Citrix网关连接器

Citrix Gateway连接器是Citrix组件，它用作云服务（Citrix Gateway Service，ADM等）和本地组件（如Web服务器）之间的通信渠道。它是一个与Citrix虚拟机管理程序，VMware ESXi和Microsoft Hyper-V兼容的虚拟设备，具有小的形状因子。Citrix Gateway连接器有助于远程访问Enterprise Web应用程序。

它是如何工作的

Citrix网关连接器对Citrix Cloud和您的资源位置之间的所有通信进行身份验证和加密。Citrix Gateway Connector与Citrix Cloud之间的通信为outbound。所有连接都是使用标准HTTPS端口(443)和TCP协议从Citrix Gateway Connector建立到云的连接。不接受传入连接。TCP端口443，允许以下FQDNs出站:

• * .nssvc.net
• * .netscalermgmt.net
• * .citrixworkspacesapi.net
• * .citrixnetworkapi.net
• * .citrix.com
• * .servicebus.windows.net
• * .adm.cloud.com

重要的是:

如果必须部署Citrix网关连接器的内部部署数据中心中存在SSL拦截设备，则如果为这些FQDN启用了SSL拦截，则连接器注册不会成功。对于成功的连接器注册，必须禁用SSL拦截。

Citrix Gateway连接器的功能

以下是Citrix网关连接器的一些功能。

• 充当反向代理–Citrix网关连接器充当企业Web应用程序的反向代理。必须从网关连接器到应用程序打开所需的web应用程序端口。
• 启用单点登录:Citrix网关连接器通过Citrix Gateway服务提供了以下单点登录功能。
  • 基本的SSO
  • Kerberos
  • 基于表单的
  • SAML
  • 没有SSO
• 通过安全工作区访问启用可选安全策略的应用—Citrix网关连接器通过Citrix安全工作区访问服务提供了增强的安全功能。例如,
  • 限制访问剪贴板
  • 限制印刷
  • 限制航行
  • 限制下载
  • 显示水印
  • 应用程序保护政策
  • 在移动设备上执行策略

具体请参见支持企业网络应用程序和支持软件作为服务应用程序．

系统需求

Citrix网关连接器是一个虚拟设备。Citrix网关连接器的最低系统要求如下：

• vcpu个数必须为2。

• 最小4gb RAM。

  重要的是:

  对RAM的新的最低系统要求已经改变。如果您有现有的Citrix网关连接器，请升级虚拟机的系统内存，以满足4 GB RAM的新需求。

有关详细信息,请参见升级Citrix Gateway Connector虚拟机的系统内存．

• 1网卡(虚拟网卡)。您可以根据需要增加虚拟网卡。

• 防火墙:

  • UDP端口53到DNS服务器
  • TCP和UDP端口389到Active Directory域控制器(可选)* - *（在本页末尾描述）
  • 连接到Active Directory域控制器的TCP端口636（可选＊）
  • TCP端口3268到Active Directory域控制器（可选＊）
  • TCP端口3269到Active Directory域控制器（可选＊）
  • TCP端口443，允许以下FQDNs出站:
    • * .nssvc.net
    • * .netscalermgmt.net
    • * .citrixworkspacesapi.net
    • * .citrixnetworkapi.net
    • * .citrix.com
    • * .servicebus.windows.net
    • * .adm.cloud.com
  • 使用Citrix网关连接器访问Web服务器的TCP端口(**)

  • 为web管理开放端口8443入站

    ＊-需要对Web应用程序执行基于域的单点登录**—端口由客户环境决定—典型端口为80和443

受到推崇的：Network with DHCP，简化初始配置。

安装Citrix网关连接器的方法

Citrix网关连接器可以通过以下方式之一安装。

• 来自Citrix云用户界面
• 同时添加企业Web应用程序

在这两种情况下，您必须按照下一节的描述创建一个新的虚拟机。

创建一个新的虚拟机

1. 登录Citrix Cloud。
2. 从屏幕左上方的菜单中选择资源位置．
   • 如果当前没有资源位置，请单击下载在资源位置页面上。出现提示时，保存CWCConnector.exe文件。有关详细信息,请参见云连接器安装．
   • 如果您有一个资源位置，但其中没有安装云连接器，请单击云连接器栏，然后单击下载．出现提示时，保存CWCConnector.exe文件。

3. 点击网关连接器．

4. 选择虚拟机监控程序并单击下载图片．将本地下载的映像导入您的管理程序，并创建一个新的虚拟机(Citrix Gateway Connector)。

5. 点击获取激活码．

6. 激活码如下所示。

7. 安装完成后，单击检测．

使用Citrix Cloud用户界面安装Citrix Gateway Connector

以下是使用Citrix云用户界面设置资源位置和安装Citrix网关连接器的步骤：

1. 在左上方Citrix云屏幕，点击汉堡图标并选择资源位置. 单击旁边的加号图标资源位置．

2. 为资源位置提供一个名称并单击保存．

3. 双击新创建的资源位置下Citrix Gateway Connectors旁边的加号图标。

4. 按照中描述的步骤完成创建一个新的虚拟机．

在添加企业Web应用程序时安装Citrix网关连接器

在添加企业Web应用程序时使用Citrix网关服务用户界面，您可以设置一个新的资源位置和下载连接器。添加企业Web应用的详细信息请参见支持企业Web应用程序．

要设置资源位置并下载连接器，请执行以下步骤：

1. 在Web应用程序连接部分中,选择创建新的单选按钮。为资源位置提供一个名称并单击保存．

2. 点击安装Citrix Gateway连接器．

3. 按照中描述的步骤完成创建一个新的虚拟机．

使用URL访问Citrix Gateway连接器用户界面

您可以使用新安装的Citrix网关连接器VM上的一条消息中显示的URL访问Citrix Gateway连接器用户界面。您还可以登录Citrix Gateway连接器CLI作为管理员并运行显示ip命令，查看DHCP分配给Citrix网关连接器的IP地址。然后你就可以打开了https:// < IP地址>:8443，以访问Citrix Gateway Connector管理用户界面。

重要的是:

对于Azure，Citrix建议客户从Azure虚拟网络内部访问Citrix网关连接器用户界面。

登录并设置Citrix网关连接器

Citrix Gateway Connector安装完成后，在新安装的虚拟机(Citrix Gateway Connector)上可以看到如下信息。

在浏览器中键入提及的URL以访问Citrix网关连接器用户界面。您还可以作为管理员登录到Citrix网关连接器CLI并运行显示ip命令。该命令显示通过DHCP分配给Citrix网关连接器的IP地址。然后打开，以访问Citrix Gateway Connector管理用户界面。

1. 下面屏幕的用户名和密码是行政人员第一次使用。

2. 中提供您选择的密码来更改密码设置管理员密码部分并单击继续．

3. 输入以下配置详细信息系统设置部分并单击继续．
   • 连接器IP地址- 网关连接器的IP地址。
   • 子网掩码- 网关连接器IP地址的子网掩码。
   • 默认网关–默认网关的IP地址。
   • DNS服务器—DNS服务器的IP地址。从Citrix Gateway Connector 13.0版本开始，DNS服务器配置发生了变化。具体操作请参见本节修改DNS服务器设置．
   • 代理IP—您的内部代理服务器IP地址。
   • 代理端口—代理服务器的端口。

   DNS服务器设置的更改:

   从Citrix Gateway连接器开始，连接器设备上的UDP和TCP协议的DNS配置将在设置为时自动更新系统设置部分。但是，如果从早期版本升级连接器，则必须手动删除DNS设置并重新读取它。为此，请执行以下操作。

   1. 导航到Citrix网关连接器仪表板>编辑设置．
   2. 单击第一个旁边的删除图标DNS服务器字段并单击继续．
   3. 导航到编辑设置页面，阅读相同的DNS服务器，然后单击继续．
   4. 重复第二个DNS服务器的步骤。注意:
      • 对于13.0 Citrix Gateway Connector的新实例，您不必执行这些步骤。
      • 升级后不需要立即执行前面提到的步骤。如果不这样做，就不会失去功能。必须为需要DNS over TCP功能以使企业Web应用正常运行的企业客户执行这些步骤。

4. 在单点登录部分，检查启用Kerberos单点登录用于基本身份验证之外的功能。

   Active directory域是全局域，并设置为KCD帐户的域。如果要覆盖用户的全局域，则可以在连接器中使用以下命令。使用登录连接器配置页时使用的相同凭据将SSH连接到网关连接器。键入以下命令：

   设置kcdaccount ngs_kcdaccount -userrealm  <！ -  comptcopy  - >

   例子：在此示例中，RealM AAA.Local是全局域和BBB.local是覆盖的用户领域。

   ssh kcdaccount KCD Account: ngs_kcdaccount Keytab: Realm: AAA.LOCAL User Realm: BBB. local。LOCAL DelegatedUser:用户证书:CA证书:完成

   您可以通过两种方法验证Kerberos细节，即仅域模式和完全Kerberos约束委托(KCD)。

   重要的是:

   要在Citrix网关连接器上使用KCD，必须先在数据中心中设置KCD，然后再在Citrix网关连接器上配置KCD。有关详细信息,请参见在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD．

   你可以使用测试选项，用于调试目的。例如，如果没有正确设置Kerberos细节，并且添加了应用程序，则应用程序的单点登录会失败。

   1. 对于仅限域模式，请选择启用Kerberos单点登录，输入以下详细信息，然后单击测试Kerberos．
      • Active Directory域—允许用户访问的Active Directory域。
      • 服务FQDN- 服务的FQDN（用户必须通过配置Web应用程序访问的服务FQDN）。
      • 用户名—登录用户的用户名。
      • 密码- 登录用户的密码。

   2. 对于完整的Kerberos约束委托，请选择Kerberos约束代表团，输入以下详细信息，然后单击测试Kerberos．
      • Active Directory域—允许用户访问的Active Directory域。
      • 服务帐户用户名—委派时使用的业务帐户用户名。有关详细信息,请参见在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD．
      • 服务帐户密码—委派时使用的业务帐户用户名的密码。
      • 服务FQDN- 服务的FQDN（用户必须通过配置Web应用程序访问的服务FQDN）。
      • 用户名—登录用户的用户名。

   在这两种情况下，根据验证是否成功，会出现相应的消息。下图显示了一个示例验证错误消息。

5. 输入激活码以向Citrix Cloud注册连接器。点击保存和完成．

6. 点击连通性测试．（此步骤是可选的）

   的连通性测试选项使您可以确认网关连接器配置中没有错误，网关连接器能够连接到URL。此步骤是可选的。您可以跳过此步骤并继续激活网关连接器。

   • 当你点击连通性测试，在后端运行一组URL，以确保连接器能够连接到这些URL。如果所有URL都成功运行，则会显示连接测试成功消息。单击“连接测试”时，将运行以下FQDN。

     • 代理.netscalermgmt.net.
     • 代理.netscalermgmt.net.
     • trust.citrixnetworkapi.net
     • 下载.citrixnetworkapi.net
     • web-reg.c.nssvc.net
     • agent.adm.cloud.com
     • anse.agent.adm.Cloud.com.
     • railay.agent.adm.cloud.com
     • 代理.netscalermgmt.net.
     • evergreen.citrixnetworkapi.net
     • agenthub.citrixworkspacesapi.net
     • callhome.citrix.com

   • 如果这些URL中的任何一个没有响应，就会出现错误消息并显示相应的URL。错误消息分为三类。

     • DNS错误
     • 服务器错误
     • SSL异常

   以下图像显示样本错误消息。

7. 最后，输入激活码以向Citrix Cloud注册连接器，然后单击保存并完成．

   获取激活码的方法请参见创建一个新的虚拟机．

在Citrix网关连接器上配置KCD之前，必须先在数据中心设置KCD

1. 在活动目录中创建一个必须用于委派的用户帐户。

2. 使用以下命令为必须使用KCD的Web服务器添加服务主体名称（SPN）。

   setspn -A http://  

3. 使用以下命令确认Kerberos用户的spn。

   setspn -l <​​kerberos user> <！ -  caltcopy  - >

   在下面的示例中，为KCD帐户必须访问的web服务器添加了SPN。

   请注意,代表团选项卡在运行setspn命令。

4. 选择仅信任此用户将其委派给指定的服务和使用任何身份验证协议．

5. 添加需要Kerberos SSO的web服务器，并选择服务类型作为http．

注意:

现在，您可以在Citrix网关连接器上配置KCD时使用此用户帐户。此用户帐户必须添加为服务帐户用户名。

解决Citrix网关连接器注册问题

您可以使用跟踪功能和下载日志功能来解决Citrix网关连接器注册问题

跟踪特征

在注册Citrix Gateway Connector时，您可能会遇到注册可能无法成功的问题。要解决这些问题，可以使用跟踪信息第一次注册连接器时出现的链接。您可以下载跟踪文件并与管理员共享，以便进行故障排除。跟踪文件采用加密格式。的跟踪信息即使在注册之后，也可以在Gateway Connector仪表板中使用。您还可以从仪表板捕获和下载跟踪文件以进行调试。

如何下载跟踪文件

1. 点击跟踪信息．

2. 在跟踪对话框中，选择要运行跟踪的持续时间，然后单击开始．的跟踪对话框显示进度。

3. 您可以在跟踪完成之前停止正在进行的跟踪。然后可以通过单击。下载跟踪文件下载按钮。您还可以从对话框开始新的跟踪。

请注意:调试注册失败时，首先按预先设定的时间间隔启动跟踪，输入激活码，提交注册。

• 如果注册失败，则可以单击跟踪信息链接以调出跟踪对话框，停止跟踪，然后下载跟踪文件。
• 如果注册成功，那么仪表板控制台会出现，跟踪在后台自动停止。

重要的是:

• 关闭跟踪跟踪完成前的窗口不会停止跟踪。跟踪一直在后台运行，直到完成。
• 如果在跟踪过程中刷新或关闭浏览器，则必须通过单击跟踪信息链接以防止跟踪无限期地运行。在这种情况下，跟踪信息Link只显示停止按钮，不显示下载按钮。因此，您无法下载捕获的跟踪。要再次捕获跟踪，请单击开始新的跟踪．

下载日志

从版本401.251的网关连接器中可以下载日志选项。如果您使用的是连接器的较早版本，并且将连接器升级到401.251版本，那么即使下载日志链接可用，您仍然无法下载日志。

如何下载日志

1. 点击下载日志．

   的下载日志链接即使在第一次用于帮助设置连接器时也可用。

   生成日志文件。日志文件的生成需要一定的时间。一旦生成了日志文件，就会出现一条带有下载文件链接的消息。

2. 点击下载．下载了.tgz文件。

下载文件夹中的所有文件均为加密格式。请联系Citrix Cloud支持团队获取帮助。

删除Citrix网关连接器

执行以下操作以删除Citrix网关连接器。

1. 登录Citrix Cloud。

2. 选择资源位置从屏幕左上角的菜单。

3. 在“资源位置”页面中，单击网关连接器获取特定的资源位置。

4. 选择要删除的网关连接器，然后单击省略号菜单。

5. 选择卸下连接器。

   出现一个确认对话框。

6. 点击好吧．

   请注意:从资源位置页面删除网关连接器可能需要几分钟。另外，网关连接器从网关控制器注销注册可能需要一些时间。

升级Citrix Gateway Connector虚拟机的系统内存

默认情况下，网关连接器RAM大小为2gb。因此，建议您将RAM大小增加到4 GB以获得最佳性能。此建议适用于新的或现有的连接器安装。

如果每个资源位置有两个连接器以实现高可用性，请执行以下操作以升级连接器虚拟机。

1. 从管理程序中，关闭一个连接器虚拟机。
2. 根据虚拟机管理程序的类型编辑虚拟机的硬件配置或设置。
3. 导航到内存选项卡。
4. 如果RAM大小为2048 MB，请将其增加到4096 MB并保存配置。
5. 启动虚拟机。
6. 在第二个连接器虚拟机上也重复这些步骤。

重要的是:

确保一次升级一个连接器以避免任何中断。

Citrix Gateway连接器的持续可用性

只要您确保Citrix Gateway Connector在每个资源位置上的持续可用性，您就可以一次管理安装了它们的机器，以避免中断期。

为了持续可用性，请在每个资源位置安装多个Citrix网关连接器。Citrix建议在每个资源位置中至少有两个Citrix网关连接器。如果一个Citrix网关连接器在任何时候都不可用，其他Citrix网关连接器可以维护连接。只要有一个Citrix网关连接器可用，就不会丢失与Citrix Cloud的通信。Citrix Gateway Connectors可以被限制在每24小时的指定维护窗口内升级，由每个资源位置控制。

负荷管理

通过在每个资源位置安装多个Citrix网关连接器来管理负载。由于每个Citrix网关连接器都是无状态的，所以负载可以分布到所有可用的Citrix网关连接器。不需要配置负载均衡功能。这是自动的。