Konfigurieren von Citrix ADC für Storage Zones Controller

NetScaler, Version 10.1, Build 120.1316.e und höher, enthält einen Assistenten, der Sie zur Eingabe grundlegender Informationen über die Controller Umgebung für Storage Zones auffordert. Dann generiert es eine Konfiguration, die:

  • Lastverteilung des Datenverkehrs über StorageZones Controller hinweg
  • Bietet Benutzerauthentifizierung für StorageZone Connector
  • Validiert URI-Signaturen für ShareFile-Uploads und -Downloads
  • Beendet SSL-Verbindungen an der Citrix ADC-Appliance

Das Diagramm zeigt die folgenden Citrix ADC Komponenten, die von der Konfiguration erstellt wurden:

  • Citrix ADC Content Switching Virtual Server — Sendet Benutzeranforderungen für Daten von ShareFile und von StorageZone Connector an den entsprechenden virtuellen Citrix ADC Load Balancing Server.
  • Citrix ADC Load Balancing Virtual Server — Lastverteilung des Datenverkehrs für Ihre Storage Zones Controller und verarbeitet außerdem Folgendes:
    • Bei Datenanforderungen aus Ihrem privaten Datenspeicher führt ein virtueller Lastausgleichsserver eine Hash-Validierung durch, um sicherzustellen, dass gültige URI-Signaturen bei eingehenden Anforderungen vorhanden sind.

    • Bei Anforderungen von Daten von StorageZone Connector führt ein virtueller Lastausgleichsserver die Benutzerauthentifizierung durch. Es stoppt eine Benutzeranforderung am Citrix ADC, authentifiziert den Benutzer und führt dann eine einmalige Anmeldung des Benutzers beim StorageZones Controller durch.

    Obwohl die Authentifizierung für Citrix ADC optional ist, ist dies eine empfehlenswerte Vorgehensweise.

Ab Storage Zones Controller 4.0 können Administratoren eingehende Verbindungen zu den Storage Zones Controllern auf TLS v1.2 beschränken. Wenn Protokolle vor TLS 1.2 für eingehenden Datenverkehr zum SpeicherzonenController deaktiviert sind, müssen alle Clientsoftwarekomponenten, die mit der Speicherzone interagieren, auch TLS v1.2 unterstützen. Klicken Sie hier für weitere Informationen und Konfigurationsanweisungen.

Hinweis:

Informationen zum Einrichten von NetScaler Versionen vor 10.1 Build 120.1316.e finden Sie unter Citrix ADC manuell konfigurieren.

Der Setup-Assistent von Citrix ADC für ShareFile verarbeitet nicht die Konfiguration, die erforderlich ist, um Citrix Endpoint Management als SAML-Identitätsanbieter für ShareFile zu verwenden. Für weitere Informationen,klicken Sie hier.

Voraussetzungen

  • Eine funktionierende Citrix ADC Konfiguration
  • Sicherheitszertifikat: Wenn ein Zertifikat in Citrix ADC noch nicht verfügbar ist, können Sie mit dem Assistenten eines auf dem virtuellen Server zum Wechseln von Inhalten installieren.
  • Informationen zur Active Directory Konfiguration (Der Citrix ADC for ShareFile e-Assistent muss mit der Citrix NetScaler Enterprise Edition-Lizenz abgeschlossen sein):
    • IP-Adresse und Port des Active Directory -Servers
    • Active Directory Domänenname
    • LDAP-Basis-DN, in dem Benutzer gespeichert sind
    • Kontoname und Kennwort für ein Administratorkonto mit Berechtigungen für die Kommunikation mit Active Directory

Konfigurieren von Citrix ADC für Storage Zones Controller

In den folgenden Schritten wird beschrieben, wie Sie den Citrix ADC for ShareFile Assistenten verwenden.

  1. Melden Sie sich bei der Citrix ADC Appliance an, und navigieren Sie auf der Registerkarte Konfiguration zu Traffic Management.

  2. Klicken Sie unter Citrix ShareFile auf Citrix ADC für ShareFile einrichten.

    Sie können den Assistenten auch wie folgt aufrufen: Klicken Sie unter Mobilität auf Endpoint Management konfigurieren, ShareFile und Citrix Gateway.

  3. Geben Sie die im Assistenten angeforderten Informationen an.

Option Beschreibung
Name Ein Anzeigename für den virtuellen Server zum Wechseln von Inhalten.
IP-Adresse Die externe (öffentliche oder DMZ) IP-Adresse, die für den Content Switching Virtual Server verwendet werden soll. Wenn Sie eine DMZ-IP-Adresse verwenden, müssen Sie eine Netzwerkadressübersetzung (Network Address Translation, NAT) -Zuordnung von Ihrer externen Firewall-Adresse zu dieser DMZ-IP-Adresse definieren.
ShareFile Daten Diese Option ist aktiviert und zeigt an, dass Sie die Citrix ADC Verbindung für Speicherzonen für ShareFile Daten verwenden.
StorageZone Connector für Netzwerkdateifreigabe/SharePoint Wenn Sie Connectors verwenden und die Benutzerauthentifizierung am Citrix ADC durchführen möchten, aktivieren Sie das Kontrollkästchen.
Zertifikat Wählen Sie ein Zertifikat aus, oder installieren Sie eines für den virtuellen Content Switching-Server. Wenn Sie ein Zertifikat installieren möchten, werden Sie aufgefordert, das Zertifikat und den privaten Schlüssel hochzuladen. Für Standardzonen oder für eingeschränkte Zonen mit einem externen Hostnamen müssen Zertifikate öffentlich vertrauenswürdig und nicht selbstsigniert sein.
IP-Adresse des StorageZones Controller Die internen IP-Adressen für einen oder mehrere Speicherzonen Controller -Server. Diese IP-Adressen definieren die Storage Zones Controller -Server als Entitäten innerhalb von Citrix ADC. Wenn Sie die Server bereits zu Citrix ADC hinzugefügt haben, klicken Sie auf Aus vorhandenem hinzufügen, und wählen Sie die Server aus. Um Citrix ADC für den Lastenausgleich zu verwenden, geben Sie für jeden StorageZones Controller server eine interne IP-Adresse ein. Um Citrix ADC nur für SSL und Authentifizierung zu verwenden, geben Sie nur eine IP-Adresse ein.
Port und Protokoll Der Port und das Protokoll, das für die Kommunikation vom Citrix ADC zu StorageZones Controllern verwendet wird.
Die IP-Adresse des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung (Citrix ADC AAA) Eine nicht verwendete interne IP-Adresse für den virtuellen Citrix ADC AAA-Server. Citrix ADC erstellt diesen virtuellen Server für seine eigene Verwendung. Der Server benötigt keinen externen Zugriff.
IP-Adresse und Port des LDAP-Servers Die IP-Adresse und der Port des Active Directory -Servers. Wenn Sie Citrix ADC bereits einen LDAP-Server hinzugefügt haben, klicken Sie auf die Registerkarte LDAP auswählen, und wählen Sie den Server aus.
Auszeit Die maximale Anzahl von Sekunden, die der Citrix ADC auf eine Antwort vom LDAP-Server wartet. Standardmäßig 3 Sekunden. Der Mindestwert beträgt 1 Sekunde.
Single Sign-On-Domäne Der Active Directory Domänenname.
Basis-DN (Standort der Benutzer) Der LDAP Base Distinguished Name (DN), in dem Benutzer gespeichert sind. Geben Sie den DN in der allgemeinen Form an: CN=Benutzer, dc=domain, dc=net
Administrator binden DN und Kennwort Ein Administratorkonto, das über Berechtigungen zur Kommunikation mit Active Directory verfügt.
Anmeldename Ein LDAP-Attribut, das von Citrix ADC verwendet wird, um festzustellen, ob sich Benutzer mit ihrem Benutzernamen oder ihrer E-Mail-Adresse anmelden. Standardmäßig ist SAMAccountName, der es Benutzern ermöglicht, sich mit ihren Benutzernamen anzumelden. Wenn Benutzer ihre E-Mail-Adresse eingeben müssen, um sich anzumelden, ändern Sie dieses Feld in UserPrincipalName.

Konfigurieren von Citrix ADC für eingeschränkte Zonen oder Webzugriff auf Connectors

Um eingeschränkte Zonen oder den Webzugriff auf StorageZone Connector zu unterstützen, müssen Sie zusätzliche Citrix ADC Konfiguration durchführen, nachdem Sie den Citrix ADC for ShareFile Assistenten abgeschlossen haben.

  • Erstellen und konfigurieren Sie einen dritten virtuellen Citrix ADC Lastenausgleichsserver, der verwendet wird, um sicherzustellen, dass ShareFile Clients Anmeldeinformationen nur senden, wenn sie bei einer vertrauenswürdigen ShareFile-Domäne angemeldet sind.

    Der StorageZones Controller verwendet den CORS-Standard (Cross-Origin Resource Sharing), um die erforderliche Sicherheit für Anforderungen an eingeschränkte Zonen und von der ShareFile e-Weboberfläche bis hin zu StorageZone Connector bereitzustellen. CORS verwendet HTTP-Header, um dem Client und dem Server zu ermöglichen, genug über einander zu wissen, um festzustellen, ob eine Anforderung oder Antwort erfolgreich sein soll.

    Wie in den folgenden Schritten beschrieben, konfigurieren Sie den zusätzlichen virtuellen Server so, dass der anonyme Zugriff von Clients für das HTTP OPTIONS-Verb gewährt wird. Die OPTIONS-Anforderung wird an den StorageZones Controller ohne Authentifizierung und ohne HTTPS-Callouts weitergeleitet, um die Signatur zu validieren. Die CORS Preflight-Prüfung überprüft die Domänenvertrauensstellung, bevor Anmeldeinformationen gesendet werden.

    Ein Verständnis von CORS ist nicht erforderlich, um die Konfiguration durchzuführen. Weitere Informationen zu CORS finden Sie jedoch unterhttp://enable-cors.org/.

    Die Verwendung von Internet Explorer für den Webzugriff auf Connectors in eingeschränkten Zonen erfordert die Konfiguration von Internet Explorer.

  • Um den Webzugriff auf StorageZone Connector zu unterstützen, fügen Sie der Inhaltswechselrichtlinie, die für den Datenverkehr zu /cifs und /spverwendet wird, einen Pfad (/ProxyService) hinzu.

Führen Sie die folgenden Schritte in Citrix ADC aus, nachdem Sie den Assistenten für Citrix ADC für ShareFile abgeschlossen haben.

  1. Erstellen Sie einen dritten virtuellen Lastenausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.

    2. Klicken Sie auf Hinzufügen.

    3. Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, z. B. SF_ZONE_OPTIONS
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    4. Klicken Sie durch, um den virtuellen Server zu erstellen.

    5. Um dieselben Dienste wie die vom Assistenten erstellten virtuellen Lastenausgleichsserver zu binden: Klicken Sie im Fenster „Virtueller Lastenausgleichsserver“ gegenüber von Dienst auf >, und klicken Sie dann auf Speichern.

    6. Fügen Sie dem virtuellen Server ein Zertifikat hinzu.

  2. Erstellen Sie eine Richtlinie für den virtuellen Server, den Sie gerade hinzugefügt haben:
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Klicken Sie im Detailbereich auf Hinzufügen, und geben Sie dann die Werte Name, virtueller Ziel-LB Server und Ausdruck an. Klicken Sie auf Ausdruckseditor , und erstellen Sie diesen Ausdruck. Wählen Sie HTTP. Wählen Sie REQ. Wählen Sie Methodeaus. Wählen Sie EQ (String) und geben Sie OPTIONS ein. Der Ausdruck sollte wie folgt lauten:HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Klicken Sie auf Fertig.

    4. Klicken Sie auf Erstellen.

  3. Binden Sie die gerade erstellte Richtlinie an den neuen virtuellen Lastenausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.

    2. Klicken Sie in der Liste auf den virtuellen Server und dann auf Bearbeiten.

    3. Navigieren Sie zum Abschnitt der Inhaltswechselrichtlinienbindung, und klicken Sie auf 2 Inhaltswechselrichtlinien.

    4. Klicken Sie auf Bindung hinzufügen.

    5. Wählen Sie die neue Inhaltsrichtlinie aus, und wählen Sie den virtuellen Ziel-Lastausgleichsserver aus.

    6. Klicken Sie auf Binden.

    7. Klicken Sie auf Bindung bearbeiten , und aktualisieren Sie die Priorität . Ändern Sie die Priorität der neuen Richtlinie so, dass sie die niedrigste Anzahl der drei Richtlinien hat.

      Die Richtlinie mit dem niedrigsten Wert hat die höchste Priorität und wird daher zuerst behandelt.

  4. Aktualisieren Sie die Richtlinie für den Datenverkehr zu StorageZone Connector (_SF_CIF_SP_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die _SF_CIF_SP_CSPOL-Richtlinie aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. Aktualisieren Sie die Richtlinie, die für den Datenverkehr zu Speicherzonen für ShareFile e-Daten (_SF_SZ_CSPOL) verwendet wird:
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die _SF_SZ_CSPOL-Richtlinie aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

Konfigurieren von Citrix ADC für die reine View-Sharing

Um die Nur-Sharing zu unterstützen, müssen Benutzer auf Ihren Microsoft Office Web Apps Server (OWA) zugreifen können. Wenn der OWA-Server extern über seine eigene Adresse zugänglich ist, sollte keine zusätzliche Citrix ADC Konfiguration für den Storage Zones Controller erforderlich sein.

Wenn Sie den Storage Zones Controller und Office Web App Server mithilfe von Citrix ADC Inhaltswechselrichtlinien mit einer einzigen externen Adresse kombinieren möchten, müssen Sie nach Abschluss des Citrix ADC-Assistenten zusätzliche Citrix ADC-Konfiguration ausführen. Die Citrix ADC Konfiguration ist erforderlich, um sicherzustellen, dass der Datenverkehr ordnungsgemäß an den extern zugänglichen OWA-Server weitergeleitet wird.

Sobald die folgenden Citrix ADC Regeln konfiguriert sind, können Administratoren die vorhandene externe Adresse ihrer StorageZones Controller Zone wiederverwenden, sodass keine zusätzliche externe Adresse für OWA erstellt werden muss.

So erstellen und konfigurieren Sie einen zusätzlichen virtuellen Citrix ADC Lastenausgleichsserver:

  1. Erstellen Sie einen zusätzlichen Lastenausgleichsdienst.
    • Navigieren Sie zu Traffic Management > Load Balancing > Services.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die erforderlichen Informationen ein, um einen Dienst zu erstellen, der Ihren OWA-Servern entspricht. Klicken Sie auf OK.
  2. Erstellen Sie einen zusätzlichen virtuellen Lastenausgleichsserver:
    • Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, z. B. SF_OWA_vServer
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    • Klicken Sie durch, um den virtuellen Server zu erstellen.
    • Um den virtuellen Server an den OWA-Dienst zu binden, den Sie im vorherigen Schritt erstellt haben, klicken Sie auf Load Balancing Virtual Service Binding > Service auswählen. Aktivieren Sie das Kontrollkästchen neben dem Dienst, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Auswählen.
    • Klicken Sie auf Binden.
  3. Erstellen Sie eine neue Richtlinie, die verwendet wird, um Datenverkehr an Ihren OWA-Server weiterzuleiten.
    • Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.
    • Wählen Sie Hinzufügen.
    • Benennen Sie die Richtlinie.
    • Fügen Sie den folgenden Ausdruck hinzu:
      • HTTP.REQ.URL.CONTAINS („/hosting/discovery“) || HTTP.REQ.URL.CONTAINS („/x/“) || HTTP.REQ.URL.CONTAINS („/wv/“) || HTTP.REQ.URL.CONTAINS („/p/“)

        Der vollständige Richtlinienausdruck sollte wie folgt lauten:

        HTTP.REQ.URL.CONTAINS („/hosting/discovery“) || HTTP.REQ.URL.CONTAINS („/x/“) || HTTP.REQ.URL.CONTAINS („/wv/“) || HTTP.REQ.URL.CONTAINS („/p/“)

  4. Aktualisieren der Priorität der neuen Richtlinie innerhalb des virtuellen Lastenausgleichs
    • Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.
    • Klicken Sie auf den virtuellen Server für Lastenausgleich, und wählen Sie dann Inhaltswechselrichtlinien aus.
    • Ändern Sie die Priorität der Richtlinien, sodass die Richtlinie (Beispiel) „_SF_OWA“ an dritter Stelle steht.

      Priorität Richtlinienname
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Klicken Sie auf Schließen. Klicken Sie auf Fertig.

Erstellen eines Monitors für den Storage Zones Controller Service

Standardmäßig pingt Citrix ADC den Storage Zones Controller server an, um festzustellen, ob er online ist. Selbst wenn der Controller online ist, kann er möglicherweise keine Heartbeat-Nachrichten an die ShareFile e-Website senden. In diesem Fall sendet Citrix ADC Datenverkehr an den StorageZones Controller, obwohl es nicht mit ShareFile kommuniziert.

Um die ausgehende Konnektivität des StorageZones Controller mit ShareFile zu überprüfen, können Sie einen Monitor erstellen, der heartbeat.aspx prüft und ihn für jeden StorageZones Controller an den Citrix ADC Dienst bindet.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_SVC ist der Citrix ADC Dienst, der einem Storage Zones Controller entspricht. Dieser Dienstname wird automatisch vom Citrix ADC for ShareFile Assistenten erstellt. Der Dienstname enthält die IP-Adresse des Controller, z. B. _SF_SVC_IP-Adresse.

-secure YES ist erforderlich, wenn der Dienst auf Port 443 abhört.

Überprüfen der Citrix ADC Konfiguration

Nachdem Sie den Assistenten abgeschlossen haben, gehen Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server , um den Status der vom Assistenten erstellten virtuellen Lastausgleichsserver anzuzeigen.

Anzeigen des Durchsatzes von ShareFile Anforderungen über Citrix ADC

Durchsatzstatistiken finden Sie im Dashboard-Menü .