问题[citrix](server)

我有一个设置，我有一个应用程序需要与我们的 Intranet 上不支持内置 TLS 连接的设备进行通信。建议我们使用Citrix ADC执行负载平衡并在 WAN/防火墙和接收设备之间提供 TLS 接口。此处描述了设置： Citrix ADC (Netscaler) TLS Termination Guide。如果您稍微向下浏览页面，您会看到以“Citrix ADC TLS Termination Setup”开头的部分，并且看起来有一个用于执行配置的 GUI 界面。

我使用类似于以下的 compose 文件安装了Docker 版本的 Citrix ADC CPX ：

  citrixadccpx:
    container_name: CPX_0
    image: store/citrix/citrixadccpx:xxxxxx
    privileged: true # needed for multi-core
    ports:
      -  9443:9443
      -  22
      -  9080:9080
      -  161/udp
      -  35021-35030
    tty: true
    cap_add:
      - NET_ADMIN
    ulimits:
      core: -1
    volumes:
      - ./citrix:/cpx
    environment:
      -  CPX_CORES=2
      -  EULA=yes
      # -  NS_NETMODE=”HOST”

容器正在运行并可通过 docker-exec 访问，我可以在其中运行如下命令：

# cli_script.sh "show ns config"
exec: show ns config
    NetScaler IP: 172.18.0.6  (mask: 255.255.0.0)
    Number of MappedIP(s): 0
    Node: Standalone
                       System Time: Thu Aug 19 11:08:51 2021
          Last Config Changed Time: Thu Aug 19 02:16:57 2021
    Config Changed since Last Saved Config: TRUE

并通过网络连接：https ://192.168.0.100:9443/nitro/v1/config/

那只是显示一堆JSON。我希望有一个漂亮的 GUI，如参考文档中所示，用于设置和管理 NetScaler。这显然是针对 REST 接口和 API 的？

所以问题：

1. 是否有关于如何使用“cli_script.sh”或配置文件进行设置和配置的 GUI 或体面的手册/说明？

2. 是否有可以与 Docker 版本一起使用的 GUI？另请参阅： 在 Docker 中部署 Citrix ADC CPX 实例

3. 我可以轻松地使用专门用于代理 TLS 请求到我的其他设备的 NGINX 实例吗？这可能会更容易，因为我对 NGINX 有一些经验。以前从未使用过 Citrix Netscalar，但学习起来会很好。

4. 同样，在 WAN 接口处有一个 Fortigate 路由器/防火墙。我对此不是很了解，但也许它也可以用作该连接的 TLS 接口，但是再次学习如何使用 Netscalar 会很好。

5. Netscaler 的 OS 主机版本（非 Docker 版本）是否带有 GUI 管理界面？那将是另一种选择。我的主机操作系统是 UBUNTU 20.x。

例如，假设我们通过 TLS 连接在端口 11112 上收到传入请求。我们可能只是让 Fortigate 将传入请求转发到运行 Docker 容器的服务器，转发到 NGINX 或 Citrix 的外部端口 11112，然后它们将代理（在容器网络内）到端点。

我们公司最近从 Citrix 版本 6（服务器 2008 R2 主机服务器）升级到 7.15（Server 2016 主机服务器）。我们有一个我们托管的应用程序，外部用户通过 WYSE 终端和串行连接连接（过时了，是的......但是它必须与某些设备接口）。在我们的 Citrix 6 平台上，我们能够使用常规的 ICA 连接并且这些连接很稳定。当我们升级时，我们无法再使用 ICA，因此我们通过在 WYSE 上配置代理服务器来做到这一点（使用类似“https://apps.myorganization.com/Citrix/Ourapps/PNAgent/config.xml ”）。

连接最初可以正常工作，并将在相当长的时间内保持稳定。然而，我们注意到串行通信每天至少中断一次。一旦发生这种情况，串行似乎完全停止响应，我们必须停止应用程序并重新启动它，以便打开一个新的 Citrix 会话。我们注意到，以这种方式连接时，即使是我们的旧农场也会这样做，但一台服务器除外。到目前为止，我们无法确定哪些特定设置可能允许这台旧服务器继续运行，Citrix 也没有。它们最常发生在每晚的同一时间段内，即上午 12 点至上午 6 点，但在其他时间也有少数零星发生。如果我们使用如上所示的 PNAgent URL，这是否会使用我们的 NetScaler，负载平衡是否会导致问题？如果不，

另外，请提前原谅我对 Citrix 的无知……我实际上是编写此应用程序并提供基本支持的人，并且通常不参与 Citrix 支持。

所以我从我公司的网站下载了 ica 文件。该站点现在似乎已关闭，因此我无法登录系统。这就提出了一个问题，我可以使用以前下载的 ica 文件，对其进行更改，然后使用它再次登录。

看起来该文件只有 80 行长（可以很容易地被 vim 打开），并且看起来像简单的字符。如果有人知道是否正在使用您的密码和令牌计算某些哈希，或者如果它们直接在某处使用并使用，那将很有帮助。

我们有一个用于登录存储、主机等的 OOB/管理网络。我们使用 VLAN 将存储与主机、摄像机等分开。

我们想用以前的配置替换这个开关，但我们想知道 Xen 是否正在运行哪些进程（如果有的话）会利用 OOB 网络，例如池通信？

如果我们取出当前的 OOB 路由器来替换它，并且 Xen 主机在一段时间内（比如 5 分钟？）无法访问 OOB 网络，这会导致 Xen 出现问题吗？

在 macOS 版本 10.15.3 下，可以在系统偏好设置下的安全设置中允许 Citrix Netscaler Gateway 使用的扩展，如此 serverfault answer中所建议的那样。

但是，macOS 10.15.4 不提供这种可能性，导致最新版本的 Netscaler Gateway 无法工作。

这可以在日志文件中看到。具体来说，在/var/log/cagplugin_install.log我可以看到：

2020-04-02 16:10:00 Install: Starting up Citrix Access Gateway client services.
/Library/Extensions/CitrixDNERegistry.kext failed to load - (libkern/kext) system policy prevents loading; check the system/kernel logs for errors or try kextutil(8).
2020-04-02 16:10:00 Install: /bin/launchctl load  /Library/LaunchDaemons/com.citrix.daemon.dneregsvr.plist
2020-04-02 16:10:00 Install: Started dneregsvr.
/Library/Extensions/CitrixDNE.kext failed to load - (libkern/kext) system policy prevents loading; check the system/kernel logs for errors or try kextutil(8).
/Library/Extensions/CitrixSSLVpn.kext failed to load - (libkern/kext) system policy prevents loading; check the system/kernel logs for errors or try kextutil(8).

另外，在/var/log/cagplugin.log我可以看到这个：

{03-04-20:16h56m37s}:4084:{WARNING}:{AGAS/AGKEXTInterface:-[AGKEXTInterface createCtlSocket] ioctl(to com.citrix.kernel.sslvpn.control) failed with error 2.}:
{03-04-20:16h56m37s}:4084:{WARNING}:{AGAS/AGKEXTInterface:-[AGKEXTInterface createIoctlSocket] ioctl(ioctl_info.com.citrix.kernel.sslvpn) failed with error 2.}:
{03-04-20:16h56m37s}:4084:{WARNING}:{AGAS/Failed to initialize sslvpnPlugin}:
{03-04-20:16h56m37s}:4084:{INFO}:{AGAS/Packet Filter Service Ready.}:
{03-04-20:16h56m37s}:4084:{INFO}:{AGAS/AGKEXTInterface:-[AGKEXTInterface sendIoctl:withData:] No IOCTL socket yet.}:

结果是连接显然是成功的，但随后没有发生通信（发送零字节和接收零字节，如 Netscaler 网关状态窗口中所示）。

我使用 Citrix Netscaler Gateway 4.4.4和4.4.8进行了测试，结果相同。

有什么办法让它工作吗？

我的 Citrix 测试环境如下：

• 一台 Windows 2016 虚拟机充当域控制器和 DNS

• 一台 Windows 2016 虚拟机，其中包含来自 Citrix（XenDesktop 7.15）的所有内容以及 SQL Server 数据库

• 在我的唯一计算机目录中充当 XenApp 的两个 Windows 2016 VM，一个用于每个交付组（一个用于应用程序，一个用于桌面）

• Netscaler VPX1000 (NS12.0) 虚拟设备

当用户在内部网络上时，此环境与 Windows 和 Web 的接收器一起工作。我已经通过 Netscaler 为所有会话激活了 HDX 路由。

我现在正在使用 NetScaler 为外部用户配置访问权限，但我遇到了以下问题。

从网络浏览器访问

1. Netscaler 登录页面：凭证工作

2. StoreFront 检测接收器页面。点击“检测接收器”

3. 永远不会检测到接收器。我点击“已安装”

4. StoreFront 登录凭据页面提供：

   • 当我在用户名之前添加域时出现“不正确的域”Contoso\User

   • 当我在用户名后添加域时，“您的登录已过期。请重新登录以继续”[email protected]

从 Citrix Receiver 访问

1. 凭据弹出窗口。插入凭据。（我正在使用自助服务密码重置，但它不可用，所以我从 Netscaler 获得弹出窗口）

2. 新的凭据弹出窗口。插入凭据。再次出现一个弹出窗口（这次我可以使用自助服务密码重置，所以我从 StoreFront 获取弹出窗口）

这是我的安装目录的样子。但是当我在用户的 PC 上安装 Receiver 时，它们只会得到 6 个 DLL 和 CDViewer.exe。其他所有东西都丢失了，因此他们无法从 Citrix 打开任何东西。

他的接收器安装最初搞砸了。所以我尝试卸载并重新安装，但它一直说它已经安装了。所以我运行了清理实用程序，然后从登录提示符安装它。这没有用。所以我重复了这个过程并从http://downloadplugins.citrix.com/Windows/CitrixReceiverWeb.exe安装。这也不起作用，所以我再次重复该过程，然后从https://www.citrix.com/products/receiver/安装。但它也没有奏效。

关于这里发生了什么的任何想法？

我试图让 Netscaler 记录所有发往 Netscaler 的流量的源 IP。这可能吗？

需要明确的是，我不想将客户端 IP 转发到后端服务器，我想在 Netscaler 上的日志中记录到达 Netscaler 的所有流量的源 IP，然后可能将其发送到 syslog 服务器。如果这对特定的 VIP 是可能的，那将是黄金。

谢谢

我正在处理我们的 Citrix 环境中的一个大打印问题，并且一直在尝试尽可能多地了解网络打印的工作原理。

我将提供我认为可以理解的内容，请纠正或填补我失败的空白。

环境

• 每晚配置（重新映像）的 Citrix Desktop。

• 台式机是 Server 2008 R2 x64

• 打印机配置为Advanced Printing启用。

• 单台打印服务器，Windows 2008 R2 x64

印刷工艺

1. 用户登录计算机。网络打印机已映射。在映射过程中，会查询打印服务器以确定本地安装的打印机驱动程序是否是最新的。如果没有，则安装新的驱动程序。

2. 用户打开 WinWord（32 位）并打开打印预览屏幕

3. 应用程序查询默认打印机设置，并使用本地可用的打印驱动程序显示文档。

4. 用户提交要打印的文档。查询打印服务器以查看是否有更新的驱动程序可用，如果可用将下载。

5. 该文档被发送到客户端假脱机程序 ( splWOW64)，并转换为位于C:\Windows\System32\spool\PRINTERS. 应用程序被发布以开展其业务。

6. （对此更不确定）客户端假脱机程序利用本地安装的打印驱动程序并将打印作业转换为打印机可以理解的命令。

7. 客户端假脱机程序将打印作业提交给网络打印服务器

8. 网络打印后台处理程序 ( )在位于以下位置的打印服务器上spoolsv.exe创建一组文件 ( SHD& )：SPLC:\Windows\System32\spool\PRINTERS

9. 网络打印后台处理程序以打印机能够处理的速度逐页将打印作业发送到打印机。

10. 网络打印清理队列，删除这两个文件。

如果您可以更深入地了解，请...但请不要深入马里亚纳海沟。=)

在多用户环境中，我注意到每个用户都有自己的 splWOW64，而系统运行spoolsv.exe. 我知道 splWOW64 被 32 位应用程序用于打印，而spoolsv.exe在 x64 位机器上处理来自 64 位应用程序的打印。在用户下运行的 splWOW64 是否与 spoolsv.exe 交互？

我已经使用 XenServer 7 将服务器从物理迁移到虚拟。不过，出于安全目的，我们现在需要一个 USB 加密狗，但还没有找到将其正确传递到虚拟机的方法。

大多数资源都指向通过以太网使用 USB，但这不是一个选项，因为我们没有更多的硬件，这必须保留在 CPD 上。

必须有办法做到这一点。此外，我们还有另一台设备通过 RS232 连接到旧服务器。我们已经为它购买了一个 USB 适配器，也想通过它...让我们交叉手指。

过去我在使用 Proxmox 时对此没有任何问题，但我们很惊讶像 XenServer 这样的“更商业化”的产品没有提供开箱即用的这种机制。:S

关于如何做到这一点的任何手册？

提前致谢