部署指南：Citrix Secure Private Access 本地

受众

本文档适用于对实施 Citrix Secure Private Access 本地解决方案感兴趣的架构师、网络设计师、技术专业人员、合作伙伴和顾问。它还专为网络管理员、Citrix 管理员、托管服务提供商或任何希望部署此解决方案的人而设计。

解决方案概

CitrixSecure Private Access本地部署是一种客户管理的零信任网络访问 (ZTNA) 解决方案，它以最低权限原则、单点登录 (SSO)、多重身份验证和设备状况评估、应用程序级安全控制和应用程序保护功能提供 VPN 以及 VPN 访问内部 Web 和 SaaS 应用程序，以及无缝的最终用户体验。该解决方案利用 StoreFront 本地和 Citrix Workspace 应用程序，为在 Citrix Enterprise Browser 中访问 Web 和 SaaS 应用程序提供无缝和安全的访问体验。该解决方案还利用 NetScaler Gateway 来强制执行身份验证和授权控制。

Citrix Secure Private Access 本地解决方案能够使用 StoreFront 本地门户作为 Web 和 SaaS 应用程序的统一访问门户，以及作为 Citrix Workspace 集成部分的虚拟应用程序和桌面，轻松提供对基于浏览器（内部 Web 应用程序和 SaaS 应用程序）的零信任访问权限，从而增强组织的整体安全性和合规性。

Citrix Secure Private Access 结合了 NetScaler Gateway 和 StoreFront 的元素，为最终用户和管理员提供集成体验。

用例

采用 Citrix Virtual Apps and Desktops (CVAD) 本地的 Citrix Secure Private Access (SPA) 本地解决方案为虚拟化资源和基于浏览器的应用程序（Web 应用程序和 SaaS 应用程序）提供统一和安全的最终用户体验，并具有一致的安全性。

SPA 本地解决方案旨在通过使用客户管理的解决方案来解决以下用例。

用例 #1：员工和承包商无需发布浏览器或使用 VPN 即可从托管或非托管设备安全访问内部 Web 和 SaaS 应用程序。

用例 #2：通过管理员可配置的浏览器安全控制，为来自托管或非托管设备的内部 Web 和 SaaS 应用程序提供全面的最后一英里零信任强制执行，无需发布浏览器或使用 VPN。

用例 #3：加快合并与收购 (M&A) 用户跨多个身份提供商的访问速度，确保一致的安全性，并提供跨多个用户组的最终用户无缝访问。

要求

本文提供了使用 StoreFront 和 NetScaler Gateway 部署 Secure Private Access 的分步指南。Citrix Enterprise Browser（包括在 Citrix Workspace 应用程序中）是用于安全地与 SaaS 或内部 Web 应用程序交互的客户端软件。
Global App Config Service (GACS) 是Citrix Enterprise Browser 管理的必要条件。
本指南假设读者对以下 Citrix 和 NetScaler 产品有基本的了解，并具有一般 Windows 管理经验：

• Citrix Virtual Apps and Desktops
• StoreFront
• NetScaler Gateway
• Global App Configuration Service

版本：

• Citrix Workspace 应用程序
  • Windows— 2303 及更高版本
  • macOS — 2304 及更高版本
• Citrix Virtual Apps and Desktops - 支持的 LTSR 和当前版本
• StoreFront — LTSR 2203 或非 LTSR 2212 及更高版本
• NetScaler Gateway — 12.1 及更高版本

如有需要，请参阅以下文档，了解更多详细信息：

• Citrix Virtual Apps and Desktops
  • 系统要求
  • 技术概述
• StoreFront
  • 系统要求
  • 规划 StoreFront 部署
• NetScaler Gateway
  • 开始之前的准备工作
  • 常见 Citrix Gateway 部署
• Global App Configuration Service (GACS)
  • 通过 Global App Configuration Service 管理 Citrix Enterprise Browser

技术概述

通过安装了Citrix企业浏览器(包括Citrix Workspace 应用程序）的 NetScaler Gateway，可以随时随地使用任何设备访问内部 Web 应用程序。这同样适用于 SaaS 应用程序，不同之处在于可以直接或间接通过 NetScaler Gateway 进行访问。

Citrix Enterprise Browser 和 Citrix Workspace 应用程序使用 TLS 加密连接与 NetScaler Gateway 通信。NetScaler Gateway 通过评估用户的设备、强大的 nFactor 用户身份验证、应用程序授权和单点登录 (SSO)，提供基于零信任的访问权限。
Citrix Enterprise Browser 使用 Citrix Secure Browse 协议允许访问内部域名（例如https://website.company.local），无需面向公众的 DNS 名称。
Citrix浏览器的Citrix安全的私人企业Access 允许为 Web 应用程序配置额外的安全控制，例如水印、复制/粘贴、上载/下载和打印限制。这些限制是在名为“policy.json”的文件中配置的。

配置过程

步骤 1-发布 Web 应用程序

新的 Web 应用程序的初始发布使用安装在 Citrix Virtual Apps and Desktops 上的 Windows PowerShell cmdlet。创建 Web 应用程序后，将来即可使用 Citrix Studio 控制台进行编辑。

• 在安装了 PowerShell SDK 的计算机上打开 Windows PowerShell。
• 运行以下命令加载 Citrix cmdlet：
  Add-PSSnapIn citrix*
• 为 Web 应用程序定义必要的变量：
  在运行命令之前，替换标有尖括号的占位符。(< >)

$deliveryGroupName = "" $appURL = "" $appName = "" $appIconFilePath = "" $appDescription = "KEYWORDS:SPAENABLED" 

示例

$deliveryGroupName = "CVAD-On-Prem" $appURL = "https://finance.training.local" $appName = "Finance-Portal" $appIconFilePath = "C:\temp\Icon\finance.ico" $appDescription = "KEYWORDS:SPAENABLED" 

• 运行以下命令发布新的 Web 应用程序：

$deliveryGroupUid = (Get-BrokerDesktopGroup -Name $deliveryGroupName).Uid New-BrokerApplication -ApplicationType PublishedContent -CommandLineExecutable $appURL -Name $appName -DesktopGroup $deliveryGroupUid -Description $appDescription 

• （可选）运行以下命令以更改 Web 应用程序上的图标：

$encodedIconData = [convert]::ToBase64String((Get-Content $appIconFilePath -Encoding byte)) New-BrokerIcon -EncodedIconData $encodedIconData $UidEncode = Get-BrokerIcon | Select-Object Uid $testUid = $UidEncode[-1].Uid $IconUid = [int]$testUid Set-BrokerApplication -name $appName -IconUid $IconUid 

• 运行以下命令来验证 Web 应用程序：

Get-BrokerApplication -ApplicationType PublishedContent | Format-Table @{Label="Type"; Expression={$\_.ApplicationType}},Name,@{Label="URL"; Expression={$\_.CommandLineExecutable}},@{Label="Delivery group"; Expression={(Get-BrokerDesktopGroup -Uid $_.AssociatedDesktopGroupUids[0]).Name}},Description 

输出示例

| 类型 | 名称 | URL | 说明 | | —- | —- | — | ————– | ———– | | PublishedContent | Finance-Portal |https://finance.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED | | PublishedContent | Doctor |https://doctor.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED |

• 在Citrix Studio的“应用程序”部分下，您可以看到新的 Web 应用程序。
  将来的所有更改都在 Citrix Studio 控制台中完成。

注意

有关如何发布内容的更多信息，请单击此处。
有关如何更改默认图标的更多信息，请单击此处。

步骤 2 - 创建和发布策略文件

名为policy.json的策略文件定义了每个已发布的 Web 应用程序的路由和安全控制。
例如，Office 365 SaaS 应用程序应该启用安全控制并通过您的数据中心进行路由，还是应该直接传输流量？

注意：如果您知道策略文件结构和值，请继续阅读完整的 policy.json 文件示例。

策略文件结构

策略文件采用 JSON 格式，包含以下部分：

• 策略策略
  部分为所有已发布的 SaaS/Web 应用程序定义安全控制和流量路由。对于未发布的网站，定义了包罗万象的策略。
  *注意：如果 Web 应用程序由不同的域名组成，则必须指定所有域名才能正确应用安全控制。*

下表列出了可用的访问策略选项及其值：

注意

值enabled代表ALLOW，disabled代表BLOCK。

*防按键日志记录和防屏幕捕获需要安装 Citrix Workspace 应用程序自带的应用程序保护功能。*

模板

"policies": [{ "name": "", "patterns": ["/\*", "/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct", } } ] 

• 系统系统
  部分定义了流量路由到的 NetScaler Gateway 地址。

模板

"system": { "secureBrowseAddress": "https://" } 

完整的策略.json 文件示例

{ "policies": [{ "name": "Finance-Portal", "patterns": ["\*.finance.training.local/\*"], "policy": { "watermark_v1": "enabled", "clipboard_v1": "enabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "name": "Doctor", "patterns": ["\*.doctor.training.local/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "enabled", "download_v1": "enabled", "upload_v1": "enabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct" } } ], "system": { "secureBrowseAddress": "https://citrix.training.com" } } 

策略文件位置

必须将policy.json文件放置在C:\inetpub\wwwroot\Citrix\\Resources\SecureBrowser位置的每台 StoreFront 服务器上。

注意：必须先创建文件夹结构“资源”和“SecureBrowser”。

示例

在此示例中,我们使用名为“商店”的默认店面应用商店。

mkdir C:\inetpub\wwwroot\Citrix\Store\Resources mkdir C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser 

将policy.json文件放入“SecureBrowser””目录中。

StoreFront 应用商店 web.config

要为 Citrix Workspace 应用程序和 Citrix Enterprise Browser 提供新的策略详细信息，我们必须修改 StoreFront 应用商店目录中的web.config文件。
（例如，C:\inetpub\wwwroot\Citrix\Store\web.config）

• 在C:\inetpub\wwwroot\Citrix\\
  示例中创建当前web.config文件的备份：copy C:\inetpub\wwwroot\Citrix\Store\web.config C:\inetpub\wwwroot\Citrix\Store\web.config.orig
• 打开记事本，插入以下代码并将文件另存为ModifyWebConf.ps1，以正确编辑web.config文件。

function Editwebconf { param ( [parameter(Mandatory = $true)][String]$Global:webconfigfile ) # Read in the contents of the file $content = Get-Content $Global:webconfigfile # Define the multi-line string you want to replace $oldText = '' # Define the new string you want to replace it with $newText = '           ' # Iterate through each line in the content and replace the old text with the new text for ($i = 0; $i -lt $content.Count; $i++) { if ($content[$i] -match '') { Write-Host "web.config has already been modified" exit } if ($content[$i] -match $oldText) { $content[$i] = $content[$i] -replace $oldText, $newText } } # Write the modified content back to the file Set-Content $Global:webconfigfile $content Write-Host "$newText" } Editwebconf 

• 打开 Windows PowerShell。
• 切换到ModifyWebConf.ps1的目录。
• 运行以下命令：.\ModifyWebConf.ps1。
• 当提示输入Global:webconfigfile:时，将完整路径（包括文件名）插入 web.conf 文件。
  示例：C:\inetpub\wwwroot\Citrix\Store\web.config

输出

PS C:\temp> .\ModifyWebConf.ps1 命令管线位置 1 的 cmdlet Editwebconf 提供以下参数的值： Global:webconfigfile: C:\inetpub\wwwroot\Citrix\Store\web.config             

步骤 3 — 本地 NetScaler Gateway 配置

NetScaler Gateway 配置包括四个基本步骤：

• 启用无客户端访问
• 配置 Web 地址编码
• 启用 Secure Browse
• 排除在无客户端访问模式下重写的域

注意

只有在 NetScaler Gateway 虚拟服务器上将“仅限 ICA”设置为false时，无客户端访问才有效。（新部署的默认设置）

要使用 StoreFront 进行无客户端访问，请在您的 StoreFront 配置中指定回调 URL。

只有使用Citrix Workspace 应用程序和 Citrix Enterprise Browser 才能访问已发布的 Web 应用程序。

启用无客户端访问

Citrix企业浏览器需要无客户端访问权限才能连接到Web应用程序。

启用无客户端访问有两个选项：

• 全局 - 所有用户
• 会话策略 - 选定的组或用户

Citrix 建议启用每会话策略，以便更好地控制无客户端访问。

全球范围内的无客户端访问

全局启用的无客户端访问适用于所有已配置的 NetScaler Gateway 虚拟服务器。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI

  1. 在“配置”选项卡上，展开Citrix Gateway，然后单击“全局设置”。
  2. 在“全局设置”页面中，单击“更改全局设置”。
  3. 在“客户端体验”选项卡上，为“无客户端访问”选择“开”。
  4. 在“已发布的应用程序”选项卡上，为ICA 代理选择“关闭”，然后单击“确定”。

• NetScaler CLI

  1. 运行以下命令：
     set vpn parameter -clientlessVpnMode On -icaProxy OFF

无客户端访问会话策略

配置每个会话的无客户端访问策略可以缩小用户、组或 Gateway 虚拟服务器的设置范围。使用相同的设置创建新的会话策略/操作有利于在icaProxy和clientless access配置之间轻松切换。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI

  1. 在“配置”选项卡上，展开 Citrix Gateway，展开“策略”，然后单击“会话”。
  2. 在会话页面中，切换到会话配置文件选项卡并打开 Citrix Workspace 应用程序的会话配置文件。（例如，AC_OS_192.168.0.100）
  3. 在“客户端体验”选项卡上，在“无客户端访问”旁边，单击“覆盖全局”，选择“开”。
  4. 在“已发布的应用程序”选项卡上，在ICA 代理旁边，单击“覆盖全局”，选择“关闭”，然后单击“确定”。

• NetScaler CLI
  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)
     set vpn sessionAction -clientlessVpnMode On -icaProxy OFF

配置 Web 地址编码

启用无客户端访问允许您对内部 Web 应用程序的地址进行编码或将地址保留为明文。 建议将无客户端访问 URL 编码设置为清除。

有两个选项可以设置无客户端访问 URL 编码：

• 全局 - 所有用户
• 会话策略 - 选定的组或用户

全局 URL 编码

全局启用的无客户端访问适用于所有已配置的 NetScaler Gateway 虚拟服务器。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI
  1. 在“配置”选项卡上，展开Citrix Gateway，然后单击“全局设置”。
  2. 在“全局设置”页面中，单击“更改全局设置”。
  3. 在“客户端体验”选项卡上，为“无客户端访问 URL 编码”选择“清除”，然后单击“确定”。

• NetScaler CLI
  1. 运行以下命令：
     set vpn parameter -clientlessModeUrlEncoding TRANSPARENT

URL 编码会话策略

配置每个会话的无客户端访问 URL 编码策略允许缩小用户、组或 Gateway 虚拟服务器的设置范围。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI
  1. 在“配置”选项卡上，展开 Citrix Gateway，展开“策略”，然后单击“会话”。
  2. 在会话页面中，切换到会话配置文件选项卡并打开 Citrix Workspace 应用程序的会话配置文件。（例如，AC_OS_192.168.0.100）
  3. 在“客户端体验”选项卡上，在“无客户端访问 URL 编码”旁边，单击“覆盖全局”，选择“清除”，然后单击“确定”。

• NetScaler CLI
  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)
     set vpn sessionAction -clientlessModeUrlEncoding TRANSPARENT

启用 Secure Browse

Citrix Enterprise Browser 使用安全浏览模式访问应用程序，无需旧版 VPN。

配置 Secure Browse 模式有两个选项：

• 全局 - 所有用户
• 会话策略 - 选定的组或用户

全局 Secure Browse

全局启用的 Secure Browse 适用于所有已配置的 NetScaler Gateway 虚拟服务器。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI
  1. 在“配置”选项卡上，展开Citrix Gateway，然后单击“全局设置”。
  2. 在“全局设置”页面中，单击“更改全局设置”。
  3. 在“安全”选项卡上，为“Secure Browse”选择“已启用”，然后单击“确定”。

• NetScaler CLI
  1. 运行以下命令：
     set vpn parameter -secureBrowse ENABLED

Secure Browse 会话策略

配置“按会话 Secure Browse”策略可以缩小用户、组或 Gateway 虚拟服务器的设置范围。

可以使用 NetScaler GUI 或 CLI 将其启用。

• NetScaler GUI
  1. 在“配置”选项卡上，展开 Citrix Gateway，展开“策略”，然后单击“会话”。
  2. 在会话页面中，切换到会话配置文件选项卡并打开 Citrix Workspace 应用程序的会话配置文件。（例如，AC_OS_192.168.0.100）
  3. 在“安全”选项卡上，在“Secure Browse”旁边，单击“覆盖全局”，选择“已启用”，然后单击“确定”。

• NetScaler CLI
  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)
     set vpn sessionAction -secureBrowse ENABLED

排除在无客户端访问模式下重写的域

启用无客户端访问模式后，NetScaler 将对“/cvpn”请求进行服务器端重写。排除StoreFront server FQDN(s)或StoreFront Load Balancer FQDN和citrix.com。

此配置仅在全局 NetScaler Gateway 设置中可用。

您可以使用 NetScaler GUI 或 CLI 配置排除项。

• NetScaler GUI
  1. 在“配置”选项卡上，展开Citrix Gateway，然后单击“全局设置”。
  2. 在“全局设置”页面中，单击“为无客户端访问配置域”。
  3. 选择“排除域名”，插入StoreFront server FQDN(s)或StoreFront Load Balancer FQDN，然后单击加号。
  4. 对citrix.com重复步骤 3。
  5. 单击“确定”。

• NetScaler CLI

  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)

     bind policy patset ns_cvpn_default_bypass_domains  bind policy patset ns_cvpn_default_bypass_domains citrix.com 

步骤 4 — 授权用户访问已发布的 Web 应用程序

在 CVAD 中发布 Web 应用程序不允许您控制用户访问权限。这必须使用授权策略在 NetScaler Gateway 上完成。 授权策略绑定到用户或组。

了解这些策略是如何应用的，这一点至关重要：

• 用户
• 组

用户策略的优先级始终高于组绑定策略。 无论组级别的策略优先级是否更高，允许用户级别的网站并在组级别拒绝该网站都允许访问。

绑定到同一用户或组的多个策略按优先级进行区分。 必须知道较高的优先级（低数字）在较低优先级（高数字）之前匹配。确保允许的策略比拒绝的策略具有更高的优先级。

我们建议为每个已发布的 Web 应用程序创建一个组来控制访问权限。（零信任方法）

默认授权策略

默认情况下，应创建两个授权策略，以允许访问 StoreFront 服务器并拒绝访问所有已发布的 Web 应用程序：

• Allow_StoreFront
• Deny_ALL

Web 应用程序授权策略

现在我们有了默认的授权策略，下一步是为每个已发布的 Web 应用程序创建授权策略。

• Allow_
• Allow_

创建授权策略

您可以使用 NetScaler GUI 或 CLI 配置授权策略。

• NetScaler GUI
  1. 在配置选项卡上，展开Citrix Gateway，展开策略，然后单击授权。
  2. 在“授权”页面上，单击“添加”。
  3. 插入授权策略名称，选择操作，选择高级策略并创建您的表达式。
  4. 单击创建。

• NetScaler CLI
  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)
     add authorization policy "HTTP.REQ.HOSTNAME.CONTAINS(\"\")" ALLOW

示例

默认授权策略：

add authorization policy Allow_StoreFront "HTTP.REQ.HOSTNAME.CONTAINS("")" ALLOW add authorization policy Deny_ALL true DENY 

Web 应用程序授权策略：

add authorization policy Allow_Finance "HTTP.REQ.HOSTNAME.CONTAINS("finance.training.local")" ALLOW add authorization policy Allow_Doctor "HTTP.REQ.HOSTNAME.CONTAINS("doctor.training.local")" ALLOW 

绑定授权策略

您可以使用 NetScaler GUI 或 CLI 绑定授权策略。

• NetScaler GUI
  1. 在“配置”选项卡上，展开Citrix Gateway，展开“用户管理”，然后单击AAA 组或AAA 组。
  2. 在 AAA 组或 AAA 用户页面中，单击添加。
  3. 插入用户名或组名称，然后单击“确定”。
  4. 在“高级设置”中，单击“授权策略”。
  5. 在“策略绑定”页面中，选择要绑定的策略，设置优先级，按类型选择“请求”，然后单击“绑定”。
  6. 对要绑定的每个策略重复步骤 5。
  7. 单击Done（完成）。

• NetScaler CLI

  1. 运行以下命令：
     在运行命令之前，替换标有尖括号的占位符。(< >)

     add aaa group  bind aaa group  -policy  -priority  -gotoPriorityExpression END 

示例

用户-允许访问特定已发布的 Web 应用程序：

add aaa user testuser01 bind aaa user testuser01 -policy Allow_Doctor -priority 63000 -gotoPriorityExpression END 

组 - 允许访问已发布的 Web 应用程序 StoreFront，并拒绝所有其他请求：

add aaa group Doctor bind aaa group Doctor -policy Allow_Doctor -priority 10 -gotoPriorityExpression END bind aaa group Doctor -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Doctor -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

add aaa group Finance bind aaa group Finance -policy Allow_Finance -priority 10 -gotoPriorityExpression END bind aaa group Finance -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Finance -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

测试

• 在内部或外部客户端上打开并登录 Citrix Workspace 应用程序

故障排除

成功登录后看到错误消息，请参阅NetScaler - 没有可用的内联网 IP。

• 启动 Web 应用程序
  注意：登录的用户可以访问Doctor应用程序，但被拒绝访问Finance-Portal。

医生

金融门户

故障排除

在 Citrix Enterprise Browser 中看到错误代码：

• PS1001
• PS1003

可见性、监视和故障排除

ADM — Gateway Insight
网关的洞察力可以查看所有用户在登录NetScaler网关时遇到的故障，无论访问模式如何。查看所有可用用户、活跃用户数、活动会话数以及所有用户在任何给定时间使用的字节和许可证的列表。查看用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 和应用程序启动失败。

有关更多信息，请参阅ADM — Gateway Insight 文档。

Citrix Director
Citrix Director 的故障排除控制板提供对 Citrix Virtual Apps 或 Citrix Virtual Desktops 站点的实时和历史运行状况这样可以实时查看故障，从而更好地了解最终用户正在经历的事情。

有关更多信息，请参阅Citrix Virtual Apps and Desktops — Director 文档。

总结

适用于本地的 Citrix Secure Private Access 允许对 SaaS 和内部 Web 应用程序进行零信任访问。本部署指南涵盖了发布 Web 应用程序和设置安全控制所需的具体步骤。最终结果是一个具有真正单点登录功能的集成解决方案，用户可以像虚拟应用程序一样访问SaaS和内部Web应用程序。

部署故障排除

NetScaler - 没有可用的内联网 IP

成功登录 Citrix Workspace 应用程序后，用户看不到应用程序，并且会在ns.log中写入以下消息。
default SSLVPN Message 659106 0 : "Failed to process setclient for id , user due to "

这是一个已知问题 (CTX461242)，可以通过在 Citrix Workspace 应用程序的会话配置文件中将Use Mapped IP设置为NS，将Use Intranet IP设置为OFF来解决。

NetScaler GUI：

NetScaler CLI：
set vpn sessionAction AC_OS_192.168.0.100 -useMIP NS -useIIP OFF

CEB — PS1001

此错误代码表明 Citrix Workspace 应用程序无法从 StoreFront 获取“policy.json”文件。
查看以下部分：

• 策略文件位置
• StoreFront 应用商店 web.config
• 步骤 3 - 本地 NetScaler Gateway 配置

CEB — PS1003

此错误代码表明“policy.json”文件有问题。
查看完整的 policy.json 文件示例部分。