Вопрос:

Как использовать NAT в NFuse?  

Ответ:

Если сервер NFuse должен получить доступ к серверу MetaFrame через межсетевой экран, использующий NAT, вы должны предпринять дополнительные шаги.

При использовании NAT веб-страница NFuse отображается на основе маршрутизируемого интернет-адреса IP сервера MetaFrame. Если настройки NFuse не изменить, но NFuse будет пытаться запустить приложение на базе внутреннего немаршрутизируемого адреса MetaFrame. Это закончится неудачей, не на межсетевом экране не сделаны специальные настройки.

О внутренних коммуникациях NFuse

Связь между клиентом и сервером NFuse осуществляется через порт 80. Связь между NFuse и сервером MetaFrame/XML осуществляется через порт, указанный администратором при установке. Обычно это 1494 TCP.

Рабочая станция передает учетные данные веб-серверу, используя страницу регистрации NFuse. Далее веб-сервер передает эти данные на сервер MetaFrame/XML. Сервер MetaFrame/XML определяет, какие иконки NFuse должен получить пользователь. Сервер MetaFrame/XML посылает эту информацию обратно на веб-сервер, который в свою очередь отображает их на веб-странице в окне браузера клиента.

Далее пользователь щелкает на иконку приложения. Это запрос на запуск приложения ICA, он передается веб-серверу. Веб-сервер передает запрос серверу MetaFrame/XML. Сервер MetaFrame/XML в свою очередь свзяывается с другими серверами для определения, к которому серверу следует подключить пользователя, а затем собирает информацию и отсылает назад.

Сервер MetaFrame/XML посылает информацию на веб-сервер. Это соединение заносится в файл Template.ica и выдается клиенту. Получив файл ICA, рабочая станция инициирует соединение ICA на основе содержащейся в файле информации.

Настройка NFuse для NAT

  1. На межсетевом экране необходимо сделать настройки, разрешающие доступ к серверам извне. Citrix рекомендует зарезервировать по одному официальному интернет-адресу для каждого серевера MetaFrame, находящемуся за межсетевым экраном. Маршруты к ним следует настроить вне зависимости от использования NFuse. Пользователи клиента ICA должны иметь возможность проходить экран через порт TCP 1494 и направляться на внутенний сервер MetaFrame.

  2. Желательно сначала проверить связь через межсетевой экран без исползования NFuse. Вам потребуется рабочая станция, подключенная к интернет, с установленным клиентом ICA. Создайте на станции новое соединение на интернет-адрес IP (не к приложению) сервера MetaFrame. Если тест завершился успешно, значит маршрутизация настроена правильно. Если нет - смотрите настройки роутинга и межсетевого экрана

    Далее приведена схема сетевого траффика, генерируемого сеансом ICA, запущенного с помощью NFuse или при прямом подключении по адресу IP.:

    1. ICA Client >-------source port:1023--------->----destination port:1494--------> MetaFrame server
    2. ICA Client <-------destination port:1023---<-----source port:1494-------------< MetaFrame server
    3. Repeat

    В этой схеме исходным является порт 1023 рабочей станции. Если это не изменено в реестре, клиент ICA использует для исходящих соединений диапазон портов от 1023 дo 5000. По умолчанию сервер MetaFrame всегда использует порт TCP 1494 для входящего траффика ICA. Порт 1494 будет также исходным портом при отправке ответа клиенту ICA. Этот порт настраивается утилитой ICAPORT. При прямом соединении на адрес IP сервера MetaFrame порт UDP 1604 не используется. Пни использовании NFuse UDP вообще не используется между сервером и клиентом.

  3. После проверки маршрутизации для всех серверов, вам нужно настроить альтернативный адрес утилитой ALTADDR на сервере MetaFrame:
    Синтакиси: ALTADDR /set <Internet IP address>

    Для определения того, какой адрес IP надо исползовать, см. п.2. В шаге 2 тестовый пользователь сделал успешное соединение ICA с сервером MetaFrame, используя интернет-адрес IP. Это может быть адрес межсетевого экрана, маршрутизатора, или адрес, специально зарезервированный за сервером MetaFrame.

  4. Теперь надо проверить NFuse. Эта проверка рекомендуется, хотя не является необходимой. Используйте ту же самую рабочую станцию, что и на шаге 2. Создаейте в клиенте ICA еще одно соединение и выберите браузинг TCP + HTTP. Включите опцию Use alternate address for firewall connection. Попробуйте получить список опубликованных приложений, используя ниспадающее меню. Если список получен, тест успешно пройден. Если произошла ошибка, скорее всего она связана с ошибкой в настройках. Наиболее распространенные причины ошибок:
    • Нет маршрута к порту службы XML на сервере MetaFrame
    • Неверно настроен альтернативный адрес
    • Ошибка в настройках клиента
  5. На последнем этапе измените файл Template.ica на себ-сайте NFuse. Найдите в нем строку:
  6. Address=[NFuse_IPV4Address]

Измените ее на:

    Address=[NFuse_IPV4AddressAlternate]

Теперь NFuse будет правильно работать в NAT.

Устранение проблем

Если вы после логина не можете получить список иконок приложений, возможно проблема связана с коммуникацией между NFuse и сервером MetaFrame. Если NFuse и сервер MetaFrame оба находятся за межсетевым экраном, используйте стандартную процедуру поиска неисправностей в NFuse. Если веб-сервер находится за межсетевым экраном, убедитесь, что открыт правильный порт. Номер порта зависит от настроек и выбирается при установке службы XML. Проверьте, что порт открыт, используя telnet.

Укажите после команды telnet адрес IP сервера и номер порта.

Нажмите несколько раз клавишу Enter - должно появиться сообщение "HTTP Bad Request" и далее "Connection to host lost."

Если вы видите иконки, но приложения не запускаются, щелкните правой кнопкой на иконке и выберите Open in New Window. Если открылось новое окно, продолжайте поиск неисправности на основе этой ошибки. Если окно не открылось или сообщение об ошибке не содержит полезной информации, щелкните правой кнопкой и выберите Save Target As. Вам будет предложено сохранить текстовый файл, содержащий информацию о соединении ICA. Откройте этот файл в текстовом редакторе. Убедитесь, что в нем указан правильный адрес IP сервера MetaFrame. Эта строка находится в секции [Application Name] и начинается с Address=. Если файл сожержит правильную информацию, попробуйте запустить этот файл вручную с локального компьютера, дважды щелкнув на нем. Вы также можете внучную подключиться к указанному адресу, используя telnet.

Использование Java-объектов NFuse_IPv4Address и NFuse_IPv4AddressAlternate устраняет необходимость в браузинге UDP.

NFuse_IPv4AddressAlternate: Получает внешний адрес IP сервера Citrix, содержащего опубликованное приложение. Рекомендуется при использовании NAT или доступе через межсетевые экраны.

Это значение находится в файле Template.ica на сервере NFuse. Если вы не используете NFuse_ClientName для определения имени клиента, подключающегося к опубликованным приложениям, тег NFuse_IPv4... генерирует уникальное имя клиента на основе учетных данных, содержащихся в полях NFuse_User, NFuse_Password и NFuse_Domain session fields.

При использовании тега [NFuse_IPV4Address], аргументы TcpBrowserAddress и UseAlternateAddress игнорируются не должны использоваться.


В начало