Gateway

Preguntas frecuentes acerca Gateway unificado

¿Qué es Gateway unificado?

Gateway unificado es una nueva función de la versión NetScaler ADC 11.0, que proporciona la capacidad de recibir tráfico en un único servidor virtual (denominado servidor virtual de Gateway unificado) y, a continuación, dirigir internamente ese tráfico, según corresponda, a los servidores virtuales enlazados al servidor virtual de Gateway unificado.

La función de Gateway unificado permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada con el servidor virtual de Gateway unificado). Los administradores pueden liberar direcciones IP y simplificar la configuración de la implementación de NetScaler Gateway.

Cada servidor virtual de Gateway unificado puede front-end un servidor virtual de NetScaler Gateway junto con cero o más servidores virtuales de equilibrio de carga como parte de una formación. Gateway unificado funciona mediante la función de cambio de contenido del dispositivo NetScaler ADC.

Algunos ejemplos de implementaciones de Gateway unificado:

  • Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway]
  • Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, un servidor virtual de equilibrio de carga]
  • Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, dos servidores virtuales de equilibrio de carga]
  • Servidor virtual de Gateway unificado -> [un servidor virtual de NetScaler Gateway, tres servidores virtuales de equilibrio de carga]

Cada uno de los servidores virtuales de equilibrio de carga puede ser cualquier servidor de equilibrio de carga estándar que aloja un servicio back-end, como Microsoft Exchange o Citrix ShareFile.

¿Por qué utilizar Gateway unificado?

La función Gateway unificado permite a los usuarios finales acceder a varios servicios mediante una única dirección IP o URL (asociada al servidor virtual de Gateway unificado). Para los administradores, la ventaja es que pueden liberar direcciones IP y simplificar la configuración de la implementación de NetScaler Gateway.  

¿Puede haber más de un servidor virtual de Gateway unificado?

Sí. Puede haber tantos servidores virtuales de Gateway unificado como necesite.

¿Por qué es necesario cambiar de contenido para Gateway unificado?

La función de conmutación de contenido es necesaria porque el servidor virtual de conmutación de contenido es el que recibe tráfico y lo dirige internamente al servidor virtual apropiado. El servidor virtual de conmutación de contenido es el componente principal de la función de Gateway unificado.

En las versiones anteriores a la 11.0, la conmutación de contenido se puede utilizar para recibir tráfico de varios servidores virtuales. ¿Ese uso también se llama Gateway unificado?

El uso de un servidor virtual de conmutación de contenido para recibir tráfico de varios servidores virtuales se admite en las versiones anteriores a la 11.0. Sin embargo, el cambio de contenido no puede dirigir el tráfico a un servidor virtual de NetScaler Gateway.

Las mejoras de la versión 11.0 permiten que un servidor virtual de conmutación de contenido dirija el tráfico a cualquier servidor virtual, incluido un servidor virtual de NetScaler Gateway.

¿Qué ha cambiado con las directivas de cambio de contenido de Gateway unificado?

  1. Se agrega un nuevo parámetro de línea de comandos “-TargetVServer” para la acción de conmutación de contenido. El nuevo parámetro se utiliza para especificar el servidor virtual de NetScaler Gateway de destino. Ejemplo:

    add cs action ug_CSact_myug -targetvServer ug_VPN_myug

    En la utilidad de configuración de NetScaler Gateway, la acción de cambio de contenido tiene una nueva opción, Servidor virtual de destino, que puede hacer referencia a un servidor virtual de NetScaler Gateway.

  2. Se puede usar una nueva expresión de directiva avanzada, is_vpn_url, para hacer coincidir las solicitudes específicas de autenticación y NetScaler Gateway.

¿Qué funciones de NetScaler Gateway no se admiten actualmente en Gateway unificado?

Todas las funciones son compatibles con Gateway unificado. Sin embargo, se ha notificado un problema menor (ID de problema 544325) con el inicio de sesión nativo a través del complemento VPN. En este caso, el inicio de sesión único (SSO) transparente no funciona.

Con Gateway unificado, ¿cuál es el comportamiento de los análisis de la EPA?

Con Gateway unificado, el análisis de endpoints se desencadena solo para los métodos de acceso de NetScaler Gateway, no para el acceso NetScaler ADC AAA TM. Si un usuario intenta acceder a un servidor virtual de NetScaler ADC AAA TM aunque la autenticación se realiza en el servidor virtual de NetScaler Gateway, el análisis EPA no se desencadena. Sin embargo, si el usuario intenta obtener acceso VPN sin cliente o VPN completa, se desencadena el análisis EPA configurado. En ese caso, se realiza la autenticación o el inicio de sesión único sin interrupciones.

¿Cuáles son los requisitos de licencia de Gateway unificado?

Gateway unificado solo es compatible con las licencias Advanced y Premium. No está disponible solo para NetScaler Gateway ni para las ediciones de licencia estándar.

¿El servidor virtual de NetScaler Gateway utilizado con Gateway unificado necesita una configuración IP/puerto/SSL?

Para un servidor virtual de NetScaler Gateway utilizado con el servidor virtual de Gateway unificado, no se necesita una configuración IP/puerto/SSL en el servidor virtual de NetScaler Gateway. Sin embargo, para la funcionalidad del proxy RDP, puede enlazar el mismo certificado de servidor SSL/TLS al servidor virtual de NetScaler Gateway.

¿Tengo que volver a aprovisionar los certificados SSL/TLS del servidor virtual de NetScaler Gateway para utilizarlos con un servidor virtual de Gateway unificado?

No es necesario volver a aprovisionar los certificados que están vinculados actualmente al servidor virtual de NetScaler Gateway. Puede reutilizar cualquier certificado SSL existente y vincularlo al servidor virtual de Gateway unificado.

¿Cuál es la diferencia entre una única URL y una implementación de varios hosts? ¿Cuál necesito?

La URL única hace referencia a la capacidad del servidor virtual de Gateway unificado para gestionar el tráfico de un nombre de dominio completo (FQDN). Esta restricción existe cuando Gateway unificado utiliza un certificado de servidor SSL/TLS en el que el sujeto del certificado se rellena con el FQDN. Por ejemplo: ug.citrix.com

Si Gateway unificado utiliza un certificado de servidor comodín, puede gestionar el tráfico de varios subdominios. Por ejemplo: *.citrix.com

Otra opción es la configuración SSL/TLS con funcionalidad Indicador de nombre de servidor (SNI) para permitir el enlace de varios certificados de servidor SSL/TLS. Ejemplos: auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un host único frente a varios hosts es análogo a la forma en que los sitios web se alojan normalmente en un servidor web (por ejemplo, el servidor HTTP Apache o Microsoft Internet Information Services (IIS)). Si hay un único host, puede utilizar una ruta de acceso del sitio para cambiar el tráfico de la misma manera que utiliza el alias o el “directorio virtual” en Apache. Si hay varios hosts, utiliza un encabezado de host para cambiar el tráfico de forma similar a como usa los hosts virtuales en Apache.

¿Qué mecanismos de autenticación se pueden utilizar con Gateway unificado?

Todos los mecanismos de autenticación existentes compatibles con NetScaler Gateway también son compatibles con Gateway unificado.

Estos incluyen LDAP, RADIUS, SAML, Kerberos, autenticación basada en certificados, etc.

Cualquier mecanismo de autenticación configurado en el servidor virtual de NetScaler Gateway antes de la actualización se utiliza automáticamente cuando el servidor virtual de NetScaler Gateway se coloca detrás del servidor virtual de Gateway unificado. No hay pasos de configuración adicionales que no sean asignar una dirección IP no direccionable (0.0.0.0) al servidor virtual de NetScaler Gateway.

¿Qué es la autenticación” SelfAuth” ‘?

SelfAuth no es un tipo de autenticación por sí solo. SelfAuth describe cómo se crea una URL. Un nuevo parámetro de línea de comandos ssotype, está disponible para la configuración de URL de VPN. Ejemplo:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth es uno de los valores del parámetro ssotype. Este tipo de URL se puede utilizar para acceder a recursos que no están en el mismo dominio que el servidor virtual de Gateway unificado. El ajuste se puede ver en la utilidad de configuración al configurar un marcador.

¿Qué es la autenticación” StepUp”?

Cuando se requieren niveles de autenticación adicionales y más seguros para acceder a un recurso NetScaler ADC AAA TM, puede usar la autenticación StepUp. En la línea de comandos, utilice un comando authnProfile para establecer el parámetro AuthenticationLevel. Ejemplo:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

Este perfil de autenticación está enlazado al servidor virtual de equilibrio de carga.

¿Se admite la autenticación StepUp para los servidores virtuales NetScaler ADC AAA TM?

Sí, es compatible.

¿Qué es login once/logout once?

Login Once: los usuarios de VPN inician sesión una vez en un servidor virtual de NetScaler ADC AAA TM o NetScaler Gateway. Y a partir de ese momento, los usuarios de VPN tienen acceso sin problemas a todas las aplicaciones empresariales, en la nube y web. No es necesario volver a autenticar al usuario. Sin embargo, la reautenticación se realiza en casos especiales, como NetScaler ADC AAA TM StepUp.

Logout Once: Después de crear la primera sesión de NetScaler ADC AAA TM o NetScaler Gateway, se utiliza para crear sesiones posteriores de NetScaler ADC AAA TM o NetScaler Gateway para ese usuario. Si se cierra la sesión de alguna de esas sesiones, el dispositivo NetScaler ADC también cierra la sesión de las demás aplicaciones o sesiones del usuario.

¿Se pueden especificar directivas de autenticación comunes en el nivel de Gateway unificado con el equilibrio de carga de NetScaler ADC AAA TM con enlace autenticado específico del servidor virtual de equilibrio de carga en el nivel del servidor virtual de equilibrio de carga? ¿Cuáles son los pasos de configuración para admitir este caso de uso?

Si necesita especificar directivas de autenticación independientes para el servidor virtual de NetScaler ADC AAA TM detrás de Gateway unificado, debe tener un servidor virtual de autenticación independiente y direccionable de forma independiente (similar a la configuración normal de NetScaler ADC AAA TM). La configuración del host de autenticación del servidor virtual de equilibrio de carga debe apuntar a este servidor virtual de autenticación.

¿Cómo se configura Gateway unificado para que los servidores virtuales NetScaler ADC AAA TM vinculados tengan sus propias directivas de autenticación?

En este caso, el servidor de equilibrio de carga debe tener la opción FQDN de autenticación establecida para que apunte al servidor virtual de NetScaler ADC AAA TM. El servidor virtual de NetScaler ADC AAA TM debe tener una dirección IP independiente y ser accesible desde NetScaler ADC y los clientes.

¿Se necesita un servidor virtual de autenticación NetScaler ADC AAA TM para autenticar a los usuarios que llegan a través de un servidor virtual de Gateway unificado?

No. El servidor virtual de NetScaler Gateway autentica incluso a los usuarios de NetScaler ADC AAA TM.

¿Dónde se especifican las directivas de autenticación de NetScaler Gateway, en el servidor virtual de Gateway unificado o en el servidor virtual de NetScaler Gateway?

Las directivas de autenticación deben vincularse al servidor virtual de NetScaler Gateway.

¿Cómo habilita la autenticación en los servidores virtuales NetScaler ADC AAA TM detrás de un servidor virtual de conmutación de contenido de Gateway unificado?

Habilite la autenticación en NetScaler ADC AAA TM y apunte el host de autenticación al FQDN de conmutación de contenido de Gateway unificado.

¿Cómo agrego servidores virtuales de TM para el cambio de contenido (URL única o multihost)?

No hay diferencia entre agregar los servidores virtuales NetScaler ADC AAA TM para una única URL y agregarla para varios hosts. En cualquier caso, el servidor virtual se agrega como destino en una acción de cambio de contenido. La diferencia entre una URL única y un host múltiple se implementa mediante reglas de directiva de conmutación de contenido.

¿Qué sucede con las directivas de autenticación vinculadas a un servidor virtual de equilibrio de carga NetScaler ADC AAA TM si ese servidor virtual se mueve detrás de un servidor virtual de Gateway unificado?

Las directivas de autenticación están vinculadas al servidor virtual de autenticación y el servidor virtual de autenticación está enlazado al servidor virtual de equilibrio de carga. Para el servidor virtual de Gateway unificado, Citrix recomienda tener el servidor virtual de NetScaler Gateway como punto de autenticación único, lo que niega la necesidad de realizar la autenticación en un servidor virtual de autenticación (o incluso la necesidad de un servidor virtual de autenticación específico). Apuntar el host de autenticación al FQDN del servidor virtual de Gateway unificado garantiza que el servidor virtual de NetScaler Gateway realice la autenticación. Si apunta el host de autenticación al cambio de contenido de Gateway unificado y sigue teniendo un servidor virtual de autenticación vinculado, se ignoran las directivas de autenticación vinculadas al servidor virtual de autenticación. Sin embargo, si apunta un host de autenticación a un servidor virtual de autenticación direccionable independiente, surten efecto las directivas de autenticación vinculadas.

¿Cómo se configuran las directivas de sesión para las sesiones de NetScaler ADC AAA TM?

Si, en Gateway unificado, no se especifica ningún servidor virtual de autenticación para el servidor virtual de NetScaler ADC AAA TM, las sesiones de NetScaler ADC AAA TM heredan las directivas de sesión de NetScaler Gateway. Si se especifica el servidor virtual de autenticación, se aplican las directivas de sesión de NetScaler ADC AAA TM enlazadas a ese servidor virtual.

¿Cuáles son los cambios en el portal de NetScaler Gateway en NetScaler ADC 11.0?

En las versiones de NetScaler ADC anteriores a la 11.0, se puede configurar una única personalización del portal a nivel global. Todos los servidores virtuales de puerta de enlace de un dispositivo NetScaler ADC determinado utilizan la personalización del portal global.

En NetScaler ADC 11.0, con la función de temas del portal, puede configurar varios temas del portal. Los temas se pueden enlazar de forma global o a servidores virtuales específicos.

¿NetScaler ADC 11.0 admite la personalización del portal de NetScaler Gateway?

Con la utilidad de configuración, puede utilizar la nueva función de temas del portal para personalizar y crear los temas del portal por completo. Puede subir diferentes imágenes, establecer esquemas de color, cambiar etiquetas de texto, etc.

Las páginas del portal que se pueden personalizar son:

  • Página de inicio
  • Página Análisis de endpoint
  • Página Error de Análisis de Endpoint
  • Página Post Endpoint Analysis
  • Página Conexión VPN
  • Página de inicio del portal

Con esta versión, puede personalizar los servidores virtuales de NetScaler Gateway con diseños de portal únicos.

¿Los temas del portal se admiten en implementaciones de clústeres o de alta disponibilidad de NetScaler ADC?

Sí. Los temas del portal se admiten en implementaciones de clústeres y alta disponibilidad de NetScaler ADC.

¿Se migran mis personalizaciones como parte del proceso de actualización de NetScaler ADC 11.0?

No. Las personalizaciones existentes en la página del portal de NetScaler Gateway que se invocan mediante la modificación del archivo rc.conf/rc.netscaler o mediante la funcionalidad de temas personalizados en 10.1/10.5 no se migrarán automáticamente al actualizar a NetScaler ADC 11.0.

¿Hay que seguir algún paso previo a la actualización para estar preparado para los temas del portal en NetScaler ADC 11.0?

Todas las personalizaciones existentes deben eliminarse de los archivos rc.conf o rc.netscaler.

La otra opción es que si se utilizan temas personalizados, se les debe asignar el ajuste Predeterminado:

  1. Vaya a Configuración > NetScaler Gateway > Configuración global

  2. Haga clic en Cambiar configuración global.

  3. Haga clic en Experiencia del cliente y seleccione Predeterminado en la lista Tema de interfaz de usuario.

Tengo personalizaciones almacenadas en la instancia de NetScaler ADC, invocadas por rc.conf o rc.netscaler. ¿Cómo paso a los temas del portal?

El artículo CTX126206 de Citrix Knowledge Center detalla esta configuración para las versiones 9.3 y 10.0 de NetScaler ADC hasta 10.0 build 73.5001.e. Desde NetScaler ADC 10.0, compilación 10.0 73.5002.e (incluidas 10.1 y 10.5), el parámetro UITHEME CUSTOM ha estado disponible para ayudar a los clientes a conservar sus personalizaciones durante los reinicios. Si las personalizaciones se almacenan en el disco duro de NetScaler ADC y quiere seguir usando estas personalizaciones, respalde los archivos GUI de la versión 11.0 e insértelos en el archivo de tema personalizado existente. Si desea pasar a los temas del portal, primero debe desactivar el parámetro UITHEME en la configuración global o en el perfil de sesión, en Experiencia de cliente. O bien puede configurarlo como DEFAULT o GREENBUBBLE. A continuación, podrá empezar a crear y enlazar un tema de portal.

¿Cómo puedo exportar mis personalizaciones actuales y guardarlas antes de actualizar a NetScaler ADC 11.0? ¿Puedo mover los archivos exportados a otro dispositivo NetScaler ADC?

Los archivos personalizados que se han cargado en la carpeta ns_gui_custom están en el disco y persisten durante las actualizaciones. Sin embargo, es posible que estos archivos no sean totalmente compatibles con el nuevo kernel de NetScaler ADC 11.0 y otros archivos GUI que forman parte del núcleo. Por lo tanto, Citrix recomienda hacer una copia de seguridad de los archivos GUI de la versión 11.0 y personalizar las copias de seguridad.

Además, la utilidad de configuración no tiene ninguna utilidad para exportar la carpeta ns_custom_gui a otro dispositivo Citrix ADC. Utilice SSH o una utilidad de transferencia de archivos como WinSCP para quitar los archivos de la instancia de NetScaler ADC.

¿Los temas del portal son compatibles con los servidores virtuales NetScaler ADC AAA TM?

Sí. Los temas del portal son compatibles con los servidores virtuales NetScaler ADC AAA TM.

¿Qué ha cambiado en la función Proxy RDP de NetScaler Gateway 11.0?

Se han realizado muchas mejoras en RDP Proxy desde la versión de mejora de NetScaler ADC 10.5.e. En NetScaler ADC 11.0, esta función está disponible desde la primera compilación publicada.

Cambios en las licencias

La función RDP Proxy de NetScaler ADC 11.0 solo se puede utilizar con las ediciones Premium y Advanced. Se deben obtener licencias de usuario simultáneo (CCU) de Citrix para cada usuario.

Habilitar comando

En NetScaler ADC 10.5.e no había ningún comando para habilitar el proxy RDP. En NetScaler ADC 11.0, se ha agregado el comando enable:

enable feature rdpproxy
<!--NeedCopy-->

La función debe tener licencia para ejecutar este comando.

Otros cambios en el proxy RDP

Se ha convertido en obligatorio un atributo de clave previamente compartida (PSK) en el perfil del servidor.

Para migrar las configuraciones existentes de NetScaler ADC 10.5.e para el proxy RDP a NetScaler ADC 11.0, se deben comprender y abordar los siguientes detalles.

Si un administrador quiere agregar una configuración de proxy RDP existente a una implementación de Gateway unificado elegida:

  • La dirección IP del servidor virtual de NetScaler Gateway debe modificarse y establecerse en una dirección IP no direccionable (0.0.0.0).
  • Los certificados de servidor SSL/TLS y las directivas de autenticación deben estar vinculados al servidor virtual de NetScaler Gateway que forma parte de la formación de Gateway unificado elegida.

¿Cómo se migra una configuración de proxy del Protocolo de escritorio remoto (RDP) basada en NetScaler ADC 10.5.e a NetScaler ADC 11.0?

Opción 1: Mantenga el servidor virtual de NetScaler Gateway existente con la configuración de proxy RDP tal cual, con una licencia Premium o Advanced.

Opción 2: Mueva el servidor virtual de NetScaler Gateway existente con la configuración de proxy RDP y colóquelo detrás de un servidor virtual de Gateway unificado.

Opción 3: Agregar un servidor virtual de NetScaler Gateway independiente con configuración de proxy RDP a un dispositivo Standard Edition existente.

¿Cómo se configura la configuración del proxy de NetScaler Gateway para RDP mediante la versión NetScaler ADC 11.0?

Existen dos opciones para implementar el proxy RDP mediante la versión NS 11.0:

  1. Uso de un servidor virtual de NetScaler Gateway externo. Esto requiere una dirección IP/FQDN visible externamente para el servidor virtual de NetScaler Gateway. Esta opción es la que está disponible en NetScaler ADC 10.5.e.

  2. Utilizar un servidor virtual de Gateway unificado para front-end del servidor virtual de NetScaler Gateway.

Con la opción 2, el servidor virtual de NetScaler Gateway no necesita su propia dirección IP/FQDN, porque utiliza una dirección IP no direccionable (0.0.0.0).

¿HDX Insight es compatible con Gateway unificado?

Cuando NetScaler Gateway se implementa con Gateway unificado, se deben cumplir las siguientes condiciones:

  • El servidor virtual de NetScaler Gateway debe tener un certificado SSL válido vinculado a él.

  • El servidor virtual de NetScaler Gateway debe estar activo para generar registros de AppFlow en NetScaler ADM y generar informes de HDX Insight.

¿Cómo migro mi configuración HDX Insight existente?

No es necesaria ninguna migración. Las directivas de AppFlow vinculadas a un servidor virtual de NetScaler Gateway se trasladan si ese servidor virtual de NetScaler Gateway se coloca detrás de un servidor virtual de Gateway unificado.

Para los datos existentes en NetScaler ADM para el servidor virtual de NetScaler Gateway, hay dos posibilidades:

  • Si la dirección IP del servidor virtual de NetScaler Gateway se asigna a un servidor virtual de Gateway unificado como parte de la migración a Gateway unificado, los datos permanecen vinculados al servidor virtual de NetScaler Gateway.
  • Si al servidor virtual de Gateway unificado se le asigna una dirección IP independiente, los datos de AppFlow del servidor virtual de NetScaler Gateway se vinculan a esa nueva dirección IP. Por lo tanto, los datos existentes no forman parte de los datos nuevos.
Preguntas frecuentes acerca Gateway unificado

En este artículo