用于Exchange ActiveSync的Citrix Gateway连接器

XenMobile NetScaler连接器现在是Exchange ActiveSync的Citrix Gateway连接器。有关Citrix统一投资组合的详细信息，请参见Citrix产品指南．

Exchange ActiveSync的连接器向Citrix Gateway提供ActiveSync客户端的设备级授权服务，充当Exchange ActiveSync协议的反向代理。您可以通过以下组合来控制授权:

• 您在端点管理中定义的策略
• 由Citrix Gateway连接器为Exchange ActiveSync在本地定义的规则

有关更多信息，请参见ActiveSync网关．

有关详细的参考架构图，请参见体系结构．

用于Exchange ActiveSync的Citrix Gateway连接器的当前版本是8.5.3。

下载连接器:

1. 去//m.giftsix.com/downloads．
2. 导航到Citrix Endpoint Management(和Citrix XenMobile Server) > XenMobile Server (on-premises) >产品软件> XenMobile Server 10 >服务器组件．
3. 在Citrix Gateway连接器瓷砖,点击下载文件．

要安装连接器，请参见安装Exchange ActiveSync的Citrix Gateway连接器．

8.5.3版有什么新功能

• 此版本增加了对ActiveSync协议16.0和16.1的支持。
• 更多的细节已添加到分析发送到谷歌分析，特别是关于快照。(cxm - 52261)

早期版本有什么新功能

注意:

下面的“新增内容”部分引用了Exchange ActiveSync的Citrix Gateway连接器的旧名称，XenMobile NetScaler连接器。从版本8.5.2开始更改名称。

8.5.2版有什么新功能

• XenMobile NetScaler连接器现在是Exchange ActiveSync的Citrix Gateway连接器。

本版本修复了以下问题:

• 如果在定义策略规则时使用了多个条件，并且某个条件涉及用户ID，则可能会出现以下问题:如果用户有多个别名，则在应用规则时也不会检查别名。(cxm - 55355)

8.5.1.11版本有什么新功能

• 系统需求变更:NetScaler连接器的当前版本要求Microsoft . net Framework 4.5。

• 谷歌分析支持:我们想知道你是如何使用连接器的，这样我们就可以专注于我们可以使产品更好的地方。

• 支持TLS 1.1和1.2:由于TLS 1.0和TLS 1.1的安全性较弱，PCI委员会正在弃用TLS 1.0和TLS 1.1。XenMobile NetScaler连接器支持TLS 1.2。

监视Exchange ActiveSync的Citrix Gateway连接器

Exchange ActiveSync配置实用程序的Citrix Gateway连接器提供了详细的日志记录。使用日志查看安全移动网关允许或阻止的通过Exchange Server的所有流量。

使用日志选项卡查看转发到Exchange ActiveSync连接器进行授权的ActiveSync请求的历史记录。

另外，要确保Exchange ActiveSync web服务的连接器正在运行，请将以下URL加载到连接器服务器上的浏览器中https:// <主持人:port > /服务/ ActiveSync /版本．如果URL以字符串形式返回产品版本，则web服务响应。

使用Exchange ActiveSync连接器模拟ActiveSync流量

您可以使用Exchange ActiveSync的Citrix Gateway连接器，用您的策略模拟ActiveSync流量。在连接器配置实用程序中，单击模拟器选项卡。结果显示您的策略如何根据您配置的规则应用。

为Exchange ActiveSync的连接器选择筛选器

Exchange ActiveSync过滤器的Citrix Gateway连接器通过分析给定策略违反或属性设置的设备来工作。如果满足条件，则将设备放入“设备列表”中。此设备列表既不是允许列表，也不是阻止列表。它是满足定义的标准的设备列表。以下过滤器可用于Endpoint Management中的Exchange ActiveSync连接器。每个过滤器的两个选项是允许或否认．

• 匿名的设备:允许或拒绝在端点管理中注册但用户身份未知的设备。例如，如果用户具有过期的Active Directory密码或未知凭据，则注册用户具有未知身份。
• 三星Knox认证失败:三星的设备具有安全和诊断功能。此筛选器提供确认设备已为Knox配置。有关详细信息，请参阅端点管理文章三星诺克斯．
• 禁止应用程序:根据策略中阻断列表定义的设备列表，以及阻断列表中存在的应用程序，允许或拒绝设备。
• 隐式允许/拒绝:创建不符合任何其他筛选规则条件的所有设备的设备列表，并根据该列表允许或拒绝。隐式允许/拒绝选项可确保在“设备”选项卡中启用Exchange ActiveSync状态的连接器，并显示设备的连接器状态。隐式允许/拒绝选项还控制未选中的所有其他连接器筛选器。例如，连接器拒绝阻止列表中的应用程序。但是，连接器允许所有其他过滤器，因为隐式允许/拒绝选项设置为允许．
• 不活跃的设备:创建在指定时间内未与端点管理通信的设备列表。这些设备被认为是不活跃的。过滤器相应地允许或拒绝设备。
• 缺少所需的应用程序:当用户注册时，用户会收到一个必须安装的应用程序列表。missing required apps过滤器表示一个或多个应用程序不再存在;例如，用户删除了一个或多个应用程序。
• Non-Suggested应用:当用户注册时，用户会收到一个要安装的应用程序列表。非建议的应用程序过滤器检查设备中的应用程序不在该列表中。
• 不合规的密码:创建一个设备列表，其中包含该设备上没有密码的所有设备。
• 不合规设备:允许您拒绝或允许满足您自己的内部IT遵从性标准的设备。合规性是由名为Out of Compliance的设备属性定义的任意设置，这是一个布尔标志，可以是其中之一真正的或假．(您可以手动创建此属性并设置该值。或者，您可以根据设备是否满足特定条件，使用自动操作在设备上创建此属性。)
  • Out of Compliance = True:如果设备不符合IT部门设置的法规遵从性标准和策略定义，则该设备不符合法规遵从性。
  • Out of Compliance = False:如果设备满足IT部门设置的法规遵从性标准和策略定义，则该设备是合规的。
• 撤销状态:创建所有已撤销设备的设备列表，并根据已撤销状态允许或拒绝。
• Android/越狱iOS设备:创建标记为root的所有设备的设备列表，并根据root状态允许或拒绝。
• 非托管设备:在端点管理数据库中创建所有设备的设备列表。移动应用网关采用块模式部署。

为Exchange ActiveSync配置到Citrix Gateway连接器的连接

用于Exchange ActiveSync的Citrix Gateway连接器通过安全web服务与端点管理和其他远程配置提供者通信。

1. 在Exchange ActiveSync配置实用程序的连接器中，单击配置提供者选项卡，然后单击添加．
2. 在配置提供者对话框，在的名字，输入具有管理权限的用户名，用于端点管理服务器的基本HTTP授权。
3. 在Url，输入端点管理GCS的网址，一般格式为都https:// < FQDN > / < > /服务/ < MagConfigService >．的MagConfigService“名称”区分大小写。
4. 在密码，输入用于端点管理服务器的基本HTTP授权的密码。
5. 在管理主机，输入Exchange ActiveSync服务器名称的连接器。
6. 在基线时间间隔，为何时从Endpoint Management提取新的刷新的动态规则集指定一个时间段。
7. 在三角洲间隔，为何时提取动态规则的更新指定一个时间段。
8. 在请求超时，指定服务器请求超时时间。
9. 在配置提供者，如果配置提供程序服务器实例正在提供策略配置，则选择。
10. 在启用事件如果您希望Exchange ActiveSync的连接器在设备阻塞时通知端点管理，则启用此选项。如果您在任何端点管理自动化操作中使用连接器规则，则需要此选项。
11. 点击保存然后点击测试连接测试网关到配置提供程序的连通性。如果连接失败，请检查本地防火墙设置是否允许连接，或联系管理员。
12. 连接成功后，清除禁用复选框，然后单击保存．

添加配置提供程序时，Exchange ActiveSync连接器自动创建一个或多个与该提供程序关联的策略。中包含的模板定义配置\ policyTemplates.xml在NewPolicyTemplate部分定义策略。对于本节中定义的每个Policy元素，将创建一个新策略。

如果满足以下条件，操作符可以添加、删除或修改策略元素:策略元素符合模式定义，并且没有修改标准替换字符串(括在大括号内)。接下来，为提供者添加新组，并更新策略以包含新组。

从端点管理导入策略

1. 在Exchange ActiveSync配置实用程序的连接器中，单击配置提供者选项卡，然后单击添加．
2. 在配置提供者对话框，在的名字，输入用户名，使用端点管理进行基本HTTP授权。用户必须具有管理权限。
3. 在Url，输入GCS (Endpoint Management Gateway Configuration Service)的网址，格式一般为https:// < xdmHost > /一棵树/服务/ < MagConfigService >．MagConfigService的名称区分大小写。
4. 在密码，输入用于端点管理服务器的基本HTTP授权的密码。
5. 点击测试连接测试网关到配置提供程序的连通性。如果连接失败，请检查您的本地防火墙设置是否允许连接，或与管理员联系。
6. 连接成功后，清除禁用复选框，然后单击保存．

7. 在管理主机，保持本地主机的DNS名称为默认值。此设置用于在阵列中配置多个前线威胁管理网关(TMG)服务器时协调与端点管理的通信。

   保存设置后，打开GCS。

配置Exchange ActiveSync策略模式的Citrix Gateway连接器

Exchange ActiveSync的Citrix Gateway连接器可以在以下六种模式下运行:

• 允许所有:此策略模式授予通过Exchange ActiveSync连接器的所有流量的访问权。未使用其他过滤规则。
• 否认:此策略模式阻止所有通过Exchange ActiveSync连接器的流量的访问。未使用其他过滤规则。
• 静态规则:阻塞模式:此策略模式运行静态规则，并在结束时使用隐式的deny或block语句。Exchange ActiveSync的连接器阻塞不允许或通过其他筛选规则允许的设备。
• 静态规则:允许模式:此策略模式运行静态规则，并在末尾使用隐式permit或allow语句。通过Exchange ActiveSync的连接器允许未通过其他过滤规则阻止或拒绝的设备。
• 静态+ ZDM规则s:阻塞模式。此策略模式首先运行静态规则，然后运行来自端点管理的动态规则，并在最后使用隐式拒绝或阻止语句。根据定义的过滤器和端点管理规则允许或拒绝设备。任何与已定义的过滤器和规则不匹配的设备都将被阻止。
• 静态+ ZDM规则s:允许模式。此策略模式首先运行静态规则，然后运行来自端点管理的动态规则，并在最后使用隐式permit或allow语句。根据定义的过滤器和端点管理规则允许或拒绝设备。任何不符合定义的过滤器和规则的设备都是允许的。

Exchange ActiveSync进程的连接器允许或阻止基于从端点管理接收的基于iOS和windows的移动设备的唯一ActiveSync id的动态规则。Android设备的行为因制造商而异，有些设备不会轻易公开唯一的ActiveSync ID。作为补偿，端点管理向Android设备发送用户ID信息，以做出允许或阻止的决定。因此，如果一个用户只有一台Android设备，允许和阻止功能正常。如果用户拥有多台Android设备，则允许使用所有设备，因为Android设备无法区分。如果这些设备是已知的，您可以通过ActiveSyncID配置网关静态地阻止这些设备。也可以根据设备类型或用户代理配置网关为block。

要指定策略模式，在SMG控制器配置实用程序中，执行以下操作:

1. 单击路径过滤器选项卡，然后单击添加．
2. 在路径属性对话框中，选择策略模式政策列表，然后单击保存．

您可以查看规则政策配置实用程序的选项卡。在Exchange ActiveSync的连接器上从上到下处理规则。“允许”策略显示为绿色复选框。拒绝策略显示为一个红色圆圈，中间有一条线。若要刷新屏幕并查看最新的规则，请单击刷新．您还可以在config.xml文件中修改规则的顺序。

要测试规则，请单击模拟器选项卡。在字段中指定值。您可以从日志中获取值。结果消息指定允许或阻止。

配置静态规则

输入静态规则，其中包含ISAPI过滤ActiveSync连接HTTP请求所读取的值。静态规则允许Exchange ActiveSync的连接器根据以下标准允许或阻止流量:

• 用户:Exchange ActiveSync的连接器使用在设备注册期间捕获的授权用户值和名称结构。这种结构通常被发现为域\用户名通过LDAP连接到Active Directory的端点管理服务器引用。的日志连接器配置实用程序中的选项卡显示通过连接器的值。如果连接器必须确定值结构或结构不同，则传递值。
• 的DeviceID (ActiveSyncID):也称为连接设备的ActiveSyncID。这个值通常在端点管理控制台的特定设备属性页中找到。属性中也可以筛选此值日志选项卡，用于Exchange ActiveSync配置实用程序的连接器。
• DeviceType:Exchange ActiveSync的连接器可以确定设备是否为iPhone、iPad或其他设备类型，并可以根据该标准允许或阻止设备。与其他值一样，连接器配置实用程序可以显示正在为ActiveSync连接处理的所有连接设备类型。
• UserAgent:包含所使用的ActiveSync客户端的信息。通常，指定的值对应于移动设备平台的特定操作系统构建和版本。

服务器上运行的Exchange ActiveSync配置实用程序的连接器始终管理静态规则。

1. 在SMG控制器配置实用程序中，单击静态规则选项卡，然后单击添加．
2. 在静态规则属性对话框中，指定要用作标准的值。例如，您可以通过输入用户名(例如，AllowedUser)来输入允许访问的用户，然后清除禁用复选框。

3. 点击保存．

   静态规则现在生效了。此外，您可以使用正则表达式来定义值，但必须在config.xml文件中启用规则处理模式。

配置动态规则

端点管理中的设备策略和属性定义动态规则，并可以触发Exchange ActiveSync过滤器的动态连接器。触发器基于策略违反或属性设置的存在。Exchange ActiveSync过滤器的连接器通过分析给定策略违反或属性设置的设备来工作。如果满足条件，则将设备放入“设备列表”中。此设备列表不是允许列表或阻止列表。它是满足定义的标准的设备列表。以下配置选项使您能够通过使用Exchange ActiveSync的连接器来定义是否允许或拒绝设备列表中的设备。

注意:

使用Endpoint Management控制台配置动态规则。

1. 在端点管理控制台中，单击右上角的齿轮图标。的设置页面出现。

2. 下服务器,点击ActiveSync网关．弹出“ActiveSync Gateway”界面。

3. 在激活以下规则，选择一条或多条需要激活的规则。

4. 只在android上，在将Android域用户发送到ActiveSync Gateway,点击是的确保终端管理将Android设备信息发送到安全移动网关。

   启用此选项后，如果端点管理没有设备用户的ActiveSync标识符，则端点管理将Android设备信息发送到连接器。

通过编辑Exchange ActiveSync XML文件的连接器来配置自定义策略

上可以查看默认配置中的基本策略政策Exchange ActiveSync配置实用程序连接器的选项卡。如果要创建自定义策略，可以编辑Exchange ActiveSync XML配置文件(config\config. XML)的Citrix Gateway连接器。

1. 找到PolicyList节中，然后添加一个新的政策元素。
2. 如果还需要一个新的组，例如另一个静态组或支持另一个GCP的组，则添加新的组集团元素的GroupList部分。
3. 属性，可以更改现有策略中的组的顺序GroupRef元素。

为Exchange ActiveSync XML文件配置连接器

Exchange ActiveSync的连接器使用XML配置文件来指示连接器的操作。在其他条目中，该文件指定了组文件和过滤器在评估HTTP请求时采取的相关操作。默认情况下，该文件名为config.xml，可以在以下位置找到:..\Program Files\Citrix\XenMobile NetScaler连接器\config。

GroupRef节点

GroupRef节点定义逻辑组名。默认值为AllowGroup和DenyGroup。

注意:

在GroupRefList节点中出现的GroupRef节点的顺序非常重要。

GroupRef节点的ID值标识用于匹配特定用户帐户或设备的逻辑容器或成员集合。操作属性指定筛选器如何处理与集合中的规则匹配的成员。例如，与AllowGroup集合中的规则匹配的用户帐户或设备“通过”。通过意味着被允许访问Exchange CAS。与DenyGroup集中的规则匹配的用户帐户或设备将被“拒绝”。拒绝表示不允许访问Exchange CAS。

当特定用户帐户/设备或组合满足两个组中的规则时，将使用优先约定来指导请求的结果。优先级体现在config.xml文件中GroupRef节点从上到下的顺序中。GroupRef节点按优先级排序。允许组中给定条件的规则总是优先于拒绝组中相同条件的规则。

组节点

xml还定义了Group节点。这些节点将逻辑容器AllowGroup和DenyGroup链接到外部XML文件。存储在外部文件中的条目构成筛选规则的基础。

注意:

在这个版本中，只支持外部XML文件。

默认安装在配置中实现了两个XML文件:allow.xml和deny.xml。

为Exchange ActiveSync配置Citrix Gateway连接器

您可以根据以下属性为Exchange ActiveSync配置Citrix Gateway连接器，以选择性地阻止或允许ActiveSync请求:主同步服务ID，设备类型，用户代理(设备操作系统)，授权用户,ActiveSync命令．

默认配置支持静态组和动态组的组合。您可以使用SMG Controller Configuration实用程序来维护静态组。静态组可以由已知的设备类别组成，例如使用给定用户代理的所有设备。

一个称为网关配置提供程序的外部源维护动态组。Exchange ActiveSync的连接器定期连接组。端点管理可以将允许和阻止的设备和用户组导出到用于Exchange ActiveSync的连接器。

一个称为网关配置提供程序的外部源维护动态组。Exchange ActiveSync连接器定期收集动态组。端点管理可以将允许和阻止的设备和用户组导出到连接器。

策略是一个有序的组列表，其中每个组都有一个关联的操作(允许或阻止)和一个组成员列表。策略可以有任意数量的组。策略中的组排序非常重要，因为当找到匹配项时，将采取组的操作，而不计算后续组。

成员定义了一种匹配请求属性的方法。它可以匹配单个属性(如设备ID)，也可以匹配多个属性(如设备类型和用户代理)。

为Exchange ActiveSync的Citrix Gateway连接器选择安全模型

建立安全模型对于任何规模的组织成功部署移动设备都是至关重要的。通常使用受保护或隔离的网络控件在默认情况下允许访问用户、计算机或设备。这种做法并不总是理想的。每个管理IT安全的组织可能都有稍微不同的或量身定制的移动设备安全方法。

同样的逻辑也适用于移动设备安全。由于移动设备和类型的多样性、每个用户的移动设备以及可用的操作系统平台和应用程序，使用许可模型是一个弱选择。在大多数组织中，限制性模型是最合乎逻辑的选择。

Citrix允许将用于Exchange ActiveSync的连接器与端点管理集成的配置场景如下:

允许模式(允许模式)

允许型安全模型的操作前提是默认情况下允许或授予所有访问。只有通过规则和过滤才能阻止某些东西，并应用限制。对于那些对移动设备的安全问题相对松散的组织来说，允许的安全模型是很好的。该模型仅在适当的情况下(当策略规则失败时)应用限制性控制来拒绝访问。

限制性模型(块状模式)

限制性安全模型基于默认情况下不允许或授予任何访问的前提。任何通过安全检查点的东西都要经过过滤和检查，除非通过了允许访问的规则，否则将被拒绝访问。限制性安全模型适用于对移动设备有相对严格的安全标准的组织。该模式仅在允许访问的所有规则都通过时才授予对网络服务的使用和功能的访问。

管理Exchange ActiveSync的Citrix Gateway连接器

可以使用Exchange ActiveSync的Citrix Gateway连接器来构建访问控制规则。这些规则允许或阻止被管理设备访问ActiveSync连接请求。访问是基于设备状态，应用程序允许或阻止列表，以及其他符合条件。

通过使用Exchange ActiveSync配置实用程序的连接器，可以构建执行企业电子邮件策略的动态和静态规则。这些规则和策略允许您阻止违反遵从性标准的用户。您还可以设置电子邮件附件加密，以便通过Exchange Server传递到托管设备的所有附件都将加密。只有拥有托管设备的授权用户才能查看加密附件。

卸载XNC

1. 以管理员帐户运行XncInstaller.exe。
2. 根据界面提示完成卸载。

要安装、升级或卸载Exchange ActiveSync的连接器

1. 使用管理员帐户运行XncInstaller.exe，为Exchange ActiveSync安装连接器，或允许升级或删除现有连接器。
2. 根据界面提示完成安装、升级或卸载。

安装Exchange ActiveSync连接器后，必须手动重新启动Endpoint Management配置服务和通知服务。

为Exchange ActiveSync安装Citrix Gateway连接器

可以在Exchange ActiveSync自己的服务器上或在安装端点管理的同一服务器上安装连接器。

出于以下原因，您可以考虑在Exchange ActiveSync自己的服务器上(独立于Endpoint Management)安装连接器:

• 如果端点管理服务器远程托管在云中(物理位置)
• 如果您不希望端点管理服务器的重新启动影响Exchange ActiveSync连接器(可用性)
• 如果您希望将服务器的系统资源完全分配给Exchange ActiveSync连接器(性能)

Exchange ActiveSync连接器放在服务器上的CPU负载取决于管理的设备数量。一般的建议是，如果连接器部署在与Endpoint Management相同的服务器上，则再提供一个CPU核心。对于大量的设备(超过50,000)，如果没有集群环境，则可能需要提供更多的核心。连接器的内存占用不够大，不需要更多的内存。

Citrix Gateway连接器用于Exchange ActiveSync系统需求

用于Exchange ActiveSync的Citrix Gateway连接器通过在Citrix Gateway设备上配置的SSL桥与Citrix Gateway通信。桥接器使设备能够将所有安全流量直接桥接到Endpoint Management。Exchange ActiveSync连接器的最低系统配置如下:

组件	要求
计算机和处理器	奔腾III 733 MHz或更高的处理器。2.0 GHz Pentium III或更高处理器(推荐)
Citrix网关	Citrix网关设备，软件版本10
内存	1 GB
硬盘	ntfs格式的本地分区，有150mb可用硬盘空间
操作系统	Windows Server 2016、Windows Server 2012 R2或Windows Server 2008 R2服务包必须是英文服务器。对Windows Server 2008 R2 Service Pack 1的支持将于2020年1月14日结束。
其他设备	与主机操作系统兼容的网卡，用于与内部网络通信
微软。net框架	版本8.5.1.11要求Microsoft . net Framework 4.5。
显示	VGA或更高分辨率的显示器

用于Exchange ActiveSync的连接器的主机需要以下最小可用硬盘空间:

• 应用程序:10 - 15mb(建议100mb)
• 日志:1gb(建议20gb)

有关Exchange ActiveSync连接器的平台支持的信息，请参见支持的设备操作系统．

设备邮件客户端

并非所有电子邮件客户端都一致地为某个设备返回相同的ActiveSync ID。由于Exchange ActiveSync的连接器期望每个设备都有一个唯一的ActiveSync ID，因此以下情况是正确的:只支持为每个设备一致生成相同的、唯一的ActiveSync ID的电子邮件客户端。Citrix已经测试了这些电子邮件客户端，客户端运行正常，没有错误:

• 三星原生电子邮件客户端
• iOS原生电子邮件客户端

为Exchange ActiveSync部署Citrix Gateway连接器

Exchange ActiveSync的Citrix Gateway连接器使您能够使用Citrix Gateway代理端点管理服务器与端点管理管理设备的通信并使其负载均衡。Exchange ActiveSync的连接器定期与端点管理通信以同步策略。可以将用于Exchange ActiveSync和Endpoint Management的连接器集群在一起或独立地进行集群。

Exchange ActiveSync组件的连接器

• Exchange ActiveSync服务连接器:该服务提供了一个REST web服务接口，Citrix Gateway可以调用该接口来确定来自设备的ActiveSync请求是否被授权。
• 端点管理配置服务:此服务与端点管理通信，以将端点管理策略更改与Exchange ActiveSync的连接器同步。
• 端点管理通知服务:此服务向端点管理发送未经授权的设备访问通知。通过这种方式，端点管理可以采取适当的措施，例如通知用户设备被阻止的原因。
• Exchange ActiveSync配置实用程序的连接器:此应用程序允许管理员配置和监视Exchange ActiveSync的连接器。

为Exchange ActiveSync的Citrix Gateway连接器设置监听地址

要让Exchange ActiveSync的Citrix Gateway连接器从Citrix Gateway接收授权ActiveSync流量的请求，请执行以下操作。指定Exchange ActiveSync的连接器侦听Citrix Gateway web服务调用的端口。

1. 从开始菜单，为Exchange ActiveSync配置实用程序选择连接器。
2. 单击Web服务选项卡，然后键入连接器web服务的侦听地址。您可以选择HTTP或HTTPS或两者兼而有之。如果Exchange ActiveSync的连接器与端点管理共同驻留(安装在同一台服务器上)，请选择与端点管理不冲突的端口值。
3. 配置完成后，单击保存然后点击开始服务启动web服务。

为Exchange ActiveSync配置Citrix Gateway连接器中的设备访问控制策略

在被管理设备上配置访问控制策略，请执行以下操作。

1. 在Exchange ActiveSync配置实用程序的连接器中，单击路径过滤器选项卡。
2. 选择第一行，Microsoft-Server-ActiveSync代表ActiveSync然后点击编辑．
3. 从政策列表中，选择所需的策略。对于包含端点管理策略的策略，请选择Static + ZDM:允许模式或Static + ZDM:阻断模式．这些策略将本地(或静态)规则与来自端点管理的规则结合在一起。允许模式意味着所有没有被规则明确标识的设备都被允许访问ActiveSync。阻断模式是指阻断设备。
4. 策略设置完成后，单击保存．

配置与端点管理的通信

指定要与Citrix Gateway连接器一起用于Exchange ActiveSync和Citrix Gateway的端点管理服务器的名称和属性。

注意:

此任务假设您已经安装和配置了Endpoint Management。Exchange ActiveSync配置实用程序使用术语端点管理的配置提供程序。

1. 在Exchange ActiveSync配置实用程序的连接器中，单击配置提供者选项卡，然后单击添加．
2. 输入在此部署中使用的端点管理服务器的名称和URL。如果在多租户部署中部署了多个端点管理服务器，则此名称对于每个服务器实例必须是唯一的。
3. 在Url，输入端点管理GlobalConfig提供者(GCP)的Web地址，通常格式为都https:// < FQDN > / < > /服务/ < MagConfigService >．的MagConfigService“名称”区分大小写。
4. 在密码，输入用于端点管理web服务器的基本HTTP授权的密码。
5. 在管理主机，输入为Exchange ActiveSync安装连接器的服务器名称。
6. 在基线时间间隔，指定从端点管理中提取新的刷新动态规则集的时间段。
7. 在请求超时，指定服务器请求超时时间。
8. 在配置提供者，如果配置提供程序服务器实例正在提供策略配置，则选择。
9. 在启用事件，如果您希望安全移动网关在设备被阻塞时通知端点管理，则启用此选项。如果您在任何端点管理自动化操作中使用安全移动网关规则，则需要此选项。
10. 服务器配置完成后，单击测试连接测试到端点管理的连接。
11. 当连接建立后，单击保存．

为Exchange ActiveSync部署Citrix Gateway连接器，以实现冗余和可伸缩性

要扩展用于Exchange ActiveSync和Endpoint Management部署的Citrix Gateway连接器，可以在多个Windows服务器上安装用于Exchange ActiveSync的连接器实例。所有连接器实例都指向相同的端点管理实例。然后可以使用Citrix Gateway对服务器进行负载均衡。

Exchange ActiveSync配置的连接器有两种模式:

• 在非共享模式下，Exchange ActiveSync实例的每个连接器都与Endpoint Management服务器通信，并保留结果策略的私有副本。例如，对于一个端点管理服务器集群，您可以在每个端点管理服务器上运行连接器实例。然后连接器从本地Endpoint Management实例获取策略。
• 在共享模式下，Exchange ActiveSync节点的一个连接器被指定为主节点。连接器与端点管理通信。其他节点通过Windows网络共享或通过Windows(或第三方)复制共享结果配置。

Exchange ActiveSync配置的整个连接器都在一个文件夹中(由几个XML文件组成)。连接器进程检测到该文件夹中任何文件的更改，并自动重新加载配置。共享模式下主节点没有故障切换。但是，系统可以容忍主服务器停机几分钟(例如重新启动)。最后一个已知的良好配置缓存在连接器进程中。