ストレージゾーンコントローラー用のCitrix ADCの構成
NetScaler、バージョン10.1ビルド120.1316.e以降には、ストレージゾーンコントローラー環境に関する基本情報の入力を求めるウィザードが含まれています。次に、次のような構成を生成します。
- ストレージゾーンコントローラー 間でトラフィックの負荷を分散します
- ストレージゾーンコネクタのユーザー認証を提供
- ShareFile アップロードとダウンロードの URI 署名を検証します。
- Citrix ADCアプライアンスでのSSL接続を終了します
この図は、構成によって作成される次のCitrix ADCコンポーネントを示しています。
- Citrix ADCコンテンツスイッチング仮想サーバー — ShareFileおよびストレージゾーンコネクタからのデータに対するユーザー要求を、適切なCitrix ADC負荷分散仮想サーバーに送信します。
-
Citrix ADC 負荷分散仮想サーバー- ストレージゾーンコントローラーのトラフィックを負荷分散し、次の処理も行います。
-
プライベートデータストレージからのデータの要求については、負荷分散仮想サーバーがハッシュ検証を実行し、着信要求に有効な URI シグネチャが存在することを確認します。
-
ストレージゾーンコネクタからのデータの要求に対して、負荷分散仮想サーバーはユーザー認証を実行できます。これは、Citrix ADC でユーザー要求を停止し、ユーザーを認証し、ストレージゾーンコントローラー にユーザーのシングルサインオンを実行します。
注:
Citrix ADCを介したストレージゾーンコネクタへの認証はオプションです。既知の問題により、Citrix ADCで認証が有効になっている場合、WebAppのストレージゾーンコネクタはChrome、Chromium、Safari、Edgeブラウザーでは機能しません。他のブラウザーやデスクトップ/モバイルクライアントと互換性があります。
-
ストレージゾーンコントローラー 4.0 以降、管理者はストレージゾーンコントローラーへの受信接続を TLS v1.2 に制限できます。TLS v1.2 より前のプロトコルがストレージゾーンコントローラーへのインバウンドトラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートしている必要があります。詳細および構成手順については、ここをクリックしてください。
注:
10.1ビルド120.1316.eより前のNetScalerバージョンをセットアップするには、「 Citrix ADCを手動で構成する」を参照してください。
Citrix ADC for ShareFileウィザードのセットアップでは、Citrix Endpoint ManagementをShareFileのSAML IDプロバイダーとして使用するために必要な構成は処理されません。詳しくは、 ここをクリックしてください。
前提条件
- 動作中のCitrix ADC構成
- セキュリティ証明書:Citrix ADCでセキュリティ証明書がまだ利用できない場合は、ウィザードでコンテンツスイッチング仮想サーバーにインストールできます。
- Active Directory 構成に関する情報(ShareFile用Citrix ADCウィザードは、Citrix NetScalerエンタープライズエディションのライセンスを使用して完了する必要があります)
- Active Directory サーバーの IP アドレスとポート
- Active Directory ドメイン名
- ユーザーが格納されるLDAPベースDN
- Active Directory と通信するためのアクセス許可を持つ管理者アカウントのアカウント名とパスワード
Citrix ADC をストレージゾーンコントローラー用に構成する
次の手順では、ShareFile用Citrix ADCウィザードの使用方法について説明します。
-
Citrix ADCアプライアンスにログオンし、[Configuration]タブで[Traffic Management]に移動します。
-
[Citrix ShareFile]で、[ShareFile用にCitrix ADCをセットアップする]をクリックします。
次の方法でウィザードにアクセスすることもできます。[モビリティ] で、[ Endpoint Management]、[ShareFile]、および [Citrix Gateway] をクリックします。
-
ウィザードで要求された情報を入力します。
オプション | 説明 |
---|---|
名前 | コンテンツスイッチング仮想サーバーの表示名。 |
IPアドレス | コンテンツスイッチング仮想サーバーに使用される外部(パブリックまたは DMZ)の IP アドレス。DMZ IP アドレスを使用する場合は、外部ファイアウォールアドレスからこの DMZ IP アドレスへのネットワークアドレス変換(NAT)マッピングを定義する必要があります。 |
ShareFile データ | このオプションが有効になり、ShareFile Data用のストレージゾーンにCitrix ADC接続を使用することを示します。 |
ネットワークファイル共有/SharePointのストレージゾーンコネクタ | コネクタを使用し、Citrix ADCでユーザー認証を実行する場合は、チェックボックスをオンにします。 |
証明書 | コンテンツスイッチ仮想サーバー用の証明書を選択するか、証明書をインストールします。証明書をインストールする場合は、証明書と秘密キーをアップロードするように求められます。標準ゾーンの場合、証明書はパブリックに信頼され、自己署名されていない必要があります。 |
ストレージゾーンコントローラ IP アドレス | 1 つ以上のストレージゾーンコントローラー サーバーの内部 IP アドレス。これらのIPアドレスは、ストレージゾーンコントローラサーバーをCitrix ADC内のエンティティとして定義します。Citrix ADCにサーバーを追加済みの場合は、[既存から追加]をクリックしてサーバーを選択します。Citrix ADC を負荷分散に使用するには、各ストレージゾーンコントローラーサーバーの内部IPアドレスを入力します。SSLと認証にのみCitrix ADCを使用するには、IPアドレスを1つだけ入力します。 |
ポートとプロトコル | Citrix ADCからストレージゾーンコントローラーへの通信に使用されるポートとプロトコル。 |
認証、承認、監査(Citrix ADC AAA)仮想サーバーのIPアドレス | Citrix ADC AAA仮想サーバーの未使用の内部IPアドレス。Citrix ADCは、この仮想サーバーを独自に使用するために作成します。サーバーは外部アクセスを必要としません。 |
LDAP サーバーの IP アドレスとポート | Active Directory サーバーの IP アドレスとポート。Citrix ADCにLDAPサーバーを追加済みの場合は、[LDAPの選択]タブをクリックしてサーバーを選択します。 |
タイムアウト | Citrix ADCがLDAPサーバーからの応答を待機する最大秒数。デフォルトは 3 秒です。最小値は 1 秒です。 |
シングルサインオンドメイン | Active Directory ドメイン名。 |
ベース DN(ユーザーの場所) | ユーザーが格納される LDAP ベース識別名 (DN)。CN=ユーザー、dc=ドメイン、DC=NET という一般的な形式を使用して DN を指定します。 |
管理者バインド DN とパスワード | Active Directory と通信するためのアクセス許可を持つ管理者アカウント。 |
ログオン名 | ユーザーがユーザー名または電子メールアドレスのどちらでログオンするかを判断するためにCitrix ADCが使用するLDAP属性。デフォルトは sAMAccountName で、ユーザーは自分のユーザー名でログオンできます。ログオン時に電子メールアドレスの入力をユーザーに要求するには、このフィールドを userPrincipalName に変更します。 |
コネクタへのWebアクセス用にCitrix ADCを構成する
ストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFileウィザードを完了した後に、追加のCitrix ADC構成を実行する必要があります。
-
3番目のCitrix ADC負荷分散仮想サーバーを作成して構成します。この仮想サーバーを使用して、ShareFileクライアントが信頼されたShareFileドメインにログオンしたときにのみ資格情報が送信されるようにします。
次の手順で説明するように、HTTP OPTIONS 動詞のクライアントからの匿名アクセスを許可するように、追加の仮想サーバーを構成します。OPTIONS リクエストは、認証されず、HTTPS コールアウトなしでストレージゾーンコントローラー に渡されて署名を検証します。CORS プリフライトチェックは、資格情報を送信する前にドメインの信頼を検証します。
設定を実行するために、CORS を理解する必要はありません。ただし、CORS の詳細については、「」を参照してください http://enable-cors.org/。
-
ストレージゾーンコネクタへの Web アクセスをサポートするには、/cifs および /sp へのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) を追加します。
ShareFile用Citrix ADCウィザードを完了したら、Citrix ADCで以下の手順を実行します。
- 3 番目の負荷分散仮想サーバを作成します。
-
Traffic Management > Load Balancing > Virtual Serversに移動します。
-
[追加] をクリックします。
-
次の値を指定します。
オプション 値 名前 ポリシー名(SF_ZONE_OPTIONS など) プロトコル SSL IP アドレスの種類 アドレス不能 -
クリックして仮想サーバを作成します。
-
ウィザードで作成した負荷分散仮想サーバーと同じサービスをバインドするには、[負荷分散仮想サーバー] 画面の [サービス] で、[>] をクリックし、[保存] をクリックします。
-
仮想サーバーに証明書を追加します。
-
- 追加した仮想サーバーのポリシーを作成します。
-
Traffic Management > Content Switching > Policiesに移動します。
-
詳細ウィンドウで、[追加] をクリックし、[名前]、[ターゲット LB 仮想サーバー]、および [式] の値を指定します。エクスプレッションエディタ (Expression Editor) をクリックし、このエクスプレッションを作成します。[ HTTP] を選択します。[ REQ] を選択します。「 方法」を選択します。EQ (文字列) を選択し、「オプション」と入力します。式は次のように読む必要があります。
HTTP.REQ.METHOD.EQ("OPTIONS")
-
[完了] をクリックします。
-
[Create] をクリックします。
-
- 作成したポリシーを新しい負荷分散仮想サーバーにバインドします。
-
Traffic Management > Content Switching > Virtual Serversに移動します。
-
一覧で、仮想サーバーをクリックし、[ 編集] をクリックします。
-
[Content Switching Policy Binding ] セクションに移動し、[2 Content Switching Policies] をクリックします。
-
[バインドを追加]をクリックします。
-
新しいコンテンツポリシーを選択し、ターゲット負荷分散仮想サーバを選択します。
-
[バインド] をクリックします。
-
[ バインドを編集 ] をクリックし、[ 優先度] を更新します。新しいポリシーの優先順位を変更して、3 つのポリシーのうち最も小さい番号にします。
値が最も小さいポリシーは最も高いプライオリティを持つため、最初に処理されます。
-
- ストレージゾーンコネクタ (_SF_CIF_SP_CSPOL) へのトラフィックに使用されるポリシーを更新します。
-
Traffic Management > Content Switching > Policiesに移動します。
-
_SF_CIF_SP_CSPOL ポリシーを選択します。
-
ポリシー式に以下を追加します。
|| HTTP.REQ.URL.CONTAINS("/ProxyService/") <!--NeedCopy-->
完全なポリシー表現は、次のようになります。
HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") || HTTP.REQ.URL.CONTAINS("/ProxyService/") <!--NeedCopy-->
-
- ShareFile データ(_SF_SZ_CSPOL)のストレージゾーンへのトラフィックに使用されるポリシーを更新します。
-
Traffic Management > Content Switching > Policiesに移動します。
-
_SF_SZ_CSPOL ポリシーを選択します。
-
ポリシー式に以下を追加します。
&& HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT <!--NeedCopy-->
完全なポリシー表現は、次のようになります。
HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT <!--NeedCopy-->
-
表示専用共有用にCitrix ADCを構成する
表示専用の共有をサポートするには、ユーザーが Microsoft Office Web アプリケーションサーバー (OWA) にアクセスできる必要があります。OWAサーバーが独自のアドレスで外部からアクセスできる場合は、ストレージゾーンコントローラーに追加のCitrix ADC構成は必要ありません。
Citrix ADCコンテンツスイッチングポリシーを使用してストレージゾーンコントローラーとOffice Web App Serverを単一の外部アドレスに結合する場合は、Citrix ADC for ShareFileウィザードの完了後に追加のCitrix ADC構成を実行する必要があります。トラフィックが外部からアクセス可能なOWAサーバーに正しくルーティングされるようにするには、Citrix ADC構成が必要です。
次のCitrix ADCルールを構成すると、管理者はストレージゾーンのコントローラゾーンの既存の外部アドレスを再利用できるため、OWA用に追加の外部アドレスを作成する必要がなくなります。
追加のCitrix ADC負荷分散仮想サーバーを作成して構成するには:
- 追加の負荷分散サービスを作成します。
- Traffic Management > Load Balancing > Servicesに移動します。
- [追加] をクリックします。
- OWA サーバーに対応するサービスを作成するために必要な情報を入力します。[OK] をクリックします。
- 追加の負荷分散仮想サーバを作成します。
- Traffic Management > Load Balancing > Virtual Serversに移動します。
- [追加] をクリックします。
-
次の値を指定します。
オプション 値 名前 ポリシー名(SF_owa_vServer など) プロトコル SSL IP アドレスの種類 アドレス不能 - クリックして仮想サーバを作成します。
- 前の手順で作成した OWA サービスに仮想サーバーをバインドするには、[ 負荷分散仮想サービスバインド]、[サービスの選択] の順にクリックします。前の手順で作成したサービスの横にあるチェックボックスをクリックします。
- [選択] をクリックします。
- [バインド] をクリックします。
- OWA サーバーへのトラフィックのルーティングに使用する新しいポリシーを作成します。
- Traffic Management > Content Switching > Policiesに移動します。
- [Add] を選択します。
- ポリシーの名前を指定します。
- 次の式を追加します。
-
HTTP.REQ.URL.CONTAINS (「/wv/」) || HTTP.REQ.URL.CONTAINS (「/x/」) || HTTP.REQ.URL.CONTAINS (「/wv/」) || HTTP.REQ.URL.CONTAINS (「/p/」)
完全なポリシー表現は、次のようになります。
HTTP.REQ.URL.CONTAINS (「/ホスティング/ディスカバリー」) || HTTP.REQ.URL.CONTAINS (「/x/」) || HTTP.REQ.URL.CONTAINS (「/wv/」) || HTTP.REQ.URL.CONTAINS (「/p/」)
-
- 負荷分散仮想内の新しいポリシーの優先順位を更新します。
- Traffic Management > Content Switching > Virtual Servers に移動します。
- 負荷分散仮想サーバをクリックし、[コンテンツスイッチングポリシー] を選択します。
-
(例)「_SF_OWA」ポリシーが 3 番目に優先されるように、ポリシーの優先度を変更します。
優先度 ポリシー名 90 SF_ZK_OPTIONS 95 _SF_CIF_SP_SPOL 99 _SF_OWA 100 _SF_SZ_CSPOL
- [閉じる] をクリックします。[ 完了] をクリックします
ストレージゾーンコントローラー サービスのモニターを作成する
デフォルトでは、Citrix ADC はストレージゾーンコントローラーサーバーにpingを送信して、オンラインかどうかを判断します。ただし、コントローラーがオンラインであっても、ShareFile Web サイトにハートビートメッセージを送信できない場合があります。その場合、Citrix ADCはShareFileと通信していませんが、ストレージゾーンコントローラーにトラフィックを送信します。
ShareFile へのストレージゾーンコントローラーのアウトバウンド接続を確認するには、heartbeat.aspx をチェックするモニターを作成し、各ストレージゾーンコントローラーの Citrix ADC サービスにバインドします。
add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat
<!--NeedCopy-->
StorageZone_SVC は、ストレージゾーンコントローラーに対応するCitrix ADC サービスです。このサービス名は、Citrix ADC for ShareFileウィザードによって自動的に作成されます。サービス名には、SF_SVC_IP-Address など、コントローラの IP アドレスが含まれます。
-secure サービスがポート 443 でリッスンしている場合は、YES が必要です。
Citrix ADC の構成を確認する
ウィザードを完了したら、[ トラフィック管理] > [負荷分散] > [仮想サーバー ] の順に選択し、ウィザードによって作成された負荷分散仮想サーバーのステータスを表示します。
Citrix ADCを介したShareFile要求のスループットを表示する
スループット統計は、[ ダッシュボード] メニューに表示されます 。