Citrix Gateway Connector

Citrix Gateway Connector 是 Citrix 组件,用作云服务(Citrix Gateway 服务、ADM 等)与 Web 服务器等本地组件之间的通信渠道。它是一款与 Citrix Hypervisor、VMware ESXi 和微软 Hyper-V 兼容的虚拟设备,外形小巧。Citrix Gateway Connector 方便了对企业 Web 应用程序的远程访问。

工作原理

Citrix Gateway Connector 对 Citrix Cloud 与资源位置之间的所有通信进行身份验证和加密。Citrix Gateway Connector 与 Citrix Cloud 之间的通信是出站的。从 Citrix Gateway Connector 到云的所有连接都使用标准 HTTPS 端口 (443) 和 TCP 协议建立。不接受任何传入连接。允许使用以下 FQDN 的 TCP 端口 443 出站:

  • *.nssvc.net
  • *.netscalermgmt.net
  • *.citrixWorkspace api.net
  • *.citrixnetworkapi.net
  • *.citrix.com
  • *.servicebus.windows.net
  • *.adm.cloud.com

重要提示:

如果必须部署 Citrix Gateway Connector 的本地数据中心中有 SSL 拦截设备,则如果为这些 FQDN 启用了 SSL 拦截,则连接器注册不会成功。必须为这些 FQDN 禁用 SSL 拦截才能成功注册连接器。

Citrix Gateway Connector 的功能

以下是 Citrix Gateway Connector 的一些功能。

  • 充当反向代理 — Citrix Gateway Connector 充当企业 Web 应用程序的反向代理。必须将所需的 Web 应用程序端口从网关连接器打开到应用程序。
  • 启用单点登录:Citrix Gateway Connector 通过 Citrix Gateway 服务提供以下单点登录功能。
    • 基本 SSO
    • Kerberos
    • 基于表单
    • SAML
    • 没有 SSO
  • 支持通过 Secure Workspace Access 应用可选安全策略 — Citrix Gateway Connector 通过 CitCitrix Secure Workspace Access 服务提供增强的安全功能。例如,
    • 限制剪贴板访问
    • 限制打印
    • 限制导航
    • 限制下载
    • 显示水印
    • 应用程序保护策略
    • 在移动设备上实施策略

有关详细信息,请参阅对 企业 Web 应用程序支持和软件即服务应用程序的支持。

系统要求

Citrix Gateway Connector 是虚拟设备。Citrix Gateway Connector 的最低系统要求如下:

  • vCPU 的数量必须正好为 2。
  • 最低 4 GB 内存。

    重要提示:

    RAM 的新的最低系统要求已经改变。如果您现有 Citrix Gateway Connector,请升级虚拟机的系统内存以满足 4 GB RAM 的新要求。

有关详细信息,请参阅 升级 Citrix Gateway Connector 虚拟机的系统内存

  • 1 个网络适配器(虚拟 NIC)。您可以根据需要添加额外的虚拟网卡。
  • 防火墙:

    • 连接到 DNS 服务器的 UDP 端口 53
    • TCP 和 UDP 端口 389 到 Active Directory 域控制器(可选 * - * 在页面末尾描述)
    • TCP 端口 636 到 Active Directory 域控制器(可选 *
    • TCP 端口 3268 到 Active Directory 域控制器(可选 *
    • TCP 端口 3269 到 Active Directory 域控制器(可选 *
    • 允许使用以下 FQDN 的 TCP 端口 443 出站:
      • *.nssvc.net
      • *.netscalermgmt.net
      • *.citrixWorkspace api.net
      • *.citrixnetworkapi.net
      • *.citrix.com
      • *.servicebus.windows.net
      • *.adm.cloud.com
    • 使用 Citrix Gateway Connector 访问的 Web 服务器的 TCP 端口 (**)
    • 开放端口 8443 入站进行基于 Web 的管理

      * - 执行基于域的单点登录 Web 应用程序所需的端口 ** - 端口由客户的环境决定 - 端口 80 和 443 是典型端口

推荐: 启用 DHCP 的网络以简化初始配置。

安装 Citrix Gateway Connector 的方法

Citrix Gateway Connector 可以通过以下方式之一安装。

在这两种情况下,您都必须按照以下部分所述创建新虚拟机。

创建新的虚拟机

  1. 登录 Citrix Cloud。
  2. 从屏幕左上角的菜单中,选择 资源位置
    • 如果您没有现有的资源位置,请单击资源位置页面上的 下载 。系统提示时,保存 cwcconnector.exe 文件。有关详细信息,请参阅 Cloud Connector 安装
    • 如果您有资源位置但未安装云连接器,请单击云连接器栏,然后单击 下载。系统提示时,保存 cwcconnector.exe 文件。
  3. 单击 网关连接器

    连接器新

  4. 选择虚拟机管理程序并单击 下载映像。将本地下载的映像导入虚拟机管理程序,然后创建一个新的虚拟机 (Citrix Gateway Connector)。

    下载图片

  5. 单击 获取激活码

    获取激活码

  6. 激活码的生成方式如下。

    激活码

  7. 安装完成后,单击 “ 检测”。

    检测连接器

使用 Citrix Cloud 用户界面安装 Citrix Gateway Connector

以下是使用 Citrix Cloud 用户界面设置资源位置和安装 Citrix Gateway Connector 的步骤:

  1. Citrix Cloud 屏幕的左上角,单击汉堡包图标,然后选择 资源位置。单击资源位置旁边的加号图标。

    资源位置

  2. 提供资源位置的名称,然后单击保存

    位置名

  3. 双击新创建的资源位置下 Citrix Gateway Connector 旁边的加号图标。

    连接器新

  4. 按照 创建新虚拟机中的说明完成这些步骤。

添加企业 Web 应用程序时安装 Citrix Gateway Connector

使用 Citrix Gateway 服务 用户界面添加企业 Web 应用程序时,可以设置新的资源位置和下载连接器。有关添加企业 Web 应用程序的详细信息,请参阅 企业 Web 应用程序支持

要设置资源位置和下载连接器,请执行以下步骤:

  1. Web 应用程序连接 部分中,选择 新建 单选按钮。提供资源位置的名称,然后单击保存

    新的资源位置

  2. 单击安装 Citrix Gateway Connector

    安装连接器

  3. 按照 创建新虚拟机中的说明完成这些步骤。

使用 URL 访问 Citrix Gateway Connector 用户界面

您可以使用新安装的 Citrix Gateway Connector 虚拟机上的其中一条消息中显示的 URL 访问 Citrix Gateway Connector 用户界面。您还可以以管理员身份登录 Citrix Gateway Connector CLI,然后运行 show ip 命令以查看通过 DHCP 分配给 Citrix Gateway Connector 的 IP 地址。然后,您可以在浏览器上打开 https://<IP address>:8443 以访问 Citrix Gateway Connector 管理员用户界面。

重要提示:

对于 Azure,Citrix 建议客户从 Azure 虚拟网络内部访问 Citrix Gateway Connector 用户界面。

登录并设置 Citrix Gateway Connector

Citrix Gateway Connector 安装完成后,在新安装的虚拟机(Citrix Gateway Connector)上查找以下消息。

安装连接器之后

在浏览器中键入上述 URL 以访问 Citrix Gateway Connector 用户界面。您还可以以管理员身份登录 Citrix Gateway Connector CLI 并运行 show ip命令。该命令显示通过 DHCP 分配给 Citrix Gateway Connector 的 IP 地址。然后在浏览器上打开 <https://IP address:8443> 以访问 Citrix Gateway Connector 管理员用户界面。

  1. 对首次使用的用户而言,以下屏幕的用户名和密码为 administrator

    登录凭据

  2. 通过在设置管理员密码部分中提供您选择的密码来更改密码,然后单击继续

  3. 系统设置部分输入以下配置详细信息,然后单击继续
    • 连接器 IP 地址 — 网关连接器的 IP 地址。
    • 子网掩 码 — 网关连接器 IP 地址的子网掩码。
    • 默认网关 — 默认网关的 IP 地址。
    • DNS 服务器 — DNS 服务器的 IP 地址。从 Citrix Gateway Connector 版本 13.0 开始,DNS 服务器配置发生了更改。有关详细信息,请参阅 DNS 服务器设置的更改部分。
    • 代理 IP — 您的内部代理服务器 IP 地址。
    • 代理端口 — 代理服务器的端口。

    系统设置

    DNS 服务器设置的更改:

    从 Citrix Gateway Connector 13.0.400.xxx 开始,在系统设置部分中设置后,连接器设备上 UDP 和 TCP 协议的 DNS 配置将自动更新。但是,如果您从早期版本升级连接器,则必须手动删除 DNS 设置并重新读取。为此,请执行以下操作。

    1. 导航到 Citrix Gateway Connector 控制板 > 编辑设置
    2. 单击第一个 DNS 服务器 字段旁边的删除图标,然后单击 继续
    3. 导航到编辑设置页面,阅读相同的 DNS 服务器,然后单击继续
    4. 对第二台 DNS 服务器重复这些步骤。 注意:
      • 对于 13.0 Citrix Gateway Connector 的新实例,您无需执行这些步骤。
      • 升级后不需要立即执行前面提到的步骤。如果不这样做,不会丢失功能。对于需要通过 TCP 功能进行 DNS 以使企业 Web 应用程序正常运行的企业客户,必须执行这些步骤。
  4. 单点登录 部分中,选中 启用 Kerberos 单点登录 以了解基本身份验证以外的功能。

    Active Directory 域是全局域,被设置为 KCD 账户的领域。如果要覆盖用户的全局领域,则可以在连接器中使用以下命令。使用与登录连接器配置页面相同的凭据 SSH 到网关连接器。键入以下命令:

    set kcdaccount ngs_kcdaccount -userRealm <value>
    <!--NeedCopy-->
    

    示例: 在本例中,realm aaa.local 是全局域,bbb.local 是被覆盖的用户领域。

    ssh kcdaccount
      KCD Account : ngs_kcdaccount
      Keytab :
      Realm : AAA.LOCAL
      User Realm : BBB.LOCAL
      DelegatedUser :
      User Certificate :
      CA Certificate :
    Done
    <!--NeedCopy-->
    

    您可以通过两种方式验证 Kerberos 的详细信息:仅领域模式和完整的 Kerberos 约束委派 (KCD)。

    重要提示:

    要在 Citrix Gateway Connector 上使用 KCD,必须先在数据中心中设置 KCD,然后在 Citrix Gateway Connector 上配置 KCD。有关详细信息,请参阅在 Citrix Gateway Connector 上配置 KCD 之前在数据中心设置 KCD 的必备条件

    您可以使用测试选项进行调试。例如,如果 Kerberos 详细信息设置不正确,如果添加了应用程序,则应用程序的 SSO 将失败。

    1. 对于仅领域模式,请选择 启用 Kerberos 单点登录, 输入以下详细信息,然后单击测试 Kerberos
      • Active Directory 域 — 用于授予用户访问权限的 Active Directory 域。
      • Service FQDN -服务的 FQDN(用户必须通过配置 Web 应用程序访问的服务 FQDN)。
      • 用户名 — 登录用户的用户名。
      • 密码 — 登录用户的密码。

      没有 kerberos 验证

    2. 对于完整的 Kerberos 约束委派,请选择 Kerberos 约束委派, 输入以下详细信息,然后单击测试 Kerberos
      • Active Directory 域 — 用于授予用户访问权限的 Active Directory 域。
      • 服务帐户用户名 — 用于委派的服务帐户用户名。有关详细信息,请参阅在 Citrix Gateway Connector 上配置 KCD 之前在数据中心设置 KCD 的必备条件
      • 服务帐户密码 — 用于委派的服务帐户用户名的密码。
      • Service FQDN -服务的 FQDN(用户必须通过配置 Web 应用程序访问的服务 FQDN)。
      • 用户名 - 登录用户的用户名。

      Kerberos 验证

    在这两种情况下,根据验证是否成功,都会显示相应的消息。下图显示了验证错误消息示例。 Kerberos 验证失败消息

  5. 输入激活码以将连接器注册到 Citrix Cloud。单击保存完成

  6. 单击 连接测试。(此步骤是可选的)

    测试连通性

    通过连接性测试 选项,您可以确认网关连接器配置中没有错误,并且网关连接器能够连接到 URL。此步骤可选。您可以跳过此步骤,继续激活网关连接器。

    • 单击 连接测试时,会在后端运行一组 URL,以确保连接器能够连接到这些 URL。如果所有 URL 都成功运行,则会显示连接测试成功消息。单击连接测试时,将运行以下 FQDN。

      • agent.netscalermgmt.net
      • agent.netscalermgmt.net
      • trust.citrixnetworkapi.net
      • download.citrixnetworkapi.net
      • web-reg.c.nssvc.net
      • agent.adm.cloud.com
      • anse.agent.adm.cloud.com
      • railay.agent.adm.cloud.com
      • agent.netscalermgmt.net
      • evergreen.citrixnetworkapi.net
      • agenthub.citrixworkspacesapi.net
      • callhome.citrix.com
    • 如果这些 URL 中的任何一个没有响应,则会显示错误消息并显示相应的 URL。错误消息分为三类。

      • DNS 错误
      • 服务器错误
      • SSL 例外

    以下图像显示示例错误消息。

    测试连接消息 1

    测试连接消息 2

  7. 最后输入激活码以向 Citrix Cloud 注册连接器,然后单击 保存并完成

    有关如何获取激活码的详细信息,请参阅 创建新虚拟机

保存并完成

在 Citrix Gateway Connector 上配置 KCD 之前在数据中心设置 KCD 的先决条件

  1. 在活动目录中创建必须用于委派的用户帐户。

    在活动目录中创建帐户

  2. 使用以下命令为必须使用 KCD 的 Web 服务器添加服务主体名称 (SPN)。

    setspn -A http://<webserver fqdn> <domain\Kerberos user>
    <!--NeedCopy-->
    
  3. 使用以下命令确认 Kerberos 用户的 SPN。

    setspn –l <Kerberos user>
    <!--NeedCopy-->
    

    在以下示例中,为 KCD 帐户必须访问的 Web 服务器添加了一个 SPN。

    为 Web 服务器添加 SPN 示例

    请注意,运行 setspn 命令后会显示委派选项卡。

    运行 SPN 命令后的 “委派” 选项卡

  4. 选择 信任此用户仅委派给指定服务 ,然后选择 使用任何身份验证协议

  5. 添加需要 Kerberos SSO 的 Web 服务器,然后选择服务类型http

    委派选项卡中的设置

注意:

现在,在 Citrix Gateway Connector 上配置 KCD 时,您可以使用此用户帐户。必须将此用户帐户添加为服务帐户用户名。

对 Citrix Gateway Connector 注册问题

您可以使用跟踪功能和下载日志功能来解决 Citrix Gateway Connector 注册问题

跟踪功能

注册 Citrix Gateway Connector 时,您可能会遇到问题,因此注册可能无法成功。要解决这些问题,可以使用首次注册连接器时出现的跟踪信息链接。您可以下载跟踪文件并与管理员共享以进行故障排除。跟踪文件采用加密格式。 即使在注册之后,网关连接器控制面板中也可以使用跟踪信息链接。您还可以从仪表板捕获和下载跟踪文件以查看调试问题。

如何下载跟踪文件

  1. 单击 跟踪信息

    跟踪信息链接

  2. 在 “ 追踪 ” 对话框中,选择要运行追踪的持续时间,然后单击 “ 开始”。“ 跟踪 ” 对话框将显示进度。

    跟踪对话框

  3. 您可以在跟踪完成之前停止正在进行的跟踪。然后,您可以通过单击下载按钮来下载跟踪文件。也可以从对话框中启动新的跟踪。

    下载跟踪

注意: 对于调试注册失败,首先以给定的预设间隔启动跟踪,输入激活码,然后提交以进行注册。

  • 如果注册失败,您可以单击 “ 跟踪信息 ” 链接以再次打开 “ 追踪 ” 对话框,停止跟踪,然后下载跟踪文件。
  • 如果注册成功,则仪表板控制台将出现,跟踪将在后台自动停止。

重要:

  • 追踪 完成之前关闭 “追踪” 窗口不会停止追踪。跟踪一直在后台运行,直到它完成。
  • 如果在进行跟踪时刷新或关闭浏览器,则必须通过单击跟踪信息链接手动停止跟踪,以防止跟踪无限期运行。在这种情况下,跟踪信息链接仅显示停止按钮,不显示下载按钮。因此,您无法下载捕获的跟踪。要再次捕获跟踪,请单击 启动新跟踪

下载日志

从版本 401.251 开始,网关连接器中提供了下载日志选项。如果您使用的是早期版本的连接器,并且将连接器升级到 401.251 版本,即使 “下载日志” 链接可用,仍然无法 下载日志 。

如何下载日志

  1. 单击 下载日志

    即使在第一次使用时,也可以使用 “ 下载日志 ” 链接来帮助设置连接器。

    将生成日志文件。生成日志文件需要一些时间。生成日志文件后,将显示一条消息,其中包含指向下载文件的链接。

  2. 单击下载。下载了 .tgz 文件。

下载文件夹中的所有文件都采用加密格式。请联系 Citrix Cloud 支持团队寻求帮助。

删除 Citrix Gateway Connector

执行以下操作可删除 Citrix Gateway Connector。

  1. 登录 Citrix Cloud。

  2. 从屏幕左上角的菜单中选择 资源位置

  3. 在资源位置页面中,单击特定资源位置的 网关连接器

    资源位置-选择连接器

  4. 选择要删除的网关连接器,然后单击省略号菜单。

    删除连接器

  5. 选择 删除连接器。

    此时将显示确认对话框。

  6. 单击 “ 确定”

    注意:从 “资源位置” 页面中删除网关连接器可能需要几分钟的时间。此外,网关连接器可能需要一段时间才能从网关控制器注销注册。

升级 Citrix Gateway Connector 虚拟机的系统内存

默认情况下,网关连接器 RAM 大小为 2 GB。因此,建议您将 RAM 大小增加到 4 GB 以获得最佳性能。此建议适用于新的或现有的连接器安装。

如果为了实现高可用性,每个资源位置有两个连接器,请执行以下操作以升级连接器虚拟机。

  1. 在虚拟机管理程序中,关闭其中一个连接器虚拟机。
  2. 根据虚拟机管理程序的类型,编辑虚拟机的硬件配置或设置。
  3. 导航到 “内存” 选项卡。
  4. 如果 RAM 大小为 2,048 MB,请将其增加到 4,096 MB 并保存配置。
  5. 打开虚拟机电源。
  6. 在第二个连接器虚拟机上也重复这些步骤。

重要提示:

确保每次升级一个连接器,以避免任何中断。

Citrix Gateway Connector 的持续可用性

只要确保每个资源位置的 Citrix Gateway Connector 的连续可用性,就可以一次管理安装这些计算机的一台计算机,以避免中断。

要获得持续可用性,请在每个资源位置安装多个 Citrix Gateway Connector。Citrix 建议在每个资源位置至少使用两 (2) 个 Citrix Gateway Connector。如果一个 Citrix Gateway Connector 在任何时候都不可用,则其他 Citrix Gateway Connector 可以维护该连接。 只要有一个 Citrix Gateway Connector 可用,与 Citrix Cloud 的通信就不会丢失。 可以限制 Citrix Gateway Connector 在指定的维护时段内每 24 小时升级一次,每个资源位置进行控制。

负载管理

通过在每个资源位置安装多个 Citrix Gateway Connector 来管理负载。由于每个 Citrix Gateway Connector 都是无状态的,因此负载可以分配到所有可用的 Citrix Gateway Connector。不需要配置此负载平衡功能。它是自动化的。