在几乎每个生产环境中,您都将在多台服务器上实施Citrix Storefront,以提供高可用性(HA)和负载平衡(LB)。在本分步指南中,我将向您展示如何在多台服务器上实施Citrix Storefront 2.5.2,以及如何从头到尾在NetScaler 10.5上配置负载平衡。
要求
对于此设置,您需要以下内容:
- 至少两个具有静态IP地址的服务器用于安装Citrix Storefront
- 思杰 NetScaler 10.x已启动并以基本配置运行
- NetScaler上的负载均衡vServer的免费IP地址
- 指向vServer的可用IP地址的DNS记录
- 安装了证书颁发机构和证书颁发机构Web注册角色的服务器
我的环境
对于此设置,我将使用以下组件;
- 运行Win2012R2,IP 192.168.1.40的Citrix Storefront服务器1
- 运行Win2012R2,IP 192.168.1.41的Citrix Storefront Server 2
- 思杰 NetScaler 10.5
- 负载平衡vServer的免费IP地址:192.168.1.6
- DNS记录:店面(指向192.168.1.6)
- 我的内部CA在服务器DC1上运行
证书
It’Citrix的最佳做法是使用HTTPS配置Storefront以保护流量。如果您使用最新的Citrix Receiver,或者想要将Citrix AppController与Storefront集成,则甚至是一项要求。为了确保流量安全,您需要一个SSL证书,并且在您实现多个Storefront服务器并平衡这些服务器的负载的情况下(在这种情况下),包括NetScaler在内的所有Storefront服务器都需要同一主机名的SSL证书。因此,请使用通用主机名,例如storefront.domain.lan。
您可以为每个服务器生成一个SSL证书,也可以在一个服务器上生成一个SSL证书并将其导出,以便可以将其安装在其他服务器上,两种方法都可以使用。
在这种情况下,我将在NetScaler上创建一个证书并将其导出,以便可以将其安装在Storefront服务器上。请记住,您还需要在NetScaler上安装内部Root CA,这些步骤也包含在本指南中。
步骤1 –在NetScaler上创建并安装SSL证书
在以下步骤中,我将在NetScaler上创建并安装SSL证书,并且还将在NetScaler上安装内部根CA。
登录到Citrix NetScaler Web GUI并浏览到 交通管理 > SSL协议 。在右侧单击 创建RSA密钥
填写以下信息;
密钥文件名: storefront.key
密钥大小(位): 2048
公共指数值: F4
密钥格式: PEM
PEM 编码算法: DES3
PEM 密码: A password you like
验证密码: Same as above
点击 好的
点击 创建CSR(证书签名请求)
填写以下信息;
请求文件名: storefront.txt
密钥文件名: 浏览到您刚刚创建的.KEY文件
密钥格式: PEM
PEM 密码短语(用于加密密钥): 您在上一步中指定的密码
滚动到页面底部并填写以下信息;
国家: Your Country
州或省: 您所在州或省
机构名称: 您的组织名称
城市: Name of your City
电子邮件地址: 有效的电子邮件地址
组织 单元 :您的组织单位
通用名称: storefront.hobo.lan(替换为您的主机名和域名)
挑战密码: A password you like
公司名称: Your Company Name
点击 好的
要下载请求文件,请单击 管理证书/密钥/ CSR
笔记: 如果使用低于NetScaler 10.5 build 51.x的版本,请使用另一个工具来下载文件,例如WinSCP。 10.5版内部版本50.x中有一个错误,该错误在每个文件中添加了错误行!
选择storefront.txt文件,然后单击 下载
Open a web browser and go to your Certification Authority Web Enrollment page (for example //dc.hobo.lan/certsrv)
要首先下载根CA,请单击 下载CA证书,证书链或CRL
选择 基数64 and click 下载CA证书
返回主屏幕并单击 申请证书
点击 高级证书申请
点击 通过使用基本64位编码的CMC或PKCS#10文件提交证书请求,或通过使用基本64位编码的PKCS#7文件提交续订请求。
将文本从storefront.txt(请求文件)复制到 已保存的请求 window. Select 网络服务器 作为证书模板。点击 提交
选择 基数64编码 然后点击 on 下载证书
打开Citrix NetScaler控制台并浏览到 交通管理 > SSL协议 > 证明书。点击 安装
填写认证名称,例如<domain>-CA. 浏览(本地) 到根证书,然后单击 高大
点击 安装 再次
填写证书名称,例如店面。<domain>.lan. 浏览(本地) 到storefront.cer文件,然后 浏览 (器具) 到storefront.key文件。
输入 密码 and click 安装。
右键单击店面。<domain>.lan证书,然后单击 关联
选择根CA证书,然后单击 好的
浏览到 交通管理 > SSL协议 然后点击 on 导出PKCS#12
在这种情况下,请填写文件名 店面.pfx,然后选择 storefront.cer 和 店面钥匙 文件。输入导出密码和PEM密码。点击 好的
点击 管理证书/密钥/ CSR
选择 店面.pfx file and click 下载
将storefront.pem文件复制到两个Storefront服务器。
第2步-在两台Citrix Storefront服务器上安装Citrix Storefront 2.5.2
在接下来的步骤中,我将安装Citrix Storefront 2.5.2,这需要在两台Storefront服务器上完成
启动店面设置。选择 我接受本许可协议的条款 and click 下一个
点击 下一个
点击 安装
点击 结束
Storefront控制台启动时(自动) 关闭它.
步骤3-在Storefront服务器上安装SSL证书(在两个Citrix Storefront服务器上)
下一步是在开始Storefront配置之前,先在两个Storefront服务器上安装SSL证书。
打开Internet信息服务(IIS)管理器。在左侧选择服务器。在屏幕中间的双眼中,单击 服务器证书
点击 进口
选择storefront.pfx文件并填写 密码。点击 好的
在左侧,浏览到 默认网站,在右侧单击 绑定
点击 添加
选择 https 作为类型,然后选择 店面 SSL证书。点击 好的
第4步-配置Citrix Storefront 2.5.2(在服务器1上)
在以下步骤中,我将仅在Citrx Storefront中配置基本设置(有关配置Citrix Storefront进行远程访问的信息,请参阅我的博客) 这里 )。这些步骤必须仅适用于第一台服务器。
打开Citrix Storefront控制台,然后单击 创建一个新的部署
基本URL是使用HTTPS URL自动配置的。点击 下一个
填写 店铺名称 and click 下一个
点击 Add to add your 交付控制器
填写您的交付控制器的信息,然后单击 好的
点击 下一个
我现在将跳过远程访问。点击 创建
点击 结束
步骤4 –将第二台Storefront服务器加入服务器组
一旦配置了第一台Citrix Storefront服务器,就可以加入第二台。第二台Storefront服务器将收到Citrix Storefront Server Group的完整配置。
为此,请按照下列步骤操作:
在第一台服务器上,打开 服务器组 page and click on 添加服务器
您现在看到一个 授权服务器 and a 授权码。加入时,必须在第二台服务器上输入这些信息。
在第二台服务器上,打开Citrix Storefront控制台。点击 加入现有服务器组.
填写第一台服务器中的信息,然后单击 加入
点击 好的
刷新后,您将看到服务器已同步,并且所有服务器现在都具有相同的配置。
第5步–在Citrix NetScaler上配置店面负载平衡
现在,Citrix Storefront已启动并在两台服务器上运行’是时候在NetScaler上配置负载平衡了。为此,我将创建2个服务器,1个监视器,1个服务组和Load Balancing vServer。
在Citrix NetScaler上,打开 配置 标签并浏览到 交通管理> Load Balancing > 伺服器
点击 添加
填写服务器名称,例如“Citrix Storefront 1”. Select IP地址 并填写第一台Citrix Storefront服务器的IP地址,然后单击 创建
点击 添加 再次添加第二个Storefront服务器。
填写服务器名称,例如“Citrix Storefront 2”. Select IP地址 并填写第二个Citrix Storefront的IP地址,然后单击 创建
浏览到 交通管理> Load Balancing > 监控器
点击 Add
填写名称,例如“Storefront Monitor” select 商店 作为类型。
向下浏览至底部并启用 安全的。浏览回到顶部。
打开 特殊参数 标签。填写店面商店名称,然后单击 创建
浏览到 交通管理> 服务组。点击 添加
输入名称,例如 店面组。选择 SSL协议 作为协议,然后单击 继续
点击 设定值
点击设置 编辑按钮
使能够 客户IP 并输入以下标题: X-Forwarded-For。 点击 救 .
点击 会员
点击 箭 在右侧 服务组成员
点击 添加
选择 基于服务器 并选择第一台Citrix Storefront服务器。配置 443 作为端口并单击 救
点击 添加 again
选择 基于服务器 并选择第二台Citrix Storefront服务器。配置 443 作为端口并单击 救
点击 关闭
点击 监控器
点击 箭 在右侧 会员
点击 添加
选择店面监视器,然后单击 插入
点击 救
点击 完毕
现在,如果所有正确的话,将创建Storefront Services Group,有效状态为UP。
浏览到 交通管理 > 虚拟服务器 然后点击 Add
填写名称,例如店面LB。配置 SSL协议 作为协议。选择IP地址类型, IP地址 并输入Storefront Load Balancing vServer的可用(免费)IP地址。
将端口设置为 443 然后点击 继续
点击 继续
点击 服务组
点击 箭 在右侧 服务组
点击 绑定
选择 店面组 然后点击 插入
点击 救
点击 坚持不懈
选择 源代码 作为持久性并将超时(分钟)设置为 20. 点击 救
点击 SSL协议 证书
点击 箭 on the right side of 证书,服务器证书
点击 绑定
选择 店面.domain.lan and click 插入
点击 救
点击 箭 on the right side of 证书,CA证书
点击 绑定
选择内部 根CA and click 插入
点击 救
点击 完毕
测验
最后一步是测试配置。为此,我更改了Citrix Storefront服务器的背景。 Citrix Storefront 1将与 红色的 在Citrix Storefront 2的背景下, 蓝色 background.
For this test I will browse to my Storefront Load Balancing address: //storefront.hobo.lan/Citrix/HoboWeb
如你所见’m登陆第一台Citrix Storefront服务器。
要测试负载平衡,我关闭了Citrix Storefront服务器1.在查看服务器组成员时,您可以看到第一个Citrix Storefront具有 下 Service State.
重新加载店面页面时,我’m现在降落在第二台Citrix Storefront服务器上,如蓝色背景所示。因此,负载平衡工作正常!
故障排除
店面服务组故障状态
如果使用NetScaler 10.5 50.9和NetScaler 10.5 50.10,则Storefront Monitor over SSL会出现问题。 NetScaler 10.5 51.10中解决了此问题。
如果无法升级到该版本,则有解决方法,请参阅本主题的更多信息。 http://discussions.citrix.com/topic/353366-105-build-509-storefront-monitor-insecure-only/
48条评论。 离开新的
在配置了LB的同一NetScaler上使用网关向导时,NetScaler 10.5 50.9和10.5 50.10遇到相同的问题。尝试使用最新构建的NetScaler 10.5版本。请参阅以获取更多信息: http://discussions.citrix.com/topic/353974-unable-to-load-balance-my-storefront-ns-105/
你好,罗宾,谢谢,那行得通。向导(与xenapp和xendesktop集成)似乎停止了配置。如果我不使用向导进行设置,就没有问题。
如果我想将netscaler网关与您在文章中创建的lb一起使用,您有任何信息吗?有什么特殊设置吗?因为您可以在向导中激活负载平衡选项卡,但该选项卡不起作用。
我的店面LB正在运行,但是现在我想使用LB店面配置netscaler网关(虚拟服务器)。
亲切的问候,
塞巴斯蒂安
你好罗宾,我又-
如果我想加载Balance ddc,请问您有信息吗?还是如果您的站点中有2个ddcs并在vda代理上以及店面交付控制器配置下进行了配置,则没有必要吗?
您好,有关配置xd-ddc监视器以平衡ddc的任何提示吗?或者,如果netscaler上具有DDC的LB正在工作,您是否可以将vda代理上的交付控制器更改为为LB DDC配置的负载均衡器ip的fqdn。
塞巴斯蒂安
嘿!
也许有人可以帮助我。一世’尝试导入pfx文件时,将得到以下错误消息:
执行此操作时出错。详细信息:找不到请求的对象。
会因为我使用了Pem文件而不是storefront.cer文件而发生了吗?我还将证书与rootCA链接在一起。
您要从NetScaler 10.5 50.9 / 50.10版本下载pfx文件吗?在这种情况下,文件的第一行将出现错误消息(您可以使用记事本打开它,以查看是否出现这种情况)。如果是这样,请尝试使用其他工具下载它或将NetScaler至少升级到10.5 51.10版本。
哇!很棒的文章。很好写。这个周末我将不得不在实验室中进行构建。
亲爱的罗宾,
我正在用NS 10.1配置Storefront 2.6。
我对证书有疑问。
店面1主机名sf1.company.com
店面2主机名sf2.company.com
Netscaler主机名中的LBVIP:sf.company.com
所以我需要拥有3个不同的证书,否则所有证书名称都应为lb vip名称
您好,Sebin,您需要一个证书(带有LBVIP的主机名)并将其安装在所有三个位置上。
很好的博客!
我只有一个问题:
在一个非常小的部署(40个用户)中,我可以将店面与交付控制器安装在同一服务器上,这样我就可以摆脱2台服务器而不是4台服务器?
就是那个’很好,可以正常工作。
你好罗宾
很棒的文章。使用第三方wIldcard证书有任何问题吗?一世’m假设应该没有问题。
嗨,加雷斯,谢谢。使用通配符证书没有问题。
很棒的博客!您能否写一篇有关XenDesktop,XenApp和Xenmobile Enterprise集成的文章,概述它们如何组合在一起,在Netscaler上进行配置以及其他内容?目前,即使在Citrix edocs上,信息也很少。.关于如何使用WorxHome发布XenApp应用程序和Windows桌面,存在很多困惑。…任何帮助将不胜感激!
嗨,诺曼,是的’在我的待办事项清单上。希望我能花些时间解决这个问题。问候,罗宾
你好罗宾,
最好的指导在那里!
We’希望平衡外部和内部店面服务器的负载,以连接到XenApp7.6服务器场。我们是否需要2个NetScaler实例来完成此任务(一个用于内部,一个用于外部),并使用两组不同的Storefront服务器(同样一个用于外部,一个用于内部)?
非常感谢
加里
嗨,Gary,您可以使用同一NetScaler来负载均衡多组服务器。例如,在StoreFront旁边,您还可以负载均衡PVS流量和XenDesktop控制器。
你好,
罗宾·霍博(Robin hobo)在富士通公司工作。
我是大粉丝;当我学习新版本时,如果有任何疑问,我会去看看ur博客(因为我是根据ur docs学习自己的新技术或citrix产品)
嗨Rk reddy,很好听,谢谢。学习新的Citrix产品祝您好运。
Wonderfull博客。尽你所能。保持。
你好罗宾,
您的分步文档很棒。谢谢你!
我有一个关于交付控制器的问题,您在创建商店时将其添加到StoreFront配置中。您已经添加了一个名为“citrix.hobo.lan”在我看来,这就像一个集群名称。真的吗?如果是的话,您是如何制作Cluster for Delivery Controller的?我找不到在线信息。
谢谢!
你好
卡里姆
嗨Kareem,
那是NetScaler上的负载平衡地址。
问候,
罗宾
谢谢罗宾–一如既往的出色演练
谢谢PaulG!
真的很有帮助的指南,谢谢。店面探针对我从来没有用过,所以我改用SSL,它开始起作用。
哇!!!很棒的文章。非常感谢Robin。你是摇滚明星!
现在我对CA非常清楚& Storefront.
很棒的文章!高度详细,也许我错过了所有这些细节中的某些内容。
几乎一切都进行得很顺利,但是我与虚拟服务器碰壁。对于我的虚拟服务器,状态和有效状态均处于关闭状态。
知道我可能会错过什么吗?
谢谢,
伯纳德
未启用SSL卸载!启用后,它将完美运行。
很高兴听到您修复它!问候,罗宾
我在虚拟机上遇到相同的错误。您可以共享SSL卸载选项吗?我是netscaler的新手。
你好!您到底做了什么才能启用SSL卸载?我有同样的问题!
谢谢!
感谢RobinGreat的文章和教程。
我完全按照您的教程进行,i实现成功。
最大的问题是带有HTML5的Chromebook。
NetScaler Gatway为拥有ChromeBook的用户解决了该问题。
惊人的!工人完美,节省了我很多时间。谢谢!
我对伯纳德也有同样的问题。我的虚拟服务器将状态和有效状态都报告为停机。什么是启用SSL卸载功能?
非常感谢您的指导!
出色的指南Robin,确实帮助我绕过了netscalerLB。
一个问题我的服务组和虚拟服务器都具有有效的Down状态。关于从哪里开始寻找的任何建议?
嗨,院长,谢谢。是的,您可以先查看显示器。例如,使用默认的TCP监视器时,状态是否为UP?问候,罗宾
罗宾,您好,像往常一样-
像这样配置时,关闭StoreFront服务器1时出现问题,我无法再登录(错误500)。关闭服务器2时,一切正常。
这仅发生在netscaler方面。不管哪个Storefront服务器停机,对店面VIP的内部访问都可以正常工作
很棒的文章。请继续写这些文章。非常感谢。
你好罗宾,
对于对像我这样的Netscalers陌生的人来说,这篇文章是如此有用。惊人的。关于当前设置,我花了很多问题。
保持它和加油。
谢谢登·戴夫!
您好,我可以对所有服务器使用通配符证书吗?
谢谢 !!!
是的你可以。
很棒的文章。感谢您的帖子。我在这里以相同的方式实现了它,并且效果很好。
罗宾问题;如果我要更新内部/域证书(我的意思是指以.PFX格式在我的店面中导入的证书。我是否需要执行相同的创建证书的相同过程,并在店面服务器上以.PFX格式进行导出和导入? ?
谢谢你的帮助
是的,您需要创建一个新的请求文件并创建一个新的证书,然后更新第一个证书。
你好
您的循序渐进的用户指南非常棒,出色。
能否请您发布带有StoreFront集成的Netscaler 12安装和配置。
提前谢谢了
谢谢!如果有时间,我也会为NS12做博客!
你好。感谢您的精彩文章。我在演示实验室尝试过,但是我总是“无法完成您的请求”当我通过loadbalancer ip启动店面站点时。如果我直接在2个店面服务器之一上尝试,则可以顺利登录。
我在事件日志中看到以下德语错误。
Ein Fehler ist aufgetreten bei einer Ressourcenlistenanforderung。
System.InvalidOperationException,mscorlib,版本= 4.0.0.0,文化=中性,PublicKeyToken = b77a5c561934e089
Fehler im XML-Dokument(0,0)。
bei Citrix.DeliveryServicesClients.Resources.ResourcesClient.TryGetChallenge(Exception ex,String serviceUrl)
bei Citrix.DeliveryServicesClients.Resources.ResourcesClient.GetResources(String serviceUrl,String token,Boolean fullEnumeration,Dictionary`2 extraHeaders,字符串clientAddress,字符串clientName,CitrixAuthChallenge& challenge)
Citrix.Web.StoreProxy.Controllers.ResourcesController.GetResources(列表1的resourceDetails)
bei Citrix.Web.StoreProxy.Controllers.ResourcesController.List(ResourcesRequestParamsDto参数)
System.Xml.XmlException,System.Xml,版本= 4.0.0.0,区域性=中性,PublicKeyToken = b77a5c561934e089
Das Stammelement ist nicht vorhanden。
bei System.Xml.XmlTextReaderImpl.ThrowWithoutLineInfo(String res)
bei System.Xml.XmlTextReaderImpl.ParseDocumentContent()
bei System.Xml.XmlReader.MoveToContent()
bei Microsoft.Xml.Serialization.GeneratedAssembly.XmlSerializationReaderResourcesDto.Read1_resources()
有任何想法吗?
亲切的问候,塞巴斯蒂安