Storage zones controller

Konfigurieren von Citrix ADC für Speicherzonencontroller

NetScaler, Version 10.1 Build 120.1316.e und höher, enthält einen Assistenten, der Sie zur Eingabe grundlegender Informationen zu Ihrer StorageZone Controller-Umgebung auffordert. Dann generiert es eine Konfiguration, die:

  • Load gleicht den Datenverkehr über StorageZones Controller aus
  • Bietet Benutzerauthentifizierung für Speicherzonen-Connectors
  • Validiert URI-Signaturen für ShareFile-Uploads und -Downloads
  • Beendet SSL-Verbindungen auf der Citrix ADC Appliance

Das Diagramm zeigt diese Citrix ADC-Komponenten, die von der Konfiguration erstellt wurden:

  • Citrix ADC virtueller Content Switching-Server — Sendet Benutzeranforderungen für Daten von ShareFile und von StorageZone Connector an den entsprechenden virtuellen Citrix ADC Load Balancing Server.
  • Virtueller Citrix ADC Load Balancing Server - Load gleicht den Datenverkehr für Ihre StorageZone Controller aus und verarbeitet außerdem Folgendes:
    • Für Datenanfragen aus Ihrem privaten Datenspeicher führt ein virtueller Lastausgleichsserver eine Hash-Validierung durch, um sicherzustellen, dass bei eingehenden Anforderungen gültige URI-Signaturen vorhanden sind.

    • Für Datenanfragen von Speicherzonen-Connectors kann ein virtueller Lastausgleichsserver eine Benutzerauthentifizierung durchführen. Es stoppt eine Benutzeranforderung am Citrix ADC, authentifiziert den Benutzer und führt dann Single Sign-On des Benutzers am StorageZone Controller durch.

    Hinweis:

    Die Authentifizierung bei Speicherzonen-Connectors über Citrix ADC ist optional. Aufgrund eines bekannten Problems funktionieren Speicherzonen-Connectors in WebApp nicht in Chrome-, Chromium-, Safari- und Edge-Browsern, wenn die Authentifizierung in Citrix ADC aktiviert ist. Es ist mit anderen Browsern und Desktop-/Mobile-Clients kompatibel.

Ab StorageZone Controller 4.0 können Administratoren eingehende Verbindungen zu den StorageZone Controllern auf TLS v1.2 beschränken. Wenn Protokolle vor TLS v1.2 für eingehenden Datenverkehr zum Speicherzonencontroller deaktiviert sind, müssen alle Client-Softwarekomponenten, die mit der Speicherzone interagieren, auch TLS v1.2 unterstützen. Klicken Sie hier für zusätzliche Informationen und Konfigurationsanweisungen.

Hinweis:

Informationen zum Einrichten von NetScaler-Versionen vor 10.1 Build 120.1316.e finden Sie unter Manuelles Konfigurieren von Citrix ADC.

Das Einrichten des Citrix ADC für ShareFile-Assistenten verarbeitet nicht die Konfiguration, die für die Verwendung von Citrix Endpoint Management als SAML-Identitätsanbieter für ShareFile erforderlich ist. Für weitere Informationen klicken Sie hier.

Voraussetzungen

  • Eine funktionierende Citrix ADC-Konfiguration
  • Sicherheitszertifikat: Wenn noch keines in Citrix ADC verfügbar ist, können Sie mit dem Assistenten eines auf dem virtuellen Content Switching-Server installieren.
  • Informationen zu Ihrer Active Directory-Konfiguration (Der Citrix ADC for ShareFile-Assistent muss mit der Citrix NetScaler Enterprise Edition-Lizenz abgeschlossen werden):
    • IP-Adresse und Port Ihres Active Directory-Servers
    • Active Directory-Domainname
    • LDAP Basis-DN, in dem Benutzer gespeichert sind
    • Kontoname und Kennwort für ein Administratorkonto, das über Berechtigungen zur Kommunikation mit Active Directory verfügt

Konfigurieren von Citrix ADC für Speicherzonen-Controller

In den folgenden Schritten wird beschrieben, wie Sie den Citrix ADC für ShareFile-Assistenten verwenden.

  1. Melden Sie sich bei der Citrix ADC Appliance an und navigieren Sie auf der Registerkarte Konfiguration zu Traffic Management.

  2. Klicken Sie unter Citrix ShareFile auf Citrix ADC for ShareFile einrichten.

    Sie können den Assistenten auch wie folgt aufrufen: Klicken Sie unter Mobility auf Configure Endpoint Management, ShareFile und Citrix Gateway.

  3. Geben Sie die im Assistenten angeforderten Informationen ein.

Option Beschreibung
Name Ein Anzeigename für den virtuellen Content Switching-Server.
IP-Adresse Die externe (öffentliche oder DMZ) IP-Adresse, die für den virtuellen Content Switching-Server verwendet werden soll. Wenn Sie eine DMZ-IP-Adresse verwenden, müssen Sie eine Network Address Translation (NAT) -Zuordnung von Ihrer externen Firewall-Adresse zu dieser DMZ-IP-Adresse definieren.
ShareFile-Daten Diese Option ist aktiviert und gibt an, dass Sie die Citrix ADC-Verbindung für Speicherzonen für ShareFile-Daten verwenden werden.
Speicherzonen-Konnektoren für Netzwerkdateifreigabe/SharePoint Wenn Sie Connectors verwenden und die Benutzerauthentifizierung am Citrix ADC durchführen möchten, aktivieren Sie das Kontrollkästchen.
Zertifikat Wählen Sie ein Zertifikat oder installieren Sie eines für den virtuellen Content Switching-Server. Wenn Sie ein Zertifikat installieren möchten, werden Sie aufgefordert, das Zertifikat und den privaten Schlüssel hochzuladen. Für Standardzonen müssen Zertifikate öffentlich vertrauenswürdig und nicht selbstsigniert sein.
IP-Adresse des Speicherzonen-Controllers Die internen IP-Adressen für einen oder mehrere StorageZone Controller-Server. Diese IP-Adressen definieren die StorageZone Controller-Server als Entitäten innerhalb von Citrix ADC. Wenn Sie die Server bereits zu Citrix ADC hinzugefügt haben, klicken Sie auf Aus vorhandenem hinzufügen und wählen Sie die Server aus. Um Citrix ADC für den Lastenausgleich zu verwenden, geben Sie eine interne IP-Adresse für jeden StorageZone Controller-Server ein. Um Citrix ADC nur für SSL und Authentifizierung zu verwenden, geben Sie nur eine IP-Adresse ein.
Port und Protokoll Der Port und das Protokoll, die für die Kommunikation vom Citrix ADC zu Speicherzonen-Controllern verwendet werden.
Die IP-Adresse des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung (Citrix ADC AAA) Eine ungenutzte interne IP-Adresse für den virtuellen Citrix ADC AAA-Server. Citrix ADC erstellt diesen virtuellen Server für den eigenen Gebrauch. Der Server benötigt keinen Zugriff von außen.
IP-Adresse und Port des LDAP-Servers Die IP-Adresse und der Port Ihres Active Directory-Servers. Wenn Sie Citrix ADC bereits einen LDAP-Server hinzugefügt haben, klicken Sie auf die Registerkarte LDAP auswählen und wählen Sie den Server aus.
Auszeit Die maximale Anzahl von Sekunden, die der Citrix ADC auf eine Antwort vom LDAP-Server wartet. Der Standardwert ist 3 Sekunden. Der Mindestwert beträgt 1 Sekunde.
Domäne für einmaliges Anmelden Der Active Directory-Domainname.
Basis-DN (Standort der Benutzer) Der LDAP Base Distinguished Name (DN), in dem Benutzer gespeichert sind. Geben Sie den DN mit dem allgemeinen Formular an: cn=Users, dc=domain, DC=Net
Administrator Bind DN und Kennwort Ein Administratorkonto, das über Berechtigungen zur Kommunikation mit Active Directory verfügt.
Anmeldename Ein LDAP-Attribut, das von Citrix ADC verwendet wird, um zu bestimmen, ob sich Benutzer mit ihrem Benutzernamen oder ihrer E-Mail-Adresse anmelden. Standardmäßig ist sAMAccountName, sodass sich Benutzer mit ihren Benutzernamen anmelden können. Um Benutzer aufzufordern, ihre E-Mail-Adresse für die Anmeldung einzugeben, ändern Sie dieses Feld in userPrincipalName.

Konfigurieren von Citrix ADC für den Webzugriff auf Connectors

Um den Webzugriff auf Speicherzonen-Connectors zu unterstützen, müssen Sie eine zusätzliche Citrix ADC-Konfiguration durchführen, nachdem Sie den Citrix ADC für ShareFile-Assistenten abgeschlossen haben.

  • Erstellen und Konfigurieren eines dritten virtuellen Citrix ADC Load Balancing-Servers, mit dem sichergestellt wird, dass ShareFile-Clients Anmeldeinformationen nur senden, wenn sie an einer vertrauenswürdigen ShareFile-Domäne angemeldet sind.

    Wie in den folgenden Schritten beschrieben, konfigurieren Sie den zusätzlichen virtuellen Server so, dass er anonymen Zugriff von Clients auf das Verb HTTP OPTIONS ermöglicht. Die OPTIONS-Anforderung wird an den Speicherzonen-Controller weitergeleitet, ohne authentifiziert zu werden und ohne HTTPS-Callouts, um die Signatur zu validieren. Die CORS-Preflight-Prüfung überprüft das Domänenvertrauen vor dem Senden von Anmeldeinformationen.

    Für die Konfiguration ist kein Verständnis von CORS erforderlich. Weitere Informationen zu CORS finden Sie jedoch unter http://enable-cors.org/.

  • Um den Webzugriff auf StorageZone Connector zu unterstützen, fügen Sie der Content Switching-Richtlinie, die für den Datenverkehr zu /cifs und /sp verwendet wird, einen Pfad (/ProxyService) hinzu.

Führen Sie die folgenden Schritte in Citrix ADC aus, nachdem Sie den Citrix ADC für ShareFile-Assistenten abgeschlossen haben.

  1. Erstellen Sie einen dritten virtuellen Lastausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.

    2. Klicken Sie auf Hinzufügen.

    3. Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname wie SF_ZONE_OPTIONS
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    4. Klicken Sie sich durch, um den virtuellen Server zu erstellen.

    5. Um dieselben Dienste an ihn zu binden wie die virtuellen Lastausgleichsserver, die vom Assistenten erstellt wurden: Klicken Sie im Fenster Load Balancing Virtual Server neben Dienst auf > und dann auf Speichern.

    6. Fügen Sie dem virtuellen Server ein Zertifikat hinzu.

  2. Erstellen Sie eine Richtlinie für den virtuellen Server, den Sie gerade hinzugefügt haben:
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Klicken Sie im Detailbereich auf Hinzufügen, und geben Sie dann die Werte für Name, virtuellen Ziel-LB-Server und Ausdruck an. Klicken Sie auf Ausdruckseditor und erstellen Sie dann diesen Ausdruck Wählen Sie HTTP. Wählen Sie REQ. Wählen Sie METHODE. Wählen Sie EQ (String) und geben Sie OPTIONS ein. Der Ausdruck sollte wie folgt lauten: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Klicken Sie auf Fertig.

    4. Klicken Sie auf Erstellen.

  3. Binden Sie die soeben erstellte Richtlinie an den neuen virtuellen Lastausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.

    2. Klicken Sie in der Liste auf den virtuellen Server und dann auf Bearbeiten.

    3. Navigieren Sie zum Abschnitt Content Switching-Richtlinienbindung, und klicken Sie auf 2 Content Switching-Richtlinien.

    4. Klicken Sie auf Bindung hinzufügen.

    5. Wählen Sie die neue Inhaltsrichtlinie und wählen Sie den virtuellen Ziel-Lastausgleichsserver aus.

    6. Klicken Sie auf Bind.

    7. Klicken Sie auf Bindung bearbeiten und aktualisieren Sie die Priorität. Ändern Sie die Priorität der neuen Richtlinie so, dass sie die niedrigste Anzahl der drei Richtlinien hat.

      Die Richtlinie mit dem niedrigsten Wert hat die höchste Priorität und wird daher zuerst behandelt.

  4. Aktualisieren Sie die Richtlinie für den Datenverkehr zu den Speicherzonen-Connectors (_SF_CIF_SP_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die Richtlinie _SF_CIF_SP_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      
  5. Aktualisieren Sie die Richtlinie, die für den Datenverkehr zu Speicherzonen für ShareFile-Daten verwendet wird (_SF_SZ_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die Richtlinie _SF_SZ_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

Konfigurieren von Citrix ADC für die Freigabe mit Leserechten

Um die Freigabe mit Leserechten zu unterstützen, müssen Benutzer auf Ihren Microsoft Office Web Apps Server (OWA) zugreifen können. Wenn Ihr OWA-Server unter seiner eigenen Adresse extern zugänglich ist, sollte keine zusätzliche Citrix ADC-Konfiguration für Ihren StorageZone Controller erforderlich sein.

Wenn Sie den StorageZone Controller und Office Web App Server mithilfe von Citrix ADC Content Switching-Richtlinien in einer einzigen externen Adresse kombinieren möchten, müssen Sie nach Abschluss des Citrix ADC for ShareFile Assistenten eine zusätzliche Citrix ADC-Konfiguration durchführen. Die Citrix ADC-Konfiguration ist erforderlich, um sicherzustellen, dass der Datenverkehr ordnungsgemäß an Ihren extern zugänglichen OWA-Server weitergeleitet wird.

Sobald die folgenden Citrix ADC-Regeln konfiguriert sind, können Administratoren die vorhandene externe Adresse ihrer StorageZone Controller-Zone wiederverwenden, sodass keine zusätzliche externe Adresse für OWA erstellt werden muss.

So erstellen und konfigurieren Sie einen zusätzlichen virtuellen Citrix ADC Load Balancing-Server:

  1. Erstellen Sie einen zusätzlichen Lastausgleichsdienst.
    • Navigieren Sie zu Traffic Management > Load Balancing > Services.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die erforderlichen Informationen ein, um einen Dienst zu erstellen, der Ihren OWA-Servern entspricht. Klicken Sie auf OK.
  2. Erstellen Sie einen zusätzlichen virtuellen Lastausgleichsserver:
    • Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname wie sf_OWA_vServer
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    • Klicken Sie sich durch, um den virtuellen Server zu erstellen.
    • Um den virtuellen Server an den OWA-Dienst zu binden, den Sie im vorherigen Schritt erstellt haben, klicken Sie auf Load Balancing Virtual Service Binding > Dienst auswählen. Klicken Sie auf das Kontrollkästchen neben dem Dienst, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Select.
    • Klicken Sie auf Bind.
  3. Erstellen Sie eine neue Richtlinie, mit der der Datenverkehr an Ihren OWA-Server weitergeleitet wird.
    • Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.
    • Wählen Sie Hinzufügenaus.
    • Nennen Sie die Richtlinie.
    • Füge den folgenden Ausdruck hinzu:
      • HTTP.REQ.URL.CONTAINS (“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS (“/x/”) || HTTP.REQ.URL.CONTAINS (“/wv/”) || HTTP.REQ.URL.CONTAINS (“/p/”)

        Der vollständige Richtlinienausdruck sollte wie folgt lauten:

        HTTP: //REQ.URL.CONTAINS (“/hosting/discovery”) || HTTP: //REQ.URL.CONTAINS ("/x/") || HTTP.REQ.URL.CONTAINS (“/wv/”) || HTTP.REQ.URL.CONTAINS (“/p/”)

  4. Aktualisieren Sie die Priorität der neuen Richtlinie innerhalb des virtuellen Lastausgleichs
    • Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.
    • Klicken Sie auf den virtuellen Server für den Lastausgleich, und wählen Sie dann Content Switching-Richtlinien aus.
    • Ändern Sie die Priorität der Richtlinien so, dass die (Beispiel) “_SF_OWA” -Richtlinie an dritter Stelle steht.

      Priorität Name der Richtlinie
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Klicken Sie auf Schließen. Klicken Sie auf Fertig

Erstellen eines Monitors für den StorageZone Controller-

Standardmäßig pingt Citrix ADC den StorageZone Controller-Server an, um festzustellen, ob er online ist. Selbst wenn der Controller online ist, kann er möglicherweise keine Heartbeat-Nachrichten an die ShareFile-Website senden. In diesem Fall sendet Citrix ADC Datenverkehr an den StorageZone Controller, obwohl es nicht mit ShareFile kommuniziert.

Um die ausgehende Konnektivität des StorageZone Controllers mit ShareFile zu überprüfen, können Sie einen Monitor erstellen, der heartbeat.aspx überprüft und sie für jeden StorageZone Controller an den Citrix ADC-Dienst bindet.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_SVC ist der Citrix ADC-Dienst, der einem StorageZones-Controller entspricht. Dieser Dienstname wird automatisch vom Citrix ADC for ShareFile-Assistenten erstellt. Der Dienstname umfasst die IP-Adresse des Controllers, z. B. SF_SVC_IP-Adresse.

-secure YES ist erforderlich, wenn der Dienst Port 443 abhört.

Überprüfen der Citrix ADC-Konfiguration

Nachdem Sie den Assistenten abgeschlossen haben, gehen Sie zu Traffic Management > Load Balancing > Virtuelle Server, um den Status der virtuellen Lastausgleichsserver anzuzeigen, die vom Assistenten erstellt wurden.

Zeigen Sie den Durchsatz von ShareFile-Anforderungen über Citrix ADC an

Durchsatzstatistiken finden Sie im Dashboard-Menü .