Preguntas frecuentes sobre Unified Gateway

¿Qué es Unified Gateway? **

Unified Gateway es una nueva función de la versión Citrix ADC 11.0, que proporciona la capacidad de recibir tráfico en un único servidor virtual (denominado servidor virtual Unified Gateway) y, a continuación, dirigir internamente ese tráfico, según corresponda, a los servidores virtuales enlazados al servidor virtual Unified Gateway.

La función de puerta de enlace unificada permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada con el servidor virtual de puerta de enlace unificada). Los administradores pueden liberar direcciones IP y simplificar la configuración de la implementación de Citrix Gateway.

Cada servidor virtual Unified Gateway puede front-end un servidor virtual Citrix Gateway junto con cero o más servidores virtuales de equilibrio de carga como parte de una formación. Unified Gateway funciona aprovechando la función de conmutación de contenido del dispositivo Citrix ADC.

Algunos ejemplos de implementaciones de Unified Gateway:

  • Servidor virtual Unified Gateway -> [un servidor virtual Citrix Gateway]
  • Servidor virtual Unified Gateway -> [un servidor virtual Citrix Gateway, un servidor virtual de equilibrio de carga]
  • Servidor virtual Unified Gateway -> [un servidor virtual Citrix Gateway, dos servidores virtuales de equilibrio de carga]
  • Servidor virtual Unified Gateway -> [un servidor virtual Citrix Gateway, tres servidores virtuales de equilibrio de carga]

Cada uno de los servidores virtuales de equilibrio de carga puede ser cualquier servidor de equilibrio de carga estándar que hospeda un servicio back-end, como Microsoft Exchange o Citrix ShareFile.

¿Por qué usar Unified Gateway? **

La función Unified Gateway permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada al servidor virtual Unified Gateway). Para los administradores, la ventaja es que pueden liberar direcciones IP y simplificar la configuración de la implementación de Citrix Gateway.  

¿Puede haber más de un servidor virtual Unified Gateway? **

Sí. Puede haber tantos servidores virtuales de Unified Gateway como necesite.

¿Por qué se necesita la conmutación de contenido para Unified Gateway? **

La función de conmutación de contenido es necesaria porque el servidor virtual de conmutación de contenido es el que recibe tráfico y lo dirige internamente al servidor virtual apropiado. El servidor virtual de conmutación de contenido es el componente principal de la función de puerta de enlace unificada.

En las versiones anteriores a 11.0, el cambio de contenido se puede utilizar para recibir tráfico de varios servidores virtuales. ¿Ese uso también se llama Unified Gateway? **

El uso de un servidor virtual de conmutación de contenido para recibir tráfico de varios servidores virtuales se admite en versiones anteriores a la 11.0. Sin embargo, el cambio de contenido no pudo dirigir el tráfico a un servidor virtual Citrix Gateway.

Las mejoras de 11.0 permiten que un servidor virtual de conmutación de contenido dirija el tráfico a cualquier servidor virtual, incluido un servidor virtual Citrix Gateway.

¿Qué ha cambiado con las directivas de conmutación de contenido en Unified Gateway? **

1. Se agrega un nuevo parámetro de línea de comandos “-TargetVServer” para la acción de conmutación de contenido. El nuevo parámetro se utiliza para especificar el servidor virtual de Citrix Gateway de destino. Ejemplo:

agregar cs acción UG_CSACT_MYUG -TargetVServer UG_VPN_MYUG

En la utilidad de configuración de Citrix Gateway, la acción de cambio de contenido tiene una nueva opción, Target Virtual Server, que puede hacer referencia a un servidor virtual Citrix Gateway.

2. Se puede utilizar una nueva expresión de directiva avanzada, is_vpn_url, para que coincida con las solicitudes específicas de autenticación y Citrix Gateway.

¿Qué funciones de Citrix Gateway no se admiten actualmente en Unified Gateway? **

Todas las funciones son compatibles con Unified Gateway. Sin embargo, se ha informado de un problema menor (ID de problema 544325) con el inicio de sesión nativo a través del complemento VPN. En este caso, el inicio de sesión único (SSO) transparente no funciona.

Con Unified Gateway, ¿cuál es el comportamiento de los análisis EPA? **

Con Unified Gateway, el análisis de endpoint solo se activa para los métodos de acceso de Citrix Gateway, no para el acceso AAA-TM. Si un usuario intenta acceder a un servidor virtual AAA-TM aunque la autenticación se realice en el servidor virtual Citrix Gateway, el análisis EPA no se activa. Sin embargo, si el usuario está intentando obtener acceso VPN y VPN completo sin cliente, se activa el análisis EPA configurado. En ese caso, se realiza la autenticación o el inicio de sesión único sin problemas.

Configuración

¿Cuáles son los requisitos de licencia para Unified Gateway? **

Unified Gateway solo se admite para licencias Enterprise y Platinum. No estará disponible únicamente para ediciones de licencia de Citrix Gateway o Standard.

¿El servidor virtual Citrix Gateway utilizado con Unified Gateway necesita una configuración IP/puerto/SSL? **

Para un servidor virtual Citrix Gateway utilizado con el servidor virtual Unified Gateway, no se necesita una configuración IP/puerto/SSL en el servidor virtual Citrix Gateway. Sin embargo, para la funcionalidad de proxy RDP, puede enlazar el mismo certificado de servidor SSL/TLS al servidor virtual de Citrix Gateway.

¿Es necesario volver a aprovisionar los certificados SSL/TLS que se encuentran en el servidor virtual Citrix Gateway para utilizarlos con un servidor virtual Unified Gateway? **

No es necesario volver a aprovisionar certificados que están enlazados actualmente a su servidor virtual Citrix Gateway. Puede reutilizar todos los certificados SSL existentes y vincularlos al servidor virtual de Unified Gateway.

¿Cuál es la diferencia entre una única URL y una implementación de múltiples hosts? ¿Cuál necesito? **

Una sola dirección URL se refiere a la capacidad del servidor virtual de Unified Gateway para manejar el tráfico de un nombre de dominio completo (FQDN). Esta restricción existe cuando Unified Gateway utiliza un certificado de servidor SSL/TLS que tiene el sujeto del certificado rellenado con el FQDN. Por ejemplo: ug.citrix.com

Sin embargo, si Unified Gateway utiliza un certificado de servidor comodín, puede controlar el tráfico de varios subdominios. Por ejemplo: *.citrix.com

Otra opción es la configuración de SSL/TLS con la funcionalidad del indicador de nombre del servidor (SNI) para permitir la vinculación de varios certificados de servidor SSL/TLS. Ejemplos: auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un host único frente a varios hosts es análogo a la forma en que los sitios web se alojan normalmente en un servidor web (por ejemplo, servidor HTTP Apache o Microsoft Internet Information Services (IIS)). Si hay un solo host, puede usar la ruta del sitio para cambiar el tráfico de la misma manera que usa alias o “directorio virtual” en Apache. Si hay varios hosts, se utiliza un encabezado de host para cambiar el tráfico de manera similar a la forma en que se utilizan los hosts virtuales en Apache.

Autenticación

¿Qué mecanismos de autenticación se pueden usar con Unified Gateway? **

Todos los mecanismos de autenticación existentes que funcionan con Citrix Gateway funcionan con Unified Gateway.

Estos incluyen LDAP, RADIUS, SAML, Kerberos, Autenticación basada en certificados, etc.

Cualquiera que sea el mecanismo de autenticación configurado en el servidor virtual Citrix Gateway antes de que la actualización se utilice automáticamente cuando el servidor virtual Citrix Gateway se coloca detrás del servidor virtual Unified Gateway. No hay pasos de configuración adicionales involucrados, aparte de asignar una dirección IP no direccionable (0.0.0.0) al servidor virtual Citrix Gateway.

¿Qué es la autenticación” SelfAuth” ‘? **

SelfAuth no es un tipo de autenticación per se. SelfAuth describe cómo se crea una URL. Un nuevo parámetro de línea de comandos, ssotype, está disponible para la configuración de URL VPN. Ejemplo:

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth es uno de los valores del parámetro ssotype. Este tipo de dirección URL se puede usar para tener acceso a recursos que no están en el mismo dominio que el servidor virtual de Unified Gateway. La configuración se puede ver en la utilidad de configuración al configurar un marcador.

¿Qué es la autenticación” StepUp”? **

Cuando se requieren niveles de autenticación adicionales y más seguros para acceder a un recurso AAA-TM, puede utilizar la autenticación StepUp. En la línea de comandos, utilice un comando AuthnProfile para establecer el parámetro AuthenticationLevel. Ejemplo:

agregar autenticación AuthnProfile AuthProfile -AuthNvsName AAATMVServer -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

Este perfil de autenticación está enlazado al servidor virtual de equilibrio de carga.

¿Se admite la autenticación StepUp para servidores virtuales AAA-TM? **

Sí, es compatible.

¿Qué es iniciar sesión una vez o cerrar sesión una vez? **

Iniciar sesión una vez: los usuarios de VPN inician sesión una vez en un servidor virtual AAA-TM o Citrix Gateway. Y a partir de entonces, los usuarios de VPN tienen acceso sin problemas a todas las aplicaciones empresariales, nubo/web. No es necesario volver a autenticar al usuario. Sin embargo, la reautenticación se realiza para casos especiales, como AAA-TM StepUp.

Cerrar sesión una vez: después de crear la primera sesión AAA-TM o Citrix Gateway, se utiliza para crear sesiones posteriores AAA-TM o Citrix Gateway para ese usuario. Si alguna de esas sesiones se cierra la sesión, el dispositivo Citrix ADC también cierra la sesión de otras aplicaciones o sesiones del usuario.

¿Se pueden especificar directivas de autenticación comunes en el nivel de puerta de enlace unificada con un servidor virtual autenticado específico de equilibrio de carga AAA-TM en el nivel de servidor virtual de equilibrio de carga? ¿Cuáles son los pasos de configuración para admitir este caso de uso? **

Si necesita especificar directivas de autenticación independientes para el servidor virtual AAA-TM detrás de Unified Gateway, necesitará tener un servidor virtual de autenticación direccionable independiente (similar a la configuración ordinaria AAA-TM). La configuración del host de autenticación en el servidor virtual de equilibrio de carga debe apuntar a este servidor virtual de autenticación.

¿Cómo se configura Unified Gateway para que los servidores virtuales AAA-TM enlazados tengan sus propias directivas de autenticación? **

En este escenario, el servidor de equilibrio de carga debe tener la opción FQDN de autenticación establecida para apuntar al servidor virtual AAA-TM. El servidor virtual AAA-TM debe tener una dirección IP independiente y ser accesible desde Citrix ADC y clientes.

¿Es necesario un servidor virtual de autenticación AAA-TM para autenticar a los usuarios que llegan a través de un servidor virtual Unified Gateway? **

No. El servidor virtual de Citrix Gateway autenticará incluso a los usuarios de AAA-TM.

¿Dónde se especifican las directivas de autenticación de Citrix Gateway, en el servidor virtual de Unified Gateway o en el servidor virtual de Citrix Gateway? **

Las directivas de autenticación deben vincularse al servidor virtual de Citrix Gateway.

¿Cómo se habilita la autenticación en servidores virtuales AAA-TM detrás de un servidor virtual de conmutación de contenido Unified Gateway? **

Habilite la autenticación en AAA-TM y señale el host de autenticación al FQDN de conmutación de contenido de Unified Gateway.

Administración del tráfico AAA-

¿Cómo agrego servidores virtuales de TM detrás de la conmutación de contenido (URL única frente a host múltiple)? **

No hay diferencia entre agregar servidores virtuales AAA-TM para una única URL y agregarlo para varios hosts. En cualquier caso, el servidor virtual se agrega como destino en una acción de cambio de contenido. La diferencia entre URL única y host múltiple se implementa mediante reglas de política de conmutación de contenido.

¿Qué sucede con las directivas de autenticación vinculadas a un servidor virtual de equilibrio de carga AAA-TM si ese servidor virtual se mueve detrás de un servidor virtual Unified Gateway? **

Las directivas de autenticación están vinculadas al servidor virtual de autenticación y el servidor virtual de autenticación está vinculado al servidor virtual de equilibrio de carga. Para el servidor virtual Unified Gateway, Citrix recomienda tener el servidor virtual Citrix Gateway como único punto de autenticación, lo que niega la necesidad de realizar la autenticación en un servidor virtual de autenticación (o incluso la necesidad de un servidor virtual de autenticación específico). Apuntar el host de autenticación al FQDN del servidor virtual Unified Gateway garantiza que el servidor virtual Citrix Gateway realice la autenticación. Si apunta al host de autenticación al cambio de contenido para Unified Gateway y sigue teniendo un servidor virtual de autenticación enlazado, se omiten las directivas de autenticación vinculadas al servidor virtual de autenticación. Sin embargo, si apunta un host de autenticación a un servidor virtual de autenticación direccionable independiente, surtirán efecto las directivas de autenticación enlazadas.

¿Cómo se configuran las directivas de sesión para las sesiones AAA-TM? **

Si en Unified Gateway no se especifica ningún servidor virtual de autenticación para el servidor virtual AAA-TM, las sesiones AAA-TM heredarán las directivas de sesión de Citrix Gateway. Si se especifica el servidor virtual de autenticación, se aplican las directivas de sesión AAA-TM vinculadas a ese servidor virtual.

Personalización del portal

¿Cuáles son los cambios en el portal de Citrix Gateway en Citrix ADC 11.0? **

En versiones de Citrix ADC anteriores a la 11.0, se puede configurar una única personalización de portal a nivel global. Todos los servidores virtuales de gateway de un dispositivo Citrix ADC determinado utilizan la personalización global del portal.

En Citrix ADC 11.0, con la función de temas del portal, puede configurar varios temas del portal. Los temas pueden vincularse globalmente o a servidores virtuales específicos.

¿Citrix ADC 11.0 admite la personalización del portal de Citrix Gateway? **

Con la utilidad de configuración, puede utilizar la nueva función de temas del portal para personalizar y crear los nuevos temas del portal por completo. Puede cargar diferentes imágenes, establecer combinaciones de colores, cambiar etiquetas de texto, etc.

Las páginas del portal que se pueden personalizar son:

  • Página de inicio de sesión
  • Página Análisis de Extremo
  • Página Error de Análisis de Endpoint
  • Página Análisis de Post Endpoint
  • Página Conexión VPN
  • Página de inicio del portal

Con esta versión, puede personalizar los servidores virtuales de Citrix Gateway con diseños de portal únicos.

¿Se admiten temas de portal en implementaciones de clúster o alta disponibilidad de Citrix ADC? **

Sí. Los temas del portal son compatibles con las implementaciones de clúster y alta disponibilidad de Citrix ADC.

¿Mis personalizaciones se migrarán como parte del proceso de actualización de Citrix ADC 11.0? **

No. Las personalizaciones existentes en la página del portal de Citrix Gateway que se invocan mediante la modificación del archivo rc.conf/rc.netscaler o mediante la funcionalidad de tema personalizado en 10.1/10.5 no se migrarán automáticamente al actualizar a Citrix ADC 11.0.

¿Hay algún paso previo a la actualización para estar preparado para los temas del portal en Citrix ADC 11.0? **

Cualquier personalización existente debe eliminarse de los archivos rc.conf o rc.netscaler.

La otra opción es que si se utilizan temas personalizados, se les debe asignar la configuración predeterminada:

Vaya a Configuración > Citrix Gateway > Configuración global

Haga clic en Cambiar configuración global. Haga clic en Experiencia del cliente y seleccione Predeterminado en la lista desplegable Tema de la interfaz de usuario.

Tengo personalizaciones almacenadas en la instancia de Citrix ADC, invocadas por rc.conf o rc.netscaler. ¿Cómo puedo pasar a los temas del portal? **

El artículo CTX126206 de Citrix Knowledge Center detalla dicha configuración para las versiones de Citrix ADC 9.3 y 10.0 hasta 10.0, compilación 73.5001.e. Desde Citrix ADC 10.0, compilación 10.0 73.5002.e (incluidas 10.1 y 10.5), el parámetro UITHEME CUSTOM ha estado disponible para ayudar a los clientes a conservar sus personalizaciones durante los reinicios. Si las personalizaciones se almacenan en el disco duro ADC de Citrix y desea seguir utilizando estas personalizaciones, haga una copia de seguridad de los archivos GUI 11.0 e insértelos en el archivo de tema personalizado existente. Si desea pasar a los temas del portal, primero debe desconfigurar el parámetro UITHEME en la Configuración global o el perfil de sesión, en Experiencia del cliente. O bien, puede configurarlo en DEFAULT o GREENBUBBLE. Entonces usted es capaz de empezar a crear y vincular un tema del portal.

¿Cómo puedo exportar mis personalizaciones actuales y guardarlas antes de actualizar a Citrix ADC 11.0? ¿Puedo mover los archivos exportados a otro dispositivo Citrix ADC? **

Los archivos personalizados que se cargaron en la carpeta ns_gui_custom están en el disco y persisten durante las actualizaciones. Sin embargo, es posible que estos archivos no sean totalmente compatibles con el nuevo núcleo Citrix ADC 11.0 y otros archivos GUI que forman parte del núcleo. Por lo tanto, Citrix recomienda realizar copias de seguridad de los archivos GUI 11.0 y personalizar las copias de seguridad.

Además, no hay ninguna utilidad en la utilidad de configuración para exportar la carpeta ns_custom_gui a otro dispositivo Citrix ADC. Para quitar los archivos de la instancia de Citrix ADC, debe utilizar SSH o una utilidad de transferencia de archivos como WinSCP.

¿Los temas del portal son compatibles con los servidores virtuales AAA-TM? **

Sí. Los temas del portal son compatibles con los servidores virtuales AAA-TM.

Proxy RDP

¿Qué ha cambiado en RDP Proxy para Citrix Gateway 11.0? **

Se han realizado muchas mejoras en RDP Proxy desde la versión de mejora de Citrix ADC 10.5.e. En Citrix ADC 11.0, esta función está disponible desde la primera compilación publicada.

Cambios en las licencias

La función RDP Proxy de Citrix ADC 11.0 solo se puede utilizar con las ediciones Platinum y Enterprise. Se deben obtener licencias de usuario concurrente (CCU) de Citrix para cada usuario.

Habilitar comando

En Citrix ADC 10.5.e no había ningún comando para habilitar el proxy RDP. En Citrix ADC 11.0, se ha agregado el comando enable:

habilitar la función rdpproxy

La función debe tener licencia para ejecutar este comando.

Otros cambios de proxy RDP

Se ha hecho obligatorio un atributo de clave previamente compartida (PSK) en el perfil del servidor.

Para migrar configuraciones existentes de Citrix ADC 10.5.e para proxy RDP a Citrix ADC 11.0, se deben comprender y abordar los siguientes detalles.

Si un administrador desea agregar una configuración de proxy RDP existente a una implementación de Unified Gateway elegida:

  • La dirección IP del servidor virtual Citrix Gateway debe editarse y configurarse en una dirección IP no direccionable (0.0.0.0).
  • Cualquier certificado de servidor SSL/TLS, las directivas de autenticación deben vincularse al servidor virtual Citrix Gateway que forma parte de la formación de Unified Gateway elegida.

¿Cómo se migra una configuración de proxy de protocolo de escritorio remoto (RDP) basada en Citrix ADC 10.5.e a Citrix ADC 11.0? **

Opción 1: Mantenga el servidor virtual de Citrix Gateway existente con la configuración de proxy RDP tal y como está, con una licencia Platinum o Enterprise.

Opción 2: Mueva el servidor virtual Citrix Gateway existente con la configuración de proxy RDP, colocándolo detrás de un servidor virtual Unified Gateway.

Opción 3: Agregue un servidor virtual de Citrix Gateway independiente con configuración de proxy RDP a un dispositivo Standard Edition existente.

¿Cómo se configura Citrix Gateway para la configuración de proxy RDP mediante la versión Citrix ADC 11.0? **

Hay dos opciones para implementar proxy RDP usando la versión NS 11.0:

1) Utilizar un servidor virtual Citrix Gateway externo. Esto requiere una dirección IP/FQDN visible externamente para el servidor virtual Citrix Gateway.Esta opción es la que está disponible en Citrix ADC 10.5.e.

2) Uso de un servidor virtual Unified Gateway front-end del servidor virtual Citrix Gateway.

Con la opción 2, el servidor virtual Citrix Gateway no requiere su propia dirección IP/FQDN, ya que utiliza una dirección IP no direccionable (0.0.0.0).

Integración con otro software Citrix

¿Funcionará HDX Insight con Unified Gateway? **

Cuando Citrix Gateway se implementa con Unified Gateway, el servidor virtual Citrix Gateway debe tener un certificado SSL válido vinculado a él y debe estar en estado UP para generar registros AppFlow para Citrix ADC Insight Center a efectos de los informes HDX Insight.

¿Cómo puedo migrar mi configuración de HDX Insight existente? **

No se necesita migración. Las directivas de AppFlow enlazadas a un servidor virtual Citrix Gateway se traspasan si ese servidor virtual Citrix Gateway se coloca detrás de un servidor virtual Unified Gateway.

Para los datos existentes en Citrix ADC Insight Center para el servidor virtual Citrix Gateway, existen dos posibilidades:

  • Si la dirección IP del servidor virtual Citrix Gateway está asignada a un servidor virtual Unified Gateway como parte de la migración a Unified Gateway, los datos permanecen vinculados al servidor virtual Citrix Gateway
  • Si al servidor virtual Unified Gateway se le asigna una dirección IP independiente, los datos de AppFlow del servidor virtual Citrix Gateway se vincularán a esa nueva dirección IP. Por lo tanto, los datos existentes no formarán parte de los datos nuevos.