Features. Focus. Labreports. Server-based computing & Virtualisatie. Altijd overal aanwezig

www.netopus.nl • jaargang 8 • nummer 6 • juli/augustus 2006

Server-based computing & Virtualisatie Altijd overal aanwezig

Features

• Citrix 2006: alle oplossingen • Beveiliging en terminal servers • Thinstall virtualisatie • HOB Remote Desktop VPN • Veilig toegang met SmartGate

Focus Server-based computing & Virtualisatie

• Web Interface voor SharePoint • SSL VPN wordt volwassen

Labreports

• Sun Ray Virtual Display Clients • Citrix Netscaler Application Firewall • RES vs. AppSense • Citrix Access Essentials • Expand Accelerator 4920 nr. 6 | juli/aug ‘06 NL |  6,80 BE |  7,40

NOP0606_p01-01_Cover_SBC&Virtual1 1

Klein, kleiner, kleinst!

10-08-2006 11:04:44

Colofon NetOpus Postbus 3389 2001 DJ Haarlem Telefoon redactie: (023) 543 00 00 Fax redactie: (023) 535 96 27 E-mail redactie: [email protected] Hoofdredactie • Mireille Rameau ([email protected]) Eindredactie • Onno Louwen Redactie: Marcel Beelen Vormgeving • Marijn Wegman Medewerkers • Remy Habets Uitgever • Wouter Hendrikse Traffic • Marco Verhoog Management Assistente • Rosita de Krou Media Order • Mirella van der Willik Boekhouding • René de Muijnck, Geeta Hobo Directie • Wouter Hendrikse, Richard Mul, Martin Smelt P&O en Algemene Zaken • Hans Nusselder (dir.) Prepress & Druk • Senefelder Misset Doetinchem Distributie • Betapress Abonnementen HUB Uitgevers b.v. Ingrid van der Aar Postbus 3389 2001 DJ Haarlem Telefoon: (023) 536 44 01 Fax: (023) 545 18 43 E-mail: [email protected] Een abonnement kan elk moment ingaan, en kost voor 10 nummers 1 59,50. Een abonnement wordt steeds automatisch voor eenzelfde periode verlengd tenzij u twee maanden voor de vervaldatum schriftelijk opzegt.

Advertenties Sander de Haas Telefoon: (023) 543 00 47 Mobiel : (06) 226 81 635 Fax: (023) 535 96 27 E-mail: [email protected]

NetOpus is een uitgave van

BV

Hoewel aan NetOpus door de redactie en de uitgever uiterste zorg is besteed, aanvaarden de redactie noch de uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in het blad en/of op de website. Reproductie van artikelen, of andere redactionele bijdragen op welke wijze dan ook is alleen toegestaan na schriftelijke toestemming van de uitgever. Copyright © 2006 HUB Uitgevers b.v. Wij nemen je gegevens, zoals naam, adres en telefoonnummer op in een gegevensbestand. De verwerking van je gegevens is aangemeld bij het College Bescherming Persoonsgegevens in Den Haag door HUB Uitgevers b.v., de verantwoordelijke voor je gegevens. Je gegevens worden gebruikt voor de uitvoering van met jou gesloten overeenkomsten, zoals de abonnementen administratie. Daarnaast kunnen wij je gegevens gebruiken om je op de hoogte te houden van interessante informatie en/of aanbiedingen. Jouw gegevens kunnen ook aan door ons zorgvuldig geselecteerde partijen ter beschikking worden gesteld. Je gegevens kunnen, samen met hun informatie over jou, worden geanalyseerd om de aanbiedingen en/of informatie zoveel mogelijk op je interesses af te stemmen. Je kunt bij het opgeven van je gegevens bezwaar maken tegen beschikbaarheids stelling van je gegevens aan derden. Ook kun je je eigen gegevens opvragen en verzoeken ze te corrigeren of te verwijderen. Stuur hiertoe een kaartje aan de abonnementen administratie. Postbus 3389, 2001 DJ Haarlem.

Server-based computing – SBC - Een multi-user netwerkoplossing waarbij applicaties via centrale servers beschikbaar zijn voor de aangesloten werkplekken. De werkstations heten ook wel thin clientsº. De systeembeheerder heeft het voordeel van centraal beheer en administratie.

4 NOP0606_p02-05_Colofon&Inhoud_(+4 4

10-08-2006 15:46:32

SBC & Virtualisatie • Colofon & Inhoud

Analyses

Virtualisatie als massaproduct (Marcel Beelen)

9

Gratis software en open standaarden

Server-based computing & Virtualisatie Citrix 2006

10

Alle oplossingen

Virussen geen kans

14

Beveiliging op terminal servers?

14

In gangbare bedrijfsnetwerken is beveiliging al een hele klus. Terminal servers en de bijbehorende clients kunnen je beheer sterk vereenvoudigen, maar geldt dat ook voor antivirusbeveiliging? We ontzenuwen deze mythe en schetsen scenario’s voor veilig beheer.

Beveiliging en terminal servers

Thinstall virtualisatie

18

Neem je toepassingen mee op usb

Complete toegang

20

HOB Remote Desktop VPN

SmoothRoaming

22

De meest flexibele werkplek

Veilig toegang met SmartGate

25

De terugkeer van V-ONE

Focus

Eindelijk samen

28

Soepele werkplekken

22

SmoothRoaming is een concept dat het mogelijk maakt om je werkomgeving zonder onderbrekingen mee te nemen van de ene naar de andere computer. NetOpus bekijkt hoe realistisch deze belofte is aan de hand van de innovatieve oplossingen van Igel.

Web Interface voor SharePoint

Toegang op afstand

40

SSL VPN wordt volwassen

Dubbele virtualisatie

44

Virtuele sessies op virtuele systemen

Marketwatch

Kan het wat sneller?

Virtuele sessies 46

Technologieën voor applicatie-accelleratie

Labreports

Meer dan een thin client

50

44

Virtualisatie van servers krijgt steeds vaker een vaste plek in productieomgevingen en in datacenters van grote organisaties. Het gebruik van terminal server op virtuele machines lijkt misschien volkomen onzinnig, maar zelfs het virtualiseren van de virtuele werkplekken op terminal server kan nuttig zijn.

Sun Ray Virtual Display Clients

Gevecht ten einde

54

RES PowerFuse vs. AppSense Management Suite

Uitstekende webbeveiliging

60

Citrix Netscaler Application Firewall

Nieuwe terminals voor het mkb

64

Citrix Access Essentials

Bandbreedte onder controle

68

Expand Accelerator 4920

Uitgelezen!

Handige links voor de beheerder

Attachment

Slimme camera’s (Onno Louwen)

Attachment 76 78

Intelligente beeldanalyse

Tricks & Traps

Vraag en antwoord

NOP0606_p02-05_Colofon&Inhoud_(+5 5

46

Applicatie-acceleratie is een brede term voor het versnellen van applicaties door het implementeren van acceleratie-infrastructuur voor de servers in het datacenter of aan de randen van het WAN. In deze Marketwatch kijken we niet naar producten, maar naar de verschillende technologieën achter hardwarematige versnelling.

74

De nieuwste SBC-boeken

Linkbox

Applicatatieversnellers

81

78

De steeds toenemende intelligentie in netwerkapparatuur maakt een verbreding mogelijk van functionaliteit en zorgt voor een ontlasting van het servers, clients en het netwerk als geheel. Maar zelfs videocamera’s worden steeds intelligenter, wat erg interessante mogelijkheden biedt. Welke voordelen dat precies zijn bespraken we met Magnus Ekerot, country manager Benelux van Axis Communications.

5 10-08-2006 15:47:05

photocase.com

Voorwoord

Jubileum! Dit is alweer het vijfde achtereenvolgende jaar dat NetOpus een zomernummer uitbrengt over server-based computing. We kunnen dus met recht spreken van een jubileum! De interessante ontwikkelingen dit jaar hebben in ieder geval weer voor voldoende stof gezorgd die in dit nummer aan bod zal komen.

T

erugkijkend op de afgelopen jaren valt op dat er mede door Citrix een behoorlijke evolutie heeft plaatsgevonden van pure serverbased computing naar access infrastructure, en tegenwoordig is er weer een duidelijke beweging naar virtualisatie. We spreken dan over producten en oplossingen die je helpen met het centraliseren en consolideren van toepassingen om die efficiënt en veilig aan te bieden op allerhande lokale en remote werkplekken, over elk type verbinding. Het klinkt misschien alsof er niets veranderd is, maar niets is minder waar. De omslag die heeft plaatsgevonden is dat er nu ook bij Citrix sprake is van een onderscheid tussen server-based computing-toepassingen, webtoepassingen en lokale toepassingen. Naast Presentation Server, de diensten van Citrix Online en de Citrix Access Gateway (de SSL VPN appliance) zijn nieuwe producten voortgekomen uit enkele overnames die webtoepassingen kunnen versnellen en beveiligen. Om lokale toepassingen aan te bieden heeft Citrix vorig jaar als vaporware een oplossing voor applicatie-streaming aangekondigd met de codenaam Tarpon, die binnenkort zal materialiseren in de Citrix Streaming Server. Vanaf dat moment kan Citrix zich met recht een ware applicatieontsluiter noemen voor alle typen toepassingen. In dit themanummer zullen we verder de tijd nemen om de marketingterm SmoothRoaming naar technologie te vertalen en daarnaast bekijken we het nut van antivirussoftware op terminal servers. Onder de Labreports vind je softwareproducten zoals SmartGate van AEP en RD VPN van HOB, die we grondig onder de loep zullen nemen. Verder virtuali-

seren we terminal server en verkennen we de gevirtualiseerde ICA-client van Citrix. De Citrix Application firewall en de Expand Accelerator worden getest en we staan na jaren weer eens even stil bij AppSense en RES. Een erg boeiend en veelbelovend server-based alternatief vormt bovendien de Sun Ray-oplossing. In dit nummer vind je de Sun Ray clients en in NetOpus 8 zullen we ons gaan richten op de servers. Voor degenen die behoefte hebben aan een terugblik: de vier voorgaande NetOpus-nummers over server-based computing zijn gratis en zonder registratie te downloaden op www.serverbased-computing.nl of op www.netopus.nl. Heb je inhoudelijke vragen en opmerkingen over de artikelen of de technologie die erin beschreven wordt, neem dan gerust contact met me op. Marcel Beelen [email protected]

fimi.philips.com

NOP0606_p06-07_Voorwoord_(+ad_Ig7 7

7 10-08-2006 15:34:46

Virtualisatie als massaproduct • Analyse

Virtualisatie als massaproduct Gratis software en open standaarden Virtualisatie in de vorm van virtual machine-technologie voor het Intel-plaform heeft het afgelopen halve jaar een boeiende ontwikkeling doorgemaakt. Niet zozeer de technologie zelf is veranderd, maar vooral de vorm. De eerste opmerkelijk stap was in december 2005, toen VMware (EMC) een gratis VMWare Player beschikbaar stelde, om kanten-klare virtuele machines mee te bedienen. (Marcel Beelen)

E

r is al een hele gemeenschap ontstaan rond virtual appliances met VMware. Er zijn al meer dan 250 te downloaden en te gebruiken bovenop een Windows- of Linux-werkplek. Een minstens zo bijzondere stap was de aankondiging in februari 2006 door EMC om de opvolger van VMware GSX Server ook gratis op de markt te brengen. VMware Server (RC2) is al te downloaden en maakt het gebruik van virtuele machines in grote, maar ook kleine datacenters, veel toegankelijker. Verder heeft VMware besloten het bestandsformaat gebruikt door de virtuele machines, weliswaar op aanvraag, vrij te geven. De door VMware opgerichte Virtual Desktop Infrastructure Alliance moet andere technologieën en gebruikstoepassingen in de week leggen. Wat is EMC toch aardig voor ons: gratis software en open standaarden. Maar we weten allemaal dat niets in deze wereld echt gratis is. Het doel is natuurlijk om zoveel mogelijk bedrijven strategisch te laten kiezen voor het VMware virtualisatieplatform, zodat steeds meer partners er add-on’s voor ontwikkelen. We weten dat virtualisatieondersteuning wordt toegevoegd aan hardware door Intel’s VT en AMD’s Pacifica en aan besturingssystemen door Microsoft’s Vista en onder meer Novell’s Linux (door de adoptie van virtualisatie-software Xen). VMware is

NOP0606_p08-09_Analyse_MarcelBee9 9

bezig de toekomst zeker te stellen door de toch al grote installed base nog verder te vergroten. Met software-maintenance, dienstverlening en de andere producten van VMware, waaronder het superieure ESX Server en VMotion, is ook in de nieuwe virtuele wereld nog steeds veel geld te verdienen. VMware handhaaft het positieve imago als marktleider en als dé specialist door in hoge mate betrokken te zijn bij al deze ontwikkelingen. Concurrent Microsoft (voorheen Connectix) kon als reactie hierop niet anders besluiten dan in april van dit jaar Virtual Server ook gratis te gaan aanbieden. Waarom zou je immers Virtual Server kopen als de directe concurrent VMware Server gratis is? Maar daar blijft het niet bij. Het virtuele bestandsformaat dat Microsoft gebruikt is eveneens beschikbaar gesteld, de licentievoorwaarden zijn verbeterd en onlangs is zelfs Microsoft Virtual PC freeware geworden. Ook wordt Linux nu door Microsoft ondersteund als gastbesturingssysteem op Virtual Server R2. Wat is Microsoft toch aardig voor ons: gratis software en open standaarden. Microsoft heeft er uiteraard baat bij als veel organisaties nu al virtuele machines draaien op Virtual Server in plaats van op de VMware-producten. Het idee van de one-stop-shop is natuurlijk op de lange termijn goed voor Microsoft. Bovendien

wordt later de overstap naar Vista veel eenvoudiger. Consolidatie met virtualisatie pakt trouwens altijd goed uit voor Microsoft. Het aantal servers hoeft hierdoor namelijk helemaal niet af te nemen. Juist omdat het toevoegen en onderhouden van nieuwe virtuele servers zo eenvoudig wordt, is de kans groot dat je juist méér servers gebruikt dan je nu hebt. En die virtuele servers draaien vaak software van Microsoft, met alle bijbehorende licenties. Kassa dus. Maar wat ook de beweegredenen van deze bedrijven zijn om deze software gratis te maken, en ongeacht wat de toekomst ons brengt, voor ons als klanten is het een prima ontwikkeling. Wij kunnen gratis virtual machine-technologie invoeren en nu al profiteren van de vele technische, organisatorische en kostentechnische voordelen om ons datacenter te consolideren en meer dynamisch te maken. Y

Marcel Beelen is technisch ictschrijver van onder meer white papers, handleidingen en case studies voor ict-bedrijven en publiceert regelmatig artikelen in vakbladen. In 2005 schreef hij onder meer het themaboekje ‘Virtuele systemen’.

9 10-08-2006 15:50:24

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Citrix 2006 Auteur: Marcel Beelen Pagina’s: 10 - 13

Citrix 2006 Alle toepassingen

Het productaanbod van Citrix is bijna te groot om op te noemen. Door de vele overnames en nieuwe producten raken we zo langzamerhand de tel kwijt. Op moment van dit schrijven heeft Citrix dertien hoofdproducten waaronder vaak minimaal 27 afzonderlijke producten of productversies vallen, afhankelijk van hoe je precies telt en exclusief upgrade-licenties en andere speciale versies. Tijd dus voor een overzicht.

C

itrix is al lang het jasje van MetaFrame ontgroeid. De nieuwste strategie van de bedenker van ‘server-based computing’ op Windows is op dit moment weer terug bij ‘access’. Via uitstapjes als ‘virtual workplace’, ‘access infrastructure’ en ‘on-demand access’ profileert Citrix zich nu als applicatieontsluiter. We hebben in dit artikel 27 producten van Citrix anno augustus 2006 voor je op een rijtje gezet. Tel je mee?

Citrix Presentation Server 4.0 Citrix Presentation Server 4.0 (het oude MetaFrame) kennen we allemaal. Er zijn een paar varianten: de Standard, Advanced en de Enterprise versie. Bovendien zijn er 32-bit en 64-bit versies. In de Enterprise editie is het eerdere product Conferencing Manager opgenomen, dat niet langer los te koop is. Ook de UNIX-versie van Presentation Server is niet langer meer individueel te koop, maar maakt deel uit van de Enterprise-versie van Presentation Server. Op dit moment kun je kiezen uit zes Citrix Presentation Server producten. Presentation Server is in elk van de vijf NetOpus-themaspecials uitgebreid aan de orde gekomen, en in het bijzonder keken we in 2005 naar de UNIX-versie. De nieuwste versie van Presentation Server (Ohio) wordt eind 2006 (Q4) verwacht. Componenten van Presentation Server zijn onder meer

10

NOP0606_p10-13_CoverItem_CitrixA10 10

Secure gateway 3.0, Web Interface 4.2 en Web Interface for SharePoint 1.0.

Producten: 6

Citrix Password Manager 4.1 Het single sign-on product Password Manager, gebaseerd op technologie in licentie genomen van Passlogix, biedt een techniek om wachtwoorden te bewaren in een datastore om met een enkel wachtwoord te kunnen inloggen voor allerhande typen toepassingen. Dit jaar wordt nog een nieuwe release van dit product verwacht.

Producten: 1

Citrix Access Gateway De Citrix Access Gateway 4.2 Standard Edition, verkregen door de overname van Net6, is een hardware appliance (op basis van hardwaremodel 2000) die een SSL VPN toegang mogelijk maakt tot je bedrijfsnetwerk. Deze hardware is uit te breiden met software die draait op een Windows server, genaamd Advanced Access Control. Deze software bestaat uit de eerdere MetaFrame Secure Access Manager (voorheen NFuse Elite), maar uitgebreid met geavanceerde mogelijkheden voor end-point security. De combinatie Access Gateway met Advanced Access Control wordt verkocht als de Access Gateway Advanced Edition 4.2. Een beetje verwarrend is het nieuwe

product Access Gateway Enterprise Edition 6.1. Dit is namelijk een Netscaler Application Accelerator, voorzien van de Netscaler SSL VPN-optie, en draait nu nog op andere hardware (modellen 7000 en 9000), op een ander besturingssysteem en met andere software dan de overige twee Access Gateways.

Producten: 3

Citrix Access Suite 4.2 De Citrix Access Suite bevat de eerder genoemde producten: Citrix Presentation Server Enterprise Edition, Citrix Password Manager en licenties voor de Citrix Access Gateway Advanced edition, dus inclusief Advanced Access Control. De hardware appliance zelf maakt geen deel uit van de suite en dient apart aangeschaft te worden.

Producten: 1

Citrix Access Essentials 1.5

Access Essentials is een speciale versie van Citrix Presentation Server, die bedoeld is voor het middenen kleinbedrijf. Met sommige geavanceerde mogelijkheden uit de Enterprise Edition, maar zonder schaalbaarheidsopties zoals load balancing.

Producten: 1

10-08-2006 15:56:04

Citrix 2006 • SBC & Virtualisatie

Citrix Voice Office en de Application Gateway 4.6 Dit softwareproduct is eveneens afkomstig uit de overname van Net6. Het is een product dat je als klant niet snel zult kopen, omdat het bedoeld is voor een heel specifieke doelgroep, namelijk leveranciers van telefonieoplossingen. Deze schaffen Citrix Voice Office aan met een Application Gateway appliance, met de bijbehorende ontwikkelomgeving, waaronder Citrix Design Studio, Citrix Visual Voicemail, Citrix Broadcast Server of bijvoorbeeld Citrix Conference Manager.

GoToWebinar geactiveerd. GoToMeeting wordt dagelijks 50.000 keer gebruikt (kengetal oktober 2005).

Producten: 2

Citrix GoToWebinar 1.0 GoToWebinar is al een tijdje geleden aangekondigd, maar pas in juni van dit jaar beschikbaar gekomen. Met deze dienst kun je grote internetgebaseerde seminars organiseren tot wel 1000 deelnemers. Er is een versie waar je met meerdere organisatoren kunt werken en een kleinere versie waar slechts één organisator mogelijk is (nog niet te koop).

Producten: 1

Citrix GoToMyPC 5.0 Deze dienst bespraken we in het NetOpus themanummer uit 2004. De dienst biedt veilige toegang tot werkplekken over een internetverbinding. Je kunt kiezen uit een gewone Personal versie, een Pro en een Corporate versie.

Producten: 3

Citrix GoToAssist 7.0 Voortbordurend op GoToMyPC biedt GoToAssist veilig toegang tot andermans werkplekken, ook weer over een beveiligde internetverbinding. IT-afdelingen die remote sites moeten ondersteunen of bedrijven die klanten wensen te ondersteunen, gebruiken deze dienst. 3600 organisaties maken er al gebruik van met jaarlijks maar liefst 7.500.000 sessies (kengetal uit oktober 2005).

Producten: 1

Citrix GoToMeeting 2.0 Met GoToMeeting (besproken in het NetOpus themanummer van 2005) is het mogelijk online vergaderingen te houden. Deelnemers kunnen veilig over internet presentaties bekijken, chatten enzovoort. Naast de Standard versie is er tevens een Citrix GoToMeeting Corporate met speciale beheer- en accountingfuncties. In de corporate versie (vanaf 10 licenties) wordt tevens


Producten: 1

Citrix EdgeSight Citrix nam 2006 Reflectent Software over en daarmee het product EdgeSight. In 2005 kondigde Citrix al aan dat er een oplossing zou komen om de gevoelssnelheid bij eindgebruikers te meten. Dit is dus iets anders dan de performance van je server of je netwerk, maar het geeft weer hoe snel de toepassing werkt voor het gevoel van een gebruiker. EdgeSight lijkt de eerste stap in deze richting. Naast realtime monitoring en analyses achteraf, kan het product ingezet worden om Presentation Servers te dimensioneren. Citrix heeft op dit moment twee versies: Citrix EdgeSight for Presentation Server en Citrix EdgeSight for End Points. Volgens Citrix zijn er wereldwijd 150.000 gebruikers van EdgeSight. In de loop van dit jaar (Q4) zal het product een opfrisbeurt krijgen en voorzien worden van de Citrix-merknaam.

Producten: 2

Citrix NetScaler Application Accelerator en Switches Na de overname van Netscaler is Citrix begonnen de producten in te passen in het portfolio. De Netscaler Application Accelerator (het kleinste model met de minste mogelijkheden) is opgedoopt tot Access Gateway Enterprise Edition met

SSL VPN-mogelijkheden en dus familie gemaakt van de Access Gateways. De andere verkrijgbare modellen zijn nu als volgt samengesteld: de Citrix Application Accelerator (op hardwaremodellen 7000 en 9000), de Citrix Application Switch Standard Edition (op hardwaremodel 7000) en de Citrix Application Switch Enterprise Edition (op hardwaremodellen 7000, 9000, 10000 en 12000). Citrix heeft bovendien enkele FIPS-gecertificeerde apparaten. Deze appliances zijn het best te classificeren als webversnellers met een groot aantal aanvullende functies voor optimalisatie en beveiliging. Op de website van Citrix vindt je een tabel met de exacte functies van deze drie apparaten en de ondersteunde hardwareplatformen.

Producten: 3

Citrix Application Firewall De overname van Teros leidt tot een tweetal producten: de Application Firewall en de Application Firewall Enterprise Edition. Het product is besproken in een Labreport achter in deze NetOpus-special en is bedoeld om webtoepassingen te beschermen. De Application Firewalls zijn onlangs overgezet van de oorspronkelijke Teroshardware (T100/T200) naar de Netscaler hardware. Het besturingssysteem zelf is nog niet veranderd van Linux naar FreeBSD. Dat moet later dit jaar of begin volgend jaar gebeuren.

Producten: 2

Citrix WAN-accelerators Citrix heeft medio augustus 2006 Orbital Data overgenomen en krijgt hiermee de beschikking over WAN-acceleratie/WAN-optimalisatie-technologie. De producten van Citrix/Orbital zijn de Orbital 6500, de Orbital 6800 en het softwarecomponent OrbitalEdge. Tot welke Citrix-producten dit leidt is nog niet bekend, dus we tellen ze nog maar even niet mee in ons overzicht.

Producten: 0

f

11

10-08-2006 15:56:09

Citrix 2006 • SBC & Virtualisatie

Citrix Streaming Server Project Tarpon is vorig jaar aangekondigd en is nog in ontwikkeling. Op dit moment wordt het getest bij bedrijven. De verwachting is dat Citrix Streaming Server tegen het einde van dit jaar aangekondigd wordt. Met Streaming Server kun je toepassingen on-demand en in delen naar werkplekken en naar Presentation Servers streamen en in een geïsoleerde omgeving draaien. Hoe het product gepositioneerd wordt ten opzichte van Microsoft’s SoftGrid is nog niet bekend. Omdat het product er nog niet is, tellen we het niet mee in ons lijstje van producten.

Producten: 0

Oplossingen Citrix spreekt liever niet van producten maar van oplossingen. Het bedrijf legt de nadruk nu weer helemaal op toepassingen en hoe de gebruiker de eenvoud en het gemak ervan ervaart. Citrix heeft oplossingen om alle soorten toepassingen onder controle te krijgen. Er wordt wel onderscheid gemaakt tussen client/server en bedrijfskritische toepassingen, webtoepassingen en desktoptoepassingen. Voor de eerste categorie wordt applicatievirtualisatie met Presentation Server als ideale oplossing beschouwd. Door virtualisatie als term te gebruiken lift Citrix mee op de virtualisatietrend van dit moment. Producten als Presentation Server, Access Essentials maar ook Password Manager, EdgeSight en de Access Gateways passen bij deze toepassingen om ze eenvoudig, veilig en met voldoende prestaties te kunnen aanbieden.

Webtoepassingen Webtoepassingen draaien weliswaar op terminal servers, maar hebben in de praktijk toch al snel te maken van prestatieproblemen. Citrix heeft dat ook erkend door voor direct benaderde webtoepassingen de Citrix Netscalerproducten aan te prijzen. De Netscaler appliances zijn in staat nagenoeg


alle webgebaseerde toepassingen te optimaliseren en ze hierdoor flink te versnellen. Om te voorkomen dat websites problemen ondervinden kan de beveiliging opgekrikt worden met de Citrix Application Firewall. De beschikbare appliances zorgen voor niet alleen voor versnelling, maar ook voor versleuteling en load-balancing. Ook EdgeSight en Password Manager vinden hun plek bij webtoepassingen.

Desktoptoepassingen Citrix ziet in dat er altijd en nog lang lokale toepassingen op werkplekken nodig zullen zijn naast client/server- en bedrijfskritische toepassingen op terminal servers. Tarpon/Streaming Server komt ergens einde van dit jaar beschikbaar, en dit is een virtualisatieoplossing voor desktop streaming die aan de buitenzijde veel weg heeft van Microsoft’s SoftGrid. Het bouwt voort op de Application Isolation Environment van Citrix Presentation Server 4 om toepassingen in een geïsoleerde omgeving te kunnen draaien. De desktop-applicatie wordt gestreamd naar de werkplek en niet geïnstalleerd. Alleen de onderdelen die op dat moment nodig zijn worden verstuurd. De toepassing draait vervolgens in een aparte omgeving zonder het bestandssysteem of het register te vervuilen en is bovendien in staat offline te draaien (bijvoorbeeld op

notebooks). Citrix verbreed zijn blikveld dus naar werkplekbeheer, wat een slimme zet is omdat nu voorzien wordt in een oplossing om alle toepassingen te bedienen, zowel online als offline. Overigens werkt Tarpon net zo goed op terminal servers en het is mogelijk dat deze technologie gebruikt zal worden om toepassingen naar terminal servers te streamen in plaats van ze te installeren. Tarpon zou in de toekomst de Application Isolation Environment van Presentation Server 4 kunnen vervangen, evenals Installation Management Services. Voor de desktop spelen EdgeSight en Password Manager eveneens weer een rol.

GoToAll Als je al client-, server-, web- en desktoptoepassingen aan kunt bieden, kunt optimalizeren en versnellen, dan mis je nog maar één component. Hoewel toegang op afstand voor de eerste twee typen toepassingen netjes geregeld kan worden, ontbreekt toegang tot de werkplekken zelf. Hier komt GoToMyPC om de hoek kijken. De andere GoTodiensten zijn variaties op dit thema, om andere personen toe te laten of om met meerdere personen samen informatie op werkplekken te bekijken. En zo lijkt de cirkel helemaal rond te zijn: Citrix organiseert en optimaliseert toegang tot alle soorten toepassingen. Y

Application performance Client/ server & bedrijfstoepassingen

Virtualize

Webtoepassingen

Optimize & Secure

Werkplek toepassingen

Stream

Endpoints

Control & Secure Collaborate

EdgeSight

Presentation Server Acces Essentials Application Accellerator Application Switch Application Firewall Voice Office & Application Gateway Citrix/Orbital WAN-accelerators

Streaming Server

AccessGateway Password Manager

GoTo Services

De Citrix-producten gevisualiseerd

13 10-08-2006 15:56:19

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Virussen geen kans Auteur: Marcel Beelen Pagina’s: 14 - 17

Virussen geen kans Beveiliging en terminal servers In gangbare bedrijfsnetwerken is beveiliging een hele klus. Denk alleen al aan het installeren van de laatste patches en Service Packs, het gebruik van antivirustools, firewalls, security appliances en IDS/IPS-systemen om aanvallen van buitenaf tegen te houden en te voorkomen dat gegevens je bedrijf ongeoorloofd verlaten. Maar wat doe je met terminal servers? Moeten die ook voorzien worden van antivirussoftware?

V

irussen hebben in een serverbased computing-infrastructuur geen schijn van kans. Antivirussoftware is daarom niet nodig op terminal servers, zo wordt wel eens geredeneerd. Niets is echter minder waar: ook voor terminal servers met of zonder Citrix Presentation Server kunnen last krijgen van virussen. Het is dus zaak je hiertegen te wapenen.

Dichtspijkeren Terminal servers zijn ongevoeliger voor virussen dan bijvoorbeeld fileservers. De terminal server heb je met Group Policy dichtgetimmerd zodat gebruikers hier bewust of onbewust geen toepassingen op kunnen installeren of besmette bestanden kunnen achterlaten. Als je daarnaast het bestandssysteem nog eens extra hebt afgeschermd en overbodige rechten op programma’s en mappen hebt verwijderd, is dat nog eens een extra drempel voor virussen om hun gang te gaan. Als je geen volledige bureaubladen aan je medewerkers aanbiedt, maar alleen gepubliceerde toepassingen op Citrix Presentation Servers, zien de gebruikers de Windows serveromgeving en het bureaublad niet en vormt dat nog eens een extra slot. Veel organisaties werken met de beheersoftware van bijvoorbeeld AppSense of RES om de server en de gebruikersomgeving extra te beschermen. Als je deze software gebruikt, is de kans dat

14

NOP0606_p14-17_CoverItem_SBC&Vir14 14

een virus de server besmet of zich via gebruikersessies verspreid zeer klein. Je kunt dan overwegen de terminal servers niet te voorzien van antivirussoftware.

Besmettingen Zonder antivirussoftware lopen je terminal servers een zeker gevaar besmet te worden. Zelfs als je alleen gepubliceerde toepassingen gebruikt en geen volledige bureaubladen aanbiedt, als je fileservers, mailservers en werkplekken hebt voorzien van deze software en als je geen toegang biedt tot lokale stations vanaf de terminal serversessies, zelfs dan maken virussen een kans om bestanden op de terminal server te besmetten. Doordat op een terminal server vele tientallen of zelfs meer dan honderd gebruikers simultaan werken, is de kans op verspreiding of problemen met de terminal server aanwezig. Een simpele download vanaf een website naar een schrijfbare plek waar andere gebruikers ook bij kunnen volstaat. Als je mailserver problemen heeft en hierdoor tijdelijk geen inkomende mail scant, of als de nachtelijke scan op je fileservers is misgelopen, zal een virus snel verspreid worden door de gebruikers van de terminal server. Een besmette pc van een beheerder die verbindingen opent met stations van de terminal server, die installaties van nieuwe toepassingen uitvoert of internet gebruikt met

Administratorrechten kan een flink probleem veroorzaken. Er zijn dus redenen genoeg om toch antivirussoftware op al je terminal servers te installeren.

Ondersteuning Op terminal servers is het selecteren en configureren van antivirussoftware een heel stuk ingewikkelder dan in gangbare situaties. Heb je als bedrijf al gekozen voor een standaard antivirusproduct voor werkplekken en servers, dan ligt het voor de hand dit ook op de terminal servers te installeren. Maar functioneert het product wel naar behoren op terminal servers? Sommige organisaties kiezen er juist voor om met meerdere antivirusproducten te werken in verschillende omgevingen, om op die manier beter verzekerd te zijn van het vinden van de laatste virussen. Maar

10-08-2006 17:12:18

Virussen geen kans • SBC & Virtualisatie

misschien is het antivirusproduct dat je nu gebruikt op de fileservers ook het beste product voor terminal servers. Feit is dat er grote verschillen zijn tussen antivirusproducten die op terminal server tot gevolg hebben dat specifieke problemen waar je op werkplekken geen last van ondervindt, nu vertienvoudigd worden op een multi-user systeem zoals een terminal server. Onverklaar bare instabiliteit en ongewenste terugval van de prestaties van je terminal servers zijn twee veelgehoorde problemen. Hoewel de meeste antivirusfabrikanten aangeven terminal server te ondersteunen of er compatibel mee te zijn, wil dat helemaal niet zeggen dat ze voldoende functioneren.

Desktop of server Welke versie van het antivirusproduct moet je bekijken, het werkplekproduct of het serverproduct? Het werkplekproduct scant bij een gebruiker, afhankelijk van je instellingen, elk document dat deze opent, elke mail die er wordt verstuurd en elke website die wordt bezocht en toont een eventuele virusmelding als waarschuwing in een pop-up venster op het bureaublad. Bovendien bevindt zich vaak een pictogram in het systeemvak om aan te geven dat antivirussoftware actief is, en dat toegang biedt tot de console van de software. Als de antivirussoftware 5 MB geheugen kost, dan is dat op een server waar 100 simultane eindgebruikers op werken al meteen 500 MB RAM die je kwijt bent. Het serverproduct echter scant de server, serverbestanden en serverprocessen en zal virussen vinden en verwijderen of in quarantaine zetten zonder dat de gebruiker een melding op zijn beeldscherm ziet. Meldingen verschijnen niet op het beeldscherm (dat heeft ook weinig zin op de console van de server), maar worden geschreven in het logboek van de server. Als de interactieve gebruiker al een melding ziet, dan is dat waarschijnlijk de melding ‘Access Denied’ op het besmette bestand. Dit gedrag is minder vriendelijk en af-


wijkend van wat de gebruiker gewend is op zijn normale Windows-werkplek (desktop, notebook en thuis). Het voordeel is natuurlijk wel dat de antivirussoftware niet als gebruikersproces wordt geladen en daardoor veel minder geheugen kost op je terminal server. Licentietechnisch is het ook goed om eens goed te kijken hoe de werk-

naar bijvoorbeeld M. Een veelgebruikte mogelijkheid op terminal servers is dat je vanuit de centrale sessies bestanden kunt openen en bewaren op de client drives, oftewel de lokale schijven op de werkplek. Wil je dit wel en kan de antivirussoftware hiermee omgaan? Als je beide vragen positief hebt beantwoord, dan is de vraag

Behalve multi-user awareness moet de software kennis hebben en getuned zijn voor terminal servers plekvariant betaald dient te worden. Betaal je toch per server, of betaal je per actieve sessie (concurrent use licentie) of per mogelijke gebruiker die in kan loggen? Of is de werkplekversie op terminal server misschien gratis als de werkplek zelf al een gelijkwaardige licentie bezit?

Terminal server awareness Behalve multi-user awareness moet de software kennis hebben en getuned zijn, of kunnen worden, voor terminal servers. Hierbij kun je denken aan simpele zaken als het kunnen uitschakelen van het grafi sche splashscherm bij het starten van de antivirussoftware in een gebruikerssessie tot ingewikkeldere zaken als de ondersteuning van Drive Remapping. Dit laatste wordt regelmatig toegepast op terminal servers voorzien van Citrix Presentation Server, waarbij de systeemdisk wordt hernoemd

wat de gevolgen zijn voor gebruikerservaring. Hoeveel trager verloopt het bewaren van serverbestanden op de werkplek via het RDP- of ICA- protocol waar een antivirusscanner op losgelaten wordt? Een bekend euvel van veel antivirussoftware, zeker een tijdje geleden, is dat de software in staat is de processor van de terminal server erg zwaar te belasten. Het scannen van elk geopend en bewaard bestand en elk gecomprimeerd bestand dat als aanhangsel binnenkort, vergt veel van de processor. De last die de software f

Anti-virussoftware voor terminal servers AVG http://www.grisoft.com CA eTrust Antivirus Enterprise Edition http://www.ca.com/antivirus Frisk F-Prot Antivirus for Windows Corporate www.f-prot.com F-Secure Anti-Virus for Citrix Servers http://www.f-secure.com Kaspersky Anti-Virus for file servers http://www.kaspersky.com McAfee Virusscan Enterprise http://www.mcafee.com Norman Virus Control http://www.norman.com Panda – EnterpriSecure http://www.pandasoftware.com Sophos http://www.sophos.com Symantec Antivirus Corporate http://www.symantec.com Trend Micro OfficeScan client/ server Edition http://www.trendmicro.com

15 10-08-2006 17:12:31

Virussen geen kans • SBC & Virtualisatie

Thin clients uitgesloten Op Windows-werkplekken is er geen organisatie die geen antivirussoftware gebruikt. Als je ook toegang tot je netwerk verschaft van werkplekken buiten het netwerk (bijvoorbeeld vanaf thuis), gebruik dan producten voor end-point security die erop kunnen controleren of de antivirussoftware draait en voorzien is van de laatste definitiebestanden. Heb je Windows-werkplekken omgebouwd tot thin client, dan is antivirussoftware minder kritisch, maar nog steeds aan te raden. De kans dat echte hardwarematige thin client werkplekken besmet worden met een virus is extreem klein en te verwaarlozen. Het besturingssysteem bevindt zich in fl ash memory en de clients zijn afgeschermd tegen installaties en vervuiling.

Advertorial 14:57:19

een processor oplegt en mogelijkheden als het tunen van realtime scannen maakt een antivirusproduct juist wel of juist niet geschikt voor een terminal server. Ook het benodigde geheugen bij het dagelijkse gebruik van de antivirussofware verschilt enorm per antivirustoepassing.

Configuratie Het spreekt voor zich dat je antivirusdefinitiebestanden niet periodiek laat ophalen via internet. Op servers binnen je organisatie wil je dit proces onder controle hebben en gecontroleerd uitvoeren. Voor terminal servers is dat niet anders. Maar gebruik je hiervoor het proces en de procedure die je voor de werkplekken toepast of liever het proces dat bij de servers hoort, als dit afwijkend is? Het laatste dat je wilt is dat elke instantie van de antivirussoftware bij elke gebruiker afzonderlijk deze definitiebestanden moet ophalen. Niet via internet en ook niet lokaal op het LAN. Zorg ervoor dat elke terminal server met


één set van definitiebestanden werkt. Omdat antivirussoftware altijd een impact heeft op de performance van terminal servers, is het belangrijk nauwkeurig te kijken wat je wel en wat je niet wilt of hoeft te scannen. Zo is het voor de eerder genoemde client-drives misschien niet nodig om deze te scannen vanaf de terminal serversessie, ervan uitgaande dat de werkplek zelf ook antivirussoftware heeft. Je fileserver wordt al gescand en daarom is het ook niet nodig om verbonden netwerkstations op de terminal server te scannen. De Office-integratie van veel antivirusproducten scant elke keer elk bestand dat een gebruiker opent. Als je inkomende mailaanhangsels en de fileserver scant en lokale opslag van bestanden niet toestaat, is deze voor de gebruiker vertragende factor niet noodzakelijk. Mappen die je met Folder Redirection hebt verplaatst naar een fileserver hoeven wellicht niet gescand te worden, evenals de bestanden in het roaming profiel van elke gebruiker. Scan je bijvoorbeeld de profielen wel, dan wordt het inlogproces hierdoor aanmerkelijk vertraagd. Het scannen van zipfiles kost nog wat extra rekentijd van de processor van je server, dus misschien dat je die ook wilt uitsluiten. Een volledige scan van de harde schijven in je terminal server kun je het beste buiten werktijd uitvoeren als er geen actieve sessies aanwezig zijn. Met andere woorden: scan in jouw omgeving alleen wat nodig is en bij voorkeur op het juiste moment.

Groot aanbod De keuze op het gebied van antivirussoftware is groot. Maar hoe weet je nu welke scanner de beste is voor jouw omgeving? Je hebt hier uiteraard te maken met stabiliteit, performance en mogelijkheden die voor specifi ek gebruik op een terminal server belangrijk zijn. Het uitgebreid testen van alle producten is bijna onmogelijk. De manier om hiermee om te gaan is door

de websites van de meeste interessante fabrikanten te bezoeken en te kijken wat ze te bieden hebben. Vind je er geen informatie over terminal servers, dan mag je aannemen dat het product er niet specifi ek voor gemaakt en getest is. Ook het lezen van enkele relevante forums over server-based computing kan je een aardig beeld geven van welke antivirustoepassingen in de praktijk goed functioneren. Verder kun je als extra indicatie nog bekijken of de anti virusfabrikant een offi ciele partner van Citrix is. Daarmee ben je in ieder geval verzekerd van goede ondersteuning op het gebied van terminal servers. Antivirusbescherming voor terminal servers is absoluut nodig, maar de keuze voor een geschikt product blijft toch altijd afhankelijk van je eigen netwerkomgeving. Y

10 tips voor een virusvrije terminal server-omgeving 1. Verwijder onnodige services van je systemen. 2. Scherm server- en gebruikersomgeving af met Group Policyobjecten. 3. Verwijder onnodige NTFS-rechten op programma’s en mappen. 4. Gebruik RES PowerFuse of de AppSense Management Suite op al je terminal servers. 5. Verwijder zo veel mogelijk de achterdeuren in (gepubliceerde) toepassingen. 6. Voorzie je terminal servers met beleid van de laatste security patches en updates. 7. Gebruik antivirussoftware op de back-office systemen van je terminal servers, op alle terminal servers en op alle Windowswerkplekken. 8. Actualiseer regelmatig de virusdefinitiebestanden op back-office, terminal servers en Windows-werkpekken. 9. Gebruik voor toegang op afstand end-point security-functies in de vele toegangsproducten, die de remote werkplekken controleren en alleen netwerktoegang bieden als de antivirussofware actief is. 10. Schakel local drive mapping uit als dat in je omgeving niet noodzakelijk is.

17 10-08-2006 17:12:44

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Terug naar MS-DOS Auteur: Marcel Beelen Pagina’s: 18 - 19

Thinstall virtualisatie

Neem je toepassingen mee op usb Als je op de Citrix website op zoek gaat naar de ICA-clients, dan zal je misschien zijn opgevallen dat er een ICA-client van een partner in het lijstje van beschikbare clients is toegevoegd: de Thinstall Virtualized Citrix Presentation Server Client. Het is de normale ICA Program Neighborhood client, maar de installatie is een stuk eenvoudiger gemaakt. Een dubbelklik op de client volstaat en installatie is niet nodig.

D

e Thinstall Virtualized Citrix Presentation Server (ICA) Client is de laatste versie (9.15) van de Citrix-client, die is gevirtualiseerd met Thinstall. Het gevolg van deze virtualisatie is dat de Windows-client niet geïnstalleerd hoeft te worden en op afgeschermde werkplekken zonder Administator-rechten toch gebruikt kan worden. Ook kun je de client meenemen op een usb-drive of cd-rom om hem op elke Windowswerkplek te gebruiken, waar je ook maar achter komt te zitten. Citrix heeft met partner Thinstall een gevirtualiseerde ICA-client gemaakt en biedt deze aan op de website. Tenminste daar lijkt het op. Deze vorm van partnerreclame is een beetje on-Citrix, want de download bij Citrix stuurt je door naar de website van Thinstall, waar je eerst een verplicht registratieformulier moet invullen. Je ontvangt een e-mail met een download-link en na het wegklikken van een ingewikkelde licentieovereenkomst kun je de client downloaden. De speciaal verpakte client is alleen voor persoonlijk en niet voor zakelijk gebruik. Hiervoor moet je minimaal 50 licenties kopen voor een stukprijs van 30 dollar per gebruiker of per usb-drive.

Klik en run Je dubbelklikt op ThinICA.exe, waarna Internet Explorer start. Je opent de webpagina van je organisatie, logt in en

18

NOP0606_p18-19_CoverItem_TerugNa18 18

de sessie met de Presentation Server wordt gestart. Zonder ActiveX plug-in of Java krijg je toch webtoegang tot de Citrix-omgeving van je bedrijf. De complete Program Neighborhood-client is eveneens ingebouwd en wordt als keuze aangeboden. Instellingen die je maakt met de ICA-client (en in de browser!), worden in een map bewaard op de plek waar ook de executable staat. ThinICA. exe is slechts 4 MB klein. Nu is het nut van deze ICA-client op zichzelf niet zo groot. Welke organisatie staat medewerkers toe verbinding te maken met Presentation Servers vanaf locaties buiten het eigen netwerk, zónder gebruik te maken van een smartcard, token of andere vorm van authenticatie? Waarom zou je bovendien 30 dollar gaan betalen voor een gratis ICA-client? Toch bevat deze compacte ICA-client een sterk staaltje virtualisatietechnologie, bruikbaar op veel andere fronten, nu en in de toekomst. We moeten deze Thinstall ICA-client dus vooral zien als een stukje promotie van virtualisatietechnolgie.

Uitvoerbaar bestand Met Thinstall maak je van elke Windowstoepassing een losstaand uitvoerbaar programma (.exe). Of je dat nu doet voor de ICA-client, MS-Word of MS-Outlook, elke complexe Windows-toepassing wordt verpakt en kan worden aangeboden of meegenomen op een usb-drive. Deze executables kun je ook op een ge-

deelde map op een fileserver plaatsen, waarna elke gebruiker de toepassing kan starten door erop te klikken. Plaatsen we meer dan een tiental jaren geleden ook al niet DOS-toepassingen op Novell- en NT-fileservers, om het beheer ervan te centraliseren? Nu kan dat dus ook voor Windows-toepassingen. Er treedt geen pc-vervuiling meer op en er zijn geen applicatieconflicten meer.

Technologiemix Thinstall verkoopt naast de verpakte ICA-client ook een toepassing voor softwarebouwers om hun applicatie als een uitvoerbaar bestand te kunnen verkopen. Hier is de virtualisatielaag van Thinstall dus in meegeleverd als OEMversie. Binnenkort komt er een variant voor organisaties om interne toepassingen op deze wijze te verpakken en aan te bieden. Thinstall heeft een bijzondere technologiemix gebruikt voor deze producten, die we gedeeltelijk terugzien in Citrix Presentation Server Application Isolation Environment (AIE), VMware ACE, Microsoft’s SoftGrid (voorheen Softricity). Het product lijkt misschien nog wel het meest op Altiris Software Virtualization Solution (SVS). Om te beginnen is er een virtuele machine die draait op je Windows-werkplek. Deze is slechts 300 K groot op de harde schijf, kost 1 MB aan RAM-geheugen op het moment dat hij actief is en draait volledig in de veilige usermode van het Windows-besturingssysteem. De virtuele omgeving bestaat uit het Thinstall virtuele besturingssysteem (VOS), dat de geïsoleerde applicatie integreert met het onderliggende Windows-besturingssysteem. VOS maakt gebruik van een virtueel bestandssysteem

10-08-2006 16:09:14

Terug naar MS-DOS • SBC & Virtualisatie

Afbeelding 1 ThinICA client wordt gestart

(Virtual File system, VFS) en een virtueel register (Virtual Registry, VREG). VOS laadt het uitvoerbare programma van het VFS en maakt het mogelijk een ander uitvoerbaar programma aan te roepen (van het VFS of het Windows-bestandssysteem), laadt dll’s en bewaakt alle virtuele processen. Om dit te realiseren heb je wel een andere toepassing nodig, namelijk Thinstall Embedded voor ontwikkelaars. Die willen op OEM-basis toepassingen uitleveren, inclusief VOS en Thinstall Virtualization Suite speciaal voor IT-afdelingen bij organisaties. Het product fungeert als packaging-oplossing. Met een ingebouwde registermonitor, filesnapshotmechanisme en de mogelijkheid om Windows Installer-bestanden te converteren, vormt het product bestaande Windows-toepassingen om tot uitvoerbare programma’s. Door op deze wijze toepassingen te isoleren, kunnen ze worden meegenomen op bijvoorbeeld usb-drives of kunnen ze centraal worden aangeboden op fileservers. De geïsoleerde toepassing kan echter ook draaien op Citrix Presentation Server, waar geen Application Isolation Environment voor is (de versies vóór 4.0), of voor terminal servers zonder Citrix-software. Maar er is meer. Er is een geïntegreerde installer met allerlei aardige features die ook een lokale installatie mogelijk maken, eventueel in een schrijfbare plek in plaats van onder C:\Program Files. Toepassingen binnen Thinstall zijn nauwelijks nog te ontleden door hackers

NOP0606_p18-19_CoverItem_TerugNa19 19

saties ook een belangrijk voordeel voor thuiswerkplekken. Stel je voor dat je thuis, bij familie, buren en vrienden geen toepassingen meer hoeft te installeren maar ze simpelweg kunt starten van cdrom of harde schijf met een dubbelklik. Komt er een nieuwe versie, dan vervang je simpelweg de executable op de harde schijf of gebruik je een nieuwe cd-rom. Alle populaire open source-, maar ook commerciële producten moeten dan wel gebruik gaan maken van een virtualisatiesysteem als dat van Thinstall en zover is het helaas nog lang niet.

Overname?

en alle gegevens blijven afgezonderd. Thinstall heeft packaging-aspecten van SoftGrid, maar is geen oplossing voor applicatiestreaming. Het ontwikkelproduct heeft verder een geavanceerd licentiemechanisme aan boord, waarmee je licenties van een met Thinstall aangeboden softwareproduct kunt beheren. Je kunt de licentie van het product dat draait onder VOS dusdanig configureren dat dit alleen draait op een specifieke pc’s op basis van allerlei controles, of dat de licentie slechts voor beperkte tijd werkt of op een vastgestelde datum eindigt (vergelijkbaar met VMware ACE). De ontwikkelomgeving voor Thinstall die nodig is om uitvoerbare packages te kunnen maken is overigens net zo ingewikkeld als die van de andere oplossingen en niet iets wat er als beheerder even bij doet.

Nu Altiris, eigenlijk samen met HP, aan de weg timmert met virtualisatie-oplossingen en Microsoft het bedrijf Softricity heeft overgenomen zijn de twee giganten virtualisatie aan het promoten. De enorme kracht van drie technologieën: applicatievirtualisatie, applicatiestreaming en softwaredistributie, gebundeld bij deze partijen, kan het de concurrentie (waaronder Citrix met de Citrix Streaming Server (codenaam Tarpon) wel eens knap moeilijk maken. Het is jammer dat het Citrix enkele jaren geleden niet is gelukt om Softricity over te nemen, maar wie weet, misschien is Citrix-partner Thinstall wel de volgende overnamekandidaat op de verborgen agenda van Citrix om het ontwikkelingsproces van virtualisatie bij Citrix te versnellen. Y

Applicatieisolatie thuis Oplossingen voor applicatie-isolatie zoals die van Thinstall hebben naast allerlei beheervoordelen voor organi-

Schema 1 Thinstall architectuur

19 10-08-2006 16:09:24

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Complete toegang Auteur: Marcel Beelen Pagina’s: 20 - 21

Complete toegang HOB Remote Desktop VPN

HOB timmert al een tijdje aan de weg met HOB Remote Desktop VPN. Volgens de beschrijving biedt het product toegang tot alle Windowstoepassingen binnen je organisatie, waar ze ook op draaien. We bekijken kort de mogelijkheden van HOB RD VPN.

H

OB RD VPN is geen op zichzelf staand product, hoewel het op de website lijkt alsof dat wel zo is. Je kunt het downloaden en er is zelfs een datasheet beschikbaar. HOB RD VPN is een oplossing, een filosofie, die geïmplementeerd kan worden met een set van al langer bestaande producten van HOB. Eigenlijk is het een softwaresuite. De naam is echter niet bijzonder charmant of commercieel te noemen. Zou een naam die géén verwijzingen heeft naar bestaande technologieën niet slimmer zijn geweest? Immers is RD als afkorting te beperkend als synoniem voor Microsoft’s Remote Desktop. VPN zonder de SSL-toevoeging klinkt een beetje ouderwets in deze tijd van SSL VPN’s. Wat dacht je van: ‘HOB AppliGate Suite’, de Secure Application Gateway Suite? Maar goed, de naam is voor de functionaliteit natuurlijk niet zo relevant.

20

NOP0606_p20-21_CoverItem_HOBremo20 20

Voor elke enterprise RD VPN is een heel aardige oplossing om toegang te verschaffen tot toepassingen binnen je organisatie. Het vult namelijk bestaande technologieën aan die de meeste organisaties tegenwoordig gebruiken en biedt eenvoudig toegang tot alle vormen van toepassingen, of die nu draaien op Windows-pc’s, Blade-pc’s, terminal servers, UNIX-systemen of mainframes/mini’s. HOB’s RD VPN biedt je veilige en versleutelde browsergebaseerde SSL-verbinding (standaard over poort 443) naar al deze platformen en de toepassingen die daarop draaien, over een internetverbinding. De oplossing is helemaal geschreven in Java, en werkt dus op elk systeem voorzien van een Java Virtual Machine.

Toegangspoort De toegangspoort wordt gevormd door de component WebSecureProxy voor

Windows Server. Dit onderdeel draait op een meegeleverde Apache-webserver en zorgt ervoor dat geauthentificeerde gebruikers al naar gelang hun rechten, verbinding kunnen maken met hun eigen werkplek, een shared Blade-pc, toepassingen op terminal servers, toepassingen op mini’s of UNIX-systemen. De gebruikersrechten en andere instellingen die noodzakelijk zijn om WebSecureProxy en de andere componenten met je infrastructuur te integreren worden beheerd met het onderdeel Enterprise Access. Dit is een beheeromgeving die niet alleen door WebSecureProxy wordt gebruikt, maar ook door de andere onderdelen en softwareproducten binnen deze suite om bijvoorbeeld applicatie- en gebruikersinstellingen op te slaan. Een gebruiker die toegang wenst tot het bedrijfsnetwerk maakt met zijn browser verbinding met de url van de WebSecureProxy. Je download een Java-applet en logt in, waarna Enterprise Access de gegevens controleert en de ingestelde toegangsmogelijkheden op een webpagina toont. Het mooie is dat hiervoor geen speciale rechten op de werkplek nodig zijn, waardoor het zelfs op internetkiosks functioneert.

Drie toegangsvormen In veel organisaties zie je dat Windowstoepassingen vooral gebruikt worden op individuele werkplekken. De persoonlijke werkomgevingen op – voor veel gebruikers – veel te zwaar uitgevoerde pc’s vormen de ruggengraat voor bedrijfstoepassingen. Om al deze werkplekken te kunnen beheren zijn veel oplossingen bedacht, van handmatig beheer tot en met all-in complexe enterprise desktopmanagement-oplossingen. Deze toepas-

10-08-2006 16:10:39

Complete toegang • SBC & Virtualisatie

singen zijn in principe alleen bruikbaar als je fysiek achter het beeldscherm en toetsenbord zit. Natuurlijk zijn er remote control producten om het beeldscherm van werkplekken over te nemen, maar die moeten apart gekocht, geïnstalleerd en per werkplek onderhouden worden. Deze toepassingen zijn bovendien niet zo geschikt om toegang tot de werkplek te verschaffen op locaties die zich buiten het LAN bevinden. Microsoft heeft in zakelijke Windows-versies vanaf Windows XP Professional de dienst Terminal Services ingebouwd. Deze standaard dienst maakt het mogelijk om met het Remote Desktop Protocol (RDP) de werkplek op afstand te bedienen. Als alternatief zie je dat server-based computing met terminal servers veel gebruikt wordt. Hoewel er organisaties zijn die alle dikke pc’s hebben vervangen door thin clients, zie je toch meestal dat server-based computing als aanvulling wordt ingezet. Sinds Microsoft terminal server standaard onderdeel heeft gemaakt van het Windows serverbesturingssysteem kiezen organisaties ervoor deze technologie te gebruiken voor het gecontroleerd aanbieden van enkele relevante bedrijfstoepassingen. Toegang tot terminal servers wordt ook geboden met het RDP-protocol. Een derde optie om Windows-toepassingen aan te bieden, wordt minder gebruikt maar de verwachtingen voor de toepassingsgebieden ervan in de nabije toekomst zijn hoog. Blade-pc’s, al een tijdje aangekondigd door HP, maar nog steeds niet leverbaar in Europa, vormen de ultieme mix tussen Windows XP-werkplekken en het op afstand aanbieden van werkomgevingen op terminal servers. Je plaatst een batterij blades in een rack in het datacenter en biedt deze aan gebruikers aan met technologieën uit de terminal serverwereld. Je deelt met meerdere gelijktijdige gebruikers centrale (fysieke) werkplekken met de terminal servicesdienst op deze werkplekken. Je kunt natuurlijk ook een eigen Blade-pc-achtige oplossing implementeren door enkele pc’s centraal in een computerruimte te plaatsen en aan te sluiten op een kvm-

NOP0606_p20-21_CoverItem_HOBremo21 21

switch of zelfs door Windows XP Professional werkplekken virtueel aan te bieden met EMC VMware (ESX) Server of Microsoft Virtual Server. HOB RD VPN bevat precies de componenten die nodig zijn om webgebaseerde Java-toegang tot Windows XP Professional werkplekken, terminal servers en gecentraliseerde (blade) pc’s te regelen die voorzien zijn van Windows XP Professional. Als eerste heb je de Java RDP-client van HOB nodig, genaamd HOBLink JWT. Deze client start je vanuit de WebSecureProxy om verbinding te maken met voorgeconfigureerde centrale of persoonlijke werkplekken en terminal servers. HOB biedt met HOBLink JWT ook een aanvulling voor terminal servers om deze te load balancen en er enkele andere extra features aan toe te voegen zoals ‘true windows’. Een ander component genaamd HOB Desktop-on-Blade zorgt ervoor dat je de gecentraliseerde pc’s of Blade-pc’s in een load balanced pool plaatst waarna een gebruiker via WebSecureProxy een ongebruikte werkplek aangeboden krijgt, die bij uitloggen weer wordt vrijgegeven. Een andere extra component die door WebSecureProxy en Enterprise Access wordt ondersteund is HOB Desktop-on-Demand, de functie om Wake-up-on-Lan te gebruiken om werkplekken eerst wakker te maken als een gebruiker deze wenst te benaderen. De Wake-up-on-Lan relay-software die nodig is om dit over subnetten mogelijk te maken wordt eveneens meegeleverd en moet per subnet op een systeem geinstalleerd worden.

Mini, mainframe en UNIX Wil je toegang hebben tot host-toepassingen, dan installeer je met RD VPN de HOBlink J-Term software. Deze integreert met de WebSecureProxy waardoor een externe gebruiker eenvoudig een terminal-emulator kan starten om met vt220-, 3270- of 5250-emulatie in te loggen op die systemen. UNIX werkt grafisch met X-windows. Wil je hier toegang tot aanbieden, dan moet de remote client een X-servertoe-

passing draaien. HOB’s X11 Gate, eveneens weer een optioneel onderdeel van RD VPN, zorgt ervoor dat je alweer met een Java-client grafische toegang krijgt tot UNIX-toepassingen in je LAN.

Niet helemaal compleet Een evaluatieversie die een maand functioneert, is te downloaden van de website van HOB (www.hob.nl). Het bestand is bijna 70 MB groot. Na uitpakken en installeren heb je minimaal de beschikking over vier componenten: HOBLink JWT 3.1, J-Term 3.4 en HOB Enterprise Access 3.2 en HOB WebSecureProxy. Bovendien wordt er gedurende de installatie een Apache webserver meegeinstalleerd. Onze download was helaas niet voorzien van documentatie, maar de bedoeling van de software is dat je deze installeert op een Windows- of UNIX/ Linux-server in je DMZ. De webserver op deze machine dient benaderbaar te zijn vanaf locaties buiten je fysieke netwerk op poort 443, maar de meeste firewalls laten dit standaard door. Als je er daarna nog even voor zorgt dat de poorten van je interne firewall de juiste protocollen doorlaten naar de gewenste omgevingen (terminal servers, hosts en dergelijke), dan is je voordeur goed beveiligd en gaat deze alleen open als een geautoriseerde persoon aanbelt. RD VPN is een complete toegangsoplossing voor al je toepassingen. Helaas zijn de website, de cd-rom en de documentatie op een dusdanig niveau dat je hier niet even snel mee aan de slag gaat. Je moet alles een beetje bij elkaar schrapen om de complete oplossing te kunnen gebruiken. Er wordt echter aan gewerkt om ook dit compleet te krijgen. Y Per 1 mei is HOB Electronic B.V. overgenomen door de Maddocks & Bugley Group. Dit heeft geen gevolgen voor de HOB software, omdat HOB al een zelfstandige onderneming was met een partnerschap met HOB Duitsland. Het partnerschap blijft gewoon bestaan en de overname heeft uiteraard geen verdere gevolgen voor HOB Duitsland, de ontwikkelaar van de software.

21 10-08-2006 16:10:44

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: SmoothRoaming Auteur: Marcel Beelen Pagina’s: 22 - 23

SmoothRoaming

De meest flexibele werkplek SmoothRoaming is een marketingterm bedacht door Citrix toen MetaFrame Presentation Server 3.0 op de markt kwam. In Citrix Presentation Server 4.0 is het concept verder ontwikkeld. SmoothRoaming belooft dat je toepassingen zonder onderbrekingen kunt voortzetten als je van de ene computer naar de andere computer wandelt. NetOpus verkent de mogelijkheden van dit interessante concept.

S

moothRoaming is geen product en geen feature, dus je kunt het ook nergens in- of uitschakelen. SmoothRoaming, dat zich in de praktijk vertaalt in functies als WorkSpace Control, Dynamic Session Reconfiguration en Session Reliability, zijn op zichzelf ook weer indrukwekkende marketingtermen. Overigens lijkt Citrix ook niet precies te weten welke mogelijkheden exact tot Smooth Roaming behoren, maar eigenlijk is dat ook niet zo belangrijk voor een concept.

Vertaling SmoothRoaming is een term die eigenlijk niet te vertalen is naar het Nederlands, zoals dat wel meer het geval is met marketingterminologie uit de VS. SmoothRoaming houdt in dat een set aan technologieën en functies ervoor zorg draagt dat je heel eenvoudig van werkplek, locatie of netwerk kunt wisselen terwijl al je toepassingen netjes doordraaien. Citrix spreekt ook wel van Personal Access Continuity en Uninterupted Access. Dit beschrijft al iets beter wat wat het concept precies inhoudt. Een voordeel is dat de toepassingen zich hierbij vanzelf aanpassen aan de gewijzigde omstandigheden van de werkplek, zoals een kleiner of groter beeldscherm, andere invoerapparatuur, een ander besturingssysteem of andere netwerkbandbreedte.

22

NOP0606_p22-23_CoverItem_Smartca22 22

Virtuele werkplek Met Citrix Presentation Server is eigenlijk al vanaf de eerste versies mogelijk geweest om sessies te ontkoppelen en op een andere plek weer te verbinden, maar van ‘smooth’ was toen nog geen sprake. Op dit moment, met onder meer smartcard-ondersteuning, zijn de mogelijkheden best indrukwekkend. Misschien dat sommigen zich nog de Virtual Workplace-video van Citrix herinneren van jaren geleden (op dit moment nog te downloaden bij www.go-eol.com/whitepapers/ movies/virtual_workplace.mpg). In deze ietwat te futuristische video wordt het concept heel goed weergegeven. Citrix heeft later nog een andere variant van deze video gemaakt, toen er enkele producten waren waarmee het concept ook daadwerkelijk beter ingevuld kon worden. De term ‘virtual workplace’ mocht op een bepaald moment echter niet meer gebruikt worden en ‘access’ is ervoor in de plaats gekomen. Op dit moment hanteert Citrix overigens weer uitgebreid de term virtualisatie voor de producten.

Workspace control Toch is SmoothRoaming meer dan alleen marketing. Er zijn verschillende functies in Presentation Server ingebouwd die aanpassingen maken in sessies als die na ‘roamen’ draaien op een andere werkplek met een ander beeldschermformaat of voorzien van een ander besturingssysteeem. Workspace Control is te configure-

ren met een webinterface en net als alle andere instellingen van Program Neighborhood Agent kun je hier het sessiegedrag configureren. Workspace Control kom je dan ook als term tegen in beide beheertools. Hierbij stelt een beheerder of een gebruiker zelf in hoe toepassingen zich binnen sessies moeten gedragen. Een gebruiker kan sessies simpelweg laten draaien en ze op een andere werkplek over een ander type verbinding weer vervolgen. Ook kan een gebruiker met een druk op de knop alle lopende sessies en toepassingen ontkoppelen en ze op de andere werkplek net zo snel weer verbinden. Ook het uitloggen van alle sessies is met een enkele handeling mogelijk.

Session Reliability Een term die Citrix gebruik binnen SmoothRoaming is Session Reliablity. Dit is een standaard functie binnen Presentation Server. Als je mobiel via internet of draadloos werkt is de kwaliteit van de verbinding niet te garanderen. Op enig moment kan de verbinding even wegvallen. Session Reliability zorgt ervoor dat de applicatie op het scherm zichtbaar blijft en er weer verder gewerkt kan worden zonder hernieuwd te moeten authenticeren. Session Reliability schakelt je omgeving om van poort 1494 naar poort 2598. Houd er rekening mee dat dit aanpassingen in firewalls en WAN-optimalisatie producten vereist (zoals in de in deze NetOpus geteste Expand Accelerator).

Session Reconfiguration Dynamic session reconfiguration houdt in dat de sessie van het bureaublad zich automatisch aanpast aan veranderende

10-08-2006 16:12:05

SmoothRoaming • SBC & Virtualisatie

omstandigheden, zoals een ander beeldschermformaat of meer of minder kleuren. Dit is vooral handig als je veel van werkplek of type apparaat verandert.

Niet altijd eenvoudig Overigens lijkt het confi gureren van SmoothRoaming niet zo ingewikkeld, maar dat is het wel degelijk als je gebruik maakt van de vele extra producten van Citrix. Om SmoothRoaming naar Presentation Servers mogelijk te maken over WAN-verbindingen met fi rewalls, de Citrix Access Gateway en Advanced Access Control (dat weer op een aparte Windows-server moet draaien), en met Password Manager om wachtwoordbeheer te automatiseren, moet fl ink wat geconfi gureerd worden. Dat is op zichzelf niet erg, want het gaat om het uiteindelijke effect, en vooral om het gemak voor de gebruiker. Verder zijn er toepassingen die niet kunnen omgaan met het veranderen van de client-naam doordat deze op een andere werkplek getoond wordt. Toepassingen die afhankelijk zijn van de hostnaam moeten speciaal ontwikkeld zijn om te kunnen werken met dynamische naamsveranderingen. Citrix heeft een document waarin beschreven is hoe je software moet schrijvenom hier correct mee om te gaan.

Smartcards Bij SmoothRoaming moet je op de werkplek waar je naartoe wilt ‘roamen’ nog steeds inloggen. De ultieme manier om SmoothRoaming te implementeren is het gebruik van een authenticatiemethode die inloggen veel eenvoudiger en sneller maakt zoals biometrische authenticatie of authenticatie met een token of smartcard. Pc’s zijn echter standaard niet voorzien van een kaartlezer, dus we bekeken SmoothRoaming op thin clients die vaak standaard voorzien van een (slot voor een) smartcardlezer. Helaas blijken veel fabrikanten weliswaar een kaartlezer ingebouwd of als optie te hebben, maar hebben ze zelf geen smartcard-oplossing. Dit maakt

NOP0606_p22-23_CoverItem_Smartca23 23

het implementeren van SmoothRoaming op thin clients met smartcards ingewikkelder, omdat je op meerdere plekken hardware, software en smartcards moet aanschaffen. Je kunt natuurlijk ook een (Citrix) partner vinden die alles kan leveren. Ook kun je een al bestaande smartcard-oplossing binnen je organisatie geschikt maken voor Citrix Presentation Server en je thin clients. Onze zoektocht naar een eenvoudige oplossing bracht ons bij IGEL, een Duitse fabrikant van thin clients. IGEL is in staat thin clients te leveren voorzien van een smartcard-lezer én smartcards. Een kant-en-klare oplossing dus, die zelfs bij kleine organisaties een ‘smooth & secure feeling’ kan bezorgen. Uiteraard ‘roam’ je nu niet van werkplektype naar werkplektype maar je houdt wel dezelfde werkplek, namelijk een IGEL thin client. Je maakt bij het roamen tussen thin clients eigenlijk geen gebruik van de SmoothRoaming functies van Presentation Server. Het werkt daarom ook met pure terminal servers.

hoeven dan uiteraard niet gedefinieerd en bewaard worden op de smartcard. Optioneel kan er ook nog een Company Key worden bewaard op de smartcard, die de smartcard koppelt aan een thin client.

Klaar voor gebruik Na de configuratie kun je met de smartcard werken. Je loopt naar een thin client en steekt de smartcard in de sleuf. Optioneel wordt je naam op het scherm getoond en gevraagd om het wachtwoord. Vervolgens starten al je geconfigureerde toepassingen of het bureaublad op de terminal server. Verwijder de smartcard en het scherm wordt zwart. Wandel naar een andere thin client en steek de smartcard weer in de reader. Na het optionele wachtwoord kom je vanzelf weer terug in de toepassingen of het bureaublad op de terminal server. Een soepele werkplekwisseling is het gevolg. Y

Eenvoudig gebruik IGEL heeft het werken met smartcards heel eenvoudig gemaakt. Op de thin client definieer je eerst de sessies die je wilt gebruiken met de smartcard. Tijdens het configureren kruis je Smartcard Autostart aan. Vervolgens open je de smartcard beheer-tool en voert hier de voornaam en achternaam van de kaarteigenaar in, en optioneel een wachtwoord/pincode die de gebruiker aanvullend moet invoeren. De naam wordt alleen gebruik om op het scherm te plaatsen als het wachtwoord/pincode wordt gevraagd. Selecteer de sessies (bureaublad of toepassingen) die eerder geconfigureerd zijn. Stop de smartcard in de sleuf en klik op Write Smartcard. De gemaakte sessies kunnen nu weer verwijderd worden. Gebruik je de smartcard overigens alleen om in te loggen op de thin client en niet om ook sessies te starten. Die

IGEL thin client met IGEL smartcard.

23 10-08-2006 16:12:30

Veilig toegang met SmartGate • SBC & Virtualisatie

Veilig toegang met SmartGate De terugkeer van V-ONE Citrix die-hards kennen wellicht V-ONE en het softwaregebaseerde VPNtoegangsproduct SmartGate dat BorderWare Technologies en Citrix in licentie namen. Citrix verkocht het product tot 2002 als Citrix Extranet. AEP Networks nam onlangs V-ONE en daarmee het product SmartGate over. Het bedrijf nam eerder al Netilla over en heeft nu nog een concurrerend toegangsproduct met AEP SmartGate.

B

ij de demoversie van SmartGate 5.0 merk je al dat het een zeer uitgebreid product is met ontzettend veel beveiligingsmogelijkheden en een erg brede ondersteuning van protocollen en authenticatie-oplossingen. SmartGate is een 100 procent softwaregebaseerde hybride IPsec en SSL VPN identiteitgebaseerde application layer security gateway. Dat is een hele mond vol, maar het komt er op neer dat je een veilige toegangsoplossing bouwt waarbij de identiteit en authenticatie gegarandeerd zijn en je op applicatieniveau toegang kunt regelen.

Installatie

ken en client-apparaten worden ondersteund. De native SmartPass client is er voor Windows, Solaris, Linux, Mac OS X en Windows CE. Een redelijk unieke functie van dit product is dat een gebruiker na download en installatie, zichzelf kan registeren op je SmartGate website, waarna er een soft-token wordt verkregen. Daarna kan de beheerder centraal gedetailleerd aangeven tot welke toepassingen de gebruiker toegang krijgt. Met de Java-client biedt je browsergebaseerde SSL-versleutelde toegang tot het bedrijfsnetwerk. De Java-client is qua functionaliteit en beveiliging uiteraard beperkt tot wat SSL ondersteunt.

Je installeert SmartGate op een Windows-server of een ondersteunde UNIX/Linux-server. Vervolgens log je bij V-ONE in en moet je het serienummer invoeren, drie bestanden uploaden en twee gegenereerde bestanden te downloaden en op de juiste plek plaatsen op de SmartGate server. Configuratie en beheer is mogelijk met een browser en de webserver op de SmartGate server, waar je overigens ook updates van de client centraal regelt. Aan de client-kant heb je een lokale native client of een Java-client nodig, waardoor eigenlijk alle typen werkplek-

Beveiligingstechnisch zit het allemaal wel snor en ook de schaalbaarheid in grote omgevingen is in orde. Zo laat de Amerikaanse FBI ruim 100.000 politieagenten ermee werken in het kader van het FBI Law Enforcement Online programma. Verschillende niet-technische zaken rondom SmartGate doen op dit moment wat verouderd aan en de overname van V-ONE door AEP is nog lang niet op alle plekken verwerkt. Zo word je om de licenties te activeren nog doorgestuurd naar de sterk verouderde

NOP0606_p24-27_CoverItem_SmartGa25 25

FBI

V-ONE website (hier vind je zelfs nog een opmerking speciaal voor Internet Explorer 3.0-gebruikers). De documentatie is voor een redelijk complex en erg uitgebreid product als dit eigenlijk té compact en gefragmenteerd. Zoek je naar updates of support (in de TechNotes tak van AEP’s website) dan staat daar geen actuele informatie. Alleen in het archief bevinden zich V-ONE TechNotes tot en met 2004. Het is duidelijk dat de marketing bij V-ONE even op een laag pitje heeft gestaan. AEP zal nog wat inspanning moeten leveren om het product te positioneren en helder uit te leggen hoe het product zich verhoudt met het AEP Netilla Security Platform (door AEP zelf ‘aanvullende concurrenten’ genoemd), maar ook tot de vele andere oplossingen in hard- en softwarevorm die te koop zijn.

Grote beurt Met versie SmartGate 5.0 maakt AEP een statement dat het product weer leeft. Op het moment dat versie 5.1 ergens in de herfst van dit jaar beschikbaar komt, zal het product vermoedelijk helder gepositioneerd zijn. Je zou kunnen zeggen dat de SmartGate-auto op dit moment nog een grote beurt en een APK-keuring krijgt en door de wasstraat gaat. Voor meer informatie kun je de websites van de fabrikant AEP (www.aepnetworks. com) of de importeur Magirius (www. allasso.nl) bezoeken. NetOpus volgt deze veelbelovende ontwikkelingen en zal zeker SmartGate later eens aan een uitgebreide test onderwerpen. Y

25

10-08-2006 16:16:08

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Eindelijk samen Auteur: Marcel Beelen Pagina’s: 28 - 30

Eindelijk samen

Web Interface voor SharePoint Je bladert met je browser naar een webpagina, logt in en ziet vervolgens pictogrammen van Windows- of UNIX-toepassingen waarvoor je een licentie hebt. Je klikt op het pictogram van Microsoft Project en enkele tellen later werk je op je werkplek met Project alsof de software lokaal op je pc geïnstalleerd is, terwijl dat niet zo is. Dat is wat Web interface je biedt: eenvoudige volledig transparante webgebaseerde toegang tot toepassingen die draaien op terminal servers voorzien van Presentation Server. Nu is er ook Web Interface for SharePoint: WISP.

C

itrix is met een speciale variant van Web Interface op de markt gekomen met de naam WISP (Web Interface for SharePoint). WISP is geen betaald product, maar een gratis onderdeel van versie 4.2 van de Access Suite. Bij de downloads op MyCitrix.com vind je het onderdeel terug als je een subscription advantage hebt. WISP is al een hele tijd geleden aangekondigd en is sinds het begin van dit jaar zonder veel bombarie toegevoegd aan de (gratis) componenten van Presentation Server.

WISP heeft erg lang op zich laten wachten. Daar zijn minimaal twee redenen voor te bedenken. De eerste reden is

dat Citrix met WISP de concurrentie zou aangaan met zichzelf. Citrix biedt al vele jaren een gratis en bij klanten goed gewaardeerd onderdeel bij MetaFrame/ Presentation Server aan om webtoegang te bieden tot Windows-toepassingen. Dit component werd NFuse genoemd. In 2001 heeft Citrix echter Sequioa ingelijfd, wat XPS portal server toevoegde aan de productreeks. Sinds die tijd heeft de organisatie een tijd lang geworsteld met de positionering van XPS en NFuse. Citrix noemde het nieuwe product NFuse Elite. Met de annoncering hiervan is besloten om NFuse om te dopen tot NFuse Classic. Beide namen suggereren een familiegedachte: NFuse Classic is het kleine broertje (gratis) en NFuse Elite is de uitontwikkelde (commerciële) oplossing. Dit maakte het er niet duidelijker op. Wanneer gebruik je welke versie? Is de één inderdaad het grotere broertje

Schema 1 De evolutie van Advanced Access Control

Schema 2 De evolutie van Web Interface

Server 2003 SharePoint Services of SharePoint Server 2003 webomgeving. Maar waarom heeft de SharePoint-integratie zo lang geduurd? Is dit zoveel moeilijker dan de integratie met de genoemde Enterprise Portals? Om hier een antwoord op te geven, gaan we even terug in de tijd.

Sequioa XPS

Portal-integratie Een (enterprise) portal is een belangrijke toegangsomgeving voor organisaties. Het mooist is als medewerkers met één website werken: je enterprise portal met daarbinnen geïntegreerd de Windows-toepassingen op Presentation Server. Je kunt al heel lang integratiemogelijkheden in de vorm van Portlets, Pagelets of iViews downloaden bij Citrix, voor BEA WebLogic, IBM WebSphere, Oracle Application Server, PeopleSoft Enterprise Portal, SAP Enterprise Portal en Sun Java System Portal Server. Dit zijn een soort van plug-ins die een Web Interface-onderdeel plaatsen op pagina’s van het portalproduct. WISP is nieuw. Het plaatst pictogrammen van gepubliceerde toepassingen op Presentation Server binnen je Windows

28

NOP0606_p28-30_Focus_SharePointW28 28

10-08-2006 16:18:47

Eindelijk samen • Focus

van de ander? Waarom is NFuse Classic gratis en waarom moet je voor NFuse Elite betalen? Waarom kun je bovendien NFuse Elite ook gebruiken zónder MetaFrame Presentation Server? NFuse Elite is niet op noemenswaardige schaal door bedrijven geïmplementeerd. Het bieden van kortingen op de aanschaf van NFuse Elite heeft niet veel mogen baten. Op een bepaald moment is zelfs aangekondigd dat er aan NFuse Classic geen verdere ontwikkelingen meer gedaan zouden worden, in de hoop klanten meer te interesseren voor het aan te schaffen NFuse Elite. Het koppelen van NFuse Elite met als nieuwe productnaam MetaFrame Secure Access Manager (MSAM) binnen de Access Suite heeft ook niet geholpen om het product populair te maken. Naast dit vraagstuk van positionering van de software is een tweede reden voor het uitblijven van WISP, speelt de vermeende concurrentie van NFuse Elite met SharePoint Server een rol. NFuse Elite is vaak vergeleken met Microsoft’s SharePoint Server. Hoewel het producten zijn die verschillende toepassingsgebieden hebben en eigenlijk niet echt concurreren, zou Web Interface-ondersteuning voor SharePoint Server de concurrentie met NFuse Elite wel degelijk vergroot hebben. Het is daarom ook logisch dat Citrix geen plug-in voor SharePoint op de markt wilde brengen. Citrix zag het gebruik bovendien liever andersom en ondersteunde zelf Content Delivery Agents (plug-ins) voor SharePoint binnen NFuse Elite. NFuse Elite zou op deze wijze een access center moeten worden voor alle Office-informatiebronnen. Er is echter sindsdien heel veel veranderd bij Citrix. NFuse Classic heet nu Web Interface en wordt gelukkig nog steeds verder ontwikkeld. Inmiddels is versie 4 inbegrepen bij Citrix Presentation Server 4.0. Veel organisaties gebruiken dit onderdeel als handige toegangsmethode tot Windows-toepassingen in combinatie met de Presentation Server-component Secure Gateway, de Citrix Access Gateway appliance of gewoon op het LAN als aanvulling op native server-based computing clients. Ook de vermeende con-


Schema 3 SharePoint-architectuur met Citrix-producten

currentie van NFuse Elite/MetaFrame Secure Access Manager is er niet meer. Het product heeft op dit moment een andere passende plek gekregen, namelijk bij de Access Gateway (in de Enterprise Edition) met als nieuwe naam Advanced Access Control, waar het volledig tot zijn recht komt. De huidige rol is dat het product in staat is zeer nauwkeurig rolgebaseerde toegang tot toepassingen en zelfs functies binnen die toepassingen te regelen in combinatie met de appliances van Citrix. Het product is hiertoe uitgebreid met technologie die Citrix in handen heeft gekregen met de overname van Motivus in 2004.

De weg ligt open Nu de mogelijke redenen die de ontwikkeling van WISP in de weg staan niet meer bestaan, is er dan eindelijk Web Interface for SharePoint. Met Microsoft Windows Server 2003 SharePoint Services of Microsoft SharePoint Server 2003 kun je in een webomgeving samen aan documenten te werken en ze te beheren. Denk daarbij aan functies als versiebeheer, goedkeuring, publiceren, archiveren en indexeren van documenten en het zoeken naar en in documenten. SharePoint is bovendien aan de gebruikerskant geïntegreerd in de menu’s van onder meer Word en Windows Explorer.

Uitbreidingen aan SharePoint zijn eenvoudig mogelijk door er zogenaamde webparts aan toe te voegen. En dat is nu precies van WISP doet: het voegt webparts toe aan SharePoint, om behalve documentbeheer in het portal meteen transparante toegang te bieden tot Windows-toepassingen draaiend op Presentation Server.

Architectuurscenario’s SharePoint kan in allerlei architectuurvormen worden opgebouwd. Met een enkele SharePoint-server tot en met een complexe architectuur bestaande uit meerdere redundante webservers en Network Load Balancing, meerdere SQL Servers en meerdere servers die specifieke SharePoint-functies ontlasten, zoals zoeken of indexeren. Citrix voegt hier aan toe dat deze scenario’s uitgebreid kunnen worden met implementaties van Secure Gateway of liever nog met de combinatie van de Access Gateway appliance en Advanced Access Control. Het oude NFuse Elite biedt nu in de vorm van Advanced Access Control een belangrijke toegevoegde waarde aan SharePoint. Zo wordt Citrix de applicatie-ontsluiter voor SharePoint-omgevingen over beveiligdeinternetverbindingen(Schema3). Het invoeren van dit type toegangs-scenario’s vergt uiteraard wel een gedegen planning. f

29

10-08-2006 16:18:55

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Eindelijk samen Auteur: Marcel Beelen Pagina’s: 28 - 30

Afbeelding 1 Windows-toepassingen op een SharePoint-pagina

Installatie en beheer Hoe moeilijk is nu de invoering van WISP zelf, zonder te kijken naar complexere toegangsarchitecturen? De installatie is in dit scenario erg eenvoudig. Je installeert een klein Windows Installerbestand op een Windows Server 2003 systeem voorzien van Windows SharePoint Services 2.0 met Service Pack 1 of Microsoft Office SharePoint Portal Server 2003 met Service Pack 1. Verder moet Visual J#.NET 1.1 en het .NET Framework 1.1 met Service Pack 1 beschikbaar te zijn, evenals uiteraard Internet Information Services 6.0 met ASP.NET. Alle web-partcomponenten worden op die ene server geïnstalleerd, inclusief een Administration Tool voor WISP en de Content Redirection component. Tijdens de installatie geef je de naam op van de Presentation Server en het poortnummer van de Citrix XML-service. De installatie is dan binnen enkele tellen afgerond. Om nu de Presentation Servers toegankelijk te maken voor gebruikers van SharePoint, moet je op de SharePoint server webparts toevoegen. Je kunt bijvoorbeeld de Web Interface web-part aan een pagina toevoegen, waardoor op die pagina het gepersonaliseerde overzicht wordt getoond van gepubliceerde toepassingen op de Presentation Server farm. Je kunt ook een web-part toevoegen die het contextmenu binnen SharePoint aanpast en hier menuonderdelen aan toevoegt die gerelateerd zijn aan Presentation Server. Zo kun je bijvoorbeeld een Edit-functie toevoegen aan het menu, waardoor een gebruiker meteen bij het rechtsklikken op

30


het pictogram van een bestand de bijpassende gepubliceerde toepassing kan openen. Niet alles is zo eenvoudig. Soms zul je configuratiebestanden of bijvoorbeeld XLM-stylesheets moeten wijzingen. Dat laatste geldt bijvoorbeeld als je het uiterlijk van de web-parts wilt aanpassen. Voor het configureren van typische Presentation Server instellingen, is er een webgebaseerde beheeromgeving ontwikkeld, die toegankelijk is op http://SharePointServer:8988/Admin. Dit is vergelijkbaar met de beheeromgeving van de gewone Web Interface-component. Zo regel je hier de farm-instellingen, stel je workspace control in, configureer je content redirection of bepaal je download van de ICA web client. Uiteraard zijn er nu ook wat extra instellingen specifiek voor SharePoint toegevoegd, zoals de mogelijkheid voor single sign-on van SharePoint naar de Presentation Servers.

snelkoppeling wordt de gepubliceerde toepassing of het bestand met de bijbehorende gepubliceerde toepassing direct gestart/geopend, transparant en zonder interactief te moeten inloggen. Er is toegang tot lokale stations en printers, de toepassing draait ‘seamless’ in een venster dat niet van een lokaal venster te onderscheiden is.

Integratie Werk je al met SharePoint en heeft je organisatie Presentation Servers staan in het netwerk, dan ik het zeker interessant om eens naar WISP te kijken. Met WISP is mogelijk om beide omgevingen relatief eenvoudig te integreren en het is bovendien ook nog eens gratis. Y

Transparante toegang Voor de SharePoint-gebruiker is het werken met Presentation Server supereenvoudig. Hij hoeft geen kennis te hebben van de Citrix-tools of de onderliggende Citrix-omgeving. Op webpagina’s worden alleen geautoriseerde toepassingen getoond, zoals we gewend zijn met de Citrix Program Neighborhood. In Afbeelding 1 zie je een web-part op een SharePoint-pagina met Windows-toepassingen. Toepassingen waar geen licentie voor is, zijn niet zichtbaar. Door te klikken op het pictogram van de toepassing, wordt deze op Presentation Server gestart. Inloggen is niet nodig, doordat single sign-on wordt ondersteund. Een SharePoint-gebruiker die een bestand wil wijzigen, kan in het contextmenu van het bestand ervoor kiezen dit te doenmet de lokaal geïnstalleerd toepassing of met dezelfde toepassing op de Presentation Server. In Afbeelding 2 zie je een contextment van SharePoint met daarin toegevoegd het item ‘Edit via MetaFrame’. Een gebruiker kan zelfs een pictogram van een gepubliceerde toepassing of bestand vanuit een SharePoint webpagina naar zijn bureaublad verslepen. Met die

Afbeelding 2 Contextmenu in SharePoint met een Citrix menu-item

Windows Vista In Windows Vista biedt Microsoft min of meer standaard soortgelijke functionaliteit aan als WISP biedt. Zo kun je via het nieuwe Terminal Server Web Access eveneens met een browser toegang krijgen tot exact die toepassingen waartoe je rechten hebt. Bovendien zijn deze toepassingen ‘seamless’, dus zonder een extra vensterkader, door de nieuwe Remote Programs-functie. Hoewel er nog niet expliciet over gesproken is, bevat de volgende versie van Visual Studio .NET (Whidbey) ook een web-part om deze Remote Programs aan te bieden in SharePoint. Dit alles maakt WISP zeker niet overbodig, want voor gebruikers van Presentation Server is dit de geëigende en enige manier om Windows-toepassingen te integreren in SharePoint.

10-08-2006 16:19:00

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Toegang op afstand Auteur: Marcel Beelen Pagina’s: 40 - 43

Toegang op afstand SSL VPN wordt volwassen Voor site-to-site verbindingen worden overwegend IPSec VPN-verbindingen gebruikt. Voor remote access, dus toegang op afstand door medewerkers, zijn de meningen tegenwoordig eveneens unaniem. Hiervoor gebruik je niet langer een IPSec VPN maar zet je een SSL VPN in, met én zonder serverbased computing.

V

olgens onderzoek van Gartner zullen er in 2008 meer SSL VPN-gebruikers zijn dan IPSec-gebruikers. SSL VPN’s zijn dus aan de winnende hand om medewerkers toegang te geven tot bedrijfsapplicaties en informatie vanaf locaties buiten het bedrijfsnetwerk. Je moet daarvoor wel de juiste componenten inzetten. Denk aan de SSL VPN gateway, het authenticatiemechanisme, de correcte versleuteling, firewall-afscherming en optioneel een Intrusion Prevention Systeem (IPS). Welke partijen spelen een relevante rol in de SSL VPN-markt en waarin onderscheiden de SSL VPNproducten zich? We bekijken globaal enkele selectiecriteria en producten.

Selectiecriteria Een SSL-VPN platform plaats je in de DMZ. Dit hoeft niet alleen het internetDMZ te zijn, maar het kan bijvoorbeeld ook een interne DMZ zijn om een extra veilige zone op de juiste manier te ontsluiten. Als SSL VPN bedrijfskritisch is, kun je overwegen een tweede unit te nemen en die actief of passief mee te laten doen. Actieve fail-over verhoogt het maximaal aantal gelijktijdige sessies, maar het is een duurdere oplossing. Merk op dat deze redundantie tevens gebouwd moet worden voor de firewall, de switches of misschien zelfs voor de verbinding met de internetprovider zelf. Let ook op de internetbandbreedte die je kunt aanbieden aan je reizende me-

40

NOP0606_p40-43_Focus_SSLVPN.indd40 40

dewerkers. Kijk naar patronen van de verschillende groepen om je ontwerp af te stemmen op piekbelastingen van bijvoorbeeld maandagochtend of zes uur ’s avonds. Het aantal gelijktijdige gebruikers maal de minimale bandbreedte is dan noodzakelijk. Het beste kun je de bandbreedte managen zodat je een minimale maar zeker ook een maximale bandbreedte kan garanderen of afdwingen. In het bijzonder kan replicatie van e-mail een factor zijn die de bandbreedte flink beïnvloed. Installatie en onderhoud van een SSL VPN gateway is in het algemeen erg eenvoudig door de webgebaseerde grafische interface, naar dat neemt niet weg dat het beheer wel voortdurend de nodige aandacht kost. Er zitten veel features in SSL VPN gateways die met een vinkje aan of uit te zetten zijn, en een vergissing is snel gemaakt. Het periodiek onderzoeken van rapportages en logbestanden is relevant om het gebruik te monitoren of eventueel misbruik te detecteren. Veel SSL VPN appliances poetsen aan het einde van de sessie alle informatie van de remote werkplek weg volgens het zogeheten ‘virtuele desktop’ concept. Bovendien is de achterblijvende informatie op de harde schijf versleuteld, als je niet netjes afsluit en het opschonen niet plaatsvindt. Ook leveranciers erkennen de klantbehoefte voor VoIP-diensten over SSL VPN. Als dit functioneert ben je in staat om op een firewall-vriendelijke manier naast

je data-applicaties ook een voice-applicatie te gebruiken om te bellen vanaf je bedrijfsnummers. Om dit mogelijk te maken moeten de VoIP-pakketten anders afgehandeld worden dan pakketten voor datacommunicatie.

Client-less werken De voordelen van SSL VPN’s zijn het client-less werken en het gebruikersgemak. Voor het opzetten van een SSL VPN-verbinding wordt binnen de internetbrowser een client gedownload en gestart. Dit is dan meteen het grote verschil met de toepassing van IPSec VPN’s, waarbij de client aanwezig moet zijn en meestal vooraf door de IT-afdeling geïnstalleerd wordt. Door het gebruik van het https-protocol is de toepasbaarheid, en dus de mobiliteit, hoger doordat https-verbindingen in de meeste gevallen toegestaan worden en mogelijk zijn. Daarnaast is SSL VPN te gebruiken in combinatie met een https-proxy server, een veelgebruikte methode van internettoegang voor bedrijfssnetwerken. Met een SSL VPNplatform is beveiliging veel fijnmaziger te configureren omdat deze technologie dichter tegen de applicatielaag zit dan IPSec en er meer integratiemogelijkheden zijn met end-point securityproducten. Naast technische zijn er ook financiële voordelen. De TCO is lager voor SSL VPN vergeleken met IPSec VPN-oplossingen. Is SSL VPN nu wel of niet client-less? Ja en nee. Er zijn bij de meeste platforms wel twee en soms zelfs drie soorten clients. In de webgebaseerde toegangsmode wordt een ActiveX- of Java-client gedownload en geactiveerd op het moment dat de gebruiker geau-

10-08-2006 16:25:30

Toegang op afstand • Focus

thenticeerd is op de SSL VPN-gateway. Webgebaseerde toegang gebruik je voor webtoepassingen of webgebaseerde toegang tot bijvoorbeeld gedeelde mappen op fileservers. De tweede variant biedt applicatietoegang door het ont sluiten van applicaties vanaf de portal. Dit kan toegang bieden tot iedere client/server-toepassing, gebruikmakend van de Citrix ICA-client of de Microsoft RDC-client. De ICA- en RDCclient worden dan vanaf de gateway gedownload. Beide varianten zijn lang niet altijd client-less. Op verschillende werkplekken mogen ActiveX-objecten niet geschreven worden of kunnen geen Java-applets draaien en zijn minimaal rechten van een Power User nodig. Als derde toegangsvorm bestaat er nog netwerk-tunneling, waarbij de functionaliteit van IPSec wordt geïmplementeerd. Hierbij wordt een tunnel gebouwd tussen de remote client en de SSL VPN gateway, waardoor alle lokaal geïnstalleerde client/server-toepassingen op een transparante manier te gebruiken zijn. De remote werkplek wordt op deze wijze onderdeel van het LAN waarmee verbinding wordt gemaakt. Voor de netwerk-client zijn vaak Adminstratorrechten noodzakelijk en deze kan het beste vooraf met een toepassing voor werkplekbeheer of Active Directory Group Policy geïnstalleerd worden.

Maar end-point security (EPS) kan ook geavanceerder, waarbij de software voortdurend controleert of het systeem voldoet aan de centraal gedefinieerde security policy. Is de antivirussoftware up-to-date en actief? Is de anti-spywarecontrole maximaal drie dagen geleden uitgevoerd? Is een belangrijke Microsoft security patch geïnstalleerd? In welk netwerkbereik zit het systeem? Is er een verbinding met de centrale policy server? Op basis van deze controles heeft het systeem de status ‘compliant’ of ‘niet compliant’ en worden waarschuwingen gegeven en beperkingen doorgevoerd. Een volwaardig EPS-product (zoals Checkpoint Integrity, Sygate Secure Enterprise of McAfee HIPS) gaat verder dan de end-point security-controles die een SSL-VPN platform doet tijdens het opzetten van een verbinding. Door tijdens het opzetten van een SSL VPN-sessie te controleren of een EPSproces actief is, kunnen beide technologieën elkaar aanvullen. EPS gebruik je normaal alleen op end-points (werkplekken) binnen het eigen bedrijf. Endpoints bij partners of derden worden gecontroleerd door de end-point security-functies van je SSL VPN. Omdat dit wellicht niet voldoende is, wordt aangeraden de toegang voor deze groepen in te perken in vergelijking met de mogelijkheden voor de eigen medewerkers.

End-point security

Authenticatie hoort erbij

Veel SSL VPN’s bieden een vorm van end-point security. Tijdens het opzetten van de SSL-verbinding worden op het end-point controles uitgevoerd om te valideren dat het systeem voldoet aan een specifieke security policy, vaak gestuurd door de al bestaande security policies binnen je organisatie. Enkele simpele voorbeelden: Je controleert bijvoorbeeld op een registersleutel of bestand om zeker te weten dat het systeem bekend is en toegang mag krijgen. Daarnaast controleer je aanvullend op specifieke actieve processen zoals een personal firewall of antivirus software. Als een proces niet actief is, kun je de toegang beperken of weigeren.

De gebruikersauthenticatie kan gebaseerd zijn op PKI-certificaten, LDAP, ADS, lokale gebruikers of bijvoorbeeld RSA authentication services. Een belangrijke factor bij de selectie van een SSL VPN is de tokenkeuze voor de gebruikersauthenticatie. Erg populair is het One Time Password (OTP) token dat geen stuurprogramma’s vereist. Een tweede mogelijkheid is een usb-token of smartcard met daarop certificaten. Om de certificatenopslag uit te lezen is een stuurprogramma noodzakelijk. Dit verlaagt de mobiliteit en vereist dat de medewerker verbinding maakt vanaf een laptop of systeem van het bedrijf. Daarnaast vereist de inzet van certifica-

ten heldere procedures. Certificaten zijn in authenticatieniveau wel sterker in vergelijking met OTP, maar minder krachtig dan biometrische authenticatie, waarbij bijvoorbeeld een vingerafdruklezer de identiteit vaststelt.

Versleuteling en browsers SSL bevindt zich onder https en zorgt voor de versleuteling van het IPverkeer tussen clients en servers. Gangbare sleutellengtes zijn 128 of nog beter 168 bits. Deze laatste werkt echter niet naar behoren voor alle internetbrowsers. Verder is het van belang om goed te kijken naar de platformen en browsers die de medewerkers gebruiken. Veel leveranciers zorgen voor een brede ondersteuning van browsers en platformen, maar er zijn producten die alleen werken op het Windows-platform en bijvoorbeeld niet op Linux of MacOS. Verder zijn er specifi eke opties die alleen werken op het Windows-platform met Internet Explorer en niet met bij voorbeeld Safari op een Mac. Het loont de moeite om tijdens de productselectie ook de kleine letters te bestuderen. f

Appliance-fabrikanten Checkpoint www.checkpoint.com/products/ connectra/index.html AEP Networks www.aepnetworks.com/products/ ssl_vpn/nsp/overview.htm Aventail www.aventail.com/products/ appliances/default.asp Array Networks www.arraynetworks.net/products/ EnterpriseSSLVPN.asp F5 Networks http://f5.com/products/FirePass/ Juniper Networks www.juniper.net/products/ssl/ Cisco www.cisco.com/en/US/products/ hw/vpndevc/ps2284/index.html Citrix www.citrix.com/English/ps2/ products/product.asp?contentID=15005 Whale Communications www.whalecommunications.com/ site/Whale/Corporate/ Whale.asp?pi=192

41

SSL-VPN markt


10-08-2006 16:25:35

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Toegang op afstand Auteur: Marcel Beelen Pagina’s: 40 - 43

SSL VPN als een Managed Service Aventail, Juniper en Array Networks doen het goed in de ISP-markt. De productlijnen bieden vergaande virtualisatie en schaalbaarheid. Denk aan het aanbieden van 256 virtuele SSL-domeinen op één platform. ISP’s die in de Managed SSL-VPN markt stappen leunen zwaar op deze virtualisatietechnologieën, naast natuurlijk de mogelijkheden voor hoge beschikbaarheid en goede beheerbaarheid. BT, Sprint, Equant en anderen bieden een managed SSL-VPN dienst. Per maand betaal je per medewerker een vast bedrag. Je hebt geen systeembeheer en als je daarvoor kiest ook geen firewall-beheer. Hun advies is namelijk de SSL VPN-dienst te combineren met een managed firewall. Hiermee is er maar één beheerorganisatie en dus geen communicatieproblemen rondom wijzigingen die doorgevoerd moeten worden. Het is niet zo dat je alles bij de partner kunt neerleggen. Zo zul je de uitrol van tokens toch zelf moeten doen.

Juniper heeft het grootste marktaandeel en wordt veelal als markleider gezien met de technologie van Neoteris en het klantenbestaand van Netscreen erbij. Wie marktleider is, ligt er overigens aan hoe je ernaar kijkt. Neem je jaarcijfers of kwartaalcijfers? Gaat het in die periode dan om het aantal verkochte apparaten, de omzet, het aantal licenties, het aantal gelijktijdige gebruikers? Het Secure Access platform van Juniper is er in verschillende dimensies. Voor het MKB, grote enterprises en ook voor service providers. De SA 6000 SP-serie is voor de service providers die tot 256 virtuele SSL VPN domeinen willen hosten op één platform. Vanaf de SA 2000-serie is er ook de keuze tussen een baseline en advanced feature set. Advanced features zijn diepgaande PKI-integratie, geavanceerde rollendefinities en de Juniper Central Manager-functies voor centraal beheer van meerdere platformen. Nieuwe ontwikkelingen zien we zeer frequent bij Juniper. Zo is onlangs Networks Intrusion Detection and Prevention (IDP) vrijgegeven. Dit is een combinatie van een SSL VPN

42


Secure Access platform met daarachter gekoppeld een IDP platform. Het IDP platform ziet ongewenst verkeer en geeft een signaal door aan het SSL VPN-platform dat een vooraf gedefinieerde policy doorvoert. De policy kan bijvoorbeeld de volledige verbinding of een applicatie blokkeren, waardoor het bedrijfsnetwerk niet meer kwetsbaar is. Juniper noemt dit mechanisme Coordinated Threat Control. Juniper ondersteunt ook VoIP-integratie.

Aventail Dit Bedrijf heeft twee mogelijkheden voor remote werkers. Aventail Workplace Access is de client-less browsertoegang tot webapplicaties, fileshares en client/server-applicaties. Workplace wordt ingezet voor kiosksystemen en systemen die niet door het bedrijf beheerd worden. Aventail Connect is de on-demand Windows client voor toegang tot het volledige netwerk vanaf bedrijfssystemen. Aventail’s visie beschrijft de verandering van network centric security (perimeter fi rewalls) naar resource centric (veilig transport en end-point security). De Aventail EX SSL VPN familie heeft hiervoor sterke beveiligingsmogeljikheden met centraal gedefi nieerde policies. Aventail noemt dit End Point Control (EPC). EPC werkt in combinatie met Cache Control en Secure Desktop. Aventail biedt deze features op Windows-, Linux- en Macintosh-systemen.

F5 Networks Na Juniper, wordt dit bedrijf gezien als een bedreiging voor Citrix door de goede marketing- en sales-activiteiten. Met het F5 Firepass platform heeft F5 een goede positie in de SSL VPN markt kunnen veroveren. De Firepass heeft web-based browsertoegang met daarin de functies Web Applications, Application Access en Network Access. Firepass heeft ook een Windows client die met MSI installer-technologie geïnstalleerd kan worden. Deze client kun je gebruiken als je een bezwaar hebt

tegen het gebruik van ActiveX-objecten. De Protected Workspace-feature, beschikbaar voor Windows 2000/XP platform, geeft de ultieme afscherming tegen het ongewenst lekken van gevoelige informatie. Het is niet mogelijk om buiten deze workspace informatie op te slaan. Ook al wordt aan het einde van de sessie niets opgeruimd, toch is de informatie in de protected workspace door versleuteling niet te gebruiken. De Firepass 1000 kan maximaal 100 gelijktijdige sessies afhandelen en zijn grote broer de 4100 kan tot 2000 sessie aan. In combinatie met F5 BIG-IP loadbalancers kan het platform in clustermode tot 20.000 sessie aan. Het Firepassplatform ondersteunt Windows, Linux, Macintosh, Pocket PC en pda-clients.

Checkpoint De Checkpoint Connectra SSL VPN komt veel voor bij Checkpoint FW-1 klanten door de end-to-end oplossing en integratie in de al aanwezige SmartCenter management-tools. Een pluspunt voor Checkpoint is dat de nieuwe release van Checkpoint Integrity, de EPS-oplossing, ook met SmartCenter integreert. Daarnaast is de Connectra ook als software-oplossing te krijgen bovenop het Secure platform. Je kunt Checkpoint Secure Platform draaien op standaard Intel server-hardware in plaats van de Nokia IPSO-applicances. Je kunt tevens de bestaande FW-1 uitbreiden met de SSL Network Extender, waardoor bestaande investeringen behoud blijven. SSL Network Extender werkt alleen op Windows 2000/XP.

Cisco Bijna elke organisatie heeft wel één of meer Cisco routers in het netwerk. Door de kennis en vertrouwdheid van de netwerkbeheerder, wordt vaak de Cisco PIX firewall gekozen. Cisco PIX heeft IPSec VPN aan boord. Cisco WebVPN loopt achter in functionaliteit op de concurrenten. Cisco’s Network Admission Control (NAC) wordt niet overgenomen door SSL VPN leveranciers omdat die

10-08-2006 16:25:41

Toegang op afstand • Focus

end-point security leveren in combinatie met policy management. Cisco heeft wel NAC ontwikkeld in de VPN Concentrator serie producten in combinatie met IPSec VPN’s.

Citrix Citrix heeft Net6 overgenomen en biedt hiermee een geïntegreerde SSL/IPSec VPN-oplossing met daarin ook VoIPfunctionaliteit. De Citrix Access Gateway integreert optimaal met Presentation Server (met Advanced Access Control), waardoor veel klanten zullen overwegen om van de oplossing van Citrix gebruik te gaan maken. De overname van Netscaler zorgt ervoor dat er nog eens een extra productreeks bij komt die is voorzien van SSL VPN-mogelijkheden. Dat betekent dus nog een potentiële markt. Citrix timmert nog steeds hard aan de weg en verovert flink marktaandeel.

Microsoft Microsoft heeft Whale Communications overgenomen. Whale Communications heeft een SSL VPN oplossing gebouwd op het Windows platform. Waarschijnlijk komt dit product beschikbaar met de release van ISA Server 2006. Microsoft ISA Server 2006 heeft met technologie van Whale extra features die interessant zijn voor klanten die remote accessoplossingen bouwen op het Windowsplatform. Whale heeft optimizers geschreven voor Outlook Web Access, Sharepoint Server en Lotus Domino Server. Dit zijn add-ons waarmee endpoint security, authenticatie en serverafscherming wordt verbeterd.

AEP Networks AEP Networks heeft in april release 5.2.2 van het AEP Netilla Security Platform (NSP) SSL VPN vrijgegeven. Een nieuwe feature is Device Authentication.

Hiermee kan een pc geïdentificeerd worden voordat toegang gegeven wordt. Belangrijk voor Citrix-gebruikers is het on-demand aanbieden van de Citrix ICA client naar het client device. Het AEP heeft een brede set van features en dit maakt het NSP-platform aantrekkelijk. Andere partijen op de SSL VPN appliance-markt zijn onder meer WatchGuard, Symantec, Nokia en Array Networks.

Steeds meer integratie De technologie in de SSL VPN gateway markt is nog steeds sterk in ontwikkeling en we zien integratie ontstaan met andere webtechnologieën (zoals webaccelerators) en end-point security. Over een tijdje zullen we waarschijnlijk ook niet meer spreken van pure SSL VPN-appliances, waarmee de keuze waarschijnlijk nog moeilijker wordt dan die nu al is. Y

Merk

Type

Plus

Checkpoint

Connectra

• Integratie met producten van Checkpoint • Single vendor-oplossing • Centrale managementconsole

AEP Networks

Netilla Security Platform

• Veel authenticatiemogelijkheden • Device authentication • Goede score in VoIP-tests

Aventail

EX-serie

• Oplossing beschikbaar voor small business • Favoriet in ISP-markt • Sterk in policy-based management

Array Networks

SPX-serie

• Enterprise class plattform • Virtualisatie voor ISP-markt • Beste score in VoIP-tests

F5 Networks

Firepass-serie

• Ruime ondersteuning verschillende OS’en • Overall veel features en breed inzetbaar • Integratie met Big-IP platform

Juniper Networks

Secure Access-serie

• Marktleider • Breed scala van appliances • Integratie met Juniper IDS platform

Cisco

VPN 3000 Series Concentrator WebVPN

• Single vendor oplossing • Brede kennis aanwezig van Cisco

Citrix

Citrix Access Gateway

• Meeste units verkocht in afgelopen periode • Sterke integratie met Citrix Presentation server • Schaalbaarheid • Optioneel: voice integratie

Whale Communications (Microsoft)

Intelligent Application Gateway

• Uitbreiding op Microsoft ISA server

Tabel 1 Fabrikanten van appliances met hun voordelen

43 NOP0606_p40-43_Focus_SSLVPN.indd43 43

10-08-2006 16:25:46

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Dubbele virtualisatie Auteur: Marcel Beelen Pagina’s: 44 - 45

Dubbele virtualisatie Virtuele sessies op virtuele systemen Virtual machine-technologie wordt tegenwoordig steeds vaker ingezet als strategische oplossing in plaats van als tactische technologische oplossing. Virtualisatie van servers krijgt steeds meer een vaste plek binnen de ict-infrastructuur in productieomgevingen en in datacenters van grote organisaties. Het gebruik van terminal server op virtual machines lijkt op het eerste gezicht volkomen onzinnig, maar toch is zelfs het virtualiseren van de virtuele werkplekken op terminal server zinvol.

S

erver-based computing en virtuele systemen worden vaak gezien als concurrerende technologieën. Met beide oplossingen kun je Windows-toepassingen bedienen op andere besturingssystemen. Bovendien consolideren beide technologieën de ict-infrastructuur en ze verlagen de totale kosten voor beheer. Een andere overeenkomst van beide technologieën is dat ze een belangrijk feit gemeenschappelijk hebben: ze kunnen fysieke hardware delen met meerdere eindgebruikers via het netwerk. In het geval van server-based computing zijn dat sessies binnen terminal servers en bij virtuele machines zijn dat verschillende gastbesturingssystemen op een onderliggende server. Hierdoor hebben beide oplossingen behoefte aan software voor het onder controle houden van onder meer processen, processorgebruik en geheugengebruik. Toch zijn de verdere verschillen dusdanig omvangrijk en het inzetgebied zo anders, dat ze eerder aanvullend dan concurrerend zijn.

Eén image voor alle servers Het lijkt in eerste instantie niet erg logisch om terminal servers te draaien op virtuele systemen. Stel, je hebt vier ter-

44

NOP0606_p44-45_Focus_TerminalSer44 44

minal servers met elk 25 gelijktijdige gebruikers. Waarom zou je die vier servers willen consolideren op virtuele machines door ze samen op één host te draaien? Elke virtualisatie-oplossing voegt (minimale) overhead toe. Hierdoor kun je juist minder gebruikers simultaan kwijt op de fysieke server. Dit effect treedt echter alleen op bij relatief kleinere servers die optimaal gedimensioneerd zijn om alle systeemresources te gebruiken. In de praktijk is dit natuurlijk niet het geval en zijn zeker terminal servers altijd overgedimensioneerd om pieken te kunnen verwerken. Virtual machines bieden voordelen op terminal servers, omdat de typische algemene voordelen van virtualisatie ook hiervoor benut kunnen worden. Zo worden de images van alle terminal servers helemaal identiek. Model- of typewijzigingen van servers of zelfs het overstappen naar een ander merk hardware maakt niets uit voor de images van je systemen. Als je een groeiende omgeving hebt waar steeds terminal servers toegevoegd worden, maakt virtualisatie van die fysieke systemen het beheer een heel stuk eenvoudiger. Het is zelfs mogelijk virtualisatie één-op-één in te voeren, waarbij je één terminal server virtueel draait per fysieke server, alleen

vanwege de eenvoud van imagebeheer. Ook erg handig is de mogelijkheid om snapshots te kunnen maken. Terminal servers waar grote aantallen gelijktijdige gebruikers op werken, hebben de neiging te vervuilen door achterblijvende profielen, tijdelijke bestanden en printspoolerbestanden. Door wekelijks een snapshot terug te zetten is alle vervuiling in één keer opgepoetst. Snapshots kunnen daarnaast gebruikt worden om een serversituatie te bevriezen voordat je een patch invoert of een toepassing toevoegt. Je kunt nadien met een druk op de knop terug naar de oude situatie zonder een image te moeten terugzetten.

Geïsoleerde omgevingen Toepassingen die zich niet netjes gedragen en bijvoorbeeld de processorbelasting van de terminal server naar 100% brengt of de server laat crashen, zijn eenvoudig te isoleren door ze op een afzonderlijke server te plaatsen. Met virtualisatie is het niet langer nodig een aparte fysieke server te gebruiken, maar plaats je alle omgevingen die je wenst te isoleren op een aparte virtuele server, waarbij je vervolgens een maximale processorbelasting instelt. Mocht de virtuele server crashen, dan is dit een geïsoleerde crash want alle andere virtuele terminal servers draaien gewoon door. Deze vorm van isoleren van toepassingen is de ‘best of both worlds’. Het is robuuster dan applicatie-isolatie met bijvoorbeeld Citrix Application Isolation Environment of een andere applicatievirtualisatie-oplossing

10-08-2006 16:26:54

Dubbele virtualisatie • Focus

én het is beter dan het isoleren van toepassingen door de toepassing op extra aparte hardware te installeren.

keer de beschikbare procesruimte en registeromvang ter beschikking hebt.

Meer doen met minder

Een meer traditioneel toepassingsgebied van virtuele machines is het bouwen van een testomgeving, die in de server-based computing wereld onmisbaar is. Door een exacte kopie te maken van de fysieke servers naar virtuele systemen, creëer je een serveromgeving die identiek is aan de productiemachines, om patches, Service Packs, nieuwe versies van toepassingen en dergelijke uit te proberen. Je kunt virtuele terminal servers zelfs tijdelijk laten meedraaien in de productiefarm om te onderzoeken of alles goed functioneert. Is er iets mis, dan draai je gewoon weer een snapshot terug om de eerdere virtuele terminal server te herstellen. Dit alles functioneert zonder extra hardware en zonder de productiesystemen aan te passen.

Terminal servers hebben de neiging om, afhankelijk van het gedrag van gebruikers en toepassingen, soms meer en soms minder processorcapaciteit en geheugen te vragen. Draaien deze terminal servers samen virtueel op een host, dan is het simpel om dynamisch handmatig of geautomatiseerd met geheugen en processorcapaciteit te schuiven om een optimale situatie voor dat moment te definiëren. Bovendien kun je op virtuele terminal server meer gelijktijdige eindgebruikers kwijt. Dit komt niet alleen omdat je slim gebruik maakt van de flinke overcapaciteit die terminal servers meestal hebben. Ook ben je in staat kernelbeperkingen in het zogenaamde Page Table-gebied en de Page Table Entries en de maximale grens van het register te omzeilen. Dit effect is vooral groot op zeer zware fysieke servers. Als je op een achtprocessor terminal server tegen de grens aanloopt van maximaal 140 gelijktijdige gebruikers, dan is de kans zeer groot dat je na virtualisatie met VMware ESX Server hierop vier virtuele servers kwijt kunt met in totaal meer dan 200 gelijktijdige gebruikers. Dit wordt puur veroorzaakt doordat er na virtualisatie vier keer Windows draait in plaats van één keer en dat je dus vier

De ideale testomgeving

Terminal servers verhuizen

Een ander voordeel van het draaien van terminal servers op virtuele machines, is dat je veel flexibeler wordt. Het verplaatsen van een terminal server naar een andere host, omdat de huidige host het wat drukker krijgt, is een kwestie van het virtuele systeem verplaatsen. Werk je met fysieke servers dan betekent het verplaatsen van een terminal server naar zwaardere hardware een flinke beheerinspanning, maar met virtuele machines wordt het kinderspel. Pas echt indrukwekkend wordt het als je VMware ESX Server als virtualisatieproduct kiest en dit inzet samen met de krachtige infrastructuurtoepassingen VirtualCenter en VMotion. Met VMotion kun je een actieve virtuele terminal server waarop honderden gelijktijdige Live verplaatsen van een terminal server met VMotion gebruikers gewoon

NOP0606_p44-45_Focus_TerminalSer45 45

aan het werk zijn, verplaatsen van de ene VMware ESX Server naar een andere VMware ESX Server. Dit functioneert in een oogopslag en zonder dat gebruikers er ook maar iets van merken, want alle sessies draaien gewoon door. Dit verplaatsen van live systemen stelt echter wel wat speciale eisen aan je infrastructuur. Hosts moeten bijvoorbeeld verbonden zijn met een afgezonderd gigabit-netwerk, dus los van het productienetwerk en het beheernetwerk. De schijfbestanden van de virtuele systemen moeten opgeslagen zijn op een SAN, dat direct benaderbaar is door de betrokken hosts en zo zijn er nog een tiental randvoorwaarden waar de omgeving aan moet voldoen. Stel, je hebt een viertal zwaar uitgevoerde fysieke servers voorzien van VMware ESX Server met VMotion. Op deze servers gebruik je in totaal 20 virtuele systemen die je over de vier fysieke server hebt verdeeld. Op enig moment blijkt dat een host het te zwaar krijgt of dat een individueel virtueel systeem tegen beperkingen aanloopt die u niet op een andere manier te corrigeren zijn. Je bent dan eenvoudig in staat met VMotion een virtueel systeem te verplaatsen en meerdere virtuele systemen van host te wisselen, tot je weer een optimale verdeling hebt van de virtuele systemen. Bij de Enterprise-editie van VMware ESX Server gebeurt het verplaatsen van virtuele systemen van de ene naar de andere server om de prestaties beter te verdelen tussen de fysieke machines of als er aankomende problemen met de hardware gedetecteerd worden zelfs geheel automatisch. Hiermee kun je de gebruikers een nagenoeg 24/7 operationele terminal serveromgeving aanbieden.

De toekomst is er bijna De dubbele virtualisatie van virtual machines en terminal servers vullen elkaar mooi aan. Het is nog geen echte clustering van terminal servers maar het komt toch wel heel aardig in de buurt wat betreft redundantie, dynamische workloadverdeling en hoge beschikbaarheid. In theorie zou deze technologie in de toekomst clustering mogelijk kunnen maken. Goedkope clustering wordt dit dan zeker niet. Y

45

10-08-2006 16:27:03

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Marketwatch Titel: Kan het wat sneller? Auteur: Marcel Beelen Pagina’s: 46 - 49

Kan het wat sneller? Technologieën voor applicatie-acceleratie Applicatie-acceleratie is een brede term voor het versnellen van applicaties door de implementatie van acceleratie-infrastructuur voor de servers in het datacenter of aan de randen van het WAN. In deze Marketwatch kijken we niet naar producten, maar naar de verschillende technologieën achter deze technologie.

M

et de inlijving van Netscaler stapt Citrix de markt voor applicatie-acceleratie binnen. Voor server-based computing-specialisten is dit een bijzondere stap, want de technologie heeft immers niets te maken met terminal servers. Server-based computing is een vakgebied voor systeembeheerders, terwijl applicatie-acceleratie meer thuis hoort bij netwerkbeheerders en deels zelfs applicatiebeheerders. Toch kunnen ook terminal serveromgevingen versneld worden, zoals het artikel over de Expand accelerator elders in deze NetOpus aantoont.

Bandbreedte snoepen Vanuit het datacenter worden applicaties aangeboden aan medewerkers. Denk aan een centrale intranet portal, e-mail of business-applicaties als SAP en Oracle. Protocollen als http(s), Lotus Notes, CIFS en MAPI worden gebruikt voor toegang op web-, Notes-, file- en Exchange-servers. Deze protocollen zijn geschreven voor high-speed LAN-based toegang, maar kosten zeer veel van de beschikbare bandbreedte over breedband internet of WAN-verbindingen. Door de afhandeling van deze protocollen te versnellen, is optimalisatie mogelijk, waardoor de responstijden worden verbeterd. Doordat je vaak geen invloed

46

NOP0606_p46-49_Marketwatch_KanHe46 46

hebt op het netwerk van de eindgebruiker wordt application acceleration voor de servers in het datacenter toegepast. Dit is ook de plek waar je Citrix Netscaler-apparatuur tegen komt. In een WAN is er wel controle over het netwerk van het remote office. Hier is het effectiever om protocoloptimalisatie toe te passen door aan twee zijden van het WAN acceleratie-appliances in te zetten. Maar wat is het doel hier nu van? Je doet dit om consolidatietrajecten mogelijk te maken. De trend bij veel organisaties is consolidatie van servers naar een centraal datacenter. Het datacenter kan in een eigen beheer zijn, maar is vaak een hosted service bij een dienstverlener. De diensten in het datacenter worden over het WAN aangeboden aan eindgebruikers. Hier ontstaan problemen rondom de beschikbare bandbreedte en responstijden van de applicatie. De oorzaak is te vinden in het toepassen van protocollen die niet geschikt zijn voor het WAN. Verplaats in gedachte een lokale fileserver met gigabit ethernet van de lokale serverruimte naar een centrale locatie achter een 2 Mbps IPVPN-lijn. Gebruikers zullen enorme wachttijden ervaren bij het openen en bewaren van bestanden en al snel vragen om deze wijziging terug te laten draaien. De inzet van WAN-gebaseerde application acceleration voorkomt problemen.

Webtoepassingen Webapplicaties worden complexer en bevatten meer objecten en dynamische data. De toename in het aantal objecten per webpagina heeft als gevolg dat het aantal tcp-sessies toeneemt en natuurlijk dat er meer data getransporteerd wordt over het netwerk. Steeds vaker is video en audio onderdeel van de communicatie. Bij webapplicatieversnelling spelen onder meer de volgende vijf technieken: SSL-versnelling, caching, connection multiplexing, compressie en load balancing. Het doel hiervan is een verbetering van responstijden van toepassingen (tot 70%), verlaging van cpu- en geheugenbelasting per server (tot 75%), halvering van het aantal servers en verlaging van de communicatiekosten.

SSL-versnelling SSL-acceleratie is het versnellen van https-verkeer door de cpu van de server te ontlasten van SSL-encryptie en -decryptie. SSL-verwerking kan zoveel cpu-resources claimen dat hierdoor zelfs de webapplicatie bevriest. Door de SSL-afhandeling te verplaatsen van de server-cpu naar een voorliggende appliance wordt de processor van de webserver ontlast en vertraging voorkomen. Al geruime tijd zijn er SSL-offload insteekkaarten beschikbaar met vergelijkbare functies. Met een offload kaart wordt de processing in de pcikaart gedaan, maar het serverbesturingssysteem en de hardware blijft wel belast met het afhandelen van interupts op de pci-kaart. SSL-offload naar een

10-08-2006 16:28:35

Kan het wat sneller • Marketwatch

dedicated appliance geeft meer winst. Veel fabrikanten stoppen daarom met de productie van deze kaarten.

Caching Caching van http-verkeer functioneert als een proxy/caching-server. In de meeste bedrijfsnetwerken worden deze op dit moment al gebruikt om de belasting van de internetverbinding te verminderen en voor het afschermen van interne IP-adressen. Met een caching appliance, geplaatst voor de web server, voorkom je dat een webserver dezelfde objecten blijft versturen en tcp-sessies moet afhandelen. Hiermee wordt de webserver ontlast en neemt de schaalbaarheid toe. Door caching appliances op verschillende locaties te plaatsen is verlaging van WAN-verkeer mogelijk.

Connection multiplexing Als er honderden werkplekken gelijktijdig dezelfde webportal raadplegen, wordt de afhandeling van tcp-verkeer een bottleneck. Het opbouwen van een pagina kost al snel 20 HTTP GET-requests en bijbehorende tcpsessies. Besturingssystemen hebben limieten op het aantal openstaande tcp-requests, de zogeheten connection queues. Als de connection queue vol is, kan geen nieuwe tcp-sessie opgezet worden. Hiermee is de server niet langer benaderbaar. Door de techniek connection multiplexing kun je het aantal tcp-sessies naar de webserver terugbrengen met een factor 100. De techniek maakt gebruik van een speciale optie in HTTP/1.1, waarmee meerdere

http-requests worden gecombineerd over een enkele tcp-sessie. Door de appliance alle tcp-sessies af te laten handelen realiseer je TCP-offloading (Schema 1).

Compressie Compressietechniek wordt ingezet om het aantal bytes te reduceren tussen client en server. Hierdoor zal een applicatie minder bandbreedte eisen en dit drukt de communicatiekosten. Moderne webbrowsers geven hun mogelijkheden aan de webserver door, waardoor deze compressie kan toepassen op het httpverkeer, mits de client dit ondersteunt. GZIP (Gnu ZIP), defl ate (Zlib) en compress zijn veelgebruikte compressiealgoritmes.

Load balancing Load balancing wordt ingezet voor het redundant maken van een dienst en voor het verbeteren van de schaalbaarheid. Redundancy geeft een hogere uptime en tegenwoordig moet dat al vaak 24/7 zijn. Actieve load balancing verruimt de totale capaciteit van bijvoorbeeld netwerkadapters, cpu’s en dergelijke en hiermee het aantal gelijktijdige gebruikers. Load balancing in combinatie met caching, connection multiplexing en compressie is een volledige front-end implementatie, zoals dit in de markt wordt genoemd.

WAN-optimalisatie Voor een succesvolle datacenterconsolidatie is WAN-optimalisatie een belangrijke technologie. Met gedistribueerde

Schema 1 TCP-offloading en connection multiplexing


serverconfiguraties is de responstijd per remote locatie optimaal. De server staat immers lokaal in het LAN. De meeste applicaties zijn ontwikkeld voor het LAN waar 100 Mbps of gigabit snelheden beschikbaar zijn en de latency laag is. Na een consolidatieslag staat de server centraal opgesteld in het corporate datacenter. Responstijden zijn niet meer vergelijkbaar, vooral door extra netwerk latency als gevolg van geografische spreiding en het ontbreken van de noodzakelijke bandbreedte. De klachten van remote sites zijn altijd hetzelfde: de responstijd is onvoldoende. De traditionele remedie is het verhogen van de bandbreedte, maar hiermee word de kostenreductie van het centrale datacenter grotendeels teniet gedaan. Een investering in applicatie-acceleratie als onderdeel van de business case voor consolidatie kan veel ergernis voorkomen. Nu is het natuurlijk wel zo dat in het begin een besparing optreedt, maar dat door allerlei nieuwe ontwikkelingen de vrijgekomen bandbreedte toch weer benut zal worden. Maar zelfs als de WAN-verbindingen maar voor 50% vol zijn, heeft het toevoegen van bandbreedte vaak niet het gewenste effect. Application-acceleration kan de oplossing zijn. Bij WAN-optimalisatie spelen globaal de volgende vijf technieken: caching (byte-gebaseerd, bestandgebaseerd en http-caching), connection multiplexing, compressie, QoS, CoS, traffic shaping, bandwidth management en tot slot dnsacceleratie.

Optimalisatie fileservices De consolidatie van fileservers heeft een grote impact op de responstijden die door de gebruikers ervaren worden. Naast de beperkte bandbreedte in het WAN spelen de gebruikte LANprotocollen als SMB (CIFS) hier een rol in. Het CIFS-protocol is niet geschikt voor het WAN vanwege de zogeheten chattiness, ofwel ping-ponggedrag. Een groot aantal tcp-sessies is noodzakelijk voor het afhandelen van een request voor bijvoorbeeld het ope- f

47

10-08-2006 16:28:54

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Marketwatch Titel: Kan het wat sneller? Auteur: Marcel Beelen Pagina’s: 46 - 49

Schema 2 Byte-gebaseerd cache proces

nen van een bestand op een gedeelde map. Er zijn twee optimalisatietechnieken om fileserverconsolidatie mogelijk te maken: byte-gebaseerde caching en bestandsgebaseerde caching. Beide technieken vereisen een appliance in het datacenter als in het remote kantoor. Met byte-gebaseerde caching appliances wordt een file-open request afgevangen dat door de client verzonden wordt. De CIFS-request wordt doorgestuurd naar de centrale WAFSserver en het bestand wordt vergrendeld op de fileserver om multi-user problemen te voorkomen. De WAFSserver in het datacenter controleert welke data reeds in het remote WAFSappliance aanwezig is en stuurt de ontbrekende data over het WAN. Op de remote appliance wordt de data opgebouwd met pointers naar data in de lokale cache. Het complete bestand wordt naar de client doorgestuurd. Na het wijzigen van het bestand wordt het weggeschreven naar de centrale WAFS-server. De WAFS-server overschrijft het masterbestand op de fileserver en geeft de vergrendeling vrij. Aan de client is geen aanpassing van UNC-paden noodzakelijk voor de implementatie. In Schema 2 is bytegebaseerde caching weergegeven. Het CIFS-request (1) gaat direct naar het datacenter (2), waar de WAFS-server het bestand van de fileserver haalt en

vergrendelt (3). De centrale appliance controleert het bestand op de remote appliance en stuurt de data die in het bestand ontbreekt (4) over. De remote appliance stuurt het volledige bestand naar de werkplek (5). Met bestandsgebaseerde caching is dit anders. De client UNC-paden moeten verwijzen naar een lokaal geplaatste file cache. Deze file cache is een replica van de centrale fileserver in het datacenter. Als een client een file request stuurt, wordt deze door de file cache afgehandeld. Het bestand wordt vergrendeld op de centrale server. Na het wijzigen van het bestand wordt deze lokaal weggeschreven en de cache synchroniseert de data naar de centrale server. In Schema 3 is bestandsgebaseerde caching weergegeven. De CIFS-transactie (1) wordt onderschept en een verzoek tot vergrendeling van het bestand (2) wordt naar de server (3) gestuurd. Als het bestand vergrendeld is, kan de client het bestand wijzigen (4). Na bewaren van het bestand worden alleen de wijzigingen (5) doorgeven. De server zal na saven de vergrendeling op het bestand verwijderen (6). Een byte-gebaseerde cache is efficiënter in de besparing van bandbreedte doordat alleen de wijzigen worden verstuurd. Denk bijvoorbeeld aan een document met daarin een plaatje. Als hetzelfde plaatje in een

tweede document geplaatst wordt hoeft de data niet opnieuw over het WAN getransporteerd te worden. Je bent wel volledig afhankelijk van de beschikbaarheid van het WAN. Bij file caching wordt een nieuw bestand met daarin een zelfde plaatje volledig gerepliceerd. Een nadeel van file caching is de afhankelijkheid van de WAN-verbinding tijdens de file-replicatie. Een verstoring in het WAN kan leiden tot het overschrijven van data, het niet repliceren van data en dus ook het verlies van data. In Tabel 1 zijn verschillen tussen bytegebaseerde en bestandgebaseerde technieken samengevat.

Evalueren Het goed testen van een WAN-accelerator is zinvol. Wat gebeurt er bijvoorbeeld als een object uit de file cache wordt gewijzigd en er getracht wordt het originele object op de master server bij te werken, terwijl het WAN niet beschikbaar is? En wat gaat er mis als je met meerdere medewerkers aan een bestand werkt, en het bestand is bewaard maar nog niet is gerepliceerd? En wat is de impact van een accelerator voor het systeem- en het netwerkbeheer? De serverbeheerlast wordt weliswaar minder door de consolidatie van fileservers, maar daarvoor in plaats komt wel in ieder remote kantoor een file cache appliance

Schema 3 Bestandsgebaseerd cache proces

48 NOP0606_p46-49_Marketwatch_KanHe48 48

10-08-2006 16:29:27

Kan het wat sneller • Marketwatch

terug, die weer beheerd moet worden door een netwerkbeheerder. De vraag is: kun je volstaan met één dubbele appliance, of is het toch slimmer er meer aan te schaffen? Bijvoorbeeld één voor http-caching, één voor CIFS-caching, enzovoort. Zal de cache nog steeds optimaal functioneren als je ergens een bestandsnaam besluit te veranderen?

IP-pakketten – niet alleen http – te comprimeren. Door een appliance te plaatsen in het datacenter en het remote offi ce is datacompressie op IPverkeer mogelijk. Je moet wel goed letten op de Maximum Transmission Unit (MTU) op de IP-laag, want dat kan in combinatie met fi rewalls nogal eens fout gaan.

Byte-based cache nee nee nee

File-based cache ja ja ja

Besparing door alleen verschillen tussen files over te zenden

ja

nee

Te combineren met DHCP, DNS, print services

nee

ja

Aanpassingen aan client File synchronisatie werkt ook bij uitval WAN

Webcaching Speciale http-caching appliances zijn al langer beschikbaar. Internet caching voorkomt het herhaaldelijk ophalen van hetzelfde bestand vanaf een webserver. De cache controleert of de meest recente versie lokaal aanwezig is en geeft deze aan de client door. Reducties van het netwerkverkeer van 50% zijn hierbij niet ongewoon. Hetzelfde mechanisme is ook te gebruiken tussen datacenter en remote office, door de clients via een http-caching server naar de servers in het datacenter te leiden. Ieder object dat reeds in cache zit, hoeft niet van de centrale server te komen, met reductie van bandbreedte tot gevolg. Httpcaching devices kun je ook gebruiken om streaming audio en video te verbeteren. Dit kan veelal met een softwareuitbreiding. Zonder versnelling heeft iedere client een streaming verbinding met de centrale streamingserver. Door de stream echter via de cache te laten lopen, is er maar één stream noodzakelijk tussen cache en server. De cache op locatie splitst de stream zodat alle clients deze ontvangen.

Compressie WAN-acceleratieproducten gebruiken een algoritme om de data in alle


Tabel 1 Verschillen byte- en bestandsgebaseerde caching

CoS, QoS en traffic-shaping De meeste WAN-netwerken zijn gebaseerd op IPVPN met daarin MPLS-techniek. Met MPLS wordt het zogenaamde TOS-veld gezet om de Class of Service (CoS) aan te geven. De Class of Service wordt door de klant in combinatie met de service provider besproken. Quality of Service zijn de mechanismen waarmee CoS wordt gegarandeerd. Met QoS en traffi c-shaping worden bandbreedtegaranties mogelijk voor optimale applicatieprestaties op het bestaande netwerk. Je kunt eenvoudig voorkomen dat bijvoorbeeld een CIFS-sessie de volledige bandbreedte gebruikt en daarmee het SAP-verkeer hindert. Daarnaast zit in de traffi c shaping-oplossingen een reportage functie, waarmee je inzicht krijgt in de verkeerstromen op het netwerk. Dit is te gebruiken voor trendanalyse en proactief beheer.

DNS-acceleratie Voordat een verbinding over het WAN gemaakt wordt, zal het Domain Naming System (DNS) gebruikt worden om de servernaam te vertalen in een IP-adres. Een DNS-appliance in het

Windows Server 2003 R2 In Windows Server 2003 R2 zijn enkele technieken beschikbaar als Remote Differential Compression (RDC) en het nieuwe Distributed File Replication System (DFRS). R2 heeft hiermee een aantal WAFS file caching-functies ingevuld. Merk op dat je voor Windows Server 2003 R2 een afzonderlijke licentie nodig hebt. In het Longhorn serverplatform (waarschijnlijk Windows Server 2007 of Windows Server 2008 genoemd) wordt een nieuwe versie van het protocol SMB verwacht voor het bestandssysteem. Met SMB2 probeert Microsoft een aantal basisproblemen op te lossen waardoor het protocol beter toepasbaar wordt in het WAN.

remote kantoor zal vertraging voorkomen. Als DNS-servers centraal in het datacenter staan opgesteld, gaat iedere DNS-look-up over het WAN. De DNS-cache slaat de DNS-resultaten op en nieuwe queries op dezelfde DNS-naam worden lokaal en dus zeer snel beantwoord.

Veel prijsklassen Accelerators krijgen steeds vaker een belangrijke rol bij grote maar ook bij kleine organisaties. Web-accelerators zoals die van Citrix Netscaler vinden hun plek in datacenters en vooral bij grote ondernemingen. Volgens Citrix bij onder meer Google, MSN en Amazon. Citrix gaat hiermee de concurrentie aan met F5, Cisco, Nortel en bijvoorbeeld Juniper. Web-accelerators zijn veelal dure apparaten die door extra webbeveiligingsfuncties en SSL VPN-functies al snel erg complex worden. WAN-accelerators/optimizers zijn er in alle prijsklassen, waardoor grote enterprises, maar ook kleine kantoren, ze kunnen inzetten zonder al te grote investeringen te hoeven doen. Expand (zie verderop in deze NetOpus), maar ook Packeteer of bijvoorbeeld Riverbed, leveren goede WAN-optimizers. Met de recente overname van Orbital Data Corp door Citrix stapt het bedrijf nu ook in markt van WAN-acceleratie. Y

49

10-08-2006 16:29:33

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Sun Ray Virtual Display Clients Auteur: Marcel Beelen Pagina’s: 50 - 53

Meer dan een thin client

Sun Ray Virtual Display Clients Sun is een erg dynamisch bedrijf met veel innovatieve producten. Sommige hebben geen lang leven. Wie herinnert zich nog de fantastische RoadRunner? Andere ideeën en producten gaan juist weer erg lang mee. Sun was bijvoorbeeld de eerste ter wereld die begin jaren ‘80 een schijfloze werkplek verkocht (de Sun 2/50) en een toen futuristische maar nu reële filosofie ‘The Network is The Computer’ als trademark registreerde. Een concept dat goed aansluit bij die filosofie en eigenlijk veel te weinig aandacht krijgt, is de Sun Ray-oplossing, opgebouwd uit Sun Ray thin clients en Sun Ray serversoftware.

I

n het eerste deel van dit tweeluik bespreken we de thin client van Sun. Om het onderscheid te kunnen maken tussen Sun’s thin clients en de thin clients uit de Microsoft terminal serverwereld, spreken we in dit artikel van een ultrathin client of een Sun Ray client als we het hebben over het apparaat van Sun en over thin client als we het hebben over een thin client die ingezet wordt om terminal server-sessies of Citrix Presentation Server-sessies te bedienen. In vervolg van deze bespreking in NetOpus 7 zullen we we de serverkant bekijken, want ultra-thin clients functioneren natuurlijk niet zonder een serverproduct. We gaan dan dieper in op de mogelijkheden en beperkingen van deze eigenwijze maar high-tech server-based computing-oplossing Afbeelding 1 Sun Ray 170

50 NOP0606_p50-53_Labreport_SunRayD50 50

van Sun. De testapparatuur voor dit Labreport is beschikbaar gesteld door Sun-partner Cards Engineering uit Best.

Ultra of ultra-thin Laten we eens beginnen met de overeenkomsten tussen Sun’s ultra-thin clients en terminal server thin clients te onderzoeken. Als eerste valt op dat het inzetgebied met de bijbehorende bedrijfs- en beheervoordelen identiek is. Beide varianten thin clients worden aangeprezen als een oplossing voor het eeuwige beheer- en onderhoudsprobleem van pc’s. Het zijn simpele kastjes die je neerzet en na een minimale configuratie direct in productie neemt. Het is een kwestie van minuten. De kans op defecte werkplekken is veel lager, omdat de hardware compacter en uitgekleed is, geen bewegende delen heeft en niet voorzien is van een harde schijf. Mocht er eentje toch stuk gaan, dan is het vervangen net zo simpel als het installeren van een nieuwe dunne

werkplek. Andere voordelen zijn dat dit type werkplek minder energie verbruikt, geen geluid produceert en dat er nooit upgrades uitgevoerd hoeven te worden. De levensduur van (ultra) thin clients is hierdoor aanmerkelijk langer dan die van pc’s. Ook in het gebruik zijn er overeenkomsten tussen de ultra-thin client en de terminal server thin client. Ze maken het roamen van werkplekken zeer eenvoudig mogelijk. Alle geopende toepassingen worden bij het verlaten van de ene werkplek zonder probleem in seconden overgenomen vanaf een andere werkplek en dit functioneert over het WAN net zo goed als over het LAN. De beveiligingsaspecten lijken eveneens veel op elkaar: er is geen lokale opslag van gegevens mogelijk en de kans op virussen op de werkplek is nihil. Tot zover lijkt het alsof Sun’s ultra-thin clients volledig uitwisselbaar zijn met thin clients en alsof Sun gewoon één van de meer dan vijftig thin client-fabrikanten is. Niets is echter minder waar, want de verschillen zijn enorm. Ultra-thin clients zijn niet inzetbaar als thin client in terminal serveromgeving, omdat ze zelf geen RDP- of ICA-protocol spreken met de server. De ultra-thin client is alleen bruikbaar in combinatie met Sun Ray serversoftware, die geïnstalleerd dient te worden op Solaris of Linux. Omdat de UNIX/Linux-omgeving van de Sun-software eenvoudig kan worden voorzien van een RDC- of ICA-clienttoepassing is de Sun Ray indirect wel degelijk inzetbaar voor Windows-toepassingen, maar daarover later meer.

10-08-2006 16:31:59

Sun Ray Virtual Display Clients • Labreport

Dunnere clients Een ander zeer relevant verschil is dat de thin client in de terminal serverwereld dik aan het worden is. De thin client is van oorsprong een uitgekleed systeem met een compact besturingssysteem – meestal geladen vanaf fl ashgeheugen - voorzien van minimaal een compacte RDC-clienttoepassing of een ICA-clienttoepassing. De laatste jaren worden thin clients alsmaar dikker, doordat er meer en meer ondersteuning voor lokale apparaten en adapters wordt toegevoegd. Logischerwijs wordt hierdoor ook het beheer van een dergelijke thin client aanmerkelijk ingewikkelder. Het is dan ook niet vreemd dat nagenoeg alle thin client fabrikanten een toepassing voor werkplekbeheer meeleveren (soms gratis, soms tegen betaling). Als je ook nog bedenkt dat prijzen variëren tussen 200 en 1000 euro, dat de grafi sche prestaties vaak minder zijn dan die van een goedkope pc die ook nog eens minder kost, dat de thin client, en beheersoftware soms complex kan zijn en dat de levensduur van minstens zeven jaren door allerlei omstandigheden zeker niet altijd gehaald wordt, dan besef je dat server-based computing met thin clients eigenlijk de verkeerde kant op gaat. Slechts enkele fabrikanten hebben binnen het productportfolio nog een ‘ware thin client’, zoals bijvoorbeeld Wyse.

Lange levensduur Bij de Sun Ray is dat anders. De oudste thin clients van acht jaar geleden zijn nog steeds bruikbaar zonder modificaties. Dit komt toch omdat er op de Sun Ray helemaal geen besturingssysteem aanwezig is, dus ook niet verborgen in flashgeheugen. Je hebt dus niets te maken met onderhoud van lokale stuurprogramma’s, lokale toepassingen of beheersoftware voor werkplekken. Sun Ray’s zijn ware thin clients zoals dat eigenlijk in een server-based concept hoort en de vele thin client fabrikanten zouden hier een voorbeeld aan kunnen nemen.

NOP0606_p50-53_Labreport_SunRayD51 51

De handleiding van de clients is dan ook maar twintig pagina’s dun en het grootste deel ervan is gevuld met het bedienen van de knopjes op het beeldscherm en de uitleg in welke sleuf je de smartcard dient te steken. De Sun Ray 1g (de opvolger van de Sun Ray 1) en de Sun Ray 170 (opvolger voor de Sun Ray 100 en 150) zijn gangbare modellen, waaraan in april twee nieuwe modellen zijn toegevoegd: de Sun Ray 2 en de Sun Ray 2FS. De Sun Ray 170 wordt opgevolgd door de Sun Ray 270. Sun heeft tevens de naam ultra-thin client verandert in ‘virtual display client’. Er is geen sprake van beheersoftware voor de clients. Alle clients zijn bekeken vanuit het beheer identiek, op het MAC-adres na. In de eerste versies van het concept van Sun (met dezelfde ultra-thin clients) was overigens nog niet de hele architectuur ‘thin’. Dat kwam doordat de client alleen naar behoren functioneerde als deze minimaal aangesloten was op een 100 MB netwerkaansluitpunt, waarbij dat ook nog eens een speciaal toegewezen subnetwerk zou moeten zijn dat bij voorkeur alleen door Sun Rays en de Sun Ray server gebruikt wordt. Dit is echter oud nieuws: de ultra-thin client met de laatste Sun Ray serversoftware en het Appliance Link Protocol (ALP), heeft volgens de specificaties slechts een verbinding nodig van gemiddeld 128 kbps. In de praktijk ligt dit echter eerder tussen de 300 kbps en 500 kbps. De Sun-oplossing is een gecombineerde server en thin client hardware oplossing. Er is geen alternatief dat toepassing op andere werkplekken dan de ultra-thin clients mogelijk maakt. Er is dus geen Sun Ray client-toepassing voor Linux, Windows, Pocket PC, Nokia Communicators en dergelij-

ke. Buiten de Sun Ray client heeft het concept geen gebruiksmogelijkheden, terwijl terminal server en Citrix Presentation Server juist erg leeft en populair is zónder thin clients. Aan de serverkant staan Microsoft en Citrix die samen een gigantische installed base van terminal server en Presentation Server vertegenwoordigen. Dat staat garant voor continuïteit. Sun Ray is een Sun-oplossing. Als Sun besluit te stoppen met dit concept is het afgelopen met uitbreiden van je mooie ultra-thin client omgeving. Dit ligt overigens zeker niet in de lijn der verwachting, want het concept bestaat al erg lang en er wordt nog steeds aan doorontwikkeld. De jongste modellen en de nieuwste software bewijzen dit.

Uit de doos De ultra-thin clients zijn extreem simpel. De Sun Ray 1g is een rechtopstaand kastje in een houder met een resolutie van 1920x1200 op 24-inch schermen. Dit model wordt ver- f

Afbeelding 2 Sun Ray 2FS

51 10-08-2006 16:32:07

Sun Ray Virtual Display Clients • Labreport

Afbeelding 3 Smart cards worden standaard ondersteund

vangen door de Sun Ray 2, met een maximale resolutie van 1600x1200 en door de Sun Ray 2FS met een resolutie van 1900x1200. Beide modellen zijn niet langer voorzien van een houder, maar kunnen los horizontaal en verticaal worden geplaatst. De al langer bestaande Sun Ray 170 is een model met een redelijk gewicht van meer dan 6 kilo waarbij de hardware is verwerkt in een 17” beeldscherm (1280x1024), dat wordt opgevolgd door de Sun Ray 270. Na inpluggen van de usb-muis en het usb-toetsenbord en het aansluiten van de spanningskabel start het apparaat meteen op. Je zoekt tevergeefs naar een aan/uit-knop, want het is de bedoeling dat deze clients permanent ingeschakeld blijven. De power-save mogelijkheden zorgen ervoor dat ze in slaapstand geraken en weinig energie verbruiken. Na het aansluiten op de spanning wordt na een korte opstarttijd het loginscherm getoond, mits je switches netjes zijn geconfigureerd. Op de website van Sun vind je enkele randvoorwaarden die noodzakelijk zijn om

15:27:31

NOP0606_p50-53_Labreport_SunRayD53 53

deze snelle opstart te realiseren. De ultra-thin clients zijn slechts voorzien van de hoogst nodige aansluitingen. Naast muis en toetsenbord, spanning, geluid, enkele usb-poorten en uiteraard een ISO-7816-1 smartcardreader is er niets aanwezig. Alleen de Sun Ray 2FS heeft een 100Base-FX optische aansluiting en een extra DVI-aansluiting voor een tweede beeldscherm. Overigens moet het apparaat dat je wilt aansluiten op de usb-poort wel ondersteund worden door de software, dus je keuze hierin is vrij beperkt. De clients ondersteunen geen draadloze netwerkadapters, dus als je ze toch draadloos wilt toepassen zul je een draadloze ethernet bridge moeten aanschaffen zoals de Linksys WET54G.

Draaien maar Op het moment dat de ultra-thin client een draaiende server vindt, wordt de benodigde minimale software gedownload naar de ultra-thin client en wordt er een sessie geopend met de server. Daarna kan er via het inlogscherm ingelogd worden. Sun Ray clients ondersteunen hot desking: het snel en eenvoudig kunnen omschakelen van de ene naar de andere ultra-thin client. Door simpelweg uit- en in te loggen of nog handiger, door je smartcard uit de ene in de andere client te stoppen. Het mooie van de oplossing van Sun is dat smartcards ook door Sun meegeleverd kunnen worden. Hierdoor ben je in staat een complete oplossing (server hardware, besturingssysteem, thin clients en smartcards) kopen bij één en dezelfde fabrikant en dat kan zijn voordelen hebben. In de terminal serverwereld is dat bijna onmogelijk, behalve als je een reseller vindt die deze combinatie van producten van verschillende fabrikanten in het

portfolio heeft. Hot desking werkt werkelijk subliem: je verwijdert de smartcard en binnen twee seconden staat het loginscherm weer op het beeldscherm. Op een andere werkplek stop je de smartcard in de sleuf, log je in en binnen drie seconden werk je weer verder in je eigen omgeving. Bij hot-desking wordt overigens niet de grootte van het bureaublad aangepast. ‘Hot-desk’ je naar een client met een lagere resolutie, dan blijft het bureaublad zijn oorspronkelijke grootte behouden en schuift over het beeldscherm.

Stroperig Net als bij de meeste thin clients hebben ook de Sun’s ultra-thin clients last van stroperigheid bij het gebruik van zwaardere applicaties. Als je vensters versleept of door lange documenten bladert, als je met graphics werkt of video bekijkt, dan merk je dat de grafische prestaties logischerwijs lager liggen dan die van een moderne pc. Om de clients te kunnen gebruiken is de Sun Ray serversoftware noodzakelijk. De functionaliteit van de clients wordt geheel bepaald door wat je op de server aanbiedt. De serverkant bespreken we in NetOpus 7. Y Product: Sun Ray 1g ( 290), Sun Ray 2 ( 240), Sun Ray 2FS ( 480) Sun Ray 170/270 ( 840); prijzen zijn exclusief serversoftware en smartcards Fabrikant: Sun Website: www.sun.com en www.cardse.nl + Beheertijd nihil, goede smartcard-ondersteuning, hot-desking - Slechts van één fabrikant te koop (namelijk Sun en enkele OEM’s) Informatie: Cards Engineering, 0499-371990 of [email protected]

53 10-08-2006 16:32:18

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Gevecht ten einde Auteur: Marcel Beelen Pagina’s: 54 - 59

Gevecht ten einde RES PowerFuse vs. AppSense Management Suite NetOpus bekeek in het server-based computing themanummer van juli 2002 RES PowerFuse en AppSense Performance Manager en Application Manager. Daar is sindsdien redelijk wat aan veranderd. Hoog tijd dus voor een update met alle veranderingen op een rij.

R

ES en AppSense hebben hun wortels in server-based computing. Hun producten PowerFuse en AppSense Management Suite worden op veel plaatsen in de wereld gebruikt om terminal server-omgevingen en Citrix-omgevingen beter te kunnen beheren en onder controle te houden. Beide bedrijven claimen bij duizenden organisaties ingezet te worden In dit themanummer plaatsen we AppSense Management Suite 6.2 en RES PowerFuse 2005 7.03 als beheeromgeving voor terminal servers globaal en gebroederlijk naast elkaar.

Noodzakelijke verbreding Real Enterprise Solutions Development B.V. (RES) is een Nederlands bedrijf, opgericht in 1998, dat met het innovatieve product PowerMenu - dat later PowerFuse is genoemd - naam heeft gemaakt in server-based computing-land. De ontwikkelingen van PowerFuse gingen een tijdje niet meer zo snel, maar nu is het volwassen en goed uitontwikkeld. Eind november vorig jaar is PowerFuse 2005 uitgekomen (versie 7.03). RES heeft zich de eerste jaren van het bestaan alleen gemanifesteerd als ontwikkelaar van software puur voor terminal server en Citrix Presentation Server. Later is geconstateerd dat PowerFuse ook handig is op gewone Windows-werkplekken. Op dit moment probeert RES zich daarom

54

NOP0606_p54-59_Labreport_RESvsAp54 54

te ontdoen van het terminal server/Citrix-imago. Als je de website bekijkt zie je dat RES zich nu helemaal richt op Windows-beheer (van terminal server en werkplekken) met twee producten, PowerFuse en Wisdom. Dat PowerFuse het bedrijf groot heeft gemaakt in combinatie met terminal server en Citrix vind je op de website niet meer terug. Je leest zelfs dat volgens RES de missie al in 1999 was “to manage and maintain Windows desktops”, terwijl dat toen toch niet echt het geval was. Oudere persberichten en andere informatie uit de pre-werkplekbeheertijd zijn van de website verwijderd. Maar goed, dit is allemaal begrijpelijke marketing en bedoeld om RES nieuwe stijl binnenkort opnieuw te positioneren. Het Engelse AppSense is opgericht in 1999 en kwam op de markt met het product AppSense om ongewenste toepassingen op terminal servers te kunnen tegenhouden. Aan het product zijn andere onderdelen toegevoegd (deels door overnames) en dit heeft geleid tot de AppSense Performance Suite en uiteindelijk de AppSense Management Suite, bestaande uit AppSense Application Manager, AppSense Environment Manager en AppSense Performance Manager. Ook dit product is goed uitontwikkeld en populair in server-based computing infrastructuren. Net als RES heeft AppSense de stap richting werkplek gemaakt, door de toevoeging van speciale versies voor de Win-

dows-werkplek: AppSense Application Manager Desktop Edition en AppSense Environment Manager Desktop Edition, samen onderdeel van AppSense Desktop Security. AppSense ontkent zijn serverbased computing verleden echter niet, en gebruikt dit zelfs als marketingmiddel om de producten naar de werkplek te brengen. De focus van AppSense ligt tegenwoordig duidelijk op beveiliging en de daarmee gepaard gaande verhoging van beschikbaarheid en betrouwbaarheid van de IT-infrastructuur. Op de website lezen we “AppSense is the leading provider of application-level end-point security solutions for the enterprise (…)”. De verbreding die RES en AppSense doormaken ligt in lijn met wat Citrix aan het doen is. Citrix heeft immers ook de fase van server-based computing afgesloten en het productaanbod en de filosofie verbreed tot applicatie-ontsluiter van terminal server-toepassingen, maar ook van lokale Windows- en webtoepassingen op werkplekken.

Overeenkomsten Op het eerste gezicht doen de producten hetzelfde. Ze zorgen voor het beheren van de omgeving op je terminal servers. Wat is dan die omgeving? Die bestaat uit de werkomgeving zoals de gebruiker die ervaart in de vorm beschikbare toepassingen, de beschikbare printers, drive mappings, persoonlijke instellingen, het regelen van toegang tot verwijderbare media (zoals usb-drives) of zaken die met profielen te maken hebben. Ook bezitten de producten functies om de toepassingen die de gebruiker ziet en mag gebrui-

10-08-2006 16:38:16

Gevecht ten einde • Labreport

singen gebruiken een data- de installatie moet je handmatig nog wat store voor het centraal be- groepsrechten instellen op de database waren van alle instellingen. bestanden om deze op een veilige maBij PowerFuse wordt altijd nier te kunnen gebruiken. Foxpro gebruikt, waarvan de bestanden op een fileserver AppSense of SAN horen te staan. Wil je De architectuur van AppSense Manageeen andere database, dan is ment Suite is een wat andere en misschien dat mogelijk, maar dient dit wat robuustere architectuur. Kleine orlater gemigreerd te worden ganisaties draaien standalone, waarbij naar SQL Server 2005, SQL alles op een enkele server geïnstalleerd Server 2004 Express Edition wordt. Je zult echter al snel kiezen voor of MySQL. Dat is een beetje het werken met een Deployment Server. onhandig, maar het verlaagt Elke toepassing gebruikt een Agent die op Afbeelding 1 wellicht wel de drempel bij de terminal servers moet draaien. Naast RES PowerFuse-instellingen voor het startmenu kleinere organisaties om Agents voor de drie toepassingen in de ken te controleren en de omgeving af te met het product te beginnen. De Manage- suite, zijn er enkele aanvullende Agents. schermen voor toepassingen waar ze ment Suite gebruikt altijd een mapstruc- Met de Deployment Management console geen rechten voor hebben. Door rappor- tuur met bestanden als datastore. Er is installeer en onderhoud je alle Agents op tagefuncties krijg je als beheerder inzage dus eigenlijk geen sprake van een echte alle terminal servers. Bovendien wordt in het gebruik van die toepassingen en of database. de Deployment Management console je hiermee aan de licentievoorwaarden Een relevant verschil tussen beide elke keer dat er instellingen aangepast voldoen. Beide producten hebben daar- oplossingen is dat de datastore voor worden gebruikt om gemaakte instellinnaast functies om ervoor te zorgen dat terminal servers in deze versie van gen uit te rollen naar de terminal servers. zowel het geheugengebruik als het pro- PowerFuse niet gedeeld wordt met die Overigens is het mogelijk de Agents ook cessorgebruik op een terminal server voor werkplekken en notebooks. Wil je op andere wijze te installeren, handmatig verbetert, waardoor je meer gelijktijdige een totaaloplossing voor terminal ser- of met behulp van een enterprise managegebruikers kunt toelaten op de servers. vers én werkplekken, dan moet je dus ment-oplossing, omdat elke Agent een Met elke nieuwe versie nemen de fabri- minimaal twee datastores inrichten. normaal Windows Installer-bestand is. In kanten weer functies van elkaar en an- PowerFuse ondersteunt ook notebooks de Management Console zijn de terminal dere concurrenten over, dus elke verge- als die ontkoppeld zijn van het netwerk, servers te groeperen en is het mogelijk lijking is slechts een beperkt houdbare doordat er zich een lokale cache van de per groep van systemen een andere mix momentopname. datastore op de notebook bevindt. Deze van producten of andere instellingen van Als de overeenkomsten zo groot zijn, offline database kun je tevens configu- die producten te configureren. AppSense waarom kiest het ene bedrijf dan voor reren op terminal servers, zodat die in ondersteunt daarnaast Proxy DeployAppSense en het andere voor RES? De principe ook kunnen doordraaien als de ment Servers. Dit zijn secundaire serverschillen komen pas boven water als datastore tijdelijk niet beschikbaar is. Op vers die ervoor kunnen zorgen dat het f je met de producten aan de slag gaat. elke terminal server dient De architectuur is totaal verschillend, de de Real Enterprise Service manier waarop de functies geïmplemen- te draaien, onder een acteerd zijn is anders en op detailniveau zijn count met voldoende (Ader veel unieke mogelijkheden in beide ministrator) rechten, die via pakketten. Verder spelen naamsbekend- poort 1942 communiceert heid, klantreferenties, niveau van onder- met de datastore. De censteuning, het partnernetwerk en derge- trale beheertool heet Real lijk een belangrijke rol bij deze selectie. Enterprise Manager. Deze is ook los te installeren op beArchitectuur heerderswerkplekken. Om Beide toepassingen zijn simpel te instal- persoonlijke instellingen leren, wizard-gedreven en vanuit een van gebruikers te bewaren, Windows Installer-bestand. PowerFuse is tevens een verplichte Afbeelding 2 heeft echter wat minder installatieopties driveletter nodig, die je kunt Read-only blanketing functies bij RES PowerFuse dan de Performance Suite. Beide toepas- kiezen bij de installatie. Na

55


10-08-2006 16:38:28


Afbeelding 3 Blokkeren van knoppen of menu’s met AppSense Environment Manager

AppSense-verkeer over WAN-verbindingen geminimaliseerd wordt. De Datastore moet op de primaire Deployment Server te liggen en de Proxy Deployment Servers bevatten een kopie (cache) van die datastore. In een operationele omgeving is er geen communicatie tussen de terminal servers en de Deployment servers, je datastore vormt wat dit betreft dus geen single point of failure. De communicatie vindt alleen plaats als er vanaf de Deployment server, bijvoorbeeld door een beheerder, instellingen worden aangepast. De Management Consoles communiceren met de Deployment Server over tcp-poort 60000. De Agents op de terminal servers communiceren op initiatief van de Deployment Server met deze server over tcp-poort 60001. Beide poortnummers zijn aan te passen indien gewenst.

Licensing Bij RES koop je eenmalig een terminal starterset (met 5 licenties) en voor elke extra gelijktijdige gebruiker een Concurrent User License (maximaal 160 euro per gebruiker). AppSense kiest echter voor een prijs per server. De Suite kost 3295 euro voor elke server waar je deze op installeert. Welk van beide oplossingen goedkoper is, ligt dus aan het aantal servers en het aantal gelijktijdige gebruikers op die servers. Een belangrijk verschil is dat PowerFuse één toepassing is waarin alle functies opgenomen zijn, terwijl AppSense de drie onderdelen ook los verkoopt. Heb

11:16:45


je alleen behoefte aan prestatiebeheer van processor en geheugen, dan koop je bij AppSense alleen de Performance Manager voor 1495 euro per server.

Veel te configureren De Appsense- en RES-software hebben zeer veel mogelijkheden. Globaal zou je kunnen zeggen dat beide pakketten drie functies hebben, namelijk voor het uitvoeren van een lockdown en beveiliging van de gebruikerswerkomgeving, het beheren en beveiligen van de toegang tot de toepassingen en voor het prestatiebeheer van de serveromgeving.

AppSense Suite De specifieke functies voor lockdown en beveiliging van de werkomgeving zitten bij AppSense verwerkt in de Environment Manager. De rode draad bij alle AppSense producten, is het werken met Rules. Die geven aan wat er met items op je terminal server mogelijk is. Deze rules kun je toekennen aan gebruikers of gebruikersgroepen, maar ook aan bijvoorbeeld systemen op basis van IP-adres of hostnaam. In Performance Manager worden zelf MAC-adressen ondersteund. Het is mogelijk zeer complexe sets van rules te bouwen, maar gelukkig helpt de Rules Analyzer je om de weg te vinden als het ingewikkeld wordt. Aan rules hang je Actions, die concreet acties uitvoeren. In Environment Manager regel je bijvoorbeeld op deze wijze printer mappings, drive mappings, snelkoppelingen op het bureaublad, omgevingsvariabelen of

ODBC-verbindingen. Verder kun je administratieve templates (ADM-bestanden) importeren. Naast self-healing processen, services en meer, kun acties definiëren die moeten plaatsvinden als een gebruiker in- of uitlogt of als de server uit- of ingeschakeld wordt. Met Registry Hiving kun je verplichte profielen toch roaming laten werken, doordat de dynamische gegevens apart worden bewaard en weer worden geladen bij het inloggen. Erg handig is de functie Application Lockdown. Hiermee kun je op eenvoudige wijze ieder menu-item, vensteronderdeel of knop binnen iedere willekeurige (32-bit) toepassing uitschakelen en verwijderen door simpelweg een item binnen een toepassing aan te wijzen. Met AppSense Application Manager regel je toegang tot alle executables, dll’s, ActiveX-componenten, screensavers, VBScript-bestanden, registerbestanden, Windows Installer-bestanden en batchbestanden op je terminal servers. Zo bescherm je de servers dus indirect ook tegen illegale toepassingen zoals virussen. Met de console van Application Manager ben je eenvoudig in staat rechten uit te delen tot toepassingen. Je geeft aan welke toepassing het betreft en voegt deze simpelweg toe aan het lijstje van toegestane toepassingen (Accessible Items). Ongewenste toepassingen voeg je eventueel in een ander lijstje toe (Prohibited Items). Per toepassing kun je diverse opties instellen, bijvoorbeeld hoe vaak mag deze toepassing worden gestart of op welke tijdstippen van de dag mag deze gebruikt worden. Ongeautoriseerde toegang tot toepassingen wordt netjes gemeld met een zelf te maken boodschap. Op dezelfde eenvoudige wijze ben je in staat om toegang tot alle bestanden, mappen en vaste en verwijderbare stationsnamen te regelen voor individuele gebruikers, voor groepen en voor werkplekken op basis van IP-adres of hostnaam. Als je wilt kun je exact aangeven welke programma’s gebruikt mogen worden, waarmee je iedere poging om een afwijkend programma te starten voorkomt, of het nu van het internet gedownload wordt of het een eigen gemaakt Visual Basic script f

57

10-08-2006 16:38:47

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Gevecht ten einde Auteur: Marcel Beelen Pagina’s: 54 - 59

betreft Ook achterdeuren in toepassingen die toegang verschaffen tot ongeoorloofde programma’s of mappen op de terminal server worden gesloten. Door signatures op toepassingen te zetten, weet je zeker dat je altijd de goede executable start. De AppSense software nestelt zich wat dieper in het besturingssysteem dan de software van RES. De derde module, AppSense Performance Manager, biedt zeer uitgebreide mogelijkheden om het processor- en geheugenbeheer te controleren en bijsturen en is bovendien ook nog eens in staat bandbreedtebeheer te regelen voor toepassingen en gebruikers. We gaan hier niet specifiek op in, maar deze functies zijn veel uitgebreider dan die van RES PowerFuse.

RES PowerFuse RES verslaat concurrent AppSense als het gaat om met een zeer groot aantal mogelijke instellingen en functies voor de Windows-werkomgeving. Waar je normaal gesproken aan de slag moet met Group Policy, profielen en scripts, kun je bij PowerFuse alle configuraties maken met tabbladen, knoppen en aankruisvakken. Met PowerFuse configureer je zaken als drive mappings, printer mappings (inclusief een fallback default printer), omgevingsvariabelen, ODBC- en MAPIinstellingen onder PowerLaunch. Misschien is dit wel het meest vergelijkbaar met AppSense Environment Manager. Maar ook het uiterlijk van het bureaublad en het startmenu zijn eenvoudig te configureren, inclusief wie de toepassingen

Afbeelding 4 Toevoegen toepassingen voor een werkplek met AppSense Application Manager

mag gebruiken. Je kent toepassingen toe aan gebruikers, groepen of bijvoorbeeld Organizational Units. Je kunt ook je eigen PowerZones aanmaken, waarbij je een eigen criterium definieert, bijvoorbeeld op basis van IP-adresbereik of hardwarespecificatie van de client. Tot slot stel je per toepassing het gedrag en eventuele beperkingen in, bijvoorbeeld op welke tijdstippen de toepassingen niet gebruikt mogen worden. Handig zijn de uitgebreide licentie-instellingen voor de geconfigureerde toepassingen. Minstens zo handig zal voor veel organisaties de mogelijkheid zijn om applicatiebeheer te delegeren naar verantwoordelijke medewerkers. Deze applicatiemanagers mogen toepassingen toekennen en uitschakelen met het hulpprogramma Real Access Manager, voor de aan hen toegekende groep en eventueel meldingen uitsturen. We zien dat PowerFuse sterk gericht is op de gebruiker en minder op het onderliggende systeem zelf. Dat zie je ook terug in de tools die een gebruiker ter beschikking krijgt. Zo is er PowerPanel voor het aanpassen van (minimale en toegestane) instellingen en Power-

Afbeelding 5 Bandbreedte regelen met AppSense Performance Manager

58 NOP0606_p54-59_Labreport_RESvsAp58 58

Print om default printers te selecteren. Verder verschijnen er hulpteksten op het bureaublad waar dat relevant is.

Rapportages Met PowerFuse kun je gemakkelijk rapportages maken van alle instellingen (Instant Reports genoemd) of de instellingen exporteren in de vorm van building blocks. Dit zijn XLM-bestanden met alle of geselecteerde settings van PowerFuse. Dit is handig als documentatie, maar ook als eenvoudige back-up of om instellingen over te zetten naar een andere PowerFuse-omgeving. Je bent in staat heel snel te schakelen tussen server-based computing naar gemengde omgevingen met fat clients. In combinatie met de RES Subscriber kun je lokale toepassingen die op een pc geïnstalleerd zijn transparant verwerken in de PowerFuse-omgeving. Op deze wijze kun je pc’s gebruiken als thin client, en alle voor terminal server geschikte toepassingen aanbieden op de terminal server, en de overige lokaal. Op de pc moet de RES Subscriber als service geïnstalleerd en actief zijn. De pc moet uiteraard zelf wel beheerd worden en ook de aan te bieden toepassingen moeten geïnstalleerd en onderhouden worden op de pc zelf. De cpu- en geheugenmanagementfuncties van PowerFuse zijn geïntegreerd in het product en hebben hetzelfde doel dan die van AppSense en Citrix Presentation Server 4: het optimaler omgaan met deze belangrijke systeemresources. Andere performance-gerelateerde functies in PowerFuse zijn bijvoorbeeld Access Balancing en Instant Logoff. Met Access Balancing wordt ingesteld hoeveel gebruikers er tegelijk mogen inloggen.

10-08-2006 16:38:59


De strijd voorbij

Afbeelding 6 Functie Instant Logoff van PowerFuse

Dit heeft niets te maken met hoeveel gebruikers er kunnen werken op terminal services, maar het beperkt de gelijktijdige inlogprocessen tot een vast te leggen aantal om performanceproblemen te voorkomen. Denk bijvoorbeeld aan het begin van de dag als er een groot aantal gebruikers inlogt. Instant Logoff is toegevoegd in de laatste versie van PowerFuse. Dit zorgt ervoor dat een gebruiker visueel in een fractie van een seconde uitlogt van de terminal server. In werkelijkheid wordt de sessie ontkoppeld en daarna op de server uitgelogd, maar de gebruiker merkt daar niets van. RES legt niet specifiek de nadruk op security, zoals AppSense dat doet, maar dat wil niet zeggen dat er zich geen beveiligingszaken in het product bevinden. Eén van die mogelijkheden binnen de laatste versie van PowerFuse heet Read-only Blanketing. Hiermee schakel je de terminal server in read-only mode, waardoor er door niets of niemand aanpassingen kunnen worden gemaakt op de schijven van de server. Uiteraard is dit te configureren met een slimme ‘learning mode’, die je eerst kunt bekijken.

Verschillende niveaus Het mag duidelijk zijn dat zowel met PowerFuse als met de AppSense Management Suite een goed afgeschermde, gecontroleerde en beheerde omgeving ontstaat op terminal servers met en zonder Citrix Presentation Server. Voor veel bedrijven die goed georganiseerd en gestandaardiseerd willen zijn, gebruik willen maken


van server-based computing om een bureaublad aan te bieden en om lokale en centrale omgevingen te mengen, is PowerFuse het ultieme product. PowerFuse heeft erg veel handige en vaak onmisbare mogelijkheden en er is bovendien een Nederlandse versie beschikbaar. De gebruikers zullen waarschijnlijk wel even moeten wennen als ze de PowerFuseenabled desktop voor het eerst gebruiken. RES PowerFuse is met de vele knoppen en tabbladen niet zo eenvoudig te doorgronden en de invoering ervan vereist flink wat experimenteren met de vele opties. Dit komt mede doordat de handleiding slechts 150 pagina’s telt en niet verder komt dan het opsommen van alle menu’s en een deel van de opties. Daarnaast ontbreekt hier een Deployment Guide. Bij de AppSense Management Suite ligt de focus meer op het voorkomen van problemen, door omgevingen te locken, ongewenste programma’s te voorkomen en minder op het onderhoud van de desktopinstellingen en gebruikersinstellingen zelf. In functies als pure beveiligings- en applicatiemanagement en performancebeheer is het product dan ook beter. Je zou kunnen zeggen AppSense beweegt zich op systeemniveau waaraan gebruikersfuncties zijn toegevoegd, terwijl RES zich eerder manifesteert op gebruikersniveau waar systeemfuncties aan zijn toegevoegd. De consistente opzet van de menu’s in alle onderdelen, zorgt ervoor dat je heel snel aan de slag kunt. De handleidingen zijn goed en er is daarnaast ook een heldere online help aanwezig.

We bekeken in dit artikel slechts enkele van de vele mogelijkheden van de producten en doen ze daarmee eigenlijk tekort. Wil je zelf wat ervaring opbouwen: beide fabrikanten bieden gratis evaluatieversies aan. De tijd is echter rijp om bij de selectie niet alleen maar te kijken naar het product op terminal servers, maar om het daarnaast ook in een groter bedrijfskader te plaatsen. Als je een product kiest, is de kans namelijk groot dat je dit uitbreidt. Bij RES is dat met Wisdom voor het onderhoud van Windows zelf (ook op terminal server) en bij AppSense is dat met de desktopproducten voor het bouwen van een end-point security oplossing. Hiermee groeien RES en AppSense zover uit elkaar dat er geen sprake meer is van daadwerkelijk concurrentie. Y Product: PowerFuse 7.03cf Fabrikant: Real Enterprise Solutions BV (RES) Website: www.respowerfuse.com Prijs: 160 per gelijktijdige gebruiker, inclusief het eerste jaar onderhoud + Veel krachtige beheermogelijkheden; goede integratie mogelijk met fat client werkplekken; extra Windowsbeheeropties door Wisdom - Documentatie (ook online) nog steeds matig Product: AppSense Management Suite 6.2.76.0 Fabrikant: Appsense Technologies Website: www.appsense.com Prijs: 3295 euro per server ( 1495 per server voor losse modules) + Nette architectuur; eenvoudig in gebruik; krachtige workload management; goede documentatie en contextgevoelige online help - Mogelijkheden voor beheer bureaubladen gebruikersomgeving

59 10-08-2006 16:39:09

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Citrix Netscaler Application Firewall Auteur: Marcel Beelen Pagina’s: 60 - 63

Uitstekende webbeveiliging Citrix Netscaler Application Firewall Met de overname van Teros, wordt de Netscaler-divisie van Citrix uitgebreid. De webversnellende appliances van Netscaler worden daardoor aangevuld met de webapplicatie firewalls (voorheen Fireline) van Teros. De eersten zijn de Application Firewall Standard Edition en Enterprise Edition. NetOpus bekeek één van de eerste modellen in Nederland, nog in de Terosverpakking, met Teros-handleidingen en Teros-branded software.

W

eb application firewalls zijn bijzonder vernuftige en geavanceerde apparaten, omdat ze in staat zijn op een veel hoger niveau dan een firewall (op applicatieniveau) je infrastructuur te beschermen. Een beetje verwarrend is dat ze functies bieden als compressie en SSL-versnelling die je ook terugvindt in de vele webversnellende appliances die te koop zijn. Daarnaast kunnen ze veilige bedrijfstoegang bieden in de vorm van een SSL VPN. Het ligt in de verwachting dat webfuncties als SSL-versnelling, versleuteling, compressie en applicatiebescherming en SSL VPN samen zullen gaan in complete web appliances. Deze trend is door verschillende fabrikanten al ingezet en zelfs deels al gerealiseerd.

men. Dat komt niet door het besturingssysteem of de hardware van de application firewall, maar door het onderwerp ‘web application firewall’, dat een heel stuk complexer is dan SSL VPN’s. Het initieel configureren van de Application Firewall is een kwestie van het apparaat van spanning voorzien en met de bijgeleverde seriële kabel aan een pc te koppelen. Na een paar minuten zie je de loginprompt van het apparaat. Na inloggen als ‘admin’ krijg je een opdrachtregelgestuurde bediening aangeboden, een eigen afgeschermde shell met specifieke APS- en een aantal FreeBSDcommando’s. Je hoeft echter niet al de vele aanwezige opdrachten en opties te gebruiken of te kennen. Het quick start A4’tje legt uit wat je moet doen en verwijst enkele malen naar de uitgebreidere handleidingen voor het geval je het niet begrijpt. Op de opdrachtregel voer je de basis netwerkgegevens in voor beheer, LAN en WAN: set _ con-

Linux naar FreeBSD

draait op een ‘hardened’ Linux. Dit is echter einde oefening: uiteindelijk moet de Web Application Firewall hardware vervangen worden door de hardware die ook door de andere Netscaler-appliances gebruikt wordt. Ook zal de Application Protection System software (APS) van Linux zal vertaald worden naar de FreeBSD-variant die door Netscaler gebruikt wordt. Naast de dedicated Application Firewalls, die volgens Citrix ook na de migratie naar FreeBSD zeker ook als losstaand product blijven bestaan, wordt komend jaar de software als optie aangeboden op de bestaande Netscaler-apparaten om de functionaliteit uit te breiden. Op dat moment zal bovendien de Web Application Firewall te beheren zijn met de beheeroplossing van de Netscaler-apparaten, genaamd Command Center.

Als gevolg van overnames van Net6, Netscaler en Teros door Citrix zal in ieder geval alle nieuwe Teros-apparatuur van het Linux besturingssysteem over worden gezet naar FreeBSD. Al was het maar omdat het onderhouden van drie besturingssystemen en hardwareplatformen veel te kostbaar is. De Web Application Firewall is gebaseerd op de hardware van Teros en

Geavanceerd en eenvoudig

trol _ parameters –i= -n= -g= -h= en set _ lan _ parameters –i= -n= enzovoort. Je bewaart de instellingen met set _ config _ save en de

De (Teros/Citrix) Application Firewall appliance, nu nog draaiend op een speciale beveiligde Linux-versie, is relatief eenvoudig te installeren en te beheren. Relatief, omdat het in geen vergelijking staat tot de Access Gateway (zie NetOpus 5, 2005 ), die echt zeer eenvoudig is om in te richten en in gebruik te ne-

fundering is gelegd. Nu sluit je de LANkabel aan op de control interface van het apparaat en vervolgens zijn alle andere taken met de webinterface van het apparaat uit te voeren via het netwerk. Met Internet Explorer open je vervolgens de URL van het apparaat met https:///admin/start en

60

NOP0606_p60-63_Labreport_CitrixN60 60

10-08-2006 16:44:16

Citrix Netscaler Application Firewall • Labreport

UTP-kabel op het WAN (achter de firewall). Een derde UTP-aansluiting gemarkeerd als Control is afzonderlijk te configureren op een apart netwerk dat je voor beheerdoeleinden kunt gebruiken. Deze implementatie vormt de ‘Basic’ configuratie. In de praktijk zien we echter dat meerdere appliances, al dan niet redundant en gecombineerd met load balancers, ingezet worden Afbeelding 1 om verschillende webserHome page van de webgebaseerde APS Management Console vers en websites met een diversiteit aan toepassinlog je in met de loginnaam en het wacht- gen te beveiligen. Dat geldt niet alleen woord van de webbeheeromgeving (dat voor internetgebruikers, maar ook voor is een andere account). Er opent zich klanten of medewerkers die bijvooreen apart venster met een heldere en beeld een VPN gebruiken. Hierbij is de erg sjiek ontworpen grafische inter- beste keuze een APS-cluster van twee face, waarmee je de meest voorname of meer appliances, waarbij een aparte handelingen kunt uitvoeren binnen de Load Balancer zorgt voor de daadwerAPS-toepassing (Afbeelding 1). De gra- kelijke redundantie. Deze opstelling fische management interface is erg ple- biedt de beste prestaties en de hoogste zierig om mee te werken, bevat online beschikbaarheid. Als alternatief biedt hulp, contextgevoelige pop-ups en de Citrix een VRRP-cluster (Virtual Roucomplete documentatie in pdf-formaat. ter Redundancy Protocol, beschreven De eerste handeling in de management in RFC 3768). Hierbij ben je weliswaar interface is meestal het importeren van beperkt tot twee appliances, maar is het licentiebestand. Ons testsysteem geen aparte load balancer noodzakelijk. draait APS versie 5.3, al voorzien van In al deze scenario’s fungeert de applilicenties. ance als proxy. Een laatste optie, die alleen in bijzondere gevallen en op adPlaats voor de appliance vies van Citrix wordt aangeraden, is de De Application Firewall bevindt zich bridge-opstelling. Hierbij functioneren tussen je webservers en de gebruikers de appliances als layer-3 netwerkcomervan, en onderzoekt en filtert al het ponenten en hoeven er geen IP-adresverkeer tussen servers en gebruikers. Een typische locatie van het apparaat is achter de firewall die je organisatie koppelt aan het internet en vóór de webservers die van buiten af worden Schema 1 benaderd (Schema 1). De meest eenTypische locatie van de voudige opzet is één appliance die een Application enkele webtoepassing beschermt voor Firewall binnen gebruikers binnenkomend via internet. je netwerk Het apparaat wordt dan met één UTPkabel aangesloten op het LAN (vaak meteen de switch), waar de webservers op aangesloten zijn en met een tweede


sen en DNS-instellingen aangepast te worden. Tijdens de initiële configuratie binnen de web management interface kies je voor een proxy, ofwel voor een bridge. Daarna configureer je een APS- of VRRP-cluster of de typische bridge-instellingen als je meer dan één appliance wilt gaan gebruiken. Een andere instelling die je maakt voordat je daadwerkelijk begint, is het omschakelen naar de ‘Bypass’ mode door dit aan te vinken. Als je dat gedaan hebt, zal de appliance geen webverkeer filteren en kun je zonder veel problemen het systeem verder configureren.

Wat kun je ermee? Het installeren en in gebruik nemen van de appliance is redelijk eenvoudig, maar er rest ons natuurlijk nog een relevante vraag: wat doet het apparaat nu eigenlijk? De Application Firewall filtert HTTPen HTTPS-verkeer. Ander verkeer wordt standaard niet doorgelaten en daarom kun je bijvoorbeeld FTP-verkeer of communicatie met je mailservers (ongefilterd) door de appliance laten doorsturen (door port forwarding te configureren). In principe kun je alle TCP- en UDP-protocollen hiermee doorsturen, behalve ICMP (dus een ping wordt nooit doorgelaten). Het filteren van http(s)-verkeer bestaat eruit dat al het verkeer van en naar webservers wordt geanalyseerd en niet-standaard of verdacht gedrag van browsers of website wordt geblokkeerd. Dit wordt het Positive Security Model genoemd, waarbij dus ‘echte’ en ‘brave’ gebruikers niet geblokkeerd worden. Het grote voordeel van de technologie f

61 10-08-2006 16:44:37

Citrix Netscaler Application Firewall • Labreport

is ook dat je bijvoorbeeld niet wekelijks definitiebestanden en dergelijke moet bijwerken. De appliance kijkt naar de inhoud van het verkeer en daarom moeten alle versleutelde https-datastreams ontsleuteld worden vóór de analyse en weer versleuteld worden ná de analyse, en vervolgens worden doorgestuurd. De Application Firewall moet je onder meer beschermen tegen de 16 meest voorkomende beveiligingslekken en aanvallen die webservers teisteren zoals buffer overflows, het manipuleren van formulieren en verborgen invulvelden, het ongeoorloofd modificeren van cookies of sessies of het aanwezig zijn van achterdeuren of openstaande debugging-mogelijkheden. Om een voorbeeld te geven: bij slecht gemaakte websites is het mogelijk om in een invulveld op een webpagina te experimenteren met nietstandaard invoer. Zo zou je op een plek waar een bankrekeningnummer moet worden ingevuld, kunnen proberen met vreemde karakters of SQL-opdrachten het systeem lam te leggen of gegevens uit de back-office omgeving te halen. Als je meer wilt weten over al deze mogelijke aanvallen en problemen, kijk dan eens op www.owasp.org. Dit is echt een taak voor applicatiebeheerders

Testen en evalueren De complexiteit van application firewall zit in het feit dat je al deze beschermingsmogelijkheden van websites moeilijk even snel in de praktijk kunt testen. Om een dergelijke oplossing in gebruik te nemen is een pilot vooraf noodzakelijk. Hierbij moet je de echte omgeving zo goed mogelijk nabouwen, inclusief firewall, load balancer(s), webtoepassingen en benodigde back-office systemen en de Application Firewall(s) in de gedefinieerde architectuur. Als je deze testomgeving niet kunt bouwen, zul je op de één of andere manier moeten meeliften met de productieomgeving. Een bijkomstige bijzonderheid is dat de applicatiebeheerders of ontwikkelaars van de websites betrokken moeten worden bij de pilot en het in productie nemen van het nieuwe systeem, omdat webtoepassingen veelal


niet het expertisegebied vormen van systeem- of netwerkbeheerders. Je moet namelijk weten of de webtoepassingen gebruik maken van cookies, of ze webformulieren bevatten, SSL-gebruiken, Javascript ondersteunen en of ze als front-end draaien voor SQL-gebaseerde databases. Verder moet je de paden (url’s) naar specifieke toepassingen kennen, de SSL-certificaten van de websites, evenals bijvoorbeeld de virtuele IPadressen van multi-host webservers en de gebruikte http/https-poorten, als die niet standaard zijn. In de web management interface voeg je webtoepassingen toe aan de hand van de zojuist genoemde gegevens. Je kunt hier kiezen uit drie soorten toepassingen: html-gebaseerde webtoepassingen, web services-toepassingen (XML-gebaseerd) of Microsoft Exchange 2000/2003 OWAtoepassingen. Daarna maak je de basis beveiligingsinstellingen als een Deny URL List om specifieke pagina’s of mappen af te schermen. Server Masquerading gebruik je om het webadres te verbergen en Stop-andGo woorden om pagina’s te verbergen die een bepaald woord wel of niet bevatten. Door nu per toepassing een paar dagen de leermode in te schakelen, zal de appliance niets blokkeren, maar zelf filterregels samenstellen aan de hand van het voorbijkomende verkeer. In een wat later stadium kan de applicatiebeheerder vervolgens deze filters bekijken en deze eventueel aanpassen als blijkt dat er toch geldig verkeer wordt geblokkeerd. Vervolgens kan hij de leermode weer uitschakelen en het blokkeren inschakelen. Geavanceerde beveiligingsmogelijkheden worden beschreven in afzonderlijke handleidingen voor applicatiebeheerders, de APS Application Administration Guide en de APS Web Services Administration Guide. Denk hier aan mogelijkheden om SQL-databases (SAFE SQL) extra af te schermen, om Javascript te beveiligen (SAFE XSS) en om bijvoorbeeld creditcardnummers of SOFI-nummers te beveiligen. Dat laatste gebeurt respectievelijk met SAFE Commerce en SAFE Identity.

Vernuftig apparaat De Application Firewall is een vernuftig apparaat dat als aanvulling gepositioneerd wordt op de firewalls en intrusion detection systemen bij organisaties. Elke optie voor extra beveiliging komt echter altijd met een prijskaartje in de vorm van aanvullende beheerwerkzaamheden. Afhankelijk van je organisatie, zullen nieuwe websites, nieuwe webtoepassingen, maar ook aanpassingen van bestaande webtoepassingen, kleine tot grote gevolgen hebben voor de configuratie van je appliance. Zo kan een nieuwe versie van bijvoorbeeld een Javascript-gebaseerde website betekenen dat de appliance opnieuw een tijdje in de leermodus moet draaien en daarna opnieuw de applicatiebeheerder deze moet finetunen. De appliance is goed gedocumenteerd. Een plannings- en installatiehandleiding van 264 pagina’s helpt je met een pilot en het in productie nemen van de apparatuur. De Site Administration manual bestaat uit 350 pagina’s, exclusief bijlagen, en beschrijft de werking van de mogelijkheden en tevens alle commando’s die op de opdrachtregel toegestaan zijn. De Citrix Netscaler Application Firewall is zeker niet goedkoop. De directe en indirecte kosten en de schade die je organisatie kan oplopen als klantenbestanden, creditcardnummers, patiëntgegevens of concurrentinformatie op straat komen te liggen is echter veel hoger. Je moet de kosten voor de appliance dan ook zien als een noodzakelijke investering en verzekeringspremie. Y Product: Netscaler Application Firewall Enterprise Edition Fabrikant: Citrix Website: www.citrix.com Prijs: Standard Edition: $20.000 Enterprise Edition: $30.000 + Mooie en eenvoudige beheertool, opdrachtregel mogelijk; uitstekende documentatie; makkelijke implementatie - Prijs; applicatiebouwers noodzakelijk binnen organisatie

63 10-08-2006 16:45:17

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Citrix Access Essentials Auteur: Marcel Beelen Pagina’s: 64 - 67

Nieuwe terminals voor het mkb Citrix Access Essentials Citrix bracht vorig jaar het langverwachte Citrix Access Essentials 1.0 uit, dat in februari wordt opgevolgd door versie 1.5. Dit is een nieuwe telg in de familie van Presentation Servers, speciaal bedoeld voor het mkb, waarmee centrale toepassingen op het Windows-platform gepubliceerd kunnen naar gebruikers via het Citrix ICA-protocol. Citrix maakt hiermee duidelijk dat het bedrijf zich niet meer vooral richt op de grote enterprises.

Serverbatterij

veelvuldig met partners samengewerkt voor zowel de inrichting en het onderhoud als het dagelijkse operationele beheer. Al die complexiteit zorgt ervoor dat het mkb nog nauwelijks gebruik maakt van Citrix Presentation Server. De instapdrempel en het benodigde kennisniveau zijn simpelweg te hoog voor veel kleinere organisaties. Citrix Access Essentials moet hier dus verandering in brengen. Het vereenvoudigt vooral de installatie, grotendeels het gebruik, en daarnaast nog een aanzienlijk deel van het dagelijkse beheer.

Dat vervolgontwikkelingen bij Citrix gedreven zijn door de gebruikers van het eerste uur is helemaal niet vreemd. De Presentation Server-producten hebben sinds MetaFrame XP schaalbaarheidsuitbreidingen gehad, die vooral voor grote netwerken noodzakelijk waren en waar grote klanten ook om vroegen. Het grote nadeel hiervan is echter dat de complexiteit van de producten erdoor enorm is toegenomen. Voor een goede implementatie moet er immers een architectuur gebouwd worden die past bij de organisatie, die rekening houdt met LAN- en WAN-beperkingen en die integreert met directory servers, systemen voor authenticatie, fileservers, enzovoorts. Daarnaast is een hele batterij servers nodig voor de IMA-store, Web Interface, Secure Gateway en de farm met terminal servers zelf. Serverbased computing is een vak geworden waar speciaal opgeleide medewerkers voor nodig zijn. Bovendien wordt ook

Als voorbereiding voor de installatie van Access Essentials kun je het beste een Windows Server 2003 standaard maar kaal inrichten, zonder Internet Information Server, zonder Terminal Services en vooral zónder gebruikerstoepassingen. Maak de server lid van je Active Directory-domein als dat aanwezig is. Stop vervolgens de cd-rom in de speler, waarna de installatie vanzelf start in de vorm van een Wizard. Deze Wizard stelt je slechts enkele vragen. Na het lezen van de lange licentievoorwaarden moet je besluiten of je wel of geen Shadowing wilt inschakelen. Dit is achteraf niet meer te veranderen in verband met de privacy en overheidsregelgeving in sommige landen. Vervolgens wordt een groot aantal onderdelen en componenten geïnstalleerd, waarbij indien nodig gevraagd wordt het cd-schijfje te wisselen met

kers bij grotere organisaties het concept voldoende begrepen om het op waarde te kunnen schatten en het te implementeren. Wellicht komt daar nu verandering in.

H

et is best heel begrijpelijk dat Citrix liever 1.000 licenties aan één grote klant verkoopt, dan 10 licenties aan 100 kleine klanten. Dat kost immers veel minder moeite. Maar heeft Citrix het mkb de afgelopen jaren ook daadwerkelijk genegeerd als potentiële klant? Waarschijnlijk is dit niet bewust het geval geweest. De oude relatief eenvoudige producten WinFrame, MetaFrame 1.0 en 1.8 zijn wat betreft architectuur en randvoorwaarden die gesteld worden aan de infrastructuur minstens zo geschikt voor het mkb als voor grote organisaties. De grootste drempel is waarschijnlijk geweest dat in eerste instantie vooral technische medewer-

64

NOP0606_p64-67_Labreport_CitrixA64 64

Eenvoudig installatie

10-08-2006 16:47:33

Citrix Access Essentials • Labreport

Afbeelding 1 Configureren van Shadowing

de Windows Server 2003 installatie cdrom. Mocht een reboot nodig zijn, dan zal daarna de installatie ook weer vanzelf doorgaan. Onder water worden gedurende dit geautomatiseerde proces Windows Installer 3.0, Microsoft Visual J#.NET versie 1.1 en de Java 2 runtimeomgeving versie 1.4.2_06 geïnstalleerd. Verder worden de Windows-componenten Terminal Server, Terminal Server Licensing en ASP.NET, COM+ Access en Internet Information Server ingeschakeld en de ingeperkte versie van Citrix Presentation Server, de Administrator snap-in, Citrix Licensing, Web Interface en Secure Gateway geïnstalleerd. De enige vraag die je nog krijgt, is of de server mag herstarten. Na inloggen als Administrator wordt de laatste fase van de installatie in enkele minuten afgerond, ook weer zonder interactie, en daarna verschijnt de Quick Start tool.

Kleinzakelijk Het product Access Essentials had net zo goed Citrix Presentation Server Small Business Edition of iets dergelijks kunnen heten. Dat was misschien zelfs wel een logischere naam geweest, maar voor Citrix is het erg belangrijk van het server-based computing imago af te komen en ‘toegang’ te promoten. Daarom is als naam Access Essentials gekozen. Technologisch bekeken is Access Essentials een mix van functies uit de drie bestaande Citrix Presentation Server-edities. Functies die niet relevant zijn voor het mkb zijn niet in het product


opgenomen. Zo ontbreken bijvoorbeeld modules als Resource Management, Installation Management en Network Management. Daarentegen zijn enkele mogelijken uit de Enterprise-editie van Presentation Server juist wel in Access Essentials opgenomen, zoals de mogelijkheid om het geheugen en de processor beter onder controle te houden. Citrix Access Essentials wordt niet ondersteund op Windows 2000 Server en kan alleen worden geïnstalleerd op één enkele Windows Server 2003 server. Alle benodigde componenten draaien op die server en het is niet mogelijk meerdere servers samen te groeperen in een farm met load balancing, zoals dat bij de andere Presentation Server-producten wel mogelijk is.

Beheer voor beginners Diverse beheerhandelingen voor je uit met de nieuwe Quick Start tool. Dit tool geeft je toegang tot enkele wizards om het systeem te preparen voor het gebruik en het uitvoeren van een viertal handelingen, namelijk het in orde maken van de licenties, het aanbieden van toepassingen, het geven van toegang op afstand en het optioneel definiëren van enkele gedelegeerde beheerders. Stap 1: licenties activeren Helaas ontkom je niet aan de licentieproblematiek van server-based computing. Licensing is technisch niet anders dan bij Citrix Presentation Server en Windows Server 2003 terminal server. Door op de optie Licensing in de Quick Start tool te klikken verschijnen in het rechter schermdeel twee keuzemogelijkheden. De eerste handeling is het installeren en activeren van de Citrix Access Essentials-licenties.

Er start een Wizard die je vraagt om het licentiebestand te downloaden. Je bladert naar de licensingwebsite van Citrix, logt in, voert een licentiecode in, geeft de hostnaam van de Access Essentials server op als die niet automatisch is ingevuld en download het licentiebestand om dit in de Wizard te importeren in de Citrix licentieservice. De tweede optie is het activeren van de Windows Server 2003 terminal server license server en het toevoegen van het benodigde aantal Terminal Server Client Access Licenties. De Quick Start tool roept hiervoor overigens de standaard Microsoft tools aan. Over licenties valt nog wat bijzonders te vertellen. We vinden hier namelijk een zeer relevant verschil met de andere Citrix Presentation Server-producten. Het aantal gebruikers dat kan werken met Access Essentials is minimaal 5 en beperkt tot maximaal 75. Je zou dus kunnen zeggen dat Access Essentials geschikt is voor de kleinere bedrijven aan de onderkant van het mkb. Er is bovendien geen upgrade mogelijk van Citrix Access Essentials naar Citrix Presentation Server. Dit kan technisch niet en ook niet licentie/prijstechnisch. Het is dus wel zaak vooraf goed te kijken naar je toekomstige behoefte of bedrijfsgroei. Een ander belangrijk verschil is dat er geen gelijktijdige licenties worden ondersteund maar named users. f

Afbeelding 2 De Access Essentials Quick Start tool

65 10-08-2006 16:47:42

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Citrix Access Essentials Auteur: Marcel Beelen Pagina’s: 64 - 67

Daar is een goede reden voor en dat is de noodzaak voor Microsoft Terminal Server Client Access licenties. Voor terminal server is altijd een TS CAL nodig. Op Windows Server 2003 is dat ofwel voor elke werkplek ofwel voor elke gebruiker. Door ook de Citrix CAL’s te introduceren op named user-basis lopen beide noodzakelijk client-licenties synchroon en dat is veel eenvoudiger om te doorzien en te beheren. Bovendien wordt bij elke Access Essentials licentie één op één een TS CAL meeverkocht door Citrix. Dit is eveneens erg gemakkelijk, omdat je verlost bent van het apart aankopen van TS CAL’s. Aanschafprijzen van licenties zijn sterk afhankelijk van waar je ze koopt, welke deals je in staat bent af te sluiten, onder welke volumelicentie je mag kopen en ook nog van eventuele staffelkortingen. Als we een aantal scenario’s doorrekenen, uitgaande van richtprijzen, met Access Essentials (175 euro), de Terminal Server Client Access Licentie voor Windows Server 2003 (100 euro), Citrix Presentation Server Standard Edition (240 euro), Citrix Presentation Server Advanced Edition (285 euro) en Citrix Presentation Server Enterprise Edition (335 euro), dan komen we tot de volgende interessante conclusie. Het omslagpunt waarbij Citrix Presentation Server Standard Edition goedkoper wordt dan de oplossing met Access Essentials ligt rond een gelijktijdig-

heidsfactor van 1 op 3 gebruikers. Het omslagpunt waarbij Citrix Presentation Server Enterprise Edition goedkoper wordt dan de Access Essentials-oplossing ligt rond een gelijktijdigheidsfactor van één op vier gebruikers. Citrix heeft dus zeer goed nagedacht over de prijsstelling van Access Essentials. Het goed doorrekenen van je bedrijfssituatie is dus erg belangrijk om de juiste beslissing te maken. Stap 2: toepassingen aanbieden In de Quick Start tool is het nu zaak toepassingen te publiceren naar groepen gebruikers. Je klikt op Applications, waarna de al gepubliceerde toepassingen worden weergegeven als die er al zijn. Klik je op Publish Application, dan kun je op de server geïnstalleerde toepassingen publiceren. In de wizard worden vervolgens alle toepassingen getoond die op de server te vinden zijn, inclusief de mogelijk een volledige desktop te publiceren. Geef tot slot bij Specify Users aan welke groepen gebruikers toegang hebben tot de zojuist gepubliceerde toepassing of het bureaublad. In principe is de gepubliceerde toepassing nu beschikbaar voor geautoriseerde gebruikers. De twee extra stappen hebben te maken met beveiliging. Stap 3: toegang via internet Door in de Quick Start tool op Remote Access te klikken zie je de optie om het

#users

#gelijktijdig

Access Essentialsoplossing en Presentation Server 4-oplossing

50 50 50 50 25 25 25 25 75

50 25 20 15 25 15 10 7 75

8.750 euro 8.750 euro 8.750 euro 8.750 euro 4.375 euro 4.375 euro 4.375 euro 4.375 euro 13.125 euro

17.000 euro tot 21.750 euro 11.000 euro tot 13375 euro 9.800 euro tot 11.700 euro 8.600 euro tot 10.025 euro 8.500 euro tot 13.375 euro 6.100 euro tot 7.525 euro 4.900 euro tot 5.850 euro 4.180 euro tot 4.845 euro 25.500 euro tot 32.625 euro

75

25

13.125 euro

13.500 euro tot 15.875 euro

Tabel 1 Licentievergelijking AE met CPS standaard en Enterprise Edities

66 NOP0606_p64-67_Labreport_CitrixA66 66

geïnstalleerde Citrix softwarecomponent Secure Gateway, ofwel om toegang via de optioneel aan te schaffen Citrix Access Gateway appliance te configureren. Het eerste scenario is handig als je geen DMZ gebruikt. In beide inzetscenario’s moet je een certificaat aanschaffen en installeren. Merk tevens op dat in beide gevallen een firewall nog steeds noodzakelijk is. Voor extra beveiliging bij de inzet van Access Essentials voor extern gebruik via internet raadt Citrix aan om aanvullend gebruik te maken van een two-factor authenticatieoplossing van Secure Computing (SafeWord for Citrix) of RSA SecurID. Hierbij gebruikt de externe medewerker een token naast het gebruik van een loginnaam met een wachtwoord. Het inrichten van een two-factor authenticatie-oplossing is niet zo eenvoudig en dat maakt de implementatie van Access Essentials plotseling een heel stuk complexer. Stap 4: delegeren van beheer Wat betreft het delegeren van beheerd adviseert Citrix minimaal één beheerder te definiëren met minder rechten dan die van een gewone Administrator. Denk hierbij aan zaken om bijvoorbeeld sessies te kunnen shadowen. In de Quick Start tool vul je de loginnaam van een bestaande of nieuw te maken gedelegeerde beheerder in.

Browse, click and go Citrix stapt bij Access Essentials af van de voor veel gebruikers te complexe Program Neighborhood-toepassing om gepubliceerde toepassingen aan te bieden. Toegang is met Access Essentials alleen mogelijk via de webinterface op de server, gebruikmakend van een internetbrowser bij de gebruiker. Een gebruiker bladert met zijn browser naar het IP-adres van de Access Essentials server, logt hierop in met zijn loginnaam, wachtwoord en domeinnaam. Als je geen domein hebt dan vul je hier de hostnaam van de server in. Vervolgens krijg je exact die toepassingen te zien waartoe je rechten hebt.

10-08-2006 16:47:48

Citrix Access Essentials • Labreport

Afbeelding 3 Web Interface toont toepassingen

Het verdere gebruik is identiek aan Web Interface van Citrix Presentation Server. Op Windows-werkplekken wordt vanzelf de ActiveX ICA client (de Citrix web client) gedownload en geïnstalleerd, uiteraard wel met het de goedkeuring van de gebruiker. Gebruikers van een ander besturingssysteem moeten deze client zelf handmatig downloaden en installeren om toegang mogelijk te maken.

Bijna altijd eenvoud

werkt vaak met andere partners die zorg dragen voor het beheer en onderhoud van het netwerk, de server en de toepassingen. Meestal is dit één van de gespecialiseerde leveranciers van een bepaalde bedrijfstoepassing die niet specifiek op de hoogte is van Citrix-software en geen reguliere Citrix-partner is. Daarom heeft Citrix het partnerprogramma omgegooid en uitgebreid om speciale mkb-resellers aan te kunnen trekken en het partnernetwerk te verder te verbreden.

Citrix stapt helemaal over de complexiteit heen die veelal gepaard gaat met het installeren en finetunen van toepassingen en het uitvoeren van een lock-down van het bureaublad als je dat aanbiedt. Ook de moeilijkheden die je kunt ondervinden bij het afdrukken, het onderhoud van licenties, het inrichten van de gebruikersomgeving met profielen of het gebruik van Group Policy wordt genegeerd. Voor nogal wat geavanceerdere taken is de Quick Start tool onvoldoende en daarom moet je toch uitwijken naar de Presentation Manager Console, de Access Suite Console en andere hulpprogramma’s. Wil je met tokens voor authenticatie werken om de toegang beter te beveiligen, dan compliceert dit de implementatie ook nog eens. De gedachte achter dit alles is natuurlijk dat dit bij de onderkant van het mkb, wat toch de beoogde doelgroep is voor Access Essentials, veel minder speelt en pas voor geavanceerd gebruik zinvol is. Hierbij wordt bovendien eigenlijk altijd een partner ingeschakeld. Het mkb

Om meer medewerkers een specifieke bedrijfstoepassing op afstand te laten gebruiken, wordt regelmatig een terminal server geplaatst. Toch is dat in zo’n geval niet de meest ideale situatie. En dat is nu exact waar Citrix Access Essentials om de hoek komt kijken. Enkele relevante functies op het gebied van eenvoudige webtoegang en beveiligde toegang die ontbreken in Windows terminal server worden ingevuld door het nieuwe Presentation Server-product van Citrix. Wil je bijvoorbeeld vijf eindgebruikers toegang geven via internet aan een drietal moderne en veelgebruikte 32-bit Windows-toepassingen, dan is Access Essentials hét platform waarmee je dat kunt realiseren. Je zou overigens ook nog kunnen besluiten de Citrix Access Gateway appliance en/of two-factor authenticatie toe te voegen voor een verbeterde beveiliging. Helaas maakt dat je omgeving wel weer een stuk complexer. De voordelen


Slim product

van Access Essentials zitten vooral in de eenvoudige installatie van het product. Slechts een tweetal malen herstarten en het beantwoorden van een tweetal vragen is voldoende om alle onderdelen te installeren. De Quick Start tool met de wizards maken het in productie nemen van het product intern of extern relatief eenvoudig. Het kost je hierdoor slechts enkele uren om alles helemaal in te stellen. Als je dit vergelijkt met een enkele Citrix Presentation Server met gelijkwaardige componenten, dan kost dat toch al snel enkele dagen voorbereiding.

Slimme zet Access Essentials is niet alleen een slim product, maar het is ook een slimme zet van Citrix. Het is algemeen bekend dat Microsoft met nogal wat uitbreidingen komt in de volgende versie van terminal services, die precies gaan doen wat Citrix al heel lang tot een unieke oplossing maakt. Denk aan webtoegang via SSL, gepubliceerde seamless toepassingen en dergelijke. Voor grote organisaties zal dit weinig uitmaken, omdat de Citrix-producten veel meer bieden dan alleen dit, maar voor het mkb kan deze ontwikkeling van terminal services betekenen dat er veel minder noodzaak is voor het product van Citrix. Wel is Citrix Microsoft op dit moment nog ruim vóór met de aanval op het mkb en het bedrijf zal dan ook met de bestaande en nieuwe partners proberen een grote installed base te veroveren voordat Microsoft daar klaar voor is. Y Product: Access Essentials 1.5 Fabrikant: Citrix Website: www.citrix.com Prijs: circa $ 250 per named user incl. TS CAL + Eenvoudige installatie en configuratie; Microsoft TS CAL’s inbegrepen - Maximaal 75 named users; geen concurrent use; geen technische upgrade mogelijk; bij geavanceerder gebruik meer kennis en tools nodig

67 10-08-2006 16:47:56

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Expand Accelerator 4920 Auteur: Marcel Beelen Pagina’s: 68 - 73

Bandbreedte onder controle Expand Accelerator 4920 De beschikbare bandbreedte van verbindingen tussen kantoren in de regio maar ook internationaal wordt alsmaar hoger voor minder geld. Breedbandtechnologie vervangt in razend tempo traditionele dure huurlijnen, maar goedkoop en snel zijn relatieve begrippen. Het is afhankelijk van het aantal lijnen dat je gebruikt en wat voor gegevens je eroverheen stuurt. WAN-accellerators als de Expand Accellerator 4920 kunnen hier uitkomst bieden.

D

e performance van je WAN blijft een uitdaging. Het is immers geen LAN en er zijn talloze manieren waarop netwerkvertragingen kunnen optreden. Je kunt veel snelheid winnen door beschikbare bandbreedte effectiever in te zetten of voor interactieve toepassingen of protocollen als RDP of ICA een vaste minimale bandbreedte te reserveren. Dat is precies waar onder meer WAN accelerators een zeer zinvolle aanvulling vormen op je infrastructuur. Niet alleen zwaardere client/servertoepassingen hebben baat bij dit soort WAN-versnellers. Ook ‘dunnere’ oplossingen zoals server-based computing kunnen er van profiteren. Microsoft’s RDP-protocol, maar vooral het Citrix ICA-protocol, zijn weliswaar geoptima-

68

NOP0606_p68-73_Labreport_ExpandA68 68

liseerd voor trage verbindingen, maar er zijn nog meer manieren dit te optimaliseren. Expand is een fabrikant van populaire accelerators, die ook vaak voor server-based computing-oplossingen ingezet worden. NetOpus bekeek de Expand 4920.

Centralisatie WAN-accelerators vinden gretig aftrek, mede door het proces van centralisatie en virtualisatie dat enkele jaren geleden in gang is gezet. Steeds meer toepassingen worden verplaatst naar het datacenter en aangeboden via presentatieprotocollen als Microsoft’s RDP en Citrix ICA. Door ook nog eens pc’s te centraliseren met Blade pc-oplossingen of ze te virtualiseren in het datacenter met VMware-software, worden zelfs individuele werkplekken centraal aangeboden. Uiteraard moet het WAN goede prestaties bieden om werken vanaf locaties op afstand met de centrale toepassingen en werkomgevingen mogelijk te maken. Stroperigheid bij het

werken met interactieve desktoptoepassingen wekt al snel irritatie op bij de gebruiker en het wordt fataal als sessies ook nog eens beginnen weg te vallen doordat het WAN te zwaar belast is. Voor verschillende andere niet-interactieve toepassingen is het minder erg, zoals bij printopdrachten of een zoekopdracht in een database. Die mogen best een paar seconden langer duren. In de overige gevallen moeten vertragingen (latency) geminimaliseerd worden voor een goede interactieve respons van centrale toepassingen op terminal servers. Vertragingen op het IP zijn overigens heel normaal. Communicatie tussen client en server wordt door de tcp laag gecontroleerd. Het opzetten van een tcp-sessie vereist een ontvangstbevestiging (acknowledge) om er zeker van te zijn dat de data goed is aangekomen. De latency wordt gemeten als Round Trip Time (RTT), die uitgedrukt wordt in milliseconden. Hoe verder weg de gegevens verstuurd moeten worden

10-08-2006 16:51:43

Expand Accelerator 4920 • Labreport

en hoe meer netwerkapparatuur er zich tussen de zender en ontvanger bevindt, hoe hoger de latency. Als er netwerkpakketten verloren gaan en er dus packet-loss optreedt, wordt dit door de tcp-laag opgemerkt en moeten de paketten opnieuw verstuurd worden met vertraging als gevolg. Expand heeft een reeks producten om bandbreedteversnelling en bandbreedteregulering te implementeren. Verschillen tussen de modellen zijn vooral de ondersteunde datarates aan de WAN-zijde en het aantal IP-tunnels. De topmodellen zijn zware jongens voor datacenters met veel rekenkracht en geheugen, in staat om tot 1000 Mbps LAN doorvoersnelheid en 250 Mbps WAN-snelheid te kunnen afhandelen. Aan de onderkant van het portfolio vind je accelerators geschikt voor kleinere organisaties die een LAN-doorvoersnelheid van 100 Mbps en WAN-doorvoersnelheid tot 256 Kbps kunnen verwerken. Onze Expand 4920 is een stevige middenklasser uit de reeks met 512 MB intern geheugen en een 160 GB harde schijf. De LAN-doorvoersnelheid is maximaal 100 Mbps, de WANdoorvoersnelheid is maximaal 4 Mbps en hij ondersteunt tot 20 verbindingen met nevenkantoren. Merk op dat je het beste minimaal twee Expand systemen dient aan te schaffen: aan elk uiteinde van het WAN wordt er één geplaatst. Wil je een redundante omgeving bouwen, dan heb je er nog een paar extra nodig.

Compact Flash en LCD De Expand appliance is een 19-inch device om uiteindelijk in een rack te monteren. Je krijgt de benodigde inbouwmaterialen meegeleverd. De installatie heeft twee unieke procedures. Zo boot je van de meegeleverde 128 MB Compact Flash kaart, die je achter in het systeem steekt. Vervolgens sluit je het systeem aan tussen de internet gateway en je LAN (On-Path) ofwel direct op je LAN met de meegeleverde kabels. De LAN-configuratie kost meer tijd om in te richten, omdat je router het verkeer moeten omleiden via de Expand accelerator. Bij gebruik op het LAN


is een redundante opzet mogelijk, waarbij je in vier stappen door de verdere contwee Expands met het Hot Standby Rou- figuratie leidt. Na het invullen van de ting Protocol (HSRP) of het Virtual Router hostnaam en het invoeren of importeRedundancy Protocol (VRRP) gekoppeld ren van de licenties, geef je aan of het zijn. Als een accelerator uitvalt, neemt apparaat in On-Path of On-Lan gebruikt een andere het doorsturen van gegevens en dimensioneer je de accelerator door en de versnelling over. Bij een On-Lan in een tweetal vervolgmenu’s het aantal implementatie moet de accelerator pak- te ondersteunen appliances (bij Deployketjes opvangen voordat ze bij de router ment Size) en de bandbreedte van je WAN aankomen en is de Expand als default (bij Default WAN Bandwidth) te kiezen gateway geconfigureerd. In andere geval- (Afbeelding 1). In een volgend scherm len gebeurt dit met het Routing Informa- van de wizard geef je IP-adressen en tion Protocol (RIP) of met het Web Cache hostnamen op van andere accelerators Coordination Protocol (WCCP). Bij gebruik in je netwerk (op het LAN en WAN). Per van On-Path is het mogelijk de VPN-mo- accelerator geef je aan wat de snelheid gelijkheden van je routers en provider te van de verbinding ernaartoe is en kies je benutten om het door de Expand samen- een encapsulation type. Het meest gegeperste IP-verkeer nog eens in een extra bruikt is een IPcomp tunnel waarbij het IPSec-tunnel te vatten. Het is zelfs moge- gehele tcp-pakket wordt samengeperst, lijk configuraties te bouwen waarbij je On- dus inclusief IP-header, tcp/udp-header Path en On-Lan combineert. en de payload. Het verstuurde pakket is Na enkele minuten is de appliance en de dan voorzien van een IPComp-header. ingebedde Linux-variant operationeel en Dit is tevens de default keuze van f lees je AcceleratorOS v5.08 Ready (voorheen ExpandOS) op het LCD-scherm aan de voorzijde. Het tweede unieke van de Expand is dat - in tegenstelling tot de meeste andere appliances - het initieel configureren ook mogelijk is met de mini-cursors naast het schermpje. Het aansluiten van een console met een seriële kabel is dus niet noodzakelijk. Je voert in minder dan een minuut het IPAfbeelding 1 adres, het subnetmask en de Keuze voor On-Path of On-Lan implementatie default gateway in, waarna je het systeem verder kunt beheren met een webbrowser, een telnet-opdrachtregel, SSH of eventueel met een andere Expand-machine.

De browser Normaal gesproken vervolg je nu het configureren door de browser te openen op een systeem aan je netwerk en in te loggen in de webinterface. De eerste keer start er een wizard die

Afbeelding 2 Definiëren van de verbindingen

69 10-08-2006 16:52:07


Geavanceerde opties

Afbeelding 3 Toevoegen van een eigen Layer-7 Citrix filter

Expand. Als alternatief kun je kiezen voor Router Transparancy (RTM), vooral gebruikt door providers. Hierbij wordt alleen de payload van een tcp-pakket gecomprimeerd en blijven de bestaande headers intact. De compressie is hierdoor wat minder (ongeveer 30%), maar doordat de header beschikbaar is werken ook andere netwerkproducten en provider services voor bijvoorbeeld monitoring of QoS en worden eventuele firewall-problemen voorkomen (zie Afbeelding 2). In het derde venster van de wizard geef je de tijd en datum op en in het vierde en laatste venster verander je het default wachtwoord. Na alles nog eens te hebben nagelezen in het Summaryvenster sluit je af met Finish en zijn alle basisgegevens bewaard. Kies je overigens een eenvoudig wachtwoord, dan meldt de appliance je dit wel, maar staat het toch toe. Al deze basisinstellingen kunnen uiteraard ook nog op een later moment geconfigureerd worden in de grafi sche webinterface. In principe worden er op dit moment al veel toepassingen (lees: protocollen) standaard versneld en kun je zelf eigen aanpassingen maken als je dat wilt. Als je een tweede keer inlogt, wordt de Wizard niet meer gestart en kun je allerlei geavanceerde instellingen maken. Daarnaast kun je de accelerators en toepassingen fi netunen, en diverse monitoring-en beheerwerkzaamheden uitvoeren.


De Expand appliances hebben op verschillende plekken in de grafische interface specifieke netwerkinstellingen om het apparaat te tunen voor de omgeving in je organisatie. Het bestuderen van de handleiding is sterk aan te raden, zeker omdat niet alle geavanceerde instellingen via de webinterface in te stellen zijn en je daarvoor de Cisco IOS-achtige commandline interface moet gebruiken. Wil je uitgebreidere controle hebben over wat er met toepassingen gebeurt, dan klik je op de hoofdknop Services, waaronder je QoS-regels kunt definieren. Hier kun je minimale en maximale bandbreedte en prioriteit instellen voor een toepassing voor inbound of outbound verkeer, exact van en naar welke IP-adressen. Op wat complexere netwerken kun je OSPF-routering of RIP inschakelen. Indien nodig kun je ook handmatige aanpassingen maken of statische routes toevoegen als op het netwerk andere QoS-apparaten of QoS-software actief zijn, of als je werkt met load balancers. De appliance zelf kan op allerlei manieren worden geïntegreerd in de bestaande netwerkinfrastructuur voor het beheer. Zo kun je logging via mail alerts versturen of met syslog op een syslogserver laten archiveren. Snmp voor beheer, Netflow voor integratie met monitoringomgevingen, TACACS+ of RADIUS-ondersteuning voor authenticatie. Tftp en ftp voor firmware upgrades, ntp voor tijdsynchronisatie, enzovoort. De handleidingen en online hulp van de accelerator zijn uitstekend en alles is goed beschreven. Alleen is de online hulp is wat minder handig om in te navigeren. In het Monitor-menu kun je uitgebreide logging en statistiek bekijken om de werking van het apparaat te controleren. Zo kun je onder meer de doorvoersnelheid met en zonder accelerator vergelijken, de bezetting van de lijn te bekijken, het versnellingspercentage van zowel in- als uitgaand verkeer te

onderzoeken, evenals de compressiefactoren. Je deze gegevens ook per toepassing/protocol bekijken. Expand biedt optioneel het softwareproduct ExpandView aan als beheeromgeving met bijzondere monitoring en rapportagefuncties.

Operatie by-pass Elk pakket dat de ene Expand accelerator in verdwijnt en aan het andere uiteinde van het WAN de twee Expand Accelerator verlaat is identiek. Protocoltechnisch hebben toepassingen dus geen enkele weet van de Expand-machines die tussen de netwerkverbinding opereren. De maximale latency-toename voor pakketjes die door de accelerator gaan is volgens de documentatie een verwaarloosbare 1 ms. Wat gebeurt er als één van de systemen in de architectuur defect gaan? Je hoeft dan niet bang te zijn dat er geen verbinding meer is tussen de nevenkantoren, want het apparaat schakelt dan naar de by-pass mode en laat alle verkeer door (fail-to-wire). Dit is tevens handmatig in te schakelen op het frontpaneel van de appliance als dat nodig is, bijvoorbeeld voor testdoeleinden.

Geef Citrix de ruimte Server-based computing wordt veel ingezet voor het werken met centrale toepassingen, gepubliceerd met Citrix Presentation Server vanuit nevenkantoren die aangesloten zijn met een WANverbinding. Het ICA-verkeer is feitelijk al geoptimaliseerd (vereenvoudigd, gecomprimeerd, voorzien van een lokale cache op de werkplek), dus je zou verwachten dat hier weinig winst te halen is. Toch is de Expand Citrix Acceleration in staat ook dit verkeer aanmerkelijk te versnellen en meer gelijktijdige gebruikers op je WAN mogelijk te maken. Eén van de trucs die hierbij uitgehaald wordt, is dat er een soort van overkoepelende caching plaatsvindt van alle actieve gebruikers. Gemeenschappelijke grafische elementen van de gebruikersessies worden bewaard op een cache van de accelerator. Verder wordt redundante f

71

10-08-2006 16:52:41


headerinformatie verwijderd en worden kleine pakketjes van meerdere gebruikers gebundeld. Volgens Expand is er al snel 300 procent winst te behalen en in de documentatie lees je dat het aantal gebruikers over dezelfde verbinding zelfs verviervoudigt. De daadwerkelijke winst is natuurlijk afhankelijk van je eigen omgeving. Standaard worden ICAverkeer (poort 1494) en ICA-verkeer met Session Reliability (poort 2598) versneld, evenals vele tientallen andere protocollen waaronder nfs, ftp en pop.

Addertje

D

13:45:22

Er zit echter een addertje onder het gras. De compressie en versleuteling die het ICA-protocol zelf uitvoert dient te worden uitgeschakeld, zodat de accelerator de oorspronkelijke data kan comprimeren. Hetzelfde geldt overigens voor compressie van het RDP-protocol. Op welke plek je ICA-compressie uitschakelt, ligt aan je omgeving. Werk je met de webinterface dan kun je daar de compressie uitschakelen door simpelweg een configuratiebestand te wijzigen. Het nadeel is dat je dan meteen doet voor elke gebruiker, ook als die via het LAN werkt. Expand lost dit voor je op, door je enkele webinterfacebestanden aan te bieden als vervanging van de bestanden die Citrix bij de webinterface installeert. Je krijgt dan op de homepage van de webinterface een extra menu, waarin de gebruiker zelf kan selecteren of hij wel of niet via een door een Expand Accelerator versnelde verbinding werkt. Werk je met de Program Neighborhood Agent ICA-client samen met de webinterface, dan wijzig je een configuratiebestand in de PN Agent-map op de webserver. Verder is op verbindingsniveau eveneens compressie en versleuteling ingesteld, bij zowel RDP (gebruik Terminal Services Configuration) en ICA (gebruik Citrix Connection Configuration). Werk je met Citrix software, dan is het ook nog eens mogelijk versleuteling uit te schakelen per gepubliceerde toepassing door het laagste niveau van versleuteling (Basic) te selecteren. Op werkplekken die met de volledige Program Neighborhood client kan de compressie


lokaal zijn ingesteld. Verder moeten alle toepassingen die toegevoegd zijn met de Speed Screen Latency Reduction Manager verwijderd worden.

Citrix Layer 7 QoS Naast standaard versnelling van ICAverkeer is bandbreedteregulering minstens zo belangrijk om interactieve sessies interactief te houden. Expand heeft de mogelijkheid voor een protocol een vastgestelde hoeveelheid bandbreedte te reserveren. Je zou dus voor ICA-verkeer bijvoorbeeld 50 procent kunnen reseveren, zodat printjobs of ftp-sessies geen invloed uitoefenen op de interacieve ICA-sessies. Maar Expand gaat nog iets verder. Het is aanvullend mogelijk om prioriteiten toe te kennen per gepubliceerde toepassing (op netwerklaag 7), dus ook binnen een enkele ICA-sessie. Je doet dit door een nieuwe ICA-toepassing toe te voegen door onder Setup bij My Application te klikken op de knop Create Citrix Application (Afbeelding 3). In het dialoogvenster geef je vervolgens aan wat de exacte naam is van de gepubliceerde toepassing die je wilt en/ of de hostnaam van een pc waarvoor de versnelling moet functioneren en uiteraard welke bandbreedte en prioriteit er moet gelden. Ook hier weer is er een bijzonder aandachtspunt. Om het mogelijk te maken dat ICA laag-7 verkeer gevonden wordt, moet elke toepassing een eigen tcp-sessie openen. Het delen van een sessie wordt namelijk niet ondersteund. Voor elke sessie wordt er standaard een tcp-sessie voor de toepassing zelf en een udp-sessie voor het managen van die sessie. Omdat de naam van de gepubliceerde toepassing identiek moet zijn en in hoofdletters vastgelegd moet worden in de accelerator, wordt aangeraden de gepubliceerde toepassing met een discover te zoeken en toe te voegen, dan gaat dit automatisch goed.

Slimme aanvulling Als je met bandbreedte op het WAN problemen hebt, is de Expand Acce-

lerator een slimme aanvulling. Als je de TCO bekijkt dan zijn de jaarlijkse kosten voor een snellere verbinding al heel snel terugverdiend als je een accelerator aanschaft en verder geen extra investeringen hoeft te doen aan de internetverbinding. Y Product: Expand Accelerator 4920 Fabrikant: Expand Website: www.expand.com of www.cdg.nl Prijs: 5.500,- incl. alle softwareopties zoals WAFS, ingezet op een 512kb verbinding Topmodel: 48.000,Kleinste model: 2100,per device + Prijs; goede beheertools en documentatie, eenvoudige implementatie; goede ICAondersteuning - Prestatiewinst afhankelijk eigen situatie; veel modellen en opties verplichten je tot het werken met een Expand-partner

Wide Area File Services (WAFS) en Citrix De trend om fileservers centraal te plaatsen en ze weg te halen bij nevenkantoren vormt een extra uitdaging. Het verkeer van en naar fileservers (in de meeste gevallen CIFS) betekent dan fl ink wat netwerkverkeer over de WAN-lijnen. WAFS is een technologie om onder meer CIFS-verkeer te versnellen (zie Marketwatch). Echter, als de fileservers zich centraal bevinden en je werkt 100% met Citrix Presentation Server (of terminal server), dan geschiedt het openen en bewaren van bestanden toch al centraal (tussen de fileservers en de terminal servers) . Er is dus geen CIFS-verkeer over het WAN. WAFS voegt binnen een dergelijke architectuur weinig toe (of je moet bijvoorbeeld DNS willen versnellen en DHCP willen ondersteunen). Werk je alleen met terminal servers over het WAN en niet met lokale toepassingen dan hoef je - in ieder geval voor dit doel - de WAFS-optie er niet bij te kopen.

73 10-08-2006 16:52:53

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Labreport Titel: Uitgelezen Auteur: Marcel Beelen Pagina’s: 74 - 75

Uitgelezen!

De nieuwste SBC-boeken Traditiegetrouw kijken we elk jaar naar de nieuw verschenen boeken over server-based computing. De afgelopen 12 maanden zijn er vier nieuwe boeken op de markt gekomen. Hoewel: ‘nieuw’ is hier een relatief begrip.

Deploying Citrix MetaFrame Presentation Server 3.0 Dit nieuwe boek van 567 pagina’s heeft de deadline van vorig jaar net niet gehaald. Het is dus al ruim een jaar oud en is bovendien pas erg laat in Nederland beschikbaar gekomen. In het boek wordt MetaFrame Presentation Server 3.0 beschreven. De nieuwe productnamen van Citrix komen er nog niet in voor en het boek is afgerond net vóór de overname van Net6 door Citrix eind 2004. Daardoor voelt dit boek iets verouderd aan. Verder is het een vrij standaard boek. In de eerste twee hoofdstukken wordt terminal server een beetje afgekraakt, waarna toegelicht wordt hoe Presentation Server 3.0 al deze gaten vult. Daarna volgen hoofdstukken over het installeren van Terminal Server op Windows Server 2003 en Citrix Presentation Server 3.0. Uiteraard komt ook de ICA-client aan de beurt en is er een hoofdstuk over printen. We zijn dan al op de helft van het boek en de echte tips en aanbevelingen lijken te missen. Het hoofdstuk genaamd Network and Firewall Configuration valt ook wat tegen. Er wordt te veel uitgewijd over Secure ICA (wat feitelijk niemand meer gebruikt). Later komt wel Secure Gateway aan bod, maar veel ruimte wordt gevuld met screenshots, en firewalls komen niet aan bod. Hoofdstuk 10 beschrijft Password Manager en dat

74

NOP0606_p74-75_Labreport_Uitgele74 74

valt eigenlijk buiten de context van het verhaal. Security and Load Management gaat wat dieper in op encryptie en hoe je dit configureert op Presentation Server. Load Balancing heeft niets te maken met security, hoort eigenlijk in een ander hoofdstuk thuis en bevat ook nog eens erg veel screenshots. De verdere hoofdstukken beschrijven het werken met Group Policy en Citrix Polices, server cloning en troubleshooting. Als je de rare hoofdstukindeling voor lief neemt en je nog met Presentation Server 3.0 werkt, dan is dit boek wel bruikbaar om als opleiding en leesboek voor de beheerders te gebruiken. Veel onderwerpen komen aan bod, maar de diepgang is niet erg groot. Het boek lijkt hierdoor alleen zinvol voor kleinere organisaties die met het Citrix-product aan de slag willen. Titel: Deploying Citrix MetaFrame Presentation Server 3.0 - With Windows Server 2003 Terminal Services Auteurs: Connie S. Wilson, Anthony Jones e.a. Uitgever: Syngress Publishing, Inc. ISBN: 1-932266-50-X Uitgave: 2005 Prijs: ca. 47,-

CCA Citrix Metaframe Presentation Server 3.0 Study Guide - Exam 223 Dit boek moet je klaarstomen tot Citrix Certified Administrator. Helaas is dat niet helemaal waar, maar dat is niet de

schuld van de auteurs. Citrix verplicht je namelijk bij CCA 3.0 een aanvullend examen te doen in een ander product (Password Manager of het inmiddels niet meer bestaande product Secure Access Manager). Dit boek bevat alleen de benodigde kennis voor examen 223, maar daarmee ben je dus nog geen CCA. Alle onderwerpen voor het examen komen aan bod, zoals het installeren van het product, uiteraard de IMA datastore, het inrichten van een serverfarm, load balancing, printen en het publiceren van toepassingen. Dit boek is inhoudelijk hetzelfde als het net besproken boek Deploying Citrix MetaFrame Presentation Server 3.0, maar is veel beter opgezet qua structuur. Het leest plezieriger en het is bovendien een studieboek met samenvattingen, oefenvragen, antwoorden en een cd-rom met oefenexamens. Werk je met Presentation Server 3.0 of ga je migreren naar 3.0 dan is dit boek een uitstekend leerboek. Ben je echter van plan je voor te bereiden om examen te doen en CCA te worden, dan is het veel slimmer om dat te doen met Citrix Presentation Server 4.0, ook al draai je misschien in de praktijk nog 3.0. Dit boek voorziet daar echter niet in en is daarmee wat betreft examens nu al wat verouderd. Wie wil er immers een verouderd examen doen in een product waar al lang een nieuwe versie van ingevoerd en beschikbaar is?

10-08-2006 16:56:56

Uitgelezen • Labreport

Titel: CCA Citrix Metaframe Presentation Server 3.0 Study Guide - Exam 223 Auteurs: Christopher Huffman, Jeff Richards Uitgever: Osborne - McGraw-Hill ISBN: 0-07-225875-6 Uitgave: 2005 Prijs: ca. 62,-

Citrix Access Suite 4 Advanced Concepts De eerste editie van dit boek bespraken we vorig jaar. We waren hierover niet bijzonder positief noch negatief. Het enige echte minpunt was dat de titel de inhoud niet dekt: alleen Citrix Presentation Server word op een gevorderd niveau besproken, maar de rest van de producten in de softwaresuite van Citrix niet. Deze tweede editie is helemaal bijgewerkt en bovendien pas onlangs uitgegeven. Het is hierdoor nog erg actueel. Zo is de Access Gateway en Advanced Access Control toegevoegd en zit Presentation Server op versie 4. Ons kritiekpunt van vorig jaar is ook verholpen: alle besproken onderdelen van de suite komt in de meeste hoofdstukken voor, waardoor het een meer gevorderd niveau heeft dan de vorige versie van dit boek. De inhoud klopt dus deze keer wel met de titel. Het boek heeft 19 hoofdstukken en wat bijlagen en is de moeite waard om te lezen. Lezen is misschien niet het juiste woord, want het is geen boek dat je van voor tot achter uitleest, maar meer een naslagwerk. Het boek bevat namelijk veel architectuurplaatjes, tabellen en listings en geen screenshots. In dit boek vind je allerhande informatie: van bandbreedteaspecten voor de IMA store en Novell DNS integratieaspecten tot en met een beschrijving van Password Manager en Advanced Access Control, farmbeheer en troubleshooting. Dit boek is actueel en de moeite waard

NOP0606_p74-75_Labreport_Uitgele75 75

om in je boekenkast te hebben. Zelfs de ervaren beheerders vinden hierin nog nieuwe informatie. Het boek is niet geschikt als studieboek, maar is duidelijk een naslagwerk. Het is wel wat commercieel getint en bevat geen kritiek of minpunten van producten, maar wat kun je anders verwachten als het Citrix product development team zelf heeft meegeholpen aan dit boek. Titel: Citrix Access Suite 4 Advanced Concepts: The Official Guide, Second Edition Auteurs: Steve Kaplan, Andy Jones Uitgever: Osborne - McGraw-Hill ISBN: 0-07-226293-1 Uitgave: 2006 Prijs: ca. 59,-

Citrix CCA Metaframe Presentation Server 3.0 and 4.0 Dit boek is slim geschreven, omdat het zowel geschikt is voor de actuele versie 4.0 als de vorige versie 3.0 van Presentation Server. Het kan gebruikt worden voor het 4.0 certificeringsexamen 256 en voor het 3.0 certificeringsexamen 223. Eén van beide schrijvers van dit boek is Todd Mathers, de auteur van mijn nog steeds favoriete server-based computing boek: Windows Server 2003/2000 Terminal Server Solutions uit begin 2005. Zoals verwacht, is ook dit CCAboek een uitstekend en actueel boek om je voor te bereiden voor het examen. Bij het 4.0-examen is Citrix afgestapt van de verplichte koppelverkoop van een examen van een ander Citrix product. Je moet wel naast het 256 examen een E-learning examen (CTX-1455AW Citrix Access Suite 4.0: Common Management Platform Administration) doen, maar dat stelt weinig voor. Dit boekje heeft een handzaam formaat zoals we dat kennen van de andere Exam Cram boeken en is ruim 600 pagina’s groot. De informatie wordt compact gepresenteerd met een zeer groot aantal examenvragen

en antwoorden, ook op cd-rom en uit het boekje verwijderbare kartonnen Cram Sheet (een samenvatting in telegramstijl). Alle voor het examen noodzakelijke componenten van Presentation Server worden uiteraard behandeld, zoals Load Management en Installation Management, maar ook zaken als afdrukken en licensing. Toch is het hele verhaal gebaseerd op Presentation Server 3.0. Presentation Server 4.0 komt slechts ter sprake in één hoofdstuk van ongeveer 45 pagina’s. Hierin wordt verwezen naar elk van de andere hoofdstukken en wat daarin veranderd is ten opzichte van de nieuwe versie. Om een voorbeeld te noemen. Bij de ‘what’s new’ tekst over hoofdstuk 3 (randvoorwaarden voor de installatie) is alleen vermeld dat de Java RunTime Environment versie veranderd is van 1.2.4_04 naar 1.2.4_06 en dat mixed mode niet langer ondersteund wordt. Deze verwijzingen lijken ingewikkeld, maar in Presentation Server 4.0 zijn slechts detailverschillen doorgevoerd en de nieuwtjes in alle voorgaande hoofdstukken passen op twee pagina’s. De echte nieuwe zaken zoals Virtual IP Addressing of Application Isolation worden wel in dat hoofdstuk verder uitgewerkt. Hoewel het een ‘goedkope’ manier is om twee productversies in een boek te behandelen, zorgt het wel voor een actueel boek. De prijs van dit boek is ook nog eens de laagste van de hier besproken boeken. Y Titel: Citrix CCA Metaframe Presentation Server 3.0 and 4.0 [Exam 223 & Exam 256] Auteurs: Todd Mathers, Elias Khnaser Uitgever: Que Corp ISBN: 0-7897-3246-7 Uitgave: 2006 Prijs: ca. 36,-

75 10-08-2006 16:57:03

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Links Toolbox Titel: Nuttige links Auteur: Marcel Beelen Pagina’s: 76 - 77

Linkbox Handige links voor de beheerder O

oor deze NetOpus verzamelden we maar liefst 85 links naar zinvolle tools, documenten en websites over server-based computing en virtualisatie. Deze zijn ook online te vinden op www.server-basedcomputing.nl.

Freeware Top 10 Sommige tools voor terminal servers zijn handig én gratis. Dit is onze freeware top 10 van dit moment.

01 Flex Profile Kit 5 (hybride profielen) 02 03 04 05

06 07

08

76

http://portal.loginconsultants. nl/forum/attachments/FPKv5.0.zip Resource Hacker (verwijderen van knoppen en menu’s) www.angusj. com/resourcehacker Gnome desktop (GUI voor rdesktop) www.nongnu.org/grdesktop/ index.html WBIsoft Command Line Utilities om een toepassing te starten in een andere sessie) http://wbisoft.com AppScape Lockdown (verwijder sluitknop van een toepassing) www.dabcc.com/thinsol/downloads/Files/AppScapeUtility.exe Sysinternals (tegenwoordig van Microsoft) RegMon, FileMon e.a. www.sysinternals.com Windows Clipper (seamless Windows met RDP) www.codeproject.com/internet/tswindowclipper.asp Frameworkx Access Manager for Citrix Program Neighborhood Agent www.frameworkx. com/Frameworkx/companynews. aspx?id=79

NOP0606_p76-77_Toolbox_Links.ind76 76

09 Microsoft Terminal Server Printer Redirection Wizard Tool www. microsoft.com/downloads/details. aspx?FamilyId=9AD27BE9-40DB484F-862E-38A094EEEAF7&display lang=en#QuickInfoContainer 10 Remote Desktop Utility (RDP met VNC) http://rdu.no-ip.info

01 Windows Server 2003/2000 02 03

Thin clients In Nederland en België worden de volgende thin clients regelmatig gebruikt. Dit is de NetOpus top 10 van 2006. Wereldwijd zijn er in totaal meer dan 50 fabrikanten van thin clients.

01 Wyse, www.wyse.com 02 Neoware, www.neoware.com 03 HP, http://h18006.www1.hp.com/

04 05

06

products/thinclients

04 IGEL, www.igel.nl 05 Acropolis/Athena (Tip: Nederlands 06 07 08 09 10

product), www.acropolis.nl Fujitsu-Siemens, www.fujitsu-siemens.com/products/deskbound/ thin_clients/index.html ChipPC, www.chippc.com Eizo, http://eclient.eizo.com VXL, www.vxl.net SUN (alternatief concept), www.sun.com/sunray

Boeken en documenten De volgende tien boeken en documenten zijn onmisbaar in je (digitale) boekenkast als je in de dagelijkse praktijk bezig bent met terminal servers. Je hoeft overigens niet altijd geld uit te geven voor deze documentatie, want sommige publicities zijn gewoon gratis te downloaden.

07 08 09

10

Terminal Server Solutions, ISBN: 1-57870-276-3 Citrix Access Suite 4 Advanced Concepts: The Official Guide, Second Edition, ISBN: 0-07-226293-1 Advanced concepts Citrix Presentation Server 4.0 (gratis!), http:// support.citrix.com/servlet/KbServlet/download/6929-102-14086/ CPS_4_Advanced_Concepts.pdf Methodology in a Box 4.0 (gratis), www.dabcc.com/miab/miab40 The Definitive Guide to Windows Server 2003 Terminal Services - Updated Edition (gratis!), www. tricerat.com/ebooks/index.php The How-To Guide to Windows Server 2003 Terminal Services (gratis!), www.tricerat.com/ebooks/index.php Windows 2000 Server Terminal Services, ISBN: 0-7821-2895-5 Smart Access in a Box 1.0 (gratis!) http://vellity.com Terminal Services for Microsoft Windows Server 2003, Advanced Technical Design Guide (gratis!), www.brianmadden.com/content/ content.asp?id=491 Microsoft’s Hosting Applications with Terminal Server (gratis!), http://go.microsoft.com/fwlink/ ?LinkId=15309

Informatieve websites Wil je op de hoogte blijven van de laatste nieuwtjes op het vakgebied? Als je regelmatig deze top 10 van websites bezoekt, wordt het een peulenschil. Sommige sites zijn enigszins commercieel.

10-08-2006 17:01:03

Linkbox

01 Brian Madden, www.brianmadden.com 02 Douglas Brown, www.dabcc.com 03 MS Terminal Services, www.msterminalservices.org 04 Bernhard Tritsch, www.wtstek.com 05 Thomas Kötzing, www.thomaskoetzing.de 06 Session Computing, www.sessioncomputing.com 07 Vera Noest, http://ts.veranoest.net 08 Thin Planet, www.thinplanet.com 09 Tokeshi, www.tokeshi.com 10 ThinHelp, www.thinhelp.com

Add-ons terminal servers Om standaard terminal servers te voorzien van extra (beheer-)functionaliteit is nogal wat software te koop. Wij maakten een selectie voor je in de volgende top 10 van add-ons.

www.microsoft.com/windowsserver2003/community/centers/terminal/default.mspx 04 Tek Tips Citrix, www.tek-tips.com/ threadminder.cfm?pid=48 05 Think Thin blog, http://blog.sun. com/roller/page/ThinkThin

SSL VPN appliances SSL VPN’s zijn ‘hot’. Hier is een selectie van vijf populaire appliances voor veilig werken op afstand.

01 F5 Firepass, www.f5.com 02 Citrix Access Gateway, www.citrix.com

03 Netilla Security Platform, www.aepnetworks.com 04 Cisco Web VPN, www.cisco.com 05 Checkpoint Connectra, www.checkpoint.com

Virtualisatieproducten

01 Citrix Presentation Server, 02 03 04 05 06 07 08 09 10

www.citrix.com AppSense Performance Suite, www.appsense.com RES PowerFuse (Tip: Nederlands product), www.respowerfuse.com HOBLink JWT, www.hobsoft.com 2X application Server, www.2x.com Sun Secure Global Desktop, www.sun.com Visionapp Platform Management, Suite www.visionapp.com Tricerat Symplify Suite, www.tricerat.com TS Application Center, www.ibexsoftware.com Provision Networks IT tools, www.provisionnetworks.com

Forums en blogs

Het jaar 2006 zullen we ons later herinneren als het jaar dat virtuele machines massaal zijn doorgebroken, mede door veel gratis producten. Hier volgt de top 10 volgens NetOpus.

01 VMware ESX Server met VMotion, www.vmware.com/products/vi/esx

02 VMware Server (gratis!), www. vmware.com/products/server

03 VMware Workstation, www.vmware.com/products/ws

04 Microsoft Virtual Server 2005 R2

05

Forums en weblogs kunnen goed helpen bij het oplossen van problemen en om ervaringen uit te wisselen. Een vijftal handige bookmarks.

06

01 Citrix forums, http://ctxex10.citrix.

08

com/forums/index.jspa

07

02 Thin Planet forums, www.thin-

09

planet.com/community/boards/ search.asp?board=all&search=New 03 Microsoft community,

10

NOP0606_p76-77_Toolbox_Links.ind77 77

(gratis!), www.microsoft.com/windowsserversystem/virtualserver/ default.mspx Microsoft Virtual PC 2004 SP1 (gratis!), www.microsoft.com/windows/virtualpc/default.mspx Thinstall Virtualisation Suite, www.thinstall.com Xen (open source virtual machine voor Linux), www.cl.cam.ac.uk/Research/SRG/netos/xen Serenity Virtual Station www.serenityvirtual.com SW-soft Virtuozzo, www.sw-soft. com/en VMware Player (gratis!), www. vmware.com/products/player

Virtualisatiesites Wil je meer informatie over virtualisatie? Hier zijn vijf websites om uitgebreid over het onderwerp bij te lezen.

01 Virtual Strategy Magazine, www.virtual-strategy.com

02 Virtualization Info,

www.virtualization.info

03 About Virtualisation,

http://about-virtualization.com/vm

04 Introduction to virtualization,

www.kernelthread.com/publications/virtualization 05 VMUG, www.vmug.nl

Wachtwoordbeheerders Het is erg vervelend als je steeds moet inloggen en je daarvoor allemaal verschillende wachtwoorden moet onthouden. Op een briefje schrijven is geen veilige oplossing, maar een password manager die dit voor zijn rekening neemt lost het probleem voor je op.

01 Protocomm Securelogin, www.protocom.com

02 Citrix Password Manager, www.citrix.com

03 RSA Sign-on Manager, www.rsasecurity.com

04 Symantec Password Manager, www.symantec.com/ passwordmanager 05 CA eTrust, www.ca.com

Remote desktop Voor veel organisaties is het erg handig om een oplossing te hebben om op afstand te werken op fysieke pc’s die op het LAN zijn aangesloten. Hier zijn vijf van deze oplossingen die dit mogelijk maken. De eerste drie oplossingen zijn gehoste diensten.

01 3am labs Logmein (ook gratis versie), www.logmein.com

02 Citrix GoToMyPC,

www.gotomypc.com

03 Webex PCNow, www.webex.com 04 HOB RD VPN met Desktop-on-Demand, www.hobsoft.com

05 Real VNC (gratis), www.realvnc.com

77

10-08-2006 17:01:08

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Attachment Titel: Slimme camera’s Auteur: Onno Louwen Pagina’s: 78 - 79

Slimme camera’s

Intelligente beeldanalyse Technologie wordt steeds kleiner. De nieuwste smartphones zijn praktisch complete pc’s die ook qua internetconnectiviteit nog amper onderdoen voor desktop pc’s. Netwerkapparatuur krijgt ook steeds meer intelligentie ingebouwd. Ideaal om servers, clients en het netwerk als geheel te ontlasten. Dat ook videocamera’s steeds intelligenter worden, is minder bekend. We spraken hierover met Magnus Ekerot, country manager Benelux van Axis Communications. (Onno Louwen)

C

losed-circuit television (CCTV) is de oude techniek van beveiligingscamera’s waarbij een camera direct opneemt naar een opnamemedium en het resultaat laat zien op een monitor. “Daar is weinig intelligents aan,” vertelt Magnus Ekerot. “Het kost opslagruimte en bovendien veel tijd en mankracht om daar goed gebruik van te maken.” Zo’n systeem kan continu opnemen, maar het kan zijn dat bijvoorbeeld een switch wordt geactiveerd als een deur open gaat. Het feit blijft echter dat het beoordelen van de beelden door mensen gedaan moet worden. Dit kost veel tijd, inspanning en concentratie. Netwerkcamera’s gaan al een stap verder. Voorheen waren dit weinig meer dan luxe webcams met een netwerkaansluiting. Een bijkomend voordeel is dat de videodata direct verwerkt kan worden. Simpele zaken als bewegingsherkenning maken dit al een veel flexibeler systeem. Magnus Ekerot: “De filosofie van Axis is dat er steeds meer intelligentie in de camera’s zelf gebouwd moet worden. Niet alleen om het netwerk te ontlasten, maar om daadwerkelijk veel meer functionaliteit te bieden.”

Beter dan de mens Intelligente videoanalyse is veel betrouwbaarder dan wat een mens kan bieden, bijvoorbeeld bij beveiliging, stelt Ekerot:

78

NOP0606_p78-79_Attachment_Slimme78 78

“Er is ooit een test gedaan op de Universiteit van Californië, waarbij twee basketballspelers voor dertig toeschouwers de bal moesten overspelen. De toeschouwers moesten vervolgens tellen hoeveel keer de bal overging. Na vijf minuten lieten ze een meisje in de achtergrond een deur openen, achter de spelers langslopen en weer verdwijnen door een andere deur. Bij de meeste toeschouwers bleek de telling hierdoor duidelijk meer af te wijken van een testgroep waarbij het meisje niet was langsgelopen.” Deze simpele test toont aan dat de mens nu eenmaal afgeleid kan worden en zich niet continu volop kan concentreren. Ekerot: “Intelligente camera’s kunnen dat wel en kunnen reageren op basis van ‘triggers’. De bewaker, om het voorbeeld van videobewaking te gebruiken, kan vervolgens beoordelen of deze beelden ook echt verdacht zijn en eventueel actie ondernemen. Hij hoeft zich dan alleen te richten op de momenten dat zijn aandacht echt nodig is.”

Decentralisatie Het sleutelwoord bij de succesvolle inzet van netwerkcamera’s is volgens Ekerot decentralisatie. Een camera kan zelfstandig in het netwerk gehangen worden en daar beelden opnemen, of als daar centraal om wordt gevraagd. Ekerot stelt dat het juist belangrijk is dat de camera

nog zelfstandiger kan beoordelen welke beelden belangrijk zijn, en welke niet. Ekerot: “Door deze decentralisatie van de intelligentie wordt het heel makkelijk om camera’s toe te voegen aan een netwerk. Dit is mogelijk door een chip in de camera’s te bouwen die Digital Signal Processing (DSP) ondersteunt. De camera is dan in staat om onder bepaalde voorwaarden te reageren op de beeldinformatie die binnenkomt.” Een simpel voorbeeld van deze techniek is bewegingsherkenning. Is er beweging in het zichtveld van de camera, dan wordt de vastgelegde informatie doorgestuurd, opgeslagen, en er kunnen zelfs waarschuwingen verstuurd worden. De ontwikkeling van specifieke toepassingen voor dit soort camera’s wordt door Axis overgelaten aan partners. Met de Vapix API kunnen partners tal van toepassingen ontwikkelen die aansluiten bij de wensen van hun klanten. “Een erg populaire toepassing is de mensenteller,” vertelt Ekerot. “Die doet precies wat je verwacht: de camera registreert het aantal mensen dat door het beeld beweegt. Vooral in winkels is dit een ideale manier om te registeren hoeveel klanten er dagelijks in een winkel komen. Als dit softwarematig wordt gekoppeld met het aantal betalende klanten, dan wordt die informatie nog waardevoller.” Een tweede populaire toepassing is Tripwire of D-fence. Hiermee wordt een bepaald gebied binnen het zichtveld van de camera bepaald waarop de camera reageert. Dit kan bijvoorbeeld toegepast worden in magazijnen waar kostbare goederen opgeslagen zijn. Als iemand over een denkbeeldige lijn stapt (om iets

10-08-2006 17:02:17

Slimme camera’s • Attachment

te stelen) reageert de camera door de beelden vast te leggen, en door eventueel zelfs een alarm te versturen naar de bewaking. Dit is slechts een greep uit de toepassingen die door middel van de Vapix API uitgebreid en verfijnd kunnen worden voor geavanceerde bewegingsanalyse en de koppeling met andere datasystemen. Vertoont iemand bijvoorbeeld afwijkend gedrag als hij door een parkeergarage loopt, dan kan dit feilloos worden vastgesteld door een intelligente netwerkcamera.

Biometrie “De mogelijkheden met intelligente videoanalyse zijn eindeloos,” vertelt Ekerot. “Zo werken we samen met een bedrijf dat zich bezighoudt biometrische gezichtsherkenning. Zij ontwerpen algoritmes voor het herkennen van gezichten aan de hand van bepaalde gezichtskenmerken die niet door plastische chirurgie te manipuleren zijn, zoals de afstand tussen twee pupillen. In combinatie met Axis camera’s kan dit van groot belang zijn bij het vinden van voortvluchtige terroristen. Als je naar Amerika gaat wordt je vingerafdruk genomen, maar ze maken tegenwoordig ook pasfoto’s voor dit soort doeleinden.” Worden deze technieken ook ingezet bij grote instanties als de CIA of onze eigen AIVD? Ekerot: “Daar mag ik geen uitspraken over doen, maar over het algemeen zijn het organisaties als ziekenhuizen, vliegvelden en de spoorwegen. We bedienen zes segmenten: logistieke organisaties, overheden, industrie, scholen, winkels en financiele instellingen. Kort gezegd dus voor beveiliging tegen diefstal, vandalisme, terrorisme, maar ook voor voorraadbeheer, het volgen van vervoersmiddelen en dat soort zaken.”

Netwerkbeveiliging Beveiliging is een belangrijk aspect van intelligente netwerkcamera’s. Beelden zijn niet zomaar af te tappen, omdat de data via het beveiligde netwerk wordt ver-

NOP0606_p78-79_Attachment_Slimme79 79

stuurd. Dat illustreert Ekerot met een voorbeeld: “In de film Oceans Eleven wordt op een gegeven moment ingebroken in een bank en daarbij wordt de beveiligingscamera onbruikbaar gemaakt door videobeelden van de bewaakte ruimte af te tappen, op te nemen, en deze in een lus terug te sturen naar de monitor. Met een intelligente IP-camera zou dit niet mogelijk zijn, omdat het onderdeel is van het beveiligde netwerk. Je kunt er niet zomaar iets inpluggen, of erbij komen, zonder dat dit centraal wordt opgemerkt. Er zijn tal van mogelijkheden om de communicatie tussen de camera en het netwerk optimaal te beveiligen.”

Privacy

ceptabel is, dan zou het kunnen, maar onder de huidige wetgeving, bijvoorbeeld in Europa, zou dit nooit mogen.” Maar misschien komt een dergelijke wereld wel steeds dichterbij. Zo levert de Amerikaanse bevolking sinds 9/11 steeds meer vrijheden in onder het mom van beveiliging tegen terrorisme. Dat geldt ook al voor Engeland sinds de bomaanslagen in de metro, en wie weet hoe ver dit zich zal ontwikkelen? Misschien is men op een gegeven moment zo gewend geraakt aan deze verminderde privacy dat er ook commercieel van gebruik gemaakt mag worden. Misschien is dat dan acceptabel onder het motto: “Als je iets te verbergen hebt maak je bezwaar, anders niet.”

Andere films belichten juist heel futuristische aspecten van intelligente beeldanalyse. De film Minority Report bijvoorbeeld, waarin Tom Cruise als agent-van-de-toekomst probeert moordenaars op te pakken voordat ze een moord plegen. In de toekomstwereld van deze film zijn er videocamera’s die de ogen van personen scannen als ze op straat lopen. Hiermee worden ze geïdentificeerd en vervolgens krijgen ze gepersonaliseerde reclame te zien op het moment dat ze langs reclameborden lopen. Is dat iets wat we in de toekomst kunnen verwachten met intelligente cameratechnologie? Ekerot: “Dat is zeker mogelijk, maar de vraag is of we dat willen. We hebben sterk te maken met bijvoorbeeld de privacywetgeving. In een samenleving waar een inbreuk op die privacy wel ac-

Hoe ziet Magnus Ekerot eigenlijk de toekomst van intelligente videocamera’s? Ekerot: “Ik denk dat we steeds meer intelligente elektronica zullen zien in camera’s. Ik denk ook dat dit soort camera’s steeds vaker en veelvuldiger ingezet zullen worden. Denk aan heel geavanceerd biometrisch onderzoek en dat soort zaken. The sky is the limit. Ik denk dat deze camera’s ook diensten zullen gaan verzorgen. Bijvoorbeeld dat je een sms’je ontvangt als een camera langs de snelweg concludeert dat er file staat op jouw route. Daarnaast natuurlijk beter beveiliging in gebouwen, op evenementen en op straat. Het is onmogelijk om te voorspellen wat er allemaal precies gaat gebeuren, maar de mogelijkheden zijn eindeloos.” Y

Toekomst

79

10-08-2006 17:03:00

Trick & Traps

Tricks & Traps FAQ’s beantwoord door onze experts Vraag We hebben Adobe Reader 7 geïnstalleerd op onze terminal servers, dat veelvuldig gebruikt wordt door alle gebruikers. Daarnaast willen we nu voor een selecte groep gebruikers Adobe Acrobat aanbieden. We krijgen het product echter niet geïnstalleerd.

Antwoord Als bij het gebruik van Adobe Acrobat in een terminal serversessies (met RDP of ICA) de melding ‘An error has been detected with required application library and the product cannot continue’, dan komt dit doordat de versie van de toepassing die je gebruikt niet werkt op terminal server. De demoversie van het product, maar ook de winkelversie (retail) van het product, werken beide niet op terminal servers. Je moet een licentie en cd-rom aanschaffen onder het volumecontract van Adobe (Adobe Open Options

Vraag Op onze Windows Server 2003 terminal server zijn 25 Terminal Server Client Access licenties per device geïnstalleerd. Doordat terminal server voor ieder device een nieuwe licentie uitgeeft is het maximale aantal licenties bereikt. We hebben echter veel werkplekken die slechts sporadisch worden gebruikt voor toegang tot de terminal server. Mijn vraag is of uitgegeven licenties ingetrokken kunnen worden of dat eventueel de leasetime kan worden verkort, zoals dat bij bijvoorbeel dhcp het geval is.

Antwoord De licenties op terminal servers gebaseerd op Windows Server 2003 worden na uitgifte teruggegeven als ze tussen de 52 en 89 dagen niet gebruikt zijn. Deze periode is willekeurig en kan niet

NOP0606_p80-84_Trick&Traps_(+ad_81 81

programma). Ongeacht in welke volgorde je beide producten installeert, Adobe Acrobat wordt altijd gekoppeld aan de bestandsextensie pdf. Adobe Acrobat wordt standaard gestart als een gebruiker op een pdf-bestand klikt, terwijl Adobe Reader zou moeten openen voor het merendeel van de gebruikers. Om dit te corrigeren open je in Windows Explorer in het menu Tools de keuze Folder Options. Vervolgens ga je naar Folder Associations en blader je naar de regel waar ‘pdf’ wordt gedefinieerd. Verander de associatie door hier in plaats van Adobe Acrobat te kiezen voor het programma Adobe Reader. Het is echter nogal omslachtig om dit voor elke terminal server afzonderlijk te doen en bovendien zul je dit bij elke nieuwe terminal server die je in je organisatie plaatst opnieuw moeten uitvoeren. Om dit te automatiseren kun je een script maken, door te monitoren (bijvoorbeeld met regmon) wat er gebeurt in het register terwijl je de genoemde aanpassing doet.

worden beïnvloed. Ook is het helaas niet mogelijk de standaard leasetijd van Client Access licenties te verkorten of licenties vrij te geven.

Vraag We hebben een Windows Small Business Server 2003 ingericht en willen een toepassing aanbieden met terminal server. We krijgen dit echter niet aan de praat. Terminal Services is weliswaar aanwezig, maar als we dit proberen om te schakelen van Remote Desktop For Administration Mode naar Multi-User Mode krijgen we de melding dat we dit met Add/Remove Programs moeten doen. Als we dat doen ontbreekt alleen de component terminal server bij de Windows-componenten. We komen niet verder met dit probleem. Wat moeten we doen?

Antwoord Op een Windows Small Business Server 2003 is alleen Remote Desktop for Administration aanwezig. Terminal Services in Application Mode wordt niet ondersteund. De redenen waarom dit niet mogelijk is, zijn te herleiden aan de hand van de adviezen die gehanteerd worden bij het inrichten van Windows Server 2003 Terminal Server. Terminal Server wordt afgeraden op domain controllers, omdat die beter afgeschermd zijn en geen ‘lokale’ interactieve gebruikers via het netwerk toestaan. Aangezien Small Business Server 2003 ook een domain controller rol heeft, is het gebruik van terminal server niet mogelijk. Bovendien is het erg onverstandig om interactieve (desktop-)toepassingen op een multi-user omgeving te combineren met back-office (database) toepassingen en file- en print

10-08-2006 17:07:42

NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Tricks & Traps Titel: Vraag en antwoord Auteur: Marcel Beelen Pagina’s: 81 - 82

services. Ook hierdoor is Small Business Server ongeschikt voor terminal server. Microsoft raadt aan om na het inrichten van de Small Business Server 2003, een tweede server te installeren, voorzien van Windows Server 2003 en hierop Terminal Server als rol in te schakelen. Door deze server lid te maken van het Small Busines Server domein wordt deze dienst dan toch geïntegreerd aangeboden. Als alternatief voor een tweede server ingericht als terminal server, zou je gebruik kunnen maken van de Remote Web Worksplace van Small Business Server. Je hebt dan weliswaar niet de terminal server desktop ter beschikking, maar wel bijvoorbeeld Outlook (Web Access).

Vraag We hebben pas besloten om onze Citrixfarm op te waarderen van MetaFrame XP naar Presentation Server 3.0. We hebben hiertoe de gehele farm opnieuw ingericht en alle toepassingen opnieuw geïnstalleerd. Nu lijkt alles netjes te werken. Alle gebruikers kunnen hun toepassingen bedienen, behalve dat we als beheerder niet langer kunnen inloggen met het RDP-protocol. We gebruiken dit voor beheer op afstand van de terminal servers, net zoals ze andere Windows Server 2003 systemen op deze wijze beheren. Bij inloggen krijgen we de melding ‘The desktop you are trying to open is currently unavailable only to Administrators…’, terwijl we toch echt proberen in te loggen met Adminstrator-rechten. Verder lijken alle RDP-instellingen in orde. Wat is er aan de hand?

Antwoord Als je Presentation Server 3.0 installeert, past de installatieprocedure de instellingen aan zodat het alleen toegestaan is om gepubliceerde toepassingen te bedienen en geen volledig bureaublad. Start Citrix Connection Configuration en dubbelklik op de listener voor het RDP tcp-protocol. Klik daarna op Advanced en verwijder onder Initial Program het vinkje bij Only launch Published Applications. Het feit dat je inlogt onder Administrator-rechten maakt dus niets uit en de

melding is dus ietwat verwarrend. Onder Presentation Server 4 is deze standaard instelling aangepast en hier zou dit probleem dus niet mogen voorkomen.

Vraag Wij overwegen een gedeeltelijke overstap naar Linux op de desktop te maken bij specifieke gebruikers. Om daarop toch Windows-toepassingen te kunnen blijven gebruiken, willen we Citrix Presentation Server inzetten, waarmee we onze bedrijfskritische toepassingen aanbieden als gepubliceerde toepassingen. We krijgen echter de ICA-client van Citrix die hiervoor noodzakelijk is wel geïnstalleerd op de Linux-werkplekken, maar het programma start niet op. Hoe is dat mogelijk?

Antwoord In een aantal Linux distro’s ontbreekt een module die door de laatste Citrix ICA-client versie 9.x gebruikt wordt, namelijk de ‘Open Motif runtime libraries and executables’ (libXm.so.3). Veel Linux-varianten gebruiken nog een eerdere versie (libXm.so.2). Je kunt het beste de correcte library downloaden. Als alternatief is het mogelijk een over te stappen of terug te gaan naar een oudere ICA-client werken als dat acceptabel is.

Vraag Op onze Windows Server 2003 gebruiken we terminal server met Citrix Presentation Server. Regelmatig wordt onze helpdesk gebeld met de klacht dat Microsoft Word lijkt te hangen. Ingetikte karakters verschijnen niet in beeld en een paar seconden later worden ze alsnog getoond. Zelfs als we de server monitoren met Perfmon wordt er gedurende die hangperiode niets gelogd. Kunnen we dit vervelende euvel verhelpen door bijvoorbeeld meer geheugen in de server te stoppen?

Antwoord Dit is een regelmatig voorkomend probleem. Een server hoeft niet per se overbelast te zijn maar het kan zijn dat een aantal processen samen een bepaalde

systeemresource vereisen. Hoogstwaarschijnlijk is het niet de hoeveelheid intern geheugen dat het probleem veroorzaakt. Op Windows Server 2003 kun je de zogenaamde Advanced Performance inschakelen. Microsoft raadt aan om dit alleen te doen op harde schijven die redundant zijn uitgevoerd met een extra voeding. Advanced Performance verbetert weliswaar de prestaties maar verhoogt het risico op gegevensverlies als de voeding van een schijf uitvalt. Je schakelt deze optie in door met de rechtermuisknop op My Computer te klikken en in het menu dat verschijnt Manage te selecteren. Onder System Tools klik je op Device Manager. In het rechter vensterdeel blader je naar de schijf die je wilt aanpassen, klikt er met de rechtermuisknop op en selecteert Properties. Klik vervolgens op het tabblad Policies en activeer het vakje Enable Write Caching en sluit vervolgens af met een druk op de knop OK. Je bent er dan echter nog niet. Het is tevens noodzakelijk enkele registerinstellingen te maken op de terminal servers en fileservers. Deze aanpassingen staan toegelicht bij Microsoft op http://support.microsoft.com/kb/324446/en-us.

Vraag Wij willen graag met terminal serverfunctionaliteit aan de slag om Windows-toepassingen te bedienen. Een randvoorwaarde van het management is echter wel dat dit tevens mogelijk moet zijn op een Palm. Is er een RDCclient voor Palm?

H

A

Antwoord Microsoft heeft géén RDC-client en Citrix heeft géén ICA-client voor PalmOS. Er is wel een RDC-client te koop bij www.mochasoft.dk, maar formeel ondersteunt die alleen toegang naar Windows XP Professional werkplekken en niet naar terminal servers. Maar het sowieso slim om met het management in discussie te gaan over welke Windows-toepassingen zinvol en te bedienen zijn op het kleine schermpje van de ondersteunde Palm-types. Y

M g u p

0

D

NOP0606_p80-84_Trick&Traps_(+ad_82 82

10-08-2006 17:07:51

Active B

Features. Focus. Labreports. Server-based computing & Virtualisatie. Altijd overal aanwezig

Recommend Documents