Citrix网关连接器

Citrix Gateway Connector是一个Citrix组件，它充当云服务(Citrix Gateway服务、ADM等)和内部组件(如Web服务器)之间的通信通道。它是一种小型的虚拟设备，兼容Citrix Hypervisor、VMware ESXi和Microsoft Hyper-V。Citrix网关连接器有助于远程访问企业web应用程序。

它是如何工作的

Citrix网关连接器对Citrix Cloud和您的资源位置之间的所有通信进行身份验证和加密。Citrix Gateway Connector与Citrix Cloud之间的通信为outbound。所有连接都是使用标准HTTPS端口(443)和TCP协议从Citrix Gateway Connector建立到云的连接。不接受传入连接。TCP端口443，允许以下FQDNs出站:

• * .nssvc.net
• * .netscalermgmt.net
• * .citrixworkspacesapi.net
• * .citrixnetworkapi.net
• * .citrix.com
• * .servicebus.windows.net
• * .adm.cloud.com

重要的是:

如果需要部署Citrix Gateway Connector的本地数据中心中存在SSL拦截设备，如果对这些fqdn启用SSL拦截，则无法成功注册连接器。为了成功注册连接器，必须对这些FQDNs禁用SSL拦截。

Citrix网关连接器的功能

下面是Citrix Gateway Connector的一些功能。

• 充当反向代理——Citrix网关连接器充当企业Web应用程序的反向代理。从网关连接器到应用程序必须打开所需的web应用程序端口。
• 启用单点登录:Citrix网关连接器通过Citrix Gateway服务提供了以下单点登录功能。
  • 基本的SSO
  • Kerberos
  • 基于表单的
  • SAML
  • 没有SSO
• 通过安全工作区访问启用可选安全策略的应用—Citrix网关连接器通过Citrix安全工作区访问服务提供了增强的安全功能。例如,
  • 限制访问剪贴板
  • 限制印刷
  • 限制导航
  • 限制下载
  • 显示水印
  • 应用程序保护政策
  • 在移动设备上强制执行策略

具体请参见支持企业web应用程序和支持“软件即服务”应用程序．

系统需求

Citrix Gateway Connector是一个虚拟设备。Citrix网关连接器的最低系统要求如下:

• vcpu个数必须为2。

• 最小4gb RAM。

  重要的是:

  对RAM的新的最低系统要求已经改变。如果您有现有的Citrix网关连接器，请升级虚拟机的系统内存，以满足4 GB RAM的新需求。

有关详细信息,请参见升级Citrix Gateway Connector虚拟机的系统内存．

• 1网卡(虚拟网卡)。您可以根据需要增加虚拟网卡。

• 防火墙:

  • UDP端口53到DNS服务器
  • TCP和UDP端口389到Active Directory域控制器(可选)* - *在这一页的末尾有描述)
  • TCP端口636到Active Directory域控制器(可选)＊）
  • TCP端口3268到Active Directory域控制器(可选)＊）
  • TCP端口3269到Active Directory域控制器(可选)＊）
  • TCP端口443，允许以下FQDNs出站:
    • * .nssvc.net
    • * .netscalermgmt.net
    • * .citrixworkspacesapi.net
    • * .citrixnetworkapi.net
    • * .citrix.com
    • * .servicebus.windows.net
    • * .adm.cloud.com
  • 使用Citrix网关连接器访问Web服务器的TCP端口(**)

  • 为web管理开放端口8443入站

    ＊-需要对Web应用程序执行基于域的单点登录**—端口由客户环境决定—典型端口为80和443

推荐:Network with DHCP，简化初始配置。

安装Citrix网关连接器的方法

Citrix网关连接器可以通过以下方式之一安装。

• 从Citrix Cloud用户界面
• 同时添加企业Web应用程序

在这两种情况下，您必须按照下一节的描述创建一个新的虚拟机。

创建一个新的虚拟机

1. 登录Citrix Cloud。
2. 从屏幕左上方的菜单中选择资源位置．
   • 如果当前没有资源位置，请单击下载在“资源位置”页面。当出现提示时，保存cwcconnector.exe文件。有关详细信息,请参见云连接器安装．
   • 如果您有一个资源位置，但其中没有安装云连接器，请单击云连接器栏，然后单击下载．当出现提示时，保存cwcconnector.exe文件。

3. 点击网关连接器．

4. 选择虚拟化环境，单击下载图片．将本地下载的映像导入您的管理程序，并创建一个新的虚拟机(Citrix Gateway Connector)。

5. 点击获得激活码．

6. 激活码如下所示。

7. 安装完成后，单击检测．

使用Citrix Cloud用户界面安装Citrix Gateway Connector

以下是使用Citrix Cloud用户界面设置资源位置和安装Citrix Gateway Connector的步骤:

1. 在左上方Citrix云屏幕，点击汉堡图标并选择资源位置．点击旁边的加号图标资源位置．

2. 为资源位置提供一个名称并单击保存．

3. 双击新创建的资源位置下Citrix Gateway Connectors旁边的加号图标。

4. 按照中描述的步骤完成创建一个新的虚拟机．

在添加企业Web应用程序时安装Citrix网关连接器

在添加企业Web应用程序时使用Citrix网关服务用户界面，您可以设置一个新的资源位置和下载连接器。添加企业Web应用的详细信息请参见支持企业web应用程序．

要设置资源位置并下载连接器，请执行以下步骤:

1. 在Web应用程序连接部分中,选择创建新的单选按钮。为资源位置提供一个名称并单击保存．

2. 点击安装Citrix网关连接器．

3. 按照中描述的步骤完成创建一个新的虚拟机．

通过使用URL访问Citrix Gateway Connector用户界面

您可以使用新安装的Citrix Gateway Connector虚拟机上的一条消息中显示的URL访问Citrix Gateway Connector用户界面。您也可以以管理员身份登录Citrix Gateway Connector命令行执行显示ip命令，查看DHCP分配给Citrix网关连接器的IP地址。然后你就可以打开了https:// < IP地址>:8443，以访问Citrix Gateway Connector管理用户界面。

重要的是:

对于Azure, Citrix建议客户从Azure虚拟网络内部访问Citrix Gateway Connector用户界面。

登录并设置Citrix网关连接器

Citrix Gateway Connector安装完成后，在新安装的虚拟机(Citrix Gateway Connector)上可以看到如下信息。

在浏览器中键入上述URL以访问Citrix Gateway Connector用户界面。您也可以以管理员身份登录Citrix Gateway Connector命令行执行显示ip命令。该命令显示通过DHCP分配给Citrix网关连接器的IP地址。然后打开< 8443 > https://IP地址:，以访问Citrix Gateway Connector管理用户界面。

1. 下面屏幕的用户名和密码是管理员第一次使用。

2. 中提供您选择的密码来更改密码设置管理员密码部分并单击继续．

3. 在配置文件中输入以下配置细节系统设置部分并单击继续．
   • 连接器的IP地址—网关连接器的IP地址。
   • 子网掩码—网关连接器IP地址的子网掩码。
   • 默认网关—默认网关的IP地址。
   • DNS服务器—DNS服务器的IP地址。从Citrix Gateway Connector 13.0版本开始，DNS服务器配置发生了变化。具体操作请参见本节修改DNS服务器设置．
   • 代理知识产权—您的内部代理服务器IP地址。
   • 代理端口—代理服务器的端口。

   DNS服务器设置的更改:

   从Citrix网关连接器13.0.400开始。中设置的UDP和TCP协议的DNS配置将自动更新系统设置部分。但是，如果从早期版本升级连接器，则必须手动删除DNS设置并重新读取它。为此，请执行以下操作。

   1. 导航到Citrix网关连接器仪表板>编辑设置．
   2. 单击第一个图标旁边的删除图标DNS服务器字段并单击继续．
   3. 导航到编辑设置页面，读取相同的DNS服务器，单击继续．
   4. 对第二个DNS服务器重复上述步骤。注意:
      • 对于13.0 Citrix Gateway Connector的新实例，您不必执行这些步骤。
      • 您不需要在升级后立即执行上述步骤。如果不这样做，功能不会损失。这些步骤必须为那些需要DNS over TCP功能的企业客户执行，以使企业Web应用程序正常运行。

4. 在单点登录部分,检查启用Kerberos单点登录用于基本身份验证之外的功能。

   Active directory域是全局域，设置为KCD帐户的域。如果您想覆盖用户的全局领域，那么您可以在连接器中使用以下命令。使用与登录到连接器配置页面相同的凭据，SSH到网关连接器。输入以下命令:

   设置kcdaccount ngs_kcdaccount -userRealm  

   例子:在这个例子中，领域aaa.local是全局域和bbb。Local是被覆盖的用户领域。

   ssh kcdaccount KCD Account: ngs_kcdaccount Keytab: Realm: AAA.LOCAL User Realm: BBB. local。LOCAL DelegatedUser:用户证书:CA证书:完成

   您可以通过两种方法验证Kerberos细节，即仅域模式和完全Kerberos约束委托(KCD)。

   重要的是:

   要在Citrix网关连接器上使用KCD，必须先在数据中心中设置KCD，然后再在Citrix网关连接器上配置KCD。有关详细信息,请参见在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD．

   你可以使用测试选项，用于调试目的。例如，如果没有正确设置Kerberos细节，并且添加了应用程序，则应用程序的单点登录会失败。

   1. 对于仅限域模式，请选择启用Kerberos单点登录，输入以下详细信息，然后单击测试Kerberos．
      • Active Directory域—允许用户访问的Active Directory域。
      • 服务FQDN—服务的FQDN(用户需要通过配置Web应用访问的服务的FQDN)。
      • 用户名—登录用户的用户名。
      • 密码—登录用户的密码。

   2. 对于完整的Kerberos约束委托，请选择Kerberos约束代表团,输入以下详细信息，然后单击测试Kerberos．
      • Active Directory域—允许用户访问的Active Directory域。
      • 服务帐户用户名—委派时使用的业务帐户用户名。有关详细信息,请参见在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD．
      • 服务帐户密码—委派时使用的业务帐户用户名的密码。
      • 服务FQDN—服务的FQDN(用户需要通过配置Web应用访问的服务的FQDN)。
      • 用户名—登录用户的用户名。

   在这两种情况下，根据验证是否成功，会出现相应的消息。下图显示了一个示例验证错误消息。

5. 输入激活码以向Citrix Cloud注册连接器。点击保存和完成．

6. 点击连通性测试．(此步骤是可选的)

   的连通性测试选项使您能够确认网关连接器配置中没有错误，并且网关连接器能够连接到url。此步骤为可选步骤。您可以跳过此步骤，继续激活网关连接器。

   • 当你点击连通性测试，在后端运行一组url，以确保连接器能够连接到这些url。如果所有url都成功运行，则会出现连接测试成功消息。单击连接性测试时将运行以下FQDNs。

     • agent.netscalermgmt.net
     • agent.netscalermgmt.net
     • trust.citrixnetworkapi.net
     • download.citrixnetworkapi.net
     • web-reg.c.nssvc.net
     • agent.adm.cloud.com
     • anse.agent.adm.cloud.com
     • railay.agent.adm.cloud.com
     • agent.netscalermgmt.net
     • evergreen.citrixnetworkapi.net
     • agenthub.citrixworkspacesapi.net
     • callhome.citrix.com

   • 如果这些URL中的任何一个没有响应，就会出现错误消息并显示相应的URL。错误消息分为三类。

     • DNS错误
     • 服务器错误
     • SSL例外

   下面的图片显示了示例错误消息。

7. 最后输入激活代码，将连接器注册到Citrix Cloud并单击保存并完成．

   获取激活码的方法请参见创建一个新的虚拟机．

在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD

1. 在活动目录中创建一个必须用于委派的用户帐户。

2. 使用以下命令为必须使用KCD的web服务器添加服务主体名(SPN)。

   setspn -A http://  

3. 使用以下命令确认Kerberos用户的spn。

   setspn -l  

   在下面的示例中，为KCD帐户必须访问的web服务器添加了SPN。

   请注意,代表团选项卡在运行setspn命令。

4. 选择仅信任此用户将其委托给指定的服务和使用任何身份验证协议．

5. 添加需要Kerberos SSO的web服务器，并选择服务类型作为http．

注意:

现在，您可以在Citrix网关连接器上配置KCD时使用此用户帐户。此用户帐户必须添加为服务帐户用户名。

解决Citrix网关连接器注册问题

您可以使用跟踪特性和下载日志特性来排除Citrix网关连接器注册问题

跟踪功能

在注册Citrix Gateway Connector时，可能会遇到注册失败的问题。要解决这些问题，可以使用跟踪信息第一次注册连接器时显示的链接。您可以下载跟踪文件并与管理员共享以进行故障排除。跟踪文件采用加密格式。这个跟踪信息即使在注册之后，也可以在Gateway Connector仪表板中使用。您还可以从仪表板捕获和下载跟踪文件以进行调试。

如何下载跟踪文件

1. 点击跟踪信息．

2. 在跟踪对话框中，选择要运行跟踪的持续时间，然后单击开始．的跟踪对话框显示进度。

3. 您可以在跟踪完成之前停止正在进行的跟踪。然后可以通过单击。下载跟踪文件下载按钮。您还可以从对话框中启动新的跟踪。

请注意:调试注册失败时，首先按预先设定的时间间隔启动跟踪，输入激活码，提交注册。

• 如果注册失败，单击跟踪信息链接以调出跟踪对话框，停止跟踪，然后下载跟踪文件。
• 如果注册成功，则会出现Dashboard控制台，跟踪会在后台自动停止。

重要的是:

• 关闭跟踪窗口在跟踪完成之前不会停止跟踪。跟踪一直在后台运行，直到完成。
• 如果在跟踪过程中刷新或关闭浏览器，则必须通过单击跟踪信息链接以防止跟踪无限期运行。在这个场景中跟踪信息Link只显示停止按钮，而不显示下载按钮。因此，您无法下载捕获的跟踪。要再次捕获跟踪，请单击开始新的跟踪．

下载日志

从版本401.251的网关连接器中可以下载日志选项。如果您使用的是连接器的较早版本，并且将连接器升级到401.251版本，那么即使下载日志链接可用，您仍然无法下载日志。

如何下载日志

1. 点击下载日志．

   的下载日志甚至在第一次使用时也可以使用链接来帮助设置连接器。

   生成日志文件。日志文件的生成需要一定的时间。一旦生成了日志文件，就会出现一条带有下载文件链接的消息。

2. 点击下载．下载。tgz文件。

下载文件夹中的所有文件均为加密格式。请联系Citrix Cloud支持团队获取帮助。

删除Citrix网关连接器

执行以下操作删除Citrix网关连接器。

1. 登录Citrix Cloud。

2. 选择资源位置从屏幕左上方的菜单中。

3. 2 .在“资源位置”页面，单击网关连接器获取特定的资源位置。

4. 选择要删除的网关连接器并单击省略号菜单。

5. 选择删除连接器。

   出现一个确认对话框。

6. 点击好吧．

   请注意:从资源位置页面删除网关连接器可能需要几分钟。另外，网关连接器从网关控制器注销注册可能需要一些时间。

升级Citrix Gateway Connector虚拟机的系统内存

默认情况下，网关连接器RAM大小为2gb。因此，建议您将RAM大小增加到4 GB以获得最佳性能。此建议适用于新的或现有的连接器安装。

如果每个资源位置有两个连接器以实现高可用性，请执行以下操作升级连接器虚拟机。

1. 从管理程序中，关闭一个连接器虚拟机。
2. 根据虚拟机管理程序的类型编辑虚拟机的硬件配置或设置。
3. 导航到内存选项卡。
4. 如果RAM大小为2,048 MB，则将其增加到4,096 MB并保存配置。
5. 启动虚拟机。
6. 在第二个连接器虚拟机上也重复这些步骤。

重要的是:

确保每次升级一个连接器，以避免任何中断。

Citrix网关连接器的持续可用性

只要您确保Citrix Gateway Connector在每个资源位置上的持续可用性，您就可以一次管理安装了它们的机器，以避免中断期。

为了持续可用性，请在每个资源位置安装多个Citrix网关连接器。Citrix建议在每个资源位置中至少有两个Citrix网关连接器。如果一个Citrix网关连接器在任何时候都不可用，其他Citrix网关连接器可以维护连接。只要有一个Citrix网关连接器可用，就不会丢失与Citrix Cloud的通信。Citrix Gateway Connectors可以被限制在每24小时的指定维护窗口内升级，由每个资源位置控制。

负载管理

通过在每个资源位置安装多个Citrix网关连接器来管理负载。由于每个Citrix网关连接器都是无状态的，因此负载可以分布在所有可用的Citrix网关连接器上。无需配置此负载平衡功能。它是自动化的。