This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Unified Gateway FAQ
什么是 Unified Gateway? **
Unified Gateway 是 Citrix ADC 11.0 版本中的一项新功能,可在单个虚拟服务器(称为 Unified Gateway 虚拟服务器)上接收流量,然后根据需要在内部将流量定向到 Unified Gateway 虚拟服务器的虚拟服务器。
Unified Gateway 功能允许最终用户使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。管理员可以释放 IP 地址并简化 Citrix Gateway 部署的配置。
作为编队的一部分,每个 Unified Gateway 虚拟服务器都可以前端一个 Citrix Gateway 虚拟服务器以及零个或多个负载平衡虚拟服务器。Unified Gateway 通过利用 Citrix ADC 设备的内容切换功能来工作。
Unified Gateway 部署的一些示例:
- Unified Gateway 虚拟服务器-> [一台 Citrix Gateway 虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 Citrix Gateway 虚拟服务器,一台负载平衡虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 Citrix Gateway 虚拟服务器,两台负载平衡虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 Citrix Gateway 虚拟服务器,三台负载平衡虚拟服务器]
每个负载平衡虚拟服务器可以是托管后端服务(例如 Microsoft Exchange 或 Citrix ShareFile)的任何标准负载平衡服务器。
为什么要使用 Unified Gateway? **
Unified Gateway 功能使最终用户能够使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。对于管理员而言,优势在于他们可以释放 IP 地址并简化 Citrix Gateway 部署的配置。
是否可以有多台 Unified Gateway 虚拟服务器? **
是。可以根据需要有尽可能多的 Unified Gateway 虚拟服务器。
为什么 Unified Gateway 需要内容交换? **
内容交换功能是必需的,因为内容交换虚拟服务器是接收流量并在内部将其定向到相应虚拟服务器的服务器。内容交换虚拟服务器是 Unified Gateway 功能的主要组件。
在 11.0 之前的版本中,内容交换可用于接收多个虚拟服务器的流量。这种用法也称为 Unified Gateway 吗? **
11.0 之前的版本支持使用内容交换虚拟服务器来接收多个虚拟服务器的流量。但是,内容交换无法将流量定向到 Citrix Gateway 虚拟服务器。
11.0 中的增强功能使内容交换虚拟服务器能够将流量定向到任何虚拟服务器,包括 Citrix Gateway 虚拟服务器。
Unified Gateway 中的内容交换策略发生了什么变化? **
1. 为内容切换操作添加了新的命令行参数“-targetVserver”。新参数用于指定目标 Citrix Gateway 虚拟服务器。示例:
add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG
在 Citrix Gateway 配置实用程序中,内容切换操作有一个新选项“目标虚拟服务器”,该选项可引用 Citrix Gateway 虚拟服务器。
2. 新的高级策略表达式 is_vpn_url 可用于匹配 Citrix Gateway 和特定于身份验证的请求。
Unified Gateway 目前不支持哪些 Citrix Gateway 功能? **
Unified Gateway 支持所有功能。但是,已报告了通过 VPN 插件进行本机登录时存在一个小问题(问题 ID 544325)。在这种情况下,无缝单点登录 (SSO) 不起作用。
使用 Unified Gateway,EPA 扫描的行为是什么? **
使用 Unified Gateway,仅针对 Citrix Gateway 访问方法触发端点分析,而不是 AAA-TM 访问触发端点分析。如果用户尝试访问 AAA-TM 虚拟服务器,即使在 Citrix Gateway 虚拟服务器上完成了身份验证,也不会触发 EPA 扫描。但是,如果用户试图获得无客户端 VPN /完全VPN 访问权限,则会触发配置的 EPA 扫描。在这种情况下,将完成身份验证或无缝 SSO。
设置
Unified Gateway 的许可证要求是什么? **
Unified Gateway 仅支持企业版和白金级许可。它仅适用于 Citrix Gateway 或标准许可版本。
与 Unified Gateway 一起使用的 Citrix Gateway 虚拟服务器是否需要 IP/Port/SSL 配置? **
对于与 Unified Gateway 虚拟服务器一起使用的 Citrix Gateway 虚拟服务器,不需要在 Citrix Gateway 虚拟服务器上配置 IP/端口/SSL。但是,对于 RDP 代理功能,您可以将相同的 SSL/TLS 服务器证书绑定到 Citrix Gateway 虚拟服务器。
我需要重新配置 Citrix Gateway 虚拟服务器上的 SSL/TLS 证书以用于 Unified Gateway 虚拟服务器吗? **
您无需重新配置当前绑定到您的 Citrix Gateway 虚拟服务器的证书。您可以自由重复使用任何现有 SSL 证书并将其绑定到 Unified Gateway 虚拟服务器。
单个 URL 和多主机部署有什么区别?我需要哪一个? **
单个 URL 是指 Unified Gateway 虚拟服务器处理一个完全限定域名 (FQDN) 的流量的能力。如果 Unified Gateway 使用的 SSL/TLS 服务器证书已使用 FQDN 填充了证书主题,则存在此限制。例如:ug.citrix.com
但是,如果 Unified Gateway 使用通配符服务器证书,它可以处理多个子域的流量。例如:*.citrix.com
另一个选项是具有服务器名称指示器 (SNI) 功能的 SSL/TLS 配置,以允许绑定多个 SSL/TLS 服务器证书。示例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp
单一主机与多台主机类似于网站通常托管在网络服务器上的方式(例如 Apache HTTP 服务器或 Microsoft Internet Information Services (IIS))。如果只有一台主机,则可以使用站点路径来切换流量,就像在 Apache 中使用别名或“虚拟目录”一样。如果有多台主机,则可以使用主机标头切换流量,就像在 Apache 中使用虚拟主机的方式一样。
身份验证
Unified Gateway 可以使用哪些身份验证机制? **
所有与 Citrix Gateway 配合使用的现有身份验证机制都适用于 Unified Gateway。
其中包括 LDAP、RADIUS、SAML、Kerberos、基于证书的身份验证等。
当将 Citrix Gateway 虚拟服务器置于 Unified Gateway 虚拟服务器后面时,将自动使用升级前在 Citrix Gateway 虚拟服务器上配置的任何身份验证机制。除了为 Citrix Gateway 虚拟服务器分配不可寻址的 IP 地址 (0.0.0.0) 外,不涉及其他配置步骤。
什么是“SelfAuth”’身份验证? **
SelfAuth 本身不是身份验证类型。SelfAuth 描述了如何创建 URL。新的命令行参数 ssotype 可用于 VPN URL 配置。示例:
\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth
selfAuth 是 ssotype 参数的值之一。这种类型的 URL 可用于访问与 Unified Gateway 虚拟服务器不在同一域中的资源。配置书签时,可以在配置实用程序中看到该设置。
什么是“StepUp”身份验证”? **
当访问 AAA-TM 资源需要额外的、更安全的身份验证级别时,您可以使用 StepUp 身份验证。在命令行上,使用 authnProfile 命令设置 authenticationLevel 参数。示例:
add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100
此身份验证配置文件绑定到负载平衡虚拟服务器。
AAA-TM 虚拟服务器是否支持 StepUp 身份验证? **
是的,它受支持。
什么是“一次登录/一次注销”? **
一次登录:VPN 用户登录到 AAA-TM 或 Citrix Gateway 虚拟服务器一次。从那时起,VPN 用户可以无缝访问所有企业/云 /Web 应用程序。用户无需重新进行身份验证。但是,对于特殊情况,例如AAA-TM StepUp,需要重新进行身份验证。
注销一次:创建第一个 AAA-TM 或 Citrix Gateway 会话后,它用于为该用户创建后续的 AAA-TM 或 Citrix Gateway 会话。如果这些会话中的任何一个已注销,Citrix ADC 设备还会注销用户的其他应用程序或会话。
能否在 Unified Gateway 级别指定常见的身份验证策略,让 AAA-TM 负载平衡虚拟服务器特定经过身份验证的绑定在负载平衡虚拟服务器级别上?支持此用例的配置步骤是什么? **
如果您需要为 Unified Gateway 后面的 AAA-TM 虚拟服务器指定单独的身份验证策略,则需要有一个单独的、可独立寻址的身份验证虚拟服务器(类似于普通的 AAA-TM 配置)。负载平衡虚拟服务器上的身份验证主机设置必须指向此身份验证虚拟服务器。
如何配置 Unified Gateway,以便绑定的 AAA-TM 虚拟服务器拥有自己的身份验证策略? **
在这种情况下,负载平衡服务器必须将身份验证 FQDN 选项设置为指向 AAA-TM 虚拟服务器。AAA-TM 虚拟服务器必须具有独立的 IP 地址,并且可以通过 Citrix ADC 和客户端进行访问。
对通过 Unified Gateway 虚拟服务器访问的用户进行身份验证是否需要 AAA-TM 身份验证虚拟服务器? **
不是。Citrix Gateway 虚拟服务器甚至会对 AAA-TM 用户进行身份验证。
在 Unified Gateway 虚拟服务器或 Citrix Gateway 虚拟服务器上,在哪里指定 Citrix Gateway 身份验证策略? **
身份验证策略将绑定到 Citrix Gateway 虚拟服务器。
如何在 Unified Gateway 内容交换虚拟服务器后面的 AAA-TM 虚拟服务器上启用身份验证? **
在 AAA-TM 上启用身份验证,并将身份验证主机指向 Unified Gateway 内容交换 FQDN。
AAA-交通管理
如何在内容切换背后添加 TM 虚拟服务器(单一 URL 还是多主机)? **
为单个 URL 添加 AAA-TM 虚拟服务器和为多台主机添加 AAA-TM 虚拟服务器没有区别。无论哪种情况,虚拟服务器都会作为内容切换操作中的目标添加。单个 URL 与多主机之间的区别是通过内容切换策略规则来实现的。
如果将虚拟服务器移至 Unified Gateway 虚拟服务器后面,绑定到 AAA-TM 负载平衡虚拟服务器的身份验证策略会怎样? **
身份验证策略绑定到身份验证虚拟服务器,身份验证虚拟服务器绑定到负载平衡虚拟服务器。对于 Unified Gateway 虚拟服务器,Citrix 建议将 Citrix Gateway 虚拟服务器作为单一身份验证点,这样就无需在身份验证虚拟服务器上执行身份验证(甚至不需要特定身份验证虚拟服务器)。将身份验证主机指向 Unified Gateway 虚拟服务器 FQDN 可确保身份验证由 Citrix Gateway 虚拟服务器完成。如果将身份验证主机指向 Unified Gateway 的内容交换,但仍绑定了身份验证虚拟服务器,则绑定到身份验证虚拟服务器的身份验证策略将被忽略。但是,如果将身份验证主机指向独立的可寻址身份验证虚拟服务器,则绑定的绑定身份验证策略将生效。
如何为 AAA-TM 会话配置会话策略? **
如果在 Unified Gateway 中,没有为 AAA-TM 虚拟服务器指定身份验证虚拟服务器,则 AAA-TM 会话将继承 Citrix Gateway 会话策略。如果指定了身份验证虚拟服务器,则将应用绑定到该虚拟服务器的 AAA-TM 会话策略。
门户自定义
在 Citrix ADC 11.0 中,Citrix Gateway 门户有哪些变化? **
在 11.0 之前的 Citrix ADC 版本中,可以在全局级别设置单个门户自定义设置。给定 Citrix ADC 设备中的每个网关虚拟服务器都使用全局门户自定义设置。
在 Citrix ADC 11.0 中,使用门户主题功能,您可以设置多个门户主题。主题可以全局绑定或绑定到特定的虚拟服务器。
Citrix ADC 11.0 是否支持 Citrix Gateway 门户自定义? **
使用配置实用程序,您可以使用新的门户主题功能来完全自定义和创建新的门户主题。您可以上载不同的图像,设置配色方案,更改文本标签等。
可以自定义的门户页面包括:
- 登录页面
- 端点分析页
- 端点分析错误页面
- 端点后分析页
- VPN 连接页
- 门户主页
在此版本中,您可以使用独特的门户设计自定义 Citrix Gateway 虚拟服务器。
Citrix ADC 高可用性或群集部署是否支持门户主题? **
是。Citrix ADC 高可用性和群集部署支持门户主题。
我的自定义设置是否会作为 Citrix ADC 11.0 升级过程的一部分进行迁移? **
没有。升级到 Citrix ADC 11.0 后,通过 rc.conf/rc.netscaler 文件修改或在 10.1/10.5 中使用定制主题功能调用的 Citrix Gateway 门户页面的现有自定义设置不会自动迁移。
是否需要遵循任何升级前步骤才能为 Citrix ADC 11.0 中的门户主题做好准备? **
必须从 rc.conf 或 rc.netscaler 文件中删除任何现有的自定义设置。
另一种选择是,如果使用自定义主题,则必须为它们分配默认设置:
导航到 配置 > Citrix Gateway > 全局设置
单击“更改全局设置”。单击“客户体验”,然后从“用户界面主题”下拉列表中选择“默认”。
我有存储在 Citrix ADC 实例上的自定义项,由 rc.conf 或 rc.netscaler 调用。如何移动到门户主题? **
Citrix 知识中心文章 CTX126206 详细介绍了 Citrix ADC 9.3 和 10.0 版本最高 10.0 版本 73.5001.e 的此类配置。自 Citrix ADC 10.0 版本 10.0 73.5002.e(包括 10.1 和 10.5)以来,UITHEME 自定义参数已可用于帮助客户在重新启动期间保留自定义项。如果自定义项存储在 Citrix ADC 硬盘上,并且您想继续使用这些自定义设置,请备份 11.0 GUI 文件并将其插入到现有定制主题文件中。如果要移动到门户主题,必须首先在“客户端体验”下的“全局设置”或“会话”配置文件中取消设置 UITHEME 参数。或者,您可以将其设置为 DEFAULT 或 GREENBUBBLE。然后您就可以开始创建和绑定门户主题了。
在升级到 Citrix ADC 11.0 之前,如何导出当前的自定义设置并保存它们?我可以将导出的文件移动到其他 Citrix ADC 设备吗? **
上载到 ns_gui_custom 文件夹的自定义文件位于磁盘上,并在升级过程中保留。但是,这些文件可能与新的 Citrix ADC 11.0 内核和作为内核一部分的其他 GUI 文件并不完全兼容。因此,Citrix 建议备份 11.0 GUI 文件并自定义备份。
此外,配置实用程序中没有实用程序可以将 ns_custom_gui 文件夹导出到另一个 Citrix ADC 设备。您必须使用 SSH 或 WinSCP 等文件传输工具,才能将文件从 Citrix ADC 实例中移除。
AAA-TM 虚拟服务器是否支持门户主题? **
是。AAA-TM 虚拟服务器支持门户主题。
RDP 代理
Citrix Gateway 11.0 的 RDP 代理发生了什么变化? **
自 Citrix ADC 10.5.e 增强版发布以来,已对 RDP 代理进行了许多增强。在 Citrix ADC 11.0 中,此功能可从第一个发布的版本中使用。
许可变更
Citrix ADC 11.0 中的 RDP 代理功能只能用于白金版和企业版。必须为每个用户获取 Citrix 并发用户 (CCU) 许可证。
启用命令
在 Citrix ADC 10.5.e 中,没有启用 RDP 代理的命令。在 Citrix ADC 11.0 中,已添加启用命令:
enable feature rdpproxy
该功能必须获得许可才能运行此命令。
其他 RDP 代理更改
服务器配置文件中的预共享密钥 (PSK) 属性已成为必填项。
要将 RDP 代理的现有 Citrix ADC 10.5.e 配置迁移到 Citrix ADC 11.0,应了解并解决以下细节。
如果管理员想要将现有的 RDP 代理配置添加到选定的 Unified Gateway 部署中:
- 必须编辑 Citrix Gateway 虚拟服务器的 IP 地址并将其设置为不可寻址的 IP 地址 (0.0.0.0)。
- 任何 SSL/TLS 服务器证书、身份验证策略都必须绑定到作为所选 Unified Gateway 编队一部分的 Citrix Gateway 虚拟服务器。
如何将基于 Citrix ADC 10.5.e 的远程桌面协议 (RDP) 代理配置迁移到 Citrix ADC 11.0? **
选项 1:使用白金或企业许可,保持带有 RDP 代理配置的现有 Citrix Gateway 虚拟服务器不变。
选项 2:使用 RDP 代理配置移动现有 Citrix Gateway 虚拟服务器,将其置于 Unified Gateway 虚拟服务器后面。
选项 3:将具有 RDP 代理配置的独立 Citrix Gateway 虚拟服务器添加到现有标准版设备。
如何使用 Citrix ADC 11.0 版本为 RDP 代理配置设置 Citrix Gateway? **
使用 NS 11.0 版本部署 RDP 代理有两种选项:
1) 使用面向外部的 Citrix Gateway 虚拟服务器。这需要 Citrix Gateway 虚拟服务器使用一个外部可见的 IP 地址 /FQDN。此选项是 Citrix ADC 10.5.e 中提供的选项。
2) 在 Citrix Gateway 虚拟服务器的前端使用 Unified Gateway 虚拟服务器。
使用选项 2 时,Citrix Gateway 虚拟服务器不需要自己的 IP 地址 /FQDN,因为它使用不可寻址的 IP 地址 (0.0.0.0)。
与其他 Citrix 软件集成
HDX Insight 是否与 Unified Gateway 兼容
使用 Unified Gateway 部署 Citrix Gateway 时,必须满足以下条件:
-
Citrix Gateway 虚拟服务器必须绑定有效的 SSL 证书。
-
Citrix Gateway 虚拟服务器必须处于 UP 状态才能在 Citrix ADM 上生成 AppFlow 记录,以进行 HDX Insight 报告。
如何迁移我现有的 HDX Insight 配置
不需要迁移。如果将 Citrix Gateway 虚拟服务器放在 Unified Gateway 虚拟服务器后面,绑定到 Citrix Gateway 虚拟服务器的 AppFlow 策略将继续执行。
对于 Citrix Gateway 虚拟服务器的 Citrix ADM 上的现有数据,有两种可能性:
- 如果在迁移到 Unified Gateway 的过程中将 Citrix Gateway 虚拟服务器的 IP 地址分配给 Unified Gateway 虚拟服务器,则数据将保持链接到 Citrix Gateway 虚拟服务器
- 如果为 Unified Gateway 虚拟服务器分配了单独的 IP 地址,则来自 Citrix Gateway 虚拟服务器的 AppFlow 数据将链接到该新的 IP 地址。因此,现有数据不会成为新数据的一部分。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.