Storage zones controller

Konfigurieren von Citrix ADC für den StorageZones Controller

NetScaler, Version 10.1 Build 120.1316.e und höher, enthält einen Assistenten, der Sie zur Eingabe grundlegender Informationen über Ihre Storage Zones Controller Umgebung auffordert. Dann generiert es eine Konfiguration, die:

  • Lastverteilung des Datenverkehrs über StorageZones Controller hinweg
  • Bietet Benutzerauthentifizierung für StorageZone Connector
  • Validiert URI-Signaturen für ShareFile-Uploads und -Downloads
  • Beendet SSL-Verbindungen an der Citrix ADC-Appliance

Das Diagramm zeigt die folgenden Citrix ADC Komponenten, die mit der Konfiguration erstellt wurden:

  • Citrix ADC Content Switching Virtual Server — Sendet Benutzeranforderungen für Daten von ShareFile und von StorageZone Connector an den entsprechenden virtuellen Citrix ADC Load Balancing Server.
  • Citrix ADC Load Balancing Virtual Server: Lastenausgleich für den Datenverkehr für die Storage Zones Controller und verarbeitet außerdem Folgendes:
    • Bei Anforderungen für Daten aus Ihrem privaten Datenspeicher führt ein virtueller Lastausgleichsserver eine Hashvalidierung durch, um sicherzustellen, dass gültige URI-Signaturen bei eingehenden Anforderungen vorhanden sind.

    • Bei Anforderungen von Daten von StorageZone Connector führt ein virtueller Lastausgleichsserver die Benutzerauthentifizierung durch. Es stoppt eine Benutzeranforderung am Citrix ADC, authentifiziert den Benutzer und führt dann eine einmalige Anmeldung des Benutzers beim StorageZones Controller durch.

    Obwohl die Authentifizierung bei Citrix ADC optional ist, ist dies eine empfohlene Best Practice.

Ab Storage Zones Controller 4.0 können Administratoren eingehende Verbindungen zu den Storage Zones Controllern auf TLS v1.2 beschränken. Wenn Protokolle vor TLS v1.2 für eingehenden Datenverkehr zum StorageZones Controller deaktiviert sind, müssen alle Clientsoftwarekomponenten, die mit der Speicherzone interagieren, auch TLS v1.2 unterstützen. Klicken Sie hier für weitere Informationen und Konfigurationshinweise.

Hinweis:

Informationen zum Einrichten von NetScaler Versionen vor 10.1 Build 120.1316.e finden Sie unter Manuelles Konfigurieren von Citrix ADC.

Das Setup des Citrix ADC für ShareFile-Assistenten verarbeitet nicht die Konfiguration, die für die Verwendung von Citrix Endpoint Management als SAML-Identitätsanbieter für ShareFile erforderlich ist. Weitere Information finden Sie unter klicken Sie hier.

Voraussetzungen

  • Eine funktionierende Citrix ADC Konfiguration
  • Sicherheitszertifikat: Wenn in Citrix ADC noch kein Sicherheitszertifikat verfügbar ist, können Sie mit dem Assistenten eines auf dem virtuellen Content Switching-Server installieren.
  • Informationen zur Active Directory Konfiguration (Der Citrix ADC für ShareFile Wizard muss mit der Citrix NetScaler Enterprise Edition-Lizenz abgeschlossen sein):
    • IP-Adresse und Port des Active Directory -Servers
    • Active Directory Domänenname
    • LDAP-Basis-DN, in dem Benutzer gespeichert sind
    • Kontoname und Kennwort für ein Administratorkonto, das über Berechtigungen für die Kommunikation mit Active Directory verfügt

Konfigurieren von Citrix ADC für StorageZones Controller

In den folgenden Schritten wird beschrieben, wie Sie den Citrix ADC für ShareFile -Assistenten verwenden.

  1. Melden Sie sich bei der Citrix ADC Appliance an, und navigieren Sie auf der Registerkarte Konfiguration zu Traffic Management.

  2. Klicken Sie unter Citrix ShareFile auf Citrix ADC für ShareFile einrichten.

    Sie können den Assistenten auch wie folgt aufrufen: Klicken Sie unter Mobility auf Endpoint Management, ShareFile und Citrix Gateway konfigurieren.

  3. Geben Sie die im Assistenten angeforderten Informationen an.

Option Beschreibung
Name Ein Anzeigename für den virtuellen Content Switching-Server.
IP-Adresse Die externe (öffentliche oder DMZ) IP-Adresse, die für den virtuellen Content Switching Server verwendet werden soll. Wenn Sie eine DMZ-IP-Adresse verwenden, müssen Sie eine NAT (Network Address Translation) -Zuordnung von Ihrer externen Firewall-Adresse zu dieser DMZ-IP-Adresse definieren.
ShareFile Daten Diese Option ist aktiviert und weist darauf hin, dass Sie die Citrix ADC Verbindung für Speicherzonen für ShareFile Daten verwenden.
StorageZone Connector für Netzwerkdateifreigabe/SharePoint Wenn Sie Connectors verwenden und die Benutzerauthentifizierung am Citrix ADC durchführen möchten, aktivieren Sie das Kontrollkästchen.
Zertifikat Wählen Sie ein Zertifikat oder installieren Sie eines für den virtuellen Content Switching Server. Wenn Sie ein Zertifikat installieren möchten, werden Sie aufgefordert, das Zertifikat und den privaten Schlüssel hochzuladen. Für Standardzonen oder für eingeschränkte Zonen mit einem externen Hostnamen müssen Zertifikate öffentlich vertrauenswürdig und nicht selbstsigniert sein.
IP-Adresse des StorageZones Controller Die internen IP-Adressen für einen oder mehrere StorageZones Controller-Server. Diese IP-Adressen definieren die StorageZones Controller-Server als Entitäten innerhalb von Citrix ADC. Wenn Sie die Server bereits zu Citrix ADC hinzugefügt haben, klicken Sie auf Aus vorhandenem hinzufügen, und wählen Sie die Server aus. Um Citrix ADC für den Lastenausgleich zu verwenden, geben Sie für jeden StorageZones Controller-Server eine interne IP-Adresse ein. Wenn Sie Citrix ADC nur für SSL und Authentifizierung verwenden möchten, geben Sie nur eine IP-Adresse ein.
Port und Protokoll Der Port und das Protokoll, das für die Kommunikation vom Citrix ADC zu StorageZones Controllern verwendet wird.
Die IP-Adresse des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung (Citrix ADC AAA) Eine nicht verwendete interne IP-Adresse für den virtuellen Citrix ADC AAA-Server. Citrix ADC erstellt diesen virtuellen Server für den eigenen Gebrauch. Der Server benötigt keinen Zugriff von außen.
IP-Adresse und Port des LDAP-Servers Die IP-Adresse und der Port des Active Directory -Servers. Wenn Sie Citrix ADC bereits einen LDAP-Server hinzugefügt haben, klicken Sie auf die Registerkarte LDAP auswählen, und wählen Sie den Server aus.
Auszeit Die maximale Anzahl von Sekunden, die der Citrix ADC auf eine Antwort vom LDAP-Server wartet. Der Standardwert beträgt 3 Sekunden. Der Mindestwert beträgt 1 Sekunde.
Single Sign-On-Domäne Der Active Directory Domänenname.
Basis-DN (Standort der Benutzer) Der LDAP Base Distinguished Name (DN), in dem Benutzer gespeichert werden. Geben Sie den DN in der allgemeinen Form an: CN=Benutzer, dc=domain, dc=net
Administrator binden DN und Kennwort Ein Administratorkonto, das über Berechtigungen für die Kommunikation mit Active Directory verfügt.
Anmeldename Ein LDAP-Attribut, das von Citrix ADC verwendet wird, um zu bestimmen, ob sich Benutzer mit ihrem Benutzernamen oder ihrer E-Mail-Adresse anmelden. Standardmäßig wird sAMAccountName verwendet, wodurch Benutzer sich mit ihren Benutzernamen anmelden können. Damit Benutzer ihre E-Mail-Adresse eingeben müssen, um sich anzumelden, ändern Sie dieses Feld in UserPrincipalName.

Konfigurieren von Citrix ADC für eingeschränkte Zonen oder Webzugriff auf Connectors

Um eingeschränkte Zonen oder den Webzugriff auf StorageZone Connector zu unterstützen, müssen Sie zusätzliche Citrix ADC Konfiguration durchführen, nachdem Sie den Citrix ADC for ShareFile Assistenten abgeschlossen haben.

  • Erstellen und konfigurieren Sie einen dritten virtuellen Citrix ADC Lastenausgleich, mit dem sichergestellt wird, dass ShareFile Clients Anmeldeinformationen nur senden, wenn sie an einer vertrauenswürdigen ShareFile-Domäne angemeldet sind.

    Der StorageZones Controller verwendet den CORS-Standard (Cross-Origin Resource Sharing), um die erforderliche Sicherheit für Anforderungen an eingeschränkte Zonen und von der ShareFile e-Weboberfläche bis hin zu StorageZone Connector bereitzustellen. CORS verwendet HTTP-Header, damit Client und Server genug voneinander wissen können, um festzustellen, ob eine Anfrage oder Antwort erfolgreich sein soll.

    Wie in den folgenden Schritten beschrieben, konfigurieren Sie den zusätzlichen virtuellen Server so, dass der anonyme Zugriff von Clients für das HTTP OPTIONS-Verb erlaubt wird. Die OPTIONS-Anforderung wird an den StorageZones Controller ohne Authentifizierung und ohne HTTPS-Callouts weitergeleitet, um die Signatur zu validieren. Die CORS-Preflight-Überprüfung überprüft die Domänenvertrauensstellung, bevor die Anmeldeinformationen gesendet werden.

    Ein Verständnis von CORS ist nicht erforderlich, um die Konfiguration durchzuführen. Weitere Informationen zu CORS finden Sie jedoch unter http://enable-cors.org/.

    Die Verwendung von Internet Explorer für den Webzugriff auf Connectors in eingeschränkten Zonen erfordert die Konfiguration von Internet Explorer.

  • Um den Webzugriff auf StorageZone Connector zu unterstützen, fügen Sie der Inhaltswechselrichtlinie, die für den Datenverkehr zu /cifs und /sp verwendet wird, einen Pfad (/ProxyService) hinzu.

Führen Sie die folgenden Schritte in Citrix ADC aus, nachdem Sie den Citrix ADC für ShareFile Assistenten abgeschlossen haben.

  1. Erstellen Sie einen dritten virtuellen Lastausgleichsserver:
    1. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.

    2. Klicken Sie auf ‘Hinzufügen’.

    3. Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, z. B. SF_ZONE_OPTIONS
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    4. Klicken Sie durch, um den virtuellen Server zu erstellen.

    5. So binden Sie dieselben Dienste wie die virtuellen Lastausgleichsserver, die vom Assistenten erstellt wurden: Klicken Sie im Fenster “Virtueller Server für den Lastenausgleich” auf “>” und dann auf “Speichern”.

    6. Fügen Sie dem virtuellen Server ein Zertifikat hinzu.

  2. Erstellen Sie eine Richtlinie für den virtuellen Server, den Sie gerade hinzugefügt haben:
    1. Navigieren Sie zu Traffic Management > Content Switching > Policies.

    2. Klicken Sie im Detailbereich auf Hinzufügen, und geben Sie dann die Werte Name, virtueller Ziel-LB-Zielserver und Ausdruck an. Klicken Sie auf Ausdruckseditor, und erstellen Sie diesen Ausdruck. Wählen Sie HTTP. Wählen Sie REQ. Wählen Sie METHODaus. Wählen Sie EQ (String) und geben Sie OPTIONS ein. Der Ausdruck sollte wie folgt lauten: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Klicken Sie auf Fertig.

    4. Klicken Sie auf Erstellen.

  3. Binden Sie die gerade erstellte Richtlinie an den neuen virtuellen Lastausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.

    2. Klicken Sie in der Liste auf den virtuellen Server, und klicken Sie auf Bearbeiten.

    3. Navigieren Sie zum Abschnitt Content-Switching-Richtlinien-Bindung, und klicken Sie auf 2 Richtlinien für die Inhaltsvermittlung.

    4. Klicken Sie auf Bindung hinzufügen.

    5. Wählen Sie die neue Inhaltsrichtlinie aus, und wählen Sie den virtuellen Ziellastenausgleich Server aus.

    6. Klicken Sie auf Bind.

    7. Klicken Sie auf Bindung bearbeiten, und aktualisieren Sie die Priorität. Ändern Sie die Priorität der neuen Richtlinie so, dass sie die niedrigste Anzahl der drei Richtlinien aufweist.

      Die Richtlinie mit dem niedrigsten Wert hat die höchste Priorität und wird daher zuerst behandelt.

  4. Aktualisieren Sie die Richtlinie für den Datenverkehr zu StorageZone Connector (_SF_CIF_SP_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Policies.

    2. Wählen Sie die Richtlinie _SF_CIF_SP_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. Aktualisieren Sie die Richtlinie, die für den Datenverkehr zu Speicherzonen für ShareFile Daten (_SF_SZ_CSPOL) verwendet wird:
    1. Navigieren Sie zu Traffic Management > Content Switching > Policies.

    2. Wählen Sie die Richtlinie _SF_SZ_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

Konfigurieren von Citrix ADC für die Freigabe mit nur Lesezugriff

Um die Freigabe mit nur Ansichten zu unterstützen, müssen Benutzer auf Ihren Microsoft Office Web Apps Server (OWA) zugreifen können. Wenn der OWA-Server extern über eine eigene Adresse zugänglich ist, sollte keine zusätzliche Citrix ADC Konfiguration für den Storage Zones Controller erforderlich sein.

Wenn Sie den Storage Zones Controller und Office Web App Server mithilfe von Citrix ADC Richtlinien für die Inhaltsvermittlung in einer einzigen externen Adresse kombinieren möchten, müssen Sie nach Abschluss des Citrix ADC for ShareFile Assistenten eine zusätzliche Citrix ADC-Konfiguration durchführen. Die Citrix ADC Konfiguration ist erforderlich, um sicherzustellen, dass der Datenverkehr ordnungsgemäß an den extern zugänglichen OWA-Server weitergeleitet wird.

Sobald die folgenden Citrix ADC Regeln konfiguriert sind, können Administratoren die vorhandene externe Adresse ihrer StorageZones Controller Zone wiederverwenden, sodass keine zusätzliche externe Adresse für OWA erstellt werden muss.

So erstellen und konfigurieren Sie einen zusätzlichen virtuellen Citrix ADC Lastausgleichsserver:

  1. Erstellen Sie einen zusätzlichen Lastausgleichsdienst.
    • Navigieren Sie zu Traffic Management > Load Balancing > Services.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die erforderlichen Informationen ein, um einen Dienst zu erstellen, der Ihren OWA-Servern entspricht. Klicken Sie auf OK.
  2. Erstellen Sie einen zusätzlichen virtuellen Lastausgleichsserver:
    • Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, z. B. SF_OWA_vServer
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    • Klicken Sie durch, um den virtuellen Server zu erstellen.
    • Um den virtuellen Server an den OWA-Dienst zu binden, den Sie im vorherigen Schritt erstellt haben, klicken Sie auf Load Balancing Virtual Service Binding > Service auswählen. Aktivieren Sie das Kontrollkästchen neben dem Dienst, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Auswählen.
    • Klicken Sie auf Bind.
  3. Erstellen Sie eine neue Richtlinie, die zum Weiterleiten des Datenverkehrs an Ihren OWA-Server verwendet wird.
    • Navigieren Sie zu Traffic Management > Content Switching > Policies.
    • Wählen Sie Hinzufügen.
    • Benennen Sie die Richtlinie.
    • Fügen Sie den folgenden Ausdruck hinzu:
      • HTTP.REQ.URL.CONTAINS (“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS (“/x/”) || HTTP.REQ.URL.CONTAINS (“/wv/”) || HTTP.REQ.URL.CONTAINS (“/p/”)

        Der vollständige Richtlinienausdruck sollte wie folgt lauten:

        HTTP.REQ.URL.CONTAINS (“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS (“/x/”) || HTTP.REQ.URL.CONTAINS (“/wv/”) || HTTP.REQ.URL.CONTAINS (“/p/”)

  4. Aktualisieren der Priorität der neuen Richtlinie innerhalb des virtuellen Lastausgleichs
    • Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.
    • Klicken Sie auf den virtuellen Server für den Lastausgleich, und wählen Sie dann Richtlinien für die Inhaltsvermittlung aus.
    • Ändern Sie die Priorität der Richtlinien so, dass die (Beispiel) “_SF_OWA” -Richtlinie an dritter Stelle steht.

      Priorität Richtlinienname
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Klicken Sie auf Schließen. Klicken Sie auf Fertig

Erstellen eines Monitors für den Storage Zones Controller Dienst

Standardmäßig pingt Citrix ADC den StorageZones Controller-Server an, um festzustellen, ob er online ist. Selbst wenn der Controller online ist, kann er möglicherweise keine Heartbeat-Nachrichten an die ShareFile Website senden. In diesem Fall sendet Citrix ADC Datenverkehr an den StorageZones Controller, obwohl es nicht mit ShareFile kommuniziert.

Um die ausgehende Konnektivität des StorageZones Controller mit ShareFile zu überprüfen, können Sie einen Monitor erstellen, der heartbeat.aspx prüft und ihn für jeden StorageZones Controller an den Citrix ADC Dienst bindet.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_SVC ist der Citrix ADC Dienst, der einem StorageZones Controller entspricht. Dieser Dienstname wird automatisch vom Citrix ADC für ShareFile Assistenten erstellt. Der Dienstname enthält die IP-Adresse des Controller, z. B. _SF_SVC_IP-Adresse.

-secure YES ist erforderlich, wenn der Dienst auf Port 443 wartet.

Überprüfen der Citrix ADC Konfiguration

Nachdem Sie den Assistenten abgeschlossen haben, wechseln Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server, um den Status der virtuellen Lastausgleichsserver anzuzeigen, die vom Assistenten erstellt wurden.

Anzeigen des Durchsatzes von ShareFile Anforderungen über Citrix ADC

Durchsatzstatistiken finden Sie im Dashboard-Menü.