Установка Citrix XenDesktop 7.1
План настройки XenDesktop 7.1 у мене такий (тут)
- Налаштування контролера домену (тут)
- Установка vCenter server, створення кластеру, підключення хоста ESXi (тут)
- Установка XenDesktop 7.1 (тут)
- створюємо Site (тут)
- налаштовуємо «золотий образ» термінального сервера (тут)
- створюємо Machine Catalog, Delivery Group (тут)
- підключаємося через браузер (тут)
- поширюємо ПО через «золотий образ» (тут)
- можливості управління даними користувачів (тут)
- Віддалений доступ через NetScaler (тут)
- Тонкі клієнти для XenDesktop 7.1 (тут)
NetScaler Access Gateway
Програмний продукт (virtual appliance) який необхідний для організації віддаленого доступу до Citrix XenDesktop, старий Citrix XenApp, Citrix Mobile та інше. Я зазвичай публікую посилання на дистрибутиви та інструкції по отриманню тріальних ключів для тих у кого немає партнерського доступу. Цього разу допомогти не можу, не знаю, як користувачу з вулиці тестовий ключ отримати, якщо у вас вийде, зробіть скріншоти, надішліть мені будь ласка.
Одна з версій, що пояснює цю ситуацію, Acess Gateway настільки складний, що для його настройки обов'язково знадобиться допомога (координація, поради, наставництво) партнера Citrix. Типу того, що тріал не допоможе звичайному адміну, а навпаки, він розчарується в продукті і плюне на нього з високої дзвіниці.
В останніх версіях Netscaler Access Gateway розробники додали майстер настройки, ви вказуєте невелику кількість параметрів своєї інфраструктури, а візард створює купу налаштувань. Це, звичайно, вирішує проблему з налаштуванням, але якщо ви вирішуєте щось змінити, то простіше перевстановити AG, ніж шукати де потрібно змінювати параметри.
Я хочу показати, що віддалений доступ працює і його можна налаштувати, при виконанні правильного порядку дій.
Для настройки в «бойовій» середовищі вам буде потрібно дійсний SSL сертифікат для доменного імені. Коли зовнішні користувачі звертаються до NetScaler Access Gateway через браузер або безпосередньо через Citrix Receiver (Windows, Android) буде перевірятися валідність сертифіката, і якщо він самоподпісанний або термін його дії закінчився, то Receiver ругнется і не буде підключатися. У iOS версії Receiver є можливість відключити цю перевірку.
У мене немає сертифіката SSL, тому я викручуся, як зазвичай.
1-2 Заходжу під своїм обліковим записом на сайт Citrix, скачую Vitrual appliance для VMware. Існують також випуски для Hyper-V, для XenServer. Крайня доступна версія NetScaler Gateway 10.1.120.1216.e
3 імпортує скачаний апплайнс у віртуальне середовище, на моєму тестовому стенді це VMware Workstation, але ніякої різниці немає з ESXi
6 Потрапляю в майстер настройки, де вказую, необхідні параметри. Hostname повинен обов'язково збігатися з тим, для якого ви генерували ліцензії на порталі, регістр має значення.
7 Завантажую ліцензію, яку раніше скачав з порталу (на слайдах немає, як завантажувати ліцензію) через інтерфейс в AG
8-10 Після завантаження ліцензії та введення мережевих параметрів сервер повинен перезавантажитися.
11-12 Після завантаження, введення пароля потрапляємо в майстер настройки Access Gateway, це означає, що ліцензія була прийнята успішно і можна продовжувати. Якщо майстер у вас не запустився, то була допущена помилка і далі рухатися рано (таке часто буває)
14 Якщо є SSL сертифікат для зовнішнього доменного імені (для довідки, він платний) то на цій сторінці його можна додати, якщо немає, як в моєму випадку, то можна створити самоподпісанний. Але при підключенні до сайту по https буде видаватися попередження безпеки, до тих пір, поки в операційну систему нічого очікувати встановлено цей сертифікат. Також до установки сертифіката, підключення до Citrix XenDesktop проходити не будуть з обмеження Citrix Receiver.
Я створюю сертифікат для відмінного імені ag.itsave.ru
15 Налаштування аутентифікації. Коли користувач потрапляє на веб сторінку Access Gateway він повинен ввести зв'язку логін - пароль, і ця зв'язка повинна бути перевірена, в моєму випадку, на домен контролері. Щоб ця процедура працювала, я задаю такі настройки (на слайді). sAMAccountname - означає, що користувач повинен ввести логін в вигляді domain \ username
17 Перевіряю, що віртуальний сервер Access Gateway був коректно створений, кликаю по ньому, щоб перевірити настройки
18-23 Установка Java. Я радив використовувати IE Не просто так. Погано працює в Chrome, Firefox, Opera. І не у всіх версія IE, до речі, теж.
24 Пробіжимося по вкладках. Сертифікати, бачу що зараз задіяний створений раніше самоподпісанний сертифікат.
25-28 Перевіряю, чи правильно я ввів параметри аутентифікації.
29 Перевіряю, що зеленим вогником горить Secury ticket authority, значить що Access Gateway успішно з'єднався з StoreFront
31 Переходжу на сервер Citrix XenDesktop, настройка триває. Насамперед прописую придумане доменне ім'я ag.itsave.ru в файл hosts.
32 - 38 Установлюю самоподпісанний сертифікат з Access Gateway в операційну систему де встановлений Storefront. Це дуже важливий момент, тому що спілкування відбувається через 443 порт, сервер з XenDesktop повинен довіряти сертифікатам AG.
100% послідовності додавання сертифіката я добитися не можу, тому додаю його до тих пір, поки не побачу відсутності попередження в IE.
39 Потрібно в Citrix Desktop Studio в розділі Storefront активувати віддалений доступ через Access Gatewy, для цього включаємо метод аутентифікації pass-through. Це щоб користувач міг би ввести свій пароль на веб сторінці Acceess Gateway і він автоматом взявся тут, на StoreFront
40-44 Додаю інформація по Access Gateway.
45 Перевіряю, що додався метод аутентифікації pass-through. Також помічаю попередження, що сервер працює по http. Необхідно перевести його в режим роботи по https, для цього йдемо на IIS
46 В диспетчері серверів вибираємо роль IIS і відкриваємо консоль управління.
47 - 49 Створюємо самоподпісанний сертифікат, для доменного імені нашого сервера XenDesktop
50 -53 Тепер нам потрібна вкладка bindings для настройки відповідності сайту за замовчуванням (це і є сторінка StoreFront) і сертифіката.
57 -58 останній крок, дозволити доступ до Store через AG.
60-62 знову встановлюю самоподпісанний сертифікат, домагаюся відсутності помилок. Вводжу логін-пароль
63-70 відбувається перенаправлення на сторінку StoreFront, де я встановлюю Citrix Receiver, після чого бачу наявні програми. На цьому можна вважати настройку закінченою.
