Product Documentation

Configuración de dos direcciones URL para un mismo NetScaler Gateway

Jun 29, 2017

En StoreFront, puede agregar una dirección de URL de NetScaler Gateway desde la consola de administración de StoreFront, con la opción Administrar NetScaler Gateway > Agregar o Modificar. También es posible agregar una URL de NetScaler Gateway pública y una URL de equlibrio de carga global de servidores (GSLB) en Administrar NetScaler Gateway > Importar desde un archivo.

Este artículo, muestra cómo usar los cmdlets de PowerShell y el SDK de PowerShell de StoreFront para usar un parámetro optativo, - gslburl, para establecer el atributo GslbLocation de una puerta de enlace. Esta funcionalidad simplifica la administración de NetScaler Gateway en StoreFront en los siguientes casos de uso: 

  1. GSLB y varios NetScaler Gateway. Use GSLB y varios NetScaler Gateway para equilibrar la carga de conexiones remotas con recursos publicados en dos o más ubicaciones dentro de una implementación de Citrix global de gran tamaño.
  2. NetScaler Gateway único con una URL pública o privada. Use el mismo NetScaler Gateway para el acceso externo usando una URL pública, y para el acceso interno, usando una URL privada.

Esta es una funcionalidad avanzada. Si no está familiarizado con GSLB (Global Server Load Balancing), consulte los enlaces de información relacionada, al final de este artículo.

Esta funcionalidad ofrece las ventajas siguientes:

  • Respaldo para dos URL simultáneas para un mismo objeto de puerta de enlace.
  • Los usuarios pueden alternar entre dos direcciones URL diferentes para acceder a NetScaler Gateway sin que el administrador vuelva a configurar el objeto de puerta de enlace de StoreFront para que coincida con la URL de puerta de enlace que el usuario desea usar.
  • Periodos de instalación y prueba más cortos, para validar la configuración de la puerta de enlace de StoreFront cuando se usan varias puertas de enlace con GSLB.
  • Utilizar el mismo objeto de NetScaler Gateway en StoreFront dentro de la zona DMZ tanto para el acceso interno como el externo.
  • Respaldo de ambas direcciones URL para un enrutamiento de la puerta de enlace óptimo. Para obtener más información sobre el enrutamiento óptimo de puertas de enlace, consulte Configuraciones de tienda multisitio con alta disponibilidad.

Consideraciones sobre la implementación cuando se usan dos direcciones URL de puerta de enlace

Important

Antes de configurar una segunda dirección URL de puerta de enlace mediante el parámetro - gslburl, Citrix recomienda consultar los certificados de servidor con los que se cuenta y cómo se lleva a cabo la resolución de DNS en la organización. Las direcciones URL que se quieran usar en la implementación de NetScaler y StoreFront deben estar presentes en los certificados del servidor. Para obtener más información sobre certificados de servidor, consulte Planificación de uso de la puerta de enlace y el servidor de certificados.

DNS

  • DNS dividida. Las empresas grandes con frecuencia usan infraestructuras de DNS dividido. El DNS dividido implica el uso de espacios de nombres diferentes y servidores DNS diferentes y resolución DNS privada. Compruebe si tiene la infraestructura DNS existente para respaldar esto.
  • Una misma URL para el acceso interno y externo a los recursos publicados. Decida si desea utilizar la misma dirección URL para acceder a recursos publicados desde fuera y desde dentro de la red corporativa, o considere si la posiblidad de tener direcciones URL distintas sería aceptable: por ejemplo: ejemplo.com y ejemplo.net.

Ejemplos de certificado de servidor

Esta sección contiene ejemplos de implementaciones de certificado de servidor cuando se usan dos direcciones URL de puerta de enlace. 

  • Ejemplo de certificado de servidor para una implementación de StoreFront con equilibrio de carga

Un certificado de servidor comodín firmado de forma privada debe contener el nombre FQDN *. storefront.example.net.

O bien:

Un certificado de servidor SAN firmado de forma privada debe contener todos los FQDN necesarios para equilibrar la carga de tres servidores StoreFront.

loadbalancer.storefront.example.net

server1.storefront.example.net

server2.storefront.example.net

server3.storefront.example.net

Establezca la URL base del host del grupo de servidores StoreFront para que sea el nombre FQDN compartido, que se resuelve con la dirección IP del equilibrador de carga.

loadbalancer.storefront.example.net

  • Ejemplo de certificado de servidor para un grupo de Delivery Controllers de XenApp y XenDesktop 7.x

Un certificado de servidor comodín firmado de forma privada debe contener el nombre FQDN *.xendesktop.example.net.

O bien:

Un certificado de servidor SAN firmado de forma privada debe contener todos los nombres FQDN de servidores necesarios para un sitio de XenDesktop que contenga cuatro Controllers.

XD1A. XenDesktop.example.NET

XD1B. xendesktop.example.net

XD2A. XenDesktop.example.NET

XD2B. xendesktop.example.net

  • Ejemplo de certificado de servidor para un dispositivo NetScaler Gateway al que se accede de forma externa e interna, usando DNS dividido

Un certificado de servidor SAN firmado públicamente para el acceso interno y externo debe contener los nombres FQDN interno y externo.

gateway.example.com

gateway.example.net

  • Ejemplo de certificado de servidor para todas las puertas de enlace con GSLB a las que se accede externamente

Un certificado de servidor SAN firmado públicamente para el acceso externo a través de GSLB debe contener los nombres FQDN.

gslbdomain.example.com

emeagateway.example.com

usgateway.example.com

apacgateway.example.com

Esto permite al usuario acceder a la puerta de enlace más cercana usando GSLB o elegir una puerta de enlace en la ubicación que desee usando su nombre FQDN exclusivo.

Caso #1: GSLB y varios NetScaler Gateways

El administrador usa el equilibrio de carga de servidores global (GSLB) y varias puertas de enlace NetScaler Getwway para equilibrar las conexiones remotas con recursos publicados en dos o más ubicaciones, dentro de una implementación de Citrix global de gran tamaño.

localized image

En este ejemplo:

  • Cada ubicación o centro de datos contiene al menos una puerta de enlace, uno o varios servidores StoreFront y uno o varios Controllers de XenApp y XenDesktop para ofrecer recursos publicados en esa ubicación.  
  • Cada servicio GSLB configurado en los dispositivos NetScaler GSLB dentro de la implementación global representa un servidor virtual VPN de puerta de enlace. Todos los servidores StoreFront de la implementación deben estar configurados para que contengan todos los servidores virtuales de NetScaler Gateway que componen la capa de GSLB.
  • Los NetScaler Gateway GSLB se usan en modo activo/activo pero también pueden usarse como alternativa de conmutación por error, para situaciones en que la conexión de red, el DNS, la puerta de enlace, el servidor StoreFront o los Controllers de XenApp y XenDesktop de una ubicación no respondan. Los usuarios se redirigen automáticamente a otra puerta de enlace si uno de los servicios GSLB no está disponible.
  • Los clientes externos se dirigen a la puerta de enlace más cercana en función del algoritmo de equilibrio de carga GSLB que se haya configurado, tal como el tiempo de retorno (RTT) o la proximidad estática, cuando se establecen conexiones remotas.
  • La dirección URL única para cada puerta de enlace permite a los usuarios seleccionar manualmente el centro de datos desde donde desean abrir recursos, eligiendo la URL específica de la ubicación de la puerta de enlace que quieran usar. 
  • El equilibrio de carga GSLB puede omitirse cuando GSLB o la delegación de DNS no funcione según lo previsto. Los usuarios pueden seguir accediendo los recursos remotos en cualquier centro de datos usando la URL específica de su ubicación, hasta que se resuelvan los problemas de GSLB.

Caso #2: NetScaler Gateway único con una URL pública o privada

El administrador usa el mismo NetScaler Gateway para el acceso externo (con una URL pública) y para el acceso interno (con una URL privada).

localized image

En este ejemplo:

  • El administrador quiere que todo el acceso a los recursos publicados y el tráfico de HDX pasen a través de un NetScaler Gateway, incluso aunque el cliente sea interno.
  • El NetScaler se encuentra en una zona desmilitarizada (DMZ).
  • Existen dos rutas de red distintas al NetScaler Gateway a través de los dos firewalls situados a cada lado de la zona DMZ.
  • El espacio de nombres externo, de cara al público, es distinto del espacio de nombres interno.

Ejemplos de dmdlets de PowerShell

Use los cmdlets de PowerShell Add-STFRoamingGateway y Set-STFRoamingGateway con el parámetro - gslburl, para establecer el atributo GslbLocation en el objeto de puerta de enlace de StoreFront. Por ejemplo:

comando Copiar

Add-STFRoamingGateway -Name "EMEAGateway" -GatewayUrl "https://emeagateway.example.com" -GSLBurl "https://gslb.example.com" -SubnetIPAddress "10.0.0.1" -CallbackUrl "https://emeagateway.example.com" -LogonType "DomainAndRSA" -SmartCardFallbackLogonType "None" -Version "Version10_0_69_4" -SecureTicketAuthorityUrls "https://emea-controller.example.com/scripts/ctxsta.dll,https://us-controller.example.com/scripts/ctxsta.dll,https://apac-controller.example.com/scripts/ctxsta.dll"

Set-STFRoamingGateway -Name "EMEAGateway" -GatewayUrl "https://emeagateway.example.com" -GSLBurl "https://gslb.example.com"

Get-STFRoamingGateway -Name "EMEAGateway" (returns just the EMEA gateway object)

Or

Get-STFRoamingGateway (returns all gateway object configured in StoreFront)

En el caso #1, se devuelven las puertas de enlace siguientes al usar el comando Get-STFRoamingGateway:

comando Copiar

Name: EMEAGateway
Location: https://emeagateway.example.com/ (Unique URL for the EMEA Gateway)
GslbLocation: https://gslb.example.com/ (GSLB URL for all three gateways)

 

Name: USGateway
Location: https://USgateway.example.com/ (Unique URL for the US Gateway)
GslbLocation: https://gslb.example.com/ (GSLB URL for all three gateways)

 

Name: APACGateway
Location: https://APACgateway.example.com/ (Unique URL for the APAC Gateway)
GslbLocation:  https://gslb.example.com/ (GSLB URL for all three gateways)

En el caso #2, se devuelven las puertas de enlace siguientes al usar el comando Get-STFRoamingGateway:

comando Copiar

Name: EMEAGateway
Location: https://emeagateway.example.com/ (Public URL for the Gateway)
GslbLocation: https://emeagateway.example.net/ (Private URL for the Gateway)

En el caso #1, se devuelve el enrutamiento óptimo de puerta de enlace al usar el comando Get-STFStoreRegisteredOptimalLaunchGateway:

comando Copiar

$StoreObject = Get-STFStoreService -SiteId 1 -VirtualPath "/Citrix/<YourStore>"
Get-STFStoreRegisteredOptimalLaunchGateway -StoreService $StoreObject

 

Hostnames:       {emeagateway.example.com, gslb.example.com}

Hostnames:       {usgateway.example.com, gslb.example.com}

Hostnames:       {apacgateway.example.com, gslb.example.com}

La URL de GSLB o la URL interna para cada puerta de enlace se almacenan en el archivo web.config del servicio Roaming Service.

StoreFront no muestra la URL de GSLB o la dirección URL interna para cada puerta de enlace de NetScaler Gateway dentro de la consola de administración de StoreFront, pero es posible ver la ruta GSLBLocation configurada para todas las puertas de enlace GSLB, abriendo el archivo web.config del servicio Roaming Service en C:\inetpub\wwwroot\Citrix\Roaming\web.config en el servidor StoreFront.

Puertas de enlace del caso #1 en el archivo web.config del servicio Roaming














 













 













Puertas de enlace del caso #2 en el archivo web.config del servicio Roaming