Citrixサポートブログ

  • 設計・構築・設定
2020.12.25

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(4)

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(4)

こんにちは。Citrix製品のサポートを担当している川東(かわひがし)です。


Citrix Virtual Apps and Desktops(XenApp and XenDesktop)を社外からインターネット接続で利用する場合、Citrix Gatewayを使用して、「Citrix StoreFront、公開アプリケーション、仮想デスクトップ」の通信を暗号化することができます。こちらの接続方法は、ICA-Proxyと呼ばれています。

今回のブログは、ICA-Proxy 接続で利用するためのCitrix Gateway VPXの構築手順の一例をご紹介させて頂きます。Citrix Gateway VPX の入手方法から説明をする都合で、以下の6本の記事に分けてご紹介をさせて頂きます。今回は「4」の内容になります。


【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(1)
Citrix Gateway VPXの入手方法、基本設定
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)
自己署名ルート証明書、中間証明書、サーバ証明書の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(3)
中間証明書とサーバ証明書のインストール
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(4)
認証ポリシーの作成、セッションポリシーの作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(5)
Virtual Server の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6)
StoreFrontのストア設定、クライアント端末からICA-Proxy接続の確認

目次

1.本記事の検証環境の構成イメージ
2.認証ポリシーの作成
3.Workspace app接続用のセッションポリシーの作成
4.Workspace app Web接続用のセッションポリシーの作成


1.本記事の検証環境の構成イメージ


本資料で使用するすべてのマシンは、VMWare ESXi 上で構築しています。Citrix Gateway VPXの仮想NICは1枚です。こちらに3個のIPアドレスを割り当ててます。それぞれの用途は以下になります。

名称 用途
NSIP(NetScaler IP) 管理コンソールに接続するために割り当てるIPアドレス
SNIP(Subnet IP) クライアント端末からStoreFrontやVirtual Delivery Agentのマシンへの接続を仲介(プロキシ)するためのIPアドレス
VIP(Virtual IP) クライアント端末が接続するVirtual Serverで使用するIPアドレス

<検証環境イメージ図>
使用しているIPアドレスは、検証環境に作成した内部ネットワークのIPアドレスになります。

<参考記事>

ICA-Proxyで公開アプリケーションを起動する場合の処理の流れはこちらの記事をご参照ください。
Citrix NetScaler Gateway を使用した場合のXenApp7.15の公開アプリケーション起動処理の流れ

本記事で使用しているCitrix製品のバージョンは以下になります。

製品 バージョン
Citrix Gateway VPX 13.0 build 58.32
Citrix Virtual Apps 7 1912 LTSR CU1 (OS: Windows Server 2016)
Citrix Workspace app 1912 LTSR CU2(OS: Windows 10)

2.認証ポリシーの作成

本記事は、Citrix GatewayのVirtual Serverのユーザ認証はWindows Active Directory を使用します。

1.「Citrix Gateway」-「Policies」-「Authentication」-「LDAP」をクリックします。

2.「Servers」タブを開きます。「Add」をクリックします。

3.使用するADサーバの接続情報を設定します。黄色の項目を設定します。ラジオボタンで選択している「Server Name」は「Server IP」を使用することもできます。
Secure Typeは「TLS」を選択していますが「PLAINTEXT」も使用できます。本番環境で設定する場合はTLSを選択してください。「Test Network connectivity」をクリック後にエラーになる場合は「PLAINTEXT」を選択する方法もお試しください。

※本記事は、こちらの記事 のレジストリ設定をADサーバに設定しているため、「TLS」を選択しています。

4.黄色の箇所を設定します。本記事の検証環境は以下を設定しています。こちらはご利用のActive Directoryの情報に読み替えてください。設定後、「Test Network connectivity」をクリックします。黄緑色の背景色のメッセージが表示されることを確認します。

Bind DN dc=river,dc=local
Administrator Bind DN administrator@river.local
Administrator Password パスワード
Confirm Administrator Password パスワード

5.「Server Logon Name Attribute」に「sAMAccountName」を選択後、「Create」をクリックします。

6.「Servers」タブに作成した項目が表示されることを確認します。

7.「Policies」タブを開きます。「Add」をクリックします。

8.黄色の箇所を設定します。「Name」はLDAP認証用のポリシーであることが分かる任意の名前を設定します。「Server」は手順「6」の項目が表示されていることを確認します。「Expression」は「ns_true」を入力します。「Create」をクリックします。

9.「警告画面」にて「OK」をクリックします。

10.Citrix Gatewayのメニューをクリック後、画面右上の保存アイコンをクリックします。


3.Workspace app接続用のセッションポリシーの作成

Workspace app Web接続用のセッションポリシーを作成する場合は、こちらをご参照ください

1.画面左側の「Citrix Gateway」-「Policies」-「Session」をクリックします。画面右側の「Session Profiles」タブを開き「Add」をクリックします。

2.Citrix Workspace appを使用した接続用のセッションプロファイルを作成します。Nameに、Workspace app接続用のプロファイルであることが分かる任意の名前を入力します。「Security」タブを開きます。「Default Authorizaion Action」を「ALLOW」に変更します。

3.「Published Applications」タブを開きます。本記事は以下を設定します。最後に「Create」をクリックします。

ICA Proxy ON
Web Interface Address http://sfddc-01.river.local/Citrix/Store
Web Interface Address Type IPv4
Account Service Address http://sfddc-01.river.local/
Single Sign-on Domain river.local

4.「Session Policies」タブを開きます。「Add」をクリックします。

5.セッションポリシーの作成画面にて黄色の箇所を設定します。「Name」は、Workspace app用のセッションポリシーと分かる任意の名前を入力します。「Profile」は、手順2と3で作成したプロファイルが表示されていることを確認します。最後に画面右側の「Expression Editor」をクリックします。

6.「HTTP」「REQ」「HEADER(String)」「User-Agent」「CONTAINS(String)」を選択後、「CitrixReceiver」を入力します。下側の「Preview Expression」にて「HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")」が表示されることを確認後、「Done」をクリックします。

7.「Create」をクリックします。

8.作成したポリシーが表示されることを確認します。


4.Workspace app Web接続用のセッションポリシーの作成

1.Citrix Workspace Web接続用(ブラウザを使用してStoreサイトを表示する方法)のセッションポリシーを作成します。「Session Profiles」タブを開きます。「Add」をクリックします。

2.「Security」タブを開きます。「Name」にWorkspace app Web接続用のプロファイルであることが分かる任意の名前を入力します。「Security」タブを開き、「Default Authorization Action」にて「ALLOW」を選択します。

3.「Published Applications」タブを開きます。黄色の箇所を設定します。本記事は以下を設定しています。設定後、「Create」をクリックします。

ICA Proxy ON
Web Interface Address http://sfddc-01.river.local/Citrix/StoreWeb
Web Interface Address Type IPV4
Single Sign-On Domain river.local

4.「Session Profiles」タブを開きます。「Add」をクリックします。


5.黄色の箇所を設定します。「Name」にWorkspace app Web接続用のポリシーであることが分かる任意の名前を入力します。「Profile」は手順2と3で指定したプロファイルの名前が表示されていることを確認します。「Advanced Policy」を選択後、右側の「Expression Editor」をクリックします。

6.「HTTP」「REQ」「HEADER(String)」「User-Agent」「CONTAINS(String)」を選択後、「CitrixReceiver」を入力します。「NOT」を選択します。下側の「Preview Expression」にて「HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT」が表示されることを確認後、「Done」をクリックします。

7.「Create」をクリックします。

8.作成したポリシーが表示されることを確認します。

9.画面右上の保存アイコンをクリックします。

次回の「ICA-Proxy 接続で利用するための Citrix Gateway VPX構築手順の一例(5)」 は、クライアント端末から接続するために必要となるVirtual Serverの作成方法をご紹介します。


Citrix製品紹介セミナーも定期開催しています

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。




Citrixの設定・トラブル対処方法の良くあるFAQ10選プレゼント中

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。


筆者情報:川東健吾

アシストに入社し、テスト系製品のカスタマーサポートを担当後、現在はCitrix製品を担当しています。XenAppとXenDesktopのトラブルシューティングや運用に役立つ情報を、長年のサポート対応の視点で分かりやすくお伝えしていきます。
学生時代から続けている映像制作の趣味の延長で、Citrixトラブシューティング入門動画も制作しました。こちらからご視聴頂けます。

関連している記事

  • 設計・構築・設定
2022.02.24

Citrixライセンス消費超過時の動作に関する説明と使用履歴確認方法

今回の記事は「ライセンスの超過使用保護と追加猶予期間」「ライセンス使用履歴の確認方法」に関する説明をしています。

  • 設計・構築・設定
2022.02.04

オンプレミス版 Citrix Virtual Apps and Desktops のライセンス消費に関する説明

今回は、オンプレミス版 Citrix Virtual Apps and Desktops のライセンス消費に関する説明をしたいと思います。

  • 設計・構築・設定
2021.12.17

Citrix CloudのCitrix Virtual Apps and Desktopsサービスを使用して閉域網接続用の環境を構築する際のポイント

今回は、Citrix CloudのCitrix Virtual Apps and Desktopsサービスを使用して、パブリッククラウド上にリソースを配置して閉域網接続用の環境を構築する際のポイントをご紹介させて頂きます。

ページの先頭へ戻る