegeben wird. Das Standardattribut ist "sAMAccountName". Wenn Sie nicht Active Directory verwenden, werden häufig die Werte "cn" oder "uid" für diese Einstellung verwendet. 75 Access Gateway 5.0-Installationscheckliste 31 Gruppenattribut und Benutzermitgliedsattribut Das Group-Attributfeld ist für die Autorisierung erforderlich, aber nicht für die Authentifizierung. Geben Sie das Person-Objektattribut für das LDAP-Verzeichnis ein, mit angegeben wird, zu welchen Gruppen ein Benutzer gehört. Das Standardattribut ist "memberOf". Mit diesem Attribut kann das Access Gateway ermitteln, zu welchen Verzeichnisgruppen ein Benutzer gehört. RSA SecurID-Authentifizierung Sie brauchen keine Informationen zu sammeln, wenn Sie RSA Authentication Manager-Software für die Authentifizierung verwenden. Sie müssen aber die RSA Authentication Manager-Datei sdconf.rec dem Access Gateway hinzufügen. Verwenden Sie die Verwaltungstools in der RSA Authentication Manager-Software, um die Datei sdconf.rec zu generieren und laden Sie diese Datei auf das Access Gateway hoch. Öffnen der Ports durch Firewalls Wenn Ihre Organisation das interne Netzwerk durch eine DMZ schützt und Sie Access Gateway in der DMZ bereitstellen, müssen Sie die folgenden Ports durch die Firewalls öffnen. 32 76 Öffnen Sie einen TCP/SSL-Port (Standard 443) in der Firewall zwischen dem Internet und Access Gateway. Benutzergeräte verwenden diesen Port für die Verbindung zu Access Gateway. Access Gateway 5.0-Installationscheckliste 33 Öffnen Sie einen oder mehrere entsprechende Ports in der Firewall zwischen der DMZ und dem gesicherten Netzwerk. Access Gateway verwendet diese Ports für Verbindungen zu einem oder mehren Authentifizierungsserver oder zu Citrix XenApp-Servern im gesicherten Netzwerk. Authentifizierungsports Der Standardports für die Authentifizierung und Autorisierung werden unten aufgeführt. Öffnen Sie nur den Port, der Ihrer Access Gateway-Konfiguration entspricht. • Für ungesicherte LDAP-Verbindungen ist der Standard-TCP-Port 389. • Für gesicherte LDAP-Verbindungen ist der Standard-TCP/SSL-Port 636. • Für RADIUS-Verbindungen ist der Standard-UDP-Port 1812. Citrix XenApp-Ports Wenn Sie Access Gateway mit Citrix XenApp verwenden, öffnen Sie TCP-Port 1494. Wenn die Sitzungszuverlässigkeit aktiviert ist, muss TCP-Port 2598 statt 1494 offen sein. Citrix XenApp, Citrix XenDesktop und das Webinterface Füllen Sie die folgenden Felder nur aus, wenn Sie Access Gateway bereitstellen, um Zugriff auf Citrix XenApp oder Citrix XenDesktop über das Webinterface zu bieten. Das Access Gateway Plug-in wird in dieser Bereitstellung nicht verwendet. Benutzer greifen nur mit Webbrowsern und Citrix Online Plug-ins auf veröffentlichte Anwendungen und Desktops durch das Access Gateway zu. Weitere Informationen zur Konfiguration von Access Gateway für XenApp, XenDesktop und das Webinterface finden Sie unter Integrieren von Access Gateway mit XenApp oder XenDesktop. 77 34 FQDN oder die IP-Adresse für den Webinterface-Server 35 FQDN oder die IP-Adresse für den Server, auf dem die Secure Ticket Authority ausgeführt wird Access Gateway 5.0-Installationscheckliste 36 ICA-Zugriffssteuerungsliste Wenn Sie XenApp oder XenDesktop verwenden, müssen Sie die ICA-Zugriffssteuerung konfigurieren. Start-IP-Adresse: IP-Adressbereich auf allen Computern, auf denen Citrix XenApp oder Citrix XenDesktop ausgeführt wird und der Port, den XenApp oder XenDesktop auf Benutzerverbindungen abhören. End-IP-Adresse: Diese Werte werden angegeben, damit Benutzer sich durch das Access Gateway mit Citrix XenApp oder Citrix XenDesktop verbinden können. Protokoll: Wählen Sie ICA oder Sitzungszuverlässigkeit. Port: Der Standardport für ICA-Verbindungen ist 1494. Wenn Sie die Sitzungszuverlässigkeit aktivieren, hört der Server Port 2598 statt Port 1494 auf Verbindungen ab. Anmeldepunkte Sie konfigurieren Anmeldepunkte für den Benutzerzugriff. Beim Konfigurieren des Anmeldepunkts wie Typ, Authentifizierung und Autorisierung, Geräteprofile, Anzeige und Fehlermeldung für den Anmeldepunkt sowie Timeouteinstellungen. Die Benutzertimeouteinstellung, die Sie in einem Anmeldepunkt konfigurieren, überschreiben globale Timeouteinstellungen. 78 37 Name: Der Name für einen oder mehrere Anmeldepunkte. 38 Typ: Wählen Sie Einfach für Nur-ICA-Verbindungen. Wählen Sie SmartAccess für Access Gateway Plug-in-Verbindungen. 39 Authentifizierung und Autorisierung für Benutzerverbindungen. Sie können Zweiquellenauthentifizierung konfigurieren. 40 Anmeldepunktsichtbarkeit: Wählen Sie die Geräteprofile, mit denen Benutzergeräte validiert werden. Access Gateway 5.0-Installationscheckliste SmartGroups SmartGroups in Access Gateway enthalten eine Sammlung von Einstellungen, die Benutzer nach folgenden Kriterien zusammenfassen: Identität, Standort, Authentifizierungs- und Autorisierungstyp und Ergebnisse der Endpunktanalyse (wie in den Geräteprofilen definiert). Eine SmartGroup enthält außerdem eine Sammlung von Einstellungen, die definieren, auf welche Ressourcen Benutzer im Netzwerk zugreifen können, Einstellungen für eindeutige IP-Adressen (falls erforderlich) sowie Verbindungseinstellungen für das Access Gateway Plug-in, einschließlich der Timeouteinstellungen für Benutzersitzungen. Die Timeoutwerte für die Benutzersitzung, die in einer SmartGroup konfiguriert werden, überschreiben globale Einstellungen und Einstellungen in einem Anmeldepunkt. 41 Name: Der Name für eine oder mehrere SmartGroups, die Sie auf dem Access Gateway konfigurieren. 42 Homepage: Wählen Sie die Standardhomepage, das Webinterface, Outlook Web Access, Outlook Web App, SharePoint 2007 oder geben Sie eine andere Homepage an. 43 Anmeldepunkte: Wählen Sie die Anmeldepunkte, die Sie mit der SmartGroup verwenden möchten. 44 Geräteprofile: Wählen Sie die Geräteprofile, mit denen die Benutzergeräte auf Endpunktanalyseanforderungen gescannt werden sollen. 45 Gruppenmitgliedschaften: Definieren Sie die Gruppen auf den Authentifizierungs- oder Autorisierungsservern, in denen Benutzer Mitglieder sind. 46 Netzwerkressourcen: Wählen Sie die Netzwerkressourcen, auf die Benutzer zugreifen dürfen. 47 Adresspools: Wählen Sie eine Gruppe eindeutiger IP-Adressen für Benutzerverbindungen. 48 Erweiterte Eigenschaften: Wählen Sie die Einstellungen, die Benutzersitzungen definieren. Gerätefailover Sie können zwei Access Gateway-Geräte für Gerätefailover konfigurieren. Wenn das primäre Access Gateway ausfällt, kann das sekundäre Gerät Benutzerverbindungen annehmen. 79 Access Gateway 5.0-Installationscheckliste 80 49 Identifizieren Sie das primäre Access Gateway und den Netzwerkadapter, um das Gerätefailover zu aktivieren. Sie können entweder eth0 oder eth1 oder beide Adapter wählen. 50 Identifizieren Sie das sekundäre Access Gateway und den Netzwerkadapter, um das Gerätefailover zu aktivieren. Sie können entweder eth0 oder eth1 oder beide Adapter wählen. 51 Konfigurieren Sie die Einstellungen für das primäre Access Gateway unter Appliance Failover. 52 Konfigurieren Sie die Einstellungen für das sekundäre Access Gateway unter Appliance Failover. 53 Peer-IP-Adressen: Sie können bis zu zwei Peer-IP-Adressen konfigurieren. Verwenden Sie die IP-Adresse des Netzwerkadapters, auf dem Sie das Gerätefailover auf dem sekundären Gerät aktiviert haben. 54 Interne virtuelle IP-Adresse: Die virtuelle IP-Adresse bietet Dienste. Sie können virtuelle IP-Adressen nur auf dem primären Gerät konfigurieren. 55 Externe virtuelle IP-Adresse auf dem primären Gerät. Planen der Sicherheit mit Access Gateway Wenn Sie eine Access Gateway-Bereitstellung planen, sollten Sie die folgenden grundlegenden Sicherheitsüberlegungen berücksichtigen und die vorbereitenden Aufgaben für Zertifikate, Authentifizierung und Autorisierungsunterstützung durchführen. Installieren von Sicherheitszertifikaten Citrix rät daher, vor der Bereitstellung von Access Gateway in einer Produktionsumgebung ein signiertes SSL-Serverzertifikat von einer anerkannten Zertifizierungsstelle (CA) einzuholen und auf das Access Gateway hochzuladen. Wird Access Gateway in einer Umgebung bereitgestellt, in der es als Client bei SSL-Handshakes fungiert, müssen Sie ein vertrauenswürdiges Stammzertifikat auf dem Access Gateway installieren. Der SSL-Handshake beginnt auf dem Benutzergerät, wenn Benutzer die Verbindung zu Access Gateway starten. Dieser Handshake erstellt die kryptographischen Parameter der Sitzung zwischen Benutzergerät und Access Gateway. Wenn Sie beispielsweise Access Gateway mit XenApp und mit dem Webinterface installieren, können Sie Verbindungen von Access Gateway zum Webinterface mit SSL verschlüsseln. Bei dieser Konfiguration muss ein vertrauenswürdiges Stammzertifikat auf dem Access Gateway installiert werden. Weitere Informationen finden Sie unter Installieren von Stammzertifikaten auf dem Access Gateway. Unterstützen von Authentifizierung und Autorisierung Sie können Access Gateway für die Authentifizierung der Benutzer konfigurieren und die Autorisierungsrichtlinie steuern, mit die Netzwerkressourcen definiert werden, auf die Benutzer im internen Netzwerk Zugriff haben. Vor dem Bereitstellen von Access Gateway sollten Sie alle Verzeichnisse und die Authentifizierungsserver in der Netzwerkumgebung einrichten, die zur Unterstützung einer der folgenden Authentifizierungsarten erforderlich sind: • LDAP • RADIUS • RSA SecurID Wenn Sie Access Gateway mit Access Controller bereitstellen, können Sie Active Directory für die Verwendung mit Access Controller konfigurieren. Active Directory wird mit der LDAP-Authentifizierung auch auf dem Gerät unterstützt. 81 Planen der Sicherheit mit Access Gateway Sie können die Autorisierung mit RADIUS und LDAP als Teil des Authentifizierungsprofils konfigurieren. Dann können Sie mit einem Netzwerkressourcenprofil Zugriff auf eine Netzwerkressource zulassen oder verweigern. Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie unter Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway oder Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway. 82 Entwickeln einer Zugriffsstrategie Bei der Planung der Access Gateway-Bereitstellung sollten Sie Ihre Netzwerkinfrastruktur auswerten, die alle Hardwarekomponenten enthält, die das Netzwerk der Organisation ausmachen, z. B. Benutzergeräte, Server, Load Balancer und Firewalls. Sie sollten auch die Netzwerkressourcen auswerten, für die Sie Zugriff gewährleisten möchten, wie z. B. Weboder veröffentlichte Anwendungen, Dienste und Daten. Die Netzwerkinfrastruktur umfasst üblicherweise die folgenden Elemente: • Webanwendungen wie ein Intranet oder eine webbasierte E-Mail-Anwendung • Daten wie Datenbanken, Dokumente, Präsentationen und Tabellen • Server, wie z. B. Exchange-Server, Webserver, Datenbankserver und Dateifreigaben Hinweis: Access Controller enthält integrierte Unterstützung für Load Balancing. Sie müssen daher keinen externen Load Balancer einrichten, der die Anfragen an die Access Controller-Server verwaltet. Nachdem Sie Ihre Netzwerkinfrastruktur und die Netzwerksressourcen, für die Sie den Zugriff gewähren möchten, ausgewertet sowie eine Risikoanalyse durchgeführt haben, können Sie eine Zugriffsstrategie erstellen. Für diesen Vorgang müssen Sie auch bestimmen, wie Access Gateway und Access Controller in Ihr vorhandenes Netzwerk integriert werden sollen. In diesem Abschnitt werden drei grundlegende Elemente behandelt, die Sie bei der Erstellung einer effektiven Zugriffsstrategie für Access Gateway berücksichtigen sollten: Endpoint Analysis-Scans, Firewallbereitstellungen und geistiges Eigentum. Integrieren von Endpoint Analysis-Scans in Ihre Zugriffsstrategie Access Gateway und Access Controller führen eine Endpunktanalyse durch, um Informationen auf dem Benutzergerät zu überprüfen. Sie erstellen auf dem Access Gateway-Gerät Geräteprofile, mit denen Sie die Datei, den Prozess, die Registrierungseinstellung, das Betriebssystem oder die Ports definieren, die für die Anmeldung erforderlich sind. Wenn ein Geräteprofil mit einem Anmeldepunkt auf dem Gerät verknüpft ist, scannt das Access Gateway das Benutzergerät, bevor die Anmeldeseite angezeigt wird. Wenn das Benutzergerät den Scan besteht, wird Benutzern die Anmeldeseite angezeigt und sie können sich an Netzwerkressourcen anmelden. Ist es ein Anmeldepunkt mit einfacher Authentifizierung, erhalten Benutzer eine Liste der veröffentlichten Anwendungen oder Desktops im Webinterface. Ist es eine SmartAccess-Anmeldepunkt können Benutzer eine Verbindung mit den Netzwerkressourcen herstellen, die in der SmartGroup zugelassen sind. Wenn das Benutzergerät den Scan nicht besteht, wird den Benutzern nicht die Anmeldeseite angezeigt. Benutzer müssen das Problem auf dem Benutzergerät korrigieren, bevor sie sich anmelden können. Wenn Sie ein Geräteprofil in einer SmartGroup aktivieren, wird der Endpoint Analysis-Scan ausgeführt und bestimmt die Benutzermitgliedschaft in der SmartGroup. Wenn das Benutzergerät den Scan nicht besteht, können Benutzer sich anmelden, haben aber möglicherweise andere Zugriffsberechtigungen, als wenn das Benutzergerät den Scan 83 Entwickeln einer Zugriffsstrategie bestanden hätte. Wenn Sie Endpoint Analysis auf dem Access Controller konfigurieren, können Sie mit Endpoint Analysis-Scans Informationen über ein Benutzergerät sammeln, z. B. die Betriebssystemversion und den Service Pack-Stand. Diese Scans werden ausgeführt, wenn Benutzer sich über einen Anmeldepunkt, der auf dem Access Controller definiert ist, anmelden. Endpoint Analysis-Scans werden nur einmal pro Sitzung durchgeführt. Sie können die Scanergebnisse in Zugriffsrichtlinien integrieren und damit den Zugriff auf Ihre Netzwerke und Ressourcen anhand der Informationen steuern, die Sie über das Benutzergerät gesammelt haben. Sie können beispielsweise den Zugriff auf das Netzwerk durch Mitarbeiter verhindern, die von zu Hause arbeiten, wenn auf dem Computer nicht die erforderliche Version der Antivirussoftware ausgeführt wird. Implementieren von Firewallbereitstellungen in Ihrer Zugriffsstrategie Access Gateway vereinfacht die Firewalldurchquerung und bietet ein sicheres Internetgateway zwischen Access Controller und Benutzergeräten. Häufige Szenarios mit Firewalls: • DMZ: In diesem Szenario werden Firewalls für die Erstellung einer DMZ verwendet, um das interne Netzwerk vor Internetverkehr zu schützen. In dieser Konstellation müssen netzwerkexterne Benutzer die Firewalls durchqueren, die das interne Netzwerk schützen, bevor sie Zugriff auf die entsprechenden Netzwerkressourcen erhalten. • Enklaven: In diesem Szenario schränken Firewalls den Verkehr zwischen bestimmten Netzwerksegmenten ein. Beispiel: Administratoren für ein Krankenhausnetzwerk segmentieren das LAN, um den Zugriff auf vertrauliche Informationen, wie z. B. Krankenblätter, nur in bestimmten Enklaven des Netzwerks zu gewähren. • Abschirmen eines Access Controller-Clusters: In diesem Szenario schützen Firewalls Access Controller-Server vor Gefahren innerhalb des LANs, indem ein Sicherheitsbereich um das Cluster gebildet wird. Mit dieser Bereitstellung wird sichergestellt, dass Benutzer nicht direkt auf das Cluster zugreifen können. Schutz von geistigem Eigentum mit Ihrer Zugriffsstrategie Vertrauliche Daten, auch als geistiges Eigentum bezeichnet, sind alle Daten, Anwendungen oder Dienste, die dem Arbeitgeber nach Eigentum des Unternehmens sind. Beispiele hierfür sind Finanzdokumente, Kundendaten und Personalakten. Um die Vertraulichkeit der Daten zu bewerten, muss der Schaden beurteilt werden, der durch Bekanntwerden oder Integritätsverlust der Daten verursacht würde. Beachten Sie bei der Bewertung der Vertraulichkeit von Daten die folgenden Faktoren: • 84 Gesetzliche Anforderungen: Machen Sie sich mit strikteren Datenschutzrechten vertraut, die neue Ebenen der Datensicherheit für verschiedene Branchen erfordern, u. a. Gesundheitswesen, Versicherungen und Finanzwesen. Zusätzlich erfordert die Globalisierung die Beachtung aller Anforderungen jeglicher Länder oder Staaten, in denen das Unternehmen tätig ist. Entwickeln einer Zugriffsstrategie • Rechtliche Folgen: Ermitteln Sie, welche rechtlichen Folgen das Bekanntwerden interner Daten haben könnte. Könnten rechtliche Schritte gegen Ihr Unternehmen eingeleitet werden, weil vertrauliche Informationen Unbefugten zugänglich waren? • Wettbewerbsfähigkeit: Prüfen Sie, ob der Datenverlust dazu führt, dass Ihr Unternehmen gegebenenfalls nicht länger wettbewerbsfähig ist. Betrachten Sie beispielsweise ein Szenario, in dem das "Geheimrezept" Ihres Unternehmens der Konkurrenz in die Hände fällt. • Ansehen des Unternehmens: Prüfen Sie, welche Auswirkungen der unerlaubte Zugriff auf Daten auf den Ruf Ihrer Organisation haben könnte. Beispiel: Stellen Sie sich ein Szenario vor, in dem nicht autorisierte Benutzer auf die Kreditkarteninformationen Ihrer Kunden zugreifen. Zusätzlich zu den möglichen rechtlichen Klagen verlieren die Kunden das Vertrauen in den Datenschutz in Ihrem Unternehmen und entscheiden sich für die Konkurrenz. Das Ziel ist, geistiges Eigentum nicht der Gefahr des unerlaubten Zugriffs auszusetzen. Mit Access Gateway und Access Controller können Sie vertrauliche Daten mit den folgenden Funktionen für die richtlinienbasierte Zugriffssteuerung schützen: Sie können z. B. eine Integration mit Citrix XenApp einrichten und Dateien so konfigurieren, dass sie in einer veröffentlichten Anwendung statt einer lokalen Anwendung auf einem Benutzergerät geöffnet werden. Hierdurch wird die Sicherheit vertraulicher Daten gesteigert, da Unternehmensdaten während des gesamten Zugriffs innerhalb des geschützten Netzwerks verbleiben. Zusätzlich können Sie Access Controller-Richtliniendaten in XenApp verwenden, um selektiv Funktionen, z. B. Clientlaufwerkszuordnung und lokales Drucken, für Sitzungen mit veröffentlichten Anwendungen zu aktivieren. Weitere Informationen über Filter finden Sie unter Steuern von Zugriff mit Richtlinien. 85 Bereitstellen von Access Gateway im Netzwerk Sie können Citrix Access Gateway am Rand des internen Netzwerks (Intranet) des Unternehmens bereitstellen, sodass ein zentraler Zugriffspunkt auf alle Server, Anwendungen und andere Netzwerkressourcen im internen Netzwerk entsteht. Alle Remotebenutzer müssen eine Verbindung zu Access Gateway herstellen, bevor sie auf die Ressourcen im internen Netzwerk zugreifen können. Citrix empfiehlt, Access Gateway in der DMZ des Netzwerks zu installieren. Wenn Access Gateway in der DMZ installiert ist, agiert die Software in zwei Netzwerken: einem privaten Netzwerk und einem öffentlichen Netzwerk mit einer öffentlich routbaren IP-Adresse. Das private Netzwerk ist üblicherweise das interne Netzwerk und das öffentliche Netzwerk ist das Internet. Sie können für Zugriffssteuerungs- und Sicherheitszwecke mit Access Gateway auch organisationsintern LANs partitionieren. Sie können Partitionen zwischen Kabel- oder Funknetzwerken und Daten- und Sprachnetzwerken erstellen. Sie können Access Gateway mit den folgenden Citrix Produkten bereitstellen. • Citrix Access Controller • Lizenzserver • Webinterface • XenApp • XenDesktop Sie können Access Gateway an den folgenden Orten im Netzwerk bereitstellen: 86 • In der DMZ des Netzwerks • In einem gesicherten Netzwerk ohne DMZ • Mit weiteren Access Gateway-Geräten für Lastausgleich und Gerätefailover Bereitstellen von Access Gateway-Geräten in der DMZ Viele Organisationen schützen interne Netzwerke durch eine DMZ. Eine DMZ ist ein Subnetz, das zwischen dem sicheren internen Netzwerk des Unternehmens und dem Internet (oder einem externen Netzwerk) liegt und das durch Firewalls abgeschirmt ist. Wenn Access Gateway in der DMZ bereitgestellt wird, stellen Benutzer mit dem Access Gateway Plug-in oder Citrix Online Plug-ins die Verbindung zum Gerät her. In der Abbildung ist Access Gateway in der DMZ installiert und so konfiguriert, dass eine Verbindung sowohl zum Internet als auch zum internen Netzwerk hergestellt wird. Abbildung 1. Access Gateway in der DMZ Access Gateway-Konnektivität in der DMZ Wenn Sie Access Gateway in der DMZ bereitstellen, müssen die Benutzerverbindungen die Firewall überwinden, um eine Verbindung zu Access Gateway herstellen zu können. Standardmäßig verwenden Verbindungen SSL an Port 443 für die Verbindung. Damit diese Verbindung möglich ist, müssen Sie die Verwendung von SSL an Port 443 durch die erste Firewall aktivieren. Access Gateway entschlüsselt die SSL-Verbindungen vom Benutzergerät und baut stellvertretend für das Benutzergerät eine Verbindung zu den Netzwerkressourcen hinter der zweiten Firewall auf. Die Ports, die für die Durchquerung der zweiten Firewall geöffnet 87 Bereitstellen von Access Gateway-Geräten in der DMZ sein müssen, sind abhängig von den Netzwerkressourcen, für deren Zugriff die externen Benutzer autorisiert sind. Wenn Sie beispielsweise die externen Benutzer für den Zugriff auf einen Webserver im internen Netzwerk autorisieren und der Server Port 80 nach HTTP-Verbindungen abhört, muss entsprechend HTTP an Port 80 durch die zweite Firewall zugelassen werden. Stellvertretend für die externen Benutzergeräte stellt Access Gateway die Verbindung durch die zweite Firewall zum HTTP-Server im internen Netzwerk her. 88 Bereitstellen von Access Gateway im gesicherten Netzwerk Sie können das Access Gateway-Gerät im gesicherten Netzwerk installieren; dies ist weniger sicher, als Access Gateway in der DMZ bereitzustellen. In diesem Szenario ist eine Firewall zwischen dem Internet und dem gesicherten Netzwerk. Access Gateway ist hinter der Firewall und steuert den Zugriff auf die Netzwerkressourcen, wie in der folgenden Abbildung zu sehen. Abbildung 1. Eine Konfiguration von Access Gateway im gesicherten Netzwerk Wenn Access Gateway in dem gesicherten Netzwerk bereitgestellt wird, verbinden Sie eine Netzwerkkarte des Access Gateway-Geräts mit dem Internet und die andere mit den Servern, die im gesicherten Netzwerk ausgeführt werden. Das Installieren von Access Gateway im gesicherten Netzwerk bietet Zugriff für lokale und remote Benutzer. Weil es nur eine Firewall gibt, ist es allerdings eine weniger sichere Methode für Benutzer, die sich remote verbinden. Das Access Gateway fängt Internetverkehr ab, dieser Verkehr wird aber in das gesicherte Netzwerk gelassen, bevor Benutzer authentifiziert werden. Wenn Access Gateway in einer DMZ bereitgestellt wird, werden die Benutzer authentifiziert, bevor der Netzwerkverkehr das gesicherte Netzwerk erreicht. Wird ein Access Gateway im gesicherten Netzwerk bereitgestellt, müssen die Access Gateway Plug-in-Verbindungen die Firewall durchqueren, um eine Verbindung zum Access Gateway herstellen zu können. Standardmäßig verwenden Benutzerverbindungen SSL an 89 Bereitstellen von Access Gateway im gesicherten Netzwerk Port 443 für die Verbindung. Damit diese Verbindung möglich ist, müssen Sie Port 443 in der Firewall öffnen. 90 Bereitstellen von Access Gateway mit XenApp oder XenDesktop Aktualisiert: 2012-05-03 Wird Access Gateway mit dem Ziel bereitgestellt, sicheren Remotezugriff auf XenApp oder XenDesktop zu bieten, ermöglicht Access Gateway gemeinsam mit dem Webinterface und der Secure Ticket Authority (STA) den Zugriff auf veröffentlichte Anwendungen und Desktops, die in einer Serverfarm gehostet werden. Wenn Access Gateway in der DMZ bereitgestellt wird, um Remotezugriff auf eine Serverfarm zu bieten, können Sie eine der folgenden Bereitstellungsarten implementieren: • Webinterface in der DMZ hinter dem Access Gateway: In dieser Konfiguration werden sowohl Access Gateway als auch das Webinterface in der DMZ bereitgestellt. Die erste Benutzerverbindung geht zu Access Gateway und wird dann an das Webinterface weitergeleitet. • Access Gateway parallel zum Webinterface in der DMZ: In dieser Konfiguration werden sowohl Access Gateway als auch das Webinterface in der DMZ bereitgestellt; die anfängliche Benutzerverbindung geht jedoch nicht zum Access Gateway, sondern zum Webinterface. Das Webinterface generiert in Interaktion mit der STA eine ICA-Datei, mit der sichergestellt wird, dass der Datenverkehr von den Citrix Online Plug-ins durch das Access Gateway an einen Computer in der Serverfarm weitergeleitet wird, auf dem XenApp ausgeführt wird • 91 Access Gateway in der DMZ und das Webinterface im internen Netzwerk: Bei dieser Konfiguration werden Benutzeranforderungen durch das Access Gateway authentifiziert, bevor sie an das Webinterface im gesicherten Netzwerk weitergeleitet werden. Das Webinterface übernimmt nicht selbst die Authentifizierung, sondern erzeugt in Interaktion mit der Secure Ticket Authority eine ICA-Datei, mit der der ICA-Datenverkehr durch Access Gateway an die Serverfarm weitergeleitet wird. Bereitstellen zusätzlicher Access Gateway-Geräte für das Load Balancing und Gerätefailover Sie können aus folgenden Gründen mehrere Access Gateway-Geräte in der Umgebung installieren: • Skalierbarkeit: Um zusätzliche Benutzer unterstützen zu können, können Sie in Ihrem Netzwerk mehrere Access Gateway-Geräte installieren. Um für Fehlertoleranz zu sorgen, können Sie mehrere Geräte hinter einem Load Balancer bereitstellen, um die Benutzerlast zwischen den Access Gateway-Geräten zu verteilen. • Gerätefailover: Als Vorsichtsmaßnahme für einen eventuellen Ausfall eines Access Gateways können Sie zusätzliche Access Gateway-Geräte installieren und so dafür sorgen, dass das interne Netzwerk weiterhin für die Remotebenutzer verfügbar bleibt. Hinweis: Soll lediglich das Gerätefailover erreicht werden, können Sie ein Access Gateway als primäres und weiteres Gerät als sekundäres konfigurieren. Wenn das primäre Access Gateway ausfällt, werden die Benutzerverbindungen an das sekundäre Access Gateway geleitet. Weitere Informationen zu dieser Konfiguration finden Sie unter Gerätefailover in Access Gateway 5.0. 92 Bereitstellen von Access Gateway mit Access Controller Access Controller ist eine optionale Softwarekomponente, die für die Verwendung mit Access Gateway verfügbar ist. Access Controller bietet die folgenden Features und Vorteile: • Zentrale Verwaltung mehrerer Access Gateway-Geräte • Clientloser Zugriff auf Websites und Dateifreigaben • Native Active Directory-Authentifizierung (nicht mit LDAP) • Erweiterte Endpoint Analysis-Scans • Load Balancing von Verbindungen über mehrere Geräte • Adaptive Zugriffssteuerung, um basierend auf Endpunktanalyseergebnissen veröffentlichte Anwendungen, Desktops und virtuelle ICA-Kanäle zu aktivieren oder deaktivieren. Nachdem Sie Access Controller auf einem Computer mit Windows Server 2008 installiert haben, müssen Sie das Access Gateway für die Kommunikation mit Access Controller konfigurieren. Fügen Sie zunächst auf dem Access Controller-Server das Access Gateway-Gerät dem Access Controller hinzu. Verwenden Sie dann die Access Gateway Management Console, um das Access Gateway auf das Verwenden von Access Controller umzustellen. Weitere Informationen über die Managementkonsole finden Sie unter Access Gateway Management Console. Sie können dann Access Controller zum Verwalten der Einstellungen für das Access Gateway konfigurieren. Nachdem Sie Access Controller konfiguriert haben, verwenden Sie die Access Gateway Management Console nur noch zum Verwalten von gerätespezifischen Einstellungen. Wenn Sie mehrere Server mit Access Controller haben, findet beim Eingeben der IP-Adresse oder des vollqualifizierten Domänennamens (FQDN) eines Servers, Access Gateway automatisch die anderen Access Controller-Server. Es muss nur ein Access Controller auf dem Gerät konfiguriert werden. Access Controller-Konfigurationen Access Controller unterstützt die folgenden Clusterkonfigurationen: • 93 Access Controller auf einem Server: Installieren Sie den Access Controller auf einem Server. Der Server enthält alle benötigten Clusterkomponenten, u. a. den Datenbankserver. Bereitstellen von Access Gateway mit Access Controller • Access Controller auf einem Server und Microsoft SQL Server auf einem eigenständigen Server: Installieren Sie SQL Server auf einem eigenständigen Server. Installieren Sie Access Controller und geben Sie den SQL-Datenbankserver für die Clusterdatenbank an. • Access Controller auf mehreren Servern: Installieren Sie SQL Server auf einem eigenständigen Datenbankserver. Installieren Sie Access Controller auf mehreren Servern, um ein Cluster zu erstellen. Vorsicht: • Wenn Sie Access Controller zum Verwalten der Access Gateway-Einstellungen konfigurieren, werden die entsprechenden Einstellungen in der Access Gateway Management Console deaktiviert. Wurden diese Einstellungen mit dem Management Console konfiguriert, bevor Sie Access Controller ausgewählt haben, müssen Sie die Delivery Services Console verwenden, um diese Einstellungen noch einmal zu konfigurieren. Weitere Informationen zum Konfigurieren dieser Einstellungen in der Konsole finden Sie unter Verwalten von Access Controller • Wenn Sie Access Controller deaktivieren, werden die Einstellungen in der Delivery Services Console deaktiviert und die vorhandenen Konfigurationswerte entfernt. Die Einstellungen, die zuvor auf dem Access Gateway konfiguriert waren, werden wiederhergestellt. Weitere Informationen finden Sie unter Aktivieren von Access Controller. 94 Bereitstellen von Plug-ins für den Benutzerzugriff Wenn sich Benutzer zum ersten Mal anmelden, können sie das Access Gateway Plug-in von einer Webseite herunterladen und installieren. Das Plug-in wird als eigenständige Anwendung ausgeführt. Benutzer initiieren Verbindungen mit dem Access Gateway Plug-in über das Startmenü. Wenn Sie ein Upgrade von Access Gateway auf eine neue Softwareversion durchführen, wird das Access Gateway Plug-in automatisch auf dem Benutzergerät aktualisiert. Bereitstellen des Access Gateway Plug-ins mit Citrix Receiver für Windows 3.0 Sie können das Access Gateway Plug-in mit Citrix Receiver für Windows 3.0 bereitstellen. Wenn Benutzer Receiver für Windows 3.0 installieren, werden automatisch alle auf dem Benutzergerät installierten Plug-ins Citrix Receiver hinzugefügt. Benutzer melden sich am Access Gateway Plug-in über Citrix Receiver an, indem Sie im Citrix Receiver-Menü im Infobereich auf Anmelden klicken. Benutzer können den Link Nach Updates suchen in den Citrix Receiver-Einstellungen verwenden. Bereitstellen des Access Gateway Plug-ins mit dem MSI-Installationspaket Sie können das Access Gateway Plug-in die Microsoft Active Directory-Infrastruktur oder ein Standardbereitstellungstool für MSI-Dateien von einem Drittanbieter verwenden, wie beispielsweise Windows Server Update Services. Wenn Sie ein Tool verwenden, dass Windows Installer-Pakete unterstützt, können Sie die MSI-Pakete bereitstellen. Verwenden Sie dann das Bereitstellungstool, um die Software auf den entsprechenden Benutzergeräten bereitzustellen und zu installieren. Unter anderem bietet ein zentrales Bereitstellungstool folgende Vorteile: 95 • Die Möglichkeit, die Sicherheitsanforderungen zu erfüllen: Sie können z. B. Plug-ins installieren, ohne Softwareinstallationsrechte für Benutzer aktivieren zu müssen, die keine Administratoren sind. • Kontrolle über Softwareversionen: Sie können eine aktuelle Softwareversion für alle Benutzer gleichzeitig bereitstellen. • Skalierbarkeit: Eine zentrale Bereitstellungsstrategie lässt sich leicht für die Unterstützung weiterer Benutzer skalieren. • Positive Benutzererfahrung: Sie können die Bereitstellung, das Testen und das Beheben von Problemen bei der Installation vornehmen, ohne dass Benutzer einbezogen werden. Bereitstellen von Plug-ins für den Benutzerzugriff Citrix empfiehlt diese Option, wenn eine administrative Steuerung der Installation des Plug-ins bevorzugt wird und der Zugang zu Benutzergeräten problemlos möglich ist. Weitere Informationen finden Sie unter Installieren des Access Gateway Plug-ins mit dem Microsoft Installer (MSI)-Paket. Hinweis: Das Endpoint Analysis Plug-in ist als alleinstehende MSI--Datei auf der Server-CD im Verzeichnis \Setup\EndpointAnalysisClient\Sprachkürzel verfügbar. Ermitteln der bereitzustellenden Plug-in-Software Wenn Ihre Access Gateway-Bereitstellung keine Plug-in-Software auf Benutzergeräten erfordert, gilt die Bereitstellung als "clientloser Zugriff". In diesem Szenario benötigen Benutzer einen Webbrowser für den Zugriff auf Netzwerkressourcen. Für bestimmte Funktionen ist jedoch Plug-in-Software auf dem Benutzergerät erforderlich. Weitere Informationen zu den Mindestanforderungen für Benutzergerätsoftware finden Sie unter Benutzergerätanforderungen. 96 Bereitstellungsoptionen für das Webinterface Wenn Sie Access Gateway mit dem Webinterface bereitstellen, können Sie das Webinterface in der DMZ oder im gesicherten Netzwerk installieren. Der Ort an dem Sie das Webinterface bereitstellen hängt von einer Reihe von Faktoren ab: • Authentifizierung: Wenn Benutzer sich anmelden, können die Anmeldeinformationen des Benutzers entweder durch Access Gateway oder durch das Webinterface authentifiziert werden. An welche Stelle Sie das Webinterface im Netzwerk platzieren ist ein Faktor, von dem teilweise abhängt, wie Benutzer sich authentifizieren. • Benutzersoftware: Benutzer können sich entweder über das Access Gateway Plug-in, die Citrix Online Plug-ins oder Citrix Receiver mit dem Webinterface verbinden. Sie können die Ressourcen einschränken, auf die Benutzer zugreifen können, indem Sie nur die Online Plug-ins verwenden, oder Benutzern mit dem Access Gateway Plug-in weitergehenden Netzwerkzugriff gewähren. Wie Benutzer die Verbindung herstellen und die Ressourcen, für die der Benutzerzugriff zugelassen werden soll, leiten Sie bei der Entscheidung, wo Sie das Webinterface im Netzwerk bereitstellen. Die Bereitstellungsoptionen für das Webinterface sind: 97 • Webinterface im gesicherten Netzwerk • Webinterface parallel zum Access Gateway in der DMZ • Webinterface in der DMZ hinter dem Access Gateway Bereitstellen des Webinterface im gesicherten Netzwerk Bei dieser Bereitstellung befindet sich das Webinterface im gesicherten Netzwerk. Das Access Gateway-Gerät wird in der DMZ bereitgestellt. Access Gateway authentifiziert Benutzeranforderung, bevor sie an das Webinterface im gesicherten Netzwerk weitergeleitet werden. Bei einer Bereitstellung des Webinterface im gesicherten Netzwerk muss die Authentifizierung auf dem Access Gateway konfiguriert werden. Benutzer melden sich am Access Gateway an, geben ihre Anmeldeinformationen ein und werden mit dem Webinterface verbunden. Wenn Sie das Webinterface mit XenDesktop bereitstellen, wird im Standardszenario das Webinterface in das gesicherte Netzwerk platziert. Wenn Sie Desktop Delivery Controller installieren, wird auch eine angepasste Version des Webinterface installiert. 98 Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ Aktualisiert: 2012-03-13 In dieser Bereitstellung sind Webinterface und Access Gateway in der DMZ und werden parallel ausgeführt. Benutzer stellen über einen Webbrowser direkt eine Verbindung zum Webinterface her. Benutzer haben sofort nach der Anmeldung am Webinterface Zugriff auf veröffentlichte Anwendungen oder Desktops in der Serverfarm. Sobald ein Benutzer eine Anwendung oder einen Desktop startet, sendet das Webinterface eine ICA-Datei mit Anweisungen zum Routen des ICA-Verkehrs durch das Access Gateway, als ob es ein Server wäre, auf dem Secure Gateway ausgeführt wird. Die vom Webinterface gelieferte ICA-Datei enthält ein von der Secure Ticket Authority (STA) ausgestelltes Sitzungsticket. Wenn Citrix Receiver eine Verbindung zu Access Gateway herstellen, wird das Ticket vorgezeigt. Das Access Gateway ruft die Secure Ticket Authority auf, um das Sitzungsticket zu validieren. Wenn das Ticket noch gültig ist, wird der ICA-Verkehr des Benutzers an den Server in der Serverfarm weitergeleitet. Wenn das Webinterface parallel zum Access Gateway in der DMZ ausgeführt wird, muss keine Authentifizierung auf dem Access Gateway konfiguriert werden. Wenn Sie Access Gateway bereitgestellt haben und ein Netzwerkadapter eine Verbindung zum externen Netzwerk hat, entweder das Internet oder ein WAN, und der zweite Netzwerkadapter eine Verbindung zum Intranet hat, müssen das Webinterface und Access Gateway IP-Adressen haben, die Benutzer vom Internet oder vom gesicherten Netzwerk erreichen können. Die Netzwerkadapter des Access Gateways und des Webinterface müssen im gleichen Netzwerk sein und müssen miteinander kommunizieren können. Abbildung 1. Das Webinterface ist parallel zum Access Gateway installiert. 99 Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ Benutzerverbindungen werden zur Authentifizierung zuerst zum Webinterface gesendet. Nach der Authentifizierung werden die Verbindungen durch das Access Gateway weitergeleitet. 100 Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ Damit der gesamte HTTPS- und ICA-Verkehr durch einen einzigen externen Port gesendet werden kann und nur ein einziges SSL-Zertifikat benötigt wird, kann das Access Gateway als Reverse-Webproxy für das Webinterface fungieren. Wenn Sie das Webinterface wie in der folgenden Abbildung dargestellt hinter dem Access Gateway in der DMZ implementieren, kann die Authentifizierung auf dem Gerät konfiguriert werden, dies ist jedoch nicht zwingend erforderlich. Abbildung 1. Eine Konfiguration des Webinterface hinter dem Access Gateway in der DMZ 101 Installieren von Access Gateway 5.0 Wenn Sie das Citrix Access Gateway-Gerät erhalten, packen Sie das Gerät aus und bereiten Installationsort und -rack vor. Nachdem Sie überprüft haben, dass der Installationsort die Umgebungsstandards erfüllt und das Serverrack nach den Anweisungen montiert wurde, installieren Sie die Hardware. Nachdem Sie das Gerät montiert haben, verbinden Sie es mit dem Netzwerk, einer Stromquelle und dem Konsolenterminal, das Sie für die anfänglichen Konfiguration verwenden. Nachdem Sie das Gerät anschalten, führen Sie die anfängliche Konfiguration durch und weisen Verwaltungs- und Netzwerk-IP-Adressen zu. Beachten Sie dabei die Hinweise und Warnungen in den Installationsanweisungen. Citrix empfiehlt, die Access Gateway 5.0-Installationscheckliste zu verwenden, sodass Sie sich die notwendigen Einstellungen notieren können, bevor Sie mit der Installation des Access Gateway-Geräts beginnen. Die Checkliste enthält außerdem Informationen über die Installation von Access Gateway. Informationen über das Installieren des Access Gateway-Geräts finden Sie unter Installing the Access Gateway Appliance (in Englisch). Sie können Access Controller nur unter Windows Server 2008 installieren. Wenn Sie ein Upgrade von Access Gateway 4.5, Advanced Edition auf Access Controller durchführen möchten, installieren Sie Access Controller auf dem Server und migrieren dann die Einstellungen von Advanced Access Control. Machen Sie sich vor der Installation von Access Controller mit den Systemanforderungen für den Server vertraut. Vergewissern Sie sich, dass der Server und die Netzwerkumgebung Access Controller unterstützen können, bevor Sie mit dem Installationsvorgang beginnen. Weitere Informationen finden Sie unter Planen der Installation von Access Controller. Nachdem Sie das Gerät und Access Controller installiert haben, konfigurieren Sie die Kommunikation zwischen Access Gateway und Access Controller. 102 Planen der Installation von Access Controller Sie können Access Controller nur unter Windows Server 2008 installieren. Wenn Sie ein Upgrade von Access Gateway 4.5, Advanced Edition auf Access Controller durchführen möchten, installieren Sie Access Controller auf dem Server und migrieren dann die Einstellungen von Advanced Access Control. Prüfen Sie bei der Planung der Access Controller-Installation, dass die Server die Anforderungen der Komponenten und Features von Access Controller erfüllen, die Sie verwenden möchten. Dieser Abschnitt enthält eine Übersicht über die Aufgaben, die Sie vor und nach der Installation der Access Controller-Software ausführen müssen. Führen Sie die folgenden Schritte aus, um mit der Installation von Access Controller beginnen zu können: 1. Aktualisieren Sie die Windows-basierten Server mit Windows Update, damit die zutreffenden Sicherheitsupdates auf die Access Controller-Server angewendet werden. 2. Stellen Sie sicher, dass die Server alle Anforderungen für die Komponenten und Features erfüllen, die Sie verwenden möchten. 3. Installieren Sie die Lizenzen auf dem Access Gateway-Gerät oder auf dem Citrix Lizenzserver. Access Controller ruft Lizenzen von dem Ort ab, der auf dem Gerät konfiguriert ist. 4. Installieren Sie Access Controller und die Delivery Services Console anhand der Anleitungen im folgenden Abschnitt. 5. Installieren Sie ggf. zusätzliche Komponenten. 6. Gehen Sie zum Citrix Knowledge Center, um wichtige Updates herunterzuladen und zu installieren. Zusätzlich zu dieser Liste sollten Sie von der Installation von Access Controller auf Windows Server 2008 R2 die folgenden Aufgaben ausführen: • Registrieren Sie ASP.NET bei den Internetinformationsdiensten (IIS) 7.0. • Installieren Sie die IIS 6.0-Metabasis-Komponenten. Vorbereitungen zur Installation Für viele Access Controller-Features müssen Sie erst bestimmte Komponenten installieren oder Einstellungen konfigurieren, bevor Sie die Software installieren. In der folgenden Tabelle finden Sie die erforderlichen Aufgaben vor der Installation und Referenzen zu weiteren Informationen über jede Komponente oder jedes Feature. 103 Planen der Installation von Access Controller Komponente oder Feature Erforderliche Aufgabe Zusätzliche Informationen Access Gateway-Gerät Eines oder mehrere Geräte installieren Access Gateway 5.0-Installationscheckliste Einführung Access Gateway Management Console Access Controller Sicherstellen, dass auf den Servern eine unterstützte Version von Microsoft Windows ausgeführt wird Anforderungen für Konten Stellen Sie sicher, dass die Netzwerkkonfiguration die Anforderungen erfüllt. Netzwerkanforderungen Stellen Sie sicher, dass das Dienstkonto die Anforderungen erfüllt. Anforderungen für Konten Installieren Sie einen Datenbankserver und erstellen Sie ein Benutzerkonto. Anforderungen für Konten Server neu starten, wenn Sie auf dem Server mit Access Controller installieren Installieren von Access Controller Authentifizierung Active Directory oder anderen Authentifizierungstyp auf dem Access Controller konfigurieren Anforderungen an Authentifizierungssoftware Delivery Services Console Bei eigenständigem Server sicherstellen, dass die erforderliche Software installiert ist Anforderungen für die Delivery Services Console Datenbankserver Datenbankanforderungen Nach der Installation In der folgenden Tabelle finden Sie die erforderlichen Aufgaben nach der Installation und Referenzen zu weiteren Informationen über jede Komponente oder jedes Feature. 104 Komponente oder Feature Erforderliche Aufgabe Zusätzliche Informationen Access Controller-Konfiguration Serverkonfiguration ausführen, um die Einstellungen auf dem Access Controller zu konfigurieren und die Verbindung zu einer SQL Server-Datenbank herzustellen Funktionsweise der Serverkonfiguration Planen der Installation von Access Controller 105 Access Gateway-Gerät Kommunikation mit Access Controller konfigurieren Bereitstellen von Access Gateway mit Access Controller Access Controller Access Gateway-Geräte dem Access Controller hinzufügen So fügen Sie Access Controller dem Access Gateway hinzu So installieren Sie Access Controller Citrix unterstützt den Einsatz von Access Controller auf einem oder mehreren Servern in Ihrem Netzwerk. Der Installationsassistent für Access Controller führt Sie durch den Installationsprozess für Access Controller und seinen Komponenten. 1. Legen Sie die Access Controller-Server-CD in das CD-Laufwerk ein. Wenn Autorun aktiviert ist, wird der Startbildschirm angezeigt. Wenn Autorun nicht aktivieren, navigieren Sie zum Stammverzeichnis der CD und doppelklicken auf AutoRun.exe. 2. Klicken Sie auf dem Startbildschirm auf Citrix Access Controller. 3. Klicken Sie auf der Willkommenseite auf Weiter. 4. Lesen und akzeptieren Sie die Lizenzvereinbarung von Citrix. 5. Die folgenden Komponenten stehen für die Installation zur Verfügung: • Server: Installiert die Access Controller-Serversoftware, einschließlich Logon Agent und das Dienstprogramm Serverkonfiguration. Delivery Services Console: Installiert das Konfigurations- und Managementtool für Access Controller. 6. Folgen Sie den Anweisungen auf dem Bildschirm, um den Setupassistenten abzuschließen. • Der Fortschritt der Installation von Access Controller wird angezeigt. Nach Abschluss der Installation, bevor Sie die Assistenten schließen, haben Sie die Wahl, den Server mit der Serverkonfiguration zu konfigurieren sowie Access Controller auf weiteren Servern zu installieren. Weitere Informationen zum Konfigurieren von Serverrollen finden Sie unter Erstkonfiguration von Access Controller. Problembehebung bei der Installation Während der Installation erstellt Access Controller die Protokolldatei CTXCAC50_Install.log, die Sie für die Problembehandlung der Serverinstallation verwenden können. Access Controller schreibt die Protokolldatei standardmäßig in einem temporären Ordner. Um den Speicherort dieses Ordners zu ermitteln, prüft Access Controller die folgenden Umgebungsvariablen: 106 • TMP • TEMP • USERPROFILE So installieren Sie Access Controller • windir Der erste gültige Pfad unter diesen Variablen wird als Speicherort für die Protokolldateien der Installation verwendet. Sie können diesen Standardpfad überschreiben, indem Sie an der Eingabeaufforderung /logfilepath Ordnerpfad eingeben, wobei Ordnerpfad den Ort angibt, an dem Sie die Installationsprotokolldateien speichern möchten. 107 Deinstallieren von Access Controller Aktualisiert: 2012-05-03 Wenn Sie eine Access Controller-Komponente von einem Server entfernen möchten, verwenden Sie "Programme und Funktionen" in der Systemsteuerung. Je nach den installierten Optionen, sollten Sie die Komponenten in der folgenden Reihenfolge entfernen: • Citrix Access Gateway - Server • Citrix Access Gateway - Konsole • Citrix Lizenzserver - Administration • Citrix Delivery Services Console - Diagnostics • Citrix Delivery Services Console - Framework Hinweis: Sie können die Citrix Lizenzserver-Administrationskomponente und die Diagnostikkomponente der Citrix Delivery Services Console jederzeit während des Deinstallationsvorgangs entfernen. Die Komponente "Citrix Delivery Services Console Framework" müssen Sie aber zuletzt entfernen. So entfernen Sie Access Controller-Komponenten 1. Wählen Sie Start > Einstellungen > Systemsteuerung. 2. Doppelklicken Sie in der Systemsteuerung auf Programme und Funktionen. 3. Wählen Sie ein Programm aus, klicken Sie auf Deinstallieren und folgen Sie den Anweisungen. 108 Installieren von Lizenzen auf dem Access Gateway Für Citrix Access Gateway 5.0 ist eine Plattformlizenz erforderlich. Um Verbindungen über das Access Gateway Plug-in oder einen SmartAccess-Anmeldepunkt zu ermöglichen, müssen Sie auch eine universelle Lizenz hinzufügen. In Access Gateway 5.0 installieren Sie Lizenzen entweder auf dem Access Gateway-Gerät oder dem Citrix Lizenzserver. Sie installieren Access Gateway-Lizenzen mit der Access Gateway Management Console. Wenn Sie Citrix Access Controller verwenden, ruft der Server Lizenzen vom Gerät oder dem Lizenzserver ab, je nachdem wie Sie die Lizenzen auf dem Access Gateway-Gerät konfiguriert haben. Sie müssen keine Lizenzen auf dem Access Controller installieren. Wichtig: Wenn Lizenzen auf dem Gerät gehostet werden, muss der Hostname in der Lizenzdatei genau mit dem Hostnamen des Access Gateways übereinstimmen, einschließlich Groß- und Kleinschreibung. Austauschen oder Migrieren von vorhandenen Lizenzen Als Subscription Advantage-Mitglied können Sie Ihre vorhandenen Access Gateway-Lizenzen austauschen (migrieren) und damit Ihre Lizenzdateien auf den neuesten Stand bringen. Das Migrieren von Lizenzen umfasst folgende Schritte: 109 • Migrieren vorhandener Lizenzen über die Website MyCitrix.com • Herunterladen einer neuen Lizenzdatei • Kopieren der neuen Lizenz auf den Lizenzserver Lizenztypen für Access Gateway Aktualisiert: 2013-04-18 Für Access Gateway ist eine Plattformlizenz erforderlich. Um Verbindungen über das Access Gateway Plug-in oder einen SmartAccess-Anmeldepunkt zu ermöglichen, müssen Sie auch eine universelle Lizenz hinzufügen. Access Gateway VPX wird mit der Plattformlizenz geliefert. Die Plattformlizenz wird von folgenden Access Gateway-Versionen unterstützt: • Access Gateway 10 • Access Gateway 9.3, Enterprise Edition (in Englisch) • Access Gateway 9.2, Enterprise Edition (in Englisch) • Access Gateway VPX • Access Gateway 5.0 • Access Gateway 4.6, Standard Edition (in Englisch) Wichtig: Citrix empfiehlt, von allen Lizenzdateien, die Sie erhalten, jeweils eine Kopie auf dem lokalen Computer zu speichern. Wenn Sie eine Sicherungskopie der Konfigurationsdatei speichern, werden alle hochgeladenen Lizenzdateien in die Sicherung übernommen. Wenn Sie die Access Gateway-Gerätesoftware neu installieren müssen und kein Backup der Konfiguration haben, brauchen Sie die Originallizenzdateien. Plattformlizenz Die Plattformlizenz ermöglicht Benutzerverbindungen über veröffentlichte Anwendungen in XenApp oder virtuelle Desktops in XenDesktop. Verbindungen mit Citrix Receiver verwenden keine universelle Access Gateway-Lizenz für jede Verbindung. Für diese Verbindungen ist nur die Plattformlizenz erforderlich. Die Plattformlizenz wird elektronisch mit allen neuen Access Gateway-Bestellungen ausgeliefert, für physikalische oder virtuelle Gateways. Wenn Sie bereits ein Gerät haben, das durch ein Garantie- oder Wartungsabkommen abgedeckt ist, erhalten Sie die Plattformlizenz von My Citrix unter Product Upgrades/Fulfillment. Universelle Lizenzen Die universelle Lizenz begrenzt die Anzahl der gleichzeitigen Benutzersitzungen auf die Anzahl der gekauften Lizenzen. Die universelle Lizenz unterstützt folgende Features: • 110 Vollständiges VPN-Tunneling Lizenztypen für Access Gateway • Endpunktanalyse • Richtlinienbasierten SmartAccess • Clientloser Zugriff auf Websites und Dateifreigaben Wenn Sie also 100 Lizenzen kaufen, können 100 gleichzeitige Sitzungen stattfinden. Sobald ein Benutzer eine Sitzung beendet, wird diese Lizenz für den nächsten Benutzer freigegeben. Wenn sich ein Benutzer von mehreren Computern aus am Access Gateway anmeldet, benötigt er für jede Sitzung eine eigene Lizenz. Wenn alle Lizenzen in Gebrauch sind, können so lange keine weiteren Verbindungen mehr geöffnet werden, bis ein Benutzer eine Sitzung beendet oder Sie die Sitzung beenden. Beim Schließen einer Verbindung wird die Lizenz freigegeben und kann von einem neuen Benutzer verwendet werden. Wenn Sie das Access Gateway-Gerät erhalten, findet die Lizenzierung in dieser Reihenfolge statt: • Sie erhalten den License Authorization Code (LAC) in einer E-Mail. • Sie verwenden den Setupassistenten, um den Hostnamen für das Access Gateway zu konfigurieren. • Sie weisen die Access Gateway-Lizenzen von MyCitrix.com zu. Verwenden Sie den Hostnamen, um die Lizenzen während der Zuweisung an das Gerät zu binden. • Sie installieren die Lizenz auf dem Access Gateway oder dem Lizenzserver. Expresslizenz Die Expresslizenz wird mit Access Gateway VPX verwendet. Sie lässt bis zu fünf gleichzeitige Benutzerverbindungen mit Receiver oder dem Access Gateway Plug-in zu. Die Expresslizenz gibt es für das VPX Express-Gerät und sie läuft nach einem Jahr ab. Die Benutzersitzungen können über einfache und SmartAccess-Anmeldepunkte hergestellt werden. Weitere Informationen über die Systemanforderungen für Access Gateway VPX Express und über den Download des Geräts finden Sie unter NetScaler Access Gateway. Nachdem Sie Access Gateway VPX Express von der Website NetScaler Access Gateway heruntergeladen haben, besorgen Sie sich einen Lizenzschlüssel und laden die Lizenzdatei herunter. Sie müssen den Hostnamen Ihres Citrix Lizenzservers oder den Hostnamen des Access Gateway-Geräts angeben. Wichtig: Das Eingabefeld für diesen Namen berücksichtigt die Groß- und Kleinschreibung. Stellen Sie also sicher, dass Sie den Hostnamen genau so angeben, wie er auf dem Access Gateway-Gerät konfiguriert ist. 111 Abrufen der Plattform- oder universellen Lizenzdateien Nachdem Sie Access Gateway im Netzwerk installiert haben, können Sie Ihre Lizenzdateien von Citrix abrufen. Sie greifen auf My Citrix auf Ihre verfügbaren Lizenzen zu und generieren eine Lizenzdatei. Wenn die Lizenzdatei generiert wurde, laden Sie sie auf einen Computer herunter. Wenn die Lizenzdatei auf dem Computer ist, können Sie sie dann auf das Access Gateway hochladen. Bevor Sie zur Citrix Website navigieren, sollten Sie folgende Angaben griffbereit haben: • Lizenzcode: Sie finden den Code in einer E-Mail von Citrix. Wenn Sie ein Upgrade von einer älteren Version von Access Gateway durchführen, können Sie weiterhin die vorhandene Lizenz verwenden, sofern die Lizenz über SAMRI (Subscription Advantage Management Renewal Information System) bezogen wurde und das Subscription Advantage-Datum noch nicht abgelaufen ist. • Die Benutzer-ID und das Kennwort für MyCitrix: Sie können sich auf der Citrix Website für dieses Kennwort registrieren. Hinweis: Wenn Sie diese Informationen nicht haben, wenden Sie sich an Citrix Customer Service (1-800-4-CITRIX). • Der Hostname des Access Gateway-Geräts oder des Citrix Lizenzservers: Das Eingabefeld auf der Citrix Website für diesen Namen berücksichtigt die Groß- und Kleinschreibung. Stellen Sie also sicher, dass Sie den Hostnamen genau so angeben, wie er auf dem Access Gateway-Gerät konfiguriert ist. • Die Anzahl der Lizenzen, die Sie in die Lizenzdatei aufnehmen möchten: Sie müssen nicht alle Lizenzen, auf die Sie Anspruch haben, gleichzeitig herunterladen. Wenn Ihr Unternehmen 100 Lizenz gekauft hat, können Sie beispielsweise nur 50 herunterladen. Sie können später den Rest in einer anderen Lizenzdatei zuweisen. Sie können mehrere Lizenzdateien auf dem Access Gateway installieren. Bevor Sie die Lizenzen abrufen, müssen Sie den Hostnamen auf dem Gerät konfigurieren. Wenn Sie bereit sind, die universelle Lizenz auf dem Access Gateway zu installieren, gehen Sie zu der Citrix Website, um die Lizenz abzurufen. 112 Abrufen der Plattform- oder universellen Lizenzdateien So rufen Sie die Plattform- oder universelle Lizenzdatei ab 1. Gehen Sie in einem Webbrowser zu der Citrix Website und klicken Sie auf My Citrix. 2. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Bei der ersten Anmeldung an der Website werden Sie aufgefordert, weitere Informationen anzugeben. Hinweis: Wenn Sie bereits Kunde sind, fahren Sie den Schritten 3-11 fort. Wenn Sie Neukunde sind, rufen Sie mit den Schritten 9-11 Ihre Lizenzen ab. 3. Klicken Sie in Choose a Toolbox auf Product Upgrades/Fulfillment. 4. Wählen Sie auf der Seite Product Upgrades/Fulfillment neben Current Tool die Option Upgrade Eligible Products. 5. Wählen Sie unter Product Fulfillment Selection in Select the product you have die Option Access Gateway/Secure Access Manager. 6. Wählen Sie unter Select the product you would like to receive eine der folgenden Optionen: • • Access Gateway-Plattformlizenz Hinweis: Wenn Sie die Plattformlizenz gewählt haben, werden eine Erklärung der Plattformlizenz, Berechtigungs- und Gerätesoftwarebedingungen angezeigt. Universelle Lizenz für Access Gateway Hinweis: Die Option ist nur verfügbar, wenn Sie eine gültige Subscription Advantage-Mitgliedschaft oder die Lizenz separat erworben haben. 7. Klicken Sie auf Senden. Ein zweites Webbrowserfenster mit der Auswahl für Plattform- oder universelle Lizenzen wird geöffnet. 8. Klicken Sie unter der Beschreibung des Access Gateway-Geräts auf eine der Seriennummern und klicken Sie dann auf Continue. Eine Bestätigungsseite wird angezeigt. Diese Seite zeigt eine Vereinbarung zwischen Ihnen und Citrix. Klicken Sie auf Accept. Die Seite Fulfillment Request Confirmation weist darauf hin, dass Ihre Anfrage registriert wurde. Wenn dieser Vorgang abgeschlossen ist, erhalten Sie eine E-Mail mit Downloadlinks für Medien, Lizenzcode und Server (falls erforderlich) vom GTL-Lizenzadministrator. 9. Wenn Sie die Lizenz-E-Mail von Citrix erhalten, klicken Sie auf den Link, um die Lizenzen zuzuweisen. Die Seite Citrix Activation System wird angezeigt. Sie brauchen den Hostnamen oder Host-ID-Referenz, um Ihre Lizenz zu aktivieren. Der Hostname oder die Host-ID basieren auf der MAC-Adresse des Access Gateway VPX oder der Host-ID des Access Gateway-Geräts, auf dem Sie die Lizenz installieren. 113 Abrufen der Plattform- oder universellen Lizenzdateien 10. Klicken Sie auf Continue. Der Name der Plattform- oder der universellen Lizenz, der Lizenzcode und die Menge werden angezeigt. 11. Geben Sie unter Host name of your Citrix license server entweder den Windows-Hostnamen des Citrix Lizenzservers ein oder den vollqualifizierten Domänennamen (FQDN) des Access Gateway-Geräts, klicken Sie auf Allocate und dann auf Confirm. Wenn Sie Confirm klicken, werden Ihre Lizenzierungsinformationen angezeigt. Um die Lizenzdatei herunterzuladen und zu speichern, klicken Sie auf Download License File und Speichern die Datei auf Ihren Computer. Sie können dann die Lizenz auf dem Access Gateway oder dem Lizenzserver installieren. 114 Migrieren der Lizenzen von Access Gateway 4.6, Standard Edition In Access Gateway 5.0 sind Benutzerlizenzen genau wie in Access Gateway 4.6, Standard Edition. Wenn Ihr Subscription Advantage-Abonnement gültig ist, können Sie die bestehenden Lizenzen verwenden. Sie sind kompatibel mit Version 5.0. Die Plattformlizenz ist neu in Access Gateway 5.0. Ohne Plattformlizenz können Sie die Benutzerlizenzen nicht verwenden, selbst wenn Ihr Subscription Advantage-Datum gültig ist. Ab Februar 2010 hat Citrix Access Gateway 5.0-kompatible Plattformlizenzdateien an alle neuen Access Gateway-Kunden herausgegeben. Wenn Sie noch keine Plattformlizenz für ein vor Februar 2010 erworbenes Model 2010-Gerät erhalten haben, müssen Sie für ein Upgrade von Version 4.6 auf Version 5.0 die Lizenz von My Citrix über die Toolbox Upgrade My Products abrufen. 115 So installieren Sie eine Lizenz auf dem Access Gateway-Gerät Nachdem Sie die Lizenzdatei erfolgreich auf Ihren Computer heruntergeladen haben, können Sie die Datei mit der Access Gateway Management Console auf dem Access Gateway installieren. Lizenzdateien werden auf der Basis des Hostnamens erstellt, wobei der vollqualifizierte Domänenname (FQDN) des Access Gateway-Geräts verwendet wird. Das Access Gateway-Gerät, auf dem die Lizenzen installiert sind (auch als Lizenzserver bezeichnet), verarbeitet die installierten Lizenzdateien; ungültige Lizenzdateien werden nicht berücksichtigt. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Licensing. 3. Klicken Sie unter Installed License Files auf Upload. 4. Navigieren Sie im Dialogfeld Select file to upload zu der Lizenzdatei, die Sie installieren möchten. und klicken Sie auf Open. Wichtig: Citrix empfiehlt, eine lokale Kopie aller Lizenzdateien, die Sie erhalten, zu behalten. Wenn Sie eine Sicherungskopie der Konfigurationsdatei speichern, sind alle hochgeladenen Lizenzdateien darin enthalten. Wenn Sie die Software für das Access Gateway-Gerät neu installieren müssen und keine Sicherungskopie der Konfigurationsdatei haben, benötigen Sie die ursprüngliche Lizenz. Weitere Informationen über das Erstellen eines Snapshots der Konfiguration und das Wiederherstellen von Konfigurationseinstellungen finden Sie unter Verwalten des Access Gateways mit Snapshots. 116 Lizenzierung für mehrere Geräte In Access Gateway 5.0 installieren Sie Lizenzen entweder auf dem Access Gateway-Gerät oder dem Citrix Lizenzserver. Wenn Sie Access Controller verwenden, ruft der Server die Lizenzen entweder vom Gerät oder vom Lizenzserver ab. Sie müssen keine Lizenzen auf dem Access Controller installieren. Wenn mehrere Access Gateway-Geräte im Netzwerk installiert sind, können Sie die Geräte so konfigurieren, dass sie die Lizenzen von einem Citrix Lizenzserver abrufen. Hinweis: Sie können nicht ein Access Gateway-Gerät als Lizenzserver für mehrere Geräte verwenden. Sie können entweder Lizenzen auf jedem einzelnen Gerät installieren oder zentral die Lizenzen auf dem Lizenzserver installieren. Die Lizenzen werden den Geräten unabhängig von ihrem jeweiligen Status im Netzwerk zugewiesen. So rufen Sie Lizenzen vom Lizenzserver ab 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Licensing. 3. Klicken Sie unten im Bereich Licensing auf Configure. 4. Wählen Sie im Dialogfeld Licensing Server unter Licensing type die Option Retail oder Express. 5. Wählen Sie unter Server die Option Remote Server. 6. Geben Sie in das Feld Server den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des Lizenzservers ein. 7. Ändern Sie unter Manager port die Portnummern oder übernehmen Sie den Standardwert 27000 und klicken Sie auf Save. 8. Wiederholen Sie diese Schritte für jedes Access Gateway im Cluster. Der Managerport stellt den ersten Kontakt von Access Gateway her und leitet ihn an den Lizenzserver weiter. Anschließend übergibt der Lizenzserver die Kommunikation vom Manager-Port an den Vendor-Port. Der Vendorport wird auf dem Lizenzserver ausgeführt und gewährt die Lizenz.Dabei wird die Portnummer 27001 verwendet. Die Portnummern lassen sich an die vorliegende Firewall-Konfiguration anpassen. Der Manager-Port zeichnet die ausgecheckten Lizenzen und die Access Gateway-Geräte, auf denen diese Lizenzen verwendet werden, auf. Unter Umständen müssen Sie neue Firewall-Regeln anlegen, damit der Netzwerkzugriff auf die Lizenzserverports möglich wird. 117 Kulanzzeitraum für die Lizenzierung Wenn Sie Access Gateway 5.0 zum ersten Mal installieren, gehen Sie in den 48-stündigen Kulanzzeitraum über. Während dieses Kulanzzeitraums stehen Ihnen zwei universelle Lizenzen und eine Plattformlizenz zu. Sie müssen die Lizenz auf dem Gerät installieren oder das Gerät so konfigurieren, dass es am Ende des Kulanzzeitraums einen Remote-Lizenzserver verwendet. Andernfalls können Benutzer sich nicht anmelden. Wenn der Access Gateway-Lizenzserver ausfällt, gehen die anderen Geräte im Cluster in einen Kulanzzeitraum von 30 Tagen über. Das Access Gateway speichert das Datum, an dem zum letzten Mal eine Verbindung zum Lizenzserver hergestellt wurde. Die Benutzer können sich während dieses Kulanzzeitraums wie gewohnt anmelden. Sobald das Remotegerät den Lizenzserver erkennt, wird der 30-tägige Kulanzzeitraum zurückgesetzt. Bei einem erneuten Ausfall des Lizenzservers gehen die Benutzer wieder in einen 30-tägigen Kulanzzeitraum über. 118 So zeigen Sie Lizenzierungsinformationen an In der Access Gateway Management Console können Sie Informationen über die Lizenzen anzeigen, die Sie auf dem Access Gateway installiert haben. Dazu gehören Lizenztyp, Ablaufdatum der Lizenz und Anzahl der gleichzeitigen Benutzer. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Licensing. 3. Erweitern Sie im Bereich Licensing unter Access Gateway License Information einen Eintrag, um die Details für die installierte Lizenz anzuzeigen. Die Tabelle zeigt Informationen für jede Lizenz, Ablauf- und Ausstellungsdatum, Typ, Datum der letzten Aktualisierung, Version, Seriennummer, Gesamtzahl und verwendete Anzahl. 119 Aktualisieren und Migrieren auf Access Gateway 5.0 Sie können Citrix Access Gateway von früheren Versionen des Geräts aktualisieren. Möglich ist das Upgrade des Access Gateway-Geräts von folgenden Versionen: • Access Gateway 4.6.x, Standard Edition • Access Gateway 5.0.x Wenn Sie ein Upgrade von Version 4.6.x auf Version 5.0 durchführen, werden manche Einstellungen auf Version 5.0 migriert. Wenn Sie ein Upgrade von Version 5.0 auf Version 5.0.1 oder höher durchführen, erstellen Sie erst einen Snapshot der Konfigurationseinstellungen und installieren dann das Upgrade. Nach der Installation migrieren Sie auf die neue Version und die Konfigurationseinstellungen bleiben erhalten. Wichtig: Bevor Sie das Upgrade von Access Gateway starten, empfiehlt Citrix, dass Sie die Konfigurationseinstellungen auf ihrem lokalen Computer speichern. Wenn Sie eine frühere Version wiederherstellen möchten oder aus einem anderen Grund ein neues Image einspielen müssen, können Sie mit der gespeicherten Konfiguration Ihre Einstellungen wiederherstellen. Upgrade von Access Controller Citrix Access Controller wird unter Windows Server 2008 ausgeführt. Sie können die folgenden Upgrades in Access Controller durchführen: • Upgrade von Version 5.0 auf Version 5.0.2 • Upgrade von Version 5.0.1 auf Version 5.0.2 oder Version 5.0.3. Ein Upgrade von den folgenden Versionen ist nicht möglich. Sie müssen stattdessen eine Neuinstallation von Access Controller unter Windows Server 2008 durchführen: • Access Gateway 4.5, Advanced Edition auf Access Gateway 5.0 oder höher. Nachdem Sie Access Controller unter Windows Server 2008 installiert haben, können Sie mit dem Migrationsassistenten die Advanced Access Control-Einstellungen von Access Gateway 4.5 Advanced Edition auf Access Controller migrieren. • Access Gateway 5.0 auf Access Gateway 5.0.1. Die Schritte für das Upgrade von Access Controller Version 5.0 auf Version 5.0.1 sind: 1. Exportieren Sie die Version 5.0.x-Clusterdatenbankkonfiguration. 2. Entfernen Sie die frühere Version des Access Controllers vom Server. 3. Installieren Sie Version 5.0.1 der Access Controller-Software. 120 Upgrade und Migration 4. Führen Sie die Serverkonfiguration aus. 5. Erstellen Sie eine neue Datenbank (treten Sie nicht einem bestehenden Cluster bei). 6. Importieren Sie die gespeicherte Clusterkonfiguration. Um von Version 5.0 auf Version 5.0.1 zu migrieren, müssen Sie erst Version 5.0 entfernen. Um Access Controller vom Server zu entfernen, verwenden Sie Programme und Funktionen in der Systemsteuerung. Je nach den installierten Optionen, sollten Sie die Komponenten in der folgenden Reihenfolge entfernen: • Citrix Access Gateway - Server • Citrix Access Gateway - Konsole • Citrix Lizenzierung • Citrix Delivery Services Console - Diagnostics • Citrix Delivery Services Console - Framework Sie können die Citrix Lizenzserver-Administrationskomponente und die Diagnostikkomponente der Citrix Delivery Services Console jederzeit während des Deinstallationsvorgangs entfernen. Die Komponente "Citrix Delivery Services Console Framework" müssen Sie aber zuletzt entfernen. So entfernen Sie Access Controller-Komponenten 1. Wählen Sie Start > Einstellungen > Systemsteuerung. 2. Doppelklicken Sie in der Systemsteuerung auf Programme und Funktionen. 3. Wählen Sie ein Programm aus, klicken Sie auf Deinstallieren und folgen Sie den Anweisungen. Wichtig: Wenn Sie die Serverkonfiguration nach der Installation von Access Controller ausführen, müssen Sie die Option zum Erstellen einer neuen Datenbank wählen. Fügen Sie den Server nicht einem vorhandenen Access Controller 5.0.x-Cluster hinzu. Nachdem Sie den Cluster konfiguriert haben, können Sie Clusterdaten von Version 5.0.x in den neuen Cluster importieren. Sie müssen nicht den Migrationsassistenten verwenden. 121 Aktualisieren der Access Gateway-Gerätesoftware Sie können die Access Gateway-Software aktualisieren, wenn eine neue Version verfügbar wird. Für ein Upgrade der Gerätesoftware verwenden Sie die Registerkarte Snapshots in der Access Gateway Management Console. Jede Access Gateway-Softwareversion wird in einer Datenbank auf dem Access Gateway gespeichert und im Bereich Software Releases and Configuration Snapshots aufgelistet. Wenn Sie ein Softwareversion klicken, werden die zugehörigen Snapshots im Bereich Snapshots unter dem Bereich Software Releases angezeigt. Wichtig: Bevor Sie eine neue Version der Access Gateway-Software installieren, empfiehlt Citrix, dass Sie einen Snapshot der aktuellen Konfiguration anlegen und auf Ihren Computer exportieren. Weitere Informationen über das Exportieren von Konfigurationssnapshots finden Sie unter So exportieren Sie einen Snapshot. Nachdem Sie die aktuelle Konfiguration gespeichert haben, können Sie das neueste Release der Software auf dem Access Gateway installieren. Laden Sie dazu die neue Softwareversion von My Citrix herunter und speichern Sie sie auf Ihrem Computer. Dann importieren Sie auf der Registerkarte Snapshots in der Access Gateway Management Console die neue Softwaredatei auf das Access Gateway. Sie können auch Softwareversionen vom Access Gateway löschen. Wenn Sie eine Softwareversion löschen, werden alle zugehörigen Snapshots aus der Datenbank entfernt. Sie können nicht die Version löschen, die derzeit aktiv ist. 122 So laden Sie die Access Gateway-Software herunter 1. Gehen Sie zur Citrix Website, klicken Sie auf My Citrix und melden Sie sich dann an. 2. Klicken Sie oben auf den Webseite auf Downloads. 3. Wählen Sie unter Search Downloads by Product die Option Access Gateway. 4. Klicken Sie unter Product Software auf den Produktnamen und die Version, die Ihrem Softwarerelease entspricht. Eine Downloadseite wird angezeigt. 5. Klicken Sie auf Get Software, um den Download zu starten, sehen Sie sich die Endbenutzerlizenzvereinbarung an und speichern Sie die Datei in einem Ordner auf Ihrem Computer. 123 So aktualisieren Sie die Access Gateway-Software 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Klicken Sie im Bereich Software Releases and Configuration Snapshots neben Software Releases auf Import. 3. Navigieren Sie zu der Softwareupgradedatei, die Sie auf Ihrem Computer gespeichert haben und klicken Sie auf Open. Die Softwareinstallation wird gestartet. Nachdem Sie die Softwareinstallation abgeschlossen haben, wird die neue Version im Bereich Software Releases angezeigt. Um die neue Version zu aktivieren, wählen Sie die Version, klicken Sie auf Migrate und starten dann das Access Gateway neu. 124 So stellen Sie eine frühere Version der Software wieder her Sie können eine frühere Version der Access Gateway-Software wiederherstellen. Sie wählen dazu in der Access Gateway Management Console den Snapshot aus, den Sie wiederherstellen möchten. Wichtig: Citrix empfiehlt, dass Sie einen Snapshot der aktuellen Konfiguration erstellen, bevor Sie die frühere Version der Software wiederherstellen. Weitere Informationen finden Sie unter So erstellen Sie einen Snapshot. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Klicken Sie im Bereich Software Releases and Configuration Snapshots unter Software Releases auf die Softwareversion, die Sie wiederherstellen möchten. 3. Wählen Sie unter Snapshots einen Snapshot aus und klicken Sie dann auf Make Active. Sie werden aufgefordert, das Access Gateway neu zu starten. Nachdem das Gerät neu gestartet wurde, ist die frühere Softwareversion aktiv. Hinweis: Sie können nicht Access Gateway 4.6.x, Standard Edition oder früher mit Snapshots wiederherstellen. 125 So löschen Sie eine Access Gateway-Softwareversion Sie können mit der Access Gateway Management Console eine Version der Access Gateway-Software löschen. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Wählen Sie im Bereich Software Releases and Configuration Snapshots unter Software Releases eine Softwareversion aus und klicken Sie dann auf Delete. Wenn Sie eine Softwareversion löschen, werden alle zugehörigen Snapshots auch aus der Access Gateway-Datenbank entfernt. 126 Upgrade von Access Gateway-Geräten in einem Gerätefailoverpaar Wenn Sie Access Gateway-Geräte aktualisieren, die Teil eines Gerätefailoverpaars sind, müssen Sie beide Geräte aus dem Paar entfernen. Nachdem Sie das Paar aufgelöst haben, führen das Upgrade für jedes Gerät separat durch und stellen dann das Paar wieder her. So entfernen Sie das primäre Gerät aus einem Gerätefailoverpaar 1. Öffnen Sie auf dem primären Gerät im Paar die Access Gateway Management Console. 2. Klicken Sie auf Management und klicken Sie dann unter System Administration auf Appliance Failover. 3. Klicken Sie unter Start or Stop Appliance Failover auf Stop. 4. Starten Sie das Access Gateway neu, wenn Sie dazu aufgefordert werden. So entfernen Sie das sekundäre Gerät aus einem Gerätefailoverpaar Wenn Sie das primäre Gerät aus dem Gerätefailoverpaar entfernen, übernimmt das sekundäre Gerät die Rolle des primären Geräts. Sie entfernen das sekundäre Gerät dann anhand der oben beschriebenen Schritte aus dem Paar. Nachdem Sie jedes Gerät aus dem Paar entfernt haben, verwenden Sie Snapshots, um eine Upgrade für jedes Gerät durchzuführen und auf die neue Version zu migrieren. Nachdem der Upgradevorgang abgeschlossen ist, aktivieren Sie das Gerätefailover für jedes Gerät. Hinweis: Beim Migrieren auf die neue Softwareversion, werden Sie nur für ein Gerät im Gerätefailoverpaar aufgefordert, das Access Gateway-Gerät neu zu starten. Sie müssen beide Geräte im Paar neu starten, wenn Sie die Migration abschließen. 127 Upgrade von Access Controller Sie können die folgenden Upgrades in Access Controller durchführen: • Upgrade von Version 5.0 auf Version 5.0.2 • Upgrade von Version 5.0.1 auf Version 5.02, 5.0.3 und 5.0.4. Ein Upgrade von den folgenden Versionen ist nicht möglich. Sie müssen eine Neuinstallation von Access Controller unter Windows Server 2008 durchführen: • Access Gateway 4.5, Advanced Edition auf Access Gateway 5.0 oder höher. Nachdem Sie Access Controller unter Windows Server 2008 installiert haben, können Sie die Advanced Access Control-Einstellungen auf Access Controller migrieren. • Access Gateway 5.0 auf Access Gateway 5.0.1. Wenn Sie das Upgrade auf Version 5.02, 5.0.3 oder 5.0.4. starten, wird das Dialogfeld Citrix Access Gateway angezeigt. Wenn Sie die vorherige Version von Access Controller installiert haben, zeigt dieses Dialogfeld die installierten Komponenten an: die Serversoftware, die Delivery Services Console oder beides. Wenn Sie auf Citrix Access Controller klicken, wird der Setupassistent gestartet. Während dieser ersten Phase erstellen Sie ein Backup der vorhandenen Konfiguration, wählen die zu installierenden Komponenten und entfernen die vorhandene Installation. Sie können eine Komponente nicht auswählen, wenn sie bereits installiert ist. Nachdem die erste Phase des Upgrades abgeschlossen ist, müssen Sie den Access Controller-Server neu starten. Nach dem Neustart beginnt die zweite Phase des Upgrades mit der Installation der aktuellen Version von Access Controller. Die gespeicherte Konfiguration wird automatisch in den Server importiert und das Setup schließt die Installation der ausgewählten Komponenten ab. Nachdem das Upgrade abgeschlossen ist, erscheint Ihre ursprüngliche Konfiguration in der Delivery Services Console. Sie können dann zusätzliche Einstellungen für Access Controller konfigurieren. 128 So aktualisieren Sie Access Controller Sie können die aktuelle Version der Access Controller-Software von My Citrix herunterladen. Informationen über den Download der Software von My Citrix finden Sie im Readmedokument im Citrix Knowledge Center. Nachdem Sie die Access Controller-Software heruntergeladen haben, können Sie den Server aktualisieren. 1. Navigieren Sie zu dem Ordner, in dem Sie die Access Controller-Software gespeichert haben, oder legen Sie das Access Controller CD Image (.iso) ein. 2. Öffnen Sie den Ordner für Access Controller und doppelklicken Sie auf AutoRun.exe. 3. Klicken Sie auf dem Startbildschirm auf Citrix Access Controller. 4. Klicken Sie auf der Willkommenseite auf Weiter. 5. Lesen und akzeptieren Sie die Lizenzvereinbarung von Citrix. 6. Die folgenden Komponenten stehen für die Installation zur Verfügung: • Server: Installiert die Access Controller-Serversoftware, einschließlich Serverkonfigurationstools. • Delivery Services Console: Installiert das Konfigurations- und Managementtool für Access Controller. Hinweis: Wenn eine dieser Optionen abgeblendet dargestellt wird, ist die Komponente derzeit auf dem Server installiert. Die Komponenten werden automatisch aktualisiert. 7. Folgen Sie den Anweisungen auf dem Bildschirm, um den Setupassistenten abzuschließen. 129 Migrieren auf Access Gateway 5.0 Wenn Sie eine frühere Version von Citrix Access Gateway haben, können Sie die Geräte auf Access Gateway 5.0 aktualisieren. Wenn Sie Advanced Access Control ausführen, müssen Sie Citrix Access Controller unter Windows Server 2008 installieren und dann die Einstellungen von Advanced Access Control migrieren. Migrieren des Geräts auf Access Gateway 5.0 Wenn Sie Access Gateway 4.6, Standard Edition oder früher ausführen, empfiehlt Citrix, dass Sie ein Backup der Konfiguration erstellen und auf Ihren Computer speichern. Nach dem Upgrade auf Version 5.0 können Sie nicht zu Version 4.6.x zurückkehren. Wenn Sie Version 4.6.x wiederherstellen möchten, müssen Sie ein neues Image des Geräts einspielen und die Konfiguration mit dem Backup wiederherstellen. Wenn Sie Access Gateway 5.0 auf einem Gerät mit Version 4.6.x installieren, wird das Access Gateway Migration Tool ausgeführt und erstellt eine XML-Datei mit den zu migrierenden 4.6.x-Einstellungen. Starten Sie nach dem Upgrade Access Gateway neu und die Konfigurationseinstellungen von 4.6.x erscheinen in Version 5.0. Sie verwenden dann die Access Gateway Management Console für die weitere Konfiguration von Access Gateway 5.0. Sie können nicht das Administration Tool von Version 4.6.x verwenden, um Access Gateway 5.0 zu konfigurieren. Weitere Informationen finden Sie unter Access Gateway Management Console. Migration auf Access Controller Wenn Access Gateway 4.5, Advanced Edition auf einem Server im Netzwerk installiert ist, können Sie die Einstellungen auf Access Controller migrieren. Sie können Access Controller nicht auf dem gleichen Server wie Advanced Access Control installieren. Sie müssen Access Controller unter Windows Server 2008 installieren. Citrix empfiehlt, dass Sie den Advanced Access Control-Server weiter ausführen, sodass Sie die Einstellungen auf Access Controller migrieren können. Um Advanced Access Control-Einstellungen auf Access Controller zu migrieren, verwenden Sie den Migrationsassistenten auf der Access Gateway 5.0 CD. Bevor Sie den Migrationsassistenten ausführen, beachten Sie sich Folgendes: • Wenn Sie eine Webressource und einen E-Mail-Ressource in einer Richtlinie haben, sollten Sie sie in Advanced Access Control in zwei separate Richtlinien aufteilen. Sonst hat die E-Mail-Richtlinie Vorrang. Wenn Sie eine Web-E-Mail-Ressource haben, wird die Web-E-Mail-Ressource nach dem Migrieren der Einstellungen in eine generische Webressource umgewandelt. Web-E-Mail wird nicht in Access Controller unterstützt. • 130 Beim Import von Webressourcen sind die Zugriffsrichtlinien auf Verweigern eingestellt, wenn der Import abgeschlossen ist. Sie müssen die Zugriffsrichtlinie bearbeiten und die Einstellung in Access Controller ändern. Migrieren auf Access Gateway 5.0 131 • Für die Migration von Einstellungen von Advanced Access Control auf Access Controller empfiehlt Citrix SQL Server 2008 und nicht SQL Server Express. • Der Migrationsassistent erstellt zwei CAB-Dateien. Nachdem Sie die Einstellungen migriert haben, verwenden Sie beim Import der Einstellungen die Migrationsdatei und nicht die Datei, die unter Quelldatei für Konfigurationsdaten angezeigt wird. Die richtige Datei heißt üblicherweise MigratedAccessGatewayConfigurationData.cab und ist im Ordner %systemroot%\Benutzerordner\Dokumente in Windows Server 2008. Access Gateway-Gerätemigrationseinstellungen Wenn Sie Access Gateway 4.6, Standard Edition auf dem Gerät ausführen, können Sie auf Access Gateway 5.0 migrieren. Wenn Sie ein Upgrade von Version 4.6 auf Version 5.0 durchführen, wird im Folgenden aufgelistet, welche Einstellungen auf Access Gateway 5.0 migriert werden. Die Liste enthält außerdem Informationen über Einstellungen, die nicht migriert werden oder wenn die Einstellung an anderer Stelle als in Version 4.6 migriert wird. Netzwerkadaptermanagement Access Gateway Cluster > General Networking Die IP-Adressen und Subnetzmasken für eth0 und eth1 werden migriert. Nachdem Sie das Upgrade abgeschlossen haben und wenn Sie beide Netzwerkadapter verwenden, müssen Sie wählen, welcher Netzwerkadapter die Verwaltungsschnittstelle für die Access Gateway Management Console ist. Sie können dies im Express Setup an der Befehlszeile oder in der Managementkonsole tun. Weitere Informationen finden Sie unter Konfigurieren von Access Gateway 5.0 mit Express Setup. Authentifizierungs- und Autorisierungsbereiche Authentication Authentifizierungsbereiche (Realms) werden auf Authentifizierungsprofile migriert. Wenn Sie das Gerät aktualisieren, werden Authentifizierungs- und Autorisierungsprofile als separate Profile angezeigt. LDAP-Authentifizierungsbereich Wenn Sie ein LDAP-Authentifizierungsbereich konvertieren, wird er in der Access Gateway Management Console als Other angezeigt. Sie müssen unter Authentication LDAP als Authentifizierungstyp für das Profil wählen. Branch Repeater Enable application accelerator with the Accelerator Plug-in Interoperabilität mit Branch Repeater ist die Standardeinstellung. 132 Access Gateway-Gerätemigrationseinstellungen Netzwerkressourcen Access Policy Manager Migrierte Netzwerkressourcen werden als mehrere Netzwerkressourcen im Bereich Network Resources in der Access Gateway Management Console angezeigt. Namensdienstanbieter Access Gateway Cluster > Name Service Providers Einstellungen für DNS (Domain Name System), WINS (Windows Internet Name Service), DNS-Suffixe und HOSTS-Datei werden migriert. Routen Access Gateway Cluster > Routes Statische Routeninformationen werden bei einem Upgrade migriert. Access Gateway 5.0 unterstützt das dynamische Routing nicht. Lizenzierung Access Gateway Cluster > Licensing Lizenzen und Servereinstellungen werden migriert, mit Ausnahme von Vendorport, der nicht mehr unterstützt wird. Datum und Uhrzeit Alle Einstellungen werden migriert. Zertifikate Access Gateway Cluster > Certificate Signing Request Access Gateway Cluster > Administration Signierte Zertifikate und private Schlüssel werden migriert. Vertrauenswürdige Stammzertifikate werden migriert. In der Access Gateway Management Console können Sie im Bereich Certificates Zertifikate hochladen und verwalten. Benutzerverbindungseinstellungen Access Policy Manager 133 Access Gateway-Gerätemigrationseinstellungen Split-Tunneling und Einstellungen zum Schließen von Verbindungen werden migriert. Alle anderen Benutzerverbindungseinstellungen werden nicht migriert. XenApp-Einstellungen Authentication > Secure Ticket Authority (STA) STA-Einstellungen werden in den Bereich Secure Ticket Authority in der Access Gateway Management Console migriert. Authentication > ICA Access Control Listen für die ICA-Zugriffssteuerung werden in den Bereiche XenApp or XenDesktop in der Access Gateway Management Console migriert. Sicherheit Global Cluster Policies - Select encryption type Die Verschlüsselungsart wird migriert. Sie können die Einstellung im Bereich Global Options in der Access Gateway Management Console ändern. 134 Nicht migrierte Access Gateway-Einstellungen Die folgenden Einstellungen werden nicht migriert, wenn Sie Access Gateway auf Version 5.0 aktualisieren. Einige der Einstellungen gehören zu weggefallenen Features. Eine Liste der weggefallenen Features finden Sie unter Weggefallene Einstellungen für das Access Gateway-Gerät. Registerkarte "Access Gateway Cluster" NetTools Für die Einstellungen auf der Registerkarte NetTools können jetzt eine Reihe von Netzwerktools mit der Access Gateway-Befehlszeile verwenden. Weitere Informationen finden Sie unter Aufzeichnen der Netzwerkeinstellungen für die Problembehandlung. Administration Sie können den Befehlszeilenzugriff im Bereich Networking aktivieren. Sie aktivieren den Zugriff auf die Managementkonsole, indem Sie im Bereich Networking einem Netzwerkadapter die Managementrolle zuweisen. Access Gateway mit Advanced Access Control Access Gateway Cluster > Advanced Options > Advanced Access Control Diese Einstellung kann nicht migriert werden. Wenn Sie ein Upgrade auf Version 5.0 durchführen, ist es als eigenständiges Gerät. Sie müssen den Zugriff aktivieren, indem Sie Access Gateway-Geräte in der Delivery Services Console hinzufügen und indem Sie Access Controller im Bereich Deployment Mode in der Access Gateway Management Console aktivieren. Weitere Informationen finden Sie unter Aktivieren von Access Controller. Access Policy Manager - Properties Authentication after network interruption Authenticate upon system resume Sie können diese Einstellungen in der Access Gateway Management Console im Bereich Global Options aktivieren. 135 Nicht migrierte Access Gateway-Einstellungen Global Cluster Policies Allow connections using earlier versions of Access Gateway Plug-in Sie können diese Einstellung in der Access Gateway Management Console im Bereich Global Options aktivieren. Verbindungen vom Access Gateway Plug-in Version 4.6.x oder früher werden nicht unterstützt. 136 Weggefallene Einstellungen für das Access Gateway-Gerät Im Folgenden werden die weggefallenen Einstellungen für Access Gateway und Access Controller aufgelistet. Jeder Abschnitt zeigt die Registerkarte in Access Gateway 4.6, Standard Edition und eine Liste der weggefallenen Features. Access Gateway Cluster > Administration Failover Servers Sie können nun das Gerätefailover verwenden, bei dem zwei Access Gateway-Geräte als primäres und sekundäres Gerät fungieren. Das sekundäre Gerät hört das primäre Gerät ab und wenn das primäre Gerät ausfällt, nimmt das sekundäre Gerät Benutzerverbindungen an. Wenn Sie Access Controller verwenden, können Sie einen Cluster von Access Gateway-Geräten und Access Controller-Servern erstellen. In dieser Bereitstellung kann Access Controller einen Lastausgleich zwischen Geräten und Servern vornehmen. Weitere Informationen finden Sie unter Konfigurieren von Clustering und Load Balancing. Citrix Receiver Gemäß Design Enable external administration In Access Gateway 5.0 wählen Sie einen Netzwerkadapter als Verwaltungsschnittstelle. Dies kann der Netzwerkadapter sein, der mit dem externen (Internet) Netzwerk verbunden ist. Manage client certificates Die Clientzertifikatauthentifizierung wird nicht von Access Gateway 5.0 unterstützt. Save the current configuration In Access Gateway 5.0 speichern Sie die Konfiguration mit Snapshots. Initialize the appliance Gemäß Design Access Gateway Cluster > Licensing Vendor port 137 Weggefallene Einstellungen für das Access Gateway-Gerät Installieren Sie die Lizenzen auf jedem Access Gateway-Gerät oder auf dem Citrix Lizenzserver. Access Gateway 5.0 unterstützt nicht, dass ein Access Gateway-Gerät als Lizenzserver für mehrere Geräte fungiert. Wenn Sie mehrere Geräte haben, empfiehlt Citrix, den Citrix Lizenzserver zu verwenden. Access Gateway Cluster > Statistics Alle Einstellungen Sie können System- und Benutzerstatistiken im Bereich Monitor in der Access Gateway Management Console anzeigen. Access Policy Manager User groups Benutzer werden anhand von Authentifizierungstyp und Gruppenmitgliedschaft auf dem Authentifizierungsserver ermittelt. Sie können die Gruppenmitgliedschaft als Teil einer SmartGroup konfigurieren. Local users Lokale Benutzer werden in Access Gateway 5.0 nicht unterstützt. Application policies Anwendungsrichtlinien werden in Access Gateway 5.0 nicht unterstützt. Endpoint resources Endpoint policies Sie können die Endpoint Analysis auf dem Access Gateway 5.0 mit Geräteprofilen konfigurieren. Global Cluster Policies Prompt or force upgrades from earlier versions of the Access Gateway Plug-in Gemäß Design Enable incorrect password cache and password cache time-out setting Gemäß Design Enable internal failover Gemäß Design Enable logon page authentication 138 Weggefallene Einstellungen für das Access Gateway-Gerät Gemäß Design Security options Die Clientzertifikatauthentifizierung wird nicht in diesem Release unterstützt. Validierung sicherer Zertifikate für interne Verbindungen wird nicht unterstützt. Validierung sicherer Zertifikate ohne vertrauenswürdiges Stammzertifikat wird nicht unterstützt. Web session time-out Gemäß Design Accessible networks In Access Gateway 5.0 konfigurieren Sie Netzwerkressourcen Authentication Use the local user database on Access Gateway In Access Gateway 5.0 werden Benutzer anhand der Gruppenmitgliedschaft auf dem Authentifizierungsserver bestimmt. Portal Page Configuration Logon page Portal page Sie konfigurieren eine Homepage in einer SmartGroup. Wählen Sie die Standardhomepage, das Webinterface, Outlook Web Access, Outlook Web App, SharePoint 2007 oder geben Sie eine benutzerdefinierte Homepage an. Group priority User group list Gemäß Design Publish Alle Einstellungen Gemäß Design 139 Access Controller-Migrationseinstellungen Wenn Sie Access Controller unter Windows Server 2008 installieren, können Sie Einstellungen von Access Gateway 4.5, Advanced Edition unter Windows Server 2003 migrieren. Sie verwenden dafür den Migrationsassistenten, um eine CAB-Datei mit den Advanced Access Control-Einstellungen zu erstellen. Dann importieren Sie Konfigurationsdatei in Access Controller. Weitere Informationen finden Sie unter Migration von Access Gateway Advanced Edition. Im Folgenden wird aufgelistet, welche Features und Einstellungen von Advanced Access Control auf Access Controller migriert werden. Die Liste enthält außerdem Informationen über die Migration und ggf. erforderliche Aktionen. Clustereigenschaften Clustereigenschaften sind u. a. Authentifizierungsprofile, Dokumentsteuerung, Clustering, Ereignisprotokollierung und XenApp-Farmen. Authentifizierungsprofile (LDAP, RADIUS, Active Directory) Dies ist gemäß Design. Öffnen Sie entweder das LDAP- oder RADIUS-Authentifizierungsprofil und fügen Sie diese Einstellungen hinzu. Um einen SafeWord-Server zu verwenden, konfigurieren Sie die RADIUS-Authentifizierung und erstellen dann ein RADIUS-Authentifizierungsprofil in Access Controller. Ereignisprotokollierung, Protokollierung für Dateifreigaben EPA-Protokolleinstellungen werden migriert. Einstellungen für Benutzeranmeldungen und -abmeldungen werden migriert. XenApp-Serverfarmen Alle Adressmodi werden als "Gateway direkt" migriert. Access Controller unterstützt nur "Gateway direkt" und "Gateway alternativ". Weitere Informationen finden Sie unter Konfigurieren von Adressmodi. Wenn die Einstellung konfigurieren, eine alternativen IP-Adresse für die Serverfarm in XenApp zu verwenden, wird die Einstellung in Access Controller als "Gateway alternativ" migriert. Alle anderen Einstellungen in XenApp werden als "Gateway direkt" migriert. Konfigurieren Sie Webinterface-Einstellungen Weitere Informationen finden Sie unter Integrieren des Webinterface. 140 Access Controller-Migrationseinstellungen Ressourcen Ressourcen sind u. a. Dateifreigaben, Webressourcen und Gruppenressourcen. Ressourcengruppen Wenn es in Advanced Access Control eine Ressourcengruppe gibt, in der die Web-E-Mail aktiviert wurde, ist nach der Migration Outlook Web Access 2007 aktiviert. Netzwerkressourcen Wenn einen Hotfix für Access Gateway 4.5, Advanced Edition installiert haben, werden die Repeater-Einstellungen migriert. Webressourcen, einschließlich Webanwendungen, SharePoint, Webinterface und Tokens Single Sign-On ist nach der Migration nur aktiviert, wenn der Authentifizierungstyp Basic-, Digest- oder integrierte Windows-Authentifizierung ist. Diese Authentifizierungstypen müssen auf dem Advanced Access Control-Server aktiviert sein, von dem Sie die Einstellungen migrieren. Wenn ein Authentifizierungstyp nicht ausgewählt wurde, ist Single Sign-On in Access Controller nicht aktiviert. Wenn Sie Webressourcen importieren, ist die Zugriffsberechtigung auf Verweigern eingestellt. Sie können die Zugriffsberechtigung in einer Zugriffsrichtlinie zu Einfach oder Erweitert ändern. Dateifreigaben, Tokendateifreigaben Alle Tokens werden migriert und standardmäßig eingestellt. Wenn in Advanced Access Control der Download erlaubt ist, dann ist nach der Migration der Upload aktiviert. Wenn Upload auch in Advanced Access Control erlaubt ist, konvertiert die Zugriffsrichtlinie diese Einstellung in erweiterten Zugriff, sonst wird in einfachen Zugriff konvertiert. Richtlinien Richtlinien sind Zugriffs- und Verbindungsrichtlinien sowie Filter. Zugriffsrichtlinie Wenn in Advanced Access Control nur der Download erlaubt ist, wird die Richtlinie in Access Controller in einfachen Zugriff konvertiert. Wenn Upload in Advanced Access Control erlaubt ist, wird die Zugriffsrichtlinie in erweiterten Zugriff konvertiert. Sonst wird die Zugriffsrichtlinie in einfachen Zugriff konvertiert. Wenn der für den Download Verweigern eingestellt oder er nicht konfiguriert ist, wird die Zugriffsrichtlinie in die gleiche Einstellung konvertiert. Verbindungsrichtlinie Zulassen des Access Gateway Plug-ins geschieht automatisch, wenn Sie eine Verbindungsrichtlinie erstellen. 141 Access Controller-Migrationseinstellungen Typischer Filter Windows-Authentifizierung mit erweiterter Authentifizierung wird als Zweiquellenauthentifizierung migriert. Windows-Authentifizierungsstärke wird als Standardauthentifizierungsprofil migriert. Benutzerdefinierter Filter Windows-Authentifizierung mit erweiterter Authentifizierung wird als Zweiquellenauthentifizierung migriert. Windows-Authentifizierungsstärke wird als Standardauthentifizierungsprofil migriert. Autorisierung Wenn Sie auf Access Gateway 5.0 migrieren, erstellt Access Controller eine Active Directory-Standardautorisierungsrichtlinie, die so konfiguriert ist, dass sie für alle authentifizierten Benutzer gilt. Wenn die Richtlinie nur für eine bestimmte Gruppe von Active Directory-Benutzern gelten soll, weisen Sie diese Benutzer einem Autorisierungsprofil zu. Aktualisieren Sie dann die Richtlinie, sodass sie das neue Autorisierungsprofil verwenden. Hinweis: Wenn Sie die empfohlenen Änderungen an dem Profil und der Richtlinie nicht machen, werden Benutzer, die sich an Access Gateway 5.0 anmelden, erfolgreich authentifiziert. Sie sehen aber keine Ressourcen, die einer Zugriffsrichtlinie zugeordnet sind, die in Access Gateway 4.5, Advanced Edition Active Directory verwendet. Anmeldepunkte Anmeldepunkte definieren den Zugriffspunkt für Benutzerverbindungen. Wenn ein Anmeldepunkt in Advanced Access Control die Windows-Authentifizierung verwendet und Sie den Anmeldepunkt auf Access Controller migrieren, werden Ressourcen nicht im Access Interface angezeigt, wenn Benutzer sich anmelden. In Access Controller können Sie die Authentifizierungsstärke in die des Anmeldepunkts ändern. Wenn Sie die Authentifizierungsstärke ändern, werden die Ressourcen im Access Interface angezeigt. Name, Beschreibung und Typ Der Name, die Beschreibung und Typ des Anmeldepunkts wird auf Access Controller migriert. Homepage auswählen Die Einstellung für die Homepage wird auf Access Controller migriert. Authentifizierung Domäneneinstellungen in Sitzungseinstellungen werden als Active Directory-Authentifizierungsprofil migriert. 142 Access Controller-Migrationseinstellungen Wenn ein SafeWord-Authentifizierungsprofil in Advanced Access Control einem Anmeldepunkt zugeordnet ist, müssen Sie dem Anmeldepunkt ein anderes Authentifizierungsprofil zuordnen. Autorisierung Autorisierungseinstellungen werden auf Access Controller migriert. XenApp-Serverfarmen Einstellungen für XenApp-Serverfarmen werden auf Access Controller migriert. Ton- und Fenstereinstellungen Einstellungen für Audio- und Fenster werden auf Access Controller migriert. Workspace Control Workspace Control-Einstellungen werden auf Access Controller migriert. Sitzungstimeouts Wenn die Timeouteinstellung Null ist, wird das maximale Timeoutlimit von sieben Tagen angewendet. Anmeldepunktsichtbarkeit Die Einstellungen für die Bedingungen zum Anzeigen der Homepage werden auf Access Controller migriert. Access Gateway-Geräteeigenschaften Access Gateway-Geräteeigenschaften sind u. a. die Secure Ticket Authority, (STA) Eigenschaften des Access Gateway Plug-ins, Verschlüsselungseigenschaften, ICA-Zugriffssteuerung und Load Balancing-Einstellungen. Secure Ticket Authority Die Einstellung für die STA werden auf Access Controller migriert. Verschlüsselungseigenschaften Die Einstellungen zum Aktivieren von Split-Tunneling und Verwenden von TCP-Optimierungen werden migriert. ICA-Zugriffssteuerung In Access Controller müssen Sie die ICA-Zugriffssteuerung konfigurieren, um Verbindungen zu XenApp oder XenDesktop zuzulassen. 143 Access Controller-Migrationseinstellungen Endpunktanalyse Die Endpunktanalyse definiert die Software, Dateien, Registrierungseinträge, Betriebssysteme oder Prozesse, die auf dem Benutzergerät ausgeführt werden müssen. Antivirenscans Eine Liste der Antivirenscans, die nicht migriert werden, finden Sie unter Nicht migrierte Access Controller-Einstellungen. Browserscans Die Scans für erforderliche Webbrowser auf dem Benutzergerät werden migriert. Firewallscans Eine Liste der Firewallscans, die nicht migriert werden, finden Sie unter Nicht migrierte Access Controller-Einstellungen. Computeridentifizierungsscans Scans zur Computeridentifizierung werden auf Access Controller migriert. Zu diesen Einstellungen gehören Mitgliedschaft in einer Domäne und die MAC-Adresse des Benutzergeräts. Betriebssystemscans Scans für Betriebssysteme werden auf Access Controller migriert. Sonstige Scans Scanpakete unter "Sonstige Scans" werden auf Access Controller migriert. 144 Nicht migrierte Access Controller-Einstellungen Im Folgenden werden die Einstellungen aufgelistet, die nicht von Advanced Access Control auf Access Controller migriert werden. Manche Einstellungen, die nicht migriert werden, gehören zu weggefallenen Features. Weitere Informationen über weggefallene Features finden Sie unter Weggefallene Einstellungen und Features für Access Controller. Clustereigenschaften Clustereigenschaften sind u. a. Authentifizierungsprofile, Dokumentsteuerung, Clustering, Ereignisprotokollierung und XenApp-Farmen. Administratorkennwort (Bind-DN) Gemäß Design Gemeinsamer geheimer Schlüssel für RADIUS Gemäß Design SafeWord-Authentifizierungsprofil Gemäß Design Protokollierung für Web- und Netzwerkressourcen Einstellungen für die Protokollierung auf Farmebene werden nicht migriert. Webinterface-Einstellungen Authentifizierungstypen, einschließlich Basic-, Digest- und integrierte Windows-Authentifizierung. Die Option Oberfläche verwenden, die für alle Browsertypen gilt und Protokollierung. Ressourcen Ressourcen sind u. a. Dateifreigaben, Webressourcen und Gruppenressourcen. Ressourcengruppen Wenn es einen nicht-unterstützten Ressourcentyp gibt, wird die Ressource nicht migriert. Beispiele sind Anmeldung zulassen und E-Mail-Anwendung. 145 Nicht migrierte Access Controller-Einstellungen Wenn es in Advanced Access Control eine Ressourcengruppe gibt, in der die Web-E-Mail aktiviert wurde, ist nach der Migration Outlook Web Access 2007 aktiviert. Netzwerkressourcen Wenn Sie in Advanced Access Controller eine Netzwerkressource mit einem vollqualifizierten Domänennamen (FQDN) definiert haben, wird die Netzwerkressource mit dem Migrationstool nicht korrekt auf Access Controller migriert. Access Controller unterstützt nicht die Verwendung eines FQDN in einer Netzwerkressource. Aktivieren Sie die Protokollierung im Dialogfeld Netzwerkressource. Webressourcen, einschließlich Webanwendungen, SharePoint, Webinterface und Tokens Gemäß Design Richtlinien Richtlinien sind Zugriffs- und Verbindungsrichtlinien sowie Filter. Zugriffsrichtlinie Anmeldung zulassen, E-Mail-Synchronisierung, HTML-Vorschau, LiveEdit, E-Mail-Anlagen URL-Neuschreiben umgehen. Verbindungsrichtlinie Adresspools, kontinuierliche Scans, Desktopfreigabe, Secure Access Client starten, wenn Zugriff zugelassen. Typischer Filter Clientzertifikate werden nicht migriert. Benutzerdefinierter Filter Clientzertifikate werden nicht migriert. Clientzertifikate werden nicht mit zugehörigen Filtern für Clientzertifikate migriert. Wenn der Filter nur das Clientzertifikat enthält, wird der Filter nicht migriert. Wenn der Filter Endpoint Analysis-Ausgaben enthält, die in Access Controller ausgeschlossenen sind, werden diese Endpoint Analysis-Ausgaben aus dem Filter entfernt. Wenn der Filter nur ausgeschlossene Endpoint Analysis-Ausgaben enthält, wird der Filter nicht migriert. Anmeldepunkte Anmeldepunkte definieren den Zugriffspunkt für Benutzerverbindungen. Wenn ein Anmeldepunkt in Advanced Access Control die Windows-Authentifizierung verwendet und Sie den Anmeldepunkt auf Access Controller migrieren, werden Ressourcen 146 Nicht migrierte Access Controller-Einstellungen nicht im Access Interface angezeigt, wenn Benutzer sich anmelden. In Access Controller können Sie die Authentifizierungsstärke in die des Anmeldepunkts ändern. Wenn Sie die Authentifizierungsstärke ändern, werden die Ressourcen im Access Interface angezeigt. Workspace Control Die Workspace Control-Einstellung Benutzer können konfigurieren, welche Optionen bei der Abmeldung angezeigt werden wird nicht migriert. Sitzungseinstellungen Die Sitzungseinstellung Benutzer vor dem Kennwortablaufen auffordern (Zeit) wird nicht migriert. Access Gateway-Geräteeigenschaften Access Gateway-Geräteeigenschaften sind u. a. die Secure Ticket Authority, (STA) Eigenschaften des Access Gateway Plug-ins, Verschlüsselungseigenschaften, ICA-Zugriffssteuerung und Load Balancing-Einstellungen. SNMP, Syslog, zugängliche Netzwerke Gemäß Design Eigenschaften des Access Gateway Plug-ins Latenz für VoIP-Verkehr verbessern Gemäß Design SSL-Zertifikat am Back-End überprüfen Gemäß Design Keine Einschränkungen für ausgehenden Verkehr Gemäß Design Zugriffssteuerungsliste (ACL) verwenden Gemäß Design Endpunktanalyse Die Endpunktanalyse definiert die Software, Dateien, Registrierungseinträge, Betriebssysteme oder Prozesse, die auf dem Benutzergerät ausgeführt werden müssen. Citrix Scans für Symantec Antivirus Gemäß Design Citrix Scans für Netscape Navigator 147 Nicht migrierte Access Controller-Einstellungen Gemäß Design Citrix Scans für ZoneAlarm Gemäß Design Citrix Scans für ZoneAlarm Pro Gemäß Design Citrix Scans für Macintosh Citrix Scans für Macintosh werden als Citrix Clientlose Scans für Plattformtyp migriert. Citrix Scans für Bandbreiten Gemäß Design Benutzerdefinierte Scans Gemäß Design 148 Weggefallene Einstellungen und Features für Access Controller Aktualisiert: 2012-05-03 Die folgenden Einstellungen und Features von Access Gateway 4.5, Advanced Edition werden nicht in Access Controller unterstützt. Zugriffsrichtlinie • Anmeldung zulassen • HTML-Vorschau • LiveEdit • E-Mail-Anlagen • URL-Neuschreiben umgehen • E-Mail-Synchronisierung Wenn in Advanced Access Control nur der Download erlaubt ist, wird die Richtlinie in Access Controller in einfachen Zugriff konvertiert. Wenn Upload in Advanced Access Control erlaubt ist, wird die Zugriffsrichtlinie in erweiterten Zugriff konvertiert. Sonst wird die Zugriffsrichtlinie in einfachen Zugriff konvertiert. Wenn der für den Download Verweigern eingestellt oder er nicht konfiguriert ist, wird die Zugriffsrichtlinie in die gleiche Einstellung konvertiert. Verbindungsrichtlinie • Kontinuierliche Scans • Desktopfreigabe • Secure Access Client starten, wenn Zugriff zugelassen In Access Controller geschieht das Zulassen des Access Gateway Plug-ins automatisch, wenn Sie eine Verbindungsrichtlinie erstellen. 149 Weggefallene Einstellungen und Features für Access Controller Access Gateway-Geräteeigenschaften • Internes Failover • Latenz für VoIP-Verkehr verbessern • Global zugänglichen Netzwerke • SSL-Clientzertifikat erforderlich • Failover zwischen Gatewaygeräten aktivieren • SSL-Zertifikate am Back-End überprüfen • Keine Einschränkungen für ausgehenden ICA-Verkehr Endpunktanalyse • Citrix Scans für Symantec Antivirus • Citrix Scans für Netscape Navigator • Citrix Scans für ZoneAlarm • Citrix Scans für ZoneAlarm Pro • Bandbreitenscans Citrix Scans für Macintosh sind nun Teil von Citrix Clientlose Scans für Plattformtyp. Ressourcen • Lotus Notes • E-Mail-Synchronisierung Access Gateway 5.0 unterstützt nur Outlook Web Access 2007 und Outlook Web App 2010. Einstellungen für Web-E-Mail und Lotus Notes werden als generische Webressource migriert. Eigenschaften der Presentation Server-Farm • Adressmodusbereich • Authentifizierungsdienst-URL • Webinterface-Zuordnung Um Benutzerverbindungen zu XenApp und XenDesktop zuzulassen, müssen Sie nur die Secure Ticket Authority (STA) und Access Gateway-Eigenschaften konfigurieren. 150 Weggefallene Einstellungen und Features für Access Controller Sie können in Access Controller nur "Gateway direkt" und "Gateway alternativ" wählen. Dies gilt für alle Benutzergerätadressen. 151 Migration von Access Gateway Advanced Edition Aktualisiert: 2012-05-03 Access Controller wird unter Windows Server 2008 unterstützt, Sie können also nicht die vorhandenen Windows Server 2003-Server auf Access Controller migrieren. Wenn Sie die neuen Features in Access Controller nutzen möchten, aber die vorhandenen Access Center weiter verwenden möchten, müssen Sie zwei unterschiedliche Access-Serverfarmen oder Cluster unterhalten. Die Access Management Console von Access Gateway 4.5, Advanced Edition ist nicht kompatibel mit der Citrix Delivery Services Console in Access Controller. Sie können die Delivery Services Console nicht für die Verwaltung von Access Gateway Advanced Edition verwenden. Die Verwaltung von separaten Access-Serverfarmen oder Clustern zieht u. U. ein erheblichen Verwaltungsaufwand für Ihre Organisation nach sich, bedenken Sie also sorgfältig, wie zentral Access Center für die Zugriffsumgebung der Benutzer ist. Sie können den Migrationsassistenten im Setup-Ordner auf den Access Controller-Installations-CD verwenden, um die Einstellungen von Advanced Access Control-Servern auf Access Controller zu migrieren. Bevor Sie mit der Migration beginnen Bevor Sie die Access Gateway Advanced Edition-Einstellungen zu Access Controller migrieren, gehen Sie die folgenden Punkte durch: 1. Bestimmen Sie Ihr Migrationsszenario und drucken Sie die entsprechende Checkliste aus. 2. Überprüfen Sie, ob Ihr Subscription Advantage noch gültig ist. Subscription Advantage-Stichtag für Access Gateway 5.0 ist der 1. September 2010. 3. Überprüfen Sie, ob Ihre Umgebung die Mindestsystemanforderungen erfüllt. Überprüfen Sie, ob die Server, auf denen Sie Access Controller installieren möchten, die Hardwareund Softwareanforderungen erfüllen. 4. Installieren Sie den Migrationsassistenten auf dem Server. Unterstützung für benutzerdefinierte Endpoint Analysis-Scanpakete Access Controller unterstützt benutzerdefinierte Endpoint Analysis-Scanpakete. Wenn Sie ein Scanpaket erstellen und Benutzer sich anmelden, wird das Endpoint Analysis Plug-in auf das Benutzergerät heruntergeladen und installiert. Das Plug-in enthält alle Komponenten des Scanpakets. 152 Migration von Access Gateway Advanced Edition Sie können vorhandene Scanpakete auf Access Controller aktualisieren, indem Sie das Endpoint Analysis Software Development Kit (SDK) verwenden. Für das SDK ist die folgende Software erforderlich: • Citrix Endpoint Analysis SDK • Microsoft Visual Studio 2008 • Windows Installer XML (WiX) Toolset 3.0 Scanpakete müssen digital signiert sein. Um bestehende Scanpakete zu aktualisieren oder neue zu erstellen, müssen Sie Zugang zu einem digitalen Zertifikat haben, das von einer Zertifizierungsstelle wie VeriSign herausgegeben wurde. Wichtig: Wenn Sie benutzerdefinierte Scanpakete von einem Drittanbieter verwenden, müssen Sie sich aktualisierte Scanpakete besorgen, bevor Sie die Scanpakete auf Access Controller migrieren. 153 Checkliste für die Migration der Einstellungen auf Access Controller Verwenden Sie die folgende Checkliste für die Migration der Einstellungen von Access Gateway Advanced Edition auf Access Controller. 154 Status Aufgabe Weitere Informationen Installieren der Lizenzen auf dem Access Gateway-Gerät oder Konfigurieren des Citrix Lizenzservers Installieren von Lizenzen auf dem Access Gateway Installieren von Access Controller Installieren von Access Controller Sichern der Daten der Advanced Access Control-Farm Informationen über das Backup von Farmdaten finden Sie in der Administratordokumentation für Access Gateway Advanced Edition. Migrieren der vorhandenen Konfigurationsdaten Migrieren der vorhandenen Konfigurationsdaten Importieren der Clusterkonfigurationsdaten Importieren der Clusterkonfigurationsdaten Hinzufügen der Access Gateway-Geräte zu Access Controller So fügen Sie Access Controller dem Access Gateway hinzu Migrieren von benutzerdefinierten Endpoint Analysis-Scanpaketen Migrieren von benutzerdefinierten Endpoint Analysis-Scanpaketen Migrieren der vorhandenen Konfigurationsdaten Mit dem Migrationsassistenten können Sie die Konfigurationsdatenbank von Access Gateway Advanced Edition auf Access Controller migrieren. Bevor Sie Ihre Konfigurationsdaten migrieren können, müssen Sie den Migrationsassistenten auf einem Windows-basierten Server in Ihrem Netzwerk installieren. Das Installationsprogramm für den Migrationsassistenten ist im Setup-Ordner der Installations-CD von Access Controller oder in dem Paket gespeichert, das Sie von My Citrix heruntergeladen haben. Beim Start des Migrationsassistenten kontaktiert der Assistent die Datenbank für Advanced Access Control und exportiert die Konfigurationsdaten in eine CAB-Datei, die auf dem von Ihnen angegebenen Speicherort gespeichert wird. Die Daten werden dann umstrukturiert, damit sie mit Access Controller kompatibel sind. Die umstrukturierten Daten werden auch an dem angegebenen Ort als CAB-Datei gespeichert. Mit der Delivery Services Console können Sie dann die CAB-Datei auf einen Access Controller-Server importieren. Sie müssen den Migrationsassistenten von Access Gateway 5.0 verwenden, der auf jedem Windows-basierten Server ausgeführt werden kann. Hinweis: Der Migrationsassistent exportiert und konvertiert nur die Konfigurationsdaten, die für die Migration auf Access Controller erforderlich sind, wie Richtlinien-, Anmeldepunkt- und Webressourceneinstellungen. 155 So installieren Sie den Migrationsassistenten Das Installationsprogramm für den Migrationsassistenten ist im Ordner \Images\Setup\MigrationTool auf der Installations-CD von Access Gateway 5.0 oder in dem Paket gespeichert, das Sie von My Citrix heruntergeladen haben. Der Migrationsassistent wird nicht automatisch bei der Installation von Access Controller installiert. 1. Navigieren Sie zu dem Ordner, der das Access Controller-Paket enthält, und navigieren Sie dann zum Ordner \Images\Setup\MigrationTool. 2. Doppelklicken Sie auf Migration.msi und folgen Sie den Anweisungen des Assistenten. 156 So exportieren und konvertieren Sie bestehende Advanced Access Control-Konfigurationsdaten Nach der Installation des Migrationsassistenten können Sie den Assistenten starten, um Einstellungen vom Server mit Advanced Access Control auf Access Controller zu übertragen. 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Migrationsassistent. 2. Klicken Sie auf der Seite Quellversion auswählen auf Access Gateway Advanced Edition 4.5 mit angewendeten Hotfixreleases und klicken Sie auf Weiter. 3. Geben Sie auf der Seite Access Controller-Clusterdatenbank eingeben in das Feld Clusterdatenbankserver die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des SQL Servers ein. 4. Geben Sie in Access Controller-Clustername den Namen der Advanced Access Control Access-Serverfarm ein. 5. Führen Sie einen der folgenden Schritte aus: • Wählen Sie Windows-Authentifizierung verwenden, um Ihre Windows-Anmeldeinformationen für den Export der Datei zu verwenden. Wählen Sie SQL-Authentifizierung verwenden, um die Anmeldeinformationen des SQL Server-Administrators für den Export der Datei zu verwenden. 6. Klicken Sie auf Weiter. • 7. Geben Sie in Zieldatei für Konfigurationsdaten den Pfad ein, einschließlich Dateinamen, an dem Sie die Daten nach der Migration speichern möchten. Standardmäßig wird die Datei als CAB-Datei im Ordner "Eigene Dateien" des aktuellen Benutzers mit dem Dateinamen MigratedAccessGatewayConfigurationData.cab gespeichert. Beispiel: Sie finden die Datei unter %systemroot%\Dokumente und Einstellungen\Administrator\Eigene Dateien\MigratedAccessGatewayConfigurationData.cab. 8. Klicken Sie auf Weiter. Wenn Sie auf Weiter klicken, strukturiert der Migrationsassistent die Daten um und speichert sie an dem angegebenen Pfad. Nachdem Sie die Daten auf Access Controller migriert haben, müssen Sie die Einstellungen in den Cluster importieren. 157 Importieren der Clusterkonfigurationsdaten Mit der Delivery Services Console können Sie migrierte Daten auf einen Access Controller-Server importieren. Nach dem Import der Clusterkonfigurationsdaten sollten Sie Folgendes beachten: • Anmeldepunkte haben nach dem Importieren nicht mehr den Status Bereitgestellt. Sie müssen auf jedem Access Controller-Server alle Anmeldepunkte mit dem Dienstprogramm Serverkonfiguration neu bereitstellen. • Wenn Sie Anmeldepunkte neu bereitstellen, sollten Sie für jeden Anmeldepunkt die Anzeigeeinstellungen überprüfen, damit Benutzer auf die entsprechenden Anmeldeseiten zugreifen können. • Wenn Anmeldepunkte auf einem Access Controller konfiguriert sind, die dieselben Namen haben wie Anmeldepunkte, die Sie importieren, scheint die Serverkonfiguration nach dem Importieren der Clusterkonfigurationsdaten die Anmeldepunkte doppelt anzuzeigen. Zum Beheben dieses Problems können Sie mit der Serverkonfiguration die duplizierten Anmeldepunkte entfernen und die Anmeldepunkte neu bereitstellen, die mit Verfügbar für die Bereitstellung markiert sind. So importieren Sie Konfigurationsdaten auf den Access Controller Wichtig: Beim Importieren von Konfigurationsdaten werden die vorhandenen Konfigurationseinstellungen gelöscht und ersetzt. Citrix empfiehlt, dass Sie die Konfiguration sichern, bevor Sie eine andere importieren. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie dann auf einen Clusterknoten. 3. Klicken Sie unter Andere Aufgaben auf Cluster importieren. 4. Klicken Sie in Quelldatei für Konfigurationsdaten auf Durchsuchen, navigieren Sie zur CAB-Datei und klicken Sie auf Weiter. Wenn Sie auf Weiter klicken, wird die CAB-Datei dekomprimiert und die bestehenden Konfigurationsdaten werden durch die importierten Daten ersetzt. 158 Importieren der Clusterkonfigurationsdaten So entfernen Sie doppelte Anmeldepunkte und stellen verfügbare Anmeldepunkte neu bereit: 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie unter Aufgaben auf Anmeldepunkte. 3. Wählen Sie die Anmeldepunkte mit einem Status von Der Ordner kann nicht auf den gelöschten Anmeldepunkt verweisen und klicken Sie auf Entfernen. 4. Wählen Sie für eine erneute Bereitstellung der restlichen Anmeldepunkte die Anmeldepunkte mit einem Status von Verfügbar für die Bereitstellung aus, klicken Sie auf Bereitstellen und dann auf OK. 159 Migrieren von benutzerdefinierten Endpoint Analysis-Scanpaketen Sie können benutzerdefinierte Endpoint Analysis-Scanpakete von Access Gateway Advanced Edition auf Access Controller migrieren. Berücksichtigen Sie beim Importieren benutzerdefinierter Scanpakete Folgendes: • Separate Server- und Benutzerkomponenten: Endpoint Analysis-Scanpakete enthalten nur die Serverkomponente. Das Endpoint Analysis Plug-in wird Benutzern separat bereitgestellt. • Digitale Signatur: Alle Scanpakete, die mit Access Controller ausgeliefert werde, sind digital signiert. Auch alle benutzerdefinierten Scanpakete müssen digital signiert sein. Die digitale Signatur stellt sicher, dass das Scanpaket von einer vertrauenswürdigen Quelle stammt und nicht verändert wurde. • Endpoint Analysis Plug-in-Versionen: Um sicherzustellen, dass Benutzer die aktuelle Version des Plug-ins verwenden, leitet Access Controller Benutzer zu einer Upgradeseite um, von der sie das Plug-in herunterladen und installieren können, selbst wenn sie keine Administrator- oder Hauptbenutzerrechte haben. • Kompatibilität von Access Gateway 4.5, Advanced Edition-Scanpaketen: Wenn Sie Scanpakete von Advanced Access Control migrieren und dann in Access Controller importieren, werden nur Standardwerte zurückgegeben. In der Citrix Delivery Services Console werden unter dem Knoten "Warnungen" in der Konsolenstruktur Meldungen angezeigt, dass Sie diese Scanpakete aktualisieren müssen. • Endpoint Analysis Plug-in-Bereitstellung: Wenn Sie ein benutzerdefiniertes Scanpaket erstellen, für das eine Plug-in-Komponente zum Sammeln von Daten auf dem Benutzergerät erforderlich ist, müssen Sie diese Komponente in das Endpoint Analysis Plug-in integrieren und zum Verteilen an die Benutzer ein neues Plug-in generieren. Wenn Sie ein neues Plug-in erstellen, sollten Sie eindeutige Zeichenfolgen einschließen, die Ihre Organisation und die Plug-in-Version kennzeichnen. Access Controller verwendet diese Zeichenfolgen, um Plug-ins von anderen Organisationen sowie andere Versionen des Plug-ins zu unterscheiden. Wenn Sie eine neuere Version des Endpoint Analysis Plug-ins bereitstellen, können Benutzer ihre Plug-ins auf die neue Version aktualisieren, selbst wenn sie keine Administrator- oder Hauptbenutzerrechte haben. • Serverseitige Scanpakete: Access Controller enthält das Scanpaket "Citrix Scans für Browsertyp", für das keine Benutzerkomponenten erforderlich sind, um Daten von dem Benutzergerät zu sammeln. Zusätzlich können Sie benutzerdefinierte serverseitige Scanpakete mit dem Endpoint Analysis SDK erstellen. Wenn Sie diese Art von Scanpaket erstellen, brauchen Sie kein neues Endpoint Analysis Plug-in generieren. Weitere Informationen finden Sie in der Onlinehilfe des Endpoint Analysis SDKs im Endpoint Analysis Software Development Kit (SDK). Das SDK finden Sie auf der Produkt-CD oder der Citrix Website unter http://community.citrix.com/cdn. 160 Verwalten des Access Gateways mit Snapshots Ein Konfigurationssnapshot stellt alle Access Gateway-Einstellungen, -Lizenzen und -Zertifikate zu einem bestimmten Zeitpunkt dar. Wenn Sie mehrere Softwareversionen auf dem Access Gateway installiert haben, können Sie Snapshots haben, die verschiedene Softwareversionen abdecken. Wenn Sie Access Gateway 5.0 zum ersten Mal installieren, erstellt Access Gateway automatisch einen Snapshot der Konfiguration. Sie können dann zu verschiedenen Zeitpunkten Snapshots erstellen, z. B. nachdem die anfänglichen Einstellungen konfiguriert sind, nachdem Anmeldepunkte oder SmartGroups erstellt wurden. Wenn Sie den Snapshot erstellen, wird der Name automatisch generiert. Sie geben eine Beschreibung für den Snapshot ein und speichern ihn dann. Der Snapshot wird automatisch aktiv. Ein Vorteil von Snapshots ist, dass Sie bequem Konfigurationseinstellungen wiederherstellen können, wenn Sie beispielsweise ein neues Image auf den Gerät einspielen müssen. Sie können ein Snapshot auf Ihren Computer exportieren und dann den Snapshot wieder auf den Access Gateway importieren. Wenn Sie den Snapshot in das Gerät importieren, aktivieren Sie den Snapshot, um die Konfigurationseinstellungen wiederherzustellen. Falls erforderlich, können Sie einen früheren Snapshot wiederherstellen. Dabei werden durch den Snapshot die Konfigurationseinstellungen von dem Zeitpunkt wiederhergestellt. 161 Verwalten von Snapshots für das Gerätefailover Wenn die Netzwerkkonfiguration zwei Access Gateway-Geräte für das Gerätefailover enthält, verwenden die beiden Geräte identische Snapshots. Vorhandene Snapshots werden nicht über die Knoten hinweg repliziert. Wenn Sie Gerätefailover einrichten, machen Sie einen Snapshot des primären Geräts. Der gleiche Snapshot wird auf dem sekundären Gerät angezeigt. Wenn Sie ein Gerätefailoverpaar erstellen, können Sie nur noch die Snapshots sehen, die nach dem Koppeln der Geräte angelegt wurden. Snapshots, die Sie erstellt haben, bevor die Geräte zu einem Paar gekoppelt wurden, werden nicht angezeigt. Wenn Sie später das Paar auseinander brechen, werden die früheren Snapshots auf jedem Gerät wieder angezeigt. 162 Verwalten von Snapshots und Access Controller Wenn Sie das Access Gateway-Gerät auf Access Controller umstellen, erstellt das Gerät automatisch einen Konfigurationssnapshot. Nachdem Sie Access Gateway neu starten, wird der Snapshot im Bereich Snapshots auf der Seite Software Releases and Snapshots angezeigt. Wenn der Snapshot angezeigt wird, können Sie ihn auf einen Computer im Netzwerk exportieren. Sollten Sie Access Controller von der Bereitstellung entfernen und wieder nur das Access Gateway-Gerät verwenden wollen, erstellt das Gerät einen neuen Snapshot. Sie können alle früheren Snapshots aktivieren, dadurch werden die Konfigurationseinstellungen des Snapshots für Access Gateway wiederhergestellt, einschließlich der Netzwerkeinstellungen. 163 So erstellen Sie einen Snapshot 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Wählen Sie im Bereich Software Releases and Configuration Snapshots unter Software Releases eine Softwareversion aus und klicken Sie dann auf Create. 3. Geben Sie im Dialogfeld Snapshot Description eine Beschreibung ein und klicken Sie dann auf Save. Hinweis: Sonderzeichen sind in der Beschreibung nicht zulässig. Der erstellte Snapshot wird automatisch aktiv. 164 So exportieren Sie einen Snapshot Sie können eine Kopie eines Snapshots erstellen und dann auf einem Computer im Netzwerk speichern, indem Sie den Snapshot mit der Access Gateway Management Console exportieren. Zu einem späteren Zeitpunkt können Sie den Snapshot importieren, um die Konfigurationseinstellungen auf dem Access Gateway wiederherzustellen. Speichern der Snapshots auf einem Computer ermöglicht, die Konfigurationseinstellungen wiederherzustellen, wenn Sie ein neues Image auf das Gerät einspielen müssen. So müssen Sie das Gerät nicht neu konfigurieren. Wenn Sie einen Snapshot exportieren, wird er verschlüsselt, damit die Gültigkeit und Integrität des Snapshots garantiert ist. Wenn Sie den Snapshot zu einem späteren Zeitpunkt in das Access Gateway importieren, muss die Softwareversion des Snapshots der auf dem Access Gateway installierten Softwareversion entsprechen. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Wählen Sie im Bereich Software Releases and Configuration Snapshots unter Software Releases eine Softwareversion aus. 3. Klicken Sie unter Snapshots auf einen Snapshot und klicken Sie dann auf Export. 4. Klicken Sie in der Meldung Download Snapshot auf Yes. 5. Speichern Sie den Snapshot an einem beliebigen Ort auf dem Computer. Snapshots werden mit einer Versions- und Buildnummer sowie anderen Informationen gespeichert. Exportierte Snapshots haben die Dateierweiterung .bin. 165 So importieren Sie einen gespeicherten Snapshot Sie können jederzeit Snapshots importieren, die Sie auf einem Computer im internen Netzwerk gespeichert haben. Sie können auch Snapshots von einem anderen Access Gateway-Gerät in Ihrem Netzwerk importieren. Wenn Sie die Standardkonfiguration auf dem Gerät wiederherstellen müssen, können Sie beispielsweise durch Importieren eines gespeicherten Snapshots die Konfigurationseinstellungen wiederherstellen Wenn Sie gespeicherte Snapshots zwischen unterschiedlichen Geräten importieren, muss jedes Gerät die gleiche Softwareversion haben. Versuchen Sie, ein Snapshot von einem Access Gateway-Gerät zu importieren, das eine andere Softwareversion verwendet, wird der Snapshot abgelehnt. Der Snapshot wird auch abgelehnt, wenn er bereits auf dem Gerät ist. Nachdem Sie den Snapshot importieren, können Sie die Snapshotkonfiguration aktivieren. Die Konfigurationseinstellungen im Snapshot werden dann auf das Access Gateway-Gerät angewendet, nachdem Sie das Gerät neu starten. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Klicken Sie im Bereich Software Releases and Configuration Snapshots neben Snapshots auf Import. 3. Navigieren Sie zu dem gespeicherten Snapshot auf Ihrem Computer und klicken Sie auf Open. Exportierte Snapshots haben die Dateierweiterung .bin. 4. Wählen Sie den importierten Snapshot und klicken Sie dann auf Make Active. Es wird eine Meldung angezeigt, dass Sie das Access Gateway neu starten. Klicken Sie auf OK und dann auf Restart. Nachdem Sie sich wieder angemeldet haben, ist der Snapshot aktiv. 166 So stellen Sie eine frühere oder spätere Version eines Snapshots wieder her Jeder Snapshot, den Sie erstellen, wird auf dem Access Gateway gespeichert. Sie können einen Snapshot wiederherstellen und ihn zur aktiven Konfiguration machen. Es ist wichtig, den Inhalt des Snapshot zu kennen, den Sie wiederherstellen möchten, da Sie unbeabsichtigt Einstellungen ändern könnten. Wenn Sie beispielsweise die IP-Adresse des Access Gateway zu einem späteren Zeitpunkt geändert haben, als der Snapshot erstellt wurde, den Sie wiederherstellen möchten, werden beim Wiederherstellen des Snapshots die Netzwerkeinstellungen geändert. Aktivieren dieses Snapshots könnte dazu führen, dass Benutzerverbindungen zum Access Gateway unterbrochen oder Benutzeranmeldungen verhindert werden. Wen Sie einen Snapshot in einem Gerätefailoverpaar wiederherstellen, sollten Sie das Gerätefailoverpaar auflösen, den Snapshot auf dem primären Gerät wiederherstellen und dann das Gerätefailoverpaar wieder einrichten. Der Snapshot wird das auf dem sekundären Gerät im Paar wiederhergestellt. Wenn Sie einen Snapshot wiederherstellen, müssen Sie das Access Gateway neu starten. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Klicken Sie im Bereich Software Releases and Configuration Snapshots unter Snapshots auf einen Snapshot und klicken Sie dann auf Make Active. Es wird eine Meldung angezeigt, dass Sie das Access Gateway neu starten. Klicken Sie auf OK und dann auf Restart. Nachdem Sie sich wieder angemeldet haben, ist der Snapshot wiederhergestellt. 167 So löschen Sie einen Snapshot Sie können einen oder mehrere Snapshots vom Access Gateway löschen, außer den Snapshot, der gerade aktiv ist. 1. Klicken Sie in der Access Gateway Management Console auf Snapshots. 2. Wählen Sie im Bereich Software Releases and Configuration Snapshots unter Snapshots einen Snapshot aus und klicken Sie dann auf Delete. 168 Neuinstallieren der Access Gateway 5.0-Software Wenn Sie eine Neuinstallation der Access Gateway-Software durchführen, können Sie dafür die Originalsoftware verwenden, die mit dem Geräte geliefert wurde. Sollen die Konfigurationseinstellungen erhalten bleiben, müssen Sie vor der Neuinstallation der Software ein Backup der Konfiguration erstellen. Sie verwenden einen USB-Speichergerät, um die Access Gateway-Software zu installieren. Die Software wird auf einen Windows-basierten Computer heruntergeladen und dann auf das Speichergerät kopiert. Sie stecken das Speichergerät in das Access Gateway ein und installieren die Software neu. Vorsicht: Wenn Sie die Access Gateway-Software auf das USB-Speichergerät kopieren werden alle Daten auf dem Gerät gelöscht. Achten Sie daher darauf, dass auf dem USB-Speichergerät keine wichtigen Daten sind. Wenn Sie den Windows-Computer oder das Access Gateway neu starten, während das USB-Speichergerät angeschlossen ist, wird versucht, auf den Computer oder das Access Gateway ein neues Image aufzuspielen. Systemanforderungen Um ein Installationspaket auf einem USB-Speichergerät zu erstellen, brauchen Sie Folgendes: • 1 GB USB-Speichergerät • .NET Framework 1.0 • Eines der folgenden Windows-Betriebssysteme muss installiert sein: • Windows Server 2003 • Windows Server 2008 • Windows XP • Windows Vista Windows 7 USB-Port auf dem Windows-basierten Computer • • 169 • Access Gateway CD • Access Gateway 2010 Appliance Imaging Tool, das Sie von My Citrix erhalten. Neuinstallieren der Access Gateway 5.0-Software So installieren Sie die Access Gateway-Software neu 1. Speichern Sie die Access Gateway-Konfigurationseinstellungen wie unter Verwalten des Access Gateways mit Snapshots beschrieben. 2. Stellen Sie sicher, dass das Access Gateway mit einem Computer verbunden ist, auf dem die Terminalemulationssoftware ausgeführt werden kann. Schalten Sie beide Systeme ein. 3. Laden Sie die Access Gateway-Software von My Citrix auf Ihren Computer herunter. Verwenden Sie dann das Access Gateway 2010 Appliance Imaging Tool, um das Image auf das USB-Speichergerät zu kopieren. Vorsicht: Nachdem Sie die Access Gateway-Software auf das USB-Speichergerät kopiert haben, sollten Sie sofort die Access Gateway-CD aus dem Computer entfernen. Wenn Sie den Computer neu starten, während das Gerät angeschlossen oder die CD eingelegt ist, könnte das Gerät Informationen auf Ihrem Computer löschen. 4. Stecken Sie das USB-Speichergerät in den USB-Port auf dem Access Gateway-Gerät, um das Installationsprogramm zu starten. Wenn die Installation abgeschlossen ist, zeigt die serielle Konsole eine entsprechende Meldung an. 5. Entfernen Sie das USB-Speichergerät und schalten Sie das Access Gateway aus. 6. Schalten Sie das Access Gateway wieder an. 7. Stellen Sie die Konfigurationseinstellungen wieder her. Informationen hierzu finden Sie unter Verwalten des Access Gateways mit Snapshots. 170 Neustart oder Ausschalten des Access Gateways Wenn Sie Änderungen am Access Gateway vorgenommen haben, müssen Sie das Gerät u. U. neu starten. Sie können Access Gateway auch von der Access Gateway Management Console neu starten. Wenn Sie das Access Gateway ausschalten müssen, verwenden Sie die Management Console. Schalten Sie das Access Gateway-Gerät nie über den Stromschalter aus. Mit dem Schalter können Sie das Gerät nur einschalten. Vorsicht: Herunterfahren oder Neustarten des Geräts mit dem Schalter kann zu Datenverlust führen. So starten Sie das Access Gateway neu 1. Klicken Sie in der Access Gateway Management Console auf Restart. 2. Schließen Sie den Webbrowser. So schalten Sie das Access Gateway aus 1. Klicken Sie in der Access Gateway Management Console auf Shut down. 2. Schließen Sie den Webbrowser. 171 Verwalten des Access Gateway-Geräts und von Access Controller Nachdem Sie die Bereitstellung geplant und Access Gateway installiert haben, müssen Sie das Gerät konfigurieren und verwalten. In diesem Bereich der eDocs finden Sie Informationen über das Konfigurieren und Verwalten von Access Gateway 5.0. In diesem Bereich von eDocs finden Sie Informationen über das Konfigurieren und Verwalten von Access Controller. Access Controller bietet zusätzliche Vorteile für das Access Gateway. • Native Active Directory-Authentifizierung • Erweiterte Endpoint Analysis • Zentralisierte Steuerung von Access Gateway-Geräten • Sitzungsfreigabe über mehrere Access Gateway-Geräte • Zentralisierte Protokollierung • Delivery Services Console Access Controller erweitert die Access Gateway-Umgebung, indem den Benutzern die folgenden Standardfeatures zur Verfügung gestellt werden: 172 • Für SmartAccess wird das Zugriffsszenario analysiert und anschließend der entsprechende Zugriff gewährt, ohne dass die Sicherheit beeinträchtigt wird. • SmoothRoaming passt die Zugriffsstufe für jedes neue Zugriffsszenario automatisch an, wenn Benutzer zwischen Geräten, Netzwerken und Standorten wechseln. • Secure by Design bietet Benutzern Zugriff, der im Design inhärent sicher ist, so wird sowohl die Sicherheit der Unternehmensinformationen als auch die Integrität des Netzwerks geschützt. Verwalten des Access Gateway-Geräts Nachdem Sie die Bereitstellung geplant und Access Gateway installiert haben, müssen Sie das Gerät konfigurieren und verwalten. In diesem Abschnitt finden Sie Informationen, wie Sie über die Befehlszeile Access Gateway konfigurieren und Probleme mit dem Gerät behandeln, einschließlich wie Sie ein Paket für Support erstellen. Außerdem wird beschrieben, wie Sie mit der Access Gateway Management Console Folgendes konfigurieren: 173 • Zertifikate: Beschreibt die Zertifikattypen, die Sie auf dem Access Gateway installieren können, und das Erstellen einer Zertifikatsignieranforderung. • Netzwerkeinstellungen: Beschreibt das Verwalten von Netzwerkadaptern, Konfigurieren von Namensdienstanbietern, Konfigurieren von statischen Routen, Konfigurieren des Datums und der Uhrzeit auf dem Access Gateway und andere Gerätnetzwerkeinstellungen. • Weitere Access Gateway-Geräte: Beschreibt das Konfigurieren eines Gerätefailoverpaars und das Verwenden mehrere Geräte hinter einem externen Load Balancer. • Geräteprofile: Beschreibt das Konfigurieren von Einstellungen für die Endpunktanalyse von Benutzergeräten. • Netzwerkressourcen auf dem Gerät: Beschreibt das Konfigurieren von Netzwerkressourcen, mit denen die Server, Dateifreigaben oder E-Mail-Server angegeben werden, auf die Benutzer zugreifen dürfen. • Anmeldepunkte: Finden Sie Anleitungen zum Konfigurieren von einfachen und SmartAccess-Anmeldepunkten. • SmartGroups: Beschreibt das Konfigurieren von SmartGroups für Anmeldepunkte, Authentifizierungsprofile und -gruppen, Geräteprofile, Netzwerkressourcen, Adresspools und erweiterte Eigenschaften für Benutzerverbindungen. Installieren und Verwalten von Zertifikaten Auf dem Access Gateway werden Zertifikate verwendet, um gesicherte Verbindungen herzustellen und Benutzer zu authentifizieren. Um eine sichere Verbindung herzustellen, ist ein Serverzertifikat an einem Ende der Verbindung erforderlich. Ein Stammzertifikat der Zertifizierungsstelle (CA), die das Serverzertifikat ausgestellt hat, muss am anderen Ende des Verbindung vorhanden sein. • Serverzertifikat: Mit einem Serverzertifikat wird die Identität eines Servers bestätigt. Für Access Gateway ist so ein digitales Zertifikat erforderlich. • Stammzertifikate: Ein Stammzertifikat dient zur Identifizierung der Zertifizierungsstelle, die das Serverzertifikat signiert hat. Das Stammzertifikat gehört der Zertifizierungsstelle. Dieses digitale Zertifikat ist auf dem Benutzergerät erforderlich, um das Serverzertifikat zu überprüfen. Sie können Zertifikatsketten konfigurieren, die Zwischenzertifikate enthalten, zwischen dem Serverzertifikat und dem Stammzertifikat. Sowohl Stammzertifikate als auch Zwischenzertifikate werden als vertrauenswürdige Zertifikate bezeichnet. Wird eine gesicherte Verbindung über einen Webbrowser auf einem Benutzergerät hergestellt, sendet das Access Gateway-Gerät sein Zertifikat an das Benutzergerät. Bei Eingang eines Serverzertifikats prüft der Webbrowser (z. B. Internet Explorer) auf dem Benutzergerät, welche Zertifizierungsstelle das Zertifikat ausgestellt hat und ob diese Zertifizierungsstelle für das Benutzergerät vertrauenswürdig ist. Wenn die Zertifizierungsstelle nicht vertrauenswürdig ist oder wenn es ein Testzertifikat ist, fordert der Webbrowser den Benutzer auf, das Zertifikat zu akzeptieren oder abzulehnen (d. h. den Zugriff auf die Website zu akzeptieren oder abzulehnen). Hinweis: Sie können nur PEM- (Privacy Enhanced Mail) und PFX-Zertifikatdateien (Personal Information Exchange) auf dem Access Gateway installieren. 174 Installieren eines signierten digitalen Zertifikats und eines privaten Schlüssels Aktualisiert: 2012-05-03 Access Gateway enthält ein digitales Zertifikat, das nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist. Sie müssen auf dem Access Gateway-Gerät ein digitales X.509-Zertifikat installieren, das Ihrer Firma gehört und von eine Zertifizierungsstelle (CA) signiert ist. Ihr Unternehmen kann als eigene Zertifizierungsstelle (CA) fungieren oder Sie können ein digitales Zertifikat von einer kommerziellen Zertifizierungsstelle erhalten, wie etwa VeriSign oder Thawte. Vorsicht: Access Gateways ohne ein von einer Zertifizierungsstelle signiertes digitales Zertifikat zu betreiben, kann VPN-Verbindungen der Gefahr böswilliger Angriffe aussetzen. Access Gateway akzeptiert eine Zertifikatdatei im PEM-Format (Privacy Enhanced Mail). PEM ist ein Textformat, das die Base-64-Verschlüsselung des binären DER-Formats (Distinguished Encoding Rules) darstellt. Das PEM-Format legt die Verwendung der Text-BEGIN- und -END-Zeilen fest, die die Art des verschlüsselten Inhalts angeben. Sie können ein sicheres digitales Zertifikat und einen privaten Schlüssel auf dem Access Gateway-Gerät mit folgenden Methoden installieren: 175 • Generieren Sie in der Access Gateway Management Console eine Zertifikatsignieranforderung (Certificate Signing Request). Wenn die Anforderung generiert wurde, erstellt Access Gateway ein Zertifikat und einen privaten Schlüssel. Der private Schlüssel bleibt auf dem Gerät und der Inhalt des Zertifikats wird kopiert und auf Website der Zertifizierungsstelle zum Signieren eingereicht. Nachdem das signierte Zertifikat zurückgesendet wurde, wird es auf dem Gerät installiert. Während der Installation wird das signierte Zertifikat mit dem kennwortgeschützten privaten Schlüssel zusammengeführt. Citrix empfiehlt, dieses Verfahren zum Erstellen und Installieren sicherer Zertifikate zu verwenden. • Installieren Sie ein PEM-Zertifikat und einen privaten Schlüssel von einem Windows-basierten Computer aus. Bei diesem Verfahren werden ein signiertes Zertifikat und ein privater Schlüssel gemeinsam hochgeladen. Das Zertifikat wird von einer Zertifizierungsstelle signiert und dann mit dem privaten Schlüssel zusammengeführt. Verwalten von Zertifikaten im Access Gateway Certificate Manager Im Access Gateway Certificate Manager können Sie die Zertifikate und Details über die Zertifikate anzeigen, die Sie auf dem Access Gateway-Gerät installiert haben. Es können Server-, Stamm- oder vertrauenswürdige Zertifikate in einer Zertifikatskette sein. Details, die Sie für Zertifikate anzeigen können, sind u. a.: • Name und Beschreibung für das Zertifikat • Status des Zertifikats • Zeitraum (Datumsbereich), für den das Zertifikat gültig ist • Zertifikatstyp • Ob das Zertifikat aktiv ist Sie können mit dem Access Gateway Certificate Manager auch Server- und Stammzertifikate auf das Access Gateway hochladen und verwalten. Bevor Sie ein Zertifikat auf das Gerät hochladen können, müssen Sie eine Zertifikatsignieranforderung (CSR: Certificate Signing Request) im Access Gateway Certificate Manager generieren. Sie können im Access Gateway Certificate Manager eine Zertifikatsignieranforderung (CSR) generieren, sowie Details über ausstehende CSRs anzeigen. Die ausstehende Anforderung können Sie löschen und das Antwortzertifikat installieren. Sie verwalten Server- und Stammzertifikate wie folgt im Access Gateway Certificate Manager: • Laden Sie eine PEM- (Privacy Enhanced Mail) oder PFX-Datei (PKCS#12: Personal Information Exchange) hoch, die ein Serverzertifikat enthält und den zugehörigen kennwortgeschützten privaten Schlüssel. • Exportieren Sie ein vorhandenes Serverzertifikat und den zugehörigen privaten Schlüssel in eine Datei auf Ihrem Computer, wobei der private Schlüssel kennwortgeschützt ist. Sie können nur PEM-Zertifikate exportieren. Hinweis: Access Gateway und alle Clients unterstützen die Verwendung eines Platzhalterzertifikats als Serverzertifikat. Beispielsweise könnten Sie ein Serverzertifikat anfordern und installieren, das für *.acme.com gilt. Webbrowser und Clients können dann eine Verbindung mit "gateway.acme.com" oder "access.acme.com" herstellen, ohne Zertifikatfehler und -warnungen zu erhalten. • 176 Sie können Zertifikate für vertrauenswürdige Stammzertifizierungsstellen sowie von vertrauenswürdigen Zertifikaten in Zertifikatsketten hochladen und verwalten. Wenn das Gerät eine sichere Verbindung zu einem anderen Host initiiert, muss das Zertifikat dieses Hosts von einer Zertifizierungsstelle (CA) ausgestellt sein, deren Stammzertifikat auf dem Access Gateway-Gerät installiert ist. Übersicht über Zertifikatsignieranforderungen Bevor Sie ein Zertifikat auf das Access Gateway-Gerät hochladen können, müssen Sie eine Zertifikatsignieranforderung (CSR: Certificate Signing Request) und einen privaten Schlüssel generieren. Sie können die Zertifikatsignieranforderung im Dialogfeld Certificate Signing Request erstellen, auf das Sie über den Bereich Certificate Management in der Access Gateway Management Console zugreifen. Nachdem Sie die CSR-Datei erstellt haben, kopieren Sie den Zertifikatinhalt und reichen ihn auf der Website der Zertifizierungsstelle (CA) zum Signieren ein. Die Zertifizierungsstelle signiert das Zertifikat und sendet es an die angegebene E-Mail-Adresse zurück. Wenn Sie dann das signierte Zertifikat erhalten, können Sie es auf dem Access Gateway installieren. Für sichere Kommunikation mit SSL oder TLS ist für Access Gateway ein Serverzertifikat erforderlich. Zusammenfassung der Schritte zum Abrufen und Installieren eines Serverzertifikats auf dem Access Gateway: • Generieren Sie eine Zertifikatsignieranforderung im Dialogfeld Certificate Signing Request, auf das Sie über den Bereich Certificate Management in der Access Gateway Management Console zugreifen. • Kopieren Sie den Zertifikatinhalt und reichen Sie ihn auf der Website der Zertifizierungsstelle (CA) zum Signieren ein. • Wenn Sie die signierte Zertifikatdatei von der Zertifizierungsstelle (CA) erhalten, laden Sie das Zertifikat im Bereich Certificate Management in der Access Gateway Management Console hoch. Das Zertifikat wird automatisch in das PEM-Format (Privacy Enhanced Mail) konvertiert, das für Access Gateway erforderlich ist. Kennwortgeschützte private Schlüssel Private Schlüssel werden mit der Zertifikatsignieranforderung (CSR) generiert und in einem verschlüsselten und kennwortgeschützten Format auf dem Access Gateway-Gerät gespeichert. Beim Erstellen der Zertifikatsignieranforderung werden Sie aufgefordert, ein Kennwort für den privaten Schlüssel festzulegen. Dieses Kennwort schützt den privaten Schlüssel vor Manipulationen und ist außerdem beim Wiederherstellen einer gespeicherten Konfiguration auf dem Access Gateway erforderlich. Kennwörter werden in jedem Fall verwendet, unabhängig davon, ob der private Schlüssel verschlüsselt ist. 177 So erstellen Sie eine Zertifikatsignieranforderung Um eine sichere Kommunikation mit SSL oder TLS zu bieten, ist ein Serverzertifikat auf dem Access Gateway erforderlich. Bevor Sie ein Zertifikat auf das Access Gateway hochladen können, müssen Sie eine Zertifikatsignieranforderung (CSR: Certificate Signing Request) und einen privaten Schlüssel generieren. 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie auf New und geben Sie unter Certificate Signing Request die erforderlichen Informationen ein. • Wählen Sie unter Key Length (erforderlich) den Verschlüsselungsgrad. • Geben Sie in das Feld Common name (erforderlich) den Hostnamen oder den vollqualifizierten Domänennamen (FQDN) des Geräts ein, so wie er im Bereich Networking angezeigt wird. • Unter Email geben Sie die E-Mail-Adresse für die Kontaktperson in Ihrem Unternehmen an. • Unter Description geben Sie eine Beschreibung für die CSR ein. • In das Feld Company name geben Sie den Namen Ihrer Firma oder Organisation ein. • In das Feld Department name geben Sie den Namen der Abteilung ein, die das Zertifikat verwenden soll. • In das Feld City geben Sie den Namen der Stadt ein, in der Ihre Firma oder Organisation ist. • Geben Sie in das Feld State or Province den vollständigen Namen des Bundesstaats oder der Provinz ein, in der Ihre Firma ist. Wählen Sie im Feld Country code (erforderlich) den Zweibuchstabencode für Ihr Land ein, zum Beispiel US. 3. Klicken Sie auf Save. • Access Gateway erstellt die CSR. Ein Dialogfeld wird geöffnet, dass den Inhalt der CSR enthält. 4. Kopieren Sie den Inhalt des Zertifikat aus dem Dialogfeld in den entsprechenden Bereich auf der Website der Zertifizierungsstelle. Der Zertifikatanbieter sendet Ihnen per E-Mail ein signiertes Zertifikat zurück. Installieren Sie dieses signierte Zertifikat auf dem Access Gateway. Sie können bis zu drei CSRs erstellen. Sie können vorhandene CSRs anzeigen oder löschen und Sie können ein CSR signieren, sodass Sie das Zertifikat sofort verwenden können. 178 So erstellen Sie eine Zertifikatsignieranforderung 179 So importieren Sie ein signiertes Serverzertifikat in Access Gateway Wenn Sie das signierte Zertifikat von der Zertifizierungsstelle (CA) erhalten, laden Sie das Zertifikat auf das Access Gateway hoch. Es kann sich bei der Datei um eine PEM- (Privacy Enhanced Mail) oder PKCS#12-Datei (Personal Information Exchange) handeln, die ein Serverzertifikat enthält und den zugehörigen kennwortgeschützten privaten Schlüssel. 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie auf Import und wählen Sie dann Server (.pem), um ein von einer Zertifizierungsstelle (CA) signiertes Stammzertifikat zu importieren. 3. Navigieren Sie unter Select file to upload zu dem Zertifikat und klicken Sie dann auf Open. 180 So installieren Sie ein Zertifikat und einen privaten Schlüssel von einem Windows-basierten Computer Wenn Sie einen Load Balancer einsetzen oder ein signiertes digitales Zertifikat mit einem privaten Schlüssel haben, das auf einem Windows-basierten Computer gespeichert ist, können Sie dieses Zertifikat auf das Access Gateway hochladen. Ist das Access Gateway nicht hinter einem Load Balancer, muss das Zertifikat den vollqualifizierten Domänennamen (FQDN) des Access Gateways enthalten. Falls das Access Gateway-Gerät hinter einem Load Balancer ist, muss jedes Gerät dasselbe Zertifikat und denselben privaten Schlüssel enthalten. 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie auf Import und wählen Sie dann Server (.pfx). 3. Navigieren Sie unter Select file to upload zu dem Zertifikat und klicken Sie dann auf Open. Beim Hochladen des Zertifikats auf das Access Gateway werden Sie aufgefordert, ein Kennwort festzulegen, mit dem der private Schlüssel verschlüsselt werden soll. 181 Installieren von Stammzertifikaten auf dem Access Gateway Stammzertifikate werden von der Zertifizierungsstelle (CA) ausgestellt. SSL-Clients verwenden Stammzertifikate, die Zertifikate zu validieren, die ein SSL-Server präsentiert. Wenn ein SSL-Client versucht, eine Verbindung mit einem SSL-Server herzustellen, präsentiert der Server ein Zertifikat. Das Benutzergerät schlägt daraufhin im Stammzertifikatspeicher nach, ob das vom SSL-Server vorgelegte Zertifikat von einer Zertifizierungsstelle signiert ist, der das Benutzergerät vertraut. Wenn Sie Access Gateway in einer Umgebung bereitstellen, in der Access Gateway als Client in einem SSL-Handshake fungiert, bei dem ein Nachrichtenaustausch verschlüsselte Verbindungen mit einem Server initiiert, müssen Sie ein vertrauenswürdiges Stammzertifikat auf dem Access Gateway-Gerät installieren. Wenn Sie beispielsweise Access Gateway mit Citrix XenApp und mit dem Webinterface installieren, können Sie Verbindungen von Access Gateway zum Webinterface mit SSL verschlüsseln. Bei dieser Konfiguration muss ein vertrauenswürdiges Stammzertifikat auf dem Access Gateway-Gerät installiert werden. Das auf dem Access Gateway installierte Stammzertifikat muss im PEM-Format (Privacy Enhanced Mail) vorliegen. Unter Windows werden Stammzertifikate im PEM-Format gelegentlich mit der Dateinamenerweiterung .cer gekennzeichnet. Sollen Zertifikate für interne Verbindungen validiert werden, muss auf dem Access Gateway-Gerät ein Stammzertifikat installiert sein. So installieren Sie ein Stammzertifikat auf dem Access Gateway 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie im Bereich Certificate Management auf Import und wählen Sie dann Trusted (.pem). 3. Navigieren Sie unter Select file to upload zu der Datei und klicken Sie auf Open. Um das Stammzertifikat zu entfernen, klicken Sie auf das Zertifikat in der Zertifikattabelle und klicken dann auf Delete. 182 Installieren mehrerer Stammzertifikate Sie können mehrere Stammzertifikate auf dem Access Gateway-Gerät installieren; die Zertifikate müssen aber in einer einzigen Datei sein. Beispiel: Sie können eine Textdatei in einem Texteditor erstellen, die alle Stammzertifikate enthält. Öffnen Sie die einzelnen Stammzertifikate in einer anderen Instanz des Texteditors. Kopieren Sie den Inhalt der Zertifikate und fügen Sie diesen kopierten Inhalt jeweils unterhalb der letzten Zeile in die neue Textdatei ein. Nachdem Sie alle Zertifikate in die neue Datei kopiert haben, speichern Sie die Textdatei im PEM-Format (Privacy Enhanced Mail) und laden sie auf das Access Gateway hoch. Erstellen von Stammzertifikaten über eine Eingabeaufforderung Alternativ können Sie Stammzertifikate im PEM-Format über eine DOS-Eingabeaufforderung erstellen. Wenn Sie drei PEM-Stammzertifikate besitzen, können Sie beispielsweise mit dem nachstehenden Befehl eine einzige Datei mit allen drei Zertifikaten erstellen. type root1.pem root2.pem root3.pem > current-roots.pem Sollen weitere Stammzertifikate in eine vorhandene Datei eingefügt werden, verwenden Sie folgenden Befehl: type root4.pem root5.pem >> current-roots.pem Nach der Ausführung dieses Befehls befinden sich alle fünf Stammzertifikate in der Datei current-roots.pem. Mit dem zweifachen Größer-als-Zeichen (>>) wird der Inhalt der Dateien root4.pem und root5.pem an den bereits vorhandenen Inhalt der Datei current-roots.pem angehängt. 183 Konfigurieren von Platzhalterzertifikaten Access Gateway unterstützt die Validierung von Platzhalterzertifikaten für das Access Gateway Plug-in. Platzhalterzertifikate sind am Sternchen (*) in ihrem Namen erkennbar. Platzhalterzertifikate können eines der beiden folgenden Formate haben: *.meinefirma.com oder www*.meinefirma.com. Wenn das Access Gateway Plug-in das Platzhalterzertifikate verwendet, können Benutzer zwischen unterschiedlichen Webadressen wählen, z. B. http://www1.meinefirma.com oder http://www2.meinefirma.com. Durch die Verwendung eines Platzhalterzertifikats kann ein Zertifikat für mehrere Websites verwendet werden. Sie können mit der Zertifikatsignieranforderung (Certificate Signing Request) Zertifikate mit Platzhalterzeichen erstellen. 184 So zeigen Sie die Details eines Zertifikats an Wenn Sie mit einem Zertifikat Probleme haben, möchten Sie vielleicht den Herausgeber des Zertifikats prüfen. Sie können diese Informationen, sowie andere Details über jedes auf dem Access Gateway installierte Zertifikat, in der Access Gateway Management Console anzeigen. 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Wählen Sie in der Tabelle Certificates das Zertifikat aus, für das Sie den Inhalt anzeigen möchten, und klicken Sie auf Details. 3. In dem angezeigten Dialogfeld sehen Sie Zertifikatdetails, Antragstellername und Ausstellername für das ausgewählte Zertifikat. Klicken Sie dann auf Close. 185 So exportieren Sie ein Zertifikat Sie müssen Zertifikate möglicherweise exportieren, wenn Sie auf ein neues Gerät migrieren, ein Backup des Geräts erstellen und wenn Zertifikate von einem Gerätepaar für das Gerätefailover gemeinsam genutzt werden. Sie können ein vorhandenes Serverzertifikat und den zugehörigen kennwortgeschützten privaten Schlüssel in eine Datei exportieren. Sie können Zertifikate nur im PEM-Format (Privacy Enhanced Mail) exportieren. 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Wählen Sie in der Tabelle das Zertifikat aus, das Sie exportieren möchten und klicken Sie dann auf Export (.pem). 3. Geben Sie im Dialogfeld Please enter password in die Felder Password und Confirm, das Kennwort ein, das für die Verschlüsselung des exportierten Zertifikats verwendet wird und klicken Sie auf OK. 186 Installieren von Zwischenzertifikaten Ein Zwischenzertifikat ist ein digitales Zertifikat, dass zwischen dem Stammzertifikat (auf dem Access Gateway) und einem Stammzertifikat (normalerweise auf dem Benutzergerät installiert) steht. Ein Zwischenzertifikat ist nicht Teil der Zertifikatskette. Einige Organisationen delegieren die Ausstellung von Zertifikaten, um das Problem mit der räumlichen Trennung zwischen Organisationseinheiten zu lösen oder um unterschiedliche Ausstellungsrichtlinien für verschiedene Organisationsbereiche anzuwenden. Sie können untergeordnete Zertifizierungsstellen (CAs) einrichten, um die Zertifikatausstellung zu delegieren. Der X.509-Standard enthält ein Modell, mit dem sich eine Hierarchie von Zertifizierungsstellen einrichten lässt. Bei diesem Modell befindet sich die Stammzertifizierungsstelle auf der obersten Hierarchieebene und hat ein selbst signiertes Zertifikat. Die der Stammzertifizierungsstelle direkt untergeordneten Zertifizierungsstellen lassen Zertifizierungsstellenzertifikate von der Stammzertifizierungsstelle signieren. Zertifizierungsstellen, die sich in der Hierarchie unter den untergeordneten Zertifizierungsstellen befinden, lassen ihre Zertifizierungsstellenzertifikate von den untergeordneten Zertifizierungsstellen signieren. Die folgende Abbildung zeigt die hierarchische Struktur einer typischen digitalen Zertifikatkette. 187 Installieren von Zwischenzertifikaten Abbildung 1. Das X.509-Modell und die hierarchische Struktur einer typischen digitalen Zertifikatkette. Zertifizierungsstellen können ihre eigenen Zertifikate signieren (d. h. sie sind selbst signiert) oder sie können auch von einer anderen Zertifizierungsstelle signiert werden. Ein selbstsigniertes Zertifikat wird Stammzertifizierungsstelle genannt. Nicht selbstsignierte Zertifikate werden untergeordneten Zertifizierungsstellen oder Zwischenzertifizierungsstellen genannt. Wenn ein Zertifikat von einer Zertifizierungsstelle mit einem selbstsignierten Zertifikat signiert ist, setzt sich die Zertifikatkette aus genau zwei Zertifikaten zusammen: dem Zertifikat der Endeinheit und dem Zertifikat der Stammzertifizierungsstelle. Wenn ein Benutzer- oder Serverzertifikat von einer Zwischenzertifizierungsstelle signiert ist, ist die Zertifikatkette länger. Die nachstehende Abbildung zeigt, dass die ersten beiden Elemente das Endeinheitszertifikat (in diesem Fall gwy01.firma.com) und das Zertifikat der Zwischenzertifizierungsstelle, und zwar in dieser Reihenfolge, sind. Nach dem Zertifikat der Zwischenzertifizierungsstelle folgt das Zertifikat ihrer Zertifizierungsstelle. Das letztgenannte Zertifikat in dieser Liste ist das Zertifikat der Stammzertifizierungsstelle. Jedes Zertifikat in der Kette bestätigt die Identität des vorhergehenden Zertifikats. 188 Installieren von Zwischenzertifikaten Abbildung 2. Typische digitale Zertifikatkette So installieren Sie ein Zwischenzertifikat 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie im Bereich Certificate Management auf Import und wählen Sie dann Trusted (.pem). 3. Navigieren Sie unter Select file to upload zu der Datei und klicken Sie auf Open. Wenn Sie ein Zwischenzertifikat auf dem Access Gateway installieren, müssen Sie keinen privaten Schlüssel oder ein Kennwort angeben. Nachdem das Zertifikat auf dem Gerät installiert ist, muss das Zertifikat mit dem Serverzertifikat verknüpft werden. So verknüpfen Sie ein Zwischenzertifikat mit einem Serverzertifikat 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Wählen Sie in der Tabelle Certificates das Serverzertifikat aus, das Sie im dem Zwischenzertifikat verknüpfen möchten, und klicken Sie dann auf Add to Chain. 3. Wählen Sie in dem daraufhin angezeigten Dialogfeld ein Zertifikat und klicken Sie dann auf Add für jedes Zertifikat, das Sie der Kette hinzufügen möchten. 4. Nachdem Sie mit dem Zusammenstellen der Zertifikatskette fertig sind, klicken Sie auf Close. 189 Hinzufügen von Netzwerkeinstellungen Nachdem Sie eine oder mehrere Lizenzen und Zertifikate auf dem Access Gateway installiert haben, können Sie die folgenden Konfigurationsschritte abschließen, je nach Netzwerkkonfiguration und Präferenzen, damit Access Gateway in Ihrem Netzwerk funktioniert: 190 • Weisen Sie den Netzwerkadaptern des Geräts verschiedene Rollen zu, um sie für eine bestimmte Verwendung festzulegen. • Leiten Sie Benutzerverbindungen von einem ungesicherten Port an einen gesicherten Port um. • Konfigurieren Sie bis zu drei DNS-Server und einen WINS-Server (Windows Internet Name Service). • Bearbeiten Sie die HOSTS-Datei zum Umgehen des DNS und zum Auflösen bestimmter IP-Adressen in bestimme Hostnamen. • Konfigurieren Sie statische Routen, die Routen abhören, die von einem oder mehreren Ihrer Routingserver veröffentlicht werden, oder verwenden Sie die angegebenen statischen Routen. • Konfigurieren Sie das Datum und die Uhrzeit auf dem Access Gateway oder konfigurieren Sie einen NTP-Server (Network Time Protocol). Designieren von Netzwerkadaptern für bestimmte Zwecke Sie verwenden den Bereich Networking in der Access Gateway Management Console zum Verwalten der Netzwerkschnittstellen des Access Gateway-Geräts und zum Einstellen der Adapterrollen. Interner oder externer Adapter: Standardmäßig ist eth0 als externer und eth1 als interner Adapter eingestellt. Der externe Adapter wird von Benutzern verwendet, die sich über das Internet mit dem Access Gateway verbinden. Der interne Adapter wird von Benutzern verwendet, die sich vom gesicherten Netzwerk aus mit dem Access Gateway verbinden. Es hat sich bewährt, dem internen Adapter eine interne (private) IP-Adresse zuzuweisen. Private IP-Adressen schließen den Adressbereich 10.0.x.x, 172.0.x.x und 192.168.x.x ein. Diese Adressen können nicht von externen Quellen, wie das Internet, erreicht werden. Gerätefailover: Wenn Sie das Gerätefailover aktivieren, gibt es zwei Access Gateway-Geräte: ein primäres und ein sekundäres. Im Bereich Networking geben Sie an, welcher Netzwerkadapter des Geräts für die Kommunikation mit dem anderen Gerät im Paar verwendet werden soll. Management: Der Netzwerkadapter, den Sie unter Management im Bereich Networking wählen, ist der Adapter, den Administratoren für die Verbindung mit der Access Gateway Management Console verwenden. Administratoren können diesen Netzwerkadapter auch verwenden, um eine Verbindung mit Secure Shell (SSH) zum Gerät herzustellen. Citrix empfiehlt, dass Sie den internen Netzwerkadapter als Managementadapter angeben. Standardgateway: Das Standardgateway kann ein Access Gateway-Gerät oder ein anderes Netzwerkgerät sein, wie eine Firewall, ein Router oder ein Switch. Wenn ein Benutzer versuchen, eine Verbindung zu einer IP-Adresse herzustellen, die mit keiner der Adressen im gesicherten Netzwerk übereinstimmt, wird die Benutzerverbindung an das Standardgateway weitergeleitet. 191 Ändern von Netzwerkadaptereigenschaften Sie können mit der Access Gateway Management Console die Eigenschaften eines Netzwerkadapters bearbeiten. Im Bereich Networking können Sie die folgenden Einstellungen ändern: • Die IP-Adresse des Netzwerkadapters. • Die Subnetzmaske, die für die IP-Adresse geeignet ist, die für den Adapter angegeben wurde. • Die maximale Übertragungseinheit (MTU, Maximum Transmission Unit), die die maximale Größe eines einzelnen übertragenen Pakets definiert. Der Standardwert ist 1500. • Die durchschnittliche Geschwindigkeit des Adapters. Die Standardeinstellung ist Auto. Dabei ermittelt das Access Gateway, ob Netzwerkverkehr in beide Richtungen gleichzeitig übertragen wird oder nur in eine Richtung sowie die geeignete Adaptergeschwindigkeit. Sie können für den Adapter volle oder halbe Geschwindigkeit auswählen. Wenn Sie Vollduplex wählen, kann der Netzwerkadapter in beide Richtungen gleichzeitig Daten senden. Wenn Sie Halbduplex wählen, kann der Adapter Daten zwischen zwei Knoten in beide Richtungen senden, aber nur jeweils eine Richtung zur Zeit. So ändern Sie die Netzwerkadaptereigenschaften 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Networking. 3. Klicken Sie im Bereich Networking unter Network adapters auf Edit. 4. Ändern Sie im Dialogfeld Adapter Properties die Einstellungen und klicken Sie dann auf OK. 192 Umleiten von Verbindungen auf Port 80 an einen sicheren Port Standardmäßig lässt Access Gateway keine unsicheren Verbindungen auf Port 80 zu. Wenn ein Benutzer versucht, mit HTTP auf Port 80 eine Verbindung zum Access Gateway herzustellen, kommt die Verbindung nicht zustande. Sie können Access Gateway so konfigurieren, dass HTTP-Verbindungsversuche auf Port 80 automatisch an sichere Verbindungen auf Port 443 (oder einem anderen sicheren Port) umgeleitet werden. Wenn ein Benutzer versucht, eine unsichere Verbindung auf Port 80 herzustellen, konvertiert Access Gateway diese Verbindung automatisch in eine sichere SSL-verschlüsselte Verbindung auf Port 443. So leiten Sie unsichere Verbindungen um 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Networking. 3. Wählen Sie unter Access Gateway Properties, die Option Redirect HTTP to HTTPS. Hinweis: Wenn Sie Redirect HTTP to HTTPS nicht wählen, schlagen alle Verbindungsversuche auf Port 80 fehl und es wird nicht versucht, sie an Port 443 umzuleiten. 193 Hinzufügen von Namensdienstanbietern Access Gateway verwendet Namensdienstanbieter, um Webadressen in IP-Adressen zu konvertieren. Sie können einen DNS- oder einen WINS-Server (Windows Internet Naming Service) auf dem Access Gateway konfigurieren. Sie konfigurieren die Namensauflösung im Bereich Name Service Providers in der Access Gateway Management Console. Hier können Sie Einstellungen für bis zu drei DNS-Server und einen WINS-Server angeben. So legen Sie DNS- und WINS-Server fest: 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Name Service Providers. 3. Geben Sie unter First DNS server, Second DNS server oder Third DNS server die IP-Adresse der einzelnen Server ein. 4. Geben Sie in das Feld WINS Server die IP-Adresse des Servers ein. 5. Klicken Sie unter DNS Suffixes auf New. Geben Sie unter Domain Name Server Suffix in das Feld Input Suffix das Suffix ein und klicken Sie dann auf OK. Wiederholen Sie diese Schritte für jedes Suffix, das Sie hinzufügen möchten. Dies sind die DNS-Suffixe der Server. Die Syntax für die Einträge lautet: site.com. Stellen Sie den Suffixen keinen Punkt (.) voran (Beispiel: .site.com). Standardmäßig prüft Access Gateway nur den remoten DNS-Server des Benutzers. Wenn ein Failover auf den lokalen DNS-Server des Benutzers möglich sein soll, muss Split DNS aktiviert werden. Weitere Informationen finden Sie unter So aktivieren Sie Split DNS. 6. Klicken Sie auf Save. 194 Bearbeiten der HOSTS-Datei Sie können in der Access Gateway Management Console im Bereich Name Service Providers Einträge in die HOSTS-Datei des Access Gateways einfügen. Access Gateway verwendet die Einträge in der HOSTS-Datei, um vollqualifizierte Domänennamen (FQDNs) in IP-Adressen aufzulösen. Wenn Access Gateway einen FQDN in eine IP-Adresse übersetzt, prüft Access Gateway erst die HOSTS-Datei, bevor eine Verbindung zum DNS-Server zur Adressübersetzung hergestellt wird. Wenn Access Gateway den FQDN mit den Informationen in der HOSTS-Datei in eine IP-Adresse übersetzen kann, verwendet das Gerät nicht den DNS-Server für die Adressübersetzung. Für den Fall, dass das Access Gateway aufgrund der Netzwerkkonfiguration nicht auf den DNS-Server zugreifen kann, sollten Sie die entsprechenden Einträge in die HOSTS-Datei aufnehmen, damit die Adressauflösung reibungslos abläuft. Dies kann sich außerdem positiv auf die Leistung auswirken, weil Access Gateway keine Verbindung zu einem anderen Server aufbauen muss, um die Adressen zu übersetzen. So fügen Sie der HOSTS-Datei einen Eintrag hinzu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Name Service Providers. 3. Klicken Sie unter HOSTS File auf New. 4. Geben Sie unter Enter Hostname die folgenden Informationen ein. • Geben Sie unter IP Address die IP-Adresse ein, die Sie dem FQDN zuordnen möchten. Geben Sie in das Feld Fully qualified domain name den vollqualifizierten Domänennamen (FQDN) ein, den Sie der eingegebenen IP-Adresse zuordnen möchten. 5. Klicken Sie auf OK. Die Gruppe aus IP-Adresse und HOSTS-Name wird in der Hosttabelle aufgeführt. • So entfernen Sie einen Eintrag aus der HOSTS-Datei 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Name Service Providers. 3. Klicken Sie unter HOSTS File auf das IP-Adressen- und HOSTS-Namenspaar, das Sie löschen möchten. 4. Klicken Sie auf Entfernen. 195 Bearbeiten der HOSTS-Datei 196 Definieren statischer Routen Sie können das Access Gateway für die Unterstützung des statischen Routings konfigurieren. Wenn Sie die Kommunikation mit einem anderen Host oder Netzwerk einrichten, müssen Sie u. U. eine statische Route vom Access Gateway zu dem neuen Ziel hinzufügen. Sie richten statische Routen auf dem Access Gateway-Netzwerkadapter ein, der nicht von dem Standardgateway verwendet wird, wie im Bereich Networking in der Access Gateway Management Console angegeben. Jede statische Route sollte Netzwerk-ID, Subnetzmaske, Gatewayadresse und zugewiesene Netzwerkschnittstellen enthalten. So fügen Sie eine statische Route hinzu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Static Routes. 3. Klicken Sie im Bereich Static Routes auf New. 4. Geben Sie unter Add a Static Route in das Feld Destination IP address die IP-Adresse des Ziel-LANs ein. 5. Geben Sie unter Subnet mask die Subnetzmaske für das Access Gateway-Gerät ein. 6. Geben Sie unter Gateway die IP-Adresse für das Standardgateway ein. Wenn Sie kein Gateway angeben, kann Access Gateway nur auf den Inhalt im lokalen Netzwerk zugreifen. 7. Wählen Sie unter Adapter den Netzwerkadapter für die statische Route und klicken Sie auf Add. Der Standardwert ist eth0. Die statische Route in der Tabelle Static routes angezeigt. 8. Klicken Sie auf Save. So entfernen Sie eine statische Route 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Static Routes. 3. Wählen Sie in der Tabelle Static Routes die Route aus, die Sie löschen möchten, und klicken Sie auf Remove. 4. Klicken Sie auf Save. 197 Beispiel für eine statische Route Ein Beispiel für eine statische Route: Angenommen die IP-Adresse von eth0 auf dem Access Gateway ist 10.0.16.20 und es gibt eine Anforderung für Informationen auf 129.6.0.20, wofür Sie derzeit keinen Pfad haben. Vom Netzwerkadapter aus, der nicht als Access Gateway-Standardgateway festgelegt ist, können Sie eine statische Route zur angeforderten Netzwerkadresse erstellen. Die folgende Abbildung enthält eine grafische Darstellung dieser Situation: Abbildung 1. Beispiel für eine statische Route Die Abbildung zeigt die folgenden Verbindungen: • Der eth0-Adapter (10.0.16.20) führt zum Standardgateway (10.0.16.1), das mit dem übrigen Teil des Netzwerks 10.0.0.0 verbunden ist. • Der eth1-Adapter (192.168.0.20) ist für die Kommunikation mit dem Netzwerk 192.168.0.0 und dem zugehörigen Gateway (192.168.0.1) eingerichtet. Über dieses Gateway kann eth1 mit dem Netzwerk 129.6.0.20 und dem Server an der IP-Adresse 129.6.0.20 kommunizieren. Zum Einrichten der statischen Route müssen Sie den Pfad zwischen eth1 und der IP-Adresse 129.6.0.20 erstellen. 198 Beispiel für eine statische Route So richten Sie die statische Beispielroute ein 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Static Routes. 3. Klicken Sie im Bereich Static Routes auf New. 4. Legen Sie unter Add Static Route im Feld Destination IP address die IP-Adresse des Ziel-LANs als 129.6.0.0 fest. 5. Legen Sie unter Subnet Mask die Subnetzmaske für das Access Gateway-Gerät fest. 6. Legen Sie unter Gateway als IP-Adresse des Standardgateways 192.168.0.1 fest. 7. Wählen Sie unter Adapter die Einstellung eth1 als Access Gateway-Geräteadapter und klicken Sie dann auf Add. Ein Beispiel für die statische Route in der Tabelle Static Routes angezeigt. 8. Klicken Sie auf Save. 199 Ändern von Datum und Uhrzeit auf dem Access Gateway Die aktuelle Zeit und das aktuelle Datum werden auf der Registerkarte Monitor in den Systeminformationen in der Access Gateway Management Console angezeigt. Sie können die Zeit auf dem Access Gateway manuell einstellen oder die Adresse eines NTP-Servers (Network Time Protocol) angeben. Hinweis: Wenn Sie Access Controller in der Bereitstellung verwenden, müssen Sie einen NTP-Server konfigurieren, um die Zeit zwischen Access Gateway und Access Controller zu synchronisieren. So ändern Sie das Datum und die Uhrzeit 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Date and Time. 3. Wählen Sie unter Time zone eine entsprechende Zeitzone aus. 4. Wählen Sie unter Date das Datum aus. 5. Wählen Sie unter Time die Uhrzeit aus. 6. Klicken Sie auf Set Time und dann auf Save. 200 Synchronisieren des Access Gateways mit einem NTP-Server Das Network Time Protocol (NTP) sendet und empfängt Zeitinformationen über TCP/IP-Netzwerke. NTP ist nützlich für die Synchronisierung der internen Uhr von Computern im Netzwerk auf der Basis einer gemeinsamen Referenzzeit. Sie können die Zeit auf dem Access Gateway-Gerät manuell einstellen oder die NTP-Serveradresse angeben. Wenn Sie einen NTP-Server in Ihrem gesicherten Netzwerk haben, können Sie mit der Access Gateway Management Console das Access Gateway zum Synchronisieren der Zeit mit dem NTP-Server konfigurieren. Hinweis: Wenn Sie Access Controller in der Bereitstellung verwenden, müssen Sie einen NTP-Server konfigurieren, um die Zeit zwischen Access Gateway und Access Controller zu synchronisieren. Wichtig: Wenn Sie Access Gateway VPX verwenden, unterstützt Access Gateway nicht das Anhalten und Wiederaufnehmen von virtuellen Geräten. Wenn Sie das virtuelle Gerät anhalten und dann wieder aufnehmen, ist der NTP-Server nicht mit Access Gateway synchronisiert. Um Access Gateway wieder mit dem NTP-Server zu synchronisieren, müssen Sie Access Gateway neu starten. So synchronisieren Sie Access Gateway mit einem NTP-Server 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Date and Time. 3. Wählen Sie unter Time zone eine entsprechende Zeitzone aus. 4. Aktivieren Sie das Kontrollkästchen Use Network Time Protocol server. 5. Geben Sie in das Feld Primary server den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des NTP-Servers ein. 6. Optional. Geben Sie in das Feld Secondary server den FQDN oder die IP-Adresse des sekundären NTP-Servers ein. 7. Klicken Sie auf Save. 201 Einrichten des Netzwerkzugriffs Nachdem Sie das Access Gateway-Gerät für den Betrieb in der Netzwerkumgebung konfiguriert wurde, konfigurieren Sie den Netzwerkzugriff für das Gerät sowie für die Gruppen und Benutzer. • Schritt 1: Konfigurieren globaler Einstellungen für Benutzerverbindungen. Lassen Sie zu, das Benutzer die Verbindung mit früheren Versionen des Access Gateway Plug-ins herstellen. Folgende Aufgaben können im Bereich Global Settings ausgeführt werden: • Überwachen der Benutzerverbindungen über das Citrix Online Plug-in. • Wählen des Verschlüsselungsgrads. Konfigurieren der Einstellungen für das Access Gateway Plug-in. Schritt 2: Konfigurieren der Authentifizierung und Autorisierung. Mit der Authentifizierung wird definiert, wie die Benutzer sich anmelden; die Konfiguration erfolgt mit Profilen. Zu den Authentifizierungstypen gehören LDAP; RADIUS und RSA SecurID. Mit der Autorisierung wird definiert, auf welche Netzwerkressourcen Benutzer zugreifen können. Zu den Autorisierungstypen gehören LDAP und RADIUS. Weitere Informationen zur Konfiguration der Authentifizierung und Autorisierung finden Sie unter Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway. • • • Schritt 3: Konfigurieren der Netzwerke, zu denen die Benutzer eine Verbindung aufbauen können. Standardmäßig können Benutzer keine Verbindung zu Netzwerken herstellen. Der erste Schritt beim Konfigurieren des Netzwerkzugriffs ist mit Netzwerkressourcen anzugeben, mit welchen Netzwerken Benutzer eine Verbindung herstellen können. Weitere Informationen zum Konfigurieren von Netzwerkressourcen finden Sie unter Konfigurieren von Netzwerkressourcen. • Schritt 4: Konfigurieren von Anmeldepunkten. Nachdem Sie die Authentifizierung konfiguriert haben sowie die Netzwerke, zu denen Benutzer eine Verbindung herstellen können, konfigurieren Sie Anmeldepunkte. Ein Anmeldepunkt definiert die Anmeldeseite für Benutzer und gibt die Einstellungen an, die in Benutzersitzungen angewendet werden. Zu diesen Anmeldepunkteinstellungen gehören der Authentifizierungstyp, der Autorisierungstyp, der Anmeldepunkttyp, das zu verwendende Benutzer-Plug-in und die Geräteprofileinstellungen. Weitere Informationen zum Konfigurieren von Anmeldepunkten finden Sie unter Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät. • 202 Schritt 5: Konfigurieren von SmartGroups für den Netzwerkzugriff. Nachdem Sie Anmeldepunkte konfiguriert haben, konfigurieren Sie SmartGroups. In einer SmartGroup aktivieren Sie den Anmeldepunkt, Gruppenmitgliedschaft, Adresspools, Netzwerkressourcen, Geräteprofile und erweiterte Eigenschaften. Jegliche Einstellungen, die Sie in den erweiterten Eigenschaften ändern, überschreiben die Einstellungen in den globalen Optionen. Bei Timeouteinstellungen überschreiben beispielsweise Anmeldepunkttimeouts die globalen Timeouts, aber Einrichten des Netzwerkzugriffs SmartGroup-Timeouts überschreiben sowohl Anmeldepunkt- als auch globale Timeouteinstellungen. Weitere Informationen zum Konfigurieren von SmartGroups finden Sie unter Hinzufügen von SmartGroups. • Schritt 6: Konfigurieren von Geräteprofilen. Mit Geräteprofilen erstellen Sie ein Profil, das eine Reihe von Kriterien auf dem Benutzergerät überprüft, wenn sich ein Benutzer am Netzwerk anmeldet. Bevor Benutzer Zugriff auf das Netzwerk erhalten, muss das Gerät die Kriterien erfüllen, die Sie im Geräteprofil festgelegt haben. Sie definieren Geräteprofile für eine Reihe von Endpunktgeräten, die Benutzer für den Zugriff auf interne Ressourcen verwenden können. Informationen zum Konfigurieren von Geräteprofilen finden Sie unter Erstellen von Geräteprofilen. 203 Installieren zusätzlicher Access Gateway-Geräte Sie können in Ihrem Netzwerk mehrere Access Gateway-Geräte installieren. Die zusätzlichen Geräte können Teil des Gerätefailovers sein oder sie können Geräte hinter einem Load Balancer installieren. Sie können aus einem der folgenden Gründe mehrere Access Gateway-Geräte in der Umgebung installieren: • Skalierbarkeit: Überschreitet die Anzahl der Benutzer die Kapazität eines einzelnen Access Gateways, können Sie zusätzliche Geräte installieren und so die Arbeitsbelastung bewältigen. • Gerätefailover: Sie können zwei Geräte in der DMZ installieren, sodass in jedem Fall ein Access Gateway für die Verbindungen verfügbar ist, wenn ein anderes Access Gateway ausfällt. Wenn Sie zwei Access Gateway-Geräte haben, können Sie sie in einer Konfiguration bereitstellen, in der ein Access Gateway Verbindungen akzeptiert und verwaltet und ein zweites Access Gateway das erste Gerät überwacht. Wenn das erste Access Gateway aus irgendeinem Grund aufhört, Verbindungen anzunehmen, springt das zweite Access Gateway ein und nimmt aktiv Verbindungen an. So verhindern Sie Ausfallzeiten und stellen sicher, dass die mit Access Gateway bereitgestellten Dienste verfügbar bleiben, auch wenn ein Access Gateway ausgefallen ist. • Clustering und Load Balancing: Sie können mehrere Access Gateway-Geräte und mehrere Access Controller-Server bereitstellen, um einen Cluster zu erstellen. Wenn Sie Access Gateway als Cluster bereitstellen, findet das Load Balancing innerhalb des Clusters statt und ein externer Load Balancer ist nicht erforderlich. Wenn sich Benutzer am Access Gateway anmelden, kontaktiert das Gerät einen Access Controller-Server im Cluster, basierend auch dem Lastausgleichsalgorithmus, der in Access Controller konfiguriert ist. Dann leitet Access Controller basierend auf diesem Algorithmus die Benutzersitzung an ein Access Gateway im Cluster. Load Balancing bietet bessere Skalierbarkeit für Benutzerverbindungen. Load Balancing unterstützt das Access Gateway-Gerät und Access Gateway VPX. Das Load Balancing wird für Endbenutzersitzungen pro Sitzung durchgeführt. Sie konfigurieren das Load Balancing auf dem Access Controller in den Eigenschaften für den Servercluster und in den globalen Einstellungen für die Access Gateway-Geräte. Wenn Ihre Bereitstellung nur mehrere Access Gateway-Geräte enthält, können Sie einen externen Load Balancer für Benutzersitzungen verwenden. Ein externer Load Balancer leitet Benutzerverbindungen an das Access Gateway mit der geringsten Last. Wenn Sie einen externen Load Balancer verwenden, müssen Sie das gleiche Serverzertifikat auf jedem Access Gateway im Netzwerk installieren. Jedes Access Gateway-Gerät muss den gleichen vollqualifizierten Domänennamen (FQDN) wie der Hostname haben. 204 Installieren zusätzlicher Access Gateway-Geräte Wenn der externe Load Balancer die Lastmetrik für Access Gateway braucht, wird die Abfrageschnittstelle des Geräts verwendet und die Antwort geparst, um die Last des Access Gateways zu ermitteln. 205 Gerätefailover in Access Gateway 5.0 Wenn Sie Access Gateway für Gerätefailover konfigurieren, überwacht das sekundäre Access Gateway das primäre Gerät, indem es regelmäßig Meldungen sendet, um festzustellen, ob das primäre Gerät Verbindungen annimmt. Wenn das sekundäre Access Gateway erkennt, dass das primäre Gerät keine Verbindungen annimmt, versucht das sekundäre Access Gateway für eine festgelegte Dauer die Verbindung herzustellen, bis es feststellt, dass das primäre Gerät ausgefallen ist. Nachdem das sekundäre Access Gateway diese Feststellung gemacht hat, übernimmt es vom primären Access Gateway. Dies wird Failover genannt. Sie können das Failover nur für das primäre Gerät initiieren. Bevor Sie das Gerätefailover konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein: • Auf jedem Access Gateway-Gerät muss die gleiche Version der Access Gateway-Software ausgeführt werden. Sie finden die Versionsnummer in der Access Gateway Management Console auf der Registerkarte Monitor. • Access Gateway synchronisiert nicht automatisch die Kennwörter zwischen zwei Geräten. Sie können jedes Access Gateway so konfigurieren, dass die gleichen Kennwörter verwendet werden. • Sie müssen das primäre und sekundäre Access Gateway mit einer eindeutigen System-IP-Adresse konfigurieren. • Die Lizenzen für beide Geräte sind auf dem primären Gerät. Das sekundäre Gerät erhält Lizenzen vom primären Gerät. Wenn Sie das sekundäre Gerät für das Failover konfigurieren, entfernt Access Gateway jegliche Lizenzen, die Sie vorher auf dem sekundären Gerät installiert haben. Verwenden Sie beim Konfigurieren des Gerätefailovers die folgenden Informationen: • Auf beiden Access Gateway-Geräten müssen Sie das Gerätefailover für mindestens eine Netzwerkschnittstelle aktivieren. Jedes Gerät im Paar muss denselben gemeinsamen geheimen Schlüssel verwenden. • Auf dem primären Gerät müssen Sie interne und externe virtuelle IP-Adressen konfigurieren, die Dienste bereitstellen. Die virtuellen IP-Adressen stehen nur auf dem primären Gerät zur Verfügung. Primäre und sekundäre Peer-IP-Adressen werden für den Kommunikationspfad zwischen den beiden Geräten verwendet. Die sekundäre Peer-IP-Adresse dient der Redundanz und ist eine optionale Einstellung. • Wenn Sie das sekundäre Gerät konfigurieren, wählen Sie die Schnittstelle, die mit dem primären Gerät kommuniziert. Dann konfigurieren Sie das sekundäre Gerät, damit es das primäre Gerät abhört. Nachdem Sie die Einstellungen auf dem sekundären Gerät konfiguriert haben, können Sie es dem primären Gerät hinzufügen. • Öffnen Sie UDP-Port 694 (Gerätefailover) und TCP-Port 5432 (Datenbank). Wenn Sie die Konfiguration des Gerätefailovers auf beiden Geräten abgeschlossen haben und den Dienst starten, stehen die folgenden Dienste auf dem primären Gerät zur 206 Gerätefailover in Access Gateway 5.0 Verfügung: • Administratordienste • Benutzerdienste • Datenbankreplikation, die einen Listenerport für das sekundäre Access Gateway verfügbar hat Auf dem sekundären Gerät stehen die folgenden Dienste zur Verfügung: • Administratordienste • Datenbankreplikation, die eine Netzwerkverbindung zum primäres Access Gateway herstellt Wenn Sie das Gerätefailover auf dem sekundären Gerät aktivieren, können Sie die Netzwerkeinstellungen und das statische Routing konfigurieren. Snapshots auf dem sekundären Gerät sind auf Folgendes beschränkt: Upload und Entfernen von Softwarereleases, Importieren und Exportieren von Snapshots, Anzeigen einer gefilterten Liste von häufigen Snapshotnamen und Releasenamen. Wenn Sie das Gerätefailover auf dem sekundären Gerät konfigurieren, können Sie keine Snapshots der Konfiguration erstellen. Außerdem sind die folgenden Funktionen auf dem sekundären Gerät deaktiviert: • SmartGroups • Anmeldepunkte • Netzwerkressourcen • Gerätepunkte • Authentifizierung • Network Time Protocol (NTP) • ICA-Zugriffssteuerung • Secure Ticket Authority • Adresspools • Gerätefailoverkonfiguration (außer Failover) • Namensdienstanbieter • Access Controller (Bereitstellungsmodus) • Globale Optionen • Zertifikate Das sekundäre Gerät erhält diese Einstellungen vom primären Gerät. Hinweis: Wenn Sie sich bei beiden Geräten als Administrator anmelden, zeigt das sekundäre Gerät zwei Sitzungen: eine ist die Sitzung auf dem primären Gerät und die 207 Gerätefailover in Access Gateway 5.0 andere die Sitzung auf dem sekundären Gerät. 208 So aktivieren Sie Gerätefailover auf einem Netzwerkadapter Bevor Sie Gerätefailovereinstellungen auf dem primären oder sekundären Access Gateway-Gerät konfigurieren können, aktivieren Sie das Gerätefailover auf einem Netzwerkadapter des Geräts. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Networking. 3. Aktivieren Sie im Bereich Networking neben Network adapters unter Adapter Roles das Kontrollkästchen Appliance Failover für den Adapter, auf dem Sie das Gerätefailover aktivieren möchten und klicken Sie dann auf Save. 209 So konfigurieren Sie Gerätefailover auf dem primären Gerät 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Appliance Failover. 3. Klicken Sie im Bereich Appliance Failover Configuration unter Appliance failover role auf Primary. 4. Geben Sie unter Shared key den gemeinsamen Schlüssel ein. Hinweis: Der gemeinsame Schlüssel muss auf dem primären und sekundären Gerät identisch sein. 5. Geben Sie unter Peer IP address die IP-Adresse des Netzwerkadapters ein, auf dem Sie das Gerätefailover auf dem sekundären Gerät aktivieren möchten. Wenn die primäre IP-Adresse aus irgendeinem Grund fehlschlägt, ist dies die IP-Adresse an die das Failover auf das sekundäre Gerät stattfindet. 6. Geben Sie unter Internal virtual IP address und External virtual IP address die internen und externen IP-Adressen ein, die Benutzerverbindungen annehmen. Das primäre Gerät verwendet die externe IP-Adresse für Benutzerverbindungen. 7. Klicken Sie auf Start und dann auf Save. 210 So konfigurieren Sie Gerätefailover auf dem sekundären Gerät 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Appliance Failover. 3. Klicken Sie im Bereich Appliance Failover Configuration unter Appliance Failover role auf Secondary. 4. Geben Sie unter Shared key den gemeinsamen Schlüssel ein. Hinweis: Der gemeinsame Schlüssel muss auf dem primären und sekundären Gerät identisch sein. 5. Geben Sie unter Peer IP address die IP-Adresse des Netzwerkadapters ein, auf dem Sie das Gerätefailover auf dem primären Gerät aktivieren möchten. Dies ist die IP-Adresse des sekundären Gerätemonitors. 6. Klicken Sie auf Join primary und dann auf Save. 211 So erzwingen Sie ein Failover auf das sekundäre Gerät Wenn Sie zwei Geräte für das Gerätefailover konfigurieren und Sie das primäre Gerät aktualisieren oder neu starten müssen, können Sie ein Failover auf das sekundäre Access Gateway-Gerät erzwingen. Wen Sie das Failover erzwingen, nimmt das sekundäre Gerät Benutzerverbindungen an. 1. Öffnen Sie die Access Gateway Management Console für das erste Gerät. 2. Klicken Sie in der Access Gateway Management Console auf Management. 3. Klicken Sie unter System Administration auf Appliance Failover. 4. Klicken Sie unter Start or Stop Appliance Failover auf Force failover. 212 Einrichten mehrerer Geräte für die Verwendung eines externen Load Balancers Durch die Bereitstellung mehrerer Access Gateway-Geräte hinter einem Load Balancer können Sie eine große Anzahl Remotebenutzer unterstützen und den Zugriff auf das interne Netzwerk für die Benutzer sicherstellen. Der Load Balancer, den Sie mit den Geräten bereitstellen, müssen Load Balancing basierend auf Quell-IP (Src IP) unterstützen. Abbildung 1. Mehrere Access Gateway-Geräte hinter einem Load Balancer Der Load Balancer ist mit einer eindeutigen IP-Adresse oder einem eindeutigen vollqualifizierten Domänennamen (FQDN) konfiguriert. Diese Adresse wird vom Access Gateway Plug-in oder einem Webbrowser verwendet, um eine Verbindung zum Load Balancer herzustellen. Der Load Balancer verteilt die Benutzerverbindungen gleichmäßig auf die Geräte, die hinter ihm bereitgestellt sind. Sobald eine Benutzerverbindung eingeht, wählt der Load Balancer mit einem Algorithmus eines der Geräte in der Liste aus und leitet die Benutzerverbindung an das ausgewählte Access Gateway weiter. 213 Einrichten mehrerer Geräte für die Verwendung eines externen Load Balancers Neben der gleichmäßigen Verteilung der Benutzerverbindungen trägt ein Load Balancer auch zu einer höheren Verfügbarkeit des internen Netzwerks bei. Um eine höhere Verfügbarkeit zu bieten, erkennen einige Load Balancer, wenn nachgestellte Geräte ausfallen. Wenn ein Load Balancer erkennt, dass ein Gerät ausgefallen ist, entfernt der Load Balancer das betreffende Gerät aus der Liste der verfügbaren Geräte und leitet die Benutzerverbindungen an die verbleibenden aktiven Geräte um. Sobald das Access Gateway wieder online ist, wird es durch den Load Balancer wieder in die Liste der aktiven Geräte aufgenommen. So wird sichergestellt, dass alle Benutzerverbindungen auch dann ununterbrochen Zugriff auf das interne Netzwerk erhalten, wenn ein Access Gateway ausfällt. 214 So erstellen Sie eine Zertifikat für Geräte hinter einem Load Balancer Wenn Sie Access Gateway-Geräte hinter einem Load Balancer bereitstellen, müssen dasselbe SSL-Serverzertifikat und derselbe private Schlüssel auf jedem einzelnen Gerät zur Verfügung gestellt werden. Wichtig: Verwenden Sie nicht die Zertifikatsignieranforderung (CSR) in der Access Gateway Management Console im Bereich Certificates, um die SSL-Serverzertifikatanforderung zu erstellen. Diese Funktion erzeugt einen eigenen privaten Schlüssel auf dem Access Gateway, auf dem sie ausgeführt wird. Wenn Access Gateway-Geräte hinter einem Load Balancer bereitgestellt sind, muss jedes Access Gateway denselben privaten Schlüssel und dasselbe SSL-Zertifikat verwenden. 1. Erstellen Sie die SSL-Serverzertifikatsanforderung und den privaten Schlüssel mit einem OpenSSL-Tool, beispielsweise mit Keytool. (Weitere Informationen zu OpenSSL und den verfügbaren Tools finden Sie im Internet unter http://www.openssl.org/.) • Erstellen Sie die Serverzertifikatsanforderung im PEM-Format. • Verwenden Sie beim Erstellen der Serverzertifikatsanforderung den vollqualifizierten Domänennamen (FQDN) des Load Balancers als Servernamen. Verwenden Sie nicht den FQDN einer der Access Gateway-Geräte in der Anforderung. Optional können Sie ein Sternchen für den Servernamen im FQDN verwenden, den Sie in der Serverzertifikatsanforderung angeben. Durch das Sternchen wird ein Platzhalterzertifikat erstellt, mit dem Sie das gleiche Zertifikat auf jedem Gerät in Ihrer Organisation verwenden können. Benutzer können die Verbindung über unterschiedliche URLs herstellen. Erstellen Sie beispielsweise eine SSL-Serverzertifikatsanforderung für einen Servernamen in diesem Format: *.domäne.com • Erstellen Sie den privaten Schlüssel getrennt von der Serverzertifikatsanforderung. 2. Senden Sie die SSL-Serverzertifikatsanforderung zur Signierung an eine Zertifizierungsstelle. Senden Sie nur die Serverzertifikatsanforderung im PEM-Format. Senden Sie nicht den privaten Schlüssel. 3. Sobald Sie die signierte SSL-Serverzertifikatsanforderung von der Zertifizierungsstelle erhalten, tragen Sie den privaten Schlüssel manuell oben im signierten Zertifikat ein. 4. Wenn Sie das signierte Zertifikat von der Zertifizierungsstelle (CA) erhalten, laden Sie das SSL-Serverzertifikat und den privaten Schlüssel auf alle Access Gateway-Geräte hinter dem Load Balancer hoch. a. Klicken Sie in der Access Gateway Management Console auf Certificates. b. Klicken Sie auf Import und wählen Sie Server (.pem). 215 So erstellen Sie eine Zertifikat für Geräte hinter einem Load Balancer c. Navigieren Sie zu der Datei mit dem kombinierten privaten Schlüssel und dem signierten PEM-Zertifikat, markieren Sie diese Datei und klicken Sie auf Open. Wiederholen Sie Schritt 4 für alle Access Gateway-Geräte hinter dem Load Balancer und laden Sie jeweils den privaten Schlüssel und das PEM-Zertifikat auf die einzelnen Access Gateway-Geräte hoch. So kombinieren Sie den privaten Schlüssel mit dem signierten Zertifikat Sie müssen das signierte Zertifikat mit dem privaten Schlüssel kombinieren. Erst dann können Sie es auf das Access Gateway hochladen. 1. Verwenden Sie einen Texteditor, um den unverschlüsselten privaten Schlüssel mit dem signierten Zertifikat im PEM-Dateiformat zu kombinieren. Der Dateiinhalt muss in etwa wie folgt aussehen: -----BEGIN RSA PRIVATE KEY----- <Unencrypted Private Key> -----END RSA Private KEY----- -----BEGIN CERT 2. Speichern Sie die PEM-Datei und geben Sie ihr dabei einen Namen, wie z. B. AccessGateway.pem. 216 Festlegen eines Load Balancers als Standardgateway Bei einigen Load Balancern oder Netzwerkkonfigurationen muss der Load Balancer als Standardgateway für Access Gateway festgelegt werden. Wenn Sie den Load Balancer als Standardgateway festlegen, konfigurieren Sie statische Routen auf dem Access Gateway, sodass der gesamte Datenverkehr, der für das sichere Netzwerk bestimmt ist, an ein internes Netzwerk weitergeleitet wird, das diesen internen Datenverkehr problemlos bewältigen kann. Wenn Access Gateway ein Paket für eine unbekannte IP-Adresse erhält, sendet das Gerät das Paket an die Adresse des Standardgateways. Wenn der Load Balancer als Standardgateway konfiguriert ist, sorgt Access Gateway mit statischem Routing dafür, dass die für die internen Ziele bestimmten Pakete tatsächlich ausgeliefert werden. Falls Access Gateway ein Paket empfängt, das für eine interne Adresse bestimmt ist, ohne dass die statische Routingtabelle eine geeignete Route für das Paket aufweist, geht das Paket unter Umständen verloren. Beispiel: Der Load Balancer ist als Standardgateway konfiguriert und es gilt Folgendes: • Sie verwenden drei interne Netzwerke: 10.10.0.0, 10.20.0.0 und 10.30.0.0. • Das Netzwerk 10.10.0.0 kann Pakete an die Netzwerke 10.20.0.0 und 10.30.0.0 weiterleiten. Aber die Netzwerke 10.20.0.0 und 10.30.0.0 können keine Pakete an andere Netzwerke weiterleiten. In dieser Umgebung müssen statische Routen für den internen Netzwerkadapter auf dem Access Gateway erstellt werden. Diese statischen Routen müssen den gesamten Datenverkehr, der für die Netzwerke 10.20.0.0 und 10.30.0.0 bestimmt ist, über eth1 im Access Gateway an das Netzwerk 10.10.0.0 weiterleiten. Zugehörige Informationen Definieren statischer Routen Designieren von Netzwerkadaptern für bestimmte Zwecke 217 Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway Sie können die Authentifizierung auf dem Access Gateway-Gerät für den Authentifizierungstyp konfigurieren. Das Access Gateway-Gerät unterstützt folgende Authentifizierungstypen: • LDAP • RADIUS • RSA SecurID Als Teil des Authentifizierungsprofils können Sie die Autorisierung konfigurieren. Access Gateway unterstützt LDAP- und RADIUS-Autorisierung. Konfigurieren der Autorisierung ist nicht notwendig. 218 Hinzufügen von Authentifizierungsprofilen auf dem Access Gateway-Gerät Sie können Access Gateway für die Verwendung von LDAP-, RADIUS- oder RSA SecurID-Authentifizierungsservern konfigurieren. Sie konfigurieren die Authentifizierung auf dem Access Gateway mit Authentifizierungsprofilen. Sie können mehrere Profile konfigurieren, sodass auch Sites mit mehr als einem LDAP- oder RADIUS-Server oder mit einer Kombination von Authentifizierungsservern unterstützt werden. Die folgende Abbildung zeigt die Verbindung und Kommunikation des Access Gateways mit Authentifizierungsservern im gesicherten Netzwerk. Abbildung 1. Kommunikation zwischen Access Gateway und Authentifizierungsservern Nachdem ein Benutzer authentifiziert ist, führt Access Gateway einen Gruppenautorisierungscheck durch, indem die Gruppeninformationen für den Benutzer entweder vom LDAP- oder vom RADIUS-Server abgerufen werden. Wenn für den Benutzer Gruppeninformationen verfügbar sind, überprüft Access Gateway anschließend die für die Gruppe zulässigen Netzwerkressourcen. Die LDAP-Autorisierung kann mit allen unterstützten Authentifizierungsmethoden verwendet werden. Wenn Sie SafeWord- oder Gemalto Protiva-Authentifizierungsserver verwenden, konfigurieren Sie ein RADIUS-Authentifizierungsprofil und die geben Einstellungen für SafeWord oder Protiva an. Sie können auch die Zweiquellenauthentifizierung konfigurieren, bei der Benutzer zwei Arten von Anmeldeinformationen eingeben müssen, z. B. ein Kennwort und eine 219 Hinzufügen von Authentifizierungsprofilen auf dem Access Gateway-Gerät PIN-Nummer. Die Zweiquellenauthentifizierung konfigurieren Sie beim Erstellen von Anmeldepunkten. Wenn Sie einen Anmeldepunkt konfigurieren, wählen Sie den Authentifizierungstyp für den Anmeldepunkt. Wenn Benutzer sich nur über Citrix Online Plug-ins verbinden, können Sie wählen, ob Benutzer sich über das Access Gateway oder das Webinterface authentifizieren sollen. Weitere Informationen zum Konfigurieren der Zweiquellenauthentifizierung finden Sie unter So konfigurieren Sie Zweiquellenauthentifizierung und -autorisierung. 220 Erstellen von LDAP-Authentifizierungsprofilen auf dem Gerät Sie können Access Gateway für die Authentifizierung der Benutzer mit einem oder mehreren LDAP-Servern konfigurieren. Für jedes auf dem Access Gateway konfigurierte LDAP-Authentifizierungsprofil können Sie bis zu drei LDAP-Server konfigurieren, um ein Failover zu erreichen. Konfigurieren weiterer LDAP-Server dient dem Failover, nicht dem Load Balancing. Wenn Access Gateway zu einem LDAP-Server keine Verbindung herstellen kann, versucht es den nächsten Server in der Liste zu erreichen, bis Access Gateway einen verfügbaren LDAP-Server für die Authentifizierung der Benutzer findet. Sie können die Reihenfolge angeben, in der Access Gateway die Verbindung zu den LDAP-Servers herstellt. Wenn Access Gateway keine Verbindung zu einem LDAP-Server herstellen kann, wird der Server für fünf Minuten aus dem Serverpool entfernt. Access Gateway prüft den Server nicht noch einmal, bis die fünf Minuten abgelaufen sind. Wenn es nur einen LDAP-Server gibt, prüft Access Gateway den Server in den fünf Minuten Wartezeit. Wenn es zwei oder mehr LDAP-Server gibt, versucht Access Gateway bei der Benutzeranmeldung mit jedem Server einen Verbindung herzustellen. Wenn Access Gateway erfolgreich eine Verbindung mit einem LDAP-Server herstellt, wird die Authentifizierung und Autorisierung durchgeführt. Wenn die Benutzerauthentifizierung auf dem LDAP-Server fehlschlägt, versucht Access Gateway nicht, eine Verbindung zu einem anderen Server herzustellen. Access Gateway fordert die Benutzer auf, Benutzernamen und Kennwort zu überprüfen und es noch einmal zu versuchen. Standardmäßig sind die Verbindungen zu LDAP-Servern nicht gesichert. Sie können die Verbindung sichern, indem Sie im Authentifizierungsprofil Use secure connection wählen, einen sicheren Port konfigurieren und ein sicheres Serverzertifikat auf dem Access Gateway installieren. Für LDAP-Verbindungen werden die folgenden Portnummern verwendet: • 389 für unsichere LDAP-Verbindungen • 636 für sichere LDAP-Verbindungen • 3268 für unsichere LDAP-Verbindungen unter Microsoft • 3269 für sichere LDAP-Verbindungen unter Microsoft Beim Konfigurieren des LDAP-Servers muss die Groß- und Kleinschreibung mit der Schreibung auf dem Server und auf dem Access Gateway identisch sein. Wenn Sie das Stammverzeichnis des LDAP-Servers angeben, durchsucht Access Gateway alle Unterverzeichnisse nach dem Benutzerattribut. In großen Verzeichnissen kann sich diese 221 Erstellen von LDAP-Authentifizierungsprofilen auf dem Gerät Einstellung negativ auf die Leistung auswirken. Citrix empfiehlt daher die Verwendung einer spezifischen Organisationseinheit. Die folgende Tabelle enthält Beispiele für Benutzerattribute von LDAP-Servern. LDAP-Server Benutzerattribut Groß-/Kleinsc hreibung beachten Active Directory Server sAMAccountName Nein Novell eDirectory cn Ja IBM Tivoli Directory Server (früher IBM Directory Server) uid Ja Lotus Domino CN Ja Sun ONE-Verzeichnis (früher iPlanet) uid oder cn Ja In der folgenden Tabelle finden Sie Beispiele für den Basis-DN, der die oberste Ebene der LDAP-Verzeichnisstruktur ist. LDAP-Server Basis-DN Active Directory Server DC=citrix, DC=local Novell eDirectory dc=citrix,dc=net IBM Tivoli Directory Server (früher IBM Directory Server) cn=users Lotus Domino OU=City, O=Citrix, C=US Sun ONE-Verzeichnis (früher iPlanet) ou=People,dc=citrix,dc=com In der folgenden Tabelle finden Sie Beispiele für den Bind-DN, ein administrativer Benutzer und Kennwort. LDAP-Server Bind-DN Active Directory Server CN=Administrator, CN=Users, DC=citrix, DC=local Novell eDirectory cn=admin, dc=citrix, dc=net IBM Tivoli Directory Server (früher IBM Directory Server) LDAP_dn Lotus Domino CN=Notes Administrator, O=Citrix, C=US Sun ONE-Verzeichnis (früher iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot 222 So erstellen Sie ein LDAP-Authentifizierungsprofil auf dem Gerät 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Klicken Sie im rechten Bereich, neben Add, auf den Pfeil nach unten und klicken Sie auf LDAP. 4. Geben Sie unter General Properties in das Feld Profile name einen Namen für das Profil ein. 5. Wählen Sie im Bereich LDAP Servers unter Server Type den LDAP-Servertyp, den Sie in Ihrem Netzwerk installiert haben. Wenn Sie den Servertyp wählen, werden die Einstellungen unter Authentication Properties und Authorization Properties automatisch ausgefüllt. Diese Standardeinstellungen sind die am häufigsten verwendeten Einstellungen. Diese Einstellungen können geändert werden: 6. Geben Sie unter Network Time-out die Zeitdauer ein, bevor der Anmeldeversuch das Zeitlimit überschreitet. Dieser Wert bestimmt, wie lange Access Gateway bei dem Versuch wartet, eine TCP-Verbindung mit dem LDAP-Server herzustellen. Der maximale Wert ist 60 Sekunden. Der Standardwert ist 10 Sekunden. 7. Klicken Sie unter Server List auf New. 8. Geben Sie im Dialogfeld Add LDAP Server in das Feld Server die IP-Adresse des LDAP-Servers ein. 9. Geben Sie unter Port die Portnummer ein und klicken Sie auf OK. 10. Geben Sie unter Bind Properties in das Feld Administrator DN den Administrator-Bind-DN für Abfragen an das LDAP-Verzeichnis ein. Beispiele für die Syntax des Administrator-Bind-DNs: Domäne/Benutzername ou=administrator,dc=ace,dc=com Benutzer@Domänen.Name (für Active Director Für Active Directory muss der Gruppenname wie folgt angegeben werden: cn=Gruppenname. Der auf dem Access Gateway definierte Gruppenname muss identisch mit dem auf dem LDAP-Server definierten Gruppennamen sein, die Groß- und Kleinschreibung wird dabei beachtet. 223 So erstellen Sie ein LDAP-Authentifizierungsprofil auf dem Gerät Bei anderen LDAP-Verzeichnissen ist der Gruppenname entweder nicht erforderlich oder er muss, sofern er doch nötig ist, in folgender Form angegeben werden: ou=Gruppenname. Access Gateway stellt die Bindung an den LDAP-Server mit den Anmeldeinformationen des Administrators her und sucht dann den Benutzer. Anschließend löst Access Gateway die Bindung an die Administratoranmeldeinformationen auf und bindet an die Benutzerinformationen. 11. Geben Sie in Password Ihr Kennwort ein. 12. Geben Sie unter Base DN (location of users) den Basis-DN für die Benutzer ein. Der Basis-DN wird normalerweise vom Bind-DN abgeleitet, indem der Benutzername entfernt und die Gruppe angegeben wird, in der sich die Benutzer befinden. Syntaxbeispiele für den Basis-DN: ou=users,dc=ace,dc=com cn=Users,dc=ace,dc=com 13. Geben Sie unter User search query die Parameter für die Suche nach Benutzern im LDAP-Verzeichnis ein. 14. Übernehmen Sie unter Server logon name attribute die Standardeinstellung für den jeweiligen Servertyp oder geben Sie einen anderen Wert ein. 15. Klicken Sie auf Save. 224 So lassen Sie die Kennwortänderung durch die Benutzer auf dem Gerät zu Wenn Sie ein LDAP-Authentifizierungsprofil in dem Access Gateway konfigurieren, können Sie zulassen, dass Benutzer ihre Kennwörter ändern. Benutzer, die sich an Active Directory oder Novell eDirectory anmelden, können Ihre Kennwörter ändern. Wenn das Access Gateway eine ungesicherte Verbindung verwendet, tritt beim Ändern des Kennworts ggf. ein Fehler auf. Wenn Sie Active Directory verwenden, müssen Sie die Verbindung mit SSL sichern. Damit Benutzer ihr Kennwort ändern können, wenn Sie LDAP durch Active Directory konfiguriert haben, müssen Sie die folgenden Aufgaben ausführen: • Konfigurieren Sie Port 636 für die gesicherte LDAP-Authentifizierung. • Installieren Sie von einer Zertifizierungsstelle (CA) zertifizierte Stamm- und Serverzertifikate, die zum Signieren des gesicherten LDAP-Zertifikats verwendet werden. Wenn Sie einen Anmeldepunkt einem LDAP-Authentifizierungsprofil für Active Directory oder Novell eDirectory über eine sichere Verbindung zuordnen, können Benutzer Ihre Kennwörter auf der Anmeldeseite ändern. Benutzer, die sich an Active Directory oder Novell eDirectory anmelden, werden zum Ändern des Kennworts aufgefordert. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Wählen Sie im rechten Bereich unter Authentication Profiles ein LDAP-Authentifizierungsprofil und klicken Sie dann auf Edit. 4. Klicken Sie unter General Properties auf Allow users to change password und geben Sie unter Friendly name den Namen des LDAP-Authentifizierungsprofils ein. Dieses Feld ist nur für die Anzeige. Der Anzeigename beschreibt das LDAP-Authentifizierungsprofil in einem Link auf der Seite, auf der Benutzer das Kennwort ändern. Benutzer ändern ihr Kennwort, indem Sie auf den Link Click to change your password <Anzeigename> klicken. 5. Geben Sie unter Single sign-on domain den Domänennamen ein, der verwendet werden soll, wenn Benutzer beim Anmelden keinen Domänennamen angeben. 225 Bestimmen der Attribute im LDAP-Verzeichnis Wenn Sie bei der Bestimmung Ihrer LDAP-Verzeichnisattribute Hilfe benötigen, um die Authentifizierungseinstellungen auf dem Access Gateway zu konfigurieren, können Sie mit dem kostenlos LDAP Browser von Softerra ganz einfach nach diesen Attributen suchen. Sie laden den LDAP Browser von der Website Softerra LDAP Administrator herunter. Legen Sie nach der Installation des Browsers folgende Attribute fest: • Hostname oder IP-Adresse Ihres LDAP-Servers. • Port Ihres LDAP-Servers. Der Standardwert ist 389. • Das Feld "Base DN" können Sie leer lassen. Anhand der von LDAP Browser bereitgestellten Informationen können Sie den Basis-DN ermitteln, den Sie für in Access Gateway konfigurieren müssen. • Mit dem Kontrollkästchen "Anonymous Bind" wird festgelegt, ob der LDAP-Server die Anmeldeinformationen der Benutzer benötigt, um eine Verbindung zum Browser herzustellen. Wenn der LDAP-Server die Anmeldeinformationen benötigt, lassen Sie das Kontrollkästchen deaktiviert. Wenn alle Einstellungen vorgenommen wurden, zeigt LDAP Browser im linken Bereich den Profilnamen an und stellt eine Verbindung zum LDAP-Server her. 226 Erstellen von RADIUS-Authentifizierungsprofilen auf dem Access Gateway-Gerät Sie können Access Gateway für die Authentifizierung des Benutzerzugriffs mit einem oder mehreren RADIUS-Servern konfigurieren. Für RADIUS-Profil, das Sie bei der Authentifizierung verwenden, können Sie bis zu drei RADIUS-Server konfigurieren. Wenn der primäre RADIUS-Server nicht verfügbar ist, versucht Access Gateway, die Authentifizierung für dieses Profil mit den anderen RADIUS-Servern vorzunehmen. Wenn Sie Gemalto Protiva- oder SafeWord-Server für die Authentifizierung verwenden, konfigurieren Sie diese Server mit RADIUS. Konfigurieren von Gemalto Protiva Protiva ist eine Plattform für eine starke Authentifizierung, die von Gemalto entwickelt wurde, um die Stärken der Gemalto-Smartcard-Authentifizierung zu nutzen. Mit Protiva melden sich Benutzer mit einem Benutzernamen, einem Kennwort und einem Einmalkennwort an, das vom Protiva-Gerät generiert wird. Ähnlich wie bei RSA SecurID wird die Authentifizierungsanfrage an den Protiva-Authentifizierungsserver gesendet und der Server bestätigt das Kennwort oder lehnt es ab. Verwenden Sie beim Konfigurieren von Gemalto Protiva für Access Gateway die folgende Richtschnur: • Installieren Sie den Protiva-Server. • Installieren Sie die Protiva SAS Agent-Software, die den Microsoft-Internetauthentifizierungsdienst (IAS) erweitert, auf einem Microsoft IAS-RADIUS-Server. Notieren Sie sich die IP-Adresse und die Portnummer des IAS-Servers. • Konfigurieren Sie auf dem Access Gateway ein RADIUS-Authentifizierungsprofil und geben Sie die Einstellungen des Protiva-Servers an. Konfigurieren von SafeWord Die SafeWord-Produktlinie ermöglicht eine sichere Authentifizierung mit einem tokenbasierten Passcode. Nachdem Benutzer den Passcode eingeben haben, wird der Passcode von SafeWord sofort ungültig gemacht und kann nicht mehr verwendet werden. Bei der Konfiguration des SafeWord-Servers benötigen Sie folgende Informationen: • 227 IP-Adresse des Access Gateways. Diese sollte mit der in der Clientkonfiguration des RADIUS-Servers konfigurierten IP-Adresse übereinstimmen. Access Gateway verwendet die interne IP-Adresse für die Kommunikation mit dem RADIUS-Server. Wenn Sie den Erstellen von RADIUS-Authentifizierungsprofilen auf dem Access Gateway-Gerät gemeinsamen geheimen Schlüssel konfigurieren, verwenden Sie die interne IP-Adresse. Wenn Sie zwei Geräte für Gerätefailover konfigurieren, verwenden Sie die virtuelle interne IP-Adresse. 228 • Gemeinsamer geheimer Schlüssel. • IP-Adresse und Port des SafeWord-Servers. Die Standardportnummer ist 1812. Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2008 Unter Windows Server 2008 konfigurieren Sie die RADIUS-Authentifizierung und -Autorisierung mit dem Netzwerkrichtlinienserver (NPS) konfiguriert, der den Internetauthentifizierungsdienst (IAS) ersetzt. Sie verwenden Server-Manager und fügen NPS als Rolle hinzu, um ihn zu installieren. Wählen Sie bei der Installation von NPS den Netzwerkrichtliniendienst. Nach der Installation können Sie RADIUS-Einstellungen für das Netzwerk konfigurieren, indem Sie NPS über Verwaltung im Startmenü starten. Wenn Sie NPS öffnen, fügen Sie Access Gateway als RADIUS-Client hinzu und konfigurieren dann Servergruppen. Achten Sie beim Konfigurieren des RADIUS-Clients auf folgende Einstellungen: • Wählen Sie als Herstellername RADIUS-Standard. • Notieren Sie sich den gemeinsamen geheimen Schlüssel, da Sie den gleichen gemeinsamen geheimen Schlüssel auch auf dem Access Gateway konfigurieren müssen. Für RADIUS-Gruppen brauchen Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers. Ändern Sie nicht die Standardeinstellungen. Nachdem Sie RADIUS-Client und -Gruppen konfiguriert haben, konfigurieren Sie die Einstellungen für die folgenden Richtlinien: • Verbindungsanfragerichtlinien (Connection Request Policies), bei denen Sie die Einstellungen für die Access Gateway-Verbindung konfigurieren, einschließlich Netzwerkservertyp, Bedingungen für die Netzwerkrichtlinie und die Einstellungen für die Richtlinie. • Netzwerkrichtlinien (Network Policies), bei denen Sie die Authentifizierung mit dem Extensible Authentication-Protokoll (EAP) und die Herstellerspezifischen Attribute konfigurieren. Wenn Sie die Verbindungsanfragerichtlinie konfigurieren, lassen Sie den Netzwerkservertyp unbestimmt. Sie geben dann den NAS-Porttyp als Bedingung und Virtual (VPN) als Wert an. Beim Konfigurieren eine Netzwerkrichtlinie müssen Sie folgende Einstellungen konfigurieren: 229 • Wählen Sie Remotezugriffsserver (VPN-Dial up) als Netzwerkzugriffsservertyp. • Wählen Sie Verschlüsselte Authentifizierung (CHAP) und Unverschlüsselte Authentifizierung (PAP, SPAP) für EAP. Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2008 • Wählen Sie RADIUS Standard als herstellerspezifisches Attribut. Die Standardattributnummer ist 26. Dieses Attribut wird für die RADIUS-Autorisierung verwendet. Access Gateway benötigt das herstellerspezifische Attribut, um die in der Gruppe auf dem Server definierten Benutzer mit den Benutzern auf dem Access Gateway abzugleichen. Dies erfolgt durch Senden der herstellerspezifischen Attribute an das Access Gateway. • Wählen Sie als Attributformat Zeichenfolge aus. Geben Sie unter Attributwert den Attributnamen und die Gruppen ein. Für Access Gateway ist der Attributwert: CTXSUserGroups=Gruppenname. Wenn zwei Gruppen definiert sind, z. B. die Gruppen "Vertrieb" und "Finanzen", ist der Attributwert CTXSUserGroups=Vertrieb;Finanzen. Die Gruppen sind dabei jeweils durch ein Semikolon zu trennen. • Das Trennzeichen ist das gleiche, das Sie auf dem Netzwerkrichtlinienserver zum Trennen von Gruppen verwendet haben, z. B. Semikolon, Doppelpunkt, Leerzeichen oder Punkt. Wenn Sie die RAS-Richtlinie in IAS konfiguriert haben, können Sie die RADIUS-Authentifizierung und -Autorisierung auf dem Access Gateway konfigurieren. 230 Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2003 Unter Windows Server 2003 konfigurieren Sie die RADIUS-Authentifizierung und -Autorisierung mit einer RAS-Richtlinie im Microsoft Internetauthentifizierungsdienst (IAS). Wenn Sie Access Gateway konfigurieren, füllen Sie die Felder folgendermaßen aus: • Vendor Code (entspricht dem im IAS eingegebenen Herstellercode). • Vendor-assigned atttribute number (entspricht der vom Hersteller zugewiesenen Attributnummer). • Attribute Value Prefix (entspricht dem im IAS definierten Attributwert). Der Standardname ist CTXSUserGroups=. • Das Trennzeichen (Separator) muss angegeben werden, wenn in der RADIUS-Konfiguration mehrere Benutzergruppen enthalten sind. Als Trennzeichen kann ein Leerzeichen, ein Punkt, ein Semikolon oder ein Doppelpunkt verwendet werden. Wenn IAS nicht auf dem RADIUS-Server installiert ist, können Sie es über die Systemsteuerung Software in Windows Server 2003 installieren. Weitere Informationen finden Sie in der Windows-Onlinehilfe. Zum Konfigurieren des IAS installieren Sie das Snap-In für IAS über die Microsoft Management Console (MMC). Führen Sie den Installationsassistenten aus und wählen Sie dabei die folgenden Einstellungen: • Wählen Sie Lokaler Computer. • Wählen Sie RAS-Richtlinien und erstellen Sie eine benutzerdefinierte Richtlinie. • Wählen Sie für die Richtlinie Windows-Groups. • Wählen Sie Verschlüsselte Authentifizierung (CHAP) und Unverschlüsselte Authentifizierung (PAP, SPAP). • Klicken Sie, um die Kontrollkästchen MS-CHAP v2 und MS-CHAP zu deaktivieren. • Wählen Sie das Vendor-Specifc Attribute aus. Access Gateway benötigt das herstellerspezifische Attribut, um die in der Gruppe auf dem Server definierten Benutzer mit den Benutzern auf dem Access Gateway abzugleichen. Um sicherzustellen, dass diese Werte übereinstimmen, werden die herstellerspezifischen Attribute an Access Gateway. Wählen Sie RADIUS=Standard. • 231 Verwenden Sie für die RADIUS-Standardeinstellung "0". Verwenden Sie diese Zahl als Herstellercode. Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2003 • Verwenden Sie für die herstellerspezifische Attributnummer "0". Dies ist der zugewiesene Wert für das Benutzergruppenattribut. Das Attribut hat das Format einer Zeichenfolge. • Wählen Sie als Attributformat Zeichenfolge aus. Geben Sie unter Attributwert den Attributnamen und die Gruppen ein. Für Access Gateway ist der Attributwert: CTXSUserGroups=Gruppenname. Wenn zwei Gruppen definiert sind, z. B. die Gruppen "Vertrieb" und "Finanzen", ist der Attributwert CTXSUserGroups=Vertrieb;Finanzen. Die Gruppen sind dabei jeweils durch ein Semikolon zu trennen. • Entfernen Sie im Dialogfeld Einwählprofil bearbeiten alle anderen Einträge außer dem Eintrag Vendor-specific. Wenn Sie die RAS-Richtlinie in IAS konfiguriert haben, können Sie die RADIUS-Authentifizierung und -Autorisierung auf dem Access Gateway konfigurieren. 232 So konfigurieren Sie die RADIUS-Authentifizierung 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Klicken Sie im rechten Bereich, neben Add auf den Pfeil nach unter und wählen Sie RADIUS. 4. Geben Sie im Dialogfeld RADIUS Properties unter General Properties in das Feld Profile name einen Namen für das Profil ein. 5. Klicken Sie unter RADIUS unter Servers List auf New. 6. Geben Sie im Dialogfeld Add RADIUS Server in das Feld Server die IP-Adresse des RADIUS-Servers ein. 7. In die Felder Shared Secret und Confirm Secret geben Sie den gemeinsamen geheimen Schlüssel ein, wie er auf dem RADIUS-Server konfiguriert ist. Wichtig: Achten Sie darauf, dass der geheime Serverschlüssel stark genug ist. Ein geheimer Schlüssel ist stark, wenn er aus mindestens acht Zeichen besteht und sich aus Buchstaben, Ziffern und Symbolen zusammensetzt. 8. Geben Sie unter Port die Portnummer ein und klicken Sie auf OK. 9. Wiederholen Sie Schritte 5 bis 8 für jeden RADIUS-Server, den Sie hinzufügen möchten. Sie können bis zu drei RADIUS-Server in einem Profil konfigurieren. So ändern Sie die Priorität von RADIUS-Servern Nachdem Sie RADIUS-Server dem Authentifizierungsprofil hinzugefügt haben, können Sie die Reihenfolge ändern, in der die Server abgefragt werden, wenn Benutzer sich anmelden. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication. 3. Wählen Sie im Bereich Authentication Profiles ein RADIUS-Authentifizierungsprofil aus und klicken Sie dann auf Edit. 4. Wählen Sie in der Servers list einen RADIUS-Server aus. 5. Klicken Sie neben Move auf die Pfeile, um den Server in der Liste zu verschieben und klicken Sie dann auf Update. 233 Erstellen von RSA SecurID-Authentifizierungsprofilen auf dem Access Gateway-Gerät Wenn Sie RSA ACE/Server oder RSA Authentication Manager und RSA SecurID für die Authentifizierung verwenden, können Sie den Access Controller für die Authentifizierung des Benutzerzugriffs mit den RSA-Servern konfigurieren. Access Gateway agiert dann als RSA-Agenthost, der sich im Namen der Benutzer authentifiziert, die sich mit Citrix Access Gateway Plug-in anmelden. Access Gateway unterstützt folgende RSA-Server: • RSA ACE/Server Version 5.2 und höher • RSA Authentication Manager Version 6.1 und 7.1 Access Gateway unterstützt außerdem Replikationsserver. Die Replikationsserverkonfiguration wird auf dem RSA-Server vorgenommen und ist Teil der Datei sdconf.rec, die auf das Access Gateway hochgeladen wird. Wenn die Replikationsserverkonfiguration auf dem RSA-Server eingerichtet ist, versucht Access Gateway eine Verbindung mit den Replikationsservern herzustellen, wenn der primäre Server ausfällt oder die Netzwerkverbindung unterbrochen wird. Hinweis: Wenn Sie einen RADIUS-Server auf einem RSA-Server ausführen, konfigurieren Sie die RADIUS-Authentifizierung wie unter Erstellen von RADIUS-Authentifizierungsprofilen auf dem Access Gateway-Gerät beschrieben. Wählen Sie beim Erstellen der Datei sdconf.rec die folgenden Einstellungen aus: Hinweis: In den folgenden Schritten werden die unbedingt erforderlichen Einstellungen für Access Gateway beschrieben. Darüber hinaus können sitespezifische Zusatzeinstellungen vorgenommen werden. Weitere Informationen finden Sie in der RSA-Server-Produktdokumentation. • Erstellen Sie einen Agenthost. • Konfigurieren Sie Net OS Agent, um Access Gateway zu identifizieren und verwenden Sie die interne IP-Adresse des Access Gateways als Netzwerkadresse. Wenn Sie zwei Access Gateway-Geräte für Gerätefailover konfigurieren, verwenden Sie die internen virtuellen IP-Adressen. 234 • Geben Sie einen beschreibenden Namen für das Access Gateway ein, das als der Agenthost fungiert, für den Sie die Konfigurationsdatei erstellen. • Der Agenttyp ist "UNIX Agent". Erstellen von RSA SecurID-Authentifizierungsprofilen auf dem Access Gateway-Gerät • Stellen Sie sicher, dass bei der Erstellung des Agenthosts die Option Node Secret Created auf dem RSA-Server deaktiviert ist. Der RSA-Server sendet das Node Secret zu dem Zeitpunkt an das Access Gateway, zu dem die Software das erste Mal eine vom Access Gateway stammende Anforderung authentifiziert. Danach ist die Option Node Secret Created aktiviert. Durch Deaktivieren der Option und Generieren und Hochladen einer neuen Konfigurationsdatei können Sie den RSA-Server dazu zwingen, ein neues Node Secret an Access Gateway zu senden. • Sie können angeben, welche Benutzer durch Access Gateway authentifiziert werden können, auf folgende Art angeben: • Konfigurieren Sie Access Gateway als offenen Agenthost, der für alle lokal bekannten Benutzer offen ist. Legen Sie die zu authentifizierenden Benutzer fest, indem Sie den Agenthost bearbeiten und die zu aktivierenden Benutzer auswählen. Für die Kontaktaufnahme mit dem RSA-Server muss auf Access Gateway eine Kopie der Konfigurationsdatei sdconf.rec des ACE Agent Hosts vorhanden sein. Diese Datei wird vom RSA-Server generiert. Nachdem Sie die Einstellungen auf dem RSA-Server vorgenommen haben, erstellen Sie die Datei sdconf.rec und laden sie auf das Access Gateway hoch. Sie können nur eine sdconf.rec-Datei auf das Access Gateway hochladen. • Weitere Informationen zum Konfigurieren der Einstellungen auf dem RSA-Server finden Sie in der Dokumentation des Herstellers. Unterstützen von Benutzerverbindungen Access Gateway unterstützt den Next-Token-Modus. Wenn ein Benutzer drei falsche PIN-Nummern und Tokencodes eingibt, fordert das Citrix Access Gateway Plug-in den Benutzer auf, mit der nächsten Anmeldung so lange zu warten, bis der nächste Token aktiv ist. Der RSA-Server kann so konfiguriert werden, dass das Konto eines Benutzers, der sich zu oft mit einem falschen Kennwort anmeldet, deaktiviert wird. Access Gateway unterstützt die Option, dass Benutzer ihre PIN-Nummer ändern können. Benutzer können ihre PIN-Nummer auf folgende Arten ändern: • Benutzer müssen eine vom System generierte PIN-Nummer akzeptieren. • Benutzer müssen eine neue PIN-Nummer erstellen. • Benutzer können wählen, ob sie eine PIN-Nummer erstellen oder eine vom System generierte PIN-Nummer akzeptieren. Wenn Benutzer die PIN-Nummer ändern, müssen sie sich neu am Access Gateway anmelden. 235 So erstellen Sie ein RSA SecurID-Authentifizierungsprofil auf dem Gerät 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Klicken Sie im rechten Bereich neben Add auf den Pfeil nach unten und wählen Sie dann RSA SecurID 4. Geben Sie im Dialogfeld RSA SecurID Configuration unter General Properties in das Feld Name einen Namen für das Profil ein. 5. Um die Datei sdconf.rec hochzuladen klicken Sie unter Configuration File auf Browse, navigieren zu der Datei, klicken auf Open und klicken dann auf Save. Hinweis: Die Datei sdconf.rec wird normalerweise unter ace\data\config_files und windows\system32 gespeichert. Wenn Benutzer sich das erste Mal authentifizieren, schreibt der RSA-Server einige Konfigurationsdateien auf das Access Gateway. Wenn Sie später die IP-Adresse des Access Gateways ändern, müssen Sie das RSA-Authentifizierungsprofil entfernen und ein neues Profil erstellen. Sie müssen die Datei sdconf.rec noch einmal hochladen. 236 Hinzufügen der RSA-Einstellungen für mehrere Geräte Wenn Sie zwei oder mehr Access Gateway-Geräte im Netzwerk konfiguriert haben, muss die Datei sdconf.rec den vollqualifizierten Domänennamen (FQDN) für jedes Geräte enthalten. Sie müssen die gleiche sdconf.rec-Datei auf jedem Access Gateway-Gerät installieren. Durch Angeben des FQDN für jedes Gerät können alle Geräte eine Verbindung zum RSA-Server herstellen. Sie können außerdem die Verbindungen zu dem RSA-Server von Benutzerverbindungen beschränken, wenn Sie beispielsweise drei Geräte im Netzwerk haben und die FQDNs des ersten und zweiten Geräts sind in der Datei sdconf.rec enthalten, der FQDN des dritten Geräts nicht. In diesem Beispiel können Benutzer nur über die ersten beiden Geräte eine Verbindung zum RSA-Server herstellen. 237 Erstellen der RSA Agent Host-Datei für das Gerätefailover Wenn Sie das Gerätefailover und RSA SecurID verwenden, müssen Sie die virtuelle interne IP-Adresse des Gerätefailoverpaars verwenden, um die Datei sdconf.rec ztu konfigurieren. Wenn Sie den Agenthost bearbeiten, öffnen Sie die Registerkarte Secondary Nodes und fügen die physikalische interne IP-Adresse des primären Access Gateway-Geräts als einen der sekundären Knoten hinzu. Sie fügen außerdem die physikalische interne IP-Adresse des sekundären Geräts als einen der sekundären Knoten hinzu. Verwenden Sie nicht die virtuellen IP-Adressen beim Konfigurieren der sekundären Knoten. Wenn Sie fertig sind, erstellen Sie die Konfigurationsdatei für den Agenthost und laden dann die Datei sdconf.rec hoch, um ein RSA SecurID-Authentifizierungsprofil auf dem Access Gateway zu konfigurieren. 238 Zurücksetzen des Node Secrets Wenn Sie die Konfiguration des Access Gateways mit einer gespeicherten Konfigurationsdatei wiederhergestellt und dabei dieselbe IP-Adresse wie vorher verwendet haben, müssen Sie auch das Node Secret auf dem RSA-Server zurücksetzen. Da die Konfiguration des Access Gateways wiederhergestellt wurde, gibt es auf dem Gerät kein Node Secret mehr, sodass ein jeder Versuch der Authentifizierung an dem RSA-Server fehlschlägt. Nachdem Sie den gemeinsamen geheimen Schlüssel auf dem RSA-Server zurückgesetzt haben, wird der RSA-Server beim nächsten Authentifizierungsversuch aufgefordert, ein Node Secret an das Access Gateway zu senden. 239 Hinzufügen der Autorisierung zum Authentifizierungsprofil auf dem Access Gateway-Gerät Sie konfigurieren die Autorisierung, um die Ressourcen anzugeben, auf die Benutzer im gesicherten Netzwerk zugreifen dürfen. Access Gateway unterstützt folgende Autorisierungstypen: • Keine Autorisierung • LDAP-Autorisierung • RADIUS-Autorisierung Sie konfigurieren die LDAP- und RADIUS-Autorisierung im Authentifizierungsprofil. Sie können immer LDAP als Autorisierungstyp auswählen. Sie können die RADIUS-Autorisierung auswählen, aber nur, wenn das gleiche Profil auch für die Authentifizierung verwendet wird. Die folgende Tabelle zeigt die verfügbaren Autorisierungsprofile für verschiedene Kombinationen von primären und sekundären Authentifizierungsprofilen. 240 Sekundäres Authentifizierungsprofil Primäres Authentifizierungsprofil LDAP RADIUS RSA SecurID LDAP LDAP, Ohne LDAP, RADIUS, Ohne LDAP, Ohne RADIUS LDAP, RADIUS, Ohne LDAP, RADIUS, Ohne LDAP, RADIUS, Ohne RSA SecurID LDAP, Ohne LDAP, RADIUS, Ohne LDAP, Ohne Ohne LDAP, Ohne LDAP, RADIUS, Ohne LDAP, Ohne Hinzufügen der LDAP-Autorisierung auf dem Gerät Sie können die LDAP-Autorisierung mit der LDAP-Authentifizierung konfigurieren. Sie können auch die LDAP-Autorisierung mit RADIUS- oder RSA-Authentifizierung verwenden. Es ist auch möglich, die Authentifizierung ohne Autorisierung zu konfigurieren. Wenn Sie eine Zweiquellenauthentifizierung verwenden, bei der sich Benutzer mit zwei Authentifizierungsprofilen anmelden, verwendet Access Gateway die Anmeldeinformationen der primären Authentifizierungsmethode für die Autorisierung. Für die LDAP-Autorisierung müssen die Gruppennamen in Active Directory, auf dem Access Gateway und auf dem LDAP-Server identisch sein Bei den Gruppennamen wird die Groß- und Kleinschreibung nicht beachtet. Konfigurieren Sie die LDAP-Autorisierung sucht Access Gateway die LDAP-Server für die Gruppen, zu denen die Benutzer gehören, wenn Benutzer sich anmelden. Die folgende Tabelle enthält Beispiele für LDAP-Gruppenattribute. LDAP-Server Gruppenattribut Microsoft Active Directory-Server memberOf Novell eDirectory groupMembership IBM Tivoli Directory Server (früher IBM Directory Server) ibm-allGroups Sun ONE-Verzeichnis (früher iPlanet) nsRole Durchsuchen des LDAP-Verzeichnisses Wenn Sie ein LDAP-Authentifizierungsprofil mit LDAP-Autorisierung konfigurieren, können Sie wählen, wie das LDAP-Verzeichnis durchsucht werden soll. Sie können das gesamte Verzeichnis durchsuchen oder Sie können die Such an einer bestimmten Stelle im Verzeichnis beginnen. Wenn Sie das gesamte Verzeichnis durchsuchen möchten, stellen Sie die folgenden Parameter ein: • Basis-DN • Benutzermitgliedattributname • Gruppenmitgliedattributname Sie können auch das LDAP-Verzeichnis mit dem Basis-DN als Ausgangspunkt durchsuchen. Sie können die Suche beispielsweise im Gruppencontainer ou=groups,cn=citrix,cn=com beginnen. Wenn Benutzer1 zu der Gruppe "Ingenieure", dann basiert die Suche auf dem 241 Hinzufügen der LDAP-Autorisierung auf dem Gerät Mitgliedsattribut der Gruppe "Ingenieure". Wenn Benutzer2 zu der Gruppe "Ingenieure" gehört, die zwei Untergruppen "Qualitätssicherung" und "Test" hat, dann gehört Benutzer2 zu allen drei Gruppen. Wenn Sie die Suche an einer bestimmten Stelle im Verzeichnis beginnen möchten, müssen Sie den Gruppenmitgliedattributnamen einstellen. Sie können einen Suchfilter verwenden, um die Suche nach Gruppenmitglieder einzugrenzen. Ein Beispiel für ein Suchfilter ist(objectClass=group). Dieser Parameter ist optional. 242 So konfigurieren Sie die LDAP-Autorisierung auf dem Gerät Beim Konfigurieren der LDAP-Einstellungen auf dem Access Gateway werden die Autorisierungseigenschaften automatisch angezeigt, wenn Sie den Servertyp wählen, z. B. Active Directory oder Novell eDirectory. Wenn Sie benutzerdefinierte Einstellungen haben, können Sie die Autorisierungseigenschaften anpassen. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Wählen Sie einen LDAP-Server aus der Liste und klicken Sie auf Edit. 4. Ändern Sie unter Authorization Properties die Einstellungen wie für Ihren LDAP-Server erforderlich und klicken Sie dann auf Save. Der Felder User member attribute und Group member werden anhand des LDAP-Servertyps, den Sie unter Server type gewählt haben, automatisch ausgefüllt. Über das Feld Group member erhält Access Gateway während der Autorisierung die Gruppen, denen ein Benutzer zugeordnet ist. Die Dropdownliste Search scope lässt Access Gateway das gesamte LDAP-Verzeichnis durchsuchen oder nur von einer bestimmten Stelle im Verzeichnis. Das Feld Search time-out enthält die Dauer, für die Access Gateway Benutzer oder Gruppen sucht, wenn Benutzer sich anmelden. Der maximale Wert ist vier Minuten. Der Standardwert ist 30 Sekunden. 243 LDAP-Gruppenextrahierung direkt vom Benutzerobjekt Einige LDAP-Server, die die Gruppenmitgliedschaft anhand von Gruppenobjekten auswerten, können für die Access Gateway-Autorisierung verwendet werden. Es gibt LDAP-Server, bei denen die Benutzerobjekte Informationen zu den Gruppen enthalten können, zu denen sie gehören. Dazu gehören z. B. Active Directory (mit dem Attribut memberOf) oder IBM eDirectory (mit dem Attribut groupMembership). Die Gruppenmitgliedschaft eines Benutzers kann Attribut des Benutzerobjekts sein, wie IBM Directory Server (mit ibm-allGroups) oder Sun ONE Directory Server (mit nsRole). Beide Arten von LDAP-Server können für die Access Gateway-Gruppenextrahierung verwendet werden. So können z. B. in IBM Directory Server alle Gruppenmitgliedschaften (in statischen, dynamischen und verschachtelten Gruppen) über das Attribut ibm-allGroups zurückgegeben werden. In Sun ONE werden alle Rollen, einschließlich der verwalteten, gefilterten und verschachtelten Rollen, mit dem Attribut nsRole berechnet. 244 LDAP-Gruppenextrahierung indirekt vom Gruppenobjekt Einige LDAP-Server, die die Gruppenmitgliedschaft indirekt anhand von Gruppenobjekten auswerten, verwenden die Access Gateway-Autorisierung nicht. Bei manchen LDAP-Servern, wie Lotus Domino, können Gruppenobjekte nur Informationen über Benutzer enthalten. Bei diesen LDAP-Servern kann das Benutzerobjekt keine Informationen über Gruppen enthalten, daher funktioniert die Access Gateway-Gruppenextrahierung nicht. Bei solchen LDAP-Servern erfolgt die Suche nach der Gruppenmitgliedschaft, indem der Benutzer in der Mitgliederliste der Gruppen gesucht wird. 245 Hinzufügen der RADIUS-Autorisierung auf dem Access Gateway-Gerät Für die RADIUS-Authentifizierung können Sie die folgenden Autorisierungstypen verwenden: • RADIUS-Autorisierung • LDAP-Autorisierung • Keine Autorisierung So konfigurieren Sie die RADIUS-Autorisierung 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Wählen Sie im rechten Bereich ein RADIUS-Profil aus und klicken Sie dann auf Edit. 4. Geben Sie unter Group Authorization die Werte ein, die denen des RADIUS-Servers entsprechen. Weitere Informationen über Autorisierungswerte finden Sie in den folgenden Abschnitten: • Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2003 • Konfigurieren der RADIUS-Authentifizierung unter Windows Server 2008 Hinweis: Wenn Sie den Microsoft-Internetauthentifizierungsdienst (IAS) als RADIUS-Server verwenden und beim Senden einer Anforderung an den konfigurierten RADIUS-Server durch das Access Gateway eine Fehlermeldung erhalten, dass der Benutzername oder das Kennwort ungültig ist, wählen Sie in den IAS-RAS-Richtlinien unter den Eigenschaften für die angewendete Richtlinie auf der Registerkarte Authentifizierung die Option Unverschlüsselte Authentifizierung (PAP, SPAP). 246 So entfernen Sie von Authentifizierungsprofile aus Access Gateway Wenn Sie einen Authentifizierungsserver ersetzen oder einen Domänenserver entfernen, können Sie das Authentifizierungsprofil aus Access Gateway entfernen. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Authentication Profiles. 3. Wählen Sie das Authentifizierungsprofil aus und klicken Sie auf Remove. 247 Erstellen von Geräteprofilen Sie können mit Geräteprofilen in Access Gateway ein Profil erstellen, das eine Reihe von Kriterien auf dem Benutzergerät überprüft, wenn sich ein Benutzer am Netzwerk anmeldet. Bevor Benutzer Zugriff auf das Netzwerk erhalten, muss das Gerät die Kriterien erfüllen, die Sie im Geräteprofil festgelegt haben. Sie definieren Geräteprofile für eine Reihe von Endpunktgeräten, die Benutzer für den Zugriff auf interne Ressourcen verwenden können. Beispiel: Ein Administrator in der Firma ABC definiert ein Geräteprofil mit dem Namen "Firmenlaptop mit Vista", das Windows Vista-basierten Computern entspricht und einen Wasserzeichenwert in der Windows-Registrierung enthält. Wenn das Benutzergerät diese Kriterien erfüllt, darf der Benutzer sich am Netzwerk anmelden. Sie können Geräteprofile in einem Anmeldepunkt verwenden. Sie können die Anmeldeseite nur unter bestimmten Bedingungen anzeigen, indem das Benutzergeräte Endpoint Analysis-Scans (mit Geräteprofilen) bestehen muss, bevor die Seite angezeigt wird. Dies ist die Anzeige des Anmeldepunkts. Geräteprofile werden in SmartGroups verwendet. Jede SmartGroup kann ohne sein oder eines oder mehrere Geräteprofile enthalten. Access Gateway verwendet die konfigurierten Geräteprofilinformationen, um die Zugriffsberechtigungen für die konfigurierte SmartGroup zu ermitteln. In diesem Abschnitt finden Sie Informationen über die unterschiedlichen Scan- und Profilarten, die Sie in der Access Gateway Management Console erstellen können. Dieser Abschnitt enthält außerdem Informationen über das Erstellen von Scanausdrücken und Zusammenstellen von Geräteprofilen. 248 Geräteprofiltypen Sie können mit der Access Gateway Management Console die folgenden Geräteprofile in Access Gateway konfigurieren: 249 • File scan: Dateiscans prüfen, ob eine bestimmte Datei auf einem Benutzergerät vorhanden ist. • Process scan: Prozessscans erkennen, ob ein Prozess auf dem Benutzergerät ausgeführt wird. • Registry scan: Registrierungsscans erkennen Informationen in der Registrierung, z. B. das Vorhandensein eines Registrierungsschlüssels oder Registrierungswerts auf dem Benutzergerät. • Operating system scan: Betriebssystemscans prüfen Informationen über das Betriebssystem auf dem Benutzergerät, wie beispielsweise Name, Version und Service Pack. • Ports scan: Portscans erkennen Portinformationen, beispielsweise, ob ein Benutzergerät einen bestimmten Port abhört. So fügen Sie einen Dateiscan hinzu Ein Dateiscan erkennt, ob eine bestimmte Datei auf einem Benutzergerät vorhanden ist. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profiles auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein. • Wählen Sie für Scan type die Option File. • Geben Sie unter File name den vollständigen Pfad und den Namen für die Datei ein, die Sie auf dem Benutzergerät suchen möchten. • Wählen Sie für Hash type eine der folgenden kryptographischen Hashfunktionen: • None: Es wird kein Hash berechnet. • MD5: Die kryptographische Hashfunktion MD5 wird häufig in Sicherheitsanwendungen verwendet, um die Integrität von Dateien prüfen. • SHA-1: Die kryptographische Hashfunktion SHA (Secure Hash Algorithm) wird in einiges weitverbreiteten Sicherheitsanwendungen und -protokollen verwendet. SHA-256: Diese kryptographische Hashfunktion SHA gehört zu SHA-2 und verwendet 32-Bit-Wörter. Klicken Sie unter Hash value auf New, um einen Wert für die erforderlichen Dateihashwerte anzugeben. • • • Aktivieren Sie das Kontrollkästchen Expand Environment, um Windows-Umgebungsvariablen im vollständigen Dateipfad verwendet werden. • Wählen Sie unter Version den Operator, der zum Vergleichen des Dateiversionen verwendet werden soll. • Geben Sie in das Feld Scan name einen Anzeigenamen für den Dateiscan ein. Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 7. Wenn Sie alle Informationen für den Dateiscan eingegeben haben, klicken Sie auf Save. • 250 So fügen Sie einen Prozessscan hinzu Ein Prozessscan erkennt, ob ein bestimmter Prozess auf einem Benutzergerät ausgeführt wird. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profile auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein: • Wählen Sie unter Scan type die Option Process. • Geben Sie unter Process den Namen des Prozesses ein, den Sie auf dem Benutzergerät suchen möchten. • Wählen Sie für Hash type eine der folgenden kryptographischen Hashfunktionen: • None: Es wird kein Hash berechnet. • MD5: Die kryptographische Hashfunktion MD5 wird häufig in Sicherheitsanwendungen verwendet, um die Integrität von Dateien prüfen. • SHA-1: Die kryptographische Hashfunktion SHA (Secure Hash Algorithm) wird in einiges weitverbreiteten Sicherheitsanwendungen und -protokollen verwendet. SHA-256: Diese kryptographische Hashfunktion SHA gehört zu SHA-2 und verwendet 32-Bit-Wörter. Klicken Sie unter Hash value auf New, um einen Wert für die erforderlichen Dateihashwerte anzugeben. • • • Aktivieren Sie das Kontrollkästchen Expand Environment, um Windows-Umgebungsvariablen im vollständigen Dateipfad verwendet werden. • Wählen Sie unter Version den Operator, der zum Vergleichen des Dateiversionen verwendet werden soll. • Geben Sie in das Feld Scan name einen Anzeigenamen für den Prozessscan ein. Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 7. Wenn Sie alle Informationen für den Prozessscan eingegeben haben, klicken Sie auf Save. • 251 So fügen Sie einen Registrierungsscan hinzu Registrierungsscans erkennen Informationen in der Registrierung, z. B. das Vorhandensein eines Registrierungsschlüssels oder Registrierungswerts auf dem Benutzergerät. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profile auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein. • Wählen Sie unter Scan type die Option Registry. • Geben Sie unter Registry key den Namen des Registrierungsschlüssels ein, den der Scan erkennen soll. • Unter Value name geben Sie den Namen des Registrierungswerts ein, den der Scan erkennen soll. • Wählen Sie unter Value data den Registrierungswerttyp, den der Scan erkennen soll. • Wählen Sie unter Type den Registrierungsbereich, der durchsucht werden soll: 32-bit, 64-bit oder Any. Hinweis: Sie können die 32-Bit-Registrierung auf einem 64-Bit-Benutzergerät durchsuchen. • Wählen Sie unter Value den Operator, der zum Vergleichen oder Erkennen der Registrierungswerte verwendet werden soll. • Geben Sie in das Feld Scan name einen Anzeigenamen für den Prozessscan ein. • Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 7. Wenn Sie alle Informationen für den Registrierungsscan eingegeben haben, klicken Sie auf Save. 252 So fügen Sie einen Betriebssystemscan hinzu Betriebssystemscans prüfen Informationen auf dem Benutzergerät wie Name, Version und Service Pack. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profile auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein: • Wählen Sie unter Scan type die Option Operating System. • Wählen Sie unter Operating system den Namen des Betriebssystems aus, das der Scan erkennen soll. • Geben Sie in das Feld Version die Versionsnummer des Betriebssystems ein, die der Scan erkennen soll. • Wählen Sie unter Service pack das Service Pack Release, das der Scan erkennen soll, bzw. wählen Sie None oder Any. • Wählen Sie unter Redirection den Bittyp für das Betriebssystem, den der Scan erkennen soll, 32-bit, 64-bit oder Any. • Geben Sie in das Feld Scan name einen Anzeigenamen für den Betriebssystemscan ein. Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 7. Wenn Sie alle Informationen für den Betriebssystemscan eingegeben haben, klicken Sie auf Save. • 253 So fügen Sie einen Portscan hinzu Ein Portscan erkennt nicht erlaubte Ports. Wenn Benutzergeräte beispielsweise nicht Port 80 abhören sollen, können Sie diesen Port verbieten. Wenn das Benutzergerät dann Port 80 abhört, besteht das Gerät den Scan nicht. Sie können einen beliebigen Port mit einem Geräteprofil verweigern. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profile auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein: • Wählen Sie unter Scan type die Option Ports. • Geben Sie unter Service ports die Portnummern, einen Portbereich oder eine Kombinationen von beiden ein. Trennen Sie die Einträge durch Kommas. Hinweis: Bei Listening-Ports bezieht sich die Portnummer auf lokale Ports. Sonst bezieht sich die Portnummer auf Remoteports. • Wählen Sie unter Disallow protocols das Protokoll, das zusammen mit den angegebenen Ports, dazu führt, dass das Benutzergerät den Scan nicht besteht: TCP, UDP oder ANY. • Geben Sie optional in das Feld Scan name einen Anzeigenamen für den Portscan ein. • Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 7. Wenn Sie alle Informationen für den Portscan eingegeben haben, klicken Sie auf Save. 254 Erstellen eines Scanausdrucks Aktualisiert: 2012-05-03 Ein Geräteprofil kann aus einem einzelnen Scan bestehen oder Sie können detaillierte Geräteprofile erstellen, die zwei oder mehr Scans mit folgendenOperatoren verbinden. • UND • ODER Sie können beispielsweise ein Geräteprofil erstellen, dass eine Kombination von Scans ist, um zu ermitteln, ob auf dem Benutzergerät Windows XP Service Pack 3 und der Editor ausgeführt werden. 255 Erstellen eines Scanausdrucks So erstellen Sie einen Scanausdruck 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Device Profiles. 3. Klicken Sie unter Device Profile auf New. 4. Geben Sie unter Profile Name einen Namen für das Geräteprofil ein. 5. Geben Sie unter Description eine Beschreibung für das Geräteprofil ein. 6. Wählen Sie unter Scan Expression den Namen des Geräteprofils ein, den Sie in Schritt 4 eingegeben haben und klicken Sie dann auf AND. 7. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein: • Wählen Sie unter Scan type die Option Operating System. • Wählen Sie für Operating system Windows XP. • Unter Service pack wählen Sie Service Pack 3. • Wählen Sie für Redirection die Option Any. • Optional können Sie unter Scan name einen Anzeigenamen für den Betriebssystemscan eingeben. • Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 8. Wählen Sie unter Scan Expression die Option AND. 9. Stellen Sie unter Add or Modify Scan die folgenden Optionen ein: • Wählen Sie für Scan type die Option File. • Geben Sie in das Feld File name notepad.exe ein. • Optional können Sie in das Feld Scan name einen Anzeigenamen für den Dateiscan eingeben. • Klicken Sie auf Add Scan, um den Scan dem Scanausdruck hinzuzufügen. 10. Wenn Sie den Namen des Scans unter Scan Expression auswählen, wird der vollständige Scanausdruck im Feld Sentence angezeigt: ( ( scan for OS AND scan for notepad ) ) 11. Klicken Sie auf Save. 256 Erstellen eines Geräteprofils Wenn Sie ein Geräteprofil definieren, geben Sie Attribute an, die auf dem Benutzergerät vorhanden sein müssen, damit es dem Profil entspricht. Sie definieren Scans anhand von Scanvorlagen und fügen dann einen oder mehrere Scans der Geräteprofildefinition hinzu. Sie können dann das Geräteprofil in Anmeldepunkten für die Anzeige und in SmartGroups verwenden. Zum Erstellen eines Geräteprofils gehören folgende Schritte: 1. Definieren Sie einen Endpunktscan. Der Scan überprüft bestimmte Aspekte eines Benutzergeräts, u a. Dateien, Prozesse, Registrierungswerte, Betriebssystem, Service Pack und Antivirussoftware. Nachdem Sie den Endpunktscan definiert haben, kann er in mehreren Geräteprofilen verwendet werden. 2. Definieren Sie ein neues Geräteprofil. Das Geräteprofil kann einen oder mehrere Scans enthalten. Hinweis: Sie können ein Geräteprofil in einem Anmeldepunkte und einer SmartGroup verwenden. Wenn das Geräteprofil Teil eines Anmeldepunkts ist, muss das Benutzergerät die Kriterien erfüllen, bevor Benutzer sich anmelden können. Wenn das Gerät Teil der SmartGroup ist, muss das Benutzergerät den Endpoint Analysis-Scan bestehen, um Mitglied der SmartGroup zu werden. 3. Fügen Sie das Geräteprofil als Kriterium für die Mitgliedschaft in der SmartGroup hinzu. Weitere Informationen über SmartGroups finden Sie unter Hinzufügen von SmartGroups. 257 Konfigurieren von Netzwerkressourcen Benutzer verbinden sich mit interne Ressourcen über Netzwerkzugriff durch Access Gateway. Sie können Zugriff auf beliebige Subnetze Ihres Netzwerks gewähren oder verweigern. Beispiel: Sie können einem Benutzer Zugriff auf eine oder mehrere Dateifreigaben in Ihrem Netzwerk gewähren oder dem Benutzer vollen Zugriff auf alle Ressourcen im Netzwerk geben, einschließlich Webanwendungen, Server und E-Mail-Server. Sie erstellen Netzwerkressourcen in der Access Gateway Management Console und lassen dann mit SmartGroups den Zugriff auf die Netzwerkressource zu oder verweigern ihn. Weitere Informationen über das Hinzufügen von Netzwerkressourcen zu SmartGroups finden Sie unter Hinzufügen von Netzwerkressourcen zu einer SmartGroup. 258 Konfigurieren des Netzwerkrouting Um Zugriff auf interne Netzwerkressourcen zu gewähren, muss Access Gateway Daten an interne Netzwerke weiterleiten können. Die Access Gateway-Routingtabelle, das Standardgateway und die statischen Routen, die für Access Gateway angegeben wurden, bestimmen, an welche Netzwerke Access Gateway Daten leiten kann. Die Routingtabelle des Access Gateways muss alle Routen enthalten, die zum Weiterleiten von Daten an interne Netzwerkressourcen erforderlich sind, auf die Benutzer eventuell Zugriff benötigen. Wenn Access Gateway ein Paket erhält, überprüft es die Routingtabelle. Wenn die Zieladresse des Pakets in einem Netzwerk ist, für das es eine Route in der Routingtabelle gibt, wird das Paket an dieses Netzwerk weitergeleitet. Wenn Access Gateway ein Paket erhält und die Routingtabelle keine Route für die Zieladresse des Pakets enthält, sendet Access Gateway das Paket an das Standardgateway. Die Routingfunktionen des Standardgateways bestimmen dann, wie das Paket weitergeleitet wird. 259 Bereitstellen von Netzwerkzugriff für Benutzer Eine Netzwerkressource ermöglicht, die Berechtigungen zum Netzwerk zu steuern. Nachdem Sie eine Netzwerkressource erstellt haben, können Sie die Netzwerkressource in SmartGroups verwalten, um Benutzern den Zugriff zu gewähren oder zu verweigern. Die Netzwerkressourcen, zu denen Sie Benutzern Zugriff gewähren, müssen sich in einem Netzwerk befinden, an das Access Gateway Daten weiterleiten kann. Sie können mit Access Gateway ganz gezielt festlegen, wie Sie Benutzern Zugriff auf Netzwerkressourcen gewähren. Der Benutzerzugriff auf Netzwerkressourcen lässt sich steuern, indem Sie eine Netzwerkressource erstellen. Eine Netzwerkressource enthält einen oder mehrere Netzwerkstandort(e). Im Allgemeinen ist eine Netzwerkressource eine Teilgruppe aller Netzwerkressourcen, an die Access Gateway Daten weiterleiten kann. So kann eine Netzwerkressource z. B. den Zugriff auf eine einzelne Anwendung, eine Gruppe von Anwendungen, einen Bereich von IP-Adressen oder das gesamte Intranet ermöglichen. Welche Elemente Sie in eine Netzwerkressource aufnehmen, hängt im wesentlichen von den verschiedenen Zugriffsanforderungen Ihrer Benutzer ab. So kann es sein, dass Sie einigen Benutzern Zugriff auf viele Ressourcen gewähren möchten, während andere Benutzer lediglich auf einen kleinen Teilsatz der Ressourcen zugreifen können sollen. Sie können das Standardverhalten ändern, sodass SmartGroups der Netzwerkzugriff so lange verweigert wird, bis sie ausdrücklich berechtigt sind, auf eine oder mehrere Netzwerkressourcen zuzugreifen. 260 Netzwerkressourcentopologie Wenn sich Benutzer anmelden, werden deren Anmeldeinformationen an den Authentifizierungsserver gesendet und überprüft. Nachdem die Authentifizierung validiert wurde, prüft das Access Gateway Netzwerkressourcen auf IP-Adressen im gesicherten Netzwerk, auf die Benutzer zugreifen können. Benutzer können dann zu Dateifreigaben, Webanwendungen und anderen Servern navigieren, als wenn sie im Büro wären. Netzwerkressourcen sind SmartGroups zugeordnet, um Richtlinien für die Ressourcenzugriffssteuerung zu bilden. Die folgende Abbildung zeigt die Netzwerktopologie, wenn Benutzer die Verbindung mit dem Access Gateway Plug-in herstellen. Abbildung 1. Netzwerktopologie für Netzwerkressourcengruppen und Authentifizierung Beispiel: Sie möchten Benutzern sicheren Zugriff auf die folgenden Subnetze in Ihrem Netzwerk geben: • Subnetz 10.10.x.x • Subnetz 10.20.10.x • IP-Adressen 10.50.0.60 und 10.60.0.10 Erstellen Sie zu diesem Zweck ein Netzwerkressourcenprofil, indem Sie das folgende Paar aus IP-Adresse und Subnetzmaske festlegen: 10.10.0.0/255.255.0.0 10.20.10.0/255.255.255.0 10.50.0.60/255.255.255.255 10.60.0.10/255.255.255.255 261 Netzwerkressourcentopologie Die Subnetzmaske können Sie in der CIDR-Notation (Classless Inter-Domain Routing) angeben. Beispiel: Sie könnten 10.60.0.10/32 als letzten Eintrag festlegen. Die folgenden Tipps beschreiben Methoden, um eine detailliertere Steuerung beim Erstellen von Netzwerkressourcengruppen zu erzielen: • Sie können den Zugriff zusätzlich einschränken, indem Sie für ein Paar aus IP-Adresse und Subnetzmaske einen Port, einen Portbereich und ein Protokoll angeben. So könnten Sie z. B. festlegen, dass eine Netzwerkressource nur Port 80 und das TCP-Protokoll verwenden kann. • Wenn Sie Netzwerkressourcen für eine SmartGroup konfigurieren, können Sie in der SmartGroup den Zugriff auf die Netzwerkressource zulassen oder verweigern. Auf diese Weise können Sie einen Teil einer ansonsten zugelassenen Ressource ausschließen. So können Sie z. B. einem Benutzer den Zugriff auf 10.20.10.0/24 erlauben, während Sie den Zugriff auf 10.20.10.30 verweigern. Verweigerungsregeln haben Vorrang vor Zulassungsregeln. • Wenn Sie eine oder mehrere Benutzergruppen haben, die Zugriff auf alle Netzwerkressourcen haben sollen, erstellen Sie eine Netzwerkressource für 0.0.0.0/0.0.0.0 und geben Sie den Benutzergruppen in der SmartGroup Zugriff auf diese Netzwerkressource. Für alle anderen SmartGroups müssen Sie den Benutzerzugriff auf einzelne Netzwerkressourcen wie erforderlich zulassen oder verweigern. Hinweis: Wenn Sie eine Netzwerkressource für 0.0.0.0/0.0.0.0 konfigurieren, ist das Split-Tunneling deaktiviert, weil das Benutzergerät den ausgehenden Netzwerkverkehr für alle zulässigen Ressourcen abfängt. In diesem Fall wird der gesamte Netzwerkverkehr an Access Gateway gesendet, einschließlich Verkehr zu öffentlichen Internetwebsites. 262 So fügen Sie eine Netzwerkressource hinzu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Network Resources. 3. Klicken Sie unter Network Resources auf New. 4. Geben Sie im Dialogfeld Network Resources Properties in das Feld Name einen Namen für die Netzwerkressource ein. 5. Geben Sie unter Description eine Beschreibung für die Netzwerkressource ein. 6. Wählen Sie unter Enabled Protocols eines oder alle der aufgelisteten Protokolle. Hinweis: Sie müssen eines oder mehrere Protokolle für jede Netzwerkressource auswählen. Wenn Sie kein Protokoll wählen, können Benutzer keine Verbindung zu der Ressource herstellen. Wenn Sie Repeater wählen, verwendet Access Gateway Branch Repeater für die TCP-Optimierung. 7. Wähler Sie unter Port or port range zwischen diesen Optionen: • Klicken Sie auf All, um alle Ports zuzulassen. Oder • Geben Sie die zulässigen Portnummern ein. 8. Klicken Sie unter Networks list auf New. 9. Geben Sie im Dialogfeld Add Network Resource in das Feld IP address die IP-Adresse ein. 10. Geben Sie unter Subnet mask die Subnetzmaske ein und klicken Sie auf OK. 11. Wiederholen Sie Schritte 8 bis 10 für jede Netzwerkressource und klicken Sie dann auf Save. Nachdem Sie die Netzwerkressourcen erstellt haben, stellen Sie in der SmartGroup ein, ob der Zugriff zugelassen oder verweigert wird. Weitere Informationen finden Sie unter Hinzufügen von Netzwerkressourcen zu einer SmartGroup. 263 So entfernen Sie eine Netzwerkressource Sie können jederzeit mit der Access Gateway Management Console eine Netzwerkressource entfernen. Access Gateway entfernt automatisch die Netzwerkressource aus zugeordneten SmartGroups. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Network Resources. 3. Wählen Sie unter Network Resources eine Netzwerkressource aus und klicken Sie dann auf Remove. 264 Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät Aktualisiert: 2012-05-03 Der Anmeldepunkt definiert die Anmeldeseite für Benutzer und gibt die Einstellungen an, die in Benutzersitzungen angewendet werden. Wenn Sie Anmeldepunkte auf dem Access Gateway-Gerät konfigurieren, gehören zu diesen Einstellungen der Authentifizierungstyp, der Autorisierungstyp, der Anmeldepunkttyp, die zu verwendende Clientsoftware und die Geräteprofileinstellungen. Um die erforderlichen Anmeldepunkte zu ermitteln, sollten Sie folgende Punkte berücksichtigen: • Die Benutzer, die auf Ihre Bereitstellung zugreifen. Beispiel: Benutzer in besonderen Abteilungen benötigen u. U. einen eigenen Anmeldepunkt. Ebenso benötigen Benutzer mit einer besonderen Beziehung zu Ihrer Organisation, z. B. Partner, u. U. einen eigenen Anmeldepunkt. • Die Geräte, mit denen Benutzer auf den Anmeldepunkt zugreifen. Beispiel: Benutzer, die mit Geräten mit kleinem Formfaktor, z. B. PDAs, auf Ressourcen zugreifen, benötigen u. U. einen anderen Anmeldepunkt als Benutzer, die mit Computern auf Ressourcen zugreifen. • Die Richtlinien mit denen Sie den Zugriff auf Ressourcen basierend auf dem verwendeten Anmeldepunkt einschränken möchten. Beispiel: Benutzer, die sich von einem bestimmten Anmeldepunkt authentifizieren, können auf Ressourcen zugreifen, die bei der Verwendung anderer Anmeldepunkte nicht verfügbar sind. Hinweis: Beim Erstellen eines Anmeldepunkts können Sie nur alphanumerische Zeichen verwenden. Sonderzeichen wie ( "" & ! @ # $ % können nicht verwendet werden. 265 Anmeldepunkttypen und -einstellungen Sie können zwei Typen von Anmeldepunkten konfigurieren: Basic und SmartAccess. Ein Basic-Anmeldepunkt lässt nur Verbindungen von Citrix Online Plug-ins oder Citrix Receiver zu veröffentlichten Anwendungen oder Desktops zu. Ein SmartAccess-Anmeldepunkt ermöglicht vollständige VPN-Verbindungen mit dem Access Gateway Plug-in, clientlosem Zugriff auf Websites und Dateifreigaben sowie Endpunktanalyse. Wenn sich Benutzer mit dem Access Gateway Plug-in anmelden, können sie auf alle zulässigen Netzwerkressourcen zuzugreifen, einschließlich E-Mail-Server und Dateifreigaben. Konfigurieren von Basic-Anmeldepunkten Wenn Sie einen Basic-Anmeldepunkt konfigurieren, erstellt Access Gateway automatisch eine SmartGroup und weist den Anmeldepunkt der SmartGroup zu, die mit dem Webinterface Benutzern Anwendungen oder Desktops anzeigt. Wenn Sie einen Basic-Anmeldepunkt erstellen, geben Sie die Webinterface-URL an. Wenn sich Benutzer an einem Basic-Anmeldepunkt anmelden, wird die Plattformlizenz für die Verbindung verwendet. Benutzer melden sich entweder mit den Citrix Online Plug-ins oder mit Citrix Receiver an. Sie können die folgenden Einstellungen für einen Basic-Anmeldepunkt konfigurieren: • Webadresse für das Webinterface • Primärer und sekundärer Authentifizierungstyp • Single Sign-On für Webanwendungen Konfigurieren von SmartAccess-Anmeldepunkten Wenn Sie einen SmartAccess-Anmeldepunkt konfigurieren, stehen alle Access Gateway-Features zur Verfügung und Sie steuern den Zugriff mit Geräteprofilen und SmartGroups. Sie können die folgenden Einstellungen für SmartAccess-Anmeldepunkte konfigurieren: 266 • Primärer und sekundärer Authentifizierungstyp • Primäre und sekundäre Autorisierung • Anmeldepunktanzeige mit Geräteprofilen • Fehlermeldung für Benutzer über die Endpunktanalyse auf dem Benutzergerät • Timeouteinstellungen für Benutzer-, Sitzungs- und Netzwerkinaktivität Anmeldepunkttypen und -einstellungen Die Timeouteinstellungen, die Sie in einem Anmeldepunkt konfigurieren, überschreiben globale Timeouteinstellungen. Wenn Sie in einer SmartGroup andere Timeouteinstellungen konfigurieren, überschreiben die Timeouteinstellungen der SmartGroup die Anmeldepunktund globalen Timeouteinstellungen. 267 Wählen des Authentifizierungstyps für Anmeldepunkte Bevor Sie Anmeldepunkte konfigurieren, müssen Sie die Authentifizierungsprofile auf dem Access Gateway konfigurieren. Wenn Sie dann einen Anmeldepunkt konfigurieren, wählen Sie das Authentifizierungsprofil für den Anmeldepunkt. Wenn Sie eine Basic-Anmeldepunkt konfigurieren, wählen Sie das Authentifizierungsprofil oder Sie authentifizieren Benutzer über das Webinterface. Wenn Sie sich für die Authentifizierung durch das Webinterface entscheiden, stehen alle anderen Einstellungen auf der Eigenschaftenseite für den Anmeldepunkt nicht mehr zur Verfügung. Wenn Sie das Webinterface für die Authentifizierung verwenden, muss der Webinterface-Server in der DMZ sein. Wenn das Webinterface im gesicherten Netzwerk installiert ist, muss die Authentifizierung auf dem Access Gateway konfiguriert werden. Weitere Informationen über das Bereitstellen des Webinterface mit Access Controller finden Sie unter Integrieren von Access Gateway mit XenApp oder XenDesktop. Für Basic- und SmartAccess-Anmeldepunkte können Sie die Zweiquellenauthentifizierung konfigurieren, bei der Benutzer zwei Arten von Anmeldeinformationen eingeben müssen. Beispiel: Benutzer geben einen Benutzernamen, ein Kennwort und eine andere Art von Kennwort ein. Ein zweites Kennwort könnte eine PIN-Nummer und ein Code auf einem Token sein, wie der Token von RSA SecurID. Wenn Sie einen SmartAccess-Anmeldepunkt konfigurieren, können Sie auf den Autorisierungstyp wählen. Wenn Sie die Zweiquellenauthentifizierung verwenden, können Sie zwei Autorisierungsprofile wählen. 268 So konfigurieren Sie einen Basic-Anmeldepunkt auf dem Access Gateway Bevor Sie eine Basic-Anmeldepunkt konfigurieren, müssen Sie das Webinterface installieren und sicherstellen, dass die Kommunikation mit dem Netzwerk funktioniert. Wenn Sie einen Basic-Anmeldepunkt konfigurieren, müssen Sie mindestens einen Secure Ticket Authority (STA)-Server und die ICA-Zugriffssteuerung konfigurieren. Weitere Informationen finden Sie unter So konfigurieren Sie das Access Gateway-Gerät für die Secure Ticket Authority. Wenn Sie eine Basic-Anmeldepunkt konfigurieren, können Benutzer über das Access Gateway oder über das Webinterface authentifiziert werden. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen eindeutigen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic aus. 6. Um einen Authentifizierungsserver im gesicherten Netzwerk zu verwenden, wählen Sie unter Authentication Profiles für Primary den Authentifizierungstyp für den Anmeldepunkt. Wenn sich Benutzer anmelden, geben sie die Anmeldeinformationen für das ausgewählte Authentifizierungsprofil ein. 7. Für die Authentifizierung über das Webinterface klicken Sie auf Authenticate with the Web Interface und geben Sie unter Web Interface die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Webinterface ein. Wenn sich Benutzer anmelden, erhalten sie die Anmeldeseite des Webinterface, auf der sie die Anmeldeinformationen eingeben. Hinweis: Wenn Benutzer sich am Webinterface authentifizieren, empfiehlt Citrix, das Webinterface in der DMZ zu installieren. Bei dieser Bereitstellung findet die Authentifizierung statt, bevor Benutzer auf Ressourcen im gesicherten Netzwerk zugreifen können. 8. Klicken Sie auf Save. 269 Hinzufügen von Webressourcen zu einem Basic-Anmeldepunkt Aktualisiert: 2012-05-03 Beim Erstellen eines Basic-Anmeldepunkts können Sie Webressourcen hinzufügen, auf die Benutzer zugreifen können, wenn Sie sich mit Citrix Receiver anmelden. Webressourcen definieren die Webseiten, Websites oder Anwendungen, die Sie mit Access Gateway sichern möchten. Wenn Sie eine Webressource in Access Gateway hinzufügen, können Sie Single Sign-On für die Webanwendung konfigurieren sowie Zugriff auf einen Protokollbericht über die Anwendung. Der Bericht erfolgt, wenn Benutzer eine Verbindung zu einem Link mit dem URL-Präfix für die Ressource herstellen oder wenn die Ressource im Webbrowser geladen wird. Sie greifen in Access Gateway Management Console über Logging auf den Bericht zu. Sie können mehrere Webressourcen für einen Anmeldepunkt definieren. Beim Definieren einer Webressource müssen Sie die vollständige Webadresse verwenden. Wenn Sie beispielsweise eine Webressource für Box konfigurieren, geben Sie http://www.box.com ein. Die Webadresse kann mit HTTP oder HTTPS konfiguriert werden. Hinweis: Nachdem Sie eine Webressource definiert haben, können Sie die Einstellungen nicht mehr ändern. Um die Einstellungen zu ändern, müssen Sie die Webressource löschen und dann neu hinzufügen. Sie können auch eine Homepage definieren, die angezeigt wird, wenn Benutzer sich anmelden. Die Homepage muss eine URL-Präfix einer definierten Webressource sein. Sie haben beispielsweise http://www.box.com eingegeben. Damit die Box-Website die Homepage wird, geben Sie einen Präfix der Site ein, z. B. http://www.box.com/index.html. Nachdem Sie Webressourcen hinzugefügt haben, können Sie dem Anmeldepunkt zu einem späteren Zeitpunkt neue Ressourcen hinzufügen oder die Webressource von dem Anmeldepunkt löschen. 270 Hinzufügen von Webressourcen zu einem Basic-Anmeldepunkt So fügen Sie Webressourcen hinzu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen eindeutigen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic aus. 6. Klicken Sie auf Website Configuration. 7. Klicken Sie im Dialogfeld Web Resource Properties auf New. 8. Geben Sie im Dialogfeld New Address in das Feld New address die Webadresse für die Anwendung ein. 9. Wählen Sie Single sign-on to Web application, wenn Benutzer auf die Anwendung zugreifen sollen, ohne die Anmeldeinformationen einzugeben. 10. Wählen Sie Log access, wenn Sie auf die Anwendungsprotokolle zugreifen möchten. 11. Wiederholen Sie Schritte 7 bis 10 für jede Webressource, die Sie hinzufügen möchten. 12. Klicken Sie auf OK, wenn Sie fertig sind. 13. Geben Sie im Dialogfeld Web Resource Properties unter Home page die Seite an, die Benutzern nach der Anmeldung angezeigt wird. 14. Klicken Sie auf Save. So löschen Sie Webressourcen 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im Bereich Logon Points einen Basic-Anmeldepunkt aus und klicken Sie dann auf Edit. 4. Klicken Sie auf Website Configuration. 5. Wählen Sie im Dialogfeld Web Resource Properties eine Webressource aus und klicken Sie dann auf Delete. 6. Klicken Sie auf Update und dann auf Save. 271 So konfigurieren Sie einen SmartAccess-Anmeldepunkt auf dem Access Gateway 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option SmartAccess aus. 6. Wählen Sie unter Authentication Profiles für Primary den Authentifizierungstyp. 7. Wählen Sie unter Authorization Profiles ggf. den Autorisierungstyp und klicken Sie auf Save. 272 So legen Sie den Standardanmeldepunkt auf dem Access Gateway fest Standardanmeldepunkte ermöglichen, dass Benutzer sich am Access Gateway anmelden können, ohne einen Anmeldepunkt anzugeben. Beispiel: Benutzer verwenden nur den vollqualifizierten Domänennamen (FQDN) des Geräts, beispielsweise https://AccessGatewayFQDN, um sich am Access Gateway anzumelden. Sonst müssen Benutzer auch den Namen des Anmeldepunkts angeben, um sich anzumelden, z. B. https://AccessGatewayFQDN//lp/Anmeldepunktname. Sie verwenden die Access Gateway Management Console, um einen Anmeldepunkt zum Standardanmeldepunkt machen. Es jeweils nur ein Anmeldepunkt zur Zeit der Standardanmeldepunkt sein. Hinweis: Wenn Benutzer bei der Anmeldung einen nicht vorhandenen Anmeldepunkt angeben, wird eine Meldung angezeigt, dass der Anmeldepunkt nicht verfügbar ist. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im Bereich Logon Points den Anmeldepunkt aus der Liste und klicken Sie auf Set Default. Wenn Sie den Standardanmeldepunkt ändern möchten, wählen Sie den Anmeldepunkt aus und klicken dann auf Set Default. 273 So aktivieren Sie einen SmartAccess-Anmeldepunktanzeige Durch den SmartAccess-Anmeldepunkt wird die Anmeldeseite an den Webbrowser auf dem Benutzergerät gesendet, sodass Benutzer ihre Anmeldeinformationen eingeben können. Sie können die Anmeldeseite nur unter bestimmten Bedingungen anzeigen, indem das Benutzergeräte Endpoint Analysis-Scans (mit Geräteprofilen) bestehen muss, bevor die Seite angezeigt wird. Dies ist die Anzeige des Anmeldepunkts. Die Funktion verstärkt die Sicherheit für die Anmeldeseite. Sie können beispielsweise einen Endpoint Analysis-Scan erstellen, der überprüft, ob auf dem Benutzergerät die erforderliche Antivirussoftware ausgeführt wird. Benutzergeräte, auf denen nicht die erforderliche Antivirussoftware ausgeführt wird, könnten einen Virus hosten oder ein Tastaturschnüffelprogramm, das die Tastaturanschläge eines Benutzers aufzeichnet. Mit solchen Programmen können Anmeldeinformationen eines Benutzers beim Anmelden aufgezeichnet und gestohlen werden. Bevor Sie den Anmeldepunkt konfigurieren, sollten Sie die erforderlichen Geräteprofile erstellen. Sie können das für den Anmeldepunkt das Geräteprofil im Dialogfeld Logon Point Properties wählen. Wenn Benutzer die festgelegten Bedingungen nicht erfüllen, erhalten sie einen Zugriff-Verweigert-Fehler bei dem Versuch, eine Verbindung zur Anmeldeseite zu herzustellen. Benutzern kann auch eine von Ihnen definierte Fehlermeldung für den Anmeldepunkt angezeigt werden. Benutzer müssen das Gerät auf die erforderlichen Dateien, Prozesse, Betriebssysteme, Registrierungseinstellungen oder nicht zugelassenen Ports überprüfen. Wenn Sie in den Eigenschaften des Anmeldepunkts unter Logon Point Visibility keine Bedingungen einstellen, wird die Anmeldeseite allen Benutzern angezeigt, die zu der Webadresse des Access Gateways navigieren können. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im Bereich Logon Points den Anmeldepunkt aus und klicken Sie auf Edit. 4. Wählen Sie unter Logon Visibility die Option Control visibility und wählen Sie eines oder mehrere Geräteprofile aus der Liste. 5. Wählen Sie unter Match entweder All oder Any, um zu steuern, wonach das Geräteprofil sucht, wenn Benutzer sich anmelden. Wenn Sie All wählen, muss das Benutzergerät alle Scans bestehen. Wenn Sie Any wählen, muss das Benutzergerät mindestens einen Scan bestehen. 6. Wählen Sie unter User Remediation Message die Option Show message und geben Sie die Meldung ein, die Benutzern angezeigt werden soll, wenn das Gerät den Endpoint Analysis-Scan nicht besteht. 274 So aktivieren Sie einen SmartAccess-Anmeldepunktanzeige 7. Klicken Sie auf Aktualisieren. 275 So konfigurieren Sie Zweiquellenauthentifizierung und -autorisierung Access Gateway unterstützt Zweiquellenauthentifizierung, d. h. Benutzer müssen zwei Authentifizierungstypen für die Anmeldung verwenden. Access Gateway prüft zuerst den sekundären Authentifizierungstyp auf dem Server. Wenn die Authentifizierung erfolgreich ist, prüft Access Gateway den primären Authentifizierungstyp. Beispiel: Wenn Sie LDAP- und RSA SecurID-Profile auf dem Gerät konfiguriert haben, geben Benutzer bei der Anmeldung das LDAP-Kennwort im ersten Kennwortfeld und die RSA SecurID-PIN-Nummer in das zweite Kennwortfeld ein. Wenn Benutzer auf Anmelden klicken, authentifiziert Access Gateway die Benutzer mit der RSA SecurID-PIN-Nummer und Passcode und dann mit dem LDAP-Kennwort. Sie konfigurieren Zweiquellenauthentifizierung, wenn Sie Basic- oder SmartAccess-Anmeldepunkte erstellen. Das Authentifizierungsprofil kann auch nach dem Erstellen des Anmeldepunkts geändert werden. Bei der Konfiguration des Anmeldepunkts und der Zweiquellenauthentifizierung wählen Sie auch den primären und sekundären Authentifizierungstyp aus. Die LDAP-Authentifizierung funktioniert mit der LDAP-, RADIUS- und RSA SecurID-Authentifizierung. Die RADIUS-Authentifizierung funktioniert nur mit der RADIUS-Authentifizierung. Die Konfiguration der Zweiquellenauthentifizierung ist für Anmeldepunkte optional. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im Bereich Logon Points den Anmeldepunkt aus und klicken Sie auf Edit. 4. Wählen Sie unter Authentication Profiles für Primary ein Authentifizierungsprofil aus. 5. Wählen Sie unter Secondary ein Authentifizierungsprofil aus. 6. Wählen Sie unter Authentication Profiles für Primary ein Autorisierungsprofil aus. 7. Wählen Sie unter Secondary ein Authentifizierungsprofil aus und klicken Sie dann auf Update. 276 So konfigurieren Sie die Timeouteinstellungen für einen Anmeldepunkt Sie können Timeouteinstellungen in Access Gateway global konfigurieren, für einen Anmeldepunkt oder in einer SmartGroup. Die Timeouteinstellungen im Anmeldepunkt überschreiben globale Einstellungen. Die Timeouteinstellungen in der SmartGroup überschreiben die im Anmeldepunkt und die globalen Einstellungen. Sie können drei Timeouteinstellungen für einen Anmeldepunkt aktivieren: • Sitzungstimeout: Mit dieser Einstellung trennt das Access Gateway Plug-in die Verbindung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Der Standardwert für die globale Einstellung ist 30 Minuten. Sie können diese Einstellung nicht deaktivieren. Der Mindestwert ist eine Minute. • Benutzerinaktivitätstimeout: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keine Maus- oder Tastaturaktivität auf dem Benutzergerät erkennt. Der Standardwert für die globale Timeouteinstellung ist 30 Minuten. Wenn Sie diesen Wert für den Anmeldepunkt auf Null setzen, wird diese Timeouteinstellung deaktiviert. • Netzwerkinaktivitätstimeout: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keinen Netzwerkverkehr erkennt. Der Standardwert für die globale Einstellung ist 30 Minuten. Wenn Sie diesen Wert für den Anmeldepunkt auf Null setzen, wird die Einstellung deaktiviert. Zum Überwachen der Netzwerkaktivität ist das Access Gateway Plug-in erforderlich. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im rechten Bereich einen Anmeldepunkt aus und klicken Sie auf Edit. 4. Stellen Sie auf der Seite Logon Point Properties unter Session Properties die folgenden Werte ein: Klicken Sie auf Override user inactivity time-out und geben Sie dann die Anzahl der Minuten ein. • Klicken Sie auf Override network activity time-out und geben Sie dann die Anzahl der Minuten ein. • Klicken Sie auf Override session time-out und geben Sie dann die Anzahl der Minuten ein. 5. Klicken Sie auf Save. • 277 So deaktivieren Sie einen Anmeldepunkt Sie können einen Anmeldepunkt in Access Gateway deaktivieren, wenn Sie vorübergehend Benutzeranmeldungen an einem bestimmten Anmeldepunkt verhindern möchten. Diese Einstellung ist auch nützlich, wenn Sie zum Testen vorübergehend Richtlinien hinzufügen oder entfernen möchten. Sie müssen nicht den Anmeldepunkt entfernen und dann wieder neu erstellen. Hinweis: Wenn Sie einen Anmeldepunkt deaktivieren, sind bestehende Verbindungen nicht betroffen. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie den Anmeldepunkt aus, den Sie deaktivieren möchten und klicken Sie dann auf Edit. 4. Klicken Sie im Dialogfeld Logon Point Properties unter General Properties auf Disable und klicken Sie dann auf Update. 278 So löschen Sie einen Anmeldepunkt aus Access Gateway Wenn Sie einen Anmeldepunkt nicht mehr für Benutzer benötigen, können Sie den Anmeldepunkt aus Access Gateway entfernen Hinweis: Benutzer, die gerade mit dem entfernten Anmeldepunkt verbunden sind, behalten ihre Verbindung zum Access Gateway. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Wählen Sie im Bereich Logon Points den Anmeldepunkt aus und klicken Sie auf Remove. 279 Anpassen der Access Gateway-Anmeldeseite Wenn Benutzer das Access Gateway Plug-in über eine Webbrowser starten, wird die Access Gateway-Anmeldeseite angezeigt. Sie können eine benutzerdefinierte Anmeldeseite erstellen, wenn Sie einen Anmeldepunkt konfigurieren. Beim Konfigurieren eines Basic- oder SmartAccess-Anmeldepunkts können Sie eine der folgenden Anmeldeseiten wählen: • Citrix Default, die Anmeldeseite, die Standardbestandteil von Access Gateway ist. • Receiver Green, mit dem gleichen Anmeldeseitendesign wie Citrix Receiver. • Custom, mit dieser Einstellung können Sie eine eigene Anmeldeseite erstellen. Bei einer Neuinstallation von Access Gateway ist "Receiver Green" die Standardeinstellung für Basic- und SmartAccess-Anmeldepunkte. Bei einem Upgrade von einem früheren Release von Access Gateway auf Version 5.0.4 bleibt die Einstellung "Citrix Default" für alle vorhandenen Anmeldepunkte erhalten. Wenn Sie nach dem Upgrade auf Version 5.0.4 einen neuen Anmeldepunkt erstellen, ist die Standardeinstellung "Receiver Green". Um die Anmeldeseite anzupassen, laden Sie Ihre eigenen Bilder auf Access Gateway hoch. Benutzer erhalten dann die angepasste Anmeldeseite statt die Standardseite. Sie können Hintergrund- und Vordergrundfarben einstellen, Dateien importieren und dann wählen, wo Ihre Inhalte auf der Anmeldeseite angezeigt werden. Sie können außerdem Ihr Logo oder eine andere Grafik in den Kopf- oder Fußbereich der Anmeldeseite positionieren. Wenn Sie Ihr Logo hinzufügen, können Sie es in der Mitte, rechts oder links auf der Anmeldeseite anordnen. Wenn Sie Ihr eigenes Logo in den Kopfbereich einfügen, wird das Logo auf der Anmelde- und Abmeldeseite angezeigt, auf der Anmeldeseite des Endpoint Analysis Plug-ins und auf der Startseite. Wenn Sie einen benutzerdefinierten Hintergrund wählen, kann das Bild wiederholt oder links bzw. unten auf der Anmeldeseite angezeigt werden und Sie können die Position des Hintergrundbildes einstellen. 280 Anpassen der Access Gateway-Anmeldeseite So erstellen Sie eine angepasste Anmeldeseite 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen eindeutigen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic oder SmartAccess aus. 6. Klicken Sie auf die Registerkarte Customization. 7. Klicken Sie unter Customization level auf Custom. 8. Unter Background Properties wählen Sie Folgendes: a. Klicken Sie für Background und Foreground auf die Farbpalette und wählen Sie die Farben. b. Klicken Sie unter Filename auf das Ordnersymbol und navigieren Sie zu der Datei, die Sie hochladen möchten. Wählen Sie unter Position wo die Grafik auf der Anmeldeseite angezeigt werden soll. 9. Klicken Sie auf Save. So verwenden Sie Ihr eigenes Branding auf der Anmeldeseite Sie können Ihr eigenes Branding auf der Anmeldeseite verwenden. Wählen Sie eine Bilddatei und platzieren Sie die Datei im Kopf- oder Fußbereich der Anmeldeseite. Sie können außerdem der Anmeldeseite Inhalte aus einer Datei hinzufügen, die Sie in Access Gateway hochladen. 1. Klicken Sie auf der Registerkarte Customization für den Anmeldepunkt auf Custom. 2. Klicken Sie unter Custom Branding auf die Registerkarte Header oder Footer. 3. Klicken Sie für Logo unter Filename auf das Ordnersymbol und navigieren Sie dann zu der Datei, die Sie hinzufügen möchten. 4. Wenn Sie in Schritt 2 Header gewählt haben und das Logo sowohl auf Anmelde- als auch auf Abmeldeseiten angezeigt werden soll, klicken Sie auf Show logo on logon/logoff page. 5. Wählen Sie unter Background die Hintergrundfarbe. Die Hintergrundfarbe wird nur im Kopfbereich angezeigt. 6. Klicken Sie unter Filename auf das Ordnersymbol und navigieren Sie zu der Datei. 281 Anpassen der Access Gateway-Anmeldeseite Hinweis: Sie können den Hintergrund erst konfigurieren, wenn Sie das Logo hinzugefügt haben. 7. Klicken Sie auf die Registerkarte Content. 8. Wählen Sie unter Color die Hintergrundfarbe. Dieser Hintergrund gilt nur für den zentralen Inhaltsbereich. 9. Klicken Sie unter Filename auf das Ordnersymbol und navigieren Sie zu der Datei. 10. Wählen Sie unter Position wo der Inhalt auf der Anmeldeseite angezeigt werden soll und klicken Sie dann auf Save. 282 Hinzufügen von SmartGroups SmartGroups in Access Gateway enthalten eine Sammlung von Einstellungen, die Benutzer nach folgenden Kriterien zusammenfassen: Identität, Standort, Authentifizierungs- und Autorisierungstyp und Ergebnisse der Endpunktanalyse (wie in den Geräteprofilen definiert). Bevor Sie eine SmartGroup konfigurieren, empfiehlt Citrix, dass Sie die Authentifizierungsprofile, Anmeldepunkte, Netzwerkressourcen und Geräteprofile in der Access Gateway Management Console konfigurieren. Wenn Sie dann die SmartGroup erstellen, können Sie die Einstellungen aktivieren, die bei der Benutzeranmeldung angewendet werden. Um die Benutzer zu definieren, konfigurieren Sie die Gruppenmitgliedschaft in der SmartGroup. Der Name der Gruppe muss der Gruppe entsprechen, die auf dem Autorisierungsserver konfiguriert ist. Sie können Benutzer nicht auf dem Access Gateway konfigurieren. Zugehörige Informationen Erstellen der Authentifizierungs- und Autorisierungsprofile auf dem Access Gateway Definieren von Netzwerkressourcen auf dem Gerät Erstellen von Geräteprofilen Erstellen von Anmeldepunkten auf dem Access Gateway-Gerät 283 So erstellen Sie eine SmartGroup 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Klicken Sie unter SmartGroups auf Add. 4. Konfigurieren Sie im Dialogfeld SmartGroup Properties die Einstellungen und klicken Sie dann auf Save. 284 Konfigurieren von SmartGroup-Einstellungen Auf der Eigenschaftenseite der SmartGroup konfigurieren Sie die Einstellungen für die SmartGroup. Jede SmartGroup kann eine oder mehrere Einstellungen haben. Wenn Sie eine SmartGroup konfigurieren, werden Anmeldepunkte, Geräteprofile, Gruppenmitgliedschaften als Kriterium verwendet, ob Benutzer Mitglied einer SmartGroup sind. Bevor Benutzer Mitglied der SmartGroup werden, müssen Sie alle Kriterien erfüllen, die in der SmartGroup definiert sind. Wenn für eine SmartGroup keine Netzwerkressourcen definiert sind, verweigert die SmartGroup implizit den Zugriff auf alle Ressourcen. Wenn Sie eine SmartGroup konfigurieren, weisen Sie einen oder mehrere SmartAccess-Anmeldepunkte der SmartGroup zu. Beim Anmelden erhalten Benutzer die Einstellungen für den Anmeldepunkt und die Einstellungen, die Sie in der SmartGroup konfiguriert haben. Sie können die folgenden Einstellungen in SmartGroups konfigurieren: • Homepage: Die Homepage, die angezeigt wird, nachdem Benutzer sich anmelden. Es kann das Access Interface, das Webinterface, Outlook Web Access oder SharePoint sein. Wenn Sie in einer SmartGroup keine Homepage konfigurieren, wird das Access Interface angezeigt, nachdem Benutzer sich erfolgreich angemeldet haben. • Anmeldepunkte: Sie können Anmeldepunkte, die Sie auf dem Access Gateway konfiguriert haben, auswählen oder deaktivieren. Sie können beispielsweise zwei Anmeldepunkte für die SmartGroup wählen. Wenn sich Benutzer an dem definierten Anmeldepunkt anmelden, erhalten sie alle Einstellungen, die diesem Anmeldepunkt für die SmartGroup zugeordnet sind. Für jede SmartGroup muss mindestens ein Anmeldepunkt aktiviert sein. Der gleiche Anmeldepunkt kann in mehreren SmartGroups verwendet werden. Hinweis: Wenn Sie eine SmartGroup konfigurieren, können Sie keinen einfachen Anmeldepunkt aus der Liste der verfügbaren Anmeldepunkte wählen. 285 • Geräteprofile: Sie können wählen, welche Geräteprofile Sie für jede SmartGroup verwenden möchten. Access Gateway verwendet die ausgewählten Geräteprofile, um die Zugriffsberechtigungen der Benutzer zu ermitteln. Sie können kein, eines oder mehrere Geräteprofile aktivieren. Wählen eines Geräteprofils für SmartGroups ist optional. • Gruppenmitgliedschaft: Access Gateway verwendet die Gruppenmitgliedschaft, um zu ermitteln, wo die SmartGroup angewendet wird. Die Gruppenmitgliedschaft wird mit extrahierten Gruppen verwendet, die auf dem Autorisierungstyp basieren, den Sie beim Aktiveren des Anmeldepunkts für die SmartGroups aktiviert haben. Eine SmartGroup sollte mindestens einen Gruppennamen für die Gruppenmitgliedschaft definiert haben. Sie können die Gruppennamen in der SmartGroup eingeben. Wenn Sie keine Gruppenmitgliedschaft konfigurieren, werden die vom Autorisierungsserver abgerufenen Benutzergruppen nicht dazu verwendet, die Mitgliedschaft in der SmartGroup festzulegen. Konfigurieren von SmartGroup-Einstellungen 286 • Netzwerkressourcen: Netzwerkressourcen sind die Bereiche im gesicherten Netzwerk, auf die Benutzer zugreifen dürfen. Sie können die Netzwerkressource wählen und dann den Zugriff auf die Netzwerkressource zulassen oder verweigern. • Adresspools: Wenn Benutzer eine eindeutige IP-Adresse brauchen, können Sie der SmartGroup einen Adresspool zuordnen. Beim Anmelden an einem Anmeldepunkt und einer SmartGroup, erhalten Benutzer dann eine eindeutige IP-Adresse. • Erweiterte Eigenschaften: Zu den erweiterten Eigenschaften gehören Einstellungen, die Sie entweder global oder als Teil der SmartGroup festlegen können. Die SmartGroup-Einstellungen überschreiben die globalen Einstellungen. Die erweiterten Eigenschaften sind: • Split-Tunneling • Vorhandene Verbindungen schließen • Nach Netzwerkunterbrechung authentifizieren • Nach Systemneustart authentifizieren • Split DNS • Single Sign-On mit Windows • Timeouteinstellungen für Benutzer-, Sitzungs- und Netzwerkinaktivität So definieren Sie eine Homepage für Benutzer Nachdem Benutzer sich am Access Gateway anmelden, wird die Homepage im Webbrowser angezeigt. Die Standardhomepage für Access Gateway ist das Access Interface. Wenn Benutzer das Access Interface verwenden sollen, müssen Sie es nicht als Teil der SmartGroup konfigurieren. Wenn Sie ein andere Homepage verwenden möchten, konfigurieren Sie sie als Teil der SmartGroup. Wenn Sie Access Gateway für das Webinterface konfigurieren, aber das Webinterface nicht als Homepage verwenden, wird die Liste der veröffentlichten Anwendungen im Access Interface im linken Bereich angezeigt. Der mittlere Bereich enthält eine Liste der Websites auf die Benutzer zugreifen können. Im rechten Bereich wird eine Liste der Dateifreigaben angezeigt, zu denen Benutzer eine Verbindung herstellen können. Wenn das Webinterface nicht Teil der Konfiguration ist, werden im Access Interface nur die Bereiche für die Websites und Dateifreigaben angezeigt. Sie können die folgenden Homepages konfigurieren: • Webinterface • Generic • Outlook Web Access 2007 • Outlook Web App 2010 • SharePoint 2007 Generic ist eine Webseite, mit denen Benutzer eine Verbindung herstellen sollen, die keinem der vordefinierten Typen im Access Gateway entspricht. Beispiele wären eine Webseite in Ihrem Intranet oder die Homepage der Abteilung. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Wählen Sie unter Home Page die Option Use specified home page. 5. Geben Sie in das Feld Web address die URL der Homepage ein. 6. Wählen Sie unter Type den Homepagetyp. 7. Damit Benutzer sich automatisch am Webinterface oder einer Webanwendung anmelden können, klicken Sie auf Single sign-on to the Web application und dann auf Update. 287 So fügen Sie einer SmartGroup einen Anmeldepunkt hinzu Sie können Anmeldepunkte, die Sie auf dem Access Gateway konfiguriert haben, auswählen oder deaktivieren. Sie können beispielsweise zwei Anmeldepunkte für eine SmartGroup auswählen. Wenn sich Benutzer bei einem der definierten Anmeldepunkte anmelden, können sie in die SmartGroup aufgenommen werden. Es gibt zwei Arten von Anmeldepunkten: SmartAccess und Basic. Sie können in SmartGroups nur SmartAccess-Anmeldepunkte verwenden. Sie müssen in jeder SmartGroup mindestens einen Anmeldepunkt aktivieren. Der gleiche Anmeldepunkt kann als Kriterium für den Beitritt zu mehreren SmartGroups verwendet werden. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Klicken Sie unter Group Criteria auf Logon Points. 5. Wählen Sie den Anmeldepunkt aus und klicken Sie auf Update. 288 So fügen Sie einer SmartGroup Geräteprofile hinzu Aktualisiert: 2012-05-03 Sie können für jede SmartGroup kein, eines oder mehrere Geräteprofile aktivieren. Wenn Sie ein Geräteprofil in der SmartGroup aktivieren, müssen Benutzer sich mit einem Benutzergerät anmelden, das die Anforderungen des von Ihnen gewählten Geräteprofils erfüllt. Wenn das Benutzergerät die Überprüfung besteht, erhalten Benutzer die Zugriffsberechtigungen für die jeweilige SmartGroup. Die Ergebnisse des Endpoint Analysis-Scans auf dem Benutzergerät, bestanden oder nicht bestanden, bestimmen die Mitgliedschaft in der SmartGroup. Wählen eines Geräteprofils für SmartGroups ist optional. Wenn Sie kein Geräteprofil wählen, werden keine Endpoint Analysis-Scans verwendet, um die Zugriffsberechtigungen des Benutzers zu bestimmen. Hinweis: Wenn Sie ein Geräteprofil in einem Anmeldepunkt aktivieren, wird der Endpoint Analysis-Scan ausgeführt, wenn Benutzern die Verbindung mit dem Access Gateway herstellen. Wenn das Benutzergerät den Scan nicht besteht, dürfen Benutzer sich nicht anmelden. Weitere Informationen über Geräteprofile finden Sie unter Erstellen von Geräteprofilen. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Klicken Sie unter Group Criteria auf Device Profiles. 5. Wählen Sie eines oder mehrere Geräteprofile und klicken Sie auf Save. 289 So konfigurieren Sie die Gruppenmitgliedschaft in einer SmartGroup Die Gruppenmitgliedschaft definiert, welche Benutzer zu der SmartGroup gehören. Benutzer werden durch die Gruppen definiert, die der Autorisierungsserver zurück gibt. Wenn ein Benutzer Mitglied in einer Gruppe auf dem Autorisierungsserver ist und der Name dieser Gruppe in der Gruppenmitgliedschaft der SmartGroup angegeben wird, gelten für den Benutzer die Einstellungen der SmartGroup. Sie konfigurieren die SmartGroup in der Access Gateway Management Console. Das Autorisierungsprofil, das für den Anmeldepunkt ausgewählt wurde, bestimmt die Gruppen und Benutzer auf dem Autorisierungsserver. Eine SmartGroup sollte mindestens einen Gruppennamen für die Gruppenmitgliedschaft definiert haben. Sie können die Gruppennamen in der SmartGroup eingeben. Sie können Benutzer nicht auf dem Access Gateway konfigurieren. Die Gruppenmitgliedschaft eines Benutzers wird von LDAP-, RADIUS- oder Active Directory-Autorisierungsservern extrahiert und kann als Kriterium für die Mitgliedschaft in einer SmartGroup verwendet werden. Beispiel: Sie definieren eine SmartGroup Externe Auftragnehmer. Sie fügen dann Benutzer, die zu den Gruppen "ACME Corp-Mitarbeiter" oder "Externe Mitarbeiter" gehören, wie in einer Domänenservergruppe definiert, der SmartGroup "Externe Auftragnehmer" hinzu. Außerdem können Sie Anmeldepunkte als Kriterium verwenden, Mitglied einer SmartGroup zu werden. Beispiel: Sie erstellen einen Anmeldepunkt "MeinSchreibtisch" und erstellen dann eine SmartGroup "Mitarbeiter". Sie können dann alle Benutzer, die sich über den Anmeldepunkt "MeinSchreibtisch" anmelden, als Mitglieder der SmartGroup "Mitarbeiter" definieren. Wenn Benutzer zu mehreren SmartGroups gehören, wird Benutzern der Zugriff auf alle Ressourcen gewährt, die von einer der SmartGroups zugelassen wurden. Ist ein Benutzer beispielsweise Mitglied in SmartGroups, erhält der Benutzer beim Anmelde die Einstellungen von jeder SmartGroup. Wenn eine Netzwerkressource 10.8.170.100 in einer SmartGroup zugelassen ist, aber in einer anderen SmartGroup verweigert, können Benutzer nicht auf die Netzwerkressource zugreifen. Wenn eine SmartGroup den Zugriff auf eine Netzwerkressource verweigert, können Benutzer keine Verbindung zu dieser Ressource herstellen, selbst wenn der Zugriff in einer anderen SmartGroup erlaubt wird. 290 So konfigurieren Sie die Gruppenmitgliedschaft in einer SmartGroup 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Klicken Sie im Dialogfeld SmartGroups unter Group Criteria auf Group Membership. 5. Klicken Sie auf New und geben Sie den Namen der Gruppe auf dem Autorisierungsserver ein. 6. Wiederholen Sie Schritt 5 für jede Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf Update. 291 Hinzufügen von Netzwerkressourcen zu einer SmartGroup Netzwerkressourcen sind die Bereiche im gesicherten Netzwerk, auf die Benutzer zugreifen dürfen. Wenn Sie eine Netzwerkressource in einer SmartGroup aktivieren, erlauben oder verweigern Sie den Zugriff auf die Netzwerkressource. Wenn Benutzer zu mehreren SmartGroups gehören, können sie nicht auf eine Netzwerkressource zugreifen, für die der Zugriff in einer SmartGroup verweigert wird, selbst wenn ihnen der Zugriff auf die Ressource in einer anderen SmartGroup erlaubt wird. Die Verweigern-Einstellung hat immer Vorrang vor der Zulassen-Einstellung. Weitere Informationen zum Konfigurieren von Netzwerkressourcen finden Sie unter Konfigurieren von Netzwerkressourcen. So fügen Sie eine Netzwerkressource hinzu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Klicken Sie unter Group Settings auf Network Resources. 5. Wählen Sie unter Name eine Netzwerkressource aus. 6. Klicken Sie unter Rule auf Allow oder Deny und klicken auf dann auf Update. 292 Definieren von Adresspools Aktualisiert: 2012-05-03 In manchen Situationen brauchen Benutzer, die eine Verbindung mit Access Gateway Plug-in herstellen, eine eindeutige IP-Adresse für Access Gateway. So muss z. B. in einer Samba-Umgebung jeder Benutzer, der eine Verbindung zu einem zugewiesenen Netzlaufwerk herstellt, den Eindruck erwecken, dass er sich von einer anderen IP-Adresse aus anmeldet. Wenn Sie Adresspools für eine SmartGroup aktivieren, kann Access Gateway jedem Benutzergerät eine eindeutige IP-Adresse zuweisen. Sie können das Gatewaygerät angeben, das für Adresspools verwendet werden soll. Als Gatewaygerät kommen sowohl das Access Gateway-Gateway als auch andere Geräte infrage. Wenn Sie kein Gateway festlegen, wird ein Access Gateway-Netzwerkadapter verwendet, basierend auf den Netzwerkeinstellungen: • Wenn Sie nur Netzwerkadapter eth0 konfigurieren, wird die IP-Adresse von eth0 als Gateway verwendet. Access Gateway ist innerhalb der Firewall. • Wenn Sie nur Netzwerkadapter eth0 und eth1 konfigurieren, wird die IP-Adresse von eth1 als Gateway verwendet. Access Gateway ist in der DMZ. In diesem Szenario ist der Netzwerkadapter eth1 die interne Schnittstelle. Sie erstellen einen Adresspool im Bereich System Administration in der Access Gateway Management Console. Sie aktivieren oder deaktivieren Adresspools in SmartGroups. Wenn sich Benutzer anmelden und die Einstellungen der SmartGroup erhalten, wird eine eindeutige IP-Adresse aus dem Pool der Verbindung zugewiesen. Wenn Sie Access Gateway in einem Failoverpaar bereitstellen, müssen alle Einstellungen für Adresspools auf jedem Gerät identisch sein. 293 Definieren von Adresspools So erstellen Sie Adresspools 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Address Pools. 3. Klicken Sie unter Address Pools auf New. 4. Geben im Dialogfeld IP Pool Properties in das Feld Name den Namen für den Adresspool an. 5. Geben Sie unter Start IP Address die erste IP-Adresse des Pools ein. 6. Geben Sie unter Number of IP addresses die Anzahl der IP-Adressaliasse ein. In allen Adresspools können insgesamt bis zu 2.000 IP-Adressen vorhanden sein. 7. Geben Sie unter Default Gateway die IP-Adresse des Gateways ein und klicken Sie dann auf Add. Wenn Sie dieses Feld leer lassen, wird ein Access Gateway-Netzwerkadapter verwendet, wie dies bereits weiter oben in diesem Abschnitt beschrieben wurde. Wenn Sie ein anderes Gerät als Gateway festlegen, fügt Access Gateway der Access Gateway-Routingtabelle einen Eintrag für diese Route hinzu. So aktivieren Sie einen Adresspool in einer SmartGroup 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Klicken Sie unter SmartGroups auf eine SmartGroup und klicken Sie dann auf Edit. 4. Klicken Sie im Dialogfeld SmartGroup Properties unter Group Settings auf Address Pools. 5. Klicken Sie auf einen Adresspool und klicken Sie dann auf Update. 294 Wählen der erweiterten Eigenschaften für eine SmartGroup Die Einstellungen in den erweiterten Eigenschaften einer SmartGroup sind die gleichen Einstellungen, die sie im Bereich Global Options im Access Gateway Management Tool konfigurieren können. Sie können für jede SmartGroup Einstellungen konfigurieren, die die globalen Einstellungen überschreiben. Wenn Sie Einstellungen in den erweiterten Eigenschaften konfigurieren, können Sie die folgenden Optionen für jede Einstellung wählen: • Inherit: Der Wert der globalen Einstellung wird verwendet. • Enable: Aktiviert die Einstellung in den erweiterten Eigenschaften für die SmartGroup und überschreibt die globale Einstellung. • Disable: Deaktiviert die Einstellung in den erweiterten Eigenschaften für die SmartGroup und überschreibt die globale Einstellung. Sie können die folgenden Einstellungen konfigurieren: • Split-Tunneling • Bestehende Verbindungen schließen, wenn Benutzer sich am Access Gateway anmelden • Nach Netzwerkunterbrechung authentifizieren • Nach Systemneustart authentifizieren • Split-DNS • Single Sign-On mit Windows • Timeouteinstellungen für Benutzer-, Sitzungs- und Netzwerkinaktivität Wichtig: Die erweiterten Eigenschaften, die Sie für SmartGroups konfigurieren, überschreiben globale Optionen und Anmeldepunkteinstellungen. 295 So konfigurieren Sie Timeouteinstellungen für eine SmartGroup Aktualisiert: 2012-05-03 Sie können Timeouteinstellungen in Access Gateway global konfigurieren, mit einem Anmeldepunkt oder in einer SmartGroup. Die Timeouteinstellungen im Anmeldepunkt überschreiben globale Einstellungen. Die Timeouteinstellungen in der SmartGroup überschreiben die im Anmeldepunkt und die globalen Einstellungen. Sie können drei Timeouteinstellungen in einer SmartGroup aktivieren: • Sitzungstimeout: Mit dieser Einstellung trennt das Access Gateway Plug-in die Verbindung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Der Standardwert für die globale Einstellung ist 30 Minuten. Der Mindestwert ist eine Minute. • Benutzerinaktivitätstimeout: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keine Maus- oder Tastaturaktivität auf dem Benutzergerät erkennt. Der Standardwert für die globale Timeouteinstellung ist 30 Minuten. Wenn Sie diesen Wert für die SmartGroup auf Null setzen, wird diese Sitzungstimeouteinstellung deaktiviert. • Netzwerkinaktivitätstimeout: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keinen Netzwerkverkehr erkennt. Der Standardwert für die globale Einstellung ist 30 Minuten. Wenn Sie diesen Wert in der SmartGroup auf Null setzen, wird die Einstellung deaktiviert. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Wählen Sie unter SmartGroups eine SmartGroup aus und klicken Sie dann auf Edit. 4. Klicken Sie im Dialogfeld SmartGroup Properties unter Group Settings auf Advanced Properties. 5. Legen Sie diese Einstellungen fest: Wählen Sie Override user inactivity time-out und geben Sie dann die Anzahl der Minuten ein oder wählen sie aus der List. • Wählen Sie Override network activity time-out und geben Sie dann die Anzahl der Minuten ein oder wählen sie aus der List. • Wählen Sie Override session time-out und geben Sie dann die Anzahl der Minuten ein oder wählen sie aus der List. 6. Klicken Sie auf Aktualisieren. • 296 So konfigurieren Sie Timeouteinstellungen für eine SmartGroup 297 Konfigurieren von Access Gateway-Geräteeinstellungen über die Befehlszeile Citrix Access Gateway 5.0 hat eine neue Befehlszeilenoberfläche, mit der Sie die Netzwerkeinstellungen konfigurieren, Systeminformationen anzeigen und Probleme beheben können. Nach dem Sie das Access Gateway-Gerät an das Netzwerk angeschlossen haben, können Sie die Netzwerkeinstellungen für die Kommunikation des Geräts mit internen und externen Netzwerken konfigurieren. Sie verbinden das Gerät mit einem seriellen Kabel und wenn die serielle Konsole angezeigt wird, führen Sie Express Setup aus, um die Netzwerkeinstellungen für das Gerät zu konfigurieren. Im Express Setup können Sie die folgenden Einstellungen konfigurieren: • Konfigurieren Sie die IP-Adresse und die Subnetzmaske, die für Verbindungen vom internen oder externen Netzwerk verwendet wird. • Konfigurieren Sie die interne Verwaltungsschnittstelle, die für die Verbindung mit dem gesicherten Netzwerk verwendet wird. • Konfigurieren Sie das Standardgateway. • Konfigurieren Sie die DNS-Server (Domain Name System). • Konfigurieren Sie eine NTP-Server (Network Time Protocol). • Aktivieren Sie Access Controller auf dem Access Gateway. Sie können dann über die Befehlszeile diese zusätzlichen Einstellungen konfigurieren: • Zeigen Sie Systemdatum und Datenträgernutzung an- • Aktivieren oder Deaktivieren Sie den SSH-Zugriff (Secure Shell) auf die Eingabeaufforderung. • Setzen Sie das Zertifikat zurück. • Importieren Sie einen gespeicherten Snapshot, um die Gerätekonfiguration zu ändern, oder stellen Sie ihn wieder her. • Starten Sie das Access Gateway neu oder fahren Sie es herunter. Wenn Sie ein Problem auf dem Access Gateway beheben müssen, können Sie über die Befehlszeile Informationen für den Technischen Support sammeln Sie geben Befehle ein, um Netzwerkinformationen zu sammeln, die Protokollierung zu konfigurieren und ein Support Bundle für den Technischen Support zu erstellen. Das Support Bundle enthält Protokoll-, System- oder Netzwerkinformationen und Konfigurationsdaten, um den Technischen Support 298 Konfigurieren von Access Gateway-Geräteeinstellungen über die Befehlszeile bei der Problemsuche zu unterstützen. Nachdem Sie Access Gateway installiert und die Erstkonfiguration der Einstellungen abgeschlossen haben, können Sie auch später noch die oben erwähnten Einstellungen über die Befehlszeile konfigurieren. Wenn Sie die Befehlszeile nach dem Entfernen des seriellen Kabels verwenden möchten, müssen Sie den SSH-Zugriff auf die Befehlszeile in der Access Gateway Management Console aktivieren. Sie können dann eine SSH-Anwendung verwenden, um eine Verbindung zur Befehlszeile herzustellen. Wenn Sie das Gerät neu konfigurieren oder wenn das Gerät innerhalb von 30 Minuten drei Mal hintereinander nicht gestartet wird und im Systemwiederherstellungsmodus ist, stehen manche Befehlszeilenoptionen nicht zur Verfügung. Unter anderen: 299 • Express Setup • Zertifikate zurücksetzen • Konfiguration importieren Konfigurieren von Access Gateway 5.0 mit Express Setup Express Setup lässt Sie über die Befehlszeile die anfänglichen Netzwerkeinstellungen auf dem Access Gateway konfigurieren. Wenn Sie Access Gateway im Netzwerk installieren, verwenden Sie ein serielles Kabel, um das Gerät an einen Computer mit einem Terminalemulator anzuschließen und dann können Sie mit Express Setup die folgenden Netzwerkeinstellungen konfigurieren: • [0] Internal Management Interface: Wählen Sie den Netzwerkadapter für die Verbindung mit der Access Gateway Management Console. Sie können den Adapter aus der Liste wählen, um auf die Managementkonsole zuzugreifen. • [1] Interface IP, Netmask: Konfigurieren Sie die IP-Adresse und die Subnetzmaske für die Netzwerkadapter auf dem Gerät. Citrix empfiehlt, dass Sie beide Netzwerkadapter verwenden. • [2] Default Gateway: Konfigurieren Sie die IP-Adresse für das Standardgateway, dies kann der Hauptrouter, die Firewall oder der Server Load Balancer sein, abhängig von Ihrer Netzwerkkonfiguration. • [3] DNS Servers: Konfigurieren Sie die DNS-Server (Domain Name System) in Ihrem Netzwerk. Sie können über die Befehlszeile bis zu zwei DNS-Server konfigurieren. • [4] NTP Servers: Konfigurieren Sie eine NTP-Server (Network Time Protocol) in Ihrem Netzwerk. Wenn Sie Access Controller mit Access Gateway bereitstellen, müssen Sie einen NTP-Server konfigurieren, um die Zeit zwischen Access Gateway und Access Controller zu synchronisieren. Sie können über die Befehlszeile bis zu zwei NTP-Server konfigurieren. • [5] AG Deployment Mode: Aktivieren Sie die Kommunikation zwischen Access Gateway und Access Controller Bevor Sie diese Einstellung ändern, müssen Sie das Access Gateway dem Access Controller hinzufügen. Wenn Sie Access Controller über die Befehlszeile aktivieren, geben Sie den gemeinsamen Schlüssel und die Kennung für Access Controller an. Sie können auch IP-Adresse und den Port von Access Controller angeben sowie, dass die Verbindung sicher ist. Weitere Informationen finden Sie unter Aktivieren von Access Controller. • [6] Commit Changes: Speichern Sie die Konfigurationseinstellungen auf dem Access Gateway-Gerät. • [7] Return to Main Menu: Zurück zum Hauptbefehlszeilenmenü. Nachdem Sie mit der Befehlszeile die anfänglichen Netzwerkeinstellungen konfiguriert haben, können Sie mit der Access Gateway Management Console Anmeldepunkte, Geräteprofile und SmartGroups für den Benutzerzugriff konfigurieren. Weitere Informationen finden Sie unter Access Gateway Management Console. 300 So konfigurieren Sie die anfänglichen Netzwerkeinstellungen für Access Gateway 5.0 mit Express Setup Wenn Sie Access Gateway 5.0 zuerst installieren, können Sie mit der seriellen Konsole die IP-Adresse und das Subnetz der Netzwerkadapter im Access Gateway einstellen, sowie der IP-Adresse des Standardgatewaygeräts. Sie verwenden Express Setup, um die Netzwerkeinstellungen auf dem Gerät zu konfigurieren. Wenn Sie Access Gateway über die serielle Konsole erreichen möchten, bevor Sie Konfigurationseinstellungen wählen, verwenden Sie ein serielles Kabel, um das Access Gateway mit einem Computer zu verbinden, auf dem Terminalemulationssoftware ist. Nachdem Sie die anfänglichen Einstellungen konfiguriert haben, können Sie mit der Access Gateway Management Console andere Geräteeinstellungen konfigurieren. Wenn Sie die Befehlszeile verwenden, werden die aktuellen Einstellungen in Klammern angezeigt ([ ]). Hinweis: Citrix empfiehlt, dass Sie beide Netzwerkadapter des Geräts verwenden. 1. Schließen Sie das serielle Kabel an den 9-poligen seriellen Anschluss am Access Gateway und an einen Computer an, auf dem eine Terminalemulationssoftware ausgeführt werden kann. 2. Starten Sie auf dem Computer eine Terminalemulationsanwendung, z. B. PuTTY, HyperTerminal oder Windows Remote Shell. Hinweis: HyperTerminal wird nicht unter Windows Vista, Windows 7, Windows Server 2003 oder Windows Server 2008 installiert. Für diese Betriebssysteme verwenden Sie ein alternatives SSH-Programm (Secure Shell) wie PuTTY oder Windows Remote Shell. 3. Stellen Sie für die serielle Verbindung 9600 Bit/s, 8 Datenbits, keine Parität und 1 Stoppbit ein. Optional kann die Hardware-Flusssteuerung aktiviert werden. 4. Schalten Sie das Access Gateway wieder an. Nach etwa drei Minuten wird auf dem Computerterminal die serielle Konsole angezeigt. Wenn Sie HyperTerminal verwenden, drücken Sie die Eingabetaste. 5. Geben Sie an der seriellen Konsole die Standardanmeldeinformationen für den Administrator ein. Der Benutzername ist admin und das Kennwort ist admin. 6. Geben Sie zum Festlegen der IP-Adresse, der Subnetzmaske und des Standardgatewaygeräts 0 ein und drücken Sie dann die EINGABETASTE, um Express Setup zu starten. 7. Konfigurieren Sie mit dem Menü die Netzwerkeinstellungen für das Gerät. Geben Sie anschließend 6 ein und drücken Sie die EINGABETASTE, um die Änderungen zu übernehmen. 301 So konfigurieren Sie die anfänglichen Netzwerkeinstellungen für Access Gateway 5.0 mit Express Setup 8. Sie überprüfen, ob das Access Gateway eine verbundenes Netzwerkgerät erkennen kann, indem Sie 2 eingeben, um das Menü Troubleshooting zu öffnen. Geben Sie dort 0 ein, um Network Utilities zu öffnen und geben Sie dann 3 ein, um den Ping-Befehl zu verwenden. Geben Sie die IP-Adresse des Zielnetzwerkes ein und drücken Sie die EINGABETASTE. Nachdem Sie geprüft haben, dass Access Gateway eine Verbindung zu anderen Netzwerkorten herstellen kann, fahren Sie das Gerät herunter, sodass Sie die Netzwerkkabel mit dem Gerät verbinden können. Entfernen Sie das serielle Kabel und verbinden Sie das Access Gateway über ein Kreuzkabel mit einem Windows-basierten Computer oder über ein Netzwerkkabel mit einem Netzwerkswitch. Schalten Sie dann das Access Gateway ein. So fahren Sie Access Gateway über die Befehlszeile herunter Fahren Sie das Access Gateway-Gerät nicht herunter, indem Sie den Schalter am Gerät verwenden. Sie können das Gerät über die Befehlszeile herunterfahren. 1. Geben Sie an der Eingabeaufforderung im Hauptmenü 1 ein und drücken Sie die EINGABETASTE, um das Menü System zu öffnen. 2. Geben Sie im Menü System die Option 5 ein und drücken Sie die EINGABETASTE. Folgen Sie dann den Anweisungen. 302 Verwalten des Access Gateways über die Befehlszeile Sie können mit dem Befehlszeilenmenü System statistische Informationen sammeln und das Access Gateway-Gerät verwalten. In diesem Menü haben Sie folgende Optionen: 303 • [0] Systemdatum: Anzeigen von Datum und Uhrzeit auf dem Access Gateway. • [1] Systemdatenträgerverwendung: Anzeigen, wie viel Speicherplatz auf dem Access Gateway verwendet wird. • [2] SSH-Zugriff: Aktivieren oder Deaktivieren einer SSH-Schnittstelle (Secure Shell) wie PuTTY für die Eingabeaufforderung. • [3] Zertifikat zurücksetzen: Zurücksetzen des Access Gateway-Zertifikats. • [4] Systemneustart: Neustarten des Access Gateways. • [5] System herunterfahren: Abschalten des Access Gateways. • [6] Konfiguration wiederherstellen: Wiederherstellen einer früheren Version eines Snapshots. • [7] Konfiguration importieren: Importieren eines gespeicherten Snapshots von einem Computer im Netzwerk. • [8] Zurück zum Hauptmenü: Zurück zum Hauptmenü. Aktivieren von SSH-Zugriff auf die Access Gateway-Befehlszeile Nachdem Sie Access Gateway installiert und die serielle Konsole zum Konfigurieren der anfänglichen Einstellungen verwendet haben, können Sie SSH-Zugriff (Secure Shell) auf die Befehlszeile aktivieren. Sie können dies über die Befehlszeile bei der anfänglichen Konfiguration des Geräts tun oder über die Access Gateway Management Console. So aktivieren Sie SSH-Zugriff auf die Befehlszeile 1. Geben Sie an der Eingabeaufforderung im Hauptmenü 1 ein und drücken Sie die EINGABETASTE, um in das Menü System zu gelangen. 2. Geben Sie im Menü System die Option 2 ein und drücken Sie die EINGABETASTE, um den Befehl Toggle SSH Access auszuführen und folgen Sie Sie Anweisungen, um den SSH-Zugriff zu aktivieren oder deaktivieren. So aktivieren Sie SSH-Zugriff in der Access Gateway Management Console 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Networking. 3. Klicken Sie unter Access Gateway Properties auf Enable support access und klicken Sie dann auf Save. 304 So setzen Sie die Standardkonfiguration für Access Gateway über die Befehlszeile zurück Sie können über die Befehlszeile die Standardkonfiguration von Access Gateway wiederherstellen. Sie haben Wahl, die Standardkonfiguration wiederherzustellen oder eine Support Bundle zum wiederherstellen der Einstellungen zu verwenden. 1. Geben Sie an der Access Gateway-Eingabeaufforderung 1 ein und drücken Sie die EINGABETASTE, um in das Menü System zu gelangen. 2. Geben Sie im Menü System die Option 6 ein und drücken Sie die EINGABETASTE, um die Standardkonfiguration wiederherzustellen. 3. Geben Sie die entsprechende Nummer ein, um den Snapshot zu wählen, den Sie wiederherstellen möchten oder drücken Sie die EINGABETASTE, um den Befehl abzubrechen. 4. Starten Sie das Access Gateway neu, wenn Sie dazu aufgefordert werden. 305 So setzen Sie Zertifikate über die Befehlszeile zurück Sie können über die Befehlszeile das Standardzertifikat auf dem Access Gateway ändern. Wenn Sie das Zertifikat zurücksetzen, entfernt Access Gateway die Passphrase und die neue Zertifikatdatei überschreibt die alte Zertifikatdatei. Wenn Sie das Standardzertifikat zurücksetzen, müssen Sie das Gerät neu starten. 1. Geben Sie an der Eingabeaufforderung im Hauptmenü 1 ein, um in das Menü System zu gelangen. 2. Geben Sie im Menü System die Option 3 ein und drücken Sie die EINGABETASTE, um das Zertifikat zurückzusetzen und folgen Sie den Anweisungen. 306 Problembehandlung für Access Gateway über die Befehlszeile Access Gateway bietet Tools, die Sie beim Beheben von möglichen Problemen mit dem Gerät unterstützen. Vom Troubleshooting-Menü an der Eingabeaufforderung können Sie die folgenden Tools verwenden: 307 • [0] Network Utilities: Anzeigen von Routingtabellen, Netzwerkinformationen und Prüfen von Netzwerkverbindungen mit Traceroute und Ping-Befehl. • [1] Logs: Konfigurieren der Protokollierung und Download der Protokolle auf Ihren Computer. • [2] Support Bundle: Erstellen eines Support Bundles, das Systeminformationen, Protokolle, Datenbankinformationen, Kernspeicherinformationen, Tracingdateien und den aktuellen Snapshot von Access Gateway enthält. Sie können entweder SCP (Secure Copy Protocol) oder FTP (File Transfer Protocol) verwenden, um das Support Bundle für das Supportpersonal auf den Remoteserver zu übertragen. • [3] Back to Main Menu. Zurück zum Hauptbefehlszeilenmenü. Aufzeichnen der Netzwerkeinstellungen für die Problembehandlung Sie folgenden Netzwerkinformationen können Sie über die Befehlszeile anzeigen: • Netzwerkinformationen über jeden Netzwerkadapter im Access Gateway • Access Gateway-Routingtabelle, die Routen zu Netzwerkzielen auflistet • ARP-Tabelleninformationen (Address Resolution Protocol) für Access Gateway • Ping-Befehl zum Erkennen anderer Netzwerke • Traceroute zum Anzeigen der Netzwerkrouten • DNS-Lookup zum Anzeigen der IP-Adresse, die einem DNS-Namen zugeordnet ist • Netzwerktrace für Technisches Supportpersonal So zeigen Netzwerkinformationen in Access Gateway an 1. Geben Sie an der Eingabeaufforderung im Menü Main die Option 2 ein und drücken Sie die EINGABETASTE, um das Menü Troubleshooting zu öffnen. 2. Geben Sie im Menü Troubleshooting die Option 0 ein und drücken Sie die EINGABETASTE, um das Menü Network Utilities zu öffnen. 3. Wählen Sie im Menü Network eine der folgenden Optionen: • Geben Sie 0 ein, um Netzwerkinformationen über Access Gateway zu erhalten. • Geben Sie 1 ein, um die Access Gateway-Routingtabelle anzuzeigen. • Geben Sie 2 ein, um die ARP-Tabelle anzuzeigen. • Geben Sie 3 ein, um das Ping-Dienstprogramm zu öffnen. • Geben Sie 4 ein, um die Netzwerkroute einer IP-Adresse zu verfolgen. • Geben Sie 5 ein, um den DNS-Namen zu finden, der einer IP-Adresse zugeordnet ist. • Geben Sie 6 ein, um ein Netzwerktracing zu erhalten. 4. Folgen Sie den Aufforderungen für die gewählte Option. 308 Erstellen eines Support Bundles Wenn Sie ein Problem mit dem Access Gateway-Gerät haben, können Sie ein Support Bundle erstellen, das Sie an den Technischen Support zur Evaluierung senden. Das Support Bundle enthält die folgenden Informationen: • Systeminformationen • Access Gateway-Protokolle • Access Gateway-Datenbankinformationen • Access Gateway-Kernspeicherinformationen • Tracingdateien • Neusten Snapshot von Access Gateway So erstellen Sie ein Support Bundle 1. Geben Sie an der Access Gateway-Eingabeaufforderung 2 ein und drücken Sie die EINGABETASTE, um in das Menü Troubleshooting zu gelangen. 2. Im Menü Troubleshooting geben Sie 2 ein und drücken die EINGABETASTE, um das Menü Support Bundle zu öffnen. 3. Geben Sie im Menü Support Bundle die Option 0 ein und drücken Sie die EINGABETASTE. Folgen Sie dann den Anweisungen. Wenn Access Gateway das Support Bundle erstellt oder ein zuvor erstelltes Support Bundle überschrieben hat, erhalten Sie eine Meldung mit dem Namen des Support Bundles. Der Name enthält einen Datums- und Uhrzeitstempel und die interne IP-Adresse des Geräts. Das Support Bundle hat die Erweiterung .support. Der Dateiname könnte beispielsweise so aussehen: 20100823150921_10.199.240.168.support. 20100823 ist das Datum, 150921 die Uhrzeit und 10.199.240.168 ist die IP-Adresse. Wenn Sie ein Support Bundle erstellt haben, können Sie anschließend die Menüoptionen SCP (Secure Copy protocol) oder FTP (File Transfer Protocol) verwenden, um das Bundle auf einen Remoteserver für die Beurteilung durch den Technischen Support hochzuladen. 309 Erstellen eines Support Bundles So laden Sie das Support Bundle mit SCP oder FTP hoch 1. Geben Sie an der Access Gateway-Eingabeaufforderung 2 ein und drücken Sie die EINGABETASTE, um in das Menü Troubleshooting zu gelangen. 2. Im Menü Troubleshooting geben Sie 2 ein und drücken die EINGABETASTE, um das Menü Support Bundle zu öffnen. 3. Geben Sie im Menü Support Bundle die Option 1 oder 2 ein und drücken Sie die EINGABETASTE. Folgen Sie dann den Anweisungen. 310 Konfigurieren der Protokollierung über die Befehlszeile Sie können das Befehlszeilenmenü verwenden, um die Protokolle zu konfigurieren, die Sie beim Beheben von möglichen Problemen mit Access Gateway unterstützen. Sie können die Einstellung auf die Standardprotokollierung zurücksetzen, ein neues Protokoll erstellen oder das aktuelle Protokoll anzeigen. Wenn Sie ein Problem beheben müssen, können Sie Protokolle für das Debugging mit Klassen- und Gruppenprotokollierungsebenen erstellen. Sie stellen diese Parameter zusammen mit den Citrix Technical Support-Mitarbeitern ein. So konfigurieren Sie die Protokollierung mit der Befehlszeile 1. Geben im an der Befehlszeile im Menü Main die Option 2 ein und drücken Sie die EINGABETASTE, um das Menü Troubleshooting zu öffnen. 2. Im Menü Troubleshooting geben Sie 1 ein und drücken Sie die EINGABETASTE, um das Menü Logs zu öffnen. 3. Im Menü Logs wählen Sie eine dieser Optionen: 311 • Geben Sie 2 ein, um die Standardprotokollierung wiederherzustellen. • Geben Sie 3 ein, um eine neue Protokolldatei zu erstellen. • Geben Sie 4 ein, um das aktuelle Protokoll anzuzeigen. Wenn Sie diese Option wählen, können Sie angeben, wie viele Zeilen (von 1 bis 1000) des Protokolls Sie sehen möchten. Verwalten von Access Controller In diesem Abschnitt finden Sie Informationen, wie Sie mit der Delivery Services Console Folgendes konfigurieren: 312 • Erstkonfiguration: Beschreibt die unterstützten Konfigurationen für Access Controller und das Ausführen der Serverkonfiguration. • Delivery Services Console: Beschreibt das Verwalten von Access Controller mit der Delivery Services Console. • Authentifizierungs- und Autorisierungsprofile: Beschreibt das Konfigurieren von Active Directory-, LDAP-, RADIUS- und RSA SecurID-Authentifizierungsprofilen. • Anmeldepunkte: Beschreibt das Konfigurieren von einfachen und SmartAccess-Anmeldepunkten. • Resources: Beschreibt das Konfigurieren von Dateifreigaben, Web- und Netzwerkressourcen. • Richtlinien: Beschreibt das Konfigurieren von Filtern, Zugriffs- und Verbindungsrichtlinien. • Endpunktanalyse: Beschreibt das Überprüfen von Anforderungen auf Benutzergeräten. • Clustering und Load Balancing: Beschreibt das Erstellen eines Clusters von Access Gateway-Geräten und Access Controller-Servern. Finden Sie Informationen über das Load Balancing im Cluster. Erstkonfiguration von Access Controller Nachdem Sie Access Controller auf Ihrem Server installiert haben, können Sie Access Controller für die Zusammenarbeit mit dem Access Gateway-Gerät und Citrix XenApp zu konfigurieren. Nach der Installation von Access Controller wird die Serverkonfiguration angezeigt. In diesem Dienstprogramm können Sie die Anfangseinstellungen für Access Controller konfigurieren. Anschließend können Sie in der Delivery Services Console zusätzliche Einstellungen konfigurieren. Sie können auch die Serverkonfiguration erneut ausführen, um Einstellungen zu ändern. Wenn Sie mehr als einen Access Controller-Server in einem Cluster installieren, können Sie zusätzliche Server konfigurieren für die Wiederherstellung im Notfall, zur Steigerung der Leistung und zur Erhöhung der Clusterkapazität für zusätzliche Benutzer. Sie können diese Änderungen der Clusterkonfiguration jederzeit in der Delivery Services Console machen. 313 Funktionsweise der Serverkonfiguration Nach der Installation von Access Controller konfigurieren Sie den Server mit der Serverkonfiguration, die ausgeführt wird, nachdem die Installation von Access Controller abgeschlossen ist. Mit dem Dienstprogramm können Sie erste Konfigurationsaufgaben durchführen, wie z. B. das Erstellen eines Clusters und das Konfigurieren der Grundeinstellungen für Access Controller. Wenn Sie die Serverkonfiguration zum ersten Mal ausführen, konfigurieren Sie die folgenden Einstellungen: • Erstellen Sie einen Cluster erstellen oder treten Sie ihm bei • Erstellen Sie ein Administratordienstkonto • Erstellen Sie ein Microsoft SQL Server-Datenbankkonto. Sie können ein Konto für eine vorhandene SQL Server-Datenbank erstellen oder Sie können SQL Server Express verwenden, das mit Access Controller geliefert wird. • Konfigurieren Sie die Webdienste. Zu diesen Einstellungen gehören der Websitepfad, die ankündigte IP-Adresse des Access Controller-Servers oder ein benutzerdefinierter Pfad für Webinhalte. Wenn Sie die Einstellungen wählen, konfiguriert Access Controller den Cluster und installiert SQL Server Express, wenn Sie diese Option gewählt haben. Im Dienstprogramm Serverkonfiguration führen Sie die folgenden Aufgaben aus: • Prüfen aller Kontendaten • Aktualisieren der Dienste • Anhalten der Access Controller-Dienste • Starten der Access Controller-Dienste • Aktualisieren interner Dienstkontoinformationen • Aktualisieren interner Datenbankkontoinformationen • Synchronisieren des Clusters Administratorkonto für die Serverkonfiguration Die Serverkonfiguration richtet das Administratorkonto ein, das Sie als Dienstkonto angegeben haben. Das Konto wird der lokalen Administratorgruppe hinzugefügt und es erhält in den lokalen Sicherheitsrichtlinien die folgenden Berechtigungen: 314 • Als Teil des Betriebssystems handeln • Anmelden als Stapelverarbeitungsauftrag Funktionsweise der Serverkonfiguration • Anmelden als Dienst Wichtig: Die Serverkonfiguration kann kein SQL-Benutzerkonto für den Zugriff auf die Clusterdatenbank erstellen. Sie müssen ein Konto in SQL Enterprise Manager erstellen, bevor Sie das Benutzerkonto für den Datenbankzugriff ändern können. Das Datenbankbenutzerkonto muss über Systemadministratorrechte verfügen. Mit dem Dienstprogramm Serverkonfiguration wird das Dienstkonto nicht Netzwerkfreigaben hinzugefügt. Durch das Dienstprogramm Serverkonfiguration werden keine früheren Dienstkonten aus der lokalen Sicherheitsrichtlinie oder aus Netzwerkfreigaben entfernt. Falls dies zu Sicherheitsbedenken führt, entfernen Sie die alten Konten, nachdem Sie die Konteninformationen mit dem Dienstprogramm aktualisiert haben. Ändern von Einstellungen mit der Serverkonfiguration Wenn es zu einem späteren Zeitpunkt erforderlich ist, können Sie das Dienstprogramm ausführen, um die Einstellungen zu ändern. Die können die folgenden Konfigurationsaufgaben durchführen: 315 • Ändern des Administratordienstkontos • Auswählen oder Ändern einer Clusterdatenbank und Angeben eines Datenbankservers • Bereitstellen von Anmeldepunkten • Importieren von Endpoint Analysis Plug-in-Paketen • Starten oder Anhalten der Access Controller-Dienste • Konfigurieren der Webdiensteeinstellungen So starten Sie die Serverkonfiguration Nach der Installation von Access Controller können Sie einen Server mit der Serverkonfiguration konfigurieren. Führen Sie die Serverkonfiguration aus, nachdem die Installation abgeschlossen ist. Am Ende der Installation wird ein Dialogfeld angezeigt, dass die Installation erfolgreich war. Klicken Sie in diesem Dialogfeld auf Serverkonfiguration ausführen und schließen Sie wie folgt die Schritte im Assistenten ab. 1. Erstellen Sie einen Cluster oder fügen Sie den Server einem vorhandenen Cluster hinzu. • Neuen Cluster erstellen: Wählen Sie diese Option, wenn Sie einen Cluster erstellen. Der Clustername wird als Name für die Microsoft SQL Server-Datenbank verwendet. Bei dieser Option müssen Sie Lizenzierungs-, Dienstkonto- und Datenbankinformationen eingeben. • Bestehendem Cluster beitreten: Wählen Sie diese Option, wenn Sie einem vorhandenen Cluster einen Server hinzufügen. Bei dieser Option müssen Sie Dienstkonto- und Datenbankinformationen eingeben. 2. Fügen Sie das Dienstkonto hinzu, das die Kommunikation zwischen Diensten und Servern in dem Cluster ermöglicht. 3. Geben Sie an, ob eine vorhandene SQL Server-Datenbank verwendet oder eine lokale Datenbankengine installiert werden soll. Der Datenbankserver speichert die Konfigurationsdaten für den Cluster. • Microsoft SQL Server Wählen Sie diese Option, um eine unterstützte Version von Microsoft SQL Server als Datenbankserver für den Cluster zu verwenden. SQL Server kann auf dem gleichen Server ausgeführt werden wie Access Controller oder Sie können einen separaten Datenbankserver verwenden. Wichtig: Wenn eine SQL Server-Datenbank wählen möchten, muss der SQL-Dienst auf dem angegebenen Server ausgeführt werden. Wenn der SQL-Dienst nicht ausgeführt wird, kann die Serverkonfiguration den Server nicht erkennen. Wenn Sie SQL Server als Datenbank wählen, fordert die Serverkonfiguration Sie auf, den Server anzugeben, auf dem SQL Server installiert ist. 316 • Server für Konfigurationsdatenbank: Geben Sie den Namen den Datenbankservers ein. • Clustername: Geben Sie den Namen des Clusters ein, den Sie erstellen oder dem Sie beitreten möchten. • Dienstkonto für Zugriff auf die Konfigurationsdatenbank verwenden: Wählen Sie diese Option, damit die Anmeldeinformationen des Access Controller-Dienstkontos für den Zugriff auf die SQL-Datenbank verwendet werden. So starten Sie die Serverkonfiguration • • SQL-Authentifizierung für die Konfigurationsdatenbank verwenden: Wählen Sie diese Option, damit die Anmeldeinformationen des SQL-Datenbankkontos für den Zugriff auf die SQL-Datenbank verwendet werden. Wenn Sie diese Option wählen, müssen Sie auch Benutzernamen und Kennwort für die Datenbank eingeben. Microsoft SQL Server Express Wählen Sie diese Option, wenn Access Controller die notwendigen Komponenten für einen lokalen Datenbankserver installieren und eine Datenbank für den Cluster erstellen soll. Die Serverkonfiguration sucht nach SQL Server Express-Instanzen mit der Bezeichnung "CitrixController". Wenn diese Instanz nicht gefundenen wird, installiert die Serverkonfiguration die Instanz für Sie. Hinweis: Verwenden Sie die Microsoft SQL Server Express für eine Pilotbereitstellung von Access Controller. Citrix empfiehlt, SQL Server für große Bereitstellungen zu verwenden. 4. Wählen Sie einen Websitepfad. Der Websitepfad ist die Speicherort, an dem alle Webinhalte für Access Controller installiert werden. Prüfen Sie, dass von Access Controller erkannte Websitepfad für Ihre Bereitstellung gültig ist. Um den physikalischen Pfad zu ändern: a. Wählen Sie die Website aus, die Sie ändern möchten. b. Klicken Sie auf Benutzerdefinierten Pfad für Webinhalte verwenden. c. Geben Sie in das Feld Pfad den physikalischen Pfad ein, den Sie für die Website verwenden möchten. Klicken Sie auf Durchsuchen, um zu dem jeweiligen Verzeichnis zu navigieren. 5. Sichern Sie Website-Verkehr mit SSL. Wenn Sie einen Websitepfad wählen, können Sie auch das SSL-Protokoll aktivieren, um die Kommunikation mit Access Gateway zu sichern. Um den Websiteverkehr zu sichern, aktivieren Sie das Kontrollkästchen Kommunikation mit diesem Server sichern. Wichtig: Die erforderlichen digitalen Zertifikate müssen auf dem Server installiert sein, bevor Sie Access Controller konfigurieren. Dieses Kontrollkästchen ist nicht aktiviert, wenn SSL nicht auf dem Server aktiviert ist. 6. Schließen Sie die Serverkonfiguration ab. Das Dienstprogramm zeigt eine Zusammenfassung der gewählten Optionen und Konfigurationseinstellungen. Nachdem Sie die Zusammenfassung überprüft haben, klicken Sie auf Weiter, um die Serverkonfiguration zu initiieren. Wenn die Konfiguration abgeschlossen ist, klicken Sie auf Fertig stellen und fahren mit der Konfiguration von Access Controller für die Verwaltung des Access Gateway-Geräts fort. 317 Aktivieren von Access Controller Nach der Installation von Access Controller und Ausführen der Serverkonfiguration müssen Sie Access Controller und das Access Gateway-Gerät aktivieren, damit sie sich erkennen. Verwenden Sie die folgenden Richtlinien, um die Kommunikation mit Access Controller zu aktivieren: • Fügen Sie dem Access Controller das Access Gateway-Gerät hinzu. • Klicken Sie in der Access Gateway Management Console im Bereich Deployment Mode auf Access Controller und geben Sie die Serverinformationen ein. • Kopieren Sie den gemeinsamen Schlüssel vom Access Controller in das entsprechende Feld im Bereich Deployment Mode in der Access Gateway Management Console. • Geben Sie in der Access Gateway Management Console im Bereich Name Service Providers die Informationen zu DNS (Domain Name System) und WINS (Windows Internet Name Service) des Access Controller-Servers ein. • Konfigurieren Sie in der Access Gateway Management Console im Bereich Static Routes die statischen IP-Routen. • Stellen Sie sicher, dass Sie das Datum und die Uhrzeit von Access Gateway und dem Access Controller synchronisieren. Hierfür müssen Sie einen NTP-Server (Network Time Protocol) bereitstellen. Nachdem Sie diese Aufgaben durchgeführt und das Gerät neu gestartet haben, verwalten Sie in der Managementkonsole nur die gerätespezifischen Einstellungen. Alle Einstellungen für den Access Controller werden in der Delivery Services Console verwaltet. Weitere Informationen über die Managementkonsole finden Sie unter Access Gateway Management Console. Wenn Sie das Access Gateway so konfigurieren, dass Access Controller verwendet wird, dann werden die folgenden Einstellungen in der Access Gateway Management Console deaktiviert und vorhandene Konfigurationswerte entfernt: 318 • Globale Optionen • Authentifizierung • Geräteprofile • Anmeldepunkte • Netzwerkressourcen • SmartGroups Aktivieren von Access Controller Wurden diese Einstellungen mit dem Management Console konfiguriert, bevor Sie Access Controller aktiviert haben, müssen Sie diese Einstellungen mit der Delivery Services Console noch einmal konfigurieren. Weitere Informationen zum Konfigurieren dieser Einstellungen in der Access Gateway Management Console finden Sie unter Verwalten des Access Gateway-Geräts Wenn Sie die Geräteverwaltung mit Access Controller deaktivieren, werden die globalen Einstellungen für das Access Gateway-Gerät, die Sie in der Managementkonsole konfiguriert haben, aktiviert und vorhandene Konfigurationswerte werden wiederhergestellt. Wenn Sie den Access Controller aktivieren, erstellt Access Gateway einen Snapshot der Konfiguration. Wenn Sie nur Access Gateway in Ihrer Bereitstellung verwenden, können Sie den Snapshot und die Konfigurationseinstellungen wiederherstellen. Weitere Informationen finden Sie unter Verwalten des Access Gateways mit Snapshots. 319 So fügen Sie Access Controller dem Access Gateway hinzu Sie müssen das Access Gateway-Gerät dem Access Controller hinzufügen, bevor Sie Access Controller auf dem Gerät aktivieren. Wenn Sie das Access Gateway-Gerät hinzufügen, kopieren Sie den gemeinsamen Schlüssel vom Access Controller auf das Gerät. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie das Access Gateway-Gerät hinzufügen möchten. 3. Klicken Sie auf Access Gateway-Geräte und dann unter Häufige Aufgaben auf Access Gateway-Gerät hinzufügen. 4. Geben Sie unter Name die IP-Adresse für das Gerät ein. 5. Kopieren Sie die ID unter Access-Gateway-ID und fügen Sie sie in eine Textdatei ein. 6. Kopieren Sie den Schlüssel unter Gemeinsamer Schlüssel und fügen Sie ihn in eine Textdatei ein. Nach dem Abschluss dieser Schritte können Sie zu Access Gateway wechseln und Access Controller aktivieren. Fügen Sie die ID in der Access Gateway Management Console in das entsprechende Feld im Bereich Deployment Mode ein. 7. Klicken Sie für die Netzwerkadressübersetzung (NAT) auf Übersetzte Adresse für die Kommunikation mit diesem Gerät verwenden und geben Sie dann die IP-Adresse und die Portnummer ein. 8. Klicken Sie auf Hinzufügen. 320 So aktivieren Sie Access Controller auf dem Access Gateway-Gerät Bevor Sie das Access Gateway für die Verwendung von Access Controller konfigurieren, fügen Sie das Gerät dem Access Controller hinzu. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Deployment Mode. 3. Klicken Sie neben Access Gateway Mode auf Access Controller. 4. Fügen Sie in das Feld Identifier den Bezeichner aus dem Access Controller ein. 5. Fügen Sie unter Access Controller Settings in das Feld Shared key den gemeinsam verwendeten Schlüssel von Access Controller ein. Hinweis: Der gemeinsam verwendete Schlüssel muss 64 Zeichen lang sein. Sie erhalten den gemeinsamen Schlüssel, wenn Sie Access Gateway-Geräte auf dem Access Controller konfigurieren. 6. Geben Sie in das Feld Server address die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein, auf dem die Access Controller ausgeführt wird. 7. Klicken Sie auf Secure connection, um die Verbindung zwischen Access Gateway und Access Controller zu sichern. 8. Geben Sie unter Port die Portnummer ein und klicken Sie auf Save. So deaktivieren Sie Access Controller auf dem Access Gateway Wenn Access Gateway die Benutzerverbindungen verwalten soll, können Sie Access Controller in der Access Gateway Management Console deaktivieren. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Deployment Mode. 3. Klicken Sie neben Access Gateway Mode auf Appliance und klicken Sie dann auf Save. Wenn Sie ein Access Gateway-Gerät aus Access Controller entfernen, müssen Sie Access Controller mit der Access Gateway Management Console deaktivieren. Wenn Sie Access Controller auf dem Gerät nicht deaktivieren, registriert Access Controller das Access Gateway neu. 321 Verwenden der Delivery Services Console Die Delivery Services Console erweitert die Verwaltungsmöglichkeiten für Ihre Bereitstellung durch Integration vieler Verwaltungsfunktionen Ihrer Citrix Produkte in die Microsoft Management Console (MMC). Die Delivery Service Console ist ein Snap-In für die MMC. Die Managementfunktionen werden durch eine Anzahl an Verwaltungstools (Erweiterungs-Snap-Ins) zur Verfügung gestellt, die Sie bei der Installation von Citrix Access Controller bzw. zu einem späteren Zeitpunkt auswählen können. Installieren der Delivery Services Console Die Delivery Services Console ist Teil der Access Controller-Installation. Wenn die Installation und die Serverkonfiguration abgeschlossen ist, können Sie Einstellungen in Access Controller konfigurieren. Verwalten administrativer Benutzer und Konten Sie müssen System- oder Netzwerkadministrator sein, um die Delivery Services Console zu verwenden. Sie sollten daher sicherstellen, dass die Administratorprivilegien eingerichtet sind, bevor Sie anderen Zugang zu der Konsole geben. Führen Sie die Konsole nicht in zwei gleichzeitigen Sitzungen auf einem Computer mit demselben Konto aus. Änderungen, die an einer Konsole in einer Sitzung vorgenommen wurden, können die in einer anderen Sitzung vorgenommenen Änderungen überschreiben. Bereitstellen der Konsole für Administratoren Um die Konsole für Änderungen an einer Access Controller-Bereitstellung zu verwenden, müssen Administratoren die Berechtigung haben, die COM+-Anwendung für den Access Gateway-Server auszuführen. Weitere Informationen über COM+-Berechtigungen finden Sie unter Sichern der Delivery Services Console mit COM+. So starten Sie die Delivery Services Console 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 322 Benutzeroberfläche der Delivery Services Console Die Hauptbenutzeroberfläche der Delivery Services Console besteht aus drei Bereichen: • Der linke Bereich enthält die Konsolenstruktur. • Im Aufgabenbereich in der Mitte werden Verwaltungsaufgaben und -tools angezeigt. Diesen Bereich gibt es in der Microsoft Management Console nicht. • Im Detailbereich auf der rechten Seite werden Informationen über die Elemente in Ihrer Bereitstellung und verknüpfte Aufgaben angezeigt. Die folgenden Knoten stehen unter dem obersten Knoten in der Konsolenstruktur zur Verfügung. • Warnungen: Listet die Warnungen auf, die von allen Objekten in der Bereitstellung generiert wurden. Doppelklicken Sie auf eine Warnung, um zu dem betroffenen Objekt zu gelangen. • Suchergebnisse: Zeigt die Ergebnisse von einer Suche an, die Sie durchgeführt haben. Klicken Sie im Aufgabenbereich auf Suche, um ein normale oder eine erweiterte Suche durchzuführen. • Ansichten: Sie können die Informationen anpassen, die im Detailbereich anzeigt werden. Alle Einstellungen für den Access Controller und Access Gateway werden in der Delivery Services Console verwaltet. In der Delivery Services Console führen Sie Folgendes aus: 323 • Konfigurieren von Anmeldepunkten, Filtern und Richtlinien • Verwalten mehrerer Access Controller-Cluster und Access Gateway-Geräte • Erstellen von Endpoint Analysis-Scans Suchen von Objekten in Ihrer Umgebung mit der Discovery Bevor Sie mit der Citrix Delivery Services Console die Objekte in Ihrer Bereitstellung verwalten können, müssen Sie eine Discovery durchführen. Es ist nicht das Gleiche wie die Suche nach Objekten, die bereits in der Konsolenstruktur enthalten sind. Diese Objekte suchen Sie mit der Funktion Suche im Aufgabenbereich. Die Discovery aktualisiert dagegen die Objekte mit den aktuellen Informationen aus der Datenbank. Die Discovery umfasst das Hinzufügen, Entfernen oder Aktualisieren der Objekte, u. a. Namen, IP-Adressen und Status. Mit der Aufgabe Discovery durchführen werden diese Objekte erfasst. Wenn Sie die Konsole zum ersten Mal öffnen, wird die Discovery automatisch durchgeführt. Sie sollten die Discovery regelmäßig durchführen, damit die Ansicht Ihrer Bereitstellung stets aktuell ist. Führen Sie in folgenden Situationen eine Discovery durch: • Installieren oder Entfernen eines Objekts oder einer Komponente von Access Gateway oder Access Controller: Die Delivery Services Console erkennt neu installierte Objekte oder Komponenten erst nach einer Discovery. • Hinzufügen oder Entfernen von Objekten in einer bestehenden Bereitstellung: Die Konsolenstruktur, der Detailbereich und die verfügbaren Aufgaben werden erst nach einer Discovery aktualisiert. • Ändern Ihrer Administratorprivilegien oder der Privilegien eines benutzerdefinierten Administrators: Änderungen an Privilegien sind in der Konsole erst nach einer Discovery wirksam. Wenn Sie die Discovery für eine Komponente in der Konsolenstruktur durchführen möchten, wählen Sie die Komponente aus und klicken Sie anschließend auf Discovery durchführen. So führen Sie die Discovery durch 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Wählen Sie in der Konsolenstruktur Citrix Ressourcen. 3. Klicken Sie im Aufgabenbereich unter Häufige Aufgaben auf Discovery durchführen. 324 Konfigurieren von Einstellungen mit dem Dialogfeld "Erste Schritte" Das Dialogfeld "Erste Schritte" in der Delivery Services Console unterstützt Sie beim Konfigurieren der Access Controller-Bereitstellung und enthält Verknüpfungen zu verschiedenen Assistenten, die Sie durch Aufgaben, wie die Konfiguration von Webressourcen und Zugriffsrichtlinien leiten. Diese Links enthalten Folgendes: • Access Gateway-Geräte dem Access Controller hinzufügen • Anmeldepunkte, Authentifizierungsprofile und Endpoint Analysis-Scans für die Benutzeranmeldung konfigurieren • Ressourcen, Richtlinien und Filter für den Benutzerzugriff auf das Netzwerk erstellen So greifen Sie auf das Dialogfeld "Erste Schritte" zu 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie im Navigationsbereich auf den Access Gateway-Knoten und klicken Sie unter Andere Aufgaben auf Erste Schritte. Sie können auch auf den Access Controller- oder Clusterknoten in der Konsolenstruktur klicken und dann unter Andere Aufgaben auf Erste Schritte klicken. 325 Anpassen der Anzeige mit Ansichten Sie können angepasste Darstellungen des Detailbereichs der Delivery Services Console erstellen, so genannte Ansichten. Diese konfigurierbaren Anzeigeeinstellungen ermöglichen Ihnen schnellen Zugriff auf Objekte, die Sie regelmäßig überprüfen müssen, oder auf Objekte in verschieden Abschnitten der Konsolenstruktur, die Sie in der gleichen Ansicht gruppieren möchten. Statt immer wieder die Konsolenstruktur zu durchsuchen, können Sie die Objekte in einer einzigen, leicht aufrufbaren Ansicht platzieren und aktualisierte Informationen zu jeder Zeit sehen, ohne erst danach suchen zu müssen. Sie können beispielsweise eine Ansicht für die Anzeige von Richtlinien für Server in unterschiedlichen Access-Servercluster erstellen. Sie können einen beliebigen Knoten in der Struktur wählen, beispielsweise Ressourcen oder Access Gateway-Geräte, und die Einstellungen in den Ansichten speichern. So passen Sie die Anzeige an 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Wählen Sie in der Konsolenstruktur einen Knoten aus und klicken Sie unter Häufige Aufgaben auf Speichern unter 'Ansichten'. 3. Geben Sie in das Feld Name einen Namen für die Ansicht ein. 4. Geben Sie in das Feld Beschreibung eine Beschreibung für die Ansicht ein. 5. Klicken Sie unter Speicherort auf Neuer Ordner, geben Sie einen Namen für den Ordner ein und klicken Sie auf OK. Nachdem Sie Elemente den Ansichten hinzugefügt haben, können Sie im Aufgabenbereich auf Ansichten klicken, um alle hinzugefügten Elemente im Detailbereich anzuzeigen. 326 Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway Sie können die Authentifizierung von Citrix Access Controller für den Authentifizierungstyp konfigurieren. Access Controller unterstützt folgende Authentifizierungstypen: • Native Active Directory-Authentifizierung • LDAP • RADIUS • RSA SecurID Für jeden Authentifizierungstyp erstellen Sie ein Authentifizierungsprofil. Als Teil des Authentifizierungsprofils können Sie die Autorisierung konfigurieren. Access Gateway unterstützt Active Directory-, LDAP- und RADIUS-Autorisierung. Wenn Sie die Autorisierung konfigurieren, konfigurieren Sie anschließend Netzwerkressourcen, um den Zugriff auf Netzwerkressourcen zuzulassen oder zu verweigern. Wenn Sie Active Directory oder LDAP für die Autorisierung verwenden, ist keine Authentifizierung mit Active Directory oder LDAP erforderlich. Wenn Sie RADIUS-Authentifizierung verwenden und Autorisierung verwenden möchten, müssen Sie RADIUS-Autorisierung verwenden. Sie können mehrere Authentifizierungsprofile in Access Controller konfigurieren, jedes mit unabhängigen Authentifizierungsanforderungen. Wenn sich Benutzer anmelden, bestimmt der Anmeldepunkt, welches Authentifizierungsprofil verwendet wird. Sie können diese Authentifizierungstypen aktivieren, indem Sie die Anmeldepunkteigenschaften in der Delivery Services Console konfigurieren. Wenn Sie einen Anmeldepunkt konfigurieren, wählen Sie die Authentifizierungs- und Autorisierungsmethoden. Sie können beispielsweise LDAP zum Authentifizieren von Benutzern verwenden und mit Active Directory Benutzer zum Zugriff auf bestimmte Unternehmensressourcen autorisieren. Um die Access Gateway-Umgebung weiter zu stärken, können Sie SSL verwenden; SSL ist aber optional. Access Gateway kann SSL für die Kommunikation mit dem Access Controller-Server verwenden. 327 Erstellen eines Active Directory-Authentifizierungsprofils in Access Controller Sie können Benutzer mit nativer Active Directory-Authentifizierung authentifizieren. Wenn Sie diesen Authentifizierungstyp auf Access Controller konfigurieren, werden Benutzer anstelle von LDAP mit der Anwendungsprogrammierschnittstelle für Anwendungen von Windows authentifiziert. Access Controller unterstützt die Authentifizierung mit der Domäne, in der er sich befindet, sowie mit allen vertrauenswürdigen Domänen in der Active Directory-Gesamtstruktur. Wenn Sie ein Active Directory-Authentifizierungsprofil auf Access Controller konfigurieren, können Sie eine Standarddomäne für alle Benutzer auswählen und Benutzern erlauben, eine Domäne anzugeben oder eine Domäne aus der angezeigten Liste auszuwählen. Wenn Sie Active Directory-Authentifizierung konfigurieren, können Sie Benutzern auch erlauben, ihr Kennwort bei der Anmeldung zu ändern. Access Controller unterstützt die folgenden Typen von Anmeldeinformationen: 328 • Benutzername plus Domäne und Kennwort • Domäne\Benutzername und Kennwort • UPN (User Principle Name) und Kennwort Erstellen eines Active Directory-Authentifizierungsprofils in Access Controller So konfigurieren Sie Active Directory-Authentifizierung 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller - Clustereigenschaften auf Authentifizierungsprofile. 5. Klicken Sie auf Neu und wählen Sie dann Active Directory. 6. Geben Sie in Name einen Namen für das Profil ein. 7. Geben Sie in Beschreibung eine Beschreibung für das Profil ein. 8. Wählen Sie unter Domänenauswahl eine der folgenden Optionen: • Ausgewählte Domäne für alle Benutzer verwenden, um eine Standarddomäne für Benutzeranmeldungen festzulegen. • Benutzer geben Domäne an, um Benutzern zu erlauben, ihre Domäne bei der Anmeldung auszuwählen. Benutzer wählen Domäne aus einer Liste, um Benutzern zu erlauben, eine von mehreren Domänen auszuwählen. Wenn Sie diese Option wählen, klicken Sie auf Domänenliste, wählen Sie die Domänen und klicken Sie auf OK. 9. Klicken Sie zweimal auf OK, um die Erstellung des Active Directory-Profils abzuschließen. • 329 Erstellen eines LDAP-Authentifizierungsprofils in Access Controller Mit Authentifizierungsprofilen können Sie die LDAP-Einstellungen auf der Clusterebene konfigurieren und auf Anmeldepunkte anwenden. Bei der Verwendung von LDAP-Authentifizierung und Active Directory-Autorisierung müssen Gruppennamen, einschließlich von Groß- und Kleinschreibung, identisch sein. 330 Erstellen eines LDAP-Authentifizierungsprofils in Access Controller So erstellen Sie ein LDAP-Authentifizierungsprofil 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Wählen Sie Authentifizierungsprofile aus, klicken Sie auf Neu und wählen Sie LDAP. 5. Geben Sie in Name und Beschreibung einen Namen und eine Beschreibung ein, um das Profil zu definieren. 6. Wählen Sie unter Servertyp den LDAP-Servertyp aus, den Sie verwenden. Wenn Sie den LDAP-Server wählen, werden die meisten anderen Felder automatisch mit den Standardwerten des LDAP-Servers ausgefüllt. Sie können die Standardwerte jederzeit ändern. Sie können auch Sonstiges wählen, um in jedes Feld ihre Einstellungen einzugeben. 7. Klicken Sie unter Serverliste auf Neu und geben Sie den Namen oder die IP-Adresse des LDAP-Servers ein, den Sie verwenden möchten. 8. Geben Sie in Port die Serverportnummer ein, die Ihr LDAP-Server für LDAP-Anfragen verwendet. Für LDAP-Verbindungen werden die folgenden Portnummern verwendet: • 389 für unsichere LDAP-Verbindungen • 636 für sichere LDAP-Verbindungen • 3268 für die Abfrage des globalen Katalogs über ungesicherte LDAP-Verbindungen • 3269 für die Abfrage des globalen Katalogs über gesicherte LDAP-Verbindungen 9. Geben Sie in Administratorname den Namen des Administratorbenutzers ein, der Zugriff auf Ihren LDAP-Server hat und berechtigt ist, Benutzereinträge im LDAP-Verzeichnis zu suchen. Im Anschluss finden Sie Beispiele für die Syntax für dieses Feld: "Domäne\Benutzername" (für Active Directory) "ou=administrator,dc=ace,dc=com" "Benutzer@Domänen.N Active Directory verwendet die Parameter Domäne\Benutzername. Das Access Gateway stellt die Bindung an den LDAP-Server mit den Anmeldeinformationen des Administrators her und sucht dann den Benutzer. Anschließend löst Access Gateway die Bindung an die Administratoranmeldeinformationen auf und bindet an die Benutzerinformationen. 10. Geben Sie in Administratorkennwort und Administratorkennwort bestätigen das Kennwort ein. 331 Erstellen eines LDAP-Authentifizierungsprofils in Access Controller 11. Geben Sie in das Feld Basis-DN den Distinguished Name des LDAP-Containers ein, mit dem Benutzersuchen beginnen sollen. Syntaxbeispiele für den Basis-DN: "ou=Benutzer,dc=ace,dc=com" "cn=Benutzer,dc=ace,dc=com" 12. Geben Sie in Benutzernamenattribut und Gruppennamensattribut die Attribute ein, unter denen Access Gateway nach Benutzer- und Gruppennamen für den LDAP-Server suchen soll, den Sie konfigurieren. Geben Sie eines der folgenden Attribute ein, abhängig vom verwendeten Verzeichnisdienst: • Verwenden Sie für Active Directory den Standard sAMAccountName. • Verwenden Sie für Novell eDirectory oder Lotus Domino den Standard cn. • Verwenden Sie für IBM Directory Server den Standard uid. Verwenden Sie für Sun ONE Directory uid oder cn. 13. Wählen Sie unter Suchbereich den Suchtyp aus, der für den LDAP-Servertyp geeignet ist. • 14. Wenn Sie Gesamtes Verzeichnis als Suchbereich wählen, geben Sie unter Benutzermitglied-von-Attribut und Gruppenmitglied-Von-Attribut den Namen des Gruppenattributs ein, mit dem Access Gateway die Gruppen abrufen soll, die mit einem Benutzer während der Autorisierung verknüpft sind. Geben Sie eines der folgenden Attribute ein, abhängig vom verwendeten Verzeichnisdienst: • Verwenden Sie für Active Directory den Standard memberOf. • Verwenden Sie für Novell eDirectory groupMembership. • Verwenden Sie für IBM Tivoli Directory Server den Standard member. Verwenden Sie für Sun Directory Server den Standard member. 15. Wenn Sie Basis-DN angeben als Suchbereich wählen, geben Sie Folgendes an: • a. Geben Sie unter Verzeichniscontainer für Gruppenextrahierung den Distinguished Name des LDAP-Containers an, der für die Suche nach Gruppen verwendet werden soll, zu denen Benutzer gehören. b. Geben Sie unter Filter für Gruppenextrahierung: den LDAP-Filter and, der Instanzen von Gruppen im Container identifiziert. c. Unter Gruppenmitgliedattribut geben Sie den Namen des Attributs ein, das in solchen Instanzen verwendet wird, um den Gruppennamen zu identifizieren. 16. Klicken Sie zwei Mal auf OK. 332 So ermöglichen Sie das benutzerseitige Ändern der Kennwörter für Access Controller Wenn Sie ein LDAP-Authentifizierungsprofil in dem Access Controller konfigurieren, können Sie zulassen, dass Benutzer Ihre Kennwörter ändern. Benutzer, die sich an Active Directory oder Novell eDirectory anmelden, können Ihre Kennwörter ändern. Wenn der Access Controller eine ungesicherte Verbindung verwendet, tritt beim Ändern des Kennworts ggf. ein Fehler auf. Damit Benutzer ihr Kennwort ändern können, wenn Sie LDAP durch Active Directory konfiguriert haben, müssen Sie die folgenden Aufgaben ausführen: • Konfigurieren Sie Port 636 für die gesicherte LDAP-Authentifizierung. • Installieren Sie von einer Zertifizierungsstelle (CA) zertifizierte Stamm- und Serverzertifikate, die zum Signieren des gesicherten LDAP-Zertifikats verwendet werden. Wenn Sie einen Anmeldepunkt einem LDAP-Authentifizierungsprofil für Active Directory oder Novell eDirectory über eine sichere Verbindung zuordnen, können Benutzer Ihre Kennwörter auf der Anmeldeseite ändern. Benutzer, die sich an Active Directory oder Novell eDirectory anmelden, werden zum Ändern des Kennworts aufgefordert. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller - Clustereigenschaften auf Authentifizierungsprofile. 5. Wählen Sie unter Authentifizierungsprofil ein LDAP-Authentifizierungsprofil aus und klicken Sie dann auf Bearbeiten. 6. Wählen Sie Benutzer können Kennwort ändern und klicken dann zweimal auf OK. 333 Erstellen eines RADIUS-Authentifizierungsprofils in Access Controller Mit Authentifizierungsprofilen können Sie die RADIUS-Einstellungen auf der Clusterebene konfigurieren und auf einen oder mehrere Anmeldepunkte anwenden. Zum Erstellen eines RADIUS-Authentifizierungsprofils gehören folgende Aufgaben: 334 • Definieren Sie die RADIUS-Serverauthentifizierung, um die RADIUS-Server und den Timeoutzeitraum anzugeben sowie das Load Balancing oder Failover für die Server zu konfigurieren. • Definieren Sie die RADIUS-Autorisierung mit den Attributen und Werten, die auf dem RADIUS-Server konfiguriert sind. Erstellen eines RADIUS-Authentifizierungsprofils in Access Controller So konfigurieren Sie die RADIUS-Authentifizierung 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller-Clustereigenschaften auf Authentifizierungsprofile, klicken Sie auf Neu und wählen Sie dann RADIUS. 5. Geben Sie in die Felder Name und Beschreibung einen Namen und eine Beschreibung für das Profil ein. 6. Klicken Sie unter Serverliste auf Neu. 7. Geben unter RADIUS-Serverkonfiguration in das Feld Servername oder -adresse die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des RADIUS-Servers ein. 8. Geben Sie in die Felder Authentifizierungsport und Kontoführungsport die Portnummern ein. Die Standardportnummern sind 1812 und 1813. 9. Geben Sie unter Geben Sie die Authentifizierungs-/Autorisierungsinformationen ein in die Felder Geheimer Schlüssel und Geheimen Schlüssel bestätigen den gemeinsamen Schlüssen ein und klicken Sie dann auf OK. Dieser gemeinsame geheime Schlüssel ist der gleiche wie der geheime Schlüssel, der auf dem RADIUS-Server konfiguriert ist. 10. Verwenden Sie unter RADIUS-Profilkonfiguration in der Serverliste die Pfeile Auf und Ab, um die Position des Servers in der Liste zu ändern. 11. Wenn Sie den Zeitraum ändern möchten, nach dem der Benutzerauthentifizierungsprozess bei fehlender Serverantwort das Zeitlimit überschreitet, geben Sie einen anderen Wert in das Feld Netzwerktimeout ein. Standardmäßig ist das Zeitlimit für die Authentifizierung fünf Sekunden. 12. Klicken Sie zwei Mal auf OK. 335 Erstellen eines RSA SecurID-Authentifizierungsprofils in Access Controller Wenn RSA SecurID für die Authentifizierung verwenden, können Sie den Access Controller für die Authentifizierung des Benutzerzugriffs mit den RSA-Servern konfigurieren. Der Access Controller-Server fungiert als RSA Agent Host, um Benutzer zu authentifizieren, die sich anmelden. Die Konfiguration der Authentifizierung mit RSA SecurID besteht aus den folgenden Aufgaben: • Hinzufügen des Agent Hosts auf dem RSA-Server • Konfigurieren von mindestens einem Access Controller-Server als RSA-Server und Generieren einer sdconf.rec-Datei • Generieren einer sdroot-Zertifikatdatei für den Access Controller und Installieren der RSA-Software • Testen der Authentifizierung mit dem RSA SecurID-Server • Konfigurieren eines Anmeldepunkts für die RSA SecurID-Authentifizierung Access Controller unterstützt ein RSA SecurID-Profil. 336 Erstellen eines RSA SecurID-Authentifizierungsprofils in Access Controller So konfigurieren Sie RSA SecurID auf Access Controller 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Access Controller-Clusternamen (der Standard ist CitrixAAC) und wählen Sie den Clusterknoten aus. 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Wählen Sie Authentifizierungsprofile, klicken Sie auf Neu und wählen Sie dann RADIUS-Profile aus. 5. Geben Sie im Dialogfeld RSA SecureID-Konfiguration im Feld Name einen Namen für das Profil ein. 6. Geben Sie in Beschreibung eine Beschreibung für das Profil ein. 7. Wenn die Authentifizierung in Access Gateway erfolgt, klicken Sie unter Konfigurationsdatei für Agenthost auf Durchsuchen, navigieren Sie zu der Datei sdconf.rec, wählen Sie die Datei aus und klicken Sie auf Öffnen. 8. Klicken Sie zwei Mal auf OK. 337 Zuweisen von Authentifizierungsprofilen zu Anmeldepunkten Nach der Konfiguration von Authentifizierungsprofilen in Access Controller müssen Sie diese Profile einem Anmeldepunkt zuweisen. Sie können Authentifizierungsprofile in der Delivery Services Console in den Eigenschaften des Anmeldepunkts, auf den Seiten Authentifizierung und Autorisierung zuweisen. Sie können dem Anmeldepunkt Active Directory-, LDAP-, RADIUS- und RSA SecurID-Profile zuweisen. Wenn Sie ein LDAP-Profil für die Authentifizierung von Benutzern zuweisen, können Sie für die Autorisierung der Benutzer Active Directory, LDAP oder RADIUS auswählen. Wenn Sie ein RADIUS-Profil für die Authentifizierung verwenden, müssen Sie dasselbe Profil für die Autorisierung verwenden. Wenn Sie RSA SecurID für die Authentifizierung verwenden, können Sie Active Directory, LDAP oder RADIUS für die Autorisierung verwenden. Bei RADIUS- oder LDAP-Profilen können Sie festlegen, wie Benutzer auf Ressourcen zugreifen, für die Active Directory-Anmeldeinformationen erforderlich sind. In Szenarios, in denen Benutzer mit RADIUS oder LDAP authentifiziert und autorisiert werden, können Sie Single Sign-On für Active Directory aktivieren. Benutzer greifen dann ohne Eingabe der Active Directory-Anmeldeinformationen auf die Ressourcen zu. Sie müssen hierfür die Single Sign-On-Domäne für Active Directory angeben. Benutzerkonten in der Active Directory-Standarddomäne müssen mit denen auf den RADIUS- oder LDAP-Servern übereinstimmen. 338 Zuweisen von Authentifizierungsprofilen zu Anmeldepunkten So weisen Sie einem Anmeldepunkt Authentifizierungsprofile zu: 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Erweitern Sie Anmeldepunkte und wählen den Anmeldepunkt aus, den Sie konfigurieren möchten. Weitere Informationen zum Erstellen eines neuen Anmeldepunkts finden Sie unter Erstellen von Anmeldepunkten auf dem Access Controller. 4. Klicken Sie unter Häufige Aufgaben auf Anmeldepunkt bearbeiten. 5. Klicken Sie im linken Bereich in Eigenschaften von Anmeldepunkt auf Authentifizierung und dann auf das Authentifizierungsprofil, mit dem Sie Benutzer in Ihrem Unternehmen identifizieren möchten. 6. Klicken Sie im linken Bereich auf Autorisierung und dann auf das Autorisierungsprofil, mit dem Sie die Zugriffsstufe festlegen, die Benutzern nach der erfolgreichen Authentifizierung zugewiesen wird. 7. Klicken Sie auf OK. 339 So konfigurieren Sie die Zweiquellenauthentifizierung auf dem Access Controller Der Access Controller unterstützt Zweiquellenauthentifizierung, d. h. Benutzer müssen zwei Authentifizierungstypen für die Anmeldung verwenden. Der Access Controller prüft zuerst den sekundären Authentifizierungstyp mit dem Server. Wenn die Authentifizierung erfolgreich ist, prüft der Access Controller den primären Authentifizierungstyp. Beispiel: Wenn Sie LDAP- und RSA SecurID-Profile auf dem Gerät konfiguriert haben, geben Benutzer bei der Anmeldung das LDAP-Kennwort im ersten Kennwortfeld und die RSA SecurID-PIN-Nummer in das zweite Kennwortfeld ein. Wenn Benutzer auf Anmelden klicken, authentifiziert der Access die Benutzer mit der RSA SecurID-PIN-Nummer und Passcode und dann mit dem LDAP-Kennwort. Sie konfigurieren Zweiquellenauthentifizierung, wenn Sie Basic- oder SmartAccess-Anmeldepunkte in der Delivery Services Console erstellen. Das Authentifizierungsprofil kann auch nach dem Erstellen des Anmeldepunkts geändert werden. Bei der Konfiguration des Anmeldepunkts und der Zweiquellenauthentifizierung können Sie auch den primären und sekundären Authentifizierungstyp auswählen. Die LDAP-Authentifizierung funktioniert mit der Active Directory-, LDAP-, RADIUS- und RSA SecurID-Authentifizierung. Die RADIUS-Authentifizierung funktioniert nur mit der RADIUS-Authentifizierung. Die Active Directory-Authentifizierung funktioniert mit der LDAP-, RADIUS- und RSA SecurID-Authentifizierung. Die Konfiguration der Zweiquellenauthentifizierung ist für Anmeldepunkte optional. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur den Access Controller-Clusternamen (der Standard ist CitrixController). 3. Klicken Sie auf Anmeldepunkte und wählen einen Anmeldepunkt aus. Weitere Informationen zum Erstellen eines neuen Anmeldepunkts finden Sie unter Erstellen von Anmeldepunkten auf dem Access Controller. 4. Klicken Sie unter Häufige Aufgaben auf Anmeldepunkt bearbeiten. 5. Klicken Sie im linken Bereich in Eigenschaften von Anmeldepunkt auf Authentifizierung. 6. Klicken Sie unter Authentifizierungsprofile auf Hinzufügen, um dem Anmeldepunkt die Authentifizierungsprofile hinzuzufügen. 7. Klicken Sie unter Authentifizierungsprofile auf Primär, um das primäre Authentifizierungsprofil auszuwählen, klicken Sie dann auf OK. Das primäre Authentifizierungsprofil wird für Single Sign-On verwendet. 340 So authentifizieren Sie Benutzer in Access Controller Wenn Sie Access Gateway und Access Controller bereitstellen, authentifiziert Access Gateway Benutzer in der Regel durch direkte Kommunikation mit den Authentifizierungsservern. Abhängig von dem Bereitstellungsszenario können Sie Access Controller als Quelle für den Authentifizierungsverkehr konfigurieren, wenn Benutzer sich anmelden. Sie können Access Controller für die Authentifizierung von Benutzeranfragen für LDAP-, RADIUS- und RSA SecurID-Authentifizierung konfigurieren. Bei der Active Directory-Authentifizierung fungiert Access Controller immer als Quelle für den Authentifizierungsverkehr. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf den Namen des Access Controller-Clusters (der Standard ist CitrixController). 3. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller - Clustereigenschaften auf Authentifizierungsprofile. 5. Wählen Sie das LDAP-, RADIUS- und RSA SecurID-Authentifizierungsprofil aus und klicken Sie auf Bearbeiten. 6. Klicken Sie auf Authentifizierung bei Access Controller erzwingen und klicken Sie dann auf OK. 341 Erstellen von Anmeldepunkten auf dem Access Controller Der Anmeldepunkt definiert die Anmeldeseite für Benutzer und gibt die Einstellungen an, die in Benutzersitzungen angewendet werden. Wenn Sie Anmeldepunkte auf Citrix Access Controller konfigurieren, umfassen die anfänglichen Einstellungen den erforderlichen Anmeldepunkttyp, Authentifizierungstyp, das zu verwendende Endpoint Analysis Plug-in, die Homepage und die Citrix XenApp-Serverfarmen. Benutzersitzungen übernehmen die Eigenschaften über den Anmeldepunkt, über den sie eine Verbindung herstellen. Um die erforderlichen Anmeldepunkte zu ermitteln, sollten Sie folgende Punkte berücksichtigen: • Die Benutzer, die auf Ihre Bereitstellung zugreifen. Beispiel: Benutzer in besonderen Abteilungen benötigen u. U. einen eigenen Anmeldepunkt. Ebenso benötigen Benutzer mit einer besonderen Beziehung zu Ihrer Organisation, z. B. Partner, u. U. einen eigenen Anmeldepunkt. • Die Geräte, mit denen Benutzer auf den Anmeldepunkt zugreifen. Beispiel: Benutzer, die mit Geräten mit kleinem Formfaktor, z. B. PDAs, auf Ressourcen zugreifen, benötigen u. U. einen separaten Anmeldepunkt von dem Anmeldepunkt, auf den mit Computern zugegriffen wird. • Die Richtlinien, die Sie erstellen möchten, um den Zugriff auf Ressourcen basierend auf dem verwendeten Anmeldepunkt einzuschränken. Beispiel: Benutzer, die sich von einem bestimmten Anmeldepunkt authentifizieren, können auf bestimmte Ressourcen zugreifen, die bei der Verwendung anderer Anmeldepunkte nicht verfügbar sind. Es gibt zwei Typen von Anmeldepunkten: Basic und SmartAccess. Basic-Anmeldepunkte Ein Basic-Anmeldepunkt lässt Benutzer nur Verbindungen über das Citrix Online Plug-in oder Citrix Receiver herstellen. Mit einem Basic-Anmeldepunkt können Benutzer sich nur an XenApp oder XenDesktop anmelden und die Verbindung herstellen. Sie können die folgenden Einstellungen für einen Basic-Anmeldepunkt konfigurieren: 342 • Definieren der Webinterface-Homepage. Sie müssen das Webinterface als eine Citrix Webinterface-Anwendung in einer Webressource konfigurieren. • Konfigurieren Sie den Authentifizierungstyp. Erstellen von Anmeldepunkten auf dem Access Controller SmartAccess-Anmeldepunkte Benutzer können sich mit einem SmartAccess-Anmeldepunkt mit dem Access Gateway Plug-in anmelden und erhalten vollständigen Netzwerkzugriff. Sie können die folgenden Einstellungen für einen SmartAccess-Anmeldepunkt konfigurieren: 343 • Definieren der Homepage. Die Homepage kann das Access Interface oder eine andere Homepage sein. • Konfigurieren des Authentifizierungstyps. • Konfigurieren der Gruppenautorisierung. • Konfigurieren der XenApp-Farmen, die mit dem Anmeldepunkt verwendet werden sollen. • Konfigurieren von Audio- und Fenstereinstellungen. • Konfigurieren von Workspace Control. • Konfigurieren der Endpunktanalyse. • Auswählen des Endpoint Analysis Plug-ins, das mit dem Anmeldepunkt verwendet werden soll. Konfigurieren eines Basic-Anmeldepunkts Aktualisiert: 2012-05-03 Mit einem Basic-Anmeldepunkt können sich Benutzer mit den Citrix Online Plug-ins oder Citrix Receiver anmelden. Wenn sich Benutzer anmelden, können sie nur auf in der XenApp-Serverfarm veröffentlichte Anwendungen oder in XenDesktop veröffentlichte Desktops zugreifen. Benutzer, die sich mit einem Basic-Anmeldepunkt anmelden, verwenden die Plattform-Lizenz. Die universelle Lizenz wird nicht verwendet. Führen Sie die folgenden Aufgaben aus, um einen Basic-Anmeldepunkt in Ihrer Access Controller-Bereitstellung zu konfigurieren: 344 • Erstellen des Anmeldepunkts mit der Delivery Services Console • Bereitstellen des Anmeldepunkts mit der Serverkonfiguration Konfigurieren eines Basic-Anmeldepunkts So erstellen Sie einen Basic-Anmeldepunkt 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und anschließend auf den Access Controller-Cluster, auf dem Sie einen Basic-Anmeldepunkt erstellen möchten. 3. Klicken Sie auf Anmeldepunkte und klicken Sie unter Häufige Aufgaben auf Anmeldepunkt erstellen. 4. Führen Sie auf der Seite Anmeldepunkt definieren folgende Aufgaben durch: a. Geben Sie in Anmeldepunktname einen eindeutigen Namen für den Anmeldepunkt ein. b. Geben Sie in Beschreibung eine Beschreibung für den Anmeldepunkt ein. c. Wählen Sie unter Typ die Option Basic aus. d. Klicken Sie auf Next. 5. Wählen Sie unter Homepage auswählen die Webinterface-Site aus, die Sie als Homepage verwenden möchten. Bevor Sie den Anmeldepunkt konfigurieren können, müssen Sie das Webinterface als Webanwendung in einer Webressource konfigurieren. Weitere Informationen finden Sie unter Erstellen von Webressourcen. 6. Wählen Sie auf der Seite Authentifizierung konfigurieren das Authentifizierungsprofil aus, das Sie verwenden möchten, wenn Benutzer sich anmelden. Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie unter Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway. 7. Klicken Sie auf der Seite Anzeige der Anmeldeseite auf Anmeldepunkt aktivieren; klicken Sie dann auf Fertig stellen. Wenn Sie das Webinterface für die Benutzerauthentifizierung verwenden möchten, klicken Sie auf der Seite Anmeldepunkt definieren auf Nicht authentifiziert. Wenn Sie dieses Kontrollkästchen nicht aktivieren, authentifiziert Access Gateway Benutzer mit dem im Anmeldepunkt ausgewählten Authentifizierungsprofil. 345 Hinzufügen eines SmartAccess-Anmeldepunkts Aktualisiert: 2012-05-03 Mit einem SmartAccess-Anmeldepunkt können Benutzer sich mit dem Access Gateway Plug-in anmelden und auf Ressourcen im sicheren Netzwerk zugreifen. Wenn Benutzer sich mit dem Plug-in anmelden, verwenden Sie eine universelle Lizenz. Führen Sie die folgenden Aufgaben aus, um einen Anmeldepunkt in Ihrer Access Controller-Bereitstellung zu konfigurieren: 346 • Erstellen des Anmeldepunkts mit der Delivery Services Console • Bereitstellen des Anmeldepunkts mit der Serverkonfiguration Hinzufügen eines SmartAccess-Anmeldepunkts So erstellen Sie einen SmartAccess-Anmeldepunkt 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und anschließend auf den Access Controller, auf dem Sie einen SmartAccess-Anmeldepunkt erstellen möchten. 3. Klicken Sie auf Anmeldepunkte und klicken Sie unter Häufige Aufgaben auf Anmeldepunkt erstellen. 4. Führen Sie auf der Seite Anmeldepunkt definieren folgende Aufgaben durch: a. Geben Sie in Anmeldepunktname einen eindeutigen Namen für den Anmeldepunkt ein. b. Geben Sie in Beschreibung eine Beschreibung für den Anmeldepunkt ein. c. Wählen Sie unter Typ die Option SmartAccess aus. d. Klicken Sie auf Weiter. 5. Wählen Sie unter Homepage auswählen die Seite aus, die Benutzern nach der Anmeldung angezeigt werden soll. • Access Interface anzeigen: Zeigt das Access Interface an, eine integrierte Standardhomepage mit Registerkarten für E-Mail, Dateifreigaben und veröffentlichte Anwendungen für Benutzer. Webressource mit der höchsten Priorität anzeigen: Zeigt die Webanwendung an, die an oberster Stelle der Anzeigereihenfolge steht. Um die Anzeigepriorität zu ändern, klicken Sie auf Anzeigereihenfolge einstellen. 6. Wählen Sie auf den Seiten Authentifizierung konfigurieren und Gruppenautorisierung konfigurieren die Authentifizierungsmethode und Gruppenautorität aus, die Sie verwenden möchten, wenn Benutzer sich anmelden. Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie unter Erstellen von Authentifizierungsund Autorisierungsprofilen auf dem Access Gateway. • 7. Fügen Sie auf der Seite XenApp-Farmen die Farmen hinzu, die Sie Benutzern zur Verfügung stellen möchten. Wenn Sie das Webinterface zum Bereitstellen veröffentlichter Anwendungen verwenden, müssen Sie dem Anmeldepunkt keine Cluster hinzufügen. Weitere Informationen zur Verwendung des Webinterface mit Access Controller finden Sie unter Integrieren von XenApp und XenDesktop mit Access Controller.. 8. Konfigurieren Sie auf der Seite Ton- und Fenstereinstellungen Optionen für Ton, Fensterfarbe und Fenstergröße. 9. Konfigurieren Sie auf der Seite Workspace Control konfigurieren Optionen, damit Benutzer Verbindungen zu ihren geöffneten Anwendungen wiederherstellen können. Wenn Benutzer Popupblocker aktiviert haben, werden Sie bei jeder Anwendung aufgefordert zuzulassen, sie in einem separaten Fenster zu öffnen. 10. Legen Sie auf der Seite Sitzungstimeouts das Intervall, in Minuten, für die folgenden Timeouteinstellungen fest: 347 Hinzufügen eines SmartAccess-Anmeldepunkts • Sitzungstimeout: Die Zeitspanne, die eine Sitzung, die das Access Gateway Plug-in verwendet, aktiv sein darf. Der Standardwert ist 1440 Minuten (ein Tag). Hinweis: Sitzungstimeouts funktionieren nur mit dem Access Gateway Plug-in. Wenn Benutzer sich über das Access Interface anmelden, endet die Sitzung nicht nach dem angegebenen Zeitraum. • Netzwerkinaktivitätstimeout: Die Zeitspanne, die eine Nur-Browser-Sitzung oder eine Sitzung, die das Access Gateway Plug-in verwendet, aktiv sein darf, ohne dass irgendwelche Datenaktivität festgestellt wird. Der Standardwert ist 20 Minuten. • Benutzerinaktivitätstimeout: Die Zeitspanne, die eine Sitzung, die das Access Gateway Plug-in verwendet, aktiv sein darf, ohne dass Maus- oder Tastatureingaben ermittelt werden. 11. Wählen Sie auf der Seite Anzeige der Anmeldeseite, ob Benutzer, die sich über das Access Gateway anmelden, die Anmeldeseite sehen können, oder legen Sie Bedingungen für die Anzeige der Anmeldeseite für Benutzer fest, die sich direkt an Access Controller anmelden. Der Standardanmeldepunkt ist immer sichtbar für Benutzer, die sich über Access Gateway anmelden. Weitere Informationen über die Verwendung von Bedingungen zum Anzeigen der Anmeldeseite finden Sie unter Einstellen von Bedingungen für die Anzeige der Anmeldeseite. 12. Geben Sie auf der Seite EPA-Wartung eine Meldung ein, die Benutzern angezeigt wird, wenn die Endpunktanalyse fehlschlägt. 13. Wählen Sie auf der Seite Wählen Sie das Plug-in die Endpoint Analysis Plug-ins aus, die Sie Benutzern bei der Anmeldung bereitstellen möchten. 348 So stellen Sie einen Anmeldepunkt bereit Sie verwenden die Access Controller-Serverkonfiguration, um Anmeldepunkte bereitzustellen. Wenn Sie den Anmeldepunkt bereitstellen, wird er für Benutzer sichtbar. 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Wählen Sie auf der Seite Anmeldepunkte den Anmeldepunkt aus, den Sie bereitstellen möchten. 3. Klicken Sie auf Bereitstellen und dann auf OK. 349 Aktualisieren der Informationen auf der Anmeldeseite Access Gateway speichert Kopien der Webseiten und Grafikdateien, aus denen sich die Anmeldeseiten zusammensetzen, die Benutzern beim Zugriff auf Ressourcen angezeigt werden. Sie müssen diese Dateien in folgenden Situationen aktualisieren: • Bereitstellen eines neuen Anmeldepunkts • Anpassen einer bestehenden Anmeldeseite • Neubereitstellen eines umbenannten Anmeldepunkts So aktualisieren Sie die Informationen auf der Anmeldeseite 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, klicken Sie auf Access Gateway und dann auf einen Access Controller-Server. 3. Klicken Sie auf Anmeldepunkte und wählen Sie den Anmeldepunkt aus, den Sie aktualisieren möchten. 4. Klicken Sie unter Häufige Aufgaben auf Informationen auf der Anmeldeseite aktualisieren. Wenn Access Gateway beim Durchführen dieser Aufgabe nicht verfügbar ist, wird in der Konsole in einer Fehlermeldung angegeben, dass das Access Gateway-Gerät veraltet ist. Wenn Access Gateway beim erneuten Durchführen dieser Aufgabe verfügbar ist, wird in der Konsole in einer Meldung die erfolgreiche Aktualisierung angegeben. 350 Einstellen des Standardanmeldepunkts Standardanmeldepunkte ermöglichen, dass Benutzer sich über Access Gateway an einem Cluster anmelden können, ohne einen Anmeldepunkt anzugeben. Mit der Delivery Services Console können Sie einen Anmeldepunkt zum Standardanmeldepunkt machen. Es jeweils nur ein Anmeldepunkt zur Zeit der Standardanmeldepunkt sein. Wenn Sie einen Anmeldepunkt als Standardanmeldepunkt angeben, wird dieser Anmeldepunkt automatisch Benutzern angezeigt, die sich über Access Gateway anmelden. Wenn Sie zu einem späteren Zeitpunkt einen anderen Anmeldepunkt als Standardanmeldepunkt einstellen, bleibt der Anmeldepunkt für diese Benutzer sichtbar. Wenn der Anmeldepunkt nur Benutzern angezeigt werden soll, die sich von innerhalb des Firmennetzwerks an Access Controller anmelden, müssen Sie die Anzeigeeinstellungen in den Eigenschaften des Anmeldepunkts ändern. So stellen Sie den Standardanmeldepunkt ein 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und anschließend den Access Controller, auf dem Sie den Standardanmeldepunkt konfigurieren möchten. 3. Erweitern Sie Anmeldepunkte und wählen Sie dann den Anmeldepunkt, den Sie als Standardanmeldepunkt verwenden möchten. 4. Klicken Sie unter Häufige Aufgaben auf Als Standardanmeldepunkt einstellen. 351 Entfernen von Anmeldepunkten Wenn Sie einen Anmeldepunkt nicht mehr für Benutzer benötigen, können Sie ihn entfernen Führen Sie die folgenden Aufgaben aus, um einen Anmeldepunkt aus der Access Controller-Bereitstellung zu entfernen: • Entfernen Sie alle Filter oder Endpoint Analysis-Scanregeln, die diesem Anmeldepunkt zugewiesen sind. • Entfernen Sie das virtuelle Verzeichnis des Anmeldepunkts mit dem Dienstprogramm "Serverkonfiguration" vom Access Controller-Server. • Löschen Sie den Anmeldepunkt in der Delivery Services Console. Der Standardanmeldepunkt kann nicht gelöscht werden. So entfernen Sie das virtuelle Verzeichnis eines bereitgestellten Anmeldepunkts vom Server Sie können nur bereitgestellte Anmeldepunkte entfernen. 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie in der Serverkonfiguration auf Anmeldepunkte. 3. Wählen Sie auf der Seite Anmeldepunkte den Anmeldepunkt aus, den Sie entfernen möchten, klicken Sie auf Entfernen und dann auf OK. So löschen Sie einen Anmeldepunkt in der Konsole 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen und klicken Sie auf den Access Controller-Server, auf dem Sie einen Anmeldepunkt löschen möchten. 3. Erweitern Sie Anmeldepunkte und wählen den Anmeldepunkt aus, den Sie löschen möchten. 4. Klicken Sie unter Häufige Aufgaben auf Anmeldepunkt löschen. 352 Anpassen der EPA-Wartungsmeldung Wenn der Zugriff verweigert wird, da das Benutzergerät nicht die Anforderungen erfüllt, die in den Eigenschaften für den Anmeldepunkt für die Anzeige der Anmeldeseite konfiguriert sind, wird Benutzer eine Seite "Zugriff verweigert" angezeigt, wenn sie auf die Anmeldeseite zugreifen. Sie können die Meldung ändern, die auf der Seite "Zugriff verweigert" angezeigt wird, um Benutzern Hinweise für die Problembehandlung zu geben. Sie können beispielsweise die Meldung mit häufig gestellten Fragen und Kontaktangaben für die technische Unterstützung anpassen. Denkbar wäre auch, Benutzer von der Seite "Zugriff verweigert" auf eine Webseite umzuleiten, die Links zu Installationspaketen für die Clientsoftware enthält. Sie können eine eindeutige Meldung für jeden Anmeldepunkt erstellen. Hinweis: Die Meldung kann höchstens 2048 Unicode-Zeichen (20 KB) umfassen. So bearbeiten Sie die Meldung "Zugriff verweigert" 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Namen des Access Controller-Servers, auf dem Sie eine EPA-Wartungsmeldung konfigurieren möchten. 3. Erweitern Sie Anmeldepunkte und klicken Sie dann auf den Namen eines konfigurierten Anmeldepunkts. 4. Klicken Sie unter Häufige Aufgaben auf Anmeldepunkt bearbeiten. 5. Klicken Sie im Dialogfeld Eigenschaften von Anmeldepunkt auf EPA-Wartung. 6. Geben Sie den Meldungstext in das Feld ein, der Benutzern angezeigt wird, wenn die Endpoint Analysis-Scans fehlschlagen, und klicken Sie auf OK. 353 Hinzufügen von Ressourcen zum Access Controller Wenn Sie die Netzwerkressourcen mit Access Controller steuern möchten, fügen Sie sie einem Cluster in der Delivery Services Console hinzu und erstellen dann Richtlinien für die Ressourcen. Zu Ressourcen gehören die Bereiche im Netzwerk, auf die Benutzer zugreifen können. Sie können die folgenden Ressourcen auf dem Access Controller erstellen: • Ressourcengruppen, in denen Sie verschiedene Typen der Ressourcen in einer Einheit gruppieren und dann Richtlinien auf die Gruppe anwenden können. • Netzwerkressourcen zum Definieren von Subnetzen oder Servern im Netzwerk, mit denen sich Benutzer direkt verbinden. • Webressourcen, die Webseiten, Sites oder Anwendungen definieren, die Sie mit Richtlinien sichern möchten. • Dateifreigaben, die freigegebene Verzeichnisse, Ordner und Dateien im Netzwerk enthalten, die Sie mit Richtlinien sichern möchten. Sie können Netzwerkressourcen in den folgenden Formaten definieren: 354 • Eine IP-Adresse • Ein Subnetz im Netzwerk, das die Netzwerkadresse und Subnetzmaske enthält Erstellen von Netzwerkressourcen Sie konfigurieren Netzwerkressourcen in Access Controller, um Subnetze oder Server im Netzwerk zu definieren, mit denen sich Benutzer über Access Gateway mit dem Access Gateway Plug-in verbinden können. Standardmäßig wird Benutzern der Zugriff auf Netzwerkressourcen verweigert, bis Sie in der Delivery Services Console Richtlinien erstellen, die den Zugriff gewähren. 355 Erstellen von Netzwerkressourcen So erstellen Sie eine Netzwerkressource 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie anschließend auf den Access Controller-Cluster, auf dem Sie eine Netzwerkressource erstellen möchten. 3. Erweitern Sie Ressourcen, klicken Sie auf Netzwerkressourcen und klicken Sie dann unter Häufige Aufgaben auf Netzwerkressource erstellen. 4. Geben Sie im Assistenten zum Erstellen einer Netzwerkressource auf der Seite Netzwerkressource definieren in die Felder Netzwerkressourcenname und Beschreibung einen Namen und eine Beschreibung für die Ressource ein und klicken Sie auf Weiter. 5. Klicken Sie auf der Seite Server und Ports angeben auf Neu und konfigurieren Sie dann Folgendes: a. Geben Sie in die Felder Netzwerk-IP-Adresse und Subnetzmaske die IP-Adresse und die Subnetzmaske für das Netzwerk ein. Um ganze Subnetze zu definieren, geben Sie die Netzwerkadressen mit Subnetzmasken an. Um beispielsweise alle Server im Netzwerk 10.x.x.x zu definieren, geben Sie die Subnetzmaske 255.0.0.0 an. Um einen einzelnen Server zu definieren, können Sie die spezielle Netzwerk-IP-Adresse, z. B. 10.2.3.4, mit der Subnetzmaske 255.255.255.255 angeben. b. Geben unter Einzelne IP-Adresse die IP-Adresse eines Servers in dem Netzwerk an, auf den Benutzer Zugriff haben. 6. Geben Sie unter Port einen Port oder eine Portbereich ein, klicken Sie auf OK und klicken Sie dann auf Weiter. Sie können mehrere Ports oder Portbereiche angeben, indem Sie jeden Port durch ein Komma abtrennen und Bereiche mit einem Bindestrich. Beispielsweise bedeutet "22,80,110-120", dass die Ressource Port 22, Port 80 und alle Ports von 110 bis 120 verwendet. Benutzerverbindungen mit dem Access Gateway Plug-in über Access Gateway sind auf den angegebenen Ports zulässig. 7. Wählen Sie unter Protokolle die Netzwerkprotokolle aus, die für die Netzwerkressource verwendet werden. 8. Wählen Sie Protokollierung aktivieren, um Verbindungsinformationen für die Netzwerkressource zu protokollieren. 9. Klicken Sie auf OK und dann auf Weiter. 10. Wählen Sie auf der Seite Richtlinie hinzufügen eine der folgenden Optionen aus: • Jetzt Standardrichtlinie erstellen, die allen Benutzern Zugriff gibt Hinweis: Wenn Sie eine Standardrichtlinie erstellen, können Sie deren Eigenschaften später bearbeiten. 356 Erstellen von Netzwerkressourcen • Später Richtlinie hinzufügen, die allen Benutzern Zugriff gibt 11. Klicken Sie auf Fertig stellen. Nachdem Sie eine Netzwerkressource definiert haben, können Sie die Einstellungen der Standardrichtlinie ändern oder Richtlinien erstellen, die den Benutzerzugriff und Verbindungseinstellungen steuern. Die einzige Zugriffsberechtigung, die Sie für Netzwerkressourcen gewähren können, ist den Zugriff zulassen oder verweigern. Da Benutzer sich direkt mit den Diensten verbinden, die durch den angegebenen Port oder Netzwerkunterknoten definiert werden, wird das URL-Neuschreiben nicht verwendet. Verbinden mit Ressourcen über das URL-Neuschreiben ist erforderlich, wenn Sie den Zugriff mit der Aktionssteuerung feinsteuern möchten. Wenn Benutzer sich mit dem Access Gateway Plug-in verbinden, können sie eine Liste ihrer Netzwerkressourcen in den Plug-in-Eigenschaften sehen. 357 Erstellen von Webressourcen Webressourcen definieren die Webseiten, -sites oder -anwendungen, die Sie im Access Controller mit Richtlinien sichern möchten. Sie können mehrere URLs gruppieren und sie als eine Webressource definieren. Standardmäßig wird Benutzern der Zugriff auf eine Webressource verweigert, bis Sie in der Delivery Services Console Richtlinien erstellen, die Zugriffsberechtigungen gewähren. Wenn Sie eine Webressource in den Internetinformationsdiensten (IIS) konfigurieren, die Digestauthentifizierung verwenden und eine Webressource in Access Controller konfigurieren, ohne Single Sign-On zu aktivieren, schlägt die Authentifizierung fehl, wenn Benutzer ihre Anmeldeinformationen eingeben. Damit die Authentifizierung erfolgreich ist, wählen Sie beim Konfigurieren der Webressource in IIS die einfache Authentifizierung statt der Digestauthentifizierung. 358 Erstellen von Webressourcen So erstellen Sie eine Webressource 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie anschließend auf den Access Controller, auf dem Sie eine Webressource erstellen möchten. 3. Erweitern Sie Ressourcen, klicken Sie auf Webressourcen und klicken Sie dann unter Häufige Aufgaben auf Webressourcen erstellen. 4. Geben Sie im Assistenten "Webressource erstellen" auf der Seite Webressource erstellen in die Felder Webressourcename und Beschreibung einen Namen und eine Beschreibung für die Ressource ein und klicken Sie auf Weiter. 5. Klicken Sie auf der Seite Adressen konfigurieren auf Neu. 6. Geben Sie unter Webadresse die Adresse ein. Als Adresse können Sie Folgendes angeben: • Virtuelle Verzeichnisse, aber keine einzelnen Dokumente. Sie können also beispielsweise http://PeopleManagementSystem/Recruiting/ hinzufügen, aber nicht http://PeopleManagementSystem/How-to-Interview.html. • Dynamische Systemtoken, wie http://www.MeineFirma.com/Benutzer/#<FullName> Um einen dynamischen Systemtoken zu verwenden, klicken Sie auf Token aktivieren (Tokens für diese Ressource werden ersetzt). Als Adresse können Sie nicht angeben: • Allgemeine reguläre Ausdrücke wie http://www.server[1-0]+.com/[A-Za-z]+(A-Za-z0-9)*/ • Platzhalter wie *.MeineURL.com oder http://www.*/Abtlg/MeineFirma.com 7. Wählen Sie unter Anwendungstyp den Webanwendungstyp. Der Anwendungstyp bestimmt, ob spezielle Informationen für die Webadressen-Konfiguration erforderlich ist. 359 • Citrix Webinterface verweist auf eine Webinterface-Site, auf der die für Benutzer in Citrix XenApp veröffentlichten Anwendungen oder die in Citrix XenDesktop veröffentlichten Desktops angezeigt werden. Weitere Informationen finden Sie unter Integrieren von XenApp und XenDesktop mit Access Controller.. • Microsoft Outlook Web Access 2007 oder Microsoft Outlook Web App 2010 verweist auf den Exchange-Server, auf dem Outlook Web Access ausgeführt wird. • Microsoft SharePoint 2007 verweist auf eine SharePoint-Site. • Microsoft SharePoint mit Webinterface-Web Part verweist auf ein Web Part, das dazu dient, Citrix Webinterface als ein Bereich einer SharePoint-Site bereitzustellen. Dieser Anwendungstyp unterstützt SmartAccess-Features über das Webinterface. Erstellen von Webressourcen • Webanwendung verweist auf eine Website-URL, für die spezielle Konfigurationsinformationen erforderlich sind. Dieser Anwendungstyp ist die Standardeinstellung. • Webanwendung (Sitzungscookies erforderlich) verweist auf Websites, die Cookies erhalten dürfen. Standardmäßig leitet das URL-Neuschreiben Cookies nicht an umgeleitete URL-Adressen weiter. URL-Neuschreiben leitet Cookies auch nicht an den Standardwebanwendungstyp weiter. Hinweis: Wenn Sie Outlook Web Access oder Outlook Web App konfigurieren und die Dateitypzuordnung aktivieren, müssen Sie die Erweiterung .js in XenApp deaktivieren, um zu verhindern, dass Benutzer Dateien mit dieser Erweiterung öffnen. Wenn Sie die Erweiterung .js aktiviert lassen, können Benutzer möglicherweise keine E-Mails lesen oder andere Aufgaben in Outlook ausführen. Sie können die Erweiterung .js mit der Inhaltsumleitung in XenApp deaktivieren. Weitere Informationen finden Sie in der XenApp-Dokumentation unter So aktualisieren Sie Dateitypzuordnungen in der Citrix eDocs-Bibliothek. 8. Klicken Sie auf OK. 9. Wählen Sie die folgenden Optionen zum Veröffentlichen in den Ressourcenlisten der Benutzer, wenn diese Ressource im Access Interface angezeigt werden soll. a. Wählen Sie In Ressourcenliste für Benutzer veröffentlichen und geben Sie dann in das Feld Homepage die Webadresse ein. • Die Homepage muss eine Seite mit exakten Webadresse sein, die Sie im Schritt 6 angeben haben. Wenn Sie also beispielsweise http://Firma.net als Ressourcenadresse eingeben, können Sie eine Seite der Site angeben, wie z. B. http://Firma.net/Buchhaltung. Wenn Ihr Verzeichnisdienst den Homepagetoken verwendet, können Sie die URL der Homepage mit #<HomePage> angeben. b. Wählen Sie Als empfohlene Anwendung veröffentlichen. 10. Klicken Sie auf Weiter. • 11. Wählen Sie auf der Seite Richtlinie hinzufügen eine der folgenden Optionen aus: • Standardrichtlinie erstellen, die allen Benutzern Zugriff gewährt. Hinweis: Wenn Sie eine Standardrichtlinie erstellen, können Sie deren Eigenschaften später bearbeiten. • 360 Zugriffsrichtlinie später erstellen. Konfigurieren von Single Sign-On für Webressourcen Wenn Sie Single Sign-On für Webressourcen aktivieren, müssen Benutzer ihre Anmeldeinformationen nicht ein zweites Mal eingeben. Wenn Sie Zweiquellenauthentifizierung verwenden, verwendet der Access Controller den primären Authentifizierungstyp für Single Sign-On. So konfigurieren Sie Single Sign-On für Webressourcen 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie Single Sign-On konfigurieren möchten. 3. Erweitern Sie Ressourcen, erweitern Sie Webressourcen und klicken Sie dann auf eine Ressource. 4. Klicken Sie unter Häufige Aufgaben auf Webressource bearbeiten. 5. Klicken Sie auf der Seite Eigenschaften von Webressource auf Webadressen. 6. Wählen Sie unter Webadresse eine Ressource aus und klicken Sie dann auf Bearbeiten. 7. Klicken Sie im Dialogfeld Webadresse bearbeiten auf Single Sign-On aktivieren und dann auf OK. 8. Wiederholen Sie Schritte 6 und 7 für alle Ressourcen, für die Sie Single Sign-On aktivieren möchten, und klicken Sie dann auf OK. 361 Erstellen von Dateifreigaben Dateifreigaben bestehen aus freigegebenen Verzeichnissen, Ordnern und Dateien im Netzwerk, die Sie in Access Controller mit Richtlinien sichern möchten. Sie können mehrere Dateifreigaben gruppieren und sie als eine Ressource definieren. Gruppieren der Dateifreigaben erfordert weniger Richtlinien, da jede Richtlinie für die Ressource für alle Dateifreigaben in der Gruppe gilt. Standardmäßig wird Benutzern der Zugriff auf Dateifreigaben verweigert, bis Sie in der Delivery Services Console Richtlinien erstellen, die den Zugriff gewähren. 362 Erstellen von Dateifreigaben So erstellen Sie eine Dateifreigabe 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie eine Freigabe erstellen möchten. 3. Erweitern Sie Ressourcen, klicken Sie auf Dateifreigaben und klicken Sie dann unter Häufige Aufgaben auf Dateifreigabe erstellen. 4. Geben Sie im Assistenten "Neue Dateifreigabe" auf der Seite Dateifreigabe definieren in die Felder Dateifreigabename und Beschreibung einen Namen und eine Beschreibung für die Ressource ein und klicken Sie auf Weiter. 5. Klicken Sie auf der Seite Adresse konfigurieren auf Neu. 6. Geben Sie unter Dateifreigabe in das Feld Anzeigename einen Namen für die Dateifreigabe an. 7. Geben Sie unter Speicherort der Dateifreigabe den Pfad zu der Dateifreigabe ein, z. B. \\MeinServer\Dateifreigabeordner. • Sie können Adressen für bestimmte Dokumentdateien sowie Verzeichnisse angeben. Sie können dynamische Systemtoken verwenden, z. B. #<username>. Um Systemtoken zu verwenden, muss das Dienstkonto in der Serverkonfiguration für Access Controller ein Domänenkonto und nicht ein lokales Konto auf dem Computer sein. Wenn Sie Token verwenden, wählen Sie Token aktivieren (Token werden in der Ressource ersetzt). 8. Wählen Sie In Ressourcenliste für Benutzer veröffentlichen, wenn diese Ressource im Access Interface aufgelistet werden soll. • Wenn Sie eine Dateifreigabe nicht veröffentlichen, können Benutzer mit einem Browser immer noch zu der Freigabe navigieren, vorausgesetzt, eine Richtlinie gewährt ihnen Zugriff auf die Dateifreigabe. Auf eine Dateifreigabe zu den Benutzer Zugriff haben, die aber nicht veröffentlicht ist, kann auch zugegriffen werden, wenn sie in eine Webseite oder eine E-Mail eingebettet ist. 9. Klicken Sie auf OK und dann auf Weiter. 10. Wählen Sie auf der Seite Richtlinie hinzufügen eine der folgenden Optionen aus: • Standardrichtlinie erstellen, die allen Benutzern Zugriff gewährt. Hinweis: Wenn Sie eine Standardrichtlinie erstellen, können Sie deren Eigenschaften später bearbeiten. Zugriffsrichtlinie später erstellen. 11. Klicken Sie auf Fertig stellen. • 363 Konfigurieren von Single Sign-On für Dateifreigaben Wenn Sie Single Sign-On für Dateifreigaben aktivieren, müssen Benutzer Ihre Anmeldeinformationen nicht ein zweites Mal eingeben. Wenn Sie Zweiquellenauthentifizierung verwenden, verwendet der Access Controller den primären Authentifizierungstyp für Single Sign-On. So konfigurieren Sie Single Sign-On für Dateifreigaben 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie Single Sign-On konfigurieren möchten. 3. Erweitern Sie Ressourcen, klicken Sie auf Dateifreigaben und dann auf eine Dateifreigabe. 4. Klicken Sie unter Häufige Aufgaben auf Dateifreigabe bearbeiten. 5. Klicken Sie auf der Seite Eigenschaften von Dateifreigabe auf Freigabespeicherorte. 6. Wählen Sie unter Anzeigename eine Dateifreigabe aus und klicken Sie dann auf Bearbeiten. 7. Klicken Sie unter Dateifreigabe auf Single Sign-On aktivieren und klicken Sie dann auf OK. 8. Wiederholen Sie die Schritte 4 und 5 für jede Dateifreigabe, auf der Sie Single Sign-On aktivieren möchten, und klicken Sie dann auf OK. 364 Verwenden von dynamischen Systemtoken Sie können die dynamische Tokenersetzung in UNC- (Universal Naming Convention) oder URL-Adressen beim Definieren von Ressourcen verwenden, die dynamische Informationen aus dem Verzeichnisdienst abrufen können. Die dynamische Tokenersetzung bietet die Zeichenfolgenersetzung mit Benutzerattributen, die aus Active Directory abgerufen werden. Hinweis: • Zum Verwenden von dynamischen Systemtokens müssen Sie das Authentifizierungsprofil, mit dem die Token (Attribute) abgerufen werden, der Liste der Authentifizierungsprofile hinzufügen. • Für alle Attribute ist Active Directory erforderlich. Wenn beispielsweise ein Unternehmen mit Tausenden von Mitarbeitern jedem Mitarbeiter eine eindeutige Dateifreigabe, die nach dem Benutzer benannt ist, zur Verfügung stellt, ist es effizienter, einen Token für den Benutzernamen zu verwenden, statt jede Dateifreigabe explizit beim Definieren der Ressourcengruppe aufzulisten. • Um Systemtoken zu verwenden, muss das Dienstkonto in der Serverkonfiguration für Access Controller ein Domänenkonto und nicht ein lokales Konto auf dem Computer sein. Verwenden Sie die folgende Syntax für die Tokenersetzung: #<Attribut> Beispiele: \\Freigaben\Abteilungen\#<Department>\Berichte http://inotes.mein-server.com/mail/#<username>.nsf Active Directory-Attribute Die folgenden Attribute können mit Active Directory verwendet werden: #<Department> #<displayname> #<Division> #<domain> #<EmployeeId> #<FirstName> #<FirstNameInitial> #<FullName> #<HomeDirectory> #<HomePage> #<Initials> #<LastName> #<LastNameInitial> #<OtherName> #<UPN> #<username> 365 Erstellen von Ressourcengruppen für die einfache Richtlinienverwaltung Mit Ressourcengruppen können Sie verschiedene Arten von Ressourcen zusammenfassen und Richtlinien dann auf die ganze Gruppe anwenden. Mit Ressourcengruppen in Access Controller sind insgesamt weniger Richtlinien erforderlich und die Richtlinienverwaltung wird so erleichtert. Die wesentlichen Schritte für das Bündeln von Ressourcen sind: • Entscheiden Sie, welche Ressourcen Sie Benutzern in einem bestimmten Zugriffsszenario bereitstellen möchten. Erstellen Sie beispielsweise eine Liste mit allen Ressourcen (Netzwerk, Websites und Dateifreigaben), auf die das Verkaufsteam mit unternehmenseigenen Laptops zugreifen muss, die sie im Außendienst verwenden. • Stellen Sie sicher, dass alle Ressourcen in der Delivery Services Console konfiguriert sind. Wenn Sie beispielsweise fünf Unternehmenswebsites und webbasierte E-Mail einschließen möchten, erstellen Sie also zunächst mindestens eine Webressource, die diese Sites enthält, und konfigurieren Sie die Web-E-Mail, bevor Sie die Ressourcengruppe erstellen. • Erstellen Sie eine Ressourcengruppe, die alle aufgeführten Ressourcen enthält. • Erstellen Sie einen Filter, der Ihre Anforderungen für das Zugriffsszenario enthält. Sie können beispielsweise einen Filter erstellen, dass Benutzer sich mit RSA-Authentifizierung authentifizieren, am Verkaufsanmeldepunkt anmelden und bestimmte Endpoint Analysis-Scans auf dem Benutzergerät bestehen müssen. • Erstellen Sie eine Richtlinie für die Ressourcengruppe. Weisen Sie der Richtlinie den erstellten Filter zu und wählen Sie die Aktionssteuerungen für jede Ressource aus. Ressourcengruppennamen oder -beschreibungen werden Benutzern nicht in den Listen der veröffentlichten Ressourcen angezeigt. Der Name und die Beschreibung einer Ressourcengruppe dienen ausschließlich Verwaltungszwecken. Wenn Sie eine Webressource oder Dateifreigabe veröffentlichen, sehen Benutzer die Beschreibung der Ressource (aber nicht die Beschreibung der Ressourcengruppe) in ihrer Ressourcenliste. Für jeden Ressourcentyp gibt es einen Assistenten, der Sie beim Hinzufügen der Ressource unterstützt. Diese Assistenten stehen unter Häufige Aufgaben in der Delivery Services Console zur Verfügung, wenn Sie den Knoten Ressourcen auswählen. Standardmäßig wird Benutzern Zugriff auf alle definierten Ressourcen verweigert, bis Sie Richtlinien erstellen, die ihnen Zugriff gewähren. Dies schließt alle Ressourcen und Ressourcengruppen ein. 366 Erstellen von Ressourcengruppen für die einfache Richtlinienverwaltung So erstellen Sie eine Ressourcengruppe 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie eine Ressourcengruppe erstellen möchten. 3. Erweitern Sie Ressourcen, klicken Sie auf Ressourcengruppen und klicken Sie dann unter Häufige Aufgaben auf Ressourcengruppe erstellen. 4. Geben Sie im Assistenten "Neue Ressourcengruppe" auf der Seite Gruppe definieren in die Felder Ressourcengruppenname und Beschreibung einen Namen und eine Beschreibung für die Ressource ein und klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Ressourcen auswählen unter Verfügbare Ressourcen die Webressourcen, Netzwerkressourcen oder Dateifreigaben, die Sie der Gruppe hinzufügen möchten und klicken Sie auf Fertig stellen. 367 Steuern von Zugriff mit Richtlinien Richtlinien im Access Controller geben Ihnen auf Ressourcenebene genaue Kontrolle über den Zugriff. Mit Zugriffsrichtlinien können Sie Folgendes erreichen: • Berechtigungen festlegen, die bestimmte Benutzer für Ressourcen in bestimmten Situationen haben. Beispiel: Eine Zugriffsrichtlinie legt fest, ob eine Gruppe von Benutzern auf eine bestimmte Dateifreigabe oder Webressource zugreifen können. • Sie können Filter verwenden, um Richtlinien basierend auf auf dem Benutzergerät ermittelten Informationen anzuwenden, z. B. wer die Benutzer sind, die Stärke der Authentifizierung und von wo sich die Benutzer anmelden. Mit Filtern können Sie Richtlinien flexibel an Ihre Zugriffsszenarios anpassen. Mit Richtlinien erhöhen Sie die Sicherheit Ihrer Netzwerkumgebung, indem Sie Folgendes steuern: • Verbindungen: Sie können Verbindungen mit dem Access Gateway Plug-in steuern und Einstellungen auf diese Verbindungen anwenden. • Endpunktanalyse: Sie können steuern, dass Benutzer nur dann auf Ressourcen zugreifen können, wenn sie Sicherheitsanforderungen erfüllen, wie z.B. Identität, Authentifizierung, Antivirussoftware, Firewall und Clientsoftware. In diesem Abschnitt wird behandelt, wie Sie Richtlinien implementieren und Strategien entwickeln, um Ressourcenzugriff basierend auf dem Benutzerszenario zu steuern. Hinweis: Verwechseln Sie nicht Zugriffsrichtlinien mit Verbindungsrichtlinien: Mit Verbindungsrichtlinien aktivieren Sie Access Gateway Plug-in-Verbindungen und wenden Einstellungen auf diese Verbindungen an. Sie müssen die Verwendung des Access Gateway Plug-ins zulassen, um die Verbindung mit einer Netzwerkressource herzustellen, da auf diese Ressourcen nicht ausschließlich über einen Browser zugegriffen werden kann. Weitere Informationen finden Sie unter Konfigurieren der Access Gateway Plug-in-Einstellungen in Access Controller. 368 Steuern des Benutzerzugriffs Mit Richtlinien in Access Controller können Sie das Netzwerk sichern, bevor Benutzer sich anmelden und diese Sicherheit bis auf Ressourcenebene erweitern. Nachdem Benutzer die Sicherheitsanforderungen für die Verbindung erfüllt haben, muss ihnen ausdrücklich die Berechtigung für die Ressource gewährt werden, bevor diese Ressource für die Benutzer verfügbar ist. Sie steuern diesen Zugriff durch Richtlinien, die für jede Ressource oder Ressourcengruppe definiert wurde. Standardmäßig erhalten Benutzer keine Berechtigung auf Ressourcen im Netzwerk zuzugreifen oder Aktionen mit den Ressourcen durchzuführen. Sie müssen Ressourcen für den Cluster definieren und dann Richtlinien erstellen, die Zugriff gewähren und die Aktionen steuern, die Benutzer ausführen dürfen. Richtlinien im Access Controller erweitern die Sicherheitseinstellungen des Betriebssystems und können diese nicht überschreiben. Wenn beispielsweise einem Benutzer der Zugriff auf eine Dateifreigabe in den Windows NTFS-Sicherheitseinstellungen (NT File System) verweigert wird, dann erhält dieser Benutzer keinen Zugriff auf die Dateifreigabe, wenn Sie über Access Gateway-Richtlinien den Zugriff auf diese Freigabe gewähren. Hinweis: Zugriff auf Anwendungen und Ressourcen, die in XenApp veröffentlicht wurden, wird nicht durch Access Controller-Richtlinien gesteuert. Zugriff auf diese Ressourcen hängt von den Eigenschaften des Anmeldepunkts ab, durch den Benutzer sich anmelden, und von den Berechtigungen, die Benutzern in XenApp zugewiesenen wurden. 369 Integrieren der Zugriffsstrategie Wie Sie auf Access Controller Ressourcen definieren und Richtlinien erstellen, wird von Ihrer Gesamtstrategie für die Zugriffssteuerung beeinflusst. Das Ziel ist es, Benutzern Zugriff in dem Umfang zu geben, wie dies in der jeweiligen Benutzersituation sicher möglich ist. Ihre Strategie bestimmt, wie Sie Ressourcen poolen und Richtlinien entwerfen. Poolen von Ressourcen nach Zugriffsbedürfnissen Poolen Sie vor dem Definieren von Ressourcen und Erstellen von Richtlinien Ressourcen basierend auf ihren relativen Sicherheitsanforderungen in Ressourcengruppen. Fassen Sie beim Definieren von Ressourcen ähnliche Ressourcen zusammen. Sie können z. B. eine Ressourcengruppe erstellen, die mehrere Dateifreigaben und Webressourcen enthält, auf die der Zugriff stark eingeschränkt werden muss, wenn Benutzer sich remote anmelden. In einer anderen Ressourcengruppe fügen Sie dann u. U. Webressourcen und Dateifreigaben hinzu, auf die Benutzer jederzeit zugreifen können sollen, vorausgesetzt sie verfügen über ein vertrauenswürdiges Benutzergerät. Entwickeln von Richtlinien aus Bereitstellungsszenarios Planen Sie Richtlinien basierend auf einer Gruppe von Benutzerszenarios, z. B. den Szenarios in der folgenden Tabelle. Beginnen Sie mit einigen wenigen Szenarios. Definieren Sie einige Ressourcentypen, poolen Sie sie in Ressourcengruppen und erstellen Sie weiter Richtlinien, bis Sie genug Richtlinien haben, um alle in Ihrer Organisation erforderlichen Benutzerszenarios abzudecken. Die folgende Tabelle enthält einige Beispielszenarios von Benutzersituationen mit verschiedenen Zugriffsstufen und Aktionen, die mit den Ressourcen zugelassen sind: Benutzergerät 370 Ressourcen, auf die Benutzer zugreifen können Aktionen, die Benutzer ausführen können Integrieren der Zugriffsstrategie Firmencomputer, auf dem die erforderliche Antivirensoftware ausgeführt wird Remotebenutzerg erät, auf dem die erforderliche Antiviren- und Firewall-Software ausgeführt wird Öffentlicher Kiosk, auf dem ein erforderliche Browser ausgeführt wird Handliche Geräte, u. a. Smartphones, iPhone und iPad Remotelaptops für • • Alle internen Netzwerke und Dateisysteme Vollständige E-Mail-Dienste • Unternehmensportale und Webanwendungen • Mit XenApp veröffentlichte Anwendungen • Andere Anwendungen • Webanwendungen • Mit XenApp veröffentlichte Anwendungen • Begrenzter Zugriff auf Dateisysteme • Als Netzwerkressourcen definierte Server oder Dienste • Webanwendungen • Nur Zugriff auf Outlook Web Access oder Outlook Web App • Begrenzter Zugriff auf veröffentlichte Anwendungen • Nur Zugriff auf Outlook Web Access oder Outlook Web App • Herunterladen von Dateien • Hochladen von Dateien • Bearbeiten von Dateien auf Servern, auf denen XenApp ausgeführt wird • Begrenzte Clientzuordnung oder begrenzter Druck von Dokumenten auf Servern, auf denen XenApp ausgeführt wird • Direkte Verbindungen mit Netzwerkressourcen über Access Gateway mit dem Access Gateway Plug-in • Keine Clientzuordnung oder kein Druck von Dokumenten auf Servern, auf denen XenApp ausgeführt wird • Anzeigen von Outlook Web Access oder Outlook Web App, was die Umgestaltung von kleinformatigen Geräten unterstützt • Kein Zugriff auf Anwendungen • Vollzugriff auf individuelle Direkte Verbindungen mit unternehmenskritische Netzwerkressourcen über Systemadministrat Anwendungen, die als Access Gateway mit dem oren, die Notfälle Netzwerkressourcen Access Gateway Plug-in von zu Hause definiert sind, oder behandeln Vollzugriff auf das gesamte Netzwerk Nachdem Sie eine Zugriffsstrategie entwickelt haben, konfigurieren Sie Ressourcen, Richtlinien und Filter in Kombinationen, die Ihren Sicherheitsrichtlinien entsprechen und diese erweitern. Ressourcen und Richtlinien definieren die von Ihnen zugelassene Zugriffssteuerung. Filter definieren, wann und unter welchen Bedingungen der Zugriff 371 • Integrieren der Zugriffsstrategie gewährt wird. Unterscheiden zwischen Zugriffssteuerung und Veröffentlichung Das Gewähren von Zugriff auf eine Ressource durch Richtliniensteuerung ist nicht dasselbe wie das Veröffentlichen der Ressource. Wenn Sie Dateifreigaben und Webressourcen definieren, können Sie festlegen, ob die Ressource veröffentlicht werden soll, d. h. dass sie Benutzern im Access Interface oder in Portalen von Drittanbietern angezeigt wird. Wenn Sie einem Benutzer Zugriffsberechtigungen auf eine Webressource geben, kann der Benutzer sie mit einem Browser anzeigen. Was Benutzer mit dem Objekt tun oder mit welcher Anwendung es geöffnet werden kann, hängt von den Richtlinieneinstellungen ab, die Sie für die Ressource definiert haben. Nur durch Aktivieren der Zugriffsberechtigung für eine Ressource wird keine Navigation zu der Ressource erstellt. Beispiel: Wenn Sie die Zugriffsberechtigung auf eine Webadresse aktivieren, sie jedoch nicht veröffentlichen, können Benutzer nur über einen Link, der in einer Webseite eingebettet ist, zur Webadresse navigieren. Sie müssen für jede Anwendung, auf die Benutzer Remotezugriff haben sollen, eine Webressource oder Netzwerkressource erstellen. Sie müssen Richtlinien für diese Objekte erstellen und Benutzern explizite Zugriffsberechtigungen dafür geben. Zugriff auf Dateifreigaben wird etwas anders konfiguriert als für Webressourcen, da Sie bei Richtlinien für Dateifreigaben nicht die Berechtigung "Zugriff" auswählen Benutzer können eine Dateifreigaberessource über ihren Browser anzeigen, wenn Sie die Ressource veröffentlichen und wenn die Zugriffssteuerungsliste des Betriebssystems Benutzern Zugriffsberechtigungen gewährt. Richtlinien für Dateifreigaben definieren die Benutzer, die die Dateifreigabe anzeigen können, die Aktionen, die diese Benutzer mit den Dokumenten in diesen Dateifreigaben ausführen können, und die Bedingungen, unter denen sie diese Aktionen ausführen können. 372 Erstellen von Zugriffsrichtlinien Sie müssen Richtlinien auf dem Access Controller erstellen, um Benutzern Zugriff auf Ressourcen zu geben. Standardmäßig haben Benutzer keine Zugriffsrechte auf irgendwelche Ressourcen. Wenn Sie eine Zugriffsrichtlinie erstellen, definieren Sie, wer Zugriff hat und unter welchen Bedingungen der Zugriff gewährt wird, sowie eine detaillierte Zugriffssteuerung, was zugelassen und was verweigert wird. Wenn Sie eine Zugriffsrichtlinie für eine Webinterface-, Outlook Web Access 2007- oder Outlook Web App 2010-Webressource erstellen, müssen Sie für die Zugriffsberechtigung Erweitert einstellen. Wenn Sie diese Zugriffsberechtigung für das Webinterface wählen, lässt die Zugriffsrichtlinie die Anzeige von veröffentlichten Anwendungen zu. 373 Erstellen von Zugriffsrichtlinien So erstellen Sie eine Zugriffsrichtlinie 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie eine Richtlinie erstellen möchten. 3. Klicken Sie auf Richtlinien und klicken Sie unter Häufige Aufgaben auf Zugriffsrichtlinie erstellen. 4. Geben Sie im Assistenten Neue Zugriffsrichtlinie in die Felder Name und Beschreibung einen Namen und eine Beschreibung für die Richtlinie ein und klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Ressourcen auswählen die Ressourcengruppen und Ressourcen aus, die durch die Richtlinie gesteuert werden sollen. Wählen Sie Netzwerkressourcen > Gesamtes Netzwerk, wenn diese Richtlinie den Zugriff auf alle sichtbaren Server und Dienste im Netzwerk steuern soll. Hinweis: Überprüfen Sie Ihre Auswahl, in der verfügbaren Ressourcenstruktur. Wenn Sie eine Ressourcenkategorie auswählen oder die Auswahl aufheben, z. B. Dateifreigaben, werden alle Elemente der Kategorie ausgewählt bzw. es wird deren Auswahl aufgehoben. Erweitern Sie die Knoten, um die Auswahl in jedes Kategorie anzuzeigen. 6. Aktivieren Sie auf der Seite Richtlinieneinstellungen konfigurieren jede gewünschte Einstellung und klicken Sie auf Weiter. Sie können Richtlinieneinstellungen auf den Seite Einstellungen konfigurieren für die Ressourcentypen wählen, die Sie nicht zum Steuern durch diese Richtlinie ausgewählt haben. Die Richtlinie wenden Einstellungen nur auf die Ressourcen an, die Sie für die Richtlinie ausgewählt haben. 7. Wählen Sie auf der Seite Filter auswählen einen Filter, der die Bedingungen definiert, die erfüllt werden müssen, damit die Richtlinie durchgesetzt wird. Sie können auf der Seite Filter auswählen einen neuen Filter erstellen, indem Sie auf Neu klicken und den Anweisungen im Assistenten folgen. Wenn Sie noch keine Filter konfiguriert haben, können Sie die Richtlinie bearbeiten und ihr später einer Filter zuweisen. 8. Wählen Sie auf der Seite Benutzer oder Gruppen wählen, für welche Benutzer die Richtlinie gilt. Sie können die Richtlinie auf alle authentifizierten Benutzern anwenden oder klicken Sie auf Hinzufügen, um einzelne Gruppen oder Benutzer auszuwählen. Hinweis: Wenn für eine Ressource mehrere Richtlinien gelten, haben Richtlinien, die den Zugriff verweigern, Vorrang vor Richtlinien, die den Zugriff zulassen. 374 Erstellen von Zugriffsrichtlinien Benennen von Richtlinien Alle Richtliniennamen müssen eindeutig sein. Das Entwickeln einer konsistenten Namenskonvention erleichtert die Verwaltung von Richtlinien. Da Sie Richtlinien pro Ressource definieren, um eine detaillierte Steuerung zu ermöglichen, können Sie potentiell viele Richtlinien erstellen. Die von Ihnen entwickelte Namenskonvention sollte schnell erkennen lassen, um welche Ressource und möglichst auch um welche Zugriffsstufe es sich handelt. Sie können eine Konvention entwickeln, die die Anforderungen Ihres Unternehmens erfüllt. Im Allgemeinen sollte der Richtlinienname die Ressource enthalten. Bei einer typischen Namenskonvention werden Richtlinien nach Ressourcenname benannt und enthalten ein Kennzeichnung der Zugriffsebene anhand Ihrer Zugriffsstrategie oder der Berechtigungsstufe. Beispiel: • Webressource X_Vollzugriff_AlleBenutzer • Webressource X_EingeschränkterZugriff_Außendienst • Webressource X_Vollzugriff_Administratoren • Dateifreigabe Z_AlleAktionen_AlleBenutzer • Dateifreigabe Z_EingeschränkteAktionen_UnbekannteGeräte Sie können den Namen der Standardrichtlinien ändern. So ändern Sie einen Richtliniennamen 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie den Namen der Richtlinie ändern möchten. 3. Wählen Sie die Richtlinie im Detailbereich der Konsole aus. 4. Klicken Sie mit der rechten Maustaste auf eine Richtlinie und klicken Sie dann auf Richtlinieneigenschaften bearbeiten. 5. Klicken Sie in auf der Eigenschaftenseite der Richtlinie linken Bereich auf Name. 6. Ändern Sie im rechten Bereich unter Richtlinienname den Namen und klicken Sie dann auf OK. 375 Einstellen der Zugriffsebene für Ressourcen Wenn Sie eine Richtlinie in Access Controller erstellen, können Sie die Benutzerzugriffsebene für Ressourcen in der Richtlinie einstellen. Sie stellen die Zugriffsebene für Netzwerkressourcen, Webressourcen und Dateifreigaben ein. Die Zugriffsebenen fungieren als Sicherheitseinstellungen, mit denen festgelegt wird, was Benutzer tun dürfen, wenn sie sich über das Access Gateway anmelden. Zugriffsebenen für Webressourcen und Dateifreigaben Sie können die folgenden Zugriffsebenen für Webressourcen und Dateifreigaben wählen: • Einfacher Zugriff, außer wenn andere Richtlinien ihn verweigern • Erweiterter Zugriff, außer wenn andere Richtlinien ihn verweigern • Verweigern, selbst wenn andere Richtlinien es zulassen Für Webressourcen stellen Sie die Zugriffsebene basierend auf den Sicherheitsbeschränkungen ein, die Sie für Webanwendungen implementieren möchten. Einfacher Zugriff lässt HTTP GET-, POST- und HEAD-Methoden zu. Erweiterter Zugriff lässt alle Standard-HTTP- und WebDav-Verben zu, die für Webanwendungen erforderlich sind, wie beispielsweise Outlook Web Access. Für Dateifreigaben können Sie den Benutzerzugriff auf schreibgeschützt oder vollständiger Lese-/Schreibzugriff beschränken. Mit einfachem Zugriff können Benutzer Verzeichnisauflistungen und Dateieigenschaften anzeigen sowie Dateien lesen und kopieren. Der erweiterte Zugriff lässt alle Dateioperationen zu. Alle Sicherheitseinstellungen, die Sie direkt auf der Dateifreigabe konfigurieren, überschreiben diese Zugriffsebenen. Beispiel: Sie lassen den erweiterten Zugriff für eine Dateifreigabe zu, aber die Dateifreigabe selbst gewährt nur Lesezugriff. Wenn Benutzer eine Datei in der Dateifreigabe öffnen, können sie das Dokument nur lesen. Zugriffsebenen für Netzwerkressourcen und Dateitypzuordnung Die Einstellungen für die Dateitypzuordnung sind ähnlich für Netzwerkressourcen, die Einstellungen können aber nur auf Webressourcen und Dateifreigaben angewendet werden. Sie können die folgenden Zugriffsebenen für Netzwerkressourcen und Dateitypzuordnungen wählen: • 376 Zulassen, außer wenn eine andere Richtlinie es verweigert Einstellen der Zugriffsebene für Ressourcen • Verweigern, selbst wenn andere Richtlinien es zulassen Einstellungen für die Dokumentsteuerung Sie können basierend auf der Richtlinieneinstellung für die Dokumentsteuerung den Zugriff auf Dateien mit bestimmten Erweiterungen einschränken, selbst wenn Sie Benutzern den Zugriff auf die Ressource gewähren. Sie können der Liste eine beliebige Dateinamenerweiterung hinzufügen. Die folgenden Optionen stehen nur für die Dokumentsteuerung zur Verfügung: • Eingeschränkte Dokumentsteuerung • Vollständige Dokumentsteuerung Wenn Sie die eingeschränkte Dokumentsteuerung aktivieren, werden nur Dateien mit den in der Dokumentsteuerung aufgelisteten Erweiterungen blockiert. Wenn Sie die vollständige Dokumentsteuerung für eine Dateifreigabe aktivieren, ist der Zugriff auf alle Dateien blockiert. Wenn Sie die Dateitypzuordnung verwenden, haben die Dokumentsteuerungseinstellungen keine Auswirkung. Benutzer können Dokumente mit den Citrix Online Plug-ins öffnen, selbst wenn die Erweiterungen durch die Dokumentsteuerung blockiert sind. So stellen Sie die Zugriffsebene ein 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie anschließend auf den Access Controller-Cluster, auf dem Sie eine Zugriffsrichtlinie erstellen möchten. 3. Erweitern Sie Richtlinien und klicken Sie dann auf Zugriffsrichtlinien. 4. Klicken Sie unter Häufige Aufgaben auf Zugriffsrichtlinie erstellen. 5. Geben Sie im Assistent zum Erstellen einer Zugriffsrichtlinie unter Richtlinienname einen Namen ein und klicken Sie auf Weiter. 6. Wählen Sie auf der Seite Ressourcen auswählen die Webressourcen, Netzwerkressourcen oder Dateifreigaben, auf die Benutzer Zugriff haben und klicken Sie auf Weiter. 7. Wählen Sie auf der Seite Konfigurieren der Richtlinieneinstellungen die Ressource, für die Sie den Zugriff festlegen möchten. 8. Klicken Sie auf Richtlinie zum Steuern dieser Einstellung aktivieren, wählen Sie die Zugriffsebene und klicken Sie dann auf Weiter. 9. Wählen Sie den Filter aus und fügen Sie Benutzer und Gruppen hinzu, auf die die Richtlinie angewendet wird. Klicken Sie dann auf Fertig stellen. 377 Erstellen von Richtlinieneinstellungen zur Benutzeraktionssteuerung Mit Richtlinien im Access Controller für Ressourcen, die über den Browser geöffnet werden (Webressourcen, Dateifreigaben und Netzwerkressourcen), können Sie nicht nur den Zugriff steuern, sondern auch, was Benutzer mit der Ressource machen dürfen. Mit Richtlinieneinstellungen können Sie bestimmte Aktionen zulassen oder verweigern. Konfigurieren Sie die Richtlinieneinstellungen in der Delivery Services Console im Richtlinienassistenten oder im Eigenschaften-Dialogfeld der Richtlinie. Die Richtlinieneinstellungen, die beim Erstellen einer Richtlinie zur Verfügung stehen, sind von dem gesicherten Ressourcentyp abhängig, sowie von Ihrer Umgebung. Wenn beispielsweise der Cluster nicht so konfiguriert ist, dass eine Verbindung zu einer Citrix XenApp-Farm gibt, steht die Einstellung für die Dateitypzuordnung nicht zur Verfügung. Abhängig vom Typ der Ressource und der Clusterkonfiguration können Sie die folgenden Richtlinieneinstellungen zulassen oder verweigern. Access Gibt Benutzern über eine Webbrowser- oder Access Gateway Plug-in-Verbindung Zugriff auf die Ressource. Für Outlook Web Access oder Outlook Web App werden mit dieser Einstellung alle Funktionen von Outlook, wie Anzeigen und Senden von E-Mails, Verwalten des Kalenders und Anzeige des Adressbuchs zugelassen, aber nicht der Zugriff auf E-Mail-Anlagen. Für Netzwerkressourcen wird durch die Einstellung "Zugriff" eine direkte VPN-Verbindung zu Ressourcen über das Access Gateway Plug-in zugelassen. "Zugriff" ist die einzige Berechtigung, die Sie für Netzwerkressourcen einstellen können. Die Zugriffseinstellungen für Netzwerkressourcen sind "Zulassen" oder "Verweigern". Für Webressourcen und Dateifreigaben sind die Zugriffseinstellungen "Basic", "Erweitert" oder "Verweigern". Wenn eine Einstellung auf "Verweigern" gesetzt ist, werden alle Einstellungen für diese Richtlinie verweigert. Dokumentsteuerung Mit der Dokumentsteuerung schränken Sie die Dokumente ein, die Benutzer herunterladen oder öffnen können. Sie fügen Dateityperweiterungen der Dokumente der Dokumentsteuerungsliste hinzu. Benutzer können nur die Dokumente mit der Dateitypzuordnung öffnen, wenn Sie die Dateitypzuordnung in Access Controller zulassen und die Einstellung für die Dokumentsteuerung ist Eingeschränkt. Wenn Sie die Dokumentsteuerung auf Vollständig einstellen, gilt sie für alle Erweiterungen, nicht nur die in der Liste aufgeführten. Benutzer können Dokumente nur öffnen, wenn Sie die Dateitypzuordnung zulassen. Wenn Sie die Dokumentsteuerung zulassen und die Dateitypzuordnung verweigern, können Benutzer keine Dokumente öffnen. Wenn Sie die Dokumentsteuerung deaktivieren oder die Liste keine Einträge enthält, bestehen keine Einschränkungen hinsichtlich des Dokumenttyps. 378 Erstellen von Richtlinieneinstellungen zur Benutzeraktionssteuerung Wenn die Dokumentsteuerung aktiviert ist, bedeutet die Einstellung "Zulassen" für Webressourcen eine eingeschränkte Dokumentsteuerung. Für Dateifreigaben können Sie sowohl "Eingeschränkt" als auch "Vollständig" konfigurieren. Dateitypzuordnung Zulassen, dass Benutzer Dokumente in Anwendungen öffnen, die mit XenApp veröffentlicht wurden. Sie können diese Berechtigung verwenden, damit Benutzer Dokumente auf Servern in einer vertrauenswürdigen Umgebung öffnen und bearbeiten, und so vermeiden, dass das Dokument an das Clientgerät des Benutzers gesendet werden muss. Sie können die Dateitypzuordnung nur für Dokumenttypen verwenden, die einer veröffentlichten Anwendung zugeordnet sind, und nur, wenn die Eigenschaften des Anmeldepunkts korrekt definiert wurden. Zulassen der Dateitypzuordnung Das Zulassen der Dateitypzuordnung für eine Ressource ermöglicht Benutzern das Öffnen der Ressource mit einer Anwendung, die mit XenApp veröffentlicht wurde. Das Verwenden der Dateitypzuordnung als einzige Methode für die Bearbeitung von Ressourcendokumenten steigert die Sicherheit, da die Bearbeitung auf dem Server und nicht auf dem Clientgerät erfolgt. Sie können beispielsweise die Dateitypzuordnung für eine Dateifreigabe zulassen, in der Mitarbeiter Berichte über laufende Projektbesprechungen ablegen, ohne dass Sie die Dateien herunter- oder hochladen können. Voraussetzungen für die Dateitypzuordnung: 379 • Benutzer führen Citrix Online Plug-ins-Software auf dem Benutzergerät aus. • Benutzer melden sich über einen Anmeldepunkt an, der für XenApp konfiguriert ist. • Benutzern sind die entsprechenden Anwendungen in XenApp zugewiesen. • XenApp ist für die Integration mit Access Controller konfiguriert. Erstellen von Richtlinienfiltern Filter definieren die Bedingungen, unter denen die Richtlinie auf Access Controller gilt. Im Folgenden finden Sie ein Beispiel für eine Richtlinienanweisung: Ausschließlich Zugriffsberechtigung für die Dateifreigabe mit den vierteljährlichen Verkaufsberichten für Benutzer in der Verkaufsabteilung zulassen, wenn sie sich von außerhalb mit Zweiquellenauthentifizierung anmelden. Der Filter der obigen Richtlinienanweisung ist "wenn sie sich von außerhalb des sicheren Netzwerks mit Zweiquellenauthentifizierung anmelden". Wenn Sie Remotebenutzer über einen bestimmten Anmeldepunkt authentifizieren, können Sie nach dem Anmeldepunkt filtern und die Verwendung eines Benutzernamens, Kennworts und einer PIN-Nummer und einem Code von einem Token erzwingen. Sie können in der Delivery Services Console drei Bedingungstypen für einen Filter konfigurieren: • Anmeldepunkt: Wendet die Richtlinie basierend auf der URL an, mit der der Benutzer eine Verbindung zum Netzwerk herstellt. • Authentifizierungsstärke: Wendet die Richtlinie basierend auf dem verwendeten Authentifizierungstyp an. Die in dem Filter verfügbaren Optionen hängen von der Authentifizierungskonfiguration ab, die Sie vorgenommen haben. Weitere Informationen finden Sie unter Erstellen von Authentifizierungs- und Autorisierungsprofilen auf dem Access Gateway. • Endpoint Analysis-Scanausgabe: Wendet die Richtlinie basierend auf den von Endpoint Analysis-Scans auf dem Benutzergerät gesammelten Informationen an. Sie müssen Scans konfigurieren, bevor Sie Scanausgaben in Filter integrieren können. Sie können Filter benennen, damit Sie denselben Filter in mehreren Richtlinien verwenden können. Jede Richtlinie verwendet nur einen Filter. Um mehrere Filter zu verwenden, können Sie mit dem benutzerdefinierten Filter komplexe Filter erstellen, die mehrere andere Filter enthalten. So erstellen Sie einen Richtlinienfilter Sie können einen Filter vor, während oder nach der Erstellung der Richtlinien erstellen, mit denen Sie ihn verknüpfen wollen. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie einen Richtlinienfilter erstellen möchten. 3. Erweitern Sie Richtlinien, klicken Sie auf Filter und klicken Sie dann unter Häufige Aufgaben auf Filter erstellen. Sie können einen Filter auch im Richtlinienassistenten 380 Erstellen von Richtlinienfiltern erstellen, indem Sie auf Filter auswählen und dann auf Neu klicken. 4. Geben Sie im Assistenten Filter erstellen in Filtername und Beschreibung einen Namen und eine Beschreibung für den Filter ein und klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Filtertyp wählen die Option Typischen Filter erstellen aus und klicken Sie auf Weiter. 6. Wählen Sie auf der Seite Anmeldepunkte auswählen unter Verfügbare Anmeldepunkte einen Anmeldepunkt aus und klicken Sie dann auf Hinzufügen. Die Richtlinie wird angewendet, wenn Benutzer sich über bestimmte Anmeldepunkte anmelden. 7. Wenn die Richtlinie basierend auf dem verwendeten Authentifizierungstyp angewendet werden soll, wählen Sie auf der Seite Authentifizierung auswählen den Authentifizierungstyp aus. Wenn mehrere Authentifizierungsprofile konfiguriert sind, wählen Sie das Profil, das Sie verwenden möchten, aus der Dropdownliste aus. 8. Wenn die Richtlinie basierend auf den Endpoint Analysis-Scans auf dem Benutzergerät angewendet werden soll, wählen Sie auf der Seite Endpoint Analysis-Ausgaben auswählen unter Verfügbare Endpoint Analysis-Ausgaben einen Scan aus und klicken Sie dann auf Hinzufügen. Die Filterbedingungen sind optional. Sie können z. B. einen Filter konfigurieren, der nur auf einem Anmeldepunkt basiert. Die Bedingungen in einem Filter werden mit dem logischen Operator AND verknüpft, während in einem Bedingungstyp die Einstellungen mit dem Operator OR kombiniert werden. Wenn Sie z. B. in Ihren Filtereinstellungen Anmeldepunkt A, Anmeldepunkt B und Scanausgabe C angegeben haben, wird die Richtlinie mit der folgenden Logik angewendet: (Anmeldepunkt A oder Anmeldepunkt B) und Scanausgabe C 381 Erstellen von benutzerdefinierten Filtern Sie können in Access Controller benutzerdefinierte Filter erstellen, die logische Ausdrücke mit den Operatoren AND, OR und NOT verwenden. Mit diesen logischen Ausdrücken können Sie komplexere Filter als die typischen Filter erstellen. Mit den typischen Filtern können Sie nur Bedingungen auswählen, die der Assistent dann mit dem logischen Operator AND kombiniert. Da benutzerdefinierte Filter aus logischen Ausdrücken zusammengesetzt sind, sind sie komplexer und bieten mehr Flexibilität. Die Erstellung ist aber auch schwieriger. Die Verwendung benutzerdefinierter Filter ist optional und in normalen Konfigurationen nicht erforderlich. Um die Verwaltung zu vereinfachen, sollten Sie die typischen Filter verwenden. So erstellen Sie einen benutzerdefinierten Filter mit logischen Ausdrücken 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie einen benutzerdefinierten Filter erstellen möchten. 3. Erweitern Sie Richtlinien, klicken Sie auf Filter und klicken Sie dann unter Häufige Aufgaben auf Filter erstellen. 4. Geben Sie auf der Seite Neuen Filter erstellen in Filtername und Beschreibung einen Namen und eine Beschreibung für den Filter ein und klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Filtertyp wählen die Option Benutzerdefinierten Filter erstellen aus und klicken Sie auf Weiter. 6. Erstellen Sie auf der Seite Benutzerdefinierten Filter zusammenstellen mit dem Ausdruckseditor einen Ausdruck, der die Bedingungen wiedergibt, die erfüllt sein sollen, bevor die Richtlinie angewendet wird. 382 • Fügen Sie die logischen Operatoren AND, OR und NOT zusammen mit Elementen für Anmeldepunkt, Authentifizierung, Endpunktanalyseergebnisse oder einem anderen Filter hinzu, um den logischen Ausdruck zu erstellen. • Beachten Sie, dass das Objekt Stamm, das im Ausdruckseditor angezeigt wird, keine Auswirkung auf die Ausdruckslogik hat. Es zeigt lediglich den Anfang Ihrer Ausdrucksstruktur an. Erstellen von benutzerdefinierten Filtern Beispiel: Erstellen eines benutzerdefinierten Filters In diesem Beispiel wird angenommen, dass laut Ihrer Strategie zur Netzwerksicherheit Benutzergeräten, auf denen Windows XP ausgeführt wird, Anmeldeprivilegien verwehrt werden, außer wenn auf diesen Geräten Windows XP Service Pack 3 installiert ist oder Internet Explorer 7.0 ausgeführt wird. Sie möchten einen Filter für dieses Szenario erstellen, den Sie einer Richtlinie zuweisen können, die das Privileg "Anmeldung zulassen" enthält. Bevor Sie den benutzerdefinierten Filter erstellen, erstellen Sie die folgenden zwei Scans: 1. Verwenden Sie "Citrix Scans für Windows Service Packs", um einen Scan mit den folgenden Einstellungen zu erstellen: • Regelbedingungen: Betriebssystem = Windows XP; Gebietsschema des Clientgeräts = Alle • Zu überprüfender Eigenschaftswert: Service Pack 3 2. Verwenden Sie "Citrix Scans für Internet Explorer", um einen Scan mit den folgenden Einstellungen zu erstellen: • Regelbedingungen: Betriebssystem = Windows XP; Gebietsschema des Clientgeräts = Alle • Zu überprüfender Eigenschaftswert ist die mindestens erforderliche Version: 7.0 3. Führen Sie auf der Seite Benutzerdefinierten Filter zusammenstellen im Assistenten für Neue Filter die folgenden Schritte aus, um den logischen Ausdruck zu erstellen: a. Klicken Sie im Gruppenfeld "Einfügen" auf OR. b. Klicken Sie auf Endpunktanalyseergebnisse und wählen Sie die Scanausgabe für Service Pack 3. c. Wählen Sie OR im Ausdruckseditor und klicken Sie wieder auf Endpunktanalyseergebnisse, um die Scanausgabe für Internet Explorer Version 7.0 auszuwählen. Das Ergebnis wird folgendermaßen im Ausdruckseditor angezeigt: OR Citrix Scans for Windows Service Pack.scan_name.Verified-Windows-Service-Pack Citrix Scans for Internet Explorer.scan_name.Verified-Internet-Explorer Wobei scan_name der Name ist, den Sie den Scans gegeben haben. 383 Einstellen von Bedingungen für die Anzeige der Anmeldeseite Durch den Anmeldepunkt wird die Anmeldeseite an den Browser auf dem Benutzergerät gesendet, sodass Benutzer ihre Anmeldeinformationen eingeben können. Sie können die Anmeldeseite nur unter bestimmten Bedingungen anzeigen, indem das Clientgerät des Benutzers Endpoint Analysis-Scans bestehen muss, bevor die Seite angezeigt wird. Sie können dies für einen SmartAccess-Anmeldepunkt konfigurieren: Diese Access Controller-Funktion verstärkt die Sicherheit für die Anmeldeseite. Sie können beispielsweise einen Endpoint Analysis-Scan erstellen, der überprüft, ob auf dem Benutzergerät die erforderliche Antivirussoftware ausgeführt wird. Benutzergeräte, auf denen nicht die erforderliche Antivirussoftware ausgeführt wird, könnten einen Virus hosten oder ein Tastaturschnüffelprogramm, das die Tastaturanschläge eines Benutzers aufzeichnet. Mit solchen bösartigen Programmen können Anmeldeinformationen eines Benutzers beim Anmelden aufgezeichnet und gestohlen werden. Die Bedingungen für die Anzeige der Anmeldeseite stellen Sie im Eigenschaften-Dialogfeld des Anmeldepunkts in der Delivery Services Console ein. Wenn Benutzer die festgelegten Bedingungen nicht erfüllen, erhalten sie einen Zugriff-Verweigert-Fehler bei dem Versuch, die URL der Anmeldeseite zu öffnen. Wenn Sie in den Eigenschaften des Anmeldepunkts unter Anzeige keine Bedingungen einstellen, wird die Anmeldeseite allen Benutzern angezeigt, die zu der URL navigieren können. 384 Einstellen von Bedingungen für die Anzeige der Anmeldeseite So stellen Sie Bedingungen für das Anzeigen der Anmeldeseite ein 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie die Einstellungen für den Anmeldepunkt ändern möchten, und klicken Sie auf Anmeldepunkte. 3. Wählen Sie den Anmeldepunkt aus und klicken Sie unter Häufige Aufgaben auf Anmeldepunkt bearbeiten. 4. Klicken Sie im Eigenschaften-Dialogfeld des Anmeldepunkts auf Anzeige der Anmeldeseite. 5. Wählen Sie Anmeldeseite nur zeigen, wenn diese Bedingungen erfüllt sind. 6. Wenn die Anmeldeseite nur unter bestimmten Bedingungen angezeigt werden soll, verwenden Sie den Ausdruckseditor, um die Bedingungen zu definieren, die vom verbindenden Benutzergerät erfüllt werden müssen. a. Fügen Sie die logischen Operatoren AND, OR und NOT ein und klicken Sie auf Endpoint Analysis-Ausgabe, um aus der Liste der von Ihnen konfigurierten Scans zu wählen. b. Überprüfen Sie den resultierenden logischen Ausdruck in der Ausdrucksvorschau. Hinweis: Der Ausdruckseditor steht erst zur Verfügung, wenn Sie Endpoint Analysis-Scans erstellt haben. Das Objekt Stamm, das im Ausdruckseditor angezeigt wird, hat keine Auswirkung auf die Ausdruckslogik. Es zeigt lediglich den Anfang Ihrer Ausdrucksstruktur an. Beispiel 1: Ausdruck mit einem Scan Um einen Ausdruck zu erstellen, dass auf dem Benutzergerät eine festgelegte Version von McAfee VirusScan ausgeführt werden muss, klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für die Antivirusanwendung. Der Ausdruckseditor zeigt: Citrix Scans for McAfee VirusScan.scan_name.Verified-McAfee-VirusScan Wobei scan_name der Name ist, den Sie dem Scan beim Erstellen gegeben haben. 385 Einstellen von Bedingungen für die Anzeige der Anmeldeseite Beispiel 2: Ausdruck mit OR In diesem Beispiel möchten Sie Bedingungen einstellen, die der folgenden Aussage entsprechen: Anmeldeseite für Benutzer anzeigen, auf deren Benutzergeräten die festgelegte Version von McAfee VirusScan oder McAfee VirusScan Enterprise ausgeführt wird. Bevor Sie diesen Ausdruck zusammenstellen, müssen Sie einen Endpoint Analysis-Scan für die jeweiligen Versionen von McAfee VirusScan und McAfee VirusScan Enterprise erstellen. Hinweis: Für dieses Beispiel müssen zwei Endpoint Analysis-Scans konfiguriert sein, die überprüfen, ob auf dem Benutzergerät McAfee VirusScan oder McAfee VirusScan Enterprise ausgeführt wird. Informationen über das Erstellen von Scans finden Sie unter Erstellen von Endpoint Analysis-Scans. 1. Klicken Sie auf das Objekt Stamm in der Struktur und klicken Sie dann auf OR. 2. Klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für McAfee Virus Scan. 3. Klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für McAfee Virus Scan Enterprise. Das Resultat dieses Beispiels wird in der Ausdrucksstruktur wie folgt angezeigt: ROOT OR Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan Citrix Scans for McAfee VirusScan Enterprise.scan_ name.Verified-McAfee-VirusScan-Enterprise Wobei scan_name der Name ist, den Sie den Scans gegeben haben. Beispiel 3: Erstellen eines komplexen Bedingungsausdrucks mit NOT Das folgende Beispiel zeigt einen Ausdruck mit dem Operator NOT. Um diese komplexe Bedingung zu erfüllen, muss auf dem Benutzergerät die vorgeschriebene Version von McAfee VirusScan oder McAfee VirusScan Enterprise ausgeführt werden und die Verbindung darf nicht mit dem Browser Mozilla Firefox hergestellt werden. Hinweis: Für dieses Beispiel müssen drei Endpoint Analysis-Scans konfiguriert sein, die prüfen, ob auf dem Benutzergerät McAfee VirusScan oder McAfee VirusScan Enterprise ausgeführt und ob die Verbindung mit dem Firefox-Browser hergestellt wird. 1. Klicken Sie auf das Objekt Stamm in der Struktur und klicken Sie dann auf AND. 2. Klicken Sie auf OR. 3. Klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für McAfee VirusScan. 386 Einstellen von Bedingungen für die Anzeige der Anmeldeseite 4. Klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für McAfee VirusScan Enterprise. 5. Wählen Sie das Objekt AND aus, dass Sie im ersten Schritt erstellt haben, und klicken Sie auf NOT. 6. Klicken Sie auf Endpoint Analysis und wählen Sie die Scanausgabe für Firefox. Das Resultat des Beispiels wird in der Ausdrucksstruktur wie folgt angezeigt: ROOT OR Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan Citrix Scans for McAfee VirusScan Enterprise.scan_ name.Verified-McAfee-VirusScan-Enterprise NOT Citrix Scans for Mozilla Firefox.scan_name. Verified-Mozilla-Firefox-Connecting Wobei scan_name der Name ist, den Sie den Scans gegeben haben. Unter Ausdrucksvorschau wird der folgende logische Ausdruck angezeigt: ((Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan OR Citrix Scans for McAfee VirusScan Enterprise.scan_name.Verified-McAfee-VirusScan-Enterprise) AND (NOT Citrix Scans for Mozilla Firefox.scan_name. Verified-Mozilla-Firefox-Connecting)) Wobei scan_name der Name ist, den Sie den Scans gegeben haben. Beachten Sie Folgendes in diesem Beispiel: 387 • Standardmäßig wird durch Einfügen des Operators NOT eine OR NOT-Logik angewendet. Wenn Sie AND NOT brauchen, fügen Sie wie im vorherigen Beispiel den Operator AND vor dem Operator NOT in Ihre Struktur ein. • Das Scanpaket für Firefox überprüft die mindestens erforderliche Versionsnummer. In diesem Beispiel soll jede bekannte Version überprüft werden. Um alle bekannten Versionen zu ermitteln, kann man einen Scan erstellen, der überprüft, ob mindestens Version 0.1 auf dem Benutzergerät verwendet wird. Konfigurieren der Dokumentsteuerung Sie können die Dokumentsteuerung konfigurieren, um einzuschränken, welche Dokumente Benutzer herunterladen oder öffnen können, indem Sie Dokumentdateierweiterungen der Dokumentsteuerungsliste hinzufügen. Wenn Sie die Dateitypzuordnung in Access Controller zulassen und in der Zugriffsrichtlinie die Einstellung Eingeschränkte Dokumentsteuerung verwenden, können Benutzer Dokumente nur mit der Dateitypzuordnung öffnen. Wenn Sie die Dokumentsteuerung in der Zugriffsrichtlinie auf Vollständig einstellen, gilt sie für alle hinzugefügten Erweiterungen, nicht nur die in der Dokumentsteuerungsliste aufgeführten. Benutzer können ein Dokumente nicht öffnen, es sei denn, Sie lassen die Dateitypzuordnung in XenApp zu. Wenn Sie die Dokumentsteuerung zulassen und die Dateitypzuordnung verweigern, können Benutzer keine Dokumente öffnen. Wenn Sie die Dokumentsteuerung deaktivieren oder die Liste keine Einträge enthält, bestehen keine Einschränkungen hinsichtlich des Dokumenttyps. Wenn Sie die Dokumentsteuerung in einer Zugriffsrichtlinie aktivieren, bedeutet die Einstellung "Zulassen" für Webressourcen Eingeschränkte Dokumentsteuerung. Für Dateifreigaben können Sie sowohl Eingeschränkt als auch Vollständig konfigurieren. So konfigurieren Sie die Dokumentsteuerung 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie dann auf CitrixController. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie auf Dokumentsteuerung. 5. Wählen Sie unter Standardaktion bei Doppelklicken auf eine Datei (nur bei Dateiressourcen) eine der folgenden Optionen: a. Wählen Sie Download, um die Datei auf das Benutzergerät herunterzuladen. b. Wählen Sie Mit XenApp öffnen, damit die Datei in einer veröffentlichten Anwendung geöffnet wird. 6. Klicken Sie unter Dokumentsteuerungserweiterungen auf Neu. 7. Geben Sie unter Neue Erweiterung in das Feld Erweiterung die Erweiterung und eine Beschreibung (optional) ein und klicken Sie dann auf Speichern. Wenn Sie die Erweiterungen hinzufügen, werden sie automatisch aktiviert. Sie können Erweiterungen im Feld Dokumentsteuerungserweiterungen deaktivieren oder aktivieren. 8. Wiederholen Sie Schritte 6 und 7 für jede Erweiterung, die Sie hinzufügen möchten, und klicken Sie dann auf OK. Alternativ können Sie alle Dateierweiterungen in eine Textdatei eingeben. Um die Dateierweiterungen hinzuzufügen klicken Sie unter Import/ Export zu/von Textdatei auf 388 Konfigurieren der Dokumentsteuerung Importieren. Jede Dateierweiterung wird unter Dokumentsteuerungserweiterungen angezeigt 389 Einschränkungen des clientlosen Zugriffs Wenn Ihre Access Controller-Bereitstellung das Access Gateway Plug-in, die Citrix Online Plug-ins oder Desktop Receiver auf den Benutzergeräten nicht benötigt, wird dies als eine Bereitstellung mit clientlosem Zugriff bezeichnet. In diesem Szenario benötigen Benutzer einen Webbrowser für den Zugriff auf Netzwerkressourcen. Clientloser Zugriff auf Webressourcen hängt von der Funktion URL-Neuschreiben ab. Manche Webanwendungen verarbeiten URL-Neuschreiben nicht gut oder lassen die für clientlosen Zugriff erforderliche Cookieverwaltung nicht zu. Solche Anwendungen sind besser geeignet für den Zugriff über Access Gateway mit dem Access Gateway Plug-in. Je mehr eine Webanwendung z. B. die folgenden fortgeschrittenen Technologien verwendet, desto unwahrscheinlicher ist es, dass sie problemlos mit URL-Neuschreiben über Proxy funktioniert: • Flash-Animationen • ActiveX-Steuerelemente oder Java-Applets • Fortgeschrittene Java-Skriptsprachen Testen Sie das Verhalten dieser Webanwendungen, die Sie nur über einen Browser bereitstellen möchten. Wenn die Anwendungen nicht wie erwartet funktionieren, können Sie eine Netzwerkressource erstellen, um Benutzern direkten Zugriff auf die Anwendung mit dem Access Gateway Plug-in zu geben. Netzwerkressourcen werden nicht in veröffentlichten Listen von Benutzerressourcen, z. B. dem Access Interface, angezeigt. 390 Überprüfen von Richtlinieninformationen mit der Richtlinienverwaltung In der Richtlinienverwaltung können Sie die Access Controller-Richtlinien nach Ressource, Benutzer und Filter durchsuchen. Bei der Suche können Sie Schlüsselwörter verwenden. Die Suchergebnisse helfen bei der Richtlinienplanung, der Verwaltung und bei der Problembehandlung. Es folgt eine Liste mit Beispielen für die Art von Informationen, die Sie mit der Richtlinienverwaltung bequem finden können: • Richtlinien, die einen bestimmten Benutzer oder eine bestimmte Benutzergruppe beeinträchtigen • Richtlinieneinstellungen, die für eine bestimmte Ressource gelten • Richtlinien, die eine bestimmten Filter verwenden • Richtlinien, die Anmeldeberechtigungen steuern So suchen Sie nach Richtlinien und Einstellungen 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie die Richtlinien suchen möchten. 3. Klicken Sie auf Richtlinien und klicken Sie unter Häufige Aufgaben auf Richtlinien verwalten, um die Richtlinienverwaltung zu öffnen. 4. Verwenden Sie eine Mischung von Schlüsselwörtern in den Textfeldern Ressource, Benutzer und Filter und klicken Sie dann auf Suchen. Um beispielsweise jede Richtlinie zu finden, die auf "Alle authentifizierten Benutzer" angewendet wird, geben Sie in das Textfeld Benutzer das Schlüsselwort Alle ein. • Standardmäßig werden alle Richtlinien angezeigt, wenn Sie die Richtlinienverwaltung öffnen. Klicken Sie zu jedem Zeitpunkt auf Löschen, um die Suchkriterienfelder zu leeren und zu der Anzeige aller Richtlinien zurückzukehren. • Doppelklicken Sie auf einen Filter, um die Filtereigenschaften zu öffnen. Doppelklicken Sie jede andere Spalte, um die Filtereigenschaften zu öffnen. • Klicken Sie auf eine Spaltenüberschrift, um die Suchergebnisse alphabetisch nach den Einträgen in dieser Spalte zu sortieren. Klicken Sie noch einmal auf die gleiche Spalte, um die Sortierreihenfolge umzukehren. Hinweis: Die Richtlinienverwaltung zeigt keine Informationen über die Resultate der gefilterten Richtliniensteuerung bei derzeit verbundenen Benutzern, wie beispielsweise die resultierenden Zugriffsberechtigungen, nachdem die Endpoint Analysis-Scans 391 Überprüfen von Richtlinieninformationen mit der Richtlinienverwaltung berücksichtigt wurden. 392 Überprüfen von Anforderungen auf Benutzergeräten Die Endpunktanalyse (Endpoint Analysis) ist ein Prozess, bei dem ein Benutzergerät gescannt wird, um Informationen wie Betriebssystem und Betriebssystemversion, Antivirus-, Firewall- und Browsersoftware zu ermitteln. Verwenden Sie die Endpunktanalysescans, um zu überprüfen, ob das Benutzergerät die Anforderungen erfüllt, bevor damit eine Verbindung zum Netzwerk hergestellt werden darf. Sie können ermittelte Informationen als Filter in Zugriffs- oder Verbindungsrichtlinien aufnehmen, um je nach Benutzergerät unterschiedlichen Zugriff zu gewähren. Beispielweise könnten Sie vollen Zugriff mit Downloadberechtigung für Benutzer mit Firmenlaptops zulassen, die die aktuellen Anforderungen für Antivirus- und Firewallsoftware erfüllen. Endpoint Analysis-Scans werden einmal bei der Anmeldung ausgeführt. 393 Konfigurieren der Endpunktanalyse Nachdem Sie die Endpunktanalyse konfiguriert haben, führt Access Gateway diese Grundschritte durch: • Untersuchen erster Informationen über das Clientgerät, um zu ermitteln, welche Scans angewendet werden sollen • Ausführen aller zutreffenden Scans • Vergleichen von Eigenschaftswerten, die auf dem Clientgerät ermittelt wurden, mit den gewünschten Eigenschaftswert in den konfigurierten Scans • Zurückgeben eines Werts, der aussagt, ob die gewünschten Eigenschaftswerte gefunden wurden Wenn ein Benutzer sich über einen Anmeldepunkt anmelden möchte, prüft Endpoint Analysis die Scans, die für den Anmeldepunkt gefiltert wurden. Das Endpoint Analysis Plug-in wird auf dem Benutzergerät ausgeführt. Das Plug-in scannt das Benutzergerät, um sicherzustellen, dass alle Bedingungen in den von Ihnen gewählten Scanpaketen erfüllt sind. Diese Scans geben Ergebnisse mit den ermittelten Informationen zurück (die Scanausgaben) bzw. das Ergebnis Wahr oder Falsch für erforderliche Eigenschaftswerte. Hinweis: Für die clientlosen Scans Citrix Scans für Plattform und Citrix Scans für Browsertyp muss das Endpoint Analysis Plug-in nicht auf dem Benutzergerät ausgeführt werden. Diese Scans sammeln die Ergebnisse von Informationen, die das Benutzergerät direkt an den Server weiter gibt. Scans mit Bedingungen, die nicht dem Benutzergerät entsprechen, werden nicht auf dem Clientgerät ausgeführt. Aber selbst diese Scans erhalten die im Scanpaket definierte Standardscanausgabe, beispielsweise Falsch. Endpoint Analysis wird abgeschlossen, bevor die Benutzersitzung eine Lizenz verbraucht. So konfigurieren Sie Endpoint Analysis Die Konfiguration von Endpoint Analysis besteht im Wesentlichen aus diesen Schritten: 1. Suchen Sie Scanpakete heraus, die die gewünschten Eigenschaften prüfen. 2. Erstellen Sie Scans, indem Sie die Bedingungen konfigurieren, unter denen sie aufgeführt, sowie die Eigenschaften, die überprüft werden sollen. 3. Fügen Sie weitere Regeln hinzu, wenn ein Scan für mehrere Szenarios gelten soll. 4. Verwenden Sie die Scanausgabe in Richtlinien, wenn Sie Richtlinienfilter konfigurieren. Sie können Ereignisse von Endpoint Analysis mit der Ereignisanzeige des Systems protokollieren. Weitere Informationen zum Überwachen von solchen Ereignissen finden Sie unter Überwachen des Zugriffs auf interne Netzwerkressourcen. 394 Konfigurieren der Endpunktanalyse 395 Erstellen von Endpoint Analysis-Scans Mit Endpoint Analysis-Scans werden bestimmte Eigenschaften auf Benutzergeräten geprüft, die eine Verbindung zu Ihrem Netzwerk herstellen, wie beispielsweise die installierte Version einer Antivirussoftware oder die Mitgliedschaft des Benutzergeräts in einer bestimmten Domäne. Scans haben Regeln, die definieren, wann der Scan auf ein Benutzergerät angewendet wird. Jede Regel umfasst einen Satz Bedingungen, die erforderliche Attribute des Benutzergeräts sind und die alle erfüllt sein müssen, damit der Scan angewendet wird. Beim Erstellen eines Scans legen Sie die Vorbedingungen fest, unter denen der Scan ausgeführt wird, und konfigurieren die Eigenschaften, die überprüft werden sollen. 396 Erstellen von Endpoint Analysis-Scans So erstellen Sie einen Scan 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Erweitern Sie Endpoint Analysis-Scans und klicken Sie dann auf den Scantyp, den Sie erstellen möchten: Antivirenscans, Einfache Scans, Browserscans, Benutzerdefinierte Scans, Firewallscans, Computeridentifizierungsscans, Sonstiges oder Betriebssystemscans. 4. Klicken Sie im rechten Bereich unter Inhalt auf ein Scanpaket. 5. Klicken Sie unter Häufige Aufgaben auf Scan erstellen. Der Assistent Scan erstellen wird geöffnet. 6. Geben Sie auf der Seite Scannamen definieren einen Namen für den Scan an. 7. Wählen Sie auf der Seite Bedingungen auswählen die Bedingungen aus, unter denen der Scan ausgeführt werden soll. Sie können auch auf Andere Scanausgabe als Bedingung verwenden klicken, damit die Ausgabe eines anderes Scans als Bedingung für den Scan verwendet wird. Wählen Sie im Dialogfeld Scanausgabe als Bedingung verwenden das Scanpaket, den Scan und die Scanausgabe aus, die Sie als Bedingung für das Ausführen des neuen Scans verwenden möchten. 8. Geben Sie auf der Seite Regel definieren einen Regelnamen für die Gruppe von Bedingungen und Eigenschaften an, die Sie konfigurieren. • 9. Wählen Sie auf den verschiedenen Seiten Bedingungen konfigurieren alle akzeptablen Werte für jede Bedingung. • Die Bedingung ist erfüllt, wenn das Benutzergerät einen der ausgewählten Werte erfüllt. • Der Assistent zeigt eine separate Seite für jede Bedingung an. 10. Geben Sie auf der Seite Zu überprüfende Eigenschaft definieren die Eigenschaftswerte an, die überprüft werden sollen. • Um beispielsweise zu prüfen, ob eine erforderliche Mindestversion eines Antivirusprogramms auf dem Benutzergerät ausgeführt wird, müssen Sie die mindestens erforderliche Versionsnummer angeben. • Der Assistent zeigt eine separate Seite für jeden Eigenschaftswert an, den der Scan überprüft. Jeder Eigenschaftswert kann zum Filtern von Zugriffsrichtlinien verwendet werden. Versionsnummern folgen der üblichen Syntax für das jeweilige Produkt und müssen mindestens einen Punkt enthalten, z. B. 2.1 oder 2.1.1. Nach dem Erstellen eines Scans können Sie weitere Regeln hinzufügen, damit der Scan auf mehrere Benutzerszenarios angewendet werden kann. • 397 Erstellen von Endpoint Analysis-Scans Verwenden von Scanausgaben in Filterrichtlinien Sie können Scanausgaben der Endpoint Analysis verwenden, um zu filtern, ob die Richtlinie angewendet wird. Durch das Filtern mit Scanausgaben können Sie den Zugriffs auf das Netzwerk und die Ressourcen anhand der Eigenschaften des Benutzergeräts sichern, z. B. ob die erforderliche Antivirus- oder Firewallsoftware ausgeführt wird. Die folgenden Schritte beschreiben die allgemeine Vorgehensweise für die Verwendung von Scanausgaben in Richtlinien: 1. Erstellen Sie einen Scan, der die erforderliche Eigenschaft überprüft. 2. Erstellen Sie einen Richtlinienfilter, der die Scanausgabe aus Schritt 1 verwendet. 3. Erstellen Sie eine Richtlinie und weisen Sie ihr den Filter zu, den Sie in Schritt 2 erstellt haben. Die Schritte 2 und 3 können im Assistenten zum Erstellen einer Zugriffsrichtlinie kombiniert werden. Verwenden von Scanausgaben zum Filtern für die Anzeige der Anmeldeseite Sie können die gescannten Informationen über das Benutzergerät verwenden, um das Anzeigen der Anmeldeseite zu filtern. Weitere Informationen finden Sie unter Einstellen von Bedingungen für die Anzeige der Anmeldeseite. 398 Bearbeiten von Bedingungen und Regeln Alle Regeln eines Endpoint Analysis-Scans verwenden die Liste der verfügbaren Bedingungen des Scans gemeinsam. Die verfügbaren Bedingungen sind die Bedingungen, die Sie für die Regeln des Scans konfigurieren können. Zwischen den verschiedenen Regeln und Bedingungen eines Scans bestehen Abhängigkeiten. Beachten Sie beim Bearbeiten der verfügbaren Bedingungen die folgenden Hinweise: • Wenn Sie den verfügbaren Bedingungen eines Scans eine Bedingung hinzufügen, wird die neue Bedingung allen bestehenden Regeln des Scans hinzugefügt und alle möglichen Werte sind zur Verwendung aktiviert. Um sicherzustellen, dass Sie die Bedingungen bestehender Regeln nicht versehentlich ändern, überprüfen Sie die Eigenschaften der Regeln des Scans, nachdem Sie eine Bedingung zu den verfügbaren Bedingungen hinzugefügt haben. • Wenn Sie eine Bedingung aus der Liste der verfügbaren Bedingungen eines Scans entfernen möchten, entfernen Sie zuerst alle Regeln, die diese Bedingung verwenden, oder aktivieren Sie alle möglichen Werte für die Bedingung in jeder Regel, die die Bedingung verwendet. Bearbeiten von Regeln Sie können alle Bedingungseinstellungen für eine Regel in der Eigenschaftenanzeige der Regel anzeigen. Wenn Sie dem Scan Bedingungen hinzufügen, wird allen bestehenden Regeln des Scans die neue Bedingung zugewiesen, wobei alle Einstellungen ausgewählt sind. Möglicherweise müssen Sie die automatisch in die bestehenden Regeln kopierten Einstellungen anpassen. So ändern Sie die Einstellungen für eine Regel 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Erweitern Sie Endpoint Analysis-Scans, erweitern Sie die Scangruppe und klicken Sie dann auf den Scan, für den Sie die Bedingungseinstellungen für eine Regel bearbeiten möchten. 4. Klicken Sie unter Häufige Aufgaben auf Verfügbare Bedingungen bearbeiten. 5. Aktivieren oder deaktivieren Sie im Dialogfeld Verfügbare Bedingungen bearbeiten die Bedingungsoptionen. 399 Hinzufügen von Regeln zu Scans Regeln sind Bedingungen, die definieren, wann ein Endpoint Analysis-Scan angewendet wird und welche Eigenschaftswerte geprüft werden. Für einen Scan können mehrere Regeln gelten. Die erste Regel eines Scans wird beim Erstellen des Scans definiert. Anschließend können Sie weitere Regeln hinzufügen, damit der Scan auf mehrere Szenarios angewendet werden kann. Ein Scan kann beispielsweise Version X eines Antivirusprogramms auf Geräten mit Windows 7-Betriebssystemen suchen. Derselbe Scan kann mit einer anderen Regel Version Y desselben Antivirusprogramms auf Geräten mit früheren Versionen von Windows-Betriebssystemen suchen. So fügen Sie einem Scan eine Regel hinzu 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Erweitern Sie Endpoint Analysis-Scans, erweitern Sie den Scantyp und klicken Sie auf den Scan, für den Sie eine weitere Regel erstellen möchten. 4. Klicken Sie in der Konsolenstruktur unter Häufige Aufgaben auf Regel erstellen. 5. Folgen Sie dem Assistenten, um den Namen der Regel sowie Einstellungen für Bedingungen und Eigenschaftswerte festzulegen. Beispiel: Hinzufügen mehrerer Regeln zu einem Scan Angenommen, Ihre Netzwerksicherheitsrichtlinien schreiben vor, den Zugriff auf Benutzergeräte zu verhindern, es sei denn, Service Pack 3 ist für Windows XP installiert und Service Pack 1 für Windows Vista. Die Mitarbeiter im Tokioer Büro sind die Ausnahme, da die EDV-Abteilung in Tokio sich entschieden hat, das Upgrade von Windows XP auf Service Pack 3 erst nach weiteren Tests durchzuführen. Sie können den gleichen Scan mit unterschiedlichen Regeln verwenden, um das richtige Service Pack in allen drei Fällen zu ermitteln. Sie müssen jede Regel separat konfigurieren. In Ihrer Umgebung gibt es einen Anmeldepunkt Tokio, der von den Mitarbeitern im Tokioer Büro verwendet wird. Anmeldepunkte wenden Einstellungen auf die Verbindungen an, die durch ihre URLs initiiert werden. Mit den folgenden Schritten erstellen Sie einen Scan, der diese Service Pack-Anforderungen prüft: 400 Hinzufügen von Regeln zu Scans 1. Erstellen Sie einen Service Pack-Scan und wählen Sie die Anmeldepunktbedingung für die Konfiguration aus. a. Erweitern Sie Betriebssystemscans und klicken Sie dann auf Citrix Scans für Windows Service Packs. b. Klicken Sie unter Häufige Aufgaben auf Scan erstellen. Der Assistent Scan erstellen wird geöffnet. c. Geben Sie einen Namen für den Scan ein und klicken Sie auf Weiter. d. Markieren Sie unter Verfügbare Bedingungen den Anmeldepunkt und klicken Sie auf Hinzufügen. e. Geben Sie einen Regelnamen ein und klicken Sie dann auf Weiter. f. Markieren Sie unter Betriebssystem die Bedingung Windows XP und klicken Sie dann auf Weiter. g. Wählen Sie unter Anmeldepunkt alle Anmeldepunkte außer Tokio und klicken Sie dann auf Weiter. h. Als Eigenschaftswert, der überprüft wird, wählen Sie Service Pack 3 und klicken Sie dann auf Fertig stellen. 2. Nachdem Sie den Scan und die erste Regel erstellt haben, erstellen Sie eine weitere Regel für Windows XP. a. Wählen Sie den Scan aus, den Sie gerade erstellt haben, und klicken Sie unter Häufige Aufgaben auf Regel erstellen. Der Assistent Regel erstellen wird geöffnet. b. Geben Sie einen Regelnamen ein und klicken Sie dann auf Weiter. c. Markieren Sie unter Betriebssystem die Bedingung Windows XP und klicken Sie dann auf Weiter. d. Wählen Sie unter Anmeldepunkt den Eintrag Tokio und klicken Sie dann auf Weiter. e. Als Eigenschaftswert, der überprüft wird, wählen Sie Service Pack 2 und klicken Sie dann auf Fertig stellen. Die zweite Regel wird in dem Scan angezeigt, den Sie im ersten Schritt erstellt haben. 3. Nachdem Sie den Scan und die beiden Regeln für Windows XP erstellt haben, erstellen Sie eine dritte Regel für Windows Vista. a. Wählen Sie den Scan aus, den Sie gerade erstellt haben, und klicken Sie unter Häufige Aufgaben auf Regel erstellen. Der Assistent Regel erstellen wird geöffnet. b. Geben Sie einen Regelnamen ein und klicken Sie dann auf Weiter. c. Markieren Sie unter Betriebssystem die Bedingung Windows Vista und klicken Sie dann auf Weiter. d. Wählen Sie unter Anmeldepunkt alle Anmeldepunkte aus und klicken Sie dann auf Weiter. 401 Hinzufügen von Regeln zu Scans e. Als Eigenschaftswert, der überprüft wird, wählen Sie Service Pack 1 und klicken Sie dann auf Fertig stellen. Die dritte Regel wird in dem Scan angezeigt, den Sie im ersten Schritt erstellt haben. 402 Scanpakete Mit Scanpaketen können Sie Scans zur Überprüfung der Eigenschaften von Benutzergeräten erstellen, z.B. der Version der Antivirussoftware. Jedes Paket ist für die Überprüfung bestimmter Eigenschaften oder Softwareprodukte bestimmt. Scanpakete werden in der Delivery Services Console unter dem Knoten "Endpoint Analysis-Scans" aufgelistet. Sie können die verschiedenen Eigenschaften eines Scanpakets, einschließlich einer Beschreibung der Scanausgaben, in der Konsole anzeigen lassen. Anhand der Beschreibungen der Scanausgaben sehen Sie, welche Informationen zum Benutzergerät abgerufen oder überprüft werden. Eine Scanausgabe kann eine oder beide Formen haben, abhängig vom Scanpaket und den eingestellten Regeln: • Informationen über das Benutzergerät: Zum Beispiel gibt das Scanpaket Citrix Scans für Trend OfficeScan gibt einen Wert zurück, der die Produktversion der auf dem Benutzergerät ausgeführten Trend OfficeScan-Software ist, falls vorhanden. • Ein boolescher Wert von "Wahr" oder "Falsch" gibt an, ob das Scanpaket die benötigten Eigenschaftswerte des Scans erkannt hat. So zeigen Sie die Scanausgaben eines Scanpakets an 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Erweitern Sie Endpoint Analysis-Scans und klicken Sie dann auf den Typ des Scans, für den Sie die Scanausgaben anzeigen möchten. 4. Klicken Sie im rechten Bereich unter Inhalt auf ein Scanpaket. 5. Klicken Sie unter Aufgaben auf Eigenschaften. In der Scanausgabentabelle wird jede mit dem Paket erstellte Ausgabe beschrieben. 403 Hinzufügen von Scanpaketen Jedes Endpoint Analysis-Scanpaket ist so konzipiert, dass die Eigenschaften eines bestimmten Softwareprodukts überprüft werden. Sie können die Gruppe der Standardscanpakete erweitern, indem Sie neue Pakete importieren. Citrix, Partner oder Entwickler in Ihrer Organisation können mit dem Endpoint Analysis Software Development Kit (SDK) weitere Scanpakete entwickeln. Das SDK finden Sie auf Ihrer Produkt-CD oder auf der Website von Citrix: http://community.citrix.com/cdn. So importieren Sie ein Scanpaket 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Klicken Sie auf Endpoint Analysis-Scans oder eine Scangruppe und klicken Sie unter Häufige Aufgaben auf Scanpaket importieren. • Wenn Sie Endpoint Analysis-Scans wählen, wird das Scanpaket nicht in einer Gruppe angezeigt sondern direkt unter dem Knoten Endpoint Analysis-Scans. Wenn das Paket in der Scangruppe angezeigt werden soll, müssen Sie die Scangruppe auswählen. 4. Navigieren Sie im Dialogfeld Scanpaketdatei auswählen zu der Scanpaketdatei und klicken Sie dann auf Öffnen. • Gruppieren von Scans In der Konsolenstruktur werden Standardscangruppen für Kategorien wie Antivirenprogramme, Firewalls und Betriebssystemsoftware aufgelistet, sodass Sie Scanpakete und die zugehörigen Scans übersichtlich anordnen können. Mit Scangruppen können Sie Scanpakete oder Scans schneller finden. Sie können Ihre eigenen Gruppen erstellen und benennen. Scangruppen dienen nur der Organisation innerhalb der Konsolenstruktur und haben keinen Einfluss darauf, wie Scans ausgeführt werden. 404 Hinzufügen von Scanpaketen So erstellen Sie eine Scangruppe 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Klicken Sie auf Endpoint Analysis-Scans und klicken Sie unter Häufige Aufgaben auf Scangruppe erstellen. 4. Geben Sie im Dialogfeld Scangruppe erstellen einen Namen für die Scangruppe an. Hinzufügen von Sprachpaketen Ein Scanpaketentwickler kann Sprachpakete erstellen, um weitere Sprachen bereitzustellen, in denen das Paket Scans erstellt. Ein Entwickler könnte zunächst ein Scanpaket auf Englisch erstellen und später Sprachpakete für Französisch, Deutsch oder Spanisch hinzufügen. Sprachpakete werden üblicherweise als CAB-Dateien bereitgestellt. So importieren Sie ein Sprachpaket für ein Scanpaket 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Klicken Sie auf Endpoint Analysis-Scans und klicken Sie unter Häufige Aufgaben auf Sprachpaket importieren. 4. Navigieren Sie im Dialogfeld Sprachpaketdatei auswählen zu der Sprachpaketdatei und klicken Sie auf Öffnen. 405 Referenz für Scanpakete Scanpakete enthalten die Software, die Sie zum Erstellen von Endpoint Analysis-Scans benötigen, mit denen Sie Informationen auf Benutzergeräten ermitteln. Beim Erstellen von Scans geben Sie in der üblicherweise einen oder mehrere Eigenschaftswerte an, die Sie ermitteln möchten, etwa eine Betriebssystemversion oder ein Service Pack. Der Scan kann auch Eigenschaften enthalten, die als Bedingungen fungieren, die auf dem Benutzergerät erfüllt sein müssen, damit der Scan ausgeführt wird, beispielsweise ein bestimmter Anmeldepunkt oder der Betriebssystemtyp. In diesem Abschnitt finden Sie Links zu Abschnitten, in denen die Eigenschaften und Ausgaben beschrieben werden, die Sie für Citrix Scanpakete konfigurieren können. Hinweis: Diese Thema ist in der Onlinehilfe auf jedem Server verfügbar, auf dem Citrix Access Controller ausgeführt wird. Wenn Sie beim Erstellen von Scans Informationen über bestimmte Eigenschaften benötigen, suchen Sie diese Referenz in Ihrem Hilfethema. Scanpakete sind in folgende Gruppen nach Produkt- oder Eigenschaftstyp unterteilt, der in dem Scan untersucht wird. 406 Antivirusscans Sie können ein Scanpaket erstellen, um Benutzergeräte auf Antivirussoftware zu überprüfen. Citrix Scans für McAfee VirusScan Erkennt, ob die gewünschte McAfee VirusScan-Software (Personal Edition) auf dem Benutzergerät ausgeführt wird. Mindestens unterstützte Versionen • VirusScan Plus 2004: Windows XP • VirusScan Plus 2008: Windows XP, Windows Vista • VirusScan Plus 2009: Windows XP, Windows Vista, Windows 7 • Internet Security 2010: Windows XP, Windows Vista, Windows 7 • Total Protection 2010: Windows XP, Windows Vista, Windows 7 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Dateiversion Verwenden Sie das Format N.N, wobei N eine ganze Zahl ist. Sie finden die Dateiversionsnummer in den Eigenschaften der Datei mcvsshld.exe auf der Registerkarte Version. Scanausgaben 407 Scanausgabename Beschreibung Dateiversion Dies ist die Version der Hauptprogrammdatei. Die Hauptund Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. McAfee VirusScan überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Antivirusscans Citrix Scans für McAfee VirusScan Enterprise Erkennt, ob McAfee VirusScan-Software (Enterprise Edition) auf dem Benutzergerät ausgeführt wird. Mindestens unterstützte Versionen • VirusScan Enterprise 8.0i: Windows XP • VirusScan Enterprise 8.5i: Windows XP, Windows Vista • VirusScan Enterprise 8.7: Windows XP, Windows Vista, Windows 7 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Engineversion Verwenden Sie das Format N.N. Beispiel: 4.4 Beachten Sie, dass die Benutzeroberfläche der Anwendung und die Registrierung die Engineversionsnummer möglicherweise in unterschiedlichen Formaten anzeigen. Die Engineversion 4.4 könnte möglicherweise in der Benutzeroberfläche als 4400 und in der Registrierung als 4.4.00 angezeigt werden. In beiden Fällen sollten Sie aber beim Erstellen eines Scans die mindestens erforderliche Engineversion als 4.4 angeben. Mindestens erforderliche Versionsnummer der Definitionsdatei Verwenden Sie das Format N, wobei N eine ganze Zahl ist. Scanausgaben Scanausgabename Beschreibung McAfee VirusScan Enterprise überprüft Diese boolesche Ausgabe zeigt, ob diese Anwendung auf dem Benutzergerät ausgeführt wird. Engineversion Gibt die Version der On-Access-Scanengine an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Definitionsversion Gibt die Definitionsdateiversion (pattern file version) an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0 angezeigt. Citrix Scans für Norton AntiVirus Personal Erkennt, ob Norton AntiVirus-Software (Personal Edition) auf dem Benutzergerät ausgeführt wird. 408 Antivirusscans Mindestens unterstützte Versionen • Norton AntiVirus 2008: Windows XP, Windows Vista • Norton AntiVirus 2009: Windows XP, Windows Vista, Windows 7 • Norton AntiVirus 2010: Windows XP, Windows Vista, Windows 7 • Norton Internet Security 2008: Windows XP, Windows Vista • Norton Internet Security 2010: Windows XP, Windows Vista, Windows 7 • Norton 360 v4.0: Windows XP, Windows Vista, Windows 7 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Produktversion Verwenden Sie das Format N.N.N, wobei N eine ganze Zahl ist. Mindestens erforderliche Versionsnummer der Definitionsdatei Verwenden Sie das Format JJJJMMTT.NNN, wobei JJJJ die vierstellige Jahreszahl, MM die zweistellige Zahl für den Monat, TT die zweistellige Zahl für den Tag und NNN eine dreistellige ganze Zahl ist. Scanausgaben Scanausgabename Beschreibung Produktversion Gibt die Softwareversion an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Norton AntiVirus überprüft Zeigt, ob diese Anwendung auf dem Benutzergerät ausgeführt wird. Definitionsversion Gibt die Definitionsdateiversion (pattern file version) an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Citrix Scans für Symantec AntiVirus Enterprise Erkennt, ob Symantec AntiVirus Enterprise-Software auf dem Benutzergerät ausgeführt wird. Mindestens unterstützte Versionen 409 • Symantec Endpoint Protection 11.0.4: Windows XP, Windows Vista • Symantec Endpoint Protection 11.0.6: Windows XP, Windows Vista, Windows 7 Antivirusscans Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Produktversion Verwenden Sie das Format N.N.N, wobei N eine ganze Zahl ist. Mindestens erforderliche Versionsnummer der Definitionsdatei Verwenden Sie das Format JJJJMMTT.NNN, wobei JJJJ die vierstellige Jahreszahl, MM die zweistellige Zahl für den Monat, TT die zweistellige Zahl für den Tag und NNN eine dreistellige ganze Zahl ist. Scanausgaben Scanausgabename Beschreibung Produktversion Gibt die Softwareversion an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Definitionsversion Gibt die Definitionsdateiversion (pattern file version) an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Symantec AntiVirus Enterprise überprüft Zeigt, ob diese Anwendung auf dem Benutzergerät ausgeführt wird. Citrix Scans für Trend OfficeScan Erkennt, ob Trend OfficeScan-Antivirussoftware auf dem Benutzergerät ausgeführt wird. Mindestens unterstützte Versionen • OfficeScan 8.0 SP1: Windows XP • OfficeScan 10.0: Windows XP, Windows Vista, Windows 7 Definierbare Eigenschaften 410 Eigenschaftsname Beschreibung/Format Mindestens erforderliche Clientversion Verwenden Sie das Format N.N, wobei N eine ganze Zahl ist. Mindestens erforderliche Versionsnummer der Definitionsdatei Die dreistellige Kurzform für die Definitionsdateiversion, die auf dem Benutzergerät ausgeführt wird. Verwenden Sie das Format N, wobei N eine ganze Zahl ist. Für Version 2.763 lautet die Kurzform beispielsweise 763. Antivirusscans Scanausgaben Scanausgabename Beschreibung Produktversion Gibt die Softwareversion an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer 0.0.0.0 angezeigt. Trend OfficeScan überprüft Zeigt, ob diese Anwendung auf dem Benutzergerät ausgeführt wird. Definitionsversion Gibt die Definitionsdateiversion (pattern file version) an, die auf dem Benutzergerät ausgeführt wird. Wenn dieses Produkt nicht installiert ist oder nicht ausgeführt wird, wird standardmäßig die Versionsnummer -1 angezeigt. Citrix Scans für Windows-Sicherheitscenter – Antivirus Ermittelt, ob das Windows-Sicherheitscenter meldet, dass auf dem Benutzergerät Antivirussoftware verwendet wird. In diesem Scan können Sie nur die Bedingungen angeben, unter denen der Scan angewendet wird. Beachten Sie, dass die Antivirussoftware durch das Windows-Sicherheitscenter überwacht werden muss, damit dieser Scan korrekte Ergebnisse liefert. Wenn eine Antivirussoftware nicht richtig bei dem Windows-Sicherheitscenter registriert ist, zeigt der Scan u. U. fälschlicherweise an, dass auf dem Benutzergerät keine Antivirussoftware aktiviert ist. Prüfen Sie, dass das Windows-Sicherheitscenter die Antivirussoftware korrekt registriert oder konsultieren Sie die Dokumentation für das Windows-Sicherheitscenter, um Details über die unterstützen Produkte zu finden. Unterstützte Versionen • Windows XP SP3 – Sicherheitscenter • Windows Vista – Sicherheitscenter • Windows 7 – Wartungscenter Scanausgaben 411 Eigenschaftsname Beschreibung/Format Antivirus aktiviert Zeigt an (Wahr/Falsch), ob das Windows-Sicherheitscenter meldet, dass auf dem Benutzergerät Antivirussoftware verwendet wird. Einfache Scanpakete Sie können ein Endpoint Analysis-Scanpaket erstellen, um Benutzergeräte auf Informationen zu überprüfen, z. B. das Vorhandensein einer bestimmten Version einer Datei oder eines bestimmten Registrierungswerts auf dem Benutzergerät. Citrix Scans für Dateien Citrix Scans für Dateien erkennen Informationen wie beispielsweise Hashwerte und Version von bestimmten Dateien auf dem Benutzergerät. 412 Einfache Scanpakete Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Pfad zur Datei Der Wert für die Zeichenfolge gibt den vollständigen Pfad zur Datei an. Windows-spezifisch: • Der Dateipfad kann Windows-Umgebungsvariablen enthalten, z. B.: %SystemRoot%System32\gdi32.dll • Die Dateisystemumleitung ist im Windows-Betriebssystem deaktiviert. Umgebungszeichenfolgen erweitern Gibt an ((wahr oder falsch), ob Windows-Umgebungsvariablen in FilePath erweitert werden müssen. Hashalgorithmus Der Wert für die Zeichenfolge gibt den angegebenen Hashalgorithmus an. Hierzu gehören: • Ohne: Bei Angabe wird kein Hash berechnet. Die Ausgabe "IsFileHashOK" auf der Seite des AGA-Servers ist "False". • MD5: Bei Angabe wird der MD5-Hash der Datei berechnet. • SHA-1: Bei Angabe wird der SHA-1-Hash der Datei berechnet. • SHA-256: Bei Angabe wird der SHA-256-Hash der Datei berechnet. Erforderlicher Dateihashwert Der Wert für die Zeichenfolge gibt die benötigten Dateihashes an. Operator zum Vergleich von Dateiversionen Der Wert für die Zeichenfolge gibt den relationalen Operator an, der für den Vergleich der Dateiversionen verwendet wird. Werte: • Ohne • Greater_Than_or_Equal_To • Equal_To Bei Angabe von None wird die Dateiversion weder erkannt noch verglichen. Die Ausgabe "IsFileVersionOK" auf der Seite des Access Controller-Servers ist "False". 413 Einfache Scanpakete Erforderliche Dateiversion Der Wert für die Zeichenfolge gibt die benötigte Dateiversion an. Die erwartete Dateiversion hat das folgende Format: xxxx.xxxx.xxxx.xxxx, wobei jede Gruppe der Ganzzahlen 1 bis 4 Ganzzahlen enthalten kann. Beispiel: Unter Windows bedeutet dieses Format: Hauptversion.Unterversion.Buildnummer.Revisionsnummer und kann als 44.44.7.1234 dargestellt sein. Scanausgaben Scanausgabename Beschreibung Verify_File_Exist Gibt an (Wahr oder Falsch), ob eine Datei mit diesem Namen auf dem Benutzergerät vorhanden ist. Verify_File_Hash_IS_OK Gibt an (Wahr oder Falsch), ob der Dateihash in der Gruppe der angegebenen Hashes vorhanden ist. Verify_File_Version_Is_OK Gibt an (Wahr oder Falsch), ob die Dateiversion gleich oder größer als die angegebene Version ist. Citrix Scans für Plattformen Citrix Scans für Plattformen erkennen Betriebssysteminformationen, z. B. Name, Version und Typ auf dem Benutzergerät. 414 Einfache Scanpakete Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Betriebssystemname Der Wert für die Zeichenfolge gibt den Namen des Betriebssystems an. Die vordefinierten Betriebssystemnamen sind: Betriebssystemversion • Windows XP • Windows Vista • Windows 7 Der Wert für die Zeichenfolge gibt die Version des Betriebssystems an. Die erwartete Betriebssystemversion hat das folgende Format: xxxx.xxxx.xxxx.xxxx, wobei jede Gruppe der Ganzzahlen 1 bis 4 Ganzzahlen enthalten kann. Beispiel: Unter Windows bedeutet dieses Format: Hauptversion.Unterversion.Buildnummer.Revisionsnummer und kann als 44.44.7.1234 dargestellt sein. Betriebssystembittyp Der Wert für die Zeichenfolge gibt die Bitlänge des Betriebssystems an. Hierzu gehören: 415 • 32-Bit • 64-Bit • Beides Einfache Scanpakete Betriebssystem Service Pack Der Wert für die Zeichenfolge gibt das auf dem Betriebssystem installierte Service Pack an. Hierzu gehören: • Service Pack 1 • Service Pack 2 • Service Pack 3 • Service Pack 4 • Service Pack 5 • Service Pack 6 • Service Pack 7 • Service Pack 8 • Service Pack 9 Scanausgaben Scanausgabename Beschreibung Verify_OS_Name_is_OK Gibt an (Wahr oder Falsch), ob der Name des Betriebssystems mit einem der vordefinierten Namen übereinstimmt. Verify_OS_Version_is_OK Gibt an (Wahr oder Falsch), ob die Version des Betriebssystems mit der angegebenen Version übereinstimmt. Verify_OS_Bit_Width_is_O K Gibt an (Wahr oder Falsch), ob die Bitlänge des Betriebssystems mit dem angegebenen Typ übereinstimmt. Verify_OS_Service_Pack_is _OK Gibt an (Wahr oder Falsch), ob das Betriebssystem Service Pack mit der angegebenen Version übereinstimmt. Citrix Scans für Ports Citrix Scans für Ports erkennen Portinformationen, z. B. ob ein Port verwendet wird. 416 Einfache Scanpakete Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Portnummern Der Wert für die Zeichenfolge gibt die Portnummern oder den Portbereich (durch Komma getrennt) an, z. B.: 25, 80, 110, 117-120 Für den Abhören-Zustand verweisen die Portnummern auf lokale Ports, sonst verweisen die Portnummern auf Remoteports. Protokoll Der Wert für die Zeichenfolge gibt das angegebene Protokoll an. Hierzu gehören: • TCP • UPD • Beide Scanausgaben Scanausgabename Beschreibung Verify_Port_Is_Bound Gibt an (Wahr oder Falsch), ob einer der Port gebunden ist. Für TCP unter Windows ist der Port gebunden, wenn der Port in einem der folgenden Zustände ist: • MIB_TCP_STATE_LISTEN • MIB_TCP_STATE_ESTAB Citrix Scans für Prozess Citrix Scans für Prozess erkennen Prozessinformationen, z. B. Hashwert und Version auf dem Benutzergerät. 417 Einfache Scanpakete Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Pfad zu Prozess Der Wert für die Zeichenfolge gibt den Pfad zum Prozess an. Der Pfad kann ein absoluter Pfad zum Prozess oder nur der Name des Prozesses sein. Wenn nur der Prozessname angegeben ist, scannt dieses EPA-Paket alle Prozesse mit einem übereinstimmenden Namen. Windows-spezifisch: • Der Prozesspfad kann Windows-Umgebungsvariablen enthalten, z. B.: %SystemRoot%System32\gdi32.dll • Die Dateisystemumleitung ist im Windows-Betriebssystem deaktiviert. Umgebungszeichenfolgen erweitern Gibt an (Wahr oder Falsch), ob Windows-Umgebungsvariablen im Dateipfad vorhanden sind. Hashalgorithmus Der Wert für die Zeichenfolge gibt den angegebenen Hashalgorithmus an. Hierzu gehören: Erforderlicher Dateihashwert 418 • Ohne: Bei Angabe wird kein Hash berechnet. Die Ausgabe "IsProcessRunning" auf der Seite des AGA-Servers wird nicht vom Hash beeinflusst. • MD5: Bei Angabe wird der MD5-Hash des Prozessmoduls berechnet. • SHA-1: Bei Angabe wird der SHA-1-Hash des Prozessmoduls berechnet. • SHA-256: Bei Angabe wird der SHA-256-Hash des Prozessmoduls berechnet. Die Werte für die Zeichenfolge geben die benötigten Dateihashes an. Einfache Scanpakete Operator zum Vergleich von Dateiversionen Der Wert für die Zeichenfolge gibt den relationalen Operator an, der für den Vergleich der Dateiversionen verwendet wird. Hierzu gehören: • Ohne • Greater_Than_or_Equal_To • Equal_To Bei Angabe von None wird die Dateiversion weder erkannt noch verglichen. Die Ausgabe "IsProcessRunning" auf der Seite des AGA-Servers wird nicht von der Dateiversion beeinflusst. Erforderliche Dateiversion Der Wert für die Zeichenfolge gibt die benötigte Dateiversion an. Die erwartete Dateiversion hat das folgende Format: xxxx.xxxx.xxxx.xxxx, wobei jede Gruppe der Ganzzahlen 1 bis 4 Ganzzahlen enthalten kann. Beispiel: Unter Windows bedeutet dieses Format: Hauptversion.Unterversion.Buildnummer.Revisionsnummer und kann als 44.44.7.1234 dargestellt sein. 419 Einfache Scanpakete Scanausgaben Scanausgabename Beschreibung Verify_ProcessIs_Running Gibt an (Wahr oder Falsch), ob der angegebene Prozess ausgeführt wird. Die Ausgabe ist Wahr, wenn alle folgenden Bedingungen zutreffen: • Der angegebene Prozess ist vorhanden. • Der Hash des Prozessmoduls (falls angegeben) liegt in dem angegebenen Hashdatensatz. • Die Version des Prozessmoduls (falls angegeben) ist gleich oder größer als die angegebene Version. Wenn nur ein Prozessname angegeben ist, und mehrere Instanzen des Prozesses mit diesem Namen ausgeführt werden, ist die Ausgabe wahr, wenn alle folgenden Bedingungen zutreffen: • Alle Hashwerte (falls angegeben) der ausgeführten Prozessmodule liegen im angegebenen Hashdatensatz. • Alle Versionen (falls angegeben) der ausgeführten Prozessmodule erfüllen die Vergleichsversionanforderungen. Citrix Scans für Registrierung Citrix Scans für Registrierung erkennen Informationen in der Registrierung, z. B. das Vorhandensein eines Registrierungsschlüssels oder Registrierungswerts auf dem Benutzergerät. 420 Einfache Scanpakete Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Schlüsselname Der Wert für die Zeichenfolge gibt den Namen des Registrierungsschlüssels an. Die folgenden Abkürzungen werden unterstützt: Registrierungsumleitung • "HKCU" für "HKEY_CURRENT_USER" • "HKLM" für "HKEY_LOCAL_MACHINE" • "HKCR" für "HKEY_CLASSES_ROOT" Der Wert für die Zeichenfolge gibt an, welcher Teil der Registrierung abgesucht wird. Hierzu gehören: Operator zum Vergleichen von Registrierungswerten • 32-Bit: Bei Angabe wird nur die 32-Bit-Ansicht der Registrierung abgesucht. • 64-Bit: Bei Angabe wird nur die 64-Bit-Ansicht der Registrierung abgesucht. • Beide: Bei Angabe werden die 32-Bit- und 64-Bit-Ansichten der Registrierung abgesucht. Der Wert für die Zeichenfolge gibt den angegebenen Operatorwert an. Hierzu gehören: • Ohne • Exist • Equal_To • Not_Equal_To • Less_Than • Less_Than_or_Equal_To • Greater_Than • Greater_Than_or_Equal_To Bei Angabe von "None" wird der Registrierungswert weder erkannt noch verglichen. Für Werte des Typs REG_BINARY und REG_MULTI_SZ sind die gültigen Werte für relationaler Operator "Exist" und "Equal_To"; andere Werte für relationaler Operator ergeben eine negative Ausgabe. 421 Einfache Scanpakete Wertname Der Wert für die Zeichenfolge gibt den Namen des Werts an. Wenn der Wertname aus Leerstellen statt Buchstaben oder Zahlen zusammengesetzt ist, wird er als Standardwert behandelt. Werttyp Der Wert für die Zeichenfolge gibt den benötigten Typ des Registrierungswerts an. Hierzu gehören: • REG_SZ • REG_BINARY • REG_DWORD • REG_QWORD • REG_MULTI_SZ • REG_EXPAND_SZ Für die Werte REG_BINARY und REG_MULTI_SZ: Wert • Hexadezimalwerte sind durch Komma getrennt. • Leerstellen werden auch als Trennzeichen behandelt. • Wenn Sie Daten von einer exportieren Registrierungsdatei kopieren, kopieren Sie die Zeichenfolge nach "hex:". • Höchstens 1024 Zeichen sind zugelassen. Der Wert für die Zeichenfolge gibt die benötigten Daten für den Registrierungswert an. Die Wertdaten werden mit Base64 für URL verschlüsselt, bevor sie an den EPA-Dienst gesendet werden; die Wertdaten werden vom EPA-Dienst entschlüsselt. Scanausgaben 422 Scanausgabename Beschreibung Verify_Registry_Key_Is_Pr esent Gibt an (Wahr oder Falsch), ob der angegebene Registrierungsschlüssel vorhanden ist. Verify_Registry_Value_Is_ Present Gibt an (Wahr oder Falsch), ob der angegebene Registrierungswert vorhanden ist. Verify_Registry_Value_Is_ OK Gibt an (Wahr oder Falsch), ob die Daten des Registrierungswerts den Vergleichsanforderungen entsprechen. Browserscans Ein Webbrowserscan enthält Typ und/oder bestimmte Versionen von Webbrowsern. Citrix Scans für Browsertyp Die Citrix Scans für Browsertyp ermitteln, ob die angegebene Webbrowsersoftware auf dem Benutzergerät für die Verbindung verwendet wird. Sie können im Scan nach Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Safari oder anderer Software suchen. Für Scans in diesem Paket muss keine clientseitige Software auf dem Benutzergerät ausgeführt werden. Die Scanausgaben werden anhand der Informationen ermittelt, die der Browser des Benutzers sendet. Mindestens unterstützte Versionen • Microsoft Internet Explorer 7.0 • Mozilla Firefox 3.0 • Safari 5.0 • Google Chrome 5.0 Definierbare Eigenschaften 423 Eigenschaftsname Beschreibung/Format Erwarteter Browsertyp Der Browser, den der Scan auf dem Benutzergerät finden soll. Auswahl: • Internet Explorer • Firefox • Chrome • Safari • Sonstiges Browserscans Scanausgaben Scanausgabename Beschreibung Überprüft - Browsertyp Zeigt, ob (Wahr oder Falsch) der angegebene Browsertyp für die Verbindung vom Benutzergerät verwendet wird. Browsertyp Gibt den Clientbrowsertyp zurück. "Sonstiges" wird zurückgegeben, wenn ein anderer Browser als Internet Explorer, Firefox, Chrome oder Safari verwendet wird. Citrix Scans für Internet Explorer Citrix Scans für Internet Explorer ermittelt, ob die angegebene Version der Browsersoftware auf dem Benutzergerät vorhanden ist. Mindestens unterstützte Versionen • Internet Explorer Version 7.0 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Version Verwenden Sie das Format N.N.N.N, wobei N eine ganze Zahl ist. Eine Version kann ganz einfach mit N.N oder ganz detailliert mit N.N.N.N (z. B. 7.0) angegeben werden. Scanausgaben Scanausgabename Beschreibung Produktversion Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. Internet Explorer-Installation überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Internet Explorer-Verbindung überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung für die Verbindung verwendet wird. Citrix Scans für Internet Explorer-Updates Citrix Scans für Internet Explorer-Updates ermittelt, ob die angegebene Version (einschließlich Update- oder Hotfixversion) der Browsersoftware auf dem Benutzergerät vorhanden ist. 424 Browserscans Mindestens unterstützte Versionen • Internet Explorer Version 7.0 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Patch-Datengruppe Der Name einer Datengruppendatei, die die erforderlichen Update- oder Hotfixversionen enthält. Weitere Informationen finden Sie unter Verwenden von Datengruppen in Scans. Scanausgaben Scanausgabename Beschreibung Internet Explorer-Patch überprüft Zeigt, ob alle in einer Datengruppe angegebenen Updates auf dem Benutzergerät vorhanden sind. Citrix Scans für Mozilla Firefox Citrix Scans für Mozilla Firefox ermittelt, ob die angegebene Version des Firefox-Browsers auf dem Benutzergerät vorhanden ist. Das Scanpaket verwendet die veröffentlichten Windows-Registrierungseinstellungen. Mindestens unterstützte Versionen • Firefox Version 3.0 Definierbare Eigenschaften 425 Eigenschaftsname Beschreibung/Format Mindestens erforderliche Version Verwenden Sie das Format N.N.N.N, wobei N eine ganze Zahl ist. Eine Version kann ganz einfach mit N.N oder ganz detailliert mit N.N.N.N (z. B. 1.0.3.3) angegeben werden. Browserscans Scanausgaben 426 Scanausgabename Beschreibung Produktversion Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. Mozilla Firefox-Installation überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Mozilla Firefox-Verbindung überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung für die Verbindung verwendet wird. Firewallscans Sie können ein Scanpaket erstellen, das überprüft, ob Personal Firewall-Software auf dem Benutzergerät vorhanden ist. Citrix Scans für McAfee Desktop Firewall Citrix Scans für McAfee Desktop Firewall erkennt, ob die angegebene Version der Firewallsoftware auf dem Benutzergerät vorhanden ist. Mindestens unterstützte Versionen • McAfee Desktop Firewall 8.5 Build 260 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Versionsnummer oder Kombination aus Versionsund Buildnummer Verwenden Sie für die Versionsnummer das Format N.N, wobei N eine ganze Zahl ist. Wenn Sie die Versions- und Buildnummer angeben, verwenden Sie das Format N.N.NNN, wobei N eine ganze Zahl ist. Scanausgaben Scanausgabename Beschreibung Version Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. McAfee Desktop Firewall überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Citrix Scans für McAfee Personal Firewall Citrix Scans für McAfee Personal Firewall erkennt, ob die angegebene Version der Firewallsoftware auf dem Benutzergerät vorhanden ist. 427 Firewallscans Mindestens unterstützte Versionen • McAfee VirusScan Plus 2009 • McAfee Internet Security 2010 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Versionsnummer N.N, wobei N eine ganze Zahl ist. Scanausgaben Scanausgabename Beschreibung Version Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. McAfee-Personal-Firewall überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Citrix Scans für Microsoft Windows Firewall Citrix Scans für Microsoft Windows Firewall erkennt, ob die angegebene Version von Microsoft Windows-Sicherheitscenter auf dem Benutzergerät vorhanden ist. Unterstützte Versionen Der Scan kann die folgenden Firewalls auf diesen Betriebssystemen erkennen: • Microsoft Windows XP Home und Professional Service Pack 3: • Windows Vista • Windows 7 Hinweis: Wenn auf dem Benutzergerät Windows XP mit Service Pack 3 ausgeführt wird, unterstützt nur Microsoft Windows-Sicherheitscenter mit Firewalls von Drittanbieters die Endpoint Analysis-Scans. Scans werden nicht unterstützt, wenn auf dem Gerät nur Windows Firewall ausgeführt wird. 428 Firewallscans Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Windows-Firewall muss vorhanden sein Wählen Sie Wahr, wenn die Windows Firewall ohne Ausnahmen aktiv sein soll. Wählen Sie Falsch, wenn die Windows Firewall aktiv sein soll, es aber Ausnahmen gibt. Ein Beispiel, wie Sie mehrere Regeln mit Ausnahmen einem Scan hinzufügen, finden Sie unter Hinzufügen von Regeln zu Scans. Scanausgaben Scanausgabename Beschreibung Windows-Firewall überprüft Diese boolesche Ausgabe zeigt, ob die mindestens erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Citrix Scans für Norton Personal Firewall Citrix Scans für Norton Personal Firewall erkennt, ob die angegebene Version von Norton Personal Firewall auf dem Benutzergerät vorhanden ist. Mindestens unterstützte Versionen • Norton 360 v 4.0 • Norton Internet Security 2010 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Mindestens erforderliche Version Verwenden Sie das Format N.N, wobei N eine ganze Zahl ist. Scanausgaben 429 Scanausgabename Beschreibung Norton Personal Firewall überprüft Diese boolesche Ausgabe zeigt, ob die erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Version Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. Firewallscans Citrix Scans für Symantec Firewall Citrix Scans für Symantec Firewall erkennt, ob die angegebene Version von Symantec Firewall auf dem Benutzergerät vorhanden ist. Mindestens unterstützte Versionen • Symantec Endpoint Protection 11.0.04 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Symantec Firewall überprüft Erkennt, ob die mindestens erforderliche Version von Symantec Firewall auf dem Benutzergerät vorhanden ist. Scanausgaben Scanausgabename Beschreibung Version Die Version der Hauptprogrammdatei. Die Haupt- und Unterversionsnummern sind die gleichen, die in der Benutzeroberfläche des Programms angezeigt werden. Der Rest der Versionsnummer kann im Bericht ignoriert werden. MinVersion Diese boolesche Ausgabe zeigt, ob die erforderliche Version der Anwendung auf dem Benutzergerät ausgeführt wird. Citrix Scans für Windows-Sicherheitscenter – Firewall Citrix Scans für Windows-Sicherheitscenter - Firewall erkennt, ob das Windows-Sicherheitscenter berichtet, dass das Benutzergerät eine Firewall verwendet. Mit dem Windows-Sicherheitscenter können Sie verschiedene Sicherheitsobjekte auf einem Benutzergerät überwachen, das Windows XP SP2 als Betriebssystem verwendet. In diesem Scan gibt es keine Eigenschaften, die Sie angeben können, außer den Bedingungen, unter denen der Scan angewendet wird. Beachten Sie, dass die Firewall durch das Windows-Sicherheitscenter auf dem Benutzergerät überwacht werden muss, damit dieser Scan korrekte Ergebnisse liefert. Wenn ein Firewallprodukt nicht richtig bei dem Windows-Sicherheitscenter registriert ist, zeigt der Scan u. U. fälschlicherweise an, dass auf dem Benutzergerät keine Firewall aktiviert ist. Prüfen Sie, dass das Windows-Sicherheitscenter das Firewallprodukt korrekt registriert oder konsultieren Sie die Dokumentation für das Windows-Sicherheitscenter, um Details über die unterstützen Produkte zu finden. 430 Firewallscans Unterstützte Versionen • Windows XP SP3 – Sicherheitscenter • Windows Vista – Sicherheitscenter • Windows 7 – Wartungscenter Scanausgaben 431 Eigenschaftsname Beschreibung/Format Firewall aktiviert Ermittelt (Wahr oder Falsch), ob das Windows-Sicherheitscenter oder das Windows Wartungscenter meldet, dass auf dem Benutzergerät eine Firewall verwendet wird. Computeridentifikationsscanpakete Sie können Scans für bestimmte Eigenschaften des Benutzergeräts erstellen. Zu diesen Einstellungen gehören Mitgliedschaft in einer Domäne und die MAC-Adresse des Benutzergeräts. Citrix Scans für Domänenmitgliedschaft Citrix Scans für Domänenmitgliedschaft erkennen, ob das Benutzergerät zu einer bestimmten Domäne gehört. Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Erwartete Domäne Ein gültiger Domänenname. Arbeitsgruppennamen sind nicht gültig. Domänenname Der NetBIOS-Name der Domäne, zu der der Computer gehört Wahr bedeutet, dass das Benutzergerät zu einer genannten Domäne gehören muss. Falsch bedeutet, dass das Benutzergerät nicht zu einer Domäne gehören muss. Scanausgaben Scanausgabename Beschreibung Verifizierte Domäne Gibt an, ob das Benutzergerät zu der angegebenen Domäne gehört. Domäne Der Name der Domäne, zu der das Benutzergerät gehört. Wenn kein Domänenname erforderlich ist, ist die Ausgabe "unbekannt". Citrix Scans für MAC-Adressen Citrix Scans für MAC-Adressen erkennt die MAC-Adresse für jede Netzwerkkarte (NIC) oder jeden Netzwerkadapter auf dem Benutzergerät und vergleicht die Adresse mit einer Datengruppe, in der Gruppennamen und die zugeordneten gültigen MAC-Adressen aufgelistet werden. Für diesen Scan müssen Sie eine zweispaltige Datengruppe erstellen, in der gültige MAC-Adressen Gruppennamen zugeordnet werden. Der Scan erkennt den Netzwerkadapter 432 Computeridentifikationsscanpakete (der Wert in der ersten Spalte der Datengruppe) und ordnet diese Adresse einem Gruppennamen zu (der Wert in der zweiten Spalte der Datengruppe). Scans verwenden diese Zuordnung, um zu prüfen, zu welcher Gruppe das Benutzergerät gehört. Die MAC-Adressen in der Datengruppe sollten das Format NN:NN:NN:NN:NN:NN verwenden, z. B. 00:11:11:06:B3:E9. Beachten Sie, dass Sie für dieses Format einen Doppelpunkt (:) als Trennzeichen verwenden müssen, statt einen Bindestrich (-). Wichtig: In diesem Scanpaket wird die Groß- und Kleinschreibung bei Daten berücksichtigt. Vermeiden Sie, widersprüchliche Einträge zu erstellen, die sich nur in der Groß- und Kleinschreibung unterscheiden. Es wäre beispielsweise möglich, einen Eintrag für die gleiche Adresse zu erstellen, sie aber zwei verschiedenen Gruppen zuzuordnen. Ein Eintrag könnte beispielsweise die Adresse 00:50:8b:e8:f9:28 der Buchhaltungsgruppe zuordnen. Ein anderer Eintrag, aber mit unterschiedlicher Groß- und Kleinschreibung, 00:50:8B:E8:F9:28, könnte möglicherweise die gleiche Adresse der Verkaufsgruppe zuordnen. Solche Einträge führen zu unzuverlässigen Scanergebnissen. Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Datengruppenname Name der Datengruppendatei, in der jede MAC-Adresse einem Gruppennamen zugeordnet wird. Gruppenname Name einer Gruppe, zu der der Netzwerkadapter gehören muss. Scanausgaben 433 Scanausgabename Beschreibung Gruppenname Gibt den der MAC-Adresse zugeordneten Gruppennamen der Netzwerkkarte oder des Netzwerkadapters des Benutzergeräts zurück. MAC-Adresse stimmt überein Zeigt, ob der Netzwerkadapter zu der angegebenen Gruppe von MAC-Adressen gehört. Scanpakete für Betriebssystem Sie können ein Scanpaket erstellen, um zu prüfen, ob bestimmte Betriebssystemversionen vorhanden sind. Hierzu gehören Plattformtyp, Windows und Windows Update. Citrix Clientlose Scans für Plattformtyp Citrix Clientlose Scans für Plattformtyp erkennt, ob auf dem Benutzergerät die folgende Betriebssystemsoftware ausgeführt wird: • Android • BlackBerry • iPad • iPhone • Linux • Mac OS X • Symbian • Windows 7 • Windows Mobile • Windows Vista • Windows XP Für Scans in diesem Paket muss keine clientseitige Software auf dem Benutzergerät ausgeführt werden. Die Scanausgaben werden anhand der Informationen ermittelt, die der Browser des Benutzers sendet. 434 Scanpakete für Betriebssystem Unterstützte Versionen • Android (Google Nexus), Version 2.2 • BlackBerry, Version 4.7.1.40 • iPad, Version 3.2 • iPhone (3G und 3GS), Version 3.1 • Mac OS X, Version 10.5 und 10.6 (nur Englisch) • Nokia Symbian, Version 11.2021 • Windows 7 • Windows Mobile (htc), 6.5 Professional • Windows Vista • Windows XP mit Service Pack 3 Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Erwarteter Plattformtyp Wählen Sie den Namen des Betriebssystems oder der Plattform aus der Dropdownliste aus. Scanausgaben Eigenschaftsname Beschreibung/Format Überprüft - Plattformtyp Gibt an, ob es sich um das angegebene Betriebssystem oder die Plattform handelt. Plattformtyp Gibt den Typ des Betriebssystems oder der Plattform an. Citrix Scans für Microsoft Windows Service Packs Citrix Scans für Microsoft Windows Service Packs erkennt, ob die mindestens erforderlichen Service Packs für das Betriebssystem auf dem Benutzergerät ausgeführt werden. Definierbare Eigenschaften 435 Eigenschaftsname Beschreibung/Format Mindestens erforderliches Service Pack Wählen Sie eine Windows Service Pack-Version aus der Dropdownliste aus. Wählen Sie Ohne, um die Basisversion des Betriebssystems – ohne Patches – zu ermitteln. Scanpakete für Betriebssystem Scanausgaben Scanausgabename Beschreibung Service Pack Gibt die Service Pack-Version zurück, die auf dem Benutzergerät ausgeführt wird. Windows Service Pack überprüft Zeigt, ob die Mindestanforderungen für Service Packs erfüllt werden. Citrix Scans für Windows Update Citrix Scans für Windows Update erkennt, ob die angegebenen Betriebssystemupdates auf dem Benutzergerät installiert sind. Hinweis: Für dieses Scanpaket müssen Sie eine einspaltige Datengruppe erstellen, in der die Updatenamen aufgelistet werden, die Sie ermitteln möchten. Definierbare Eigenschaften Eigenschaftsname Beschreibung/Format Datengruppenname Name der Datengruppendatei, die eine einspaltige Liste mit Updates enthält, die für das erkannte Betriebssystem gelten. Scanausgaben 436 Scanausgabename Beschreibung Windows-Update überprüft Zeigt, ob alle in einer Datengruppe angegebenen Updates auf dem Benutzergerät vorhanden sind. Verwenden von Scanausgaben in anderen Scans Sie können Scanausgaben als Bedingungen in anderen Endpoint Analysis-Scans einsetzen. Mit dieser Funktion lässt sich das Ergebnis eines Scans als Bedingung für das Ausführen eines anderen Scans verwenden. So erstellen Sie Bedingungen mit Scanausgaben Sie können mit Scanausgaben auf drei Arten Bedingung erstellen: • Wählen Sie in der Delivery Services Console in der Konsolenstruktur Endpoint Analysis-Scans und klicken Sie dann unter "Häufige Aufgaben" auf Verfügbare Bedingungen bearbeiten. • Wählen Sie im Assistenten "Scan erstellen" auf der Seite Bedingungen auswählen die Option Andere Scanausgabe als Bedingung verwenden. • Wählen Sie in der Anzeige Eigenschaften eines bestimmten Scans die Scanausgabe aus und klicken Sie auf Bedingung erstellen. Beispiel: Verwenden einer Scanausgabe als Bedingung Nehmen wir an, dass es zwei Bereiche gibt, Verkauf und Buchhaltung, denen eine eigene Domäne zugewiesen wurde. Die Verkaufsgruppe verlangt von allen Benutzergeräten, die remote eine Verbindung herstellen, dass das Antivirusprogramm A ausgeführt wird, während die Buchhaltungsgruppe verlangt, dass das Antivirusprogramm B auf allen Benutzergeräten ausgeführt wird. Folgen Sie den Schritten unten, um zu prüfen, ob auf Benutzergeräten das erforderliche Antivirusprogramm ausgeführt wird: 1. Erstellen Sie zwei Scans mit Citrix Scans für Domänenmitgliedschaft: • Einen Verkaufsdomänenscan, mit dem geprüft wird, ob das Benutzergerät zur Verkaufsdomäne gehört. Einen Buchhaltungsdomänenscan, mit dem geprüft wird, ob das Benutzergerät zur Buchhaltungsdomäne gehört. 2. Erstellen Sie einen Scan, mit dem bei Verkaufsdomänen-Benutzergeräten geprüft wird, ob Antivirusprogramm A vorhanden ist: • • 437 Klicken Sie im Assistenten "Scan erstellen" auf der Seite Bedingungen auswählen auf Andere Scanausgabe als Bedingung verwenden und geben Sie dann die Scanausgabe für den Verkaufsdomänenscan an, den Sie im ersten Schritt erstellt haben. Verwenden von Scanausgaben in anderen Scans • Verwenden Sie die Scanausgabe "Domäne überprüft" des Verkaufsdomänenscans als Ihre neue Bedingung und geben Sie als erforderlichen Wert "Wahr" an. 3. Erstellen Sie einen Scan, mit dem bei Buchhaltungsdomänen-Benutzergeräte geprüft wird, ob Antivirusprogramm B vorhanden ist: • Klicken Sie im Assistenten "Scan erstellen" auf der Seite Bedingungen auswählen auf Andere Scanausgabe als Bedingung verwenden und geben Sie die Scanausgabe für den Buchhaltungsdomänenscan an, den Sie im ersten Schritt erstellt haben. Verwenden Sie die Scanausgabe "Domäne überprüft" des Buchhaltungsdomänenscans als Ihre neue Bedingung und geben Sie als erforderlichen Wert "Wahr" an. Sie können Scanausgaben in benutzerdefinierten Filtern verwenden, um ähnliche Ergebnisse für komplexe Szenarios zu erzielen. • 438 Verwenden von Datengruppen in Scans Manche Endpoint Analysis-Scans verwenden eine Datengruppe als Referenz zum Vergleichen mit Werten, die auf dem Benutzergerät gefunden wurden. Sie könnten beispielsweise verlangen, dass mehrere Betriebssystemupdates auf dem Benutzergerät vorhanden sind, und müssen mit dem Scan prüfen, ob alle Updates installiert wurden. Die Liste mit erforderlichen Updates wäre ein Beispiel für eine Datengruppe. Datengruppen werden in der freigegebene Datenbank für den Cluster gespeichert. Sie können eine Datengruppe erstellen, indem Sie eine CSV-Datei importieren oder indem Sie die Werte einzeln angeben. Listen Listen sind einspaltige Datengruppen, die mehrere erforderliche Werte für eine Eigenschaft angeben. Scanpakete, die Listen verwenden, sind u. a.: • Citrix Scans für Windows-Updates prüft, ob auf Benutzergeräten alle Updates installiert sind, die Sie in einer Datengruppe angeben. Citrix Scans für Internet Explorer-Updates prüft, ob auf Benutzergeräten alle Updates installiert sind, die Sie in einer Datengruppe angeben. Zuordnungen • Zuordnungen, oder zweispaltige Datengruppen, ermitteln einen Wert auf dem Benutzergerät und ordnen ihn einem anderen Wert in dem Scan zu. Beispielsweise ermittelt Citrix Scans für MAC-Adressen die MAC-Adresse für jede Netzwerkkarte (NIC) auf dem Benutzergerät. Scans verwenden eine zweispaltige Datengruppe, um die Adresse (der Wert in der ersten Spalte) einem Gruppennamen (der Wert in der zweiten Spalte) zuzuordnen. Scans verwenden diese Zuordnung, um zu prüfen, zu welcher logischen Gruppe das Benutzergerät gehört. Erstellen von Datengruppen Folgen Sie den Anweisungen unten, um eine benannte Datengruppe zu erstellen und Daten einzugeben. Für eine Liste (einspaltige Datengruppe) können Sie die Daten manuell eingeben oder aus einer CSV-Datei importieren. Bei einer Zuordnung (zweispaltige Datengruppe) müssen Sie die Daten erst aus einer CSV-Datei importieren. Hinweis: Bei Werten in Datengruppen wird, abhängig vom Scanpaket, das die Datengruppe verwendet, möglicherweise die Groß- und Kleinschreibung beachtet. Wenn Sie ein solches Paket verwenden, sollten Sie vermeiden, widersprüchliche Einträge zu erstellen, die sich in ihrer Groß- und Kleinschreibung unterscheiden. Bei dem Paket Citrix Scans für MAC-Adressen kann beispielsweise ein Eintrag für die gleiche Adresse erstellt werden, der zwei unterschiedlichen Gruppen zugeordnet wird. Ein Eintrag könnte beispielsweise die Adresse 00:50:8b:e8:f9:28 der Buchhaltungsgruppe zuordnen. Ein anderer Eintrag, aber mit unterschiedlicher Groß- und Kleinschreibung, 00:50:8B:E8:F9:28, könnte möglicherweise die gleiche Adresse der Verkaufsgruppe zuordnen. Solche Einträge führen zu unzuverlässigen Scanergebnissen. 439 Verwenden von Datengruppen in Scans So erstellen Sie eine Datengruppe 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Klicken Sie auf Endpoint Analysis-Scans und klicken Sie unter Häufige Aufgaben auf Datengruppen verwalten. 4. Klicken Sie im Dialogfeld Datengruppen auf Neu. Das Dialogfeld Neue Datengruppe wird geöffnet. 5. Geben Sie einen Namen für die neue Datengruppe ein. 6. Fügen Sie wie folgt Daten hinzu: • Geben Sie den Pfad zu einer CSV-Datei an, in der die anfänglichen Daten für den Import sind. Für zweispaltige Datengruppen müssen Sie diese Methode verwenden. Lassen Sie den Pfad leer, um eine leere einspaltige Datengruppe zu erstellen. Fügen Sie Werte hinzu, indem Sie die Datengruppe nach dem Erstellen bearbeiten. 7. Klicken Sie auf OK. • Sie können auch eine bestehende Datengruppen über das Dialogfeld Datengruppen bearbeiten. Beispiel: Überprüfen auf erforderliche Updates In diesem Beispiel wird beschrieben, wie Sie einen Scan erstellen, mit dem geprüft wird, ob auf dem Benutzergerät die erforderlichen Updates für eine bestimmte Windows-Version ausgeführt werden. 1. Verwenden Sie das Citrix Scans für Windows-Updates, um einen Scan zu erstellen, mit dem geprüft wird, ob auf dem Benutzergerät die erforderlichen Updates ausgeführt werden. 2. Erstellen Sie eine einspaltige Datengruppe, in der Sie die Windows-Update auflisten, die auf dem Benutzergerät ausgeführt werden müssen. Beispielwerte für eine solche Datengruppe sind KB898461, KB950760 und KB960225. 3. Verwenden Sie das Citrix Scans für Windows-Updates, um einen Scan zu erstellen, mit dem geprüft wird, ob auf dem Benutzergerät mit der von Ihnen angegebenen Windows-Version die erforderlichen Updates ausgeführt werden. a. Klicken Sie im Assistenten Scan erstellen auf der Seite Bedingungen auswählen auf Andere Scanausgabe als Bedingung verwenden und geben Sie die Scanausgabe an, die Sie im ersten Schritt erstellt haben und die die Produktversion identifiziert. b. Geben Sie im Dialogfeld Werte definieren einen Namen für die neue Bedingung an und geben Sie einen geeigneten zulässigen Wert ein. 440 Skripte und Terminierung für Scanupdates Es stehen zwei Dienstprogramme zum Schreiben von Skripten oder Planen von Updates für Endpoint Analysis-Scans zur Verfügung. Sie können diese Dienstprogramme an einer Eingabeaufforderung unter dem folgenden Standardpfad auf dem Server aufrufen: %systemroot%\Program Files\Citrix\Access Gateway\MSAMExtensions\ Hinweis: Sie müssen eine Discovery durchführen, nachdem Sie diese Dienstprogramme ausgeführt haben, damit die Citrix Delivery Services Console die neuen Werte findet und anzeigt. In den folgenden Abschnitten werden die Dienstprogramme erläutert. Aktualisieren von Eigenschaftswerten in Scans Mit dem Dienstprogramm CtxEpaParamUpdate können Sie die erforderlichen Eigenschaftswerte für einen Scan aktualisieren. Wenn Sie beispielsweise verlangen, dass Benutzergeräte eine bestimmte Definitionsversion von Antivirussoftware verwenden, können Sie ein Skript erstellen, mit dem der Scan aktualisiert wird, wenn Sie eine andere Definitionsversion angeben müssen. Dieser Befehl wurde für die Verwendung als geplanten Task auf einem Server konzipiert, auf dem die Delivery Services Console installiert ist. Verwenden Sie die folgende Syntax, einschließlich Anführungszeichen: "ctxepaparamupdate" Paket-URI Paketversion "Scanname" "Regelname" "Parametername" "Neuer_Wert" Wobei: 441 Parameter Beschreibung Paket-URI URI (Uniform Resource Identifier) des Scanpakets, zu dem der Scan gehört. Sie finden Sie URI-Informationen für ein Scanpaket in der Delivery Services Console in der Eigenschaftenanzeige für das Scanpaket. Paketversion Version des Scanpakets, zu dem der Scan gehört. Sie finden Sie Versionsinformationen für ein Scanpaket in der Delivery Services Console in der Eigenschaftenanzeige für das Scanpaket. Scanname Name des Scanpakets, in dem die Eigenschaft eingestellt ist. Regelname Name der Regel, in der der erforderliche Eigenschaftswert eingestellt ist. Skripte und Terminierung für Scanupdates Paramtername Parametername für den erforderlichen Wert. Sie finden den Parameternamen und die aktuelle Einstellung in der Delivery Services Console in der Eigenschaftenanzeige für die Scanregel. NeuerWert Der neue Wert. Wenn der Wertebereich einer Eigenschaft begrenzt ist, muss der neue Wert in diesem Bereich liegen. Beispiel: Aktualsieren eines Scans mit dem Dienstprogramm CtxEpaParamUpdate Angenommen, Sie möchten einen bestehenden Scan vom Scanpaket Citrix Scans für McAfee VirusScan Enterprise aktualisieren. Um die erforderliche Engineversion auf Version 4.4 und die Version der Definitionsdatei auf Version 4641 zu aktualisieren, geben Sie Folgendes ein: "C:\Programme\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe" http://www.citrix.com/En Außerdem: "C:\Programme\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe" http://www.citrix.com/En Wobei Scanname und Regelname der vorhandenen Scan- und Regelname sind. Aktualisieren von Datengruppen Mit CtxEpaDataSetUpdate können Sie Skripte erstellen oder Updates für Datengruppen planen. Wenn Sie beispielsweise eine Aufgabe wie das Aktualisieren der für ein Antivirusprogramm erforderlichen Definitionsdateinummer automatisieren möchten, können Sie Ihr eigenes Skript erstellen. Verwenden Sie die folgenden Befehlsoptionen in diesem Dienstprogramm: 442 Befehl Beschreibung Syntax /import Erstellt eine neue Datengruppe durch das Importieren einer CSV-Datei. ctxepadatasetupdate /import Dateiname.csv Datengruppenname /reimport Ersetzt den gesamten Inhalt einer bestehenden Datengruppe durch den Import einer neuen CSV-Datei. ctxepadatasetupdate /reimport Dateiname.csv Datengruppenname /export Exportiert die Datengruppe in eine CSV-Datei. ctxepadatasetupdate /export Dateiname.csv Datengruppenname /destroy Löscht die Datengruppe. ctxepadatasetupdate /destroy Datengruppenname /add Fügt der angegebenen Datengruppe einen zusätzlichen Wert hinzu. ctxepadatasetupdate /add Datengruppenname Schlüssel [Wert] Skripte und Terminierung für Scanupdates /overwrite Ersetzt einen Eintrag in einer Datengruppe mit Zuordnungen (zweispaltig). ctxepadatasetupdate /overwrite Datengruppenname Schlüssel [Wert] /remove Löscht einen Eintrag aus einer ctxepadatasetupdate /remove Datengruppe. Datengruppenname Schlüssel Verwenden Sie die folgenden Parameter in den oben aufgeführten Befehlsoptionen: Parameter Beschreibung Dateiname.csv Der Name der CSV-Datei, die die Datengruppe enthält Datengruppenna me Der Name der Datengruppe. Schlüssel Wenn die Datengruppe eine Liste ist (einspaltige Datengruppe), ist dies ein Wert in der Liste. Wenn die Datengruppe eine Zuordnung ist (zweispaltige Datengruppe), ist dies der erste Spaltenwert. Wert Wenn die Datengruppe eine Zuordnung ist (zweispaltige Datengruppe), ist dies der zweite Spaltenwert. Wenn die Datengruppe eine Liste ist (einspaltige Datengruppe), ist dieser Parameter nicht vorhanden. So finden Sie offizielle Parameternamen in Scans Sie finden die Parameternamen in der Konsole in den Scaneigenschaften. 1. Klicken Sie auf Start > Alle Programme > Citrix Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie anschließend den Access Controller, auf dem Sie einen Scan konfigurieren möchten. 3. Erweitern Sie Endpoint Analysis-Scans, erweitern Sie die Scantypen und klicken Sie auf den Scan, für den Sie die Parameternamen anzeigen möchten. 4. Wählen Sie im rechten Bereich eine Regel aus, die dem Scan zugeordnet ist, und wählen Sie die Ansicht Eigenschaften. 5. Wählen Sie die Reihe, in der die Eigenschaft angezeigt wird, und sehen Sie in der Spalte Parametername nach. 443 Erstellen von erweiterten Endpoint Analysis-Scans Sie erstellen einen erweiterten Endpoint Analysis-Scan mit dem Citrix Endpoint Analysis Portal, powered by OPSWAT. Sie können benutzerdefinierte Endpoint Analysis-Scans für eine große Anzahl von Produkten erstellen. Sie verwenden den Policy Generator im Endpoint Analysis Portal, um Richtlinien zu erstellen, mit denen Sie Benutzergeräte sichern können. In Citrix Access Controller verwenden Sie die Richtlinien für erweiterte Endpoint Analysis-Scans in SmartAccess-Richtlinien oder um die Anzeige einen Anmeldepunkts zu steuern. Sie können beispielsweise die Anzeige des Anmeldepunkts für Benutzer verweigern, die den Scan nicht bestehen. Citrix empfiehlt, Access Controller auf Access Gateway Version 5.0.1 oder höher zu aktualisieren. Weitere Informationen finden Sie im Wartungsreleasereadme für Access Gateway 5.0 auf der Citrix Support-Website. Eine Liste der bekannten Problemen mit diesem Release finden Sie im Readmedokument Citrix Access Gateway 5.0 with Advanced Endpoint Analysis powered by OPSWAT auf der Citrix Support Website. 444 Funktionsweise des Citrix Endpoint Analysis Portals Mit dem Citrix Endpoint Analysis Portal können Sie erweiterte Endpunktscanpakete für eine große Auswahl von Softwareprodukten erstellen. Wenn Sie eine Richtlinie erstellen, werden alle verfügbaren Produkte in einer Strukturansicht im linken Bereich des Policy Generators angezeigt. Die Hierarchie der Struktur ist Herstellername > Produktname > Produktversion. Um ein Produkt und eine Version auszuwählen, klicken Sie auf die Version und ziehen sie auf die rechten Seite in die Struktur Selected Products. Wenn Sie ein Produkt und eine Version in die Struktur Selected Products ziehen, erstellen Sie Regeln. Wenn das Advanced Endpoint Analysis Plug-in das Benutzergerät scannt und es wird ein Produkt gefunden, das alle Regeln erfüllt, hört das Plug-In auf, das Benutzergerät zu überprüfen. Wenn Sie alle Versionen für ein Produkt oder Hersteller wählen, enthält die CSV-Datei einen Platzhalter für alle Versionen. Wenn eine neue Version des Produkts von dem Hersteller veröffentlicht wird, erkennt das Advanced Endpoint Analysis Plug-in sie aufgrund der Platzhalterübereinstimmung automatisch. Wenn Sie die Produkte im Advanced Endpoint Analysis Portal ändern, müssen Sie eine neue Richtlinie erstellen und auf den Server hochladen. Die Kategorien von Produkttypen, die Sie als Teil des Scans von Endbenutzergeräten wählen können, sind u. a.: • Antivirussoftware • Antispywaresoftware • Antiphishingsoftware • Firewallsoftware • Festplattenverschlüsselungssoftware • Patchmanagementsoftware • Peer-zu-Peer-Networking Für Peer-zu-Peer-Networking gibt es keine Regeln. Standardmäßig werden alle Peer-zu-Peer-Networkingprodukte blockiert. Als einzige Regel können Sie festlegen, welche Peer-zu-Peer-Networkingprodukte Sie zulassen wollen. Der Malware Scanner ist ein kostenloses Tool, mit dem die erweiterte Endpoint Analysis-Lösung einen aktiven Scan der aktuell ausgeführten Prozesse und Speichermodule auf einem Benutzergerät in Sekundenschnelle durchführen kann. Sie können mit diesem Tool Bedrohungen durch Schadsoftware auf dem Benutzergerät erkennen, wie Keylogger und Virussoftware. Der Malware Scanner ist standardmäßig aktiviert. Sie können ihn mit dem Policy Generator deaktivieren. 445 Funktionsweise des Citrix Endpoint Analysis Portals Die Schritte zum Erstellen und Bereitstellen eines benutzerdefinierten, erweiterten Endpoint Analysis-Scans sind: 1. Laden Sie für Ihre Version von Access Gateway die Konfigurationsdatei (CustomScan.cab) und das Endpoint Analysis Plug-in (EPAPlugin.zip) vom Citrix Endpoint Analysis Portal herunter. 2. Verwenden Sie im Citrix Endpoint Analysis Portal den Policy Generator, um unter verschiedenen Produkten die Anforderungen für Benutzergeräte auszuwählen. Sie wählen die Produkte, die auf dem Benutzergerät installiert sein müssen, und erstellen dann eine CSV-Datei, die Sie auf den Server herunterladen. 3. In der Managementkonsole importieren Sie die Konfigurationsdatei (CustomScan.cab) auf den Server. 4. In der Managementkonsole erstellen Sie einen Scan mit der CSV-Datei, nachdem Sie die Konfigurationsdatei importiert haben. 5. Installieren Sie das Advanced Endpoint Analysis Plug-in auf dem Server. 6. Wählen Sie das Advanced Endpoint Analysis Plug-in im Anmeldepunkt. Sie müssen dem Plug-in einen Anmeldepunkt zuordnen, damit Benutzer das Plug-in auf das Benutzergerät herunterladen können. Wenn Benutzer sich an Access Gateway anmelden, wird das Advanced Endpoint Analysis Plug-in auf das Benutzergerät heruntergeladen und das Plug-in überprüft das Gerät auf die erforderliche Software. Hinweis: Die Schritte 1 bis 4 sind für Access Gateway 4.5, Advanced Edition und Access Gateway 5.0 gleich. Für die beiden Access Gateway-Versionen verwenden Sie aber unterschiedliche Anleitungen zum Installieren des Advanced Endpoint Analysis Plug-ins. 446 Funktionsweise des Malware Scanners Der Malware Scanner ist ein kostenloses Tool, das Sie im Citrix Endpoint Analysis Portal finden. Wenn Benutzer sich anmelden, führt der Malware Scanner einen aktiven Scan der aktuell ausgeführten Prozesse und Speichermodule auf dem Benutzergerät durch. Sie können mit dem Malware Scanner Bedrohungen durch Schadsoftware auf dem Benutzergerät erkennen, wie Keylogger und Virussoftware. Der Malware Scanner wird automatisch ausgeführt und braucht nur wenige Sekunden, um das Benutzergerät zu überprüfen. Benutzer müssen mit dem Internet verbunden sein, um den Malware Scanner auszuführen. Der Malware Scanner stellt eine Verbindung zum OPSWAT-Portal her und die Informationen werden an die Site zur Überprüfung gesendet. Sie können entweder die kostenlose Version des Malware Scanners verwenden oder die Premiumversion über OPSWAT erwerben. Wenn Sie die Premiumversion erwerben, müssen Sie auf der Registerkarte Policy Generator im Citrix Endpoint Analysis Portal den Lizenzschlüssel eingeben. Weitere Informationen finden Sie auf der OPSWAT-Website. Der Malware Scanner ist standardmäßig auf der Registerkarte Policy Generator im Portal aktiviert. Sie können den Malware Scanner jederzeit deaktivieren. Hinweis: Wenn Sie den Malware Scanner aktivieren oder deaktivieren, müssen Sie die Endpoint Analysis-Richtlinie neu erstellen und die neue CSV-Datei auf den Server hochladen. So deaktivieren oder aktivieren Sie den Malware Scanner 1. Gehen Sie zu Citrix Endpoint Analysis Portal und klicken Sie auf die Registerkarte Policy Generator. 2. Wählen Sie Enforce Malware Scan. 447 Download der Dateien vom Citrix Endpoint Analysis Portal Um erweiterte Endpoint Analysis-Scans mit dem Citrix Endpoint Analysis Portal zu erstellen, laden Sie die Datei CustomScan.cab über die Registerkarte Downloads herunter. Sie müssen außerdem das Advanced Endpoint Analysis Plug-in vom Endpoint Analysis Portal herunterladen. Nachdem Sie das Plug-in einem Anmeldepunkt zugeordnet haben, wird beim Anmelden der Benutzer das Plug-in auf den Benutzergerät heruntergeladen und das Plug-in scannt das Benutzergerät. OPSWAT aktualisiert diese beiden Dateien einmal im Monat. Jeden Monat müssen Sie die aktualisierten Dateien herunterladen und dann auf dem Server installieren. Dadurch wird die Unterstützung für die neueste Version der Softwareprodukte der Hersteller geboten. So laden Sie Dateien vom Citrix Endpoint Analysis Portal herunter 1. Gehen Sie zum Citrix Endpoint Analysis Portal und klicken Sie dann auf die Registerkarte Download. 2. Wählen Sie die Datei CustomScan.cab für Ihre Version von Access Gateway und klicken Sie dann auf Download. Folgen Sie den Anweisungen, um die Datei auf Ihrem Server zu speichern. 3. Wählen Sie die Datei EPAPlugin.zip für Ihre Version von Access Gateway und klicken Sie dann auf Download. Folgen Sie den Anweisungen, um die Datei auf Ihrem Server zu speichern. Als nächstes importieren Sie die Dateien als benutzerdefinierte Scan auf den Server. Sie erstellen dann einen benutzerdefinierten Scan und stellen das Advanced Endpoint Analysis Plug-in mit Anmeldepunkten bereit. 448 Erstellen einer Richtlinie mit dem erweiterten Endpoint Analysis-Scan Sie verwenden den Policy Generator im Citrix Endpoint Analysis Portal, um eine Richtlinie mit dem erweiterten Endpoint Analysis-Scan zu erstellen. Die Richtlinie kann beliebige Produkte aus jeder der Kategorien im linken Bereich des Policy Generators enthalten. Wenn Sie ein Produkt und eine Version in einer Kategorie wählen, zeigt der Policy Generator welche Kategorie aktiviert ist und wie viele Regeln Sie ausgewählt haben. Wenn Sie mit dem Zusammenstellen der Richtlinie fertig sind, erstellen Sie eine CSV-Datei und laden sie herunter. Wenn Sie eine Richtlinie für einen erweiterten Endpoint Analysis-Scans erstellen, laden Sie anschließend die CSV-Datei in den Access Controller hoch. So erstellen Sie eine erweiterte Endpoint Analysis-Richtlinie 1. Gehen Sie zu Citrix Endpoint Analysis Portal und klicken Sie auf die Registerkarte Policy Generator. 2. Doppelklicken Sie im linken Bereich auf einen Richtlinientyp, z. B. Antiphishing. 3. Wählen Sie im rechten Bereich Check to enable. Wenn Sie das Kontrollkästchen aktivieren, wird eine Liste verfügbarer Programme angezeigt. 4. Erweitern Sie unter Available Products die Produktliste und ziehen Sie dann eines oder mehrere Produkte in den Bereich Selected Products. 5. Wiederholen Sie Schritte 3 und 4 für jedes Produkt, das Sie der Richtlinie hinzufügen möchten. 6. Klicken Sie auf Finish & Export Policy und speichern Sie dann die CSV-Datei auf Ihrem Computer. Bevor Sie den erweiterten Endpoint Analysis-Scan in Access Gateway erstellen, müssen Sie die benutzerdefinierte Konfigurationsdatei (.cab) und das Endpoint Analysis Plug-in von der Portalseite herunterladen. Sie importieren dann die Datei customscan.cab in eine Scangruppe im Access Controller. 449 So importieren Sie die benutzerdefinierte CAB-Datei in Access Controller Nachdem Sie die Datei customscan.cab vom Citrix Endpoint Analysis Portal heruntergeladen haben, importieren Sie die Datei in Access Controller. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur den Access Controller-Clusternamen (der Standardname ist CitrixController). 3. Erweitern Sie Endpoint Analysis-Scans und wählen Sie eine Scangruppe. Hinweis: Sie können die CAB-Datei in eine beliebige Scangruppe importieren, die unter Endpoint Analysis-Scans aufgeführt wird. Üblicherweise importieren Sie die CAB-Datei unter Benutzerdefinierte Scans. 4. Klicken Sie im mittleren Bereich unter Häufige Aufgaben auf Scanpaket importieren. 5. Navigieren Sie im Dialogfeld Scanpaketregel auswählen zu der Datei customscan.cab, die Sie vom Citrix Endpoint Analysis Portal heruntergeladen haben, und klicken Sie auf Öffnen. "Advanced Endpoint Scan" wird unter "Benutzerdefinierte Scans" in der Konsolenstruktur angezeigt. Erstellen Sie dann eine Richtlinie für den Scan. 450 So erstellen Sie eine Richtlinie mit der erweiterten Endpoint Analysis in Access Controller Nachdem Sie die Endpoint Analysis-Dateien in Access Controller importiert haben, laden Sie die CSV-Datei in Access Controller hoch und erstellen die Richtlinie. Hinweis: Wenn Sie noch keine CSV-Datei im Citrix Endpoint Analysis Portal erstellt haben, folgen Sie den Schritten unter Erstellen einer Richtlinie mit dem erweiterten Endpoint Analysis-Scan. Sie können jederzeit eine neue Richtliniendatei generieren. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur den Access Controller-Clusternamen (der Standard ist CitrixController). 3. Erweitern Sie Endpoint Analysis-Scans 4. Wählen Sie unter Benutzerdefinierte Scans oder in der Scangruppe, in der Sie die CAB-Datei installiert haben, die Option Advanced Endpoint Scan. 5. Klicken Sie unter Häufige Aufgaben auf Scan erstellen. 6. Geben Sie im Dialogfeld Scan erstellen unter Scanname einen Namen für den Scan ein und klicken Sie dann auf Weiter. 7. Wählen Sie unter Bedingungen auswählen die Option Anmeldepunkt und klicken Sie dann auf Weiter. 8. Geben Sie im Dialogfeld Regel definieren unter Regelname einen Namen für die Regel ein und klicken Sie dann auf Weiter. 9. Wählen Sie unter Betriebssystem eines oder mehrere Betriebssysteme, die der Scan erkennen soll und klicken Sie dann auf Weiter. 10. Wählen Sie für Bedingungen konfigurieren unter Bedingung die Anmeldepunkte für die Richtlinie und klicken Sie dann auf Weiter. 11. Klicken Sie unter Zu überprüfende Eigenschaft definieren auf Datengruppe erstellen. 12. Geben Sie im Dialogfeld Neue Datengruppe in unter Geben Sie einen Namen für die Datengruppe ein einen Namen ein. 13. Geben Sie einen Pfad zu einer CSV-Datei ein, um die anfängliche Datengruppe anzugeben. Um eine leere Datengruppe zu erstellen, lassen Sie das Feld leer. Klicken Sie auf Durchsuchen. 451 So erstellen Sie eine Richtlinie mit der erweiterten Endpoint Analysis in Access Controller 14. Navigieren Sie zu der CSV-Datei, die Sie auf Ihrem Computer gespeichert haben und klicken Sie auf Öffnen, Klicken Sie auf OK und dann auf Fertig stellen. 452 Konfigurieren zusätzlicher Optionen für erweiterte Endpoint Analysis-Scans Wenn Sie eine Endpunktanalyserichtlinie im Citrix Endpoint Analysis Portal erstellen, können Sie weitere Optionen für die Durchsetzung der Anforderungen an Benutzergeräte wählen. Sie aktivieren die Optionen beim Wählen der Produkte, die in den erweiterten Endpoint Analysis-Scan aufgenommen werden sollen. Beim Erstellen der CSV-Datei werden diese Optionen in die Datei aufgenommen. Nicht alle Optionen stehen für alle Produkte zur Verfügung. Für manche Antivirenprodukte ist es möglicherweise nicht erforderlich, die Software auf dem Benutzergerät zu aktivieren. Die folgenden Optionen sind verfügbar: 453 • Is Product Authentic: Jeder Dienst, der zu dem ausgewählten Produkt auf dem Benutzergerät gehört, muss digital signiert sein. Diese Option ist für Richtlinien zu Antivirussoftware, Antispyware, Firewall-, Patchmanagement- und Festplattenverschlüsselungssoftware verfügbar. • Real-Time Protection: Benutzer müssen das Softwareprodukt auf dem Benutzergerät aktivieren, um den Endpoint Analysis-Scan zu bestehen. Diese Option ist für Antivirusund Antispywarerichtlinien verfügbar. • Last Full System Scan: Ein Scan des Benutzergeräts muss innerhalb von der angegebenen Anzahl von Tagen erfolgreich abgeschlossen werden. Wenn Sie diese Option aktivieren, geben Sie an, vor wie vielen Tagen der letzte erfolgreiche Scan höchstens stattgefunden haben darf. Diese Option ist für Antivirus- und Antispywarerichtlinien verfügbar. • Last Update: Sie können die Anzahl von Tagen seit dem letzten Update des Softwareprodukts angeben. Wenn Sie diese Option aktivieren, geben Sie an, vor wie vielen Tagen der letzte erfolgreiche Scan höchstens stattgefunden haben darf. Diese Option ist für Antivirus- und Antispywarerichtlinien verfügbar. • Firewall Protection: Benutzer müssen das Firewallprodukt auf dem Benutzergerät aktivieren, um diesen Scan zu bestehen. Diese Option ist nur für Firewallrichtlinien verfügbar. • Automatic Update: Die ausgewählten Patches in der Richtlinie müssen so eingestellt sein, dass die Patches automatisch auf dem Benutzergerät bereitgestellt werden. Wenn Sie diese Option auswählen und die automatische Bereitstellung ist auf dem Benutzergerät nicht eingestellt, besteht das Gerät den Scan nicht. Diese Option ist nur für Patchmanagementsrichtlinien verfügbar. • Missing Patches: Sie können die Anzahl der Patches angeben, die auf dem Benutzergerät fehlen darf, damit der Endpoint Analysis-Scan noch bestanden wird. Wenn das Benutzergerät diese Grenze überschreitet, schlägt der Scan fehl. Diese Option ist nur für Patchmanagementsrichtlinien verfügbar. • Antiphishing Protection: Benutzergeräte müssen mindestens einen Browser haben, der durch das erforderliche Antiphishingprodukt geschützt ist. Diese Option ist nur für Antiphishingrichtlinien verfügbar. Konfigurieren zusätzlicher Optionen für erweiterte Endpoint Analysis-Scans • Encryption Status: Die Festplatte des Benutzergeräts muss verschlüsselt sein, um den Scan zu bestehen. Diese Option ist nur für Festplattenverschlüsselungsrichtlinien verfügbar. So aktivieren Sie zusätzliche Optionen im Citrix Endpoint Analysis Portal 1. Gehen Sie zu Citrix Endpoint Analysis Portal und klicken Sie auf die Registerkarte Policy Generator. 2. Wählen Sie auf der rechten Seite einen Produkttyp und wählen Sie dann Check to enable. 3. Wählen Sie in der Produktliste die Optionen, die Sie aktivieren möchten. So konfigurieren Sie globale Einstellungen im Citrix Endpoint Analysis Portal Sie können globale Einstellungen in den erweiterten Endpoint Analysis-Richtlinien konfigurieren, um den Zugriff für Benutzer zuzulassen oder zu verweigern. Der Zugriff wird basierend auf dem Scanergebnis zugelassen oder verweigert. Es gibt zwei globale Einstellungen, die Sie konfigurieren können. Dazu gehören: • Information was missing or unavailable: Wenn der Endpoint Analysis-Scan auf dem Benutzergerät ausgeführt wird und die Informationen fehlen, können Sie festlegen, ob das Benutzergerät den Scan bestehen darf. Wenn Sie also beispielsweise das Produkt ClamAVw, ein Antivirenprodukt, und Real-Time Protection wählen, schlägt der Scan möglicherweise fehl, weil ClamAV ermöglicht, dass Benutzern es nicht aktivieren. In diesem Fall wählen Sie, ob der Scan bestanden wird und Benutzer sich anmelden dürfen. Die Standardeinstellung für diese Option ist Allow. • Unexpected error occurred: Gelegentlich kann auf dem Benutzergerät ein interner Fehler auftreten, wenn der Endpoint Analysis-Scan ausgeführt wird. Sie wählen, ob dem Benutzergerät der Zugriff gewährt wird, wenn ein interner Fehler auftritt. Die Standardeinstellung für diese Option ist Deny. 1. Gehen Sie zu Citrix Endpoint Analysis Portal und klicken Sie auf die Registerkarte Policy Generator. 2. Klicken Sie links in der Produktliste auf Global Settings und wählen Sie die Optionen. 454 Bereitstellen des Advanced Endpoint Analysis-Plug-ins Wenn Sie erweiterte Endpoint Analysis-Richtlinien im Citrix Endpoint Analysis Portal erstellen, müssen Sie auch das Advanced Endpoint Analysis Plug-in herunterladen und bereitstellen. Bei dem Plug-in handelt es sich um Software, die auf das Benutzergerät heruntergeladen wird und dann das Gerät auf die Elemente überprüft, die im Endpoint Analysis-Scan vorgeschrieben sind, z. B. Antivirus- oder Firewallsoftware. Sie laden das Advanced Endpoint Analysis Plug-in über die Registerkarte Downloads im Citrix Endpoint Analysis Portal herunter und speichern es auf Ihrem Computer als ZIP-Datei. Nachdem Sie die Richtlinie für den benutzerdefinierten Endpoint Analysis-Scan konfiguriert haben, installieren Sie das Endpoint Analysis Plug-in mit der Serverkonfiguration auf dem Access Gateway. Sie brauchen die Dateien nicht zu extrahieren, um das Plug-in auf dem Access Gateway zu installieren. Sie ordnen das Plug-in dann einem oder mehreren Anmeldepunkten zu. 455 So installieren Sie das Advanced Endpoint Analysis Plug-in in Access Controller 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie unter Aufgaben auf Plug-in-Paket importieren. Das Standardpaket wird im mittleren Bereich ausgewählt angezeigt. 3. Klicken Sie auf Importieren und navigieren Sie dann zu der Datei epaplugin.zip, die Sie vom Citrix Endpoint Analysis Portal heruntergeladen haben. Das Plug-in wird in der Liste als "Advanced Endpoint Analysis Plug-in" angezeigt. Nachdem Sie das Plug-in installiert haben, ordnen Sie es einem oder mehreren Anmeldepunkten zu. 456 So ordnen Sie das Advanced Endpoint Analysis Plug-in einem Anmeldepunkt zu 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie den Access Controller-Clusternamen und anschließend Anmeldepunkte. Wählen Sie den Anmeldepunkt, dem Sie das Advanced Endpoint Analysis Plug-in zuordnen möchten. 3. Klicken Sie unter Häufige Aufgaben auf Anmeldepunkt bearbeiten. 4. Klicken Sie im Dialogfeld Eigenschaften von Anmeldepunkt auf Plug-in wählen. 5. Wählen Sie unter Anzeigename für das Paket die Option Advanced Endpoint Analysis Plug-in und klicken Sie dann auf OK. 6. Wählen Sie den gleichen Anmeldepunkt im Navigationsbereich aus. 7. Klicken Sie unter Häufige Aufgaben auf Informationen auf der Anmeldeseite aktualisieren und klicken Sie dann auf OK. Wenn Sie die Anmeldeseiteninformationen aktualisieren, wird das Advanced Endpoint Analysis Plug-in auf das Access Gateway-Gerät hochgeladen. Wenn Benutzer sich anmelden, wird das Plug-in auf das Benutzergerät heruntergeladen und der Scan ausgeführt. Wiederholen Sie diese Schritte für jeden Anmeldepunkt, dem Sie das Plug-in zuordnen möchten. 457 Konfigurieren von Clustering und Load Balancing Sie können mehrere Citrix Access Gateway-Geräte und Citrix Access Controller-Server in Ihrem Netzwerk bereitstellen. Wenn Sie mehrere Server und Geräte hinzufügen, erstellen Sie einen Cluster. Beim Erstellen eines Clusters konfigurieren Sie das Access Gateway-Gerät mit den Einstellungen eines Access Controller-Servers. Das Gerät erkennt dann automatisch alle Access Controller-Server in dem Cluster. Wenn Sie Access Controller auf einem Server installieren, können Sie den Server beim Ausführen der Serverkonfiguration dem Cluster hinzuzufügen. Wenn Sie einen Access Controller-Server später dem Cluster hinzufügen möchten, geschieht dies durch Installation von Access Controller auf einem anderen Server. Wenn dann die Serverkonfiguration ausgeführt wird, fügen Sie den Server dem Cluster hinzu. Wenn Sie einen Server aus dem Cluster entfernen müssen, löschen Sie ihn in der Delivery Services Console. Bei der Deinstallation von Access Controller wird der Server automatisch aus dem Cluster entfernt. Auf allen Servern im Cluster muss Access Controller 5.0 ausgeführt werden. Zum Erstellen eines Clusters muss Access Controller Teil Ihrer Bereitstellung sein. Nach dem Erstellen eines Clusters können Sie einen Lastausgleich für die Benutzerverbindungen ohne einen externen Load Balancer ausführen. Load Balancing bietet bessere Skalierbarkeit für Benutzerverbindungen. Load Balancing unterstützt das Access Gateway-Gerät und Access Gateway VPX. Das Load Balancing wird für Endbenutzersitzungen pro Sitzung durchgeführt. Sie konfigurieren das Load Balancing auf dem Access Controller in den Eigenschaften für den Servercluster und in den globalen Einstellungen für die Access Gateway-Geräte. 458 Funktionsweise von Clustering und Load Balancing Beim Clustering werden mehrere Access Gateway-Geräte und Access Controller-Server im Netzwerk installiert. Wenn Sie einen Cluster erstellen, nehmen Access Gateway und Access Controller zusammen einen Lastausgleich der Benutzerverbindungen vor. Wenn Sie einen Cluster von Access Controller-Servern erstellen, verwenden alle Access Gateway-Geräte die gleichen Konfigurationseinstellungen vom Access Controller. Alle Access Controller-Server verwenden die gleichen Konfiguration, da sie im gleichen Cluster sind und die gleichen SQL Server-Datenbank verwenden. Wenn Sie Access Gateway einen Access Controller-Server hinzufügen, erhält das Gerät Informationen über die Access Controller-Server im Cluster. Anschließend kann Access Gateway eine Verbindung zu jedem Access Controller herstellen, basierend auf den Load Balancing-Einstellungen. Wenn Sie die Serverkonfiguration ausführen, wählen Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) als angekündigte Adresse des Access Controllers. Sie haben außerdem die Option, die Verbindungen zwischen Access Gateway und Access Controller zu sichern. Sie geben den Benutzern die Access Gateway-Webadresse. Ein Access Gateway in der Bereitstellung überwacht alle Benutzerverbindungen und legt fest, an welchen Access Controller die Verbindungsanfrage gesendet wird. Wenn Access Gateway den Access Controller kontaktiert, legt der Server dann fest, an welches Access Gateway die Sitzung geleitet wird. Beim Kontakt von Access Gateway zum Access Controller wird Folgendes ermittelt: • Last auf jedem Access Controller-Server • Kapazität jedes Servers • Anzahl von Access Gateway-Geräten Das Load Balancing auf dem Access Controller verwendet zwei Methoden: • Roundrobin, wobei die Last zwischen allen Access Controllern ausgeglichen wird. Wählen Sie diese Option, wenn alle Server die gleiche Konfiguration haben. • Geringste Last, wobei die Benutzersitzungen an den Access Controller mit den wenigsten Verbindungen geleitet werden. Das Load Balancing auf dem Access Gateway verwendet drei Methoden: 459 • Roundrobin • Geringste Last Funktionsweise von Clustering und Load Balancing • Gewichtet nach zulässiger Anmelderate Wenn es in der Umgebung bestimmte Zeiten gibt, zu denen sich sehr viele Benutzer gleichzeitig anmelden, vermeiden Sie mit der gewichteten Methode, dass das Access Gateway überladen wird. Verwenden Sie die Clustereigenschaften, um das Access Controller-Load Balancing für jeden Server zu konfigurieren. Verwenden Sie die Access Gateway-Eigenschaften, um das Load Balancing für alle Access Gateway-Geräte zu konfigurieren. 460 So fügen Sie Access Controller-Server einem Cluster hinzu Aktualisiert: 2012-05-03 Wenn das Netzwerk mehrere Access Controller-Server enthält, können Sie sie in einem Cluster zusammenfassen. Wenn Sie Access Controller zum ersten Mal installieren und die Serverkonfiguration ausführen, können Sie die Server dem Cluster hinzufügen. Mit der Serverkonfiguration können Sie später auch einzelne Server einem anderen Cluster hinzufügen. 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie unter Aufgaben auf Clusterinformationen. 3. Geben Sie im Feld Clustername den Namen des Clusters ein und klicken Sie auf OK. 461 Verwalten mehrerer Cluster in der Delivery Services Console Wenn das Netzwerk mehrere Access Controller-Cluster enthält, können Sie diese mit der Delivery Services Console gemeinsam verwalten. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie Citrix Ressourcen und klicken Sie dann auf Access Gateway. 3. Klicken Sie unter Häufige Aufgaben auf Cluster hinzufügen. 4. Geben Sie in Server den vollqualifizierten Domänenname (FQDN) oder die IP-Adresse eines Access Controller-Servers im Cluster ein und klicken Sie dann auf OK. 462 So konfigurieren Sie Load Balancing für Access Controller Wenn Sie Access Gateway mit Access Controller bereitstellen, ist für die Authentifizierung, Autorisierung, Endpunktanalyse und andere Ereignisse die Kommunikation vom Access Gateway zum Access Controller erforderlich. Wenn Sie mehrere Access Controller-Server verwenden, kann hierfür ein Lastausgleich zwischen mehreren Servern vorgenommen werden. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie dann einen Access Controller. 3. Klicken Sie auf Access Gateway-Geräte. 4. Klicken Sie unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 5. Klicken Sie im linken Bereich auf Einstellungen für Load Balancing. 6. Wählen Sie im rechten Bereich unter Methode für das Load Balancing von Access Controller-Servern eine Lastausgleichsmethode. 7. Wählen Sie unter Benachrichtigungsintervall für Gerätestatus (in Sekunden) das Intervall zwischen Statusaktualisierungen von Access Gateway zu Access Controller und klicken Sie dann auf OK. 463 So konfigurieren Sie Load Balancing für Access Gateway Wenn Sie das Load Balancing für Access Gateway-Geräte konfigurieren, leitet Access Controller Benutzerverbindungen an Access Gateway-Geräte basierend auf dem von Ihnen ausgewählten Load Balancing-Algorithmus weiter. Um beispielsweise Benutzerverbindungen gleichmäßig auf Access Gateway zu verteilen, sollten Sie den Geringste-Last-Algorithmus verwenden. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie dann auf einen Access Controller. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Wählen Sie im linken Bereich Clustering. 5. Wählen Sie im rechten Bereich unter Load Balancing-Methode für Access Gateway-Geräte eine Lastausgleichsmethode und klicken Sie dann auf OK. 464 Entfernen des Access Controller-Servers vom Cluster Sie können einen Server jederzeit vom Access Controller-Cluster entfernen. Wenn Sie einen Server entfernen, werden die zugeordneten Ressourcen, Richtlinien und Anmeldepunkte auch aus den Konfigurationseinstellungen entfernt. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie Citrix Ressourcen und dann Access Gateway. 3. Erweitern Sie CitrixController und dann Server. 4. Klicken Sie auf den Server, den Sie entfernen möchten, und klicken Sie dann unter Häufige Aufgaben auf Server entfernen. 465 So entfernen Sie ein Access Gateway-Gerät aus dem Cluster Sie können jederzeit ein Access Gateway-Gerät aus dem Cluster entfernen. Wenn das Gerät entfernt wird, werden Benutzerverbindungen durch ein anderes Gerät in ein Netzwerk geleitet. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und erweitern Sie dann Access Gateway-Geräte. 3. Wählen Sie ein Gerät und klicken Sie unter Häufige Aufgaben auf Access Gateway-Gerät entfernen und klicken Sie dann auf Ja. Wenn Sie ein Access Gateway-Gerät aus Access Controller entfernen, müssen Sie Access Controller mit der Access Gateway Management Console deaktivieren. Wenn Sie Access Controller auf dem Gerät nicht deaktivieren, registriert Access Controller das Access Gateway neu. 466 Erstellen von API-Abfragen für die Systemüberwachung Access Gateway 5.0 bietet eine Systemüberwachungs-API (Health Monitoring), die Sie abfragen können. Wenn Sie diese API verwenden, können Sie Informationen über einzelne Access Gateway-Geräte und Access Controller-Server in der Bereitstellung erhalten. Wenn Sie ein Cluster haben, können Sie außerdem Informationen über den ganzen Cluster erhalten. Die Systemüberwachungs-API ist nicht von Clustern abhängig oder darauf beschränkt. Die Anwendung der Systemüberwachungs-API kann u. a. die Integration in Ihre Systemüberwachungsinfrastruktur, die Integration mit externen Load Balancers oder die Integration mit Managementtools für die virtuelle Infrastruktur umfassen, wie Tools für die Verwaltung von Netzwerkclouds. Zur Sicherheit müssen Sie einen gemeinsamen geheimen Schlüssel konfigurieren. Der gemeinsamen geheimen Schlüssel aktiviert die Abfrageschnittstelle. Wenn Sie einen Cluster mit Access Gateway und Access Controller haben, konfigurieren Sie den gemeinsamen geheimen Schlüssel im Access Controller. Wenn Sie keinen Cluster verwenden, konfigurieren Sie den gemeinsamen geheimen Schlüssel auf dem Gerät. Die Abfrageergebnisse können Sie als Text- oder XML-Datei erhalten. Sie finden diese Dateien an folgenden URLs: • Für Access Controller verwenden Sie http://AccessControllerAddress/CitrixLoadBalanceInfo/QueryLB.aspx • Für Access Gateway verwenden Sie https://AccessGatewayAddress/u/QueryLB.do Ein Beispiel einer Access Gateway-Abfrage ist: https://AccessGatewayAddress/u/QueryLB.do?Token=<secret>&Format=XML: https://YourAccessGatewayAddress/u/QueryLB.do?Token=1234&Format=XML ) Wenn Sie eine Abfrage für Access Gateway erstellen, müssen Sie HTTPS verwenden. Sie können die Portumleitung von Port 80 auf Port 443 auf dem Gerät konfigurieren. Die Systemüberwachungs-API erkennt die Portumleitung. Funktionsweise des Abfrageschnittstelle Die Abfrageschnittstelle unterstützt GET- und POST-Methoden. Erkannte Parameter: • 467 Token: Dies ist der Token, oder geheime Schlüssel, den Sie in Access Controller oder Access Gateway konfigurieren. Dieser Parameter aktiviert die Abfrageschnittstelle. Wenn eine Anforderung diesen Token nicht hat oder wenn der Token ungültig ist, gibt der empfangende Knoten die Meldung zurück, dass die Anforderung erfolgreich ist (200 OK) und der Inhalt ist leer. Konfigurieren Sie den Tokenwert als eine hexadezimale Erstellen von API-Abfragen für die Systemüberwachung Zeichenfolge mit einer festen Länge von 64 Zeichen (32 Byte). • Format: Für diese Parameter können Sie zwei Werte verwenden: XML und TEXT. Wenn Sie in der Anforderung diesen Parameter nicht angeben, wird der Standardwert TEXT verwendet. • Scope: Mit dem Scope-Parameter geben Sie an, welche Knoten enthalten sein sollen. Sie können die folgenden Werte verwenden: • Self: Die Abfrage des empfangenden Knotens gibt die Lastinformationen zurück. Dies ist der Standardwert, wenn in der Anforderung "Scope" nicht angegeben wurde. • Detail: Die Abfrage des empfangenden Knotens gibt detaillierte Statistiken zurück. • Farm: Die Abfrage gibt Informationen über alle Knoten im Cluster zurück. Sie können diesen Parameter nur angeben, wenn der empfangende Knoten Access Controller ist. Wenn es ein Access Gateway-Gerät ist, sollten Sie "Self" verwenden. Wenn Sie diesen Parameter verwenden, gibt die Abfrage die Informationen für alle Knoten im Cluster zurück. • Controllers: Die Abfrage schließt alle Access Controller-Knoten in die Antwort ein. Wenn die Anforderung von Access Gateway zurückgegeben wird, sendet das Gerät eine leere Antwort im angegebenen Format. • Gateways: Die Abfrage schließt alle Access Gateway-Knoten in die Antwort ein. Wenn die Anforderung an Access Gateway gesendet wird, behandelt das Gerät sie wie den Parameter "Self". • Others: Die Abfrage schließt jeden Knoten ein, der nicht Access Gateway oder Access Controller ist. Knoten, die nicht Access Gateway oder Access Controller sind, gehören nicht zum Cluster und die Antwort ist leer und im angegebenen Format. Dieser Parameter wird derzeit nicht in der Abfrage verwendet. Hinweis: Bei einer Access Gateway-Abfrage verwenden Sie HTTPS für die Webadresse. Durch Verwenden einer sicheren Webadresse verhindern Sie, dass die Systemüberwachungs-API den gemeinsamen geheimen Schlüssel im Klartext sendet. Anpassen des XML-Schemas der Systemüberwachungs-API an die Umgebung Sie können das gleiche XML-Schema für Access Gateway und Access Controller einsetzen, sodass Sie das gleiche Format verwenden können. Das XML-Schema ist: <?xml version="1.0" encoding="UTF-8"?> <schema targetNamespace="http://citrix.com/Chimera/LBQuery" elementFormDefault="qualified" xmlns="http://www.w3.org/2001/XMLSchema" xmlns:tns="http://citrix.com/Chimera/LBQuery"> <element name="LBInfo" type="tns:LBInfoType"></element> <complexType name="LBInfoType"> <sequence> <element name="NodeInfo" type="tns:NodeInfoType" 468 Erstellen von API-Abfragen für die Systemüberwachung maxOccurs="unbounded" minOccurs="0"> </element> <element name="DetailInfo" type="tns:DetailInfoType" maxOccurs="1" minOccurs="0"></element> </sequence> </complexType> <complexType name="NodeInfoType"> <sequence> <element name="NodeType" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Type of node. Validate entries are Controller, Gateway and Other.</documen </annotation> <simpleType> <restriction base="string"> <enumeration value="Controller"></enumeration> <enumeration value="Gateway"></enumeration> <enumeration value="Other"></enumeration> </restriction> </simpleType> </element> <element name="NodeAddr" type="string" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The preferred host name or IP address to reach this node.</documentation> </annotation> </element> <element name="NodePort" type="int" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The preferred port number to reach this node.</documentation> </annotation> </element> <element name="NodeSSL" type="boolean" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Indicate whether SSL should be used for the specified port number.</documen </annotation> </element> <element name="NodeSelf" type="boolean" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The NodeInfo entry corresponds to the receiving node itself.</documentation> </annotation></element> <element name="LoadMetric" type="int" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Computed Load Metric for this node.</documentation> </annotation> </element> <element name="PermissibleLogonRate" type="int" maxOccurs="1" minOccurs="0"> <annotation> <documentation>Computed Permissible Logon Rate for this node (currently only Gateway type has this value).</documentatio </annotation> </element> </sequence> 469 Erstellen von API-Abfragen für die Systemüberwachung </complexType> <complexType name="DetailInfoType"> <sequence> <element name="StaticInfo" maxOccurs="1" minOccurs="0"> <complexType> <sequence> <element name="ClockSpeed" type="float" maxOccurs="1" minOccurs="0"> </element> <element name="HorsePower" type="float" maxOccurs="1" minOccurs="0"></element> <element name="NumberCores" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberHyperThreadingUnits" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberExecutionUnits" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="TotalCPUCacheSize" type="int" maxOccurs="1" minOccurs="0"> </element> </sequence> </complexType> </element> <element name="DynamicInfo" maxOccurs="1" minOccurs="0"> <complexType> <sequence> <element name="CPUUsage" type="float" maxOccurs="1" minOccurs="0"> </element> <element name="NumberICAConnections" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNControlChannels" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNTcpTunnels" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNUdpTunnels" type="int" maxOccurs="1" minOccurs="0"></elemen </sequence> </complexType></element> </sequence> </complexType> </schema> TEXT-Ausgabeformat Das TEXT-Ausgabeformat ist: 470 Erstellen von API-Abfragen für die Systemüberwachung • Zeilenbasiert: Jede Zeile stellt einen Knoten dar. • Name=Wert-Paar: Der Token Name ist im XML-Schema definiert. Die Werte, die Sie für den Name-Token definieren, erscheinen als Name-Wert-Paar. XML-Ausgabeformat Ein Beispiel für das XML-Ausgabeformat ist: <?xml version="1.0" encoding="utf-8" ?> - <LBInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/X - <NodeInfo> <NodeType>Controller</NodeType> <NodeAddr>http://10.215.65.4:80</NodeAddr> <NodePort>80</NodePort> <NodeSSL>false</NodeSSL> <NodeSelf>true</NodeSelf> <LoadMetric>1</LoadMetric> <PermissibleLogonRate>0</PermissibleLogonRate> - <DetailInfo> - <StaticInfo> <ClockSpeed>0</ClockSpeed> <HorsePower>0</HorsePower> <NumberCores>0</NumberCores> <NumberHyperThreadingUnits>0</NumberHyperThreadingUnits> <NumberExecutionUnits>0</NumberExecutionUnits> <TotalCPUCacheSize>0</TotalCPUCacheSize> </StaticInfo> - <DynamicInfo> <CPUUsage>0</CPUUsage> <NumberICAConnections>0</NumberICAConnections> <NumberVPNControlChannels>0</NumberVPNControlChannels> <NumberVPNTcpTunnels>0</NumberVPNTcpTunnels> <NumberVPNUdpTunnels>0</NumberVPNUdpTunnels> </DynamicInfo> </DetailInfo> 471 Erstellen von API-Abfragen für die Systemüberwachung So konfigurieren Sie den gemeinsamen geheimen Schlüssel auf dem Access Controller 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie dann auf einen Access Controller. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Wählen Sie im linken Bereich Clustering. 5. Geben Sie in das Feld Gemeinsamer geheimer Schlüssel für externen Load Monitor den gemeinsamen geheimen Schlüssel ein und klicken Sie auf OK. So konfigurieren Sie den gemeinsamen geheimen Schlüssel auf dem Access Gateway 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Geben Sie unter Access Gateway Settings in Query response den gemeinsamen geheimen Schlüssel ein und klicken Sie dann auf Save. 472 Konfigurieren von Benutzerverbindungen Access Gateway unterstützt eine Reihe von Benutzerverbindungstypen, basierend auf dem verwendeten Bereitstellungsszenario und Endpunktgerät. Wenn Benutzer eine Verbindung herstellen, erstellt Access Gateway einen sicheren Tunnel zum gesicherten Netzwerk und behandelt den SSL-Handshake. Die folgende Tabelle listet die verschiedenen Verbindungstypen auf und zeigt, welche Verbindungstypen für Basic- oder SmartAccess-Anmeldepunkte unterstützt werden. Verbindungstyp Beschreibung Anmeldepunkttypen XenApp oder XenDesktop Access Gateway akzeptiert SSL-verschlüsselten Netzwerkverkehr von Citrix Receiver oder Citrix Online Plug-ins. Citrix Online Plug-ins senden eine Verbindungsanforderung an Access Gateway, die ein Ticket enthält, das von der Secure Ticket Authority (STA) generiert wurde. Access Gateway validiert das Ticket bei der jeweiligen STA und sendet den ICA-Verkehr an einen XenApp- oder XenDesktop-Server, wenn das Ticket erfolgreich validiert wurde. Standard SmartAccess Weitere Informationen finden Sie unter Integrieren von Access Gateway mit XenApp oder XenDesktop. Citrix Receiver 473 Access Gateway ermöglicht, dass Benutzer sich über Citrix Receiver anmelden. Benutzer starten Citrix Receiver, werden authentifiziert und können dann über das Startmenü oder den Desktop ein Verbindung mit von XenApp gehosteten Anwendungen herstellen. Benutzer können die Verbindung auch mit dem Access Gateway Plug-in herstellen, um auf Ressourcen im gesicherten Netzwerk zuzugreifen. Benutzer können im Self-Service Plug-in (früher Dazzle) veröffentlichte Anwendungen abonnieren. Standard SmartAccess Benutzerverbindungen VPN Das Access Gateway Plug-in stell eine Vermittlungsschicht-Verbindung zwischen dem Benutzergerät und Access Gateway her. Der Netzwerkverkehr wird auf dem Benutzergerät abgefangen und an das Access Gateway umgeleitet. Access Gateway beendet SSL und autorisiert den Verkehr bevor die Pakete an das Ziel im gesicherten Netzwerk weitergeleitet werden. SmartAccess Clientloser Zugriff Access Gateway kann als sicherer Reverse-Proxy für mehrere Websites im gesicherten Netzwerk dienen. Access Gateway unterstützt den clientlosen Zugriff auf interne Websites und Dateifreigaben, ohne dass Netzwerkabfangtechnologie auf dem Benutzergerät erforderlich ist. Benutzer können auf Webanwendungen und Dateifreigaben von jedem unterstützten Webbrowser aus zugreifen. SmartAccess Der clientlose Zugriff wird nur unterstützt, wenn Sie Access Gateway mit Access Controller bereitstellen. Access Gateway 5.0.3 unterstützt XenApp 6.5 für Windows 2008 R2. Wenn Sie diese Version von XenApp bereitstellen, verwenden Benutzer Citrix Receiver für Windows 3.0 für die Verbindung. Access Gateway 5.0.3 unterstützt Citrix Receiver Updater für Windows 3.0, Citrix Receiver, Citrix Merchandising Server und das Self-Service Plug-in, die zu Citrix Delivery Center gehören. Weitere Informationen zu Benutzergeräten finden Sie unter Benutzergerätanforderungen. Diese Abschnitte beschreiben die Konfigurationseinstellungen in Access Gateway und Access Controller für Benutzerverbindungen mit dem Access Gateway Plug-in für Windows und dem Access Gateway Plug-in für Mac OS X. 474 Funktionsweise von Benutzerverbindungen Access Gateway-Benutzerverbindungen funktionieren wie folgt: • Benutzer können sich über eine Webadresse mit dem Access Gateway verbinden. Die Methode, mit der Benutzer das Access Gateway Plug-in herunterladen und installieren, hängt von der jeweiligen Access Gateway-Bereitstellung und den jeweiligen Betriebssystemen ab. • Wenn Sie Access Gateway als alleinstehendes Gerät bereitstellen, klicken Benutzer auf das Schlosssymbol im Webbrowser und erhalten dann die Option, das Plug-in herunterzuladen und zu installieren. • Wenn Sie Access Gateway mit Access Controller bereitstellen, wird das Access Interface angezeigt, nachdem Benutzer sich angemeldet haben. Benutzer klicken auf Mit Netzwerk verbinden und erhalten die Option, das Plug-in herunterzuladen. Auf einem Computer mit Mac OS X laden Benutzer das Plug-in mit einer der beiden vorherigen Optionen herunter. Nachdem das Plug-in heruntergeladen wurden, erhalten Benutzer ein Dialogfeld mit der Option, das Access Gateway Plug-in zu installieren. Auf einem Windows-basierten Computer geschieht der Download und die Installation des Access Gateway Plug-in automatisch. • • Nachdem das Access Gateway Plug-in heruntergeladen und installiert wurde, melden sich Benutzer noch einmal an. Wenn die Authentifizierung erfolgreich war, richtet Access Gateway einen sicheren Tunnel ein. Wenn Benutzer sich mit dem Access Gateway Plug-in anmelden, fordert Access Gateway Benutzer auf, sich zu authentifizieren. Access Gateway verwendet einen Authentifizierungstyp, wie RSA SecurID, LDAP oder RADIUS, um die Anmeldeinformationen des Benutzers zu authentifizieren. Wenn die Anmeldeinformationen korrekt sind, schließt Access Gateway den Handshake mit dem Plug-in ab. Hinweis: Dieser Anmeldeschritt ist nur dann erforderlich, wenn Benutzer das Access Gateway Plug-in zum ersten Mal herunterladen. Ist das Access Gateway Plug-in bereits auf dem Benutzergerät installiert und Benutzer melden sich über das Plug-in an, prüft das Access Gateway Plug-in, ob Updates vorliegen und dann werden die Benutzer angemeldet. 475 • Wenn Benutzer versuchen, über das Access Gateway auf die Netzwerkressourcen zuzugreifen, verschlüsselt das Access Gateway Plug-in den gesamten Netzwerkverkehr, der für das interne Netzwerk bestimmt ist, und leitet die Pakete an das Access Gateway weiter. • Das Access Gateway fungiert als Endpunkt des SSL-Tunnels (terminiert den Tunnel), akzeptiert den eingehenden Verkehr, der für das private Netzwerk bestimmt ist, und leitet den Verkehr an das private Netzwerk weiter. Access Gateway sendet den Verkehr über einen sicheren Tunnel zum Benutzergerät zurück. Funktionsweise von Benutzerverbindungen Wenn Benutzer hinter einem Proxyserver sind, können sie den Proxyserver und die Authentifizierungsinformationen angeben. Das Access Gateway Plug-in wird auf dem Benutzergerät installiert. Nach der ersten Verbindung können Benutzer sich mit einem Webbrowser oder über das Startmenü anmelden. Wenn Benutzer sich über einen Mac OS X-Computer anmelden, können sie die Einstellungen über das Menü Citrix Access Gateway ändern. Weitere Informationen finden Sie in der Onlinehilfe vom Access Gateway Plug-in für Mac OS X, die mit dem Plug-in installiert wird. Wenn Benutzer mit einem Windows-basierten Computer verbinden und über das Startmenü anmelden, können sie auch das Dialogfeld Citrix Access Gateway-Optionen öffnen, in dem sie Benutzergeräteinstellungen konfigurieren können, z. B. eine andere Webadresse für die Anmeldung oder einen anderen Anmeldepunkt wählen. So öffnen Sie das Citrix Access Gateway-Optionen-Dialogfeld über das Startmenü • 476 Benutzer klicken auf Start > Alle Programme > Citrix > Citrix Access Clients > Citrix Access Gateway - Eigenschaften. Einrichten des sicheren Tunnels Nachdem das Access Gateway Plug-in gestartet wurde, richtet es einen sicheren Tunnel über den Port 443 (oder jeden anderen konfigurierten Port des Access Gateways) ein und sendet Authentifizierungsinformationen. Wenn der Tunnel eingerichtet wurde, sendet Access Gateway Konfigurationsinformationen an das Access Gateway Plug-in. Die Konfigurationsinformationen beschreiben, welche Netzwerke gesichert werden sollen, und enthält eine IP-Adresse, sofern Sie Adresspools aktiviert und konfiguriert haben. Tunneln des privaten Netzwerkverkehrs über sichere Verbindungen Sobald das Access Gateway Plug-in gestartet und Benutzer authentifiziert wurden, wird der gesamte Netzwerkverkehr, der für die angegebenen privaten Netzwerke bestimmt ist, über den sicheren Tunnel an das Access Gateway weitergeleitet. Access Gateway fängt alle Netzwerkverbindungen vom Benutzergerät ab und führt dann Multiplexing/Tunneling über SSL an das Access Gateway durch. Access Gateway nimmt das Demultiplexing des Verkehrs vor und leitet die Verbindungen an die korrekte Host- und Port-Kombinationen durch. Es sind insgesamt 66 Tunnel zugelassen. Die Tunnel können TCP, UDP oder eine Kombination von beiden verwenden. Wenn mehr als 66 Tunnel erstellt werden, erhalten Benutzer eine Fehlermeldung. Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien für einzelne IP-Adressen oder ein gesamtes Intranet. Sie legen die Netzwerkressourcen fest (Paare aus IP-Adressbereichen/Subnetzmasken), auf die die Remotebenutzer über die VPN-Verbindung zugreifen können. Sie können außerdem Zielports und -protokolle für Benutzerverbindungen festlegen. Access Gateway fängt alle IP-Pakete, gleich welchen Protokolls, ab und leitet sie über eine sichere Verbindung weiter. Von lokalen Anwendungen auf dem Benutzergerät ausgehender Verkehr wird sicher durch den Tunnel zum Access Gateway geleitet, der dann die Verbindungen mit dem Zielserver wiederherstellt. Für die Zielserver sehen die Verbindungen so aus, als stammten sie vom lokalen Access Gateway im privaten Netzwerk, sodass die IP-Adresse des Benutzergerät verborgen wird. Diese Funktionalität wird auch Reverse NAT (Network Address Translation) genannt. Das Verbergen der IP-Adressen erhöht die Sicherheit der Standorte, von denen der Verkehr ausgeht. Lokal auf dem Benutzergerät stellt das Access Gateway Plug-in allen verbindungsbezogenen Verkehr, wie SYN-ACK-, PSH-, ACK- und FIN-Pakete, wieder her, sodass er von dem privaten Server zu kommen scheint. 477 Verbindungen durch Firewalls und Proxyserver Unter Umständen sind Benutzer des Access Gateway Plug-ins hinter der Firewall einer anderen Organisation, wie in der folgenden Abbildung dargestellt. Abbildung 1. Benutzerverbindungen durch eine NAT-Firewall zum internen Netzwerk Firewalls mit Netzwerkadressenübersetzung (NAT) führen eine Tabelle, mit deren Hilfe sichere Pakete vom Access Gateway zurück zum Benutzergerät geleitet werden. Für schaltungsorientierte Verbindungen führt Access Gateway eine portzugeordnete Reverse-NAT-Übersetzungstabelle. Über die Reverse-NAT-Übersetzungstabelle kann Access Gateway Verbindungen zuordnen und Pakete mit den richtigen Portnummern über den Tunnel zurück an das Clientgerät senden, sodass die Pakete zur korrekten Anwendung zurückkehren. Access Gateway verwendet Standardtechniken zur Verbindungsherstellung, wie HTTPS, Proxy HTTPS und SOCKS, um den Tunnel herzustellen. Auf diese Weise wird sichergestellt, dass das Access Gateway firewall-zugänglich ist und Remotecomputer können auf private Netzwerke hinter der Firewall anderer Unternehmen zugreifen, ohne dass es dabei zu Problemen kommt. So kann Access Gateway die Verbindung beispielsweise über einen Zwischenproxy, wie einen HTTP-Proxy, herstellen, indem ein CONNECT HTTPS-Befehl an den Zwischenproxy 478 Verbindungen durch Firewalls und Proxyserver gesendet wird. Jegliche Anmeldeinformationen, die ein Zwischenproxy anfordert, werden vom Remotebenutzer bereitgestellt (über Single Sign-On-Informationen oder durch Abfragen der Informationen vom Remotebenutzer) und dem Zwischenproxyserver vorgelegt. Wen der Proxy die HTTPS-Sitzung herstellt, wird der Inhalt der Sitzung verschlüsselt und die sicheren Pakete werden an Access Gateway gleitet. 479 Beenden des sicheren Tunnels und Zurücksenden von Paketen an das Benutzergerät Das Access Gateway beendet den SSL-Tunnel und akzeptiert eingehende Pakete, die für das private Netzwerk bestimmt sind. Wenn die Pakete die Autorisierungs- und Zugriffssteuerungskriterien erfüllen, generiert das Access Gateway die IP-Header der Pakete neu, sodass sie aussehen, als stammten sie aus dem IP-Adressbereich des privaten Netzwerks, in dem das Access Gateway ist, oder der clientzugewiesenen privaten IP-Adresse. Access Gateway sendet die Pakete dann an das Netzwerk. Das Access Gateway Plug-in unterhält zwei Tunnel: einen SSL-Tunnel über den Daten an Access Gateway gesendet werden und einen Tunnel zwischen dem Benutzergerät und lokalen Anwendungen. Das Access Gateway Plug-in entschlüsselt die verschlüsselten Daten, die über den SSL-Tunnel ankommen, bevor die Daten über den zweiten Tunnel an die lokalen Anwendungen gesendet werden. Wenn Sie einen Packet Sniffer wie Wireshark auf dem Benutzergerät ausführen, auf dem das Access Gateway Plug-in ausgeführt wird, sehen Sie unverschlüsselten Verkehr zwischen dem Benutzergerät und dem Access Gateway. Dieser unverschlüsselte Verkehr läuft jedoch nicht über den Tunnel zwischen dem Benutzergerät und dem Access Gateway, sondern über den Tunnel zu den lokalen Anwendungen. 480 Integrieren des Access Gateway Plug-ins mit Citrix Receiver Aktualisiert: 2012-03-22 Access Gateway unterstützt Citrix Receiver. Das System besteht aus diesen Komponenten des Citrix Delivery Centers: • Citrix Receiver für Windows 3.0 und 3.1 • Citrix Online Plug-ins • Self-Service Plug-in • Merchandising Server, der auf einer virtuellen Maschine im Datenzentrum installiert wird • Citrix Update Service, der auf der Citrix Website gehostet wird. Citrix Receiver, Citrix Merchandising Server und das Self-Service Plug-in vereinfachen die Installation und Verwaltung der Anwendungsbereitstellung auf Benutzerdesktops. Benutzer installieren Receiver auf ihrem Gerät und wählen dann, welche Plug-ins sie installieren möchten. Wenn Sie XenApp 6.5 für Windows 2008 R2 bereitstellen, ersetzt Citrix Receiver die Citrix Online Plug-ins. Wenn Benutzer Citrix Receiver installieren, werden alle auf dem Benutzergerät installierte Plug-ins, einschließlich Access Gateway Plug-in, automatisch Teil von Citrix Receiver. Benutzer können Citrix Receiver Updater für Windows 3.0 oder Citrix Receiver Updater für Mac installieren, ein optionaler Softwareclient für Citrix Receiver für Windows und ältere Versionen von Citrix Online Plug-ins. Citrix Receiver Updater, eine separate Komponente, verwendet Merchandising Server, um Citrix Receiver und zugehörige Plug-ins auf Benutzergeräten oder virtuellen Desktops mit XenDesktop bereitzustellen und automatisch zu aktualisieren. Citrix Receiver und Citrix Merchandising Server bieten zusammen die folgenden wichtigen Funktionen: • Mit Merchandising Server können Sie Plug-ins auf den Geräten der Benutzer konfigurieren, bereitstellen und aktualisieren. • Citrix Receiver verwaltet alle Vorgänge für Citrix Plug-ins auf Benutzergeräten; das Self-Service Plug-in bietet Benutzern eine zentrale Stelle, von der sie Anwendungen und Dienste erhalten. Das Self-Service Plug-in ist vollständig in Citrix Receiver integriert. Sie können das Receiver Self-Service Plug-in in Merchandising Server laden, die Bereitstellung terminieren und es dann mit einem Push ohne Benutzereingriffe auf Benutzergeräte verteilen, auf denen Receiver installiert ist. Wenn Benutzer das Self-Service Plug-in starten, ist der "Store" mit allen Anwendungen ausgestattet, für die Benutzer Zugriff haben. 481 Integrieren des Access Gateway Plug-ins mit Citrix Receiver Die Administratorkonsole für Merchandising Server ist die Schnittstelle des Merchandising Servers, die Sie für die Konfiguration von Citrix Anwendungen (und Anwendungs-Plug-ins) verwenden sowie für die Planung der Bereitstellung auf Benutzergeräten. Merchandising Server sendet die Plug-ins und die Installationsanweisungen zum geplanten Datum an die Benutzer. Die Benutzer installieren einfach Receiver für Windows auf ihren Benutzergeräten. Nach der Installation erhält Receiver für Windows die Lieferinformationen von Merchandising Server und installiert die Plug-ins. Nachdem die Installation abgeschlossen ist, startet Receiver für Windows die Plug-ins in der richtigen Reihenfolge, sodass Konnektivitätsdienste für Plug-ins verfügbar sind, für die sie erforderlich sind. Wenn Benutzer das Acceleration Plug-in oder das Offline Plug-in auf dem Benutzergerät installieren, werden sie möglicherweise aufgefordert, das Gerät neu zu starten. Sie können Access Gateway so konfigurieren, dass bei der Benutzeranmeldung das Access Gateway Plug-in einen Webbrowser öffnet, der Single Sign-On an der Citrix Receiver-Homepage ermöglicht. Benutzer können Citrix Receiver von der Homepage herunterladen. Citrix empfiehlt, Merchandising Server und Citrix Receiver für Windows zum Bereitstellen und Aktualisieren der Plug-ins auf einem Benutzergerät zu verwenden. 482 Hinzufügen des Access Gateway Plug-ins in Receiver Aktualisiert: 2012-07-06 Wenn Citrix Receiver auf dem Benutzergerät installiert ist, können Benutzer sich über Receiver mit dem Access Gateway Plug-in anmelden. Sie laden das Access Gateway Plug-in auf den Merchandising Server hoch, der dann das Plug-in in Receiver auf dem Benutzergerät herunterlädt und installiert. Wenn Benutzer bereits das Access Gateway Plug-in installiert haben, bevor sie Receiver das erste Mal installieren, wird das Plug-In automatisch Receiver hinzugefügt. Bereitstellen von Plug-ins auf Benutzergeräten Um Plug-ins auf Benutzergeräten bereitzustellen, müssen sie das Access Gateway Plug-in auf den Merchandising Server hochladen und dort konfigurieren. Wenn Benutzer eine Auswahl treffen, wird das Plug-in vom Merchandising Server heruntergeladen und installiert. Wenn Benutzer das Access Gateway Plug-in installieren und zu einem späteren Zeitpunkt dann Receiver, erscheint das Access Gateway Plug-in im Receiver-Menü, nachdem die Receiver-Installation abgeschlossen ist. Wenn Benutzer Citrix Receiver für Windows 3.0, 3.1 oder 3.2 haben, können sie Receiver Updater für Windows installieren. Dies ist eine optionale Komponente, die Plug-ins aktualisiert und die Kommunikation mit Merchandising Server übernimmt. Receiver enthält alle für die Bereitstellung verfügbaren Plug-ins, einschließlich das Access Gateway Plug-in. Weitere Informationen über Receiver Updater für Windows finden Sie im Bereich Receivers und Plug-ins in der Citrix eDocs-Bibliothek. Verbindung zu Access Gateway mit Receiver Wenn Benutzer die Verbindung mit Receiver für Windows 3.0 oder 3.1 herstellen, können sie mit der rechten Maustaste auf das Receiver-Symbol im Infobereich klicken und dann auf Einstellungen. Wenn sich Benutzer mit Receiver for 3.2 anmelden, können Sie mit der rechten Maustaste auf das Receiver-Symbol klicken und dann auf Info. Wenn das Access Gateway Plug-in auf dem Benutzergerät installiert ist, klicken Benutzer mit der rechten Maustaste auf das Access Gateway Plug-in und dann auf Anmelden. Wenn die Authentifizierung erfolgreich ist, stellt das Access Gateway Plug-in die Verbindung mit dem Access Gateway her und legt einen vollständigen VPN-Tunnel an. Die Access Gateway-Webadresse ist Teil der Metadaten, die auf dem Merchandising Server konfiguriert werden und Benutzer können die Adresse nicht ändern. Das Access Gateway Plug-in initiiert die Anmeldung am Access Gateway. Wenn sich die Version des Access Gateway Plug-ins für Windows auf dem Benutzergerät von der Version auf dem Access Gateway-Gerät unterscheidet, wird automatisch beim Anmelden des Benutzers ein Downgrade oder Upgrade des Plug-ins durchgeführt. Downgrades des Access Gateway 483 Hinzufügen des Access Gateway Plug-ins in Receiver Plug-ins für Mac OS X werden nicht automatisch durchgeführt. Um eine frühere Version des Plug-ins auf einem Mac-Computer zu installieren, müssen Benutzer erst das Access Gateway Plug-in deinstallieren und dann die frühere Version von Access Gateway herunterladen. Upgrade oder Downgrade des Access Gateway Plug-ins Während des Upgrades oder Downgrades des Access Gateway Plug-ins wird die bestehende Version entfernt und die vom Access Gateway heruntergeladene Version installiert. Benutzer können die neue Installation bestätigen, indem sie den Plug-in-Eintrag in Receiver 3.0 oder 3.1 unter Einstellungen > Plug-in-Status prüfen. Die neu installierte Version des Access Gateway Plug-ins ist möglicherweise eine andere Version, als die auf dem Merchandising Server konfigurierte. Hinzufügen des Access Gateway Plug-ins auf dem Merchandising Server. Sie können auch die Bereitstellung des Access Gateway Plug-ins auf dem Merchandising Server konfigurieren, der eine webbasierte Konfigurationsoberfläche bietet, in der Sie das MSI-Paket für die Installation des Access Gateway Plug-ins hochladen. Auf dem Merchandising Server können Sie folgende Aktionen durchführen: • Version und Metadaten für das Access Gateway Plug-in angeben. • Eine oder mehrere Webadressen für das Access Gateway-Gerät konfigurieren. • Bestimmte Regeln zuordnen, basierend auf Betriebssystem und anderen Lieferungsparametern. Hinweis: Benutzer können der Liste der konfigurierten Server, die in Merchandising Server festgelegt wurde, keine Server hinzufügen oder aus ihr entfernen, sie können aber unter Netzwerkeinstellungen einen anderen Server aus der konfigurierten Liste wählen. Wenn Sie ein Fallback für das Zugriffsszenario oder Load Balancing verwenden, können Sie eine feste Gruppe von Access Gateway-Webadressen konfigurieren und Merchandising Server als Standardadresse angeben. Benutzer stellen die Verbindung mit dem Standardserver her, wenn sie Anmelden im Receiver-Menü wählen. Benutzer können in Receiver 3.0 oder 3.1 unter Einstellungen > Netzwerkeinstellungen eine andere Adresse aus der vorgegebenen Liste wählen. In Receiver 3.2 wählen Benutzer eine andere Adresse unter Info. Benutzer können weiterhin einen Webbrowser verwenden, um sich an einem beliebigen Access Gateway anzumelden. Dies sind die wesentlichen Schritte, um das Access Gateway Plug-in dem Merchandising Server hinzuzufügen. Informationen über spezielle Konfigurationsschritte finden Sie in der Citrix eDocs-Bibliothek im Bereich Receiver und Plug-ins unter Merchandising Server. • 484 Konfigurieren Sie die Einstellungen in der Merchandising Server Administrator Console unter General. Hinzufügen des Access Gateway Plug-ins in Receiver • Fügen Sie das Access Gateway Plug-in dem Merchandising Server hinzu. Wählen Sie die geeignete Plug-in-Version für die Zielplattform. Das Access Gateway Plug-in muss auf den Hauptseite von Merchandising Server hinzugefügt werden, damit es auf der Seite Add Plug-ins to Delivery erscheint. • Konfigurieren Sie die Bereitstellung für das Access Gateway Plug-in. Verwenden Sie einen Anzeigenamen für den Speicherort der Access Gateway-Webadresse. Dieser Name wird in Receiver angezeigt.. Sie können außerdem weitere Access Gateway-Geräte hinzufügen. • Geben Sie den Authentifizierungstyp an und passen Sie Beschriftungen an, die im Receiver-Anmeldedialogfeld angezeigt werden, z. B. Benutzername, Kennwort oder PIN. • Fügen Sie Regeln für die Bereitstellung hinzu. Sie müssen Regeln erstellen, wenn auf den Seite Add Rule to Delivery Regeln angezeigt werden sollen. • Planen Sie die Bereitstellung. Deinstallieren von Receiver Wenn Benutzer Receiver deinstallieren, ohne einzelne Plug-ins vom Benutzergerät zu deinstallieren, werden alle bei Receiver registrierten Plug-ins, einschließlich das Access Gateway Plug-in, vom Benutzergerät entfernt. Wenn sich Benutzer mit dem Access Gateway Plug-in anmelden möchten, müssen sie das Plug-in als eigenständige Anwendung installieren. 485 Konfigurieren von XenApp-Verbindungen mit einer XenApp Services-Site Aktualisiert: 2012-05-02 Sie können Access Gateway 5.0.2 und höher so konfigurieren, dass Benutzer eine Verbindung mit Citrix Receiver herstellen können, der mit der Webinterface XenApp Services-Site funktioniert. Sie konfigurieren dafür im Webinterface die Verwendung von XenApp Services-Sites. Erstellen auf dann dem Access Gateway einen Basic-Anmeldepunkt und konfigurieren Sie ihn so, dass das Webinterface für die Authentifizierung verwendet wird. Wenn Benutzer sich anmelden, können sie veröffentlichte Anwendungen direkt vom Computerdesktop oder Mobilgerät starten. Um Benutzern diese Art von Zugriff zu gewähren, sind die Hauptschritte: • Erstellen Sie eine XenApp Services-Site im Webinterface, wobei Sie den vollqualifizierten Domänennamen (FQDN), die Secure Ticket Authority (STA) und die Zugriffsmethode angeben. Weitere Informationen finden Sie unter Konfigurieren von Access Gateway für eine XenApp Services-Site. • Erstellen auf dem Access Gateway einen Basic-Anmeldepunkt und konfigurieren Sie den Anmeldepunkt so, dass das Webinterface für die Authentifizierung verwendet wird. Weitere Informationen finden Sie unter So konfigurieren Sie einen Basic-Anmeldepunkt auf dem Access Gateway. • Stellen Sie für den einfachen Anmeldepunkt die XenApp Services-Sites als Homepage ein. Geben Sie beim Konfigurieren der Homepage den vollständigen Pfad zu der Datei config.xml an. Beispiel: <WI-Servername>/citrix/pnagent/config.xml. • Konfigurieren Sie auf dem Access Gateway die STA und die ICA-Zugriffssteuerungsliste. Weitere Informationen finden Sie unter So konfigurieren Sie das Access Gateway-Gerät für die Secure Ticket Authority und So konfigurieren Sie die ICA-Zugriffssteuerung auf dem Access Gateway-Gerät. Wenn sich Benutzer am Standardanmeldepunkt anmelden, müssen sie nur den vollqualifizierten Domänenname (FQDN) des Access Gateways in der Adressleiste des Webbrowsers eingeben. Wenn sich Benutzer nicht am Standardanmeldepunkt anmelden, müssen sie den vollqualifizierten Domänennamen des Access Gateways sowie den vollständigen Pfad zum Anmeldepunkt eingeben. Benutzer würden beispielsweise https://AccessGatewayFQDN/lp/Anmeldepunktname eingeben. Bevor Sie im Webinterface das Verwenden einer XenApp Services-Site konfigurieren, sollten Sie Folgendes berücksichtigen: Wichtig: • 486 Ist das Webinterface für eine XenApp Services-Site konfiguriert, werden die Anmeldeinformationen an die Services-Site für die Authentifizierung gesendet, wenn Benutzer sich anmelden. Access Gateway authentifiziert die Benutzer nicht. Citrix empfiehlt, das Webinterface in der DMZ einzurichten, wenn Sie eine Services-Site verwenden. Konfigurieren von XenApp-Verbindungen mit einer XenApp Services-Site • Um mobile Geräte mit Access Gateway 5.0 über eine XenApp Services-Site zu verwenden, müssen Sie mindestens Access Gateway 5.0.2 installieren. • Access Gateway 5.0 unterstützt nur Receiver für Android 2.x und Receiver für iPad 4.2 oder neuere Versionen. Sie können das Webinterface nur für Access Gateway 5.0 verwenden. • Access Gateway-Versionen 5.0.2 und 5.0.3 unterstützen Receiver für Android 2.x,, Receiver für iPad 4.2 und Receiver für iOS 5.0 mit Webinterface-Sites oder XenApp Services-Sites . • Wenn Sie das Webinterface verwenden, finden Sie die Anleitungen unter Receiver für Mobilgeräte in dem Access Gateway-Konfigurationsabschnitt für das jeweilige Mobilgerät. Bei Verwendung von XenApp Services gelten die in diesem Abschnitt beschriebenen Schritte. • Für XenApp Services-Sites wird nur die Einquellenauthentifizierung unterstützt. Mit dem Webinterface werden Ein- und Zweiquellenauthentifizierung unterstützt. • Sie müssen Webinterface 5.4 verwenden, das von allen integrierten Browsern unterstützt wird. Wenn eine XenApp Services-Site verwenden und Benutzer sich anmelden, können sie die veröffentlichten Anwendungen direkt vom Mobilgerät starten. So konfigurieren Sie das Access Gateway für eine Verbindung mit der XenApp Services-Site 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen eindeutigen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic aus. 6. Wählen Sie Authenticate with Web Interface. 7. Geben Sie unter Web Interface den vollständigen Pfad zu den Datei config.xml in der XenApp Services-Site an und klicken Sie dann auf Save. 487 Definieren globaler Einstellungen für Benutzerverbindungen auf dem Access Gateway-Gerät Sie können Benutzerverbindungen global in der Access Gateway Management Console konfigurieren. Sie konfigurieren Optionen wie Single Sign-On mit Windows, Split-Tunneling, Split DNS und Sitzungstimeouts. Sie können einige der Optionen außerdem in den Advanced Options für SmartGroups konfigurieren. Die SmartGroup-Einstellungen überschreiben die globalen Optionen. Zusätzlich können Sie Sitzungstimeouts für Anmeldepunkte und SmartGroups konfigurieren. Die Sitzungstimeouteinstellung für Anmeldepunkte überschreibt die globale Einstellung. Die Sitzungstimeouteinstellung für SmartGroups überschreibt die sowohl die globale Einstellung als auch die des Anmeldepunkts. 488 So konfigurieren Sie Single Sign-On für Windows Benutzer öffnen üblicherweise eine Verbindung zum Access Gateway, indem Sie das Access Gateway Plug-in starten. Sie können festlegen, dass das Access Gateway Plug-in automatisch gestartet wird, wenn Benutzer sich an Windows anmelden, indem Sie Single Sign-On mit Windows aktivieren. Wenn Sie Single Sign-On konfigurieren, werden die Windows-Anmeldeinformationen des Benutzers für die Authentifizierung an das Access Gateway weitergeleitet. Aktivieren Sie Single Sign-On nur, wenn Benutzer sich an der Domäne Ihrer Organisation anmelden. Aktivieren von Single Sign-On für das Access Gateway Plug-in ermöglicht Vorgänge auf dem Benutzergerät wie Installationsskripte. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Aktivieren Sie im Bereich Access Gateway and User Options unter Client Options das Kontrollkästchen Single sign-on with Windows. 4. Klicken Sie auf Save. Hinweis: Wenn Sie die Zweiquellenauthentifizierung in Access Gateway konfigurieren, können Sie nicht Single Sign-On verwenden. 489 So aktivieren Sie Split-Tunneling in Access Gateway Sie können Split-Tunneling aktivieren, um zu verhindern, dass das Access Gateway Plug-in unnötige Netzwerkdaten an das Access Gateway sendet. Wenn Sie Split-Tunneling nicht aktivieren, empfängt das Access Gateway Plug-in den gesamten vom Benutzergerät ausgehenden Datenverkehr und leitet ihn durch den VPN-Tunnel an das Access Gateway weiter. Wenn Sie Split-Tunneling aktivieren, sendet das Access Gateway Plug-in nur solche Daten durch den VPN-Tunnel, die für durch das Access Gateway gesicherte Netzwerke bestimmt sind. Das Access Gateway Plug-in sendet keine Daten, die für ungesicherte Netzwerke bestimmt sind, an Access Gateway. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Aktivieren Sie im Bereich Access Gateway and User Options unter Client Options das Kontrollkästchen Enable split tunneling. 4. Klicken Sie auf Save. 490 So authentifizieren Sie Benutzer nach Netzwerk- und Systemunterbrechungen Wenn die Netzwerkverbindung kurz unterbrochen wird, müssen sich Benutzer standardmäßig nicht neu anmelden, sobald die Verbindung wiederhergestellt ist. Sie können allerdings vorschreiben, dass Benutzer sich nach einer Unterbrechung doch neu anmelden müssen, z. B. wenn sich ein Computer im Ruhezustand oder Standby-Modus befunden hat, wenn Benutzer in ein anderes drahtloses Netzwerk wechseln oder wenn eine Verbindung erzwungenermaßen beendet wurde. Hinweis: Wenn Sie ein Gerätefailoverpaar haben und es zu einem Failover kommt, werden Verbindungen über das Access Gateway Plug-in beendet und sofort wiederhergestellt. Benutzer müssen sich neu anmelden. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Aktivieren Sie im Bereich Access Gateway and User Options unter Client Options eine oder beide dieser Optionen: • Authenticate after network interruption: Benutzer müssen sich neu anmelden, wenn die Netzwerkverbindung kurz unterbrochen war. Authenticate after system resume: Benutzer müssen sich neu anmelden, wenn sich die Computer im Standby-Modus oder Ruhezustand waren. Diese Option bietet ein höheres Maß an Sicherheit für unbeaufsichtigte Computer. 4. Klicken Sie auf Save. • 491 So aktivieren Sie Split DNS Wenn Sie Split DNS aktivieren und Benutzer eine Website aufrufen, die dem DNS-Suffix entspricht, das auf dem Access Gateway konfiguriert ist, wird die Verbindung durch das Gerät geleitet. Sonst wird die DNS-Verbindung nicht durch das Gerät geleitet und geht durch den lokalen DNS-Server, der auf dem Benutzergerät konfiguriert ist. Benutzer können diese Einstellung im Dialogfeld Citrix Access Gateway-Optionen überschreiben, dass über das Startmenü geöffnet wird. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Aktivieren Sie im Bereich Access Gateway and User Options unter Client Options das Kontrollkästchen Enable split DNS. 4. Klicken Sie auf Save. Access Gateway führt kein Failover zum lokalen DNS-Server durch, wenn der angegebene DNS-Server eine negative Antwort zurückgibt. 492 Aktivieren von Sitzungstimeouts für Access Gateway Plug-ins Sie können das Access Gateway Plug-in so konfigurieren, dass die Trennung der Verbindung zum Access Gateway erzwungen wird, falls während eines bestimmten Zeitraums (in Minuten) keinerlei Aktivitäten über die Verbindung zu verzeichnen sind. Falls die Sitzung tatsächlich geschlossen wird, müssen Benutzer sich neu anmelden. Sie können Timeouteinstellungen in Access Gateway global konfigurieren, mit einem Anmeldepunkt oder in einer SmartGroup. Die Timeouteinstellungen im Anmeldepunkt überschreiben globale Einstellungen. Die Timeouteinstellungen in der SmartGroup überschreiben die im Anmeldepunkt und die globalen Einstellungen. Sie können die folgenden drei Timeouteinstellungen aktivieren: • Benutzerinaktivität: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keine Maus- oder Tastaturaktivität auf dem Benutzergerät erkennt. Der Standardwert für die globale Timeouteinstellung ist 30 Minuten. Wenn Sie diesen Wert für den Anmeldepunkt auf Null setzen, wird die Einstellung deaktiviert. Für die Maus- und Tastaturüberwachung ist das Access Gateway Plug-in erforderlich. • Netzwerkinaktivität: Mit dieser Einstellung wird die Benutzersitzung beendet, wenn Access Gateway während des angegebenen Zeitraums keinen Netzwerkverkehr erkennt. Der Standardwert für die globale Einstellung ist 30 Minuten. Wenn Sie diesen Wert für den Anmeldepunkt auf Null setzen, wird die Einstellung deaktiviert. Zum Überwachen der Netzwerkaktivität ist das Access Gateway Plug-in erforderlich. • Sitzungstimeout: Mit dieser Einstellung trennt das Access Gateway Plug-in die Verbindung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Eine Minute vor dem Timeout (also der Trennung) der Sitzung erhalten Benutzer eine Warnmeldung, dass die Sitzung in Kürze geschlossen wird. Der Standardwert für die globale Einstellung ist 30 Minuten. Sie können diese Einstellung nicht deaktivieren. Der Mindestwert ist 1 Minute. Falls Sie mehrere Timeouteinstellungen aktivieren, wird die Clientverbindung geschlossen, sobald die erste Timeoutfrist abläuft. 493 Aktivieren von Sitzungstimeouts für Access Gateway Plug-ins So aktivieren Sie Sitzungstimeouts für das Access Gateway Plug-in 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Geben Sie auf der Registerkarte Access Gateway and User Options unter Time-Out Options den Zeitraum in Minuten für die folgenden Einstellungen ein: • Benutzerinaktivität • Netzwerkinaktivität • Sitzungstimeout Hinweis: Standardmäßig sind alle Timeoutoptionen aktiviert, mit dem Intervall 30 Minuten. Geben Sie einen Wert zwischen 1 und 10008 ein, um die Anzahl der Minuten für die Timeoutfrist festzulegen. Sie können die Einstellungen für Benutzerinaktivität und Netzwerkinaktivität deaktivieren, indem Sie Null (0) eingeben. Wenn Sie den Wert "0" eingeben, wird das Sitzungstimeout nicht aktiviert und die Einstellung wirkt sich nicht auf Clientverbindungen aus. 4. Klicken Sie auf Save. 494 Aktivieren von Multistream-ICA-Verbindungen Aktualisiert: 2012-08-17 Mit dem Feature Multistream-ICA können Sie mehrere ICA-Streams in der gleichen Sitzung partitionieren. Mit Multistream-ICA können Sie eine einzelne TCP-Verbindung in mehrere Streams partitionieren, basierend auf den unterschiedlichen Verkehrstypen, die bei der Sitzungszuverlässigkeit üblich sind. Wenn Benutzer sich anmelden und Access Gateway die Sitzung authentifiziert, verwendet der anfängliche ICA-Stream einen TCP-Stream auf Port 2598 und diese ist der primäre Stream. Nachdem der primäre Stream eingerichtet wurde, werden drei weitere Streams erstellt. Es gibt jeweils einen Stream für Grafiken, Sprache, Drucken und die Steuerung der TCP-Ports, also insgesamt vier Streams. ICA-Verkehr lässt sich auch mit Citrix Branch Repeater priorisieren, der Multistream-ICA unterstützt oder eine Router verwenden, der TCP-Quality of Service unterstützt. So aktivieren Sie Multistream-ICA-Verbindungen 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Wählen Sie im Bereich Access Gateway and User Options unter Access Gateway Settings die Option Multi-stream ICA. 4. Klicken Sie auf Save. 495 So schließen Sie Benutzerverbindungen Sie können das Access Gateway Plug-in so konfigurieren, dass aus Sicherheitsgründen eventuell vorhandene Verbindungen zu anderen Netzwerken geschlossen werden, wenn Benutzer sich am Access Gateway anmelden. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Aktivieren Sie im Bereich Access Gateway and User Options unter Client Options das Kontrollkästchen Close existing connections. 4. Klicken Sie auf Save. 496 Konfigurieren der Access Gateway Plug-in-Einstellungen in Access Controller Sie konfigurieren die Einstellungen für das Access Gateway Plug-in in Access Controller, um das Access Gateway Plug-in bereitzustellen. Sie steuern die Interaktion zwischen Access Gateway und dem Access Gateway Plug-in, indem Sie Einstellungen konfigurieren und Verbindungsrichtlinien erstellen, Split-Tunneling aktivieren, Benutzern das Verwenden von älteren Versionen des Access Gateway Plug-ins erlauben und die Verwendung von Citrix Branch Repeater aktivieren, um die Anwendungsbeschleunigung zu unterstützen. Erstellen von Verbindungsrichtlinien Sie konfigurieren Verbindungsrichtlinien, um Verbindungen über das Access Gateway Plug-in zu steuern. Nachdem Sie Access Gateway so konfiguriert haben, dass das Access Gateway Plug-in für Verbindungen zu Ressourcen im Netzwerk verwendet wird, erstellen Sie Verbindungsrichtlinien, um diese Verbindungen zu steuern. Zulassen von Split Tunneling Mit Split-Tunneling können Benutzergeräte mit öffentlichen Internetressourcen und Ihren internen Netzwerkressourcen gleichzeitig kommunizieren. Wenn Sie Split-Tunneling aktivieren, verhindert die Einstellung, dass das Access Gateway Plug-in unnötige Netzwerkdaten an das Access Gateway sendet. Das Plug-in sendet nur solche Daten durch den VPN-Tunnel, die für durch das Access Gateway gesicherte Netzwerke bestimmt sind. Das Plug-in sendet keine Daten, die für ungesicherte Netzwerke bestimmt sind, an das Access Gateway. Split-Tunneling macht die Clientverbindung effizienter und verringert die Anzahl der Fälle, in denen Benutzern der Zugriff verweigert wird, wenn sie auf Ressourcen im Internet oder Ihrem internen Netzwerk zugreifen. Wenn Sie Split-Tunneling deaktivieren, sendet das Access Gateway Plug-in den gesamten Netzwerkverkehr, der von einem Benutzergerät ausgeht, durch den VPN-Tunnel an das Access Gateway, einschließlich Verkehr zu öffentlichen Internetwebsites. Verwenden von Branch Repeater für die Anwendungsbeschleunigung Wenn Benutzer mit dem Access Gateway Plug-in anmelden, kann das Repeater Plug-in die Verbindung optimieren. Wenn Sie das Repeater Plug-in aktivieren, wird der Netzwerkverkehr komprimiert und durch Access Gateway beschleunigt. 497 Konfigurieren der Access Gateway Plug-in-Einstellungen in Access Controller Zulassen von früheren Versionen des Access Gateway Plug-ins Sie können das Access Gateway-Gerät so konfigurieren, dass auch Verbindungen von früheren Versionen des Access Gateway Plug-ins akzeptiert werden. Aktivieren von Endpoint Analysis-Scans Access Controller erkennt anhand von Richtlinien für den Anmeldepunkt, ob ein Endpoint Analysis-Scan erforderlich ist. Ist ein Scan erforderlich, prüft Access Controller, ob das Endpoint Analysis Plug-in auf dem Benutzergerät vorhanden ist. Wenn Access Controller das Plug-in auf dem Benutzer erkennt, führt das Endpoint Analysis Plug-in die entsprechenden Scans durch. Wenn Access Gateway das Plug-in nicht erkennt, wird das Endpoint Analysis Plug-in automatisch heruntergeladen und installiert. Wenn Benutzer nicht zulassen, dass das Endpoint Analysis Plug-in installiert wird und das Benutzergerät scannt, erhalten sie den Zugriff, den sie hätten, wenn die den Scans zugeordneten Richtlinien auf Verweigern eingestellt wären. Dies bedeutet, dass sie keinen Zugriff oder nur eingeschränkten Zugriff haben. Hinweis: Endpoint Analysis wird nur auf Windows-basierten Computern unterstützt. Weitere Informationen finden Sie unter Überprüfen von Anforderungen auf Benutzergeräten. 498 Erstellen von Verbindungsrichtlinien Mit Verbindungsrichtlinien steuern Sie die Verbindungen, die das Access Gateway Plug-in verwenden. Wenn Sie eine Verbindungsrichtlinie erstellen, können Sie Filter für die Richtlinie einrichten. Sie können einen bereits vorhandenen Filter verwenden, einen neuen erstellen oder einen bestehenden Filter bearbeiten. Weitere Informationen finden Sie unter Erstellen von Richtlinienfiltern. 499 Erstellen von Verbindungsrichtlinien So erstellen Sie eine Verbindungsrichtlinie 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Richtlinien > Verbindungsrichtlinien und klicken Sie unter Häufige Aufgaben auf Verbindungsrichtlinie erstellen. 3. Geben Sie auf der Seite Richtlinie definieren im Feld Richtlinienname und Beschreibung den Namen der Richtlinie und eine Beschreibung ein. 4. Wählen Sie auf der Seite Richtlinieneinstellungen konfigurieren unter Einstellung die Einstellung aus, die Sie konfigurieren möchten. Konfigurieren Sie die Verbindungseinstellungen, die Sie anwenden möchten, indem Sie jede Einstellung auswählen und unter Diese Einstellung für die Verbindung zulassen auf Ja oder Nein klicken. Wählen Sie unter den folgenden Einstellungen und klicken Sie dann auf Weiter: • Nach Systemneustart authentifizieren erzwingt die Authentifizierung, wenn das Benutzergerät den Standbymodus oder Ruhezustand wechselt. • Nach Netzwerkunterbrechung authentifizieren erzwingt die Authentifizierung, wenn die Netzwerkverbindung unterbrochen wird. • Split DNS aktivieren ermöglicht ein Failover zum lokalen DNS eines Benutzers, wenn das remote DNS nicht verfügbar ist. Standardmäßig prüft das Access Gateway nur das remote DNS des Benutzers. Anmeldeskripte ausführen führt Windows-Anmeldeskripte aus, wenn eine Verbindung hergestellt wird. 5. Wenn Sie Benutzergeräten eindeutige IP-Adressen geben, erstellen und legen Sie die Adresspools fest, aus denen Adressaliase zugewiesen werden. Klicken Sie auf der Seite Adresspool definieren auf Neu, um jeden Adresspool hinzuzufügen. Zum Konfigurieren von Adresspools muss mindestens ein Access Gateway-Gerät in Access Controller konfiguriert sein. • • Wählen Sie für Access Gateway das Access Gateway-Gerät aus. • Geben Sie unter Erste IP-Adresse die IP-Adresse ein. • Geben Sie unter Anzahl der IP-Adressen die Anzahl der IP-Adressen ein, die für den Adresspool verwendet werden. • Geben Sie unter Gateway die IP-Adresse des Standardgateways ein, wenn Sie einen verwenden. Wenn Sie keinen Standardgateway verwenden, muss dieses Feld keine Eingabe enthalten. • Jeder IP-Bereich sollte gültig sein, aber nicht im Netzwerk verwendet werden. • Stellen Sie sicher, dass Sie eindeutige IP-Bereiche für jedes Access Gateway-Gerät konfigurieren, um Adressenkonflikte zu vermeiden. Sie sollten dieselben IP-Bereiche nicht mehreren Geräten zuweisen Hinweis: Wenn Sie Adresspools hinzufügen, müssen Sie jedes Access Gateway-Gerät im Cluster neu starten, bevor der Adresspool zur Verfügung steht. Sie sollten die Konfiguration der Adresspools zu einem günstigen Zeitpunkt 500 Erstellen von Verbindungsrichtlinien planen. 6. Wählen Sie auf der Seite Filter auswählen die Filter aus, mit denen die Bedingungen für die Richtlinieneinhaltung festgelegt werden. 7. Wählen Sie auf der Seite Benutzer oder Gruppen die Benutzer oder Benutzergruppen aus, auf die diese Richtlinie angewendet wird, und klicken Sie dann auf Fertig stellen. Wählen Sie eine der folgenden Optionen: • Richtlinie auf alle authentifizierten Benutzer anwenden: Die Richtlinie wird auf alle Benutzer angewendet, die sich erfolgreich mit Access Gateway verbinden. • Wählen Sie Benutzer oder Gruppen im ausgewählten Authentifizierungsprofil: Die Richtlinie wird auf alle Benutzer angewendet, die von Active Directory-, LDAP- oder RADIUS-Servern authentifiziert werden. So legen Sie die Priorität für Verbindungsrichtlinien fest Sie können die Priorität für Verbindungsrichtlinien festlegen, da mehrere Verbindungsrichtlinien für denselben Benutzer gelten können. Die Einstellungen in Richtlinien mit einer höheren Priorität haben Vorrang vor denen in Richtlinien mit einer niedrigeren Priorität. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Wählen Sie in der Konsolenstruktur Verbindungsrichtlinien aus und klicken Sie unter Häufige Aufgaben auf Priorität für Verbindungsrichtlinie einstellen. 3. Wählen Sie eine Richtlinie aus und verschieben Sie sie mit den Pfeiltasten in der Liste. Die Richtlinie mit der höchsten Priorität steht am Anfang der Liste. 501 Aktivieren von Split-Tunneling in Access Controller Sie können Split-Tunneling aktivieren, um zu verhindern, dass das Access Gateway Plug-in unnötige Netzwerkdaten an das Access Gateway sendet. Wenn Sie Split-Tunneling nicht aktivieren, empfängt das Access Gateway Plug-in den gesamten vom Benutzergerät ausgehenden Datenverkehr und leitet ihn durch den VPN-Tunnel an das Access Gateway weiter. Wenn Sie Split-Tunneling aktivieren, sendet das Access Gateway Plug-in nur solche Daten durch den VPN-Tunnel, die für durch das Access Gateway gesicherte Netzwerke bestimmt sind. Das Access Gateway Plug-in sendet keine Daten, die für ungesicherte Netzwerke bestimmt sind, z. B. das Internet, an das Access Gateway. Hinweis: Wenn Benutzer Citrix XenApp Online Plug-ins zum Verbinden mit veröffentlichten Anwendungen oder Desktops verwenden, brauchen Sie Split-Tunneling nicht konfigurieren. So konfigurieren Sie das Split-Tunneling: 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller-Server, den Sie konfigurieren möchten und klicken Sie dann auf Access Gateway-Geräte. 3. Klicken Sie unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 4. Klicken Sie im Dialogfeld Access Gateway-Geräte - Globale Eigenschaften auf Plug-in-Eigenschaften und aktivieren Sie dann Split-Tunneling aktivieren. 5. Klicken Sie auf OK. 502 So aktivieren Sie das Repeater Plug-in Access Gateway kann mit Citrix Branch Repeater verwendet werden, um die Anwendungsbeschleunigung zu unterstützen. Branch Repeater erweitert und beschleunigt den Verkehr durch das Access Gateway beispielsweise für CIFS- (Common Internet File System) und HTTP-Verbindungen. Access Gateway wird in der demilitarisierten Zone (DMZ) und das Branch Repeater-Gerät wird hinter Access Gateway im gesicherten Netzwerk installiert. Benutzer verbinden sich über das Access Gateway-Gerät und Branch Repeater mit Ressourcen im gesicherten Netzwerk. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller-Server, den Sie konfigurieren möchten und klicken Sie dann auf Access Gateway-Geräte. 3. Klicken Sie unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 4. Klicken Sie im Dialogfeld Access Gateway-Geräte - Globale Eigenschaften auf Plug-in-Eigenschaften und aktivieren Sie dann Repeater für Beschleunigung verwenden. 5. Klicken Sie auf OK. 503 Gewähren von Zugriff auf das gesamte Netzwerk Die Ressource "Gesamtes Netzwerk" umfasst alle sichtbaren Server und Dienste in Ihrem sicheren Netzwerk. Wenn Sie Richtlinien in Access Controller einrichten, um Verbindungen und Zugriff auf diese Ressource zu gewähren, können Benutzer, die sich mit dem Access Gateway Plug-in anmelden, auf diese Server und Dienste über einen SSL-VPN-Tunnel zwischen dem Benutzergerät und dem Netzwerk zugreifen. Die Ressource "Gesamtes Netzwerk" ist eine integrierte Netzwerkressource, deren Eigenschaften Sie nicht bearbeiten oder löschen können. Um die Bedingungen zu kontrollieren, unter denen auf die Ressource "Gesamtes Netzwerk" zugegriffen wird, müssen Sie so für alle anderen Ressourcentypen Zugriffsrichtlinien in der Delivery Services Console erstellen. Mit der Ressource "Gesamtes Netzwerk" können Sie Folgendes: • Schnell Ihre Bereitstellung einrichten und Zugriff testen • Unbegrenzten Zugriff für eine bestimmte Benutzergruppe gewähren, z. B. Administratoren, die weitreichenden Zugriff benötigen für die Wiederherstellung im Notfall und andere Fehlerbehebungsmaßnahmen • Offenen Zugriff standardmäßig gewähren und später Richtlinien entwickeln, die den Zugriff auf bestimmte Ressourcen im Einklang mit Ihrem Sicherheitsplan verhindern Es gibt u. a. folgende allgemeine Schritte, um Zugriff auf das gesamte Netzwerk zu gewähren: 1. Erstellen Sie eine Zugriffsrichtlinie für die Ressource "Gesamtes Netzwerk", die ausgewählten Benutzern Zugriff gibt. 2. Erstellen Sie eine Verbindungsrichtlinie, die Benutzerverbindungen zulässt. 3. Filtern Sie die die Richtlinien nach den Bedingungen oder Anforderungen, die Sie durchsetzen möchten. Da die Ressource "Gesamtes Netzwerk" alle sichtbaren Server im Netzwerk enthält, lassen Sie Zugriff auf diese Ressource nur unter den von Ihnen beabsichtigten Bedingungen zu. Zugriff auf diese Ressource kann weitreichende Folgen haben. 504 Installieren des Access Gateway Plug-ins mit dem Microsoft Installer (MSI)-Paket Sie können ein MSI-Paket für die Installation des Access Gateway Plug-ins auf einem Benutzergerät verwenden. Das Access Gateway Plug-in wird pro Computer installiert. Beim Erstellen des Pakets können Sie festlegen, dass die Installation mit erhöhten Privilegien ausgeführt wird, sodass Benutzer ohne Administratorrechte das Plug-in installieren können. Sie können das Paket erstellen, indem Sie die Datei CitrixAGP.exe vom Access Gateway-Gerät herunterladen. Wenn Sie die ausführbare Datei herunterladen, können Sie die Datei ausführen, um die MSI-Datei automatisch zu entpacken und zu installieren. So laden Sie das MSI-Paket herunter und installieren es 1. Gehen Sie in einem Webbrowser zu https://AccessGatewayFQDN, wobei AccessGatewayFQDN der vollqualifizierte Domänenname (FQDN) des Access Gateways ist. 2. Klicken Sie auf Speichern, um die Datei auf Ihrem Computer zu speichern. 3. Doppelklicken Sie auf CitrixAGP.exe, um die MSI-Datei zu entpacken und zu installieren. Es gibt zwei Methoden die MSI-Datei an Benutzer zu verteilen, die auf dem Benutzergerät keine Administratoren sind: 505 • Verwenden Sie eine Active Directory-Gruppenrichtlinie (oder ein ähnliches Tool) für eine Push-Installation des Pakets auf das Benutzergerät • Kündigen Sie das Installationspaket auf dem Benutzergerät an Installation des MSI-Pakets mit einer Gruppenrichtlinie Für Benutzer, die die Verbindung mit Microsoft Active Directory-Domänendiensten vom internen Netzwerk herstellen, können Sie Gruppenrichtlinien verwenden, um das Access Gateway Plug-in herunterzuladen und zu installieren. Die Softwareinstallationsfunktion der Gruppenrichtlinie installiert oder aktualisiert das Access Gateway Plug-in automatisch, wenn das Benutzergerät eine Verbindung zur Domäne herstellt. Das Verfahren mit einer Gruppenrichtlinie das MSI-Paket zu installieren, ist ähnlich wie das Verfahren mit dem ein Paket angekündigt wird. Sie sollten das Paket CitrixAGP.exe extrahieren. Wenn die Standardkonfiguration der Installation geändert werden muss, führen Sie die administrative Installation aus und erstellen ein administratives Image. Kopieren Sie entweder die Original-MSI-Datei oder das administrative Image auf eine Netzwerkfreigabe. Verwenden Sie die Gruppenrichtlinie, um das Paket Computer zuzuweisen und geben Sie die Netzwerkfreigabe an. So verwenden Sie Gruppenrichtlinien zum Bereitstellen des Access Gateway Plug-ins 1. Erstellen Sie auf dem Windows-Server ein temporäres Verzeichnis und öffnen Sie es. 2. Geben Sie an der Eingabeaufforderung CitrixAGP -extract ein, um die MSI-Datei und zugehörige Dateien in das im 1. Schritt erstellte Verzeichnis zu extrahieren. 3. Verwenden Sie die Gruppenrichtlinie, um das MSI-Paket und geeignete Dateien zu veröffentlichen. 506 Installieren des MSI-Pakets durch Ankündigen Um die Clientinstallation anzukündigen, müssen Sie die CAGSE.MSI- und MST-Dateien extrahieren. Beim Erstellen des Images müssen Sie einen Pfad zum Image sowie die Sprache angeben. Sie werden dann einen Befehlszeilenschalter für das MSIEXEC-Dienstprogramm, um das Paket anzukündigen. Nur der angekündigte Dateipfad gilt für Windows Installer als vertrauenswürdig. Wenn Benutzer CAGSE.MSI von einer CD oder einem lokalen Pfad installieren, der sich von dem angekündigten Pfad unterscheidet, schlägt die Installation fehl. So extrahieren Sie die MSI- und MST-Dateien und erstellen ein administratives Image 1. Geben Sie an der Eingabeaufforderung Folgendes ein: CitrixAGP -extract Mit diesem Befehl werden die Dateien in dem Ordner in der Serverdateifreigabe extrahieren, in dem die Datei CitrixAGP.exe ist. Geben Sie Folgendes ein, um das Access Gateway Plug-in zu extrahieren und zu installieren: CitrixAGP 2. Um ein konfiguriertes administratives Image zu erstellen, geben Sie an der Eingabeaufforderung Folgendes ein: msiexec /a CAGSE.MSI 3. Wenn das Image erstellt ist, kündigen Sie das Produkt allen Benutzern des Benutzergeräts an. Geben Sie dafür an einer Eingabeaufforderung auf dem Benutzergerät Folgendes ein: misexec /jm Pfad zu administrativem Image\CAGSE.MSI Dieser Befehl kündigt das Access Gateway Plug-in an, installiert es aber nicht auf dem Benutzergerät. Das Plug-in scheint installiert zu sein. In der Systemsteuerung und im Startmenü sind Einträge vorhanden, es wurden aber keine Dateien auf das Benutzergerät kopiert. 4. Um das Access Gateway Plug-in zu installieren, geben Sie an einer Eingabeaufforderung Folgendes ein: msiexec /i Pfad zu administrativem Image\CAGSE.MSI Sie können die Installation auf durch Aufrufen der Startmenüverknüpfung starten. 507 Installieren des MSI-Pakets durch Ankündigen Die vorangegangenen Schritte behandeln die Erstinstallation des Access Gateway Plug-ins auf dem Benutzergerät. Wenn ein Upgrade für das Plug-in verfügbar ist, aktualisieren Sie das Paket auf der Dateifreigabe. Wenn Benutzer sich mit dem Access Gateway verbinden, navigieren sie zu der Freigabe und führen cagsetup.exe aus, um das Upgrade zu erhalten. Wenn das Access Gateway Plug-in Anmeldeskripte ausführt, kann mit dem Skript geprüft werden, ob Upgrades vorhanden sind und das Plug-in ggf. installiert werden. Sie können auch den Benutzern eine E-Mail schicken, die das Upgrade ankündigt und einen Link zu der Freigabe mit der aktualisierten Version von cagsetup.exe, den MSI- und MST-Dateien angeben. 508 Verbinden mit Access Gateway und Netzwerkressourcen Benutzer können sich mit einem Webbrowser anmelden, das Access Gateway Plug-in herunterladen und dann eine Verbindung herstellen. Benutzer geben die Webadresse des Access Gateways ein und geben dann ihre Anmeldeinformationen an. Wenn die Authentifizierung abgeschlossen ist, können Benutzer das Gateway Plug-in herunterladen und eine Verbindung herstellen. Wichtig: Konfigurieren Benutzer die Sicherheitseinstellungen in Internet Explorer auf Hoch, wird die Anmeldeseite möglicherweise nicht angezeigt, wenn Benutzer sich am Access Gateway anmelden. In diesem Fall müssen Benutzer die Access Gateway-Webadresse der Liste Vertrauenswürdige Sites hinzufügen. Stellen Sie nur das Access Gateway-Gerät bereit, zeigt die Webseite ein Schlosssymbol, wenn Benutzer sich anmelden. Wenn Benutzer sich zum ersten Mal anmelden, klicken Sie auf das Symbol und die Download-Seite wird angezeigt. Benutzer klicken auf Download, um das Access Gateway Plug-in zu installieren. Nach der Installation kehren Benutzer zu der Symbolseite zurück und klicken noch einmal auf das Symbol, um die Verbindung herzustellen. Wenn Sie in der Bereitstellung Access Controller verwenden, wird das Access Interface angezeigt, nachdem Benutzer sich angemeldet haben. Benutzer klicken auf Mit Netzwerk verbinden und die Download-Seite wird angezeigt. Nachdem Benutzer das Plug-in heruntergeladen und installiert haben, kehren sie zum Access Interface zurück und klicken dann noch einmal auf Mit Netzwerk verbinden, um die Verbindung herzustellen. Die Standardhomepage ist das Access Interface, wenn Access Controller Teil der Bereitstellung ist. Wenn Sie die Zweiquellenauthentifizierung in Access Gateway konfigurieren, geben Benutzer den Benutzernamen und das Kennwort für jeden Authentifizierungstyp ein. Wenn Sie beispielsweise Benutzer für die LDAP-Authentifizierung und RSA SecurID konfigurieren, würden Benutzer das Kennwort, die RSA SecurID-PIN-Nummer und einen RSA SecurID-Code eingeben. Sie können auch für die Benutzer eine andere Homepage konfigurieren. Die Homepage kann das Webinterface, SharePoint 2007, Outlook Web Access, Outlook Web App oder eine benutzerdefinierte Homepage Ihrer Wahl sein. Wenn Sie das Access Gateway Plug-in mit einer der aufgelisteten Homepages verwenden möchten, empfiehlt Citrix das Plug-in mit einem Microsoft Installer-Paket (MSI) zu installieren. Weitere Informationen finden Sie unter Installieren des Access Gateway Plug-ins mit dem Microsoft Installer (MSI)-Paket. Wichtig: Sie müssen Netzwerkressourcen in Access Gateway konfigurieren, damit Benutzergeräte die Verbindung herstellen können. Der durch die Sicherheitsrichtlinien gewährte Ressourcenzugriff ermöglicht Benutzern, mit dem Remotesystem genau so zu arbeiten, als wären sie lokal angemeldet. Beispielsweise könnten Benutzer das Recht haben, auf Anwendungen zuzugreifen, einschließlich Web-, Client-Server- und Peer-to-Peer-Anwendungen wie Instant Messaging und Videokonferenzen. Zugriff auf Netzwerkressourcen wird in einer SmartGroup auf dem Access Gateway-Gerät 509 Verbinden mit Access Gateway und Netzwerkressourcen zugelassen oder verweigert oder als Teil einer Richtlinie in Access Controller. Wenn Single Sign-On mit Windows in der Access Gateway Management Console aktiviert haben, können Benutzer sich automatisch mit dem Access Gateway Plug-in anmelden, wenn sie sich an Windows angemeldet haben. So erhalten sie vollen Zugriff auf Ressourcen im Netzwerk. Single Sign-On mit Windows geschieht nur, wenn Sie Active Directory mit LDAP-Authentifizierung oder RADIUS-Authentifizierung verwenden. Wenn sich Benutzer an Windows anmelden, versucht das Access Gateway Plug-in Single Sign-On bei dem vom Benutzer angegebenen bevorzugten Anmeldepunkt zu verwenden. 510 Bereitstellen von Anmeldeinformationen für die Benutzer Damit Benutzer eine Verbindung zum Access Gateway herstellen und es verwenden können, müssen Sie ihnen die folgenden Informationen geben: • Access Gateway-Webadresse, z. B. https://AccessGatewayFQDN/. • Anmeldepunkt für die Anmeldung (wenn Benutzer sich nicht über den Standardanmeldepunkt anmelden sollen). • Sämtliche Systemvoraussetzungen für das Ausführen des Access Gateway Plug-ins, wenn Sie Geräteprofile konfiguriert haben. Anhängig von der Konfiguration des Benutzergeräts müssen Sie möglicherweise auch die folgenden Informationen angeben: • Um das Access Gateway Plug-in zu starten, müssen Windows XP, Windows Vista und Windows 7-Benutzer lokale Administratoren oder Mitglied der Administratorengruppe sein, um das Access Gateway Plug-in beim ersten Start zu installieren. Für Upgrades müssen Benutzer nicht Administrator sein. • Wenn auf dem Benutzergerät eine Firewall installiert und aktiviert ist, müssen Benutzer u. U. die Firewalleinstellungen ändern, sodass die Firewall den Verkehr zu oder von den IP-Adressen der Ressourcen nicht blockiert. Das Access Gateway Plug-in kann automatisch Internetverbindungsfirewall in Windows XP und Windows-Firewall in Windows XP Service Pack 3, Windows Vista und Windows 7 einstellen. • Benutzer, die die Access Gateway-Verbindung für FTP verwenden möchten, müssen ihre FTP-Anwendung so einrichten, dass sie passive Übertragungen unterstützt. Eine passive Übertragung bedeutet, dass das Benutzergerät die Datenverbindung zu dem FTP-Server und nicht der FTP-Server die Datenverbindung zum Remotecomputer einrichtet. Da Benutzer mit Dateien und Anwendungen arbeiten, als wenn sie im Netzwerk der Organisation wären, brauchen Benutzer nicht gesondert geschult und Anwendungen nicht gesondert konfiguriert werden. 511 Installieren des Access Gateway Plug-ins Benutzer installieren das Access Gateway Plug-in von der Access Gateway-Downloadportalseite. Die Methode, mit der Benutzer das Access Gateway Plug-in herunterladen und installieren, hängt von der jeweiligen Access Gateway-Bereitstellung ab. Folgende Anleitungen zeigen die Schritte für Benutzer in einer Bereitstellung, die ausschließlich Access Gateway-Geräte hat, sowie in einer Bereitstellung, die auch Access Controller enthält. So installieren Sie das Access Gateway Plug-in in einer Nur-Gerät-Bereitstellung 1. Benutzer geben in einem Webbrowser die Webadresse des Access Gateways ein (z. B. https://www.meinefirma.com). 2. Auf der Willkommenseite geben Benutzer die Anmeldeinformationen ein und klicken dann auf Senden. 3. Auf der Webseite unter Connect Using the Method Below klicken Sie auf das Symbol. Eine Downloadseite wird angezeigt. 4. Klicken Sie auf Download, um die Installation des Access Gateway Plug-ins zu starten. Nach der Installation des Plug-ins müssen Benutzer sich noch einmal über die Webseite anmelden, indem Sie auf das Symbol klicken oder über das Startmenü. So installieren Sie das Access Gateway Plug-in in einer Access Controller-Bereitstellung 1. Benutzer geben in einem Webbrowser die Webadresse des Access Gateways ein (z. B. https://www.meinefirma.com). 2. Auf der Willkommenseite geben Benutzer die Anmeldeinformationen ein und klicken dann auf Senden. 3. Im Access Interface klicken Sie auf Mit Netzwerk verbinden. Eine Downloadseite wird angezeigt. 4. Klicken Sie auf Download, um die Installation des Access Gateway Plug-ins zu starten. Nachdem das Access Gateway Plug-in auf dem Benutzergerät installiert wurde, kehren Benutzer zum Access Interface zurück und klicken noch einmal auf Mit Netzwerk verbinden, um das Plug-in zu starten und die Verbindung zum gesicherten Netzwerk herzustellen. 512 Anmelden am Access Gateway über den Anmeldepunkt Nachdem Sie die Einstellungen auf dem Access Gateway konfigurieren, einschließlich Authentifizierungsprofile, Anmeldepunkte, SmartGroups, Netzwerkressourcen und Geräteprofile, können Benutzer sich von einem beliebigen Ort am Access Gateway anmelden und arbeiten, als wenn sie im Büro wären. Benutzer können sich mit einem Webbrowser anmelden oder mit dem Access Gateway Plug-in. Anmelden mit einem Webbrowser Wenn Sie einen Anmeldepunkt bereitstellen, wird ein Anmeldepunktordner in einem virtuellen Verzeichnis mit dem Namen "CitrixLogonPoint" erstellt. Sie können eine URL verwenden, die auf den Anmeldepunktordner zeigt, um auf das Netzwerk zuzugreifen. Beispiel: https://GatewaygerätFQDNlp/CitrixLogonPoint/Anmeldepunktname/ Wobei GatewaygerätFQDN der vollqualifizierte Domänenname (FQDN) des Access Gateway-Geräts ist, auf dem Sie den Anmeldepunkt bereitgestellt haben, und Anmeldepunktname der Name des Anmeldepunkts. Wenn der FQDN des Access Gateway-Geräts z. B. "Unternehmensserver.meineDomäne.com" ist und der Anmeldepunkt "Remote" heißt, ist die URL für die Anmeldung https://Unternehmensserver.meineDomäne.com/CitrixLogonPoint/Remote. Alternativ können Benutzer auf den Standardanmeldepunkt zugreifen (wenn Sie auf dem Access Gateway einen Standardanmeldepunkt einstellen), indem sie zu der folgenden URL navigieren: https://GatewaygerätFQDN/ Wobei GatewaygerätFQDN der vollqualifizierte Domänenname (FQDN) des Access Gateway-Servers ist, auf dem der Anmeldepunkt bereitgestellt wurde. 513 Anmelden mit dem Access Gateway Plug-in für Windows Benutzer können mit dem Access Gateway Plug-in durch Access Gateway eine Verbindung zum Netzwerk herstellen. Benutzer folgen diesen Schritten für die Anmeldung. Wichtig: Konfigurieren Benutzer die Sicherheitseinstellungen in Internet Explorer auf Hoch, wird die Anmeldeseite möglicherweise nicht angezeigt, wenn Benutzer sich am Access Gateway anmelden. In diesem Fall müssen Benutzer die Access Gateway-Webadresse der Liste Vertrauenswürdige Sites hinzufügen. So melden Sie sich mit dem Access Gateway Plug-ins an 1. Benutzer klicken auf Start > Alle Programme > Citrix > Citrix Access Clients > Citrix Access Gateway. 2. Im Dialogfeld Citrix Access Gateway geben Benutzer die Anmeldeinformationen ein und klicken auf Senden. Hinweis: Wenn Sie kein von einer Zertifizierungsstelle (CA) signiertes digitales Zertifikat auf dem Access Gateway installieren, wird auf dem Benutzergerät eine Sicherheitswarnung angezeigt. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten. Wenn die Verbindung hergestellt ist, wird kurz ein Statusfenster angezeigt und das Access Gateway Plug-in-Fenster wird auf ein Symbol im Infobereich der Taskleiste minimiert. Das Symbol zeigt, ob die Verbindung aktiviert oder deaktiviert ist und zeigt ggf. Statusmeldungen an. So ändern Sie die Einstellungen für die Anmeldung auf einem Windows-basierten Gerät Benutzer möchten u. U. die Anmeldeeinstellungen für das Plug-in ändern. 1. Benutzer klicken auf Start > Alle Programme > Citrix > Citrix Access Clients > Citrix Access Gateway - Eigenschaften. 2. Im Dialogfeld Citrix Access Gateway-Optionen können Benutzer die folgenden Einstellungen ändern: • 514 Webadresse des Geräts. Hier werden außerdem die letzten 10 IP-Adressen oder vollqualifizierten Domänennamen (FQDN) aufgeführt, zu denen der Benutzer eine Verbindung hergestellt hat. Anmelden mit dem Access Gateway Plug-in für Windows • Anmeldepunkt für das Benutzergerät. Benutzer können aus einer Liste der Anmeldepunkte auswählen. • Proxyeinstellungen für das Benutzergerät. Benutzer können automatische Proxyservererkennung festlegen oder einen Proxyserver manuell konfigurieren. • Split DNS aktivieren: Sie aktivieren diese Einstellung in der Access Gateway Management Console, Benutzer können sie deaktivieren. Weitere Informationen über Split DNS finden Sie unter So aktivieren Sie Split DNS. • Sicherheitszertifikatswarnungen deaktivieren: Falls kein von einer Zertifizierungsstelle signiertes sicheres Zertifikat installiert ist, wird eine Zertifikatswarnung eingeblendet, sobald sich ein Benutzer anmeldet. Diese Einstellung deaktiviert die Warnung. So zeigen Sie die Access Gateway Plug-in-Statuseigenschaften an, wenn Benutzer angemeldet sind • Doppelklicken Sie im Infobereich auf das Access Gateway-Verbindungssymbol. Benutzer können stattdessen auch mit der rechten Maustaste auf das Symbol klicken und im Kontextmenü Verbindungsstatus wählen. Das Citrix Access Gateway-Dialogfeld wird angezeigt. Die Verbindungseigenschaften enthalten nützliche Informationen für die Problembehandlung. Hierzu gehören z. B. folgende Eigenschaften: • Die Registerkarte Allgemein enthält Verbindungsinformationen. • Auf der Registerkarte Details finden Sie Serverinformationen und eine Liste der gesicherten Netzwerke, auf die der Client zugreifen kann. • Die Registerkarte Zugriffslisten enthält die Netzwerkressourcen, die für die Benutzerverbindung konfiguriert sind. Klicken Sie zum Schließen des Fensters auf Schließen. So trennen Sie das Access Gateway Plug-in • 515 Benutzer klicken mit der rechten Maustaste im Infobereich auf das Access Gateway-Symbol und wählen dann im Kontextmenü den Befehl Trennen. Anmelden mit dem Access Gateway Plug-in für Mac OS X Nachdem Benutzer das Access Gateway Plug-in für Mac OS X installieren, können sie sich mit dem Access Gateway-Gerät im gesicherten Netzwerk verbinden. Nachdem Benutzer eine Verbindung herstellen, können sie mit Anwendungen, Dateifreigaben und anderen Netzwerkressourcen arbeiten, als wenn sie im Büro wären. Wenn das Access Gateway Plug-in installiert ist, können Benutzer sich von den folgenden Orten anmelden: • Verbindungs-Dropdownmenü im Access Gateway-Menü • Statussymbol in der Menüleiste • Dockkontextmenü • Anwendungsfenster Wenn das auf dem Access Gateway installierte digitale Zertifikat nicht von einer Zertifizierungsstelle signiert ist, wird den Benutzern eine Sicherheitswarnung angezeigt. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten. So ändern Sie die Einstellungen für die Anmeldung unter Mac OS X Benutzer können ihre Anmeldeeinstellungen im Dialogfeld Einstellungen ändern. Benutzer können neue Verbindungen erstellen, Verbindungen ändern, den Anmeldepunkt wechseln und das sekundäre Kennwortfeld anzeigen. Benutzer können außerdem die Protokollierungsstufe ändern und Proxyserver konfigurieren. 1. Starten Sie das Access Gateway Plug-in. 2. Klicken Sie im Menü Citrix Access Gateway auf Einstellungen. Benutzer können dann ihre Einstellungen ändern. 516 Aktualisieren des Access Gateway Plug-ins Sie brauchen keine Einstellungen zu konfigurieren, damit Benutzer eine Upgrade des Access Gateway Plug-ins von einer früheren Versionen durchführen können. Wenn Benutzer das Access Gateway Plug-in über das Startmenü verwenden, um sich an Access Gateway anzumelden, werden sie nicht aufgefordert, die ältere Version des Plug-ins zu deinstallieren. Wenn das Plug-in eine ältere Version ist, dann wird es automatisch aktualisiert und die Verbindung hergestellt. Access Gateway 5.0 unterstützt keine Verbindungen von Access Gateway Plug-in Version 4.6x und früher. Alle Benutzer müssen daher Versionen vor Access Gateway Plug-in 5.0 deinstallieren und die aktuelle Version Version installieren, um sich erfolgreich an Access Gateway 5.0 anzumelden. Benutzer, die die Verbindung über ein Windows-basiertes Gerät herstellen, können das Plug-in über die Systemsteuerung "Software" deinstallieren. Benutzer, die die Verbindung über Mac OS X herstellen, können das Plug-in vom Ordner \Library deinstallieren. Upgrade des Access Gateway Plug-ins auf Access Gateway 5.0.3 oder 5.0.4 Access Gateway 5.0.3 und 5.0.4 enthalten eine aktualisierte Version des Access Gateway Plug-ins. Änderungen am internen Framework des Access Gateway-Geräts verhindern die Kompatibilität mit früheren Versionen des Plug-ins. Benutzer müssen Access Gateway Plug-in Version 5.0.3 oder 5.0.4 installieren. Wichtig: Um Version 5.0.3 oder 5.0.4 des Plug-ins zu installieren oder ein Upgrade auf diese Versionen durchzuführen, müssen Benutzer Administratoren sein oder Administratorrechte für das Benutzergerät haben, es sei denn, Sie führen das Update des Plug-ins mit einer Active Directory-Gruppenrichtlinie durch. Sie können das Plug-in-Upgrade mit einer der folgenden Methoden durchführen: 517 • Push-Bereitstellung des Access Gateway Plug-in MSI-Pakets (Microsoft Installer) an alle Benutzer mit einer Active Directory-Gruppenrichtlinie. Weitere Informationen finden Sie unter Installation des MSI-Pakets mit einer Gruppenrichtlinie. • Installieren des Access Gateway Plug-ins über einen Webbrowser. Das Upgrade auf die neue Version des Plug-ins passiert automatisch, wenn Benutzer das Plug-in von einem Webbrowser herunterladen, vorausgesetzt Benutzer haben Administratorrechte auf dem Windows-basierten oder Mac OS X-Gerät. Zulassen von Benutzeranmeldungen mit früheren Versionen des Access Gateway Plug-ins Sie können das Access Gateway so konfigurieren, dass auch Verbindungen von früheren Versionen des Access Gateway Plug-ins akzeptiert werden. Sie konfigurieren Einstellungen entweder in der Access Gateway Management Console oder im Access Controller. Wichtig: Access Gateway 5.0 unterstützt keine Verbindungen von Access Gateway Plug-in Version 4.6.x und früher. Wenn Sie diese Option wählen und Access Gateway Version 4.6.x des Access Gateway Plug-in erkennt, müssen Benutzer auch das Plug-in aktualisieren. Wichtig: Wenn Sie Access Gateway 5.0.3 oder 5.0.4 installieren, können Benutzer sich nicht mit früheren Versionen des Access Gateway Plug-ins anmelden. Benutzer müssen das Plug-in Version 5.0.3 oder 5.0.4 installieren. Weitere Informationen finden Sie unter Aktualisieren des Access Gateway Plug-ins. So lassen Sie Benutzeranmeldungen mit früheren Versionen des Plug-ins in Access Gateway zu 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Global Options. 3. Wählen Sie im Bereich Access Gateway and User Options unter Access Gateway Settings die Option Allow earlier versions of Access Gateway Plug-in. So lassen Sie Benutzeranmeldungen mit früheren Versionen des Plug-ins im Access Controller zu Wenn Sie Access Controller in Ihrer Bereitstellung verwenden, ist die Einstellung in der Access Gateway Management Console nicht verfügbar. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller-Server, den Sie konfigurieren möchten und klicken Sie dann auf Access Gateway-Geräte. 3. Klicken Sie unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 518 Zulassen von Benutzeranmeldungen mit früheren Versionen des Access Gateway Plug-ins 4. Klicken Sie im Dialogfeld Access Gateway-Geräte - globale Eigenschaften auf Eigenschaften von Plug-in und aktivieren Sie das Kontrollkästchen Vorherige Versionen von Access Gateway Plug-in zulassen. 5. Klicken Sie auf OK. 519 Überlegungen zur Webbrowsersicherheit Aktualisiert: 2012-05-03 Bestimmte benutzerdefinierte Sicherheitseinstellungen im Webbrowser können Benutzer am Zugriff auf Access Gateway hindern. Halten Sie sich daher an die nachstehend aufgeführten Richtlinien, um den Zugriff auf die entsprechenden Server innerhalb des Netzwerks für Benutzer sicherzustellen. Benutzer können nur mit Access Gateway auf Netzwerkressourcen zugreifen, wenn die folgenden Browsereinstellungen aktiviert sind: • Cookies: Access Gateway verwendet Sitzungscookies, die nicht auf der Festplatte gespeichert werden. Dritte haben daher keinen Zugriff auf die Cookies. Wenn Sitzungscookies nicht zugelassen werden, können keine Verbindungen zu Access Gateway hergestellt werden. Benutzer können sich nicht an Access Gateway anmelden, da für die Anmeldung ein Sitzungscookie erforderlich ist. • Dateidownload: Das Deaktivieren des Dateidownloads verhindert den Download von Dateien vom Unternehmensnetzwerk, den Start von Seamless-ICA-Sitzungen und den Zugriff auf interne Webserver außerhalb der Access-Serverfarm. • Skripting: Deaktivieren des aktiven Skripting führt dazu, dass nicht auf Access Gateway zugegriffen werden kann. Wenn Java-Applet-Skripting deaktiviert ist, können Benutzer keine veröffentlichten Anwendungen starten, die den Client für Java verwenden. Ändern Sie die Sicherheitseinstellungen nur für Zonen, die Ressourcen enthalten, auf die über Access Gateway zugegriffen wird. Wenn Sie den Intranetsites Ihres Unternehmens vollkommen vertrauen, können Sie die Sicherheitsstufe für die lokale Intranetzone auf Sehr niedrig einstellen. Wenn Sie den Intranetsites nicht uneingeschränkt vertrauen, setzen Sie die Sicherheitseinstellung für die lokale Intranetzone auf Niedrig oder Mittel. Hinweis: Wenn Sie Access Gateway mit Access Controller bereitstellen, müssen Benutzer die Access Gateway-Webadresse der Liste der vertrauenswürdigen Sites oder der Liste der lokalen Intranetsites in den Sicherheitseinstellungen von Internet Explorer hinzufügen, damit sich Anwendungen richtig neu verbinden können. Verschiedene, für die Verbindung mit Access Gateway erforderliche Browsersicherheitseinstellungen sind bei der Sicherheitseinstellung "Hoch" deaktiviert. Wenn die Sicherheitsstufe für die lokale Intranetzone auf Hoch eingestellt ist, passen Sie die Browsersicherheitseinstellungen wie im nächsten Abschnitt beschrieben an. Anpassen von Webbrowsersicherheitseinstellungen In der folgenden Tabelle finden Sie die zusätzlichen Internet Explorer-Browsersicherheitseinstellungen für die Bereitstellungsszenarios, die Clientsoftware erfordern. Die meisten dieser Einstellungen sind im Dialogfeld "Internetoptionen" auf der Registerkarte Sicherheit zu finden. 520 Überlegungen zur Webbrowsersicherheit Bereitstellungsszenario Endpoint Analysis Plug-in 521 Erforderliche Einstellungen • ActiveX-Steuerelemente und Plug-Ins ausführen (Aktivieren) • ActiveX-Steuerelemente ausführen, die für Skripting sicher sind (Aktivieren) • Dateidownload (Aktivieren) Citrix XenApp Web Plug-in (Version 11.0) • ActiveX-Steuerelemente und Plug-Ins ausführen (Aktivieren) Citrix Online Plug-ins (Version 11.2 oder höher) • ActiveX-Steuerelemente ausführen, die für Skripting sicher sind (Aktivieren) • Dateidownload (Aktivieren) • Verschlüsselte Seiten nicht auf der Festplatte speichern (Deaktivieren) Hinzufügen von Proxyservern für das Access Gateway Plug-in Wenn das Access Gateway Plug-in die Verbindung herstellt, wird das Betriebssystem auf dem Benutzergerät auf Clientproxyeinstellungen abgefragt, bevor Richtlinien von Access Gateway heruntergeladen werden. Wenn die automatische Erkennung im Plug-in aktiviert ist, ändert das Access Gateway Plug-in automatisch die Clientproxyeinstellungen zu denen des Betriebssystems. Benutzer können die automatische Erkennung der Proxyeinstellungen im Dialogfeld Access Gateway Plug-in-Optionen konfigurieren. Benutzer können einen Proxyserver auch manuell über das Access Gateway Plug-in konfigurieren. Wenn Benutzer den Proxyserver manuell konfigurieren, ist die automatische Erkennung der Proxyeinstellungen deaktiviert. Standardmäßig verwendet das Plug-in keinen Proxyserver. Hinweis: Während der Installation wird auf dem Benutzergerät die Installationsprotokolldatei cag_plugin.log im Verzeichnis %TEMP% angelegt. Sie können diese Protokolldatei bei der Behandlung von Installationsproblemen verwenden. So konfigurieren Sie einen Proxyserver manuell 1. Klicken Sie auf dem Benutzergerät auf Start > Alle Programme > Citrix > Citrix Access Clients > Citrix Access Gateway - Eigenschaften. 2. Aktivieren Sie im Dialogfeld Citrix Access Gateway-Optionen unter Proxyeinstellungen die Option Proxyserver manuell konfigurieren. 3. Geben Sie in IP-Adresse und Port die IP-Adresse und die Portnummer ein. 4. Wenn der Server eine Authentifizierung erfordert, wählen Sie Proxyserver erfordert Authentifizierung. 522 Integrieren von Access Gateway 5.0 mit XenApp und XenDesktop Wenn Sie ein Systemadministrator sind, der für das Installieren und Konfigurieren von Citrix Access Gateway verantwortlich ist, können Sie das Gerät für Citrix XenApp und Citrix XenDesktop konfigurieren. Dabei wird davon ausgegangen, dass Access Gateway mit einem vorhandenen Netzwerk verbunden ist und dass Sie Erfahrung beim Konfigurieren dieses Netzwerks haben. Um Benutzerverbindungen zu einer Serverfarm durch das Access Gateway zuzulassen, konfigurieren Sie Einstellungen im Webinterface und auf dem Access Gateway-Gerät. Bei den Konfigurationsschritten in diesem Abschnitt wird vorausgesetzt, dass Sie das Access Gateway als eigenständiges Gerät bereitgestellt haben und dass Benutzer eine direkte Verbindung zum Access Gateway herstellen. 523 Zugriff auf veröffentlichte Anwendungen und Desktops Eine Serverfarm besteht aus mindestens einem Computer, auf dem XenApp oder XenDesktop ausgeführt wird. Wenn es in Ihrem Unternehmensnetzwerk eine Serverfarm gibt, können Sie Access Gateway implementieren und so sicheren Internetzugang auf veröffentlichte Anwendungen oder Desktops bereitstellen. Bei solchen Implementierungen arbeitet Access Gateway mit dem Webinterface und der STA (Secure Ticket Authority) zusammen, um die Authentifizierung, Autorisierung sowie Umleitung auf veröffentlichte Ressourcen auf einem XenApp-Server oder auf Citrix XenDesktop bereitgestellte Desktops. Diese Funktionalität wird durch die Integration von Access Gateway-Komponenten mit dem Webinterface, XenApp oder XenDesktop erreicht. Diese Integration ermöglicht die erweiterte Authentifizierung und eine Zugriffssteuerung für das Webinterface. Weitere Informationen über das Webinterface finden Sie in der Webinterface-Dokumentation in den Citrix eDocs. Für die Remotekonnektivität zu einer Serverfarm ist das Access Gateway Plug-in nicht erforderlich. Um auf veröffentlichte Anwendungen und Desktops zuzugreifen, verwenden Benutzer die Online Plug-ins. Um auf veröffentlichte Desktops in XenDesktop 3.0 zuzugreifen, verwenden Benutzer Desktop Receiver. Wichtig: Die Installation von Desktop Receiver oder Desktop Receiver Embedded Edition auf dem gleichen Computer wie die Citrix Online Plug-ins wird nicht unterstützt. Wenn Ihre Benutzer von demselben Computer auf veröffentlichte Desktops und Anwendungen zugreifen können sollen, empfiehlt Citrix, die Citrix Online Plug-ins auf den veröffentlichten Desktops zu installieren, die Sie mit XenDesktop erstellen. So können auf den veröffentlichten Desktops veröffentlichte Anwendungen verwendet werden. 524 Integrieren von Access Gateway mit XenApp oder XenDesktop Wenn Sie Access Gateway für Benutzerverbindungen konfigurieren, können Sie Einstellungen konfigurieren, um den Netzwerkverkehr an XenApp, XenDesktop oder beide zu leiten. Dafür konfigurieren Sie Access Gateway und das Webinterface für die Kommunikation untereinander. Für die Integration dieser drei Produkte sind u. a. die folgenden Aufgaben durchzuführen: • Erstellen einer Webinterface-Site in der XenApp- oder XenDesktop-Farm • Konfigurieren des Webinterface, damit Benutzerverbindungen durch Access Gateway geleitet werden • Konfigurieren von Access Gateway oder Access Controller für die Kommunikation mit dem Webinterface und der STA (Secure Ticket Authority) Access Gateway und das Webinterface verwenden die STA und den Citrix XML-Dienst, um Benutzerverbindungen aufzubauen. Die STA und der XML-Dienst werden auf dem XenAppoder XenDesktop-Server ausgeführt. 525 Herstellen einer sicheren Verbindung zur Serverfarm Das folgende Beispiel zeigt, wie ein in der DMZ bereitgestelltes Access Gateway in Zusammenarbeit mit dem Webinterface einen sicheren, zentralen Zugriffspunkt auf die veröffentlichten Ressourcen in einem sicheren Unternehmensnetzwerk bildet. In diesem Beispiel gelten die folgenden Bedingungen: • Benutzergeräte stellen die Verbindung zum Access Gateway über das Internet mit Citrix Online Plug-ins oder Desktop Receiver her. Hinweis: Mit Citrix XenDesktop 4.0 verwenden Sie Citrix Online Plug-ins, die in XenDesktop Version 3.0 Desktop Receiver hießen. • Das Webinterface ist hinter dem Access Gateway im gesicherten Netzwerk. Das Benutzergerät stellt die anfängliche Verbindung mit Access Gateway her und die Verbindung wird an das Webinterface weitergeleitet. • Das gesicherte Netzwerk enthält eine Serverfarm. Server in dieser Serverfarm führen die STA (Secure Ticket Authority) und den Citrix XML-Dienst aus. Die STA und der XML-Dienst können von XenApp- oder XenDesktop ausgeführt werden. Die folgende Abbildung zeigt eine Bereitstellung des Access Gateway-Geräts, bei der das Webinterface hinter dem Gerät in der DMZ installiert und die Serverfarm im gesicherten Netzwerk ist. Abbildung 1. Access Gateway mit dem Webinterface in der DMZ bereitgestellt und die Serverfarm im gesicherten Netzwerk 526 Herstellen einer sicheren Verbindung zur Serverfarm 527 Herstellen einer sicheren Verbindung zur Serverfarm Überblick: Benutzer greifen auf die veröffentlichten Ressourcen in der Serverfarm zu 1. Remotebenutzer geben die Adresse des Access Gateways in einem Webbrowser ein, z. B. https://www.ag.firmenname.com. Das Benutzergerät versucht, diese SSL-Verbindung auf Port 443 herzustellen. Dieser Port muss in Firewalls geöffnet sein, damit dieser Verbindungsversuch erfolgreich ist. 2. Access Gateway erhält die Verbindungsanfrage und Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben. Die Anmeldeinformationen gehen zurück durch Access Gateway, die Benutzer werden authentifiziert und die Verbindung wird an das Webinterface weiter gegeben. 3. Das Webinterface sendet die Anmeldeinformationen des Benutzers an den XML-Dienst, der in der Serverfarm ausgeführt wird. 4. Der XML-Dienst authentifiziert die Anmeldeinformationen und sendet eine Liste der veröffentlichten Anwendungen oder Desktops, auf die der Benutzer zugreifen darf, an das Webinterface. 5. Im Webinterface wird auf einer Webseite die Liste der für den jeweiligen Benutzer zugänglichen veröffentlichten Ressourcen (Anwendungen oder Desktops) angezeigt; diese Webseite wird dann an die Benutzer gesendet. 6. Der Benutzer klickt auf den Link für eine veröffentlichte Anwendung oder einen veröffentlichten Desktop. An das Webinterface wird eine HTTP-Anforderung gesendet, aus der die veröffentlichte Ressource hervorgeht, auf der Benutzer geklickt hat. 7. Das Webinterface interagiert mit dem XML-Dienst und empfängt ein Ticket, in dem der Server vermerkt ist, auf dem die veröffentlichte Ressource ausgeführt werden soll. 8. Das Webinterface sendet eine Sitzungsticketanforderung an die Secure Ticket Authority. Diese Anforderung enthält die IP-Adresse des Servers, auf dem die veröffentlichte Ressource ausgeführt wird. Die Secure Ticket Authority speichert diese IP-Adresse und sendet das angeforderte Sitzungsticket an das Webinterface. 9. Das Webinterface generiert eine ICA-Datei mit dem von der Secure Ticket Authority ausgestellten Ticket und sendet diese Datei an den Webbrowser auf dem Benutzergerät. Die vom Webinterface generierte ICA-Datei enthält den vollqualifizierten Domänennamen (FQDN) oder den DNS-Namen des Access Gateways. Hinweis: Die IP-Adresse des Servers, auf dem die angeforderte Ressource ausgeführt wird, ist dabei den Benutzern nicht bekannt. 10. Die ICA-Datei enthält Daten, die den Webbrowser anweisen, die Online Plug-ins zu starten. Das Benutzergerät stellt über den in der ICA-Datei aufgeführten vollqualifizierten Domänennamen oder DNS-Namen des Access Gateways eine Verbindung zum Access Gateway her. Es kommt zum ersten SSL/TLS-Handshake, mit dem die Identität des Access Gateways ermittelt wird. 11. Das Benutzergerät sendet das Sitzungsticket an das Access Gateway und das Access Gateway wendet sich zur Überprüfung des Tickets an die Secure Ticket Authority. 528 Herstellen einer sicheren Verbindung zur Serverfarm 12. Die Secure Ticket Authority gibt die IP-Adresse des Servers, auf dem die angeforderte Anwendung ausgeführt wird, an Access Gateway zurück. 13. Access Gateway stellt eine TCP-Verbindung zum Server her. 14. Access Gateway schließt den Verbindungshandshake mit dem Benutzergerät ab und signalisiert dem Benutzergerät, dass die Verbindung zum Server nun aufgebaut ist. Der gesamte weitere Datenverkehr zwischen dem Benutzergerät und dem Server wird einfach per Proxy durch das Access Gateway geleitet. Der Datenverkehr zwischen dem Benutzergerät und dem Access Gateway ist verschlüsselt. 529 Einrichten einer Webinterface-Site für Access Gateway Das Webinterface bietet Benutzern Zugriff auf veröffentlichte XenApp-Anwendungen und veröffentlichte XenDesktop-Desktops. Benutzer greifen auf die veröffentlichten Anwendungen und Desktops über einen Standardwebbrowser oder die Citrix Online Plug-ins zu. Sie können auf Windows-basierten Plattformen erstellte Webinterface-Sites mit der Access Management Console in XenApp 5.0 und Webinterface 5.1 konfigurieren. Für Webinterface 5.2, 5.3 und 5.4 verwenden Sie die Citrix Webinterface Management Console zum Konfigurieren von Sites. Sie können die Access Management Console und die Webinterface Management Console nur auf Windows-basierten Plattformen installieren. Hinweis: Die Access Management Console, die Webinterface Management Console und die Delivery Services Console können auf dem gleichen Computer sein. Um das Webinterface für die Verwendung mit Access Gateway zu konfigurieren, erstellen Sie die Webinterface-Site, konfigurieren die Einstellungen im Webinterface und konfigurieren dann Access Gateway. 530 Webinterface-Funktionen Bevor Sie das Webinterface für Access Gateway konfigurieren, müssen Sie die Features des Webinterface verstehen, sowie die Unterschiede zwischen den folgenden Optionen: XenApp-Websites Das Webinterface bietet die Funktionalität, XenApp-Websites zu erstellen und zu verwalten. Benutzer greifen auf veröffentlichte Ressourcen und gestreamte Anwendungen remote über einen Webbrowser und ein Plug-in zu. XenApp Services-Sites Das Plug-in wurde im Hinblick auf Flexibilität und leichte Konfigurierbarkeit entwickelt wurde. Wenn Sie XenApp zusammen mit XenApp Services-Sites im Webinterface verwenden, können Sie veröffentlichte Ressourcen in Benutzerdesktops integrieren. Benutzer klicken auf Symbole auf ihren Desktops oder im Startmenü oder sie klicken im Infobereich auf ihrem Desktop, um auf remote oder gestreamte Anwendungen zuzugreifen und remote Desktops und Inhalte. Sie können die Konfigurationseinstellungen festlegen, auf die Benutzer zugreifen können und die sie ändern können, wie zum Beispiel Audio-, Darstellungs- und Anmeldungseinstellungen. Zugriff auf veröffentlichte Desktops wird nicht unterstützt, wenn Sie das Webinterface mit XenApp- und XenApp Services-Sites konfigurieren. Weitere Informationen über das Webinterface finden Sie in der Webinterface-Dokumentation im Knoten Technologien in den Citrix eDocs. 531 Einrichten einer Webinterface-Site Installieren und konfigurieren Sie das Webinterface, bevor Sie Access Gateway installieren. Weitere Informationen finden Sie in der Webinterface-Dokumentation im Bereich Technologien in den Citrix eDocs. Wenn das Webinterface im gesicherten Netzwerk bereitgestellt und die Authentifizierung für Access Gateway konfiguriert ist, geschieht die Authentifizierung beim Anmelden der Benutzer am Access Gateway auf dem Gerät. Zum Einrichten einer Webinterface-Site gehören folgende Schritte: • • Wählen, wie Benutzer sich anmelden: Benutzer können sich über einen Webbrowser, das Access Gateway Plug-in, Online Plug-ins oder Citrix Receiver anmelden. Sie können das Webinterface auf folgende Weise für die Zusammenarbeit mit Access Gateway konfigurieren: • Erstellen und verwalten Sie XenApp-Websites, auf denen Benutzer mit einem Webbrowser und Online Plug-ins remote auf veröffentlichte Ressourcen zugreifen. • Verwenden Sie XenApp zusammen mit XenApp Services-Sites im Webinterface, um veröffentlichte Anwendungen in Benutzerdesktops zu integrieren. Hinweis: Zugriff auf veröffentlichte Desktops wird nicht unterstützt, wenn Sie das Webinterface mit XenApp Services-Sites konfigurieren. Um eine XenApp Services-Site zu verwenden, müssen Sie mindestens Access Gateway 5.0.2 ausführen. Sie können eine XenApp Services-Site auch mit neueren Versionen von Access Gateway verwenden. Angeben, wo Benutzer authentifiziert werden: Access Gateway oder Webinterface. Hinweis: Wenn Sie das Webinterface im gesicherten Netzwerk installieren, empfiehlt Citrix, dass das Access Gateway den Netzwerkverkehr authentifiziert, bevor die Anforderung an das Webinterface gesendet wird. Nicht authentifizierter Netzwerkverkehr sollte innerhalb des gesicherten Netzwerks nicht an das Webinterface gesendet werden dürfen. Stellen Sie sicher, dass Sie ein entsprechendes Stammzertifikat auf dem Access Gateway installieren. Weitere Informationen zum Arbeiten mit Zertifikaten finden Sie unter Installieren und Verwalten von Zertifikaten. Wichtig: Damit das Webinterface korrekt mit dem Access Gateway funktioniert, muss der Webinterface-Server dem Access Gateway vertrauen und den vollqualifizierten Domänennamen (FQDN) in die korrekte IP-Adresse auflösen können. 532 Wählen der Zugriffsmethode Wenn Sie die Einstellungen in XenApp oder XenDesktop konfigurieren, müssen Sie eine der folgenden die Zugriffsmethoden wählen. Diese Einstellungen bestimmen, wie Benutzer sich mit einer Serverfarm verbinden. Weitere Informationen finden Sie in der Webinterface-Dokumentation im Bereich Technologien in den Citrix eDocs. Hinweis: Access Gateway 5.0 unterstützt "Gateway direkt" und "Gateway alternativ" nur, wenn Sie Access Controller in der Access Gateway-Bereitstellung verwenden. • Direkt: Das Online Plug-in stellt die Verbindung zu der tatsächlichen IP-Adresse des XenApp-Servers her. Verwenden Sie diese Methode, wenn Benutzer sich vom LAN aus verbinden oder wenn Benutzer eine Verbindung mit dem Access Gateway Plug-in hergestellt haben. • Alternativ: Diese Methode funktioniert genauso wie "Direkt", außer dass Benutzer sich mit einer alternativen IP-Adresse statt mit der tatsächlichen IP-Adresse des XenApp-Servers verbinden. Die alternative IP-Adresse wird für jeden XenApp-Server mit dem XenApp-Befehl ALTADDR festgelegt. • Übersetzt: Diese Methode funktioniert genauso wie "Alternativ", außer dass die alternative Adresse für jeden XenApp-Server in der Webinterface-Konfiguration definiert wird und nicht durch Ausführen von ALTADDR auf jedem XenApp-Server. • Gateway direkt: Das Online Plug-in initiiert eine SSL-Verbindung zum FQDN des Access Gateways, das die SSL-Verbindung beendet und eine ICA-Verbindung zur tatsächlichen Adresse des XenApp-Zielservers herstellt. Diese Methode verwendet die Secure Ticket Authority (STA), um eingehende Verbindungen zu validieren. Sie wird verwendet, wenn Benutzer nicht im LAN sind und keine Verbindung mit dem Access Gateway Plug-in hergestellt haben. Das Access Gateway Plug-in ist für diesen Verbindungstyp nicht erforderlich, kann aber verwendet werden. Hinweis: Wenn Benutzer sich über das Access Gateway mit einer Serverfarm verbinden, empfiehlt Citrix, die Option "Gateway direkt" zu verwenden. 533 • Gateway alternativ: Diese Methode funktioniert genauso wie "Gateway direkt", außer dass das Access Gateway die Verbindung mit der alternativen Adresse des XenApp-Server herstellt, die mit ALTADDR festgelegt wurde. • Gateway übersetzt: Diese Methode funktioniert genauso wie "Gateway alternativ", außer dass das Access Gateway die Verbindung mit der alternativen Adresse des XenApp-Servers herstellt, die mit der Webinterface-Konfiguration festgelegt wurde. Erstellen einer Webinterface-Site in XenApp 5.0 Wenn Sie eine Webinterface-Site erstellen, können Sie Benutzeranmeldungen über den Webbrowser oder über Citrix Online Plug-ins konfigurieren. Verwenden Sie das folgende Verfahren, um mit der Access Management Console mehrere Webinterface-Sites zu erstellen. 1. Klicken Sie Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. Konfigurieren die Discovery und führen Sie sie aus, wenn Sie dazu aufgefordert werden. 2. Klicken Sie unter Citrix Ressourcen > Konfigurationstools auf Webinterface und klicken Sie dann unter Häufige Aufgaben auf Site erstellen. 3. Wählen Sie eine der folgenden Optionen und klicken Sie auf Weiter: • XenApp Web: Benutzer melden sich über einen Webbrowser am Webinterface an. • XenApp Services: Benutzer melden sich mit den Online Plug-ins an. Hinweis: Wenn Sie XenApp Services wählen, brauchen Sie die Schritte 5 und 6 nicht durchführen. 4. Übernehmen Sie die Standardeinstellungen für IIS-Site und Pfad. Wenn Sie in Schritt 3 XenApp Web gewählt haben, ist der Sitepfad /Citrix/XenApp. Gehen Sie zu Schritt 5. Wenn Sie XenApp Services gewählt haben, ist der Sitepfad /Citrix/PNAgent. Klicken Sie auf Weiter, um den Vorgang abzuschließen. Hinweis: Wenn es bereits Sites für XenApp Web oder XenApp Services gibt, die den Standardpfad verwenden, wird der neuen Site das entsprechende Inkrement hinzugefügt. 5. Wählen Sie unter Legen sie fest, wo die Authentifizierung stattfindet eine der folgenden Optionen: • Webinterface, damit Benutzer sich über das Webinterface authentifizieren. Wählen Sie diese Option, wenn das Webinterface auf einem separaten Server parallel zum Access Gateway in der DMZ bereitgestellt wird. • Access Gateway, damit Benutzer sich über das Access Gateway-Gerät authentifizieren. Wenn Sie diese Option wählen, werden Benutzer von Access Gateway authentifiziert und Single Sign-On zum Webinterface initiiert, wenn es auf dem Gerät konfiguriert ist. 534 Erstellen einer Webinterface-Site in XenApp 5.0 6. Wenn Sie in Schritt 5 Access Gateway gewählt haben, geben Sie in das Feld Authentifizierungsdienst-URL die Webadresse für den Access Gateway-Authentifizierungsdienst an, z. B. https://access.company.com/CitrixAuthService/AuthService.asmx, und klicken Sie auf Weiter. Hinweis: Wenn Sie in Schritt 5 Webinterface angegeben haben, entfällt Schritt 6. Wenn Access Controller in Ihre Access Gateway-Bereitstellung verwenden, geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Access Controller-Servers an. Es wird eine Zusammenfassung Ihrer Einstellungen angezeigt. Klicken Sie auf Weiter, damit die Webinterface-Site erstellt wird. Wenn die Site erfolgreich erstellt wurde, werden Sie von der Access Management Console aufgefordert, die restlichen Einstellungen im Webinterface zu konfigurieren. Folgen Sie den Anweisungen im Assistenten, um die Konfiguration abzuschließen. 535 So konfigurieren Sie Access Gateway-Einstellungen für das Webinterface in XenApp 5.0 Nachdem Sie die Webinterface-Site erstellt haben, können Sie mit der Access Management Console die Einstellungen für Access Gateway konfigurieren. 1. Klicken Sie Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Klicken Sie links in der Access Management Console auf Citrix Ressourcen > Konfigurationstools > Webinterface und klicken Sie dann auf die Webinterface-Site. 3. Klicken Sie unter Häufige Aufgaben auf Sicheren Clientzugriff verwalten und dann auf Gateway-Einstellungen bearbeiten. 4. Wählen Sie unter Zugriffsmethode angeben den Standardeintrag und klicken Sie auf Bearbeiten. 5. Wählen Sie unter Zugriffsmethode die Option Gateway: direkt, klicken Sie auf OK und dann auf Weiter. 6. Geben Sie unter Adresse (FQDN) den vollqualifizierten Domänennamen (FQDN) des Access Gateways ein. Dieser muss mit dem im Access Gateway-Zertifikat verwendeten FQDN identisch sein. 7. Geben Sie im Feld Port die Portnummer ein. Der Standardwert ist 443. 8. Wählen Sie ggf. Sitzungszuverlässigkeit aktivieren und klicken Sie dann auf Weiter. 9. Klicken Sie unter Secure Ticket Authority-URLs auf Hinzufügen. 10. Geben Sie im Dialogfeld Secure Ticket Authority-URL den Namen des primären Servers an, auf dem der XML-Dienst für XenApp ausgeführt wird. Klicken Sie anschließend auf OK und dann auf Fertig stellen. Beispiel: http://xenappsrv01/Scripts/CtxSta.dll. Nachdem Sie die Einstellungen im Webinterface konfiguriert haben, konfigurieren Sie Access Gateway. Weitere Informationen finden Sie unter Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface. 536 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.2 Sie können Webinterface 5.2 so konfigurieren, dass Verbindungen vom Access Gateway angenommen werden. Außerdem unterstützt Webinterface 5.2 die STA-Redundanz (Secure Ticket Authority). Verwenden Sie zum Konfigurieren des Webinterface Sicherer Zugriff in der Webinterface Management Console. Wenn Sie diesen Vorgang abgeschlossen haben, ist das Webinterface für die Verwendung mit Access Gateway konfiguriert und die STA-Redundanz ist ebenfalls aktiviert. Diese Anleitung setzt voraus, dass Sie das Webinterface installiert und in Ihrem Netzwerk konfiguriert haben. 537 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.2 So konfigurieren Sie Access Gateway-Einstellungen in Webinterface 5.2 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Webinterface-Verwaltung. 2. Klicken Sie im Navigationsbereich der Webinterface Management Console auf XenApp Web-Sites oder auf XenApp Services-Sites. 3. Wählen Sie im mittleren Bereich die Webinterface-Site aus. 4. Klicken Sie im rechten Bereich unter Einstellungen bearbeiten auf Sicherer Zugriff. 5. Wählen Sie auf der Seite Zugriffsmethoden angeben den unter Clientadressen (in dieser Reihenfolge) ein Element aus der Liste und klicken Sie auf Bearbeiten. 6. Wählen Sie unter Zugriffsmethode die Option Gateway: direkt, klicken Sie auf OK und dann auf Weiter. 7. Geben Sie auf der Seite Gateway-Einstellungen angeben in das Feld Adresse (FQDN) den vollqualifizierten Domänennamen (FQDN) des Access Gateways ein. Dieser muss mit dem im Access Gateway-Zertifikat verwendeten FQDN identisch sein. 8. Geben Sie im Feld Port die Portnummer ein. Der Standardwert ist 443. 9. Klicken Sie auf Sitzungszuverlässigkeit aktivieren und Zwei Tickets verwenden klicken Sie dann auf Weiter. Wenn beide Kontrollkästchen aktiviert sind, sind Sitzungszuverlässigkeit und die STA-Redundanz aktiviert. Das Webinterface ruf Tickets von zwei verschiedenen STAs ab, damit Benutzersitzungen nicht unterbrochen werden, wenn eine STA ausfällt. Wenn das Webinterface keine Verbindung zu zwei STAs herstellen kann, wird automatisch nur eine STA verwendet. Hinweis: Sie müssen die Sitzungszuverlässigkeit aktivieren, um die STA-Redundanz zu konfigurieren. 10. Klicken Sie auf der Seite Secure Ticket Authority-Einstellungen angeben auf Hinzufügen. 11. Geben Sie im Dialogfeld Secure Ticket Authority hinzufügen in das Feld Secure Ticket Authority-URL die Webadresse der STA ein, z. B. http[s]://Servername.Domäne.com/scripts/ctxsta.dll und klicken Sie auf OK 12. Wiederholen Sie Schritte 10 und 11 für jeden STA-Server, den Sie hinzufügen möchten. 13. Klicken Sie auf Für Load Balancing verwenden. Wenn Sie Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, sodass kein einzelner Server überlastet wird. 14. Klicken Sie auf Ausgefallene Server umgehen und wählen Sie die Zeitspanne. 538 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.2 Wenn eine STA nicht kontaktiert werden kann, gibt diese Einstellung die Zeitdauer an, für die STAs umgangen werden sollen. Das Webinterface bietet Fehlertoleranz zwischen den Servern in der Liste Secure Ticket Authority-URLs, sodass im Fall eines Kommunikationsfehlers der ausgefallene Server während der angegebenen Zeitspanne umgangen wird. Hinweis: Wenn diese Einstellung aktiviert ist, funktioniert die ST-Redundanz möglicherweise nicht. 15. Klicken Sie auf Fertig stellen. Nachdem Sie die Einstellungen im Webinterface konfiguriert haben, konfigurieren Sie Access Gateway. Weitere Informationen finden Sie unter Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface. 539 Erstellen einer Webinterface 5.3-Site Aktualisiert: 2012-05-03 Wenn Sie eine Webinterface 5.3 -Site erstellen, können Sie Benutzeranmeldungen über den Webbrowser oder über Citrix Online Plug-ins konfigurieren. Verwenden Sie das folgende Verfahren, um mit der Webinterface Management Console mehrere Webinterface-Sites zu erstellen. Version 5.3 des Webinterface kann unter XenApp 5.0 und 6.0 sowie XenDesktop 4.0 ausgeführt werden. Webinterface 5.3 kann auf den folgenden Betriebssystemen ausgeführt werden: • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2003 Hinweis: XenApp 6.0 kann nur unter Windows Server 2008 R2 ausgeführt werden. 540 Erstellen einer Webinterface 5.3-Site So erstellen Sie eine Webinterface 5.3-Site 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Webinterface-Verwaltung. 2. Wählen Sie im linken Bereich die XenApp Web-Sites aus. Benutzer melden sich über einen Webbrowser am Webinterface an. 3. Klicken Sie im Menü Aktionen auf Site erstellen. 4. Übernehmen Sie die Standardvorgaben für IIS-Site (Standardwebsite) und Pfad und klicken Sie auf Weiter. Der Standardpfad für die Site ist /Citrix/XenApp oder Sie können einen anderen Sitepfad angeben. Hinweis: Wenn es bereits Sites für XenApp Web-Sites gibt, die den Standardpfad verwenden, wird der neuen Site das entsprechende Inkrement hinzugefügt. 5. Wählen Sie unter Legen sie fest, wo die Authentifizierung stattfindet eine der folgenden Optionen: • Webinterface, damit Benutzer sich über das Webinterface authentifizieren. Wählen Sie diese Option, wenn das Webinterface auf einem separaten Server parallel zum Access Gateway in der DMZ bereitgestellt wird. • Access Gateway, damit Benutzer sich über das Access Gateway-Gerät authentifizieren. Wenn Sie diese Option wählen, werden Benutzer von Access Gateway authentifiziert und Single Sign-On zum Webinterface initiiert, wenn es auf dem Gerät konfiguriert ist. 6. Klicken Sie auf Weiter. 7. Wenn Sie in Schritt 5 Access Gateway gewählt haben, geben Sie in das Feld Authentifizierungsdienst-URL die Webadresse für den Access Gateway-Authentifizierungsdienst an, z. B. https://access.company.com/CitrixAuthService/AuthService.asmx, und klicken Sie auf Weiter. 8. Wählen Sie unter Authentifizierungsoptionen die Einstellung Explizit. Wenn Sie Explizit wählen, melden sich Benutzer über einen Webbrowser an. Hinweis: Smartcard-Authentifizierung wird nicht in Access Gateway 5.0 unterstützt. 9. Klicken Sie auf Weiter. Es wird eine Zusammenfassung Ihrer Einstellungen angezeigt. 10. Klicken Sie auf Weiter, damit die Webinterface-Site erstellt wird. Sie erhalten eine Fortschrittsanzeige für die Siteerstellung. 11. Klicken Sie auf Diese Site jetzt konfigurieren und folgen Sie dem Assistenten, um die Site zu konfigurieren. 541 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.3 Nachdem Sie die Webinterface-Site erstellt haben, können Sie mit der Webinterface Management Console die Einstellungen für das Access Gateway konfigurieren. 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Webinterface-Verwaltung. 2. Klicken Sie im linken Bereich der Citrix Webinterface-Verwaltung auf XenApp Web-Sites. 3. Klicken Sie im mittleren Bereich auf eine XenApp Web-Site. 4. Klicken Sie im Bereich Aktionen auf Sicherer Zugriff. 5. Klicken Sie im Dialogfeld Einstellungen für sicheren Zugriff bearbeiten auf Hinzufügen. 6. Geben Sie im Dialogfeld Zugriffsroute hinzufügen die IP-Adresse und die Subnetzmaske ein. 7. Wählen Sie unter Zugriffsmethode die Option Gateway: direkt, klicken Sie auf OK und dann auf Weiter. 8. Geben Sie unter Adresse (FQDN) den vollqualifizierten Domänennamen (FQDN) des Access Gateways ein. Dieser muss mit dem im Access Gateway-Zertifikat verwendeten FQDN identisch sein. 9. Geben Sie im Feld Port die Portnummer ein. Der Standardwert ist 443. 10. Klicken Sie auf Sitzungszuverlässigkeit aktivieren und Tickets von zwei STAs anfordern (wenn verfügbar) und klicken Sie dann auf Weiter. Wenn beide Kontrollkästchen aktiviert sind, ist Sitzungszuverlässigkeit und die STA-Redundanz aktiviert. Das Webinterface ruf Tickets von zwei verschiedenen STAs ab, damit Benutzersitzungen nicht unterbrochen werden, wenn eine STA ausfällt. Wenn das Webinterface keine Verbindung zu zwei STAs herstellen kann, wird automatisch nur eine STA verwendet. Hinweis: Sie müssen die Sitzungszuverlässigkeit aktivieren, um die STA-Redundanz zu konfigurieren. 11. Klicken Sie unter Secure Ticket Authority-URLs auf Hinzufügen. 12. Geben Sie im Dialogfeld Secure Ticket Authority-URL hinzufügen in das Feld Secure Ticket Authority-URLs den Namen des Masterservers ein, auf dem der XML-Dienst unter XenApp ausgeführt wird, und klicken Sie auf OK und dann auf Fertig stellen. Beispiel: 542 Konfigurieren von Access Gateway-Einstellungen in Webinterface 5.3 http://xenappsrv01/Scripts/CtxSta.dll. 13. Wiederholen Sie Schritte 10 und 11 für jeden STA-Server, den Sie hinzufügen möchten. 14. Klicken Sie auf Für Load Balancing verwenden. Wenn Sie Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, sodass kein einzelner Server überlastet wird. 15. Klicken Sie auf Ausgefallene Server umgehen und wählen Sie die Zeitspanne. Wenn eine STA nicht kontaktiert werden kann, ist dies die Zeitdauer, für die STAs umgangen werden sollen Das Webinterface bietet Fehlertoleranz zwischen den Servern in der Liste Secure Ticket Authority-URLs, sodass im Fall eines Kommunikationsfehlers der ausgefallene Server während der angegebenen Zeitspanne umgangen wird. Hinweis: Wenn diese Einstellung aktiviert ist, funktioniert die ST-Redundanz möglicherweise nicht. 16. Klicken Sie auf Fertig stellen. Nachdem Sie die Einstellungen im Webinterface konfiguriert haben, konfigurieren Sie Access Gateway. Weitere Informationen finden Sie unter Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface. 543 Hinzufügen von XenApp und XenDesktop zu einer einzelnen Site Wenn Sie XenApp und XenDesktop verwenden, können Sie beide Anwendungen einer einzigen Webinterface-Site hinzufügen. Bei dieser Konfiguration können Sie die gleiche Secure Ticket Authority (STA) für den XenApp-Server und Desktop Delivery Controller verwenden. Hinweis: XenDesktop unterstützt Webinterface 5.0, Webinterface 5.2 und Webinterface 5.3. Wenn Sie Webinterface 5.0 oder 5.1 verwenden, kombinieren Sie die XenApp- und XenDesktop-Sites in der Access Management Console. Wenn Sie Webinterface 5.2, 5.3 oder 5.4 verwenden, kombinieren Sie die XenApp- und XenDesktop-Sites in der Webinterface Management Console. Hinweis: Wenn die Serverfarmen in unterschiedlichen Domänen sind, müssen Sie eine bidirektionale Vertrauensstellung zwischen den Domänen einrichten. So fügen Sie XenApp oder XenDesktop mit Webinterface 5.0 oder 5.1 einer einzelnen Website hinzu 1. Klicken Sie Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Erweitern Sie Citrix Ressourcen > Konfigurationstools > Webinterface. 3. Klicken Sie auf eine Webinterface-Site und wählen Sie unter Häufige Aufgaben die Option Serverfarmen verwalten. 4. Klicken Sie im Dialogfeld Serverfarmen verwalten auf Hinzufügen. 5. Füllen Sie die Einstellungen für die Serverfarm aus und klicken Sie dann zweimal auf OK. 544 Hinzufügen von XenApp und XenDesktop zu einer einzelnen Site So fügen Sie XenApp oder XenDesktop mit Webinterface 5.2 oder 5.3 einer einzelnen Website hinzu 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Webinterface-Verwaltung. 2. Wählen Sie im linken Bereich die XenApp Web-Sites aus. 3. Klicken Sie im Bereich Aktion auf eine Site und klicken Sie dann auf Serverfarmen. 4. Klicken Sie im Dialogfeld Serverfarmen verwalten auf Hinzufügen. 5. Füllen Sie die Einstellungen für die Serverfarm aus und klicken Sie dann zweimal auf OK. Die beste Erfahrung mit XenDesktop haben Sie, wenn Sie in der Konfigurationsdatei WebInterface.conf die Einstellung UserInterfaceBranding in Desktops ändern. 545 Erstellen von Benutzerverbindungen durch Access Gateway zu XenApp 5.0 In XenApp 5.0 und XenDesktop 4.0 können Sie die Server so konfigurieren, dass nur Verbindungen durch Access Gateway angenommen werden. Sie ändern in der Access Management Console die Servereigenschaften für XenApp und Desktop Delivery Controller. Hinweis: Dieses Verfahren funktioniert nur, wenn Sie das Access Gateway-Gerät zusammen mit Citrix Access Controller bereitstellen. 1. Klicken Sie Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Führen Sie einen der folgenden Schritte aus: Erweitern Sie in Desktop Delivery Controller Citrix Resources > Desktop Delivery Controller und klicken Sie auf eine Serverfarm. • In XenApp 5.0 erweitern Sie Citrix Ressourcen > XenApp und klicken dann auf eine Serverfarm. 3. Klicken Sie unter Häufige Aufgaben auf Farmeigenschaften ändern und klicken Sie dann auf Alle Eigenschaften ändern. • 4. Klicken Sie im Eigenschaften-Dialogfeld der Farm unter Eigenschaften > Farmweit auf Verbindungszugriffssteuerungen. 5. Klicken Sie auf Nur Citrix Access Gateway-Verbindungen und anschließend auf OK. 546 Erstellen von Benutzerverbindungen zu XenApp 6 oder XenDesktop 5 In XenApp 6 oder XenDesktop 5 können Sie den Server so konfigurieren, dass nur Verbindungen akzeptiert werden, die über Access Gateway geleitet wurden. Sie konfigurieren Filter in der XenApp Delivery Services Console oder in Desktop Studio, die auf Access Gateway verweisen. Sie können eine Richtlinie erstellen, die auf Access Gateway-Verbindungen bzw. auf Access Gateway-Verbindungen mit bestimmten Eigenschaften angewendet wird. Sie können Citrix XenApp 6-Richtlinien erstellen, die unterschiedliche Zugriffsszenarios berücksichtigen, abhängig von Faktoren wie Authentifizierungstyp, Anmeldepunkt und Benutzergerätinformationen, wie Endpoint Analysis. In XenApp können Sie je nach Anmeldepunkt, der für den Zugriff auf die veröffentlichte Anwendung verwendet wird, die clientseitige Laufwerkszuordnung, die Zwischenablage und das lokale Drucken aktivieren. Voraussetzungen für das Filtern von Access Gateway-Verbindungen Damit Citrix XenApp oder XenDesktop anhand von Access Gateway-Verbindungen filtert, müssen Sie im Access Gateway die folgenden Schritte abschließen: • Erstellen Sie einen SmartAccess-Anmeldepunkt. Weitere Informationen finden Sie unter So konfigurieren Sie einen SmartAccess-Anmeldepunkt auf dem Access Gateway. • Wählen Sie den Access Gateway-Clusternamen und die Zugriffsbedingung. • Stellen Sie sicher, dass die Serverfarm so konfiguriert ist, dass Verbindungen von Access Gateway zugelassen sind. Dies ist die Standardeinstellung. • Erstellen Sie eine Computerrichtlinie in XenApp, in der die Richtlinieneinstellung XML-Anfragen vertrauen aktiviert ist. • Verwenden Sie PowerShell, um einen Befehl zu erstellen, der die Richtlinie Trust XML requests in XenDesktop aktiviert. • Erstellen Sie eine Benutzerrichtlinie in XenApp und XenDesktop, die einen Filter enthält, der auf Access Gateway-Filter verweist. Über die Konfiguration dieser Einstellungen finden Sie in diesem Bereich weitere Abschnitte. 547 So erstellen Sie einen XenApp 6.0-Richtlinienfilter für Access Gateway-Verbindungen 1. Klicken Sie auf dem XenApp-Server auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Delivery Services Console. 2. Klicken Sie im linken Bereich auf Richtlinien. 3. Klicken Sie im mittleren Bereich auf Benutzer. 4. Klicken Sie unter Citrix Benutzerrichtlinien auf Neu. 5. Geben Sie auf der Seite Richtlinie benennen in die Felder Name und Beschreibung den Namen der Richtlinie und eine Beschreibung ein. 6. Klicken Sie zwei Mal auf Next. 7. Klicken Sie im Filterdialogfeld unter Filter auf Zugriffssteuerung und klicken Sie auf Hinzufügen. 8. Klicken Sie im Dialogfeld Neuer Zugriffssteuerungsfilter auf Hinzufügen. 9. Wählen Sie im Dialogfeld Neues 'Zugriffssteuerung'-Filterelement unter Verbindungstyp die Option Mit Access Gateway. Um die Richtlinie auf Verbindungen anzuwenden, die über Access Gateway hergestellt wurden, ohne dabei Access Gateway-Richtlinien zu berücksichtigen, übernehmen Sie die Standardvorgaben für die Felder AG-Farmname und Zugriffsbedingung. 10. Wenn Sie Access Controller verwenden und die Richtlinie auf Verbindungen durch das Access Gateway anhand von Access Controller-Richtlinien anwenden möchten: a. Geben Sie unter AG farm name den Namen des Access Controller-Clusters ein. b. Geben Sie unter Zugriffsbedingung den Namen des Access Controller-Filters an, der von XenApp verwendet werden soll. Wichtig: XenApp überprüft nicht die Namen der Access Controller-Cluster, Server und Filter. Vergewissern Sie sich, dass die Informationen korrekt sind. 11. Klicken Sie zwei Mal auf OK, dann auf Weiter und dann auf Speichern. 548 So erstellen Sie eine XenApp 6.0-XML-Vertrauensstellungsrichtlinie Aktualisiert: 2012-05-03 Durch Konfigurieren einer XML-Vertrauensstellungsrichtlinie geben Sie an, ob Anfragen an den Citrix XML-Dienst vertraut werden sollen. Aus Sicherheitsgründen sollten Sie IPSec, Firewalls oder eine andere Technologie einsetzen, bevor Sie diese Regel aktivieren, damit sichergestellt ist, dass nur vertrauenswürdige Dienste mit dem XML-Dienst kommunizieren. Das Vertrauen von an den XML-Dienst gesendeten Anfragen bedeutet, dass XenApp die vom Access Gateway weitergeleiteten Informationen verwenden kann, um Anwendungszugriff und Sitzungsrichtlinien zu steuern. Zu diesen Informationen gehören Access Gateway-Filter, mit denen der Zugriff auf veröffentlichte Anwendungen gesteuert und XenApp-Sitzungsrichtlinien festgelegt werden. Wenn den Anfragen, die an den XML-Dienst gesendet werden, nicht vertraut wird, werden diese zusätzlichen Informationen ignoriert. 1. Klicken Sie auf dem XenApp-Server auf Start > Alle Programme > Citrix > Managementkonsolen > Citrix Delivery Services Console. 2. Klicken Sie im linken Bereich auf Richtlinien. 3. Klicken Sie im mittleren Bereich auf Computer. 4. Klicken Sie unter Citrix Computerrichtlinien auf Neu. 5. Geben Sie unter Richtlinie benennen in die Felder Name und Beschreibung einen Namen und eine Beschreibung für die Richtlinie ein und klicken Sie auf Weiter. 6. Gehen Sie auf der Seite Wählen Sie die anzuwendenden Einstellungen unter Einstellungen zu XML-Anfragen vertrauen und klicken Sie dann auf Hinzufügen. 7. Klicken Sie im Dialogfeld XML-Anfragen vertrauen auf Aktiviert und klicken Sie dann auf OK. 8. Schließen Sie den Assistenten zum Erstellen einer Richtlinie ab. 549 So erstellen Sie einen XenDesktop 5-Richtlinienfilter für Access Gateway-Verbindungen 1. Klicken Sie auf dem XenDesktop-Server auf Start > Alle Programme > Citrix > Management Consoles > Desktop Studio. 2. Klicken Sie im linken Bereich, um HDX Policy zu erweitern und klicken Sie dann auf Users. 3. Klicken Sie unter Users auf New. 4. Geben Sie im Dialogfeld New Policy unter Identify your policy in das Feld Name einen Namen ein. 5. Klicken Sie zwei Mal auf Next. 6. Klicken Sie im Dialogfeld New Policy auf der Filterseite unter Filters auf Access Control und dann auf Add. 7. Klicken Sie im Dialogfeld New Filter auf Add. 8. Wählen Sie im Dialogfeld New Filter Element unter Connection Type die Option With Access Gateway. Um die Richtlinie auf Verbindungen anzuwenden, die über Access Gateway hergestellt wurden, ohne dabei Access Gateway-Richtlinien zu berücksichtigen, übernehmen Sie die Standardvorgaben für die Felder AG farm name und Access condition. 9. Wenn Sie Access Controller verwenden und die Richtlinie auf Verbindungen durch das Access Gateway anhand von Access Controller-Richtlinien anwenden möchten: a. Geben Sie unter AG farm name den Namen des Access Controller-Clusters ein. b. Geben Sie unter Access condition den Namen des Access Controller-Filters an, der von XenDesktop verwendet werden soll. Wichtig: XenDesktop überprüft nicht die Namen der Access Controller-Cluster, Server und Filter. Vergewissern Sie sich, dass die Informationen korrekt sind. 10. Klicken Sie zwei Mal auf OK, dann auf Next und dann auf Create. 550 So erstellen Sie eine XenDesktop 5-XML-Vertrauensstellungsrichtlinie Durch Konfigurieren einer XML-Vertrauensstellungsrichtlinie geben Sie an, ob Anfragen an den Citrix XML-Dienst vertraut werden sollen. Aus Sicherheitsgründen sollten Sie IPSec, Firewalls oder eine andere Technologie einsetzen, bevor Sie diese Regel aktivieren, damit sichergestellt ist, dass nur vertrauenswürdige Dienste mit dem XML-Dienst kommunizieren. Wenn Sie XML-Vertrauensstellungen konfigurieren, richten Sie Firewallregeln in Desktop Studio ein, die die Verbindung nur durch vertrauenswürdige Webinterface-Server zulassen. Nachdem Sie die Firewallregeln eingerichtet haben, aktivieren Sie XML-Vertrauensstellungen mit einem PowerShell-Befehl. Sie können XML-Vertrauensstellungen für SmartAccess-Anmeldepunkte und Filter konfigurieren. Für einen einfachen Anmeldepunkt brauchen Sie keine Vertrauensstellungen zu konfigurieren. Das Vertrauen von an den XML-Dienst gesendeten Anfragen bedeutet, dass XenDesktop die vom Access Gateway weitergeleiteten Informationen verwenden kann, um Desktopzugriff und Sitzungsrichtlinien zu steuern. Zu diesen Informationen gehören Access Gateway-Filter, mit denen der Zugriff auf virtuelle Desktops gesteuert und XenDesktop-Sitzungsrichtlinien festgelegt werden. Wenn den Anfragen, die an den XML-Dienst gesendet werden, nicht vertraut wird, werden diese zusätzlichen Informationen ignoriert. Zum Konfigurieren einer XML-Vertrauensstellungsrichtlinie in XenDesktop verwenden Sie folgende PowerShell-Befehle: Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false Wenn Sie den Befehl auf $false setzen, werden die SmartAccess-Filter beim Single Sign-On ignoriert. Wenn Sie den Befehl auf $true setzen, werden die SmartAccess-Filter akzeptiert und können in den XenDesktop-Zugriffsrichtlinien verwendet werden. Weitere Informationen über das Konfigurieren von XML-Vertrauensstellungen mit PowerShell in XenDesktop 5 finden Sie unter: 551 • Erste Schritte mit PowerShell in XenDesktop 5 • PowerShell-Hilfe • Info über das XenDesktop SDK Benutzer ihre Kennwörter im Webinterface ändern lassen Wenn Webinterface 5.4 als Homepage für den Anmeldepunkt konfiguriert ist, können Sie zulassen, dass Benutzer ihre Kennwörter ändern. Sie ändern dazu Parameter in der Datei WebInterface.conf manuell. Die Parameter sind: Name: AllowUserPasswordChange Possible values: Never | Expired-Only | Always Name: ShowPasswordExpiryWarning Possible values: Never | WindowsPolicy | Custom Name: PasswordExpiryWarningPeriod Possible values: Number of days between 0 and 999 Hinweis: Der Wert für den Parameter PasswordExpiryWarningPeriod muss eine Ganzzahl sein. Damit Benutzer ihr Kennwort jederzeit ändern können und sieben Tage, bevor das Kennwort abläuft, eine Warnung erhalten, verwenden Sie beispielsweise die folgenden Einstellungen in WebInterface.conf: AllowUserPasswordChange=Always ShowPasswordExpiryWarning=Custom PasswordExpiryWarningPeriod=7 Wenn Sie diese Einstellungen konfigurieren, werden im Webinterface Links angezeigt. Wenn Benutzer auf den Link klicken, führt Access Gateway die Kennwortänderung durch. Damit dieses Feature erfolgreich verwendet werden kann, gelten folgende Anforderungen: 552 • Aktivieren Sie die Einstellung Allow users to change password im LDAP-Authentifizierungsprofil, das Sie auf dem Access Gateway erstellen. • Aktivieren Sie die Einstellung Use secure connection in dem LDAP-Authentifizierungsprofil und legen Sie für die Verbindung den sicheren LDAP-Port 636 fest, statt Port 389. • Installieren Sie das Stammzertifikat für den LDAP-Server als vertrauenswürdiges Zertifikat auf dem Access Gateway. Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface Sie können Access Gateway für die Kommunikation mit dem Webinterface für XenApp oder XenDesktop konfigurieren. Wenn Sie einen Basic-Anmeldepunkt konfigurieren, erstellt Access Gateway automatisch eine SmartGroup und weist den Anmeldepunkt der SmartGroup zu. Bevor Sie eine Basic-Anmeldepunkt konfigurieren, müssen Sie das Webinterface installieren und sicherstellen, dass die Kommunikation mit dem Netzwerk funktioniert. Wenn Sie einen Basic-Anmeldepunkt konfigurieren, müssen Sie mindestens einen Secure Ticket Authority (STA)-Server konfigurieren. Wenn Sie das Webinterface als Homepage einstellen möchten, konfigurieren Sie die SmartGroup-Einstellungen für die Anzeige der Homepage. 553 So konfigurieren Sie das Access Gateway-Gerät für die Secure Ticket Authority Die Secure Ticket Authority (STA) gibt Sitzungstickets aus bei Verbindungsanfragen für veröffentlichte Anwendungen in XenApp und veröffentlichte Desktops in XenDesktop. Auf diesen Sitzungstickets basiert die Authentifizierung und Berechtigung für den Zugriff auf veröffentlichte Ressourcen. Wenn Sie die Kommunikation zwischen dem Access Gateway und der Secure Ticket Authority sichern, muss auf dem Secure Ticket Authority-Server ein Serverzertifikat installiert sein. Standardmäßig sind die Verbindungen zu der STA gesichert. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Applications and Desktops auf Secure Ticket Authority. 3. Klicken Sie im Bereich Security Ticket Authority auf New. 4. Geben im Dialogfeld Security Ticket Authority Properties in das Feld Server den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des STA-Servers ein. 5. Legen Sie unter Connection type fest, ob die Verbindung sicher (Secure) oder unsicher (Unsecure) ist. 6. Unter Port können Sie die Standardportnummer 443 für sichere Verbindungen oder Port 80 für unsichere Verbindungen verwenden. Sie können auch eine eigene Portnummer angeben. 7. Verwenden Sie unter Path den Standardpfad /Scripts/CtxSTA.dll oder geben Sie einen anderen Pfad ein. 8. Klicken Sie auf Hinzufügen. Wenn Sie auf Add klicken, werden die Einstellungen für die STA im Bereich Security Ticket Authority angezeigt. Sie können diesen Vorgang wiederholen, um weitere STA-Server hinzuzufügen. 554 So konfigurieren Sie die ICA-Zugriffssteuerung auf dem Access Gateway-Gerät Sie können eine ICA-Zugriffssteuerungsliste konfigurieren, damit Access Gateway nur auf bestimmte Server in der Serverfarm Zugriff erlaubt. Um Verbindungen mit Citrix Online Plug-ins zuzulassen, müssen Sie die ICA-Zugriffssteuerung konfigurieren. Wenn Sie keine ICA-Zugriffssteuerungsliste konfigurieren, können Benutzer keine Verbindung mit veröffentlichten Anwendungen oder Desktops herstellen. Zum Erstellen einer ICA-Zugriffssteuerungsliste müssen Sie einen IP-Adressbereich eingeben, der mit den Servern in der Serverfarm übereinstimmt, für die Sie den Zugriff gewähren wollen, und außerdem das entsprechende Protokoll bzw. den entsprechenden Port für die Verbindung mit diesen Servern festlegen. Wenn Sie eine oder mehrere ICA-Zugriffssteuerungslisten erstellen, muss ein XenApp- oder XenDesktop-Server in einer der Zugriffssteuerungslisten enthalten sein, bevor Benutzer darauf zugreifen können. Access Gateway lässt nur Verbindungen zu den Servern zu, die in den Zugriffssteuerungslisten aufgeführt sind. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Applications and Desktops auf XenApp or XenDesktop. 3. Klicken Sie im Bereich ICA Access Control List auf New. 4. Um einen Bereich von XenApp- oder XenDesktop-Servern anzugeben, geben Sie im Dialogfeld ICA Access Control List die IP-Adressen in die Felder Beginning IP address und Ending IP address ein. 5. Wählen Sie unter Protocol entweder ICA oder Session reliability. 6. Behalten Sie die unter Port angegebene Standardportnummer bei oder geben Sie eine neue Nummer ein. Der Standardport für ICA-Verbindungen ist 1494. Der Standardport für die Sitzungszuverlässigkeit ist 2598. 7. Klicken Sie auf Hinzufügen. 555 So konfigurieren Sie das Webinterface als Anmeldeseite Sie können Access Gateway so konfigurieren, dass Benutzer sich durch das Webinterface statt durch Access Gateway authentifizieren dürfen. Dafür konfigurieren Sie einen Basic-Anmeldepunkt und konfigurieren dann den Anmeldepunkt für die Authentifizierung von Benutzern. Wenn sich Benutzer anmelden, erhalten sie die Anmeldeseite des Webinterface statt die des Access Gateways. 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie auf der Seite Logon Points Properties in das Feld Name einen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic aus. 6. Klicken Sie auf Authenticate with the Web Interface und geben Sie unter Web Interface die URL für das Webinterface ein und klicken Sie dann auf Save. 556 Konfigurieren von Access Gateway für eine XenApp Services-Site Sie können Access Gateway 5.0.2 und höher so konfigurieren, dass Benutzer eine Verbindung mit Citrix Online Plug-ins oder Receiver für Mobilgeräte herstellen können, der mit der Webinterface XenApp Services-Site funktioniert. Dafür konfigurieren Sie das Webinterface für XenApp Services-Sites und erstellen dann auf dem Access Gateway einen einfachen Anmeldepunkt, der das Webinterface für die Authentifizierung verwendet. Wenn Benutzer sich anmelden, können sie veröffentlichte Anwendungen direkt vom Computerdesktop oder Mobilgerät starten. Um Benutzern diese Art von Zugriff zu gewähren, sind die Hauptschritte: 1. Erstellen Sie eine XenApp Services-Site im Webinterface, wobei Sie den vollqualifizierten Domänennamen (FQDN), die Secure Ticket Authority (STA) und die Zugriffsmethode angeben. 2. Erstellen auf dem Access Gateway einen einfachen Anmeldepunkt und konfigurieren Sie ihn so, dass das Webinterface für die Authentifizierung verwendet wird. Wenn sich Benutzer am Standardanmeldepunkt anmelden, müssen sie nur den vollqualifizierten Domänenname (FQDN) des Access Gateways eingeben. Wenn sich Benutzer nicht am Standardanmeldepunkt anmelden, müssen sie den vollqualifizierten Domänennamen des Access Gateways sowie den vollständigen Pfad zum Anmeldepunkt eingeben. Benutzer würden beispielsweise https://AccessGatewayFQDN/lp/Anmeldepunktname eingeben. 3. Stellen Sie für den einfachen Anmeldepunkt die XenApp Services-Sites als Homepage ein. Geben Sie beim Konfigurieren der Homepage den vollständigen Pfad zu der Datei config.xml an. Beispiel: <WI-Servername>/citrix/pnagent/config.xml. 4. Konfigurieren Sie auf dem Access Gateway die STA und die ICA-Zugriffssteuerungsliste. Wenn sich Benutzer mit Citrix Online Plug-ins anmelden und den vollqualifizierten Domänennamen (FQDN) für das Access Gateway als Serveradresse angeben, enumeriert die XenApp Services-Site die Anwendungen und die Benutzerverbindung wird durch das Access Gateway geleitet. Hinweis: Für dieses Feature müssen Sie mindestens Access Gateway 5.0.2 verwenden. 557 Konfigurieren von Access Gateway für eine XenApp Services-Site So konfigurieren Sie das Access Gateway für die XenApp Services-Site 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie im Dialogfeld Logon Points Properties in das Feld Name einen eindeutigen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Typ die Option Basic aus. 6. Wählen Sie Authenticate with Web Interface. 7. Geben Sie unter Web Interface den vollständigen Pfad zu den Datei config.xml in der XenApp Services-Site an und klicken Sie dann auf Save. 558 Konfigurieren von Single Sign-On am Webinterface auf dem Access Gateway-Gerät Sie können Access Gateway 5.0 für Single Sign-On am Webinterface konfigurieren. Sie können Access Gateway so konfigurieren, dass es mit dem Webinterface für Folgendes funktioniert: • XenApp 5.0 • XenApp 6.0 • XenDesktop 3.0 • XenDesktop 4.0 • XenDesktop 5.0 Bevor Sie Single Sign-On konfigurieren, muss das Webinterface bereits für Access Gateway konfiguriert sein. Sie konfigurieren Single Sign-On beim Webinterface mit einem Basic-Anmeldepunkt oder als Teil einer SmartGroup, wenn Sie die SmartGroup so konfigurieren, dass das Webinterface als Homepage verwendet wird. Das Konfigurieren von Access Gateway für Single Sign-On hat folgende Vorteile: 559 • Benutzer müssen sich nur einmal beim Access Gateway authentifizieren und das Webinterface fordert sie nicht noch einmal zur Authentifizierung auf. • Access Gateway beendet und authentifiziert eingehenden sicheren HTTPS-Verkehr, sodass das Webinterface im gesicherten Netzwerk sein kann, statt in der demilitarisierten Zone (DMZ). • Webinterface-Server sind geschützt, weil Benutzer sich beim Access Gateway authentifizieren, bevor die Verbindung das gesicherte Netzwerk erreicht. So konfigurieren Sie einen einfachen Anmeldepunkt für Single Sign-On am Webinterface 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Points auf Logon Points. 3. Klicken Sie unter Logon Points auf New. 4. Geben Sie auf der Seite Logon Points Properties in das Feld Name einen Namen für den Anmeldepunkt ein. 5. Wählen Sie unter Type die Option Basic aus. 6. Wählen Sie unter Authentication Profiles für Primary ein Authentifizierungsprofil aus. 7. Klicken Sie auf Single sign-on to Web applications und klicken Sie dann auf Save. 560 So konfigurieren Sie eine SmartGroup für Single Sign-On am Webinterface 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter Access Control auf SmartGroups. 3. Klicken Sie unter SmartGroups auf Add. 4. Geben Sie auf den Seite SmartGroups Properties unter Name einen Namen für die SmartGroup ein. 5. Klicken Sie unter Home Page auf Use specified home page. 6. Geben Sie in das Feld Web Address die URL für das Webinterface ein. 7. Wählen Sie unter Type die Option Web Interface aus. 8. Klicken Sie auf Single sign-on to Web application und klicken Sie dann auf Save. 561 Konfigurieren des Webinterface für Single Sign-On Sie könne Single Sign-On am Webinterface mit XenApp 5.0 oder XenApp 6.0 konfigurieren. Es folgen Richtlinien für das Konfigurieren von Single Sign-On mit XenApp. Richtlinien für XenApp 5.0 Wenn Sie XenApp 5.0 und das Webinterface für Single Sign-On konfigurieren, gelten folgende Richtlinien: • In der XenApp Access Management Console müssen Sie für die Zugriffsmethode Advanced Access Control für die Webinterface-Site auswählen. • Die Authentifizierungsdienst-URL kann mit HTTP oder HTTPS anfangen. Hinweis: Wenn Sie die URL für HTTP konfigurieren, werden die Anmeldeinformationen des Benutzers im Klartext vom Access Gateway an das Webinterface gesendet. Bei HTTP müssen Sie auch im in der Access Gateway Management Console die Umleitung auf Port 443 konfigurieren. Weitere Informationen finden Sie unter Umleiten von Verbindungen auf Port 80 an einen sicheren Port. • Der Webinterface-Server muss dem Access Gateway-Zertifikat vertrauen und den vollqualifizierten Domänennamen (FQDN) des Zertifikats in die tatsächliche IP-Adresse des Access Gateways auflösen können. • Das Webinterface muss eine Verbindung mit Access Gateway herstellen können. • Wenn es eine Firewall zwischen dem Webinterface und Access Gateway gibt, verhindern Firewallregeln möglicherweise Benutzerverbindungen und folglich auch Single Sign-On. Lockern Sie die Firewallregeln, damit das Webinterface die Verbindung mit dem Access Gateway herstellen kann. Richtlinien für XenApp 6.0 Wenn Sie XenApp 6.0 und das Webinterface für Single Sign-On konfigurieren, gelten folgende Richtlinien: 562 • Konfigurieren Sie Passthrough-Authentifizierung als Authentifizierungsmethode in der Webinterface Management Console. • Aktivieren Sie auf dem XenApp-Server auf der Eigenschaftenseite Authentifizierungsmethoden die automatische Anmeldung. Integrieren von XenApp und XenDesktop mit Access Controller. Sie können Access Controller mit XenApp und XenDesktop integrieren, sodass Benutzer leicht auf ihre Ressourcen, u. a. veröffentlichte Anwendungen, von einer Benutzeroberfläche zugreifen können. Sie können beispielsweise eine XenApp- oder XenDesktop-Website in ein Access Interface einbetten. Das Access Interface ist eine Navigationsseite, die mit Access Gateway bereitgestellt wird und verfügbare veröffentlichte Anwendungen und Desktops sowie andere verfügbare Ressourcen, z. B. Webressourcen und Dateifreigaben, auflistet. Sie aktivieren das Access Interface in Access Controller. Außerdem können Sie Informationen, die von Access Controller gesammelt werden, freigeben, um die richtlinienbasierte Zugriffssteuerung von XenApp zu erweitern. Wenn Sie Access Controller-Filter mit XenApp-Richtlinien integrieren, können Sie steuern, auf welche veröffentlichten Anwendungen Benutzer zugreifen können und welche Rechte die Benutzer nach dem Zugriff in diesen Anwendungen haben. Mit diesem Feature können Sie Citrix XenApp-Richtlinien erstellen, die unterschiedliche Zugriffsszenarios berücksichtigen, abhängig von Faktoren wie Authentifizierungsstärke, Anmeldepunkt und Benutzergerätinformationen, wie Endpoint Analysis. Sie können beispielsweise Informationen, die von Access Controller in einer Endpunktanalyse gesammelt wurden, in eine XenApp-Richtlinie aufnehmen, um den Zugriff auf eine veröffentlichte Anwendung zu bestimmen. Außerdem können Sie je nach Anmeldepunkt, über den Benutzer auf die veröffentlichte Anwendung zugreifen, selektiv clientseitige Laufwerkszuordnung, die Zwischenablage und lokales Drucken aktivieren. In den Themen in diesem Abschnitt werden die unterstützten Bereitstellungen und die Schritte beschrieben, die für die Integration von XenApp und Access Controller ausgeführt werden müssen. Wenn Sie Access Controller-Informationen in XenApp für die Richtlinienauswertung aufnehmen, müssen Sie außerdem die folgenden Schritte ausführen: 563 • Erstellen Sie mindestens einen Filter in Access Controller. Weitere Informationen zum Erstellen von Filtern finden Sie unter Erstellen von Richtlinienfiltern. • Erstellen Sie Richtlinien in XenApp, die auf Access Controller-Filter verweisen. Weitere Informationen zum Erstellen von Richtlinien finden Sie in der XenApp-Dokumentation. Verknüpfen von Access Controller und Citrix XenApp oder XenDesktop Sie können Access Controller mit XenApp-Farmen verknüpfen. Mit diesem Feature können Sie veröffentlichte Ressourcen von XenApp über die Dateitypzuordnung oder das Webinterface anbieten. Wenn Sie die Dateitypzuordnung mit Richtlinien zulassen, öffnen Benutzer ein Dokument in einer zugeordneten Anwendung, die auf einem Server ausgeführt wird. Zum Verknüpfen von Access Controller mit XenApp-Farmen: • Geben Sie mindestens eine Farm an, die Sie mit Access Controller verknüpfen möchten. • Konfigurieren Sie das Load Balancing oder Failover, wenn die Serverfarm mehrere Server enthält. • Konfigurieren Sie Adressenmodi, wenn die Serverfarm hinter einer Firewall und die Firewall für die Netzwerkadressübersetzung (NAT) konfiguriert ist. Access Controller unterstützt zwei Adressenmodi. Gateway direkt ist die Standardeinstellung. Sie können auf Gateway alternativ verwenden, wenn XenApp hinter einer Firewall ist. • Konfigurieren Sie in der Zugriffsrichtlinie für die Webinterface-Webressource erweiterten Zugriff. So können veröffentlichte Anwendungen im Webinterface angezeigt werden. Prüfen Sie vor der Verknüpfung von Access Controller, ob die folgenden Anforderungen in XenApp erfüllt werden: • Die veröffentlichten Ressourcen sind den gleichen Benutzergruppen zugewiesen, wie die Ressourcen in Access Controller. • Die Option Verbindungen mit Access Gateway zulassen ist für jede veröffentlichte Ressource aktiviert. Diese Option finden Sie im Eigenschaften-Dialogfeld der veröffentlichten Ressource im Bereich Zugriffssteuerung. • Im Eigenschaften-Dialogfeld jedes Servers ist die Option An XML-Dienst gesendeten Anfragen vertrauen aktiviert. Weitere Informationen finden Sie unter So erstellen Sie eine XenApp 6.0-XML-Vertrauensstellungsrichtlinie. Führen Sie die im Folgenden beschrieben Schritte durch, damit XenApp Verbindungen von Access Controller zulässt: 564 Verknüpfen von Access Controller und Citrix XenApp oder XenDesktop So verknüpfen Sie Access Controller mit Citrix XenApp 1. Stellen Sie sicher, dass die veröffentlichten Ressourcen den gleichen Benutzergruppen zugewiesen sind, wie die Ressourcen im Access Controller-Cluster. 2. In Citrix XenApp: • Aktivieren Sie für jede veröffentlichte Ressource Verbindungen mit Access Gateway Advanced Edition (Version 4.0 oder höher) zulassen. Diese Option finden Sie im Eigenschaften-Dialogfeld der veröffentlichten Ressource im Bereich Zugriffssteuerung. Aktivieren Sie im Eigenschaften-Dialogfeld jedes Servers die Option An XML-Dienst gesendeten Anfragen vertrauen. 3. Schließen Sie die erforderlichen Schritte für die Integration von veröffentlichten Anwendungen in Ihrer Bereitstellung ab. Zu den Integrationsoptionen gehören: • 565 • Citrix XenApp Web-Site, die mit dem Webinterface erstellt wurde: Zeigen Sie veröffentlichte Anwendungen in einer Citrix XenApp Web-Site an. • Dateitypzuordnung: Dokumente werden in der zugeordneten Anwendung auf einem Server in einer XenApp-Farm gestartet. • Drittanbieterportale: Betten Sie eine XenApp Web-Site in ein Drittanbieterportal ein, wie Microsoft SharePoint. Angeben von XenApp-Serverfarmen Aktualisiert: 2013-01-11 Sie können Access Controller mehrere Server hinzufügen, auf denen XenApp ausgeführt wird. Erstellen Sie auf dem Access Controller eine Liste der Serverfarmen, die Benutzern zur Verfügung stehen, die eine Verbindung zu Access Gateway herstellen. Diese Liste wird in den Eigenschaften von Anmeldepunkten verwendet, um anzugeben, welche Farmen Benutzer eines Anmeldepunkts zur Verfügung stehen. Jede Serverfarm, die Sie konfigurieren, enthält eine Liste der Server, die Sie für Load Balancing und Failover zwischen Servern in der Farm verwenden können. Sie müssen auch die Zugriffsmethode angeben. Weitere Informationen finden Sie unter Wählen der Zugriffsmethode. 566 Angeben von XenApp-Serverfarmen So geben Sie Serverfarmen an 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und anschließend den Access Controller, auf dem Sie eine Liste der Serverfarmen erstellen möchten. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller-Clustereigenschaften auf XenApp-Farmen und klicken Sie dann auf Neu. 5. Geben Sie im Assistenten Citrix XenApp-Farm hinzufügen im Feld Citrix XenApp-Farmname den Namen oder die IP-Adresse der Farm ein, mit der Sie Ihren Cluster verbinden möchten. Hinweis: Access Controller akzeptiert Serverfarmnamen mit bis zu 50 Zeichen. Wenn der Serverfarmname länger als 50 Zeichen ist, geben Sie die stattdessen die IP ein. 6. Wenn Sie die Verbindung zwischen Access Controller und XenApp sichern möchten, aktivieren Sie das Kontrollkästchen Kommunikation mit Farm durch sicheres Protokoll sichern. Hinweis: Um ein sicheres Protokoll anzuwenden, müssen die entsprechenden Zertifikate auf den Access Controller-Servern und Access Gateway-Geräten installiert sein. 7. Klicken Sie auf Weiter und dann auf Hinzufügen. 8. Geben Sie im Feld Servername den Computernamen des Servers ein, auf dem XenApp ausgeführt wird. 9. Klicken Sie auf OK, dann auf Fertig stellen und dann auf OK. 567 Konfigurieren von Adressmodi Wenn die Farm hinter einer Firewall ist und die Firewall für die Netzwerkadressenübersetzung (NAT) konfiguriert ist, können Sie Einstellungen in Access Controller festlegen, um den Adressmodus des Servers in ICA-Dateien festzustellen. So konfigurieren Sie Adressmodi für Client-IP-Adressen 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und anschließend den Access Controller, auf dem Sie die Adressmodi konfigurieren möchten. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller-Clustereigenschaften auf XenApp-Farmen, wählen Sie die Farm und klicken Sie dann auf Bearbeiten. 5. Klicken Sie auf Server und wählen Sie für Serveradressenmodus entweder Gateway direkt oder Gateway alternativ. 6. Klicken Sie zwei Mal auf OK. 568 Integrieren des Webinterface Access Controller bietet mehrere Methoden für die Integration von veröffentlichten Anwendungen im Webinterface, u. a.: • Eine XenApp Web-Site, die in das Access Interface eingebettet ist. Wenn das Access Interface als Standardhomepage wählen, wird neben den Dateifreigaben und Webanwendungen eine XenApp Web-Site angezeigt. • Eine XenApp Web-Site, die als Standardhomepage für einen SmartAccess-Anmeldepunkt konfiguriert ist. Nachdem Benutzer sich anmelden, wird ihnen die XenApp Web-Site angezeigt. Bei einem SmartAccess-Anmeldepunkt ist die Homepage, die Benutzern angezeigt wird, abhängig von den von Ihnen konfigurierten Richtlinien. Für einfache Anmeldepunkte wählen Sie die Webinterface-Site aus, die Sie als Homepage verwenden möchten. Hinweis: Die Webinterface-Dokumentation finden Sie unter Technologien in der Citrix eDocs-Bibliothek. So integrieren Sie eine XenApp Web-Site Für diesen Vorgang müssen Sie entweder die Access Management Console in XenApp 5.0 oder die Delivery Services Console in XenApp 6.0 verwenden sowie die Webinterface Management Console für Version 5.2 oder höher, um XenApp Web-Sites zu erstellen und zu verwalten, die mit Access Controller integriert werden. Sie können nicht ältere Versionen der Access Management Console oder Befehlszeilentools verwenden, um Sites zu verwalten, die mit neueren Versionen der Konsole oder mit der Delivery Services Console erstellt wurden. Benutzer können nachdem Sie eine XenApp Web-Site mit Access Controller als Zugriffsmethode konfiguriert haben, auf diese Site nur über Access Controller zugreifen. Versuche, direkt auf die Site zuzugreifen, werden verweigert. Führen Sie folgende Schritte im Access Controller aus. 1. Konfigurieren Sie XenApp für die Kommunikation mit Access Controller. 2. Erstellen Sie eine Webressource für die XenApp Web-Site mit folgenden Einstellungen: • Wählen Sie Citrix Webinterface als Anwendungstyp aus. Aktivieren Sie das Kontrollkästchen In Ressourcenliste für Benutzer veröffentlichen. Weitere Informationen über das Erstellen einer Webressource finden Sie unter Erstellen von Webressourcen. • 3. Geben Sie die entsprechenden Richtlinieneinstellungen für die Webressource mit Verweis auf die XenApp Web-Site an. 4. Stellen Sie mit einer der folgenden Methoden Zugriff auf die XenApp Web-Site bereit: 569 Integrieren des Webinterface • XenApp Web-Site als Standardhomepage anzeigen: Konfigurieren Sie einen Anmeldepunkt, um die Anwendung mit der höchsten Anzeigepriorität als Homepage anzuzeigen. Konfigurieren Sie anschließend die XenApp Web-Site als die Anwendung mit der höchsten Priorität. • XenApp Web-Site in das Access Interface einbetten: Konfigurieren Sie einen Anmeldepunkt, um das Access Interface als Homepage anzuzeigen. Die XenApp Web-Site wird als Frame in die Zugriffsoberfläche eingebettet. Weitere Informationen finden Sie unter Erstellen von Anmeldepunkten auf dem Access Controller. 5. Schließen Sie im Webinterface die folgenden Schritte ab. Weitere Informationen über das Konfigurieren des Webinterface für Microsoft SharePoint finden Sie in der Webinterface-Dokumentation unter Technologien in der Citrix eDocs-Bibliothek. a. Wählen Sie Gateway direkt als Zugriffsmethode für die Site. Hinweis: Sie können auch Gateway alternativ als Zugriffsmethode wählen. b. Geben Sie die URL des Access Controller-Authentifizierungsdienstes an. Vergewissern Sie sich sowohl im Webinterface als auch im Access Controller, dass Workspace Control und Sitzungstimeouts richtig konfiguriert sind. 570 Beibehalten von Workspace Control Wenn Benutzer sich am Access Controller anmelden, werden die eingegebenen Anmeldeinformationen dafür verwendet, Workspace Control mit den XenApp-Serverfarmen zu bieten, die in den Clustereigenschaften angegeben wurden. Wenn Benutzer unterschiedliche Anmeldeinformationen für das Anmelden am Access Controller und an der XenApp Web-Site verwenden, können sie die Sitzung nicht trennen oder sich nicht mit Anwendungen wieder verbinden, wenn Sie die Anzeige mehrerer Sites aktivieren. Zum Erhalten von Workspace Control für Benutzer, die andere Anmeldeinformationen haben, müssen Sie die Secure Ticket Authority (STA) definieren, damit Access Gateway Benutzer bei der Farm authentifizieren kann. 571 Koordinieren von Access Controller und Webinterface-Einstellungen Bestimmte XenApp-Einstellungen können im Access Controller und im Webinterface konfiguriert werden. Da aber mehr als ein Anmeldepunkt auf eine XenApp Web-Site verweisen kann, die mit Access Controller integriert ist, kann ein Anmeldepunkt eine XenApp Web-Site in die Access Interface-Seite integrieren, während ein anderer Anmeldepunkt die Site als Standardhomepage anzeigt. Dies kann zu Konflikten bei bestimmten Einstellungen veröffentlichter Anwendungen führen. Damit die Einstellungen wie erwartet funktionieren, konfigurieren Sie die Einstellungen in der Delivery Services Console wie folgt: 572 • Workspace Control: Deaktivieren Sie alle Workspace Control-Einstellungen in Access Controller für alle Anmeldepunkte, die eine XenApp Web-Site als Homepage haben. Dadurch wird sichergestellt, dass die im Webinterface konfigurierten Einstellungen verwendet werden. Sie können Workspace Control für alle anderen Anmeldepunkte nach Wunsch konfigurieren. • Sitzungstimeout: Stellen Sie sicher, dass alle Anmeldepunkte dieselben Einstellungen wie die XenApp Web-Site verwenden. Konfigurieren von Single Sign-On beim Webinterface auf dem Access Controller Wenn Access Gateway Benutzer authentifiziert und Sie das Webinterface auf dem Access Controller konfigurieren, müssen Single Sign-On am Webinterface aktivieren. Wenn das Webinterface Benutzer authentifiziert, müssen Sie Single Sign-On deaktivieren. Wenn Single Sign-On aktiviert ist, werden Benutzer automatisch am Webinterface angemeldet, wenn sie sich am Access Gateway anmelden und die Benutzeranmeldeinformationen bestätigt werden. Sie aktivieren oder deaktivieren Single Sign-On in der Delivery Services Console, wenn Sie eine Webressource erstellen und den Anwendungstyp auf Webinterface verwenden einstellen. So aktivieren oder deaktivieren Sie Single Sign-On am Webinterface 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, erweitern Sie Access Gateway und anschließend den Access Controller, auf dem Sie Single Sign-On konfigurieren möchten. 3. Klicken Sie auf Ressourcen und klicken Sie unter Häufige Aufgaben auf Webressource erstellen. 4. Geben Sie unter Webressourcenname und Beschreibung einen Namen und eine Beschreibung für die Webressource ein und klicken Sie auf Weiter. 5. Klicken Sie auf der Seite Adressen konfigurieren auf Neu. 6. Geben im Dialogfeld Neue Webadresse in das Feld Webadresse den vollqualifizierten Domänennamen (FQDN) des Webinterface ein. Wenn Sie eine gesicherte Verbindung zum Webinterface einsetzen, verwenden Sie das Präfix https://. Sonst verwenden Sie das Standardpräfix http://. 7. Wählen Sie unter Anwendungstyp die Option Citrix Webinterface. 8. Aktivieren Sie Single Sign-On aktivieren, klicken Sie auf OK und dann auf Weiter. 9. Wählen Sie, wie Sie eine Zugriffsrichtlinie erstellen möchten und klicken Sie auf Fertig stellen. 573 Hinzufügen der Secure Ticket Authority auf dem Access Controller XenApp bietet mit dem Webinterface und der Secure Ticket Authority (STA) Authentifizierung und Autorisierung für Benutzergeräte. Um Zugriff auf veröffentlichte Anwendungen mit dem Webinterface über Access Gateway zu bieten, müssen Sie die STA-Einstellungen für Access Gateway über die Delivery Services Console für Access Controller konfigurieren. Sie konfigurieren diese Einstellungen auch, um Workspace Control zu erhalten, wenn Sie die Anzeige der XenApp Web-Site im Access Interface aktivieren. So konfigurieren Sie Access Controller für die Verwendung der STA 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie in der Konsolenstruktur auf Citrix Ressourcen, klicken Sie auf Access Gateway und erweitern Sie den Access Controller, auf dem Sie die STA-Einstellungen konfigurieren möchten. 3. Klicken Sie auf Access Gateway-Geräte und dann unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 4. Klicken Sie auf der Seite Globale Eigenschaften auf Secure Ticket Authority und klicken Sie dann auf Neu. 5. Geben unter Neue Secure Ticket Authority in das Feld STA-Servername oder -adresse die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des XenApp-Servers ein, auf dem die STA installiert ist. 6. Wählen Sie Sichere Kommunikation verwenden, um die Verbindung zur STA zu sichern. 7. Geben Sie unter STA-Pfad den Pfad für die STA ein. Der Standardpfad ist /Scripts/CtxSta.dll. 8. Geben Sie unter STA-ID die ID der STA ein oder klicken Sie auf STA-ID abrufen, um die ID automatisch basierend auf Server und Pfad auszufüllen und klicken Sie dann zweimal auf OK. 574 Hinzufügen der ICA-Zugriffssteuerung auf dem Access Controller Citrix XenApp und XenDesktop verwenden das Independent Computing Architecture (ICA)-Protokoll für die Kommunikation zwischen der Benutzersoftware und den Servern. Wenn Sie Access Gateway als Proxy verwenden, um den ICA-Verkehr ohne das Access Gateway Plug-in zu überbrücken, können Sie steuern, auf welche XenApp- und XenDesktop-Server Benutzer zugreifen können. Hierzu stellen Sie in der Delivery Services Console eine Zugriffssteuerungsliste bereit. Wenn Benutzer veröffentlichte Anwendungen oder Desktops über Access Controller anfordern, wird ihnen basierend auf der Zugriffssteuerungsliste Zugriff gewährt bzw. der Zugriff verweigert. Um Verbindungen mit Citrix Online Plug-ins zuzulassen, müssen Sie die ICA-Zugriffssteuerung konfigurieren. Wenn Sie keine ICA-Zugriffssteuerungsliste konfigurieren, können Benutzer keine Verbindung mit veröffentlichten Anwendungen oder Desktops herstellen. Wenn Sie mit dem Webinterface veröffentlichte Anwendungen und Desktops über das Access Gateway bereitstellen, müssen Sie die Webinterface-Einstellungen mit dem vollqualifizierten Domänennamen des Access Gateways konfigurieren. Wichtig: Von Ihnen bereitgestellte Zugriffssteuerungslisten werden nicht angewendet, wenn veröffentlichte Anwendungen als Netzwerkressourcen konfiguriert werden. 575 Hinzufügen der ICA-Zugriffssteuerung auf dem Access Controller So konfigurieren Sie die ICA-Zugriffssteuerung 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Wählen Sie in der Konsolenstruktur Access Gateway-Geräte und klicken Sie unter Häufige Aufgaben auf Eigenschaften von Access Gateway-Gerät bearbeiten. 3. Klicken Sie im Dialogfeld Gateway-Geräte - Globale Eigenschaften im linken Bereich auf ICA-Zugriffssteuerung und dann auf Neu. 4. Geben Sie im Dialogfeld ICA-Zugriffssteuerung in die Felder Start-IP-Adresse und End-IP-Adresse den IP-Adressbereich XenApp-Server ein, die eingeschlossen werden sollen. 5. Geben Sie unter Port die Portnummer ein oder aktivieren Sie den Standardport. 6. Wählen Sie unter Protokoll das Protokoll aus, das Sie verwenden möchten. • Wählen Sie ICA aus, um ICA-/SOCKS-Verbindungen mit den ausgewählten Servern zuzulassen. Üblicherweise wird ICA für XenApp-Server verwendet, die ICA/SOCKS-Verbindungen annehmen. Wählen Sie CGP aus, um Sitzungszuverlässigkeit - für Verbindungen mit den ausgewählten Servern zuzulassen. Üblicherweise wird Sitzungszuverlässigkeit für XenApp-Server verwendet, die Sitzungszuverlässigkeit annehmen. 7. Klicken Sie auf OK, wenn Sie die erforderlichen Informationen eingegeben haben. • 8. Um die Protokollierung zu aktivieren, aktivieren Sie das Kontrollkästchen Protokollierung aktivieren und klicken Sie dann auf OK. 576 Konfigurieren der Dateitypzuordnung Wenn die Dateitypzuordnung im Access Controller zugelassen ist und Benutzer ein Dokument öffnen, wird das Dokument in der zugeordneten Anwendung geöffnet, die in der XenApp-Serverfarm ausgeführt wird. Wenn beispielsweise ein Benutzer ein Dokument in einer Dateifreigabe öffnet, für die die Dateitypzuordnung konfiguriert ist, wird das Dokument in der veröffentlichten Anwendung geöffnet. Die Dateitypzuordnung ist für Dateifreigaben und Webressourcen verfügbar. So konfigurieren Sie die Dateitypzuordnung für Dateifreigaben und Webressourcen Bevor Sie die Dateitypzuordnung konfigurieren, müssen Sie sicherstellen, dass die Einstellungen der veröffentlichten Anwendungen in XenApp die gewünschten Zuordnungen angeben. Wenn beispielsweise eine veröffentlichte Anwendung gestartet werden soll, wenn Benutzer eine Bitmapdatei (.bmp) öffnen, dann muss in den Einstellungen der Anwendung die Zuordnung mit BMP-Dateien angegeben sein. 1. Konfigurieren Sie Citrix XenApp für die Kommunikation mit Access Controller. 2. Geben Sie mindestens eine Farm an, die Sie mit dem Cluster verknüpfen möchten. 3. Geben Sie die XenApp-Farmen an, die für den Anmeldepunkt zur Verfügung stehen. Weitere Informationen finden Sie unter Erstellen von Anmeldepunkten auf dem Access Controller. 4. Erstellen Sie eine Zugriffsrichtlinie für die Dateifreigabe oder Webressource und aktivieren Sie dann die Dateitypzuordnung und lassen Sie sie zu. Weitere Informationen finden Sie unter Erstellen von Richtlinieneinstellungen zur Benutzeraktionssteuerung. 577 Konfigurieren von Load Balancing oder Failover für XenApp In Access Controller können Sie die Last von Anfragen, die an XenApp-Server gesendet werden, ausgleichen. Anfragen folgen der Reihenfolge in der Serverliste, wie sie in den Eigenschaften der XenApp-Farm angezeigt wird. Die erste Anfrage geht an den ersten Server in der Liste, die nächste Anfrage geht an den zweiten Server usw. Nachdem der letzte Server erreicht wurde, beginnt der Prozess wieder am Anfang der Liste. Wichtig: Citrix empfiehlt, den Datensammelpunkt oder ICA-Master-Browser der Serverliste hinzuzufügen, um unnötigen Netzwerkverkehr zu minimieren, wenn Auflösungsanfragen auftreten, und um sicherzustellen, dass die Anwendungsauflistung reibungslos durchgeführt wird. Weitere Informationen finden Sie in der XenApp-Dokumentation in der Citrix eDocs-Bibliothek. Sie können mit der Liste Failover organisieren, falls die Verbindung zu einem Server ausfällt. Verwenden Sie Failover, um den Zugriff auf veröffentlichte Ressourcen aufrecht zu halten. Die Serverliste kann zum Load Balancing oder für Failover verwendet werden, aber nicht beides. Standardmäßig wird die Serverliste für Failover verwendet. 578 Konfigurieren von Load Balancing oder Failover für XenApp So implementieren Sie Load Balancing oder Failover 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Klicken Sie auf Access Gateway und klicken Sie dann auf den Access Controller, auf dem Sie Load Balancing oder Failover implementieren möchten. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. 4. Klicken Sie unter Access Controller-Clustereigenschaften auf XenApp-Farmen, wählen Sie die Farm und klicken Sie dann auf Bearbeiten. 5. Klicken Sie in den Eigenschaften der XenApp-Farm auf Server und klicken Sie dann auf Auf und Ab, um die Reihenfolge der Server zu ändern. 6. Wählen Sie eine der folgenden Optionen: • Load Balancing von Serveranfragen • Failoverreihenfolge für nicht verfügbare Server 7. Um das Umgehungsintervall zu ändern, ändern Sie im Feld Ausgefallenen Server umgehen nach den Wert in Minuten. Der Standardwert ist 5 Minuten. 8. Um die Zugriffsmethode zu ändern, wählen Sie in der Dropdownliste Serveradressenmodus die Methode aus. 9. Klicken Sie zwei Mal auf OK. 579 Integrieren von Drittanbieterportalen Sie können eine XenApp Web-Site in ein Drittanbieterportal integrieren, z. B. Microsoft SharePoint, um bequemen Zugriff auf veröffentlichte Anwendungen neben anderen Webanwendungen und -inhalten zu bieten. Sie können Access Controller diese Bereitstellung integrieren, um detailorientierte richtlinienbasierte Steuerung über Dateien, Webinhalte und -anwendungen sowie veröffentlichte Anwendungen zu bieten. Hinweis: Das Webinterface für Microsoft SharePoint ist ein Webpart, dass die Integration von Webinterface und SharePoint zulässt. Weitere Informationen über das Webinterface für Microsoft SharePoint finden Sie in der Webinterface-Dokumentation im Knoten Technologien in den Citrix eDocs. Generische Drittanbieterportale müssen die Anzeige von IFRAME-basierten Webinhalten unterstützen, um eine Integration mit einer XenApp Web-Site zu ermöglichen 580 Integrieren von Drittanbieterportalen So zeigen Sie eine XenApp Web-Site in einem Portal an 1. Konfigurieren Sie XenApp für die Kommunikation mit Access Controller. Weitere Informationen finden Sie unter Integrieren von XenApp und XenDesktop mit Access Controller.. 2. Erstellen Sie eine Webressource für die XenApp Web-Site mit folgenden Einstellungen: • Bei der Integration mit SharePoint wählen Sie den Anwendungstyp SharePoint mit Webinterface-Webpart. Bei der Integration mit einem generischen Drittanbieterportal wählen Sie den Anwendungstyp Citrix Webinterface . Weitere Informationen über das Erstellen einer Webressource finden Sie unter Erstellen von Webressourcen. • 3. Aktivieren Sie das Kontrollkästchen In Ressourcenliste für Benutzer veröffentlichen. 4. Geben Sie die entsprechenden Richtlinieneinstellungen für die Webressource mit Verweis auf die XenApp Web-Site an. 5. Erstellen Sie eine Webressource für die SharePoint-Site oder das Drittanbieterportal, die/das die XenApp Web-Site enthält und geben Sie die geeigneten Einstellungen an. 6. Konfigurieren Sie im Webinterface eine XenApp Web-Site, die Access Controller als Zugriffsmethode verwendet: a. Wählen Sie entweder Gateway direkt oder Gateway alternativ, wenn Sie eine Zugriffsmethode für die Site angeben. Weitere Informationen über Zugriffsmethoden finden Sie unter Wählen der Zugriffsmethode. b. Geben Sie die URL für den Access Controller-Authentifizierungsdienst an. 7. Vergewissern Sie sich sowohl im Webinterface als auch im Access Controller, dass Workspace Control und Sitzungstimeouts richtig konfiguriert sind. Weitere Informationen finden Sie unter Koordinieren von Access Controller und Webinterface-Einstellungen. 581 Wartung und Überwachung von Access Gateway 5.0 Nachdem Sie Citrix Access Gateway installiert und konfiguriert haben, können Sie das Gerät und Citrix Access Controller mit einer Reihe von Features und Tools warten. Verwenden Sie den Bereich Snapshots in der Access Gateway Management Console, um neue Versionen der Access Gateway-Software hochzuladen oder zu einen früheren Konfiguration zurückzukehren. Wenn Sie ein neues Image auf dem Gerät einspielen müssen, können Sie das Imaging Tool verwenden, dass Sie auf My Citrix finden. So laden Sie das Imaging Tool herunter 1. Gehen Sie zu http://www.citrix.com und klicken Sie unter Citrix auf My Citrix. 2. Melden Sie sich an My Citrix an und klicken Sie dann auf Downloads. 3. Wählen Sie unter Search Downloads by Product die Option Access Gateway. 4. Wählen Sie die Access Gateway-Version und klicken Sie dann unter Appliance Firmware auf die Schaltfläche Get Software, um das Imaging Tool abzurufen. 5. Akzeptieren Sie die Endbenutzerlizenzvereinbarung und klicken Sie dann auf Download Now. 6. Klicken Sie auf Install und speichern Sie dann die ZIP-Datei auf Ihrem Computer. Nachdem Sie die Software heruntergeladen haben, können Sie sie auf ein USB-Speichergerät kopieren und ein neues Image auf das Access Gateway einspielen. Vorsicht: Wenn Sie die Access Gateway-Software auf das USB-Speichergerät kopieren werden alle Daten auf dem Gerät gelöscht. Achten Sie daher darauf, dass auf dem USB-Speichergerät keine wichtigen Daten sind. Wenn Sie den Windows-Computer oder das Access Gateway neu starten, während das USB-Speichergerät angeschlossen ist, wird versucht, auf den Computer oder das Access Gateway ein neues Image aufzuspielen. Nachdem Sie das Access Gateway-Gerät für die Netzwerkumgebung konfiguriert haben, können Sie das Gerät auf folgende Weise warten: 582 • Erstellen von Snapshots zum Verwalten der Konfigurationseinstellungen • Aktualisieren der Gerätesoftware • Neuinstallieren der Access Gateway 5.0-Software • Neustarten und Herunterfahren des Access Gateways Überwachung Nach dem Konfigurieren der Access Controller-Server in Ihrem Cluster führen Sie verschiedene Aufgaben aus, um die Access Gateway-Umgebung zu verwalten. Mit diesen Aufgaben stellen Sie sicher, dass die Bereitstellung störungsfrei und effizient ausgeführt wird. 583 Einrichten der Ereignisprotokollierung in Access Gateway Verwenden Sie die Access Gateway Management Console, um Access Gateway-Protokolldateien auf einem externen Server zu archivieren. Standardmäßig werden Access Gateway-Protokolldateien lokal gespeichert. Sie können Access Gateway so konfigurieren, dass bestimmte Benutzeraktivitäten für Überwachungszwecke aufgezeichnet werden. Sie können beispielsweise erfolgreiche Anmeldeversuche überwachen, fehlgeschlagene Zugriffsversuche auf Ressourcen, wie Web-E-Mail und Dateifreigaben, sowie Endpoint Analysis-Scanergebnisse. Im Bereich Monitor in der Management Console können Sie die Netzwerkaktivität auf dem Access Gateway anzeigen sowie das Überwachungs-, Informations-, Endpoint Analysis-Scanund Debugprotokoll. Sie können außerdem die folgenden Gerätedaten anzeigen: 584 • Systeminformationen, wie Hostname des Geräts und die Softwareversion, die auf dem Gerät ausgeführt wird • Informationen, ob das Gerätefailover und die Protokollübertragung aktiviert ist • Anzahl der aktiven Sitzungen auf dem Gerät • Konfigurationsinformationen, ob SmartGroups und Geräteprofile aktiviert sind Verfügbare Access Gateway-Ereignisprotokolltypen Access Gateway unterstützt die folgenden vier Ereignisprotokolltypen. • Audit logs (Überwachungsprotokolle): Benutzerbezogene Ereignisse werden Überwachungsprotokollen gespeichert. Sie verwenden diese Informationen für rechtliche und Sicherheitszwecke. • Information logs (Informationsprotokolle): Systemspezifische Ereignisse werden in Informationsprotokollen gespeichert. Sie verwenden diese Informationen, um Probleme mit Access Gateway zu lösen. Wenn beispielsweise das System keine Bindung zu einer Schnittstelle herstellen kann, wird ein Ereignis in das Systemprotokoll geschrieben. • Debug logs (Debugprotokolle): Der technische Support verwendet Debugprotokolle für ein detaillierten Debuggen und für die Problembehandlung. Unterschiedliche Debugstufen lassen den technischen Support festlegen, ob eine Meldung protokolliert werden soll, basierend auf der Access Gateway-Konfiguration. • Endpoint analysis scan logs (Endpoint Analysis-Scanprotokolle): Ergebnisse von Geräteprofilscans werden in den Endpoint Analysis-Scanprotokollen gespeichert. Sie verwenden diese Informationen zum Überprüfen und für die Problembehandlung von fehlgeschlagenen Scans. Wenn ein Geräteprofilscan fehlschlägt, erhalten Benutzer eine Referenznummer, die sie an Sie senden können. Sie verwenden diese Referenznummer, um Informationen über den fehlgeschlagenen Scan in in der Protokolldatei zu finden. Hinweis: Sie können alle Protokolldateien, außer Debugprotokolle, manuell vom Access Gateway auf einen Remoteserver übertragen oder Sie können automatische Übertragungen planen. 585 Konfigurieren der Access Gateway-Ereignisprotokollierung Sie können Access Gateway-Ereignisprotokolle auf einem externen Server archivieren. Sie können die Dateien manuell speichern und archivieren oder Sie können die Archivierung automatisch in regelmäßigen Abständen durchführen. So konfigurieren Sie den Remoteserver 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Logging. 3. Stellen Sie im Bereich Access Gateway Logging unter Remote Server Settings folgende Optionen ein: • Geben Sie in das Feld Server die IP-Adresse oder den Hostnamen des Remoteservers ein. • Geben Sie in das Feld Username den Benutzernamen ein. • Geben Sie in das Feld Password das Kennwort des Benutzers ein. • Wiederholen Sie die Eingabe im Feld Confirm password. • Wählen Sie unter Transfer protocol eine dieser Optionen: • SCP: Mit SCP (Secure Copy Protocol) können Sie Dateien von einem Computer auf einen anderen übertragen, mit SSH-Protokoll (Secure Shell) verschlüsselt. FTP: Mit FTP (File Transfer Protocol) können Sie Dateien von einem Computer auf einen anderen übertragen, ohne Verschlüsselung. Geben Sie unter Port die Portnummer für den Server ein. • • • Geben Sie unter Remote directory den Pfad zu dem Verzeichnis ein, in dem Sie die Protokolldateien auf dem Remoteserver speichern möchten. Wählen Sie unter Log type einen oder mehrere Protokolldateitypen für die Archivierung auf dem Remoteserver: EPA, Info und Audit. 4. Klicken Sie auf Save. • So übertragen Sie Protokolldateien auf den Remoteserver Sie können die Protokolldateien manuell auf den Remoteserver übertragen oder die automatische Archivierung planen. 586 Konfigurieren der Access Gateway-Ereignisprotokollierung 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Logging. 3. Stellen Sie im Bereich Access Gateway Logging unter Log Settings folgende Optionen ein: 587 • Aktivieren Sie das Kontrollkästchen Use local time in logs, um die lokale Zeit in der Protokolldateien zu verwenden. • Um das Intervall (in Stunden) zu ändern, in dem die Protokolldateien lokal archiviert werden, wählen Sie unter Archive logs every, die Option 4 oder 8 hours. • Damit die Protokolldateien automatisch archiviert werden, aktivieren Sie das Kontrollkästchen Transfer archived log files automatically und wählen Sie dann unter Transfer logs every wie häufig die archivierten Dateien zum Remoteserver übertragen werden sollen: Alle 4, 8 oder 16 Stunden. • Um die Protokolldateien manuell zu speichern und sofort zu übertragen, klicken Sie auf Transfer Now. Anzeigen von Access Gateway-Protokollen Die Überwachungs-, Informations-, Endpoint Analysis-Scan- und Debugprotokolle von Access Gateway enthalten Echtzeitinformationen über die Verbindung, die bei der Behandlung von Problemen auf dem Access Gateway nützlich sind. Durch Prüfen der Protokollinformationen können Sie Änderungen verfolgen, die sich u. U. negativ auf die Stabilität und Leistung des Geräts auswirken. Sie können Protokolle für das Access Gateway-Gerät auf der Registerkarte Monitor in der Access Gateway Management Console anzeigen. So zeigen Sie Access Gateway-Protokolle an 1. Klicken Sie in der Access Gateway Management Console auf Monitor. 2. Klicken Sie im Bereich System and Configuration Information unter Running Information auf eine der folgenden Optionen: • Audit Log zeigt Informationen über Benutzerereignisse. • Info Log zeigt Informationen über systemspezifische Ereignisse. • EPA Log zeigt Informationen über Geräteprofil- und Endpoint Analysis-Scanereignisse. Debug Log zeigt Informationen, die der Technische Support bei der Problembehandlung verwendet. 3. Klicken Sie auf Text, um die Protokolldateidaten in einem Webbrowser anzuzeigen. • 588 So filtern Sie Access Gateway-Protokolle Sie können das Audit-, Informations-, Endpoint Analysis- und Debugprotokoll auf der Registerkarte Monitor in der Access Gateway Management Console filtern, um bestimmte Informationen anzuzeigen. 1. Klicken Sie in der Access Gateway Management Console auf Monitor. 2. Klicken Sie im Bereich System and Configuration Information unter Running Information auf eine der folgenden Optionen: • Audit Log zeigt Informationen über Benutzerereignisse. • Audit Log zeigt Informationen über Plattform- oder Systemereignisse. • EPA Log zeigt Informationen über Geräteprofil- und Endpoint Analysis-Scanereignisse. Debug Log zeigt Informationen, die der Technische Support bei der Problembehandlung verwendet. 3. Geben Sie in das Feld Search die Suchzeichenfolge ein und klicken Sie auf das Symbol des Filters, der auf das Suchwort angewendet werden soll. • Um wieder das gesamte Protokoll anzuzeigen, klicken Sie auf das Filter-Entfernen-Symbol, um das Suchwort zu löschen. 589 Anzeigen der Access Gateway Plug-in-Verbindungsprotokolle Das Access Gateway-Verbindungsprotokoll enthält Echtzeitinformationen zu Verbindungen, die besonders nützlich beim Beheben von Access Gateway Plug-in-Verbindungsproblemen sind. Das Verbindungsprotokoll wird über das Access Gateway-Symbol auf dem Benutzergerät geöffnet. Benutzer können Ihnen diese Informationen für die Fehlersuche bei Verbindungsproblemen schicken. So zeigen Sie das Verbindungsprotokoll an 1. Klicken Sie mit der rechten Maustaste auf das Access Gateway Plug-in-Symbol im Infobereich und wählen Sie Verbindungsprotokoll. Das Verbindungsprotokoll für die Sitzung wird geöffnet. Hinweis: Das Verbindungsprotokoll wird auf dem Computer des Benutzers unter %Temp%\cag_plugin_connection_log.txt gespeichert. Das Protokoll wird jedes Mal überschrieben, wenn Benutzer eine neue Access Gateway-Verbindung herstellen. So legen Sie ausführlichen Modus für das Clientverbindungsprotokoll fest Citrix empfiehlt, die Benutzer aufzufordern, das Verbindungsprotokoll im ausführlichen Modus zu erstellen, da auf diese Weise detaillierte Informationen für die Problembehandlung, z. B. die Zertifikatüberprüfung, zur Verfügung stehen. 1. Klicken Sie mit der rechten Maustaste auf das Access Gateway-Symbol und klicken Sie auf Verbindungsprotokoll. 2. Aktivieren Sie im Menü Optionen die Option Ausführlicher Modus. 590 Verwalten der Access Controller-Umgebung Nach dem Konfigurieren der Access Controller-Server in Ihrem Cluster führen Sie verschiedene Aufgaben aus, um Ihre Umgebung zu verwalten. Mit diesen Aufgaben stellen Sie sicher, dass die Bereitstellung störungsfrei und effizient ausgeführt wird. Sie haben folgende Möglichkeiten: • Installieren Sie die Delivery Services Console auf mehreren Computern, um das Cluster zu verwalten • Sichern Sie die Delivery Services Console, um den Benutzerzugriff zu verwalten • Erhöhen Sie die Sicherheit auf dem Access Controller, indem Sie Zertifikate verwenden • Erstellen Sie Backups und erstellen Sie Cluster mit mehreren SQL Server-Datenbanken • Importieren und exportieren Sie Access Controller-Konfigurationsdaten In diesem Abschnitt finden Sie Informationen über das Konfigurieren dieser Einstellungen für den Access Controller-Cluster. 591 Steuern des Zugriffs mit mehreren Konsolen Wenn die Citrix Delivery Service Console eine Verbindung mit einem Cluster herstellt, können andere Administratoren den Cluster über andere Konsoleninstanzen gleichzeitig aktiv verwalten. Wenn dieselben Konfigurationseinstellungen geändert werden, schreibt Access Controller die erste gespeicherte Änderung in die Datenbank, basierend auf dem Zeitstempel für die Änderung. Wenn Sie und ein anderer Administrator zwei Änderungen gleichzeitig speichern, wird die Änderung mit dem früheren Zeitstempel bevorzugt. Sie werden benachrichtigt, wenn eine Instanz der Konsole eine Verbindung mit einem Cluster herstellt und eine andere Instanz der Konsole erkannt wird. Wenn Sie Konfigurationen ändern, können sie überschrieben werden, je nachdem, wann die Konsoleninstanzen eine Änderung speichern. Wählen Sie zum Bestätigen Ja, damit die Meldung geschlossen wird. Wichtig: Das Verwalten von Access Controller mit mehreren Konsoleninstanzen gleichzeitig kann zu Datenbeschädigungen und inkonsistenter Serverleistung führen. Citrix empfiehlt, dass Sie nur jeweils eine Konsoleninstanz für die Verwaltung des Clusters verwenden. Verwenden von Gruppen beim Zuweisen von Richtlinien Es empfiehlt sich im Allgemeinen Richtlinien nur Domänenbenutzer- oder Kontoautoritätsgruppen zuzuweisen. Wenn Sie aber die Konsole auf einem Remotecomputer verwenden und eine Richtlinie für lokale Benutzer erstellen, erhalten Sie möglicherweise eine Fehlermeldung, wenn Sie die Richtlinie von einer anderen Konsole aus bearbeiten. Sie können eine solche Richtlinie in der Konsole auf dem Access Controller-Server entfernen oder bearbeiten. 592 Sichern der Delivery Services Console mit COM+ Abhängig von den Anforderungen Ihres Unternehmens können Sie anderen Administratoren die Berechtigung zum Verwalten der Access Controller-Server im Cluster erteilen. Mit der rollenbasierte COM+-Sicherheit können Sie die Benutzer angeben, die mit der Citrix Delivery Services Console Änderungen am Cluster vornehmen können. Während der Installation erstellt Access Controller die folgenden Sicherheitsrollen für die Access Gateway Server-COM+-Anwendung: • Administratoren: Benutzer in dieser Rolle können mit der Konsole Änderungen an der Access Controller-Umgebung vornehmen. • Nicht-Geräte-Administratoren: Benutzer in dieser Rolle können nur Änderungen an Ressourcen und Richtlinien vornehmen. Benutzern, denen diese Rolle zugewiesen wurde, können keine Access Gateway-Geräteeinstellungen bearbeiten. Weisen diese Rolle nicht Benutzern zu, die gleichzeitig auch die Administratorrolle haben. Wenn Sie Benutzern beide Rollen zuweisen, wird die Nicht-Geräte-Administratorrolle nicht umgesetzt. • System: Die Rolle schließt das Dienstkonto sowie andere lokale Konten ein, die Zugriff auf die Access Gateway Server-COM+-Anwendung brauchen. Wenn Sie Benutzern die Administrator- oder Nicht-Geräte-Administratorrolle zuweisen, haben sie möglicherweise Zugriff auf die API, die von der Anwendung bereitgestellt wird, und nicht nur auf die Konsole. Bedenken Sie sorgfältig alle Risiken, bevor Sie der Administratorrolle andere Benutzer hinzufügen. Wichtig: Die der Systemrolle zugeordneten Konten sind für die Funktion von Access Controller erforderlich. Sie müssen die Delivery Services Console schließen, bevor Sie der Administrator- oder Nicht-Geräte-Administratorrolle Benutzer hinzufügen. Wenn diese Systemkonten geändert werden oder die Konsole bei der Anwendung von COM+-Sicherheit geöffnet ist, funktioniert der Cluster möglicherweise nicht mehr und Daten könnten verloren gehen. 593 Sichern der Delivery Services Console mit COM+ So lassen Sie zu, dass Administratoren die Delivery Services Console verwenden 1. Schließen Sie ggf. die Delivery Services Console. 2. Klicken Sie auf Start > Alle Programme > Verwaltung > Komponentendienste. 3. Erweitern Sie im Fenster Komponentendienste die Knoten Komponentendienste > Computer > Arbeitsplatz > COM+-Anwendungen. 4. Erweitern Sie Access Gateway Library > Rollen und wählen Sie die gewünschte Rolle für den/die Benutzer, die Sie hinzufügen möchten: • Damit Administratoren auf alle Clustereinstellungen mit der Konsolen zugreifen können, erweitern Sie Administratoren. Damit Administratoren nur auf Ressourcen und Richtlinien zugreifen können, erweitern Sie Nicht-Geräte -Administratoren. 5. Klicken Sie mit der rechten Maustaste auf Benutzer wählen Sie Neu und klicken Sie dann auf Benutzer. • 6. Geben Sie im Dialogfeld Benutzer auswählen den Namen von mindestens einem Benutzerkonto ein und klicken Sie dann auf OK. 7. Starten Sie die COM+-Anwendung von Access Gateway Library neu. 8. Wiederholen Sie die Schritte 4 bis 7 für die Access Gateway Server-COM+-Anwendung. 594 Aktivieren der Sicherheit zwischen Access Gateway und Access Controller Alle Meldungen, die zwischen Access Gateway und Access Controller ausgetauscht werden, sind sicher. Jede Meldung enthält einen Zeitstempel, die Access Gateway-ID und einen Authentifizierungstoken, der mit einem Schlüssel verschlüsselt ist, der von dem gemeinsamen Schlüssel auf dem Access Controller abgeleitet wird. Außerdem werden Kennwörter, PIN-Nummern und Sitzungs-IDs in der Kommunikation zwischen Access Gateway und Access Controller verschlüsselt. Sie können mit Zertifikaten zusätzliche Sicherheit zwischen Access Gateway und Access Controller erzielen. Erstellen Sie dafür eine Zertifikatanforderung mit Internetinformationsdienste (IIS) und lassen sie von einer Zertifizierungsstelle oder von Microsoft Active Directory-Zertifikatdienste signieren. Wenn Sie das signierte Zertifikat erhalten, verwenden Sie die Windows Server-Zertifizierungsstelle, um das Zertifikat auf den Server herunterzuladen. Nachdem Sie das Zertifikat auf dem Server installiert haben, verwenden Sie in IIS für die Standardwebsite die SSL-Einstellungen, um die Sitebindungen zu konfigurieren. Stellen Sie als Typ https ein und als Port 443. Sie können Verbindungsversuche mit einer ungesicherten Verbindung (HTTP) deaktivieren, indem Sie in den SSL-Einstellungen für die Standardwebsite SSL erforderlich aktivieren. Weitere Informationen finden Sie in der Windows Server 2008-Onlinehilfe. Nachdem Sie die Zertifikat- und SSL-Einstellungen in Windows Server konfiguriert haben, aktivieren Sie die gesicherte Kommunikation in Access Controller und Access Gateway. So aktivieren Sie die gesicherte Kommunikation in Access Controller 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie unter Aufgaben auf Webdiensteinstellungen. 3. Klicken Sie auf Kommunikation mit diesem Server sichern und dann auf OK. So aktivieren Sie die gesicherte Kommunikation auf dem Access Gateway Sie müssen ein entsprechendes Stammzertifikat auf dem Access Gateway installieren. Nachdem Sie das Zertifikat installiert haben, aktivieren Sie die gesicherte Kommunikation unter Deployment Mode. 595 Aktivieren der Sicherheit zwischen Access Gateway und Access Controller So installieren Sie ein Stammzertifikat auf dem Access Gateway 1. Klicken Sie in der Access Gateway Management Console auf Certificates. 2. Klicken Sie auf Import und wählen Sie Trusted Certificate (.pem). 3. Gehen Sie zum Zertifikat und klicken Sie auf Open. Das Zertifikat wird in der Liste unter Display All angezeigt. So aktivieren Sie die gesicherte Kommunikation im Access Gateway 1. Klicken Sie in der Access Gateway Management Console auf Management. 2. Klicken Sie unter System Administration auf Deployment Mode. 3. Klicken Sie unter Access Controller Settings auf Secure connection und klicken Sie dann auf Save. Wenn Sie Secure connection wählen, wird der Port automatisch auf 443 umgestellt. Sie können diese Portnummer verwenden oder eine andere angeben. 596 Sicherstellen der Clusterverfügbarkeit Access Controller verwaltet alle Konfigurations-, Sitzungs- und Benutzerdaten für den Cluster in einer SQL-Datenbank auf dem Datenbankserver. Wenn der Datenbankserver nicht verfügbar ist, kann Access Controller keine von Benutzern oder vom Server angeforderten Daten abrufen. Wenn der Access Controller-Server nicht verfügbar ist, können sich Benutzer nicht am Server anmelden und keine Ressourcen abrufen. In diesem Abschnitt wird erläutert, wie Sie die Verfügbarkeit des Clusters maximieren. • Erstellen einer Sicherungskopie der SQL-Datenbank: Nachdem Sie die erste Sicherungskopie erstellt haben, stellen Sie sicher, dass regelmäßig Sicherungskopien der Datenbank erstellt werden. Prüfen Sie zudem, ob die Daten der Sicherungskopien wiederhergestellt werden können. • Clustern des Datenbankservers: Clustering ermöglicht einem anderen Datenbankserver den Betrieb des Clusters aufrecht erhalten, wenn der erste Datenbankserver nicht verfügbar ist. Die geclusterten Server erscheinen in Access Controller als ein Datenbankserver. • Clustern der Access Controller-Server: Wie beim Datenbankserver ermöglicht das Clustern die Aufrechterhaltung des Betriebs durch einen anderen Access Controller-Server, wenn der erste Server ausfällt. Benutzer können sich weiterhin am Server anmelden und auf Ressourcen zugreifen. Exportieren und Importieren von Konfigurationsdaten Mit der Delivery Services Console können Sie die Clusterkonfigurationsdaten exportieren und importieren. Dies ist z. B. nützlich, wenn Sie die Konfigurationsdaten von einem Cluster in einer Testumgebung in einen Cluster in einer Produktionsumgebung kopieren möchten. Beim Exportieren der Clusterkonfiguration wird eine CAB-Datei erstellt, die aus komprimierten XML-Dateien besteht, die die folgenden Daten enthalten: • Globale Clustereinstellungen wie die Anzeigereihenfolgen von Homepage-Anwendungen, Lizenzserver und Authentifizierungsprofile • XenApp-Farmeinstellungen • Netzwerk- und Webressourceneinstellungen • Anmeldepunkteinstellungen • Richtlinieneinstellungen • Endpoint Analysis-Einstellungen • Access Gateway-Gerät-Einstellungen Unter anderem werden folgende Daten nicht exportiert: 597 Sicherstellen der Clusterverfügbarkeit • Clustername • Daten, die nur gültig sind, wenn der Access Controller-Server ausgeführt wird, z. B. Benutzersitzungsdaten • Serverinformationen, z. B. Computernamen Nachdem Sie Ihre Clusterkonfiguration exportiert haben, können Sie die CAB-Datei importieren, um die Konfiguration auf einem anderen Server wiederherzustellen, auf dem die gleiche Version von Access Controller ausgeführt wird. Bevor Sie Ihre Clusterkonfiguration exportieren, sollten Sie folgende Bedingungen beachten: • Sie können nur CAB-Dateien importieren, die mit der gleichen Version von Access Controller exportiert wurden. Wenn Sie beispielsweise die Konfiguration eines Clusters mit Version 5.0 von Access Controller exportieren, können Sie die Konfigurationsdaten nur auf einem anderen Server importieren, auf dem Version 5.0 von Access Controller ausgeführt wird. Der Import der Konfigurationsdaten auf einem Server mit einer anderen Version von Access Controller schlägt fehl. Hinweis: Wenn Sie Konfigurationsdaten von einer früheren Version von Access Controller importieren möchten, müssen Sie Ihre Daten für den Import in einen Cluster mit Version 5.0 mit dem Migrationsassistenten vorbereiten. Weitere Informationen zur Migration von Konfigurationsdaten auf Access Controller finden Sie unter Migration von Access Gateway Advanced Edition. • Teilexporte oder -importe von Clusterkonfigurationsdaten werden nicht unterstützt. Sie können nur die gesamte Clusterkonfiguration exportieren oder importieren. • Beim Import der Clusterkonfigurationsdaten löscht Access Controller die vorhandene Clusterkonfiguration und ersetzt sie durch die importierten Daten. Hinweis: Bevor Sie Clusterkonfigurationsdaten importieren, empfiehlt Citrix ein Backup der SQL-Datenbank für den Cluster zu erstellen. So exportieren Sie Ihre Clusterkonfiguration 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen und dann Access Gateway, klicken Sie auf den Access Controller, auf dem Sie die Einstellungen exportieren möchten, und klicken Sie dann unter Andere Aufgaben auf Cluster exportieren. 3. Geben Sie in Zieldatei für exportierte Konfigurationsdaten den Speicherort ein, an dem Sie die CAB-Datei erstellen möchten, klicken Sie auf Weiter und dann auf Fertig stellen. Wenn Sie auf Weiter klicken, werden die XML-Dateien in eine CAB-Datei komprimiert und an dem angegebenen Ort gespeichert. 598 Sicherstellen der Clusterverfügbarkeit So importieren Sie Ihre Clusterkonfiguration 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen und dann Access Gateway, klicken Sie auf den Access Controller, auf dem Sie die Einstellungen importieren möchten, und klicken Sie dann unter Andere Aufgaben auf Cluster importieren. 3. Geben Sie in Quelldatei für Konfigurationsdaten den Speicherort der CAB-Datei ein, die Sie importieren möchten, klicken Sie auf Weiter und dann auf Fertig stellen. Wenn Sie auf Weiter klicken, wird die CAB-Datei dekomprimiert und die bestehenden Konfigurationsdaten werden durch die importierten Daten ersetzt. Wichtig: Erstellen Sie ein Backup der aktuellen Konfiguration, bevor Sie Konfigurationseinstellungen importieren. 599 Ändern der Anmeldeinformationen für das Dienstkonto und die Datenbank Das Dienstkonto ist das Administratorkonto, das Sie zum Anmelden und Verwalten von Access Controller verwenden. Sie können in der Serverkonfiguration den Benutzernamen und das Kennwort für das Dienstkonto ändern. So ändern Sie das Dienstkonto 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie im linken Bereich auf Dienstkonto. 3. Geben Sie unter Benutzername, Kennwort und Domänedie neuen Anmeldeinformationen ein und klicken Sie dann auf OK. So ändern Sie die Datenbank für Access Controller Wenn Sie den Access Controller-Server in eine andere Datenbank verschieben möchten, ändern Sie die Datenbankeinstellungen in der Serverkonfiguration. 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Serverkonfiguration. 2. Klicken Sie im linken Bereich auf Clusterinformation. 3. Geben Sie in das Feld Server für Konfigurationsdatenbank den Namen der Datenbank ein. 4. Geben Sie im Feld Clustername den Namen des Clusters ein und klicken Sie auf OK. 600 Überwachen von Sitzungen Die Sitzungsanzeige von Access Controller ist ein Sitzungsüberwachungstool, mit dem Administratoren den Benutzerzugriff auf den Cluster überprüfen und Benutzersitzungen beenden können. Hinweis: Sie müssen Administratorrechte haben, um die Sitzungsanzeige ausführen zu können. Zum Ausführen der Sitzunganzeige ist keine Access Controller-Sitzung erforderlich. Die Sitzungsanzeige zeigt Daten von dem Server an, an dem Sie angemeldet sind oder von anderen Access Controller-Servern. Unter anderem: • Clientsprache, die Sprache, die auf dem Benutzergerät eingestellt ist • Gatewayserver, das Access Gateway, durch das der Benutzer verbunden ist • Anmeldepunkt, über den der Benutzer die Verbindung hergestellt hat • Sitzungstyp, die Methode, mit der die Benutzerverbindung hergestellt wurde: Access Gateway Plug-in, Citrix Online Plug-ins oder clientloser Zugriff • Verkehrsinaktivitätstimeout, Dauer nach der die Sitzung bei Inaktivität das Zeitlimit überschreitet • Benutzeragent, der Webbrowsertyp der für die Verbindung vom Benutzergerät verwendet wird • Benutzerdomäne, die Windows-Domäne, über die der Benutzer die Verbindung hergestellt hat • Benutzername, der Name, mit dem sich der Benutzer angemeldet hat • WI - Eingebetteter Modus, wenn das Webinterface in das Access Interface oder ein Webbrowserfenster eingebettet ist Die Werte könnten beispielsweise so aussehen: Client Language = en-US Gateway server = 10.199.241.10 Logon Point = lp1 Session Type = CVPN Traffic Inact So greifen Sie auf die Sitzungsanzeige zu 1. Klicken Sie auf Start > Alle Programme > Citrix > Access Gateway > Sitzungsanzeige. Wenn Sie eine Sitzung unter Sitzungauswählen, werden die Daten für die Sitzung unter Sitzungswerte angezeigt. Sie können Sitzungen sortieren, indem Sie im Bereich Sitzung auf die Spaltenüberschriften klicken. 601 Überwachen von Sitzungen So beenden Sie Benutzersitzungen 1. Wählen Sie unter Sitzung eine oder mehrere Benutzersitzungen aus, die Sie schließen möchten. 2. Klicken Sie auf Sitzung beenden. Wenn der Benutzer versucht, auf die Ressource zuzugreifen, nachdem Sie die Sitzung beendet haben, wird eine Fehlermeldung angezeigt und der Benutzer muss sich neu anmelden. 602 Überwachen des Zugriffs auf interne Netzwerkressourcen Mit der Ereignisprotokollierung in Access Controller können Sie den Benutzerzugriff auf Netzwerkressourcen prüfen und überwachen. Ereignisprotokolle ermöglichen Folgendes: 603 • Nachweisen der Einhaltung gesetzlicher Vorschriften • Nachweisen der Einhaltung interner und unternehmensspezifischer Vorschriften • Vorbeugende Maßnahmen zum Beheben bestehender Schwachstellen, z. B. bei Vorfällen, bei denen der beabsichtigte Zugriff umgangen wird • Unterstützen des Supportpersonals beim Beheben von Problemen im Zusammenhang mit dem Benutzerzugriff auf Netzwerkressourcen Konfigurieren der Überwachungsprotokollierung Sie können Access Controller so konfigurieren, dass bestimmte Benutzeraktivitäten für Überwachungszwecke aufgezeichnet werden. Sie können beispielsweise die Ergebnisse von Endpoint Analysis-Scans und erfolgreiche Anmeldeversuche überwachen. Bevor Sie die Einstellungen für Ereignisprotokolle konfigurieren, sollten Sie festlegen, welche Informationen Sie sammeln möchten und aktivieren Sie die Protokollierung nur für die damit verbundenen Ereignisse. Auf diese Weise wird durch die Überwachung nicht die Systemleistung beeinträchtigt oder unnötiger Festplattenspeicher verbraucht. Darüber hinaus erleichtert das Einschränken der Protokollierung auf die für die Überwachung relevanten Informationen die Auswertung der Daten. In der folgenden Tabelle finden Sie die Ereignisse, die Sie über Ereignisprotokolle überwachen können. 604 Ereignis Beschreibung Endpunktanalyseerg ebnisse Alle Ergebnisse der Endpunktanalyse werden protokolliert. Access Controller generiert drei Ereignisse für jede Überprüfung des Benutzergeräts. Das erste Ereignis enthält die unverarbeiteten Daten der Endpunktanalyse des Benutzergeräts. Das zweite Ereignis enthält die Ergebnisse (Wahr/Falsch) der Analyse in Access Controller. Das dritte Ereignis enthält spezifische Ergebnisse (Wahr/Falsch) für die Anforderungen zum Anzeigen der Anmeldeseite. Anmeldeseite verweigern Protokolliert ein Ereignis, wenn einem Benutzer die Anmeldeseite nicht angezeigt wird, weil die von Ihnen konfigurierten Anforderungen nicht erfüllt sind. Anmeldung zulassen Protokolliert ein Ereignis, wenn eine erfolgreiche Windows NT-Authentifizierung an den Domänencontroller weitergeleitet wird. Es wird kein Ereignis protokolliert, wenn ein Benutzer gültige Anmeldeinformationen sendet, aber der Zugriff wegen Richtlinienbeschränkungen verweigert wird. Anmeldung verweigern Protokolliert ein Ereignis, wenn eine erfolglose Windows NT-Authentifizierung an den Domänencontroller weitergeleitet wird oder wenn die Richtlinie Anmeldung zulassen einem Benutzer den Zugang zur Anmeldeseite verweigert. Benutzer abgemeldet Protokolliert ein Ereignis, wenn ein Benutzer eine Sitzung schließt. Sitzungstimeout Protokolliert ein Ereignis, wenn es zu einem Sitzungstimeout kommt. Der Wert für das Sitzungstimeout wird als eine Anmeldepunkteinstellung konfiguriert. Ressourcenzugriffsb erechtigungen Protokolliert die Ressourcen, für die ein Benutzer Zugriffsberechtigungen hat. Konfigurieren der Überwachungsprotokollierung Wichtig: Sie konfigurieren die Überwachungsprotokollierung auf Clusterebene und die Einstellungen gelten für alle Ressourcen im Cluster. Wenn der Cluster auf mehrere Server verteilt ist, wird daher für jeden Server ein Überwachungsprotokoll erstellt. Die wesentlichen Schritte zum Konfigurieren der Ereignisprotokollierung sind: • Angeben der Ereignisse, die für den Cluster protokolliert werden sollen: Verwenden Sie die Delivery Services Console, um anzugeben, welche Art von Ereignissen von Servern in einem Cluster protokolliert werden sollen. • Konfigurieren der Protokolleinstellungen für jeden Server im Cluster: Verwenden Sie die Ereignisanzeige von Windows, um die Protokolleinstellungen für jeden Server zu konfigurieren. Standardmäßig ist die maximale Größe des CitrixAGE-Überwachungsprotokolls auf 5.120 KB festgelegt. Das Protokoll bleibt sieben Tage lang erhalten und wird dann überschrieben. Access Controller fügt keine weiteren Ereignisse hinzu, wenn das Protokoll die maximale Größe erreicht hat und es keine Ereignisse gibt, die älter sind als hier angegeben. Sollte diese Konfiguration Ihren Überwachungsansprüchen nicht genügen, können Sie die Größe der Protokolldatei herauf setzen und die Zeit ändern, die ein Protokoll nicht überschrieben wird. • Stellen Sie Ereignisprotokolle in einer Ansicht zusammen: Jeder Server in einem Cluster führt ein separates Ereignisprotokoll. Verwenden Sie die Ereignisprotokollkonsolidierung von Access Controller, um Ereignisprotokolldaten von allen Servern in dem Cluster zu sammeln und in einer einzigen konsolidierten Ansicht anzuzeigen. Nachdem die Daten von der Ereignisprotokollkonsolidierung gesammelt wurden, können Sie weitere Analysen durchführen, indem Sie Berichte zu Benutzer- und Ressourcenzugriff usw. erstellen. So wählen Sie zu protokollierende Ereignisse für ein Cluster 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, erweitern Sie Access Gateway und klicken Sie anschließend auf den Access Controller, den Sie überwachen möchten. 3. Klicken Sie unter Häufige Aufgaben auf Clustereigenschaften bearbeiten. Das Dialogfeld Access Controller - Clustereigenschaften wird angezeigt. 4. Auf der Seite Ereignisprotokollierung können Sie eine Auswahl aus den unten aufgeführten Überwachungsoptionen treffen: • Scanergebnisse der Endpoint Analysis • Anmeldepunktdaten, einschließlich Verweigern von Anmeldeseiten, Anmeldung zugelassen, Anmeldung verweigern, Benutzerabmeldungen und Sitzungstimeouts. • Ressourcen, einschließlich Webressourcen, Dateifreigaben und Netzwerkressourcen, auf die der Benutzer Zugriff hat. Hinweis: Um sitzungsbasierte Berichte in der Ereignisprotokollkonsolidierung zu generieren, müssen Sie die Protokollierung des Ereignisses Anmeldung zulassen aktivieren. 605 Konfigurieren der Überwachungsprotokollierung So konfigurieren Sie Protokolleinstellungen für Access Controller-Server Sie müssen als Administrator oder als ein Mitglied der Administratorgruppe angemeldet sein, damit Sie die Access Controller-Überwachungsinformationen in der Windows-Ereignisanzeige konfigurieren können. Nachdem Sie die Überwachung in Access Controller konfiguriert haben, können Sie in der Windows-Ereignisanzeige Einstellungen für die Überwachungsprotokollierung konfigurieren, u. a.: • Angeben der maximalen Protokollgröße • Festlegen, wann Ereignisse überschrieben werden Wichtig: Standardmäßig ist die maximale Größe des CitrixAGE-Überwachungsprotokolls auf 5.120 KB festgelegt. Das Protokoll bleibt sieben Tage lang erhalten und wird dann überschrieben. Access Controller fügt keine weiteren Ereignisse hinzu, wenn das Protokoll die maximale Größe erreicht hat und es keine Ereignisse gibt, die älter sind als hier angegeben. Sollte diese Konfiguration Ihren Überwachungsansprüchen nicht genügen, können Sie die Größe der Protokolldatei herauf setzen und die Zeit ändern, die ein Protokoll nicht überschrieben wird. 1. Öffnen Sie die Windows-Ereignisanzeige eines Servers, auf dem Access Controller ausgeführt wird. 2. Erweitern Sie in der Konsolenstruktur Anwendungs- und Dienstprotokolle und klicken Sie dann auf CitrixAGE Audit. 3. Konfigurieren Sie die Protokollierungseigenschaften wie erforderlich. 4. Wiederholen Sie diesen Schritt für alle Server im Cluster. So konsolidieren Sie Ereignisprotokollergebnisse 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, klicken Sie dann auf Access Gateway. 3. Klicken Sie unter Andere Aufgaben auf Ereignisse anzeigen. 4. Klicken Sie in der Ereignisprotokollkonsolidierung im Menü Datei auf Konfigurieren. Das Dialogfeld Konfiguration wird geöffnet. 5. Geben Sie im Feld Abfrageintervall (Sek) in Sekunden an, wie häufig die Ereignisprotokollkonsolidierung die Überwachungsprotokolldaten von Access Controller-Server sammelt und klicken Sie dann auf OK. 6. Klicken Sie im Menü Datei auf Sammeln, um mit der Abfrage von Access Controller-Servern zu beginnen. 606 Konfigurieren der Überwachungsprotokollierung Wichtig: Übertrieben detaillierte Protokollierung und übertrieben häufige Abfragen können die Systemleistung negativ beeinflussen. Vermeiden Sie daher die Protokollierung unnötiger Ereignisse für einen Cluster. Vermeiden Sie außerdem unnötige Abfragen von Überwachungsprotokolldaten in der Ereignisprotokollkonsolidierung. 607 Interpretieren der Überwachungsereignisse Access Controller schreibt Überwachungsinformationen in die Windows Ereignisanzeige. In der folgenden Tabelle werden die Überwachungsereignisinformationen aufgelistet, die Sie auswerten können. Feld Beschreibung Referenz-ID Referenznummer, die jedem protokollierten Ereignis zugewiesen wird. Benutzername Name des authentifizierten Benutzers, der auf die Ressource zugreift. Startdatum Datum, an dem die Anforderung beginnt. Startzeit Zeit, zu der die Anforderung beginnt. Enddatum Datum, an dem die Anforderung endet. Endzeit Zeit, zu der die Anforderung endet. Anmeldepunkt Der Name des Anmeldepunkts. Die Protokollierungsfunktion wird zwar auf Clusterebene aktiviert, jedoch verwaltet jeder Server seine eigene Protokolldatei. Um Protokollinformationen von allen Servern in einem Cluster in einer einzelnen Ansicht zu sammeln, verwenden Sie die Ereignisprotokollkonsolidierung. Die Ereignisprotokollkonsolidierung unterstützt Sie beim Interpretieren der Daten durch das Sortieren der Ereignisse und das generieren von Berichten. So zeigen Sie Protokollierungsergebnisse in der Ereignisprotokollkonsolidierung an 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Delivery Services Console. 2. Erweitern Sie in der Konsolenstruktur Citrix Ressourcen, klicken Sie dann auf Access Gateway. 3. Klicken Sie unter Andere Aufgaben auf Ereignisse anzeigen. 4. In der Ereignisprotokollkonsolidierung sortieren Sie Ereignisse oder generieren Berichte. 608 Fehlerbehebung beim Benutzerzugriff auf Ressourcen Wenn Benutzer auf eine Unternehmensressource nicht zugreifen können, kann das verschiedene Gründe haben, angefangen bei fehlgeschlagenen Endpoint Analysis-Scans über falsche Authentifizierungsinformationen bis hin zu Richtlinienbeschränkungen usw. Häufig ist es für Benutzer nicht möglich, herauszufinden, warum der Zugriff verweigert wurde. Daher verlassen sie sich auf Supportpersonal bei der Behebung dieser Probleme. Wird dem Benutzer der Zugriff auf den Anmeldepunkt wegen eines fehlgeschlagenen Endpunktanalysescans verweigert, wird ein eindeutiger Wert im Browser des Benutzers angezeigt. Access Controller schreibt diese Informationen als PolicyReference- oder EPAReference-Wert auch in das Ereignisprotokoll. Aus diesem Grund sollten Sie Benutzer anweisen, Referenznummern aufzuschreiben und diese Informationen an das Supportpersonal weiterzugeben, da die Lösungsfindung hierdurch beschleunigt wird. Das Supportpersonal kann mit diesen Informationen ein bestimmtes Ereignis schnell identifizieren und mit der Behebung des Problems beginnen. Zudem kann das Supportpersonal die Tabelle im Abschnitt Interpretieren der Überwachungsereignisse als Ressource beim Bewerten von Ereignissen verwenden. 609
