Citrix Secure Private Access

用于将 FQDN 解析为 IP 地址的 DNS 后缀

DNS 后缀是一种适用于所有最终用户的全局配置。Citrix Secure Private Access 服务的 DNS 后缀功能可用于以下用例:

  • 通过为后端服务器添加 DNS 后缀域,使 Citrix Secure Access 客户端能够将非完全限定域名(主机名)解析为完全限定域名 (FQDN)。
  • 允许管理员使用 IP 地址(IP CIDR/IP 范围)配置应用程序,以便最终用户可以使用 DNS 后缀域下相应的 FQDN 访问应用程序。

例如,在解析非完全限定域名“workday”时,如果配置了 DNS 后缀“citrix.net”,则操作系统会附加后缀“citrix.net”并解析为“workday.citrix.net”。

如果配置了多个 DNS 后缀,则按顺序解析 DNS 后缀。例如,假设添加了以下后缀:

  • ".citrix.net"
  • ".citrix.com"
  • ".xenserver.com"

当最终用户键入“workday”时,操作系统会尝试按以下顺序解析 FQDN。如果成功使用一个后缀,则跳过其余的后缀。

  1. workday.citrix.net
  2. workday.citrix.com
  3. workday.xenserver.com

重要:

  • DNS 后缀配置只能使客户端通过为使用 DNS 后缀功能配置的域添加后缀来解析不完全限定的域名。要使最终用户访问 DNS 后缀域下的 FQDN,管理员必须使用 IP 地址、FQDN 或通配符域配置应用程序。有关详细信息,请参阅用例示例中的第 4 点。

  • 如果配置了两个不同的应用程序,一个使用 FQDN,另一个使用 IP 地址,两者都对应同一个后端服务器,则具有 IP 地址的应用程序的策略优先级更高。有关详细信息,请参阅用例示例中的第 5 点。

必备条件

  • 客户必须有权使用 Secure Private Access Advanced 版才能使用 DNS 后缀功能。
  • 请联系 Citrix Product Management 团队以启用 DNS 后缀功能标志。

如何添加 DNS 后缀

  1. 在“Secure Private Access”磁贴上,单击“管理”。

  2. 在“Secure Private Access”登录页面上,单击“设置”, 然后单击 DNS 后缀

  3. DNS 后缀字段中,输入解析非完全限定名称时必须附加的后缀。

  4. 单击添加

后缀是根据添加顺序列出的。管理员可以删除或修改后缀。

DNS 后缀

示例用例

请注意以下事项:

  • 管理员已将 IP 地址 192.0.2.1 分配给客户网络中的一台计算机。
  • 计算机的 FQDN(IP 地址为 192.0.2.1)位于“citrix.net”域(例如,workday.citrix.net)。
DNS 后缀和应用程序配置 最终用户体验
  1 管理员将 DNS 后缀配置为“citrix.net”,并创建一个 IP 地址为 192.0.2.1 的应用程序,将 user1 的访问策略设置为“允许”。 当 user1 尝试连接到“workday”时,FQDN 的后缀是“citrix.net”(workday.citrix.net),IP 地址解析为 192.0.2.1。由于配置了应用程序的 user1 允许 192.0.2.1,因此授予访问权限。
注意: 最终用户可以使用 192.0.2.1、workday.citrix.net 或“workday”访问 Workday 应用程序。
如果不配置 DNS 后缀,则通过“workday”和“workday.citrix.net”进行访问将被拒绝。
  2 管理员将 DNS 后缀配置为“citrix.net”,使用 FQDN (workday.citrix.net) 创建应用程序,并将 user1 的访问策略设置为“允许”。 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是“workday”(workday.citrix.net)。最终用户可以访问 Workday,因为应用程序配置了“workday.citrix.net”,并且 user1 的访问策略设置为“允许”。
注意: 最终用户可以通过 workday.citrix.net 或“workday”访问 Workday 应用程序。
对 192.0.2.1 的访问被拒绝,因为没有使用此 IP 地址配置任何应用程序。
  3 管理员将 DNS 后缀配置为“citrix.net”,使用通配符域“*.citrix.net”创建应用程序,并将 user1 的访问策略设置为“允许”。 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是“workday”(workday.citrix.net)。最终用户可以访问 Workday,因为应用程序配置了“*.citrix.net”,并且 user1 的访问策略设置为“允许”。
注意: 最终用户可以使用 workday.citrix.net 或“workday”访问 Workday。
对 192.0.2.1 的访问被拒绝,因为没有使用此 IP 地址配置任何应用程序。
  4 管理员将 DNS 后缀配置为“citrix.net”。没有为使用 FQDN (workday.citrix.net) 或 192.0.2.1 的 user1 配置任何应用程序。 当 user1 尝试连接到“workday”时,客户端将“workday”后缀为“citrix.net”,并将“workday.citrix.net”解析为 192.0.2.1。但是,user1 无法连接到专用服务器 (workday.citrix.net/192.0.2.1),因为没有为 user1 配置了 192.0.2.1、workday.citrix.net 或 *. citrix.net 的应用程序。
  5 管理员将 DNS 后缀配置为“citrix.net”。添加 IP 地址为 192.0.2.1 的应用程序,并将 user1 的访问策略设置为“拒绝”。然后添加另一个具有解析为 192.0.2.1 的 FQDN (workday.citrix.net) 的应用程序,并将 user1 的访问策略设置为“允许”。 当 user1 尝试连接到“workday”时,“citrix.net”的后缀是 Workday (workday.citrix.net),IP 地址解析为 192.0.2.1。但是,由于配置了 IP 192.0.2.1 的应用程序的策略优先于使用 FQDN 配置的应用程序,因此对 Workday 的访问被拒绝。
用于将 FQDN 解析为 IP 地址的 DNS 后缀