Citrix Gateway

Unified Gateway FAQ

什么是 Unified Gateway

Unified Gateway 是 Citrix ADC 11.0 版本中的一项新功能,可在单个虚拟服务器(称为 Unified Gateway 虚拟服务器)上接收流量,然后根据需要在内部将流量定向到 Unified Gateway 虚拟服务器的虚拟服务器。

Unified Gateway 功能允许最终用户使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。管理员可以释放 IP 地址并简化 Citrix Gateway 部署的配置。

作为编队的一部分,每个 Unified Gateway 虚拟服务器都可以前端一个 Citrix Gateway 虚拟服务器以及零个或多个负载平衡虚拟服务器。Unified Gateway 通过使用 Citrix ADC 设备的内容交换功能来工作。

Unified Gateway 部署的一些示例:

  • Unified Gateway 虚拟服务器->[一台 Citrix Gateway 虚拟服务器]
  • Unified Gateway 虚拟服务器->[一台 Citrix Gateway 虚拟服务器,一台负载平衡虚拟服]
  • Unified Gateway 虚拟服务器-> [一个 Citrix Gateway 虚拟服务器,两个负载平衡虚拟]
  • Unified Gateway 虚拟服务器-> [一个 Citrix Gateway 虚拟服务器,三个负载平衡虚拟]

每个负载平衡虚拟服务器都可以是托管后端服务的任何标准负载平衡服务器,例如微软 Exchange 或 Citrix ShareFile。

为什么要使用 Unified Gateway

Unified Gateway 功能使最终用户能够使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。对于管理员而言,优势在于他们可以释放 IP 地址并简化 Citrix Gateway 部署的配置。  

是否可以有多台 Unified Gateway 虚拟服务器

是。可以根据需要有尽可能多的 Unified Gateway 虚拟服务器。

为什么 Unified Gateway 需要内容交换

内容交换功能是必需的,因为内容交换虚拟服务器是接收流量并在内部将其定向到相应虚拟服务器的服务器。内容交换虚拟服务器是 Unified Gateway 功能的主要组件。

在 11.0 之前的版本中,内容交换可用于接收多个虚拟服务器的流量。这种用法也称为 Unified Gateway 吗

11.0 之前的版本支持使用内容交换虚拟服务器来接收多个虚拟服务器的流量。但是,内容交换无法将流量定向到 Citrix Gateway 虚拟服务器。

11.0 中的增强功能使内容交换虚拟服务器能够将流量定向到任何虚拟服务器,包括 Citrix Gateway 虚拟服务器。

Unified Gateway 中的内容交换策略发生了什么变化

  1. 为内容切换操作添加了新的命令行参数 “-targetVServer”。新参数用于指定目标 Citrix Gateway 虚拟服务器。示例:

    添加 cs 操作 ug_csact_myug-targetVServer ug_vPN_myug

    在 Citrix Gateway 配置实用程序中,内容切换操作有一个新选项 “目标虚拟服务器”,该选项可引用 Citrix Gateway 虚拟服务器。

  2. 新的高级策略表达式 is_vpn_url 可用于匹配 Citrix Gateway 和特定于身份验证的请求。

Unified Gateway 目前不支持哪些 Citrix Gateway 功能

Unified Gateway 支持所有功能。但是,通过 VPN 插件进行本机登录时报告了一个小问题(问题 ID 544325)。在这种情况下,无缝单点登录 (SSO) 不起作用。

使用 Unified Gateway,EPA 扫描的行为是什么

使用 Unified Gateway 时,仅针对 Citrix Gateway 访问方法触发端点分析,而不会针对 Citrix ADC AAA TM 访问触发端点分析。如果用户尝试访问 Citrix ADC AAA TM 虚拟服务器,即使身份验证是在 Citrix Gateway 虚拟服务器上完成的,也不会触发 EPA 扫描。但是,如果用户试图获得无客户端 VPN /完全VPN 访问权限,则会触发配置的 EPA 扫描。在这种情况下,将完成身份验证或无缝 SSO。

Unified Gateway 的许可证要求是什么

Unified Gateway 仅支持高级和高级许可证。它不适用于仅 Citrix Gateway 或标准许可证版本。

与 Unified Gateway 一起使用的 Citrix Gateway 虚拟服务器是否需要 IP/Port/SSL 配置

对于与 Unified Gateway 虚拟服务器一起使用的 Citrix Gateway 虚拟服务器,Citrix Gateway 虚拟服务器上不需要 IP/Port/SSL 配置。但是,对于 RDP 代理功能,您可以将相同的 SSL/TLS 服务器证书绑定到 Citrix Gateway 虚拟服务器。

我是否需要重新配置 Citrix Gateway 虚拟服务器上的 SSL/TLS 证书以用于 Unified Gateway 虚拟服务器

您无需重新置备当前绑定到 Citrix Gateway 虚拟服务器的证书。您可以自由重复使用任何现有的 SSL 证书,并将这些证书绑定到 Unified Gateway 虚拟服务器。

单个 URL 和多主机部署有什么区别?我需要哪一个

单个 URL 是指 Unified Gateway 虚拟服务器处理一个完全限定域名 (FQDN) 的流量的能力。如果 Unified Gateway 使用的 SSL/TLS 服务器证书已使用 FQDN 填充了证书主题,则存在此限制。例如:ug.citrix.com

如果 Unified Gateway 使用通配符服务器证书,它可以处理多个子域的流量。例如:*.citrix.com

另一个选项是具有服务器名称指示器 (SNI) 功能的 SSL/TLS 配置,以允许绑定多个 SSL/TLS 服务器证书。示例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp

单主机与多台主机类似于网站通常托管在 Web 服务器上的方式(例如 Apache HTTP 服务器或微软互联网信息服务 (IIS))。如果只有一台主机,则可以使用站点路径切换流量,就像在 Apache 中使用别名或 “虚拟目录” 一样。如果有多台主机,则可以使用主机标头切换流量,就像在 Apache 中使用虚拟主机的方式一样。

Unified Gateway 可以使用哪些身份验证机制

与 Citrix Gateway 兼容的所有现有身份验证机制也与 Unified Gateway 兼容。

其中包括 LDAP、RADIUS、SAML、Kerberos、基于证书的身份验证等。

当 Citrix Gateway 虚拟服务器放置在 Unified Gateway 虚拟服务器后面时,升级之前在 Citrix Gateway 虚拟服务器上配置的任何身份验证机制都会自动使用。除了为 Citrix Gateway 虚拟服务器分配不可寻址的 IP 地址 (0.0.0.0) 外,不涉及其他配置步骤。

什么是 “SelfAuth” ‘身份验证

SelfAuth 本身不是身份验证类型。SelfAuth 描述了如何创建 URL。新的命令行参数可用于 VPN URL 配置。 ssotype 示例:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth 是 ssotype 参数的值之一。这种类型的 URL 可用于访问与 Unified Gateway 虚拟服务器不在同一域中的资源。配置书签时,可以在配置实用程序中看到该设置。

什么是 “StepUp” 身份验证”

如果需要额外的身份验证,访问 Citrix ADC AAA TM 资源需要更安全级别的身份验证,则可以使用 StepUp 身份验证。在命令行上,使用 authnProfile 命令设置身份验证级别参数。示例:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

此身份验证配置文件绑定到负载平衡虚拟服务器。

Citrix ADC AAA TM 虚拟服务器是否支持 StepUp 身份验证

是的,它受支持。

什么是 login once/logout once

Login Once:VPN 用户只需登录一次 Citrix ADC AAA TM 或 Citrix Gateway 虚拟服务器。从那时起,VPN 用户可以无缝访问所有企业/云 /Web 应用程序。用户无需重新进行身份验证。但是,重新身份验证是针对特殊情况进行的,例如 Citrix ADC AAA TM StepUp。

Logout Once:创建第一个 Citrix ADC AAA TM 或 Citrix Gateway 会话后,它将用于为该用户创建后续的 Citrix ADC AAA TM 或 Citrix Gateway 会话。如果这些会话中的任何一个已注销,Citrix ADC 设备还会注销用户的其他应用程序或会话。

是否可以在 Unified Gateway 级别指定通用身份验证策略,并在负载平衡虚拟服务器级别使用 Citrix ADC AAA TM 负载平衡特定于虚拟服务器的身份验证绑定支持此用例的配置步骤是什么

如果您需要为 Unified Gateway 后面的 Citrix ADC AAA TM 虚拟服务器指定单独的身份验证策略,则需要有一个单独的、可独立寻址的身份验证虚拟服务器(类似于普通 Citrix ADC AAA TM 配置)。负载平衡虚拟服务器上的身份验证主机设置必须指向此身份验证虚拟服务器。

如何配置 Unified Gateway,以便绑定的 Citrix ADC AAA TM 虚拟服务器具有自己的身份验证策略

在这种情况下,负载平衡服务器必须将身份验证 FQDN 选项设置为指向 Citrix ADC AAA TM 虚拟服务器。Citrix ADC AAA TM 虚拟服务器必须具有独立的 IP 地址,并且可以从 Citrix ADC 和客户端访问。

对通过 Unified Gateway 虚拟服务器的用户进行身份验证是否需要 Citrix ADC AAA TM 身份验证虚拟服务器

不是。Citrix Gateway 虚拟服务器甚至可以对 Citrix ADC AAA TM 用户进行身份验证。

在 Unified Gateway 虚拟服务器或 Citrix Gateway 虚拟服务器上,在哪里指定 Citrix Gateway 身份验证策略

身份验证策略将绑定到 Citrix Gateway 虚拟服务器。

如何在 Unified Gateway 内容交换虚拟服务器后面的 Citrix ADC AAA TM 虚拟服务器上启用身份验证

在 Citrix ADC AAA TM 上启用身份验证,然后将身份验证主机指向 Unified Gateway 内容交换 FQDN。

如何在内容切换后面添加 TM 虚拟服务器(单 URL 与多主机)

为单个 URL 添加 Citrix ADC AAA TM 虚拟服务器与为多个主机添加虚拟服务器没有区别。无论哪种情况,虚拟服务器都会作为内容切换操作中的目标添加。单个 URL 与多主机之间的区别是通过内容切换策略规则来实现的。

如果将 Citrix ADC AAA TM 负载平衡虚拟服务器移动到 Unified Gateway 虚拟服务器后面,绑定到该虚拟服务器的身份验证策略会发生什么变化

身份验证策略绑定到身份验证虚拟服务器,身份验证虚拟服务器绑定到负载平衡虚拟服务器。对于 Unified Gateway 虚拟服务器,Citrix 建议将 Citrix Gateway 虚拟服务器作为单一身份验证点,这样就无需在身份验证虚拟服务器上执行身份验证(甚至不需要特定身份验证虚拟服务器)。将身份验证主机指向 Unified Gateway 虚拟服务器 FQDN 可确保由 Citrix Gateway 虚拟服务器完成身份验证。如果将身份验证主机指向 Unified Gateway 的内容交换,但仍绑定了身份验证虚拟服务器,则绑定到身份验证虚拟服务器的身份验证策略将被忽略。但是,如果将身份验证主机指向独立的可寻址身份验证虚拟服务器,则绑定的绑定身份验证策略将生效。

如何为 Citrix ADC AAA TM 会话配置会话策略

如果在 Unified Gateway 中,未为 Citrix ADC AAA TM 虚拟服务器指定身份验证虚拟服务器,则 Citrix ADC AAA TM 会话将继承 Citrix Gateway 会话策略。如果指定了身份验证虚拟服务器,则会应用绑定到该虚拟服务器的 Citrix ADC AAA TM 会话策略。

Citrix ADC 11.0 中的 Citrix Gateway 门户有哪些更改

在 11.0 之前的 Citrix ADC 版本中,可以在全局级别设置单个门户自定义设置。给定 Citrix ADC 设备中的每个网关虚拟服务器都使用全局门户自定义设置。

在 Citrix ADC 11.0 中,使用门户主题功能,您可以设置多个门户主题。主题可以全局绑定或绑定到特定的虚拟服务器。

Citrix ADC 11.0 是否支持 Citrix Gateway 门户自定义

使用配置实用程序,您可以使用新的门户主题功能完全自定义和创建门户主题。您可以上传不同的图像,设置配色方案,更改文本标签等。

可以自定义的门户页面包括:

  • 登录页面
  • 端点分析页
  • 端点分析错误页面
  • 端点后分析页
  • VPN 连接页
  • 门户主页

在此版本中,您可以使用独特的门户设计自定义 Citrix Gateway 虚拟服务器。

Citrix ADC 高可用性或群集部署是否支持门户主题

是。Citrix ADC 高可用性和群集部署支持门户主题。

我的自定义设置是否会作为 Citrix ADC 11.0 升级过程的一部分进行迁移

不是。升级到 Citrix ADC 11.0 时,不会自动迁移通过 rc.conf/rc.netscaler 文件修改或使用 10.1/10.5 中的自定义主题功能调用的 Citrix Gateway 门户页面的现有自定义项。

是否需要遵循任何升级前步骤才能为 Citrix ADC 11.0 中的门户主题做好准备

必须从 rc.conf 或 rc.netscaler 文件中删除任何现有的自定义项。

另一种选择是,如果使用自定义主题,则必须为它们分配默认设置:

  1. 导航到 配置 > Citrix Gateway > 全局设置

  2. 单击 “ 更改全局设置”。

  3. 单击 客户端体验 ,然后从 UI 主题 列表中选择 默认

我有存储在 Citrix ADC 实例上的自定义项,由 rc.conf 或 rc.netscaler 调用。如何移动到门户主题

Citrix 知识中心文章 CTX126206 详细介绍了 Citrix ADC 9.3 和 10.0 版本最高 10.0 版本 73.5001.e 的此类配置。自 Citrix ADC 10.0 版本 10.0 73.5002.e(包括 10.1 和 10.5)以来,UITHEME 自定义参数已可用于帮助客户在重新启动期间保留自定义项。如果自定义项存储在 Citrix ADC 硬盘驱动器上,并且您想继续使用这些自定义项,请备份 11.0 GUI 文件并将其插入现有的自定义主题文件中。如果要移动到门户主题,必须首先在 “ 客户端体验” 下的 “全局设置” 或 “会话” 配置文件中取消设置 UITHEME 参数。或者,你可以将其设置为默认值或 GREENBUBBLE。然后你就可以开始创建和绑定门户主题了。

在升级到 Citrix ADC 11.0 之前,如何导出当前的自定义设置并保存它们?我可以将导出的文件移动到其他 Citrix ADC 设备吗

上传到 ns_gui_custom 文件夹的自定义文件位于磁盘上,并在升级过程中保留。但是,这些文件可能与新的 Citrix ADC 11.0 内核和作为内核一部分的其他 GUI 文件并不完全兼容。因此,Citrix 建议备份 11.0 GUI 文件并自定义备份。

此外,配置实用程序中没有实用程序可以将 ns_custom_gui 文件夹导出到另一个 Citrix ADC 设备。使用 SSH 或 WinSCP 之类的文件传输实用程序将文件从 Citrix ADC 实例中删除。

Citrix ADC AAA TM 虚拟服务器是否支持门户主题

是。Citrix ADC AAA TM 虚拟服务器支持门户主题。

Citrix Gateway 11.0 的 RDP 代理功能发生了什么变化

自 Citrix ADC 10.5.e 增强版发布以来,已对 RDP 代理进行了许多增强。在 Citrix ADC 11.0 中,此功能可从第一个发布的版本中使用。

许可变更

Citrix ADC 11.0 中的 RDP 代理功能只能用于高级版和高级版。必须为每个用户获取 Citrix 并发用户 (CCU) 许可证。

启用命令

在 Citrix ADC 10.5.e 中,没有启用 RDP 代理的命令。在 Citrix ADC 11.0 中,已添加启用命令:

enable feature rdpproxy
<!--NeedCopy-->

该功能必须获得许可才能运行此命令。

其他 RDP 代理更改

服务器配置文件中的预共享密钥 (PSK) 属性已成为必填项。

要将 RDP 代理的现有 Citrix ADC 10.5.e 配置迁移到 Citrix ADC 11.0,必须了解并解决以下详细信息。

如果管理员想要将现有的 RDP 代理配置添加到选定的 Unified Gateway 部署中:

  • 必须编辑 Citrix Gateway 虚拟服务器的 IP 地址并将其设置为不可寻址的 IP 地址 (0.0.0.0)。
  • 任何 SSL/TLS 服务器证书、身份验证策略都必须绑定到作为所选 Unified Gateway 编队一部分的 Citrix Gateway 虚拟服务器。

如何将基于 Citrix ADC 10.5.e 的远程桌面协议 (RDP) 代理配置迁移到 Citrix ADC 11.0

选项 1:使用高级或高级许可证,使用 RDP 代理配置保持现有 Citrix Gateway 虚拟服务器的原样。

选项 2:使用 RDP 代理配置移动现有 Citrix Gateway 虚拟服务器,将其置于 Unified Gateway 虚拟服务器后面。

选项 3:将具有 RDP 代理配置的独立 Citrix Gateway 虚拟服务器添加到现有标准版设备。

如何使用 Citrix ADC 11.0 版本为 RDP 代理配置设置 Citrix Gateway

使用 NS 11.0 版本部署 RDP 代理有两种选项:

  1. 使用面向外部的 Citrix Gateway 虚拟服务器。这需要 Citrix Gateway 虚拟服务器使用一个外部可见的 IP 地址 /FQDN。此选项是 Citrix ADC 10.5.e 中提供的选项。

  2. 在 Citrix Gateway 虚拟服务器前端使用 Unified Gateway 虚拟服务器。

使用选项 2 时,Citrix Gateway 虚拟服务器不需要自己的 IP 地址 /FQDN,因为它使用不可寻址的 IP 地址 (0.0.0.0)。

HDX Insight 是否与 Unified Gateway 兼容

使用 Unified Gateway 部署 Citrix Gateway 时,Citrix Gateway 虚拟服务器必须绑定有效的 SSL 证书,并且必须处于启动状态才能为 Citrix ADC Insight Center 生成 AppFlow 记录以进行 HDX Insight 报告。

如何迁移我现有的 HDX Insight 配置

不需要迁移。如果将 Citrix Gateway 虚拟服务器放在 Unified Gateway 虚拟服务器后面,绑定到 Citrix Gateway 虚拟服务器的 AppFlow 策略将继续执行。

对于 Citrix Gateway 虚拟服务器的 Citrix ADC Insight Center 中的现有数据,有两种可能性:

  • 如果在迁移到 Unified Gateway 的过程中将 Citrix Gateway 虚拟服务器的 IP 地址分配给 Unified Gateway 虚拟服务器,则数据将保持链接到 Citrix Gateway 虚拟服务器
  • 如果为 Unified Gateway 虚拟服务器分配了单独的 IP 地址,则 Citrix Gateway 虚拟服务器中的 AppFlow 数据将链接到该新 IP 地址。因此,现有数据不是新数据的一部分。
Unified Gateway FAQ

在本文中