安装和配置
开始之前
您可以使用以下预安装清单来记录在本地安装 XenMobile® 的先决条件和设置。每个任务或备注都包含一列,指示该要求适用的组件或功能。
规划 XenMobile 部署涉及许多注意事项。有关完整 XenMobile 环境的建议、常见问题和用例,请参阅 XenMobile 部署手册。
有关安装步骤,请参阅本文后面的“安装 XenMobile”部分。
预安装清单
基本网络连接
以下是 XenMobile 解决方案所需的网络设置。
| 先决条件或设置 | 组件或功能 | 记录设置 |
|---|---|---|
| 记录远程用户连接到的完全限定域名 (FQDN)。 | XenMobile 和 Citrix Gateway | |
| 记录公共和本地 IP 地址。 | ||
| 您需要这些 IP 地址来配置防火墙以设置网络地址转换 (NAT)。 | XenMobile 和 Citrix Gateway | |
| 记录子网掩码。 | XenMobile 和 Citrix Gateway | |
| 记录 DNS IP 地址。 | XenMobile 和 Citrix Gateway | |
| 写下 WINS 服务器 IP 地址(如果适用)。 | Citrix Gateway | |
| 识别并写下 Citrix Gateway 主机名。 | Citrix Gateway | 此项不是 FQDN。FQDN 包含在绑定到虚拟服务器且用户连接到的签名服务器证书中。您可以使用 Citrix Gateway 中的安装向导配置主机名。 |
| 记录 XenMobile 的 IP 地址。如果您安装一个 XenMobile 实例,请保留一个 IP 地址。如果配置群集,请记录所需的所有 IP 地址。 | XenMobile | |
| 在 Citrix Gateway 上配置一个公共 IP 地址。 | Citrix Gateway | |
| Citrix Gateway 的一个外部 DNS 条目。 | Citrix Gateway | |
| 记录 Web 代理服务器 IP 地址、端口、代理主机列表以及管理员用户名和密码。如果您在网络中部署代理服务器(如果适用),则这些设置是可选的。 | Citrix Gateway | 配置 Web 代理的用户名时,可以使用 sAMAccountName 或用户主体名称 (UPN)。 |
| 记录默认网关 IP 地址。 | XenMobile 和 Citrix Gateway | |
| 记录系统 IP (NSIP) 地址和子网掩码。 | Citrix Gateway | |
| 记录子网 IP (SNIP) 地址和子网掩码。 | Citrix Gateway | |
| 记录 Citrix Gateway 虚拟服务器 IP 地址和证书中的 FQDN。要配置多个虚拟服务器,请记录证书中的所有虚拟 IP 地址和 FQDN。 | Citrix Gateway | |
| 记录用户可以通过 Citrix Gateway 访问的内部网络。示例:10.10.0.0/24。在以下情况下,输入用户需要访问的所有内部网络和网络段:当用户使用 Secure Hub 或 Citrix Gateway Plug-in 连接且拆分隧道设置为“开”时。 | Citrix Gateway | |
| 确保 XenMobile Server、Citrix Gateway、外部 Microsoft SQL Server 和 DNS 服务器之间的网络连接可达。 | XenMobile 和 Citrix Gateway |
许可
XenMobile 要求您购买 Citrix Gateway 和 XenMobile 的许可选项。有关 Citrix 许可的详细信息,请参阅 Citrix 许可系统。
| 先决条件 | 组件 | 记录位置 |
|---|---|---|
| 从 Citrix 网站获取通用许可证。有关详细信息,请参阅 Citrix Gateway 文档中的“许可”。 | Citrix Gateway、XenMobile 和 Citrix License Server |
证书
XenMobile 和 Citrix Gateway 需要证书才能启用与其他 Citrix 产品和应用程序以及用户设备的连接。有关详细信息,请参阅 XenMobile 文档中的“证书和身份验证”部分。
| 先决条件 | 组件 | 备注 |
|---|---|---|
| 获取并安装所需的证书。 | XenMobile 和 Citrix Gateway |
端口
打开端口以允许与 XenMobile 组件进行通信。
| 先决条件 | 组件 | 备注 |
|---|---|---|
| 为 XenMobile 打开端口。 | XenMobile 和 Citrix Gateway |
数据库
XenMobile 需要数据库连接配置。XenMobile 存储库需要运行在 系统要求和兼容性 中所述的受支持版本之一的 Microsoft SQL Server 数据库。Citrix 建议远程使用 Microsoft SQL。XenMobile 包含 PostgreSQL。仅在测试环境中使用本地或远程 PostgreSQL。
默认情况下,XenMobile 使用 jTDS 数据库驱动程序。要在本地安装 XenMobile Server 时使用 Microsoft JDBC 驱动程序,请参阅 SQL Server 驱动程序。
| 先决条件 | 组件 | 备注 |
|---|---|---|
| Microsoft SQL Server IP 地址和端口。确保要在 XenMobile 上使用的 SQL Server 的服务帐户具有 DBcreator 角色权限。 | XenMobile |
Active Directory 设置
| 先决条件 | 组件 | 备注 |
|---|---|---|
| 记录主服务器和辅助服务器的 Active Directory IP 地址和端口。如果您使用端口 636,请在 XenMobile 上安装来自 CA 的根证书,并将“使用安全连接”选项更改为“是”。 | XenMobile 和 Citrix Gateway | |
| 记录 Active Directory 域名。 | XenMobile 和 Citrix Gateway | |
| 记录 Active Directory 服务帐户,该帐户需要用户 ID、密码和域别名。 | ||
| Active Directory 服务帐户是 XenMobile 用于查询 Active Directory 的帐户。 | XenMobile 和 Citrix Gateway | |
记录用户基本 DN,即用户所在的目录级别。例如:cn=users,dc=ace,dc=com。Citrix Gateway 和 XenMobile 使用用户基本 DN 查询 Active Directory。 |
XenMobile 和 Citrix Gateway | |
| 记录组基本 DN,即组所在的目录级别。Citrix Gateway 和 XenMobile 使用此 DN 查询 Active Directory。 | XenMobile 和 Citrix Gateway |
XenMobile 与 Citrix Gateway 之间的连接
| 先决条件 | 组件 | 记录设置 |
|---|---|---|
| 记录 XenMobile 主机名。 | XenMobile | |
| 记录 XenMobile 的 FQDN 或 IP 地址。 | XenMobile | |
| 识别用户可以访问的应用程序。 | Citrix Gateway | |
| 记录回调 URL。 | XenMobile |
用户连接:访问 Citrix Virtual Apps and Desktops™ 和 Citrix Secure Hub
Citrix 建议您使用 Citrix ADC 中的快速配置向导来配置 XenMobile 与 Citrix Gateway 之间以及 XenMobile 与 Secure Hub 之间的连接设置。您创建第二个虚拟服务器以启用来自 Citrix Receiver™ 和 Web 浏览器的用户连接。这些连接是到 Virtual Apps and Desktops 中基于 Windows 的应用程序和虚拟桌面。Citrix 建议您也使用 Citrix ADC 中的快速配置向导来配置这些设置。
| 先决条件 | 组件 | 记录设置 |
|---|---|---|
| 记录 Citrix Gateway 主机名和外部 URL。外部 URL 是用户连接的 Web 地址。 | XenMobile | |
| 记录 Citrix Gateway 回调 URL。 | XenMobile | |
| 记录虚拟服务器的 IP 地址和子网掩码。 | Citrix Gateway | |
| 记录 Program Neighborhood Agent 或 Virtual Apps and Desktops 站点的路径。 | Citrix Gateway 和 XenMobile | |
| 记录运行安全票证颁发机构 (STA) 的 Citrix Virtual Apps™ and Desktops 服务器的 FQDN 或 IP 地址(仅适用于 ICA 连接)。 | Citrix Gateway | |
| 记录 XenMobile 的公共 FQDN。 | Citrix Gateway | |
| 记录 Secure Hub 的公共 FQDN。 | Citrix Gateway |
XenMobile 部署流程图
您可以使用此流程图来指导您完成 XenMobile 部署的主要步骤。图中各步骤的主题链接如下。
- 系统要求和兼容性
- 安装和配置
- 3 和 4:预安装清单(本文)
- 5:在命令提示符窗口中配置 XenMobile(本文)
- 6:在 Web 浏览器中配置 XenMobile(本文)
- 配置 XenMobile 环境的设置
- 端口要求
安装 XenMobile
XenMobile 虚拟机 (VM) 运行在 Citrix XenServer、VMware ESXi 或 Microsoft Hyper-V 上。您可以使用 XenCenter® 或 vSphere 管理控制台安装 XenMobile。
注意:
确保虚拟机管理程序配置了正确的时间(使用 NTP 服务器或手动配置),因为 XenMobile 会使用该时间。如果在 XenMobile 时间与虚拟机管理程序同步时遇到时区问题,可以通过将 XenMobile 指向 NTP 服务器来避免这些问题。为此,请使用 XenMobile CLI,如命令行界面选项中所述。
XenServer 或 VMware ESXi 先决条件。在 XenServer 或 VMware ESXi 上安装 XenMobile 之前,必须执行以下操作。有关详细信息,请参阅您的 XenServer 或 VMware 文档。
- 在具有足够硬件资源的计算机上安装 XenServer® 或 VMware ESXi。
- 在另一台计算机上安装 XenCenter 或 vSphere。托管 XenCenter 或 vSphere 的计算机通过网络连接到 XenServer 或 VMware ESXi 主机。
Hyper-V 先决条件。在 Hyper-V 上安装 XenMobile 之前,必须执行以下操作。有关详细信息,请参阅您的 Hyper-V 文档。
- 在具有足够系统资源的计算机上安装 Windows Server 2016 或 Windows Server 2019,并启用 Hyper-V 角色。安装 Hyper-V 角色时,请务必指定服务器上 Hyper-V 用于创建虚拟网络的网卡。您可以为主机保留一些网卡。
- 删除文件 Virtual Machines/<build-specific UUID>.xml
- 将文件 Legacy/<build-specific UUID>.exp 移动到 Virtual Machines
FIPS 140-2 模式。要在 FIPS 模式下安装 XenMobile Server,请完成一个先决条件组,如使用 XenMobile 配置 FIPS 中所述。
下载 XenMobile 产品软件
您可以从 Citrix 网站下载产品软件。登录该站点,然后使用“下载”链接导航到包含要下载的软件的页面。
下载 XenMobile 软件
-
转至 Citrix 网站。
-
在搜索框旁边,单击登录并登录您的帐户。
-
单击下载选项卡。
-
在“下载”页面上,从选择产品列表中单击 Citrix Endpoint Management™ (和 Citrix XenMobile Server)。Citrix Endpoint Management (和 Citrix XenMobile Server) 页面自动显示。
-
展开XenMobile Server(本地部署)。
-
展开产品软件。
-
单击XenMobile Server 10。
-
单击跳转到下载菜单,然后选择用于安装 XenMobile 的相应虚拟映像。或者,向下滚动页面以找到要安装的映像的下载文件按钮。
-
按照屏幕上的说明下载软件。
下载 Citrix Gateway 软件
您可以使用此过程下载 Citrix Gateway 虚拟设备或现有 Citrix Gateway 设备的软件升级。
- 转至 Citrix 网站。
- 如果您尚未登录 Citrix 网站,请在搜索框旁边单击登录并登录您的帐户。
- 单击下载选项卡。
- 在“下载”页面上,从选择产品列表中单击Citrix Gateway。
- 单击转到。Citrix Gateway 页面显示。
- 在 Citrix Gateway 页面上,展开您正在运行的 Citrix Gateway 版本。
-
在固件下,单击要下载的设备软件版本。
注意:
您还可以单击虚拟设备以下载 Citrix ADC VPX。选择此选项时,您会收到每个虚拟机管理程序的虚拟机软件列表。
- 单击要下载的设备软件版本。
- 在要下载的版本的设备软件页面上,单击相应虚拟设备的下载。
- 按照屏幕上的说明下载软件。
首次使用 XenMobile 的配置
-
要配置 XenMobile 的 IP 地址和子网掩码、默认网关、DNS 服务器以及其他设置:请使用 XenCenter 或 vSphere 命令行控制台。
注意:
使用 vSphere Web 客户端时:建议您在“自定义模板”页面上部署 OVF 模板时不要配置网络属性。在高可用性配置中这样做可以避免在克隆并重新启动第二个 XenMobile 虚拟机时出现的 IP 地址问题。
-
仅通过 XenMobile Server 完全限定域名或节点的 IP 地址访问 XenMobile 管理控制台。
-
登录,然后按照初始登录屏幕中的步骤操作。
在命令提示符窗口中配置 XenMobile
- 将 XenMobile 虚拟机导入 Citrix XenServer、Microsoft Hyper-V 或 VMware ESXi。有关详细信息,请参阅 XenServer、Hyper-V 或 VMware 文档。
- 在虚拟机管理程序中,选择导入的 XenMobile 虚拟机并启动命令提示符视图。有关详细信息,请参阅虚拟机管理程序的文档。
-
在虚拟机管理程序控制台页面中,通过键入管理员用户名和密码在命令提示符窗口中为 XenMobile 创建管理员帐户。
当您为命令提示符管理员帐户、公钥基础结构 (PKI) 服务器证书和 FIPS 创建或更改密码时:XenMobile 会对除在 XenMobile 外部管理密码的 Active Directory 用户之外的所有用户强制执行以下规则。
- 密码长度必须至少为八个字符。
- 密码必须满足以下复杂性条件中的至少三项:
- 大写字母(A 到 Z)
- 小写字母(a 到 z)
- 数字(0 到 9)
- 特殊字符(例如 ! # $ %)
键入新密码时,不会显示任何字符(例如星号)。
- 提供以下网络信息,然后键入 y 以提交设置:
- XenMobile Server 的 IP 地址
- 子网掩码
- 默认网关(DMZ 中默认网关的 IP 地址)
- 主 DNS 服务器(DNS 服务器的 IP 地址)
-
辅助 DNS 服务器(可选)
注意:
此图像和以下图像中显示的地址不起作用,仅作为示例提供。
-
键入 y 以通过生成随机加密密码来提高安全性,或者键入 n 以提供您自己的密码。Citrix 建议键入 y 以生成随机密码。
密码用于保护加密密钥,这些密钥用于保护您的敏感数据。存储在服务器文件系统中的密码哈希用于在数据加密和解密期间检索密钥。密码无法查看。
注意: > > 如果您打算扩展环境并配置更多服务器,请提供您自己的密码短语。如果您选择随机密码短语,则无法查看它。 > >
-
(可选)启用联邦信息处理标准 (FIPS)。有关 FIPS 的详细信息,请参阅FIPS。此外,请务必完成先决条件组,如使用 XenMobile 配置 FIPS 中所述。
-
提供以下信息以配置数据库连接。
- 您的数据库可以是本地的或远程的。键入 l 表示本地,键入 r 表示远程。
-
选择数据库类型。键入 mi 表示 Microsoft SQL,键入 p 表示 PostgreSQL。
重要:
- Citrix 建议远程使用 Microsoft SQL。XenMobile 包含 PostgreSQL。仅在测试环境中使用本地或远程 PostgreSQL。
- 不支持数据库迁移。在测试环境中创建的数据库无法移动到生产环境。
- (可选)键入 y 以对数据库使用 SSL 身份验证。
- 提供托管 XenMobile 的服务器的完全限定域名 (FQDN)。此单主机服务器提供设备管理和应用程序管理服务。
- 如果数据库端口号与默认端口号不同,请键入您的数据库端口号。Microsoft SQL 的默认端口为 1433,PostgreSQL 的默认端口为 5432。
- 键入您的数据库管理员用户名。
- 键入您的数据库管理员密码。
- 键入数据库名称。
- 按 Enter 提交数据库设置。
-
(可选)键入 y 以启用 XenMobile 节点或实例的群集。
重要:
如果启用 XenMobile 群集,在系统配置完成后,请打开端口 80 以启用群集成员之间的实时通信。在所有群集节点上完成该设置。
-
键入 XenMobile Server 的完全限定域名 (FQDN)。
- 按 Enter 提交设置。
- 识别通信端口。有关端口及其用途的详细信息,请参阅端口要求。
注意:
按 Enter(在 Mac 上为 Return)接受默认端口。
- 跳过有关从以前的 XenMobile 版本升级的下一个问题,因为您是首次安装 XenMobile。
-
如果您想为每个公钥基础结构 (PKI) 证书使用相同的密码,请键入 y。有关 XenMobile PKI 功能的详细信息,请参阅上载证书。
重要:
如果您打算将 XenMobile 节点或实例群集在一起,请为后续节点提供相同的密码。
-
键入新密码,然后再次输入新密码以确认。
键入新密码时不会显示任何字符(例如星号)。
- 按 Enter 提交设置。
-
创建一个管理员帐户,用于通过 Web 浏览器登录 XenMobile 控制台。请务必记录这些凭据以供将来使用。
注意:
键入新密码时不会显示任何字符(例如星号)。
- 按 Enter 提交设置。初始系统配置已保存。
- 当询问您是否正在升级时,请键入 n,因为这是新安装。
-
复制屏幕上显示的完整 URL,并在 Web 浏览器中继续此初始 XenMobile 配置。
在 Web 浏览器中配置 XenMobile
在管理程序命令提示符窗口中完成 XenMobile 配置的初始部分后,请在 Web 浏览器中完成该过程。
-
在 Web 浏览器中,导航到命令提示符窗口配置结束时提供的位置。
-
键入您在命令提示符窗口中创建的 XenMobile 控制台管理员帐户用户名和密码。
-
在“开始”页面上,单击“开始”。此时将显示“许可”页面。
-
配置许可证。如果您不上传许可证,则会使用有效期为 30 天的评估许可证。有关添加和配置许可证以及配置过期通知的详细信息,请参阅许可。
重要:
如果您打算通过添加 XenMobile 群集节点或实例来使用 XenMobile 群集,则必须在远程服务器上使用 Citrix Licensing。
-
在“证书”页面上,单击“导入”。此时将显示“导入”对话框。
-
导入您的 APNs 和 SSL 侦听器证书。iOS 设备管理需要 APNs 证书。有关使用证书的详细信息,请参阅证书。
注意:
此步骤需要重新启动服务器。
-
如果适合环境,请配置 Citrix Gateway。有关配置 Citrix Gateway 的详细信息,请参阅Citrix Gateway 和 XenMobile 和配置 XenMobile 环境的设置。
注意:
- 您可以在内部网络(或内网)的边界部署 Citrix Gateway。该部署提供对内部网络中服务器、应用程序和其他网络资源的安全单点访问。在此部署中,所有远程用户必须先连接到 Citrix Gateway,然后才能访问内部网络中的任何资源。
- 尽管 Citrix Gateway 是一个可选设置:在页面上输入数据后,您必须清除或完成必填字段,然后才能离开页面。
-
完成 LDAP 配置以从 Active Directory 访问用户和组。有关配置 LDAP 连接的详细信息,请参阅LDAP 配置。
-
配置通知服务器以能够向用户发送消息。有关通知服务器配置的详细信息,请参阅通知。
后置要求。重新启动 XenMobile Server 以激活您的证书。