Anleitung zum Konfigurieren von Netscaler Express Edition für XenDesktop

 

 

In diesem How-To wir das Einrichten des Citrix Netscaler zum Zugriff auf eine XenDesktop Farm gezeigt.

Es wird gezeigt wie das Einrichten mit und ohne Load Balancing (auf dem Netscaler VPX) funktioniert.

 

Systemvorraussetzungen

 

Was braucht ihr alles zum einrichten der Netscaler VPX Appliance (Version NS10 build 70.7nc).

Download der Express Edition

Zu finden unter Downloads Netscaler ADC – Virtual Appliances

http://www.citrix.com/downloads/netscaler-adc/virtual-appliances/netscaler-vpx-express.html

 

 

Hierzu müsst ihr einen Citrix Account besitzen und eingeloggt sein.

Die Seite könnt ihr im Browser geöffnet lassen, da ihr von hier auch die nötige Lizenz erhaltet.

WICHTIG !

Die Express Edition Lizenz ist immer nur 1 Jahr gültig und muss dann erneuert werden, also macht euch eine Erinnerung in euren Kalender.

Zu Abrufen der Lizenz wird die MAC Adresse der virtuellen Maschine benötigt, diese erhaltet ihr erst wenn diese importiert ist und die ersten Konfigurationen durchgeführt sind.

Nach dem Download könnt ihr die Maschine in eure Virtuelle Umgebung importieren (XEnServer, VMWare, Hyper-V) und danach starten.

 

Netzwerkkonfiguration

Ob DMZ oder internes Netz das müsst ihr für euch selbst entscheiden.

Es werden je nach Anzahl der virtuellen Server (LB + AG) 3 – 6 IP Adressen benötigt.

Management IP

Mapped IP (MIP)

Netscaler Subnet IP (NSIP)

Load Balancer für Webinterface

Load Balancer für DDC

Accessgateway

 

Die Management Ip wird nach dem Starten in der Konsole festgelegt.

 

 

Nach dem Festlegen der Management IP könnt ihr nun die weitere konfiguration per Browser erledigen.

 

nsroot / nsroot  ist als Start user und Passwort festgelegt

 

 

Lizenz

Eine Anleitung zum erhalten der Lizenz findet ihr hier

http://support.citrix.com/article/ctx122426

 

Konfiguration

 

Festlegen der Funktionen, geht unter System -  Settings und hier dann Configure basic feature wählen

 

 

Nun zum etwas schwierigeren Teil, die Zertifikate.

Ich habe über  http://www.psw.net/  ein Limitbreaker Zertifikat gekauft.

Da die meisten CA inzwischen einen 2048bit Key verlangen, müssen wir an der VPX zuerst den rootkey ensprechend neuerstellen.

 

Key Filename wählen z.B. rootkey2048 Key Size = 2048 Passphrase ist nicht nötig

 

Request File name wählen, bei Key File Name den zuvor erstellten Key auswählen, Common Name = FQDN, Passwort Felder können leer bleiben.

 

 

Jetzt den erstellten CSR herunterladen und bei der gewählten CA einreichen

 

 

Einspielen des Zertifikates unter SSL -> Certificates

 

Bild 1 Zertifikate

 

Jetzt der knifflige Teil.

Da viele CA`s ein Zwischenzertifikate erfordern, muss zuerst dieses importiert werden.

Diese Zertifikate am besten gebündelt im PEM Format bereit legen und über Install installieren.

 

Folgende Maske erscheint

 

Certificate-Key Pair Name z.B. Intermediate

Certificate File Name das PEM Paket der CA auswählen und dann install wählen

 Als nächstes wird das eigentliche Zertifikat gewählt. Dies passiert über die gleiche Maske, jedoch muss hier auch der dazugehörige Private Key File gewählt werden, euer erstellter root key.

Nun sollte in der Zertifikats Übersicht, 3 Zertifikate erscheinen, zum Abschluss muß euer Zertifikat durch den Befehl Link an das Intermediate geknüpft werden.

  

 Load Balancer

 

Dieser Abschnitt kann übersprungen werden, falls nur 1 XD Broker oder Webserver verfügbar ist.

Ich zeige hier nur das LB für das Webinterface, die Verteilung auf die Broker ist am Webinterface konfiguriert.

 Hier wählen wir den Load Balancing Wizard

 

Create Services

Hier werden die entsprechenden Services angelegt die verwendet werden sollen.

Name: hier sollte was aussagekräftiges verwendet werden, um die Zuordung zu erleichtern

Server: kann hier direkt neu angelegt werden, bzw falls schon angelegt ausgewählt werden.

Protocol: SSL, hierzu sollte natürlich euer Webinterface auch SSL fähig sein.

Danach auf Add Service, dieses wiederholen bis alle WI Server erfasst sind.

 

 

Virtual Server

Name: name des virtuellen server

IP: Adresse unter der der virtuelle Server ereichbar sein wird

Protokoll: SSL

Danach auf Advanced Options und Type Cookieinsert wählel, als LB Methode könnt ihr Round Robin wählen.

Danach auf Next und die Summary anzeigen lassen und erstellen.

 

Jetzt unter Load Balancing auf Virtual Servers wechseln. Ihr seht nun eine übersicht über die angelegten virtuellen Server. Klickt auf den soeben angelegten Server.

 

 

 Hier unter SSL Settings, euer erstelltes Zertifikat auswählen, und der virtuelle Server sollte in der übersicht auch als UP angezeigt werden.

 

 


 

Access Gateway

 

 

 

Access Gateway Wizard starten

 

Neuen virtuellen Access Gateway (AG) anlegen

IP = interne IP über die der AG erreichbar sein soll

Virtual Server Name: wie der Server heißen soll, taucht nicht öffentlich auf

 

 

Das zu verwendene Zertifikat auswählen.

 

 

Konfigurieren des zu verwendenen DNS Servers

 

Authentifizierung konfigurieren.

Der Administrator kann als Domäne\user angegeben werden

 

 Hiernach auf das Summary wechseln und den virtuellen AG anlegen.

 In der Übersicht den AG durch Doppelklick öffnen um mit der Konfiguration fortzufahren.

 

 

Auf der ersten Seite auf Basic Mode wechseln, danach zu Authentication und die LDAP Policy eintragen.

 

 

Hinzufügen der LDAP Policy

 

 

Weiter geht’s zu den Session Policies

Diese Policies können natürlich auch einzeln Links im Menü angelegt werden.

 

 

Die Reihenfolge ist prinzipiell egal.

Daher fangen wir mit der Policy für den CitrixReciever an.

Wir erstellen wie auf den nachfolgenden Bildern zu sehen eine Policy wo anhand des http headers auf den PNAgent umgeleitet wird.

Neben Match Any Expression auf Add klicken und das Add Expression Fenster erscheint.

 Falls dies geschehen ist, kann mittels NEW ein Request Profile erstellt werden.

Single Sign-on with Windows ist nicht unbedingt erforderlich.

 

 

Wichtig CASE Sensitive und die config.xml nicht vergessen

Bei Single Sign-on Domain den Netbios namen eingeben

Nach Fertigstellung geht es mit der WI Session Policy weiter

 

 

Fast wie bei der Receiver Policy nur das hier einfach bei Named Expressions auf Gereral auf True gesetzt wird.

 

Die Einstellungen sind nahezu identisch mit dem Receiver Profile nur unter Published Applications gibt es Änderungen.

 

 

 

 

Hier gibt es Änderungen.

Bei Web Interface Address, euren LB Virtual Server IP eintragen mit hhtps://IP

Danach das Profil Speichern, und es sollte wie bei meinem Eingangsbild aussehen.

 

 

 

 

 

 

 

 

 

Jetzt müssen noch die STA´s hinterlegt werden, diese kann man unter Published Applications eintragen.

http(s)://fqdn.dein.xd-broker/scripts/ctxsta.dll

Nachdem ihr gespeichert habt, und den virtuellen Server neu aufgemacht habt, sollten die STA`s auch UP sein.

 

Jetzt sollte die VPX richtig konfiguriert sein, wenn ihr nun och ein Port Forwarding auf eure AG IP per https macht, geht’s auch von extern.

Getestet mit XenDesktop 5.6 FP1 und dem Android Receiver ;)