October 20, 2021
Probleme bei der DNS‑Lösung
• Wenn das Gerät in den Ruhezustand geht oder längere Zeit inaktiv ist, kann es etwa 30—60 Sekunden dauern, bis das VPN wieder aufgenommen wird. Während dieser Zeit sehen Benutzer möglicherweise, dass einige DNS‑Anfragen fehlschlagen. DNS‑Anfragen werden nach kurzer Zeit automatisch aufgelöst.
Wenn DNS‑Abfragen nicht aufgelöst werden, ist es möglich, dass eine erweiterte Au‑
torisierungsrichtlinie den DNS‑Verkehr blockiert. Siehe https://support.citrix.com/article/
CTX232237, um dieses Problem zu beheben.
• Überprüfen Sie immer die DNS‑Auflösung von Browsern. DNS‑Abfragen, die dennslookupBe‑
fehl vom Terminal verwenden, sind möglicherweise nicht korrekt. Wenn Sie dennslookup Befehl verwenden müssen, müssen Sie die Client‑IP‑Adresse in den Befehl aufnehmen. Zum Beispielnslookup website_name 172.16.255.1.
EPA‑Probleme
• Gatekeeper wird als Antivirenprogramm betrachtet. Wenn es einen Scan gibt, der nach “An‑
tivirenprogrammen” sucht (MAC‑ANTIVIR_0_0), wird der Scan immer erfolgreich, auch wenn der Benutzer kein Antivirenprogramm von anderen Anbietern installiert hat.
Hinweis:
• Aktivieren Sie die Client‑Sicherheitsprotokolle, um Debug‑Protokolle für EPA zu Sie kön‑
nen die Client‑Sicherheitsprotokollierung aktivieren, indem Sie den VPN‑Parameter clientsecurityLogauf ON setzen.
• Die integrierte Patch‑Management‑Software von Apple ist “Software‑Update”. Es entspricht der App “App Store” auf dem Gerät. Die Version des “Software‑Updates” muss so sein
"MAC-PATCH_100011_100076_VERSION_==_3.0[COMMENT: Software Update]"
• Halten Sie die EPA‑Bibliotheken auf Citrix ADC immer auf dem neuesten Stand. Die neuesten BibliothekenfindenSieunterhttps://www.citrix.com/downloads/citrix‑gateway/epa‑libraries/
epa‑libraries‑for‑netscaler‑gateway.html
nFactor Probleme
• Die Citrix SSO‑App öffnet das Citrix SSO‑Authentifizierungsfenster für die nFactor‑
Authentifizierung. Es ähnelt einem Browser. Wenn auf dieser Seite Fehler auftreten, kann dies durch die Authentifizierung in einem Webbrowser überprüft werden.
• Wenn die Übertragungsanmeldung fehlschlägt, wenn nFactor aktiviert ist, ändern Sie das Portal‑Design auf “rfWebUI”.
• Wenn Sie die Fehlermeldung “Eine sichere Verbindung zu Citrix Gateway kann nicht hergestellt werden, da die Zertifikatskette keines der erforderlichen Zertifikate enthält. Bitte wenden Sie sich an Ihren Administrator” oder “Gateway nicht erreichbar”, dann ist entweder das Gateway‑
Serverzertifikat abgelaufen oder das Serverzertifikat ist mit aktiviertem SNI gebunden. Citrix SSO unterstützt SNI noch nicht. Binden Sie das Serverzertifikat ohne aktiviertes SNI. Der Fehler kann auch auf das im MDM‑VPN‑Profil konfigurierte Zertifikat‑Pinning und auf das von Citrix Gateway vorgelegte Zertifikat zurückzuführen sein, das nicht mit dem angeheftete Zertifikat übereinstimmt.
• Wenn Sie versuchen, eine Verbindung zum Gateway herzustellen, wenn dasCitrix SSO Auth‑
Fenster geöffnet wird, aber leer ist, prüfen Sie, ob die ECC‑Kurve (ALL) an die Standardchif‑
fergruppe gebunden ist. Die ECC‑Kurve (ALL) muss an die Standard‑Verschlüsselungsgruppe gebunden sein.
Überprüfung der Netzwerkzugriffssteuerung (NAC)
Die NAC‑Authentifizierungsrichtlinie wird nur bei der klassischen Authentifizierung unterstützt. Es
FAQ
October 20, 2021
In diesem Abschnitt werden die FAQ in der Citrix SSO‑App erfasst.
Wie unterscheidet sich die Citrix SSO‑App von der Citrix VPN‑App?
Citrix SSO ist der SSL‑VPN‑Client der nächsten Generation für Citrix ADC. Die App verwendet Apples Network Extension‑Framework, um VPN‑Verbindungen auf iOS‑ und macOS‑Geräten zu erstellen und zu verwalten. Citrix
VPN ist der ältere VPN‑Client, der Apples private VPN‑APIs verwendet, die jetzt veraltet sind. Die Un‑
terstützung für Citrix VPN wird in den kommenden Monaten aus dem App Store entfernt.
Was ist NE?
Das Network Extension (NE) ‑Framework von Apple ist eine moderne Bibliothek, die APIs enthält, mit denen die Kernnetzwerkfunktionen von iOS und macOS angepasst und erweitert werden können. Die Netzwerkerweiterung mit Unterstützung für SSL VPN ist auf Geräten mit iOS 9+ und macOS 10.11+
verfügbar.
Für welche Versionen von Citrix ADC ist das Citrix SSO kompatibel?
VPN‑Funktionen in Citrix SSO werden auf Citrix ADC Versionen 10.5 und höher unterstützt. Das TOTP ist auf Citrix ADC Version 12.0 und höher verfügbar. Push‑Benachrichtigung auf Citrix ADC wurde noch nicht öffentlich angekündigt. Die App benötigt Versionen iOS 9+ und macOS 10.11+.
Wie funktioniert die CERT‑basierte Authentifizierung für Nicht‑MDM‑Kunden?
Kunden, die zuvor Zertifikate per E‑Mail oder Browser verteilt haben, um die Clientzertifikatauthen‑
tifizierung in Citrix VPN durchzuführen, müssen diese Änderung bei der Verwendung von Citrix SSO beachten. Dies gilt
hauptsächlichfür Nicht‑MDM‑Kunden, die keinenMDM‑Server zurVerteilungvonBenutzerzertifikaten verwenden. Einzelheiten finden Sie unter “Importieren von Zertifikaten per E‑Mail in Citrix SSO”, um Zertifikate verteilen zu können.
Was ist Network Access Control (NAC)? Wie konfiguriere ich NAC mit Citrix SSO und Citrix Gate‑
way?
Microsoft Intune und Citrix Endpoint Management (ehemals XenMobile) MDM‑Kunden können die Funktion Network Access Control (NAC) in Citrix SSO nutzen. Mit NAC
können Administratoren ihr unternehmensinternes Netzwerk sichern, indem sie eine zusätzliche Au‑
thentifizierungsebene für mobile Geräte hinzufügen, die von einem MDM‑Server verwaltet werden.
Administratoren können zum Zeitpunkt der Authentifizierung in Citrix SSO eine Überprüfung der Gerätekonformität erzwingen.
Um NAC mit Citrix SSO zu verwenden, müssen Sie es sowohl auf dem Citrix Gateway als auch auf dem MDM‑Server aktivieren.
• Um NAC auf Citrix ADC zu aktivieren, verweisen Sie auf diesenLink.
• Wenn ein MDM‑Anbieter Intune ist, verweisen Sie auf diesenLink.
• Wenn ein MDM‑Anbieter Citrix Endpoint Management (ehemals XenMobile) ist, verweisen Sie auf diesenLink.
Hinweis:
Die unterstützte Mindestversion von Citrix SSO ist 1.1.6 und höher.