Citrix Access Gateway Standard Edition Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop. Citrix Access Gateway 4.6, Standard Edition

Größe: px
Ab Seite anzeigen:

Download "Citrix Access Gateway Standard Edition Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop. Citrix Access Gateway 4.6, Standard Edition"

Transkript

1 Citrix Access Gateway Standard Edition Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Citrix Access Gateway 4.6, Standard Edition

2 Hinweise zu Copyright und Marken Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung. Eine druckbare Kopie der Endbenutzerlizenzvereinbarung finden Sie auf den Installationsmedien. Die in diesen Unterlagen enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, sofern nichts anderes angegeben ist. Ohne ausdrückliche schriftliche Erlaubnis von Citrix Systems, Inc. darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, weder elektronisch noch mechanisch Citrix Systems, Inc. Alle Rechte vorbehalten. Citrix und ICA (Independent Computing Architecture) sind eingetragene Marken und Access Gateway ist eine Markevon Citrix Systems, Inc. in den USA und anderen Ländern. RSA Encryption RSA Security Inc. Alle Rechte vorbehalten. Dieses Produkt enthält Software, die von Expat XML Parser entwickelt wurde Dieses Produkt enthält Software, die von Internet Systems Consortium entwickelt wurde Dieses Produkt enthält Software, die von Free Software Foundation, Inc. entwickelt wurde 2007 Dieses Produkt enthält Software, die von Independent JPEG Group entwickelt wurde Dieses Produkt enthält Software, die von libpng.org entwickelt wurde Dieses Produkt enthält Software, die von OpenLDAP Foundation entwickelt wurde Dieses Produkt enthält Software, die von OpenSSL Project entwickelt wurde Dieses Produkt enthält zlib-software, die von Jean-loup Gailly und Mark Adler entwickelt wurde Dieses Produkt enthält Software, die von SilverStripe Limited entwickelt wurde Lizenzierung: Teile dieser Dokumentation über Globetrotter, Macrovision und FLEXlm sind urheberrechtlich geschützt von Macrovision Corporation. Alle Rechte vorbehalten. Apache Software Foundation Copyright 2009 Citrix Systems, Inc. Lizenziert unter der Apache-Lizenz, Version 2.0 (die "Lizenz"); Sie dürfen diese Datei nur in Übereinstimmung mit der Lizenz verwenden. Sie erhalten eine Kopie der Lizenz an dieser Stelle: Außer wenn es durch das geltende Gesetz erforderlich ist oder schriftlich vereinbart wurde, wird die Software unter der Lizenz OHNE JEGLICHE HAFTUNG ODER KONDITIONEN bereitgestellt, weder ausdrücklich noch impliziert. Details über die geltenen Erlaubnisse und Einschränkungen finden Sie im Text der Lizenz. Anerkennung von Marken Adobe, Acrobat und PostScript sind Marken oder eingetragene Marken von Adobe Systems Incorporated in den USA und/oder anderen Ländern. Java, Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen Ländern. Solaris ist eine eingetragene Marke von Sun Microsystems, Inc., die dieses Produkt nicht getestet oder anerkannt haben. Teile dieser Software basieren partiell auf der Arbeit der Independent JPEG Group. Teile dieser Software enthalten Imagingcode, der Eigentum und Copyright von Pegasus Imaging Corporation, Tampa, FL ist. Alle Rechte vorbehalten. Macromedia und Flash sind Marken oder eingetragene Marken von Macromedia, Inc. in den USA und/oder anderen Ländern. Microsoft, MS-DOS, Windows, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory und DirectShow sind eingetragene Marken oder Marken von Microsoft Corporation in den USA und/oder anderen Ländern. Netscape und Netscape Navigator sind eingetragene Marken von Netscape Communications Corp. in den USA und anderen Ländern. Lizenzierung: Globetrotter, Macrovision und FLEXlm sind Marken und/oder eingetragene Marken der Macrovision Corporation. Alle anderen Marken und eingetragenen Marken sind das Eigentum ihrer jeweiligen Inhaber. Dokumentcode: 21. April 2009 (bp)

3 INHALT Inhalt Kapitel 1 Kapitel 2 Kapitel 3 Kapitel 4 Willkommen Verwenden dieser Dokumentation Typografische Konventionen Service und technischer Support Subscription Advantage Knowledge Center-Benachrichtigungen Schulung und Zertifizierung Literaturhinweise Bereitstellen von Zugriff auf veröffentlichte Anwendungen und Desktops Integrieren von Access Gateway mit XenApp oder XenDesktop Herstellen einer sicheren Verbindung zur Serverfarm Bereitstellungsoptionen für das Webinterface Bereitstellen des Webinterface im gesicherten Netzwerk Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ Konfigurieren von Smartcardzugriff mit dem Webinterface Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ Einrichten einer Webinterface-Site für Access Gateway Webinterface-Features XenApp-Websites XenApp Services-Sites Einrichten einer Webinterface-Site Erstellen einer Webinterface 4.5-Site Wählen der Zugriffsmethode Konfigurieren der Webinterface 4.5-Einstellungen für das Access Gateway..24 Erstellen einer Webinterface-Site in XenApp 5.0 oder Citrix XenDesktop Konfigurieren des Webinterface für das Access Gateway XenApp- und XenDesktop-Farmen in einer Site

4 4 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Kapitel 5 Kapitel 6 Kapitel 7 Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface Konfigurieren der Secure Ticket Authority auf dem Access Gateway Konfigurieren der ICA-Zugriffssteuerung Verwenden des Webinterface als Anmeldeseite Konfigurieren von Single Sign-On Systemvoraussetzungen Konfigurieren des Access Gateways für Single Sign-On beim Webinterface Konfigurieren des Webinterface für Single Sign-On Aktivieren der Sitzungszuverlässigkeit Bereitstellen des Access Gateways in einer Double-Hop-DMZ Datenübertragung in einer Double-Hop-DMZ-Konfiguration Benutzerauthentifizierung Erstellung von Sitzungstickets Verbindungsherstellung Vorbereiten der Bereitstellung einer Double-Hop-DMZ Unterstützung für Load Balancing Verwenden der Anmeldeseitenauthentifizierung in einer Double-Hop-DMZ. 50 Planen der Installation des Access Gateway Administration Tools Öffnen von Ports und Verwalten von Zertifikaten Erforderliche Komponenten für die Bereitstellung Installieren des Access Gateways in einer Double-Hop-DMZ Schritt 1: Installieren eines Access Gateways in der ersten DMZ Schritt 2: Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung. 56 Schritt 3: Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface Schritt 4: Installieren eines Access Gateways in der zweiten DMZ Schritt 5: Konfigurieren des Access Gateways für die Kommunikation mit dem Access Gateway-Proxy Schritt 6: Konfigurieren des Access Gateway-Proxys für die Kommunikation mit dem Access Gateway Schritt 7: Konfigurieren des Access Gateways für den Secure Ticket Authority- und ICA-Datenverkehr Schritt 8: Öffnen der entsprechenden Ports in den Firewalls Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ- Bereitstellung

5 Inhalt 5 Herstellen einer Clientverbindung in einer Double-Hop-DMZ Benutzerauthentifizierung Erstellen von Sitzungstickets Starten der Citrix XenApp Plug-ins Verbindungsherstellung Kapitel 8 Ersetzen von Secure Gateway durch Citrix Access Gateway Secure Gateway- und Access Gateway-Bereitstellung Vorbereiten der Migration auf das Access Gateway Migrieren von Secure Gateway auf das Access Gateway In-Place-Migration Parallel-Migration

6 6 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop

7 KAPITEL 1 Willkommen In diesem Kapitel wird beschrieben, an welche Zielgruppe sich die Citrix Access Gateway Standard Edition Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop richtet, wie sie aufgebaut ist, sowie Dokumentationskonventionen. Verwenden dieser Dokumentation Diese Dokumentation richtet sich an Systemadministratoren, die für die Installation und Konfiguration von Access Gateway für die Verwendung mit Citrix XenApp und Citrix XenDesktop verantwortlich sind. Dabei wird davon ausgegangen, dass das Access Gateway mit einem vorhandenen Netzwerk verbunden ist und dass der Administrator über die notwendigen Kenntnisse zum Konfigurieren dieses Netzwerks verfügt. Bei den Konfigurationsschritten in diesem Dokument wird vorausgesetzt, dass das Access Gateway als eigenständige Anwendung bereitgestellt wird und dass Benutzer eine direkte Verbindung zum Access Gateway herstellen.

8 8 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Typografische Konventionen In der Access Gateway-Dokumentation werden die folgenden typografischen Konventionen für Menüs, Befehle, Tasten und Objekte in der Benutzeroberfläche des Programms verwendet: Konvention Fettdruck Kursiv %SystemRoot% Nichtproport ional {geschweifte Klammern} [ eckige Klammern ] Bedeutung Befehle, Namen von Benutzeroberflächenobjekten, z. B. Textfelder und Optionsschaltflächen, sowie Benutzereingaben. Platzhalter für Informationen oder Parameter, die Sie eingeben müssen. Dateiname in einem Verfahren bedeutet z. B., dass Sie den tatsächlichen Namen einer Datei eingeben müssen. Außerdem werden neue Begriffe sowie die Titel von Dokumentationen in Kursivschrift angegeben. Das Windows-Systemverzeichnis, das WTSRV, WINNT, WINDOWS oder ein anderer Verzeichnisname sein kann, den Sie bei der Installation von Windows angegeben haben. Text, der in einer Textdatei oder an der Systemaufforderung angezeigt wird. Eine Reihe von Elementen, von denen eines in Befehlsanweisungen erforderlich ist. Beispiel: { Ja Nein } bedeutet, dass Sie Ja oder Nein eingeben müssen. Die geschweiften Klammern selbst müssen nicht eingegeben werden. Optionale Elemente in Befehlsanweisungen. Zum Beispiel bedeutet [/ping], dass Sie /ping zusammen mit dem Befehl eingeben können. Geben Sie die eckigen Klammern selbst nicht mit ein. (vertikaler Strich) Ein Trennzeichen zwischen Elementen in geschweiften oder eckigen Klammern in Befehlsanweisungen. Beispiel: { /hold / release /delete } bedeutet, dass Sie /hold oder /release oder /delete eingeben. (Auslassung) Sie können das vorherige Element bzw. die vorherigen Elemente in Befehlsanweisungen wiederholen. Zum Beispiel bedeutet / route:gerätename[, ], dass Sie zusätzliche Gerätenamen eingeben können, die durch Kommas getrennt werden.

9 Kapitel 1 Willkommen 9 Service und technischer Support Citrix bietet technischen Support hauptsächlich durch das CSN-Netzwerk (Citrix Solutions Network) an. Unsere CSN-Partner verfügen über entsprechendes Training und bieten unseren Kunden ein hohes Niveau an Support. Wenden Sie sich zuerst an Ihren Vertragshändler oder suchen Sie unter support nach dem nächstgelegenen CSN-Partner. Zusätzlich zum CSN-Programm bietet Citrix im Knowledge Center eine Reihe von webbasierten Selbstbedienungstools für den technischen Support.Das Knowledge Center finden Sie unter Es bietet Folgendes: Eine Knowledge Base mit technischen Lösungen zur Unterstützung der Citrix Umgebung Eine Onlinebibliothek der Produktdokumentation Interaktive Support-Foren für jedes Citrix Produkt Zugang zu den neuesten Hotfixes und Service Packs Security Bulletins Onlineproblemmeldung und -verfolgung (für Organisationen mit gültigen Supportverträgen) Eine andere Supportquelle, Citrix Preferred Support Services, bietet eine Reihe von Optionen, sodass Sie den Grad und die Art von Support für die Citrix Produkte in Ihrer Organisation anpassen können. Subscription Advantage Ihr Produkt schließt das Citrix Abonnement Subscription Advantage für ein Jahr ein. Subscription Advantage bietet eine einfache Möglichkeit, stets aktuelle Softwareversionen und Informationen für Ihre Citrix Produkte zu haben. Abonnenten erhalten nicht nur automatisch Zugriff auf den Download der neuesten Feature Releases, Softwareupgrades und Erweiterungen, die während der Laufzeit des Abonnements verfügbar werden, sondern haben auch bevorzugten Zugang zu wichtigen technischen Informationen von Citrix. Weitere Informationen finden Sie auf der Website von Citrix unter Weitere Informationen erhalten Sie auch von Ihrem Vertragshändler, Citrix Customer Care oder einem Mitglied des Citrix Solutions Network-Programms.

10 10 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Literaturhinweise Knowledge Center-Benachrichtigungen Im Citrix Knowledge Center können Sie Benachrichtigungen konfigurieren, sodass Sie eine Nachricht erhalten, wenn ein Bereich aktualisiert wird, der Sie interessiert. Sie können Benachrichtigungen für Produktkategorien einstellen. Wenn es ein Update für das Produkt gibt, erhalten Sie eine Nachricht. Melden Sie sich dafür bei der Citrix Support-Website unter support.citrix.com an. Wählen Sie nach dem Anmelden unter Products, ein Produkt aus. Klicken Sie unter Tools auf Add to your Hotfix Alerts. Um die Benachrichtigung anzuhalten, klicken Sie für das Product im Knowledge Center auf Remove from your Hotfix Alerts. Schulung und Zertifizierung Citrix bietet eine Reihe von unterrichteten (ILT, engl. instructor led training) und webbasierten Kursen (WBT, engl.web-based training). Die von einem Schulungsleiter durchgeführten ILT-Kurse werden von Citrix Authorized Learning Centers (CALCs) angeboten. CALCs bieten hochwertige Schulungen mit den professionellen Schulungsmaterialien von Citrix. Viele dieser Kurse bereiten auf eine Zertifizierung vor. Webbasierte Schulungskurse werden von CALCs, Wiederverkäufern und über die Website von Citrix angeboten. Informationen zu Programmen und Courseware für Citrix Schulungen und Zertifizierungen finden Sie unter Weitere Informationen zu Access Gateway finden Sie in den folgenden Dokumenten: Installationsübersicht für Citrix Access Gateway Standard Edition Citrix Access Gateway Standard Edition Administratordokumentation Citrix Access Gateway Standard Edition Pre-Installation Checklist Citrix XenApp 5.0 für Windows Server 2008 Administratordokumentation Citrix XenDesktop Administratordokumentation Citrix Webinterface Administratordokumentation Citrix Access Gateway Standard Edition Readme

11 KAPITEL 2 Bereitstellen von Zugriff auf veröffentlichte Anwendungen und Desktops Eine Serverfarm besteht aus mindestens einem Computer, auf dem Citrix XenApp oder Citrix XenDesktop ausgeführt wird. Wenn es in Ihrem Unternehmensnetzwerk eine Serverfarm gibt, können Sie das Access Gateway implementieren und so sicheren Internetzugang auf veröffentlichte Anwendungen oder Desktops bereitstellen. Bei solchen Implementierungen arbeitet das Access Gateway mit dem Webinterface und der Secure Ticket Authority (STA) zusammen, um die Authentifizierung, Autorisierung sowie Umleitung auf veröffentlichte Ressourcen auf einem Computer bereitzustellen, auf dem Citrix XenApp ausgeführt wird oder von Citrix XenDesktop bereitgestellte Desktops. Diese Funktionalität wird durch die Integration von Access Gateway Standard Edition-Komponenten mit dem Webinterface, XenApp oder XenDesktop erreicht. So wird die erweiterte Authentifizierung und eine Zugriffssteuerung für das Webinterface ermöglicht. Weitere Informationen über das Webinterface finden Sie in der jeweiligen Webinterface-Administratordokumentation für Ihre Version. Für die Remotekonnektivität zu einer Serverfarm ist das Access Gateway Plug-in nicht erforderlich. Um auf veröffentlichte Anwendungen zuzugreifen, stellen Benutzer die Verbindung mit dem Citrix XenApp Web Plug-in her. Um auf veröffentlichte Desktops zuzugreifen, verwenden sie Citrix Desktop Receiver. Hinweis: Die Installation von Desktop Receiver oder Desktop Receiver Embedded Edition auf dem gleichen Computer wie die XenApp Plug-ins (die Clientsoftware für Citrix XenApp) wird nicht unterstützt. Wenn Benutzer vom gleichen Computer sowohl auf virtuelle Desktops als auch auf virtuelle Anwendungen zugreifen sollen, empfiehlt Citrix, die XenApp Plug-ins auf den virtuellen Desktops zu installieren, die Sie mit XenDesktop erstellen. So können auf den virtuellen Desktops virtuelle Anwendungen verwendet werden.

12 12 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Dieses Kapitel enthält: "Integrieren von Access Gateway mit XenApp oder XenDesktop" "Herstellen einer sicheren Verbindung zur Serverfarm" Integrieren von Access Gateway mit XenApp oder XenDesktop Wenn Sie Access Gateway für Clientverbindungen konfigurieren, können Sie Einstellungen für den Netzwerkverkehr mit XenApp, XenDesktop oder beiden vornehmen. Dafür konfigurieren Sie Access Gateway und das Webinterface für die Kommunikation untereinander. Für die Integration dieser drei Produkte sind u. a. die folgenden Aufgaben durchzuführen: Erstellen einer Webinterface-Site in der XenApp- oder XenDesktop-Farm Konfigurieren des Webinterface, damit Benutzerverbindungen durch das Access Gateway geleitet werden Konfigurieren von Access Gateway für die Kommunikation mit dem Webinterface und der Secure Ticket Authority Sie können Access Gateway auch für die Kommunikation mit einer XenApp- Serverfarm und einer Double-Hop-DMZ konfigurieren. Weitere Informationen hierzu finden Sie unter "Bereitstellen des Access Gateways in einer Double-Hop- DMZ" auf Seite 43. Access Gateway und Webinterface verwenden die Secure Ticket Authority und den Citrix XML-Dienst, um Clientverbindungen aufzubauen. Die Secure Ticket Authority und der XML-Dienst werden auf dem XenApp- oder XenDesktop- Server ausgeführt. Herstellen einer sicheren Verbindung zur Serverfarm In diesem Abschnitt wird an einem Beispiel erläutert, wie ein in der DMZ bereitgestelltes Access Gateway in Zusammenarbeit mit dem Webinterface einen sicheren, zentralen Zugriffspunkt auf die veröffentlichten Ressourcen in einem sicheren Unternehmensnetzwerk bildet. In diesem Beispiel gelten die folgenden Bedingungen: Clientgeräte stellen die Verbindung zum Access Gateway über das Internet mit XenApp Plug-ins oder Citrix Desktop Receiver her.

13 Kapitel 2 Bereitstellen von Zugriff auf veröffentlichte Anwendungen und Desktops 13 Das Webinterface ist hinter dem Access Gateway im gesicherten Netzwerk. Das Clientgerät stellt die anfängliche Verbindung mit dem Access Gateway her und das Access Gateway kommuniziert mit dem Webinterface. Das gesicherte Netzwerk enthält eine Serverfarm. Auf einem Server in dieser Serverfarm werden die STA und der Citrix XML-Dienst ausgeführt. Die STA und der XML-Dienst können von XenApp- oder XenDesktop ausgeführt werden. Überblick: Benutzerzugriff auf die veröffentlichten Ressourcen in der Serverfarm 1. Remotebenutzer geben die Adresse des Access Gateways in einem Webbrowser ein, z. B. https://www.ag.wxyco.com. Das Clientgerät versucht, diese SSL-Verbindung auf Port 443 herzustellen. Dieser Port muss in Firewalls geöffnet sein, damit dieser Verbindungsversuch erfolgreich ist. 2. Access Gateway erhält die Verbindungsanfrage und Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben. Die Anmeldeinformationen gehen zurück durch das Access Gateway, die Benutzer werden authentifiziert und die Verbindung wird an das Webinterface weiter gegeben. 3. Das Webinterface sendet die Anmeldeinformationen des Benutzers an den Citrix XML-Dienst, der in der Serverfarm ausgeführt wird. 4. Der XML-Dienst authentifiziert die Anmeldeinformationen und sendet eine Liste der veröffentlichten Anwendungen oder Desktops, auf die der Benutzer zugreifen darf, an das Webinterface. 5. Im Webinterface wird auf einer Webseite die Liste der für den jeweiligen Benutzer zugänglichen veröffentlichten Ressourcen (Anwendungen oder Desktops) angezeigt; diese Webseite wird dann an den Client gesendet. 6. Der Benutzer klickt auf den Link für eine veröffentlichte Anwendung oder einen veröffentlichten Desktop. An das Webinterface wird eine HTTP- Anforderung gesendet, aus der die ausgewählte veröffentlichte Ressource hervorgeht. 7. Das Webinterface interagiert mit dem XML-Dienst und empfängt ein Ticket, in dem der Server vermerkt ist, auf dem die veröffentlichte Ressource ausgeführt werden soll. 8. Das Webinterface sendet eine Sitzungsticketanforderung an die Secure Ticket Authority. Diese Anforderung enthält die IP-Adresse des Servers, auf dem die veröffentlichte Ressource ausgeführt wird. Die Secure Ticket Authority speichert diese IP-Adresse und sendet das angeforderte Sitzungsticket an das Webinterface.

14 14 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop 9. Das Webinterface generiert eine ICA-Datei mit dem von der Secure Ticket Authority ausgestellten Ticket und sendet diese Datei an den Webbrowser auf dem Clientgerät. Die vom Webinterface generierte ICA-Datei enthält den vollqualifizierten Domänennamen (FQDN) oder den DNS-Namen des Access Gateways. Hinweis: Die IP-Adresse des Servers, auf dem die angeforderte Ressource ausgeführt wird, ist dabei den Benutzern nicht bekannt. 10. Die ICA-Datei enthält Anweisungen, damit der Webbrowser XenApp Plugins oder Citrix Desktop Receiver startet. Der Client stellt über den in der ICA-Datei aufgeführten vollqualifizierten Domänennamen oder DNS- Namen des Access Gateways eine Verbindung zum Access Gateway her. Es kommt zum ersten SSL/TLS-Handshake, mit dem die Identität des Access Gateways ermittelt wird. 11. Das Clientgerät sendet das Sitzungsticket an das Access Gateway und das Access Gateway wendet sich zur Überprüfung des Tickets an die Secure Ticket Authority. 12. Die Secure Ticket Authority gibt die IP-Adresse des Servers, auf dem die angeforderte Anwendung ausgeführt wird, an das Access Gateway zurück. 13. Das Access Gateway stellt eine TCP-Verbindung zum Server her. 14. Das Access Gateway schließt den Verbindungs-Handshake mit dem Clientgerät ab und signalisiert dem Clientgerät, dass die Verbindung zum Server nun aufgebaut ist. Der gesamte weitere Datenverkehr zwischen dem Clientgerät und dem Server wird durch das Access Gateway geleitet. Der Datenverkehr zwischen dem Clientgerät und dem Access Gateway ist verschlüsselt. Der Datenverkehr zwischen dem Access Gateway und dem Server kann unabhängig davon auch verschlüsselt werden; standardmäßig erfolgt jedoch keine Verschlüsselung.

15 KAPITEL 3 Bereitstellungsoptionen für das Webinterface Beim Bereitstellen von Access Gateway und Webinterface können Sie das Webinterface in die DMZ oder in das gesicherte Netzwerk platzieren. Es folgt eine Diskussion der Bereitstellungsoptionen für das Webinterface. Dieses Kapitel enthält: "Bereitstellen des Webinterface im gesicherten Netzwerk" "Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ" "Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ" Bereitstellen des Webinterface im gesicherten Netzwerk Bei dieser Bereitstellung befindet sich das Webinterface in dem vertrauenswürdigen Netzwerk. Das Access Gateway ist in der DMZ. Benutzeranforderungen werden vom Access Gateway authentifiziert, bevor Sie an das Webinterface gesendet werden. Bei einer Bereitstellung des Webinterface im gesicherten Netzwerk muss die Authentifizierung auf dem Access Gateway konfiguriert werden. Benutzer melden sich am Access Gateway an, geben ihre Anmeldeinformationen ein und werden dann mit dem Webinterface verbunden. Beim Webinterface mit XenDesktop wird im Standardszenario das Webinterface in das gesicherte Netzwerk platziert. Mit Desktop Delivery Controller wird auch eine angepasste Version des Webinterface installiert.

16 16 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Wichtig: Wenn das Webinterface im gesicherten Netzwerk ist, sollte die Anmeldeseitenauthentifizierung auf dem Access Gateway aktiviert sein. Wenn die Anmeldeseitenauthentifizierung deaktiviert ist, werden nicht authentifizierte HTTP-Anforderungen direkt an den Server gesendet, auf dem das Webinterface ausgeführt wird. Das Deaktivieren der Anmeldeseitenauthentifizierung auf dem Access Gateway wird nur empfohlen, wenn das Webinterface in der DMZ ist und Benutzer sich direkte mit dem Webinterface verbinden. So aktivieren Sie die Anmeldeseitenauthentifizierung Aktivieren Sie im Administration Tool auf der Registerkarte Global Cluster Policies unter Advanced options die Option Enable logon page authentication. Bereitstellen des Webinterface parallel zum Access Gateway in der DMZ In dieser Bereitstellung befinden sich Webinterface und Access Gateway beide in der DMZ. Benutzer stellen über einen Webbrowser direkt eine Verbindung zum Webinterface her. Benutzer haben sofort nach der Anmeldung am Webinterface Zugriff auf veröffentlichte Anwendungen oder Desktops in der Serverfarm. Sobald ein Benutzer eine Anwendung oder einen Desktop startet, sendet das Webinterface eine ICA-Datei mit Anweisungen zum Routen des ICA-Verkehrs durch das Access Gateway, als ob es ein Server wäre, auf dem Secure Gateway ausgeführt wird. Die vom Webinterface gelieferte ICA-Datei enthält ein von der Secure Ticket Authority ausgestelltes Sitzungsticket. Wenn XenApp Plug-ins die Verbindung mit dem Access Gateway herstellen, wird das Ticket vorgezeigt. Das Access Gateway ruft die Secure Ticket Authority auf, um das Sitzungsticket zu validieren. Wenn das Ticket noch gültig ist, wird der ICA-Verkehr des Benutzers an den Server in der Serverfarm weitergeleitet. Wenn das Webinterface parallel zum Access Gateway in der DMZ ausgeführt wird, muss keine Authentifizierung auf dem Access Gateway konfiguriert werden.

17 Kapitel 3 Bereitstellungsoptionen für das Webinterface 17 Das Webinterface ist parallel zum Access Gateway installiert. Clientverbindungen werden zur Authentifizierung zuerst zum Webinterface gesendet. Nach der Authentifizierung werden die Verbindungen durch das Access Gateway weitergeleitet. Konfigurieren von Smartcardzugriff mit dem Webinterface Wenn Benutzer sich mit Citrix XenApp Plug-ins direkt beim Webinterface anmelden und Smartcardauthentifizierung verwenden, muss sich das Webinterface parallel zum Access Gateway in der DMZ befinden. Außerdem muss der Server, auf dem das Webinterface ausgeführt wird, ein Mitglied der Domäne sein. Wenn sich Benutzer mit dem Access Gateway Plug-in anmelden, erfolgt die erste Authentifizierung durch das Access Gateway. Wenn ein VPN-Tunnel eingerichtet ist, kann der Benutzer sich mit der Smartcard am Webinterface anmelden. In diesem Szenario kann das Webinterface hinter dem Access Gateway oder im gesicherten Netzwerk installiert werden. Wenn das Webinterface für die Verwendung von Smartcardauthentifizierung konfiguriert und parallel zum Access Gateway installiert ist, beenden das Access Gateway und das Webinterface beide einen Teil der SSL-Verbindung. Das Webinterface beendet den sicheren HTTP-Verkehr einschließlich der Benutzerauthentifizierung, der Anzeige und dem Starten veröffentlichter Anwendungen. Das Access Gateway beendet ICA-Verbindungen, die über die sichere Verbindung durch den Tunnel geleitet werden.

18 18 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Bereitstellen des Webinterface hinter dem Access Gateway in der DMZ Damit der gesamte HTTPS- und ICA-Verkehr durch einen einzigen externen Port gesendet werden kann und nur ein einziges SSL-Zertifikat benötigt wird, kann das Access Gateway als Reverse-Webproxy für das Webinterface fungieren. Wenn das Webinterface hinter dem Access Gateway in der DMZ implementiert ist, kann die Authentifizierung auf dem Gerät konfiguriert werden, dies ist jedoch nicht zwingend erforderlich. Zum Implementieren des Webinterface hinter dem Access Gateway müssen Sie die Eigenschaften der Standardbenutzergruppe bzw. die Eigenschaften der Gruppe, für die der Zugriff auf das Webinterface aktiviert werden soll, bearbeiten.

19 KAPITEL 4 Einrichten einer Webinterface-Site für Access Gateway Das Webinterface bietet Benutzern Zugriff auf XenApp-Anwendungen und - Inhalte sowie auf virtuelle Desktops von XenDesktop. Benutzer greifen auf die veröffentlichten Anwendungen über einen regulären Webbrowser zu oder über das Citrix XenApp Plug-in (der neue Name für Program Neighborhood Agent). Benutzer greifen mit Citrix Desktop Receiver auf veröffentlichte Desktops zu. Sie können Webinterface-Sites, die auf Windows-Plattformen erstellt wurden, mit der Access Management Console konfigurieren. Die Access Management Console kann nur auf Windows-Plattformen installiert werden. Um das Webinterface für die Verwendung mit Access Gateway zu konfigurieren, erstellen Sie die Webinterface-Site, konfigurieren die Einstellungen im Webinterface und konfigurieren dann das Access Gateway. In diesem Kapitel wird erklärt, wie Sie die Webinterface-Site erstellen. Dieses Kapitel enthält: "Webinterface-Features" "Einrichten einer Webinterface-Site" "Erstellen einer Webinterface 4.5-Site" "Erstellen einer Webinterface-Site in XenApp 5.0 oder Citrix XenDesktop 2.1" "Konfigurieren des Webinterface für das Access Gateway" "XenApp- und XenDesktop-Farmen in einer Site"

20 20 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Webinterface-Features In diesem Abschnitt finden Sie Informationen über die Features von Webinterface. XenApp-Websites Das Webinterface bietet die Funktionalität, XenApp-Websites zu erstellen und zu verwalten (diese Sites hießen vorher Access Platform-Sites). Benutzer greifen auf veröffentlichte Ressourcen und gestreamte Anwendungen remote über einen Webbrowser und ein Plug-in zu. XenApp Services-Sites Citrix XenApp ist ein Plug-in, das im Hinblick auf Flexibilität und leichte Konfigurierbarkeit entwickelt wurde. Mit Citrix XenApp und XenApp Services- Sites (der neue Name für den Sitetyp "Program Neighborhood Agent-Dienste") und dem Webinterface können Sie veröffentlichte Ressourcen in die Desktops der Benutzer integrieren. Benutzer greifen auf Remote- und Streaminganwendungen und gestreamte Desktops zu, indem Sie auf die Symbole auf dem Desktop, im Startmenü oder im Infobereich klicken. Sie legen fest, auf welche Konfigurationsoptionen Benutzer zugreifen können, z. B. Audio-, Anzeige- und Anmeldeeinstellungen. Zugriff auf veröffentlichte Desktops wird nicht unterstützt, wenn diese Option ausgewählt ist. Weitere Informationen finden Sie in der Webinterface- Administratordokumentation für die jeweilige Edition. Einrichten einer Webinterface-Site Wenn das Webinterface im gesicherten Netzwerk und die Anmeldeseitenauthentifizierung für Access Gateway aktiviert ist, geschieht die Authentifizierung beim Anmelden der Benutzer auf dem Gerät. Bevor Sie Access Gateway konfigurieren, sollten Sie die Webinterface-Site erstellen und konfigurieren. Wichtig: Installieren und konfigurieren Sie das Webinterface, bevor Sie das Access Gateway installieren. Ausführliche Anweisungen zum Installieren des Webinterface finden Sie in der Webinterface-Administratordokumentation.

21 Kapitel 4 Einrichten einer Webinterface-Site für Access Gateway 21 Zum Erstellen einer Webinterface-Site gehören folgende Schritte: Wählen Sie, wie Benutzer sich anmelden: Dies kann entweder über einen Webbrowser, das Access Gateway Plug-in, Citrix XenApp (der neue Name für Program Neighborhood Agent) oder Citrix Desktop Receiver geschehen. Weitere Informationen finden Sie unter "XenApp-Websites" auf Seite 20 und "XenApp Services-Sites" auf Seite 20. Geben Sie an, wo Benutzer authentifiziert werden: Access Gateway oder Webinterface. Hinweis: Wenn das Webinterface im gesicherten Netzwerk installiert ist, empfiehlt Citrix, dass das Access Gateway den Netzwerkverkehr authentifiziert, bevor die Anforderung an das Webinterface gesendet wird. Nicht authentifizierter Netzwerkverkehr sollte innerhalb des gesicherten Netzwerks nicht an das Webinterface gesendet werden dürfen. Achten Sie darauf, dass ein gültiges Serverzertifikat auf dem Access Gateway installiert ist. Weitere Informationen über die Arbeit mit Zertifikaten finden Sie in der Citrix Access Gateway Standard Edition Administratordokumentation. Wichtig: Damit das Webinterface korrekt mit der Access Gateway Standard Edition funktioniert, muss der Webinterface-Server eine Vertrauensstellung mit dem Access Gateway haben und den vollqualifizierten Domänennamen (FQDN) in die korrekte IP-Adresse auflösen können. Erstellen einer Webinterface 4.5-Site Mit Citrix Presentation Server 4.5, erstellen Sie erst die Webinterface-Site und konfigurieren dann die Advanced Access Control-Einstellungen. Sie können dies in der Access Management Console tun. So erstellen Sie eine Webinterface-Site mit Citrix XenApp Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. Konfigurieren Sie die Discovery und führen sie aus, wenn Sie dazu aufgefordert werden. 2. Klicken Sie unter Citrix Ressourcen > Konfigurationstools auf Webinterface und klicken Sie dann unter Häufige Aufgaben auf Site erstellen.

22 22 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop 3. Wählen Sie als Sitetyp Access Platform-Site und klicken Sie auf Weiter. 4. Übernehmen Sie die Standardvorgaben für IIS-Site (Standardwebsite) und Pfad (/Citrix/AccessPlatform/) und klicken Sie auf Weiter. 5. Wählen Sie Lokale Datei(en) als Konfigurationsquelle und klicken Sie auf Weiter. 6. Als Authentifizierungseinstellung wählen Sie Integrierte Authentifizierung oder Advanced Access Control verwenden. Klicken Sie zweimal auf Weiter und dann auf Fertig stellen. Nachdem Sie auf Fertig stellen geklickt haben, wird der Assistent für die Erstkonfiguration gestartet. Die folgenden Anleitungen gelten für die Konfiguration der Advanced Access Control-Einstellungen. So konfigurieren Sie die Einstellungen für Advanced Access Control 1. Klicken Sie auf Weiter, geben Sie die Einstellungen für die Serverfarm an und klicken Sie auf Weiter. 2. Wählen Sie Remote und klicken Sie auf Weiter. 3. Wählen Sie Advanced Access Control und geben Sie den Authentifizierungsdienstpfad an. Klicken Sie auf Weiter und dann auf Fertig stellen. Bei Beispiel für den Authentifizierungsdienstpfad ist die HTTPS-Adresse von Access Gateway. Beispiel: https://access.company.com/citrixauthservice/authservice.asmx Hinweis: Die URL für den Authentifizierungsdienst muss HTTPS verwenden, auf einen vollqualifizierten Domänennamen (FQDN) nicht eine IP-Adresse verweisen und der FQDN muss mit dem Zertifikat auf dem Access Gateway übereinstimmen. Wenn es mit dieser Konfiguration zu Problemen kommt, müssen Sie möglicherweise die HOSTS-Datei auf dem Webinterface-Server bearbeiten. Sie finden die Datei unter %systemroot%\windows\system32\drivers\etc\hosts. Fügen Sie Folgendes für den Access Gateway-FQDN und die IP-Adresse hinzu und verwenden Sie dieses Format: IP-Adresse FQDN Beispiel: access.company.com

23 Kapitel 4 Einrichten einer Webinterface-Site für Access Gateway 23 Nachdem Sie die HOSTS-Datei bearbeitet haben, speichern und schließen Sie die Datei. Um sicherzustellen, dass das Access Gateway über den FQDN erreichbar ist, geben Sie auf dem Webinterface-Server an der Eingabeaufforderung Folgendes ein: ping FQDN Sie erhalten eine Antwort vom Access Gateway. Nachdem die Webinterface-Site erstellt ist, konfigurieren Sie die Webinterface- Einstellungen in Citrix Presentation Server 4.5. Wählen der Zugriffsmethode Wenn Sie die Einstellungen im Access Gateway konfigurieren, müssen Sie die Zugriffsmethoden wählen. Diese Einstellungen bestimmen, wie Benutzer sich mit einer Serverfarm verbinden. Weitere Informationen finden Sie in der Webinterface-Administratordokumentation. Direct: Das XenApp Plug-in für gehostete Anwendungen stellt die Verbindung zu der tatsächlichen IP-Adresse des XenApp-Servers her. Verwenden Sie diese Methode, wenn Benutzer sich vom LAN aus verbinden oder wenn Benutzer eine Verbindung mit dem Access Gateway Plug-in hergestellt haben. Alternate: Ähnlich wie "Direct", außer dass Benutzer sich mit einer alternativen IP-Adresse statt mit der tatsächlichen IP-Adresse des XenApp- Servers verbinden. Die alternative IP-Adresse wird für jeden XenApp- Server mit dem XenApp-Befehl ALTADDR festgelegt. Translated: Ähnlich wie "Alternate", außer dass die alternative Adresse für jeden XenApp-Server in der Webinterface-Konfiguration definiert wird und nicht durch Ausführen von ALTADDR auf jedem XenApp-Server.

24 24 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Gateway Direct: Das XenApp Plug-in für gehostete Anwendungen initiiert eine SSL-Verbindung zum FQDN des Access Gateways, das die SSL- Verbindung beendet und eine Verbindung zur tatsächlichen Adresse den XenApp-Server herstellt. Diese Methode verwendet die Secure Ticket Authority (STA), um eingehende Verbindungen zu validieren. Sie wird verwendet, wenn Benutzer nicht im LAN sind und keine Verbindung mit dem Access Gateway Plug-in hergestellt haben. Das Access Gateway Plugin ist für diesen Verbindungstyp nicht erforderlich, kann aber verwendet werden. Gateway Alternate: Ähnlich wie "Gateway Direct", außer dass das Access Gateway die Verbindung mit der alternativen Adresse des XenApp-Server herstellt, die mit ALTADDR festgelegt wurde. Gateway Translated: Ähnlich wie "Gateway Alternate", außer dass das Access Gateway die Verbindung mit der alternativen Adresse des XenApp- Server herstellt, die mit der Webinterface-Konfiguration festgelegt wurde. Wenn Benutzer sich durch das Access Gateway mit einer Serverfarm verbinden, empfiehlt Citrix, die Option "Gateway Direct" zu verwenden. Konfigurieren der Webinterface 4.5-Einstellungen für das Access Gateway Nachdem die Webinterface-Site erstellt ist, konfigurieren Sie die Webinterface- Einstellungen in der Access Management Console. So konfigurieren Sie das Webinterface für Citrix Presentation Server Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Klicken Sie im linken Bereich der Access Management Console auf Citrix Ressourcen, klicken Sie auf Konfigurationstools und anschließend auf Webinterface. 3. Klicken Sie mit der rechten Maustaste auf die Webinterface-Site und klicken Sie dann auf Sicheren Clientzugriff verwalten > DMZ- Einstellungen bearbeiten. 4. Wählen Sie unter Clientadresstabelle den Eintrag "Standard" aus und klicken Sie dann auf Bearbeiten. 5. Wählen Sie im Feld Zugriffsmethode die Option Gateway: direkt aus und klicken Sie zweimal auf OK. 6. Klicken Sie mit der rechten Maustaste auf die Webinterface-Site und wählen Sie Sicheren Clientzugriff verwalten > Gateway-Einstellungen bearbeiten.

25 Kapitel 4 Einrichten einer Webinterface-Site für Access Gateway Geben Sie unter Gateway-Server im Feld Adresse (FQDN) den vollqualifizierten Domänennamen des Access Gateways ein. Dieser muss mit dem im Access Gateway-Zertifikat verwendeten Namen identisch sein. 8. Geben Sie im Feld Port die Portnummer ein. Standardwert ist Klicken Sie zum Aktivieren der Sitzungszuverlässigkeit auf Sitzungszuverlässigkeit aktivieren. 10. Klicken Sie unter Secure Ticket Authorities auf Hinzufügen. 11. Geben Sie im Dialogfeld Secure Ticket Authority-URL hinzufügen den Namen des Masterservers ein, auf dem der XML-Dienst ausgeführt wird, und klicken Sie auf OK. Beispiel: Erstellen einer Webinterface-Site in XenApp 5.0 oder Citrix XenDesktop 2.1 Wenn Sie eine Webinterface-Site in XenApp 5.0 oder XenDesktop 2.1 erstellen, können Sie die Benutzeranmeldung mit einem Webbrowser, Citrix XenApp Plugins oder Citrix Desktop Receiver konfigurieren. Sie können mehrere Webinterface-Sites mit der Access Management Console erstellen. Um eine Webinterface-Site auf einem XenDesktop-Server zu erstellen, müssen Sie die Webinterface Access Management Console auf dem XenDesktop-Server installieren. So erstellen Sie eine Webinterface-Site in XenApp 5.0 oder XenDesktop Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. Konfigurieren Sie die Discovery und führen sie aus, wenn Sie dazu aufgefordert werden. 2. Klicken Sie unter Citrix Ressourcen > Konfigurationstools auf Webinterface und klicken Sie dann unter Häufige Aufgaben auf Site erstellen.

26 26 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop 3. Wählen Sie eine der folgenden Optionen und klicken Sie auf Weiter: XenApp Web: Benutzer melden sich über einen Webbrowser am Webinterface an. Wenn Sie mit XenDesktop eine Webinterface-Site erstellen, wählen Sie diese Option. Benutzer melden sich mit dem Citrix Desktop Receiver an. XenApp Services: Benutzer melden sich mit den Citrix XenApp Plug-ins an. Desktop Receiver wird mit dieser Option nicht unterstützt. Wenn diese Option ausgewählt ist, muss die Anmeldeseitenauthentifizierung auf dem Access Gateway deaktiviert sein. In diesem Fall muss das Webinterface in der DMZ bereitgestellt werden. Hinweis: Wenn Sie diese Option wählen, brauchen Sie die Schritte 5 und 6 nicht durchführen. 4. Übernehmen Sie die Standardeinstellungen für IIS-Site und Pfad. Wenn Sie in Schritt 3 XenApp Web gewählt haben, ist der Sitepfad /Citrix/ XenApp und Sie können mit Schritt 5 weiter machen. Wenn Sie XenApp Services gewählt haben, ist der Sitepfad /Citrix/ PNAgent; klicken Sie auf Weiter, um die Konfiguration abzuschließen. Hinweis: Wenn es bereits Sites für XenApp Web oder XenApp Services gibt, die den Standardpfad verwenden, wird der neuen Site das entsprechende Inkrement hinzugefügt.

27 Kapitel 4 Einrichten einer Webinterface-Site für Access Gateway Wählen Sie unter Legen sie fest, wo die Authentifizierung stattfindet eine der folgenden Optionen: Webinterface, damit Benutzer sich über das Webinterface authentifizieren. Wählen Sie diese Option, wenn das Webinterface auf einem separaten Server parallel zum Access Gateway in der DMZ bereitgestellt wird. Access Gateway, damit Benutzer sich über das Access Gateway- Gerät authentifizieren. Wenn Sie diese Option wählen, werden Benutzer von Access Gateway authentifiziert und Single Sign-On zum Webinterface initiiert, wenn es auf dem Gerät konfiguriert ist. 6. Wenn Sie in Schritt 5 Access Gateway gewählt haben, geben Sie in das Feld Authentifizierungsdienst-URL die Webadresse für den Access Gateway-Authentifizierungsdienst an, z. B. https://access.company.com/ CitrixAuthService/AuthService.asmx, und klicken Sie auf Weiter. Hinweis: Schritt 6. Wenn Sie in Schritt 5 Webinterface angegeben haben, entfällt Es wird eine Zusammenfassung Ihrer Einstellungen angezeigt. Klicken Sie auf Weiter, damit die Webinterface-Site erstellt wird. Wenn die Site erfolgreich erstellt wurde, werden Sie aufgefordert die restlichen Einstellungen im Webinterface zu konfigurieren. Folgen Sie den Anweisungen im Assistenten, um die Konfiguration abzuschließen.

28 28 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Konfigurieren des Webinterface für das Access Gateway Nachdem Sie die Webinterface-Site erstellt haben, können Sie mit der Access Management Console die Einstellungen für das Access Gateway konfigurieren. So konfigurieren Sie die Access Gateway-Einstellungen für das Webinterface in XenApp 5.0 oder XenDesktop Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Klicken Sie links in der Access Management Console auf Citrix Ressourcen > Konfigurationstools > Webinterface und klicken Sie dann auf die Webinterface-Site. 3. Klicken Sie unter Häufige Aufgaben auf Sicheren Clientzugriff verwalten und dann auf Gateway-Einstellungen bearbeiten. 4. Wählen Sie unter Zugriffsmethode angeben den Standardeintrag und klicken Sie auf Bearbeiten. 5. Wählen Sie unter Zugriffsmethode die Option Gateway: direkt, klicken Sie auf OK und dann auf Weiter. 6. Geben Sie in das Feld Adresse (FQDN) den vollqualifizierten Domänennamen für das Access Gateway ein. Dieser muss mit dem im Access Gateway-Zertifikat verwendeten FQDN identisch sein. 7. Geben Sie im Feld Port die Portnummer ein. Standardwert ist Wählen Sie ggf. Sitzungszuverlässigkeit aktivieren und klicken Sie dann auf Weiter. 9. Klicken Sie unter Secure Ticket Authority-URLs auf Hinzufügen. 10. Geben Sie im Dialogfeld Secure Ticket Authority-URL den Namen des Masterservers an, auf dem der XML-Dienst für XenApp oder Desktop Delivery Controller ausgeführt wird. Klicken Sie anschließend auf OK und schließen Sie den Assistenten mit Fertigstellen ab. Beispiel: Nachdem Sie die Einstellungen im Webinterface konfiguriert haben, konfigurieren Sie das Access Gateway. Weitere Informationen hierzu finden Sie unter "Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface" auf Seite 31.

29 Kapitel 4 Einrichten einer Webinterface-Site für Access Gateway 29 XenApp- und XenDesktop-Farmen in einer Site Wenn Sie sowohl XenApp als auch XenDesktop verwenden, können Sie beide mit der Access Management Console einer einzigen Webinterface-Site hinzufügen. So können Sie die gleiche Secure Ticket Authority für den XenApp- Server und Desktop Delivery Controller verwenden. Hinweis: Wenn die Serverfarmen in unterschiedlichen Domänen sind, müssen Sie eine Vertrauensstellung zwischen den Domänen einrichten. So fügen Sie XenApp und Desktop Delivery Controller der gleichen Webinterface-Site hinzu 1. Klicken Sie auf Start > Alle Programme > Citrix > Managementkonsolen > Access Management Console. 2. Erweitern Sie Citrix Ressourcen > Konfigurationstools > Webinterface. 3. Klicken Sie auf eine Webinterface-Site und wählen Sie unter Häufige Aufgaben die Option Serverfarmen verwalten. 4. Klicken Sie im Dialogfeld Serverfarmen verwalten auf Hinzufügen. 5. Füllen Sie die Einstellungen für die Serverfarm aus und klicken Sie zweimal auf OK.

30 30 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop

31 KAPITEL 5 Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface Das Access Gateway kann für die Kommunikation mit dem Webinterface für Citrix XenApp und Citrix XenDesktop konfiguriert werden. Konfigurieren Sie dazu die Gruppeneigenschaften für das Webinterface, konfigurieren Sie die Secure Ticket Authority und konfigurieren Sie optional die ICA- Zugriffssteuerung auf dem Access Gateway. Einstellungen werden mit dem Access Gateway Administration Tool konfiguriert. Dieses Kapitel enthält: "Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface" "Konfigurieren der Secure Ticket Authority auf dem Access Gateway" "Konfigurieren der ICA-Zugriffssteuerung" "Verwenden des Webinterface als Anmeldeseite"

32 32 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface Um die Kommunikation mit XenApp- und XenDesktop-Servern zu ermöglichen, müssen Sie das Access Gateway konfigurieren, sodass es die Server erkennt. Sie können die Einstellungen mit den Gruppeneigenschaften auf dem Access Gateway konfigurieren. So konfigurieren Sie das Webinterface auf dem Access Gateway 1. Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf eine Benutzergruppe und klicken Sie dann auf Properties. 2. Wählen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface. 3. Geben Sie unter Path wahlweise Folgendes ein: Bei der Konfiguration von Webinterface 4.5, geben Sie /Citrix/ AccessPlatform ein Wenn Sie für das Webinterface 5.0 "XenApp Web" gewählt haben, geben Sie /Citrix/XenApp ein Wenn Sie für das Webinterface 5.0 "XenApp Services" gewählt haben, geben Sie /Citrix/PNAgent ein 4. Geben Sie im Feld Web server die IP-Adresse oder den vollqualifizierten Domänennamen des Webinterface-Servers und klicken Sie auf OK.

33 Kapitel 5 Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface 33 Konfigurieren der Secure Ticket Authority auf dem Access Gateway Die Secure Ticket Authority (STA) gibt Sitzungstickets aus bei Verbindungsanfragen für veröffentlichte Anwendungen in XenApp und veröffentlichte Desktops in XenDesktop. Auf diesen Sitzungstickets basiert die Authentifizierung und Berechtigung für den Zugriff auf veröffentlichte Ressourcen. Die STA wird im Administration Tool auf der Registerkarte Authentication konfiguriert. Wenn Sie die Kommunikation zwischen dem Access Gateway und der Secure Ticket Authority sichern, muss auf dem Secure Ticket Authority-Server ein Serverzertifikat installiert sein. Wenn Sie im Administration Tool auf der Registerkarte Global Cluster Policies das Kontrollkästchen Validate secure certificates for internal connections aktiviert haben, muss zur Überprüfung, ob das Zertifikat der Secure Ticket Authority gültig ist, das entsprechende Stammzertifikat auf dem Access Gateway installiert sein. So konfigurieren Sie das Access Gateway so, dass die Secure Ticket Authority verwendet wird 1. Klicken Sie im Administration Tool auf die Registerkarte Authentication und anschließend auf die Registerkarte Secure Ticket Authority. 2. Geben Sie unter Server running the STA die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein, auf dem die Secure Ticket Authority installiert ist. 3. Geben Sie unter STA path den Pfad zur Secure Ticket Authority ein. Der Standardpfad ist /Scripts/CtxSTA.dll. 4. Legen Sie unter Connection type fest, ob die Verbindung sicher (Secure) oder unsicher (Unsecure) ist, und klicken Sie auf Add. Wenn die Secure Ticket Authority konfiguriert ist, werden der Server, der Pfad, die ID und der Verbindungstyp unter Secure Ticket Authority Details angezeigt. Hinweis: Sie können der Liste mehrere Server hinzufügen, auf denen die Secure Ticket Authority ausgeführt wird. Die im Webinterface aufgelisteten Secure Ticket Authoritys müssen mit den Secure Ticket Authoritys übereinstimmen, die auf dem Access Gateway konfiguriert sind.

34 34 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop 5. Klicken Sie auf die Registerkarte Access Policy Manager. Klicken Sie mit der rechten Maustaste entweder auf die Standardbenutzergruppe oder eine andere Gruppe und klicken Sie auf Properties. 6. Klicken Sie auf die Registerkarte Gateway Portal. Klicken Sie auf Redirect to Web Interface. 7. Geben Sie im Feld Path einen Schrägstrich (/), nichts oder die Webadresse ein, an die das Access Gateway Proxy-HTTP-Anforderungen senden soll, z. B. /Citrix/XenApp oder /Citrix/PNAgent. Wenn dieses Feld leer gelassen oder wenn ein Schrägstrich eingegeben wird, wird die Webinterface-Standardseite verwendet. 8. Geben Sie unter Web server die IP-Adresse oder den vollqualifizierten Domänennamen des Servers ein, an den die Anforderungen umgeleitet werden sollen. Dies sollte die IP-Adresse des Servers sein, auf dem das Webinterface ausgeführt wird. Klicken Sie auf OK. Nachdem Sie das Access Gateway für die Verbindung mit der STA und dem Webinterface konfiguriert haben, importieren Sie ein Serverzertifikat auf das Access Gateway, damit Citrix XenApp Plug-ins die Verbindung zum Access Gateway herstellen können. Wenn sich das Webinterface hinter dem Access Gateway in der DMZ oder im sicheren Netzwerk befindet, empfiehlt Citrix, dass sich Benutzer zuerst am Access Gateway anmelden, bevor sie eine Verbindung zum Webinterface herstellen. So aktivieren Sie die Anmeldeseitenauthentifizierung 1. Klicken Sie auf die Registerkarte Global Cluster Policies. 2. Wählen Sie unter Advanced options die Option Enable logon page authentication.

35 Kapitel 5 Konfigurieren des Access Gateways für die Kommunikation mit dem Webinterface 35 Konfigurieren der ICA-Zugriffssteuerung Sie können eine ICA-Zugriffssteuerungsliste konfigurieren, damit das Access Gateway nur auf bestimmte Server in der Serverfarm Zugriff erlaubt. Sie können im Administration Tool auf der Registerkarte ICA Access Control, die sich auf der Registerkarte Authentication befindet, eine ICA- Zugriffssteuerungsliste erstellen. Zum Erstellen einer ICA-Zugriffssteuerungsliste müssen Sie einen IP- Adressbereich eingeben, der mit den Servern in der Serverfarm übereinstimmt, für die Sie den Zugriff gewähren wollen, und außerdem das entsprechende Protokoll bzw. den entsprechenden Port für die Verbindung mit diesen Servern festlegen. Wenn Sie eine oder mehrere ICA-Zugriffssteuerungslisten erstellen, muss ein XenApp- oder XenDesktop-Server in einer der Zugriffssteuerungslisten enthalten sein, bevor Benutzer darauf zugreifen können. Das Access Gateway lässt nur Verbindungen zu den Servern zu, die in den Zugriffssteuerungslisten aufgeführt sind. Wenn Sie keine ICA-Zugriffssteuerungsliste erstellen und die Einstellungen unter Configure Settings for ICA Connections auf der Registerkarte ICA Access Control leer lassen, wird jeglicher ICA-Verkehr durch das Access Gateway gelassen und Benutzer können mit jedem Server im Unternehmensnetzwerk eine Verbindung herstellen. So erstellen Sie eine ICA-Zugriffssteuerungsliste 1. Klicken Sie auf der Registerkarte Authentication auf ICA Access Control. 2. Wenn Sie einen Bereich von Servern angeben möchten, auf denen XenApp oder XenDesktop ausgeführt wird, geben Sie in den Feldern Starting IP address und Ending IP address die erste und die letzte IP-Adresse ein. 3. Wählen Sie unter Protocol die Option ICA oder CGP (Citrix Gateway Protocol, das für Sitzungszuverlässigkeit verwendet wird). 4. Behalten Sie die unter Port angegebene Standardportnummer bei oder geben Sie eine neue Nummer ein. Der Standardport für ICA-Verbindungen ist Der Standardport für die Sitzungszuverlässigkeit ist Klicken Sie auf Add. Testen Sie nach dem Konfigurieren der ICA-Zugriffssteuerungsliste die Konfiguration.

36 36 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop So testen Sie die Verbindungen zu Citrix XenApp 1. Stellen Sie in einem Webbrowser mit der IP-Adresse oder dem vollqualifizierten Domänennamen eine Verbindung zum Access Gateway her. Die Webinterface-Anmeldeseite wird angezeigt. 2. Geben Sie Ihre Anmeldeinformationen ein und öffnen Sie dann eine Anwendung. Wenn Sie einen Server aus dieser Liste entfernen möchten, wählen Sie den Server aus und klicken Sie dann auf Remove. Verwenden des Webinterface als Anmeldeseite Wenn Benutzer eine Verbindung zu Citrix XenApp-Servern herstellen, kann das Webinterface auf einem Server in der DMZ oder im gesicherten Netzwerk installiert sein. Wenn Benutzer statt zur Access Gateway-Standardanmeldeseite eine Verbindung zum Webinterface herstellen sollen, können Sie dies auf der Registerkarte Access Policy Manager konfigurieren. So konfigurieren Sie das Webinterface als Anmeldeseite 1. Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager unter User Groups auf eine Gruppe und klicken Sie dann auf Properties. 2. Wählen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface. 3. Geben Sie im Feld Path den Pfad des Servers ein, auf dem das Webinterface gehostet wird. 4. Geben Sie im Feld Web server die IP-Adresse oder den vollqualifizierten Domänennamen des Servers ein, auf dem das Webinterface gehostet wird. 5. Um die Verbindung zu sichern, klicken Sie auf Use a secure connection und dann auf OK.

37 KAPITEL 6 Konfigurieren von Single Sign-On Das Access Gateway kann für Single Sign-On beim Webinterface konfiguriert werden. In diesem Abschnitt wird beschrieben, wie Sie dafür das Access Gateway, das Webinterface für Citrix Presentation Server 4.5, das Webinterface für Citrix XenApp 5.0 und Citrix XenDesktop 2.1 konfigurieren. Dieses Kapitel enthält: "Systemvoraussetzungen" "Konfigurieren des Access Gateways für Single Sign-On beim Webinterface" "Konfigurieren des Webinterface für Single Sign-On" "Aktivieren der Sitzungszuverlässigkeit" Es wird davon ausgegangen, dass das Webinterface bereits konfiguriert ist und störungsfrei mit dem Access Gateway zusammenarbeitet. Systemvoraussetzungen Folgendes sind die Mindestanforderungen, Single Sign-On für das Webinterface zu konfigurieren: Webinterface Version 4.5 oder höher Citrix Presentation Server 4.5 oder höher Das Webinterface muss hinter dem Access Gateway in der DMZ oder im gesicherten Netzwerk implementiert sein Access Gateway 4.6, Standard Edition oder höher Wichtig: Der Webinterface-Server muss dem Access Gateway-Zertifikat vertrauen und den vollqualifizierten Domänennamen (FQDN) in die korrekte IP- Adresse auflösen können. Wenn das Webinterface dem Zertifikat nicht vertraut, funktioniert Single Sign-On möglicherweise nicht korrekt.

38 38 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Das Konfigurieren des Access Gateways für Single Sign-On hat folgende Vorteile und Funktionen: Benutzer müssen sich nur einmal beim Access Gateway authentifizieren und nicht noch einmal beim Webinterface. Eingehender sicherer HTTPS-Verkehr wird vom Access Gateway beendet und authentifiziert, sodass das Webinterface im gesicherten Netzwerk statt in der DMZ sein kann. Schutz der Server, auf denen das Webinterface ausgeführt wird. Single Sign-On unterstützt die Anmeldung und Authentifizierung mit LDAP oder RADIUS und Active Directory für das Access Gateway und das Webinterface. Wenn Sie LDAP oder RADIUS verwenden, müssen der Benutzername und das Kennwort in der Active Directory-Domäne gültig sein. Single Sign-On für das Webinterface funktioniert nur mit dem Authentifizierungsbereich (realm) "Default" (Standard). Wenn Sie einen anderen Authentifizierungsbereich für LDAP oder RADIUS konfiguriert haben, schlägt Single Sign-On fehl. Informationen, wie Sie den Standardauthentifizierungsbereich für diese Authentifizierungstypen einrichten, finden Sie in der Access Gateway Standard Edition Administratordokumentation. Konfigurieren des Access Gateways für Single Sign-On beim Webinterface Um Single Sign-On beim Webinterface zuzulassen, muss das Access Gateway auf Gruppenebene konfiguriert werden. Wenn Sie möchten, dass sich alle Gruppen mit Single Sign-On am Webinterface anmelden können, müssen Sie die Einstellungen in der Standardbenutzergruppe konfigurieren. Wenn andere Benutzergruppen die Eigenschaften der Standardbenutzergruppe erben, verwenden Benutzer in diesen Gruppen auch die Passthrough-Authentifizierung. So konfigurieren Sie das Access Gateway für Single Sign-On am Webinterface 1. Klicken Sie auf die Registerkarte Access Policy Manager. 2. Klicken Sie im linken Bereich unter User Groups mit der rechten Maustaste auf eine Gruppe und klicken Sie dann auf Properties. 3. Wählen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface. 4. Geben Sie unter Path den Pfad zum Webinterface ein, für das Webinterface 4.5 z. B. /Citrix/AccessPlatform.

39 Kapitel 6 Konfigurieren von Single Sign-On Geben Sie unter Web server den vollqualifizierten Domänennamen des Webinterface ein (z. B. wi.company.net). 6. Geben Sie unter Domain den Namen der Domäne an, in der die Benutzerkonten sind. 7. Wählen Sie Single sign-on to the Web Interface und klicken Sie auf OK. Konfigurieren Sie anschließend das Webinterface so, dass es die vom Access Gateway weitergeleiteten Anmeldeinformationen akzeptiert. Konfigurieren des Webinterface für Single Sign-On Sie können Citrix Presentation Server 4.5 oder Citrix XenApp 5.0 für Single Sign-On konfigurieren. Wenn Sie das Webinterface mit dieser Methode für Single Sign-On konfigurieren, gilt Folgendes: Geben Sie mit der Access Management Console die Zugriffsmethode für die Webinterface-Site als Advanced Access Control an. Die Authentifizierungsdienst-URL kann mit HTTP oder HTTPS anfangen. Hinweis: Wenn Sie die URL für HTTP konfigurieren, werden die Anmeldeinformationen des Benutzers im Klartext vom Access Gateway an das Webinterface gesendet. Bei HTTP müssen Sie auch im Access Gateway Administration Tool die Umleitung auf Port 443 konfigurieren. Weitere Informationen finden Sie in der Access Gateway Standard Edition - Administratordokumentation. Der Webinterface-Server muss dem Access Gateway-Zertifikat vertrauen und den vollqualifizierten Domänennamen (FQDN) in die tatsächliche IP- Adresse auflösen können. Das Webinterface muss eine Verbindung mit dem Access Gateway herstellen können. Wenn es eine Firewall zwischen dem Webinterface und Access Gateway gibt, verhindern Firewallregeln möglicherweise Benutzerverbindungen und folglich auch Single Sign-On. Lockern Sie die Firewallregeln, damit das Webinterface die Verbindung mit dem Access Gateway herstellen kann.

40 40 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop So konfigurieren Sie Advanced Access Control in Citrix Presentation Server Wählen Sie in der Access Management Console die Webinterface-Site aus. 2. Klicken Sie unter Andere Tasks auf Zugriffsmethode verwalten. 3. Klicken Sie im Dialogfeld Zugriffsmethode verwalten auf Advanced Access Control. 4. Geben Sie in das Feld Authentifizierungsdienst-URL die URL des Access Gateways und den Authentifizierungsdienst ein und klicken Sie auf OK. Die Authentifizierungsdienst-URL ist die HTTPS-Adresse des Access Gateways gefolgt von /CitrixAuthService/AuthService. Um Advanced Access Control für Citrix XenApp 5.0 oder Citrix XenDesktop 2.1 bzw. 3.0 zu konfigurieren, siehe "Erstellen einer Webinterface-Site in XenApp 5.0 oder Citrix XenDesktop 2.1" auf Seite 25. Vergewissern Sie sich nach dem Konfigurieren des Webinterface, dass Sie sich anmelden können. So testen Sie Single Sign-On am Webinterface 1. Geben Sie in einem Webbrowser https://accessgatewayfqdn ein, wobei AccessGatewayFQDN der vollqualifizierte Domänenname (FQDN) des Access Gateways ist. 2. Melden Sie sich mit denselben Benutzeranmeldeinformationen wie in Active Directory an. Bei der Anmeldung werden Sie zum Webinterface in der Standardgruppe oder der Gruppe mit der höchsten Priorität, der der Benutzer angehört, weitergeleitet. Die Anwendungen werden ohne weitere Authentifizierung automatisch angezeigt. Beim Starten einer veröffentlichten Anwendung sollten die Citrix XenApp Plug-ins den Verkehr durch das Access Gateway-Gerät an Server in der Farm weiterleiten.

41 Aktivieren der Sitzungszuverlässigkeit Kapitel 6 Konfigurieren von Single Sign-On 41 Die Sitzungszuverlässigkeit hält ICA-Sitzungen aktiv und sorgt dafür, dass sie auf dem Bildschirm des Benutzers bleiben, wenn die Netzwerkverbindung unterbrochen wird. Die Sitzungszuverlässigkeit wird über die Secure Gateway 3.0-Einstellungen im Webinterface in der Citrix Access Management Console konfiguriert. Öffnen Sie zum Aktivieren der Sitzungszuverlässigkeit Port 2598 in der internen Firewall. So aktivieren Sie die Sitzungszuverlässigkeit im Webinterface Klicken Sie in der Access Management Console unter Webinterface auf die Webinterface-Site. 2. Klicken Sie unter Häufige Tasks auf Sicheren Clientzugriff verwalten und dann auf Gateway-Einstellungen bearbeiten. 3. Geben Sie im Dialogfeld Gateway-Einstellungen bearbeiten unter Gateway-Server im Feld Adresse (FQDN) die IP-Adresse oder den vollqualifizierten Domänennamen des Access Gateways ein. 4. Geben Sie unter Port die Portnummer ein. Standardwert ist Wählen Sie Sitzungszuverlässigkeit aktivieren und klicken Sie auf OK. So aktivieren Sie die Sitzungszuverlässigkeit im Webinterface Klicken Sie in der Access Management Console unter Webinterface auf die Webinterface-Site. 2. Klicken Sie unter Häufige Aufgaben auf Sicheren Clientzugriff verwalten und dann auf Gateway-Einstellungen bearbeiten. 3. Wählen Sie im Dialogfeld Einstellungen für sicheren Clientzugriff bearbeiten unter Clientadressen (in dieser Reihenfolge) die Clientadresse aus und klicken Sie auf Bearbeiten. 4. Wählen Sie im Dialogfeld Standardroute für alle Clients bearbeiten unter Zugriffsmethode die Option Gateway: direkt aus, klicken Sie auf OK und dann auf Weiter. 5. Geben Sie die Einstellungen für das Access Gateway an, mit dem die Benutzer die Verbindung herstellen, wählen Sie Sitzungszuverlässigkeit aktivieren und klicken Sie auf Weiter, um mit der Konfiguration fortzufahren oder den Assistenten abzuschließen.

42 42 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop

43 KAPITEL 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ Einige Unternehmen verwenden drei Firewalls zum Schutz ihrer internen Netzwerke. Diese drei Firewalls unterteilen die DMZ in zwei Bereiche, sodass ein zusätzliches Maß an Sicherheit für das interne Netzwerk erzielt wird. Diese Netzwerkkonfiguration wird als Double-Hop-DMZ bezeichnet. Access Gateway-Geräte in einer Double-Hop-DMZ Sie können Access Gateway-Geräte in einer Double-Hop-DMZ bereitstellen, um den Zugriff auf Citrix XenApp-Server (der neue Name für Citrix Presentation Server) zu steuern, wie in der Abbildung oben dargestellt. In einer Bereitstellung mit Double-Hop-DMZ verbinden sich Benutzer mit dem Access Gateway in der ersten DMZ über einen Webbrowser und Citrix XenApp Plug-ins (der neue Name für Citrix Presentation Server Clients). Dieser Vorgang wird gestartet, indem Benutzer über einen Webbrowser eine Verbindung zum Access Gateway herstellen und im Webinterface eine veröffentlichte Anwendung auswählen. Nachdem die eine veröffentlichte Anwendung ausgewählt wurde, werden die Citrix XenApp Plug-ins programmatisch auf dem Clientgerät gestartet. Die Citrix XenApp Plug-ins stellen eine Verbindung zum Access Gateway her, um auf die veröffentlichte Anwendung zuzugreifen, die auf der Serverfarm im gesicherten Netzwerk ausgeführt wird.

44 44 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Wichtig: Citrix Access Gateway Plug-in wird für Bereitstellungen mit Double- Hop-DMZ nicht unterstützt. Sie können mit dem Access Gateway Plug-in also nicht auf Netzwerkressourcen zugreifen, wenn das Access Gateway in einer Double-Hop-DMZ-Konfiguration bereitgestellt wurde. Das Access Gateway in der ersten DMZ ist für Clientverbindungen verantwortlich und übernimmt die Sicherheitsfunktionen eines SSL-VPN. Dieses Access Gateway verschlüsselt die Clientverbindungen, legt fest, wie Benutzer authentifiziert werden, und steuert den Zugriff auf die Citrix XenApp-Server im internen Netzwerk. Das Access Gateway in der zweiten DMZ ist ein Proxygerät. Dieses Access Gateway ermöglicht, dass der ICA-Verkehr die zweite DMZ durchqueren und Citrix XenApp Plug-in-Verbindungen zu der Serverfarm herstellen kann. Die Datenübertragung zwischen dem Access Gateway in der ersten DMZ und der Secure Ticket Authority im internen Netzwerk erfolgt auch über das Access Gateway in der zweiten DMZ. Hinweis: Der Begriff Access Gateway-Proxy bezieht sich auf ein Access Gateway-Gerät, das in der zweiten DMZ bereitgestellt wird. In diesem Kapitel werden die folgenden Themen zur Bereitstellung des Access Gateways in einer Konfiguration mit einer Double-Hop-DMZ behandelt: Datenübertragung in einer Double-Hop-DMZ-Konfiguration: In diesem Abschnitt wird kurz erläutert, wie die Datenübertragung zwischen den verschiedenen Komponenten in einer Double-Hop-DMZ abläuft. Vorbereiten der Bereitstellung einer Double-Hop-DMZ: In diesem Abschnitt werden die Konfigurationsaspekte erläutert, die Sie vor dem Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ berücksichtigen sollten. Erforderliche Schritte zur Bereitstellung einer Double-Hop-DMZ: In diesem Abschnitt wird beschrieben, welche Arbeitsschritte zum Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ- Konfiguration erforderlich sind. Herstellen einer Clientverbindung in einer Double-Hop-DMZ: Dieser Abschnitt enthält eine detaillierte Beschreibung der einzelnen Schritte zur Herstellung einer Clientverbindung und der Interaktion zwischen den verschiedenen Komponenten in einer Double-Hop-DMZ-Bereitstellung.

45 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 45 Datenübertragung in einer Double-Hop-DMZ- Konfiguration In diesem Abschnitt wird die Datenübertragung erläutert, die bei einer Clientverbindung zwischen den verschiedenen Komponenten in einer Double- Hop-DMZ abläuft. Um zu verstehen, welche Konfigurationsaspekte bei der Bereitstellung einer Double-Hop-DMZ zu berücksichtigen sind, sollten Sie grundsätzlich wissen, wie die Kommunikation zwischen den verschiedenen Komponenten in einer Double-Hop-DMZ erfolgt. Der Datenübertragung zwischen den Komponenten wird in drei separaten Phasen beschrieben: Benutzerauthentifizierung Erstellung von Sitzungstickets Verbindungsherstellung Hinweis: Eine detailliertere Beschreibung dieses Prozesses finden Sie unter "Herstellen einer Clientverbindung in einer Double-Hop-DMZ" auf Seite 71. Benutzerauthentifizierung Die Benutzerauthentifizierung ist die erste Phase beim Herstellen einer Clientverbindung in einer Double-Hop-DMZ-Bereitstellung. Datenübertragung bei der Clientauthentifizierung in einer Double-Hop-DMZ

46 46 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Während der Clientauthentifizierungsphase laufen die folgenden Schritte ab: Ein Benutzer stellt über einen Webbrowser eine Verbindung zum Access Gateway in der ersten DMZ her. Wenn auf dem Access Gateway die Anmeldeseitenauthentifizierung aktiviert ist, wird der Benutzer vom Access Gateway authentifiziert. Das Access Gateway leitet die Webbrowser-Verbindung an das Webinterface weiter. Das Webinterface kommuniziert mit dem XML-Dienst auf einem Citrix XenApp-Server und erhält vom XML-Dienst eine Liste der Anwendungen, auf die der Benutzer zugreifen darf. Bei diesem Prozess wird der Benutzer vom XML-Dienst authentifiziert. Erstellung von Sitzungstickets Die Erstellung von Sitzungstickets ist die zweite Phase beim Herstellen einer Clientverbindung in einer Double-Hop-DMZ-Bereitstellung. Während dieser Phase laufen die folgenden Schritte ab: Das Webinterface kommuniziert mit dem XML-Dienst und der Secure Ticket Authority im internen Netzwerk, um Sitzungstickets für die einzelnen veröffentlichten Anwendungen zu erstellen, auf die der Benutzer zugreifen darf. Das Sitzungsticket enthält eine Aliasadresse für den Citrix XenApp-Server, der eine veröffentlichte Anwendung hostet. Das Webinterface erstellt eine ICA-Datei für jede veröffentlichte Anwendung. Jede ICA-Datei enthält das Sitzungsticket für eine veröffentlichte Anwendung. Das Webinterface erstellt eine Webseite mit einem Link zu jeder veröffentlichten Anwendung (ICA-Datei), auf die der Benutzer zugreifen darf, und leitet diese Webseite an den Webbrowser weiter.

47 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 47 Verbindungsherstellung Die endgültige Herstellung der Verbindung ist die dritte Phase beim Herstellen einer Clientverbindung in einer Double-Hop-DMZ-Bereitstellung. Datenübertragung bei der Verbindungsherstellung in einer Double-Hop-DMZ Während dieser Phase, in der die Verbindung endgültig hergestellt wird, laufen die folgenden Schritte ab: Der Benutzer klickt auf der vom Webinterface bereitgestellten Webseite auf einen Link zu einer veröffentlichten Anwendung. Der Webbrowser erhält die vom Webinterface erstellte ICA-Datei und startet die Citrix XenApp Plug-ins. Hinweis: Die ICA-Datei enthält Anweisungen für den Webbrowser zum Starten der Citrix XenApp Plug-ins. Die Citrix XenApp Plug-ins initiieren eine ICA-Verbindung zum Access Gateway in der ersten DMZ. Das Access Gateway in der ersten DMZ kommuniziert mit der Secure Ticket Authority im internen Netzwerk, um die im Sitzungsticket enthaltene Aliasadresse in die echte IP-Adresse eines Citrix XenApp- Servers aufzulösen. Diese Datenübertragung erfolgt über die zweite DMZ durch den Access Gateway-Proxy. Dann wird eine Verbindung vom Access Gateway in der zweiten DMZ zu dem Citrix XenApp-Server im internen Netzwerk hergestellt. Das Access Gateway in der ersten DMZ stellt eine endgültige ICA- Verbindung zu den Citrix XenApp Plug-ins her. Die Citrix XenApp Plug-ins können nun die Kommunikation durch beide Access Gateway-Geräte zum Citrix XenApp-Server im internen Netzwerk herstellen.

48 48 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Vorbereiten der Bereitstellung einer Double-Hop-DMZ Zur Vorbereitung der Bereitstellung einer Double-Hop-DMZ sollten Sie als erstes die folgenden Fragen klären. Durch die Beantwortung dieser Fragen vor der Implementierung können Sie unnötige Probleme bei der Bereitstellung vermeiden. Soll Lastausgleich unterstützt werden? Soll die Anmeldeseitenauthentifizierung auf dem Access Gateway aktiviert werden? Wo soll das Administration Tool installiert werden? Welche Ports müssen in den Firewalls geöffnet werden? Wie viele SSL-Zertifikate sind erforderlich? Welche Komponenten sind vor dem Starten der Bereitstellung erforderlich? Anhand der in diesem Abschnitt enthaltenen Informationen können Sie diese Fragen für Ihre spezielle Umgebung leichter beantworten. Unterstützung für Load Balancing Bevor Sie mit der Bereitstellung einer Double-Hop-DMZ beginnen, sollten Sie entscheiden, ob in Ihrer Double-Hop-DMZ Load Balancing unterstützen wollen. Das Load Balancing bietet folgende Vorzüge: Sie können mehrere Access Gateway-Geräte in jeder DMZ bereitstellen, um zu gewährleisten, dass die Access Gateway-Bereitstellung keinen SPoF (Single Point of Failure, d.h. keine einzelne Fehlerstelle) hat. Wenn ein Access Gateway ausfällt, steht ein anderes Access Gateway für die Benutzerverbindungen zur Verfügung.

49 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 49 Zur Optimierung der Leistung für den Endbenutzer werden die Benutzerverbindungen gleichmäßig auf die verschiedenen Access Gateway-Geräte verteilt. Zwei in der ersten DMZ und zwei in der zweiten DMZ bereitgestellte Access Gateway- Geräte zur Gewährleistung hoher Verfügbarkeit Wenn Sie mehrere Geräte in der ersten DMZ bereitstellen, müssen Sie einen Load Balancer vor diesen Geräten implementieren. Beim Konfigurieren des Lastausgleichs für die Access Gateway-Geräte in der ersten DMZ können Sie genauso vorgehen wie bei jeder anderen Access Gateway-Bereitstellung. Weitere Informationen über das Konfigurieren des Load Balancings finden Sie in der Access Gateway Standard Edition Administratordokumentation. Wenn Sie mehrere Geräte in der zweiten DMZ bereitstellen, können Sie jedes Access Gateway in der ersten DMZ so konfigurieren, dass eine Verbindung zu jedem Access Gateway-Proxygerät in der zweiten DMZ hergestellt werden kann. Wenn ein Access Gateway in der ersten DMZ eine Verbindung zu mehreren Access Gateway-Geräten in der zweiten DMZ herstellt, führt das Access Gateway in der ersten DMZ einen Lastausgleich nach dem Round-Robin-Prinzip für die Verbindungen zu den Geräten in der zweiten DMZ aus. Durch diesen Lastausgleich ist gewährleistet, dass die Verbindungen gleichmäßig auf die Geräte in der zweiten DMZ verteilt sind. Wenn ein Access Gateway-Gerät in der zweiten DMZ ausfällt, dann wird die Verbindung zu einem anderen, noch verfügbaren Access Gateway in der zweiten DMZ hergestellt. Informationen zum Konfigurieren eines Access Gateways, um eine Verbindung zu mehreren Access Gateway-Proxygeräten herzustellen, finden Sie unter "Schritt 5: Konfigurieren des Access Gateways für die Kommunikation mit dem Access Gateway-Proxy" auf Seite 59.

50 50 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Verwenden der Anmeldeseitenauthentifizierung in einer Double-Hop-DMZ Vor dem Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ sollten Sie entscheiden, ob die Anmeldeseitenauthentifizierung auf dem (den) Access Gateway-Gerät(en) in der ersten DMZ aktiviert oder deaktiviert werden soll. Über die Konfiguration der Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ wird gesteuert, wie Benutzer authentifiziert werden. Außerdem wirkt sich dies auch auf andere Sicherheitskonfigurationen in der Umgebung aus. Wenn Sie vor dem Starten der Bereitstellung verstehen, wie sich die Anmeldeseitenauthentifizierung auswirkt, können Sie Probleme mit Sicherheitskonfigurationen in Ihrer Umgebung bei der tatsächlichen Bereitstellung vermeiden. Die Anmeldeseitenauthentifizierung erhöht die Sicherheit, setzt aber auch voraus, dass Sie auf dem Access Gateway in der ersten DMZ einen Authentifizierungsbereich erstellen und die Funktion für das Single Sign- On am Webinterface aktivieren. Das Deaktivieren der Anmeldeseitenauthentifizierung ist zwar leichter zu konfigurieren, bietet jedoch geringere Sicherheit. Diese Optionen werden nachstehend jeweils näher erläutert. Aktivieren der Anmeldeseitenauthentifizierung Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ aktivieren, wird eine Benutzerverbindung sowohl vom Access Gateway als auch vom XML-Dienst auf einem Citrix XenApp-Server authentifiziert. Die Anmeldeseitenauthentifizierung erhöht die Sicherheit, weil der Benutzer vor dem Zugriff auf veröffentlichte Anwendungen zweimal authentifiziert wird. Wenn Sie die Anmeldeseitenauthentifizierung aktivieren, werden Benutzer zur Eingabe ihrer Authentifizierungsinformationen (Benutzername und Kennwort) aufgefordert, wenn Sie über einen Webbrowser eine Verbindung zum Access Gateway in der ersten DMZ herstellen. Für diese Benutzerauthentifizierung müssen Sie einen Authentifizierungsbereich (authentication realm) auf dem Access Gateway erstellen. Weitere Informationen über das Konfigurieren von Authentifizierungsbereichen finden Sie in der Access Gateway Standard Edition Administratordokumentation.

51 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 51 Hinweis: Der Authentifizierungsbereich dient zur Authentifizierung der Benutzer, gewährt jedoch keinen Zugriff auf die Serverfarm. Wenn Sie einen Authentifizierungsbereich auf dem Access Gateway in der ersten DMZ erstellen, aktivieren Sie die Option No authorization als Autorisierungstyp. In einer Double-Hop-DMZ-Bereitstellung erfolgt die Autorisierung über das Webinterface/den XML-Dienst und die ICA-Zugriffssteuerungsliste, die auf dem Access Gateway in der ersten DMZ konfiguriert ist. Die zur Unterstützung der Autorisierung erforderlichen Einstellungen werden weiter unten in diesem Kapitel erläutert. Wenn Sie die Anmeldeseitenauthentifizierung aktivieren, sollten Sie auch die Access Gateway-Option für Single Sign-On am Webinterface aktivieren. Beim Aktivieren von Single Sign-On werden Benutzer zweimal authentifiziert, geben die Authentifizierungsinformationen allerdings nur einmal ein. Das Access Gateway authentifiziert die Benutzer und leitet die Anmeldeinformationen an das Webinterface weiter. Das Webinterface leitet die Anmeldeinformationen an den XML-Dienst weiter, wobei Benutzer nicht zur noch einmal zur Eingabe der Anmeldeinformationen aufgefordert werden. Der XML-Dienst authentifiziert die Benutzer und legt fest, auf welche veröffentlichten Anwendungen sie zugreifen dürfen. Zum Aktivieren von Single Sign-On müssen das Access Gateway und das Webinterface Benutzer über denselben Authentifizierungsserver (z. B. denselben LDAP- oder RADIUS-Server) authentifizieren. Wenn Sie die Anmeldeseitenauthentifizierung, jedoch nicht die Option für Single Sign-On am Webinterface aktivieren, ist Folgendes zu beachten: Für den Zugriff auf veröffentlichte Anwendungen müssen Benutzer Anmeldeinformationen zweimal eingeben. Die Benutzer geben die Authentifizierungsinformationen zuerst auf der Access Gateway- Anmeldeseite ein und dann noch einmal auf der Webinterface- Anmeldeseite. Das Access Gateway und das Webinterface können Benutzer über verschiedene Authentifizierungsserver authentifizieren. Wenn Sie die Anmeldeseitenauthentifizierung aktivieren, müssen Sie auch sicherstellen, dass die entsprechenden Ports in den Firewalls offen sind, damit das Access Gateway in der ersten DMZ mit dem Authentifizierungsserver kommunizieren kann. Wenn beispielsweise ein RADIUS-Server im internen Netzwerk ist und Port 1812 nach Authentifizierungsverbindungen abhört, müssen Sie diesen Port durch die zweite und dritte Firewall öffnen, damit das Access Gateway in der ersten DMZ mit dem Authentifizierungsserver kommunizieren kann.

52 52 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Deaktivieren der Anmeldeseitenauthentifizierung Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ deaktivieren, werden Benutzer zwar vom XML-Dienst, jedoch nicht vom Access Gateway authentifiziert. Diese Option ist zwar leichter zu konfigurieren, bietet jedoch geringere Sicherheit, weil Benutzer vor dem Zugriff auf die veröffentlichten Anwendungen nur einmal authentifiziert werden. Wenn Sie die Anmeldeseitenauthentifizierung deaktivieren, laufen folgende Schritte ab: Die Benutzer stellen über einen Webbrowser eine Verbindung zum Access Gateway her. Das Access Gateway ruft die Anmeldeseite vom Webinterface ab und zeigt den Benutzern diese Anmeldeseite an. Die Benutzer geben die Authentifizierungsinformationen ein, die vom Access Gateway an das Webinterface weitergeleitet werden. Das Webinterface leitet die Anmeldeinformationen zur Authentifizierung an den XML-Dienst weiter. Wenn die Anmeldeseitenauthentifizierung deaktiviert ist, wird die Access Gateway-Anmeldeseite nicht verwendet; das Access Gateway nimmt auch keine Authentifizierung vor. Sie müssen keinen Authentifizierungsbereich auf dem Access Gateway konfigurieren. Planen der Installation des Access Gateway Administration Tools Vor dem Bereitstellen des Access Gateways in einer Double-Hop-DMZ sollten Sie entscheiden, wo das Access Gateway Administration Tool installiert werden soll. Wenn Sie die Installation des Administration Tools im Voraus planen, können Sie Verbindungsprobleme während der Bereitstellung vermeiden. Zum Installieren und Verwenden des Administration Tools auf einem Computer muss dieser Computer zwei Verbindungen zu einem Access Gateway herstellen. Standardmäßig werden diese Verbindungen auf den folgenden TCP-Ports hergestellt: Port 9001: An diesem Port stellt ein Webbrowser eine Verbindung zum Administration Portal her. Zum Herunterladen und Installieren des Administration Tools müssen Sie eine Verbindung zum Administration Portal herstellen. Port 9002: An diesem Port stellt das Administration Tool eine Verbindung zum Access Gateway her, wenn Sie Änderungen an den Access Gateway- Verwaltungseinstellungen vornehmen.

53 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 53 Zum Installieren und Verwenden des Administration Tools müssen Sie diese Ports an einer Firewall öffnen, die sich zwischen dem Access Gateway und dem Computer befindet, der als Host für das Administration Tool fungieren soll. Bei der Bereitstellung einer Double-Hop-DMZ ist es u.u. leichter, das Administration Tool in der zweiten DMZ auf dem gleichen Computer zu installieren, der als Host für das Webinterface fungiert (oder auf einem anderen Computer, der sich in der zweiten DMZ befindet). Wenn Sie das Administration Tool in der zweiten DMZ installieren, können Sie sämtliche Access Gateways und Access Gateway-Proxygeräte in der Bereitstellung über dieses Administration Tool verwalten. Wenn Sie das Administration Tool auf dem Webinterface-Computer (oder einem anderen Computer in der zweiten DMZ) installieren möchten, ist Folgendes zu beachten: Öffnen Sie Ports 9001 und 9002 in der Firewall zwischen der ersten und der zweiten DMZ, bevor Sie mit der Bereitstellung der Double-Hop-DMZ beginnen. Diese Ports müssen offen sein, damit die zur Installation des Administration Tools auf einem Computer in der zweiten DMZ erforderlichen Verbindungen hergestellt werden können. Installieren Sie das Administration Tool zur gleichen Zeit, wie Sie das erste Access Gateway in der ersten DMZ installieren. (Die Anweisungen für das Administration Tool werden in der Access Gateway Standard Edition Administratordokumentation besprochen.) Beim Installieren weiterer Access Gateway-Geräte in der ersten und zweiten DMZ bei der Bereitstellung einer Double-Hop-DMZ verwenden Sie dieses Administration Tool zum Erstellen eines Access Gateway- Clusters mit allen Geräten, die in der Double-Hop-DMZ installiert sind. Über dieses Administration Tool können Sie dann administrative Änderungen an sämtlichen Access Gateway-Geräten in der Double-Hop- DMZ vornehmen. Hinweis: Über die Registerkarte Access Gateway Cluster können Sie dem Cluster weitere Geräte hinzufügen. Weitere Informationen finden Sie in der Access Gateway Standard Edition - Administratordokumentation.

54 54 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Öffnen von Ports und Verwalten von Zertifikaten In einer Double-Hop-DMZ werden unterschiedliche Verbindungen zwischen den verschiedenen Komponenten hergestellt. Vor dem Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ sollten Sie verstehen, welche Verbindungen zwischen den einzelnen Komponenten in einer Double-Hop-DMZ hergestellt werden, welche Ports von diesen Verbindungen verwendet werden und welche Zertifikate zur Verschlüsselung dieser Verbindungen notwendig sind. Die Aspekte, die mit dem Öffnen von Ports und Installieren von Zertifikaten verknüpft sind, werden weiter unten in den Anweisungen zum Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ erläutert. Wenn Sie sich vor der Bereitstellung mit firewall- und zertifikatspezifischen Aspekten vertraut machen möchten, finden Sie nähere Informationen an folgenden Stellen: "Schritt 8: Öffnen der entsprechenden Ports in den Firewalls" auf Seite 64. "Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ- Bereitstellung" auf Seite 67. Erforderliche Komponenten für die Bereitstellung Bevor Sie mit der Bereitstellung einer Double-Hop-DMZ beginnen, müssen die folgenden Komponenten vorhanden sein: Mindestens zwei Access Gateway-Geräte (ein Gerät pro DMZ) müssen vorhanden sein. Wenn Sie zur Unterstützung von Lastausgleich mehrere Geräte in jeder DMZ installieren möchten, sind weitere Access Gateway-Geräte erforderlich. Weitere Informationen hierzu finden Sie unter "Unterstützung für Load Balancing" auf Seite 48. Die Citrix XenApp-Server müssen im internen Netzwerk installiert und betriebsbereit sein.

55 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 55 Das Webinterface muss in der zweiten DMZ installiert und für den Betrieb mit der Serverfarm im internen Netzwerk konfiguriert sein. Es muss mindestens ein SSL-Serverzertifikat vorhanden sein, um es auf dem Access Gateway in der ersten DMZ zu installieren. Dieses Zertifikat gewährleistet, dass die Verbindungen von Webbrowsern und Citrix XenApp Plug-ins zum Access Gateway verschlüsselt werden. Wenn Sie Verbindungen zwischen den anderen Komponenten einer Double-Hop-DMZ-Bereitstellung verschlüsseln möchten, sind weitere Zertifikate erforderlich. Weitere Informationen hierzu finden Sie unter "Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ- Bereitstellung" auf Seite 67. Installieren des Access Gateways in einer Double-Hop-DMZ In diesem Abschnitt werden die Arbeitsschritte erläutert, die zum Bereitstellen des Access Gateways in einer Double-Hop-DMZ erforderlich sind. Dazu zählen die folgenden Schritte: Schritt 1: Installieren eines Access Gateway-Geräts in der ersten DMZ Schritt 2: Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung Schritt 3: Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface Schritt 4: Installieren eines Access Gateway-Geräts in der zweiten DMZ Schritt 5: Konfigurieren des Access Gateways für die Kommunikation mit dem Access Gateway-Proxy Schritt 6: Konfigurieren des Access Gateway-Proxys für die Kommunikation mit dem Access Gateway Schritt 7: Konfigurieren des Access Gateways für den Secure Ticket Authority- und ICA-Datenverkehr Schritt 8: Öffnen der entsprechenden Ports in den Firewalls Schritt 9: Verwalten der SSL-Zertifikate

56 56 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Schritt 1: Installieren eines Access Gateways in der ersten DMZ Es folgen die Anweisungen zur Installation eines Access Gateway-Geräts in der ersten DMZ einer Double-Hop-DMZ, sowie eine Besprechung möglicher Probleme: Folgen Sie den Anweisungen in der Access Gateway Standard Edition Administratordokumentation, um ein Access Gateway-Gerät in der ersten DMZ zu installieren. Beim Installieren eines Access Gateways in der ersten DMZ konfigurieren Sie dieses zur Verwendung von Interface 0 und Interface 1. Verbinden Sie Interface 0 mit dem Internet (oder einem anderen externen Netzwerk) und Interface 1 mit der zweiten DMZ. Während der Installation des Access Gateways installieren Sie das Access Gateway Administration Tool. Vor dem Installationsbeginn finden Sie unter "Planen der Installation des Access Gateway Administration Tools" auf Seite 52 nähere Informationen zur Verwendung des Administration Tools in einer Double-Hop-DMZ-Bereitstellung. Wenn Sie mehrere Access Gateway-Geräte in der ersten DMZ installieren, können Sie diese Geräte hinter einem Load Balancer bereitstellen. Weitere Informationen hierzu finden Sie unter "Unterstützung für Load Balancing" auf Seite 48. Schritt 2: Aktivieren oder Deaktivieren der Anmeldeseitenauthentifizierung Bei diesem Schritt haben Sie auf dem Access Gateway in der ersten DMZ folgende Möglichkeiten: Aktivieren Sie die Anmeldeseitenauthentifizierung, damit Benutzer sowohl vom Access Gateway als auch vom XML-Dienst authentifiziert werden. Deaktivieren Sie die Anmeldeseitenauthentifizierung, damit Benutzer nur vom XML-Dienst authentifiziert werden. Nähere Informationen zu den Auswirkungen der Aktivierung bzw. Deaktivierung der Anmeldeseitenauthentifizierung finden Sie unter "Verwenden der Anmeldeseitenauthentifizierung in einer Double-Hop-DMZ" auf Seite 50.

57 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 57 So aktivieren oder deaktivieren Sie die Anmeldeseitenauthentifizierung 1. Klicken Sie auf die Registerkarte Global Cluster Policies. 2. Aktivieren oder deaktivieren Sie unter Advanced options die Option Enable logon page authentication. 3. Klicken Sie auf Submit. Wenn Sie die Anmeldeseitenauthentifizierung aktivieren, sollten Sie auch die Option für Single Sign-On am Webinterface aktivieren. Nähere Anweisungen zum Aktivieren von Single Sign-On finden Sie unter "Schritt 3: Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface". Schritt 3: Konfigurieren des Access Gateways zur Weiterleitung von Verbindungen an das Webinterface In einer Double-Hop-DMZ-Bereitstellung müssen Sie jedes Access Gateway in der ersten DMZ so konfigurieren, dass Verbindungen zum Webinterface in der zweiten DMZ weitergeleitet werden. Die Weiterleitung an das Webinterface erfolgt auf Benutzergruppenebene. Für die Herstellung einer Verbindung zum Webinterface über das Access Gateway muss der Benutzer mit einer Access Gateway-Benutzergruppe (z. B. der Gruppe "Default") verknüpft sein, bei der die Weiterleitung an das Webinterface aktiviert ist. Wichtig: Single Sign-On am Webinterface wird ebenfalls auf Benutzergruppenebene konfiguriert. Wenn Sie die Anmeldeseitenauthentifizierung im vorigen Schritt aktiviert haben, sollten Sie auch die Option für Single Sign-On am Webinterface aktivieren. So leiten Sie Verbindungen an das Webinterface weiter 1. Klicken Sie auf die Registerkarte Access Policy Manager. 2. Klicken Sie mit der rechten Maustaste auf die Benutzergruppe Default und klicken Sie auf Properties. 3. Wählen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface.

58 58 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop 4. Geben Sie unter Path wahlweise Folgendes ein: Geben Sie die spezielle Webadresse ein, an die das Access Gateway HTTP-Anforderungen weiterleiten soll. Geben Sie einen Schrägstrich (/) ein oder lassen Sie das Feld leer, damit Anforderungen an die Webinterface-Standardseite weitergeleitet werden. 5. Geben Sie im Feld Web server die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein, auf dem das Webinterface ausgeführt wird. 6. (Optional) Aktivieren Sie die Option Single sign-on to the Web Interface, wenn Sie die Anmeldeseitenauthentifizierung aktiviert haben. Aktivieren Sie diese Option nicht, wenn die Anmeldeseitenauthentifizierung deaktiviert ist. Weitere Informationen hierzu finden Sie unter "Verwenden der Anmeldeseitenauthentifizierung in einer Double-Hop-DMZ" auf Seite (Optional) Aktivieren Sie die Option Use a secure connection, wenn die Verbindung vom Access Gateway zum Webinterface mit SSL verschlüsselt werden soll. Klicken Sie auf OK. Hinweis: Wenn Sie die Option Use a secure connection aktivieren, müssen Sie die entsprechenden SSL-Zertifikate installieren. Weitere Informationen finden Sie unter "Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung" auf Seite Wiederholen Sie diese Schritte für jedes Access Gateway, das in der ersten DMZ installiert ist.

59 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 59 Schritt 4: Installieren eines Access Gateways in der zweiten DMZ Das Access Gateway-Gerät in der zweiten DMZ wird als Access Gateway-Proxy bezeichnet, da es als Proxy für den ICA- und Secure Ticket Authority- Datenverkehr durch die zweite DMZ fungiert. Folgen Sie den Anweisungen in der Access Gateway Standard Edition Administratordokumentation, um jedes Access Gateway-Gerät in der zweiten DMZ zu installieren. Beim Installieren eines Access Gateways in der ersten DMZ konfigurieren Sie dieses zur Verwendung von Interface 0 und Interface 1. Verbinden Sie Interface 0 mit der ersten DMZ und Interface 1 mit dem internen Netzwerk, das die Serverfarm enthält. Bei der Installation weiterer Geräte in der zweiten DMZ können Sie genauso vorgehen. Nähere Informationen zum Verwenden mehrerer Access Gateway- Geräte zur Gewährleistung hoher Verfügbarkeit finden Sie unter "Unterstützung für Load Balancing" auf Seite 48. Wenn das Access Gateway in der zweiten DMZ installiert ist, müssen Sie das Administration Tool installieren oder das Gerät mit einem bereits installierten Administration Tool einem Cluster hinzufügen. Nähere Informationen zur Verwendung des Administration Tools in einer Double-Hop-DMZ-Bereitstellung finden Sie unter"planen der Installation des Access Gateway Administration Tools" auf Seite 52. Schritt 5: Konfigurieren des Access Gateways für die Kommunikation mit dem Access Gateway- Proxy Beim Bereitstellen des Access Gateways in einer Double-Hop-DMZ müssen Sie das Access Gateway-Gerät in der ersten DMZ für die Kommunikation mit dem Access Gateway-Proxygerät in der zweiten DMZ konfigurieren. Wenn Sie mehrere Geräte in der zweiten DMZ bereitgestellt haben, müssen Sie jedes Access Gateway in der ersten DMZ so konfigurieren, dass es mit jedem Access Gateway-Gerät in der zweiten DMZ Daten austauschen kann. Mit der nachstehend beschriebenen Vorgehensweise können Sie die Kommunikation zwischen einem Access Gateway in der ersten DMZ und einem oder mehreren Access Gateway-Geräten in der zweiten DMZ konfigurieren.

60 60 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop So konfigurieren Sie das Access Gateway für die Kommunikation mit dem (den) Access Gateway-Proxygerät(en) 1. Öffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster für das Access Gateway in der ersten DMZ. 2. Wählen Sie auf der Registerkarte General Networking unter DMZ configuration die Option First hop in double DMZ. 3. (Optional) Aktivieren Sie die Option Configure for Advanced Access Control nur, wenn Sie Access Gateway Advanced Edition bereitgestellt haben und eine Verbindung zu Advanced Access Control herstellen möchten. 4. Klicken Sie auf Add. 5. Geben Sie im Dialogfeld Add appliance from second hop Folgendes ein: A. FQDN or IP address: Geben Sie den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse eines in der zweiten DMZ installierten Access Gateway-Proxygeräts ein. B. Port: Der Standardport für eine SOCKS-over-SSL-Verbindung ist 443. Der Standardport für eine SOCKS-Verbindung ist Sie können die Standardports nach Bedarf ändern. C. Protocol: Wählen Sie SOCKS over SSL, wenn Sie die SOCKS- Verbindung zum Access Gateway-Proxy in der zweiten DMZ mit SSL sichern möchten. Wählen Sie SOCKS, wenn Sie diese Verbindung ungesichert lassen möchten. Hinweis: Wenn Sie die Option SOCKS over SSL aktivieren, müssen Sie die entsprechenden SSL-Zertifikate installieren. Weitere Informationen finden Sie unter "Schritt 9: Verwalten von SSL- Zertifikaten in einer Double-Hop-DMZ-Bereitstellung" auf Seite 67. D. (Optional) Second hop appliance MAC address: Füllen Sie dieses Feld nur aus, wenn Sie Access Gateway Advanced Edition bereitgestellt haben und eine Verbindung zu Advanced Access Control herstellen möchten. Diese Option wird nur angezeigt, wenn Sie Configure for Advanced Access Control in Schritt 3 aktiviert haben. Geben Sie die MAC-Adresse der Netzwerkkarte für Schnittstelle 0 des in der zweiten DMZ installierten Access Gateway-Proxygeräts ein.

61 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ Klicken Sie auf die Schaltfläche Validate, um zu überprüfen, ob das Access Gateway in der ersten DMZ mit der angegebenen Adresse, dem angegebenen Protokoll und dem angegebenen Port eine Verbindung zum Access Gateway in der zweiten DMZ herstellen kann. Klicken Sie auf OK. 7. Wenn Sie mehrere Geräte in der zweiten DMZ installiert haben, wiederholen Sie Schritte 4 bis 6, bis jedes in der zweiten DMZ installierte Gerät in der Liste Appliances in second hop angezeigt wird. Hinweis: Das Access Gateway in der ersten DMZ verwendet diese Liste für den Lastausgleich bei Verbindungen zu den in der zweiten DMZ installierten Geräten. 8. Klicken Sie auf Submit, um das Access Gateway neu zu starten. 9. Wenn Sie mehrere Access Gateway-Geräte in der ersten DMZ installiert haben, wiederholen Sie alle o.g. Schritte für jedes Access Gateway in der ersten DMZ. Jedes in der ersten DMZ installierte Access Gateway muss für die Kommunikation mit allen in der zweiten DMZ installierten Access Gateway-Proxygeräten konfiguriert werden. Schritt 6: Konfigurieren des Access Gateway- Proxys für die Kommunikation mit dem Access Gateway Beim Bereitstellen von Access Gateway-Geräten in einer Double-Hop-DMZ- Konfiguration müssen Sie das Access Gateway in der zweiten DMZ für die Kommunikation mit dem Access Gateway in der ersten DMZ konfigurieren. Führen Sie die nachstehend beschriebenen Schritte für jedes Gerät aus, das in der zweiten DMZ installiert ist. So konfigurieren Sie das Access Gateway in der zweiten DMZ für die Kommunikation mit dem Access Gateway in der ersten DMZ 1. Öffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster für das Access Gateway in der zweiten DMZ. 2. Wählen Sie auf der Registerkarte General Networking unter DMZ configuration die Option Second hop in double DMZ. 3. Wählen Sie unter Protocol entweder SOCKS over SSL oder SOCKS aus.

62 62 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Wichtig: Das von Ihnen ausgewählte Protokoll muss mit dem Protokoll übereinstimmen, das Sie beim Konfigurieren des Access Gateways in der ersten DMZ ausgewählt haben. 4. Der Standardport unter Port ist entweder 443 (für sichere Verbindungen) oder 1080 (für unsichere Verbindungen). Der von Ihnen ausgewählte Port muss mit dem Port übereinstimmen, den Sie beim Konfigurieren des Access Gateways in der ersten DMZ ausgewählt haben. 5. (Optional) Dieser Schritt ist nur erforderlich, wenn Sie Access Gateway Advanced Edition bereitgestellt haben und eine Verbindung zu Advanced Access Control herstellen möchten. A. Aktivieren Sie die Option Advanced Access Control. B. Geben Sie im Feld FQDN of first appliance in DMZ (required) den vollqualifizierten Domänennamen des in der ersten DMZ installierten Geräts ein. 6. Klicken Sie auf Submit, um das Access Gateway neu zu starten. 7. Wenn Sie mehrere Geräte in der zweiten DMZ installiert haben, wiederholen Sie diese Schritte für jedes Access Gateway in der zweiten DMZ. Schritt 7: Konfigurieren des Access Gateways für den Secure Ticket Authority- und ICA- Datenverkehr Wenn Sie das Access Gateway in einer Double-Hop-DMZ bereitstellen, müssen Sie das Access Gateway in der ersten DMZ für die Kommunikation mit dem Secure Ticket Authority- und ICA-Datenverkehr entsprechend konfigurieren. Konfigurieren Sie das Access Gateway in der ersten DMZ für die Kommunikation mit der Secure Ticket Authority, die im internen Netzwerk ausgeführt wird. (Optional) Erstellen Sie auf dem Access Gateway in der ersten DMZ eine ICA-Zugriffssteuerungsliste, um den Benutzerzugriff auf bestimmte Citrix XenApp-Server zu beschränken. Wenn Sie keine ICA- Zugriffssteuerungsliste erstellen, können Benutzer auf alle Citrix XenApp- Server zugreifen. Nähere Informationen zu ICA-Zugriffssteuerungslisten finden Sie unter "Konfigurieren der ICA-Zugriffssteuerung" auf Seite 35.

63 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 63 So konfigurieren Sie das Access Gateway in der ersten DMZ für den Secure Ticket Authority- und ICA-Datenverkehr 1. Klicken Sie auf die Registerkarte Authentication und anschließend auf die Registerkarte Secure Ticket Authority. 2. Geben Sie unter Server running the STA die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein, auf dem die Secure Ticket Authority installiert ist. 3. Geben Sie unter STA path den Pfad zur Secure Ticket Authority ein. Der Standardpfad ist /Scripts/CtxSTA.dll. 4. Legen Sie unter Connection type fest, ob die Verbindung sicher (Secure) oder unsicher (Unsecure) ist. Hinweis: Nähere Informationen zu den für diese Verbindung verwendeten Ports und Zertifikaten finden Sie unter "Schritt 8: Öffnen der entsprechenden Ports in den Firewalls" auf Seite 64 und "Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung" auf Seite Klicken Sie auf Add. Wenn die Secure Ticket Authority konfiguriert ist, werden der Server, der Pfad, die ID und der Verbindungstyp unter Secure Ticket Authority Details angezeigt. Hinweis: Sie können der Liste mehrere Server hinzufügen, auf denen die Secure Ticket Authority ausgeführt wird. Die Liste dieser Server sollte mit der Liste des Webinterface identisch sein. Führen Sie diese Schritte nur aus, wenn Sie eine ICA-Zugriffssteuerungsliste erstellen möchten.

64 64 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop (Optional) So erstellen Sie eine ICA-Zugriffssteuerungsliste 1. Klicken Sie auf die Registerkarte Authentication und dann auf die Registerkarte ICA Access Control. 2. Wenn Sie einen Bereich von Citrix XenApp-Servern angeben möchten, geben Sie in den Feldern Starting IP address und Ending IP address die erste und die letzte IP-Adresse ein. 3. Wählen Sie unter Protocol die Option ICA oder CGP (Citrix Gateway Protocol, das für Sitzungszuverlässigkeit und SmoothRoaming verwendet wird). 4. Behalten Sie die unter Port angegebene Standardportnummer bei oder geben Sie eine neue Nummer ein. Der Standardport für ICA-Verbindungen ist Der Standardport für die Sitzungszuverlässigkeit ist Klicken Sie auf Add. Schritt 8: Öffnen der entsprechenden Ports in den Firewalls Bei diesem Schritt müssen Sie gewährleisten, dass die entsprechenden Ports in den Firewalls offen sind, um die Verbindungen in einer Double-Hop-DMZ- Bereitstellung zu unterstützen. Zwischen den verschiedenen Komponenten in einer Double-Hop-DMZ- Bereitstellung werden unterschiedliche Verbindungen hergestellt. Nähere Erläuterungen zum Verbindungsprozess finden Sie unter "Herstellen einer Clientverbindung in einer Double-Hop-DMZ" auf Seite 71. In dieser Abbildung sind die üblichen Ports dargestellt, die in einer Double-Hop-DMZ- Bereitstellung verwendet werden können. Anhand der Tabellen unten können Sie festlegen, welche Ports in den einzelnen Firewalls Ihrer Umgebung geöffnet werden sollen.

65 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 65 Die Tabelle zeigt, welche Verbindungen durch die erste Firewall hergestellt werden und welche Ports zur Unterstützung der Verbindungen offen sein müssen: Verbindungen durch die erste Firewall Der Webbrowser stellt über das Internet eine Verbindung zum Access Gateway in der ersten DMZ her. Hinweis: Das Access Gateway enthält eine Option zum Weiterleiten von Verbindungen an Port 80 an einen sicheren Port. Wenn diese Option auf dem Access Gateway aktiviert ist, können Sie Port 80 an der ersten Firewall öffnen. Wenn ein Benutzer eine unverschlüsselte Verbindung zum Access Gateway an Port 80 herstellt, leitet das Access Gateway die Verbindung automatisch an einen sicheren Port weiter. Weitere Informationen finden Sie in der Access Gateway Standard Edition Administratordokumentation. Die Citrix XenApp Plug-ins stellen vom Internet eine Verbindung zum Access Gateway in der ersten DMZ her. Verwendete Ports Öffnen Sie TCP-Port 443 an der ersten Firewall. Sie können TCP-Port 80 öffnen, wenn die Option Redirect any requests for port 80 to a secure port auf dem Access Gateway aktiviert ist. Öffnen Sie TCP-Port 443 an der ersten Firewall.

66 66 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Die Tabelle zeigt, welche Verbindungen durch die zweite Firewall hergestellt werden und welche Ports zur Unterstützung der Verbindungen offen sein müssen: Verbindungen durch die zweite Firewall Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her. Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Access Gateway in der zweiten DMZ her. Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ aktiviert haben, muss dieses Access Gateway u.u. eine Verbindung zu einem Authentifizierungsserver im internen Netzwerk herstellen. Wenn Sie das Administration Tool auf einem Computer in der zweiten DMZ bereitgestellt haben, um Administratoraufgaben für Access Gateway-Geräte in der ersten DMZ auszuführen (wie unter "Planen der Installation des Access Gateway Administration Tools" auf Seite 52 beschrieben), muss das Administration Tool eine Verbindung zum Access Gateway in der ersten DMZ herstellen. Verwendete Ports Öffnen Sie entweder TCP-Port 80 für eine unsichere Verbindung oder TCP-Port 443 für eine sichere Verbindung durch die zweite Firewall. Öffnen Sie entweder TCP-Port 1080 für eine unsichere SOCKS- Verbindung oder TCP- Port 443 für eine sichere SOCKS- Verbindung durch die zweite Firewall. Öffnen Sie den TCP- Port, an dem der Authentifizierungsserv er Verbindungen abhört, z. B. Port 1812 für RADIUS und Port 389 für LDAP. Öffnen Sie TCP-Port 9002, damit das Administration Tool eine Verbindung zum Access Gateway herstellen kann. Öffnen Sie TCP-Port 9001, um über einen Webbrowser eine Verbindung zum Administration Portal auf dem Access Gateway herzustellen und das Administration Tool herunterzuladen und zu installieren. Die Tabelle zeigt, welche Verbindungen durch die dritte Firewall hergestellt werden und welche Ports zur Unterstützung der Verbindungen offen sein müssen:

67 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 67 Verbindungen durch die dritte Firewall Das Webinterface in der zweiten DMZ stellt eine Verbindung zum XML-Dienst auf einem Citrix XenApp-Server im internen Netzwerk her. Das Webinterface in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority auf einem Citrix XenApp-Server im internen Netzwerk her. Das Access Gateway in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority im gesicherten Netzwerk her. Das Access Gateway in der zweiten DMZ stellt eine ICA- Verbindung zu einer veröffentlichten Anwendung auf einem Citrix XenApp-Server im internen Netzwerk her. Wenn Sie die Anmeldeseitenauthentifizierung auf dem Access Gateway in der ersten DMZ aktiviert haben, muss dieses Access Gateway u.u. eine Verbindung zu einem Authentifizierungsserver im internen Netzwerk herstellen. Verwendete Ports Für alle drei Verbindungen sind folgende Schritte erforderlich: Öffnen Sie entweder Port 80 für eine unsichere Verbindung oder Port 443 für eine sichere Verbindung durch die dritte Firewall. Öffnen Sie TCP-Port 1494, um ICA- Verbindungen durch die dritte Firewall zu unterstützen. Öffnen Sie TCP-Port 2598 anstelle von 1494, wenn Citrix XenApp Sitzungszuverlässigkei t unterstützt. Öffnen Sie den TCP- Port, an dem der Authentifizierungsserv er Verbindungen abhört, z. B. Port 1812 für RADIUS und Port 389 für LDAP. Schritt 9: Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung Bei diesem Schritt müssen Sie die SSL-Zertifikate installieren, die zum Sichern (Verschlüsseln) der Verbindungen zwischen den in einer Double-Hop-DMZ bereitgestellten Komponenten notwendig sind. In einer Double-Hop-DMZ werden verschiedene Verbindungen zwischen den einzelnen bereitgestellten Komponenten hergestellt. Für diese Verbindungen gibt es keine durchgehende SSL-Verschlüsselung. Jede Verbindung kann jedoch einzeln verschlüsselt werden. Zum Verschlüsseln einer Verbindung müssen Sie das entsprechende SSL- Zertifikat (entweder ein vertrauenswürdiges Stammzertifikat oder ein Serverzertifikat) auf den an der Verbindung beteiligten Komponenten installieren.

68 68 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Die Tabelle zeigt, welche Verbindungen durch die erste Firewall hergestellt werden und welche SSL-Zertifikate zum Verschlüsseln der einzelnen Verbindungen erforderlich sind. Die Verschlüsselung der Verbindungen durch die erste Firewall ist zwingend erforderlich, um den über das Internet weitergeleiteten Datenverkehr zu schützen. Verbindungen durch die erste Firewall Der Webbrowser stellt über das Internet eine Verbindung zum Access Gateway in der ersten DMZ her. Die Citrix XenApp Plug-ins stellen vom Internet eine Verbindung zum Access Gateway in der ersten DMZ her. Für die Verschlüsselung erforderliche Zertifikate Auf dem Access Gateway in der ersten DMZ muss ein SSL-Serverzertifikat installiert sein. Auf dem Webbrowser muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat auf dem Access Gateway. Das Zertifikat für diese Verbindung wird auf die gleiche Weise verwaltet wie die oben beschriebene Verbindung vom Webbrowser zum Access Gateway. Wenn Sie die Zertifikate zum Verschlüsseln der Webbrowser-Verbindung installiert haben, wird diese Verbindung auch mit diesen Zertifikaten verschlüsselt. Die Tabelle zeigt, welche Verbindungen durch die zweite Firewall hergestellt werden und welche SSL-Zertifikate zum Verschlüsseln der einzelnen Verbindungen erforderlich sind. Die Verschlüsselung dieser Verbindungen erhöht die Sicherheit, ist jedoch nicht zwingend erforderlich. Verbindungen durch die zweite Firewall Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her. Das Access Gateway in der ersten DMZ stellt eine Verbindung zum Access Gateway in der zweiten DMZ her. Für die Verschlüsselung erforderliche Zertifikate Auf dem Webinterface muss ein SSL- Serverzertifikat installiert sein. Auf dem Access Gateway in der ersten DMZ muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat auf dem Webinterface. Auf dem Access Gateway in der zweiten DMZ muss ein SSL-Serverzertifikat installiert sein. Auf dem Access Gateway in der ersten DMZ muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat auf dem Access Gateway in der zweiten DMZ.

69 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 69 Die Tabelle zeigt, welche Verbindungen durch die dritte Firewall hergestellt werden und welche SSL-Zertifikate zum Verschlüsseln der einzelnen Verbindungen erforderlich sind. Die Verschlüsselung dieser Verbindungen erhöht die Sicherheit, ist jedoch nicht zwingend erforderlich. Verbindungen durch die dritte Firewall Das Webinterface in der zweiten DMZ stellt eine Verbindung zum XML-Dienst auf einem Citrix XenApp-Server im internen Netzwerk her. Für die Verschlüsselung erforderliche Zertifikate Wenn der XML-Dienst auf einem Microsoft IIS-Server (Internet Information Services) ausgeführt wird, auf dem auch Citrix XenApp ist, muss ein SSL-Serverzertifikat auf dem IIS-Server installiert sein. Wenn der XML-Dienst ein Windows- Standarddienst ist (also sich nicht in IIS befindet), muss im SSL-Relay auf dem Citrix XenApp-Server ein SSL- Serverzertifikat installiert sein. Auf dem Webinterface muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat, das auf dem Microsoft IIS-Server oder im SSL-Relay installiert ist.

70 70 Citrix Access Gateway Standard Edition - Integrationsdokumentation für Citrix XenApp und Citrix XenDesktop Das Webinterface in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority auf einem Citrix XenApp-Server im internen Netzwerk her. Das Access Gateway in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority auf einem Citrix XenApp-Server im internen Netzwerk her. Das Access Gateway in der zweiten DMZ stellt eine ICA-Verbindung zu einer veröffentlichten Anwendung auf einem Citrix XenApp-Server im internen Netzwerk her. Das Zertifikat für diese Verbindung wird auf die gleiche Weise verwaltet wie die oben beschriebene Verbindung vom Webinterface zum XML-Dienst. Zum Verschlüsseln dieser Verbindung können Sie dieselben Zertifikate verwenden. (Das Serverzertifikat muss auf dem Microsoft IIS-Server oder im SSL-Relay installiert sein. Ein entsprechendes Stammzertifikat muss auf dem Webinterface installiert sein.) Das SSL-Serverzertifikat für die Secure Ticket Authority wird bei dieser Verbindung auf die gleiche Weise verwaltet wie bei den beiden weiter oben in dieser Tabelle genannten Verbindungen. (Das Serverzertifikat muss auf dem Microsoft IIS-Server oder im SSL-Relay installiert sein. Auf dem Access Gateway in der zweiten DMZ muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat, das von der Secure Ticket Authority und vom XML-Dienst verwendet wird. Im SSL-Relay auf dem Citrix XenApp- Server, der die veröffentlichten Anwendung hostet, muss ein SSL- Serverzertifikat installiert sein. Auf dem Access Gateway-Proxy in der zweiten DMZ muss ein Stammzertifikat installiert sein, das von der gleichen Zertifizierungsstelle signiert ist wie das Serverzertifikat, das im SSL-Relay installiert ist.

71 Kapitel 7 Bereitstellen des Access Gateways in einer Double-Hop-DMZ 71 Herstellen einer Clientverbindung in einer Double-Hop-DMZ Dieser Abschnitt enthält eine detaillierte Beschreibung der einzelnen Schritte zur Herstellung von Clientverbindungen in einer Double-Hop-DMZ. Obwohl dieser Prozess kontinuierlich abläuft, wird er nachstehend zum besseren Verständnis in einzelne Phasen unterteilt. Es gibt folgende Phasen: Benutzerauthentifizierung Erstellung von Sitzungstickets Starten der Citrix XenApp Plug-ins Verbindungsherstellung Diese Abbildung zeigt die einzelnen Schritte beim Herstellen von Clientverbindungen. Die in der Abbildung dargestellten Phasen entsprechen den Schritten, die in den Abschnitten "Benutzerauthentifizierung", "Erstellung von Sitzungstickets" und "Verbindungsherstellung" unten erläutert werden. In einem gesicherten Netzwerk führen Citrix XenApp-Server auch die Secure Ticket Authority, den XML-Dienst und veröffentlichte Anwendungen aus.

Citrix Access Gateway Standard Edition Administratordokumentation. Citrix Access Gateway 4.6, Standard Edition Model 2000 Serie

Citrix Access Gateway Standard Edition Administratordokumentation. Citrix Access Gateway 4.6, Standard Edition Model 2000 Serie Citrix Access Gateway Standard Edition Administratordokumentation Citrix Access Gateway 4.6, Standard Edition Model 2000 Serie Hinweise zu Copyright und Marken Die Verwendung des in diesem Handbuch beschriebenen

Mehr

Webinterface-Administratordokumentation. Citrix Webinterface 5.1

Webinterface-Administratordokumentation. Citrix Webinterface 5.1 Webinterface-Administratordokumentation Citrix Webinterface 5.1 Copyright und Marken Die Verwendung des in diesem Dokument beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung.

Mehr

Remote Update User-Anleitung

Remote Update User-Anleitung Remote Update User-Anleitung Version 1.1 Aktualisiert Sophos Anti-Virus auf Windows NT/2000/XP Windows 95/98/Me Über diese Anleitung Mit Remote Update können Sie Sophos-Produkte über das Internet aktualisieren.

Mehr

VMware Workspace Portal- Benutzerhandbuch

VMware Workspace Portal- Benutzerhandbuch VMware Workspace Portal- Benutzerhandbuch Workspace Portal 2.1 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt

Mehr

Citrix Access Gateway Standard Edition Administratorhandbuch. Citrix Access Gateway TM 4.5

Citrix Access Gateway Standard Edition Administratorhandbuch. Citrix Access Gateway TM 4.5 Citrix Access Gateway Standard Edition Administratorhandbuch Citrix Access Gateway TM 4.5 Hinweise zu Copyright und Marken Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

Einführung in F-Secure PSB E-mail and Server Security

Einführung in F-Secure PSB E-mail and Server Security Einführung in F-Secure PSB E-mail and Server Security F-Secure INHALT 3 Inhalt Kapitel 1: Erste Schritte...5 Erstellen eines neuen Kontos...6 Herunterladen von Software...8 Systemvoraussetzungen...10

Mehr

Migrations- und Upgrade Guide

Migrations- und Upgrade Guide Migrations- und Upgrade Guide Citrix MetaFrame XP TM Application Server für Windows Version 1.0 Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. Die in den Beispielen

Mehr

Sophos Endpoint Security and Control Upgrade-Anleitung. Für Benutzer von Sophos Enterprise Console

Sophos Endpoint Security and Control Upgrade-Anleitung. Für Benutzer von Sophos Enterprise Console Sophos Endpoint Security and Control Upgrade-Anleitung Für Benutzer von Sophos Enterprise Console Produktversion: 10.3 Stand: Januar 2015 Inhalt 1 Einleitung...3 2 Upgradebare Versionen...4 2.1 Endpoint

Mehr

4-441-095-42 (1) Network Camera

4-441-095-42 (1) Network Camera 4-441-095-42 (1) Network Camera SNC easy IP setup-anleitung Software-Version 1.0 Lesen Sie diese Anleitung vor Inbetriebnahme des Geräts bitte genau durch und bewahren Sie sie zum späteren Nachschlagen

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

System-Update Addendum

System-Update Addendum System-Update Addendum System-Update ist ein Druckserverdienst, der die Systemsoftware auf dem Druckserver mit den neuesten Sicherheitsupdates von Microsoft aktuell hält. Er wird auf dem Druckserver im

Mehr

objectif Installation objectif RM Web-Client

objectif Installation objectif RM Web-Client objectif RM Installation objectif RM Web-Client Bei Fragen nutzen Sie bitte unseren kostenlosen Support: Telefon: +49 (30) 467086-20 E-Mail: Service@microTOOL.de 2014 microtool GmbH, Berlin. Alle Rechte

Mehr

Sicherer Remote Support über das Internet mit UltraVNC

Sicherer Remote Support über das Internet mit UltraVNC Sicherer Remote Support über das Internet mit UltraVNC Diese Dokumentation beschreibt die Lösung eines abgesicherten Zugriffs auf einen über das Internet erreichbaren Windows Systems unter Verwendung des

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern Kurzanleitung Inhaltsverzeichnis 1. Allgemeine Informationen... 3 2. Netzwerkübersicht... 3 3. Konfiguration...

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele: 2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway

Mehr

Windows 2003 Server paedml Windows 2.1 für schulische Netzwerke

Windows 2003 Server paedml Windows 2.1 für schulische Netzwerke Windows 2003 Server paedml Windows 2.1 für schulische Netzwerke WebSSL mit ISA 2006 / Installationsanleitung Stand 17.12.2007 Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Projekt Support-Netz

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in MEINE EKR ID Download & Installation Citrix Access Gateway Plug-in Herausgeber: Epidemiologisches Krebsregister NRW ggmbh Robert-Koch-Str. 40 48149 Münster Der Zugang zum geschützten Portal des Epidemiologische

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Sophos Endpoint Security and Control Einzelplatz-Startup-Anleitung

Sophos Endpoint Security and Control Einzelplatz-Startup-Anleitung Sophos Endpoint Security and Control Einzelplatz-Startup-Anleitung Sophos Endpoint Security and Control, Version 9 Sophos Anti-Virus für Mac OS X, Version 7 Stand: Oktober 2009 Inhalt 1 Vorbereitung...3

Mehr

Netzwerklizenz: Bitte beachten

Netzwerklizenz: Bitte beachten Netzwerklizenz: Bitte beachten Trimble Navigation Limited Engineering and Construction Division 935 Stewart Drive Sunnyvale, California 94085 U.S.A. +1-408-481-8000 Telefon +1-800-874-6253 (Gebührenfrei

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation)

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation) Einrichtung des NVS Calender-Google-Sync-Servers Folgende Aktionen werden in dieser Dokumentation beschrieben und sind zur Installation und Konfiguration des NVS Calender-Google-Sync-Servers notwendig.

Mehr

Anleitung für Benutzer

Anleitung für Benutzer Anleitung für Benutzer Inhaltsverzeichnis Einführung... 1 WICHTIGE HINWEISE... 1 Rechtliche Hinweise... 3 Installation und Einrichtung... 5 Systemvoraussetzungen... 5 Installation... 5 Aktivierung... 7

Mehr

FileMaker Pro 14. Verwenden einer Remotedesktopverbindung mit FileMaker Pro 14

FileMaker Pro 14. Verwenden einer Remotedesktopverbindung mit FileMaker Pro 14 FileMaker Pro 14 Verwenden einer Remotedesktopverbindung mit FileMaker Pro 14 2007-2015 FileMaker, Inc. Alle Rechte vorbehalten. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054,

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe y Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe Ein InLoox Whitepaper Veröffentlicht: November 2010 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Leitfaden zur HASP-Fehlerbehebung

Leitfaden zur HASP-Fehlerbehebung Leitfaden zur HASP-Fehlerbehebung Hauptgeschäftssitz: Trimble Geospatial Division 10368 Westmoor Drive Westminster, CO 80021 USA www.trimble.com Copyright und Marken: 2005-2013, Trimble Navigation Limited.

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

BlackBerry Enterprise Server Express Systemvoraussetzungen

BlackBerry Enterprise Server Express Systemvoraussetzungen BlackBerry Enterprise Server Express Systemvoraussetzungen Hardware-en: BlackBerry Enterprise Server Express Die folgenden en gelten für BlackBerry Enterprise Server Express und die BlackBerry Enterprise

Mehr

X-RiteColor Master Web Edition

X-RiteColor Master Web Edition X-RiteColor Master Web Edition Dieses Dokument enthält wichtige Informationen für die Installation von X-RiteColor Master Web Edition. Bitte lesen Sie die Anweisungen gründlich, und folgen Sie den angegebenen

Mehr

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft

Mehr

3 Active Directory installieren

3 Active Directory installieren 3 Active Directory installieren In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Arbeiten mit Outlook Web Access und Outlook 2003

Arbeiten mit Outlook Web Access und Outlook 2003 Konfigurationsanleitung inode Hosted Exchange Arbeiten mit Outlook Web Access und Outlook 2003 Inhaltsverzeichnis 1. Grundlegendes...3 2. Online Administration...4 2.1 Mail Administration Einrichten des

Mehr

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

2. Installation unter Windows 8.1 mit Internetexplorer 11.0 1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer

Mehr

Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch

Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen,

Mehr

LANCOM Advanced VPN Client:

LANCOM Advanced VPN Client: LANCOM Advanced VPN Client: Eine ganze Reihe von LANCOM-Modellen verfügt über VPN-Funktionalität und damit über die Möglichkeit, entfernten Rechnern einen Einwahlzugang (RAS) über eine gesicherte, verschlüsselte

Mehr

Webinterface-Administratordokumentation. Citrix Webinterface 5.0.1

Webinterface-Administratordokumentation. Citrix Webinterface 5.0.1 Webinterface-Administratordokumentation Citrix Webinterface 5.0.1 Copyright und Marken Die Verwendung des in diesem Dokument beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung.

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

Nico Lüdemann. Citrix XenApp 5. Das Praxisbuch für Administratoren. Galileo Press

Nico Lüdemann. Citrix XenApp 5. Das Praxisbuch für Administratoren. Galileo Press Nico Lüdemann Citrix XenApp 5 Das Praxisbuch für Administratoren Galileo Press Geleitwort von E. Sternitzky und M. Klein, Citrix Central Europe 15 1 Einführung 1.1 Ein Buch über Citrix XenApp 5.0 17 1.2

Mehr

Dokumentation Active Directory Services mit Vertrauensstellungen

Dokumentation Active Directory Services mit Vertrauensstellungen Dokumentation Active Directory Services mit Vertrauensstellungen Inhaltsverzeichnis Hilfestellung... 1 Video: Installation unter VMware Workstation... 1 Schritt 1... 1 Einstellung des Computernamen...

Mehr

Konfiguration und Verwendung von MIT - Hosted Exchange

Konfiguration und Verwendung von MIT - Hosted Exchange Konfiguration und Verwendung von MIT - Hosted Exchange Version 3.0, 15. April 2014 Exchange Online via Browser nutzen Sie können mit einem Browser von einem beliebigen Computer aus auf Ihr MIT-Hosted Exchange

Mehr

NAS 323 NAS als VPN-Server verwenden

NAS 323 NAS als VPN-Server verwenden NAS 323 NAS als VPN-Server verwenden NAS als VPN-Server verwenden und über Windows und Mac eine Verbindung dazu herstellen A S U S T O R - K o l l e g Kursziele Nach Abschluss dieses Kurses sollten Sie:

Mehr

ClouDesktop 7.0. Support und Unterstützung. Installation der Clientsoftware und Nutzung über Webinterface

ClouDesktop 7.0. Support und Unterstützung. Installation der Clientsoftware und Nutzung über Webinterface ClouDesktop 7.0 Installation der Clientsoftware und Nutzung über Webinterface Version 1.07 Stand: 22.07.2014 Support und Unterstützung E-Mail support@anyone-it.de Supportticket helpdesk.anyone-it.de Telefon

Mehr

Kurzreferenz INSTALLIEREN UND VERWENDEN VON CISCO PHONE CONTROL UND PRESENCE 7.1 MIT IBM LOTUS SAMETIME

Kurzreferenz INSTALLIEREN UND VERWENDEN VON CISCO PHONE CONTROL UND PRESENCE 7.1 MIT IBM LOTUS SAMETIME Kurzreferenz INSTALLIEREN UND VERWENDEN VON CISCO PHONE CONTROL UND PRESENCE 7.1 MIT IBM LOTUS SAMETIME 1 Installieren von Cisco Phone Control und Presence 2 Konfigurieren des Plug-Ins 3 Verwenden des

Mehr

windream mit Firewall

windream mit Firewall windream windream mit Firewall windream GmbH, Bochum Copyright 2004 2006 by windream GmbH / winrechte GmbH Wasserstr. 219 44799 Bochum Stand: 08/06 1.0.0.3 Alle Rechte vorbehalten. Kein Teil dieser Beschreibung

Mehr

UC4 Rapid Automation Handbuch für den Hyper-V Agent

UC4 Rapid Automation Handbuch für den Hyper-V Agent UC4 Rapid Automation Handbuch für den Hyper-V Agent UC4 Software, Inc. UC4: Rapid Automation Handbuch für den Hyper-V Agent Von Jack Ireton Dokumentennummer: RAHV-062011-de *** Copyright UC4 und das UC4-Logo

Mehr

Ändern von IP Adressen beim ISA Server (intern/extern)

Ändern von IP Adressen beim ISA Server (intern/extern) Ändern von IP Adressen beim ISA Server (intern/extern) Version: 1.0 / 25.12.2003 Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dieter Rauscher zum

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

VIDA-INSTALLATIONSANLEITUNG INHALT

VIDA-INSTALLATIONSANLEITUNG INHALT VIDA INSTALLATIONSANWEISUNGEN VIDA 2015 INHALT 1 EINFÜHRUNG... 3 2 VOR DER INSTALLATION... 4 2.1 Prüfliste zur Installationsvorbereitung... 4 2.2 Produkte von Drittanbietern... 4 2.2.1 Adobe Reader...

Mehr

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Beim Installieren und Konfigurieren von IBM (R) Cognos (R) Express (R) führen Sie folgende Vorgänge aus: Sie kopieren die Dateien für alle

Mehr

1KONFIGURATION VON WIRELESS LAN MIT WPA PSK

1KONFIGURATION VON WIRELESS LAN MIT WPA PSK 1KONFIGURATION VON WIRELESS LAN MIT WPA PSK Copyright 26. August 2005 Funkwerk Enterprise Communications GmbH bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen IBM SPSS Modeler Server 16 for Windows Installationsanweisungen Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1 Installation............... 1 Ziel................

Mehr

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen

Mehr

Zugang zum Exchange System

Zugang zum Exchange System HS Regensburg Zugang zum Exchange System 1/20 Inhaltsverzeichnis 1. Zugang über die Weboberfläche... 3 2. Konfiguration von E-Mail-Clients... 6 2.1. Microsoft Outlook 2010... 6 a) Einrichten einer Exchangeverbindung

Mehr

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten 1 von 5 12.01.2013 17:59 SharePoint 2013 Veröffentlicht: 16.10.12 Zusammenfassung: Informationen zur Verwendung von Excel zum Erstellen und Freigeben von Verbindungen mit SQL Server-Daten, mit deren Hilfe

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Themen des Kapitels. 2 Übersicht XenDesktop

Themen des Kapitels. 2 Übersicht XenDesktop 2 Übersicht XenDesktop Übersicht XenDesktop Funktionen und Komponenten. 2.1 Übersicht Themen des Kapitels Übersicht XenDesktop Themen des Kapitels Aufbau der XenDesktop Infrastruktur Funktionen von XenDesktop

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Firewall oder Router mit statischer IP

Firewall oder Router mit statischer IP Firewall oder Router mit statischer IP Dieses Konfigurationsbeispiel zeigt das Einrichten einer VPN-Verbindung zu einer ZyXEL ZyWALL oder einem Prestige ADSL Router. Das Beispiel ist für einen Rechner

Mehr

ViPNet ThinClient 3.3

ViPNet ThinClient 3.3 ViPNet Client 4.1. Быстрый старт ViPNet ThinClient 3.3 Schnellstart ViPNet ThinClient ist ein erweiterter Client, der Schutz für Terminalsitzungen gewährleistet. ViPNet ThinClient erlaubt einen geschützten

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

Vier Schritte, um Sunrise office einzurichten

Vier Schritte, um Sunrise office einzurichten Vier Schritte, um Sunrise office einzurichten Bitte wenden Sie das folgende Vorgehen an: 1. Erstellen Sie ein Backup der bestehenden E-Mails, Kontakte, Kalender- Einträge und der Aufgabenliste mit Hilfe

Mehr

Projektmanagement in Outlook integriert

Projektmanagement in Outlook integriert y Projektmanagement in Outlook integriert InLoox PM 8.x Installation via Gruppenrichtlinie Ein InLoox Whitepaper Veröffentlicht: Juli 2014 Aktuelle Informationen finden Sie unter http://www.inloox.de Die

Mehr

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1 Installationsanleitung Microsoft Windows SBS 2011 MSDS Praxis + 2.1 Inhaltsverzeichnis Einleitung 2 Windows SBS 2011... 2 Hinweise zum Vorgehen... 2 Versionen... 2 Installation 3 Installation SQL Server

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen

Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen 1 Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Inhalt

Mehr

Benutzerhandbuch zum Konfigurieren von Scanzielen und Wartungsmeldungen für die Produktfamilie X500

Benutzerhandbuch zum Konfigurieren von Scanzielen und Wartungsmeldungen für die Produktfamilie X500 Benutzerhandbuch zum Konfigurieren von Scanzielen und Wartungsmeldungen für die Produktfamilie X500 www.lexmark.com Juli 2007 Lexmark und Lexmark mit der Raute sind in den USA und/oder anderen Ländern

Mehr

RemoteApp für Terminaldienste

RemoteApp für Terminaldienste RemoteApp für Terminaldienste Mithilfe der Terminaldienste können Organisationen nahezu jeden Computer von nahezu jedem Standort aus bedienen. Die Terminaldienste unter Windows Server 2008 umfassen RemoteApp

Mehr

:: Anleitung Demo Benutzer 1cloud.ch ::

:: Anleitung Demo Benutzer 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Demo Benutzer

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

2. Rechtsklick auf Forward-Lookupzonen und im Kontextmenü Neue Zone wählen.

2. Rechtsklick auf Forward-Lookupzonen und im Kontextmenü Neue Zone wählen. SSL und Split-DNS In dieser Schritt-für-Schritt-Anleitung wird SSL und Split-DNS anhand des Beispiels der Active Directory Domain (example.local) genauer erklärt. Ab dem 1. November 2015 werden für lokale

Mehr

Projektmanagement in Outlook integriert

Projektmanagement in Outlook integriert y Projektmanagement in Outlook integriert InLoox 6.x Installation via Gruppenrichtlinie Ein InLoox Whitepaper Veröffentlicht: Februar 2011 Aktuelle Informationen finden Sie unter http://www.inloox.de Die

Mehr

IBM SPSS Statistics Version 22. Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer)

IBM SPSS Statistics Version 22. Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer) IBM SPSS Statistics Version 22 Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer) Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1 Autorisierungscode...........

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System

Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System Seite 1 von 21 Inhaltsverzeichnis 1 Voraussetzungen... 3 2 Installation... 4 2.1 Setup starten... 4 2.2 Startseite

Mehr

Grundinstallation von Windows 2003 ver 1.0

Grundinstallation von Windows 2003 ver 1.0 Grundinstallation von Windows 2003 ver 1.0 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt die Grundinstallation

Mehr

FileMaker Pro 11. Ausführen von FileMaker Pro 11 auf Terminaldiensten

FileMaker Pro 11. Ausführen von FileMaker Pro 11 auf Terminaldiensten FileMaker Pro 11 Ausführen von FileMaker Pro 11 auf Terminaldiensten 2007-2010 FileMaker, Inc. Alle Rechte vorbehalten. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054, USA FileMaker

Mehr

Shellfire L2TP-IPSec Setup Windows 7

Shellfire L2TP-IPSec Setup Windows 7 Shellfire L2TP-IPSec Setup Windows 7 Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ L2TP-IPSec unter Windows 7 konfiguriert wird. Inhaltsverzeichnis 1. Benötigte

Mehr

Verwenden der Netzwerk-Einwahl

Verwenden der Netzwerk-Einwahl Copyright und Marken 2004 palmone, Inc. Alle Rechte vorbehalten. palmone, Treo, das palmone- und Treo-Logo, Palm, Palm OS, HotSync, Palm Powered und VersaMail sind Marken bzw. eingetragene Marken der Firma

Mehr

Administratorhandbuch für das Dell Storage Center Update Utility

Administratorhandbuch für das Dell Storage Center Update Utility Administratorhandbuch für das Dell Storage Center Update Utility Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen, mit denen Sie den Computer besser

Mehr

NetMan Desktop Manager Quick-Start-Guide

NetMan Desktop Manager Quick-Start-Guide NetMan Desktop Manager Quick-Start-Guide In diesem Dokument wird die Installation von NetMan Desktop Manager beschrieben. Beachten Sie, dass hier nur ein Standard-Installationsszenario beschrieben wird.

Mehr

Wireless-G Notebook-Adapter mit RangeBooster Setup-Assistenten-CD-ROM Benutzerhandbuch (nur auf Englisch verfügbar) auf CD-ROM Kurzanleitung

Wireless-G Notebook-Adapter mit RangeBooster Setup-Assistenten-CD-ROM Benutzerhandbuch (nur auf Englisch verfügbar) auf CD-ROM Kurzanleitung A Division of Cisco Systems, Inc. Lieferumfang Wireless-G Notebook-Adapter mit RangeBooster Setup-Assistenten-CD-ROM Benutzerhandbuch (nur auf Englisch verfügbar) auf CD-ROM Kurzanleitung 24, GHz 802.11g

Mehr

FileMaker Pro 13. Verwenden einer Remotedesktopverbindung mit FileMaker Pro 13

FileMaker Pro 13. Verwenden einer Remotedesktopverbindung mit FileMaker Pro 13 FileMaker Pro 13 Verwenden einer Remotedesktopverbindung mit FileMaker Pro 13 2007-2013 FileMaker, Inc. Alle Rechte vorbehalten. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054,

Mehr

Verbinden von Outlook mit ihrem Office 365 Konto

Verbinden von Outlook mit ihrem Office 365 Konto Webmailanmeldung Öffnen sie in ihrem Browser die Adresse webmail.gym-knittelfeld.at ein. Sie werden automatisch zum Office 365 Anmeldeportal weitergeleitet. Melden sie sich mit ihrer vollständigen E-Mail-Adresse

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

mysoftfolio360 Handbuch

mysoftfolio360 Handbuch mysoftfolio360 Handbuch Installation Schritt 1: Application Server und mysoftfolio installieren Zuallererst wird der Application Server mit dem Setup_ApplicationServer.exe installiert und bestätigen Sie

Mehr