Storage zones controller

Configurar Citrix ADC para los controladores de zonas de almacenamiento

NetScaler, versión 10.1 build 120.1316.e y posteriores, incluye un asistente que le pide información básica sobre el entorno del controlador de zonas de almacenamiento. A continuación, genera una configuración que:

  • Equilibra la carga del tráfico entre los controladores de zonas de almacenamiento
  • Proporciona autenticación de usuarios para conectores de zonas de almacenamiento
  • Valida las firmas URI para cargas y descargas de ShareFile
  • Termina las conexiones SSL en el dispositivo Citrix ADC

El diagrama muestra estos componentes de Citrix ADC creados por la configuración:

  • Servidor virtual de conmutación de contenido Citrix ADC: envía solicitudes de datos de los usuarios desde ShareFile y desde los conectores de zona de almacenamiento al servidor virtual de equilibrio de carga de Citrix ADC apropiado.
  • Servidor virtual de equilibrio de carga Citrix ADC: la carga equilibra el tráfico de los controladores de zonas de almacenamiento y también gestiona lo siguiente:
    • Para las solicitudes de datos de su almacenamiento de datos privado, un servidor virtual de equilibrio de carga realiza la validación de hash para garantizar que las firmas URI válidas estén presentes en las solicitudes entrantes.

    • Para las solicitudes de datos de los conectores de zonas de almacenamiento, un servidor virtual de equilibrio de carga puede realizar la autenticación del usuario. Detiene una solicitud de usuario en Citrix ADC, autentica al usuario y, a continuación, realiza el inicio de sesión único del usuario en el controlador de zonas de almacenamiento.

    Nota:

    La autenticación en los conectores de zonas de almacenamiento a través de Citrix ADC es opcional. Debido a un problema conocido, si la autenticación está habilitada en Citrix ADC, los conectores de zona de almacenamiento de WebApp no funcionan en los exploradores Chrome, Chromium, Safari y Edge. Es compatible con otros exploradores y clientes de escritorio/móviles.

A partir del controlador de zonas de almacenamiento 4.0, los administradores pueden limitar las conexiones entrantes a los controladores de zonas de almacenamiento a TLS v1.2. Si los protocolos anteriores a TLS v1.2 están inhabilitados para el tráfico entrante al controlador de la zona de almacenamiento, todos los componentes del software cliente que interactúan con la zona de almacenamiento también deben admitir TLS v1.2. Haga clic aquí para obtener información adicional e instrucciones de configuración.

Nota:

Para configurar versiones de NetScaler anteriores a 10.1 compilación 120.1316.e, consulte Configurar Citrix ADC manualmente.

La configuración del asistente Citrix ADC para ShareFile no controla la configuración requerida para usar Citrix Endpoint Management como proveedor de identidad SAML para ShareFile. Para obtener más información, haga clic aquí.

Requisitos previos

  • Una configuración de Citrix ADC que funcione
  • Certificado de seguridad: si uno aún no está disponible en Citrix ADC, el asistente le permite instalar uno en el servidor virtual de conmutación de contenido.
  • Información sobre la configuración de Active Directory (el asistente Citrix ADC para ShareFile debe completarse con la licencia de Citrix NetScaler Enterprise Edition):
    • Dirección IP y puerto del servidor de Active Directory
    • Nombre de dominio de Active Directory
    • DN base LDAP donde se almacenan los usuarios
    • Nombre de cuenta y contraseña de una cuenta de administrador que tiene permisos para comunicarse con Active Directory

Configurar Citrix ADC para controladores de zonas de almacenamiento

En los siguientes pasos se describe cómo utilizar el asistente Citrix ADC para ShareFile.

  1. Inicie sesión en el dispositivo Citrix ADC y, en la ficha Configuración, vaya a Administración del tráfico.

  2. En Citrix ShareFile, haga clic en Configurar Citrix ADC para ShareFile.

    También puede acceder al asistente de la siguiente manera: En Movilidad, haga clic en Configurar Endpoint Management, ShareFile y Citrix Gateway.

  3. Proporcione la información solicitada en el asistente.

Opción Descripción
Nombre Nombre para mostrar del servidor virtual de conmutación de contenido.
Dirección IP La dirección IP externa (pública o DMZ) que se utilizará para el servidor virtual de conmutación de contenido. Si usa una dirección IP DMZ, debe definir una asignación de traducción de direcciones de red (NAT) desde su dirección de firewall externo a esta dirección IP DMZ.
Datos de ShareFile Esta opción está habilitada, lo que indica que utilizará la conexión Citrix ADC para las zonas de almacenamiento de datos de ShareFile.
conectores de zona de almacenamiento para recursos compartidos de archivos de red/SharePoint Si usa conectores y quiere realizar la autenticación de usuarios en Citrix ADC, seleccione la casilla de verificación.
Certificado Elija un certificado o instale uno para el servidor virtual de conmutación de contenido. Si elige instalar un certificado, se le pedirá que cargue el certificado y la clave privada. Para las zonas estándar, los certificados deben ser de confianza pública y no autofirmados.
dirección IP del controlador de zonas de almacenamiento Las direcciones IP internas de uno o más servidores de controladores de zonas de almacenamiento. Estas direcciones IP definen los servidores del controlador de zonas de almacenamiento como entidades dentro de Citrix ADC. Si ya agregó los servidores a Citrix ADC, haga clic en Agregar de existente y seleccione los servidores. Para usar Citrix ADC para el equilibrio de carga, introduzca una dirección IP interna para cada servidor del controlador de zonas de almacenamiento. Para usar Citrix ADC solo para SSL y autenticación, introduzca solo una dirección IP.
Puerto y protocolo El puerto y el protocolo utilizados para la comunicación desde Citrix ADC a los controladores de zonas de almacenamiento.
La dirección IP del servidor virtual de autenticación, autorización y auditoría (Citrix ADC AAA) Una dirección IP interna no utilizada para el servidor virtual AAA de Citrix ADC. Citrix ADC crea este servidor virtual para su propio uso. El servidor no requiere acceso externo.
Dirección IP y puerto del servidor LDAP La dirección IP y el puerto del servidor de Active Directory. Si ya agregó un servidor LDAP a Citrix ADC, haga clic en la ficha Elegir LDAP y elija el servidor.
Se acabó el tiempo El número máximo de segundos que Citrix ADC espera una respuesta del servidor LDAP. El valor predeterminado es 3 segundos. El valor mínimo es de 1 segundo.
Dominio de inicio de sesión único El nombre de dominio de Active Directory.
DN base (ubicación de los usuarios) Nombre distintivo (DN) base de LDAP en el que se almacenan los usuarios. Especifique el DN con el formato general: CN=Users, dc=domain, DC=net
DN y contraseña de enlace de administrador Una cuenta de administrador que tiene permisos para comunicarse con Active Directory.
Nombre de inicio de sesión Atributo LDAP, utilizado por Citrix ADC para determinar si los usuarios inician sesión con su nombre de usuario o dirección de correo electrónico. El valor predeterminado es sAMAccountName, que permite a los usuarios iniciar sesión con sus nombres de usuario. Para solicitar a los usuarios que introduzcan su dirección de correo electrónico para iniciar sesión, cambie este campo a userPrincipalName.

Configurar Citrix ADC para el acceso web a los conectores

Para admitir el acceso web a los conectores de zonas de almacenamiento, debe realizar una configuración adicional de Citrix ADC después de completar el asistente de Citrix ADC para ShareFile.

  • Cree y configure un tercer servidor virtual de equilibrio de carga de Citrix ADC, que se utiliza para garantizar que los clientes de ShareFile envíen credenciales solo cuando inicien sesión en un dominio de ShareFile de confianza.

    Como se describe en los pasos siguientes, configurará el servidor virtual adicional para permitir el acceso anónimo de los clientes para el verbo HTTP OPTIONS. La solicitud OPTIONS pasa al controlador de zonas de almacenamiento sin autenticarse y sin llamadas HTTPS para validar la firma. La comprobación previa de CORS valida la confianza del dominio antes de enviar las credenciales.

    No es necesario comprender CORS para realizar la configuración. Sin embargo, para obtener más información sobre CORS, consulte http://enable-cors.org/.

  • Para admitir el acceso web a los conectores de zonas de almacenamiento, agregue una ruta (/ProxyService) a la directiva de conmutación de contenido utilizada para el tráfico a /cifs y /sp.

Realice los siguientes pasos en Citrix ADC después de completar el asistente de Citrix ADC para ShareFile.

  1. Cree un tercer servidor virtual de equilibrio de carga:
    1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.

    2. Haga clic en Agregar.

    3. Especifique los valores siguientes:

      Opción Valor
      Nombre Un nombre de directiva, como SF_ZONE_OPTIONS
      Protocolo SSL
      Tipo de dirección IP No direccionable
    4. Haga clic en para crear el servidor virtual.

    5. Para vincular los mismos servicios que los servidores virtuales de equilibrio de carga creados por el asistente: En la pantalla Servidor virtual de equilibrio de carga, en Servicio, haga clic en > y, a continuación, en Guardar.

    6. Agregue un certificado al servidor virtual.

  2. Cree una directiva para el servidor virtual que acaba de agregar:
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. En el panel de detalles, haga clic en Agregar y, a continuación, especifique los valores Nombre, Servidor virtual LB de destino y Expresión. Haga clic en Editor de expresiones y, después, cree esta expresión. Selecciona HTTP. Seleccione REQ. Seleccione MÉTODO. Seleccione EQ (cadena) y escriba OPTIONS. La expresión debe ser la siguiente: HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Haga clic en Listo.

    4. Haga clic en Crear.

  3. Enlace la directiva que acaba de crear al nuevo servidor virtual de equilibrio de carga:
    1. Vaya a Administración del tráfico > Cambio de contenido > Servidores virtuales.

    2. En la lista, haga clic en el servidor virtual y haga clic en Modificar.

    3. Vaya a la sección Vinculación de directivas de conmutación de contenido y haga clic en 2 directivas de conmutación de contenido.

    4. Haga clic en Agregar enlace.

    5. Seleccione la nueva directiva de contenido y seleccione el servidor virtual de equilibrio de carga de destino.

    6. Haga clic en Bind.

    7. Haga clic en Modificar enlace y actualice la prioridad. Cambie la prioridad de la nueva directiva para que tenga el número más bajo de las tres directivas.

      La directiva con el valor más bajo tiene la prioridad más alta y, por lo tanto, se maneja primero.

  4. Actualice la directiva utilizada para el tráfico a los conectores de zonas de almacenamiento (_SF_CIF_SP_CSPOL):
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. Seleccione la directiva _SF_CIF_SP_CSPOL.

    3. Agregue lo siguiente a la expresión de directiva:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      

      La expresión de directiva completa debe ser la siguiente:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      <!--NeedCopy-->
      
  5. Actualice la directiva utilizada para el tráfico a las zonas de almacenamiento de datos de ShareFile (_SF_SZ_CSPOL):
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. Seleccione la directiva _SF_SZ_CSPOL.

    3. Agregue lo siguiente a la expresión de directiva:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

      La expresión de directiva completa debe ser la siguiente:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      <!--NeedCopy-->
      

Configurar Citrix ADC para compartir de solo lectura

Para admitir el uso compartido de solo lectura, los usuarios deben poder acceder a Microsoft Office Web Apps Server (OWA). Si su servidor OWA es accesible externamente en su propia dirección, no se debe requerir ninguna configuración adicional de Citrix ADC para el controlador de zonas de almacenamiento.

Si quiere combinar el controlador de zonas de almacenamiento y Office Web App Server en una sola dirección externa mediante directivas de conmutación de contenido de Citrix ADC, debe realizar una configuración adicional de Citrix ADC después de completar el asistente de Citrix ADC para ShareFile. La configuración de Citrix ADC es necesaria para garantizar que el tráfico se enrute correctamente a su servidor OWA de acceso externo.

Una vez configuradas las siguientes reglas de Citrix ADC, los administradores pueden reutilizar la dirección externa existente de su zona de controlador de zonas de almacenamiento, lo que elimina la necesidad de crear una dirección externa adicional para OWA.

Para crear y configurar un servidor virtual de equilibrio de carga Citrix ADC adicional:

  1. Crea un servicio de equilibrio de carga adicional.
    • Vaya a Administración de Tráfico > Equilibrio de carga > Servicios.
    • Haga clic en Agregar.
    • Introduzca la información requerida para crear un servicio que corresponda a sus servidores de OWA. Haga clic en Aceptar.
  2. Cree un servidor virtual de equilibrio de carga adicional:
    • Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
    • Haga clic en Agregar.
    • Especifique los valores siguientes:

      Opción Valor
      Nombre Un nombre de directiva, como SF_OWA_vServer
      Protocolo SSL
      Tipo de dirección IP No direccionable
    • Haga clic en para crear el servidor virtual.
    • Para vincular el servidor virtual al servicio OWA que creó en el paso anterior, haga clic en Enlace de servicio virtual de equilibrio de carga > Seleccionar servicio. Haga clic en la casilla de verificación junto al servicio que creó en el paso anterior.
    • Haga clic en Seleccionar.
    • Haga clic en Bind.
  3. Cree una nueva directiva para enrutar el tráfico a su servidor OWA.
    • Vaya a Administración del tráfico > Cambio de contenido > Directivas.
    • Seleccione Agregar.
    • Nombra la directiva.
    • Agregue la siguiente expresión:
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        La expresión de directiva completa debe ser la siguiente:

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS("/x/") || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. Actualizar la prioridad de la nueva directiva en el entorno virtual de equilibrio de carga
    • Vaya a Administración del tráfico > Cambio de contenido > Servidores virtuales.
    • Haga clic en el servidor virtual de equilibrio de carga y seleccione Directivas de conmutación de contenido.
    • Cambie la prioridad de las directivas para que la directiva (Ejemplo) “_SF_OWA” sea la tercera en prioridad.

      Prioridad Nombre de la directiva
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Haga clic en Cerrar. Haga clic en Listo.

Crear un monitor para el servicio de controlador de zonas de almacenamiento

De forma predeterminada, Citrix ADC hace ping al servidor del controlador de zonas de almacenamiento para determinar si está en línea. Sin embargo, incluso si el controlador está en línea, es posible que no pueda enviar mensajes de latido al sitio web de ShareFile. En ese caso, Citrix ADC enviará tráfico al controlador de zonas de almacenamiento aunque no se comunique con ShareFile.

Para verificar la conectividad saliente del controlador de zonas de almacenamiento a ShareFile, puede crear un monitor que compruebe heartbeat.aspx y lo vincule al servicio Citrix ADC para cada controlador de zonas de almacenamiento.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->

StorageZone_Svc es el servicio Citrix ADC que corresponde a un controlador de zonas de almacenamiento. El asistente Citrix ADC para ShareFile crea automáticamente ese nombre de servicio. El nombre del servicio incluye la dirección IP del controlador, como SF_SVC_ip-address.

-secure YES se requiere si el servicio escucha en el puerto 443.

Comprobar la configuración de Citrix ADC

Después de completar el asistente, vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales para ver el estado de los servidores virtuales de equilibrio de carga creados por el asistente.

Ver el rendimiento de las solicitudes de ShareFile a través de Citrix ADC

Las estadísticas de rendimiento se pueden encontrar en el menú Panel de control.

Configurar Citrix ADC para los controladores de zonas de almacenamiento