Citrix ADCをストレージゾーンController 用に構成する

NetScaler バージョン10.1ビルド120.1316.e以降には、ストレージゾーンController 環境に関する基本情報の入力を求めるウィザードが含まれています。次に、次のような構成を生成します。

  • ストレージゾーンコントローラ間でトラフィックの負荷分散
  • ストレージゾーンコネクタのユーザー認証を提供
  • ShareFileアップロードとダウンロードのURI署名を検証します
  • Citrix ADCアプライアンスでSSL接続を終了する

この図は、構成によって作成された次のCitrix ADCコンポーネントを示しています。

  • Citrix ADCコンテンツスイッチング仮想サーバー — ShareFileおよびストレージゾーンコネクタからのデータに対するユーザー要求を、適切なCitrix ADC負荷分散仮想サーバーに送信します。
  • Citrix ADC負荷分散仮想サーバー — ストレージゾーンコントローラのトラフィックの負荷分散を行い、次の処理も行います。
    • プライベートデータストレージからのデータ要求の場合、負荷分散仮想サーバーはハッシュ検証を実行し、受信要求に有効な URI 署名が存在することを確認します。

    • ストレージ・ゾーン・コネクタからのデータ要求の場合、負荷分散仮想サーバーがユーザー認証を実行します。これは、Citrix ADCでユーザー要求を停止し、ユーザーを認証し、ストレージゾーンController へのユーザーのシングルサインオンを実行します。

    Citrix ADCへの認証はオプションですが、推奨されるベストプラクティスです。

記憶域ゾーン Controller 4.0 以降、管理者は記憶域ゾーンコントローラーへの受信接続を TLS v1.2 に制限できます。TLS v1.2 より前のプロトコルがストレージゾーン Controller への受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。 詳細および構成手順については、ここをクリックしてください。

注:

10.1ビルド120.1316.eより前のバージョンのNetScaler をセットアップするには、 Citrix ADC を手動で構成するを参照してください。

ShareFile用Citrix ADC セットアップウィザードでは、ShareFile用のSAMLアイデンティティプロバイダとしてCitrix Endpoint Management を使用するために必要な構成は処理されません。詳細については、ここをクリックを参照してください。

前提条件

  • 動作中のCitrix ADC構成
  • セキュリティ証明書:Citrix ADCでまだ使用できない場合は、ウィザードを使用してコンテンツスイッチ仮想サーバーにインストールできます。
  • Active Directory の構成に関する情報(ShareFile用Citrix ADCウィザードは、Citrix社のNetScaler エンタープライズエディションライセンスを使用して完了する必要があります):
    • Active Directory サーバーの IP アドレスとポート
    • Active Directory ドメイン名
    • ユーザーが格納されている LDAP ベース DN
    • Active Directory と通信するためのアクセス許可を持つ管理者アカウントのアカウント名とパスワード

Citrix ADCをストレージゾーンコントローラ用に構成する

以下の手順では、Citrix ADC for ShareFileウィザードを使用する方法について説明します。

  1. Citrix ADCアプライアンスにログオンし、[構成]タブで[トラフィック管理]に移動します。

  2. [CitrixShareFile]で[ShareFile 用のCitrix ADCの設定]をクリックします。

    ウィザードには、次のようにアクセスすることもできます。[モビリティ] で、[ Endpoint Management]、[ShareFile]、および [Citrix Gateway] をクリックします。

  3. ウィザードで要求された情報を指定します。

オプション 説明
名前 コンテンツ切り替え仮想サーバーの表示名。
IPアドレス コンテンツスイッチング仮想サーバに使用される外部(パブリックまたは DMZ)IP アドレス。DMZ IP アドレスを使用する場合は、外部ファイアウォールアドレスからこの DMZ IP アドレスへのネットワークアドレス変換 (NAT) マッピングを定義する必要があります。
ShareFile データ このオプションは有効になっています。これは、ShareFileデータのストレージゾーンにCitrix ADC接続を使用することを示します。
ネットワークファイル共有/SharePoint のストレージゾーンコネクタ コネクタを使用し、Citrix ADCでユーザー認証を実行する場合は、チェックボックスをオンにします。
証明書 証明書を選択するか、コンテンツスイッチ仮想サーバー用の証明書をインストールします。証明書をインストールする場合は、証明書と秘密キーをアップロードするように求められます。標準ゾーンまたは外部ホスト名を持つ制限付きゾーンの場合、証明書は自己署名ではなくパブリックに信頼されている必要があります。
ストレージゾーン Controller の IP アドレス 1 つ以上のストレージゾーンController サーバーの内部 IP アドレス。これらのIPアドレスは、ストレージゾーンのController サーバーをCitrix ADC内のエンティティとして定義します。すでにCitrix ADCにサーバーを追加している場合は、「既存から追加」をクリックしてサーバーを選択します。負荷分散にCitrix ADCを使用するには、各ストレージゾーンのController サーバーの内部IPアドレスを入力します。Citrix ADCをSSLと認証にのみ使用するには、IPアドレスを1つだけ入力します。
ポートとプロトコル Citrix ADCからストレージゾーンコントローラーへの通信に使用されるポートとプロトコル。
認証、承認、監査(Citrix ADC AAA)仮想サーバーのIPアドレス Citrix ADC AAA 仮想サーバーの未使用の内部 IP アドレス。Citrix ADCは、この仮想サーバーを独自に使用するために作成します。サーバーは外部アクセスを必要としません。
LDAP サーバの IP アドレスおよびポート Active Directory サーバーの IP アドレスとポート。すでにCitrix ADCにLDAPサーバーを追加している場合は、「LDAPの選択」タブをクリックしてサーバーを選択します。
タイムアウト Citrix ADCがLDAPサーバーからの応答を待機する最大秒数。デフォルトは 3 秒です。最小値は 1 秒です。
シングルサインオンドメイン Active Directory ドメイン名。
ベースDN(ユーザーの場所) ユーザーが格納されている LDAP ベース識別名 (DN)。DN は、CN=ユーザー、DC =ドメイン、DC =ネットという一般的な形式を使用して指定します。
管理者バインド DN とパスワード Active Directory と通信するためのアクセス許可を持つ管理者アカウント。
ログオン名 ユーザーがユーザー名または電子メールアドレスのどちらでログオンするかを決定するためにCitrix ADCによって使用されるLDAP属性。既定値は sAMAccountName で、ユーザーはユーザー名を使用してログオンできます。ユーザーがログオンするときに電子メールアドレスを入力するように要求するには、このフィールドを userPrincipalName に変更します。

制限ゾーンまたはコネクタへのWebアクセス用にCitrix ADCを構成する

制限付きゾーンまたはストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFileウィザードを完了した後、追加のCitrix ADC構成を実行する必要があります。

  • ShareFileクライアントが信頼されるShareFileドメインにログオンしたときにのみ資格情報を送信するように、3番目のCitrix ADC負荷分散仮想サーバーを作成して構成します。

    ストレージゾーンController は、クロスオリジンリソース共有(CORS)標準を使用して、制限されたゾーンへの要求や ShareFile Webインターフェイスからストレージゾーンコネクタへの要求に必要なセキュリティを提供します。CORSは、HTTPヘッダーを使用して、クライアントとサーバーが要求または応答が成功するかどうかを判断するために互いに十分に知ることができます。

    次の手順で説明するように、HTTP OPTIONS 動詞のクライアントからの匿名アクセスを許可するように、追加の仮想サーバーを構成します。OPTIONS 要求は、認証されることなく HTTPS コールアウトなしでストレージゾーンController に渡され、署名を検証します。CORS プリフライトチェックは、資格情報を送信する前にドメインの信頼を検証します。

    設定を実行するために CORS を理解する必要はありません。ただし、CORS の詳細については、「http://enable-cors.org/」を参照してください。

    制限付きゾーン内のコネクタへの Web アクセスに Internet Explorer を使用するには、Internet Explorer の構成が必要です。

  • ストレージゾーンコネクタへの Web アクセスをサポートするには、/cifs および /spへのトラフィックに使用するコンテンツスイッチポリシーにパス (/ProxyService) を追加します。

ShareFile用Citrix ADCウィザードを完了した後、Citrix ADCで以下の手順を実行します。

  1. 3 番目のロードバランシング仮想サーバを作成します。
    1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。

    2. [追加] をクリックします。

    3. 次の値を指定します。

      オプション
      名前 SF_ZONE_OPTIONSなどのポリシー名
      プロトコル SSL
      IP アドレスの種類 アドレス指定不可
    4. クリックスルーして、仮想サーバを作成します。

    5. ウィザードで作成した負荷分散仮想サーバーと同じサービスをバインドするには、[負荷分散仮想サーバー] 画面の [サービス] で、[>] をクリックし、[保存] をクリックします。

    6. 仮想サーバーに証明書を追加します。

  2. 追加した仮想サーバのポリシーを作成します。
    1. [トラフィック管理] > [コンテンツの切り替え] > [ポリシー] に移動します。

    2. 詳細ウィンドウで、[追加] をクリックし、[名前]、[ターゲット LB 仮想サーバー]、および [式] の値を指定します。エクスプレッションエディタ ( Expression Editor) をクリックし、このエクスプレッションを作成します。「 HTTP」を選択します。「 要求」を選択します。[ 方法] を選択します。EQ (文字列) を選択し、OPTIONS と入力します。式は次のようになります。HTTP.REQ.METHOD.EQ("OPTIONS")

    3. [ 完了] をクリックします。

    4. [ 作成] をクリックします。

  3. 作成したポリシーを新しい負荷分散仮想サーバにバインドします。
    1. [ トラフィック管理] > [コンテンツ切り替え] > [仮想サーバー] に移動します。

    2. 一覧で、仮想サーバーをクリックし、[ 編集] をクリックします。

    3. 「コンテンツ切り替えポリシーのバインド」セクションに移動し、「2 コンテンツ切り替えポリシー」をクリックします。

    4. [ バインドを追加]をクリックします。

    5. 新しいコンテンツポリシーを選択し、ターゲットロードバランシング仮想サーバーを選択します。

    6. [ バインド] をクリックします。

    7. バインディングの編集」 をクリックし、「 優先度 」を更新します。新しいポリシーの優先順位を変更して、3 つのポリシーのうち最も小さい値にします。

      値が小さいポリシーが最も高いプライオリティを持つため、最初に処理されます。

  4. ストレージ・ゾーン・コネクタ(_SF_CIF_SP_CSPOL)へのトラフィックに使用するポリシーを更新します。
    1. [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。

    2. _SF_CIF_SP_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. ShareFileデータ(_SF_SZ_CSPOL)のストレージゾーンへのトラフィックに使用するポリシーを更新します。
    1. [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。

    2. _SF_SZ_CSPOL ポリシーを選択します。

    3. ポリシー式に以下を追加します。

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      完全なポリシー表現は、次のようになります。

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

Citrix ADCを読み取り専用共有用に構成する

読み取り専用共有をサポートするには、ユーザーが Microsoft Office Web Apps サーバー (OWA) にアクセスできる必要があります。OWAサーバーが独自のアドレスで外部からアクセス可能な場合、ストレージゾーンController にCitrix ADCを追加構成する必要はありません。

Citrix ADC コンテンツ切り替えポリシーを使用して、ストレージゾーンController とOffice Web App Serverを単一の外部アドレスに結合する場合は、Citrix ADC for ShareFileウィザードの完了後に追加のCitrix ADC構成を実行する必要があります。外部からアクセス可能なOWAサーバーにトラフィックが適切にルーティングされるようにするには、Citrix ADC構成が必要です。

次のCitrix ADCルールを構成すると、管理者はストレージゾーンのController ゾーンの既存の外部アドレスを再利用できるため、OWA用に外部アドレスを追加作成する必要がなくなります。

追加のCitrix ADC負荷分散仮想サーバーを作成して構成するには:

  1. 追加の負荷分散サービスを作成します。
    • [ トラフィック管理] > [負荷分散] > [サービス]に移動します。
    • [追加] をクリックします。
    • OWA サーバーに対応するサービスを作成するために必要な情報を入力します。[ OK] をクリックします
  2. 追加の負荷分散仮想サーバーを作成します。
    • [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
    • [追加] をクリックします。
    • 次の値を指定します。

      オプション
      名前 SF_OWA_vServerなどのポリシー名
      プロトコル SSL
      IP アドレスの種類 アドレス指定不可
    • クリックスルーして、仮想サーバを作成します。
    • 前の手順で作成した OWA サービスに仮想サーバーをバインドするには、[ 負荷分散仮想サービスバインド]、[サービスの選択] の順にクリックします。前の手順で作成したサービスの横にあるチェックボックスをクリックします。
    • [ 選択] をクリックします。
    • [ バインド] をクリックします。
  3. OWA サーバーにトラフィックをルーティングするために使用する新しいポリシーを作成します。
    • [ トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。
    • [ 追加]を選択します。
    • ポリシーに名前を付けます。
    • 次の式を追加します。
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        完全なポリシー表現は、次のようになります。

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. ロードバランシング仮想内で新しいポリシーのプライオリティを更新する
    • [ トラフィック管理] > [コンテンツ切り替え] > [仮想サーバー] に移動します。
    • 負荷分散仮想サーバーをクリックし、[コンテンツ切り替えポリシー] を選択します。
    • ポリシーの優先順位を変更して、(例)「_SF_OWA」ポリシーの優先順位を3番目にします。

      [優先度] ポリシー名
      90 SF_ZK_OPTIONS
      95 SPOL
      99 OWA
      100 SF_SZ_CSPOL
  • [閉じる] をクリックします。[ 完了] をクリックします。

ストレージゾーン Controller サービスのモニタを作成する

デフォルトでは、Citrix ADCはストレージゾーンController サーバーにpingを実行して、オンラインであるかどうかを判断します。ただし、Controller がオンラインであっても、ShareFileウェブサイトにハートビートメッセージを送信できない場合があります。この場合、Citrix ADCはShareFileと通信していませんが、ストレージゾーンController にトラフィックを送信します。

ShareFileへのストレージゾーンController 送信接続を確認するには、heartbeat.aspxをチェックし、各ストレージゾーンController Citrix ADCサービスにバインドするモニターを作成します。

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_Svcは、ストレージゾーンController に対応するCitrix ADCサービスです。このサービス名は、Citrix ADC for ShareFileウィザードによって自動的に作成されます。サービス名には、_SF_SVC_ip-address などのController の IP アドレスが含まれます。

-secure サービスがポート 443 でリッスンしている場合は、YES が必要です。

Citrix ADC の構成を確認します

ウィザードを完了したら、[ トラフィック管理] > [負荷分散] > [仮想サーバー ] の順に選択し、ウィザードによって作成された負荷分散仮想サーバーのステータスを表示します。

Citrix ADCによるShareFileリクエストのスループットの表示

スループットの統計情報は、[ ダッシュボード ] メニューにあります。