Documentación de productos
Citrix Gateway
Current Release 13.0 12.1
Ver PDF

Preguntas frecuentes acerca Unified Gateway

October 18, 2021
Contribución de: 
C

¿Qué es Unified Gateway?

Unified Gateway es una nueva función de la versión Citrix ADC 11.0, que proporciona la capacidad de recibir tráfico en un único servidor virtual (denominado servidor virtual Unified Gateway) y, a continuación, dirigir internamente ese tráfico, según corresponda, a los servidores virtuales enlazados al servidor virtual Unified Gateway.

La función de Unified Gateway permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada con el servidor virtual de Unified Gateway). Los administradores pueden liberar direcciones IP y simplificar la configuración de la implementación de Citrix Gateway.

Cada servidor virtual de Unified Gateway puede front-end un servidor virtual de Citrix Gateway junto con cero o más servidores virtuales de equilibrio de carga como parte de una formación. Unified Gateway funciona mediante la función de cambio de contenido del dispositivo Citrix ADC.

Algunos ejemplos de implementaciones de Unified Gateway:

  • Servidor virtual de Unified Gateway -> [Un servidor virtual Citrix Gateway]
  • Servidor virtual de Unified Gateway -> [Un servidor virtual Citrix Gateway, un servidor virtual de equilibrio de carga]
  • Servidor virtual de Unified Gateway -> [Un servidor virtual Citrix Gateway, dos servidores virtuales de equilibrio de carga]
  • Servidor virtual de Unified Gateway -> [Un servidor virtual Citrix Gateway, tres servidores virtuales de equilibrio de carga]

Cada uno de los servidores virtuales de equilibrio de carga puede ser cualquier servidor de equilibrio de carga estándar que aloja un servicio back-end, como Microsoft Exchange o Citrix ShareFile.

¿Por qué utilizar Unified Gateway?

La función Unified Gateway permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada al servidor virtual Unified Gateway). Para los administradores, la ventaja es que pueden liberar direcciones IP y simplificar la configuración de la implementación de Citrix Gateway.  

¿Puede haber más de un servidor virtual de Unified Gateway?

Sí. Puede haber tantos servidores virtuales de Unified Gateway como necesite.

¿Por qué es necesario cambiar de contenido para Unified Gateway?

La función de conmutación de contenido es necesaria porque el servidor virtual de conmutación de contenido es el que recibe tráfico y lo dirige internamente al servidor virtual apropiado. El servidor virtual de conmutación de contenido es el componente principal de la función de Unified Gateway.

En las versiones anteriores a la 11.0, la conmutación de contenido se puede utilizar para recibir tráfico de varios servidores virtuales. ¿Ese uso también se llama Unified Gateway?

El uso de un servidor virtual de conmutación de contenido para recibir tráfico de varios servidores virtuales se admite en las versiones anteriores a la 11.0. Sin embargo, el cambio de contenido no puede dirigir el tráfico a un servidor virtual de Citrix Gateway.

Las mejoras de la versión 11.0 permiten que un servidor virtual de conmutación de contenido dirija el tráfico a cualquier servidor virtual, incluido un servidor virtual Citrix Gateway.

¿Qué ha cambiado con las directivas de cambio de contenido de Unified Gateway?

  1. Se agrega un nuevo parámetro de línea de comandos “-TargetVServer” para la acción de conmutación de contenido. El nuevo parámetro se utiliza para especificar el servidor virtual Citrix Gateway de destino. Ejemplo:

    add cs action ug_CSact_myug -targetvServer ug_VPN_myug

    En la utilidad de configuración de Citrix Gateway, la acción de cambio de contenido tiene una nueva opción, Servidor virtual de destino, que puede hacer referencia a un servidor virtual de Citrix Gateway.

  2. Se puede usar una nueva expresión de directiva avanzada, is_vpn_url, para hacer coincidir las solicitudes específicas de autenticación y Citrix Gateway.

¿Qué funciones de Citrix Gateway no se admiten actualmente en Unified Gateway?

Todas las funciones son compatibles con Unified Gateway. Sin embargo, se ha notificado un problema menor (ID de problema 544325) con el inicio de sesión nativo a través del complemento VPN. En este caso, el inicio de sesión único (SSO) transparente no funciona.

Con Unified Gateway, ¿cuál es el comportamiento de los análisis de la EPA?

Con Unified Gateway, el análisis de endpoints se desencadena solo para los métodos de acceso de Citrix Gateway, no para el acceso Citrix ADC AAA TM. Si un usuario intenta acceder a un servidor virtual Citrix ADC AAA TM aunque la autenticación se realiza en el servidor virtual de Citrix Gateway, el análisis EPA no se desencadena. Sin embargo, si el usuario intenta obtener acceso VPN sin cliente o VPN completa, se desencadena el análisis EPA configurado. En ese caso, se realiza la autenticación o el inicio de sesión único sin interrupciones.

¿Cuáles son los requisitos de licencia de Unified Gateway?

Unified Gateway solo es compatible con las licencias Advanced y Premium. No está disponible solo para Citrix Gateway ni para las ediciones de licencia estándar.

¿El servidor virtual Citrix Gateway utilizado con Unified Gateway necesita una configuración IP/puerto/SSL?

Para un servidor virtual Citrix Gateway utilizado con el servidor virtual de Unified Gateway, no se necesita una configuración IP/puerto/SSL en el servidor virtual de Citrix Gateway. Sin embargo, para la funcionalidad del proxy RDP, puede enlazar el mismo certificado de servidor SSL/TLS al servidor virtual de Citrix Gateway.

¿Tengo que volver a aprovisionar los certificados SSL/TLS del servidor virtual de Citrix Gateway para utilizarlos con un servidor virtual de Unified Gateway?

No es necesario volver a aprovisionar los certificados que están vinculados actualmente al servidor virtual de Citrix Gateway. Puede reutilizar cualquier certificado SSL existente y vincularlo al servidor virtual de Unified Gateway.

¿Cuál es la diferencia entre una única URL y una implementación de varios hosts? ¿Cuál necesito?

La URL única hace referencia a la capacidad del servidor virtual de Unified Gateway para gestionar el tráfico de un nombre de dominio completo (FQDN). Esta restricción existe cuando Unified Gateway utiliza un certificado de servidor SSL/TLS en el que el sujeto del certificado se rellena con el FQDN. Por ejemplo: ug.citrix.com

Si Unified Gateway utiliza un certificado de servidor comodín, puede gestionar el tráfico de varios subdominios. Por ejemplo: *.citrix.com

Otra opción es la configuración SSL/TLS con funcionalidad Indicador de nombre de servidor (SNI) para permitir el enlace de varios certificados de servidor SSL/TLS. Ejemplos: auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un host único frente a varios hosts es análogo a la forma en que los sitios web se alojan normalmente en un servidor web (por ejemplo, el servidor HTTP Apache o Microsoft Internet Information Services (IIS)). Si hay un único host, puede utilizar una ruta de acceso del sitio para cambiar el tráfico de la misma manera que utiliza el alias o el “directorio virtual” en Apache. Si hay varios hosts, utiliza un encabezado de host para cambiar el tráfico de forma similar a como usa los hosts virtuales en Apache.

¿Qué mecanismos de autenticación se pueden utilizar con Unified Gateway?

Todos los mecanismos de autenticación existentes compatibles con Citrix Gateway también son compatibles con Unified Gateway.

Estos incluyen LDAP, RADIUS, SAML, Kerberos, autenticación basada en certificados, etc.

Cualquier mecanismo de autenticación configurado en el servidor virtual de Citrix Gateway antes de la actualización se utiliza automáticamente cuando el servidor virtual de Citrix Gateway se coloca detrás del servidor virtual de Unified Gateway. No hay pasos de configuración adicionales que no sean asignar una dirección IP no direccionable (0.0.0.0) al servidor virtual Citrix Gateway.

¿Qué es la autenticación” SelfAuth” ‘?

SelfAuth no es un tipo de autenticación por sí solo. SelfAuth describe cómo se crea una URL. Un nuevo parámetro de línea de comandos ssotype, está disponible para la configuración de URL de VPN. Ejemplo:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth es uno de los valores del parámetro ssotype. Este tipo de URL se puede utilizar para acceder a recursos que no están en el mismo dominio que el servidor virtual de Unified Gateway. El ajuste se puede ver en la utilidad de configuración al configurar un marcador.

¿Qué es la autenticación” StepUp”?

Cuando se requieren niveles de autenticación adicionales y más seguros para acceder a un recurso Citrix ADC AAA TM, puede usar la autenticación StepUp. En la línea de comandos, utilice un comando authnProfile para establecer el parámetro AuthenticationLevel. Ejemplo:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

Este perfil de autenticación está enlazado al servidor virtual de equilibrio de carga.

¿Se admite la autenticación StepUp para los servidores virtuales Citrix ADC AAA TM?

Sí, es compatible.

¿Qué es login once/logout once?

Login Once: los usuarios de VPN inician sesión una vez en un servidor virtual Citrix ADC AAA TM o Citrix Gateway. Y a partir de ese momento, los usuarios de VPN tienen acceso sin problemas a todas las aplicaciones empresariales, en la nube y web. No es necesario volver a autenticar al usuario. Sin embargo, la reautenticación se realiza en casos especiales, como Citrix ADC AAA TM StepUp.

Logout Once: Después de crear la primera sesión de Citrix ADC AAA TM o Citrix Gateway, se utiliza para crear sesiones posteriores de Citrix ADC AAA TM o Citrix Gateway para ese usuario. Si se cierra la sesión de alguna de esas sesiones, el dispositivo Citrix ADC también cierra la sesión de las demás aplicaciones o sesiones del usuario.

¿Se pueden especificar directivas de autenticación comunes en el nivel de Unified Gateway con el equilibrio de carga de Citrix ADC AAA TM con enlace autenticado específico del servidor virtual de equilibrio de carga en el nivel del servidor virtual de equilibrio de carga? ¿Cuáles son los pasos de configuración para admitir este caso de uso?

Si necesita especificar directivas de autenticación independientes para el servidor virtual Citrix ADC AAA TM detrás de Unified Gateway, debe tener un servidor virtual de autenticación independiente y direccionable de forma independiente (similar a la configuración normal de Citrix ADC AAA TM). La configuración del host de autenticación del servidor virtual de equilibrio de carga debe apuntar a este servidor virtual de autenticación.

¿Cómo se configura Unified Gateway para que los servidores virtuales Citrix ADC AAA TM vinculados tengan sus propias directivas de autenticación?

En este caso, el servidor de equilibrio de carga debe tener la opción FQDN de autenticación establecida para que apunte al servidor virtual Citrix ADC AAA TM. El servidor virtual Citrix ADC AAA TM debe tener una dirección IP independiente y ser accesible desde Citrix ADC y los clientes.

¿Se necesita un servidor virtual de autenticación Citrix ADC AAA TM para autenticar a los usuarios que llegan a través de un servidor virtual de Unified Gateway?

No. El servidor virtual de Citrix Gateway autentica incluso a los usuarios de Citrix ADC AAA TM.

¿Dónde se especifican las directivas de autenticación de Citrix Gateway, en el servidor virtual de Unified Gateway o en el servidor virtual de Citrix Gateway?

Las directivas de autenticación deben vincularse al servidor virtual de Citrix Gateway.

¿Cómo habilita la autenticación en los servidores virtuales Citrix ADC AAA TM detrás de un servidor virtual de conmutación de contenido de Unified Gateway?

Habilite la autenticación en Citrix ADC AAA TM y apunte el host de autenticación al FQDN de conmutación de contenido de Unified Gateway.

¿Cómo agrego servidores TM Virtual detrás del cambio de contenido (URL única frente a host múltiple)?

No hay diferencia entre agregar los servidores virtuales Citrix ADC AAA TM para una única URL y agregarla para varios hosts. En cualquier caso, el servidor virtual se agrega como destino en una acción de cambio de contenido. La diferencia entre una URL única y un host múltiple se implementa mediante reglas de directiva de conmutación de contenido.

¿Qué sucede con las directivas de autenticación vinculadas a un servidor virtual de equilibrio de carga Citrix ADC AAA TM si ese servidor virtual se mueve detrás de un servidor virtual de Unified Gateway?

Las directivas de autenticación están vinculadas al servidor virtual de autenticación y el servidor virtual de autenticación está enlazado al servidor virtual de equilibrio de carga. Para el servidor virtual de Unified Gateway, Citrix recomienda tener el servidor virtual de Citrix Gateway como punto de autenticación único, lo que niega la necesidad de realizar la autenticación en un servidor virtual de autenticación (o incluso la necesidad de un servidor virtual de autenticación específico). Apuntar el host de autenticación al FQDN del servidor virtual de Unified Gateway garantiza que el servidor virtual de Citrix Gateway realice la autenticación. Si apunta el host de autenticación al cambio de contenido de Unified Gateway y sigue teniendo un servidor virtual de autenticación vinculado, se ignoran las directivas de autenticación vinculadas al servidor virtual de autenticación. Sin embargo, si apunta un host de autenticación a un servidor virtual de autenticación direccionable independiente, surten efecto las directivas de autenticación vinculadas.

¿Cómo se configuran las directivas de sesión para las sesiones de Citrix ADC AAA TM?

Si, en Unified Gateway, no se especifica ningún servidor virtual de autenticación para el servidor virtual Citrix ADC AAA TM, las sesiones de Citrix ADC AAA TM heredan las directivas de sesión de Citrix Gateway. Si se especifica el servidor virtual de autenticación, se aplican las directivas de sesión de Citrix ADC AAA TM enlazadas a ese servidor virtual.

¿Cuáles son los cambios en el portal de Citrix Gateway en Citrix ADC 11.0?

En las versiones de Citrix ADC anteriores a la 11.0, se puede configurar una única personalización del portal a nivel global. Todos los servidores virtuales de puerta de enlace de un dispositivo Citrix ADC determinado utilizan la personalización del portal global.

En Citrix ADC 11.0, con la función de temas del portal, puede configurar varios temas del portal. Los temas se pueden enlazar de forma global o a servidores virtuales específicos.

¿Citrix ADC 11.0 admite la personalización del portal de Citrix Gateway?

Con la utilidad de configuración, puede utilizar la nueva función de temas del portal para personalizar y crear los temas del portal por completo. Puede subir diferentes imágenes, establecer esquemas de color, cambiar etiquetas de texto, etc.

Las páginas del portal que se pueden personalizar son:

  • Página de inicio
  • Página Análisis de endpoint
  • Página Error de Análisis de Endpoint
  • Página Post Endpoint Analysis
  • Página Conexión VPN
  • Página de inicio del portal

Con esta versión, puede personalizar los servidores virtuales de Citrix Gateway con diseños de portal únicos.

¿Los temas del portal se admiten en implementaciones de clústeres o de alta disponibilidad de Citrix ADC?

Sí. Los temas del portal se admiten en implementaciones de clústeres y alta disponibilidad de Citrix ADC.

¿Se migran mis personalizaciones como parte del proceso de actualización de Citrix ADC 11.0?

No. Las personalizaciones existentes en la página del portal de Citrix Gateway que se invocan mediante la modificación del archivo rc.conf/rc.netscaler o mediante la funcionalidad de temas personalizados en 10.1/10.5 no se migrarán automáticamente al actualizar a Citrix ADC 11.0.

¿Hay que seguir algún paso previo a la actualización para estar preparado para los temas del portal en Citrix ADC 11.0?

Todas las personalizaciones existentes deben eliminarse de los archivos rc.conf o rc.netscaler.

La otra opción es que si se utilizan temas personalizados, se les debe asignar el ajuste Predeterminado:

  1. Vaya a Configuración > Citrix Gateway > Configuración global

  2. Haga clic en Cambiar configuración global.

  3. Haga clic en Experiencia del cliente y seleccione Predeterminado en la lista Tema de interfaz de usuario.

Tengo personalizaciones almacenadas en la instancia de Citrix ADC, invocadas por rc.conf o rc.netscaler. ¿Cómo paso a los temas del portal?

El artículo CTX126206 de Citrix Knowledge Center detalla esta configuración para las versiones 9.3 y 10.0 de Citrix ADC hasta 10.0 build 73.5001.e. Desde Citrix ADC 10.0, compilación 10.0 73.5002.e (incluidas 10.1 y 10.5), el parámetro UITHEME CUSTOM ha estado disponible para ayudar a los clientes a conservar sus personalizaciones durante los reinicios. Si las personalizaciones se almacenan en el disco duro de Citrix ADC y quiere seguir usando estas personalizaciones, respalde los archivos GUI de la versión 11.0 e insértelos en el archivo de tema personalizado existente. Si quiere pasar a los temas del portal, primero debe desactivar el parámetro UITHEME en Configuración global o en el perfil de sesión, en Experiencia del cliente. O bien puede configurarlo como DEFAULT o GREENBUBBLE. A continuación, podrá empezar a crear y enlazar un tema de portal.

¿Cómo puedo exportar mis personalizaciones actuales y guardarlas antes de actualizar a Citrix ADC 11.0? ¿Puedo mover los archivos exportados a otro dispositivo Citrix ADC?

Los archivos personalizados que se han cargado en la carpeta ns_gui_custom están en el disco y persisten durante las actualizaciones. Sin embargo, es posible que estos archivos no sean totalmente compatibles con el nuevo kernel de Citrix ADC 11.0 y otros archivos GUI que forman parte del núcleo. Por lo tanto, Citrix recomienda hacer una copia de seguridad de los archivos GUI de la versión 11.0 y personalizar las copias de seguridad.

Además, no hay ninguna utilidad en la utilidad de configuración para exportar la carpeta ns_custom_gui a otro dispositivo Citrix ADC. Utilice SSH o una utilidad de transferencia de archivos como WinSCP para quitar los archivos de la instancia de Citrix ADC.

¿Los temas del portal son compatibles con los servidores virtuales Citrix ADC AAA TM?

Sí. Los temas del portal son compatibles con los servidores virtuales Citrix ADC AAA TM.

¿Qué ha cambiado en la función Proxy RDP de Citrix Gateway 11.0?

Se han realizado muchas mejoras en RDP Proxy desde la versión de mejora de Citrix ADC 10.5.e. En Citrix ADC 11.0, esta función está disponible desde la primera compilación publicada.

Cambios en las licencias

La función RDP Proxy de Citrix ADC 11.0 solo se puede utilizar con las ediciones Premium y Advanced. Se deben obtener licencias de usuario simultáneo (CCU) de Citrix para cada usuario.

Habilitar comando

En Citrix ADC 10.5.e no había ningún comando para habilitar el proxy RDP. En Citrix ADC 11.0, se ha agregado el comando enable:

enable feature rdpproxy
<!--NeedCopy-->

La función debe tener licencia para ejecutar este comando.

Otros cambios en el proxy RDP

Se ha convertido en obligatorio un atributo de clave previamente compartida (PSK) en el perfil del servidor.

Para migrar las configuraciones existentes de Citrix ADC 10.5.e para el proxy RDP a Citrix ADC 11.0, se deben comprender y abordar los siguientes detalles.

Si un administrador quiere agregar una configuración de proxy RDP existente a una implementación de Unified Gateway elegida:

  • La dirección IP del servidor virtual Citrix Gateway debe modificarse y establecerse en una dirección IP no direccionable (0.0.0.0).
  • Los certificados de servidor SSL/TLS y las directivas de autenticación deben estar vinculados al servidor virtual de Citrix Gateway que forma parte de la formación de Unified Gateway elegida.

¿Cómo se migra una configuración de proxy del Protocolo de escritorio remoto (RDP) basada en Citrix ADC 10.5.e a Citrix ADC 11.0?

Opción 1: Mantenga el servidor virtual Citrix Gateway existente con la configuración de proxy RDP tal cual, con una licencia Premium o Advanced.

Opción 2: Mueva el servidor virtual Citrix Gateway existente con la configuración de proxy RDP y colóquelo detrás de un servidor virtual de Unified Gateway.

Opción 3: Agregar un servidor virtual Citrix Gateway independiente con configuración de proxy RDP a un dispositivo Standard Edition existente.

¿Cómo se configura la configuración del proxy de Citrix Gateway para RDP mediante la versión Citrix ADC 11.0?

Existen dos opciones para implementar el proxy RDP mediante la versión NS 11.0:

  1. Uso de un servidor virtual Citrix Gateway externo. Esto requiere una dirección IP/FQDN visible externamente para el servidor virtual de Citrix Gateway. Esta opción es la que está disponible en Citrix ADC 10.5.e.

  2. Utilizar un servidor virtual de Unified Gateway para front-end del servidor virtual de Citrix Gateway.

Con la opción 2, el servidor virtual de Citrix Gateway no necesita su propia dirección IP/FQDN, porque utiliza una dirección IP no direccionable (0.0.0.0).

¿HDX Insight es compatible con Unified Gateway?

Cuando Citrix Gateway se implementa con Unified Gateway, el servidor virtual de Citrix Gateway debe tener un certificado SSL válido vinculado a él y debe estar en estado UP para generar registros de AppFlow para Citrix ADC Insight Center a efectos de la generación de informes de HDX Insight.

¿Cómo migro mi configuración HDX Insight existente?

No es necesaria ninguna migración. Las directivas de AppFlow vinculadas a un servidor virtual de Citrix Gateway se trasladan si ese servidor virtual de Citrix Gateway se coloca detrás de un servidor virtual de Unified Gateway.

Para los datos existentes en Citrix ADC Insight Center para el servidor virtual de Citrix Gateway, existen dos posibilidades:

  • Si la dirección IP del servidor virtual de Citrix Gateway se asigna a un servidor virtual de Unified Gateway como parte de la migración a Unified Gateway, los datos permanecen vinculados al servidor virtual de Citrix Gateway.
  • Si al servidor virtual de Unified Gateway se le asigna una dirección IP independiente, los datos de AppFlow del servidor virtual de Citrix Gateway se vinculan a esa nueva dirección IP. Por lo tanto, los datos existentes no forman parte de los datos nuevos.
Preguntas frecuentes acerca Unified Gateway
October 18, 2021
Contribución de: 
C
October 18, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.