Citrix Gateway und Citrix Virtual Apps and Desktops

Übersicht

Citrix Gateway ist die beste sichere Remotezugriffslösung für Citrix Workspace. Es bietet eine Vielzahl einzigartiger Integrationen, die die Sicherheit und das Benutzererlebnis verbessern. Darüber hinaus konsolidiert Citrix Gateway den Zugriff auf jede App von jedem Gerät aus über eine einzige URL.

Citrix Gateway ermöglicht einen verschlüsselten und kontextabhängigen Zugriff (Authentifizierung und Autorisierung) auf Citrix Workspace. Der Citrix ADC-basierte Load Balancing verteilt den Benutzerdatenverkehr auf die Server von Citrix Virtual Apps and Desktops. Citrix Gateway beschleunigt, optimiert und bietet Einblick in den Verkehrsfluss, der nützlich ist, um eine optimale Benutzerleistung in einer Bereitstellung von Citrix Virtual Apps and Desktops sicherzustellen.

Die folgenden Integrationen bieten Mehrwert für eine Citrix Workspace-Bereitstellung:

• Kontextabhängige Authentifizierung — Validierung des Benutzers und des Geräts mit Multifaktor-Authentifizierung (nFactor)
• Kontextabhängige Autorisierung - Beschränken Sie die Verfügbarkeit von Apps und Desktops basierend auf dem Benutzer, dem Standort und den Geräteeigenschaften
• Kontextabhängiger Zugriff - Beschränken Sie den Zugriff auf HDX-Funktionen, indem Sie das Citrix HDX-Verbindungsverhalten ändern
• End-to-End-Überwachung — Identifizieren der Quelle von Verzögerungen und Triage-Problemen, die sich auf die Benutzerleistung auswirken
• Adaptiver Netzwerktransport — Bieten Sie eine überlegene Benutzererfahrung, indem Sie dynamisch auf sich ändernde Netzwerkbedingungen reagieren
• Optimales Routing — Sorgen Sie für eine bessere Benutzererfahrung, indem Sie Apps und Desktops immer vom lokalen Gateway aus starten
• Benutzerdefinierte Verfügbarkeitsmonitore — Bieten Sie eine umfassende Überwachung des Anwendungszustands von Back-End-Services, die auf den StoreFront- Delivery Controller

Konzeptionelle Architektur

Citrix Gateway ist eine gehärtete Appliance (physisch oder virtuell), die den gesamten Citrix Workspace-Datenverkehr mit standardbasierter SSL/TLS-Verschlüsselung bereitstellt und sichert. Die gebräuchlichste Bereitstellungskonfiguration besteht darin, das Citrix Gateway-Gerät in der DMZ zu platzieren. Damit wird das Citrix Gateway zwischen dem sicheren internen Netzwerk einer Organisation und dem Internet (oder einem externen Netzwerk) platziert.

Viele Organisationen schützen ihr internes Netzwerk mit einer einzigen DMZ (Abbildung 1). Es können jedoch mehrere Citrix Gateway-Appliances für komplexere Bereitstellungen bereitgestellt werden, die eine Double-Hop-DMZ erfordern (Abbildung 2).

Abbildung 1: Virtuelle App und Desktops mit Citrix Gateway, die in einer einzigen DMZ bereitgestellt werden

Einige Organisationen verwenden mehrere Firewalls oder um ihre internen Netzwerke zu schützen. Die drei Firewalls in Abbildung 2 teilen die DMZ in zwei Phasen (Double-Hop) auf, um eine zusätzliche Sicherheitsebene für das interne Netzwerk zu bieten.

Abbildung 2: Virtual Apps and Desktops mit Citrix Gateway, die in einer Double-Hop-DMZ bereitgestellt werden

Citrix Administratoren können Citrix Gateway-Appliances in einer Double-Hop-DMZ bereitstellen, um den Zugriff auf Server mit Citrix Virtual Apps and Desktops zu steuern. Bei einer Double-Hop-Bereitstellung sind die Sicherheitsfunktionen auf die beiden Appliances aufgeteilt.

Das Citrix Gateway in der ersten DMZ verwaltet Benutzerverbindungen und führt die Sicherheitsfunktionen wie Verschlüsselung, Authentifizierung und Zugriff auf die Server im internen Netzwerk aus.

Das Citrix Gateway in der zweiten DMZ dient als Citrix Gateway Proxygerät. Dieses Citrix Gateway ermöglicht es dem HDX-Datenverkehr, die zweite DMZ zu durchlaufen, um Benutzerverbindungen zur Serverfarm zu schließen. Die Kommunikation zwischen Citrix Gateway in der ersten DMZ und der Secure Ticket Authority (STA) im internen Netzwerk erfolgt ebenfalls über Citrix Gateway in der zweiten DMZ.

In Unternehmen, in denen mehrere StoreFront- und Delivery Controller-Server bereitgestellt werden, empfiehlt Citrix, die Dienste mithilfe der Citrix ADC Appliance zu lasten. Ein virtueller Server balanciert alle StoreFront-Server aus und eine andere Last balanciert alle Delivery Controller-Server aus. Die intelligente Zustandsüberwachung der Anwendung stellt sicher, dass nur voll funktionsfähige Server als verfügbar markiert sind, um Benutzeranfragen entgegen zu

Citrix ADC Appliances, die für den Global Server Load Balancing (GSLB) konfiguriert sind, können die Citrix Workspace-Auslastung zwischen Rechenzentren ausgleichen. GLSB leitet Benutzeranfragen an das nächstgelegene oder leistungsstärkste Rechenzentrum oder bei einem Ausfall an überlebende Rechenzentren weiter. Die Verwendung von GSLB ermöglicht Disaster Recovery über mehrere Rechenzentren hinweg und stellt die kontinuierliche Verfügbarkeit von Anwendungen sicher, indem sie vor Fehlerquellen schützt.

In Abbildung 3 verwenden die ADCs das Metric Exchange Protocol (MEP) und die DNS-Infrastruktur, um die Benutzer mit dem Rechenzentrum zu verbinden, das die von Administratoren festgelegten Kriterien am besten erfüllt. Die Kriterien können das am wenigsten geladene, am nächsten oder schnellste Rechenzentrum für die Beantwortung von Anfragen festlegen.

Abbildung 3: Globaler Server-Lastenausgleich für Virtual Apps and Desktops

Kontextuelle Authentifizierung (nFactor und EPA)

Citrix Gateway konsolidiert die Remotezugriffsauthentifizierungsinfrastruktur für alle Anwendungen, sei es in einem Rechenzentrum, in einer Cloud oder wenn die Apps als SaaS-Apps bereitgestellt werden. Darüber hinaus bietet Citrix Gateway:

• Der zentrale Zugangspunkt für alle Anwendungen
• Sichere Zugriffsverwaltung, granulare und konsistente Zugangskontrolle für alle Apps
• Eine bessere Benutzererfahrung, die die Produktivität verbessert
• Multifaktor-Authentifizierung, die die Sicherheit verbessert

Abbildung 4: Konsolidierung von Citrix Gateway Single Sign On

Die Citrix Gateway-Authentifizierung umfasst lokale und Remote-Authentifizierung für Benutzer und Gruppen. Citrix Gateway bietet Unterstützung für die folgenden Authentifizierungstypen.

• Lokal
• Lightweight Directory Access Protocol (LDAP)
• RADIUS
• SAML
• TACACS+
• Clientzertifikatauthentifizierung (einschließlich Smartcard-Authentifizierung)

Citrix Gateway unterstützt auch Multifaktor-Authentifizierungslösungen wie RSA SecurID, Gemalto Protiva (Thales), Duo (Cisco) und SafeWord (Aladdin) unter Verwendung einer RADIUS-Serverkonfiguration.

Abbildung 5: Optionen für Citrix Gateway nFactor

nFactor Authentifizierung

Citrix Gateway erweitert die Zwei-Faktor-Authentifizierung um echte Multifaktor-Funktionen und bietet Administratoren Flexibilität für Authentifizierung, Autorisierung und Auditing. Beispielsweise sind dynamische Anmeldeformulare und Aktionen bei Ausfall durch Verwendung der nFactor-Authentifizierung möglich. Administratoren können zwei Arten von Multifaktor-Authentifizierung auf Citrix Gateway konfigurieren:

• Zwei-Faktor-Authentifizierung, bei der Benutzer mit zwei Authentifizierungsarten angemeldet werden müssen
• Kaskadierende Authentifizierung, die die Authentifizierungsprioritätsstufe festlegt

Wenn die Citrix Gateway-Bereitstellung mehrere Authentifizierungsserver hat, können Administratoren die Priorität der Authentifizierungsrichtlinien festlegen. Die Prioritätsstufen bestimmen die Reihenfolge, in der der Authentifizierungsserver die Anmeldeinformationen der Benutzer überprüft. Wenn Administratoren eine Kaskade konfigurieren, durchläuft das System jeden Authentifizierungsserver, um die Anmeldeinformationen eines Benutzers zu validieren.

Die nFactor-Authentifizierung ermöglicht dynamische Authentifizierungsflüsse basierend auf dem Benutzerprofil. Die Flows können einfach sein oder mit komplexeren Sicherheitsanforderungen über andere Authentifizierungsserver gekoppelt werden. Im Folgenden sind einige Anwendungsfälle aufgeführt, die von Citrix Gateway aktiviert werden:

1. Dynamische Auswahl冯Benutzernamen Kennwortern: Traditionell verwenden die Citrix Clients (einschließlich Browser und der Workspace-App) das Active Directory (AD) -Kennwort als erstes Kennwortfeld. Das zweite Kennwort ist für das One-Time-Kennwort (OTP) reserviert. Um AD-Server jedoch vor Brute-Force- und Lockout-Angriffen zu schützen, können Kunden verlangen, dass der zweite Faktor wie OTP zuerst validiert wird. nFactor kann dies tun, ohne dass Client-Änderungen erforderlich sind.
2. Multitenant-Authentifizierungsendpunkt: Einige Organisationen verwenden unterschiedliche Citrix Gateway-Anmeldepunkte für Benutzer von Zertifikaten und Nicht-Zertifikaten. Wenn Benutzer ihre eigenen Geräte für die Anmeldung verwenden, können ihre Zugriffsebenen je nach verwendetem Citrix Gateway je nach verwendetem Gerät variieren. Citrix Gateway kann unterschiedliche Authentifizierungsanforderungen am selben Anmeldungspunkt erfüllen und die Komplexität reduzieren und die Benutzererfahrung verbessern.
3. Authentifizierung basierend auf Gruppenmitgliedschaft: Einige Organisationen erhalten Benutzereigenschaften von AD-Servern, um die Authentifizierungsanforderungen zu bestimmen, die für einzelne Benutzer unterschiedlich sein können. Beispielsweise kann die Gruppenextraktion verwendet werden, um zu bestimmen, ob ein Benutzer ein Mitarbeiter oder ein Anbieter ist, und die entsprechende zweite Faktorauthentifizierung darzustellen.

Endpunktanalyse-Scans

Endpoint Analysis (EPA) -Scans werden verwendet, um die Einhaltung von Benutzergeräten gemäß den Sicherheitsanforderungen von Endgeräten zu überprüfen. Sie sind richtlinienbasierte Vorauthentifizierungs- und Nachauthentifizierungsscans, die auf der Citrix Gateway-Appliance konfiguriert sind. EPA-Scans sind Teil der kontextuellen Authentifizierung, wenn der Status des Endpunkts an den Authentifizierungsrichtlinien beteiligt ist.

Wenn ein Benutzergerät versucht, über die Citrix Gateway-Appliance auf Citrix Workspace zuzugreifen, wird das Gerät auf Konformität überprüft, bevor ihm Zugriff gewährt wird. Beispielsweise kann EPA verwendet werden, um Parameter wie Betriebssystem, Antivirus, Webbrowser, bestimmte Prozesse, Dateisystem- oder Registrierungsschlüssel sowie Benutzer- oder Gerätezertifikate zu überprüfen.

Administratoren können zwei Arten von EPA-Scans mithilfe des OPSWAT EPA-Engine-Scans und eines System-Scans mithilfe der Client Security-Engine konfigurieren. Mit der OPSWAT EPA-Engine können Administratoren Produkt-, Anbieter- und generische Scans konfigurieren. Diese Prüfungen suchen nach einem bestimmten Produkt, das von einem bestimmten Anbieter, einem Anbieter in einer bestimmten Kategorie oder einer Kategorie für alle Anbieter bzw. Produkte angeboten wird.

Systemscans validieren Attribute auf Systemebene wie MAC-Adresse oder Gerätezertifikate. Gerätezertifikate können in nFactor als EPA-Komponente konfiguriert werden, und Administratoren können den Zugriff auf Intranet-Ressourcen des Unternehmens basierend auf der Gerätezertifikatauthentifizierung selektiv zulassen oder blockieren.

Kontextuelle Autorisierung (SmartAccess)

SmartAccess verwendet EPA-Richtlinien nach der Authentifizierung, um den Benutzerzugriff auf Apps und Desktops einzuschränken. Beispielsweise kann eine sensible Personalanwendung aktiviert oder deaktiviert werden, wenn ein Benutzer eine Verbindung von einem verwalteten oder nicht verwalteten Gerät herstellt.

Mithilfe von SmartAccess-Richtlinien können Administratoren die Ressourcen identifizieren, die pro Benutzer und pro App verfügbar sind. Faktoren wie der Endbenutzer, der Quell-IP-Bereich, der spezifische Registrierungsschlüssel oder die Datei auf dem Benutzerendpunkt werden verwendet, um festzustellen, ob die Einhaltung der Vorschriften eingehalten wird. In ähnlicher Weise können SmartAccess-Scans verwendet werden, um bestimmte Peripheriegeräte zu identifizieren, die an einen Computer angeschlossen sind, und Anwendungen anzuzeigen, die dieses Gerät benötigen.

SmartAccess ist sowohl auf dem Citrix Gateway als auch in Citrix Studio konfiguriert. Die Ergebnisse eines EPA-Scans werden mit den entsprechenden Zugriffsrichtlinien in Citrix Studio abgeglichen. In Abbildung 6 meldet sich ein Benutzer über Citrix Gateway mit verwaltetem Gerät bei Citrix Workspace an und besteht den Compliance-Scan. Da der Scan erfolgreich war, lösen der zugehörige virtuelle Citrix Gateway-Server und die Sitzungsrichtlinie die Citrix Studio-Richtlinie aus, um den Zugriff für die App zu ermöglichen.

Abbildung 6: EPA-Scan mit Compliance-Pass und App ist erlaubt

In Abbildung 7 meldet sich derselbe Benutzer über Citrix Gateway mit einem persönlichen Gerät bei Citrix Workspace an und schlägt den Compliance-Scan fehl. Umgekehrt löst ein Fehlschein des EPA-Scans nicht die Aktivierung der App für diesen Benutzer und dieses Gerät aus.

Abbildung 7: EPA-Scan mit Konformität schlägt fehl und App ist eingeschränkt

Kontextabhängiger Zugriff (SmartAccess und SmartControl)

Citrix Administratoren können das Citrix HDX-Verbindungsverhalten auch basierend darauf ändern, wie Benutzer eine Verbindung mit Citrix Gateway herstellen. Einige Beispiele sind das Deaktivieren von Clientlaufwerkszuordnungen, das Deaktivieren des Zugriffs auf bestimmte Apps und Desktops und das Deaktivieren des Zugriffs auf das Drucken.

In Abbildung 8 meldet sich ein Benutzer über Citrix Gateway mit einem persönlichen Gerät bei Citrix Workspace an und schlägt den Compliance-Scan fehl. Die Ergebnisse des vom Citrix Gateway durchgeführten EPA-Scans werden mit Citrix Workspace kommuniziert. Mit SmartAccess setzt der Delivery Controller die Ergebnisse des Scans durch und verbietet Zugriff auf die Zwischenablage und Clientlaufwerkszuordnungen.

Abbildung 8: EPA-Scan mit Konformität schlägt fehl

In Abbildung 9 verbindet sich derselbe Benutzer mit demselben Citrix Gateway mit einem konformen Gerät. Die EPA-Ergebnisse ermöglichen jetzt den Zugriff auf die Zwischenablage und Clientlaufwerkszuordnungen.

Abbildung 9: EPA-Scan mit Compliance-Durchlauf

SmartControl hilft Kunden bei der Erfüllung von Sicherheitsanforderungen, die vorschreiben, dass die Zugriffsbedingungen am Rande des Netzwerks bewertet werden. Sicherheitsrichtlinien für Kunden können die Möglichkeit erfordern, den Zugriff auf Ressourcen zu blockieren, noch bevor ein Benutzer Zugriff auf das Unternehmensnetzwerk erhalten hat. SmartControl kann verwendet werden, um bestimmte Komponenten wie Druckerzugriff, Audioumleitung und Laufwerkumleitung von Clientgeräten zu blockieren oder zuzulassen — am Citrix Gateway.

SmartAccess和SmartControl信德ahnlich SmartControl ist jedoch ausschließlich auf Citrix Gateway konfiguriert, während SmartAccess eine Konfiguration sowohl auf Citrix Gateway als auch in Citrix Studio erfordert. Wenn Administratoren Zugriffsrichtlinienentscheidungen für die gesamte Farm treffen möchten, können sie SmartControl auf Citrix Gateway verwenden, das für die gesamte Farm gilt. Ein Unterschied besteht darin, dass SmartAccess Administratoren die Sichtbarkeit veröffentlichter Symbole kontrollieren können, während SmartControl dies nicht tut. Abbildung 10 vergleicht die Unterstützung von SmartAccess- und SmartControl-Funktionen.

Abbildung 10: Funktionsvergleich von SmartAccess und SmartControl

SmartControl-Richtlinien sind so konzipiert, dass sie keinen Zugriff ermöglichen, wenn sie auf der Ebene des einzelnen Delivery Controller verboten sind. Die Optionen gelten standardmäßig für die Richtlinieneinstellung auf Delivery Controller-Ebene oder verbieten einen bestimmten Zugriff, auch wenn dies beim Delivery Controller zulässig ist. SmartAccess- und SmartControl-Richtlinien können gleichzeitig definiert werden, und der restriktivste Richtliniensatz wird angewendet. Im Folgenden finden Sie eine Liste der SmartControl-Einstellungen:

• Connect Client LPT-Ports — Blockiert die für Drucker verwendete LPT-Portumleitung
• Client-Audio-Umleitung — Umleiten von Audio vom VDA auf das Clientgerät
• Lokale Remote-Datenfreigabe — Erlaubt oder verbietet die gemeinsame Datennutzung mit Receiver HTML5
• Client-Clipboard-Umleitung — Leitet den Inhalt der Client-Zwischenablage an den VDA um
• Client-COM-Portumleitung — Umleiten von (seriellen) COM-Ports von Client zu VDA
• Clientlaufwerk-Umleitung — Umleiten von Clientlaufwerken vom Client zum VDA
• Clientdrucker-Umleitung — Leitet Clientdrucker von Client zu VDA um
• Multistream — Multistream erlauben oder deaktivieren
• Client-USB-Laufwerksumleitung — Umleiten von USB-Laufwerken nur vom Client zum Desktop-VDA

Adaptiver Netzverkehr (EDT)

Citrix HDX ist eine Reihe von Technologien, die eine beispiellose Benutzererfahrung bei der Verbindung mit einer Remote-Citrix-Ressource gewährleisten. Mit der HDX-Engine in der Citrix Workspace-App und dem HDX-Protokoll ermöglicht Citrix HDX Benutzern die nahtlose Interaktion mit Ressourcen, selbst unter schwierigen Netzwerkbedingungen.

Eine kürzliche Optimierung für HDX ist das Citrix UDP-basierte zuverlässige Transportprotokoll namens Enlightened Data Transport (EDT). EDT ist schneller, verbessert die Anwendungsinteraktivität und ist interaktiver bei schwierigen Langstrecken-WAN- und Internetverbindungen. EDT bietet eine überlegene Benutzererfahrung, indem es dynamisch auf sich ändernde Netzwerkbedingungen reagiert und gleichzeitig eine hohe Serverskalierbarkeit und eine effiziente Nutzung der Bandbreite gewährleistet.

EDT baut auf UDP auf und verbessert den Datendurchsatz für alle virtuellen ICA-Kanäle, einschließlich Thinwire-Display-Remoting, Dateiübertragung (Client Drive Mapping), Drucken und Multimedia-Umleitung. Wenn EDT nicht verfügbar ist, wechselt EDT intelligent zu TCP-ICA, um die beste Leistung zu erzielen. Citrix Gateway unterstützt EDT und Datagram Transport Layer Security (DTLS), die aktiviert sein müssen, um die von EDT verwendete UDP-Verbindung zu verschlüsseln.

Abbildung 11: Adaptiver HDX-Transport

Sehen Sie sich dieses Video an, ummehr zu erfahren:

End-zu-Ende Monitoring (HDX Insight)

Citrix HDX Insight bietet End-to-End-Transparenz für HDX-Datenverkehr zu Virtual Apps and Desktops, die Citrix Gateway durchlaufen. Mithilfe von Citrix Application Delivery Management (ADM) können Administratoren Kennzahlen zur Client- und Netzwerklatenz in Echtzeit, historische Berichte, End-to-End-Leistungsdaten und Behebung von Leistungsproblemen anzeigen.

Durch das Analysieren von HDX-Datenverkehr kann HDX Insight die Quelle von Verzögerungen und Triageproblemen identifizieren, die sich auf die Benutzerleistung auswirken. Beispielsweise kann es bei einem Benutzer zu Verzögerungen beim Zugriff auf Citrix Virtual Apps and Desktops kommen. Um die Ursache des Problems zu ermitteln, können Administratoren mit HDX Insight WAN-Latenz, Rechenzentrumslatenz und Host-Delay analysieren. Mithilfe von HDX Insight kann festgestellt werden, ob die Latenz auf der Server-, Rechenzentrumsnetzwerk- oder Clientnetzwerkseite liegt.

Abbildung 12 zeigt ein Beispiel, in dem ein bestimmter Benutzer eine normale WAN-Latenz, aber eine hohe Rechenzentrumslatenz aufweist. Diese Informationen sind entscheidend, um Administratoren dabei zu helfen, ein Leistungsproblem zu lösen.

Abbildung 12: Sichtbarkeit von HDX Insight-Sitzungen

明信片wichtige Funktion冯HDX洞察力是Mog死去lichkeit, Latenzzeiten auf der Layer 7 (L7) zu erfassen und anzuzeigen. Die Berechnung der L7-Latenz erfolgt auf der HDX-Schicht und bietet somit eine End-to-End-Latenzerkennung, unabhängig von der Existenz von TCP-Proxys. In Abbildung 10 hilft die Sichtbarkeit der Anwendungsschichten Administratoren bei der Diagnose der Latenz, indem sie feststellen, dass sie von Apps und nicht vom Netzwerk stammt, zum Beispiel in der Situation eines überlasteten Servers oder Backends.

Die L7-Latenzschwelle erkennt aktiv Probleme mit der End-to-End-Netzwerklatenz an der Anwendung. Diese Fähigkeit steht im Gegensatz zur Erfassung der Layer-4-Netzwerklatenz, die kein HDX-Parsing erfordert, aber unter dem Hauptnachteil einer unvollständigen Sicht der Latenz von End-to-End leidet.

Erfolgreiche Benutzeranmeldungen, Latenz- und Details auf Anwendungsebene für virtuelle HDX-Anwendungen und -Desktops werden von HDX Insight bereitgestellt. Endpoint Analysis (EPA), Authentifizierung, Single Sign-On (SSO) und Fehler beim Start von Anwendungen für einen Benutzer sind mit Gateway Insight verfügbar.

Gateway Insight bietet auch Einblick in die Gründe für den Anwendungsstart für virtuelle Anwendungen. Gateway Insight verbessert die Fähigkeit eines Administrators, alle Arten von Problemen bei der Anmeldung oder dem Start von Anwendungen zu beheben, und zeigen Sie auch Folgendes an:

• Anzahl der gestarteten Anwendungen
• Anzahl der gesamten和aktiven Sitzungen
• Anzahl der Gesamtbytes und der von den Anwendungen verbrauchten Bandbreite
• Details zu den Benutzern, Sitzungen, Bandbreite und Startfehlern für eine Anwendung
• Anzahl der Gateways
• Anzahl der aktiven Sessions
• Gesamtzahl Bytes und Bandbreite, die von allen Gateways verwendet werden, die mit einer Citrix Gateway-Appliance zu einem bestimmten Zeitpunkt verknüpft sind
• Details aller Benutzer, die mit einem Gateway verbunden sind, und ihrer Anmeldeaktivitäten

Abbildung 13: Sichtbarkeit von HDX Insight L7-Sitzungen

HDX Optimal Gateway-Routing

Citrix bietet mit Citrix Workspace die beste App- und Desktop-Benutzererfahrung. In einer hybriden Cloud-Bereitstellung vereinfachen Kunden die Benutzererfahrung mit Global Server Load Balancing (GSLB). GSLB erleichtert Benutzern den Zugriff auf Apps, Desktops und Daten unabhängig von ihrem Standort. Bei mehreren Citrix Gateways fragen Kunden jedoch: “Wie können wir Benutzer an ein bestimmtes Rechenzentrum senden, in dem sich die eindeutigen Daten der Benutzer oder Back-End-Anwendungsabhängigkeiten befinden?”

HDX Optimal Gateway Routing bietet Administratoren die Möglichkeit, Citrix Gateway-Verbindungen auf Zonen zu verweisen. Dadurch wird sichergestellt, dass das Citrix Gateway die Zone auswählt, in der es normalerweise die beste Verbindung hat, wie vom Administrator definiert. Die Verwendung von GSLB leitet den Benutzer auch basierend auf seinem Standort zum optimalen Citrix Gateway weiter, und das Gateway wäre mit einer Zone verbunden, um ein vollständiges optimales Gateway-Routing zu erzielen.

HDX Optimal Gateway Routing stellt sicher, dass die Benutzererfahrung sowohl einfach als auch konsistent ist, indem das Authentifizierungsgateway vom optimalen Start-Gateway entkoppelt wird. Dadurch wird sichergestellt, dass Benutzer ihre Apps und Desktops immer vom lokalen Gateway aus starten und so eine bessere Benutzererfahrung bei der Arbeit von überall und auf jedem Gerät gewährleisten.

死GSLB-betriebene Zonenpraferenz这Funktion, die in Workspace, StoreFront und die ADC-Appliance integriert werden kann, um Benutzern Zugriff auf das optimierteste Rechenzentrum auf der Grundlage des Benutzerstandorts zu ermöglichen. Mit dieser Funktion wird die Client-IP-Adresse überprüft, wenn eine HTTP-Anforderung bei der Citrix Gateway-Appliance eingeht, und die tatsächliche Client-IP-Adresse wird verwendet, um die Einstellungsliste des Rechenzentrums zu erstellen, die an StoreFront weitergeleitet wird.

要是der ADC所以konfiguriert坚持,dass er穴区npräferenz-Header einfügt, kann StoreFront 3.5 oder höher die von der Appliance bereitgestellten Informationen verwenden, um die Liste der Delivery Controller neu anzuordnen und eine Verbindung zu einem optimalen Delivery Controller in derselben Zone wie der Client herzustellen. StoreFront wählt den optimalen virtuellen Gateway-VPN-Server für die ausgewählte Rechenzentrumszone aus, fügt diese Informationen der ICA-Datei mit den entsprechenden IP-Adressen hinzu und sendet sie an den Client. StoreFront versucht dann, Anwendungen zu starten, die auf den Delivery Controllern des bevorzugten Rechenzentrums gehostet werden, bevor versucht wird, gleichwertige Controller in anderen Rechenzentren zu kontaktieren.

Abbildung 14: Optimiertes Gateway-Routing für HDX Insight

Kundenspezifische Verfügbarkeitsmonitore

Citrix Gateway, das mit Citrix Workspace bereitgestellt wird, stellt die effiziente Bereitstellung von Anwendungen sicher. Mit Citrix Gateway können eingehende Benutzeranfragen von der Citrix Workspace-App Lastausgleich zwischen mehreren StoreFront-Knoten in einer Servergruppe sein. Während einige andere Lösungen einfache ICMP-Ping- oder TCP-Port-Monitore verwenden, bietet Citrix Gateway eine umfassende Überwachung des Anwendungszustands von Back-End-Services, die auf den StoreFront- und Delivery Controller-Servern ausgeführt werden.

StoreFront-Dienste werden überwacht, indem ein Windows-Dienst untersucht wird, der auf dem StoreFront-Server ausgeführt wird. Der Citrix Service Monitor Windows-Dienst hat keine anderen Dienstabhängigkeiten und kann den Fehler der folgenden kritischen Dienste überwachen und melden, auf die StoreFront für den korrekten Betrieb angewiesen ist:

• W3SVC (IIS)
• WAS (Aktivierungsdienst für Windows-Prozesse)
• CitrixCredentialWallet
• CitrixDefaultDomainService

Citrix Gateway verfügt auch über benutzerdefinierte Delivery Controller-Monitore, um sicherzustellen, dass die Delivery Controller am Leben sind und reagieren, bevor die Citrix Gateway-Lastausgleich für die Ressource ist. Der Monitors-Test validiert die Anmeldeinformationen eines Benutzers und bestätigt die Anwendungsaufzählung, um zu bestätigen, ob der XML-Dienst funktioniert. Dies verhindert Black-Hole-Szenarien, in denen Anfragen an einen nicht reagierenden Server gesendet werden könnten.

Zusammenfassung

Citrix Gateway hat die meisten Integrationspunkte mit Citrix Workspace aller HDX-Proxy-Lösungen. Citrix Gateway bietet sicheren Remotezugriff auf Citrix Virtual Apps and Desktops und wird durch Sichtbarkeits- und Optimierungsfunktionen ergänzt, die nützlich sind, um eine optimale Benutzerleistung zu gewährleisten. Der Citrix ADC bietet intelligenten Global Server Load Balancing, der die Verfügbarkeit und das Benutzererlebnis verbessert. Die folgenden Funktionen erhöhen die Sicherheit und die Benutzererfahrung:

• Kontextuelle Authentifizierung — Multifaktor-Authentifizierung (nFactor) zur Validierung des Benutzers und des Geräts
• Kontextabhängige Autorisierung - Beschränken Sie die Verfügbarkeit von Apps und Desktops basierend auf dem Benutzer, dem Standort und den Geräteeigenschaften
• Kontextabhängiger Zugriff - Beschränken Sie den Zugriff auf HDX-Funktionen, indem Sie das Citrix HDX-Verbindungsverhalten ändern
• End-zu-Ende-Überwachung - Identifizieren der Quelle von Verzögerungen und Triage-Problemen, die sich auf die Benutzerleistung auswirken
• Adaptiver Netzwerktransport — Bietet eine überlegene Benutzererfahrung durch dynamisches Reagieren auf sich ändernde Netzwerkbedingungen
• Optimales Routing — Sorgen Sie für eine bessere Benutzererfahrung, indem Sie Apps und Desktops immer vom lokalen Gateway aus starten
• Benutzerdefinierte Verfügbarkeitsmonitore — Tiefgehende Überwachung des Anwendungszustands von Back-End-Services, die auf den StoreFront- Delivery Controller