Cloud Gateway Express & Enterprise Erste Erfahrungen aus Projekten Thorsten Rood, Principal Architect & CTP, net.workers AG Oliver Lomberg, Manager Systems Engineering, Citrix Systems v2.0 printable © 20.06.2012 Agenda oder: Worauf man achten sollte.. • Middleware Evolution • Client Evolution • User Experience • Hochverfügbarkeit • Remote-Zugriff • AppController • Diagnose Middleware Evolution Alles anders? Middleware: Evolution • Der Zahn der Zeit nagt am Web Interface ᵒ Technologieplattform am Server: Microsoft J#/JLCA = End-of-Life 2015 ᵒ Technologie am Client: Java Client 10.1 vs. HTML5 Browser ᵒ Branding • nur geringe Personalisierung /w .NET Assemblies • Konfigurationsverlust beim Update und/oder Reparatur-Deploy ᵒ Authentisierung • keine Normierung der Anmeldeverarbeitung • Integration von 3rd-Party nur begrenzt möglich ᵒ Funktionsbegrenzung: Code auf XenApp XML-Dienst ausgelegt Web Interface: End-of-Life Juni 2015 Middleware: Evolution • Neue Plattform „StoreFront Services“ ᵒ Begrenzte Abwärtskompatibilität durch neue Funktionen ᵒ Cloud-ready by design • Trennung von Konfiguration/Metadaten (Store) und Oberfläche (Receiver for Web, Native Receiver) ᵒ ᵒ ᵒ ᵒ Reduzierung der Konfigurationsfehler Potenzielle Verdichtung auf 1 Store pro Mandant Eliminierung mehrfacher Access Gateway Definitionen Dennoch Multi-Store-Szenarien erforderlich bspw. im Falle von GSLB site-affinity (oder Mandantenzugriffen) • Übergangsphase muss geplant und abgewogen werden Middleware: Komponenten Public Cloud Services Citrix CloudGateway Private Cloud Services AppController SaaS Apps Web Apps Virtual desktops and apps Firewall Firewall Subscribe Request Access Launch NetScaler/ Access Gateway Identify Secure Optimize StoreFront Aggregate Control Monitor Subscribe Request Access Launch Middleware: Architektur im Detail StoreFront Services Tier XenApp Farms Browser Web Receiver Mobile Devices Mac and Windows Store Services Launch App List All Apps Subscribe Authentication Service Thin Clients Access Gateway 3rd Party Web List My Apps XML Service Adaptor Future Citrix Adaptors 3rd Party Adaptors Password OTP Smartcard XenDesktop Farms Internal Web Apps App Controller SaaS Apps ? “Value Adds” ? Kerberos ... Update Service (Merchandising Server) 3rd Party Apps Middleware: Authentisierung (TokenValidation) “Do Something” Denied (talk to Auth) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) “Do Something” Store Services Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Authentisierung (TokenValidation) Store Services “Do Something” Some other Service Trust Auth Service Core User Directory “who you are” “where you are” “what device” … Middleware: Vergleich WI vs. SF Web Browsers Other Clients Web Browsers AG (optional) Receiver + Other Clients New! AG (optional) Receiver for Web Branding Web Interface PNA Services Explicit Anonymous Explicit Pass-through Two Factor Pass-through Smart Card 3rd Party Anonymous StoreFront Services XA/XD Apps App DB W’space Ctrl Web/SaaS Apps Data/Mobile Smart Card Auth Platform AG Support W’space Ctrl Explicit Branding W’space Ctrl Alte Welt Anonymous Pass-through Smart Card Two Factor 3rd Party Neue Welt AG Support Middleware: Mögliche Koexistenzphase Xen Desktop XenApp Farm1 Legacy WI / PNA XenApp Farm2 AppController Store Services StoreFront Gateways Access Gateway ThinClient Mac Mobile Provider Layer Windows Receivers Middleware: Tips & Tricks • Neue Abhängigkeiten ᵒ TokenValidationService: Zeitsynchronisation erforderlich über alle Komponenten ᵒ Mandantenfähigkeit derzeit nur über Active Directory Trust • Timing & Tuning ᵒ .NET CRL Revocation List: <generatePublisherEvidence>-Definition • • • • c:\windows\microsoft.net\framework\v2.0.50727\aspnet.config c:\windows\microsoft.net\framework64\v2.0.50727\aspnet.config c:\inetpub\wwwroot\citrix\<yourstore>\web.config c:\inetpub\wwwroot\citrix\authentication\web.config Middleware: Tips & Tricks • Timing & Tuning ᵒ IIS AppPools • Recycling Time-based und/oder Memory-based • Monitoring Tools ggf. anpassen /w High-Watermark! Middleware: Tips & Tricks • Timing & Tuning ᵒ Enumeration und Delay: <farmset>-Definition • c:\inetpub\wwwroot\citrix\<yourstore>\web.config ᵒ ICA File Signing: <certificateManager>-Definition • c:\inetpub\wwwroot\citrix\<yourstore>\web.config ᵒ Client Update: <pluginAssistant>-Definition • c:\inetpub\wwwroot\citrix\<yourstore_web>\web.config ᵒ Workspace Control: <workspaceControl>-Definition • c:\inetpub\wwwroot\citrix\<yourstore_web>\web.config Client Evolution Major Upgrade! Client: Jede Menge Windows-Packages! PN (FullPN/Classic) ICA-Client EoL 2009 Merchandising Server QuickLaunch XenApp XML API Receiver Updater (RI) PNA Online plug-in Dazzle Receiver Enterprise Self-Service plug-in Receiver XenApp Services (config.xml) Store API (und XA Svcs) Client: Remote Connect Receiver Enterprise ReceiverEnterprise +ReceiverUpdater (Merchandising Server) Receiver SSL via Access Gateway Nur ohne Authentisierung Ja Ja ZweifaktorenAuthentisierung Nein Ja Ja Ohne VPN Netztunnel Ja Nein Ja Roaming Nein Bedingt Ja Zugriff auf StoreFront Nein Receiver for Web über VPN Ja Client: Deployment • Keine Binary-Koexistenz auf ein- und demselben Rechner ᵒ ᵒ ᵒ ᵒ Konfigurationsstrategie: entweder Store oder Legacy Modus Authentisierungsumfang beachten (noch keine Smartcards mit Store) Zielgruppe richtig auswählen Pool-PCs anfänglich ausklammern • Single Sign-On Modul für Domain-based PCs ᵒ Manuell: CitrixReceiverEnterprise.exe /extract <pfad> und dann SSONWrapper.msi ausführen ᵒ Via Skript: /includeSSON ᵒ Beim Update kann SSO nicht aktiviert werden, nur über SSONWrapper.msi • Merchandising Server ᵒ Rules für getrennte Deliveries erforderlich ᵒ ReceiverUpdater ergänzen, sonst wird das „ReceiverInside“-Package nicht aktualisiert User Experience Look & Feel User Experience: Einheitliches Design Mac User Experience: Einheitliches Design PC User Experience: Einheitliches Design Tablet User Experience: Beaconing-Verfahren • Automatischer Start der Authentisierung ᵒ ᵒ ᵒ ᵒ Interaktion mit dem Anwender in Abhängigkeit des Standorts Automatische Erkennung der Netzwerksituation Keine Abhängigkeit zu Windows Network Location Awareness (NLA) Kein Beaconing in einer RDP-Verbindung (Registry-override) • Berücksichtigung des SSON-Moduls • Automatische Gateway-Erkennung bzgl. 1-Faktor/2-Faktor-Authentisierung • Provisionierung der Konfiguration mittels XML-Datei (generiert von StoreFront Services oder manuell) User Experience: Beaconing & Serverantworten Umgebung Beacon Intern Beacon Extern AG Verhalten Offline Fehler Fehler Undefiniert Sleep Modus Corporate 200-399 Undefiniert Undefiniert SSON/Prompt HomeOffice Fehler 200-399 Fehler Sleep Modus HomeOffice Fehler 200-399 SSL index.html 1-/2-Faktor, je nach Konfiguration Undefiniert Sleep Modus Verbunden SSON/Prompt Hotspot VPN 300-399; identische URL 200-399 Undefiniert User Experience: Beaconing & Anwender • Login-Dialog nun ergonomischer/style-konform Alte Welt Neue Welt User Experience: Zentrale Vorgaben • Automatische Anordnung von Anwendungen im Receiver durch Application Description in XenApp/XenDesktop ᵒ KEYWORDS:Auto – Anwendung wird im Hauptbereich angezeigt ᵒ KEYWORDS:Featured – Anwendung wird in einem gesonderten Menübaum dargestellt • Vorsicht bei Festlegung der Farmnamen im Store ᵒ Wird als ASCII-Information zum Bestandteil der Benutzerkonfiguration ᵒ Durch Umbenennung werden Anwendungsverknüpfungen aus dem Hauptbereich entfernt (Stringvergleich, keine GUIDs) ᵒ Migrationsszenarien und Farmupgrades wirken sich auf die Favoritenanzeige aus! User Experience: Zentrale Vorgaben • Modifikation der StoreFront SQL-Datenbank ᵒ Benutzerrücksetzung ᵒ Anzeigeinformationen verändern (Housekeeping, Deprovisionierung) SID User Experience: Branding (Receiver for Web) • Nur dateibasierte Änderungen, derzeit keine Oberfläche • CSS Stylesheet ᵒ custom.style.css • JavaScript ᵒ custom.script.js • Die Anzeigetexte sind auch multilingual erweiterbar ᵒ custom.wrstrings.<lang-code>.js ᵒ Spezielle Sprachpakete über custom.script.js nachladen • Auch nach Update noch funktionsfähig! User Experience: Branding (Receiver for Web) Hochverfügbarkeit & Remote-Zugriff Do you NetScale(r) today? Hochverfügbarkeit: StoreFront-Grundlagen • Hochverfügbarkeit im LAN erforderlich? ᵒ Gleicher Kriterienkatalog wie bei Web Interface und XenApp Services ᵒ Betrachtung erweitert sich um Verfügbarkeit von SaaS, Web und Data • StoreFront immer als MultiServer konfigurieren, auch im 1-Knoten-Design ᵒ ᵒ ᵒ ᵒ DNS-Alias für endgültige Namensgebung Leichteres Scale-out Erlaubt dezentrale Datenbank Datenbank-Downtime minimieren /w reduziertem Komfort • Layer7 Loadbalancing ᵒ StoreFront arbeitet case-sensitiv, trotz IIS/.NET-Plattform ᵒ Bei SSL-Offload: 302-Redirect beachten! • Optional: Loadbalancing über DMZ (poor-man‘s solution) Hochverfügbarkeit: Enterprise Edition Topologie Primary XenApp/ XenDesktop Primary SQL Internet Secondary Secondary NetScaler NetScaler DMZ StoreFront Server Group LAN AppController Hochverfügbarkeit: Technische Anforderungen • Loadbalancing für StoreFront Dienste ᵒ Durchleitung der Client Source IP erforderlich für Access Gateway Authentisierung ᵒ Persistency: SourceIP oder IIS Cookie, aber kein proprietäres CookieInsert ᵒ Monitoring: echte L7-Anfragen, z.B. StoreFront-Provisionierungsinfo • Monitoring für Credential Wallet Service Remote-Zugriff: Grundlagen • Abgrenzung der Appliance Edition und zukünftige CG-Ausbaustufen ᵒ Citrix oder Drittanbieter Appliance, Receiver Mobilgeräte Integration, VPN-Strategie ᵒ Access Gateway Standard oder Enterprise? ᵒ Access Gateway Enterprise oder NetScaler-Volllizenz? • Store-unabhängiges Authentisierungsmodell ᵒ vollautomatischer Access Gateway Support (erzwungene Kontextprüfung in Abhängigkeit zur Source IP) ᵒ Receiver SSO für Domain-joined PC/Laptop • SmartAccess? ᵒ Aktuell nicht ausprogrammiert (Roadmap) ᵒ Kein Endpoint-Scan bei Nutzung von Receiver (Deadlock) ᵒ Keine harten Kriterien für Remote-Policies in XenApp/XenDesktop Remote-Zugriff: Clientunterscheidung / Policies Zugriffsmethode Kriterium Profil Receiver REQ.HTTP.HEADER X-Citrix-Gateway EXISTS Store Mobile Receiver (Legacy und ThinClient) REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver || REQ.HTTP.HEADER UserAgent CONTAINS WTOS config.xml Access Gateway plug-in REQ.HTTP.HEADER User-Agent CONTAINS AGEE VPN-Tunnel & Receiver for Web HTML5 Browser (zero-footprint client v2.0) REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER UserAgent CONTAINS Chrome Receiver for Web mit HTML5Enforcement Browser true Receiver for Web Remote-Zugriff: Individualisierung • Branding-Grundlagen ᵒ NetScaler „green-theme“ auf der Appliance-Harddisc verfügbar ᵒ Erweitertes Theme von TechStur über die Citrix Blogs • Erweiterte Anpassung des Designs ᵒ Auf Folgedialoge (Passwortwechsel, Fehlersituationen) achten ᵒ HTML-Inhalt kann harte ASCII-Versionsinformationen enthalten, daher Vorsicht bei Update der Firmware! ᵒ Mögliche Anforderungen bei Enterprise-Rollout: Zugriff auf Provisionierungsinformationen vor der Anmeldemaske ermöglichen Remote-Zugriff: DMZ-Multifunktion VPN Signalisierungsproblem durch IP-NAT in DMZ Loadbalancing für LAN via DMZ XenApp/ XenDesktop Primary SQL Secondary NetScaler Internet DMZ StoreFront Server Group LAN AppController Remote-Zugriff: DMZ-Multifunktion NetProfile Rewriting v1.0 Rewriting v2.0 Methode Bindung von SourceIP auf Service oder ServiceGroup Bindung des „XForward-For“-Header direkt am VServer Bindung des „XForward-For“-Header nur bei AG-Hostheader VServer Zwei getrennte Zwei getrennte Nur einer Vorteil Triviale Konfiguration Kein IP-Verschleiß Volle Flexibilität Keine FirewallÄnderungen Alle vorgenannten Nachteil Doppelte Probes Expertenkonfiguration – Nebenbedingung Kein MIP RoundRobin u.U. exklusive Appliance Service/ServiceGroup darf kein USIP nutzen AppController Enterprise Web SSO AppController • Virtualisierungsumgebung kontrollieren ᵒ Zeitsynchronisation auf Hypervisor (Tools) /w SSO ᵒ Anpassung Speicherausstattung der VM • Anbindung Active Directory Domain Services ᵒ Nur ein AD pro AppController (Mandantentrennung) getrennte Stores einplanen ᵒ ldap-Bindungen und –Suchpfade sind case-sensitiv! ᵒ Maximal 3 OU-Pfade für Gruppenmitgliedschaften (Rollenkonzept) • Hochverfügbarkeitsaspekte ᵒ ᵒ ᵒ ᵒ Loadbalancing, Replikation und Heartbeating sind eingebaut Knoten nur im selben Layer2-Subnetz Geo-Cluster mit CloudBridge DC-Integration über NetScaler ldap-VServer AppController • FormFill ᵒ ᵒ ᵒ ᵒ Passwort-Verwaltung im AppController Sicherheitsdatenbank lokal oder ausgelagert (mySQL, MSSQL) Anmeldeinformationen mit AES256 verschlüsselt Nur POST-Mechanismen unterstützt! • SAML ᵒ Komplexe Einrichtung pro Anwendung ᵒ Provisionierung externer Accounts möglich ᵒ Keine Passwortablage mehr • Spezialfall ShareFile • Integration von nicht-öffentlichen Ressourcen ᵒ KEYWORDS:VPN – Receiver koordiniert VPN-Tunnelaufbau vor Anwendungsstart AppController • Non-Standard SaaS- und WebApps integrieren ᵒ Eigene APIs nutzen (u.U. FormFill-Wrapper nötig) ᵒ Integration als Meta-AppController mit NetScaler ContentSwitching ᵒ http-Compression auf AppController abschalten oder erzwingen • Eigene Symbole ᵒ .png-Format über Administrationsoberfläche ᵒ .ico-Format nach oca\img ergänzen, muss mindestens Multiformat-Layer 48x48 und 32x32 enthalten (RGB+Alpha, RGB, 16Farben) ᵒ Derzeit keine automatische Replikation des img-Verzeichnis bei H/A-Pair Diagnose Wenn‘s doch mal hakt… Diagnose: StoreFront • Filterung einstellen: <logger>-Definition ᵒ c:\inetpub\wwwroot\Citrix\<dir>\web.config ᵒ Für Authentisierung, Stores und RfW getrennt einstellbar ᵒ Ausgabe über die Ereignisanzeige: Citrix Delivery Services • Die berühmte MaxTokenSize ᵒ Standardwert bei Mitgliedschaft in etwa 100 AD-Gruppen überschritten ᵒ Probleme im Authentication Modul (IIS Header Max Size) ᵒ Aktuell kein Fix anwendbar Diagnose: StoreFront • Trace-Modus ᵒ Einschalten per PowerShell • Add-PSSnapin Citrix.DeliveryServices.Framework.Commands • Set-DSTraceLevel -All -TraceLevel Verbose ᵒ Abschalten per PowerShell • Add-PSSnapin Citrix.DeliveryServices.Framework.Commands • Set-DSTraceLevel -All -TraceLevel Off ᵒ Ausgabe dateibasiert im Ordner c:\Program Files\Citrix\Receiver Storefront\Admin\Trace\ Diagnose: AppController • Logging ᵒ /usr/local/interceptor500/logs (Controller) ᵒ /root/apache-tomcact-6.0.20-int500/logs (Webschicht) • Kapazitätsprobleme beobachten (Arbeitsspeicherengpass) Ressourcen Nützliche Links… Ressourcen • Web Interface End-of-life http://support.citrix.com/product/legacy/ • J# End-of-life http://msdn.microsoft.com/en-us/vjsharp/default.aspx • NetScaler Green Theme http://support.citrix.com/proddocs/topic/access-gateway-10/agee-clientconnect-cr-new-theme-page-tsk.html http://blogs.citrix.com/2012/04/19/green-bubble-theme-for-citrix-netscaler/ • .NET CRL Revocation List Bypass http://support.citrix.com/article/ctx117273 Ressourcen • AGEE CNS v10 clientless policies http://support.citrix.com/proddocs/topic/access-gateway-10/agee-storefrontwrapper-con.html • Database Creation Scripts http://support.citrix.com/proddocs/topic/dws-storefront-11/dws-deploy-multidatabase.html • Receiver for Web Customization http://blogs.citrix.com/2012/05/24/how-to-brand-citrix-receiver-for-web/ http://blogs.citrix.com/2012/06/06/customizing-receiver-for-web/ http://www.jeroentielen.nl/customizing-the-cloud-gateway-logon-screen/ Ressourcen • StoreFront AppEnumeration & ICA Signing http://support.citrix.com/proddocs/topic/dws-storefront-11/dws-configure-conffile.html • Receiver-Installation von der Kommandozeile http://support.citrix.com/proddocs/topic/receiver-windows-32/ica-configurecommand-line.html • Receiver External Beaconing in einer Remoting Session HKLM\SOFTWARE\Citrix\Receiver\SRSettings\ NetworkingUnderTSForSRAllowed:DWORD=0x1 • StoreFront und Web Interface: koexistente Installation auf einem Server http://support.citrix.com/article/CTX132294 DANKE und gute Heimreise! [email protected] [email protected] Besuchen Sie die Partner in der Ausstellung Nutzen Sie unsere Zusatzangebote! • Citrix Expert Desks: Unsere Produkt-Spezialisten beantworten Ihre individuellen Fragen und geben Ihnen Einblick in aktuelle Projekte • Citrix Tech Lounge: Lernen Sie die wichtigsten Funktionen von Citrix XenClient live kennen - bei einem Hands-On-Test in unserer Tech Lounge • Meet the Architects: Buchen Sie an der Info einen Kurz-Workshops mit CitrixConsulting und erarbeiten Sie eine Zielarchitektur für Ihr Unternehmen • Citrix Datentankstelle: Lassen Sie sich auf Ihren mobilen Endgeräten einen Citrix Receiver mit Demozugang einrichten • Citrix Education Desk: Informieren Sie sich über die aktuellen Trainingsangebote • Citrix Test Center: Die Plätze sind ausgebucht. Es besteht die Möglichkeit über die Warteliste noch kurzfristig einen Platz zu bekommen Feedback und Präsentationen • Ihre Meinung ist uns wichtig! Bitte nehmen Sie sich einige Minuten Zeit, unseren Online Feedbackbogen auszufüllen. Den Link dazu erhalten Sie einige Tage nach der Veranstaltung • Im Anschluss an den Fragebogen haben Sie Zugriff auf die Downloadseite der Präsentationen Bitte vormerken: Citrix Synergy 2012 • The premier event on cloud computing, virtualization and networking • 17.- 19. Oktober 2012 im International Convention Centre Barcelona • Weitere Infos: http://www.citrixsynergy.com/barcelona Work better. Live better.