Preguntas frecuentes acerca Gateway unificado
¿Qué es Gateway unificado? **
Gateway unificado es una nueva función de la versión NetScaler ADC 11.0, que proporciona la capacidad de recibir tráfico en un único servidor virtual (denominado servidor virtual de Gateway unificado) y, a continuación, dirigir internamente ese tráfico, según corresponda, a los servidores virtuales enlazados al servidor virtual de Gateway unificado.
La función de Gateway unificado permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada con el servidor virtual de Gateway unificado). Los administradores pueden liberar direcciones IP y simplificar la configuración de la implementación de NetScaler Gateway.
Cada servidor virtual de Gateway unificado puede front-end un servidor virtual de NetScaler Gateway junto con cero o más servidores virtuales de equilibrio de carga como parte de una formación. Unified Gateway funciona aprovechando la función de conmutación de contenido del dispositivo Citrix ADC.
Algunos ejemplos de implementaciones de Gateway unificado:
- Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway]
- Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, un servidor virtual de equilibrio de carga]
- Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, dos servidores virtuales de equilibrio de carga]
- Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, tres servidores virtuales de equilibrio de carga]
Cada uno de los servidores virtuales de equilibrio de carga puede ser cualquier servidor de equilibrio de carga estándar que aloje un servicio de backend, como Microsoft Exchange o Citrix ShareFile.
¿Por qué utilizar Gateway unificado? **
La función Gateway unificado permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada al servidor virtual de Gateway unificado). Para los administradores, la ventaja es que pueden liberar direcciones IP y simplificar la configuración de la implementación de NetScaler Gateway.
¿Puede haber más de un servidor virtual de Gateway unificado? **
Sí. Puede haber tantos servidores virtuales de Gateway unificado como necesite.
¿Por qué es necesario cambiar de contenido para Gateway unificado? **
La función de conmutación de contenido es necesaria porque el servidor virtual de conmutación de contenido es el que recibe tráfico y lo dirige internamente al servidor virtual apropiado. El servidor virtual de conmutación de contenido es el componente principal de la función de Gateway unificado.
En las versiones anteriores a la 11.0, la conmutación de contenido se puede utilizar para recibir tráfico de varios servidores virtuales. ¿Ese uso también se llama Gateway unificado? **
El uso de un servidor virtual de conmutación de contenido para recibir tráfico de varios servidores virtuales se admite en las versiones anteriores a la 11.0. Sin embargo, la conmutación de contenido no podía dirigir el tráfico a un servidor virtual Citrix Gateway.
Las mejoras de la versión 11.0 permiten que un servidor virtual de conmutación de contenido dirija el tráfico a cualquier servidor virtual, incluido un servidor virtual de NetScaler Gateway.
¿Qué ha cambiado con las directivas de cambio de contenido de Gateway unificado? **
1. Se agrega un nuevo parámetro de línea de comandos “-TargetVServer” para la acción de conmutación de contenido. El nuevo parámetro se utiliza para especificar el servidor virtual de NetScaler Gateway de destino. Ejemplo:
añadir acción cs UG_CSACT_myug -TargetVServer UG_VPN_myug
En la utilidad de configuración de NetScaler Gateway, la acción de cambio de contenido tiene una nueva opción, Servidor virtual de destino, que puede hacer referencia a un servidor virtual de NetScaler Gateway.
2. Se puede usar una nueva expresión de directiva avanzada, is_vpn_url, para hacer coincidir las solicitudes específicas de autenticación y NetScaler Gateway.
¿Qué funciones de NetScaler Gateway no se admiten actualmente en Gateway unificado? **
Todas las funciones son compatibles con Gateway unificado. Sin embargo, se ha informado de un problema menor (identificador de problema 544325) con el inicio de sesión nativo a través del complemento VPN. En este caso, el inicio de sesión único (SSO) transparente no funciona.
Con Gateway unificado, ¿cuál es el comportamiento de los análisis de la EPA? **
Con Unified Gateway, el análisis de puntos finales se activa solo para los métodos de acceso de Citrix Gateway, no para el acceso AAA-TM. Si un usuario intenta acceder a un servidor virtual AAA-TM aunque la autenticación se haya realizado en el servidor virtual Citrix Gateway, no se activa el análisis EPA. Sin embargo, si el usuario intenta obtener acceso VPN sin cliente o VPN completa, se desencadena el análisis EPA configurado. En ese caso, se realiza la autenticación o el inicio de sesión único sin interrupciones.
Configurar
¿Cuáles son los requisitos de licencia de Gateway unificado? **
Unified Gateway solo es compatible con las licencias Enterprise y Platinum. No estará disponible únicamente para las ediciones de licencia Standard ni para Citrix Gateway.
¿El servidor virtual de NetScaler Gateway utilizado con Gateway unificado necesita una configuración IP/puerto/SSL? **
Para un servidor virtual Citrix Gateway utilizado con el servidor virtual Unified Gateway, no es necesaria una configuración de IP/puerto/SSL en el servidor virtual Citrix Gateway. Sin embargo, para la funcionalidad del proxy RDP, puede enlazar el mismo certificado de servidor SSL/TLS al servidor virtual de NetScaler Gateway.
¿Debo volver a aprovisionar los certificados SSL/TLS que están en el servidor virtual Citrix Gateway para usarlos con un servidor virtual de Unified Gateway? **
No necesita volver a aprovisionar los certificados que están enlazados actualmente a su servidor virtual Citrix Gateway. Puede reutilizar cualquier certificado SSL existente y vincularlo al servidor virtual de Unified Gateway.
¿Cuál es la diferencia entre una única URL y una implementación de varios hosts? ¿Cuál necesito? **
La URL única hace referencia a la capacidad del servidor virtual de Gateway unificado para gestionar el tráfico de un nombre de dominio completo (FQDN). Esta restricción existe cuando Gateway unificado utiliza un certificado de servidor SSL/TLS en el que el sujeto del certificado se rellena con el FQDN. Por ejemplo: ug.citrix.com
Sin embargo, si Unified Gateway utiliza un certificado de servidor comodín, puede gestionar el tráfico de varios subdominios. Por ejemplo: *.citrix.com
Otra opción es la configuración SSL/TLS con funcionalidad Indicador de nombre de servidor (SNI) para permitir el enlace de varios certificados de servidor SSL/TLS. Ejemplos: auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp
Un único host frente a varios hosts es similar a la forma en que los sitios web se alojan normalmente en un servidor web (por ejemplo, el servidor HTTP Apache o Microsoft Internet Information Services (IIS)). Si hay un solo host, puede usar la ruta del sitio para cambiar el tráfico de la misma manera que usa alias o “directorio virtual” en Apache. Si hay varios hosts, utiliza un encabezado de host para cambiar el tráfico de forma similar a como usa los hosts virtuales en Apache.
Autenticación
¿Qué mecanismos de autenticación se pueden utilizar con Gateway unificado? **
Todos los mecanismos de autenticación existentes que funcionan con Citrix Gateway funcionan con Unified Gateway.
Estos incluyen LDAP, RADIUS, SAML, Kerberos, autenticación basada en certificados, etc.
Cualquier mecanismo de autenticación que esté configurado en el servidor virtual Citrix Gateway antes de usar la actualización se usa automáticamente cuando el servidor virtual Citrix Gateway se coloca detrás del servidor virtual Unified Gateway. No se requieren pasos de configuración adicionales, aparte de asignar una dirección IP no direccionable (0.0.0.0) al servidor virtual Citrix Gateway.
¿Qué es la autenticación” SelfAuth” ‘? **
SelfAuth no es un tipo de autenticación por sí solo. SelfAuth describe cómo se crea una URL. Hay un nuevo parámetro de línea de comandos, ssotype, disponible para la configuración de URL de VPN. Ejemplo:
\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth
SelfAuth es uno de los valores del parámetro ssotype. Este tipo de URL se puede utilizar para acceder a recursos que no están en el mismo dominio que el servidor virtual de Gateway unificado. El ajuste se puede ver en la utilidad de configuración al configurar un marcador.
¿Qué es la autenticación” StepUp”? **
Cuando se requieren niveles de autenticación adicionales y más seguros para acceder a un recurso AAA-TM, puede usar la autenticación StepUp. En la línea de comandos, utilice un comando authnProfile para establecer el parámetro AuthenticationLevel. Ejemplo:
agregar AuthenticationProfile AuthProfile -AuthNvsName AAATMVServer -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100
Este perfil de autenticación está enlazado al servidor virtual de equilibrio de carga.
¿Se admite la autenticación StepUp para los servidores virtuales AAA-TM? **
Sí, es compatible.
¿Qué es iniciar sesión una vez/cerrar sesión una vez? **
Iniciar sesión una vez: los usuarios de VPN inician sesión una vez en un servidor virtual AAA-TM o Citrix Gateway. Y a partir de ese momento, los usuarios de VPN tienen acceso sin problemas a todas las aplicaciones empresariales, en la nube y web. No es necesario volver a autenticar al usuario. Sin embargo, la reautenticación se realiza en casos especiales, como AAA-TM StepUp.
Cerrar sesión una vez: después de crear la primera sesión AAA-TM o Citrix Gateway, se utiliza para crear sesiones AAA-TM o Citrix Gateway posteriores para ese usuario. Si se cierra la sesión de alguna de esas sesiones, el dispositivo NetScaler ADC también cierra la sesión de las demás aplicaciones o sesiones del usuario.
¿Se pueden especificar políticas de autenticación comunes a nivel de Unified Gateway con un enlace autenticado específico del servidor virtual de equilibrio de carga AAA-TM a nivel de servidor virtual de equilibrio de carga? ¿Cuáles son los pasos de configuración para admitir este caso de uso? **
Si necesita especificar políticas de autenticación independientes para el servidor virtual AAA-TM detrás de Unified Gateway, necesitará tener un servidor virtual de autenticación independiente y direccionable de forma independiente (similar a la configuración AAA-TM normal). La configuración del host de autenticación en el servidor virtual de equilibrio de carga debe apuntar a este servidor virtual de autenticación.
¿Cómo se configura Unified Gateway para que los servidores virtuales AAA-TM enlazados tengan sus propias políticas de autenticación? **
En este escenario, el servidor de equilibrio de carga debe tener la opción de FQDN de autenticación configurada para que apunte al servidor virtual AAA-TM. El servidor virtual AAA-TM debe tener una dirección IP independiente y ser accesible desde Citrix ADC y los clientes.
¿Se requiere un servidor virtual de autenticación AAA-TM para autenticar a los usuarios que acceden a un servidor virtual de Unified Gateway? **
No. El servidor virtual Citrix Gateway autenticará incluso a los usuarios AAA-TM.
¿Dónde se especifican las directivas de autenticación de NetScaler Gateway, en el servidor virtual de Gateway unificado o en el servidor virtual de NetScaler Gateway? **
Las directivas de autenticación deben vincularse al servidor virtual Citrix Gateway.
¿Cómo se habilita la autenticación en los servidores virtuales AAA-TM detrás de un servidor virtual de conmutación de contenido de Unified Gateway? **
Habilite la autenticación en AAA-TM y dirija el host de autenticación al FQDN de conmutación de contenido de Unified Gateway.
Administración de tráfico AAA
¿Cómo agrego servidores virtuales de TM para el cambio de contenido (URL única o multihost)? **
No hay diferencia entre agregar servidores virtuales AAA-TM para una sola URL y agregarlos para varios hosts. En cualquier caso, el servidor virtual se agrega como destino en una acción de cambio de contenido. La diferencia entre una URL única y un host múltiple se implementa mediante reglas de directiva de conmutación de contenido.
¿Qué ocurre con las políticas de autenticación enlazadas a un servidor virtual de equilibrio de carga AAA-TM si ese servidor virtual se traslada a un servidor virtual de Unified Gateway? **
Las directivas de autenticación están enlazadas al servidor virtual de autenticación y el servidor virtual de autenticación está enlazado al servidor virtual de equilibrio de carga. Para el servidor virtual de Gateway unificado, Citrix recomienda tener el servidor virtual de NetScaler Gateway como punto de autenticación único, lo que niega la necesidad de realizar la autenticación en un servidor virtual de autenticación (o incluso la necesidad de un servidor virtual de autenticación específico). Al apuntar el host de autenticación al FQDN del servidor virtual de Unified Gateway, se garantiza que el servidor virtual Citrix Gateway realice la autenticación. Si apunta el host de autenticación al cambio de contenido de Gateway unificado y sigue teniendo un servidor virtual de autenticación vinculado, se ignoran las directivas de autenticación vinculadas al servidor virtual de autenticación. Sin embargo, si apunta un host de autenticación a un servidor virtual de autenticación direccionable independiente, surten efecto las directivas de autenticación vinculadas.
¿Cómo se configuran las políticas de sesión para las sesiones AAA-TM? **
Si, en Unified Gateway, no se especifica ningún servidor virtual de autenticación para el servidor virtual AAA-TM, las sesiones AAA-TM heredan las directivas de sesión de Citrix Gateway. Si se especifica el servidor virtual de autenticación, se aplican las políticas de sesión AAA-TM enlazadas a ese servidor virtual.
Personalización del portal
¿Cuáles son los cambios en el portal Citrix Gateway en Citrix ADC 11.0? **
En las versiones de NetScaler ADC anteriores a la 11.0, se puede configurar una única personalización del portal a nivel global. Todos los servidores virtuales de puerta de enlace de un dispositivo NetScaler ADC determinado utilizan la personalización del portal global.
En NetScaler ADC 11.0, con la función de temas del portal, puede configurar varios temas del portal. Los temas se pueden enlazar de forma global o a servidores virtuales específicos.
¿NetScaler ADC 11.0 admite la personalización del portal de NetScaler Gateway? **
Con la utilidad de configuración, puede utilizar la nueva función de temas del portal para personalizar y crear los nuevos temas del portal por completo. Puede subir diferentes imágenes, establecer esquemas de color, cambiar etiquetas de texto, etc.
Las páginas del portal que se pueden personalizar son:
- Página de inicio
- Página Análisis de endpoint
- Página Error de Análisis de Endpoint
- Página Post Endpoint Analysis
- Página Conexión VPN
- Página de inicio del portal
Con esta versión, puede personalizar los servidores virtuales de NetScaler Gateway con diseños de portal únicos.
¿Los temas del portal se admiten en implementaciones de clústeres o de alta disponibilidad de NetScaler ADC? **
Sí. Los temas del portal se admiten en implementaciones de clústeres y alta disponibilidad de NetScaler ADC.
¿Se migrarán mis personalizaciones como parte del proceso de actualización de Citrix ADC 11.0? **
No. Las personalizaciones existentes en la página del portal de Citrix Gateway que se invoquen mediante la modificación del archivo rc.conf/rc.netscaler o mediante la funcionalidad de tema personalizado en 10.1/10.5 no se migrarán automáticamente al actualizar a Citrix ADC 11.0.
¿Hay que seguir algún paso previo a la actualización para estar preparado para los temas del portal en NetScaler ADC 11.0? **
Todas las personalizaciones existentes deben eliminarse de los archivos rc.conf o rc.netscaler.
La otra opción es que si se utilizan temas personalizados, se les debe asignar el ajuste Predeterminado:
Vaya a Configuración > NetScaler Gateway > Configuración global
Haga clic en Cambiar configuración global. Haga clic en Experiencia de cliente y seleccione Predeterminado en la lista desplegable Tema de interfaz de usuario.
Tengo personalizaciones almacenadas en la instancia de NetScaler ADC, invocadas por rc.conf o rc.netscaler. ¿Cómo paso a los temas del portal? **
El artículo CTX126206 de Citrix Knowledge Center detalla esta configuración para las versiones 9.3 y 10.0 de NetScaler ADC hasta 10.0 build 73.5001.e. Desde NetScaler ADC 10.0, compilación 10.0 73.5002.e (incluidas 10.1 y 10.5), el parámetro UITHEME CUSTOM ha estado disponible para ayudar a los clientes a conservar sus personalizaciones durante los reinicios. Si las personalizaciones están almacenadas en el disco duro Citrix ADC y desea seguir usándolas, haga una copia de seguridad de los archivos de la GUI de la versión 11.0 e insértelos en el archivo de tema personalizado existente. Si quiere pasar a los temas del portal, primero debe desactivar el parámetro UITHEME en Configuración global o en el perfil de sesión, en Experiencia del cliente. O bien puede configurarlo como DEFAULT o GREENBUBBLE. A continuación, podrá empezar a crear y enlazar un tema de portal.
¿Cómo puedo exportar mis personalizaciones actuales y guardarlas antes de actualizar a NetScaler ADC 11.0? ¿Puedo mover los archivos exportados a otro dispositivo NetScaler ADC? **
Los archivos personalizados que se han cargado en la carpeta ns_gui_custom están en el disco y persisten durante las actualizaciones. Sin embargo, es posible que estos archivos no sean totalmente compatibles con el nuevo kernel de NetScaler ADC 11.0 y otros archivos GUI que forman parte del núcleo. Por lo tanto, Citrix recomienda hacer una copia de seguridad de los archivos GUI de la versión 11.0 y personalizar las copias de seguridad.
Además, no hay ninguna utilidad en la utilidad de configuración para exportar la carpeta ns_custom_gui a otro dispositivo NetScaler ADC. Debe utilizar SSH o una utilidad de transferencia de archivos como WinSCP para sacar los archivos de la instancia de Citrix ADC.
¿Los temas del portal son compatibles con los servidores virtuales AAA-TM? **
Sí. Los temas del portal son compatibles con los servidores virtuales AAA-TM.
Proxy RDP
¿Qué ha cambiado en el proxy RDP para Citrix Gateway 11.0? **
Se han realizado muchas mejoras en RDP Proxy desde la versión de mejora de NetScaler ADC 10.5.e. En NetScaler ADC 11.0, esta función está disponible desde la primera compilación publicada.
Cambios en las licencias
La función RDP Proxy de NetScaler ADC 11.0 solo se puede utilizar con las ediciones Platinum y Enterprise. Se deben obtener licencias de usuario simultáneo (CCU) de Citrix para cada usuario.
Habilitar comando
En NetScaler ADC 10.5.e no había ningún comando para habilitar el proxy RDP. En NetScaler ADC 11.0, se ha agregado el comando enable:
habilitar la función rdpproxy
La función debe tener licencia para ejecutar este comando.
Otros cambios en el proxy RDP
Se ha convertido en obligatorio un atributo de clave previamente compartida (PSK) en el perfil del servidor.
Para migrar las configuraciones existentes de Citrix ADC 10.5.e para el proxy RDP a Citrix ADC 11.0, se deben comprender y abordar los siguientes detalles.
Si un administrador quiere agregar una configuración de proxy RDP existente a una implementación de Gateway unificado elegida:
- La dirección IP del servidor virtual de NetScaler Gateway debe modificarse y establecerse en una dirección IP no direccionable (0.0.0.0).
- Los certificados de servidor SSL/TLS y las directivas de autenticación deben estar vinculados al servidor virtual de NetScaler Gateway que forma parte de la formación de Gateway unificado elegida.
¿Cómo se migra una configuración de proxy del Protocolo de escritorio remoto (RDP) basada en NetScaler ADC 10.5.e a NetScaler ADC 11.0? **
Opción 1: Mantenga el servidor virtual Citrix Gateway existente con la configuración de proxy RDP tal como está, con una licencia Platinum o Enterprise.
Opción 2: Mueva el servidor virtual de NetScaler Gateway existente con la configuración de proxy RDP y colóquelo detrás de un servidor virtual de Gateway unificado.
Opción 3: Agregar un servidor virtual de NetScaler Gateway independiente con configuración de proxy RDP a un dispositivo Standard Edition existente.
¿Cómo se configura la configuración del proxy de NetScaler Gateway para RDP mediante la versión NetScaler ADC 11.0? **
Existen dos opciones para implementar el proxy RDP mediante la versión NS 11.0:
1) Utilizar un servidor virtual NetScaler Gateway externo. Esto requiere una dirección IP/FQDN visible externamente para el servidor virtual de NetScaler Gateway. Esta opción es la que está disponible en NetScaler ADC 10.5.e.
2) Uso de un servidor virtual Unified Gateway front-end del servidor virtual NetScaler Gateway.
Con la opción 2, el servidor virtual de NetScaler Gateway no necesita su propia dirección IP/FQDN, porque utiliza una dirección IP no direccionable (0.0.0.0).
Integración con otro software de Citrix
¿HDX Insight es compatible con Gateway unificado?
Cuando NetScaler Gateway se implementa con Gateway unificado, se deben cumplir las siguientes condiciones:
-
El servidor virtual de NetScaler Gateway debe tener un certificado SSL válido vinculado a él.
-
El servidor virtual de NetScaler Gateway debe estar activo para generar registros de AppFlow en NetScaler ADM y generar informes de HDX Insight.
¿Cómo migro mi configuración HDX Insight existente?
No es necesaria ninguna migración. Las directivas de AppFlow vinculadas a un servidor virtual de NetScaler Gateway se trasladan si ese servidor virtual de NetScaler Gateway se coloca detrás de un servidor virtual de Gateway unificado.
Para los datos existentes en NetScaler ADM para el servidor virtual de NetScaler Gateway, hay dos posibilidades:
- Si la dirección IP del servidor virtual de NetScaler Gateway se asigna a un servidor virtual de Gateway unificado como parte de la migración a Gateway unificado, los datos permanecen vinculados al servidor virtual de NetScaler Gateway.
- Si al servidor virtual Unified Gateway se le asigna una dirección IP independiente, los datos de AppFlow del servidor virtual Citrix Gateway se vincularán a esa nueva dirección IP. Por lo tanto, los datos existentes no formarán parte de los nuevos datos.