This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Unified Gateway FAQ
什么是 Unified Gateway
Unified Gateway 是 NetScaler 11.0 版本中的一项新功能,可在单个虚拟服务器(称为 Unified Gateway 虚拟服务器)上接收流量,然后根据需要在内部将流量定向到 Unified Gateway 虚拟服务器的虚拟服务器。
Unified Gateway 功能允许最终用户使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。管理员可以释放 IP 地址并简化 NetScaler Gateway 部署的配置。
作为编队的一部分,每个 Unified Gateway 虚拟服务器都可以前端一个 NetScaler Gateway 虚拟服务器以及零个或多个负载平衡虚拟服务器。Unified Gateway 通过使用 NetScaler 设备的内容交换功能来工作。
Unified Gateway 部署的一些示例:
- Unified Gateway 虚拟服务器-> [一台 NetScaler Gateway 虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 NetScaler Gateway 虚拟服务器,一台负载平衡虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 NetScaler Gateway 虚拟服务器,两台负载平衡虚拟服务器]
- Unified Gateway 虚拟服务器-> [一台 NetScaler Gateway 虚拟服务器,三台负载平衡虚拟服务器]
每个负载平衡虚拟服务器都可以是托管后端服务的任何标准负载平衡服务器,例如 Microsoft Exchange 或 Citrix ShareFile。
为什么要使用 Unified Gateway
Unified Gateway 功能使最终用户能够使用单个 IP 地址或 URL(与 Unified Gateway 虚拟服务器关联)访问多个服务。对于管理员而言,优势在于他们可以释放 IP 地址并简化 NetScaler Gateway 部署的配置。
是否可以有多台 Unified Gateway 虚拟服务器
是。可以根据需要有尽可能多的 Unified Gateway 虚拟服务器。
为什么 Unified Gateway 需要内容交换
内容交换功能是必需的,因为内容交换虚拟服务器是接收流量并在内部将其定向到相应虚拟服务器的服务器。内容交换虚拟服务器是 Unified Gateway 功能的主要组件。
在 11.0 之前的版本中,内容交换可用于接收多个虚拟服务器的流量。这种用法也称为 Unified Gateway 吗
11.0 之前的版本支持使用内容交换虚拟服务器来接收多个虚拟服务器的流量。但是,内容交换无法将流量定向到 NetScaler Gateway 虚拟服务器。
11.0 中的增强功能使内容交换虚拟服务器能够将流量定向到任何虚拟服务器,包括 NetScaler Gateway 虚拟服务器。
Unified Gateway 中的内容交换策略发生了什么变化
-
为内容切换操作添加了新的命令行参数“-targetVserver”。新参数用于指定目标 NetScaler Gateway 虚拟服务器。示例:
add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG
在 NetScaler Gateway 配置实用程序中,内容切换操作有一个新选项“目标虚拟服务器”,该选项可引用 NetScaler Gateway 虚拟服务器。
-
新的高级策略表达式 is_vpn_url 可用于匹配 NetScaler Gateway 和特定于身份验证的请求。
Unified Gateway 目前不支持哪些 NetScaler Gateway 功能
Unified Gateway 支持所有功能。但是,通过 VPN 插件进行本机登录时报告了一个小问题(问题 ID 544325)。在这种情况下,无缝单点登录 (SSO) 不起作用。
使用 Unified Gateway,EPA 扫描的行为是什么
使用 Unified Gateway 时,仅针对 NetScaler Gateway 访问方法触发端点分析,而不会针对 NetScaler AAA TM 访问触发端点分析。如果用户尝试访问 NetScaler AAA TM 虚拟服务器,即使身份验证是在 NetScaler Gateway 虚拟服务器上完成的,也不会触发 EPA 扫描。但是,如果用户试图获得无客户端 VPN /完全VPN 访问权限,则会触发配置的 EPA 扫描。在这种情况下,将完成身份验证或无缝 SSO。
Unified Gateway 的许可证要求是什么
Unified Gateway 仅支持高级和高级许可证。它不适用于仅 NetScaler Gateway 或标准许可证版本。
与 Unified Gateway 一起使用的 NetScaler Gateway 虚拟服务器是否需要 IP/Port/SSL 配置
对于与 Unified Gateway 虚拟服务器一起使用的 NetScaler Gateway 虚拟服务器,NetScaler Gateway 虚拟服务器上不需要 IP/Port/SSL 配置。但是,对于 RDP 代理功能,您可以将相同的 SSL/TLS 服务器证书绑定到 NetScaler Gateway 虚拟服务器。
我是否需要重新配置 NetScaler Gateway 虚拟服务器上的 SSL/TLS 证书以用于 Unified Gateway 虚拟服务器
您无需重新置备当前绑定到 NetScaler Gateway 虚拟服务器的证书。您可以自由重复使用任何现有的 SSL 证书,并将这些证书绑定到 Unified Gateway 虚拟服务器。
单个 URL 和多主机部署有什么区别?我需要哪一个
单个 URL 是指 Unified Gateway 虚拟服务器处理一个完全限定域名 (FQDN) 的流量的能力。如果 Unified Gateway 使用的 SSL/TLS 服务器证书已使用 FQDN 填充了证书主题,则存在此限制。例如:ug.citrix.com
如果 Unified Gateway 使用通配符服务器证书,它可以处理多个子域的流量。例如:*.citrix.com
另一个选项是具有服务器名称指示器 (SNI) 功能的 SSL/TLS 配置,以允许绑定多个 SSL/TLS 服务器证书。示例:auth.citrix.com、auth.citrix.de、auth.citrix.co.uk、auth.citrix.co.jp
单主机与多台主机类似于网站通常托管在 Web 服务器上的方式(例如 Apache HTTP 服务器或 Microsoft Internet Information Services (IIS))。如果只有一台主机,则可以使用站点路径切换流量,就像在 Apache 中使用别名或“虚拟目录”一样。如果有多台主机,则可以使用主机标头切换流量,就像在 Apache 中使用虚拟主机的方式一样。
Unified Gateway 可以使用哪些身份验证机制
与 NetScaler Gateway 兼容的所有现有身份验证机制也与 Unified Gateway 兼容。
其中包括 LDAP、RADIUS、SAML、Kerberos、基于证书的身份验证等。
当 NetScaler Gateway 虚拟服务器放置在 Unified Gateway 虚拟服务器后面时,升级之前在 NetScaler Gateway 虚拟服务器上配置的任何身份验证机制都会自动使用。除了为 NetScaler Gateway 虚拟服务器分配不可寻址的 IP 地址 (0.0.0.0) 外,不涉及其他配置步骤。
什么是“SelfAuth”’身份验证
SelfAuth 本身不是身份验证类型。SelfAuth 描述了如何创建 URL。新的命令行参数可用于 VPN URL 配置。 ssotype 示例:
> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth
SelfAuth 是 ssotype 参数的值之一。这种类型的 URL 可用于访问与 Unified Gateway 虚拟服务器不在同一域中的资源。配置书签时,可以在配置实用程序中看到该设置。
什么是“StepUp”身份验证”
如果需要额外的身份验证,访问 NetScaler AAA TM 资源需要更安全级别的身份验证,则可以使用 StepUp 身份验证。在命令行上,使用 authnProfile 命令设置 authenticationLevel 参数。示例:
add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->
此身份验证配置文件绑定到负载平衡虚拟服务器。
NetScaler AAA TM 虚拟服务器是否支持 StepUp 身份验证
是的,它受支持。
什么是 login once/logout once
Login Once:VPN 用户只需登录一次 NetScaler AAA TM 或 NetScaler Gateway 虚拟服务器。从那时起,VPN 用户可以无缝访问所有企业/云 /Web 应用程序。用户无需重新进行身份验证。但是,重新身份验证是针对特殊情况进行的,例如 NetScaler AAA TM StepUp。
Logout Once:创建第一个 NetScaler AAA TM 或 NetScaler Gateway 会话后,它将用于为该用户创建后续的 NetScaler AAA TM 或 NetScaler Gateway 会话。如果这些会话中的任何一个已注销,NetScaler 设备还会注销用户的其他应用程序或会话。
是否可以在 Unified Gateway 级别指定通用身份验证策略,并在负载平衡虚拟服务器级别使用 NetScaler AAA TM 负载平衡特定于虚拟服务器的身份验证绑定支持此用例的配置步骤是什么
如果您需要为 Unified Gateway 后面的 NetScaler AAA TM 虚拟服务器指定单独的身份验证策略,则需要有一个单独的、可独立寻址的身份验证虚拟服务器(类似于普通 NetScaler AAA TM 配置)。负载平衡虚拟服务器上的身份验证主机设置必须指向此身份验证虚拟服务器。
如何配置 Unified Gateway,以便绑定的 NetScaler AAA TM 虚拟服务器具有自己的身份验证策略
在这种情况下,负载平衡服务器必须将身份验证 FQDN 选项设置为指向 NetScaler AAA TM 虚拟服务器。NetScaler AAA TM 虚拟服务器必须具有独立的 IP 地址,并且可以从 NetScaler 和客户端访问。
对通过 Unified Gateway 虚拟服务器的用户进行身份验证是否需要 NetScaler AAA TM 身份验证虚拟服务器
不是。NetScaler Gateway 虚拟服务器甚至可以对 NetScaler AAA TM 用户进行身份验证。
在 Unified Gateway 虚拟服务器或 NetScaler Gateway 虚拟服务器上,在哪里指定 NetScaler Gateway 身份验证策略
身份验证策略将绑定到 NetScaler Gateway 虚拟服务器。
如何在 Unified Gateway 内容交换虚拟服务器后面的 NetScaler AAA TM 虚拟服务器上启用身份验证
在 NetScaler AAA TM 上启用身份验证,然后将身份验证主机指向 Unified Gateway 内容交换 FQDN。
如何在内容切换背后添加 TM 虚拟服务器(单一 URL 还是多主机)
为单个 URL 添加 NetScaler AAA TM 虚拟服务器与为多个主机添加虚拟服务器没有区别。无论哪种情况,虚拟服务器都会作为内容切换操作中的目标添加。单个 URL 与多主机之间的区别是通过内容切换策略规则来实现的。
如果将 NetScaler AAA TM 负载平衡虚拟服务器移动到 Unified Gateway 虚拟服务器后面,绑定到该虚拟服务器的身份验证策略会发生什么变化
身份验证策略绑定到身份验证虚拟服务器,身份验证虚拟服务器绑定到负载平衡虚拟服务器。对于 Unified Gateway 虚拟服务器,Citrix 建议将 NetScaler Gateway 虚拟服务器作为单一身份验证点,这样就无需在身份验证虚拟服务器上执行身份验证(甚至不需要特定身份验证虚拟服务器)。将身份验证主机指向 Unified Gateway 虚拟服务器 FQDN 可确保由 NetScaler Gateway 虚拟服务器完成身份验证。如果将身份验证主机指向 Unified Gateway 的内容交换,但仍绑定了身份验证虚拟服务器,则绑定到身份验证虚拟服务器的身份验证策略将被忽略。但是,如果将身份验证主机指向独立的可寻址身份验证虚拟服务器,则绑定的绑定身份验证策略将生效。
如何为 NetScaler AAA TM 会话配置会话策略
如果在 Unified Gateway 中,未为 NetScaler AAA TM 虚拟服务器指定身份验证虚拟服务器,则 NetScaler AAA TM 会话将继承 NetScaler Gateway 会话策略。如果指定了身份验证虚拟服务器,则会应用绑定到该虚拟服务器的 NetScaler AAA TM 会话策略。
NetScaler 11.0 中的 NetScaler Gateway 门户有哪些更改
在 11.0 之前的 NetScaler 版本中,可以在全局级别设置单个门户自定义设置。给定 NetScaler 设备中的每个网关虚拟服务器都使用全局门户自定义设置。
在 NetScaler 11.0 中,使用门户主题功能,您可以设置多个门户主题。主题可以全局绑定或绑定到特定的虚拟服务器。
NetScaler 11.0 是否支持 NetScaler Gateway 门户自定义
使用配置实用程序,您可以使用新的门户主题功能完全自定义和创建门户主题。您可以上载不同的图像,设置配色方案,更改文本标签等。
可以自定义的门户页面包括:
- 登录页面
- 端点分析页
- 端点分析错误页面
- 端点后分析页
- VPN 连接页
- 门户主页
在此版本中,您可以使用独特的门户设计自定义 NetScaler Gateway 虚拟服务器。
NetScaler 高可用性或群集部署是否支持门户主题
是。NetScaler 高可用性和群集部署支持门户主题。
我的自定义设置是否会作为 NetScaler 11.0 升级过程的一部分进行迁移
不是。升级到 NetScaler 11.0 时,不会自动迁移通过 rc.conf/rc.netscaler 文件修改或使用 10.1/10.5 中的自定义主题功能调用的 NetScaler Gateway 门户页面的现有自定义项。
是否需要遵循任何升级前步骤才能为 NetScaler 11.0 中的门户主题做好准备
必须从 rc.conf 或 rc.netscaler 文件中删除任何现有的自定义项。
另一种选择是,如果使用自定义主题,则必须为它们分配默认设置:
-
导航到 配置 > NetScaler Gateway > 全局设置
-
单击“更改全局设置”。
-
单击 客户端体验 ,然后从 UI 主题 列表中选择 默认 。
我有存储在 NetScaler 实例上的自定义项,由 rc.conf 或 rc.netscaler 调用。如何移动到门户主题
Citrix 知识中心文章 CTX126206 详细介绍了 NetScaler 9.3 和 10.0 版本最高 10.0 版本 73.5001.e 的此类配置。自 NetScaler 10.0 版本 10.0 73.5002.e(包括 10.1 和 10.5)以来,UITHEME 自定义参数已可用于帮助客户在重新启动期间保留自定义项。如果自定义项存储在 NetScaler 硬盘驱动器上,并且您想继续使用这些自定义项,请备份 11.0 GUI 文件并将其插入现有的自定义主题文件中。如果要移动到门户主题,必须首先在“客户端体验”下的“全局设置”或“会话”配置文件中取消设置 UITHEME 参数。或者,您可以将其设置为 DEFAULT 或 GREENBUBBLE。然后您就可以开始创建和绑定门户主题了。
在升级到 NetScaler 11.0 之前,如何导出当前的自定义设置并保存它们?我可以将导出的文件移动到其他 NetScaler 设备吗
上载到 ns_gui_custom 文件夹的自定义文件位于磁盘上,并在升级过程中保留。但是,这些文件可能与新的 NetScaler 11.0 内核和作为内核一部分的其他 GUI 文件并不完全兼容。因此,Citrix 建议备份 11.0 GUI 文件并自定义备份。
此外,配置实用程序中没有实用程序可以将 ns_custom_gui 文件夹导出到另一个 NetScaler 设备。使用 SSH 或 WinSCP 之类的文件传输实用程序将文件从 NetScaler 实例中删除。
NetScaler AAA TM 虚拟服务器是否支持门户主题
是。NetScaler AAA TM 虚拟服务器支持门户主题。
NetScaler Gateway 11.0 的 RDP 代理功能发生了什么变化
自 NetScaler 10.5.e 增强版发布以来,已对 RDP 代理进行了许多增强。在 NetScaler 11.0 中,此功能可从第一个发布的版本中使用。
许可变更
NetScaler 11.0 中的 RDP 代理功能只能用于高级版和高级版。必须为每个用户获取 Citrix 并发用户 (CCU) 许可证。
启用命令
在 NetScaler 10.5.e 中,没有启用 RDP 代理的命令。在 NetScaler 11.0 中,已添加启用命令:
enable feature rdpproxy
<!--NeedCopy-->
该功能必须获得许可才能运行此命令。
其他 RDP 代理更改
服务器配置文件中的预共享密钥 (PSK) 属性已成为必填项。
要将 RDP 代理的现有 NetScaler 10.5.e 配置迁移到 NetScaler 11.0,必须了解并解决以下详细信息。
如果管理员想要将现有的 RDP 代理配置添加到选定的 Unified Gateway 部署中:
- 必须编辑 NetScaler Gateway 虚拟服务器的 IP 地址并将其设置为不可寻址的 IP 地址 (0.0.0.0)。
- 任何 SSL/TLS 服务器证书、身份验证策略都必须绑定到作为所选 Unified Gateway 编队一部分的 NetScaler Gateway 虚拟服务器。
如何将基于 NetScaler 10.5.e 的远程桌面协议 (RDP) 代理配置迁移到 NetScaler 11.0
选项 1:使用高级或高级许可证,使用 RDP 代理配置保持现有 NetScaler Gateway 虚拟服务器的原样。
选项 2:使用 RDP 代理配置移动现有 NetScaler Gateway 虚拟服务器,将其置于 Unified Gateway 虚拟服务器后面。
选项 3:将具有 RDP 代理配置的独立 NetScaler Gateway 虚拟服务器添加到现有标准版设备。
如何使用 NetScaler 11.0 版本为 RDP 代理配置设置 NetScaler Gateway
使用 NS 11.0 版本部署 RDP 代理有两种选项:
-
使用面向外部的 NetScaler Gateway 虚拟服务器。这需要 NetScaler Gateway 虚拟服务器使用一个外部可见的 IP 地址 /FQDN。此选项是 NetScaler 10.5.e 中提供的选项。
-
在 NetScaler Gateway 虚拟服务器前端使用 Unified Gateway 虚拟服务器。
使用选项 2 时,NetScaler Gateway 虚拟服务器不需要自己的 IP 地址 /FQDN,因为它使用不可寻址的 IP 地址 (0.0.0.0)。
HDX Insight 是否与 Unified Gateway 兼容
使用 Unified Gateway 部署 NetScaler Gateway 时,必须满足以下条件:
-
NetScaler Gateway 虚拟服务器必须绑定有效的 SSL 证书。
-
NetScaler Gateway 虚拟服务器必须处于 UP 状态才能在 NetScaler ADM 上生成 AppFlow 记录,以进行 HDX Insight 报告。
如何迁移我现有的 HDX Insight 配置
不需要迁移。如果将 NetScaler Gateway 虚拟服务器放在 Unified Gateway 虚拟服务器后面,绑定到 NetScaler Gateway 虚拟服务器的 AppFlow 策略将继续执行。
对于 NetScaler Gateway 虚拟服务器的 NetScaler ADM 上的现有数据,有两种可能性:
- 如果在迁移到 Unified Gateway 的过程中将 NetScaler Gateway 虚拟服务器的 IP 地址分配给 Unified Gateway 虚拟服务器,则数据将保持链接到 NetScaler Gateway 虚拟服务器
- 如果为 Unified Gateway 虚拟服务器分配了单独的 IP 地址,则 NetScaler Gateway 虚拟服务器中的 AppFlow 数据将链接到该新 IP 地址。因此,现有数据不是新数据的一部分。
共享
共享
在本文中
- 什么是 Unified Gateway
- 为什么要使用 Unified Gateway
- 是否可以有多台 Unified Gateway 虚拟服务器
- 为什么 Unified Gateway 需要内容交换
- 在 11.0 之前的版本中,内容交换可用于接收多个虚拟服务器的流量。这种用法也称为 Unified Gateway 吗
- Unified Gateway 中的内容交换策略发生了什么变化
- Unified Gateway 目前不支持哪些 NetScaler Gateway 功能
- 使用 Unified Gateway,EPA 扫描的行为是什么
- Unified Gateway 的许可证要求是什么
- 与 Unified Gateway 一起使用的 NetScaler Gateway 虚拟服务器是否需要 IP/Port/SSL 配置
- 我是否需要重新配置 NetScaler Gateway 虚拟服务器上的 SSL/TLS 证书以用于 Unified Gateway 虚拟服务器
- 单个 URL 和多主机部署有什么区别?我需要哪一个
- Unified Gateway 可以使用哪些身份验证机制
- 什么是“SelfAuth”’身份验证
- 什么是“StepUp”身份验证”
- NetScaler AAA TM 虚拟服务器是否支持 StepUp 身份验证
- 什么是 login once/logout once
- 是否可以在 Unified Gateway 级别指定通用身份验证策略,并在负载平衡虚拟服务器级别使用 NetScaler AAA TM 负载平衡特定于虚拟服务器的身份验证绑定支持此用例的配置步骤是什么
- 如何配置 Unified Gateway,以便绑定的 NetScaler AAA TM 虚拟服务器具有自己的身份验证策略
- 对通过 Unified Gateway 虚拟服务器的用户进行身份验证是否需要 NetScaler AAA TM 身份验证虚拟服务器
- 在 Unified Gateway 虚拟服务器或 NetScaler Gateway 虚拟服务器上,在哪里指定 NetScaler Gateway 身份验证策略
- 如何在 Unified Gateway 内容交换虚拟服务器后面的 NetScaler AAA TM 虚拟服务器上启用身份验证
- 如何在内容切换背后添加 TM 虚拟服务器(单一 URL 还是多主机)
- 如果将 NetScaler AAA TM 负载平衡虚拟服务器移动到 Unified Gateway 虚拟服务器后面,绑定到该虚拟服务器的身份验证策略会发生什么变化
- 如何为 NetScaler AAA TM 会话配置会话策略
- NetScaler 11.0 中的 NetScaler Gateway 门户有哪些更改
- NetScaler 11.0 是否支持 NetScaler Gateway 门户自定义
- NetScaler 高可用性或群集部署是否支持门户主题
- 我的自定义设置是否会作为 NetScaler 11.0 升级过程的一部分进行迁移
- 是否需要遵循任何升级前步骤才能为 NetScaler 11.0 中的门户主题做好准备
- 我有存储在 NetScaler 实例上的自定义项,由 rc.conf 或 rc.netscaler 调用。如何移动到门户主题
- 在升级到 NetScaler 11.0 之前,如何导出当前的自定义设置并保存它们?我可以将导出的文件移动到其他 NetScaler 设备吗
- NetScaler AAA TM 虚拟服务器是否支持门户主题
- NetScaler Gateway 11.0 的 RDP 代理功能发生了什么变化
- 如何将基于 NetScaler 10.5.e 的远程桌面协议 (RDP) 代理配置迁移到 NetScaler 11.0
- 如何使用 NetScaler 11.0 版本为 RDP 代理配置设置 NetScaler Gateway
- HDX Insight 是否与 Unified Gateway 兼容
- 如何迁移我现有的 HDX Insight 配置
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.