统一网关常见问题

什么是统一网关? **

统一网关是 Citrix ADC 11.0 版本中的一项新功能,能够在单个虚拟服务器(称为统一网关虚拟服务器)上接收流量,然后根据情况在内部将该流量引导到绑定到统一网关虚拟服务器的虚拟服务器。

统一网关功能允许最终用户使用单个 IP 地址或 URL(与统一网关虚拟服务器关联)访问多个服务。管理员可以释放 IP 地址并简化 Citrix 网关部署的配置。

作为编队的一部分,每个统一网关虚拟服务器都可以前端一个 Citrix Gateway 虚拟服务器以及零个或多个负载平衡虚拟服务器。统一网关通过利用 Citrix ADC 设备的内容交换功能来工作。

统一网关部署的一些示例:

  • 统一网关虚拟服务器-> [一台 Citrix 网关虚拟服务器]
  • 统一网关虚拟服务器-> [一台 Citrix 网关虚拟服务器、一台负载平衡虚拟服务器]
  • 统一网关虚拟服务器-> [一台 Citrix 网关虚拟服务器、两台负载平衡虚拟服务器]
  • 统一网关虚拟服务器-> [一台 Citrix 网关虚拟服务器、三台负载平衡虚拟服务器]

每个负载平衡虚拟服务器都可以是承载后端服务(如 Microsoft Exchange 或 Citrix ShareFile)的任何标准负载平衡服务器。

为什么使用统一网关? **

统一网关功能使最终用户能够使用单个 IP 地址或 URL(与统一网关虚拟服务器关联)访问多个服务。对于管理员来说,其优点是他们可以释放 IP 地址并简化 Citrix 网关部署的配置。  

是否可以有多个统一网关虚拟服务器? **

是。根据需要,可以有尽可能多的统一网关虚拟服务器。

为什么统一网关需要内容交换? **

内容交换功能是必需的,因为内容交换虚拟服务器是接收流量并在内部将其定向到相应的虚拟服务器的服务器。内容交换虚拟服务器是统一网关功能的主要组成部分。

在 11.0 之前的版本中,内容切换可用于接收多个虚拟服务器的流量。这种用途也称为统一网关吗? **

早于 11.0 的版本支持使用内容交换虚拟服务器接收多个虚拟服务器的流量。但是,内容交换无法将流量引导到 Citrix 网关虚拟服务器。

11.0 中的增强功能使内容交换虚拟服务器能够将流量引导到任何虚拟服务器(包括 Citrix Gateway 虚拟服务器)。

统一网关中的内容交换策略发生了什么变化? **

1. 为内容切换操作添加了一个新的命令行参数 “-targetvServer”。新参数用于指定目标 Citrix 网关虚拟服务器。示例:

添加 CS 动作 UG_CSACT_MYUG-目标电视服务器 UG_VPN_MYUG

在 Citrix 网关配置实用程序中,内容交换操作具有一个新选项,即 “目标虚拟服务器”,该选项可引用 Citrix 网关虚拟服务器。

2. 新的高级策略表达式 is_vpn_url 可用于匹配 Citrix 网关和特定于身份验证的请求。

统一网关当前不支持哪些 Citrix 网关功能? **

统一网关支持所有功能。但是,通过 VPN 插件本机登录报告了一个小问题(问题 ID 544325)。在这种情况下,无缝单点登录 (SSO) 不起作用。

使用统一网关,EPA 扫描的行为是什么? **

使用统一网关时,仅针对 Citrix 网关访问方法触发终端分析,而不针对 AA-TM 访问触发。如果用户尝试访问 AAA-TM 虚拟服务器,即使在 Citrix 网关虚拟服务器上完成了身份验证,则不会触发 EPA 扫描。但是,如果用户试图获得无客户端 VPN/ 完全 VPN 访问权限,则触发配置的 EPA 扫描。在这种情况下,将完成身份验证或无缝 SSO。

设置

统一网关的许可证要求是什么? **

统一网关仅支持企业和白金级许可证。它不适用于 Citrix 网关或标准许可证版本。

与统一网关一起使用的 Citrix 网关虚拟服务器是否需要 IP/端口/SSL 配置? **

对于与统一网关虚拟服务器一起使用的 Citrix 网关虚拟服务器,Citrix 网关虚拟服务器上不需要 IP/port /SSL 配置。但是,对于 RDP 代理功能,您可以将相同的 SSL/TLS 服务器证书绑定到 Citrix 网关虚拟服务器。

是否需要重新配置 Citrix 网关虚拟服务器上的 SSL/TLS 证书以便与统一网关虚拟服务器配合使用? **

您无需重新设置当前绑定到 Citrix 网关虚拟服务器的证书。您可以自由地重复使用任何现有 SSL 证书,并将这些证书绑定到统一网关虚拟服务器。

单个 URL 和多主机部署有什么区别?我需要哪一个? **

单个 URL 是指统一网关虚拟服务器能够处理一个完全限定域名 (FQDN) 的流量。当统一网关使用使用 FQDN 填充证书主体的 SSL/TLS 服务器证书时,存在此限制。例如:乌克兰公司

但是,如果统一网关使用通配符服务器证书,它可以处理多个子域的流量。例如:

另一个选项是带有服务器名称指示器 (SNI) 功能的 SSL/TLS 配置,以允许绑定多个 SSL/TLS 服务器证书。示例:认证、认证、认证、认证、认证、认证、认证

单个主机与多个主机类似于网站通常托管在 Web 服务器上的方式(例如 Apache HTTP 服务器或 Microsoft Internet 信息服务 (IIS))。如果有单个主机,您可以使用站点路径切换流量,就像在 Apache 中使用别名或 “虚拟目录” 的方式一样。如果有多个主机,则可以使用主机头来切换流量,类似于在 Apache 中使用虚拟主机的方式。

身份验证

统一网关可以使用哪些身份验证机制? **

与 Citrix 网关一起使用的所有现有身份验证机制都与统一网关一起工作。

这些包括 LDAP、RADIUS、SAML、Kerberos、基于证书的身份验证等。

当 Citrix 网关虚拟服务器置于统一网关虚拟服务器后面时,将自动使用升级前在 Citrix 网关虚拟服务器上配置的任何身份验证机制。除了向 Citrix 网关虚拟服务器分配不可寻址的 IP 地址 (0.0.0.0) 之外,不涉及其他配置步骤。

什么是 “自我认证” 认证? **

自我认证本身并不是一种身份验证类型。自我认证描述如何创建 URL。新的命令行参数 ssotype 可用于 VPN URL 配置。示例:

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

自我认证是 ssotype 参数的值之一。此类型的 URL 可用于访问与统一网关虚拟服务器不在同一域中的资源。配置书签时,可以在配置实用程序中看到该设置。

什么是 “STEP” 认证? **

当访问 AAA-TM 资源需要额外的更安全级别的身份验证时,您可以使用 Stepup 身份验证。在命令行上,使用 AuthnProfile 命令来设置身份验证级别参数。示例:

添加身份验证授权配置文件授权配置文件-身份验证服务器-身份验证主机授权 .citrix.lab-身份验证域 Citrix.lab **-身份验**证级别 100

此身份验证配置文件绑定到负载平衡虚拟服务器。

AA-TM 虚拟服务器是否支持 STEP 身份验证? **

是的,它是支持的。

什么是登录一次/注销一次? **

登录一次:VPN 用户登录一次 AAA-TM 或 Citrix 网关虚拟服务器。从那时起,VPN 用户可以无缝访问所有企业/云/Web 应用程序。用户无需重新进行身份验证。但是,对特殊情况(如 AA-TM Stepup)进行重新身份验证。

注销一次:创建第一个 AAA-TM 或 Citrix 网关会话后,它将用于为该用户创建后续的 AAA-TM 或 Citrix 网关会话。如果这些会话中的任何一个已注销,Citrix ADC 设备也会注销用户的其他应用程序或会话。

是否可以在统一网关级别指定常用身份验证策略,并在负载平衡虚拟服务器级别指定 AAA-TM 负载平衡虚拟服务器特定身份验证绑定?支持此用例的配置步骤是什么? **

如果需要为统一网关后面的 AAA-TM 虚拟服务器指定单独的身份验证策略,则需要有一个单独的、可独立寻址的身份验证虚拟服务器(类似于普通的 AAA-TM 配置)。负载平衡虚拟服务器上的身份验证主机设置必须指向此身份验证虚拟服务器。

如何配置统一网关,以便绑定的 AAA-TM 虚拟服务器具有自己的身份验证策略? **

在这种情况下,负载平衡服务器必须将身份验证 FQDN 选项设置为指向 AA-TM 虚拟服务器。AAA-TM 虚拟服务器必须具有独立的 IP 地址,并且可以从 Citrix ADC 和客户端访问。

对通过统一网关虚拟服务器对用户进行身份验证是否需要 AAA-TM 身份验证虚拟服务器? **

否。 Citrix 网关虚拟服务器甚至会对 AA-TM 用户进行身份验证。

在哪里指定 Citrix 网关身份验证策略-在统一网关虚拟服务器或 Citrix 网关虚拟服务器上? **

身份验证策略将绑定到 Citrix 网关虚拟服务器。

如何在统一网关内容交换虚拟服务器后面的 AA-TM 虚拟服务器上启用身份验证? **

在 AAA-TM 上启用身份验证,并将身份验证主机指向统一网关内容交换 FQDN。

AAA 交通管理

如何在内容切换(单 URL 与多主机)后面添加 TM 虚拟服务器? **

为单个 URL 添加 AAA-TM 虚拟服务器与为多个主机添加该虚拟服务器之间没有区别。在任何一种情况下,虚拟服务器都会在内容切换操作中作为目标添加。单 URL 与多主机之间的区别由内容切换策略规则实现。

如果将虚拟服务器移到统一网关虚拟服务器后面,绑定到 AAA-TM 负载平衡虚拟服务器的身份验证策略会发生什么情况? **

身份验证策略绑定到身份验证虚拟服务器,身份验证虚拟服务器绑定到负载平衡虚拟服务器。对于统一网关虚拟服务器,Citrix 建议将 Citrix Gateway 虚拟服务器作为单一身份验证点,这样就不需要在身份验证虚拟服务器上执行身份验证(甚至不需要特定身份验证虚拟服务器)。将身份验证主机指向统一网关虚拟服务器 FQDN 可确保由 Citrix 网关虚拟服务器完成身份验证。如果将身份验证主机指向统一网关的内容切换,并且仍具有身份验证虚拟服务器绑定,绑定到身份验证虚拟服务器的身份验证策略将被忽略。但是,如果将身份验证主机指向独立的可寻址身份验证虚拟服务器,绑定的身份验证策略将生效。

如何为 AA-TM 会话配置会话策略? **

如果在统一网关中,未为 AAA-TM 虚拟服务器指定身份验证虚拟服务器,则 AA-TM 会话将继承 Citrix 网关会话策略。如果指定了身份验证虚拟服务器,则应用绑定到该虚拟服务器的 AA-TM 会话策略。

门户定制

思杰 ADC 11.0 中的思杰网关门户有哪些更改? **

在 Citrix ADC 早于 11.0 的版本中,可以在全局级别设置单个门户自定义。给定 Citrix ADC 设备中的每个网关虚拟服务器都使用全局门户自定义。

在 Citrix ADC 11.0 中,通过门户主题功能,您可以设置多个门户主题。主题可以全局绑定,也可以绑定到特定的虚拟服务器。

思杰 ADC 11.0 是否支持思杰网关门户自定义? **

使用配置实用程序,您可以使用新的门户主题功能完全自定义和创建新的门户主题。您可以上传不同的图片,设置配色方案,更改文本标签等。

可以自定义的门户页面包括:

  • 登录页面
  • 端点分析页面
  • 端点分析错误页面
  • 后端点分析页面
  • VPN 连接页面
  • 门户网站主页

在此版本中,您可以使用独特的门户设计自定义 Citrix Gateway 虚拟服务器。

Citrix ADC 高可用性或群集部署中是否支持门户主题? **

是。Citrix ADC 高可用性和群集部署支持门户主题。

我的自定义项是否会作为 Citrix ADC 11.0 升级过程的一部分进行迁移? **

否。 升级到 Citrix ADC 11.0 时,不会自动迁移通过 rc.conf/rc.netScaler 文件修改或使用 10.1/10.5 中的自定义主题功能调用的 Citrix 网关门户页面的现有自定义项。

是否有任何升级前步骤可以为 Citrix ADC 11.0 中的门户主题做好准备? **

必须从 rc.conf 或 rc.netScaler 文件中删除任何现有的自定义项。

另一种选择是,如果使用了自定义主题,则必须为它们分配默认设置:

导航到 配置 > Citrix 网关 > 全局设置

点击 更改全局设置。单击 客户端体验 ,然后从 UI 主题 下拉列表中选择 默认值

我有自定义项存储在 Citrix ADC 实例上,由 rc.conf 或 rc.netScaler 调用。如何移动到门户主题? **

思杰知识中心文章CTX126206详细介绍了针对思杰 ADC 9.3 和 10.0 版本的此类配置(最多 10.0 版本 73.5001.e 版本)。自 Citrix ADC 10.0 构建 10.0 73.5002.e(包括 10.1 和 10.5)以来,UIVE 自定义参数可帮助客户在重新启动过程中保留其自定义设置。如果自定义项存储在 Citrix ADC 硬盘驱动器上,并且您希望继续使用这些自定义项,请备份 11.0 GUI 文件并将其插入到现有的自定义主题文件中。如果要移动到门户主题,必须首先在 “全局设置” 或 “会话” 配置文件中的 “客户端体验” 下取消设置 UIVEME 参数。或者,您可以将其设置为默认值或绿色泡沫。然后,您可以开始创建和绑定门户主题。

如何在升级到 Citrix ADC 11.0 之前导出当前的自定义设置并保存它们?是否可以将导出的文件移动到其他 Citrix ADC 设备? **

上传到 ns_gui_custom 文件夹的自定义文件位于磁盘上,并在升级过程中保留。但是,这些文件可能不完全兼容新的 Citrix ADC 11.0 内核和作为内核一部分的其他 GUI 文件。因此,Citrix 建议备份 11.0 GUI 文件并自定义备份。

此外,配置实用程序中没有将 ns_custom_gui 文件夹导出到另一个 Citrix ADC 设备的实用程序。您必须使用 SSH 或文件传输实用程序(如 WinSCP)才能从 Citrix ADC 实例中取出文件。

AAA-TM 虚拟服务器是否支持门户主题? **

是。AA-TM 虚拟服务器支持门户主题。

RDP 代理

思杰网关 11.0 的 RDP 代理中发生了什么变化? **

自 Citrix ADC 10.5.e 增强版本以来,已对 RDP 代理进行了许多增强。在 Citrix ADC 11.0 中,该功能可从第一个发布的版本中获得。

许可变更

Citrix ADC 11.0 中的 RDP 代理功能只能与白金版和企业版一起使用。必须为每个用户获得 Citrix 并发用户 (CCU) 许可证。

启用命令

在思杰 ADC 10.5.e 中,没有命令来启用 RDP 代理。在 Citrix ADC 11.0 中,已添加启用命令:

启用功能 rdpproxy

该功能必须获得许可才能运行此命令。

其他 RDP 代理更改

服务器配置文件上的预共享密钥 (PSK) 属性已成为必填项。

要将 RDP 代理的现有 Citrix ADC 10.5.e 配置迁移到 Citrix ADC 11.0,应理解并解决以下详细信息。

如果管理员想要将现有 RDP 代理配置添加到选定的统一网关部署中:

  • 必须编辑 Citrix 网关虚拟服务器的 IP 地址并将其设置为不可寻址的 IP 地址 (0.0.0.0)。
  • 任何 SSL/TLS 服务器证书,身份验证策略都必须绑定到 Citrix 网关虚拟服务器,该虚拟服务器是所选统一网关组成部分。

如何将基于思杰 ADC 10.5.e 的远程桌面协议 (RDP) 代理配置迁移到思杰 ADC 11.0? **

选项 1:保留现有 Citrix 网关虚拟服务器的 RDP 代理配置,并使用白金级或企业级许可证。

选项 2:移动具有 RDP 代理配置的现有 Citrix 网关虚拟服务器,将其置于统一网关虚拟服务器后面。

选项 3:将具有 RDP 代理配置的独立 Citrix 网关虚拟服务器添加到现有标准版设备。

如何使用思杰 ADC 11.0 版本为 RDP 代理配置设置 Citrix 网关? **

有两个选项可用于使用 NS 11.0 版本部署 RDP 代理:

1) 使用面向外部的 Citrix 网关虚拟服务器。这需要 Citrix 网关虚拟服务器一个外部可见的 IP 地址 /FQDN。此选项是思杰 ADC 10.5.e 中可用的选项。

2) 使用统一网关虚拟服务器前端 Citrix 网关虚拟服务器。

使用选项 2,Citrix 网关虚拟服务器不需要自己的 IP 地址 /FQDN,因为它使用不可寻址的 IP 地址 (0.0.0.0)。

与其他 Citrix 软件集成

HDX 洞察能否与统一网关一起工作? **

使用统一网关部署 Citrix Gateway 时,Citrix Gateway 虚拟服务器必须具有绑定到该网关的有效 SSL 证书,并且该证书必须处于 UP 状态,才能为 Citrix ADC Insight Center 生成 AppFlow 记录,以便进行 HDX Insight 报告。

如何迁移现有 HDX 智能分析配置? **

不需要移徙。如果 Citrix Gateway 虚拟服务器置于统一网关虚拟服务器后面,绑定到 Citrix Gateway 虚拟服务器的 AppFlow 策略将继承该策略。

对于 Citrix 网关虚拟服务器的 Citrix ADC 智能分析中心中的现有数据,有两种可能性:

  • 如果 Citrix 网关虚拟服务器的 IP 地址作为迁移到统一网关的一部分分配给统一网关虚拟服务器,则数据将保持链接到 Citrix 网关虚拟服务器
  • 如果为统一网关虚拟服务器分配了一个单独的 IP 地址,则 Citrix Gateway 虚拟服务器的 AppFlow 数据将链接到新 IP 地址。因此,现有数据不会成为新数据的一部分。