为Citrix Endpoint Management环境配置设置
适用于Citrix Endpoint Management的Citrix ADC向导将指导您完成Citrix Endpoint Management部署的Citrix ADC功能的配置。您可以使用向导执行以下操作:
设置微型vpn。在这种情况下,远程用户可以访问内部网络中的应用程序和桌面。
对于Citrix Endpoint Management仅MAM模式,必须使用Citrix Gateway进行身份验证。
对于MDM部署,Citrix建议对移动设备VPN使用Citrix网关。
对于耳鼻喉科部署,如果用户选择退出MDM注册,则设备将在旧版老妈模式下运行,并使用Citrix网关FQDN进行注册。
- 配置基于证书的身份验证。Citrix Endpoint Management的默认配置是用户名和密码身份验证。要为Citrix端点管理环境的注册和访问添加另一层安全性,请考虑使用基于证书的身份验证。
- 负载平衡Citrix Endpoint Management服务器。如果您有多个Citrix端点管理服务器,或者Citrix端点管理位于DMZ或内部网络内部(因此流量从设备流向Citrix ADC再到Citrix端点管理),则所有Citrix端点管理设备模式都需要Citrix ADC负载平衡。在这种情况下,Citrix ADC设备驻留在用户设备和Citrix端点管理服务器之间的DMZ中,以对从移动设备到Citrix端点管理服务器的加密已发送数据进行负载平衡。
- 使用电子邮件筛选功能对微软交换服务器进在这种情况下,Citrix ADC设备位于用户设备和Citrix端点管理ADC连接器(XNC)之间,以及在用户设备和微软交换CAS服务器之间。来自用户设备的所有请求都将发送到Citrix网关设备,然后该设备与XNC通信以检索有关设备的信息。根据XNC的响应,Citrix ADC设备会将请求从列入白名单的设备转发到内部网络中的服务器,或者从列入黑名单的设备中断连接。
- 根据请求的内容类型对ShareFile StorageZones连接器进行负载平衡。此方案会提示您输入有关存储区域控制器环境的基本信息,然后生成执行以下操作的配置:
- 跨存储区域控制器负载平衡流量。
- 为StorageZones连接器提供用户身份验证。
- 验证ShareFile上传和下载的URI签名。
- 在Citrix ADC设备上终止SSL连接。
有关配置ShareFile的更多信息,请参阅为存储区域控制器配置Citrix ADC。
重要
在使用Citrix端点管理向导之前,请务必参阅以下Citrix端点管理部署文章以获取设计和部署信息以及建议:
您只能使用适用于Citrix Endpoint Management的Citrix ADC向导一次。如果您想要多个Citrix端点管理实例,例如用于测试,开发和生产环境,则必须为其他环境手动配置Citrix ADC。以下支持文章列出了向导运行的命令,并提供了运行这些命令以创建Citrix ADC实例的说明:
Citrix ADC功能的许可证要求
您必须安装许可证才能启用以下Citrix ADC功能:
- Citrix Endpoint Management MDM负载平衡需要Citrix ADC标准许可证。
- 使用StorageZones进行ShareFile负载平衡需要Citrix ADC标准许可证。
- Exchange负载平衡需要Citrix ADC许可证或高级许可证以及集成缓存许可证。
适用于Citrix Endpoint Management向导的Citrix ADC
本节提供了使用适用于Citrix Citrix端点管理的Citrix ADC向导执行以下操作的示例:
- 设置微型VPN访问权限,以便远程用户连接到内部网络中Citrix端点管理托管的资源
- 配置基于证书的身份验证。有关获取和安装公共SSL证书的信息,请参阅安装和管理证书。
- 为Citrix Endpoint Management服务器配置负载平衡。
要使用向导:
- 在配置实用程序中,单击配置选项卡,然后单击Citrix端点管理。
- 选择Citrix Endpoint Management版本,然后单击开始使用。
选中要配置的功能的复选框。请记住,此向导只能使用一次,因此必须手动执行后续配置。这些说明假定您选择以下设置:通过Citrix Gateway进行访问(适用于在ENT或MAM模式下运行的Citrix Endpoint Management)负载平衡Citrix Endpoint Management服务器
在Citrix Gateway设置页面上,输入面向外部的Citrix网关IP地址、端口和虚拟服务器名称的值。
在Citrix Gateway的服务器证书页面上,从证书文件下拉菜单中,从本地或设备中选择证书文件。如果您的证书在本地计算机上:
如果您的证书在设备上:
在“身份验证设置“页的”主身份验证方法“字段中,选择”客户端证书”
这会在接下来的两个字段中自动选择使用现有证书策略和证书身份验证。以下各步骤假定您已配置证书策略。
如果必须创建证书策略,请单击创建证书策略并完成设置。在Citrix Endpoint Management证书屏幕上,选择现有的服务器证书或安装新证书。如果您正在运行多个Citrix端点管理服务器,请为每个服务器添加一个证书。对于”服务器登录名属性”,请根据需要指定userPrincipalName或samAccountName。
选择单击此处更改ca证书,然后在浏览列表中导航到所需的ca证书。
使用客户端证书作为主要身份验证类型,您可以选择将LDPA(或半径)配置为辅助身份验证类型。
要仅使用客户端证书身份验证,请将第二种身份验证方法保留为无,然后单击继
要使用客户端证书+域(ldap)身份验证,请将第二种身份验证方法更改为LDAP并配置身份验证服务器设置。
在设备证书屏幕上,如果尚未安装证书,则必须从Citrix端点管理控制台导出此证书:在控制台中,单击右上角的齿轮图标以打开”设置屏幕。
单击证书(证书),然后从列表中选择ca证书。
单击导出。
返回Citrix ADC向导,然后选择导出(下载)的证书进行安装。
单击继续。
此时将显示您配置的Citrix端点管理IP地址。
配置Citrix Endpoint Management应用程序管理设置。
- 输入Citrix Endpoint Management FQDN。这是mam的负载平衡fqdn。
- 为负载平衡Citrix端点管理服务器的虚拟服务器输入仅限老妈的内部负载平衡IP地址。Citrix Gateway 通过此 MAM 负载平衡虚拟 IP 与 Citrix Endpoint Management 进行通信。
- 这是SSL卸载部署,因此请在与Citrix Endpoint Management服务器通信中选择HTTP。
- MicroVPN的拆分DNS模式字段会自动设置为两者。
如果您的部署需要拆分隧道,请选择启用拆分隧道。接下来,如果启用拆分隧道,请配置内网应用程序绑定。
默认情况下,安全网络访问通过隧道传输到内部网络,这意味着安全Web使用每个应用程序的VPN隧道返回到内部网络进行所有网络访问,Citrix ADC设备使用拆分隧道设置。
要在Citrix Gateway上为用户连接配置拦截规则,必须配置内网应用程序绑定。单击+添加绑定。
填写允许网络访问的参数,然后单击创建。
添加Citrix Endpoint Management证书。这用于妈妈负载平衡虚拟服务器。
在Citrix Endpoint Management服务器下,单击添加服务器以添加要绑定到负载平衡虚拟IP的Citrix Endpoint Management IP地址。
在Citrix ADC仪表板上,确认Citrix Gateway和Citrix Endpoint Management负载平衡的配置如下。
如果在用户证书中使用SamAccount属性作为用户主体名称(UPN)的替代方法,请按照手动配置Citrix Gateway进行客户端证书身份验证中所述配置证书配置文件。
