Windows登录前配置“始终在线VPN”
Always On VPN before Windows Logon提供以下功能。
- 管理员向首次远程工作的用户提供一次性密码,用户可以使用该密码连接到域控制器以更改其密码。
- 管理员甚至在用户登录之前就对设备进行远程管理/强制执行AD策略。
- 管理员在用户登录后根据用户组为用户提供了细粒度的控制级别。例如,使用用户级隧道,可以限制或向特定用户组提供对资源的访问。
- 用户通道可根据用户要求配置为MFA。
- 多个用户可以使用同一台机器。根据用户配置文件提供对选择性资源的访问。例如,多个用户可以毫不费力地使用kiosk中的一台机器。
- 远程工作的用户连接到域控制器更改密码。
了解Windows登录前始终处于VPN状态
以下是Windows登录前始终在线VPN功能的事件流。
- 用户打开笔记本电脑,使用设备证书作为身份,建立通向Citrix网关的机器级隧道。
- 用户使用AD凭据登录到笔记本电脑。
- 登录后,用户被MFA挑战。
- 身份验证成功后,机器级隧道将被用户级隧道替换。
- 一旦用户注销,用户级隧道将替换为机器级隧道。
通过高级策略配置Windows登录前始终在线VPN
先决条件
- Citrix网关和VPN插件必须为13.0.41.20及更高版本。
- 该解决方案需要Citrix ADC高级版及更高版本。
- 只能通过高级策略配置功能。
配置涉及以下高级步骤:
- 创建身份验证配置文件
- 创建身份验证虚拟服务器
- 创建身份验证策略
- 将策略绑定到身份验证配置文件
重要:
如果Citrix Gateway设备上的VPN虚拟服务器配置在非标准端口(非443)上,则机器级隧道不能正常工作。
使用GUI配置功能
基于客户端证书的认证
- 上配置选项卡中,导航到Citrix网关>虚拟服务器.
- 在“Citrix网关虚拟服务器”界面,选择已有的虚拟服务器,单击编辑.
- 在“VPN虚拟服务器”页面,单击编辑图标。
点击添加旁边的设备证书CA部分并单击好吧.
![设备证书添加ca]()
注:不要选择使设备证书复选框。
当需要将CA证书绑定到虚拟服务器时,单击CA证书在下面证书部分点击添加绑定下SSL虚拟服务器CA证书绑定页面。
注:
- 设备证书的使用者公用名称(CN)字段不能为空。如果设备尝试使用空的CN设备证书登录,则将使用用户名“匿名”创建其VPN会话。在IIP中,如果多个会话具有相同的用户名,则先前的会话将断开连接。因此,当启用IIP时,您会注意到由于公共名称为空而产生的功能影响。
- 可以对颁发给客户端的设备证书进行签名的所有CA证书(根证书和中间证书)必须绑定在设备证书CASection和CA证书绑定步骤4和5中的虚拟服务器部分。有关将CA证书与中间/从属证书链接的更多信息,请参阅安装、链接和更新证书.
点击单击以选中选择所需的证书。
![设备证书添加ca]()
选择所需的CA证书。
![设备证书添加ca]()
点击绑定.
- 2 .在“VPN虚拟服务器”页面的“认证配置文件”区域,单击添加.
- 在“创建认证配置文件”页面中,为认证配置文件提供一个名称,然后单击添加.
![创建身份验证配置文件]()
- 在“认证虚拟服务器”页面,输入认证虚拟服务器的名称,选择“IP地址类型”为无法寻址,并点击好吧.
![选择不可寻址的IP类型]()
- 在“高级认证策略”中,单击“认证策略”中的。
- 在“策略绑定”页面单击添加旁边选择政策.
- 在“创建认证策略”页面;
- 输入高级身份验证策略的名称。
- 选择环境保护署从动作类型列表。
- 点击添加旁边行动.
![选择EPA动作类型]()
- 在创建认证EPA行动页面;
- 输入要创建的EPA操作的名称。
- 输入系统客户端expr(“设备证书0”)在表达式领域
- 点击创建.
![创建表达式]()
- 在“创建认证策略”页面;
- 输入认证策略的名称。
- 输入is_aoservice在表达式领域
- 点击创建.
![创建expression2]()
在“策略绑定”页面上,输入100在优先级并点击绑定.
![结合政策]()
注:
机器级隧道配置现在已经完成。如果在Windows登录后不需要用户级隧道,可以跳过步骤18-25,继续进行客户端配置。
要在Windows Logon之后将计算机级通道替换为用户级通道,请继续进行以下配置。
改变转到表达式到下一个而不是步骤17中策略绑定的End。
![结合政策]()
- 在“认证虚拟服务器”页面中,单击“认证策略”对应的。
- 在“身份验证策略”页面上,单击添加绑定选项卡。
- 在“策略绑定”页面,单击添加旁边选择政策.
![绑定策略2]()
- 在“创建认证策略”页面;
- 输入要创建的“无身份验证”策略的名称。
- 选择动作类型为No_AUTHN.
- 输入这不是服务吗在表达式领域
- 点击创建.
注:
表达式这不是服务吗适用于Citrix网关版本13.0 build 41.20及更高版本。
- 在“策略绑定”页面上,输入110在优先级.点击添加旁边选择下一个因素.
- 在“身份验证策略标签”页面上,输入策略标签的描述性名称,选择登录架构,然后单击继续.
- 在选择政策,点击添加并创建LDAP身份验证策略。
- 点击创造然后点击绑定。
- 点击完成了,然后点击绑定.
在“认证策略”页面中,显示下一个因素列显示配置的下一个因素策略。
注:
有关创建LDAP身份验证策略的详细信息,请参阅使用配置实用程序配置LDAP身份验证.
客户端配置
AlwaysOn, locationDetection和suffixList注册表是可选的,仅当需要位置检测功能时才需要。
要访问注册表项,请导航到以下路径:计算机>HKEY_本地机器>软件>Citrix>安全访问客户端
| 注册表项 | 注册表类型 | 值和描述 |
|---|---|---|
| AlwaysOnService | REG_DWORD | 1 =>建立机器级隧道,而不是用户级隧道;2 =>建立机器级隧道和用户级隧道 |
| AlwaysOnURL | 瑞格SZ | 用户想要连接的Citrix Gateway虚拟服务器的URL。例子:https://xyz.companyDomain.com重要:只有一个URL负责机器级隧道和用户级隧道。AlwaysOnURL注册表帮助服务和用户级组件工作并连接一个单独的隧道,即基于设计的机器级隧道和用户级隧道 |
AlwaysOn |
REG_DWORD | 1 =>允许VPN访问失败;2=>阻断VPN网络访问失败 |
| AlwaysOnWhiteList | REG_SZ | 以分号分隔的IP地址或FQDN列表,当计算机在严格模式下运行时,必须将其列入白名单。例子:8.8.8.8; linkedin.com |
| UserCertCAList | REG_SZ | 以逗号或分号分隔的根CA名称列表,即证书的颁发者名称。在Always On服务的上下文中使用,其中客户可以指定要从中选择客户端证书的ca列表。例子:cgwsanity.net; xyz.gov.in |
| locationDetection | REG_DWORD | 1=>启用位置检测;0=>禁用位置检测 |
| 后缀列表 | 瑞格SZ | 以逗号分隔的域列表,并负责在启用位置检测的任何给定时间检查机器是否在intranet中。例子:citrite.net, cgwsanity.net |
有关这些注册表项的详细信息,请参见一直在.
Windows登录前配置“始终在线VPN”
复制!
失败了!