NetScaler配置手册.docx

目录1项目背景42 实施准备52.1 NetScaler IP准备52.2 IP地址类型：53 设备的初始化进入54 配置网络路由95 license的导入106 LDAP认证服务器配置127虚拟IP配置168 配置证书请求文件179证书的生成及上传2010 虚拟服务器AG的建立和配置2410.1 为虚拟服务器配置profile2510.2 为虚拟服务器配置polices2710.3开始配置2711 WI配置3111.1 WI安装根证书安装3111.2 新建一个Wi站点3511.3 站点的配置4112 Sslvpn配置4612.1 配置vpn用户可访问的应用资源4612.2 为该资源建立一个标签4612.3 为VPN配置profiles4812.4 建立polices并与profiles建立关联5012.5配置DNS5012.6 测试VPN访问5613 邮件负载配置5713.1 配置两个服务器用于负载5713.2添加虚拟服务器591项目背景2 实施准备2.1 NetScaler IP准备设备名称IP类型IP配置NetScaler MPX 5500(NSIP)设备管理地址6NetScaler MPX 5500(MIP)内部应用地址7NetScaler MPX 5500(VIP1)虚拟服务器IP8NetScaler MPX 5500(VIP2)虚拟服务器IP9NetScaler MPX 5500wuszowa92.2 IP地址类型：NSIP：NetScaler设备管理IP，每台设备单独拥有一个。MIP：NetScaler与认证服务器通信，提供ADNS服务，通过MEP协议与远程站点通信IP。VIP：虚拟AG服务器IP。3 设备的初始化进入设备初始IP：/。初始用户名密码：nsroot/nsroot。 在登陆进去后按照安装配置向导进行设备基本的配置： 启用SSL功能和Access Gateway功能能启用SSL 4 配置网络路由如果在初始化配置中未配置默认路由,此处需要在Network -Routes部分添加路由. 5 license的导入进入System界面中 点击license选项，会看见有哪些授权了哪些没授权点击下面的Manage license.选择已经购买的licenseAdd找到license文件后点击Select。导入license后可激活相关license的高级功能。6 LDAP认证服务器配置添加虚拟服务器需要用到身份验证服务器，这里我们选用公司的AD的LADP认证。531246配置服务器authentication-profile-addAuthentication Type选择LDAP.其他内容根据实际环境参照图片中的格式填写.点击Create按钮完成一个LDAP验证服务器的创建.见下图.其中的授权方式我们选用LADP ，其它参数根据实际情况选用，点击Creat完成创建。配置LADP验证策略，用于绑定AG virtual server。更改授权方式为LDAP，在Name Expressions部分选择下拉菜单中的ture value，点击create创建。LDAP身份验证策略完成。7虚拟IP配置配置虚拟IP地址(VIP) VIP8用于对外映射443(https)端口.3218 配置证书请求文件整个环境中,终端PC/NetScaler/WebInterface需要导入办法SSL 服务器证书的根CA的证书到”受信任的根证书颁发机构.NetSclaer的Access Gateway需要绑定SSL 服务器证书. 这里选择由Netscaler发起一个证书请求文件,提交给CA,申请SSL 服务器证书.私钥的存放在netscaler设备本地，路径为/nsconfig/ssl/，Passphrase根据需求自定义。按如上方式为每台虚拟AG创建相应的私钥。选择之前建立的密钥key文件. Common name为客户端访问的域名,此处为上图的附加说明：Request File Name 证书请求文件名，用该文件名去证书服务器上生成证书Key File Name 该选项栏选择刚才建立的keyCommon Name即访问时的域名点击Manage Certificates/Keys/CSRs下载刚刚配置的证书请求文件.点击Create创建证书请求文件，然后点击View查看并导出CSR文件。将该文件给公司内部人员到证书服务器生成证书。9证书的生成及上传在浏览器里输入CA服务器地址并选择申请证书。使用编辑器打开证书请求文件，复制粘贴到如下对话框。密钥证书对用于绑定AG 虚拟服务器对象.服务器密钥证书,选择系统目录中的证书文件和密钥文件.点击SSL-Certificates，点击左下角Install按钮，输入证书名称，选择之前配置好的证书文件wuxen.cer及私钥文件wuxen.key点击upload弹出对话框，选择从服务器上下载的证书点击select上传完成。选择刚才上传的证书。当连接成功后说明SSL配置完成。10 虚拟服务器AG的建立和配置AG Virtual Server用于关联之前配置的证书,身份验证策略,Session Policy,并配置STA Server. 在测试环境，如果没有正式的license,MPX平台支持5个并发10.1 为虚拟服务器配置profile10.2 为虚拟服务器配置polices10.3开始配置切换到Authentication页，绑定Authentication 策略切换到Polices页面 配置STA 服务器，切换到Published Applications页。通常选择部分xenapp服务器（Zone DataCollector）作为AG使用的STA Server。 此处xuxenapp1 ip地址 1;xml port为8080,则STA URL为:1:8080/scripts/ctxsta.dll xuxenapp2对应的STA url: 2:8080/scripts/ctxsta.dll.配置完成,重新打开AG visrual server到Published Applications配置部分,两个STA 服务器的State应为UP 11 WI配置修改wi主机host文件11.1 WI安装根证书安装添加“证书”模块一定要选择“计算机帐户”导入创建的虚拟服务器证书到Wi11.2 新建一个Wi站点这里必须选择Access gateway的方式，请注意输入https:/ /CitrixAuthService/AuthService.asmx11.3 站点的配置选择站点-安全访问填写通过AG访问的站点。添加citrix服务器；12 Sslvpn配置12.1 配置vpn用户可访问的应用资源12.2 为该资源建立一个标签12.3 为VPN配置profiles配置Split Tunnel ON-客户端连接到Access Gateway不会对其他上网应用造成影响; OFF-客户端连接到Access Gateway之和,除与Access Gateway连接以外的网络连接都会中断.配置默认授权动作-Allow,勾选Override Global12.4 建立polices并与profiles建立关联12.5配置DNS12.6 VPN站点建立选择开始建立的Bookmarks选择polices选择应用完成建立12.6 测试VPN访问1