Merk: De samme prinsippene og konseptene gjelder Også For NetScaler Gateway.
denne artikkelen gir svar på noen vanlige spørsmål angående CITRIX Secure Ticket Authority (STA). Spørsmålene er delt inn i følgende fire kategorier:
- Oversikt
- Sikkerhet
- Skalerbarhet
- Feilsøking
- Oversikt
- Spørsmål: Hva Er Secure Ticket Authority?
- Spørsmål: Hvilke Citrix-produkter samhandler med STA?
- Spørsmål: Hvorfor ER STA nødvendig?
- Spørsmål: hvordan implementeres STA-tjenesten?
- Spørsmål: Finnes det en VERSJON AV STA som ikke krever IIS?
- Spørsmål: Hvor LIGGER STA-serveren?
- Spørsmål: hva er forskjellene mellom ULIKE VERSJONER av STA?
- Sikkerhet
- Spørsmål: hvordan genereres STA-Billetten?
- Q: hva utgjør EN STA Billett?
- Spørsmål: er Billetten validert mot Arbeidsstasjonen?
- Spørsmål: slettes Billetten etter bruk?
- Q: Er Billetter noensinne skrevet Til Disk PÅ STA?
- Spørsmål: Er det mulig for noen å kapre en billett?
- Spørsmål: hvordan beskytter JEG STA-Trafikken MED SSL?
- Spørsmål: MÅ STA alltid adresseres med Et Fullt Kvalifisert Domenenavn?
- Spørsmål: Hvordan endrer JEG STA-porten fra 80 til noe annet?
- Spørsmål: kan En Angriper sende Tilfeldige Billetter til Gatewayen for Å Logge på?
- Spørsmål: Hvilken annen Informasjon kreves for Å Logge på annet enn en gyldig STA-Billett?
- Skalerbarhet
- Spørsmål: Hvor mange STAs Trenger jeg?
- Spørsmål: logger brukere gjennom gatewayen om morgenen og kjører et enkelt publisert program hele dagen, eller starter de flere programmer hele dagen?
- Spørsmål: Hvordan kan JEG sikre STA Feiltoleranse?
- Q: Hvordan Laster Jeg Inn Balanse flere STAs?
- Q: Kan Jeg bruke Flere STAs med Microsoft Network Load Balancing?
- Spørsmål: Kan jeg dele En ENKELT STA med flere Gårder, Gatewayer og Opplistingsservere?
- Feilsøking
- Spørsmål: Hvordan skal IIS konfigureres til Å være VERT FOR STA?
- Spørsmål: hvordan aktiverer Jeg Logging på STA?
- Spørsmål: Hvorfor Bryter Microsoft Iislockdown-Verktøyet STA?
- Spørsmål: Hvordan kan JEG teste STA for å være sikker på At DEN Fungerer som den Skal?
- Spørsmål: hvordan tolker JEG STA-Loggfilene?
- Spørsmål: Hva er noen av de vanlige konfigurasjonsfeilene Som Citrix Teknisk Støtte ser?
Oversikt
Spørsmål: Hva Er Secure Ticket Authority?
Spørsmål: Hvilke Citrix-produkter samhandler med STA?
Q: Hvorfor ER STA nødvendig?
Spørsmål: hvordan implementeres STA-tjenesten?
Q: Er det en versjon AV STA som ikke krever IIS?
Spørsmål: Hvor LIGGER STA-serveren?
Spørsmål: hva er forskjellene mellom ULIKE VERSJONER av STA?
Sikkerhet
Spørsmål: hvordan genereres STA-Billetten?
Q: hva utgjør EN STA Billett?
Spørsmål: er Billetten validert mot Arbeidsstasjonen?
Spørsmål: blir Billetten slettet etter bruk?
Q: Er Billetter noensinne skrevet Til Disk PÅ STA?
Spørsmål: Er det mulig for noen å kapre en billett?
Spørsmål: hvordan beskytter JEG STA-Trafikken MED SSL?
Q: MÅ STA alltid adresseres ved Hjelp Av Et Fullt Kvalifisert Domenenavn?
Spørsmål: Hvordan endrer JEG STA-porten fra 80 til noe annet?
Spørsmål: Kan En Angriper sende Tilfeldige Billetter til Gatewayen for Å Logge på?
Spørsmål: Hvilken annen Informasjon kreves for Å Logge på annet enn en gyldig STA-Billett?
Spørsmål: Hvordan kan VI angi LEVETIDEN TIL STA-Billetten, hvoretter billetten skal være ugyldig?
Skalerbarhet
Spørsmål: Hvor mange STAs Trenger jeg?
Q: Logger brukere gjennom gatewayen om morgenen og kjører en enkelt publisert applikasjon hele dagen, eller starter de flere applikasjoner hele dagen?
Spørsmål: Hvordan kan JEG sikre STA Feiltoleranse?
Spørsmål: Hvordan Laster Jeg Inn Balanse flere STAs?
Spørsmål: Kan jeg bruke flere STAs med Microsoft Network Load Balancing?
Spørsmål: Kan jeg dele En ENKELT STA med flere Farms, Gateways og Enumeration Servere?
Feilsøking
Spørsmål: Hvordan skal IIS konfigureres til Å være VERT FOR STA?
Spørsmål: hvordan aktiverer Jeg Logging på STA?
Q: Hvorfor Bryter Microsoft Iislockdown-Verktøyet STA?
Spørsmål: Hvordan kan jeg teste STA for å være sikker på at Den Fungerer som den Skal?
Spørsmål: hvordan tolker JEG STA-Loggfilene?
Spørsmål: hva er noen av de vanlige konfigurasjonsfeilene Som Citrix Teknisk Støtte ser?
Oversikt
Spørsmål: Hva Er Secure Ticket Authority?
A: SECURE Ticket Authority (STA) Er EN XML – webtjeneste som utveksler XenApp-serverinformasjon for tilfeldig genererte billetter. Den brukes til å kontrollere tilgang For En Citrix Secure Gateway-server.
Spørsmål: Hvilke Citrix-produkter samhandler med STA?
A: XenMobile, Webgrensesnitt, StoreFront, XenApp Secure Access Manager, NetScaler Gateway og Citrix Secure Gateway samhandler med STA. I denne artikkelen grupperes følgende typer servere i en enkelt kategori kalt applikasjonsopptelling servere:
- Webgrensesnitt 2.0 eller nyere
- Sikker Tilgangsbehandling 2.0 eller nyere
- StoreFront
- Applikasjonsopplistingsservere er ansvarlige for å godkjenne brukere, nummerere publiserte applikasjonsikoner og produsere en ica-fil for en klient som lar dem koble til et publisert program via En Sikker Gateway-server.
Spørsmål: Hvorfor ER STA nødvendig?
A: i citrix Secure Gateway-distribusjoner utfører ikke gateway-serveren godkjenning av innkommende forespørsler. I stedet overfører gateway-serveren godkjenning til en programopplistingsserver og bruker STA til å garantere at hver bruker er godkjent. Program opplisting servere be om billetter bare for brukere som allerede er godkjent Til Webserveren. Hvis brukere har gyldige STA-billetter, antar gatewayen at de passerte godkjenningskontrollene på webserveren og bør få tilgang.
denne utformingen gjør At Citrix Secure Gateway-serveren kan arve alle godkjenningsmetoder på webserveren din. Hvis For Eksempel Webgrensesnittserveren er beskyttet MED Rsa SecurID, kan bare SecurID-godkjente brukere krysse Den Sikre Gateway-serveren.
Spørsmål: hvordan implementeres STA-tjenesten?
A: STA er skrevet SOM EN isapi-utvidelse For Microsoft Internet Information Services (Iis). Utvidelsen kalles CtxSta.dll og ligger som standard i / Scripts-mappen . Andre komponenter kommuniserer MED STA ved HJELP AV XML OVER HTTP.
servere for programopptelling ber om billetter ved oppstart av programmet ved å sende data til STA som en del av en billettforespørsel. Dataene som sendes TIL STA inkluderer Adressen Til XenApp-Serveren som brukeren vil koble til, og i Tilfelle Web Interface 2.0 og Secure Access Manager 2.0, utvidet informasjon om navnet på den nåværende brukeren og den publiserte applikasjonen brukeren vil kjøre. STA svarer ved å generere en billett og sende den tilbake til programmet opplisting server. Denne billetten og tilhørende data forblir i MINNET VED STA i et konfigurerbart antall sekunder (100 som standard).
application enumeration server konstruerer en ica-fil for brukeren og setter INN STA-billetten I Adressefeltet i ica-filen. Når klienten kobler Seg Til Den Sikre Gatewayen, presenteres billetten, og gatewayen skal validere billetten før det etableres en sikker økt for klienten. Gatewayen utfører en dataforespørsel ved å sende billetten tilbake til STA og be om tilsvarende data i retur. HVIS validert, VIDERESENDER STA de opprinnelige dataene til gatewayen, og gatewayen etablerer en relay mellom sluttbrukeren og XenApp-Serveren.
både billettforespørsler og dataforespørsler utføres SOM XML forespørsel / svar dokumenter.
Spørsmål: Finnes det en VERSJON AV STA som ikke krever IIS?
A: Nei, FOR ØYEBLIKKET er DET NØDVENDIG MED IIS for Å være VERT FOR STA. Husk AT STA ikke trenger å bli utsatt for et uklarert nettverk som Internett; STA ligger på det klarerte nettverket og er tilgjengelig av gateway og program opplisting servere bare.
Spørsmål: Hvor LIGGER STA-serveren?
A: STA-serveren kan plasseres hvor som helst så lenge Sikre Gateway-og applikasjonsopptellingsservere kan nå den. Citrix anbefaler å plassere STA på det klarerte nettverket eller på et eget ben av den interne brannmuren, men DET er ingen krav til STA-serveren enn IIS. STA trenger ikke å tilhøre et domene, XenApp Serverfarm, Secure Access Manager farm eller annen intern Webserver, men det er vanlig å dele STA med en annen funksjon. EN STA er inkludert automatisk som en del Av Secure Access Manager 2.0 oppsett; mange administratorer synes det er praktisk å finne STA på En XenApp server.
Spørsmål: hva er forskjellene mellom ULIKE VERSJONER av STA?
A: Det er ingen materielle funksjonelle forskjeller Mellom Versjon 1.0 og 1.1, men når du bruker 2.0 STA Med Webgrensesnitt 2.0 eller Secure Access Manager 2.0, utvidet informasjon legges til billettforespørselen: navnet på brukeren og programmet brukeren ønsker å kjøre. Denne utvidede data brukes av gateway-tjenesten til å vise detaljer om hver gateway-økt I Secure Gateway 2.0 management console.
Hvis Secure Gateway 2.0 er konfigurert til å bruke en eldre STA Fra Versjon 1.1 eller 1.0, kan brukere koble til programmer, men Secure Gateway management console vil vise» N/A » for brukernavnet og programnavnet som er knyttet til hver ICA-økt. Slik ser du den utvidede informasjonen i Secure Gateway 2.0 management console, må Du bruke VERSJON 2.0 eller nyere AV STA og bruke Enten Secure Access Manager 2.0 Eller Web Interface 2.0 som program opplisting server.
Sikkerhet
Spørsmål: hvordan genereres STA-Billetten?
A: ISAPI-utvidelsen CtxSta.dll bruker pseudo-tilfeldig tall generasjon for å produsere en 16-byte heksadesimal streng. Av sikkerhetshensyn avslører Ikke Citrix de nøyaktige trinnene som brukes til å produsere denne tilfeldige tegnsekvensen.
Q: hva utgjør EN STA Billett?
A: kodingsformatet er en streng av skjemaet:
;STA_VERSION; STA_ID; BILLETT
Hvor:
- STA_VERSION ER et numerisk felt som identifiserer VERSJONEN AV STA. For øyeblikket er de eneste gyldige verdiene for dette feltet «10 «FOR STA Versjon 1.0 og 1.1 og» 20 » FOR STA Versjon 2.0.
- STA_ID er en sekvens av 0 – 16 tegn som representerer et vilkårlig navn tildelt av administratoren til en bestemt STA. I Versjon 1.x, denne strengen er STANDARD TIL STA01, STA02 og så videre. NÅR STA installeres automatisk som En del Av Secure Access Manager 2.0, ER STA-ID-EN en hash for servernavnet. Når flere STAs deles av en enkelt gateway-server, må HVER STA ID være unik. Dette gjør at gatewayen kan finne STA som opprettet billetten og gå tilbake til DEN STA for billettvalidering. En billett opprettet PA STA01 vil ikke eksistere pa STA02.
- BILLETT er en tilfeldig generert sekvens av 32 store bokstaver eller numeriske tegn.
for eksempel:
; 10; STA01; FE0A7B2CE2E77DDC17C7FD3EE7959E79
Spørsmål: er Billetten validert mot Arbeidsstasjonen?
A: Nei, det er ingenting som knytter en billett til en bestemt arbeidsstasjon. Det er teoretisk mulig at en billett blir forespurt Fra Arbeidsstasjon A og deretter brukt Fra Arbeidsstasjon B. for å redusere denne risikoen:
- BRUK ALLTID HTTPS mellom klienten og applikasjonsopplistingsserveren for å hindre at en angriper fanger opp billetten når den går fra server til klient.
- Reduser billetttiden til live så mye som mulig for å redusere tiden en angriper må overføre billetten Fra Maskin A Til Maskin B.
Husk at en billett utstedt av STA kun kan brukes en gang, så hvis den tiltenkte brukeren på Maskin A kobles til, er billetten ugyldig for alle fremtidige tilkoblingsforsøk Fra Maskin a Eller Maskin B.
Spørsmål: slettes Billetten etter bruk?
A: ja, billettene slettes umiddelbart etter en vellykket dataforespørsel, slik at de kun kan brukes en gang. De er også slettet etter en konfigurerbar time-out (standard 100 sekunder) hvis ikke brukt.
Q: Er Billetter noensinne skrevet Til Disk PÅ STA?
A: Bare når detaljert logging er aktivert ved å sette LogLevel=3 I CtxSta.konfig. ELLERS beholder STA alle utestående billetter (billetter som ble forespurt av en programopplistingsserver, men som ennå ikke er validert av En Sikker Gateway) ved hjelp av en minnedatabase. XML-data sendes alltid til STA ved HJELP AV HTTP POST-kommandoen, slik at ingen meningsfulle billettdata blir skrevet til STA-Webserverloggene.
Spørsmål: Er det mulig for noen å kapre en billett?
A: under normal drift må en billett reise følgende fire segmenter av nettverket:
- FRA STA til application enumeration server
- fra application enumeration server til klienten
- fra klienten Til Secure Gateway server
- fra gatewayen TIL STA
de første og siste segmentene eksisterer bare mellom servere I DMZ og STA på klarerte SERVERE.nettverk, noe som betyr at en inntrenger må ha tilgang til nettverket for å fange OPP BILLETTEN LANGS disse linjene. Likevel kan disse banene krypteres MED SSL hvis Du bruker Secure Gateway Versjon 2.0. I Citrix Secure Gateway 1.1 og tidligere kan trafikk til STA ikke krypteres MED SSL.
for å sikre det andre segmentet, legg et sertifikat på webserveren for programopplisting og la klienter bare koble til HVIS DE bruker HTTPS. Det tredje segmentet er alltid sikret MED SSL.
selv når alle de foregående koblingene er sikret MED SSL, er klienter fortsatt sårbare for angrep Av Trojanske programmer som overvåker klientaktivitet. For å redusere denne risikoen, råder brukerne til å koble fra maskiner der anti-virus og Trojan deteksjon programvare er installert.
Spørsmål: hvordan beskytter JEG STA-Trafikken MED SSL?
a: først installerer Du Et Webserversertifikat på kopien av IIS som er vert FOR STA. Hvis du vil ha mer informasjon, kan du se iis-dokumentasjonen.
Konfigurer applikasjonsopplistingsserveren og Secure Gateway-serveren til Å bruke HTTPS når du kommuniserer med gatewayen. Ved tilkobling VIA HTTPS må følgende regler alltid oppfylles:
- DU må adressere STA ved hjelp av et fullt kvalifisert domenenavn som samsvarer med EMNET FOR STA-serversertifikatet.
- maskinen som kommuniserer MED STA, må kunne løse DET FULLT kvalifiserte DOMENENAVNET TIL EN passende IP-adresse.
- maskinen som kommuniserer MED STA, må stole På Sertifiseringsinstansen (CA) som utstedte STA-serversertifikatet.
- FOR å oppfylle kravene til det tredje punktelementet, MÅ CA-rotsertifikatet installeres På Secure Gateway-serveren og på applikasjonsopplistingsserveren. Vær forsiktig når du installerer rotsertifikatet: du kan ikke bare dobbeltklikke en rotsertifikatfil og kjøre veiviseren for sertifikatimport.
(Dette indikerer at brukerkontoen din, ikke serveren eller noen systemtjenester, stoler PÅ CA.) Følg trinnene for å installere et rotsertifikat for Bruk Med Citrix Secure Gateway eller Webgrensesnitt:
- Kjør Mmc.exe og legge Til Snapin-modulen Sertifikater.
- når du blir spurt om hvilke sertifikater du vil administrere, velger Du Datamaskinkonto og Deretter Lokal Datamaskin.
- Utvid Noden Sertifikater (Lokal Datamaskin) > Trusted Root Certification Authorities. Høyreklikk Sertifikater, og velg Deretter Alle Oppgaver > Importer.
- Bla Gjennom for å velge CA-rotsertifikatet og fullføre importveiviseren.
A: hvis du har tenkt å sikre trafikk til STA ved HJELP AV SSL, må alle komponenter som har tilgang TIL STA, inkludert gateway-serveren og applikasjonsopplistingsserveren, adressere STA ved hjelp av det fullt kvalifiserte domenenavnet (fqdn) som samsvarer med emnet for serversertifikatet som brukes av iis på STA. FOR Eksempel, I Webgrensesnitt 2.0, VIL STA-adressen bli angitt som:https://sta-server.company.com/Scripts/CtxSta.dll
hvis du velger å ikke sikre trafikk TIL STA, kan DU adressere STA ved HJELP AV EN IP-adresse, vertsnavn eller FQDN.
Spørsmål: Hvordan endrer JEG STA-porten fra 80 til noe annet?
A: FORDI STA betjenes Av IIS, endrer DU STA-porten når du endrer iis-porten. Følgende eksempel illustrerer hvordan du endrer iis-porten fra 80 til 81.
- Åpne Internet Services Manager.
- Høyreklikk Standard Webområde og vise Egenskapene.
- endre tcp-portnummeret fra 80 til 81 i kategorien Webområde.
- Klikk OK.
den foregående endringen påvirker også andre ressurser du har publisert FRA STA-Webserveren. Hvis DU vil endre STA – kommunikasjonsporten uten å påvirke Andre Nettsider som er vert for samme Webserver, kan du opprette et nytt Nettsted i IIS med det eneste formål å være VERT FOR STA. Følgende er et eksempel på hvordan du oppretter et Nytt Webområde på port 81 FOR STA. - Opprett en ny fysisk mappe Som C:\ MYSTA på Webserverens harddisk for å tjene som dokumentrot for STA-nettstedet .
- Opprett En underkatalog under MYSTA kalt Skript. Flytt følgende filer fra DIN eksisterende STA til Den nye Scripts-mappen:
- CtxSta.dll
- CtxSta.konfigurasjon
- ctxxmlss.txt
- Åpne Internet Services Manager.
- Høyreklikk servernavnet Og velg Nytt > Webområde.
- Opprett et Nytt nettsted kalt «MITT STA-nettsted» og C:\MYSTA som dokumentet rotkatalogen.
- Vis egenskapene til det nye webområdet, og endre tcp-porten til 81.
- under MITT STA-område I Internet Services Manager høyreklikker Du Scripts-mappen og viser egenskapene. I Delen Programinnstillinger endrer Du Kjøretillatelsene til » Skript og Kjørbare Filer.»
Merk: Du kan velge et annet mappenavn enn «Scripts», men vær oppmerksom På At Secure Gateway og alle applikasjonsopptellingsservere som Webgrensesnitt antar AT STA er publisert som / Scripts / CtxSta.dll så du må også oppdatere STA URL i innstillingene på disse serverne.
Spørsmål: kan En Angriper sende Tilfeldige Billetter til Gatewayen for Å Logge på?
A: en angriper må gjette en gyldig billett og også innløse den innen få millisekunder etter at klienten ber om det, men før gatewayen hevder det.
Spørsmål: Hvilken annen Informasjon kreves for Å Logge på annet enn en gyldig STA-Billett?
A: Brukere trenger også domenelegitimasjon eller En XenApp – serverbillett som er forespurt av programopplistingsserveren. (En XenApp-Serverbillett er ikke det samme som EN STA-billett.) Tilfredsstillende STA åpner en bane bare til det klarerte nettverket for en bestemt server. Når det, må brukeren fortsatt godkjenne med gyldig domene legitimasjon.
Spørsmål: Hvordan kan VI angi LEVETIDEN TIL STA-Billetten, hvoretter Billetten skal være ugyldig?
A: VI kan angi STA billett levetid ved å opprette en følgende registernøkkel På Levering Kontrolleren:
Sted: HKLM \ Software \ Citrix \ DesktopServer
Navn: XmlStaTicketLifetimeInSeconds
Type: Dword Verdi: Gi verdi i sekunder (Desimal)
Vennligst ta en registerbackup før du redigerer registerverdier.
Skalerbarhet
Spørsmål: Hvor mange STAs Trenger jeg?
A: STA er bare tilgjengelig når en bruker starter et program, svaret på dette spørsmålet varierer fra en distribusjon til den neste.
Spørsmål: logger brukere gjennom gatewayen om morgenen og kjører et enkelt publisert program hele dagen, eller starter de flere programmer hele dagen?
A: Pliktene SOM UTFØRES AV STA er ikke dyre I CPU-termer; det er en lett XML-tjeneste begrenset bare av ytelsen til IIS. I en test støttet en lavfrekvent server med en 1 ghz prosessor og 256 MB RAM over 250 billettforespørsler per sekund mens CPU-utnyttelsen holdt seg under 60%.
Spørsmål: Hvordan kan JEG sikre STA Feiltoleranse?
A: følgende applikasjonsopplistingsservere lar deg alle angi flere STA-Nettadresser når du konfigurerer parametrene For Secure Gateway:
- Webgrensesnitt 2.0
- Sikker Tilgangsbehandling 2.0
- StoreFront
i alle tilfeller, hvis EN STA ikke svarer, prøver programopplistingsserveren en ANNEN STA på listen. Hver gateway server i sin tur må konfigureres MED STA URL OG unike STA ID for hver billett myndighet.
Q: Hvordan Laster Jeg Inn Balanse flere STAs?
A: Spesiell forsiktighet må tas når lastbalansering Sikre Billett Myndigheter. En rekke metoder kan brukes til å laste-balansere forbindelsen mellom en applikasjonsopptelling server og STAs, men En Sikker Gateway server må alltid kontakte HVER STA individuelt basert på SIN STA ID. Når du konfigurerer adressen til HVER STA i gateway service configuration tool, må HVER STA-adresse være DEN sanne adressen til STA — serveren.
Butikkfront, Webgrensesnitt 2.0 og Secure Access Manager 2.0 all støtte round-robin lastbalansering av STAs når flere STAs er oppført. Når dette alternativet er aktivert, er det ikke nødvendig med ekstra lastbalanseringsprogramvare eller maskinvare.
Programopplistingsservere kan bruke hvilken som helst form for belastningsfordeling for å utstede en billettforespørsel fordi hver billett mottatt inneholder et felt som angir den unike IDEN TIL STA som genererte DEN. Så lenge HVER STA ID er unik og alle gateway-servere kan løse STA ID til en bestemt (ikke lastbalansert) serveradresse, lykkes operasjonen og STA trafikk er lastbalansert.
Q: Kan Jeg bruke Flere STAs med Microsoft Network Load Balancing?
A: Nettverksbelastningsfordeling kan ikke brukes mellom Secure Gateway-serveren og flere Staer. Hvis konfigurert på denne måten, mottar brukere intermitterende fornektelser fordi gatewayen i løpet av billettvalideringsprosessen kan være belastningsbalansert til en myndighet som ikke opprinnelig genererte brukerens billett.
Spørsmål: Kan jeg dele En ENKELT STA med flere Gårder, Gatewayer og Opplistingsservere?
A: Ja, en ENKELT STA kan deles mellom en rekke Sikre Gateway-servere og program opplisting servere. STA er ikke begrenset til et bestemt domene, farm, eller program opplisting server. Det er en anonym XML-tjeneste.
Feilsøking
Spørsmål: Hvordan skal IIS konfigureres til Å være VERT FOR STA?
STA URL / Skript / CtxSta.dll må serveres Med Anonym tilgang aktivert. Hvis Du peker en Nettleser TIL STA URL vil du ikke bli bedt om et passord.
- du må gi ressurs Skript og Kjørbare tillatelser i iis-metabasen. Denne tillatelsen er ikke nødvendig for hele / Scripts mappen, men kan settes For CtxSta.dll-fil individuelt.
- For Sikker Gateway Versjon 1.1 og tidligere, må du ikke aktivere Alternativene Krev SSL og Krev 128-biters SSL.
- som standard er følgende kontotillatelser nødvendig:
På Windows 2000-servere
- IUSR_MachineName-kontoen trenger Lesetilgang Til CtxSta.DLL.
- IWAM_MachineName-kontoen må Endre tilgang til loggfilkatalogen, som er \Inetpub \ Scripts som standard.
På Windows 2003-Servere
- IUSR_MachineName-kontoen trenger Lesetilgang Til CtxSta.DLL.
- den innebygde Nettverkstjenestekontoen Må Endre tilgang til loggfilkatalogen, som er \Inetpub \ Scripts som standard.
Spørsmål: hvordan aktiverer Jeg Logging på STA?
A: Bruk Notisblokk, rediger filen \Inetpub \ Scripts \ CtxSta.config PÅ STA-serveren og finn linjen som sier LogLevel=0. For maksimal logging, endre Dette Til LogLevel=3. Du må starte World Wide Web Publishing Service på Nytt for at endringene skal tre i kraft.
Merk: når du har aktivert logging, må brukerkontoen SOM STA utfører (IUSR_MACHINENAME På Windows 2000 eller Nettverkstjeneste På Windows 2003 som standard) Ha Skrivetilgang til loggfilkatalogen, som er \inetpub\Scripts som standard. Du kan også endre loggfilkatalogen når Du redigerer CtxSta.konfig.
Spørsmål: Hvorfor Bryter Microsoft Iislockdown-Verktøyet STA?
A: Hvis du godtar alle standardinnstillingene for IISLockDown-verktøyet, er mappen / Scripts deaktivert. STA er implementert SOM ET ISAPI-filter publisert som / Scripts / CtxSta.dll; ved å deaktivere / Scripts katalogen, nekter du tilgang til STA. Aktiver / Scripts-mappen og tillat Skript og kjørbare filer tilgang FOR AT STA skal fungere.
Spørsmål: Hvordan kan JEG teste STA for å være sikker på At DEN Fungerer som den Skal?
A: hvis Du peker en nettleser TIL STA URL, vil du se enten en tom hvit side eller meldingen » 405 Ressurs Ikke Tillatt.»En av disse resultatene indikerer en fungerende STA . DU kan kontakte STA på denne måten fra konsollen Til Din Sikre Gateway-server og også fra en hvilken som helst applikasjonsopplistingsserver som er konfigurert til å bruke gatewayen. Hvis DU mottar en godkjenningsdialogboks som ber deg om et passord, PUBLISERES IKKE STA anonymt, og godkjenningskravene må fjernes.
hvis du vil kontrollere at serveren for programopptelling ber OM STA-billetter, kan du se PÅ ICA-filene den genererer. Fra Web Interface 2.0 kan Du for Eksempel høyreklikke et publisert programikon og lagre resultatet som start.ICAs. Åpne lansering.ica I Notisblokk og vise Adressen = linje. For normal Sikker Gateway-operasjon vil Adresseparameteren inneholde en billett i stedet for en Faktisk XenApp-serveradresse.
Spørsmål: hvordan tolker JEG STA-Loggfilene?
A: hvis du aktiverer logging ved å sette LogLevel=3 I CtxSta.config, vil du se detaljer om hver billett og dataforespørsel mottatt av STA. Husk at en billettforespørsel genereres av en applikasjonsopplistingsserver som Webgrensesnitt, og en dataforespørsel utføres Av Secure Gateway-tjenesten. Hvis loggfilen viser flere billettforespørsler, men ingen dataforespørsler, innebærer dette at applikasjonsopplistingsserveren kan nå STA, men Den Sikre Gateway-serveren kan ikke. Det kan også innebære at brukerne ikke kan nå gateway-serveren.
under normal drift kan øktdelingsfunksjonen til Ica-Klienten føre til at billetter blir forespurt fra STA, men aldri hevdet av gatewayen. Vurder følgende scenario:
- en bruker logger Seg På Webgrensesnitt og klikker På Outlook-ikonet. Webgrensesnitt ber om en billett FRA STA og sender den til brukeren i EN ica-fil.
- brukeren kobler gjennom Sikker Gateway og presenterer billetten for opptak. Gateway validerer billetten og lar brukeren koble til En XenApp Server hosting Outlook.
- etter å ha jobbet i noen minutter, går brukeren tilbake til programlisten På Webgrensesnittet og klikker På Excel-ikonet. Webgrensesnitt ber om en andre billett FRA STA og sender den til brukeren i EN ica-fil.
- Før du kobler Til en ny Server For Excel, sjekker Ica-Klienten først for å se om eksisterende servere som klienten allerede er koblet Til, Har Excel-publiserte programmet tilgjengelig.
- serveren der klienten allerede kjører Outlook, har Også Excel installert, slik AT Ica-Klienten forkaster ica-filen og starter Excel i den eksisterende ica-økten.
- den andre billetten forespurt Av Webgrensesnitt blir aldri brukt fordi en annen ICA-økt ikke var nødvendig. Som standard ticket ganger ut etter 100 sekunder.
dette scenariet vil resultere i EN rekke STA-loggfiloppføringer som ligner på følgende:
CSG1305 Request Ticket - Successful 8DE802AE5A2F561233450B6CFD553035 ...CSG1304 Request Data - Successful 8DE802AE5A2F561233450B6CFD553035 ...CSG1305 Request Ticket - Successful 63EF3EAB182D846958143D19C1FDAEBA ...CSG1303 Ticket Timed Out 63EF3EAB182D846958143D19C1FDAEBA
mer mistenkelig aktivitet kan se slik ut:
CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB804 CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB805 CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB806 CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB807 CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB808 CSG1203 Request Data - Ticket NOT found7DC6409CE228ECFCB5EE50A94D6AB809
Her ser vi hva som synes å være en angriper som prøver ulike billetter en om gangen, og øker billett-ID-EN med hvert forsøk. I hvert tilfelle ble tilkoblingen avvist og STA logget en oppføring som indikerer at klienten presenterte en billett som ikke ble anerkjent som gyldig. Hvis du vil identifisere ip-adressen til angriperen, kan du se etter følgende melding i hendelsesliste på Secure Gateway-serveren:
CSG3207 Service received error from STA or Authentication Service , Client IP connection dropped.
ikke tolk noen» Billett IKKE funnet » meldinger som et angrep. Win32 Ica-Klienten kan forsøke å koble til en frakoblet økt hvis brukerens nettverkstilkobling er tapt et øyeblikk. Auto Client Reconnect-funksjonen fungerer ikke for Citrix Secure Gateway-brukere fordi klienten sender inn DEN brukte STA-billetten som den opprinnelig koblet til under hvert forsøk på nytt. Klienten forsøker vanligvis å koble til tre eller flere ganger før du gir opp, så du vil se tre eller flere «Billett IKKE funnet» – meldinger som refererer til samme billett i STA-loggen for hver forekomst av dette problemet. Klienttilkoblingsforsøk er preget av forsøk på gjenbruk av en tidligere vellykket billett:
CSG1305 Request Ticket - Successful 766D558270CE32695903698AFA0F67A6 …CSG1304 Request Data - Successful 766D558270CE32695903698AFA0F67A6 …CSG1203 Request Data - Ticket NOT found766D558270CE32695903698AFA0F67A6 CSG1203 Request Data - Ticket NOT found766D558270CE32695903698AFA0F67A6 CSG1203 Request Data - Ticket NOT found766D558270CE32695903698AFA0F67A6
Koble Fra Automatisk Klienttilkobling for Sikre Gateway-brukere ved å legge Til TransportReconnectEnabled = Off til delen av ica-filen. Den riktige måten å koble til en frakoblet økt når Du bruker Secure Gateway, er å gå tilbake til applikasjonsopplistingsserveren og klikke på programikonet igjen.
Spørsmål: Hva er noen av de vanlige konfigurasjonsfeilene Som Citrix Teknisk Støtte ser?
- Mappen /Scripts eller Hele Standardnettstedet er deaktivert som følge av å kjøre iislockdown eller følge selskapets retningslinjer for beskyttelse Av Webservere.
- Logging er aktivert I CtxSta.config, men brukerkontoen UNDER hvis myndighet STA utfører (IUSR_MachineName som standard) har Ikke Skrivetilgang til loggfilkatalogen.
- IIS på STA-serveren er konfigurert til å kreve SSL, Men Sikker Gateway er konfigurert til å få TILGANG TIL STA ved hjelp av vanlig HTTP.
- hvis app-lanseringen mislykkes, er Det første som skal kontrolleres om STAs på Butikk/Webgrensesnitt Og NetScaler er gitt på nøyaktig samme måte eller ikke, dvs. hvis STAs er gitt SOM IP-Adresse PÅ SF/WI, bør den gis ved HJELP AV IP-adresse PÅ NS og tilsvarende I TILFELLE FQDN.