Storefront与NetScaler的集成配置 - part1
http://kaiqian.blog.51cto.com/blog/236001/1344447
Storefront与NetScaler的集成配置 - part2
http://kaiqian.blog.51cto.com/blog/236001/1344646
Storefront与NetScaler的集成配置 - part3
http://kaiqian.blog.51cto.com/blog/236001/1344793
前文介绍了Storefront与NetScaler配置中的StoreFront方面的配置,本章将介绍NetScaler部分的配置。
1.从download.citrix.com官方网站下载最新的NetScaler Gateway的。对于StoreFront来说,NetSclaer最好使用10.0e和10.1的版本(9.2不支持)。本例中使用的是最新的10.1.122 VPX版本。
2. 启动NetSclaer,配置好IP地址、子网、网关,保存后系统自动重启。本例中:
192.168.40.200
255.255.255.0
192.168.40.254
3. NetScaler重启后,访问http://192.168.40.200,
注:访问NetScaler控制台需要Java支持,如果有报错情况出现,请把Java配置中的“临时Internet文件”中的“将临时文件保存在我的计算机上”,不勾选。
4. 配置好基本配置信息,SubNet IP和子网:本例中:192.168.40.205/24。时区选择:CST+8 Shanghai。NAT也最好配置好统一的时钟服务器。
5. 将的License导入,保存并重启。重启完成后登陆,请先确认license已经导入成功,各项功能都已启用。注:NetScaler VPX 需要是1000以上的版本,否则无法创建512位以上证书,桌面虚拟化项目证书长度不得低于1024,现正在向2048位推进。
6.展开System –> Settings,点击Configuremodes,
7.勾选MAC Based forwarding,点击OK,
8.再点击Configure Basic Features,勾选:SSL Offloading,Load Balancing,NetScaler Gateway,点击OK,
9. 在 Traffice Management - > DNS -> Name Servers,添加内网DNS主机 IP:192.168.50.10
在DNS suffix中,添加域短名:wwco; wwco.local
注:请务必添加一个可用的内部DNS服务器,否则将会导致向内网storefront请求的时候,出现无法解析名称的情况,尽量避免使用IP地址替代DDC/Storefront主机FQDN。
可以在NetScaler上用ping命令检查是否能正确解析到所需要使用到的主机地址。
至此,NetScaler的基础配置完成。下面开始配置前端访问所需要的证书,为公网SSL接入做准备。本例为实验性质,没有购买公网证书,所以本例都是通过Windows CA来完成证书签注。如果是正式环境请从三方机构购买证书。
另外,对于XenDesktop的环境,请不要使用NetScaler自签正式来进行测试,会出现不少意想不到的问题。用户测试阶段可以从三方机构申请临时证书,一般可使用1个月。
1. 打开Traffic Management - > SSL - >SSL Keys - > Create RSA Key,
2. 输入Key Filename:go-internet.key,Key Size: 1024(请注意,不要设定低于1024一下的size,如512) ,点击OK
3. 选择SSL Certificates - > Create CSR,
4. csr文件生成以后,点击Tools下的Manage Certificates/Keys/CSRs,
5. 选择go-internet.csr并download,然后使用文本编辑器打开此文件,显示如下:
6. 通过浏览器打开Windows CA的证书进行申请。本例中,192.168.50.10即DC和Windows CA。http://192.168.50.10/certsrv
7. 选择申请证书 - > 高级证书申请,
8. 将刚才通过文本编辑器打开的csr文件信息拷贝到空白框中,并在“证书模版”处选择“Web服务器”,
9. 证书生成后,选择“Base64编码”,并下载证书,保存名为:go-internet.cer
注:由于前面我们在NetScaler都申请的是PEM格式,如果此处选择DER编码,后面导入时会报错。
10.回到NetSclaer管理控制台,点击在SSL 下的Certificates,选择Install,
11. 输入如下信息:
Certificate-key pair name,后缀名必须为pair
Certificate file name:选择local,并选择刚下载好的go-internet.cer文件
Key File Name,直接选择最开始创建的go-internet.key,
12. Install成功后,点击创建好的pair证书,查看证书的信息确保证书信息无误。
13. 证书配置完成后,点击右上角的 SAVE,确保所有的变更NetScaler都已保存。否则一旦NetScale重启,所有变更都会消失。
注:请经常点击SAVE以保证变更的设定都及时保存。
同时如前文所述,由于本例中Storefront与NetScaler之间通信走SSL,所以需要将Windows CA的root证书导入到NetScaler中,以确保相互信任。
1. 继续访问Windows CA,选择下载CA证书、证书链或CRL
2.指定当前CA证书,编码选择Base 64,点击下载证书,
3.下载后并存只root-ca.cer文件。
4.回到NetScaler控制台,在SSL -> Certificates,点击Install,
5.输入名字和指定证书文件,点击Create安装证书。点击Save保存设定。
注:如果storefront是自签证书,则是将自签那张证书导入即可。
接下来就是配置NetScaler 发布StoreFront。
1. 选择NetSclaer Gateway,选择右侧Configure NetScaler Gateway for Enterprise Store,
2. 在NetScaler Gateway Settings输入外网域名和对应的VIP的IP address,
3. 选择刚才创建好的.pair证书,
4. 选择LDAP认证,输入对应的DC的IP地址,Base DN:dc=wwco,dc=local,等相应信息:
5. 在选择交付类型的时候,选择XenApp/XenDesktop:
选择StoreFront,
Storefront FQDN: storefront.wwco.local
/Citrix/StoreWeb
启用HTTPS(如果未在StoreFront启用HTTPS,请取消勾选)
wwco.local
STA URL: http://ctxxd7.wwco.local
注:STA对应的是XD7 DDC的控制器地址。
6. 支持配置完成,在Virtual Servers下面就可以看到新创建的vServer,
7. 此时通过客户将防火墙策略,将此站点发布到公网,并在公网DNS记录上将外网IP与go.citrixlab.com对应即可。
8.不过这个界面与我们StoreFront的默认界面相比不太一致,感官可能不太好。我们可以通过如下策略修改来完成,
9. 进入NetScaler Gateway Global Settings,Settings - > Change global settings,
10. 在Client Experience 中,在UI Theme中选择 Green Bubble,点击OK,并保存。
11. 再重新访问公网页面,登陆界面将会变成如下UI:
至此,NetScaler与StoreFront的基本配置就完成了,输入你的账号、密码,就可以看到分发的桌面和应用了。