Tag Archives: citrix

Citrx EdgeSight

citrix logoCitrix EdgeSight – средство мониторинга производительности и доступности для таких продуктов как XenApp, XenDesktop. Отдельно существует EdgeSight для мониторинга NetScaler. EdgeSight способен производить мониторинг пользовательских сессий, устройств, использование лицензий, состояние сети в реальном времени.

Средство это весьма развесистое, требовательное к инфраструктуре и отнюдь не тривиальное в настройке. В качестве более легковесных альтернатив можно назвать SNMP мониторинг, splunk сервер + agent for XenApp, а так же такие решение как Terminal Servers Log. Read more »

Медленный Citrix Web Interface/MMC-консоль, проблемы с CRL

citrix logoПри стечении определенных обстоятельств сервер, на которым расположен Web Interface, может отдавать страницу в течении весьма длительного времени. Случается это в тех случаях, когда не подключенный к интернету сервер был перезагружен или был перезагружен IIS и, одновременно с этим используется 3rd party SSL сертификат.

Ниже представлены workaround и объяснение механизма CRL.

Workaround

  1. Проверьте версию ASP.net, которая используется с вашим Web Interface. Отредактируйте aspnet.config в надлежащем каталоге C:\Windows\Microsoft.NET\Framework\v[num].
  2. Добавьте следующую запись в конфигурационный файл и перезапустите IIS:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <runtime>
        <generatePublisherEvidence enabled="false"/>
    </runtime>
</configuration>

Объяснение механизма работы CRL

CRL (certificate revocation list) – список отозванных сертификатов, позволяющий быстро и без лишней пыли проверить был ли отозван сертификат и действителен ли он. Есть два способа выполнить такую проверку: загрузить CRL целиком или, воспользовавшись OCSP (online certificate status protocol), выполнить проверку только интересующего сертификата. Не надо путать Expiried сертификаты (истек срок) и Revoked (сертификат был отозван).

Соответственно тормоза берутся когда рабочая станция или сервер, не будучи подключенными к интернетам, пытается загрузить CRL или выполнить проверку по OCSP. До тех пор пока соединение не отвалится по timeout свой web interface вы не увидите.

Эта проблема актуальна не только для сайтов, но и для приложений, написанных на .NET (фича называется Code Security Access – CAS). Когда загружается какой-либо модуль система ожидает подтверждения о том, что CLR (Common Language Runtime) подписан сертификатом от издателя и делает ровно то, для чего он предназначен.

Выключать CRL полностью сильно не рекомендуется для окружений, находящихся в эксплуатации, однако не возбраняется отключить его в процессе поиска неисправностей. О способе это сделать написано в разделе workaround в начале статьи.

Citrix Receiver

Citrix ReceiverВ процессе чтения форумов заметил, что у людей возникает масса вопросов на тему того, какой Citrix Receiver использовать и в каких ситуациях. Если вас, так же как и меня поглотило предновогоднее веселье, то, возможно, вы немного выпали из обоймы. Подведем итоги – у нас есть две версии Citrix Receiver (обычная и enterprise) и есть олд скульный Citrix Online plug-in (которых, в общем, тоже две версии). Давайте разберемся кто все эти люди.

Виды Citrix Receiver’ов

  • Citrix Receiver (Receiver for Windows) – версия, которую большинство людей и скачивает. Отличается различными ограничениями, однако не требует прав администратора для установки.
  • Citrix Receiver Enterprise (Receiver for Windwos (Legacy PNA) – как не трудно догадаться из название эта версия “расширена” дополнительной компонентой, отвечающий за SSO, pass-through authentication и smart card authentication.
  • Citrix Online plug-in – это давным давно было то, во что переродился разжиревший Citrix Receiver с поддержкой облачный фишечек, StoreFront, CloudGateway, ShareFile и т.д. Оригинальное предназначение Online plug-in’а состояло в том, что ему скармливался URL PNA (Program Neighborhood Agent) сервиса с xml, в которой были обозначены все параметры, которые следует передать клиенту. В дайльнейшем пользователь запускал приложения так, как будто они установлены на его компьютере без необходимости скачивать и обрабатывать ICA файл. В свою очередь существовало две версии Online plug-in’а:
    • Online plug-in Full – то, что сейчас представляется собой Citrix Receiver Enterprise.
    • Online plug-in Web – то, что теперь обычный Citrix Receiver, но дополненный Self-Service Plug-in’ом и Receiver UI, который, фактически, отображает содержимое web interface в человечьем виде. Read more »

Citrix Access Gateway на NetScaler VPX – tips & tricks

citrix logoВ заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.

Процесс подключения

Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.

cag access scheme

  1. Пользователь попадает на https://cag.company.ltd
  2. Access Gateway терминирует SSL и производит аутентификацию пользователя (а если включен Smart Access еще и валидацию оборудования).
  3. В соответствии с заданными политиками происходит коммуникация с Web Interface (WI) и пользователю отображается сайт. CAG выступает в роли reverse proxy.
  4. Пользователь запускает приложение, кликнув на иконку.
  5. WI запрашивает тикет от XML сервиса (STA – Secure Ticket Authority).
  6. WI отправляет пользователю тикет в ICA файле.
  7. Citrix Receiver запускает ICA клиент, заворачивает ICA сессию в SSL и отправляет все это дело до Access Gateway.
  8. Если Access Gateway получает информацию о том, что тикет валидный, то ICA сессия устанавливается, пользователю показывается приложение. Read more »

Настройка Citrix Access Gateway на NetScaler VPX

citrix logoПодразумевается, что вся первоначальная настройка NetScaler вами уже была произведена. Если нет, то смело обращайтесь к предыдущей статье или официальной документации. Настройку же Citrix Access Gateway (CAG) можно условно разделить на два этапа – настройка WebInterface (WI) / Storefront aka CloudGateway (в этой статье рассматриваться не будет) и настройка непосредственно виртуального сервера на NetScaler VPX с функцией CAG. Мы создадим на WI две точки входа для клиентов, использующих Citrix Receiver и для клиентов, которые получают доступ к опубликованным приложениям через обычный браузер, создадим CAG vserver и привяжем его к этим точкам входа, настроив LDAP аутентификацию. На сладкое у нас смена темы welcome на более няшную.

Настройка Citrix Web Interface

Откроем оснастку Citrix Web Interface Management и создадим новый веб сайт для пользователей, использующих браузер. Настройки типичны для обычного сайта, за исключением метода безопасного доступа. Read more »