Product Documentation

与 NetScaler Gateway 和 NetScaler 集成

与 XenMobile 集成后,NetScaler Gateway 为 MAM 设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,移动生产力应用程序可以通过(在移动设备上的应用程序与 NetScaler Gateway 之间创建的)Micro VPN 连接到 Intranet 中的公司服务器。

如果您有多个 XenMobile Server,或者 XenMobile Server 在您的 DMZ 中或内部网络中(因此,流量从设备依次传输到 NetScaler 和 XenMobile),则所有 XenMobile Server 设备模式都需要 NetScaler 负载平衡。

XenMobile Server 模式的集成要求

根据 XenMobile Server 模式(MAM、MDM 和 ENT),NetScaler Gateway 和 NetScaler 的集成要求有所不同。

MAM

XenMobile Server 处于 MAM 模式时:

  • 需要 NetScaler Gateway。NetScaler Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
  • 建议使用 NetScaler 进行负载平衡。

    Citrix 建议采用高可用性配置部署 XenMobile,这需要 XenMobile 前端有负载平衡器。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式

MDM

XenMobile Server 处于 MDM 模式时:

  • 不需要 NetScaler Gateway。对于 MDM 部署,Citrix 建议对移动设备 VPN 使用 NetScaler Gateway。
  • 建议使用 NetScaler 以提高安全性并进行负载平衡。

    Citrix 建议在 XenMobile Server 前端部署 NetScaler 设备,以提高安全性并进行负载平衡。对于 XenMobile Server 在 DMZ 中的标准部署,Citrix 建议使用 NetScaler for XenMobile 向导,并采用处于 SSL 桥接模式的 XenMobile Server 负载平衡。此外,对于 XenMobile Server 在内部网络中而不是 DMZ 中的部署和/或出于安全原因需要此类配置的部署,您还可以考虑使用 SSL 卸载。

    虽然对于 MDM,您可以考虑通过 NAT 或现有第三方代理或负载平衡器向 Internet 公开 XenMobile Server(前提是 SSL 流量终止于 XenMobile Server(SSL 桥接)),但由于存在潜在的安全风险,Citrix 建议不要采用该方法。

    对于高安全性环境,采用默认 XenMobile 配置的 NetScaler 应该可以满足或超过安全要求。

    对于具有最高安全性需求的 MDM 环境,SSL 终止于 NetScaler 提供了检查外围流量的功能,同时维持端到端 SSL 加密。有关详细信息,请参阅安全要求。NetScaler 提供用于定义 SSL/TLS 密码的选项和 SSL FIPS NetScaler 硬件。

ENT (MAM+MDM)

XenMobile Server 处于 ENT 模式时:

  • 需要 NetScaler Gateway。NetScaler Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。

    当 XenMobile Server 模式为 ENT 且用户选择退出 MDM 注册时,设备将以旧版 MAM 模式运行。在旧版 MAM 模式下,设备使用 NetScaler Gateway FQDN 进行注册。有关详细信息,请参阅关于 MAM 和旧版 MAM 模式

  • 建议使用 NetScaler 进行负载平衡。有关详细信息,请参阅上文“MDM”下的 NetScaler 要点。

重要:

请注意,首次注册时,来自用户设备的流量将在 XenMobile Server 上进行身份验证,无论您将负载平衡虚拟服务器配置为 SSL 卸载还是 SSL 桥接。

设计决策

以下各节概述了规划 NetScaler Gateway 与 XenMobile 的集成时要考虑的多个设计决策。

许可和版本

决策详细信息:

  • 您将使用哪个 NetScaler 版本?
  • 您是否已将平台许可证应用于 NetScaler?
  • 如果您需要使用 MAM 功能,您是否已应用 NetScaler 通用访问许可证?

设计指导:

请务必将正确的许可证应用于 NetScaler Gateway。如果您使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器,则可能需要集成缓存;因此,必须确保已安装合适的 NetScaler 版本。

启用 NetScaler 功能的许可证要求如下所示。

  • XenMobile MDM 负载平衡至少需要一个 NetScaler 标准平台许可证。
  • 采用 StorageZones Controller 的 ShareFile 负载平衡至少需要一个 NetScaler 标准平台许可证。
  • XenMobile Enterprise Edition 包含 MAM 所需的 NetScaler Gateway 通用许可证。
  • Exchange 负载平衡需要一个 NetScaler Platinum 平台许可证或 NetScaler Enterprise 平台许可证以及集成缓存许可证。

用于 XenMobile 的 NetScaler 版本

决策详细信息:

  • XenMobile 环境中运行的 NetScaler 是哪个版本?
  • 是否需要单独的实例?

设计指导:

Citrix 建议 NetScaler Gateway 虚拟服务器使用专用的 NetScaler 实例。请确保在 XenMobile 环境中使用满足最低要求的 NetScaler 版本和内部版本。通常,最好在 XenMobile 中使用最新的兼容 NetScaler 版本和内部版本。如果升级 NetScaler Gateway 会影响现有环境,可能适合采用第二个专用的 XenMobile 实例。

如果您计划让 XenMobile 和使用 VPN 连接的其他应用程序共用一个 NetScaler 实例,请确保您有足够的 VPN 许可证用于两者。请谨记,XenMobile 测试和生产环境不能共用一个 NetScaler 实例。

证书

决策详细信息:

  • XenMobile 环境中的注册和访问是否需要更高的安全性?
  • 是否无法使用 LDAP?

设计指导:

XenMobile 的默认配置是用户名和密码身份验证。要为 XenMobile 环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与 LDAP 以实现双重身份验证,从而提高安全性,而无需 RSA 服务器。

如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 XenMobile。用户随后使用 XenMobile 生成的唯一 PIN 进行注册。用户获取访问权限后,XenMobile 会创建和部署后续用来在 XenMobile 环境中执行身份验证的证书。

XenMobile 支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 将使用 NetScaler 管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置 NetScaler 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证;XenMobile 将重新颁发新证书,因为 XenMobile 在某个证书被吊销的情况下不限制用户生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

网络拓扑

决策详细信息:

  • 需要那种 NetScaler 拓扑?

设计指导:

Citrix 建议 XenMobile 使用一个 NetScaler 实例。但是,如果您不希望流量从内部网络向外传输到 DMZ,可以考虑设置另一个 NetScaler 实例,以便为内部用户和外部用户各使用一个 NetScaler 实例。请注意,当用户在内部网络和外部网络之间切换时,DNS 记录缓存可能会导致 Secure Hub 中的登录提示次数增加。

请注意,XenMobile 当前不支持 NetScaler Gateway 双跃点。

专用或共享的 NetScaler Gateway VIP

决策详细信息:

  • 当前 XenApp 和 XenDesktop 是否使用 NetScaler Gateway?
  • XenMobile 是否与 XenApp 和 XenDesktop 利用同一 NetScaler Gateway?
  • 两种通信流的身份验证要求是什么?

设计指导:

如果您的 Citrix 环境包含 XenMobile 以及 XenApp 和 XenDesktop,两者可以使用同一 NetScaler 实例和 NetScaler Gateway 虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个 XenMobile 环境使用专用的 NetScaler 实例和 NetScaler Gateway。但是,如果无法使用专用的 NetScaler 实例,Citrix 建议使用专用的 NetScaler Gateway vServer 而不是使用在 XenMobile 与 XenApp 和 XenDesktop 之间共享的 vServer,以便为 Secure Hub 分离通信流。

如果您使用 LDAP 身份验证,Receiver 和 Secure Hub 可以向同一 NetScaler Gateway 进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,XenMobile 将推送 MDX 容器中的证书,Secure Hub 将使用该证书向 NetScaler Gateway 进行身份验证。Receiver 与 Secure Hub 是分开的,无法与 Secure Hub 使用同一证书向同一 NetScaler Gateway 进行身份验证。

您可以考虑以下解决方法,这样,您可以对两个 NetScaler Gateway VIP 使用同一 FQDN。您可以创建两个具有相同 IP 地址的 NetScaler Gateway VIP,但用于 Secure Hub 的 VIP 使用标准 443 端口,用于 XenApp 和 XenDesktop(部署 Receiver)的 VIP 使用端口 444。然后,一个 FQDN 解析为相同的 IP 地址。对于此解决方法,您可能需要将 StoreFront 配置为返回端口 444 而不是默认端口 443 的 ICA 文件。此解决方法不需要用户输入端口号。

NetScaler Gateway 超时

决策详细信息:

  • 您要如何配置 XenMobile 流量的 NetScaler Gateway 超时?

设计指导:

NetScaler Gateway 包括“会话超时”和“强制超时”设置。有关详细信息,请参阅建议的配置。请谨记,后台服务、NetScaler 以及脱机时访问应用程序的超时值不同。

用于 MAM 的 XenMobile 负载平衡器 IP 地址

决策详细信息:

  • VIP 使用内部 IP 地址还是外部 IP 地址?

设计指导:

在 NetScaler Gateway VIP 可以使用公用 IP 地址的环境中,以此方式分配 XenMobile 负载平衡 VIP 和地址将会导致注册失败。

在此情况下,请确保负载平衡 VIP 使用内部 IP 以避免注册失败。此虚拟 IP 地址必须遵循有关专用 IP 地址的 RFC 1918 标准。如果您对此虚拟服务器使用非专用 IP 地址,则在身份验证过程中,NetScaler 将无法成功联系 XenMobile Server。有关详细信息,请参阅 https://support.citrix.com/article/CTX200430

MDM 负载平衡机制

决策详细信息:

  • NetScaler Gateway 如何对 XenMobile Server 进行负载平衡?

设计指导:

如果 XenMobile 在 DMZ 中,请使用 SSL 桥接。当 XenMobile Server 在内部网络中时,如果为了满足安全标准而需要 SSL 卸载,请使用 SSL 卸载。

  • 在 SSL 桥接模式下通过 NetScaler VIP 对 XenMobile Server 进行负载平衡时,Internet 流量直接传输到连接终止处的 XenMobile Server。SSL 桥接模式是易于设置和故障排除的最简单模式。
  • 在 SSL 卸载模式下通过 NetScaler VIP 对 XenMobile Server 进行负载平衡时,Internet 流量直接传输到连接终止处的 NetScaler。然后,NetScaler 建立从 NetScaler 到 XenMobile Server 的新会话。在设置和故障排除过程中,SSL 卸载模式的复杂性将增加。

用于通过 SSL 卸载进行 MDM 负载平衡的服务端口

决策详细信息:

  • 如果您使用 SSL 卸载模式进行负载平衡,后端服务将使用哪个端口?

设计指导:

对于 SSL 卸载,按如下所示选择端口 80 或 8443:

注册 FQDN

决策详细信息:

  • 注册和 XenMobile 实例/负载平衡 VIP 的 FQDN 是什么?

设计指导:

对群集中的第一个 XenMobile Server 进行初始配置时,您需要输入 XenMobile Server FQDN。该 FQDN 必须匹配您的 MDM VIP URL 和内部 MAM LB VIP URL。(内部 NetScaler 地址记录解析 MAM LB VIP)。有关详细信息,请参阅本文后面的“每种部署类型的注册 FQDN”。

此外,您使用的证书必须与 XenMobile SSL 侦听器证书、内部 MAM LB VIP 证书和 MDM VIP 证书(如果将 SSL 卸载用于 MDM VIP)相同。

重要:

配置注册 FQDN 后,无法对其进行更改。新的注册 FQDN 需要重新构建新的 SQL Server 数据库和 XenMobile Server。

Secure Web 流量

决策详细信息:

  • Secure Web 是否仅限制于内部 Web 浏览?
  • 是否启用 Secure Web 进行内部 Web 浏览和外部 Web 浏览?

设计指导:

如果 Secure Web 仅用于内部 Web 浏览,NetScaler Gateway 配置很简单(假定默认情况下 Secure Web 可以访问所有内部站点);您可能需要配置防火墙和代理服务器。

如果将 Secure Web 用于外部浏览和内部浏览,则必须启用 SNIP 以便具有出站 Internet 访问权限。由于 IT 一般将注册的设备(使用 MDX 容器)视为企业网络的扩展,因此 IT 通常希望 Secure Web 连接返回到 NetScaler、经过代理服务器,然后向外转到 Internet。默认情况下,Secure Web 访问通过通道连接到内部网络,这表示 Secure Web 对所有网络访问使用返回到内部网络的 PerApp VPN 通道,并且 NetScaler 使用拆分通道设置。

有关 Secure Web 连接的讨论,请参阅配置用户连接

Secure Mail 的推送通知

决策详细信息:

  • 是否使用推送通知?

适用于 iOS 的设计指导:

如果 NetScaler Gateway 配置包括 Secure Ticket Authority (STA),并且拆分通道已关闭,NetScaler Gateway 必须允许从 Secure Mail 到(在 Secure Mail for iOS 的“推送通知”中指定的)Citrix 侦听器服务 URL 的流量。

适用于 Android 的设计指导:

作为 MDX 策略活动轮询期限的备选策略,可以使用 Google Cloud Messaging (GCM) 控制 Android 设备如何及何时需要连接到 XenMobile。配置了 GCM 后,任何安全操作或部署命令都将触发向 Secure Hub 推送通知,以提示用户重新连接到 XenMobile Server。

HDX STA

决策详细信息:

  • 如果集成 HDX 应用程序访问,要使用什么 STA?

设计指导:

HDX STA 必须匹配 StoreFront 中的 STA,并且必须对 XenApp/XenDesktop 场有效。

ShareFile

决策详细信息:

  • 是否在环境中使用 ShareFile StorageZone Controller?
  • 将使用什么 ShareFile VIP URL?

设计指导:

如果您的环境中将包括 ShareFile StorageZone Controller,请务必正确配置以下各项:ShareFile 内容交换 VIP(ShareFile 控制平面用于与 StorageZone Controller 服务器通信)、ShareFile 负载平衡 VIP 以及所有必需的策略和配置文件。有关信息,请参阅 Citrix ShareFile StorageZones Controller 文档。

SAML IdP

决策详细信息:

  • 如果 ShareFile 需要 SAML,您是否要将 XenMobile 用作 SAML IdP?

设计指导:

推荐的最佳做法是,将 ShareFile 与 XenMobile Advanced Edition 或 XenMobile Enterprise Edition 集成,这样做比配置基于 SAML 的联合身份验证更简单。结合使用 ShareFile 与这些 XenMobile 版本时,XenMobile 为 ShareFile 提供移动生产力应用程序用户的单点登录 (SSO) 身份验证、基于 Active Directory 的用户帐户预配以及全面的访问控制策略。通过 XenMobile 控制台,可以执行 ShareFile 配置以及监视服务级别和许可证使用情况。

请注意,有两种类型的 ShareFile 客户端:适用于 XenMobile 的 ShareFile 客户端(也称为打包的 ShareFile)和 ShareFile 移动客户端(也称为未打包的 ShareFile)。要了解差别,请参阅适用于 XenMobile 的 ShareFile 客户端与 ShareFile 移动客户端之间的差别

可以将 XenMobile 和 ShareFile 配置为使用 SAML 提供对通过 MDX Toolkit 打包的 ShareFile 移动应用程序以及未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)的 SSO 访问。

如果要将 XenMobile 用作 ShareFile 的 SAML IdP,请确保已实施合适的配置。有关详细信息,请参阅 SAML SSO 与 ShareFile

ShareConnect 直接连接

决策详细信息:

  • 用户是否从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机?

设计指导:

借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,XenMobile 使用 NetScaler Gateway 安全地访问对本地网络外部的资源。有关配置详细信息,请参阅 ShareConnect

每种部署类型的注册 FQDN

   
部署类型 注册 FQDN
采用强制 MDM 注册的企业 (MDM+MAM) XenMobile Server FQDN
采用可选 MDM 注册的企业 (MDM+MAM) XenMobile Server FQDN 或 NetScaler Gateway FQDN
仅 MDM XenMobile Server FQDN
仅 MAM(旧版) NetScaler Gateway FQDN
仅 MAM XenMobile Server FQDN

部署摘要

Citrix 建议使用 NetScaler for XenMobile 向导以确保完成正确配置。请注意,该向导只能使用一次。如果您有多个 XenMobile 实例(例如,用于测试、开发和生产环境),必须手动为其他环境配置 NetScaler。您有工作环境时,请先记下设置,然后再尝试手动为 XenMobile 配置 NetScaler。

使用该向导时要做出的主要决定是对与 XenMobile Server 的通信使用 HTTPS 还是 HTTP。HTTPS 提供安全的后端通信,因为 NetScaler 与 XenMobile 之间的流量会加密;重新加密会影响 XenMobile Server 性能。HTTP 可提高 XenMobile Server 性能;NetScaler 与 XenMobile 之间的流量不加密。以下各表显示了 NetScaler 和 XenMobile Server 的 HTTP 和 HTTPS 端口要求。

HTTPS

Citrix 通常建议对 NetScaler MDM 虚拟服务器配置使用 SSL 桥接。如果对 MDM 虚拟服务器使用 NetScaler SSL 卸载,XenMobile 仅支持后端服务使用端口 80。

       
部署类型 NetScaler 负载平衡方法 SSL 重新加密 XenMobile Server 端口
MDM SSL 桥接 不适用 443、8443
MAM SSL 卸载 已启用 8443
Enterprise MDM:SSL 桥接 不适用 443、8443
Enterprise MAM:SSL 卸载 已启用 8443

HTTP

       
部署类型 NetScaler 负载平衡方法 SSL 重新加密 XenMobile Server 端口
MDM SSL 卸载 不支持 80
MAM SSL 卸载 已启用 8443
Enterprise MDM:SSL 卸载 不支持 80
Enterprise MAM:SSL 卸载 已启用 8443

有关 XenMobile 部署中的 NetScaler Gateway 的示意图,请参阅面向本地部署的参考体系结构

与 NetScaler Gateway 和 NetScaler 集成