Präsentationen

Werbung
Cloud Gateway Express & Enterprise
Erste Erfahrungen aus Projekten
Thorsten Rood, Principal Architect & CTP, net.workers AG
Oliver Lomberg, Manager Systems Engineering, Citrix Systems
v2.0 printable © 20.06.2012
Agenda
oder: Worauf man achten sollte..
• Middleware Evolution
• Client Evolution
• User Experience
• Hochverfügbarkeit
• Remote-Zugriff
• AppController
• Diagnose
Middleware Evolution
Alles anders?
Middleware: Evolution
• Der Zahn der Zeit nagt am Web Interface
ᵒ Technologieplattform am Server: Microsoft J#/JLCA = End-of-Life 2015
ᵒ Technologie am Client: Java Client 10.1 vs. HTML5 Browser
ᵒ Branding
• nur geringe Personalisierung /w .NET Assemblies
• Konfigurationsverlust beim Update und/oder Reparatur-Deploy
ᵒ Authentisierung
• keine Normierung der Anmeldeverarbeitung
• Integration von 3rd-Party nur begrenzt möglich
ᵒ Funktionsbegrenzung: Code auf XenApp XML-Dienst ausgelegt
 Web Interface: End-of-Life Juni 2015
Middleware: Evolution
• Neue Plattform „StoreFront Services“
ᵒ Begrenzte Abwärtskompatibilität durch neue Funktionen
ᵒ Cloud-ready by design
• Trennung von Konfiguration/Metadaten (Store)
und Oberfläche (Receiver for Web, Native Receiver)
ᵒ
ᵒ
ᵒ
ᵒ
Reduzierung der Konfigurationsfehler
Potenzielle Verdichtung auf 1 Store pro Mandant
Eliminierung mehrfacher Access Gateway Definitionen
Dennoch Multi-Store-Szenarien erforderlich bspw. im Falle von GSLB site-affinity
(oder Mandantenzugriffen)
• Übergangsphase muss geplant und abgewogen werden
Middleware: Komponenten
Public Cloud Services
Citrix CloudGateway
Private Cloud Services
AppController
SaaS Apps
Web Apps
Virtual
desktops
and apps
Firewall
Firewall
Subscribe
Request Access
Launch
NetScaler/
Access
Gateway
Identify
Secure
Optimize
StoreFront
Aggregate
Control
Monitor
Subscribe
Request Access
Launch
Middleware: Architektur im Detail
StoreFront Services Tier
XenApp Farms
Browser
Web
Receiver
Mobile
Devices
Mac and
Windows
Store
Services
Launch App
List All Apps
Subscribe
Authentication
Service
Thin
Clients
Access Gateway
3rd Party Web
List My Apps
XML Service
Adaptor
Future Citrix
Adaptors
3rd Party
Adaptors
Password
OTP
Smartcard
XenDesktop Farms
Internal
Web Apps
App
Controller
SaaS Apps
?
“Value Adds”
?
Kerberos
...
Update Service
(Merchandising Server)
3rd Party Apps
Middleware: Authentisierung (TokenValidation)
“Do Something”
Denied (talk to Auth)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
“Do Something”
Store
Services
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Authentisierung (TokenValidation)
Store
Services
“Do Something”
Some other
Service
Trust
Auth
Service
Core User
Directory
“who you are”
“where you
are”
“what device”
…
Middleware: Vergleich WI vs. SF
Web
Browsers
Other
Clients
Web
Browsers
AG (optional)
Receiver +
Other Clients
New!
AG (optional)
Receiver for Web
Branding
Web Interface
PNA Services
Explicit
Anonymous
Explicit
Pass-through
Two Factor
Pass-through
Smart Card
3rd
Party
Anonymous
StoreFront Services
XA/XD Apps
App DB
W’space Ctrl
Web/SaaS Apps
Data/Mobile
Smart Card
Auth Platform
AG Support
W’space Ctrl
Explicit
Branding
W’space Ctrl
Alte Welt
Anonymous
Pass-through
Smart Card
Two Factor
3rd
Party
Neue Welt
AG Support
Middleware: Mögliche Koexistenzphase
Xen
Desktop
XenApp
Farm1
Legacy
WI / PNA
XenApp
Farm2
AppController
 Store Services
StoreFront
 Gateways
Access Gateway
ThinClient
Mac
Mobile
 Provider Layer
Windows
 Receivers
Middleware: Tips & Tricks
• Neue Abhängigkeiten
ᵒ TokenValidationService: Zeitsynchronisation erforderlich über alle Komponenten
ᵒ Mandantenfähigkeit derzeit nur über Active Directory Trust
• Timing & Tuning
ᵒ .NET CRL Revocation List: <generatePublisherEvidence>-Definition
•
•
•
•
c:\windows\microsoft.net\framework\v2.0.50727\aspnet.config
c:\windows\microsoft.net\framework64\v2.0.50727\aspnet.config
c:\inetpub\wwwroot\citrix\<yourstore>\web.config
c:\inetpub\wwwroot\citrix\authentication\web.config
Middleware: Tips & Tricks
• Timing & Tuning
ᵒ IIS AppPools
• Recycling Time-based
und/oder Memory-based
• Monitoring Tools ggf. anpassen
/w High-Watermark!
Middleware: Tips & Tricks
• Timing & Tuning
ᵒ Enumeration und Delay: <farmset>-Definition
• c:\inetpub\wwwroot\citrix\<yourstore>\web.config
ᵒ ICA File Signing: <certificateManager>-Definition
• c:\inetpub\wwwroot\citrix\<yourstore>\web.config
ᵒ Client Update: <pluginAssistant>-Definition
• c:\inetpub\wwwroot\citrix\<yourstore_web>\web.config
ᵒ Workspace Control: <workspaceControl>-Definition
• c:\inetpub\wwwroot\citrix\<yourstore_web>\web.config
Client Evolution
Major Upgrade!
Client: Jede Menge Windows-Packages!
PN
(FullPN/Classic)
ICA-Client
EoL
2009
Merchandising
Server
QuickLaunch
XenApp XML API
Receiver
Updater (RI)
PNA
Online
plug-in
Dazzle
Receiver
Enterprise
Self-Service
plug-in
Receiver
XenApp
Services
(config.xml)
Store API
(und XA Svcs)
Client: Remote Connect
Receiver
Enterprise
ReceiverEnterprise
+ReceiverUpdater
(Merchandising Server)
Receiver
SSL via Access Gateway
Nur ohne
Authentisierung
Ja
Ja
ZweifaktorenAuthentisierung
Nein
Ja
Ja
Ohne VPN Netztunnel
Ja
Nein
Ja
Roaming
Nein
Bedingt
Ja
Zugriff auf StoreFront
Nein
Receiver for Web über VPN Ja
Client: Deployment
• Keine Binary-Koexistenz auf ein- und demselben Rechner
ᵒ
ᵒ
ᵒ
ᵒ
Konfigurationsstrategie: entweder Store oder Legacy Modus
Authentisierungsumfang beachten (noch keine Smartcards mit Store)
Zielgruppe richtig auswählen
Pool-PCs anfänglich ausklammern
• Single Sign-On Modul für Domain-based PCs
ᵒ Manuell: CitrixReceiverEnterprise.exe /extract <pfad>
und dann SSONWrapper.msi ausführen
ᵒ Via Skript: /includeSSON
ᵒ Beim Update kann SSO nicht aktiviert werden, nur über SSONWrapper.msi
• Merchandising Server
ᵒ Rules für getrennte Deliveries erforderlich
ᵒ ReceiverUpdater ergänzen, sonst wird das „ReceiverInside“-Package nicht aktualisiert
User Experience
Look & Feel
User Experience: Einheitliches Design
Mac
User Experience: Einheitliches Design
PC
User Experience: Einheitliches Design
Tablet
User Experience: Beaconing-Verfahren
• Automatischer Start der Authentisierung
ᵒ
ᵒ
ᵒ
ᵒ
Interaktion mit dem Anwender in Abhängigkeit des Standorts
Automatische Erkennung der Netzwerksituation
Keine Abhängigkeit zu Windows Network Location Awareness (NLA)
Kein Beaconing in einer RDP-Verbindung (Registry-override)
• Berücksichtigung des SSON-Moduls
• Automatische Gateway-Erkennung bzgl. 1-Faktor/2-Faktor-Authentisierung
• Provisionierung der Konfiguration mittels XML-Datei
(generiert von StoreFront Services oder manuell)
User Experience: Beaconing & Serverantworten
Umgebung
Beacon Intern
Beacon Extern
AG
Verhalten
Offline
Fehler
Fehler
Undefiniert
Sleep Modus
Corporate
200-399
Undefiniert
Undefiniert
SSON/Prompt
HomeOffice
Fehler
200-399
Fehler
Sleep Modus
HomeOffice
Fehler
200-399
SSL index.html
1-/2-Faktor, je
nach
Konfiguration
Undefiniert
Sleep Modus
Verbunden
SSON/Prompt
Hotspot
VPN
300-399; identische URL
200-399
Undefiniert
User Experience: Beaconing & Anwender
• Login-Dialog nun ergonomischer/style-konform
Alte Welt
Neue Welt
User Experience: Zentrale Vorgaben
• Automatische Anordnung von Anwendungen im Receiver durch Application
Description in XenApp/XenDesktop
ᵒ KEYWORDS:Auto – Anwendung wird im Hauptbereich angezeigt
ᵒ KEYWORDS:Featured – Anwendung wird in einem gesonderten Menübaum
dargestellt
• Vorsicht bei Festlegung der Farmnamen im Store
ᵒ Wird als ASCII-Information zum Bestandteil der Benutzerkonfiguration
ᵒ Durch Umbenennung werden Anwendungsverknüpfungen aus dem Hauptbereich
entfernt (Stringvergleich, keine GUIDs)
ᵒ Migrationsszenarien und Farmupgrades wirken sich auf die Favoritenanzeige aus!
User Experience: Zentrale Vorgaben
• Modifikation der StoreFront SQL-Datenbank
ᵒ Benutzerrücksetzung
ᵒ Anzeigeinformationen verändern (Housekeeping, Deprovisionierung)
SID
User Experience: Branding (Receiver for Web)
• Nur dateibasierte Änderungen,
derzeit keine Oberfläche
• CSS Stylesheet
ᵒ custom.style.css
• JavaScript
ᵒ custom.script.js
• Die Anzeigetexte sind auch
multilingual erweiterbar
ᵒ custom.wrstrings.<lang-code>.js
ᵒ Spezielle Sprachpakete über
custom.script.js nachladen
• Auch nach Update noch funktionsfähig!
User Experience: Branding (Receiver for Web)
Hochverfügbarkeit
& Remote-Zugriff
Do you NetScale(r) today?
Hochverfügbarkeit: StoreFront-Grundlagen
• Hochverfügbarkeit im LAN erforderlich?
ᵒ Gleicher Kriterienkatalog wie bei Web Interface und XenApp Services
ᵒ Betrachtung erweitert sich um Verfügbarkeit von SaaS, Web und Data
• StoreFront immer als MultiServer konfigurieren, auch im 1-Knoten-Design
ᵒ
ᵒ
ᵒ
ᵒ
DNS-Alias für endgültige Namensgebung
Leichteres Scale-out
Erlaubt dezentrale Datenbank
Datenbank-Downtime minimieren /w reduziertem Komfort
• Layer7 Loadbalancing
ᵒ StoreFront arbeitet case-sensitiv, trotz IIS/.NET-Plattform
ᵒ Bei SSL-Offload: 302-Redirect beachten!
• Optional: Loadbalancing über DMZ (poor-man‘s solution)
Hochverfügbarkeit: Enterprise Edition Topologie
Primary
XenApp/
XenDesktop
Primary
SQL
Internet
Secondary
Secondary
NetScaler
NetScaler
DMZ
StoreFront
Server Group
LAN
AppController
Hochverfügbarkeit: Technische Anforderungen
• Loadbalancing für StoreFront Dienste
ᵒ Durchleitung der Client Source IP erforderlich für Access Gateway Authentisierung
ᵒ Persistency: SourceIP oder IIS Cookie, aber kein proprietäres CookieInsert
ᵒ Monitoring: echte L7-Anfragen, z.B. StoreFront-Provisionierungsinfo
• Monitoring für Credential Wallet Service
Remote-Zugriff: Grundlagen
• Abgrenzung der Appliance Edition und zukünftige CG-Ausbaustufen
ᵒ Citrix oder Drittanbieter Appliance, Receiver Mobilgeräte Integration, VPN-Strategie
ᵒ Access Gateway Standard oder Enterprise?
ᵒ Access Gateway Enterprise oder NetScaler-Volllizenz?
• Store-unabhängiges Authentisierungsmodell
ᵒ vollautomatischer Access Gateway Support
(erzwungene Kontextprüfung in Abhängigkeit zur Source IP)
ᵒ Receiver SSO für Domain-joined PC/Laptop
• SmartAccess?
ᵒ Aktuell nicht ausprogrammiert (Roadmap)
ᵒ Kein Endpoint-Scan bei Nutzung von Receiver (Deadlock)
ᵒ Keine harten Kriterien für Remote-Policies in XenApp/XenDesktop
Remote-Zugriff: Clientunterscheidung / Policies
Zugriffsmethode Kriterium
Profil
Receiver
REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
Store
Mobile Receiver
(Legacy und
ThinClient)
REQ.HTTP.HEADER User-Agent CONTAINS
CitrixReceiver || REQ.HTTP.HEADER UserAgent CONTAINS WTOS
config.xml
Access Gateway
plug-in
REQ.HTTP.HEADER User-Agent CONTAINS
AGEE
VPN-Tunnel &
Receiver for Web
HTML5 Browser
(zero-footprint
client v2.0)
REQ.HTTP.HEADER User-Agent NOTCONTAINS
CitrixReceiver && REQ.HTTP.HEADER UserAgent CONTAINS Chrome
Receiver for Web
mit HTML5Enforcement
Browser
true
Receiver for Web
Remote-Zugriff: Individualisierung
• Branding-Grundlagen
ᵒ NetScaler „green-theme“ auf der Appliance-Harddisc verfügbar
ᵒ Erweitertes Theme von TechStur über die Citrix Blogs
• Erweiterte Anpassung des Designs
ᵒ Auf Folgedialoge (Passwortwechsel, Fehlersituationen) achten
ᵒ HTML-Inhalt kann harte ASCII-Versionsinformationen enthalten,
daher Vorsicht bei Update der Firmware!
ᵒ Mögliche Anforderungen bei Enterprise-Rollout:
Zugriff auf Provisionierungsinformationen vor der Anmeldemaske ermöglichen
Remote-Zugriff: DMZ-Multifunktion
VPN
Signalisierungsproblem durch
IP-NAT in DMZ
Loadbalancing
für LAN via DMZ
XenApp/
XenDesktop
Primary
SQL
Secondary
NetScaler
Internet
DMZ
StoreFront
Server Group
LAN
AppController
Remote-Zugriff: DMZ-Multifunktion
NetProfile
Rewriting v1.0
Rewriting v2.0
Methode
Bindung von SourceIP
auf Service oder
ServiceGroup
Bindung des „XForward-For“-Header
direkt am VServer
Bindung des „XForward-For“-Header
nur bei AG-Hostheader
VServer
Zwei getrennte
Zwei getrennte
Nur einer
Vorteil
Triviale Konfiguration
Kein IP-Verschleiß
Volle Flexibilität
Keine FirewallÄnderungen
Alle vorgenannten
Nachteil
Doppelte Probes
Expertenkonfiguration
–
Nebenbedingung
Kein MIP RoundRobin
u.U. exklusive Appliance
Service/ServiceGroup darf kein USIP nutzen
AppController
Enterprise Web SSO
AppController
• Virtualisierungsumgebung kontrollieren
ᵒ Zeitsynchronisation auf Hypervisor (Tools) /w SSO
ᵒ Anpassung Speicherausstattung der VM
• Anbindung Active Directory Domain Services
ᵒ Nur ein AD pro AppController (Mandantentrennung)  getrennte Stores einplanen
ᵒ ldap-Bindungen und –Suchpfade sind case-sensitiv!
ᵒ Maximal 3 OU-Pfade für Gruppenmitgliedschaften (Rollenkonzept)
• Hochverfügbarkeitsaspekte
ᵒ
ᵒ
ᵒ
ᵒ
Loadbalancing, Replikation und Heartbeating sind eingebaut
Knoten nur im selben Layer2-Subnetz
Geo-Cluster mit CloudBridge
DC-Integration über NetScaler ldap-VServer
AppController
• FormFill
ᵒ
ᵒ
ᵒ
ᵒ
Passwort-Verwaltung im AppController
Sicherheitsdatenbank lokal oder ausgelagert (mySQL, MSSQL)
Anmeldeinformationen mit AES256 verschlüsselt
Nur POST-Mechanismen unterstützt!
• SAML
ᵒ Komplexe Einrichtung pro Anwendung
ᵒ Provisionierung externer Accounts möglich
ᵒ Keine Passwortablage mehr
• Spezialfall ShareFile
• Integration von nicht-öffentlichen Ressourcen
ᵒ KEYWORDS:VPN – Receiver koordiniert VPN-Tunnelaufbau vor Anwendungsstart

AppController
• Non-Standard SaaS- und WebApps integrieren
ᵒ Eigene APIs nutzen (u.U. FormFill-Wrapper nötig)
ᵒ Integration als Meta-AppController mit NetScaler ContentSwitching
ᵒ http-Compression auf AppController abschalten oder erzwingen
• Eigene Symbole
ᵒ .png-Format über Administrationsoberfläche
ᵒ .ico-Format nach oca\img ergänzen, muss mindestens Multiformat-Layer 48x48 und
32x32 enthalten (RGB+Alpha, RGB, 16Farben)
ᵒ Derzeit keine automatische Replikation des img-Verzeichnis bei H/A-Pair
Diagnose
Wenn‘s doch mal hakt…
Diagnose: StoreFront
• Filterung einstellen: <logger>-Definition
ᵒ c:\inetpub\wwwroot\Citrix\<dir>\web.config
ᵒ Für Authentisierung, Stores und RfW getrennt einstellbar
ᵒ Ausgabe über die Ereignisanzeige: Citrix Delivery Services
• Die berühmte MaxTokenSize
ᵒ Standardwert bei Mitgliedschaft in etwa 100 AD-Gruppen überschritten
ᵒ Probleme im Authentication Modul (IIS Header Max Size)
ᵒ Aktuell kein Fix anwendbar
Diagnose: StoreFront
• Trace-Modus
ᵒ Einschalten per PowerShell
• Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
• Set-DSTraceLevel -All -TraceLevel Verbose
ᵒ Abschalten per PowerShell
• Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
• Set-DSTraceLevel -All -TraceLevel Off
ᵒ Ausgabe dateibasiert im Ordner
c:\Program Files\Citrix\Receiver Storefront\Admin\Trace\
Diagnose: AppController
• Logging
ᵒ /usr/local/interceptor500/logs (Controller)
ᵒ /root/apache-tomcact-6.0.20-int500/logs (Webschicht)
• Kapazitätsprobleme beobachten (Arbeitsspeicherengpass)
Ressourcen
Nützliche Links…
Ressourcen
• Web Interface End-of-life
http://support.citrix.com/product/legacy/
• J# End-of-life
http://msdn.microsoft.com/en-us/vjsharp/default.aspx
• NetScaler Green Theme
http://support.citrix.com/proddocs/topic/access-gateway-10/agee-clientconnect-cr-new-theme-page-tsk.html
http://blogs.citrix.com/2012/04/19/green-bubble-theme-for-citrix-netscaler/
• .NET CRL Revocation List Bypass
http://support.citrix.com/article/ctx117273
Ressourcen
• AGEE CNS v10 clientless policies
http://support.citrix.com/proddocs/topic/access-gateway-10/agee-storefrontwrapper-con.html
• Database Creation Scripts
http://support.citrix.com/proddocs/topic/dws-storefront-11/dws-deploy-multidatabase.html
• Receiver for Web Customization
http://blogs.citrix.com/2012/05/24/how-to-brand-citrix-receiver-for-web/
http://blogs.citrix.com/2012/06/06/customizing-receiver-for-web/
http://www.jeroentielen.nl/customizing-the-cloud-gateway-logon-screen/
Ressourcen
• StoreFront AppEnumeration & ICA Signing
http://support.citrix.com/proddocs/topic/dws-storefront-11/dws-configure-conffile.html
• Receiver-Installation von der Kommandozeile
http://support.citrix.com/proddocs/topic/receiver-windows-32/ica-configurecommand-line.html
• Receiver External Beaconing in einer Remoting Session
HKLM\SOFTWARE\Citrix\Receiver\SRSettings\
NetworkingUnderTSForSRAllowed:DWORD=0x1
• StoreFront und Web Interface: koexistente Installation auf einem Server
http://support.citrix.com/article/CTX132294
DANKE
und gute Heimreise!
[email protected]
[email protected]
Besuchen Sie die Partner in der Ausstellung
Nutzen Sie unsere Zusatzangebote!
• Citrix Expert Desks: Unsere Produkt-Spezialisten beantworten Ihre individuellen
Fragen und geben Ihnen Einblick in aktuelle Projekte
• Citrix Tech Lounge: Lernen Sie die wichtigsten Funktionen von Citrix XenClient live
kennen - bei einem Hands-On-Test in unserer Tech Lounge
• Meet the Architects: Buchen Sie an der Info einen Kurz-Workshops mit CitrixConsulting und erarbeiten Sie eine Zielarchitektur für Ihr Unternehmen
• Citrix Datentankstelle: Lassen Sie sich auf Ihren mobilen Endgeräten einen
Citrix Receiver mit Demozugang einrichten
• Citrix Education Desk: Informieren Sie sich über die aktuellen Trainingsangebote
• Citrix Test Center: Die Plätze sind ausgebucht. Es besteht die Möglichkeit über die
Warteliste noch kurzfristig einen Platz zu bekommen
Feedback und Präsentationen
• Ihre Meinung ist uns wichtig! Bitte nehmen Sie sich einige Minuten Zeit,
unseren Online Feedbackbogen auszufüllen. Den Link dazu erhalten Sie einige
Tage nach der Veranstaltung
• Im Anschluss an den Fragebogen haben Sie Zugriff auf die Downloadseite der
Präsentationen
Bitte vormerken: Citrix Synergy 2012
• The premier event on cloud
computing, virtualization and
networking
• 17.- 19. Oktober 2012 im
International Convention Centre
Barcelona
• Weitere Infos:
http://www.citrixsynergy.com/barcelona
Work better. Live better.
Herunterladen