注意:可以在此处找到有关NetScaler 10.5和Storefront 2.5.2的最新博客!
在此博客中,我将逐步介绍如何使用Citrix 店面配置Citrix NetScaler Access 网关 VPX。包括将VPX上传到XenServer,配置NetScaler,创建和安装SSL证书,创建Access 网关及其配置,重定向到Citrix 店面服务器以及最终配置Citrix 店面服务器本身。
在开始之前,请确保已安装Java Runtime,并且已拥有NetScaler的许可证文件。 思杰 NetScaler Access 网关需要SSL证书,请确保可以通过CA创建密钥。在本博客中,我将使用并描述创建密钥的步骤,方法是 去吧爸爸.
要安装和配置Citrix 店面 1.2,请参阅我以前的博客 这里.
下载和上传 到XenServer的NetScaler Access 网关 VPX
对于此安装,我将从Citrix网站下载“用于XenSever Build 10.0.73.5002e企业版的Access 网关 VPX”。
下载VPX后,打开 XenCenter, 打开 文件 菜单,然后选择选项 进口…
浏览到VDX并单击 下一页
选择您的XenServer并单击 下一页
选择要将Netscaler上载到的存储,然后单击 进口
选择您要连接到Netscaler的网络接口,然后单击 下一页
请点击 完
配置 Netscaler访问网关VPX
启动NetScaler并转到 安慰 虚拟机(XenCenter)的选项卡。输入所需 IP地址 (这将是管理接口IP地址,即NSIP),网络掩码 和 网关 地址。
输入所有网络信息后,应该会出现一个菜单,但是在NetScaler的此版本中不是这样。从早期版本中,我知道选项4是“Save 和 Quit”, so type in number 4 并击中 输入
重新引导Netscaler后,打开Internet Explorer并输入 NSIP地址 (管理接口的IP地址)。用用户名登录; nsroot 和密码; nsroot
在里面 组态 页面上,单击 安装向导
请点击 下一页
输入 主机名 (请记住,许可证文件的名称区分大小写)。在我的情况下,资源服务器位于同一子网上,因此我选择了“映射的IP”选项并填写IP地址和网络掩码。
点击 管理许可证
点击 加 浏览到您的许可证文件。
请点击 好
点击 不(!!)
点击 下一页
请点击 完
(可选)点击 配置时区
选择正确的时区,然后按 好
请点击 出口
点击 重启
选择 保存配置 然后按 好
安装SSL证书
在 组态 标签转到 SSL协议协议菜单,在屏幕右侧单击 创建RSA密钥
填写以下信息;
密钥文件名: “ name” .key,随便你喜欢
密钥大小(位): 2048
公共指数值: F4
密钥格式: PEM
PEM编码算法: DES3
PEM密码: 您喜欢的密码
验证密码: 同上
点击 创造 接着 关
下一步是创建一个需要发送到CA的请求。在屏幕右侧单击 创建CSR(证书签名请求)
填写以下信息;
请求文件名: “名称” .REQ,任何你喜欢的
密钥文件名: 浏览到您刚刚创建的.KEY文件
密钥格式: PEM
PEM密码短语(用于加密密钥): 您在上一步中指定的密码
通用名称: 这是用户将在浏览器中键入的地址
机构名称: 您的组织名称
国家: 你的国家
州或省: 您所在州或省
挑战密码: 您喜欢的密码
点击 创造 接着 关
.REQ文件需要下载才能导入到CA。去 “管理证书/密钥/ CSR”
选择.REQ文件,然后单击 下载。点击 浏览 要提供“保存在”位置,请单击 下载 接着 关.
在记事本中打开.REQ文件,然后复制所有文本。转到您的CA(在我/这种情况下 去吧爸爸)以创建密钥或通过粘贴.REQ文件中的文本来重新密钥现有证书。
创建证书后,下载它。选择 IIS7 作为服务器类型。
下载证书后,返回到 “管理证书/密钥/ CSR” 在下面 SSL协议 菜单,然后上传.crt文件。
进入菜单 SSL协议协议> 证书s。在屏幕下方单击 安装..
填写以下信息;
证书密钥对名称:您想要的任何名称
证书文件名:浏览到您刚刚上传的.crt文件
私钥文件名:浏览到先前创建的.KEY文件
密码:创建请求时输入的密码
证书格式:PEM
点击 安装 和 关
安装完成后,您可以查看证书的状态和天数。
创建Access 网关虚拟服务器
在 组态 标签转到 虚拟专用网 然后在正确的站点上单击 Access 网关向导
点击 下一页
装满 IP地址,这是外部IP地址必须指向的IP地址。填写端口号 443 和 虚拟服务器名称 (你喜欢的都可以)。在此向导之后,配置路由器和/或防火墙以将端口443(以及可选的端口80)从外部重定向到该IP地址。
通过证书选项选择 使用已安装的证书和私钥对。通过服务器证书选择在上一步中安装的证书。
填写 DNS服务器IP地址 DNS服务器的“ WINS IP地址”留为空白。选择DNS作为名称查找优先级,然后单击 下一页.
选择 LDAP 作为身份验证类型。通过连接设置,如上面的屏幕截图所示,填写所需的信息,然后单击 检索属性
请点击 好
将“配置授权”设置为 允许。 (可选)您可以启用端口80重定向。请点击 下一页
选择适用的内容,然后单击 下一页
请点击 完
请点击 出口
下一步是配置LDAP服务器和LDAP策略,并将其分配给Access 网关。进入菜单 虚拟专用网> 政策规定 >认证/授权> 认证方式 > LDAP。在屏幕右侧,选择 伺服器 标签,在屏幕下方单击 加
填写以下信息;
名称:您想要的任何名称
IP地址:您的AD域控制器的IP地址
基本DN(用户位置): 域的专有名称
管理员绑定DN: 域管理员帐户名
管理员密码: 域管理员帐户的密码
确认管理员密码: 同上
点击 检索属性
请点击 好
点击 创造 和 关
去 政策规定 标签并点击 加
填写以下信息;
名称:您想要的任何名称
服务器:在上一步中创建的LDAP服务器
选择 真实价值 然后点击 添加表达,然后点击 创造 和 关
进入菜单 虚拟专用网> Virtual 伺服器 在屏幕右侧,右键单击服务器,然后单击 打开
转到 认证方式 标签并点击 插入政策 应用上一步中创建的策略。请点击 好
此时,您已经可以使用外部URL登录到NetScaler(必须将路由器配置为允许443通信到访问门IP地址)。
配置Access 网关以重定向到Citrix 店面
进入菜单 虚拟专用网然后在屏幕右侧单击 已发布的应用程序向导
请点击 下一页
选择在先前步骤中创建的虚拟服务器名称,然后单击 下一页
通过“ Web Interface 加ress”输入Citrix 店面服务器的内部Web地址。通过“单一登录域”输入您的域名。请点击 加 以以下格式添加您的XenApp服务器和/或XenDesktop服务器的STA:“ http://<servername>”。在以前的版本中,需要在此路径中添加“ /scripts/ctxsta.dll”,但是对于此版本的NetScaler,则不需要(对于我而言)。
请点击 下一页
选择 “ SETVPNPARAMS_POL”,然后单击 下一页
请点击 完
请点击 出口
思杰 店面默认情况下具有“绿色泡泡”主题。 NetScaler Access网关中也提供此主题。要在NetScaler上配置相同的主题,请转到菜单 虚拟专用网> Global Settings 然后在屏幕右侧单击 更改全局设置.
打开 客户经验 标签,然后选择 绿泡泡 UI主题。请点击 好
转到 公开申请 标签并设置ICA代理 上。请点击 好
配置Citrix 店面
最后一步是将Citrix 店面服务器配置为与NetScaler Access 网关一起使用。
转到StoreFront服务器并打开 认证方式 标签,在右侧,单击 添加/删除方法
选择所有选项,然后单击 好
转到 网关 标签,在屏幕的右侧,单击 添加网关服务器
填写 Display name (any name you like). 在里面 网关 URL field fill in the external NetScaler address users will enter in there browsers (//..) 和 add “/Citrix/<storename>Web” to the end of it (see screenshot). 请点击 下一页.
填写 Callback URL, this is the external NetScaler address (//..) click 下一页.
请点击 加 并输入XenApp和/或XenDesktop服务器的STA,然后单击 好
请点击 创造
请点击 完
转到 专卖店 标签并点击 启用远程访问
选择 Full 虚拟专用网tunnel 然后点击 好
此时,一切都应该正常工作。如果NetScaler无法成功转发到StoreFront网站,请确保NetScaler可以找到Citrix Storefront服务器的NetBIOS名称(或别名)。如果不是这种情况,请将StoreFront服务器的DNS地址记录(或别名)添加到NetScaler的DNS中。
现在,您可以使用http:// _访问Citrix NetScaler Access 网关。<server adres>
登录后,您将被重定向到具有相同UI主题的Citrix 店面服务器。
故障排除
无法完成您的请求
收到此错误时,请确保已应用以下内容:
Edit the Windows Host file 和 add a new entry with the IP地址 of your (internal) 网关 VIP 加ress pointing to the 外部地址. For example; 192.168.1.5 citrix.robinhobo.com
或者,您可以创建DNS记录
1月-UI定制下拉列表当前仅在NetScaler的增强版本中可用。不在维护中。
感谢您的发布,我们计划测试此配置以取代CSG。
我想知道此配置的网络设计。您是否在DMZ中有VPX,并在内部网络的Windows框中的店面中拥有VPX?
是的,NetScaler VPX在DMZ中,StoreFront服务器在服务器VLAN中。
爱你的帖子!一个问题是网关vm和Netscaler应用程序都应该在DMZ上吗?我当前的设置是网关位于DMZ上,而Netscaler应用位于内部局域网中,并且Mip也位于同一局域网中。
谢谢您的帮助 -
谢谢。对于这篇文章,NetScaler和Access 网关在DMZ中,但是您可以在内部LAN的DMZ和NetScaler中安装Access 网关。
一步一步很好!
谢谢。
非常感谢!
It’不是对我有用,而是一个问题,您需要登录两次还是仅登录一次,然后您将直接重定向到您的应用程序?
如果按照上述博客中的说明配置了StoreFront,则只需登录一次。 (在NetScaler界面上)。什么对您不起作用?
从一开始我就遇到了身份验证问题。在netscaler上可以,但是当我将我重定向到店面时不起作用,甚至我放了我的凭据也无法登录。SSL很好,但是没有办法。有任何想法吗?在内部,我可以登录到店面。 Netscaler位于DMZ中。
如果将以下条目添加到每个StoreFront服务器上的主机文件中,则可能会解决该问题:“IP地址访问网关服务器” “external address”(例如:192.168.10.38 access.domainname.com)
你好罗宾,
我有时会臭名昭著的1100错误….
设置:netscaler 10.5(DMZ)店面2.6
主机文件对我的情况或其他修复程序有帮助吗?
谢谢你的帮助
其他问题
如何通过netscaler配置存储访问。网络正常。谢谢你的帮助。
非常好的博客!一切都通过Web客户端为我工作,但接收方客户端赢得了胜利’不能在内部或外部工作。任何提示,不胜感激。
如果StoreFront服务器正在运行HTTPS,这不起作用吗?
我已按照说明进行操作,当我进入NAGEE网站时,它将URL更改为 //access.mydomain.com/Citrix/stornameWeb 但我收到404错误。
因为我’我一次又一次地浏览了该指南,我可以在设置中找到的唯一区别是Storefront服务器正在运行HTTPS。
没关系,我想我想通了。在已发布的应用程序设置中,我将店面服务器的URL更改为http而不是https,并且现在似乎正在转发。
看来我要解决一些古怪的身份验证问题,我应该做生意。
非常感谢您提供清晰的分步说明。真的很有帮助!
唯一的问题是在一周前才下载的VPX设备上,所以它应该是最新版本,我确实必须向STA添加扩展名/scripts/ctxsta.dl才能显示为UP状态。 。
另一件事是在运行安装向导时,不要将域后缀添加到Netwescaler的主机名中。我做到了,但是只有将其删除后,我才能登录并启动桌面。在我臭名昭著之前“连接错误1030” error.
很棒的向导。您能否建议您是否必须使用Web Interface的方式为旧版客户端配置配置文件和http标头?
如果可以,可以将其添加到您的指南中以供参考吗?
克里斯,
我想我在这里有这个错误。您没有在哪个向导中添加域后缀?
问候,法尔科
好文件我’仍然存在一些问题,在我的内部网络中,我可以访问重定向到Storefront并登录工作的GW服务器,尽管它们都没有启动(尽管SSO和其他错误),但是我可以看到来自XenApp和Appcontroller的应用程序。
如果我尝试从外部访问网关,则只能通过外部IP地址进行访问,并且当它显示店面登录详细信息时,它实际上不会登录我,因此我’m a bit baffled, I’我遵循了所有可以看到的指南。任何帮助表示赞赏
这可能是几件事。.您是否启用了“从Citrix Access 网关传递”作为StoreFront中的身份验证类型?您是否已正确设置回调URL,并且可以将外部URL添加到本地主机文件中,以指向Access 网关(在StoreFront服务器上)的内部IP地址。您还可以检查您的STA’在Storefront中是否已正确设置?
你好,
使用Access 网关为智能手机配置Active sync很容易吗?
谢谢你的这篇文章。
你好罗宾,
感谢您的精彩文章。
XenDesktop 7的STA路径是什么?
– 亚什 Pradhan
对于Citrix XenDesktop 7,STA路径与Citrix XenDesktop 5.6完全相同。
感谢Robin的快速帮助!!!
多谢您提供内容翔实且资料丰富的文章。我遵循了& IT WORKED!!!
谢谢
罗宾,您好,很棒的帖子,感谢您在帖子中所做的努力。
希望您能帮我些忙。一世’ve就像您发布的一样,但是当我在访问网关上进行身份验证时,它使我印象深刻。我可以’虽然没有登录。当我输入用户名和密码时,什么也没有发生,它只是再次寻找密码。没有警告消息或其他任何内容。
有任何想法吗?
谢谢
康纳
康纳,如果在每个StoreFront服务器上的主机文件中添加以下条目,则可能会解决该问题:“内部IP地址Access 网关服务器”“外部地址”(例如:192.168.10.38 access.domainname.com)。还要检查您的STA’正确,并且在StoreFront中启用了NetScaler身份验证类型。
谢谢罗宾,
没什么好高兴的。 STA’都显示为绿色,并且启用了远程访问。
大家好… I’我面临着康纳谈到的完全相同的问题。
I’ve还在我的两个商店前端服务器中尝试了hosts文件解决方案,但是没有问题。
有什么线索吗?几乎失去了我的几根头发。
你好罗宾,
您是否对使用带有Strorefront的Receiver for WindowsRT和netscaler 10.0有任何经验?
问候,
埃弗特·简
I’我已经在我的Surface平板电脑上尝试过它,但是由于我使用StoreFront 2.0,所以它不起作用。可以建立连接,但是不要’看不到我发布的应用程序和桌面。希望他们很快会提供支持StoreFront 2.0的Receiver for Windows RT更新。
感谢您的精彩文章,我按照您的指示进行了工作,直到尝试启动应用程序为止。
我能够通过Netscaler网关登录,经过身份验证后会列出我的应用程序,但是当我单击一个尝试启动它时,会显示一条消息,提示您“Cannot Start App”
如果我直接导航到店面服务器,则可以正常启动该应用程序。关于可能会发生什么的任何想法?
再次感谢你的帮助。
嗨,Dustin R,我遇到了完全相同的问题。在本地登录到商店,我可以启动已发布的应用程序,但是通过netscaler可以列出它们,但是在尝试启动它们时收到错误消息。您解决问题了吗?
也许会有所帮助–对我有用:在所有版本的StoreFront(包括2.5)中都有一个已记录的错误,当启用了“远程访问”选项但未使用传递身份验证时,它会阻止StoreFront对用户进行身份验证。
要解决此问题,请在inetpub \ wwwroot \\ web.config中编辑web.config
搜索requireTokenConsistency =“ true”并将其更改为requireTokenConsistency =“ false”
保存文件。
(发现于 http://neil.spellings.net/2012/12/02/how-to-use-different-usernames-for-two-factor-authentication-on-access-gateway-advanced/)
嗨,如果您拥有Xenapp企业许可证,您是否需要店面附加许可证?
不可以,如果您拥有XenApp许可证,则可以免费使用StoreFront。
感谢文档!!!
罗宾,我’有点困惑,可能只是愚蠢,但是在哪里/如何配置我的Access 网关内部IP地址?安装完成后,我最终获得了Access 网关的单个IP地址,该地址位于外部网络上。我有两个单独的网络10.0.1.0(外部)和192.168.1.0(内部),尝试为Netscaler和Access 网关配置网络时,我感到非常困惑。
第一个IP地址是NetScaler本身的地址,在本文中,安装SSL证书后,我启动了Access 网关向导。在此配置Access 网关 IP地址。
你好罗宾,
很棒的文章,我的问题是关于STA’s。它们应该是我的XenApp服务器,还是可以将它们指向StoreFront服务器?店面与我的任何XenApps都位于不同的服务器上。
谢谢
J
您需要将XenApp或XenDesktop控制器配置为STA,而不是StoreFront服务器。
嗨,罗宾,我如何为ipad和移动设备访问配置访问网关和Storefront 2.0?
你好罗宾,
优秀的文章伙伴,它帮助我减轻了负担。
您能否介绍一下VPN访问方式(访问网络共享)’s和资源(不是Xenapp或XD)是在netscaler环境中设置的?
我有点困惑。
这个网站是…怎么说呢相关!
最后我’我发现了一些有帮助的东西
我。谢谢!
你好罗宾,
我无法使其在实验室中工作–然而。我正在使用Netscaler VPX(10.1)的较新版本和StoreFront(2.1)的较新版本,因此它看起来略有不同。
我对Callback URL感到困惑。该URL以/CitrixAuthService/AuthService.asmx结尾。 ASMX是一个扩展,我看到它用于IIS上的Web服务端点,但是VPX正在运行FreeBSD,所以我不’无法了解VPX如何在此URL上侦听Web服务调用,我用在设备上运行的虚拟服务器的地址配置了VPX,对吗?
谢谢,
马蒂亚斯
很棒的向导。
对我来说’我仍然无法在外部打开和启动应用,在内部一切正常。
从外部看,一切正常(登录,在店面自动登录),但是当我打开应用程序时,它将停止。它给了我ica并启动了应用程序,但一直在说“connecting”最终给我错误1030。
我们正在使用代理。
有任何想法吗?
谢谢,
蒂斯
NetScaler似乎无法连接到托管应用程序/桌面的XenApp / XenDesktop服务器。是否有防火墙阻止连接?
可以使用https到达店面站点吗?
是的,它’s even recommended.
你好罗宾,
感谢这篇伟大的文章。
您将来是否会使用Netscaler ADC 10.1和Storefront 2.1撰写新文章?
谢谢,
克里斯
谢谢!我没有写该博客的计划,也许没有NetScaler的新版本。
你好罗宾,
我对NetScaler AG和STA有疑问。我的内部网络中有一台StoreFront,一台交付控制器和一台XenApp服务器。从那里一切都很好。但是,当我通过NetScaler从外部连接时,登录后得到了HTTP 500。此外,我的STA在NetScaler控制台中显示为down。在哪里可以找到ctxsta.dll,或者如何使XenApp服务器成为STA?我很迷惑。在此先感谢您的帮助。
问候
亚历克斯
默认情况下,XenApp服务器,XenDesktop控制器和Citrix AppController可用作STA。您是否尝试过使用FQDN?
你好罗宾,
热门文章,对我帮助很大。只是想知道这是否适用于XenApp 7.5?
是的,效果很好-
我正在尝试使应用程序显示在NetScaler Access网关中,但是我得到了一个“此内容无法显示在框架中”。我在徘徊,是否有人可以在10.5和Citrix 2.5上使用它。
我的主要用例是我想安全地发布链接,但不希望在xenapp上托管超链接。对于该设备,这似乎是一个非常基本的功能。
非常感谢
很棒的文章。您可能还需要添加有关在店面计算机上为VIP内部创建主机记录(例如10.2.50.131.myinternaldomain.com)或创建dns记录的步骤。如果你不这样做’没有那些设置,那么您可能会在验证错误后遇到问题“无法完成您的请求”
嗨,托尼,谢谢你的提示。现在在此博客的末尾添加了疑难解答部分。问候,罗宾
我们是否还需要将负载均衡店面URL和回叫URL添加到StoreFront服务器上的DNS主机文件中?我没有在Citrix的任何地方看到它’s documentation.
继续使用本网站即表示您同意使用cookie。 更多信息
该网站上的cookie设置被设置为“允许cookie”,以为您提供最佳的浏览体验。如果您继续使用本网站而不更改Cookie设置,或单击下面的“接受”,则表示您同意。
好文章!
我注意到一些较新的版本(i’运行NS10.0的系统:Build 74.4.nc,日期:2013年2月18日,03:27:14
),不再有UI选项绿色气泡!
保持良好的工作!
一月