统一网关常见问题解答

什么是统一网关?

统一网关是Citrix ADC 11.0发行版中的一个新特性，提供了在单个虚拟服务器(称为统一网关虚拟服务器)上接收流量的能力，然后根据情况在内部将该流量定向到与统一网关虚拟服务器绑定的虚拟服务器。

统一网关特性允许终端用户通过一个IP地址或URL(与统一网关虚拟服务器相关联)访问多种业务。管理员可以释放IP地址，简化Citrix Gateway部署的配置。

每个统一网关虚拟服务器前端可以有一个Citrix Gateway虚拟服务器，以及零个或多个负载均衡虚拟服务器。统一网关的工作原理是使用Citrix ADC设备的内容切换功能。

统一网关部署的一些例子:

• 统一网关虚拟服务器->[一个Citrix网关虚拟服务器]
• 统一网关虚拟服务器->[1个Citrix网关虚拟服务器，1个负载均衡虚拟服务器]
• 统一网关虚拟服务器->[1个Citrix网关虚拟服务器，2个负载均衡虚拟服务器]
• 统一网关虚拟服务器->[1个Citrix网关虚拟服务器，3个负载均衡虚拟服务器]

每个负载平衡虚拟服务器都可以是任何标准的负载平衡服务器，它承载一个后端服务，例如Microsoft Exchange或Citrix ShareFile。

为什么使用统一网关?

统一网关特性支持终端用户通过一个IP地址或URL(与统一网关虚拟服务器相关联)访问多种业务。对于管理员来说，好处是他们可以释放IP地址并简化Citrix Gateway部署的配置。

统一网关虚拟服务器可以有多个吗?

是的。统一网关虚拟服务器的数量可以根据您的需要而定。

统一网关为什么需要内容切换?

内容交换特性是必需的，因为内容交换虚拟服务器接收通信流，并在内部将其定向到适当的虚拟服务器。内容交换虚拟服务器是统一网关特性的主要组件。

在11.0之前的版本中，可以使用内容切换来接收多个虚拟服务器的流量。这种用途也叫统一网关吗?

在11.0之前的版本中，支持使用内容交换虚拟服务器来接收多个虚拟服务器的流量。但是，内容切换不能将流量导向Citrix Gateway虚拟服务器。

11.0中的增强功能使内容交换虚拟服务器能够将流量引导到任何虚拟服务器，包括Citrix Gateway虚拟服务器。

统一网关的内容切换策略发生了什么变化?

1. 为内容切换操作添加了一个新的命令行参数“-targetVserver”。新参数用于指定目标Citrix Gateway虚拟服务器。例子:

   添加cs动作UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

   在Citrix Gateway配置实用程序中，内容切换操作有一个新选项，目标虚拟服务器，它可以引用Citrix Gateway虚拟服务器。

2. 可以使用一个新的高级策略表达式is_vpn_url来匹配Citrix Gateway和特定于认证的请求。

统一网关目前不支持Citrix Gateway的哪些特性?

统一网关支持所有特性。但是，通过VPN插件进行本地登录时报告了一个小问题(问题ID 544325)。在这种情况下，无缝单点登录(SSO)不起作用。

使用统一网关，EPA扫描的行为是什么?

对于统一网关，只对Citrix Gateway的接入方式触发端点分析，对Citrix ADC AAA TM的接入不触发端点分析。如果用户试图访问Citrix ADC AAA TM虚拟服务器，即使在Citrix Gateway虚拟服务器上完成了身份验证，也不会触发EPA扫描。但是，如果用户试图获得无客户端VPN/全VPN访问，则会触发配置的EPA扫描。在这种情况下，要么完成身份验证，要么完成无缝SSO。

统一网关的license要求是什么?

仅高级和高级license支持统一网关。它不能仅用于Citrix网关或标准许可证版本。

与统一网关配套使用的Citrix Gateway虚拟服务器是否需要配置IP/端口/SSL ?

与统一网关虚拟服务器配套使用的Citrix网关虚拟服务器，不需要在Citrix网关虚拟服务器上配置IP/Port/SSL。但是，对于RDP代理功能，您可以将相同的SSL/TLS服务器证书绑定到Citrix Gateway虚拟服务器。

是否需要重新发放Citrix网关虚拟服务器上的SSL/TLS证书，用于统一网关虚拟服务器?

您不需要重新发放当前绑定到Citrix Gateway虚拟服务器的证书。您可以重用任何现有的SSL证书，并将其与统一网关虚拟服务器绑定。

单个URL和多主机部署之间的区别是什么?我需要哪一个?

单URL是指统一网关虚拟服务器处理一个FQDN (fully qualified domain name)的流量的能力。当统一网关使用SSL/TLS服务器证书时，证书主题填写了FQDN，存在此限制。例如:ug.citrix.com。

如果统一网关使用通配符服务器证书，可以处理多个子域的流量。例如:.citrix.com

另一个选项是带有服务器名称指示器(SNI)功能的SSL/TLS配置，以允许绑定多个SSL/TLS服务器证书。例如:auth.citrix.com、auth.citrix.de、auth.citrix.co。英国auth.citrix.co.jp

单主机与多主机的方式类似于网站通常托管在网络服务器上的方式(例如Apache HTTP服务器或Microsoft Internet Information Services (IIS))。如果只有一个主机，您可以使用站点路径来切换通信，就像在Apache中使用别名或“虚拟目录”一样。如果有多个主机，则使用主机头来切换通信，类似于在Apache中使用Virtual hosts的方式。

统一网关支持哪些鉴权机制?

所有现有的与Citrix Gateway兼容的鉴权机制都兼容统一网关。

它们包括LDAP、RADIUS、SAML、Kerberos、基于证书的身份验证等。

升级前在Citrix网关虚拟服务器上配置的认证机制，放在统一网关虚拟服务器后面时自动生效。除了为Citrix网关虚拟服务器分配一个不可寻址的IP地址(0.0.0.0)外，不涉及其他配置步骤。

什么是“自我”认证?

SelfAuth本身不是一个身份验证类型。SelfAuth描述如何创建URL。一个新的命令行参数，ssotype，用于配置VPN URL。例子:

>添加vpn url RGB RGB "http://blue.citrix。lab/" -vServerName Blue -ssotype selfauth

自我是人的价值观之一ssotype参数。用于访问与统一网关虚拟服务器不在同一域中的资源。在配置Bookmark时，可以在配置实用程序中看到该设置。

什么是“steppup”认证?

当访问Citrix ADC AAA TM资源需要额外的、更安全的身份验证级别时，您可以使用StepUp身份验证。在命令行中，使用authnProfile命令设置authenticationLevel参数。例子:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix。lab **-**AuthenticationLevel 100 

该认证配置文件绑定负载均衡虚拟服务器。

Citrix ADC AAA TM虚拟服务器支持StepUp认证吗?

是的，它是支持的。

是什么一次登录/注销一次?

登录一次: VPN用户一次性登录Citrix ADC AAA TM或Citrix Gateway虚拟服务器。从那时起，VPN用户可以无缝地访问所有的企业/云/Web应用程序。用户不需要重新认证。但是，对于特殊情况，例如Citrix ADC AAA TM steppup，需要重新进行身份验证。

注销一次:在创建第一个Citrix ADC AAA TM或Citrix Gateway会话之后，它被用于为该用户创建后续的Citrix ADC AAA TM或Citrix Gateway会话。如果注销这些会话中的任何一个，Citrix ADC设备也会注销用户的其他应用程序或会话。

统一网关级别是否可以指定通用认证策略，负载均衡虚拟服务器级别绑定Citrix ADC AAA TM负载均衡虚拟服务器指定认证策略?支持这个用例的配置步骤是什么?

如果您需要为统一网关后的Citrix ADC AAA TM虚拟服务器指定单独的认证策略，则需要单独配置独立寻址的认证虚拟服务器(类似于普通Citrix ADC AAA TM配置)。负载均衡虚拟服务器上的身份验证主机设置必须指向此身份验证虚拟服务器。

如何配置统一网关，使绑定的Citrix ADC AAA TM虚拟服务器有自己的认证策略?

在此场景下，负载均衡服务器必须将认证FQDN选项设置为指向Citrix ADC AAA TM虚拟服务器。Citrix ADC AAA TM虚拟服务器需要有独立的IP地址，Citrix ADC与客户端之间可达。

用户通过统一网关虚拟服务器时是否需要Citrix ADC AAA TM Authentication虚拟服务器?

不。Citrix Gateway虚拟服务器对Citrix ADC AAA TM用户也进行认证。

您在哪里指定Citrix网关认证策略——统一网关虚拟服务器还是Citrix网关虚拟服务器?

认证策略需要与Citrix Gateway虚拟服务器绑定。

统一网关内容交换虚拟服务器后面的Citrix ADC AAA TM虚拟服务器如何进行鉴权?

在Citrix ADC AAA TM上开启鉴权，并将鉴权主机指向统一网关内容交换FQDN。

我如何在内容切换后添加TM虚拟服务器(单URL vs.多主机)?

为单个URL添加Citrix ADC AAA TM虚拟服务器与为多个主机添加它没有区别。在这两种情况下，都将虚拟服务器添加为内容切换操作中的目标。单URL和多主机的区别在于内容切换策略规则。

Citrix ADC AAA TM负载均衡虚拟服务器移动到统一网关虚拟服务器后，绑定的认证策略会发生什么变化?

认证策略与认证虚拟服务器绑定，认证虚拟服务器与负载均衡虚拟服务器绑定。对于统一网关虚拟服务器，Citrix建议使用Citrix网关虚拟服务器作为单鉴权点，这样就不需要在认证虚拟服务器上进行鉴权(甚至不需要特定的认证虚拟服务器)。将认证主机指向统一网关虚拟服务器FQDN，可以确保认证由Citrix Gateway虚拟服务器完成。如果将统一网关的认证主机配置为内容切换，但仍然绑定了认证虚拟服务器，则该认证虚拟服务器绑定的认证策略将被忽略。但如果将认证主机指向独立的可寻址认证虚拟服务器，则绑定的认证策略生效。

如何配置Citrix ADC AAA TM会话策略?

如果在统一网关中，Citrix ADC AAA TM虚拟服务器未配置认证虚拟服务器，则Citrix ADC AAA TM会话继承Citrix Gateway会话策略。如果指定了认证虚拟服务器，则应用该虚拟服务器绑定的Citrix ADC AAA TM会话策略。

Citrix ADC 11.0中Citrix网关门户有哪些更改?

在11.0之前的Citrix ADC版本中，可以在全局级别设置单个门户定制。给定Citrix ADC设备中的每个网关虚拟服务器都使用全局门户定制。

在Citrix ADC 11.0中，通过门户主题功能，您可以设置多个门户主题。主题可以全局绑定，也可以绑定到特定的虚拟服务器。

Citrix ADC 11.0是否支持Citrix Gateway门户定制?

使用配置实用工具，您可以使用新的门户主题特性来自定义和完全创建门户主题。您可以上传不同的图像，设置配色方案，更改文本标签等。

可以定制的门户页面有:

• 登录页面
• 端点分析页面
• 端点分析错误页面
• 终末分析页面
• VPN连接页面
• 门户主页

通过这个版本，您可以定制具有独特门户设计的Citrix Gateway虚拟服务器。

Citrix ADC高可用性或集群部署中支持门户主题吗?

是的。Citrix ADC高可用性和集群部署支持门户主题。

我的自定义是否作为Citrix ADC 11.0升级过程的一部分进行迁移?

不。通过修改rc.conf/rc.netscaler文件或在10.1/10.5中使用自定义主题功能调用的Citrix Gateway门户页面的现有自定义不会在升级到Citrix ADC 11.0时自动迁移。

在Citrix ADC 11.0中，是否有任何升级前的步骤来为门户主题做好准备?

任何现有的自定义必须从rc.conf或rc.netscaler文件中删除。

另一个选项是，如果使用自定义主题，它们必须被分配为默认设置:

1. 导航到配置> Citrix网关>全局配置

2. 点击更改全局设置．

3. 点击客户体验并选择默认的从UI主题列表。

我有存储在Citrix ADC实例的自定义，由rc.conf或rc.netscaler调用。如何转向门户主题?

Citrix知识中心文章CTX126206详细介绍了Citrix ADC 9.3和10.0版本到10.0 build 73.5001.e的配置。因为Citrix ADC 10.0构建10.0 73.5002。e(包括10.1和10.5)，UITHEME CUSTOM参数已经可用来帮助客户在重新启动时保留他们的自定义。如果定制存储在Citrix ADC硬盘上，并且您希望继续使用这些定制，那么备份11.0 GUI文件并将它们插入到现有的定制主题文件中。如果您想移动到门户主题，您必须首先在全局设置或会话概要文件中取消设置UITHEME参数客户体验．或者，您可以将其设置为DEFAULT或GREENBUBBLE。然后您就可以开始创建和绑定门户主题了。

在升级到Citrix ADC 11.0之前，如何导出当前的自定义并保存它们?我可以将导出的文件移动到不同的Citrix ADC设备吗?

上传到ns_gui_custom文件夹位于磁盘上，并在升级期间持续保存。然而，这些文件可能不完全与新的Citrix ADC 11.0内核和作为内核一部分的其他GUI文件兼容。因此，Citrix建议备份11.0 GUI文件并定制备份。

而且，配置实用程序中没有实用程序可以导出ns_custom_gui文件夹到另一个Citrix ADC设备。使用SSH或文件传输工具(如WinSCP)将文件从Citrix ADC实例中移除。

Citrix ADC AAA TM虚拟服务器支持门户主题吗?

是的。门户主题支持Citrix ADC AAA TM虚拟服务器。

Citrix Gateway 11.0的RDP代理特性发生了什么变化?

自Citrix ADC 10.5以来，RDP代理得到了许多增强。e增强版本。在Citrix ADC 11.0中，这个特性可以从第一个发布版本中获得。

许可证变更

Citrix ADC 11.0中的RDP代理功能只能用于高级和高级版本。每个用户都需要获取Citrix Concurrent User (CCU)的license。

启用命令

在Citrix ADC 10.5。日志含义没有命令使能RDP代理。在Citrix ADC 11.0中，添加了enable命令:

启用rdpproxy 

使用该命令需要获得该特性的授权。

其他RDP代理更改

服务器配置文件上的预共享密钥(PSK)属性是强制性的。

迁移现有的Citrix ADC 10.5。e配置RDP代理Citrix ADC 11.0，以下细节必须理解和解决。

如果管理员需要在统一网关的部署中添加已有的RDP代理配置:

• Citrix Gateway虚拟服务器的IP地址必须编辑并设置为一个不可寻址的IP地址(0.0.0.0)。
• 任何SSL/TLS服务器证书，认证策略必须绑定到Citrix网关虚拟服务器，它是所选统一网关组成的一部分。

如何迁移基于Citrix ADC 10.5的RDP代理配置?e到Citrix ADC 11.0?

选项1:保持现有Citrix网关虚拟服务器的RDP代理配置不变，使用高级或高级许可证。

选项2:将已有的Citrix网关虚拟服务器与RDP代理配置移动，放置在统一网关虚拟服务器后面。

选项3:将带有RDP代理配置的独立Citrix Gateway虚拟服务器添加到现有的Standard Edition设备中。

如何使用Citrix ADC 11.0版本设置Citrix网关用于RDP代理配置?

使用NS 11.0版本部署RDP代理有两种选择:

1. 使用面向外部的Citrix Gateway虚拟服务器。这需要Citrix网关虚拟服务器的一个外部可见的IP地址/FQDN。该选项是Citrix ADC 10.5.e中可用的。

2. 统一网关虚拟服务器前置Citrix Gateway虚拟服务器。

对于选项2,Citrix网关虚拟服务器不需要自己的IP地址/FQDN，因为它使用了一个不可寻址的IP地址(0.0.0.0)。

HDX Insight是否兼容统一网关?

当Citrix Gateway与统一网关联合部署时，需要Citrix Gateway虚拟服务器绑定有效的SSL证书，且虚拟服务器状态为UP，以便为Citrix ADC Insight Center生成AppFlow记录，供HDX Insight报告使用。

我如何迁移我现有的HDX Insight配置?

不需要迁移。如果Citrix Gateway虚拟服务器位于统一网关虚拟服务器之后，那么与Citrix Gateway虚拟服务器绑定的AppFlow策略将继续存在。

对于Citrix ADC Insight Center中Citrix网关虚拟服务器的现有数据，有两种可能:

• 在迁移到统一网关的过程中，如果将Citrix Gateway虚拟服务器的IP地址分配给统一网关虚拟服务器，则数据将保持与Citrix Gateway虚拟服务器的链接
• 如果统一网关虚拟服务器被分配了一个单独的IP地址，来自Citrix网关虚拟服务器的AppFlow数据将链接到这个新IP地址。因此，现有数据不是新数据的一部分。