Netscaler 10.5 VPX与XenApp XenDesktop 集成配置系列之五概述以及常见问题

什么是Netscaler Gateway?

Citrix NetScaler Gateway 是一款安全的应用程序访问解决方案,为管理员提供精细的应用程序级别策略和操作控制,从而在确保安全访问应用程序和数据的同时,使用户可以在任何地方工作。 此解决方案为 IT 管理员提供单点控制和工具,以帮助在企业内外确保符合法规和最高级别的信息安全性。 同时,NetScaler Gateway 允许用户对所需的企业应用程序和数据进行单点访问(已针对角色、设备和网络进行了优化)。 这一独特的功能组合有助于最大程度地提高目前移动办公人员的效率。

 可以将 NetScaler Gateway 安装在任何网络基础结构中,而无需更改现有硬件或后端软件。 NetScaler Gateway 可以与其他网络产品结合使用,例如服务器负载平衡器、缓存引擎、防火墙、路由器和 IEEE 802.11 无线设备。

Citrix 建议将 NetScaler Gateway 安装在网络 DMZ 中。 安装在 DMZ 中后,NetScaler Gateway 将加入两个网络:一个是专用网络,一个是具有公共可路由 IP 地址的 Internet。 还可以使用 NetScaler Gateway 在组织内部对局域网进行分区,以实现访问控制和安全性。 可以在有线或无线网络之间以及数据网络与语音网络之间创建分区。

Netscaler Gateway 替换了之前的Access Gateway 和Secure Gateway 功能。

Netscaler 的ip介绍:

NSIP(Netscaler IP Address) Netscaler 的管理IP,第一次配置必须要配置的IP而且一旦配置无法移除,NSIP也可以叫做管理IP
MIP (Mapped IP Address) MIP 用于服务器端连接,一般来说Netscaler 会在服务器前端,大多数情况下,当收到数据包时,Netscaler 会在将数据包发送到服务器之前使用MIP地址替换源IP地址。
SNIP(Netscaler Subnet IP Address) Subnet IP 和和MIP有点相似,主要用来做链接的管理和服务器的监控,,当添加一个SNIP之后,一条相应的路由也被自动的加入到路由表中 。当 NetScaler 连接到多个子网时,SNIP 可以配置为用作提供对这些子网的访问的 MIP。 SNIP 可以绑定到特定的 VLAN 和接口。
VIP(Virtual IP Address) VIP是与虚拟服务器绑定的IP地址,VIP一般用来对用户提供各种服务。譬如Load Balance等。

架构图:5.1

Nerscaler 通常位于StoreFront/WI 与Receiver 之间,通常是企业的DMZ。

 Netscaler基本防火墙端口配置

5.2

详细端口信息请参考http://support.citrix.com/article/CTX113250

自定义Netscaler Gateway Login 界面:

本身Login Page相关的文件包括CSS文件都放在Netscaler  10.5的 /var/netscaler/gui/vpn

5.3

自定义登陆界面相关参考文档:

http://support.citrix.com/article/CTX126206

http://blogs.citrix.com/2013/01/11/citrix-access-gateway-ui-theme-customization/

http://support.citrix.com/article/CTX123736

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/ng-connect-custom-theme-page-tsk.html

 

Netscaler Gateway 10.5 集成StoreFront 2.5的配置文档如下

Netscaler 10.5 VPX与XenApp XenDesktop 集成配置系列之一基本网络配置

Netscaler 10.5 VPX与XenApp XenDesktop 集成配置系列之二申请域根证书颁发机构签发的服务器证书

Netscaler 10.5 VPX与XenApp XenDesktop 集成配置系列之三enable StoreFront Remote Access

Netscaler 10.5 VPX与XenApp XenDesktop 集成配置系列之四客户端登录测试

常见问题以及简单排查

首先不管遇到什么问题,先将Netscaler 做一个重启看问题是否可以解决,这不会花多少时间

  • 内网访问OK ,外网不行

检查Citrix STA 配置是否正确, STA Service是否正常running; 检查firewall 端口开放情况

  • SSL error

Tips:

1 目前微软已经不再支持RSA Keys 长度小于1024 bits的证书

http://technet.microsoft.com/en-us/security/advisory/2661254

2 Receiver for Mobile Device 不支持SHA2

3 其他情况请参考KB:

SSL Error Code: Citrix ICA Client SSL Error Codes

http://support.citrix.com/article/CTX137887

http://support.citrix.com/article/CTX119980

http://support.citrix.com/article/CTX131758

  • 通过Netscaler Gateway Launch 应用或者桌面非常慢;内网则正常

检查IE 高级设置并取消勾选”Check for server certificate revocation*”5.4

  • 访问Gateway登录界面返回 “401 Unauthorized”

5.5

1 检查客户端以及Storefront/WI 是否都信任Gateway的Server证书

2 检查StoreFront/WI 上的配置的Callback URL是否正确

3  检查STA在WI/StoreFront 上配置是否正确

 当然还有很多其他的问题,这里也没法一一详述了。有问题可以留言,谢谢大家阅读!

  1. hi,jack按照你发布的安装配置netscaler的方法,已经将netscaler配置完毕,登陆正常也能看到虚拟桌面,同时能下载ica文件,但打开ICA文件的时候,提示“与‘虚拟桌面名称’之间的连接失败,状态为(1030)”,看到Citrix的论坛说可能是Client的DNS的问题,尝试后无果。不知道是否是netscaler设备上要增加路由选择,我看你安装是在同一个子网里面,我的VIP是10.1.4.0/24,SNIP:192.168.4.0/24,Dns、DDC、DC、StoreFront:192.168.4.0/24不知道问题出在哪里,在线等你回复。。。。。

    • 1030错误一般有如下原因。1. STA 不正常 2. 内部有防火墙挡了1494和2598端口 3. StoreFront没有认为它是从Gateway进来的请求。 另外就是仔细研究下各个IP 之间的关系与网段划分,有必要可以将ICA文件获取到并用notepad打开查看

  2. 不过我又遇到新的问题了,诶,一波未平一波又起。因为Netscaler是部署在外网的路由下面,私有地址,然后通过路由器把443端口映射到NS的VIP上,现在问题来了:通过本机修改hosts文件,让域名解析到NS的VIP地址上,登陆和连接都正常但通过公网就出现问题了,公网DNS解析后,https映射到NS的VIP上,登陆和下载ICA都正常,但连接又出现1030的问题了我觉得这个问题是不是由于Server内DNS解析都是到NS的VIP上引起的

  3. 几乎和你一样的问题,折腾了很久还没搞好,很郁闷。内网就OK,但在公网上访问,能进入到NETSCALER,但连接桌面就 1030 错误。在网上搜看过很多很多资料,资料里面的测试也就是内网测试,基本没有看到过做公网测试的。

  4. 我在内部访问vip可以,再登录虚拟桌面也可以,但是在外部访问vip能访问,登录虚拟桌面一直在那登录,登录不了,使用TMG发布的ns的虚拟IP。请问啥原因,谢谢!