NetScaler VPX configration

境搭建概述

本文主要介绍Netscaler的安装配置，以及与StoreFront相结合，实现外网访问内网资源。当用户访问时，Netscaler
Gateway Virtual Server将把请求转给 StoreFront，通过443端口，建立SSL连接。

基于CWC环境，DDC在云端，资源在本地，将Netscaler配置在本地，配合本地

StoreFront，通过Netscaler作为访问入口，以实现外网环境下对内网资源的访问。

环境部署中需要用到3个固定IP，分别是NSIP，VIP，SNIP。

NSIP，是 NetScaler 的管理 IP，用于对
NetScaler 本身进行一般的系统配置和管理访问的 IP 地址。

VIP，提供给客户端直接访问的 IP 地址，实际测试环境中需要将 VIP 443
端口，映射到公网。

SNIP，SNIP 用于 NetScaler 本身访问后端服务器使用。因为
NetScaler 的工作模式通常是部署在服务器群的前面，做为客户端和后端服务器之间的透明 TCP 代理，这个操作模式称为"请求交换技术"，是 NetScaler 功能的核心。当 NetScaler 做为 TCP 代理的时候，它会把客户机发过来的请求切断，然后自己建立一个
TCP 连接到后端的应用服务器，当后端应用服务器处理完毕以后再返回给 NetScaler，然后 NetScaler 再返回结果给用户。这个过程中，NetScaler
会使用 SNIP 做为向后端应用服务器请求的源地址。

VIP - 客户端访问的
IP 地址   192.168.0.2

NSIP - 自身配置和管理         192.168.0.3

SNIP - 访问后端服务器         192.168.0.4

在进行环境配置之前， 确保AD中已经安装了Active Directory Certificate Services 和Active Directory Lightweight Directory Services.

基础环境准备-DNS 解析配置

在AD上新建一条Host，这个域名将指向Netscaler的VIP，也就是Netscaler的入口域名。

Name: nstest

IP:  192.168.0.4    SNIP

配置完成后，可以在客户端ping一下设置的域名，查看该地址是否能被正确解析。

Netscaler的配置

NetScaler VPX  虚拟机导入

测试环节一般使用 NetScaler VPX 来进行，生产环境一般推荐使用 NetScaler MPX/SDX 硬件平台。导入之前，需要准备NetScaler VPX的镜像，以及license文件。下图是存放镜像的位置，分别对应3种不同的Hypervisor。

导入成功后，启动NetScaler VPX.

NetScaler基础配置

启动完成后，进入控制台，配置 NetScaler 管理 IP.

NetScaler’s IPv4 address(NSIP)：192.168.0.2

Netmask：255.255.255.0

Gateway IPv4address：192.168.0.1

配置完成后，输入4，保存配置。

管理NetScaler

登录管理界面

在浏览器中输入 NetScaler 管理地址，打开登录页面，输入用户名密码登录。

备注：使用浏览器管理必须提前安装好 JRE。

NetScaler管理地址： http://netscalerip     http://192.168.0.2

UserName:nsroot
  Password: nsroot

NetScaler基础配置

Host Name, DNS IP Address, TimeZone and NTP Server 可跳过。

Subnet IP Address（SNIP）:  192.168.0.3

Host Name: FQDN of your AG, not short name

(VIP的HostName)

HostName: nstest.lvda.com

DNS(域控IP): 192.168.0.22

TimeZone: 和域控在同一时区

导入licenses: 将准备好的licenses导入，导入后，可以在System菜单下检查状态，应该都是打勾状态。

ADC 13.0   license:  CNS_V3000_SERVER_PLT_Retail.lic

I.    检查DNS服务器状态

在“Traffic Management”选项卡中选择“DNS”->“Name Servers” 。在右侧的窗口中确认DNS 服务器状态正常。

State：Enabled
      Effective State：UP

I.    NetScaler服务器证书申请以及安装

On the Configuration tab, in the navigation pane, right-click NetScaler Gateway and click Enable.

On the Configuration tab, in the navigation pane, expand Traffic Management, right-click SSL and click Enable. Next, change the administrator password for the appliance.

On the Configuration tab, in the navigation pane, expand System > User Administration and click Users.

NetScaler服务器证书申请

在 VPX上，进入 SSL 界面，点击“Server certificate Wizard”申请 Key.

输入证书名，本次测试证书名为 nstest.key，然后输入 Key 的大小：2048，点击“create”.

点击 SSL Certificates 下的“Create CSR（Certificate Signing Request）”申请证书.

输入相应的 Request File Name，本次测试输入“nstest.csr”，在 Key Filename 中，点击“browse”，在显示的文件列表中选中我们前面申请的 key 文件，本次测试中对应的是nstest.key.

完成 CSR的配置， 下面的设置暂时不做

在 SSL菜单中，选择 Manage Certificates/Keys/CSRs.

选择前面的证书申请文件，本次实验中是nstest.csr，点击上面方的“View”

全选所有内容，复制.

在浏览器中，打开证书服务器地址 http://192.168.0.22/certsrv，点击申请证书

点击“高级证书申请”.

选择“使用 base64 编码的 CMC 或 PKCS#10 文件提交一个证书申请，或使用 base64 编码的 PKCS#7 文件续订证书申请”.

在“保存的申请”中，将前面复制的申请文件内容粘贴进来，在“证书模板”中选择“Web Server” ，点击“提交”.

选择“Base 64 编码” ，点击“下载证书”,本次测试保存为certnew.cer

下载证书 certnew_request.cer

certnew_root.cer   域控根证书(CA Certificate)

在Manage Certificates/Keys/CSRs菜单中，将刚生成的证书文件上传.

申请域控根证书(CA Certificate)

下载CA证书, 选择“Base 64 编码” ，点击“下载证书”,本次测试保存为certnewroot.cer.

把根证书上传到VPX.

NetScaler  服务器证书安装

在 SSL，Certificates 中，点击"Install  server Certificate"

在 SSL-Certificates 中，可以看到前面添加的证书的匹配名已经罗列其中，如果没有证书，则安装，Status 下面状态为 Valid,说明证书已经生效。

安装CA cerficates

I.    NetScaler 结合 StoreFront 配置

选择XenApp and XenDesktop,点击一下链接，开始进入配置向导.

在 NetScaler Settings 中输入以下信息;

Gataway FQDN：nstest.lvda.com

NetScalerGateway IP Address(NSIP)：192.168.0.4

Port：443

Authentication Settings 设置：

Primary Authentication：选择Domain, 点击 Configure New

Configure New 设置:

IP Address：192.168.0.22   #AD 域控地址

Password：lvda.com administrator的密码

检查无误后，点击 continue.

配置完成后，到下图菜单位置，检查刚才配置的STA服务器是否状态正常，随后，在下图菜单中，点击Edit，对刚刚创建的Virtual Server进行证书绑定。

至此，Netscaler的所有配置都已经完成。

StoreFront的配置

Netscaler参数配置

Netscaler Gateway URL 填写 Gateway的域名.

填写ddc的FQDN

Callback URL填写netscaler的FQDN

配置Delivery controller

按图上参数选择，点击Add，填写DDC的FQDN.

配置认证方式

选择下图两项:

配置移动访问参数

至此，StoreFront的相关配置已经完成。

访问Netscaler Gateway

Client机器上需要安装域的根证书(CA)，否则会有证书错误。

client 端的c:\Windows\System32\drivers\etc\hosts    hosts 中添加router外网的IP地址及netscaler的FQDN.

输入Gateway 域名 https://nstest.lvda.com

使用nstest的用户名和密码登录。

成功登录后，会跳转到关联的StoreFront。