DNS-Suffixe zur Auflösung von FQDNs in IP-Adressen
Das DNS-Suffix ist eine globale Konfiguration, die für alle Endbenutzer angewendet wird. Die DNS-Suffix-Funktion des Citrix Secure Private Access-Dienstes kann für die folgenden Anwendungsfälle verwendet werden:
- Ermöglichen Sie dem Citrix Secure Access Client, einen nicht vollständig qualifizierten Domänennamen (Hostnamen) in einen vollqualifizierten Domänennamen (FQDN) aufzulösen, indem Sie die DNS-Suffixdomäne für die Backend-Server hinzufügen.
- Ermöglichen Sie Administratoren, Anwendungen mithilfe von IP-Adressen (IP-CIDR/IP-Bereich) zu konfigurieren, sodass die Endbenutzer über den entsprechenden FQDN unter der DNS-Suffixdomäne auf die Anwendungen zugreifen können.
Wenn beispielsweise bei der Auflösung eines nicht vollständig qualifizierten Domänennamens “workday” das DNS-Suffix “citrix.net” konfiguriert ist, hängt das Betriebssystem das Suffix “citrix.net” an und löst es in “workday.citrix.net” auf.
Wenn mehrere DNS-Suffixe konfiguriert sind, werden die DNS-Suffixe nacheinander aufgelöst. Nehmen wir zum Beispiel an, dass die folgenden Suffixe hinzugefügt werden:
".citrix.net"
".citrix.com"
".xenserver.com"
Wenn ein Endbenutzer “workday” eingibt, versucht das Betriebssystem, die FQDNs in der folgenden Reihenfolge aufzulösen. Wenn es mit einem Suffix erfolgreich ist, werden die übrigen Suffixe übersprungen.
- workday.citrix.net
- workday.citrix.com
- workday.xenserver.com
Wichtig:
Die DNS-Suffixkonfiguration kann es dem Client nur ermöglichen, einen nicht vollständig qualifizierten Domänennamen aufzulösen, indem er der mit der DNS-Suffix-Funktion konfigurierten Domäne ein Suffix anfügt. Damit ein Endbenutzer auf einen FQDN unter der DNS-Suffixdomäne zugreifen kann, muss der Administrator eine Anwendung mit einer IP-Adresse, einem FQDN oder einer Wildcard-Domäne konfigurieren. Einzelheiten finden Sie unter Punkt 4 unter Anwendungsbeispiel.
Wenn zwei verschiedene Anwendungen konfiguriert sind, eine mit FQDN und eine andere mit IP-Adresse (beide entsprechen demselben Backend-Server), hat die Richtlinie der Anwendung mit IP-Adresse höhere Priorität. Einzelheiten finden Sie unter Punkt 5 unter Anwendungsbeispiel.
Voraussetzungen
- Kunden müssen Anspruch auf die Secure Private Access Advanced Edition haben, um die DNS-Suffix-Funktion nutzen zu können.
- Wenden Sie sich an das Citrix Product Management Team, um die Feature-Flags für das DNS-Suffix zu aktivieren.
So fügen Sie DNS-Suffixe hinzu
-
Klicken Sie auf der Kachel Secure Private Access auf Verwalten .
-
Klicken Sie auf der Secure Private Access-Landingpage auf Einstellungen und dann auf DNS-Suffix.
-
Geben Sie im Feld DNS-Suffix das Suffix ein, das angehängt werden muss, wenn ein nicht vollständig qualifizierter Name aufgelöst wird.
-
Klicken Sie auf Hinzufügen.
Die Suffixe werden in der Reihenfolge aufgeführt, in der sie hinzugefügt wurden. Admins können die Suffixe löschen oder ändern.
Anwendungsbeispiel
Beachten Sie Folgendes:
- Ein Administrator hat einem Computer im Kundennetzwerk die IP-Adresse 192.0.2.1 zugewiesen.
- Die FQDNs für den Computer (mit den IP-Adressen 192.0.2.1) befinden sich unter der Domäne “citrix.net” (Beispiel workday.citrix.net).
DNS-Suffix und App-Konfiguration | Erfahrung für Endbenutzer | ||
---|---|---|---|
1 | Admin konfiguriert das DNS-Suffix als “citrix.net” und erstellt eine App mit der IP-Adresse 192.0.2.1, deren Zugriffsrichtlinie für user1 auf “allow” gesetzt ist. | Wenn Benutzer1 versucht, eine Verbindung zu “workday” herzustellen, erhält der FQDN das Suffix “citrix.net” (workday.citrix.net) und die IP-Adresse wird in 192.0.2.1 aufgelöst. Da 192.0.2.1 für Benutzer1 mit einer konfigurierten App zulässig ist, wird der Zugriff gewährt. | |
Hinweis: Endbenutzer können mit 192.0.2.1 oder workday.citrix.net oder “workday” auf die Workday-App zugreifen. | |||
Ohne DNS-Suffix-Konfiguration wird der Zugriff über “workday” und “workday.citrix.net” verweigert. | |||
2 | Admin konfiguriert das DNS-Suffix als “citrix.net”, erstellt eine App mit FQDN (workday.citrix.net) und legt die Zugriffsrichtlinie für user1 auf “allow” fest. | Wenn Benutzer1 versucht, eine Verbindung zu “workday” herzustellen, wird “citrix.net” an das Suffix “workday” (workday.citrix.net) angehängt. Endbenutzer können auf Workday zugreifen, da eine Anwendung mit “workday.citrix.net” konfiguriert ist und die Zugriffsrichtlinie für Benutzer1 auf “zulassen” gesetzt ist. | |
Hinweis: Endbenutzer können über workday.citrix.net oder “workday” auf die Workday-App zugreifen. | |||
Der Zugriff auf 192.0.2.1 wird verweigert, da keine App mit dieser IP-Adresse konfiguriert ist. | |||
3 | Der Administrator konfiguriert das DNS-Suffix als “citrix.net”, erstellt eine App mit der Platzhalterdomäne “*.citrix.net” und legt die Zugriffsrichtlinie für Benutzer1 auf “zulassen” fest. | Wenn Benutzer1 versucht, eine Verbindung zu “workday” herzustellen, wird “citrix.net” an das Suffix “workday” (workday.citrix.net) angehängt. Endbenutzer können auf Workday zugreifen, da eine Anwendung mit “*.citrix.net” konfiguriert ist und die Zugriffsrichtlinie für Benutzer1 auf “zulassen” gesetzt ist. | |
Hinweis: Endbenutzer können über workday.citrix.net oder “workday” auf Workday zugreifen. | |||
Der Zugriff auf 192.0.2.1 wird verweigert, da keine App mit dieser IP-Adresse konfiguriert ist. | |||
4 | Admin konfiguriert das DNS-Suffix als “citrix.net”. Für Benutzer1 mit FQDN (workday.citrix.net) oder 192.0.2.1 ist keine Anwendung konfiguriert. | Wenn Benutzer1 versucht, eine Verbindung zu “workday” herzustellen, wird “workday” vom Client mit “citrix.net” als Suffix versehen und “workday.citrix.net” in 192.0.2.1 aufgelöst. Benutzer1 kann jedoch keine Verbindung zum privaten Server (workday.citrix.net/192.0.2.1) herstellen, da keine App mit 192.0.2.1 oder workday.citrix.net oder *.citrix.net für Benutzer1 konfiguriert ist. | |
5 | Der Administrator konfiguriert das DNS-Suffix als “citrix.net”. Fügt eine App mit der IP-Adresse 192.0.2.1 hinzu und setzt die Zugriffsrichtlinie für Benutzer1 auf “Verweigern”. Fügt dann eine weitere App mit FQDN (workday.citrix.net) hinzu, die auf 192.0.2.1 auflöst und die Zugriffsrichtlinie für Benutzer1 auf “zulassen” setzt. | Wenn Benutzer1 versucht, eine Verbindung zu “workday” herzustellen, wird “citrix.net” an Workday (workday.citrix.net) angehängt und die IP-Adresse wird in 192.0.2.1 aufgelöst. Der Zugriff auf Workday wird jedoch verweigert, da die Richtlinie der mit IP 192.0.2.1 konfigurierten Anwendung Vorrang vor der mit FQDN konfigurierten App hat. |