Storage zones controller

Citrix ADC für Speicherzonencontroller konfigurieren

NetScaler, Version 10.1 Build 120.1316.e und höher, enthält einen Assistenten, der Sie zur Eingabe grundlegender Informationen zu Ihrer Storage Zones Controller-Umgebung auffordert. Anschließend wird eine Konfiguration generiert, die:

  • Lastverteilung für den Datenverkehr zwischen Speicherzonen-Controllern
  • Bietet Benutzerauthentifizierung für Storage Zone Connectors
  • Validiert URI-Signaturen für ShareFile-Uploads und -Downloads
  • Beendet SSL-Verbindungen am Citrix ADC-Gerät

Das Diagramm zeigt diese durch die Konfiguration erstellten Citrix ADC-Komponenten:

  • Virtueller Citrix ADC-Content-Switching-Server — Sendet Benutzeranforderungen für Daten von ShareFile und von Speicherzonenkonnektoren an den entsprechenden virtuellen Citrix ADC-Lastausgleichsserver.
  • Virtueller Citrix ADC-Lastausgleichsserver — Gleicht den Datenverkehr für Ihre Speicherzonen-Controller aus und übernimmt außerdem Folgendes:
    • Bei Anfragen nach Daten aus Ihrem privaten Datenspeicher führt ein virtueller Lastausgleichsserver eine Hash-Validierung durch, um sicherzustellen, dass bei eingehenden Anfragen gültige URI-Signaturen vorhanden sind.

    • Bei Datenanforderungen von Speicherzonenkonnektoren kann ein virtueller Lastausgleichsserver eine Benutzerauthentifizierung durchführen. Es stoppt eine Benutzeranforderung beim Citrix ADC, authentifiziert den Benutzer und führt dann eine einmalige Anmeldung des Benutzers beim StorageZones Controller durch.

    Hinweis:

    Die Authentifizierung gegenüber Storage Zone Connectors über Citrix ADC ist optional. Aufgrund eines bekannten Problems funktionieren Speicherzonenkonnektoren in WebApp nicht in den Browsern Chrome, Chromium, Safari und Edge, wenn die Authentifizierung in Citrix ADC aktiviert ist. Es ist mit anderen Browsern und Desktop-/Mobilclients kompatibel.

Ab Storage Zones Controller 4.0 können Administratoren eingehende Verbindungen zu den Storage Zones Controllern auf TLS v1.2 beschränken. Wenn Protokolle vor TLS v1.2 für eingehenden Datenverkehr zum Speicherzonencontroller deaktiviert sind, müssen alle Clientsoftwarekomponenten, die mit der Speicherzone interagieren, auch TLS v1.2 unterstützen. Klicken Sie hier, um weitere Informationen und Konfigurationsanweisungen zu erhalten.

Hinweis:

Informationen zum Einrichten von NetScaler-Versionen vor 10.1 Build 120.1316.e finden Sie unter Citrix ADC manuell konfigurieren.

Der Einrichtungsassistent von Citrix ADC für ShareFile verarbeitet nicht die erforderliche Konfiguration zur Verwendung von Citrix Endpoint Management als SAML-Identitätsanbieter für ShareFile. Für weitere Informationen klicken Sie hier.

Voraussetzungen

  • Eine funktionierende Citrix ADC-Konfiguration
  • Sicherheitszertifikat: Wenn in Citrix ADC noch keins verfügbar ist, können Sie mit dem Assistenten eines auf dem virtuellen Content Switching-Server installieren.
  • Informationen zu Ihrer Active Directory-Konfiguration (Der Citrix ADC für ShareFile-Assistent muss mit der Citrix NetScaler Enterprise Edition-Lizenzabgeschlossen werden):
    • IP-Adresse und Port Ihres Active Directory-Servers
    • Active Directory-Domänenname
    • LDAP-Basis-DN, in dem Benutzer gespeichert sind
    • Kontoname und Kennwort für ein Administratorkonto mit Berechtigungen zur Kommunikation mit Active Directory

Konfigurieren Sie Citrix ADC für StorageZones Controller

Die folgenden Schritte beschreiben die Verwendung des Citrix ADC-Assistenten für ShareFile.

  1. Melden Sie sich beim Citrix ADC-Gerät an und navigieren Sie auf der Registerkarte „Konfiguration“ zu „Verkehrsmanagement“.

  2. Klicken Sie unter ShareFile auf Citrix ADC für ShareFile einrichten.

    Sie können den Assistenten auch wie folgt aufrufen: Klicken Sie unter „Mobilität“ auf Endpoint Management, ShareFile und Citrix Gateway konfigurieren.

  3. Geben Sie die im Assistenten angeforderten Informationen ein.

Option Beschreibung
Name Ein Anzeigename für den virtuellen Content Switching-Server.
IP-Adresse Die externe (öffentliche oder DMZ-)IP-Adresse, die für den virtuellen Content Switching-Server verwendet werden soll. Wenn Sie eine DMZ-IP-Adresse verwenden, müssen Sie eine Network Address Translation (NAT)-Zuordnung von Ihrer externen Firewall-Adresse zu dieser DMZ-IP-Adresse definieren.
ShareFile-Daten Diese Option ist aktiviert und gibt an, dass Sie die Citrix ADC-Verbindung für Speicherzonen für ShareFile-Daten verwenden.
Speicherzonen-Konnektoren für Network File Share/SharePoint Wenn Sie Konnektoren verwenden und die Benutzerauthentifizierung beim Citrix ADC durchführen möchten, aktivieren Sie das Kontrollkästchen.
Zertifikat Wählen Sie ein Zertifikat oder installieren Sie eines für den virtuellen Content Switching-Server. Wenn Sie ein Zertifikat installieren möchten, werden Sie aufgefordert, das Zertifikat und den privaten Schlüssel hochzuladen. Für Standardzonen müssen Zertifikate öffentlich vertrauenswürdig und nicht selbstsigniert sein.
IP-Adresse des Speicherzonen-Controllers Die internen IP-Adressen für einen oder mehrere StorageZones Controller-Server. Diese IP-Adressen definieren die StorageZones Controller-Server als Entitäten innerhalb von Citrix ADC. Wenn Sie die Server bereits zu Citrix ADC hinzugefügt haben, klicken Sie auf „Aus vorhandenen hinzufügen“ und wählen Sie die Server aus. Um Citrix ADC zum Lastenausgleich zu verwenden, geben Sie für jeden StorageZones Controller-Server eine interne IP-Adresse ein. Um Citrix ADC nur für SSL und Authentifizierung zu verwenden, geben Sie nur eine IP-Adresse ein.
Port und Protokoll Der Port und das Protokoll, die für die Kommunikation vom Citrix ADC zu Speicherzonen-Controllern verwendet werden.
Die IP-Adresse des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung (Citrix ADC AAA) Eine nicht verwendete interne IP-Adresse für den virtuellen Citrix ADC AAA-Server. Citrix ADC erstellt diesen virtuellen Server für den eigenen Gebrauch. Der Server benötigt keinen externen Zugriff.
IP-Adresse und Port des LDAP-Servers Die IP-Adresse und der Port Ihres Active Directory-Servers. Wenn Sie Citrix ADC bereits einen LDAP-Server hinzugefügt haben, klicken Sie auf die Registerkarte LDAP auswählen und wählen Sie den Server aus.
Auszeit Die maximale Anzahl von Sekunden, die Citrix ADC auf eine Antwort vom LDAP-Server wartet. Der Standardwert ist 3 Sekunden. Der Mindestwert beträgt 1 Sekunde.
Single Sign-On-Domäne Der Active Directory-Domänenname.
Basis-DN (Standort der Benutzer) Der LDAP-Basis-Distinguished Name (DN), unter dem Benutzer gespeichert sind. Geben Sie den DN in der allgemeinen Form an: CN=Users,dc=domain, dc=Net
Administrator-Bind-DN und Passwort Ein Administratorkonto mit Berechtigungen zur Kommunikation mit Active Directory.
Anmeldename Ein LDAP-Attribut, das von Citrix ADC verwendet wird, um zu bestimmen, ob sich Benutzer mit ihrem Benutzernamen oder ihrer E-Mail-Adresse anmelden. Der Standardwert ist sAMAccountName, wodurch Benutzer sich mit ihrem Benutzernamen anmelden können. Um zu verlangen, dass Benutzer beim Anmelden ihre E-Mail-Adresse eingeben, ändern Sie dieses Feld in „userPrincipalName“.

Konfigurieren von Citrix ADC für den Webzugriff auf Konnektoren

Um den Webzugriff auf Speicherzonenkonnektoren zu unterstützen, müssen Sie nach Abschluss des Citrix ADC-Assistenten für ShareFile eine zusätzliche Citrix ADC-Konfiguration durchführen.

  • Erstellen und konfigurieren Sie einen dritten virtuellen Citrix ADC-Lastausgleichsserver, der sicherstellt, dass ShareFile-Clients Anmeldeinformationen nur senden, wenn sie bei einer vertrauenswürdigen ShareFile-Domäne angemeldet sind.

    Wie in den folgenden Schritten beschrieben, konfigurieren Sie den zusätzlichen virtuellen Server, um anonymen Zugriff von Clients auf das Verb HTTP OPTIONS zuzulassen. Die OPTIONS-Anforderung wird ohne Authentifizierung und ohne HTTPS-Aufrufe zur Validierung der Signatur an den StorageZones Controller weitergeleitet. Die CORS-Preflight-Prüfung validiert die Domänenvertrauenswürdigkeit vor dem Senden der Anmeldeinformationen.

    Zum Durchführen der Konfiguration sind keine CORS-Kenntnisse erforderlich. Weitere Informationen zu CORS finden Sie jedoch unter http://enable-cors.org/.

  • Um den Webzugriff auf Speicherzonenkonnektoren zu unterstützen, fügen Sie der Content-Switching-Richtlinie, die für den Datenverkehr zu /cifs und /sp verwendet wird, einen Pfad (/ProxyService) hinzu.

Führen Sie die folgenden Schritte in Citrix ADC aus, nachdem Sie den Assistenten „Citrix ADC für ShareFile“ abgeschlossen haben.

  1. Erstellen Sie einen dritten virtuellen Lastenausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.

    2. Klicken Sie auf Hinzufügen.

    3. Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, beispielsweise SF_ZONE_OPTIONS
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    4. Klicken Sie sich durch, um den virtuellen Server zu erstellen.

    5. So binden Sie dieselben Dienste daran wie an die vom Assistenten erstellten virtuellen Lastausgleichsserver: Klicken Sie im Bildschirm „Virtueller Lastausgleichsserver“ gegenüber von „Dienst“ auf > und dann auf „Speichern“.

    6. Fügen Sie dem virtuellen Server ein Zertifikat hinzu.

  2. Erstellen Sie eine Richtlinie für den virtuellen Server, den Sie gerade hinzugefügt haben:
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Klicken Sie im Detailbereich auf „Hinzufügen“ und geben Sie dann die Werte für „Name“, „Virtueller Ziel-LB-Server“ und „Ausdruck“ an. Klicken Sie auf Ausdrucks-Editor und erstellen Sie dann diesen Ausdruck. Wählen Sie HTTP. Wählen Sie REQ. Wählen Sie METHODE. Wählen Sie EQ(String) und geben Sie OPTIONS ein. Der Ausdruck sollte wie folgt lauten: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Klicken Sie auf Fertig.

    4. Klicken Sie auf Erstellen.

  3. Binden Sie die soeben erstellte Richtlinie an den neuen virtuellen Lastenausgleichsserver:
    1. Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.

    2. Klicken Sie in der Liste auf den virtuellen Server und dann auf Bearbeiten.

    3. Navigieren Sie zum Abschnitt „Content Switching Policy Binding“ und klicken Sie auf „2 Content Switching Policies“.

    4. Klicken Sie auf Add binding.

    5. Wählen Sie die neue Inhaltsrichtlinie und den virtuellen Zielserver für den Lastenausgleich aus.

    6. Klicken Sie auf Bind.

    7. Klicken Sie auf Bindung bearbeiten und aktualisieren Sie die Priorität. Ändern Sie die Priorität der neuen Richtlinie, sodass sie die niedrigste Nummer der drei Richtlinien hat.

      Die Richtlinie mit dem niedrigsten Wert hat die höchste Priorität und wird daher zuerst bearbeitet.

  4. Aktualisieren Sie die Richtlinie, die für den Datenverkehr zu Speicherzonenkonnektoren verwendet wird (_SF_CIF_SP_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die Richtlinie _SF_CIF_SP_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

        || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

        HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      
  5. Aktualisieren Sie die Richtlinie, die für den Datenverkehr zu Speicherzonen für ShareFile-Daten verwendet wird (_SF_SZ_CSPOL):
    1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.

    2. Wählen Sie die Richtlinie _SF_SZ_CSPOL aus.

    3. Fügen Sie dem Richtlinienausdruck Folgendes hinzu:

        && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      Der vollständige Richtlinienausdruck sollte wie folgt lauten:

        HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

Konfigurieren Sie Citrix ADC für die schreibgeschützte Freigabe

Um die schreibgeschützte Freigabe zu unterstützen, müssen Benutzer auf Ihren Microsoft Office Web Apps Server (OWA) zugreifen können. Wenn Ihr OWA-Server extern über eine eigene Adresse zugänglich ist, sollte für Ihren StorageZones Controller keine zusätzliche Citrix ADC-Konfiguration erforderlich sein.

Wenn Sie den StorageZones Controller und den Office Web App Server mithilfe der Content Switching-Richtlinien von Citrix ADC auf einer einzigen externen Adresse kombinieren möchten, müssen Sie nach Abschluss des Assistenten „Citrix ADC für ShareFile“ zusätzliche Citrix ADC-Konfigurationen durchführen. Die Citrix ADC-Konfiguration ist erforderlich, um sicherzustellen, dass der Datenverkehr ordnungsgemäß an Ihren extern zugänglichen OWA-Server weitergeleitet wird.

Sobald die folgenden Citrix ADC-Regeln konfiguriert sind, können Administratoren die vorhandene externe Adresse ihrer Storage Zones Controller-Zone wiederverwenden, sodass keine zusätzliche externe Adresse für OWA erstellt werden muss.

So erstellen und konfigurieren Sie einen zusätzlichen virtuellen Citrix ADC-Lastausgleichsserver:

  1. Erstellen Sie einen zusätzlichen Lastenausgleichsdienst.
    • Navigieren Sie zu Traffic Management > Load Balancing > Services.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die erforderlichen Informationen ein, um einen Dienst zu erstellen, der Ihrem/Ihren OWA-Server(n) entspricht. Klicken Sie auf OK.
  2. Erstellen Sie einen zusätzlichen virtuellen Lastenausgleichsserver:
    • Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
    • Klicken Sie auf Hinzufügen.
    • Geben Sie die folgenden Werte an:

      Option Wert
      Name Ein Richtlinienname, beispielsweise SF_OWA_vServer
      Protokoll SSL
      IP-Adresstyp Nicht adressierbar
    • Klicken Sie sich durch, um den virtuellen Server zu erstellen.
    • Um den virtuellen Server an den OWA-Dienst zu binden, den Sie im vorherigen Schritt erstellt haben, klicken Sie auf Lastenausgleich – Bindung virtueller Dienste > Dienst auswählen. Aktivieren Sie das Kontrollkästchen neben dem Dienst, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Select.
    • Klicken Sie auf Bind.
  3. Erstellen Sie eine neue Richtlinie zum Weiterleiten des Datenverkehrs an Ihren OWA-Server.
    • Navigieren Sie zu Traffic Management > Content Switching > Richtlinien.
    • Wählen Sie Hinzufügen aus.
    • Geben Sie der Richtlinie einen Namen.
    • Fügen Sie den folgenden Ausdruck hinzu: - HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) HTTP.REQ.URL.CONTAINS(“/x/”) HTTP.REQ.URL.CONTAINS(“/wv/”)
            The full policy expression should be as follows:
            
          HTTP.REQ.URL.CONTAINS("/hosting/discovery")
          \|| HTTP.REQ.URL.CONTAINS\(\"/x/\")
          \|| HTTP.REQ.URL.CONTAINS\(\"/wv/\")
          \|| HTTP.REQ.URL.CONTAINS\(\"/p/\")
      
  4. Aktualisieren Sie die Priorität der neuen Richtlinie im virtuellen Lastenausgleichsserver.
    • Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server.
    • Klicken Sie auf den virtuellen Lastausgleichsserver und wählen Sie dann „Content Switching Policies“ aus.
    • Ändern Sie die Priorität der Richtlinien so, dass die Richtlinie (Beispiel) „_SF_OWA“ die drittwichtigste ist.

      Priorität Richtlinienname
      90 SF_ZK_OPTIONEN
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Klicken Sie auf Schließen. Klicken Sie aufFertig

Erstellen eines Monitors für den StorageZones Controller-Dienst

Standardmäßig pingt Citrix ADC den StorageZones Controller-Server an, um festzustellen, ob er online ist. Selbst wenn der Controller online ist, kann er möglicherweise keine Heartbeat-Nachrichten an die ShareFile-Website senden. In diesem Fall sendet Citrix ADC Datenverkehr an den Storage Zones Controller, obwohl es nicht mit ShareFile kommuniziert.

Um die ausgehende Konnektivität des Speicherzonencontrollers zu ShareFile zu überprüfen, können Sie einen Monitor erstellen, der heartbeat.aspx überprüft, und ihn für jeden Speicherzonencontroller an den Citrix ADC-Dienst binden.

      add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "***ONLINE***” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_Svc ist der Citrix ADC-Dienst, der einem StorageZones Controller entspricht. Dieser Dienstname wird automatisch vom Citrix ADC-Assistenten für ShareFile erstellt. Der Dienstname enthält die IP-Adresse des Controllers, beispielsweise SF_SVC_IP-Adresse.

-secure YES ist erforderlich, wenn der Dienst auf Port 443 lauscht.

Überprüfen der Citrix ADC-Konfiguration

Nachdem Sie den Assistenten abgeschlossen haben, gehen Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server , um den Status der vom Assistenten erstellten virtuellen Lastenausgleichsserver anzuzeigen.

Anzeigen des Durchsatzes von ShareFile-Anfragen über Citrix ADC

Durchsatzstatistiken finden Sie im Dashboard-Menü .