Storefront与NetScaler的集成配置 - part1

Storefront与NetScaler的集成配置 - part1

http://kaiqian.blog.51cto.com/blog/236001/1344447

Storefront与NetScaler的集成配置 - part2

http://kaiqian.blog.51cto.com/blog/236001/1344646

Storefront与NetScaler的集成配置 - part3

http://kaiqian.blog.51cto.com/blog/236001/1344793

随着XenDesktop 7的大规模使用，配合其用户希望通过Internet访问其虚拟桌面，其Storefront与NetScaler集成的需求也越来越多。不过相比过去的NetScaler与Web Interface的配置相比，很多配置项都发生了改变。所以不少初次接触的工程师会感觉无所适从。

其实相比过去NetScaler与Web Interface集成配置，现在的NetScaler已经拥有了NetScaler Gateway Wizard这一自动化的工具，基本的配置工作量要减轻不少。不过由于整个配置过程中涉及到大量的网络通信需求，所以建议在配置前做好规划，准备好相应的各种信息是必不可少的。如：内外网地址，公网域名，证书等。

本例中：

NetScaler：

管理IP：192.168.40.200

Sunnet IP：192.168.40.205

NG VIP：192.168.40.210

Storefront：

主机名：storefront.wwco.local

域控制器：192.168.50.10

公网域名：https://go.citrixlab.com

首先安装、配置storefront（如果你的storefront已经与DDC控制器安装在一起，也可以直接使用）本例中，安装Storefront步骤跳过。

1. 打开Citrix StoreFront控制台，点开“身份验证”，在右侧选择“添加/测试方法”，

2. 将“域直通”，“NetScaler Gateway直通”勾选上，并保留默认的“用户名和密码”，

3. 选择“NetScaler Gateway”，选择“添加NetScaler Gatway设备”，

4. 在设置中，输入显示名称，在NetScaler Gateway URL和回调URL中，输入外网发布的域名。本例中为：https://go.citrixlab.com 。

在子网IP地址中这里，可以直接放空，不填入SNIP地址。

5. 选择“存储”，"启用远程访问"，选择“完整VPN隧道”，将刚才创建的NetScaler勾选上，确认即可。

到此，Storefront的XenDesktop部分设定完成。

不过请注意，由于NetSclaer与Storefront集成中，所有的验证都是经由NetScaler完成传递给Storefront，然后Storefront会再把请求丢回到NetSclaer做一次确认的动作，所以在Callback URL是NetSclaer的一个VIP地址，本例中就直接指到了发布的域名。

所以为了完成这一个验证的链路，需要保证在Storefront上解析callback 中的server 那么所解析的IP地址是NetScaler的VIP地址。

操作方法可以是在Storefront的服务上直接改hosts记录，也可以是在DNS上加一条对应的记录。最终的结果就是在storefront上ping go.citrixlab.com的结果如下：

另外从Best practice来说，由于NetScaler也可能会部署在DMZ区域，为了保证安全性，NetSclaer和Storefront之间的通信建议也走SSL，所以建议为Storefront也起一张证书。由于是内部通信，可以通过Windows CA来完成证书的签发，也可以通过自签证书来完成。本例中使用Windows CA。

1. 首先请确保环境内有一套Windows CA，

2. 访问Storefront，打开IIS manager控制器，

3. 在服务器证书管理中，选择创建“域证书”，

4. 在通用名称中输入你指定的storefont的访问域名，不一定非要与主机名相同，本例中为: storefront.wwco.local

5.指定好内部的Windows CA主机名和Friendly Name，

6.支持在storefront上证书已经申请好。但请注意，在storefront上起好证书以后，需要把WIndows CA的root证书导入到NetScaler上，否则双方走SSL通信的时候会出现不信任的情况。如果是自签证书，则请把自签证书导入到NetScaler中。

7. 选择Default Web Site，选择右侧的“绑定”，增加443端口，然后在SSL证书下选择刚才创建的那张证书，

8. 打开浏览器输入https://storefront.wwco.loca/citrix/storeweb 确保页面正常显示而且无证书报错。