昨天晚上想了一下，这次的实验还是以简单一点的ICA代理的方式来进行吧。因为使用单个FQDN来建立Full ×××链接，需要配置多域名证书、dummy IP、匹配StoreFront的Beacon站点域名等等多个环节，涵盖的范围太大了。毕竟后面还是XenApp的部分、微软RDS的负载均衡配置（计划中）、PVS的内容等。

首先，进行之前LDAP内容的修改。将身份验证查找范围更改为在域中查找，而不是在域的某个OU中查找。
将"Base DN“中的内容从之前的”cn=users,dc=ctx,dc=local", 更改为“dc=ctx,dc=local”

1.jpg (318.52 KB)

2015-2-3 22:15

依次点开“NetScaler Gateway" -> "Policies" -> "Authentication" -> "LDAP"，将上次建立的LDAP认证方式进行绑定

2.jpg (308.57 KB)

2015-2-3 22:15

3.jpg (146.15 KB)

2015-2-3 22:15

4.jpg (137.87 KB)

2015-2-3 22:15

5.jpg (147.14 KB)

2015-2-3 22:15

6.jpg (354.93 KB)

2015-2-3 22:15

然后，依次点开“NetScaler Gateway" -> "Policies" -> ”Session“，建立NetScaler Gateway的Profile及Policy

7.jpg (348.29 KB)

2015-2-3 22:15

首先分别为网页用户以及Receiver客户端用户建立不同的Profile。如果伙伴们不知道图片中的选项所代表的含义，那么请严格按照图片的设置进行。否则可能导致最终实验失败。
首先建立Web页面用户的Profile，

8.jpg (339.82 KB)

2015-2-3 22:15

9.jpg (335.4 KB)

2015-2-3 22:15

10.jpg (300.2 KB)

2015-2-3 22:15

11.jpg (342.56 KB)

2015-2-3 22:15

12.jpg (407.21 KB)

2015-2-3 22:15

13.jpg (137.83 KB)

2015-2-3 22:15

再建立Receiver客户端用户的Profile，在“Web Interface Address”中填写地址时，最后不能携带前进符“ / ”，否则会导致用户凭据传递失败。

14.jpg (307.48 KB)

2015-2-3 22:15

15.jpg (347.08 KB)

2015-2-3 22:15

16.jpg (302.77 KB)

2015-2-3 22:15

17.jpg (344.82 KB)

2015-2-3 22:15

18.jpg (324.26 KB)

2015-2-3 22:15

19.jpg (418.42 KB)

2015-2-3 22:15

20.jpg (139.62 KB)

2015-2-3 22:15

然后建立2个Profile对应的Policy，正则表达式的内容请严格按照图片设置，NetScaler Gateway会根据表达式的字段对用户请求进行筛选。如果表达式有误，那么用户将无法与NetScaler后端的Citrix环境交换信息。

1.jpg (315.46 KB)

2015-2-3 22:42

2.jpg (349.85 KB)

2015-2-3 22:42

3.jpg (358.24 KB)

2015-2-3 22:42

4.jpg (350.69 KB)

2015-2-3 22:42

5.jpg (373.08 KB)

2015-2-3 22:42

Session部分配置完成之后，建立NetScaler Gateway的虚拟服务器（就是外部用户访问的URL地址），
依次点开“NetScaler Gateway" -> "Virtual Servers" -> "Add"

6.jpg (339.69 KB)

2015-2-3 22:42

填入用户访问的NetScaler Gateway的URL地址，及内网IP地址，

7.jpg (323.28 KB)

2015-2-3 22:42

为这个URL地址设置证书（在之前的环节中已经讲解过的），

8.jpg (149.42 KB)

2015-2-3 22:42

9.jpg (131.98 KB)

2015-2-3 22:42

10.jpg (137.6 KB)

2015-2-3 22:42

11.jpg (132.14 KB)

2015-2-3 22:42

12.jpg (149.56 KB)

2015-2-3 22:42

13.jpg (132.9 KB)

2015-2-3 22:42

14.jpg (137.93 KB)

2015-2-3 22:42

15.jpg (132.39 KB)

2015-2-3 22:42

16.jpg (149.66 KB)

2015-2-3 22:42

为NetScaler Gateway添加LDAP认证方式，

17.jpg (152.79 KB)

2015-2-3 22:42

18.jpg (135.52 KB)

2015-2-3 22:42

19.jpg (141.21 KB)

2015-2-3 22:42

20.jpg (136.22 KB)

2015-2-3 22:42

21.jpg (136.69 KB)

2015-2-3 22:42

22.jpg (142.01 KB)

2015-2-3 22:42

23.jpg (153.57 KB)

2015-2-3 22:42

将刚才设置的Session Policy及其Session Profile加入到NetScaler Gateway的策略中

24.jpg (156.19 KB)

2015-2-3 22:42

25.jpg (129.91 KB)

2015-2-3 22:42

26.jpg (136.51 KB)

2015-2-3 22:42

27.jpg (137.36 KB)

2015-2-3 22:42

28.jpg (137.63 KB)

2015-2-3 22:42

29.jpg (358.43 KB)

2015-2-3 22:42

30.jpg (132.21 KB)

2015-2-3 22:42

31.jpg (132.07 KB)

2015-2-3 22:42

32.jpg (139.68 KB)

2015-2-3 22:42

33.jpg (132.96 KB)

2015-2-3 22:42

34.jpg (349.43 KB)

2015-2-3 22:42

之后为NetScaler Gateway添加其所负责发布的应用程序（桌面），

1.jpg (345.97 KB)

2015-2-3 23:06

在STA票据的内容环节，这里需要将所有负责发布的DDC与App服务器的票据信息加入，而且这个票据信息无法使用负载均衡器来进行操作流程上的简化。因为该票据会最终交付给终端用户，然后用户再返回这个票据给NetScaler，然后再由NetScaler根据票据信息去联系对应的DDC或App服务器。如果对其进行负载均衡，那么票据可能会被分发到不对应的服务器而导致应用（桌面）交付失败。说实话，这个环节是大型Citrix环境里最无聊的一个部分。DDC还好数量不会很多，最多也就10来个就很了不起了。App服务器就不一样了，面对上千台App服务器需要逐个填写它们的STA票据信息，想抓狂的心都有了。而且，多个NetScaler Gateway的发布信息有可能会交叉使用后端的App服务器来交付给不同的用户。>_<.........

2.jpg (344.2 KB)

2015-2-3 23:06

3.jpg (280.82 KB)

2015-2-3 23:06

4.jpg (128.61 KB)

2015-2-3 23:06

5.jpg (127.53 KB)

2015-2-3 23:06

6.jpg (296.63 KB)

2015-2-3 23:06

7.jpg (340.13 KB)

2015-2-3 23:06

完成之后检查NetScaler Gateway的状态，最后一个步骤仍然是在DNS中添加NetScaler Gateway的内网A记录。同时在公网出口打开443端口并定向到NetScaler Gateway的内网地址，并且做好NetScaler Gateway的URL在公共网络上的DNS解析。

8.jpg (347.96 KB)

2015-2-3 23:06

太晚了，今天就到这里吧。StoreFront的配置修改内容，放到明天吧。
睡觉了。