昨天晚上想了一下,这次的实验还是以简单一点的ICA代理的方式来进行吧。因为使用单个FQDN来建立Full ×××链接,需要配置多域名证书、dummy IP、匹配StoreFront的Beacon站点域名等等多个环节,涵盖的范围太大了。毕竟后面还是XenApp的部分、微软RDS的负载均衡配置(计划中)、PVS的内容等。
首先,进行之前LDAP内容的修改。将身份验证查找范围更改为在域中查找,而不是在域的某个OU中查找。
将"Base DN“中的内容从之前的”cn=users,dc=ctx,dc=local", 更改为“dc=ctx,dc=local”
1.jpg (318.52 KB)
2015-2-3 22:15
依次点开“NetScaler Gateway" -> "Policies" -> "Authentication" -> "LDAP",将上次建立的LDAP认证方式进行绑定
2.jpg (308.57 KB)
2015-2-3 22:15
3.jpg (146.15 KB)
2015-2-3 22:15
4.jpg (137.87 KB)
2015-2-3 22:15
5.jpg (147.14 KB)
2015-2-3 22:15
6.jpg (354.93 KB)
2015-2-3 22:15
然后,依次点开“NetScaler Gateway" -> "Policies" -> ”Session“,建立NetScaler Gateway的Profile及Policy
7.jpg (348.29 KB)
2015-2-3 22:15
首先分别为网页用户以及Receiver客户端用户建立不同的Profile。如果伙伴们不知道图片中的选项所代表的含义,那么请严格按照图片的设置进行。否则可能导致最终实验失败。
首先建立Web页面用户的Profile,
8.jpg (339.82 KB)
2015-2-3 22:15
9.jpg (335.4 KB)
2015-2-3 22:15
10.jpg (300.2 KB)
2015-2-3 22:15
11.jpg (342.56 KB)
2015-2-3 22:15
12.jpg (407.21 KB)
2015-2-3 22:15
13.jpg (137.83 KB)
2015-2-3 22:15
再建立Receiver客户端用户的Profile,在“Web Interface Address”中填写地址时,最后不能携带前进符“ / ”,否则会导致用户凭据传递失败。
14.jpg (307.48 KB)
2015-2-3 22:15
15.jpg (347.08 KB)
2015-2-3 22:15
16.jpg (302.77 KB)
2015-2-3 22:15
17.jpg (344.82 KB)
2015-2-3 22:15
18.jpg (324.26 KB)
2015-2-3 22:15
19.jpg (418.42 KB)
2015-2-3 22:15
20.jpg (139.62 KB)
2015-2-3 22:15
然后建立2个Profile对应的Policy,正则表达式的内容请严格按照图片设置,NetScaler Gateway会根据表达式的字段对用户请求进行筛选。如果表达式有误,那么用户将无法与NetScaler后端的Citrix环境交换信息。
1.jpg (315.46 KB)
2015-2-3 22:42
2.jpg (349.85 KB)
2015-2-3 22:42
3.jpg (358.24 KB)
2015-2-3 22:42
4.jpg (350.69 KB)
2015-2-3 22:42
5.jpg (373.08 KB)
2015-2-3 22:42
Session部分配置完成之后,建立NetScaler Gateway的虚拟服务器(就是外部用户访问的URL地址),
依次点开“NetScaler Gateway" -> "Virtual Servers" -> "Add"
6.jpg (339.69 KB)
2015-2-3 22:42
填入用户访问的NetScaler Gateway的URL地址,及内网IP地址,
7.jpg (323.28 KB)
2015-2-3 22:42
为这个URL地址设置证书(在之前的环节中已经讲解过的),
8.jpg (149.42 KB)
2015-2-3 22:42
9.jpg (131.98 KB)
2015-2-3 22:42
10.jpg (137.6 KB)
2015-2-3 22:42
11.jpg (132.14 KB)
2015-2-3 22:42
12.jpg (149.56 KB)
2015-2-3 22:42
13.jpg (132.9 KB)
2015-2-3 22:42
14.jpg (137.93 KB)
2015-2-3 22:42
15.jpg (132.39 KB)
2015-2-3 22:42
16.jpg (149.66 KB)
2015-2-3 22:42
为NetScaler Gateway添加LDAP认证方式,
17.jpg (152.79 KB)
2015-2-3 22:42
18.jpg (135.52 KB)
2015-2-3 22:42
19.jpg (141.21 KB)
2015-2-3 22:42
20.jpg (136.22 KB)
2015-2-3 22:42
21.jpg (136.69 KB)
2015-2-3 22:42
22.jpg (142.01 KB)
2015-2-3 22:42
23.jpg (153.57 KB)
2015-2-3 22:42
将刚才设置的Session Policy及其Session Profile加入到NetScaler Gateway的策略中
24.jpg (156.19 KB)
2015-2-3 22:42
25.jpg (129.91 KB)
2015-2-3 22:42
26.jpg (136.51 KB)
2015-2-3 22:42
27.jpg (137.36 KB)
2015-2-3 22:42
28.jpg (137.63 KB)
2015-2-3 22:42
29.jpg (358.43 KB)
2015-2-3 22:42
30.jpg (132.21 KB)
2015-2-3 22:42
31.jpg (132.07 KB)
2015-2-3 22:42
32.jpg (139.68 KB)
2015-2-3 22:42
33.jpg (132.96 KB)
2015-2-3 22:42
34.jpg (349.43 KB)
2015-2-3 22:42
之后为NetScaler Gateway添加其所负责发布的应用程序(桌面),
1.jpg (345.97 KB)
2015-2-3 23:06
在STA票据的内容环节,这里需要将所有负责发布的DDC与App服务器的票据信息加入,而且这个票据信息无法使用负载均衡器来进行操作流程上的简化。因为该票据会最终交付给终端用户,然后用户再返回这个票据给NetScaler,然后再由NetScaler根据票据信息去联系对应的DDC或App服务器。如果对其进行负载均衡,那么票据可能会被分发到不对应的服务器而导致应用(桌面)交付失败。说实话,这个环节是大型Citrix环境里最无聊的一个部分。DDC还好数量不会很多,最多也就10来个就很了不起了。App服务器就不一样了,面对上千台App服务器需要逐个填写它们的STA票据信息,想抓狂的心都有了。而且,多个NetScaler Gateway的发布信息有可能会交叉使用后端的App服务器来交付给不同的用户。>_<.........
2.jpg (344.2 KB)
2015-2-3 23:06
3.jpg (280.82 KB)
2015-2-3 23:06
4.jpg (128.61 KB)
2015-2-3 23:06
5.jpg (127.53 KB)
2015-2-3 23:06
6.jpg (296.63 KB)
2015-2-3 23:06
7.jpg (340.13 KB)
2015-2-3 23:06
完成之后检查NetScaler Gateway的状态,最后一个步骤仍然是在DNS中添加NetScaler Gateway的内网A记录。同时在公网出口打开443端口并定向到NetScaler Gateway的内网地址,并且做好NetScaler Gateway的URL在公共网络上的DNS解析。
8.jpg (347.96 KB)
2015-2-3 23:06
太晚了,今天就到这里吧。StoreFront的配置修改内容,放到明天吧。
睡觉了。
转载于:https://blog.51cto.com/sandshell/1967615