适用于 StoreFront 的 Citrix Gateway 服务 - 预览版
重要信息:
- 本文档介绍了在您更倾向于使用本地 NetScaler Gateway 进行身份验证和使用本地 StoreFront 进行枚举的情况下部署适用于 StoreFront 的 Citrix Gateway 服务时可以执行的步骤。
- 适用于 StoreFront 的 Citrix Gateway 服务解决方案处于预览阶段,不得在生产环境中使用。建议仅在非生产环境中使用预览版中的功能,让客户有机会分享反馈。Cloud Software Group 不接受预览版功能的支持案例,但欢迎反馈以改进这些功能。Cloud Software Group 可能会根据其严重性、重要性和重要性自行决定根据反馈采取操作。
- 不为任何试用版、预览版、实验室或测试版服务提供服务承诺。
- Citrix Cloud Japan 和 Citrix Cloud Government 环境目前不支持适用于 StoreFront 的 Citrix Gateway 服务。
概述
适用于 StoreFront 的 Citrix Gateway 服务是一种基于云的 HDX 解决方案,可以安全地远程访问从本地 StoreFront 访问的资源。无需更改本地 StoreFront 和本地 NetScaler Gateway 环境,即可利用 Citrix Cloud(用于 HDX 代理)的可扩展性和可靠性。
假设您是 Citrix DaaS 客户,使用本地 StoreFront 作为企业应用商店,使用本地 NetScaler Gateway 进行远程访问。如果您正在寻找一种选择,既可以利用云托管的远程访问解决方案(HDX 代理),同时将本地 StoreFront 作为用户门户,保留本地 NetScaler Gateway 进行身份验证,那么适用于 StoreFront 的 Citrix Gateway 服务就是您的不二之选。
Citrix Gateway 服务在您的资源位置中使用基于 Windows 的 Cloud Connector 处理 HDX 代理的启动。
备注:
您可以使用 https://podio.com/webforms/28961380/2348524 注册预览版。
您可以使用 https://podio.com/webforms/29573332/2436458 提供反馈。
适用于 StoreFront 的 Citrix Gateway 服务支持以下用例:
-
身份验证和会话管理:双重身份验证(LDAP、SAML)以及基本的 EPA 扫描
-
HDX:基于 TCP 的 HDX
-
智能访问
不支持以下用例:
-
非 HDX 用例,例如 RDP 代理、VPN、PC over IP (PCoIP)。
-
经典身份验证策略
优势
- Citrix Cloud 的入门速度更快、更顺畅。
- 保留了本地 StoreFront 用于枚举和本地 NetScaler Gateway 用于身份验证的优势。
- 客户可以保留他们的 NetScaler 和 StoreFront 自定义设置。
- Citrix DaaS 客户可以使用他们现有的本地 NetScaler Gateway URL。
- 由于 Citrix Gateway 服务采用多云和多地理架构,可确保高弹性。
- HDX 代理的性能和规模要求现在由 Citrix Gateway 服务管理。它们不再由客户管理。
必备条件
-
使用 NetScaler 13.1 版本及更高版本。有关详细信息,请参阅 NetScaler 文档。
-
使用配置了 Citrix DaaS 的本地 StoreFront 版本 2311 或更高版本。有关详情,请参阅 StoreFront 系统要求。
-
加载 Citrix Cloud 并安装 Citrix Cloud Connector。本地环境中的 Cloud Connector 用于通过 Citrix Gateway 服务与本地 StoreFront 建立连接。您可以使用现有的 Cloud Connector,也可以部署一个新的 Cloud Connector。如果您的连接器升级已禁用,请联系支持部门将其启用。
有关 Citrix Cloud Connector 要求的详细信息,请参阅 Citrix Cloud Connector 要求。有关大小要求的详细信息,请参阅 Cloud Connector 的大小和规模注意事项。
-
配置网络时间协议 (NTP) 服务器以避免时间偏差。有关详细信息,请参阅 如何将系统时钟与网络上的服务器同步。
注意:
仅支持基于 Windows 的 Cloud Connector。不支持 Connector Appliance。
部署适用于 StoreFront 的 Citrix Gateway 服务
适用于 StoreFront 部署的 Citrix Gateway 服务涉及以下步骤:
-
用于身份验证的本地 NetScaler Gateway
-
用于枚举的本地 StoreFront 配置
1. 用于身份验证的本地 NetScaler Gateway
本地 NetScaler Gateway 直接促进身份验证并与本地 StoreFront 建立连接。通过这种方法,您可以继续使用现有的本地资源进行身份验证、枚举和预启动。
在组织内部网络的边缘部署本地 NetScaler Gateway,为访问 Citrix Virtual Apps and Desktops 提供安全的单点访问点。
2. 用于枚举的本地 StoreFront 配置
本节介绍部署适用于 StoreFront 的 Citrix Gateway 服务后要执行的以下本地 StoreFront 配置。
1. 启用对 StoreFront 应用商店的远程访问
- 在本地 StoreFront GUI 的右侧窗格中选择应用商店。
- 在“结果”窗格中,选择一个应用商店,然后单击“配置远程访问设置”。
- 选择“启用远程访问”选项。
2. 添加本地 NetScaler Gateway
此步骤允许从公共网络连接的用户从 Citrix Gateway 服务访问应用商店。
-
在 Citrix Gateway 设备部分中单击“添加”。
-
在“常规设置”页面上,配置以下设置:
-
显示名称:本地 NetScaler Gateway 的名称。
-
Citrix Gateway URL:本地 NetScaler Gateway 的 FQDN。
-
用法或角色:选择身份验证和 HDX 路由。
注意:
在本节中,“NetScalerGateway”用作本地 NetScaler Gateway 的名称。稍后在运行 PowerShell 命令时需要这个名字,才能启用适用于 StoreFront 的 Citrix Gateway 服务。
-
-
在 Secure Ticket Authority (STA) 页面上,添加 STA URL,将您重定向到代理您向 Cloud STA 服务发出的请求的连接器。如果配置了多个 STA URL,请选择对多个 STA 服务器进行负载平衡。
注意:
确保选中“启用会话可靠性”复选框。
-
在“身份验证设置”页面上,选择您的本地 NetScaler Gateway 版本、虚拟服务器和登录类型,然后单击“创建”。
-
在“摘要”页面上,您会看到一条通知,提示已成功添加本地 NetScaler Gateway。单击完成。
3. 将应用商店配置为使用适用于 StoreFront 的 Citrix Gateway 服务
此步骤使您可以将本地 NetScaler Gateway 与您的应用商店关联起来。
-
在应用商店 > 配置远程访问设置页面上,选择您的本地 NetScaler Gateway 并将其设置为默认设备。
-
单击确定。
4. 建立启动路径
启用 Citrix Gateway 服务 FQDN 以建立 HDX 启动路径。
- 在设备上导航到“系统属性”(在命令提示符下,运行
sysdm.cpl
命令)。 -
转到高级选项卡,然后单击环境变量。
-
添加用户变量和系统变量。为变量指定名称和值。对于此部署,值必须为
global.g.nssvc.net
。 -
单击确定。
- 以管理员身份打开命令提示符并运行
IISRESET
命令。
请使用以下 PowerShell 命令为您的部署启用 StoreFront 云网关服务功能:
Set-STFRoamingGateway -Name "NetScalerGateway" -IsCloudGateway $true
使用以下 PowerShell 命令验证用于本地 StoreFront 部署的 Citrix Gateway 服务的状态。
Get-STFRoamingGateway | Format-Table Name, IsCloudGateway
Name IsCloudGateway
# ---- --------------
# NetScalerGateway True
<!--NeedCopy-->
安全要求
有关 NetScaler 安全的最佳实践,请参阅 NetScaler 安全部署指南。
故障排除
确保启用日志级别以捕获适用于 StoreFront 的 Citrix Gateway 服务日志。
要使用 NetScaler GUI 启用日志,请执行以下操作:
- 导航到 配置 > 系统 > 审核。
- 在“审核”页面的“设置”下,单击“更改审核 Syslog 设置”。
- 在日志级别中,选择全部。
注意:
确保在故障排除后恢复日志级别设置。
身份验证
-
要解决身份验证问题,请参阅解决身份验证、授权和审核问题。
-
有关数据收集的信息,请参阅如何为 ADC Gateway、StoreFront 和 VDA 问题收集数据。
EPA
-
问题:EPA 客户端已经存在,但系统会提示用户下载:
可能的原因:版本不匹配或文件损坏
运行开发者工具并验证插件列表文件是否包含与 NetScaler 和客户端相同的版本。确保 Citrix EPA 客户端版本与客户端上的版本相同。
解决方法:导航到 Citrix Gateway > 全局设置 > 更新客户端库,在本地 NetScaler Gateway GUI 上更新 EPA 客户端。有关 EPA 客户端版本的详细信息,请参阅 Citrix 下载上的 EPA 插件库页面。
-
用户选择选项后,恢复 EPA 设置(始终、是、否)。
解决方法:
-
在客户端计算机上,导航至
C:\Users<user_name>\AppData\Local\Citrix\AGEE
。 -
打开
config.js
文件并将“trustAlways”设置为“null”。例如,”trustAlways”:null.。
-
有关 EPA 配置的说明,请参阅以下文章:
会话启动
有关如何诊断会话启动失败的信息,请参阅会话启动诊断。
常规支持日志收集程序
-
技术支持包: 有关详细信息,请参阅如何从 VPX 设备收集技术支持包以进行见解分析。
-
跟踪文件:有关详细信息,请参阅如何在 NetScaler 上记录数据包跟踪。
-
请联系支持部门获取指导。
其他参考文献
已知问题及限制
-
如果在本地 StoreFront 上禁用了“启用会话可靠性”选项,HDX 会话启动将失败。
-
适用于 StoreFront 的 Citrix Gateway 服务不支持双 STA。
-
通过 Citrix Workspace 启动的应用程序无法从 iOS 设备加载。
解决办法: 在通过 Citrix Workspace 启动应用程序之前,通过 Netscaler ADM 配置作业运行以下 CLI 命令。
bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII <!--NeedCopy-->
即将推出的增强功能
计划在即将发布的版本中进行以下增强功能:
- HDX over EDT
- 本地主机缓存支持
- Rendezvous 协议
- DDC(本地)
- 多应用商店支持