NetScaler的AGEE安装和配置.docx
《NetScaler的AGEE安装和配置.docx》由会员分享,可在线阅读,更多相关《NetScaler的AGEE安装和配置.docx(40页珍藏版)》请在冰豆网上搜索。
NetScaler的AGEE安装和配置
第1章基本过程3
第2章安装配置环境一览表3
第3章安装NetScalerVPX及初始化4
3.1安装NetScalerVPX4
3.2基本配置5
第4章创建证书9
4.1安装配置WindowsCA服务9
4.2创建CertificateRequest文件(.csr)14
4.3创建Certificate文件(.cer)17
第5章配置NetScaler23
5.1创建AccessGateway的VirtualServer23
5.2创建LoadBalancing的VirtualServer28
第6章为NetScaler创建一个专用WI站点31
第7章测试并验证34
第1章基本过程
本章节介绍了通过NetScaler实现icaproxy的基本过程。
其包括了:
∙NetScaler的安装
∙WindowsCA的安装
∙配置NetScaler
第2章安装配置环境一览表
通过NetScaler实现icaproxy有多种实现方式:
∙不使用AG做身份认证
∙NetScaler对外只有一个IP地址即AccessGateway的VirtualServerIP
当用户请求Web站点时,AccessGatewayVirtualServer将把请求转给LoadBalancingVirtualServer。
建议此时的LoadBalancingVirtualServer使用HTTP协议。
结合“基础环境”的网络架构,环境规划如下:
IP地址段
网关
DDC/WI
内网
192.168.80.0/24
192.168.80.254
192.168.80.152
外网
172.16.10.0/24
172.16.10.254
NetScaler规划,版本:
Netscaler10.0.73.5
IP地址
FQDN
VPXIP
192.168.80.145
SubIP
192.168.80.140
AccessGateway
virtualserverIP
192.168.80.141
LoadBalancing
virtualserverIP
192.168.80.142
第3章安装NetScalerVPX及初始化
3.1安装NetScalerVPX
1.从下载最新的NetScalerVPX(本次所使用的版本为10.0.73.5,其他NetScaler9.3,10.0版本皆可以)
2.打开XenCenter,右击XenServer,选择Import,指定NSVPX-XEN-10.0-73.5_nc.xva
3.导入完成之后,虚机将会启动,
4.打开此虚机console,Netscaler会提示输入IP地址,(此地址为Netscaler的管理地址)
5.输入如下信息,然后输入4,保存并退出,NetScaler会自动重启,
NetScalerIP:
192.168.80.145
Netmask:
255.255.255.0
Gateway:
192.168.80.254
3.2基本配置
1.NetScaler重启完成后,打开浏览器,输入:
192.168.80.145,确认NetScaler能正常访问,(初始账号密码皆为:
nsroot)
注:
访问NetScaler控制台需要Java支持,
2.展开System->Licenses,点击右侧ManageLicense,导入你为此机器申请的lic文件,
3.导入完成后,会出现如下提示:
将其都勾选,并点击“是”,NetScaler会自动重启,
4.重启完成后,确认lic文件已经生效,进入NetScaler常规配置,
5.展开System–>Settings,点击Configuremodes,
6.勾选MACBasedforwarding,点击OK,
7.再点击ConfigureBasicFeatures,勾选:
SSLOffloading,LoadBalancing,AccessGateway,点击OK,
8.在右侧Settings下,选择ChangeTimeZone,
9.选择时区为:
GMT+8:
00-CST-Asia/Shanghai,点击OK,
10.展开Network->IPs,添加一个SubnetIP,192.168.80.140
至此,NetScalerVPX已经安装完成,并完成了初始化。
接下来进行证书配置。
第4章创建证书
鉴于Android设备对于NetScaler自建证书识别不正常的情况,所需要使用的证书都请通过WindowsCertificateAuthority(CA)服务来创建。
本例中,我们将WindowsCA搭建在域控制器CTXAD上。
4.1安装配置WindowsCA服务
1.登陆CTXAD,打开“服务器管理器”->“添加角色”,
2.勾选“ActiveDirectory证书服务”,点击下一步,
3.选择“证书颁发机构”、“证书颁发机构Web注册”,
4.跳出如下提示,选择“添加所需的角色服务”,
5.选择“企业”,
6.选择“根CA”,
7.选择“新建私钥”
8.选择“SHA1”哈希算法,
9.输入所需要的根证书信息,(本例中保留了默认值)
10.证书有效期选择默认的“5年”,
11.接下去一路下一步,完成证书服务的安装,
12.打开浏览器,输入http:
//localhost/certsrv,确认证书服务工作正常,
4.2创建CertificateRequest文件(.csr)
1.通过浏览器访问NetScaler,展开Network->SSL,
2.展开SSLKeys,
3.选择CreateRSAKey
KeyFilename:
citrixlab.key
KeySize:
1024
KeyFormat:
DER
注:
每种类型的证书文件,请确保输入正确的后缀,如:
.key,.csr
4.在SSLCertificates下,选择CreateCSR(CertificateSigningRequest)
RequestFileName:
citrixlab.csr
KeyFileName:
citrixlab.key(选择我们刚刚创建的key文件)
CommonName:
*(指定你需要发布的站点名称:
本例中使用通配符替代)
注:
打*号都必须输入
5.点击Create,创建csr文件,
6.在Tools下,选择ManageCertificates/Keys/CSRs,
7.选择刚创建好的citrixlab.csr文件,点击Download,下载到本地,
8.使用文本编辑器,打开citrixlab.csr文件,确保其为如下格式,
4.3创建Certificate文件(.cer)
1.通过浏览器打开CTXAD上的证书申请页面,点击“申请证书”,
2.选择“高级证书申请”,
3.将刚才通过文本编辑器打开的csr文件信息考本到空白框中,并在“证书模版”处选择“Web服务器”,
4.证书生成后,选择“DER编码”,并下载证书,
5.指定证书名称citrixlab.cer,
6.重新登陆NetScaler控制台,展开SSL–>Certificates,点击Install,
7.指定Certificate-KeyPairName,本例中为:
citrixlab.pair
注:
后缀名一定为.pair,
8.CertificateFileName,定位到本地,指向刚创建的citrixlab.cer文件,
9.PrivateKeyFileName,直接选择citrixlab.key,
10.将Format指定为DER,点击Install,
11.创建完成后,选择citrixlab.pair,点击下部的Detail,确认证书的正确性,
12.证书配置完成后,点击右上角的SAVE,确保所有的变更NetScaler都已保存。
否则一旦NetScale重启,所有变更都会消失。
注:
请经常点击SAVE以保证变更的设定都及时保存,
13.如跳出提示框,点击Yes,并提示保存完成,
14.再选择其他选项,将会如下提示,点击是,刷新最新的配置信息。
至此,所需要的证书都已创建完成,接下来进行AccessGateway的配置。
第5章配置NetScaler
5.1创建AccessGateway的VirtualServer
1.展开AccessGateway->Policy->Session,选择右侧Profile标签,点击下部Add,
2.输入名字ica_profile,点击PublishedApplication,
icaproxy:
On
WebInterfaceAddress:
http:
//192.168.80.142/Citrix/vpx
SingleSign-onDomain:
citrixlab.local
CitrixReceiverHomePage:
http:
//192.168.80.142/Citrix/PNAgent/config.xml
注:
CitrixReceiverHomePage只能使用WI的默认servicesite名。
3.点击标签Security,确保DefaultAuthorizationAction选择为Allow,OverrideGlobal选项已勾选
4.点击标签ClientExperience,确保SingleSign-ontoWebApplication已经勾选,
5.创建完成ica_profile后,回到Polices,
6.点击下部的Add来创建policy,
Name:
ica_policy
Requtestprofile:
ica_profile(下拉)
NameExpressions:
Truevalue
7.点击AccessGateway下的VirtualServers,
8.并点击下部的Add创建一个VirtualServer,按如下信息配置,
Name:
ag_vs
IPAddress:
192.168.80.141
并选择BasicMode和指定citrixlab.pair证书
9.点击标签Authentication,不勾选EnableAuthentication,
10.点击标签policy,选择ica_policy,
11.点击标签PublishApplication,点击下部的Add,输入:
http:
//192.168.80.152/scripts/ctxsta.dll
12.AccessGateway的virtualserver创建完成后,如果工作正常,会显示绿色的up状态,
5.2创建LoadBalancing的VirtualServer
1.点击LoadBalancing下的Service,点击下部的Add创建对应WebInterface站点,按如下信息输入,
Name:
WI01
Protocol:
HTTP
Server:
192.168.80.152
2.创建完成并且工作正常,此WI站点应该也显示绿色的up状态,
3.展开LoadBalancing的VirtualServers,点击Add,输入:
Name:
lb_vs
Protocol:
HTTP
IPAddress:
192.168.80.142
并选择WI01,
4.点击标签MethodandPersistence,在Persistence处选择COOKIEINSERT,并指定TimeOut值为0,
5.LoadBalancing创建完成后,VirtualServer如果工作正常应该也显示绿色的up状态,
至此,AccessGateway部分就配置完成。
接下来将在WI上配置对应的站点。
第6章为NetScaler创建一个专用WI站点
1.登陆CTXDDC,打开DesktopStudio,展开Access->CitrixWebInterface
2.选择XenAppWeb站点,右键“创建站点”,
路径:
/Citrix/
名称:
vpx
3.仍然指定“WebInterface”为用户身份验证的位置,点击下一步并创建此站点,
4.创建完成后,点击下一步立即配置此站点,
5.将ctxddc.citrixlab.local和ctxxa.citrixlab.local加入“指定服务器场”,
6.验证方法默认的“显式”,一路下一步完成此站点的配置,
7.选择vpx站点,点击右侧的安全访问,
8.点击添加,并指定LoadBalancing的VirtualServer的IP地址,选择访问方法为:
网关(直接)
9.创建完成后,确保此地址靠上,并点击下一步,
10.指定网关设置,输入外部需要访问的域名,本例为:
,点击下一步,
11.指定SecureTicketAuthority设置,输入URL:
http:
//ctxddc.citrixlab.local/scripts/ctxsta.dll
点击完成。
至此,WI站点创建并配置完成。
接下来通过外部客户端进行测试来验证NetScaler工作是否正常。
第7章测试并验证WebSite
1.首先登陆到CTXAD并通过浏览器打开证书服务,点击“下载CA证书、证书链或CRL”
2.指定当前CA证书,编码选择DER,点击下载证书,
3.指定根证书名称方便管理,如:
rootca-citrixlab.cer,并保存,
4.将此证书文件拷贝到需要做测试的电脑上,
5.然后点击运行,输入mmc,
6.选择“证书”选项,
7.选择“计算机账户”->“本地计算机”,
8.展开“证书”->“受信任的根证书颁发机构”->“证书”
9.右击,导入证书rootca-citrixlab.cer,
10.证书导入完成之后,找到此证书并双击打开,确保此证书在此电脑上已经受信任,
至此,证书已经成功导入到测试电脑,然后打开浏览器访问确认WI登陆页面正常显示,并且能够访问到发布应用和桌面。
第8章变更PNAgentservicesite
1.打开CitrixWebInterface,展开XenAppService站点,选择默认的PNAgentSite,
2.选择右侧的“安全访问”,将“访问方法”更改为“网关(直接)”,
3.指定网关设置,输入外部需要访问的域名,本例为:
,点击下一步,
4.指定SecureTicketAuthority设置,输入URL:
http:
//ctxddc.citrixlab.local/scripts/ctxsta.dll
5.使用移动设备接来验证NetScaler工作是否正常。
升级会员 