Установка Citrix XenDesktop 7.1

План настройки XenDesktop 7.1 у меня такой (тут)

  1. Настройка контроллера домена (тут)
  2. Установка vCenter server, создание кластера, подключение хоста ESXi (тут)
  3. Установка XenDesktop 7.1 (тут)
    • создаем Site (тут)
    • настраиваем «золотой образ» терминального сервера (тут)
    • создаем Machine Catalog, Delivery Group (тут)
    • подключаемся через браузер (тут)
    • распространяем ПО через «золотой образ» (тут)
    • возможности управления данными пользователей (тут)
  4. Удаленный доступ через NetScaler (тут)
  5. Тонкие клиенты для XenDesktop 7.1 (тут)

NetScaler Access Gateway

Программный продукт (virtual appliance) который необходим для организации удаленного доступа к Citrix XenDesktop, старый Citrix XenApp, Citrix Mobile и прочее. Я обычно публикую ссылки на дистрибутивы и инструкции по получению триальных ключей для тех у кого нет партнерского доступа. В этот раз помочь не могу, не знаю, как пользователю с улицы тестовый ключ получить, если у вас получится, сделайте скриншоты, пришлите мне пожалуйста.
Одна из версий, объясняющая эту ситуацию, Acess Gateway настолько сложен, что для его настройки обязательно понадобится помощь (координация, советы, наставничество) партнера Citrix. Типа того, что триал не поможет обычному админу, а наоборот, он разочаруется в продукте и плюнет на него с высокой колокольни.

2-ой негатив…

Настройка удаленного доступа через Citrix Access Gateway (теперь NetScaler Access Gateway), без преувеличения, можно назвать самым сложным этапом всей инсталляции. И так было всегда с Citrix, как будто специально усложняют моменты, которые, наоборот, нужно максимально упростить. Например, с VMware View нет вообще никаких проблем с настройкой удаленного доступа.
Где мы ищем инструкции по настройке? Конечно, открываем документацию на официальном сайте (edocs.citrix.com), но я лично не смог настроить по этим материалам, хоть и потратил много времени на то, чтобы разобраться какой из параметров за что отвечает, картинка не складывается. Второй источник, как всегда, это гугл с массой зарубежных статей, причем написаны они в разное время и про разные версии  Access Gateway и изучая их иногда создается впечатление, что авторы настраивают вообще разные продукты…

В последних версиях Netscaler Access Gateway  разработчики добавили мастер настройки, вы указываете небольшое количество параметров своей инфраструктуры, а визард создает кучу настроек. Это, конечно, решает проблему с настройкой, но если вы решаете что-то изменить, то проще переустановить AG, чем искать где нужно изменять параметры.

Настройка

Я хочу показать, что удаленный доступ работает и его можно настроить, при выполнении правильного порядка действий.

Для настройки в «боевой» среде вам потребуется действительный SSL сертификат для доменного имени. Когда внешние пользователи обращаются к NetScaler Access Gateway через браузер или напрямую через Citrix Receiver (Windows, Android) будет проверяться валидность сертификата, и если он самоподписанный или  срок его действия истек, то Receiver ругнется и не будет подключаться. У iOS версии Receiver есть возможность отключить данную проверку.
У меня нет сертификата SSL, поэтому я выкручусь, как обычно.

Описание слайдов:

1-2 Захожу под своей учетной записью на сайт Citrix, скачиваю Vitrual appliance для VMware. Существуют также выпуски для Hyper-V, для XenServer. Крайняя доступная версия NetScaler Gateway 10.1.120.1216.e

3 Импортирую скачанный апплайнс в виртуальную среду, на моем тестовом стенде это VMware Workstation, но никакой разницы нет с ESXi

4 Запускаю, получившуюся после импорта виртуальную машину, ввожу основные настройки: IP адрес, маска, шлюз. После этого виртуальная машина перезагружается, самостоятельно переконфигурируется и готова принимать подключения.

5  Через браузер, лучше чтобы это был IE, переходим на страничку настройки по адресу, который указали ранее. Логин и пароль в NetScaler по-умолчанию «nsroot» «nsroot». В третьей строчке выбираем NetScaler Access Gateway, чтобы интерфейс настройки был тот, который нужно.

6 Попадаю в мастер настройки, где указываю, требуемые параметры. Hostname должен обязательно совпадать с тем, для которого вы генерировали лицензии на портале, регистр имеет значение.

7 Загружаю лицензию, которую ранее скачал с портала (на слайдах нет, как скачивать лицензию) через интерфейс в AG

8-10 После загрузки лицензии и ввода сетевых параметров сервер должен перезагрузиться.

11-12 После загрузки, ввода пароля попадаем в мастер настройки Access Gateway, это значит, что лицензия была принята успешно и можно продолжать. Если мастер у вас не запустился, то была допущена ошибка и дальше двигаться рано (такое часто бывает)

13 Начинаю вводить настройки самого Access Gatewy (до этого были настройки Netscaler). Name — название виртуального сервера AG, IP adress — сетевой адрес, который будет принимать внешние подключения, Port — порт для внешних подключений. Можно поставить галочку и небезопасные подключения на 80 порт, просто по http://доменному имени будут автоматически перенаправляться на 443 https://доменное имя

14 Если есть SSL сертификат для внешнего доменного имени (для справки, он платный) то на этой страничке его можно добавить, если нет, как в моем случае, то можно создать самоподписанный. Но при подключении к сайту по https будет выдаваться предупреждение безопасности, до тех пор, пока в операционную систему не будет установлен этот сертификат. Также до установки сертификата, подключения к Citrix XenDesktop проходить не будут из за ограничений Citrix Receiver.
Я создаю сертификат для выдуманного имени ag.itsave.ru

15 Настройки аутентификации. Когда пользователь попадает на веб страницу Access Gateway он должен ввести связку логин — пароль, и эта связка должна быть проверена, в моем случае, на домен контроллере. Чтобы эта процедура работала, я задаю следующие настройки (на слайде). sAMAccountname — означает, что пользователь должен ввести логин в виде domain\username

16 Если проверка логина — пароля проходит успешно, они передаются на StoreFront в Citrix, а для пользователя создается SSL VPN канал до веб страницы Storefront. На этом слайде указываю, до какую именно страницу будет перенаправлен пользователь. STA URL — Secury ticket authority — указываем адрес Storefront.
Это последний шаг мастера настройки

17 Проверяю, что виртуальный сервер Access Gateway был корректно создан, кликаю по нему, чтобы проверить настройки

18-23 Установка Java. Я советовал использовать IE Не просто так. Плохо работает в Chrome, Firefox, Opera. И не во всех версия IE, кстати, тоже.

24 Пробежимся по вкладкам. Сертификаты, вижу что сейчас задействован созданный ранее самоподписанный сертификат.

25-28 Проверяю, правильно ли я ввел параметры аутентификации.

29 Проверяю, что зеленым огоньком горит Secury ticket authority, значит что Access Gateway успешно соединился со StoreFront

30 Немного про IP адреса. Сейчас у моего NetScaler Access Gatewy 2 сетевые карты, которые смотрят в одну и туже подсеть. IP адреса к физическим сетевым картам  жестко не привязаны, я никакие соответствия не выставлял ручками. Есть три типа виртуальных IP адресов про которые нужно знать в рамках настройки доступа к Citrix XenDesktop: VIP — virtula IP — адрес виртуально сервера Access Gateway, SIP — subnet IP — адрес по которому службы NetScaler (в том числе AG) взаимодействует с остальной инфраструктурой, например, со Storefront или AD, и последний NIP — NetScaler IP — адрес для настройки.

31 Перехожу на сервер Citrix XenDesktop, настройка продолжается. Первым делом прописываю придуманное доменное имя ag.itsave.ru  в файл hosts.

32 — 38 Устанавливаю самоподписанный сертификат с Access Gateway в операционную систему где установлен Storefront. Это очень важный момент, т.к. общение происходит по 443 порту, сервер с XenDesktop должен доверять сертификатам AG.
100% последовательности добавления сертификата я добиться не могу, поэтому добавляю его до тех пор, пока не увижу отсутствия предупреждения в IE.

39 Нужно в Citrix Desktop Studio в разделе Storefront активировать удаленный доступ через Access Gatewy, для этого включаем метод аутентификации pass-through. Это чтобы пользователь мог бы ввести свой пароль на веб странице Acceess Gateway  и он автоматом принялся здесь, на StoreFront

40-44 Добавляю информация по Access Gateway.

45 Проверяю, что добавился метод аутентификации pass-through. Также замечаю предупреждение, что сервер работает по http. Необходимо перевести его в режим работы по https, для этого идем на IIS

46 В диспетчере серверов выбираем роль IIS и открываем консоль управления.

47 — 49 Создаем самоподписанный сертификат, для доменного имени нашего сервера XenDesktop

50 -53 Теперь нам нужна вкладка bindings для настройки соответствия сайта по умолчанию (это и есть страничка StoreFront) и сертификата.

54 -56 Возвращаемся обратно в настройки StoreFront и изменяем http на https в адресе сайта . Ошибка пропадает.

57 -58 последний шаг, разрешить доступ к Store через AG.

59 Перехожу на компьютер в интернете, вне локальной сети. Прописываю в Hosts соответствие придуманного доменного имени ag.itsave.ru и своего внешнего IP адреса, с которого 443 порт перенаправлен на VIP адрес.

60-62 опять устанавливаю самоподписанный сертификат, добиваюсь отсутствия ошибок. Ввожу логин-пароль

63-70 происходит перенаправление на страницу StoreFront, где я устанавливаю Citrix Receiver, после чего вижу доступные приложения. На этом можно считать настройку законченной.

1

Citrix XenDesktop 7 Access Gateway 001

2

Citrix XenDesktop 7 Access Gateway 002

3

Citrix XenDesktop 7 Access Gateway 003

4

Citrix XenDesktop 7 Access Gateway 004

5

Citrix XenDesktop 7 Access Gateway 005

6

Citrix XenDesktop 7 Access Gateway 006

7

Citrix XenDesktop 7 Access Gateway 007

8

Citrix XenDesktop 7 Access Gateway 008

9

Citrix XenDesktop 7 Access Gateway 009

10

Citrix XenDesktop 7 Access Gateway 010

11

Citrix XenDesktop 7 Access Gateway 011

12

Citrix XenDesktop 7 Access Gateway 012

13

Citrix XenDesktop 7 Access Gateway 013

14

Citrix XenDesktop 7 Access Gateway 014

15

Citrix XenDesktop 7 Access Gateway 015

16

Citrix XenDesktop 7 Access Gateway 016

17

Citrix XenDesktop 7 Access Gateway 017

18

Citrix XenDesktop 7 Access Gateway 018

19

Citrix XenDesktop 7 Access Gateway 019

20

Citrix XenDesktop 7 Access Gateway 020

21

Citrix XenDesktop 7 Access Gateway 021

22

Citrix XenDesktop 7 Access Gateway 022

23

Citrix XenDesktop 7 Access Gateway 023

24

Citrix XenDesktop 7 Access Gateway 024

25

Citrix XenDesktop 7 Access Gateway 025

26

Citrix XenDesktop 7 Access Gateway 026

27

Citrix XenDesktop 7 Access Gateway 027

28

Citrix XenDesktop 7 Access Gateway 028

29

Citrix XenDesktop 7 Access Gateway 029

30

Citrix XenDesktop 7 Access Gateway 030

31

Citrix XenDesktop 7 Access Gateway 031

32

Citrix XenDesktop 7 Access Gateway 032

33

Citrix XenDesktop 7 Access Gateway 033

34

Citrix XenDesktop 7 Access Gateway 034

35

Citrix XenDesktop 7 Access Gateway 035

36

Citrix XenDesktop 7 Access Gateway 036

37

Citrix XenDesktop 7 Access Gateway 037

38

Citrix XenDesktop 7 Access Gateway 038

39

Citrix XenDesktop 7 Access Gateway 039

40

Citrix XenDesktop 7 Access Gateway 040

41

Citrix XenDesktop 7 Access Gateway 041

42

Citrix XenDesktop 7 Access Gateway 042

43

Citrix XenDesktop 7 Access Gateway 043

44

Citrix XenDesktop 7 Access Gateway 044

45

Citrix XenDesktop 7 Access Gateway 045

46

Citrix XenDesktop 7 Access Gateway 046

47

Citrix XenDesktop 7 Access Gateway 047

48

Citrix XenDesktop 7 Access Gateway 048

49

Citrix XenDesktop 7 Access Gateway 049

50

Citrix XenDesktop 7 Access Gateway 050

51

Citrix XenDesktop 7 Access Gateway 051

52

Citrix XenDesktop 7 Access Gateway 052

53

Citrix XenDesktop 7 Access Gateway 053

54

Citrix XenDesktop 7 Access Gateway 054

55

Citrix XenDesktop 7 Access Gateway 055

56

Citrix XenDesktop 7 Access Gateway 056

57

Citrix XenDesktop 7 Access Gateway 057

58

Citrix XenDesktop 7 Access Gateway 058

59

Citrix XenDesktop 7 Access Gateway 059

60

Citrix XenDesktop 7 Access Gateway 060

61

Citrix XenDesktop 7 Access Gateway 061

62

Citrix XenDesktop 7 Access Gateway 062

63

Citrix XenDesktop 7 Access Gateway 063

64

Citrix XenDesktop 7 Access Gateway 064

65

Citrix XenDesktop 7 Access Gateway 065

66

Citrix XenDesktop 7 Access Gateway 066

67

Citrix XenDesktop 7 Access Gateway 067

68

Citrix XenDesktop 7 Access Gateway 068

69

Citrix XenDesktop 7 Access Gateway 069

70

Citrix XenDesktop 7 Access Gateway 070
  • Игорь

    Здравствуйте, пытаюсь скачать лицензию на сайте, но не получается пишет «No licenses are currently eligible for allocation. Please contact Citrix Customer Service if you feel this is an error.»..разве продукт не триальный? и что делать если нет лицензии а попробавать хочется.Только покупать?

    • pymata

      Игорь, да вот такая ситуация, не попробуешь особо. Даже партнеры не могут выдавать лицензии направо и налево, т.к. только ограниченная лицензия доступна. Так что, да, купить и попробовать. Я могу гарантировать, что работает нормально ))

  • Петров Семен

    Приветствую! Ссылка в заглавии на эту страницу битая. Проверьте, пожалуйста.

  • SteamArm

    А как можно включить проверку сертификата для IOS? Сейчас без сертификата на всех других платформах не пускает (Android, Linux Ubuntu, Windows, OSX), а когда через клиент на iPad захожу, то при первичной настройки он спрашивает о сертификате, но этот момент можно пропустить и клиент работает как нив чём не бывало.

    • itsave

      Как вы уже заметили, SSL сертификат Citrix Receiver почти всегда проверяет, поэтому для нормальной работы нескольких человек не подкованных технически с неуправляемых централизованно устройств (вы не можете на них на все загрузить самоподписанный сертификат) нужно купить SSL сертификат на доменное имя, например, тут (http://www.nic.ru/dns/service/ssl/) после чего загрузить его на NetScaler и все устройства начнут доверять.

      • SteamArm

        Я немного неправильно вопрос сформулировал. Сертификат куплен, SSL работает, но цель сделать так, чтобы без сертификата он на Citrix не пускал. Сейчас без сертификата работает только клиент для IOS, на всех остальных платформах не пускает, если сертификат не установлен. Не могу понять причину. Могу настройки скинуть, если скажите какие именно нужны.
        Сам Netscaler устанавливал не я, поэтому не знаю в чем может быть загвоздка.

        • itsave

          Путано задаете вопрос. Вы купили сертификат SSL, установили его на NetScaler. Теперь при подключении по https устройство проверяет сертификат и если оно доверяет центру сертификации, который его выдал, то подключение через Citrix Receiver состоится.

          Вы пишите, что нужно сделать так, чтобы без сертификата не пускал Citrix. Но вы купили SSL сертификат, выпущенный центром сертификации, как раз за тем, чтобы не распространять его по всем устройствам самостоятельно, т.к. он, корневой сертификат, уже там есть изначально.

  • Александр

    А еще есть бесплатный NetScaler ADC Express. Там ограничение — 5 конкурентных пользователя.
    Лицензия на год, потом продляется.

    https://www.citrix.com/downloads/netscaler-adc/virtual-appliances/netscaler-vpx-express.html — качаем здесь. Лицензия там же, среди загрузок.