Storage zones controller

Storage Zone Controller用にCitrix ADC を構成する

NetScalerバージョン10.1ビルド120.1316.e以降には、Storage Zone Controller 環境に関する基本情報の入力を求めるウィザードが含まれています。次に、次のような構成を生成します。

  • Storage Zone Controller間でトラフィックの負荷分散
  • ストレージ・ゾーン・コネクタのユーザー認証を提供
  • ShareFile アップロードとダウンロードの URI 署名を検証します。
  • Citrix ADCアプライアンスでのSSL接続を終了します

この図は、構成によって作成される次のCitrix ADCコンポーネントを示しています。

  • Citrix ADCコンテンツスイッチング仮想サーバー — ShareFileおよびストレージゾーンコネクタからのデータに対するユーザー要求を、適切なCitrix ADC負荷分散仮想サーバーに送信します。
  • Citrix ADC 負荷分散仮想サーバー — Storage Zone Controllerのトラフィックを負荷分散し、以下の処理も行います。
    • プライベートデータストレージからのデータの要求については、負荷分散仮想サーバーがハッシュ検証を実行し、着信要求に有効な URI シグネチャが存在することを確認します。

    • ストレージゾーンコネクタからのデータの要求に対して、負荷分散仮想サーバーはユーザー認証を実行できます。これは、Citrix ADC でユーザー要求を停止し、ユーザーを認証し、Storage Zone Controller にユーザーのシングルサインオンを実行します。

    注:

    Citrix ADCを介したストレージゾーンコネクタへの認証はオプションです。既知の問題により、Citrix ADCで認証が有効になっている場合、WebAppのストレージゾーンコネクタはChrome、Chromium、Safari、Edgeブラウザーでは機能しません。他のブラウザやデスクトップ/モバイルクライアントと互換性があります。

Storage Zone Controller 4.0 以降、管理者はStorage Zone Controllerへの受信接続を TLS v1.2 に制限できます。TLS v1.2 より前のプロトコルがStorage Zone Controller への受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。 詳細および構成手順については、ここをクリックしてください。

注:

10.1ビルド120.1316.eより前のNetScalerバージョンを設定するには、 Citrix ADCを手動で構成するを参照してください。

ShareFile用Citrix ADCウィザードのセットアップでは、Citrix Endpoint Management entをShareFileのSAMLアイデンティティプロバイダとして使用するために必要な構成は処理されません。詳しくは、「ここをクリック」を参照してください。

前提条件

  • 動作中のCitrix ADC構成
  • セキュリティ証明書:Citrix ADC で利用できない場合は、ウィザードでコンテンツスイッチング仮想サーバーにインストールできます。
  • Active Directory 構成に関する情報(ShareFile用Citrix ADCウィザードは、Citrix NetScalerエンタープライズエディションのライセンスを使用して完了する必要があります
    • Active Directory サーバの IP アドレスとポート
    • Active Directory ドメイン名
    • ユーザーが格納されるLDAPベースDN
    • Active Directory と通信するためのアクセス許可を持つ管理者アカウントのアカウント名とパスワード

Storage Zone Controller用にCitrix ADC を構成する

次の手順では、ShareFile用Citrix ADCウィザードの使用方法について説明します。

  1. Citrix ADCアプライアンスにログオンし、[構成]タブで[トラフィック管理]に移動します。

  2. [Citrix ShareFile]で、[ShareFile用にCitrix ADCをセットアップする]をクリックします。

    次の方法でウィザードにアクセスすることもできます。[モビリティ] で、[ Endpoint Management]、[ShareFile]、および [Citrix Gateway] をクリックします。

  3. ウィザードで要求された情報を入力します。

オプション 説明
Name コンテンツスイッチング仮想サーバーの表示名。
IPアドレス コンテンツスイッチング仮想サーバに使用される外部(パブリックまたは DMZ)の IP アドレス。DMZ IP アドレスを使用する場合は、外部ファイアウォールアドレスからこの DMZ IP アドレスへのネットワークアドレス変換(NAT)マッピングを定義する必要があります。
ShareFile データ このオプションが有効になり、ShareFile Data用のストレージゾーンにCitrix ADC接続を使用することを示します。
ネットワークファイル共有/SharePointのストレージゾーンコネクタ コネクタを使用し、Citrix ADCでユーザー認証を実行する場合は、チェックボックスをオンにします。
証明書 証明書を選択するか、コンテンツスイッチング仮想サーバー用の証明書をインストールします。証明書をインストールする場合は、証明書と秘密キーをアップロードするように求められます。標準ゾーンまたは外部ホスト名を持つ制限ゾーンの場合、証明書は公的に信頼され、自己署名されていない必要があります。
Storage Zone Controller IP アドレス 1 つ以上のStorage Zone Controller サーバーの内部 IP アドレス。これらのIPアドレスは、ストレージゾーンコントローラサーバーをCitrix ADC内のエンティティとして定義します。Citrix ADCにサーバーを追加済みの場合は、[既存から追加]をクリックしてサーバーを選択します。負荷分散にCitrix ADC を使用するには、各Storage Zone Controller サーバーの内部IPアドレスを入力します。SSLと認証にのみCitrix ADCを使用するには、IPアドレスを1つだけ入力します。
ポートとプロトコル Citrix ADC からStorage Zone Controllerへの通信に使用されるポートとプロトコル。
認証、承認、監査(Citrix ADC AAA)仮想サーバーのIPアドレス Citrix ADC AAA仮想サーバーの未使用の内部IPアドレス。Citrix ADCは、この仮想サーバーを独自に使用するために作成します。サーバは外部アクセスを必要としません。
LDAP サーバの IP アドレスとポート Active Directory サーバーの IP アドレスとポート。Citrix ADCにLDAPサーバーを追加済みの場合は、[LDAPの選択]タブをクリックしてサーバーを選択します。
タイムアウト Citrix ADCがLDAPサーバーからの応答を待機する最大秒数。デフォルトは 3 秒です。最小値は 1 秒です。
シングルサインオンドメイン Active Directory ドメイン名。
ベース DN(ユーザーの場所) ユーザーが格納される LDAP ベース識別名 (DN)。CN=ユーザー、dc=ドメイン、DC=NET という一般的な形式を使用して DN を指定します。
管理者バインド DN とパスワード Active Directory と通信するためのアクセス許可を持つ管理者アカウント。
ログオン名 Citrix ADC によって使用されるLDAP属性。ユーザーがユーザー名またはメールアドレスのどちらでログオンするかを決定します。デフォルトは sAMAccountNam です。これにより、ユーザーは自分のユーザー名を使用してログオンできます。ログオン時にメールアドレスの入力をユーザーに要求するには、このフィールドを userPrincipalName に変更します。

制限付きゾーンまたはコネクタへのWebアクセスのためにCitrix ADCを構成する

制限ゾーンまたはストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFileウィザードを完了した後、追加のCitrix ADC構成を実行する必要があります。

  • 3番目のCitrix ADC負荷分散仮想サーバーを作成して構成します。この仮想サーバーを使用して、ShareFileクライアントが信頼されたShareFileドメインにログオンしたときにのみ資格情報が送信されるようにします。

    Storage Zone Controller は、Cross-Origin Resource Sharing (CORS) 標準を使用して、制限ゾーンへの要求や、ShareFile Web インターフェイスからストレージゾーンコネクタへの要求に必要なセキュリティを提供します。CORS は HTTP ヘッダーを使用して、クライアントとサーバーが互いに十分に認識し、要求または応答が成功すべきかどうかを判断できるようにします。

    次の手順で説明するように、HTTP OPTIONS 動詞のクライアントからの匿名アクセスを許可するように、追加の仮想サーバーを構成します。OPTIONS要求は、認証されることなく、署名を検証するためのHTTPSコールアウトなしでStorage Zone Controller に渡されます。CORS プリフライトチェックは、資格情報を送信する前にドメインの信頼を検証します。

    設定を実行するために、CORS を理解する必要はありません。ただし、CORSについて詳しくは、「http://enable-cors.org/」を参照してください。

    制限ゾーン内のコネクタへの Web アクセスに Internet Explorer を使用するには、Internet Explorer の構成が必要です。

  • ストレージゾーンコネクタへの Web アクセスをサポートするには、/cifs および /spへのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) を追加します。

ShareFile用Citrix ADCウィザードを完了したら、Citrix ADCで以下の手順を実行します。

  1. 3 番目の負荷分散仮想サーバを作成します。
    1. Traffic Management > Load Balancing > Virtual Serversに移動します。

    2. [追加] をクリックしてください。

    3. 次の値を指定します。

      オプション
      Name ポリシー名(SF_ZONE_OPTIONS など)
      プロトコル SSL
      IP アドレスの種類 アドレス不能
    4. をクリックして仮想サーバを作成します。

    5. ウィザードで作成した負荷分散仮想サーバーと同じサービスをバインドするには、[負荷分散仮想サーバー] 画面の [サービス] で、[>] をクリックし、[保存] をクリックします。

    6. 仮想サーバーに証明書を追加します。

  2. 追加した仮想サーバのポリシーを作成します。
    1. Traffic Management > Content Switching > Policiesに移動します。

    2. 詳細ウィンドウで、[追加] をクリックし、[名前]、[ターゲット LB 仮想サーバー]、および [式] の値を指定します。エクスプレッションエディタ (Expression Editor) をクリックし、このエクスプレッションを作成します。[ HTTP] を選択します。[ REQ] を選択します。「 方法」を選択します。EQ (文字列) を選択し、「オプション」と入力します。式は次のように読む必要があります。 HTTP.REQ.METHOD.EQ("OPTIONS")

    3. [完了] をクリックします。

    4. [作成] をクリックします。

  3. 作成したポリシーを新しい負荷分散仮想サーバにバインドします。
    1. [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。

    2. 一覧で、仮想サーバーをクリックし、[ 編集] をクリックします。

    3. [コンテンツスイッチングポリシーのバインド] のセクションに移動し、[2 コンテンツスイッチングポリシー] をクリックします。

    4. [バインドを追加]をクリックします。

    5. 新しいコンテンツポリシーを選択し、ターゲット負荷分散仮想サーバを選択します。

    6. [バインド] をクリックします。

    7. [ バインドを編集 ] をクリックし、[ 優先度] を更新します。新しいポリシーの優先順位を変更して、3 つのポリシーのうち最も小さい番号にします。

      値が最も小さいポリシーは最も高いプライオリティを持つため、最初に処理されます。

  4. ストレージゾーンコネクタ (_SF_CIF_SP_CSPOL) へのトラフィックに使用されるポリシーを更新します。
    1. Traffic Management > Content Switching > Policiesに移動します。

    2. _SF_CIF_SP_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      
  5. ShareFile データ(_SF_SZ_CSPOL)のストレージゾーンへのトラフィックに使用されるポリシーを更新します。
    1. Traffic Management > Content Switching > Policiesに移動します。

    2. _SF_SZ_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

表示専用共有用にCitrix ADCを構成する

表示専用の共有をサポートするには、ユーザーが Microsoft Office Web アプリケーションサーバー (OWA) にアクセスできる必要があります。OWAサーバーが独自のアドレスで外部からアクセスできる場合は、Storage Zone Controller に追加のCitrix ADC 構成は必要ありません。

Citrix ADC コンテンツスイッチングポリシーを使用して、Storage Zone Controller とOffice Web App Serverを単一の外部アドレスに結合する場合は、Citrix ADC for ShareFile ウィザードの完了後に、追加のCitrix ADC構成を実行する必要があります。トラフィックが外部からアクセス可能なOWAサーバーに正しくルーティングされるようにするには、Citrix ADC構成が必要です。

次のCitrix ADCルールを構成すると、管理者はストレージゾーンのコントローラゾーンの既存の外部アドレスを再利用できるため、OWA用に追加の外部アドレスを作成する必要がなくなります。

追加のCitrix ADC負荷分散仮想サーバーを作成して構成するには:

  1. 追加の負荷分散サービスを作成します。
    • Traffic Management > Load Balancing > Servicesに移動します。
    • [追加] をクリックします。
    • OWA サーバーに対応するサービスを作成するために必要な情報を入力します。[OK] をクリックします。
  2. 追加の負荷分散仮想サーバを作成します。
    • Traffic Management > Load Balancing > Virtual Serversに移動します。
    • [追加] をクリックします。
    • 次の値を指定します。

      オプション
      Name ポリシー名(SF_owa_vServer など)
      プロトコル SSL
      IP アドレスの種類 アドレス不能
    • クリックして仮想サーバを作成します。
    • 前の手順で作成した OWA サービスに仮想サーバーをバインドするには、[ 負荷分散仮想サービスバインド]、[サービスの選択] の順にクリックします。前の手順で作成したサービスの横にあるチェックボックスをクリックします。
    • [Select]をクリックします。
    • [バインド] をクリックします。
  3. OWA サーバーへのトラフィックのルーティングに使用する新しいポリシーを作成します。
    • Traffic Management > Content Switching > Policiesに移動します。
    • [追加] を選択します。
    • ポリシーの名前を指定します。
    • 次の式を追加します。
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完全なポリシー表現は、次のようになります。

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. 負荷分散仮想内の新しいポリシーの優先順位を更新します。
    • [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
    • 負荷分散仮想サーバをクリックし、[コンテンツスイッチングポリシー] を選択します。
    • (例)「_SF_OWA」ポリシーが 3 番目に優先されるように、ポリシーの優先度を変更します。

      優先度 ポリシー名
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • [閉じる] をクリックします。[ 完了] をクリックします

Storage Zone Controller サービス用のモニターを作成する

デフォルトでは、Citrix ADC はStorage Zone Controller サーバーにpingを実行し、オンラインかどうかを確認します。ただし、コントローラーがオンラインであっても、ShareFile Web サイトにハートビートメッセージを送信できない場合があります。この場合、Citrix ADC は、ShareFile と通信していないが、Storage Zone Controller にトラフィックを送信します。

ShareFile へのStorage Zone Controller 送信接続を確認するには、heartbeat.aspxをチェックするモニターを作成し、各Storage Zone Controller Citrix ADC サービスにバインドします。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_SVCは、Storage Zone Controller に対応するCitrix ADC サービスです。このサービス名は、Citrix ADC for ShareFileウィザードによって自動的に作成されます。サービス名には、SF_SVC_IP-Address など、コントローラの IP アドレスが含まれます。

-secure サービスがポート 443 でリッスンしている場合は、YES が必要です。

Citrix ADC の構成を確認します

ウィザードを完了したら、[ トラフィック管理] > [負荷分散] > [仮想サーバー ] の順に選択し、ウィザードによって作成された負荷分散仮想サーバーのステータスを表示します。

Citrix ADCを介したShareFile要求のスループットを表示する

スループット統計は、[ ダッシュボード] メニューに表示されます