【中文译文
本文的目的是深入了解Citrix网关与店面的集成:设置的含义以及如何配置它们的设计注意事项。
GSLB url
店面,店面店面,店面店面此功能非常有益,因为它最大限度地减少了在大型全局部署中必须配置的应用商店的数量。我们看的到,此集成要成功运行有四个关键参数:Citrix门户URL,虚拟服务器IP地址,回调URL和GSLB URL,这些参数将在以下章节中进行讨论。
http://www.qqqq.com
设置网关的第一个配置屏幕会提示管理员输入友好的显示名称和网关URL(即用户输入的URL),如下所示:
图 1:常规设置
店面(店面)Citrix网关将输入到用户的网页浏览器或工作区应用程序(接收器)客户端中输入的URL并将其插入到HTTP标头(XCITRIXVIA)中。店面。店面;”http://www.qqqq.com“字段是必填字段,必须与输入到用户的网页浏览器或工作区应用程序(接收器)中的内容匹配,才能使网关直通到店面才能
url
接下来,我们将介绍一些可选字段:虚拟服务器IP地址和回调URL,它们的用法是相关的,并在一起涵盖。这些字段显示在网关配置向导的身份验证设置屏幕上,如下所示:
图 2:身份验证设置
店面http://www.qq.com来收集有关用户网关会话的其他信息。它不严格用于身份验证。相反,它会查询应用于用户会话的网关会话策略的名称等内容。然后,这些附加详细信息可用作基于CVAD访问控制(SmartAccess)策略筛选器的一部分。在“无密码”身份验证场景中,例如在使用智能卡和SAML对用户的网关会话执行额外验证时,也需要使用此功能。【中文翻译http://www.qq.com和★★★★★★。本文稍后将讨论这些场景。如果这些方案中的一种不起作用,则回调URL和虚拟服务器IP地址字段都不是必填字段,可以留空。
如果需要回调URL且多个网关链接到单个应用商店,店面需要一种方法来正确识别流量是否通过网关,还需要正确识别流量来自哪个网关虚拟服务器,以将回调路由到保存用户的正确网关会话。店面首先通过匹配网关URL来执行此操作,如之前所述,它通过XCITRIXVIA HTTP标头接收到该URL。如果有多个网关指定了相同的网关URL(在GSLB体系结构中,同一URL解析为多个单独的网关虚拟服务器),店面会回退到使用IP地址来标识网关,这是一个唯一值。店面通过另一个HTTP标头(XCITRIXVIAVIP)从网关接收虚拟服务器VIP地址。收到后,它会尝试与其分配的网关之一中的★★★★★★字段的值进行匹配。中文名称:http://www.qqqq.com、http://www.qqqq.com、http://www.qqqq.com、http://www.qqqq.com因此,只有在指定回调URL且有多个网关绑定到定义了相同网关URL的应用商店时,才需要虚拟服务器IP地址。
GSLB URL
【中文译文】GSLB URL。店面3.9PowerShellGSLB url。http://www.gslb网址http://www.gslb网址http://www.gslb网址:http://www.gslb网址:http://www.gslb网址:http://www.gslb网址:http://www.gslb网址:http://www.gslb网址此参数在Get-STFRoamingGateway命令输出中可见。此参数的目的是减少需要为单个应用商店定义的网关总数以简化管理。如果没有它,必须为用户可以使用的每个门户URL +唯一回调URL组合定义一个网关对象,这些组合可以在企业环境中快速加起来。
【翻译】https://www.nsg.com)后面的三个全局网关:一个在美国,一个在欧洲,一个在亚洲,每个都有一个唯一的回调URL将需要三个定义的网关。最重要的是,这些管理员希望能够在每个网关单独测试身份验证。“”“”“”“”“”“”此实例意味着总共需要为应用商店配置六个网关,如下所示:
| 显示名称 | http://www.qqqq.com | ★★★★★★ | http://www.qq.com |
|---|---|---|---|
| GSLB我们 | https://www.nsg.com |
1.1.1.1 | https://callback-us.nsg.com |
| GSLB欧盟 | https://www.nsg.com |
2.2.2.2 | https://callback-eu.nsg.com |
| GSLB美联社 | https://www.nsg.com |
3.3.3.3 | https://callback-ap.nsg.com |
| 美国网关 | https://us.nsg.com |
1.1.1.1 | https://callback-us.nsg.com |
| 欧盟网关 | https://eu.nsg.com |
2.2.2.2 | https://callback-eu.nsg.com |
| Ap网 | https://ap.nsg.com |
3.3.3.3 | https://callback-ap.nsg.com |
表 1:完整的网关列表
通过应用GSLB URL参数,定义的网关数量可以减半,同时仍允许用户通过所有GSLB和唯一网关地址进行连接,如下所示:
| 显示名称 | http://www.qqqq.com | ★★★★★★ | http://www.qq.com | GSLB URL |
|---|---|---|---|---|
| 美国网关 | https://us.nsg.com |
1.1.1.1 | https://callback-us.nsg.com |
https://www.nsg.com |
| 欧盟网关 | https://eu.nsg.com |
2.2.2.2 | https://callback-eu.nsg.com |
https://www.nsg.com |
| Ap网 | https://ap.nsg.com |
3.3.3.3 | https://callback-ap.nsg.com |
https://www.nsg.com |
2: GSLB url
“GslbUrl”,“GslbUrl”,“GslbUrl”。它不一GSLB、GSLB网关解析:解析解析:解析解析:解析解析:
请注意,工作区应用程序(接收器)无法识别此参数,因此通常情况下,上例中的URL将被翻转,以便工作区应用程序(接收器)客户端可以继续使用GSLB地址,并且在通过网页浏览器连接时可以使用每网关的网址:
| 显示名称 | http://www.qqqq.com | ★★★★★★ | http://www.qq.com | GSLB URL |
|---|---|---|---|---|
| 美国网关 | https://www.nsg.com |
1.1.1.1 | https://callback-us.nsg.com |
https://us.nsg.com |
| 欧盟网关 | https://www.nsg.com |
2.2.2.2 | https://callback-eu.nsg.com |
https://eu.nsg.com |
| Ap网 | https://www.nsg.com |
3.3.3.3 | https://callback-ap.nsg.com |
https://ap.nsg.com |
中文名称:GSLB URL
设计要点
要总结前面的章节:
- 网关URL始终是必需的,并且必须与输入到网页浏览器或工作区应用程序(接收器)客户端的内容匹配
- 只有在使用SmartAccess CVAD策略,无密码身份验证方法(智能卡,SAML等)或GSLB URL时,才需要回调URL
- 只有在指定了回调URL且绑定到应用商店的多个网关且指定了相同的网关URL时,才需要虚拟服务器IP地址
- GSLB URL: StoreFront 3.9当单个网关虚拟服务器可以通过多个URL访问时,该URL简化了网关与店面的集成
- 工作区应用程序(接收器)不读取GSLB URL参数,因此网关URL始终是这些客户端使用的URL, GSLB URL是可供基于网页浏览器的连接使用的备用URL
选择“默认设备”
当管理员为应用商店启用远程访问时,必须定义“默认设备”,如屏幕截图所示。
图 3:默认装置
“。对于基于工作区应用程序(接收机)的访问,作为应用商店配置的一部分,此设置将在连接到应用商店时下载到再保险此后默认情况下使用网关。如果所有定义的网关都共享网关URL,那么再次发生,发生也没有影响(接收机只是使用该网关定义拉取URL来查询身份验证,因此在GSLB配置中,该查询是GSLB路由的)。如前所述,工作区应用程序(接收方)未读取“GSLB URL”参数,因此定义为默认设备的网关必须定义适当的网关URL,如上一节的“表3:针对接收机和工作区应用程序调整的GSLB URL”所示。
如果绑定到应用商店的网关具有不同的网关URL,则所有接收器客户端将使用任何一个定义为默认网关。如果您定义了不同的网关供不同的用户集使用,则此情况会有问题。例如,一个为具有令牌的用户配置了LDAP +半径身份验证的网关和一个配置了智能卡身份验证的网关。如果用户将智能卡网关URL输入工作区应用程序(接收器),但店面将LDAP +半径网关定义为默认网关,则在工作区应用程序(接收器)连接到店面并缓存配置之后,所有未来的身份验证请求都将发送到LDAP +半径网关,尽管用户最初输入了什么。解决此问题的唯一方法是单独的应用商店或服务器组。
设计要点
概括如下:
- 启用远程访问的商店具有默认网关,该网关定义工作区应用程序(接收器)客户端使用哪个网关URL
- 要使用多个网关URL和工作区应用程序(接收器)启动的访问,必须定义单独的应用商店或店面服务器组
【翻译
店面、店面、店面、店面、店面、店面此设置为每个Citrix虚拟应用程序和桌面站点或区域分配一个网关。该设置的目的是通过可能不同于用户原始身份验证点的网关(例如通过离承载用户会话的共识更近的网关)重新路由ICA连接。如果此“最佳”网关不以其他方式执行身份验证,它只需要绑定到会话代理的STA服务器,并且可以在店面中设置为“仅HDX路由“网关类型,这样就消除了所有身份验证设置。
在下面显示的应用商店设置中将该网关分配到站点(通过“管理交付控制器”)或区域(通过“管理区域”)时,存在一个可选的仅外部复选框。
图释4:徐徐
该设置意味着“最佳”网关将仅用于“外部“发起的ICA会话,这意味着使用网关直通作为身份验证类型的会话(店面假设表示用户来自公司网络外部)。此设置不适用于直接在店面进行身份验证的用户(店面假定该用户位于公司网络内)。如果清除该框,则所有发往该站点或区域的ICA会话都将通过定义的网关进行路由,无论用户是外部还是内部。没有“仅限内部”复选框。这意味着定义的网关URL需要可以从所有可能的用户位置访问,如果没有拆分DNS,这可能会很困难。这是另一种情况,对于具有最佳HDX路由的复杂架构场景,可能需要单独的存储(因为这是存储级别的设置)。
设计要点
概括如下:
- 【中文翻译
- “”
- 【中文译文
信号
信标与店面配置中的网关分开定义,并在为应用商店启用远程访问并配置第一个网关时自动启用。信标是一个网站地址,用于帮助工作区应用程序(接收器)识别终端节点客户端是在公司网络内部还是外部,并将访问请求无缝路由到店面基本URL(如果客户端被确定为“内部”)或默认网关地址(如果客户端被确定为“外部”,而不提示用户进行更多输入。为此,工作区应用程序(接收器)将首先查询内部信标地址(假设面向互联网的外部地址始终可以访问),然后仅在内部发生故障时才回退到外部信标地址。如果它可以到达内部URL(获取HTTP 200响应),则假定客户端位于公司网络上,并将被定向到店面基本的URL。
图 5:管理信标
http://www.tingclass.cn/cn/或http://www.tingclass.cn/cn/“”“”“”“”“”“”“”使用工作区应用程序(接收器),在初始配置之后,用户永远不会提供有关要使用哪个URL的进一步输入。工作区应用程序(接收器)将基本URL和任何已配置的网关URL作为配置的一部分进行缓存,并且需要能够代表用户智能地选择在用户尝试使用该应用程序时使用哪个URL。
http://www.qqqq.com http://www.qqqq.com, http://www.qqqq.com。齐泽尔,齐泽尔,齐泽尔,齐泽尔因此,管理员需要为内部信标选择“指定信标地址”,然后进入只能从公司网络访问的网站。否则,了解如何应用信标地址,以便在调查基于 Web 浏览器的访问问题时不会对其进行检查,这只是一个很好的故障排除做法。
设计要点
概括如下:
- 工作空间、接收端、接收端、接收端
- 仅当店面基本URL与网关URL匹配(并且可以从公司网络外部访问)时修改信标