Access

CTX-Blog

powered by Ecki's Place

08. March, 2013

IE 10 + Access Gateway Enterprise Logon Screen Problem

Wer bereits den neuen IE 10 einsetzt, ist vermutlich auch schon über dieses Phänomen mit einem Access Gateway Enterprise gestolpert. Der Bildschirm bleibt leer, wenn man die URL des AGEE eingibt. Erst wenn man manuell in den Kompatabilitätsmodus des Browsers wechselt, werden die Login Felder angezeigt. Ein ähnliches Problem hatte ich bereits vor einigen Jahren beschrieben, s. AAC und IE 8.0

Die Lösung ist ähnlich, allerdings unterscheiden sich die Dateien.

Beim Access Gateway Enterprise muss in der Datei “/netscaler/ns_gui/vpn/index.html” folgende Zeile (rot/fett) im Header hinzugefügt werden:

<HTML><HEAD><TITLE>Citrix Access Gateway</TITLE>
<link rel="SHORTCUT ICON" href="/vpn/images/AccessGateway.ico" type="image/vnd.microsoft.icon">
<META http-equiv="X-UA-Compatible" content="IE=EmulateIE9" />
<META http-equiv="Content-Type" content="text/html; charset=UTF-8">
<META content=noindex,nofollow,noarchive name=robots>
<LINK href="/vpn/images/caxtonstyle.css" type=text/css rel=STYLESHEET>
<script type="text/javascript" src="/vpn/resources.js"></script>
<script type="text/javascript" language="javascript">
var Resources = new ResourceManager("resources/{lang}", "logon");
</script>

Wenn das Ergebnis stimmt (! Browser schliessen und neu öffnen !), darf nicht vergessen werden, dass das Access Gateway Enterprise diese Modifikation bei einem Reboot “vergisst”! Wie man solche Anpassungen persistent macht, beschreibt z. B. How to Retain the Custom Settings made to the NetScaler Appliance after it is Restarted

Gruss
Ecki

04. April, 2007

Citrix Access Gateway Enterprise verfügbar

Nach einer längeren Beta Tesphase ist seit letzter Woche die Firmware 8.0 für das Access Gateway Enterprise verfügbar, auch bekannt unter dem Codenamen “Timpanogos”. Access Gateway Enterprise ist der letzte Spross der Access Gateway Familie. Die Software läuft nur auf NetScaler Hardware, kann daher aber prinzipiell auch die erweitereten Funktionen der NetScaler Familie, wie z. B. Loadbalancing, Application Accelleration, etc., bieten. Über das Funktionsspektrum entscheidet hier in erster Linie das Lizenzfile.

NetScaler konnten schon vor diesem Release SSL VPN’s bereitstellen, aber erst seit dieser Version ist es möglich, Citrix Farmen über den neuen ICA Proxy bereitzustellen, wie es die Standard und Advanced Edition bereits länger beherschen. Dadurch ist es Usern nun ebenfalls möglich, über einen NetScaler auf interne Presentation Server Farmen zuzugreifen, ohne einen VPN Client installieren zu müssen. NetScaler kann aus diesem Grund nun ebenfalls, wie seine kleineren Brüder, als Ersatz für Windows Server mit Citrix Secure Gateway in der DMZ verwendet werden.

Der grösste Unterschied zwischen den unterschiedlichen Access Gateway Versionen liegt, neben der Hardware und dem Betriebssystem, in der Skalierbarkeit. Unterstützt ein Access Gateway Standard bis zu 2000 gleichzeitige ICA Sitzungen, skaliert NetScaler von 2’500 (Modell 7000) bis 10’000 (Modell 10000) gleichzeitigen Sitzungen über eine einzige Appliance. Die Enterprise Version benötigt keinen zusätzlichen Windows Server wie die Advanced Edition, alle Funktionen finden sich auf der Appliance.

Die wichtigsten Features in diesem Zusammenhang (ohne Anspruch auf Vollständigkeit) sind:

  • Authentifizierung mit SmartCard – Anmeldungen ohne Username/Passwort sind an einem NetScaler mittels SmartCard oder anderen MSCAPI (Microsoft Crypto API) fähigen Anwendungen möglich.
  • Mehrere virtuelle Server auf einer Appliance – Es können mehrere unabhängige virtuelle SSL VPN Server auf einer Appliance betrieben werden, die sich durch unterschiedliche Zertifikate, Policies und IP-Adressen unterscheiden können.
  • Kompression des VPN Traffics – Da es sich hier prinzipiell um einen NetScaler handelt, können dessen eingebauten Kompressionstechniken den VPN Traffic vor der Verschlüsselung reduzieren und so die Performance für den User verbessern.
  • Eingebaute Hochverfügbarkeit – Zwei Appliances können problemlos in einer Active/Passive Konfiguration installiert werden. Alle Session Informationen können in Echtzeit zwischen den Appliances ausgetauscht werden, so dass im Fehlerfall einer Box keine Neuanmeldung der User notwendig ist.

Wie bei der Advanced Edition können die “Smart Access for Presentation Server” Features auch mit der Enterprise Version genutzt werden. So können Einschränkungen bezüglich Laufwerks-, oder Printermapping, Sichtbarkeit von Applikationen, etc. aufgrund des Ergebnisses eines Endgeräte Checks angewand werden.

Einige interessante Features der Advanced Edition sind allerdings leider bei der Enterprise Version bisher nicht verfügbar, andere werden es vermutlich nie auf die NetScaler Platform schaffen.

  • Clientless Access auf interne Webseiten (Proxy) – Hierfür wird bei der Enterprise Version aktuell der VPN Client benötig.
  • File Type Association – Ermöglicht es, z. B. Mail Attachments mit einem published Word/Excel… auf einem Presentation Server im Rechenzentrum zu öffnen, ohne das Dokument auf den Client Rechner transferieren zu müssen. Dies ist momentan für die Enterprise Version nicht verfügbar.
  • HTML Preview – Eine Funktion, Office Dokumente und PDF’s auf dem Advanced Access Control Server in “non cachable HTML” umzuwandeln, so dass vertrauliche Informationen nicht in den Browsercache gelangen können. Da es sich hier um einen Windows Funktionalität handelt, bezweifle ich, dass dies jemals in der Enterprise Edition verfügbar sein wird.

Abschliessend kann daher gesagt werden, dass die Enterprise Edition vor allem in grossen Installationen über 500 gleichzeitigen Usern eine interessante Alternative zur Advanced Edition darstellt. Im Moment sind jedoch noch bei weitem nicht alle Features der Standard und Advanced Edition implementiert, so dass diese Versionen eventuell besser in ihre Umgebung passen. Citrix arbeitet jedoch mit Hochdruck daran, diese Lücken so schnell wie möglich zu füllen.

Gruss
Ecki

04. March, 2007

Höhere Verfügbarkeit für PS 4.5

In diesem Bereich gibt es einige Verbesserungen, Namentlich die Punkte:

  • Health Assistant
  • Load Throtteling
  • Configuration Logging
  • Thread Sandboxing (IMA)

Health Assistant steht für das Monitoring von wichtigen Systemdiensten und Prozessen. Dazu gehören die Terminal Services (Auflisten von laufenden Usersessions und deren Sessioninformationen), der Citrix XML Dienst (Abruf/Überprüfung eines XML Tickets), der IMA Dienst (Auflisten von Applikationen über den IMA Dienst) und ein Logon Monitor (Logons/Logoffs innerhalb eines bestimmten Zeitraums, um Überlastungen festzustellen).

Auf einen gefundenen Fehlerzustand kann dann auf verschiedene Art reagiert werden. Entweder können nur Eventlog Einträge erstellt werden (Standardeinstellung), der Server aus dem Loadbalancing genommen werden, oder auch Dienste neu gestartet werden. Als letzter Ausweg kann ein Server sogar gebootet werden. Eigene Tests können mit Hilfe des Health Monitoring & Recovery SDK selbst entwickelt werden.

Load Throtteling verhindert die Überlastung eines Servers durch zu viele gleichzeitige Anmeldeversuche. Hierbei werden einem Server, der neu in einer gut frequentierten Farm gestartet wird, nicht alle neuen Anmeldungen zugewiesen, sondern nur so viele, wie er problemlos bewältigen kann.

Configuration Logging erlaubt die Überwachung aller Konfigurationsänderungen in der Access Management Console (AMC) und das Logging dieser Aktivitäten in einer SQL Datenbank. Die Frage, wer Gestern die Published Application XYZ gelöscht hat, kann so recht einfach beantwortet werden.

Thread Sandboxing betrifft in erster Linie den IMA Dienst. Um eine optimale Performance auch unter höchster Last garantieren zu können, werden hier die einzelnen Threads in unterschiedliche Klassen eingeteilt. Diese Klassen bekommen nun jeweils ihr Quantum an Ressourcen zugeteilt, so dass ein hängender Thread nicht andere Threads blockieren kann, wie es bisher möglich war. Das Loadbalancing als Kernfunktion des IMA Dienstes steht so immer mit optimaler Performance zur Verfügung.

All diese Technologien könne zu einer stabileren und verlässlicheren Umgebung führen und stehen, mit Ausnahme des “Health Assistant” in allen Versionen zur Verfügung. Der “Health Assistant” wird leider nur in der Enterprise, oder Platinum Version freigeschaltet.

Gruss
Ecki

|