为您的Citrix端点管理环境配置设置
Citrix ADC for Citrix Endpoint Management向导将指导您为Citrix Endpoint Management部署配置Citrix ADC特性。您可以使用向导来:
配置Micro VPN在这种场景下,远程用户可以访问内部网络中的应用程序和桌面。
对于“Citrix Endpoint Management MAM-only”模式,必须使用“Citrix Gateway”进行认证。
对于MDM部署,Citrix推荐针对移动设备VPN的Citrix Gateway。
对于ENT部署,如果用户选择退出MDM注册,则设备将以传统的MAM模式运行,并使用Citrix Gateway FQDN进行注册。
- 配置证书认证。Citrix Endpoint Management默认配置为用户名密码鉴权。要为注册和访问Citrix Endpoint Management环境添加另一层安全性,请考虑使用基于证书的身份验证。
- 负载平衡Citrix Endpoint Management服务器。如果您有多个Citrix Endpoint Management服务器,或者Citrix Endpoint Management位于您的DMZ或内部网络(因此流量从设备流向Citrix ADC,再流向Citrix Endpoint Management),则所有Citrix Endpoint Management设备模式都需要Citrix ADC负载平衡。在此场景中,Citrix ADC设备驻留在用户设备和Citrix Endpoint Management服务器之间的DMZ中,以负载平衡从移动设备发送到Citrix Endpoint Management服务器的加密数据。
- 负载平衡Microsoft Exchange服务器与电子邮件过滤。在这个场景中,Citrix ADC设备位于用户设备和Citrix Endpoint Management Citrix ADC Connector (XNC)之间,以及用户设备和Microsoft Exchange CAS服务器之间。来自用户设备的所有请求都转到Citrix Gateway设备,然后该设备与XNC通信以检索有关设备的信息。根据来自XNC的响应,Citrix ADC设备要么将来自白名单设备的请求转发到内部网络中的服务器,要么放弃来自黑名单设备的连接。
- 负载均衡ShareFile StorageZones Connectors基于请求的内容类型。此场景提示您输入有关存储区域控制器环境的基本信息,然后生成一个配置,执行以下操作:
- 负载均衡跨存储区域控制器的流量。
- 为StorageZones Connectors提供用户身份验证。
- 验证ShareFile上传和下载的URI签名。
- 终止Citrix ADC设备上的SSL连接。
有关配置ShareFile的详细信息,请参见为存储区控制器配置Citrix ADC。
重要的
在使用Citrix端点管理向导之前,请务必参考以下Citrix端点管理部署文章,了解设计和部署信息及建议:
您只能使用Citrix ADC for Citrix Endpoint Management向导一次。如果需要多个Citrix Endpoint Management实例,例如用于测试、开发和生产环境,则必须为其他环境手动配置Citrix ADC。以下支持文章列出了向导运行的命令,并提供了运行这些命令以创建Citrix ADC实例的说明:
Citrix ADC特性License要求
您必须安装许可证才能启用以下Citrix ADC特性:
- Citrix Endpoint Management MDM负载均衡需要使用Citrix ADC标准license。
- 使用StorageZones实现ShareFile负载均衡需要使用Citrix ADC标准license。
- Exchange负载平衡需要Citrix ADC许可证或高级许可证,并添加集成缓存许可证。
Citrix ADC用于Citrix端点管理向导
本节提供了一个使用Citrix ADC for Citrix Endpoint Management向导的示例:
- 为远程用户连接到Citrix Endpoint management管理的内部网络资源设置微型VPN访问
- 配置证书认证。有关获取和安装公共SSL证书的信息,请参见安装和管理证书。
- 为Citrix Endpoint Management服务器配置负载均衡。
使用向导:
- 在配置实用程序中,单击配置TAB,然后点击Citrix端点管理。
- 选择您的Citrix Endpoint Management版本,然后单击开始。
选择要配置的特性对应的复选框。请记住,您只能使用此向导一次,因此您必须手动执行后续配置。这些说明假设您选择以下设置:通过Citrix网关接入(适用于在ENT或MAM模式下运行的Citrix Endpoint Management)负载平衡Citrix端点管理服务器
![选择功能]()
在Citrix网关设置页,输入外部接口的值Citrix网关IP地址,港口,虚拟服务器名称。
![网关配置]()
在Citrix Gateway服务器证书Page,来自证书文件下拉菜单中,选择证书文件当地的或设备。如果您的证书在本地机器上:
![选择服务器证书]()
如果您的证书在设备上:
![设备上的服务器证书]()
在身份验证设置页,在主认证方法字段中,选择客户端证书。
这会自动选择使用现有证书策略和证书身份验证在接下来的两个领域。下面的步骤假设您已经有了一个证书策略。
如果需要创建证书策略,请单击创建证书策略然后完成设置。在Citrix Endpoint Management证书屏幕,选择现有的服务器证书或安装新证书。如果您正在运行多个Citrix Endpoint Management服务器,则需要为每个服务器添加一个证书。为服务器登录名属性,指定userPrincipalName或samAccountName,按您的要求。
![身份验证配置]()
选择单击此处更改CA证书然后在浏览列表中,导航到所需的CA证书。
![查找CA证书]()
使用客户端证书作为主要身份验证类型,您可以选择将LDPA(或RADIUS)配置为辅助身份验证类型。
如果只使用客户端证书身份验证,请离开第二种认证方法作为没有一个然后点击继续。
如果使用客户端证书+域(LDAP)认证,请修改第二种认证方法来LDAP并配置身份验证服务器设置。
在设备证书,如果证书尚未安装,则必须从Citrix Endpoint Management控制台中导出该证书。在控制台中,单击右上角的齿轮图标,打开设置屏幕上。
点击证书然后从列表中选择CA证书。
点击出口。
返回到Citrix ADC向导并选择您导出(下载)的证书来安装它。
点击继续。
您已配置的Citrix Endpoint Management IP地址将出现。
配置Citrix Endpoint Management App管理设置。
![端点管理设置]()
- 进入Citrix Endpoint Management FQDN。这是MAM的负载均衡FQDN。
- 输入一个MAM-only内部负载均衡IP地址用于负载平衡Citrix Endpoint Management服务器的虚拟服务器。Citrix网关通过此MAM负载均衡虚拟IP与Citrix Endpoint Management通信。
- 这是SSL卸载部署,因此选择HTTP在与Citrix Endpoint Management Server的通信。
- 的MicroVPN的DNS分离模式字段自动设置为这两个。
如果您的部署需要拆分隧道,请选择开启分段隧道。如果开启了拆分隧道,则下一步是配置内网应用绑定。
默认情况下,安全Web访问通过隧道连接到内部网络,这意味着安全Web为所有网络访问使用每个应用程序VPN隧道连接到内部网络,而Citrix ADC设备使用分离隧道设置。
![杰姆设置]()
如果需要在Citrix网关上配置用户连接拦截规则,必须配置内网应用绑定。点击+添加绑定。
![添加内网应用绑定]()
2 .填写允许网络接入的参数后,单击创建。
![内网应用详情]()
添加Citrix Endpoint Management证书。这用于MAM负载平衡虚拟服务器。
![添加CEM证书]()
下Citrix端点管理服务器,点击添加服务器添加Citrix Endpoint管理IP地址绑定负载均衡虚拟IP。
![选择虚拟服务器]()
在Citrix ADC仪表板上确认Citrix Gateway和Citrix Endpoint Management负载均衡配置如下。
![指示板]()
如果使用用户证书中的sAMAccount属性作为用户主体名称(UPN)的替代方案,请按照手动配置Citrix网关客户端证书认证。
