VAKBLAD VOOR DE NETWERK- & SYSTEEMBEHEERDER
NUMMER 5 - JULI/AUGUSTUS '04
Serverbased computing
&
Access Infrastructure Interview CEO Citrix Systems:
“Van product naar oplossing”
In dit nummer Citrix-certificering onder het mes • Van toegangssoftware naar toegangsdienst met GoToMyPC • Aan de slag met Program Neighborhood Agent • Publiceer je browser • Eenvoud met SSL VPN-appliances • Test: 8 thin clients vergeleken • Betere toegangsbeveiliging met 2-factor authenticatie • 05 Virtueel overleggen met Conferencing Manager • Linux op de desktop met nr. 5 | jul/aug .04 LTSP • Nader bekeken: Citrix MetaFrame Presentation Server 3.0, Secure NL | € 6,80 BE | € 7,40 8 710966 108499 Gateway for MetaFrame Presentation Server en Softricity Softgrid
Colofon NetOpus Postbus 3389 2001 DJ Haarlem Telefoon redactie: (023) 543 00 00 Fax redactie: (023) 535 96 27 E-mail redactie:
[email protected] Redactie Rogier Mostert (hoofdredacteur) E-mail:
[email protected] Vormgeving Marijn Wegman Michaël Oudejans Medewerkers Rémy Habets Uitgever Wouter Hendrikse Traffic Marco Verhoog Media Order & Marketing coördinatie Jane Degenaar Commerciële zaken Tom van Tol Secretariaat Mirella van der Willik Boekhouding Rene de Muijnck Geeta Hobo Directie Wouter Hendrikse Richard Mul P&O en Algemene Zaken Hans Nusselder (dir.) Hoewel aan NetOpus door de redactie en de uitgever uiterste zorg is besteed, aanvaarden de redactie noch de uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in het blad en/of op de website. Reproductie van artikelen, of andere redactionele bijdragen op welke wijze dan ook is alleen toegestaan na schriftelijke toestemming van de uitgever. Copyright © 2004 Haarlems Uitgeef Bedrijf.
Prepress & Druk Senefelder Misset Doetinchem Distributie Betapress Abonnementen Haarlems Uitgeef Bedrijf B.V. Ingrid van der Aar Postbus 3389 2001 DJ Haarlem Telefoon: (023) 536 44 01 Fax: (023) 545 18 43 E-mail:
[email protected] Een abonnement wordt steeds automatisch voor eenzelfde periode verlengd tenzij u twee maanden voor de vervaldatum schriftelijk opzegt. Advertenties Martijn Daalder Telefoon: (023) 543 00 42 Fax: (023) 535 96 27 E-mail:
[email protected]
Bezoek ook onze nieuwe website www.netopus.nl
NetOpus is een uitgave van HUB uitgevers BV
Van de Redactie
Inhoud
Traditie
Up2Date
8
NetOpus zet de traditie van Windows & .NET Magazine voort en brengt net als in 2002 en 2003 ook dit jaar weer het server-based computing themanummer uit. Vorig jaar zagen we het al aankomen: de term ‘server-based computing’ moet opgaan in iets groters, mooiers en beters: de access infrastructure (toegangsinfrastructuur). Deze term is door Citrix in gebruik genomen om de nieuwe generatie producten en diensten te classificeren voor de ‘Access Infrastructure for the On-Demand Enterprise’, hetgeen zoveel betekent als toegangssoftware om overal en op ieder moment toegang te krijgen tot relevante bedrijfsinformatie. Wordt daarmee de term server-based computing weggesaneerd? In tegendeel, de technologie blijft bestaan en vormt zelfs het vlaggenschip van de access infrastructure van Citrix. Om die reden vind je op de cover van deze NetOpus nog steeds dominant server-based computing terug en vormt dat onderwerp evenals Citrix het belangrijkste deel van de inhoud. Zo moesten we natuurlijk de jongste acquisitie van Citrix aan de tand voelen: de remote control dienst GoToMyPC en bekijken we enkele componenten van MetaFrame Presentation Server waaronder Secure Gateway. Verder vergelijken we in een uitgebreid Labreport enkele thin clients, die je kunt inzetten als pc-vervanging in combinatie met Terminal Server of MetaFrame Presentation Server. Hoewel de ontwikkelingen in IT-land erg snel gaan, blijkt veel informatie de tand des tijd toch te doorstaan. Een groot deel van de Windows & .NET/NetOpus themanummers van 2003 en zelfs 2002 is nog steeds bruikbaar en zelfs actueel. Beide magazines zijn voor geïnteresseerden compleet in PDF-formaat te downloaden via de website van NetOpus (zie de sectie Downloads op http://www. netopus.nl). Verder ben ik graag bereid per e-mail in te gaan op inhoudelijke opmerkingen, kritiek, meningen en vragen over het onderwerp.
Interview
12
Interview Mark Templeton
12
Van product naar oplossing
Analyse
14
Virtualisatie van werkplekken Mag ik eenmaal de enterprise suite van u
14 15
Features
16
Citrix-certificering onder het mes
16
Belangrijke veranderingen in kaart gebracht
Citrix MetaFrame Presentation Server 3.0
20
Wat brengt deze nieuwe versie?
GaNaarMijnPC
24
Van toegangssoftware naar toegangsdienst
Een seamless-omgeving implementeren
28
Aan de slag met Program Neighborhood Agent
Veilige toegang over het internet
30
Secure Gateway for MetaFrame Presentation Server
Publiceer je browser
34
Voor- en nadelen in kaart gebracht
OnTheInside
38
Verbeter je toegangsbeveiliging
38
2-factor authenticatie
Linux Terminal Server project
42
Meer Linux op de desktop
Nederland vergaderland
44
Virtueel overleggen met Conferencing Manager
Marketwatch
46
Server-based computing
46
Labreports
50
Dun, dunner, dunst
50
8 thin clients vergeleken
Een terminal server zonder toepassingen
60
Softricity Softgrid for Terminal Server
Sluit de poorten
62
Eenvoud met SSL VPN-appliances
Uitgelezen!
66
Server-based computing boeken
Marcel Beelen
[email protected]
Toolbox
68
Handige server-based computing freeware
68
Tricks & Traps
70
Vraag en antwoord
70
Attachment
72
Wild van spanning
72
UP2DATE
Nieuws uit de wereld van server-based i
Sneller lezen en schrijven
eens is verlengd. Dat is goed nieuws voor organisaties die nog niet willen migreren naar Windows Server 2003 Terminal Server. Microsoft biedt nu een minimum van 10 jaar ondersteuning (5 jaar algemene ondersteuning en 5 jaar verlengde ondersteuning). Online zelf-ondersteuning is verlengd van 8 jaar naar 10 jaar. De normale (mainstream) ondersteuning voor Windows 2000 Server loopt tot 30 juni 2005 en extended ondersteuning (extra aan te schaffen middels een onderhoudscontract) op Windows 2000 Server is nog mogelijk tot 30 juni 2010.
In server-based computing land kunnen we met software het geheugengebruik en het processorgebruik al optimaliseren. Op iForum 2003 in Orlando eind vorig jaar kwamen we een methode tegen om harde schijven te versnellen. Bij de hardwaregebaseerde oplossing vervang je simpelweg een scsi-disk door een Tigi-disk. Dit is een harde schijf in solid state geheugen. Hoewel de meeste prestatiewinst gehaald wordt voor database en webtoepassingen, worden MetaFrameomgevingen eveneens 100% tot 300% sneller.
8
Meer informatie: http://www.microsoft.com/lifecycle. i
Meer informatie: http://www.tigicorp.com i
VMware en EMC EMC heeft het in Palo Alto gevestigde VMware voor ongeveer 635 miljoen dollar overgenomen. Met VMware kan EMC de strategie van virtualisatie verder uitbreiden. Dit is goed nieuws voor alle VMware-fans, omdat VMware nu meer kans maakt tegen Microsoft. Microsoft heeft Virtual PC 2004 in december op de markt gebracht na de acquisitie van Connectix en zal Virtual Server 2005 binnenkort vrijgeven.
Meer informatie: http://www.vmware.com. i
Windows 2000 End-of-Life verlengd Terminals Services in Windows 2000 Server vormt in combinatie met Citrix MetaFrame het meest gebruikte platform voor server-based computing. Microsoft heeft per 1 juni de ondersteuningslifecycle gemoderniseerd waardoor de ondersteuningsperiode op Windows 2000 even-
juli/augustus 2004
\\ NetOpus
ABC-award CDG heeft besloten de Thinnovation Award om te dopen tot de ABC-Award (het Applicatie Beschikbaarheid Concept). Hiermee wordt de trend van server-based computing richting toegang en beschikbaarheid versterkt. De winnaar van deze award, die bedoeld is voor opmerkelijke en innovatieve of bijzondere projecten, is dit jaar het project ‘Solides Corporate Governance’ van de Modulair Info Groep (http://www.modulair.nl). Een eervolle vermelding kregen Ab Ovo (http://www.abovo.nl) met het project ‘Martinair’ op de tweede plaats en IT Oost Nederland (http://www.iton.nl) met het project ‘de Vos Groep bv’ op de derde plaats. Als het goed is heb je inmiddels kennis gemaakt met de uitgebreide reclamecampagne van CDG in juni, op radio en diverse web sites. Het ABC-boekje (blauw dit jaar) met case studies is gratis te verkrijgen.
Meer informatie: http://www.cdg.nl/blauweboekje
UP2DATE
computing i
MetaFrame 1.8 End-of-life
i
Citrix is met de verkoop van MetaFrame 1.8 gestopt op 31 maart van dit jaar. Heb je een omgeving die gebaseerd is op MetaFrame 1.8, dan kun je nog tot 31 maart 2005 MetaFrame Presentation Server Platform Transition Kits (PTK’s) aanschaffen. Hiermee kun je tot die tijd MetaFrame 1.8 installeren en heb je het rechtdit later op te waarderen naar MetaFrame XP. De ondersteuning op MetaFrame 1.8 eindigt op 31 december 2005. Citrix schat dat nog ongeveer 30% van de klanten MetaFrame 1.8 gebruikt.
Meer informatie: http://www.citrix.com. i
Global ISV Partner of the year Eind 2003 is Citrix door Microsoft aangewezen als de allereerste ‘Microsoft Global Independent Software Vendor Partner of the Year’. Deze award is toegekend aan Citrix vanwege onder andere de beste klantoplossing gebruikmakend van Microsoft-technologie, de goede productintegratie en de betrokkenheid met Microsoft wereldwijd. Citrix is als winnaar gekozen uit de 35 Global ISV Partners waaronder naast Citrix ook Computer Associates, Peoplesoft en Symantec behoren.
i
Secure Global Desktop Tarantella verschaft helderheid over de serverbased computing producten. Het overgenomen product van NewMoon genaamd Canaveral iQ, gaat verder door het leven onder de naam Secure Global Desktop Terminal Service Edition. Het is een add-on voor terminal servers dat seamless windows, web computing en bijvoorbeeld load balancing biedt op basis van het Microsoft RDPprotocol. Het product is ‘gratis’ mits je een tweejarig softwareonderhoudscontract aanschaft voor $59,95 per gebruiker. Het eigen product Tarantella Enterprise 3 gaat verder als Secure Global Desktop Enterprise Edition en is het toegangsproduct tot server-based computing en andere resources binnen organisaties.
Blade Load Balancer Een opmerkelijk product is Blade Load Balancer van de firma HOB. Omdat een bladepc met terminal server beschouwd kan worden als een terminal server voor één gebruiker, kan deze ook als dusdanig gebruikt worden. In combinatie met HOBLink Secure (een SSL Secure Proxy) en het product Blade Load Balancer kan iedere Windows XP Professional werkplek, centraal op blades en zelfs decentraal, in een pool worden ingezet en gebruikt worden op het LAN, of over het Internet. HOB’s Blade Load Balancer is een alternatief voor de (nog niet in Europa verkrijgbare) Consolidated Client Infrastructure van HP (zie Analyse elders in deze NetOpus).
Meer informatie: website http://www.hobsoft.com.
Meer informatie: http://www.tarantella.com. i
Meer energie met PowerFuse Real Enterprise Solutions heeft versie 7.01 van de populaire toepassing PowerFuse voor serverbased computing (en tegenwoordig ook werkplekken) op de markt gebracht. Veel nieuwe mogelijkheden zorgen voor verdergaande integratie van bestandstypes op de server en lokaal. Verder is het geheugenbeheer verbeterd doordat niet-actieve toepassingen anders worden behandeld en ook het processorgebruik is geoptimaliseerd door met prioriteiten te werken. Erg handig is Instant LogOff. Hierbij worden profielen verwijderd nadat de gebruiker heeft uitgelogd. Het uitloggen wordt hierdoor aanmerkelijk versneld. Y
Meer informatie: http://www.respowerfuse.com.
NetOpus // juli/augustus 2004
9
Citrix iForum 2004 Edinburgh is ook in 2004 weer even het territorium geweest van Citrix en haar aanhangers. Van 7 tot 9 juni kon je op iForum 2004 terecht om de jongste Citrix-producten te bekijken en de laatste trends te ontdekken op het gebied van server-based computing. Heb je dit altijd boeiende samenzijn gemist? Geen nood, want NetOpus was er ook dit jaar weer bij samen met meer dan 1300 andere deelnemers, waarvan ongeveer 150 uit Nederland.
10
Na een openingswoordje van EMEA vice-president Stefan Sjöström is de eer aan CEO Mark Templeton om dit jaar de eerste presentatie te geven. Hij legt enthousiast uit waarom organisaties een access strategy nodig hebben. Het op zichzelf heldere verhaal, is eigenlijk hetzelfde als dat van Bob Kruger vorig jaar. Ook Templeton toont de ‘virtual workplace’ video die al sinds 2001 gebruikt wordt (te bekijken op http://www.go-eol.com/whitepapers/movies/vir tual_workplace.mpg). Je zou kunnen zeggen dat er niets nieuws te melden is, maar een meer logische interpretatie is dat Citrix nu een consistente richting heeft gekozen en daaraan vasthoudt. Zo’n 70% van de deelnemers is nieuw op iForum, dus voor hen is het verhaal eveneens nieuw. Keith Turnbull, vice-president product development, gaat dieper in op client devices. Hij voorspelt dat werkplekken en clients nog heel lang heterogeen en moeilijk onder controle te krijgen zullen zijn. Hij haalt het voorbeeld aan van zijn dochter die thuis steeds Kazaa installeert. Als die pc verbinding maakt met het bedrijfsnetwerk heb je potentieel een onveilige situatie. Deze is deels te voorkomen met end-point-security (dat in de product-roadmap van Citrix voor 2005 genoemd is). Turnbull toont enkele nieuwe mogelijkheden van de producten zoals SmoothRoaming waarbij een virtuele werkplek transparant kan worden overgenomen, of worden verplaatst naar een ander apparaat met een andere resolutie en formaat. Tot slot praat EMEA vice-president Stefan Sjöström op het podium met een klant (de IT-manager van United Business Media) die veel kosten bespaard heeft. Het interview klinkt te voorbereid en brengt daardoor wat Oprah-sfeer in de zaal.
juli/augustus 2004
\\ NetOpus
MetaFrame voor UNIX De rest van de dag en de gehele woensdag kun je één presentatie kiezen uit vier parallelle tracks met lezingen. Op deze wijze kun je ongeveer 10 van de in totaal 40 presentaties bijwonen. Er zijn een aantal technische presentaties over MetaFrame Presentation Server, die volle zalen trekken, zoals het verhaal over printoptimalisatie in een MetaFrame Presentation Server omgeving. Maar het zal duidelijk zijn dat er evenzoveel presentaties over de nieuwe producten zijn, gemengd met case studies van klanten en enkele sessies van analisten. Opmerkelijk dat MetaFrame voor UNIX meer in de picture komt met twee lezingen. Gepland is een nieuwe versie van dit product en omdat de versienummers meer gesynchroniseerd worden, zal dit versie 3.0 worden. Sommige presentaties, zoals die over nieuwe Management Console trokken wonderbaarlijk genoeg weinig luisteraars.
Geen nieuwtjes Op iForum 2004 zijn dit jaar geen echte nieuwtjes bekend geworden, niet van Citrix en niet van de exposanten. In vergelijking met voorgaande jaren is iForum 2004 iets formeler geworden en raakt de pit er een beetje uit, wat ook te merken is bij enkele sprekers. Dit maakt deelname overigens niet minder boeiend en leerzaam. Met veel lezingen, veel exposanten, uitgebreide mogelijkheden om te netwerken en de ambiance van de omgeving blijft iForum de moeite waard en heb je tijd te kort. Het is een bijeenkomst om ook volgend jaar in de agenda te noteren zodra de datums bekend zijn. Maar misschien wordt het voor de organisatoren in 2005 wel tijd voor een iForum op een andere locatie in Europa, waardoor weer ruimte gemaakt kan worden voor ludieke acties, een informelere enthousiaste sfeer en met hopelijk weer eens wat innovatieve productaankondigingen ter plekke. Y
De lezingen komen beschikbaar op: http://www.citrixiforumedinburgh.com
INTERVIEW
Mark Templeton “Van product naar oplossing” Specialisten op het gebied van server-based computing worden een beetje onrustig. Systeem- en netwerkbeheerders die verantwoordelijk zijn voor een infrastructuur gebouwd op MetaFrame Presentation Server of een eerdere versie, ervaren dat de afstand tot Citrix en de nieuwe producten groter wordt. Behalve onrust beschrijven ook een zekere ontevredenheid en onzekerheid de gevoelens over wat Citrix aan het doen is. NetOpus legde de gevoelens van deze – voorheen toch erg positief gestemde – beheerders voor aan Mark B. Templeton, CEO en president van Citrix Systems.
12
D
e Citrix marketingcampagne is sterk gericht op CIO’s en directeuren van organisaties. De bedoeling is om op dat niveau naamsbekendheid te creëren en ‘access’ te verbinden met Citrix. Het lijkt alsof de personen die het daadwerkelijke beheer uitvoeren simpelweg worden vergeten. Een groep van ict-specialisten krijgt de vele vernieuwingen die Citrix buiten het server-based computing product doorvoert niet mee of begrijpt de stap naar de toegangfilosofie niet. “Dat is een interessant probleem voor ons,” zegt Mark Templeton. “We hebben daar een mogelijke verklaring voor. Als je één product hebt, weliswaar met zeer uitgebreide mogelijkheden, dan kun je de gehele verkoop en marketing richten op het product, de transactie of het project. Als je echter meer producten hebt die in staat zijn samen te werken wordt het belangrijk de focus te verleggen van het systeem of product zelf naar de oplossing van een bedrijfsprobleem. Bij veel beheerders die dagelijks in de praktijk met Citrixcomponenten of server-based computing werken, ligt de focus nog op het systeem zelf.” De vraag is hoe Citrix denkt de ontbrekende groep beheerders te betrekken bij de nieuwe softwareoplossingen voor toegang. De noodzaak voor de transitie van ‘systeem’ naar ‘oplossing’ zal inzichtelijk gemaakt moeten worden. “In een onderzoek dat we hebben gedaan, blijkt dat er 230 bedrijven zijn die verschillende componenten leveren die met ‘access’ te maken hebben,” aldus Templeton. “We beschou-
juli/augustus 2004
\\ NetOpus
wen deze niet als concurrenten maar als afzonderlijke fabrikanten van componenten.”
Auto-industrie Templeton vergelijkt Citrix met de auto-industrie. Om een auto te maken heb je een leverancier nodig van banden, maar die concurreert niet met de leverancier van stoelen. Het zijn aanvullende componenten die, nadat je ze samenbrengt met de motor en andere componenten, één systeem vormen dat een auto wordt genoemd. Wat Citrix probeert te doen, is klanten te laten zien dat ze een auto nodig hebben en geen nieuwe wielen voor de auto. “Van ons koop je dan het chassis, de wielen, de motor, de versnelling en de remmen. Je wilt deze van één fabrikant, omdat deze onderdelen dan goed geïntegreerd zijn en goed samen functioneren. Maar dan heb je nog geen auto. Als klant wil je een auto, een access infrastructure, dus moet je nog stoelen en dergelijke toevoegen. Wij geloven dat je enkele fundamentele onderdelen nodig hebt om toepassingen te tonen, dynamische te organiseren op het scherm en om een gecontroleerde gebruikerservaring te bieden aangevuld met beveiligingscomponenten en beheeronderdelen. Daarna moet het geheel goed samenwerken met andere componenten”, verklaart Templeton. Hij verwacht dat de twijfelende groep systeem- en netwerkbeheerders op een bepaald moment dit concept zal inzien en de componenten en nieuwe producten zal omarmen. “Dit zal onze uitdaging voor de komende jaren zijn. Toen ik pas bij Citrix werkte, spraken we van remote windows, na ongeveer een jaar hebben we onze ideeën bijgestuurd naar thin client/server-computing en weer een jaar later hebben we het server-based computing genoemd. Het heeft dus meer dan twee jaren geduurd om te transformeren, dus nu zal dit ook zeker meerdere jaren duren,” meent Templeton.
Betere server-based computing Er is nog een andere groep beheerders te onderscheiden. Dit zijn server-based computing specialisten en aanhangers die zeer tevreden zijn met de technologie en er allerlei grote en kleine problemen in hun organisatie of bij klanten mee oplossen. Bij
INTERVIEW
deze groep beheerders merk je enige ontevredenheid en vooral onbegrip over hetgeen Citrix aan het doen is. De specialisten voelen zich gepasseerd en smeken Citrix: geef ons geen Conferencing-oplossing of Password Manager, maar zorg alsjeblieft voor een nog betere server-based computing infrastructuur. Verbeter liever de printmogelijkheden, ontwikkel een component om slimmer met profielen en policies te kunnen omgaan, of voeg een hulpmiddel toe om het geheugen- en processorgebruik te reguleren. En probeer vooral om Microsoft voor te blijven met serverbased computing. “Als je kijkt naar onze investering in Presentation Server, dan zie je dat we ook deze keer meer functionaliteit hebben toegevoegd dan ooit. We zullen dat ook blijven doen, want het is nog steeds de essentie van onze organisatie,” antwoord Templeton. “Als je kijkt waar we ons geld aan uitgeven, is dat nog steeds Presentation Server.” Beheerders voelen zich geforceerd naar de nieuwe technologie. Als je alleen maar server-based computing wilt doen, word je bijvoorbeeld verplicht een examen in een ander product zoals Password Manager af te leggen, om je CCA- of CCEA-certificeringsstatus te handhaven. “We hebben hier intern uitgebreid over gesproken: willen we een productcertificatie of een systeemcertificatie? De access infrastructure boodschap, de access suite, is natuurlijk helemaal nieuw, en je weet hoe het is met nieuwe ontwikkelingen: er zijn mensen die je wakker moet maken om naar nieuwe dingen te kijken en dat is moeilijk. Maar er zijn ook beheerders die zelf producten zien, ze in overweging nemen en erin slagen er wonderbaarlijke dingen mee te doen waarvoor het zelfs niet eens ontwikkeld is. Citrix hoopt door aan alle componenten en producten in de access suite een meerwaarde toe te voegen, de aandacht te krijgen van alle systeem- en netwerkbeheerders. “Het kost tijd om van een idee en het leggen van de eerste steen, tot een complete oplossing te komen. Naast het toevoegen van opties en mogelijkheden en het verbeteren van producten, worden wij zelf ook beter in het uitdragen van ons verhaal en we zullen dit steeds maar weer blijven herhalen. We denken dat uiteindelijk ook de server-based computing specialisten pur-sang zullen inhaken.”
Technische vernieuwingen Vervolgens stapt Mark Templeton naar het white board om te vertellen welke technische snufjes we op niet al te lange termijn (“very soon”) kunnen verwachten. De jongste acquisitie van Motivus zal leiden tot aan-
vullende componenten in Secure Access Manager. Hierdoor kan naast server-based toegang en de bestaande onderdelen van het product, toegang worden gegeven tot fileservers, webservers, mailservers en dergelijke. Minstens even belangrijk is het gebruikte apparaat, of de gebruikte werkplek. “Als we het hebben over end-point-security wordt al snel gedacht aan een product dat de conditie van het apparaat controleert, bijvoorbeeld of er een virusscanner is geïnstalleerd. Citrix zal deze typische end-pointsecurity zaken gaan ondersteunen, maar waar het echt om gaat, is de authenticatie en detectie van zowel het apparaat als de eindgebruiker. Eindgebruiker authenticatie is uiteraard nu al mogelijk, maar apparaat authenticatie is nieuw. Welk apparaat is het, wie gebruikt het op welke locatie voor welke handelingen? Citrix zal niet al deze onderdelen gaan ontwikkelen of zelfs leveren, maar zorgt ervoor dat ze worden samengebracht,” verklaart Templeton. In ontwikkeling is een Business Information Policy service voor Presentation Server en de access suite. Op basis van het apparaat wordt bepaald wie wat mag op het betreffende apparaat, maar ook wat mogelijk is. De toegang tot alle informatie in het backoffice wordt geregeld door combinaties van centraal opgeslagen rules. De omgeving voelt waar een gebruiker werkt en past de informatie daarop aan. Stel je werkt op afstand met een groot beeldscherm en die werkplek mag toegang hebben volgens de gestelde regels, dan krijg je volledige Outlooktoegang met een lokaal geïnstalleerde toepassing. Log je vanaf een kiosk in, dan wordt automatisch een gepubliceerde Outlook aangeboden omdat het systeem herkent dat je op een onveilige locatie werkt. Op een pda, zal vanzelf de webvariant worden geboden, maar die is aangepast voor het kleine beeldschermformaat. Met deze ‘user interface refactoring’ en ‘information transforms’ binnen de Business Information Policy oplossing wordt toegang pas echt transparant. “Citrix moet zorgen voor een oplossing die simpel en goedkoop te implementeren is, en positioneert zich tussen een oplossing waarbij slechts configureren nodig is en een oplossing waarbij softwareontwikkeling noodzakelijk is. Omdat het voor ons belangrijk is samen te werken met ander producten, is het mogelijk om de user interface van Secure Access Manager uit te schakelen. Je kunt dan bijvoorbeeld IBM’s Websphere gebruiken en daarnaast toch rolgebaseerde beveiliging, ‘user interface refactoring’, ‘information transforms’ en andere nieuwe mogelijkheden van de access suite gebruiken.” concludeert Templeton. Y
NetOpus // juli/augustus 2004
13
ANALYSE
Virtualisatie van werkplekken Het idee is simpel en zo voor de hand liggend. Waarom hebben we dit niet eerder bedacht om het probleem van het werkplekbeheer te vereenvoudigen? Als we toch alles virtueel maken, van opslagsystemen tot servers waarom dan ook niet de werkplekken?
V
14
erplaats alle pc’s naar het datacenter van je organisatie en installeer op die machines Windows XP Professional. Zorg er met werkplekbeheersoftware voor dat deze centraal geplaatste pc’s voorzien worden van toepassingen. Maak de werkplekken onafhankelijk van de gebruiker door instellingen enzovoort met roaming profiles op achterliggende file servers (in de vorm van NAS of SAN) te plaatsen. Als een gebruiker inlogt op zo’n pc wordt de noodzakelijke omgeving met default printer, de eigen screensaver, achtergrondkleuren en meer geladen en kan de gebruiker aan de slag op ‘zijn’ pc. Helaas kunnen niet alle gebruikers van je bedrijf in het datacenter achter een pc kruipen op de vele honderden of meer werkplekken. Het zou wel een erg drukke en dure locatie worden met alle vierkante meters nodig voor pc’s en bureaus. Blade- en serverbased computing technologie lossen samen ieder een deel van de problemen op. Blades zijn complete pc’s (tot voor kort feitelijk servers) op één board, die je in een 19” rack schuift. Blades nemen zeer weinig ruimte in en er passen honderden pc’s in een 19” rack. Dit vereist uiteraard speciale voorzieningen zoals een achterliggende SAN/NAS voor storage en systemen die zeer weinig warmte produceren. De blade-werkplekken worden door de medewerker gebruikt door ze een thin client (zie ons Labreport later in deze NetOpus) te geven. Deze thin client vormt de fysieke werkplek, die niets anders doet dan verbinding maken met de Terminal Services van Windows XP Professional. De virtuele werkplek is een feit, tenminste bijna. Er ontbreekt nog één component, namelijk toegangssoftware. Hoe weet de thin client met welke blade-pc verbinding gemaakt moet worden? Je kunt moeilijk de medewerker op zijn thin client laten kiezen uit een lijst van honderden beschikbare pc’s. En wat doe je als de gebruiker een
juli/augustus 2004
\\ NetOpus
pc selecteert die al in gebruik is of als een gebruiker zijn sessie verliest door een probleem met de verbinding? Een stukje middleware - ook gebruikt in de server-based computing wereld - lost dit op: load balancing. De thin clients gebruiken load balancing om te bepalen welke blade-werkplek op dat moment ongebruikt is. Daarna wordt de thin client werkplek verbonden met een vrije blade-pc, en na authenticatie wordt de omgeving (het profiel) van de medewerker op de Windows XP-pc geladen. Na uitloggen worden wijzigingen weer bewaard op de servers en wordt de Windows-werkplek weer vrijgegeven voor een volgende kandidaat. HP brengt de oplossing in de Verenigde Staten commercieel op de markt onder de noemer Consolidated Client Infrastructure (CCI). In Europa wordt CCI voorlopig nog niet verwacht maar een gelijkwaardige oplossing in Europa wordt wel al geboden door ClearCube (www.clearcube.com). CCI is een infrastructurele vermenging van centraal en decentraal beheer, met enkele voor- en nadelen van serverbased computing en enkele voor- en nadelen van desktop management. De totale oplossing is echter niet eenvoudig. Om de blade-pc’s te beheren, imagen en toe te kennen aan farms gebruikt HP het product van Altiris. Altiris is tevens de beheeromgeving voor de thin clients. Met behulp van Network Load Balancing op iedere Windows XP Professional bladepc en een Windows Server 2003 sessie-directory worden farms gemaakt en sessies onderhouden. Omdat blade-pc’s als ‘farms’ worden aangeboden aan gebruikers, is er sprake van gelijktijdigheid. Een één-op-één verhouding van thin clients en blade-pc’s is niet nodig. Hoe meer medewerkers op een gemiddeld moment van de dag vergaderen, verlof hebben of op dienstreis zijn, des te minder blades je in de pool nodig hebt. Het aantal benodigde systemen is in deze oplossing wel hoger dan traditionele pc’s of thin clients met server-based computing. De tijd zal ons leren of deze Consolidated Client Infrastructure (CCI) architectuur, uiteindelijk een plaatsje vindt naast ‘dikke’ pc’s met enterprise beheersoftware en server-based computing met pure thin clients. Toch lijkt dit niet de geboorte van de ultieme ‘werkplek van de toekomst’. Y
ANALYSE
Mag ik eenmaal de enterprise suite van u Als je als klant een suite van toepassingen koopt, dan schaf je een set toepassingen aan die op allerlei manieren sterk met elkaar verweven is. De commerciële verwevenheid van de toepassingen is vaak duidelijk.
D
e onderdelen uit de suite kun je los aanschaffen, maar door ze als één geheel te kiezen heb je daar als bedrijf allerlei voordelen bij. Een belangrijk voordeel is dat de totale suite goedkoper is dan de individuele onderdelen uit de suite. Verder kies je voor de producten van één fabrikant, met als gevolg dat je dus ook maar één aanspreekpunt hebt bij vragen of problemen en dat je slechts één onderhoudscontract hoeft af te sluiten. Je hebt het voordeel van de one-stop shop. Citrix heeft vorig jaar ‘MetaFrame’ ingevoerd als handelsmerk en Presentation Server, Secure Access Manager, Password Manager en Conferencing Manager gebundeld in de MetaFrame access suite. En zoals de naam al aangeeft: de suite verbreed Server-based computing tot ‘toegang’. De basis van de suite wordt gevormd door MetaFrame Presentation Server, het server-based computing platform dat we allemaal wel kennen. Met de overname van Sequoia Software is het access portal verkregen en doorontwikkeld tot de tweede telg uit de suite van Citrix: Secure Access Manager. Het derde product is Conferencing Manager, om samenwerken met toepassingen binnen Server-based computing mogelijk te maken. Met het product van Passlogix, gedoopt tot Password Manager, is het vierde product in de nieuwe suite geboren. Citrix is op weg zich met deze access infrastructure filosofie en producten van een toekomst te verzekeren, mocht over tien jaar server-based computing op houden te bestaan als gevolg van web services of andere ontwikkelingen. Kijkend naar de aanschaf, het onderhoud en de marketinginspanningen voldoet de access suite commercieel aan de definities van een suite en is Citrix succesvol de toegangsmarkt aan het betreden.
Een vraag die je kunt stellen, is of de suite compleet en logisch is opgebouwd. Kijkend naar de producten die in veel gevallen aangeschaft worden als aanvulling op die van Citrix, dan zou je als ontbrekende onderdelen van de suite toepassingen kunnen noemen om printerbeheer, gebruikersomgevingsbeheer en prestatiebeheer te regelen. En in de toegangsmarkt zien we bijvoorbeeld zeer regelmatig hard- en software voor authenticatie en soms software voor identiteitenbeheer. Conferencing als vast onderdeel in de suite, is weer niet geheel logisch. Immers, waar je voor al je medewerkers de andere onderdelen nodig kunt hebben, is Conferencing lang niet voor iedereen noodzakelijk. Wie weet, hebben we over een jaar of vijf, twee Citrix access suites. Ik stel me een ‘Citrix Professional Access Suite’ voor, die naast Password Manager en Secure Access Manager is voorzien van software en hardware voor authenticatie en software voor gebruikers- en prestatiebeheer, maar zónder Conferencing. De ‘Citrix Enterprise Access Suite’ zou daar bijvoorbeeld Conferencing en software voor identiteitenbeheer aan toe kunnen voegen. De toepassingen binnen een suite moet ook technisch een suite vormen. Op dit moment zijn de producten uit de access suite weliswaar tot op zekere hoogte samenwerkende toepassingen, maar ze zijn nog lang niet geïntegreerd. Belangrijke zaken voor een suite vormt bijvoorbeeld eenduidig licentiebeheer met een overkoepelende licentiemanager applicatie voor alle onderdelen. Een suite beheer je met één en dezelfde beheeromgeving en beheertools. De onderdelen uit de suite moeten ook op dezelfde wijze de infrastructuur ondersteunen, zoals directory servers, database-toepassingen, mailomgevingen, browsers en client-besturingssystemen. Deze technische integratie van de producten in de suite zorgt ervoor dat ze samen meer waarde hebben dan de som van de individuele producten. Met andere woorden, ook de ict-architect, de ict-projectleider en de beheerder moet de producten als een suite ervaren. Citrix zal nog wat inspanningen moeten leveren om de bestaande onderdelen van de suite ook technisch een ‘echte’ suite te laten vormen. Y
NetOpus // juli/augustus 2004
15
Citrix-certificering onder het mes Belangrijke veranderingen in kaart gebracht Met de annoncering van de nieuwe producten van Citrix in 2003 was te verwachten dat de certificeringen onder het mes moesten. Dat is heeft plaatsgevonden en sinds 1 mei is het nieuwe certificeringprogramma in productie. De verschillen voor en na die datum zijn redelijk omvangrijk. De hoogste tijd dus om er bij stil te staan.
16
C
itrix-opleidingen, examens en certificeringen zijn gerestyled. Belangrijk is dat de certificering nu niet meer alleen garant staat voor pure kennis over server-based computing, maar dat daarnaast kennis over de nieuwe producten is toegevoegd. Bovendien zijn de eisen die gesteld worden aan de certificering iets opgeschroefd en naast reguliere opleidingen met een examen, zijn eLearning-opleidingen inclusief een online examen in die eLearning-sessie verplicht geworden. Verder heeft Citrix een strak beleid uitgestippeld in het verlopen van certificaten en het beschikbaar zijn van examens. Tot slot is de nieuwe certificering Citrix Certified Infrastructure Architect (CCIA) toegevoegd aan de bestaande diploma’s Certified Citrix Administrator (CCA) en Citrix Certified Enterpise Edministrator (CCEA).
De nieuwe producten Citrix’s server-based computing product MetaFrame Presentation Server wordt zeer veel gebruikt. Certificering hierin is dan ook redelijk populair. Wereldwijd zijn er zo’n 45.000 CCA’s. Dit zijn personen die zich bezighouden met server-based computing op basis van MetaFrame. Citrix is de enige die
juli/augustus 2004
\\ NetOpus
certificering biedt op dit vakgebied. Voor Terminal Server heeft Microsoft geen speciale opleidingen of examens, hoewel het onderwerp zijdelings wel ter sprake kan komen in de Windows Server examenmodules. De nieuwe producten van Citrix hebben feitelijk niets meer te maken met server-based computing. Of je nu Password Manager, Conferencing Manager of Secure Access Manager bekijkt, het zijn producten die functionaliteit bieden voor wachtwoordbeheer, elektronische vergaderen en webtoegang. Ze werken uiteraard samen of bovenop de terminal server rol en Presentation Server, maar dat geldt voor vele honderden andere toepassingen van derden ook. Binnen de nieuwe certificering ben je verplicht je te verdiepen in de nieuwe producten. Op zichzelf is daar niets op tegen, maar het nieuwe certificaat wordt hierdoor méér een Citrix-productcertificaat dan een server-based computing certificaat. Maar goed, het certificaat heet dan ook niet voor niets Citrix Certified Administrator en het dekt dus wel de lading.
Studeren over het internet Bijzonder is dat Citrix heeft besloten eLearningopleidingen verplicht toe te voegen aan de certifice-
CERTIFICERING
ring. Citrix doet dit niet zelf, maar heeft dit uitbesteed aan Accenture. Je moet via het Web cursussen volgen van ongeveer één tot twee uur, met eraan vast een eveneens elektronisch bijpassend examen. Slaag je hiervoor, dan heb je een module van de certificering gehaald. Je kunt jezelf afvragen hoeveel waarde dit examen heeft. Je kunt immers de documentatie en het geïnstalleerd product op je eigen systeem ernaast houden. Als je zakt voor het eExamen kun je tot 50 keer gratis de eLearning-cursus opnieuw volgen, maar je zult wel steeds opnieuw moeten betalen voor het (her)examen. Er is een gratis demonstratie van eLearning mogelijk op de website van Citrix nadat je jezelf hebt geregistreerd. Een eLearningmodule bestaat onder meer uit slides met diverse animaties, oefenvragen en demonstraties met geluid. Er zijn tientallen eLearning-modules beschikbaar, maar deze zijn lang niet allemaal specifiek toegekend aan een examen (hoewel zeker zinvol voor het examen). Zie http://www.citrix.com/edu voor meer informatie.
Uiterste houdbaarheidsdatum Citrix-certificeringen staan er om bekend dat ze relatief lang hun geldigheid behouden. Daar komt nu verandering in, want er is een nieuw beleid samengesteld waarin is vastgelegd wanneer certificeringen verlopen. Op de website vind je een tabel met alle examens en verloopdatums. Je vindt in het overzicht twee datums, te weten: retired en discontinued. De datum ‘retired’ geeft aan dat een examen niet meer af te nemen is en dat bovendien het certificaat bij dit examen verlopen is. Eigenlijk is het certificaatbeleid nu erg eenvoudig: een examen is niet langer geldig voor het behoud van certificering na de vrijgave van de tweede hoofdrelease van dat het examen. Concreet betekent dit dat na het beschikbaar komen van het examen voor MetaFrame Presentation Server 3.0, de examens van 1.x niet meer geldig zijn (MetaFrame 1.8 wordt beschouwd als versie 1.x en MetaFrame XP Presentation Server wordt gezien als versie 2.x). Ben je nu CCA in MetaFrame 1.8 dan verloopt je certificering dus op het moment dat de examens voor 3.0 op de markt komen. De tweede datum onder ‘discontinued’ geeft aan dat je dit examen niet langer kunt laten afnemen maar dat het certificaat nog wel geldig blijft. Een examen wordt zes maanden na de vorige hoofdversie gediscontinueerd, ofwel 30 dagen na de vorige subversie van dit examen.
Op de website van Citrix kun je een wizard oproepen, die je eerst vraagt welke certificering je wilt behalen en wat je reeds behaalde examens zijn. Daarna krijg je een overzicht van alle examens die je in jouw situatie nog moet behalen en een eventuele waarschuwing over het verlopen van je bestaande examen.
De opleidingen en examens Om CCA te worden en te blijven, moet je slagen voor examen 222 en één van twee mogelijk eLearningexamens in ofwel Password Manager, ofwel Secure Access Manager. Deze extra verplichte examens zorgen ervoor dat per 1 mei alle CCA’s hun verworven status kwijt zijn geraakt als ze geen extra examen hebben gehaald. Zeer opmerkelijk is dat examen 310 ‘Citrix MetaFrame 1.0 for UNIX’ met de bijbehorende opleiding ‘CTX-3021 Citrix MetaFrame for UNIX Operating Systems’ als alternatief geldt voor examen 222, maar alleen binnen CCA. Wil je CCEA worden dan telt dit examen daarvoor wonderbaarlijk genoeg niet in mee, terwijl de UNIX-editie van het product toch juist bij ‘enterprises’ gebruikt wordt. CCEA’s hebben een bredere en diepere kennis over Citrix MetaFrame Presentation Server en over andere producten uit de Citrix MetaFrame Access Suite. Het verplichte traject omvat vier examens met als onderwerp MetaFrame Presentation Server en twee verplichte examens die je kunt kiezen uit twee tracks. Twee van deze zes examens hebben weinig tot niets met server-based computing te maken. Je kunt kiezen uit een MetaFrame Secure Access Manager track of een MetaFrame Password Manager track. In tabel 1 zie je alle actuele CCA/CCEA-examens en opleidingen daarbij weergegeven. Dit lijstje is aan veranderingen onderhevig, want van examens komen af en toe nieuwe releases en er zijn verschillende nieuwe aanvullende examens in ontwikkeling. De eind april uitgekomen MetaFrame Presentation Server 3.0 is hierdoor niet opgenomen in de tabel. Verder zijn al aangekondigd 1451AW Citrix MetaFrame Access Suite: Security Fundamentals en 1452AW Citrix MetaFrame Access Suite Licensing: Architecture and Administration. In tabel 1 zie je ook de nog geldige oudere examens. Als je die hebt gehaald is het verstandig te kijken hoe lang deze nog geldig zijn voordat je de ‘certified’ status verliest. De Citrix Certified Integration Architect (CCIA) is een nieuwe certificering. Naast het standaard examen 222, zijn er twee aanvullende examens nodig en je moet kunnen aantonen dat je één ontwerpexamen van Microsoft hebt gehaald. In eerdere publicaties van Citrix waren tevens Novell en Cisco examens op
NetOpus // juli/augustus 2004
17
dit lijstje opgenomen, maar die ontbreken op dit moment in de officiële lijst. Verder is het verplicht deel te nemen aan een hands-on lab als afsluiting van deze certificering. Er is geen opwaardeer- of migratietraject voor CCEA’s die CCIA willen worden. Naast deze certificeringen heeft Citrix een CCI-certificaat voor Citrix Certified Instructors, gecertificeerde docenten die les mogen geven op CALC’s (Citrix Authorized Learning Centers) en een CCSP-certificaat voor Citrix Certified Sales Professional.
Hoeveel gecertificeerde beheerders?
18
Citrix heeft tevens een overzicht gemaakt hoeveel gecertificeerden een bedrijf die Citrix-producten gebruikt, zou moeten hebben. Het zal je niet verrassen dat dit erg hoog is ingeschat en dat in de praktijk geen enkel bedrijf in Nederland deze adviezen kan opvolgen. Zo zou een kleinere omgeving bestaande uit één site, minder als 25 servers, minder als 20 gepubliceerde toepassingen of minder als 1500 gelijktijdige gebruikers maar liefst twee CCA’s als beheerder, één CCEA onder de netwerkbeheerders en één CCIA onder ict-architecten moeten hebben (of inhuren). Voor de duidelijkheid, het betreft hier fulltime capaciteit (FTE’s dus). Voor organisaties tot 76 servers, 2 tot 5 sites, maximaal 50 gepubliceerde toepassingen, of maximaal 4000 gelijktijdige gebruikers adviseert Citrix twee of drie beheerders met CCEA, twee netwerk/beveiligingsmedewerkers die CCA zijn, drie CCA’s op de helpdesk en één CCIA onder de ICT-architecten. Bedrijven die boven de laatstgenoemde aantallen servers, sites, toepassingen, of gelijktijdige gebruikers komen, zouden in totaal tien of meer CCEA’s en twee of meer CCIA’s in dienst moeten hebben. Deze aantallen zijn aanbevelingen van Citrix.
Marketinginstrument of kennis? De vraag is of beheerders wel zo blij zijn met de nieuwe certificering. Certificering moet tenslotte iets toevoegen aan je bedrijf en aan je eigen carrière. Door de certificering van Citrix word je gedwongen om je in toepassingen te verdiepen die misschien helemaal niet relevant zijn binnen je bedrijf. Veel bedrijven beschouwen Citrix als een fabrikant van een veelge-
bruikt server-based computing platform en zijn niet geïnteresseerd in de andere onderdelen van de suite. Soms is er al een webconferencing-oplossing in gebruik, of gebruikt men al software om het gebruik en beheer van identiteiten en wachtwoorden te verbeteren. Om webtoegang te geven zijn misschien alternatieven in huis, of wordt een eigen enterprise portal ontwikkeld. Het was logischer geweest om een certificering met verschillende niveaus te handhaven voor MetaFrame Presentation Server en om een aanvullende certificering te ontwikkelen voor de andere producten in de suite. Al filosoferende zou je dus naast een CPA (Citrix Presentation Server Administrator) en een CPEA (Citrix Presentation Server Enterprise Administrator) ook nog een CAA (Citrix Access Administrator) en CAEA (Citrix Access Enterprise Administrator) willen. Maar Citrix heeft anders besloten. De vernieuwde certificering is commercieel gezien erg slim, want Citrix verplicht beheerders van bedrijven om minimaal één van de nieuwe producten te bestuderen. Dat geldt zelfs als je ‘slechts’ verantwoordelijk bent voor het dagelijks beheer van één of meer servers voorzien van Presentation Server. Citrix vergeet even dat beheerders van Windows-servers (met of zonder MetaFrame Presentation Server) vaak andere personen bij het bedrijf zijn, dan die zich bezighouden met webtoegang en beveiliging. Sterker nog, veel beheerders zijn niet zo geïnteresseerd in webcomputing en portals; dit is vaak een zaak van applicatieontwikkelaars en applicatiebeheerders. Het goede nieuws is wel dat de nieuwe producten slechts een fractie uitmaken van de totale kennis die je moet bezitten voor het certificaat CCA en CCEA. De nadruk ligt nog steeds op Presentation Server en dus server-based computing. Pas bij CCIA komt de suite wat meer naar voren. Met de nieuwe certificering verliest de titel CCA en CCEA iets van zijn charme voor beheerders bij organisaties en wordt het meer een aangelegenheid voor partners en consultants die de Citrix-producten implementeren bij klanten. Jammer, want daarmee wordt certificering meer en meer een marketinginstrument dan een middel om daadwerkelijke kennis aan te tonen binnen bedrijven. Y
Tabel 1 - CCA/ CCEA-certificering Verplichte examens - CCEA (donkere en lichte vlakken)/ CCA (donkere vlakken) Examen 222 - Citrix MetaFrame XP Presentation Server, Feature Release 3: Administration Opleiding 1222BB - Citrix MetaFrame XP Presentation Server Feature Release 3: Administration Nog geldige oudere examens: 218 Citrix MetaFrame 1.8, 220 Citrix Metaframe XP 1.0 Administrator of 221 Citrix MetaFrame XP FR2 Administrator
juli/augustus 2004
\\ NetOpus
CERTIFICERING
Examen 913 - Citrix MetaFrame XP Presentation Server, Enterprise Edition, Feature Release 3: Administration Opleiding 2622BB - Citrix MetaFrame XP Presentation Server, Enterprise Edition, Feature Release 3: Administration Nog geldige oudere examens: 910 Citrix Resource Management Services of 911 Citrix Resource Manager samen met 920 Citrix Installation Management Services of 921 Citrix Installation Manager
Examen 962 - Citrix MetaFrame XP: Securing and Deploying Applications over the Web Opleiding: 1227AI - Citrix MetaFrame XP: Securing and Deploying Applications over the Web Nog geldige oudere examens: 930 Citrix Secure ICA/Security of 931 Citrix Secure Gateway samen met 950 NFuse Administration & Certification, 951 Citrix NFuse Classic 1.51 Administration of 961 Citrix NFuse Classic with Enterprise Services
Examen 992 - Citrix MetaFrame XP Presentation Server, Feature Release 3: Deployment and Support Opleiding 1235BB - Citrix MetaFrame XP Presentation Server, Feature Release 3: Deployment and Support Nog geldige oudere examen: 991 Citrix Advanced MetaFrame Administration
Verplichte keuze track 1 of track 2 - CCA (donkere vlakken)/ CCEA (donkere en lichte vlakken) track 1
Track 2
CTX-1300BW Citrix MetaFrame Secure Access Manager 2.2:
CTX-1320AW Citrix MetaFrame Password Manager:
Introduction
Introduction
Nog geldige oudere examen: 1300AW Citrix MetaFrane Secure Access Manager: Introduction
Examen 721 – Citrix Metaframe Secure Access Manager:
Examen 972 - Citrix MetaFrame Password Manager:
Administration
Administration
Opleiding 1301AI Citrix MetaFrame Secure Access Manager:
Opleiding 1321AI - Citrix MetaFrame Password Manager:
Administration
Administration
Tabel 2 - CCIA-certificering Verplichte basis-examens – CCIA Examen 222 - Citrix MetaFrame XP Presentation Server, Feature Release 3: Administration Opleiding 1222BB - Citrix MetaFrame XP Presentation Server Feature Release 3: Administration Nog geldige oudere examens: 218 Citrix MetaFrame 1.8, 220 Citrix Metaframe XP 1.0 Administrator of 221 Citrix MetaFrame XP FR2 Administrator
Examen 610 - Citrix Core Technologies and Architecture Opleiding 6100 - Citrix Core Technologies and Architecture
Examen 611 - Citrix Design, Integration and Methodology Opleidingen: 6101AI Citrix MetaFrame XP Presentation Server: Design and Integration, 6102AB Citrix Web Access: Design and Integration, 6103AB Citrix Methodology: Successful Implementation of Citrix Solutions
Verplicht voor CCIA – één derde-partij examen, te kiezen uit: Examen Exam 70-219: Designing a Microsoft Windows 2000 Directory Services Infrastructure Examen 70-220: Designing Security for a Microsoft Windows 2000 Network Examen 70-221: Designing a Microsoft Windows 2000 Network Infrastructure Examen 70-226: Designing Highly Available Web Solutions with Microsoft Windows 2000 Server Technologies Examen 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure Examen 70-298: Designing Security for a Microsoft Windows Server 2003 Network
Verplicht voor CCIA – Hands-on praktijk Examen 612 - Citrix Certified Integration Architect Lab Opleidingen: 6100 Citrix Core Technologies and Architecture, 6101AI Citrix MetaFrame XP Presentation Server: Design and Integration, 6102AB Citrix Web Access: Design and Integration, 6103AB Citrix Methodology: Successful Implementation of Citrix Solutions
NetOpus // juli/augustus 2004
19
Citrix MetaFrame Presentation Server 3.0 Wat brengt deze nieuwe versie? MetaFrame XP Presentation Server is verkrijgbaar sinds 2001. Na drie feature releases is het nu tijd voor een compleet nieuwe versie. Het onder codenaam Hudson ontwikkelde product is eind april 2004 op de markt gebracht als MetaFrame Presentation Server 3.0. 20
M
etaFrame Presentation Server 3.0 maakt deel uit van de Citrix MetaFrame Access Suite 3.0 naast MetaFrame Conferencing Manager 3.0, MetaFrame Secure Access Manager 2.2 en MetaFrame Password Manager 2.5. Het server-based computing vlaggenschip Presentation Server is onder handen genomen en biedt enkele heel aardige mogelijkheden. Naast opties als het kunnen verbergen van gepubliceerde toepassingen, een consistentere en betere feedback tijdens het inloggen, verschillende policy-uitbreidingen met onder meer filtering op servergroep, IP-adres of gebruikersnaam en verbeterde mogelijkheden om het beheer te delegeren en zones in te richten, zijn enkele opvallende zaken toegevoegd. We bekijken een selectie daarvan.
Licensing, licensing, licensing Als beheerder weet je inmiddels dat licensing in een server-based computing omgeving vanaf het begin al een kleine ramp is. Het begint met de Terminal Services CAL’s op Windows 2000 Server, die een verplichte licentieserver op een domain controller vereisen. Dit is aangepast onder Windows Server 2003 waarbij de licentieserver op een losse server geïnstalleerd kan worden. Om redenen van redundantie is het slim twee van deze licentieservers in te richten. Met enige regelmaat raak je licenties kwijt, of moet je
juli/augustus 2004
\\ NetOpus
het Microsoft Clearing House bellen om de licentieserver, of losse licenties te heractiveren. Werk je met MetaFrame 1.8 dan worden de licenties opgeslagen lokaal per server, wat erg onhandig is als je werkt met server-images. Om dit te verbeteren is er bij MetaFrame XP voor gekozen de licenties serveronafhankelijk te maken en deze op te slaan in de overkoepelende datastore van de farm. Relatief handig om te bekijken en te activeren vanuit de overkoepelende Citrix Management Console, maar met een nogal omslachtig activeringsproces. Om dat enigszins te verbeteren heeft Citrix vorig jaar een hulpprogramma mlicense uitgebracht. Met MetaFrame Presentation Server 3.0 verandert licensing drastisch. Licenties worden ontkoppeld van de datastore en zelfs van Presentation Server en je moet een aparte licentieserver inrichten. Een extra single point of failure wil je natuurlijk niet, dus het is beter om er meteen twee van in te richten om voor redundantie te zorgen. De licentiemanager beheer je met een afzonderlijke License Management console die beschikbaar is op de licentieserver (die Internet Information Server moet draaien) en met een browser te bedienen is. Eventueel kun je met commando’s op de opdrachtregel de licenties beheren als je geen IIS wilt gebruiken. Er kleven een paar nadelen aan deze nieuwe licentiestrategie. Om te beginnen heb je twee extra machines nodig als licentieserver, wat je architectuurplaatje en het beheer complexer maakt. Het delen van deze taak met een ander systeem is wel mogelijk maar wordt afgeraden in wat grotere omgevingen. In een overgangsfase heb je te maken met zowel de oude als de nieuwe licentiemethodiek en tools, waardoor migreren complexer wordt en je de migratiefase zo kort mogelijk wilt houden. Het
CITRIX METAFRAME PRESENTATION SERVER 3.0
grote voordeel van de nieuwe licentieservers is dat je daadwerkelijk een centrale plek hebt voor al je licenties, ongeacht de locatie van je farms. Licenties hoeven niet langer geactiveerd te worden op de Citrix website, omdat je nu een licentiebestand kunt downloaden en op de licentieserver kunt plaatsen. Het maken van een back-up (en restore) van je licenties wordt hierdoor eveneens eenvoudig. Omdat er onder water gebruik wordt gemaakt van de FlexLM licentiemanager (van Macrovision, voorheen Globetrotter) krijg je een robuuste en veelgebruikte licentietool, die vooral in de UNIX-wereld al erg lang bekend en veelgebruikt is. Het leek in eerste instantie merkwaardig dat Citrix dit niet in als extra verkoopargument gebruikte, maar een maand na vrijgave van de Access Suite verscheen alsnog een persbericht over de samenwerking met Macrovision. De Citrix licentiemanager wordt gebruikt voor MetaFrame Presentation Server en voor Conferencing Manager maar helaas nog niet door de andere onderdelen van de suite.
Nieuwe beheertool De op Java gebaseerde Citrix Management Console (CMC) bestaat nog steeds. Met de access suite krijg je ook een nieuw beheerprogramma geleverd: een op Microsoft MMC gebaseerd programma. Hiermee kun je nog lang niet alle taken uitvoeren, maar vanaf dit programma kun je wel de overige beheerprogramma’s aanroepen. Met de MMC snap-in wordt een mooi ‘dashboard’ overzicht gegeven van de systemen, toepassingen en sessies. Op dit moment is het vooral een programma om te kijken en niet om instellingen te veranderen. Je kunt servers monitoren, ook als die zich in meerdere farms bevinden en uitgebreide rapportages maken die vooral bedoeld zijn voor het toetsen van SLA’s. Je kunt rapporten automatisch laten maken en ze bewaren in HTML-bestanden. De MMC werkt alleen optimaal samen met Presentation Server 3.0 en niet met eerdere versies. Bovendien is het Microsoft .NET raamwerk 1.1 noodzakelijk.
Eindelijk multimedia Eén van de belangrijke beperking van server-based computing is de snelheid die ervaren wordt op werkplekken die gebruik maken van multimedia en toepassingen met veel graphics. Onder MetaFrame XP moet je bijvoorbeeld Windows Media Player en de voor het videoformaat noodzakelijke codec, op de terminal server installeren om video af te spelen. De video wordt dan op de server gedecodeerd en via het ICA-protocol naar de werkplek gestuurd om te worden getoond in
de ICA-sessie. Dit kost niet alleen rekentijd op de server, maar het resultaat is ook abominabel en zelfs onbruikbaar. Onder MetaFrame Presentation Server kun je ervoor kiezen de video niet op de server af te spelen, maar op de werkplek. De video wordt in originele staat doorgestuurd naar de werkplek over de ICAverbinding, die vervolgens het bestand decodeert en afspeelt. Dit kost minder prestaties op de server en zorgt voor een video die soepeltjes loopt. Je moet dan wel op de werkplek media player geïnstalleerd hebben omdat daar componenten van gebruikt worden, evenals de benodigde codecs. Voor hybride omgevingen waar servergebaseerde toepassingen gebruikt worden op normale Windows-werkplekken is dit niet echt een probleem. Echter op andere besturingssystemen zoals Linux en Windows CE is dit nog niet mogelijk, maar dat is een probleem wat de fabrikanten van thin clients wel zullen oplossen. MetaFrame Presentation Server 3.0 ondersteunt AVI-, MPEG-, MPG- en ASF-bestanden op onder meer Windows Media Player en RealOne Player. WMAbestanden zijn mogelijk als je Windows Media Player 9 gebruikt. WMV, Real media en het QuickTime formaat worden niet ondersteund, evenals de Quicktime player zelf. Je kunt MP3’s afspelen vanaf de serversessie, echter ook alleen weer met Windows Media Player 9. Omdat multimedia gewoon van de server naar de client wordt verstuurd, zijn de eisen aan de bandbreedte normaal. Op een LAN werkt het streamen van video prima en over breedband werkt het in lage resoluties redelijk. Over tragere verbindingen als ISDN en zeker modem kun je multimedia vergeten. Sinds MetaFrame XP Feature Release 3 kun je in Internet Explorer al gebruik maken van enkele SpeedScreen opties om het werken met grafische afbeeldingen te versnellen. In de nieuwe release van het Citrix-product werkt SpeedScreen (optioneel) tevens in andere toepassingen, met verschillende typen afbeeldingen en Macromedia Flash. Omdat er nu compressie plaatsvindt, is de eindkwaliteit van de afbeeldingen weliswaar minder op de werkplek, maar net als met JPEG-compressie is dit voor gewoon gebruik niet of nauwelijks zichtbaar. SpeedScreen kan het verschil betekenen tussen het wel of niet kunnen werken met een centraal aangeboden toepassing op terminal server.
SmoothRoaming SmoothRoaming maakt het mogelijk om een sessie te ontkoppelen en om deze weer op te pakken op een andere werkplek met een andere resolutie en een afwijkend aantal ondersteunde kleuren. Naast het f
NetOpus // juli/augustus 2004
21
CITRIX METAFRAME PRESENTATION SERVER 3.0
ontkoppelen, kan een lopende sessie eveneens worden meegenomen naar een nieuwe werkplek, om deze op de eerdere werkplek te laten verdwijnen (een soort follow-me functie). Valt een sessie weg doordat er bijvoorbeeld latency op je netwerk is, dan blijft de beeldscherminformatie zichtbaar totdat de verbinding weer is hersteld, zonder opnieuw te moeten inloggen. De actieve werkomgeving wordt meegenomen van de ene naar de andere werkplek of van het ene apparaat naar het andere, zonder enige moeite of moeilijke handmatige handelingen.
RDC-ondersteuning Aardig is dat je vanuit Web Interface naast het ICAprotocol ook het RDP-protocol kunt gebruiken. Stel: je werkt op een kiosk ergens in de wereld en je opent de Web interface pagina om in te loggen. De lijst van gepubliceerde toepassingen wordt dan opgehaald en getoond. Vervolgens kun je met de eventueel geïnstalleerde RDC-client (bijvoorbeeld de Active-X component) verbinding maken met de terminal server. Uiteraard ontbreken dan de typische extra’s van MetaFrame Presentation Server, maar je kunt wel werken zonder een ICA-client te
hoeven installeren. Ook voor beheer op afstand is dit een handige functie.
ICA client versie 8 Om de mogelijkheden van Presentation Server 3.0 te kunnen gebruiken moet je de nieuwste versie van de client op de pc-werkplekken en thin clients installeren. Versie 8.0 van de ICA-client is beschikbaar voor het 32-bit Windows-platform, maar nog niet voor Linux en andere besturingssystemen. Een handig nieuwtje – waar vooral in de gezondheidszorg om gevraagd wordt – is de ondersteuning van bidirectionele audio. Je kunt een microfoon aansluiten op de client en het geluid doorgeven aan een toepassing binnen een sessie op de server. Een Office-toepassing op de sessie kan nu omgaan met stemherkenning vanaf de werkplek. De enige client waarvoor tevens een versie 8 is vrijgegeven, is Java. De Java-client heeft lange tijd belangrijke functies ontbeerd, maar haalt nu flink in. Laat je echter niet misleiden door het versienummer: er zijn verschillen tussen de 32bit ICA-client en de Java-client. Zo worden de multimedia versnellingsmogelijkheden door de Javaclient niet ondersteund. Y ADVERTENTIE
23
Ga naar mijn PC Van toegangssoftware naar toegangsdienst Met ‘toegang’ als filosofie en motto heeft Citrix één ernstige tekortkoming. Microsoft heeft server-based computing namelijk al in de vorm van het Remote Desktop Protocol opgenomen in de Windows XP Professional desktop. Hiermee loopt Microsoft een belangrijke stap vóór op Citrix: met de server-based computing client van Microsoft kan de eindgebruiker immers Terminal Servers evenals zijn eigen desktop op afstand bedienen. Met de oplossing van Citrix kun je weliswaar naar Windows- en UNIX/Linux-omgevingen, maar niet naar je eigen PC. Maar aan deze tekortkoming is nu een einde gekomen!
24
C
itrix heeft het bedrijf ExpertCity Inc. overgenomen om eigenaar te worden van het remote control product GoToMyPC. Door dit toe te voegen aan de MetaFrame Access Suite is Citrix in staat dezelfde functie te bieden die Microsoft in Windows XP Professional biedt: toegang tot de desktop ongeacht de Windows-versie. Toch is GoToMyPC geen gewoon remote control pakket: het is vooral een dienst die je maandelijks, of jaarlijks betaalt om erg eenvoudig via een internetverbinding toegang te krijgen tot je desktop. Het maakt daarbij niet uit of die desktop thuis staat en aangesloten is op een breedbandverbinding, of op het werk via een ander type vaste internetverbinding.
Wat heb je nodig? Je neemt een abonnement voor een maand, of een jaar voor het gebruik van de GoToMyPC dienst op www.gotomypc.com. Hierbij kun je kiezen voor een Personal, een Professional, of Corporate abonnementsvorm. De verschillen zitten hem vooral in de beheermogelijkheden en rapportagemogelijkheden voor grotere groepen gebruikers. De werkplek (op je bedrijf, of thuis) die je via een internetverbinding op afstand wilt bedienen wordt de host genoemd. Op deze computer moet je de toepassing GoToMyPC (zie afbeelding 1) installeren dat slechts enkele MB’s in beslag neemt. Het programma
juli/augustus 2004
\\ NetOpus
is verkrijgbaar via www.gotomypc.com. Het programma GOSETUP.EXE start wanneer je klikt op de download-knop, waarna een (mini)wizard je door de installatie zal leiden. Dit stelt echter weinig voor want je kunt alleen het installatiepad wijzingen mocht je dat willen. Tot slot moet je aan het eind van de installatie eenmalig inloggen op de website met je emailadres en het wachtwoord dat hoort bij het abonnement. Vervolgens wordt er gevraagd om een extra toegangscode. Deze code wordt op de host bewaard en vormt een extra beveiligingsstap. Je pc is nu gereed voor overname op afstand door een andere pc met een internetverbinding. De installatie is alleen nodig op de pc die je over wilt nemen. Op de werkplek vanaf waar je de remote sessie wilt initiëren (de guest) heb je een browser en een Internetverbinding nodig. Het remote control programma dat nodig is wordt de Universal Viewer genoemd. Dit programma van 200Kb wordt op het moment dat je verbinding zoekt met de host, geladen vanaf de gotomypc-website. Het besturingssysteem dat de guest gebruikt doet nauwelijks ter zake, want de viewer werkt op iedere Windows-versie, Windows CE, Mac, Linux, Unix en computers die zijn uitgerust met Solaris. Er is zelfs een PocketViewer die draait op Windows CE 4.x, Pocket PC 2002 en Pocket PC 2003. Om de host over te nemen dien je een browser te starten en de website van gotomypc te openen. Log vervolgens in met je e-mailadres en wachtwoord. Er komt een overzicht tevoorschijn met pc’s die je al hebt geregistreerd. Selecteer de gewenste pc uit de lijst om daar een verbinding mee te maken. Je voert het extra wachtwoord in dat je bij de installatie hebt opgegeven en na enkele seconden zie je de remote pc in een venster (of op het volledige scherm als je dat wilt). Wil je meer functionaliteit dan hetgeen de Universal Viewer biedt, dan bestaat de mogelijkheid om een client-toepassing te installeren die ook het overhalen van bestanden en printen ondersteunt. Remote control werkt razendsnel en is vergelijkbaar met andere snelle traditionele remote control toepassingen. Van het feit dat GoToMyPC al het verkeer via een communicatieserver in de VS stuurt heb je weinig last. De toepassing ondersteunt het toelaten van een gast die je tijdelijk wil laten meekijken. Ook op deze
GO2MYPC
extra werkplek hoeft geen client-toepassing geïnstalleerd te worden. Verder kun je bestanden kopiëren van en naar de host, kopiëren en plakken van gegevens van en naar de host, chatten en schermdelen markeren met een virtuele stift (zie afbeelding 2). Het is ook mogelijk af te drukken vanaf de host-sessie naar de printer aan de guest-zijde.
Beveiliging
medewerkers zich op bekende werkplekken toegang kunnen verschaffen. Expertcity (Citrix) is een Application Service Provider (ASP) die als dienst via Internet, tegen betaling van een abonnement, veilige en eenvoudige toegang regelt tot bedrijfs-pc’s en thuis-pc’s. Een bezwaar wat je nog steeds hoort, is dat je bij het afnemen van diensten van ASP’s een deel van je bedrijf in handen legt van derden. Dit is met GoToMyPC niet anders. Je vertrouwt erop dat het bedrijf ervoor zorgt dat privacy, beveiliging, redundantie en dergelijke goed heeft geregeld. In het geval van GoToMyPC worden alle gegevens tussen de host en guest versleuteld via een server bij de ASP verstuurd. Op de website van GoToMyPC vind je een kort white paper over deze beveiliging: je leest daarin bijvoorbeeld dat de computerruimte goed beveiligd is, dat servers met camera’s bewaakt worden, dat er routers en firewalls waken over het netwerkverkeer en dat er Sun hardware met Solaris 8 gebruikt wordt, bijgewerkt tot en met de laatste patches. Verder vindt onder andere beheer plaats met Secure Shell (SSH), zijn machines redundant uitgevoerd, wordt er load balancing gebruikt en worden er back-ups gemaakt. Al deze maatregelen zijn extreem belangrijk. Je wilt zeker weten dat het niet mogelijk is dat medewerkers van de ASP of hackers kunnen meekijken of zich toegang kunnen verschaffen tot de remote pc. Als je GoToMyPC vergelijkt met pcAnywhere, PC-duo of veel van de andere remote control oplossingen(zie NetOpus van maart 2004), dan is het vooral de f
Je kunt feitelijk weinig configureren en de standaardinstellingen zijn inclusief 128 bit AES-encryptie. De dienst werkt eenvoudig over firewalls heen, omdat alleen een uitgaande verbinding nodig is. Als je van buitenaf een verbinding wilt maken, verloopt dat via de website en de uitgaande verbinding van de host. Uiteraard moet je host-pc altijd ingeschakeld blijven. De bedrijfsversie van het abonnement heeft een beheeromgeving op de website waar je onder andere rechten kunt uitdelen, wachtwoorden kunt beheren, loginmogelijkheden en timeouts voor sessies die een tijdje niet meer gebruikt worden configureren , enzovoort. Uiteraard vindt er logging van de sessies plaats, zodat je kunt opvragen wie er binnen je bedrijf toegang heeft verkregen en wanneer. Deze gegevens worden vastgelegd in uitgebreide rapportages. Als je extra beveiliging wenst is het mogelijk gebruik te maken van bijvoorbeeld eenmalig werkende wachtwoorden, of authenticatie met SecurID-tokens. Op verzoek creëert het bedrijf op IP-adressen gebaseerde toegangslijsten zodat alleen geauthenticeerde
C Afbeelding 1 » Installeren van GoToMyPC
Innovatieve oplossing De werking is niet eens zo complex. De host-computer voorzien van de GoToMyPC-software, neemt met een vaste frequentie contact op met een server (poll.gotomypc.com) om kenbaar te maken dat hij beschikbaar is voor remote control. Deze server wordt de Broker genoemd. Omdat dit uitgaande communicatie is met een standaard protocol (http ping) werkt dit zonder verdere aanpassingen in de firewall. De host is geregistreerd op deze server en bij het verbinden vindt authenticatie plaats. Een guest die verbinding wil maken opent de website van Gotomypc, logt in en selecteert een pc uit het lijstje. Dan wordt de Broker benaderd via een versleutelde SSL-verbinding om te bepalen of het verzoek geldig is. Als dit het geval is worden beide pc’s voorzien van het IP-adres van een communicatieserver bij Gotomypc en wordt er een sessienummer toegewezen. Vervolgens vindt remote control plaats via deze communicatieserver, waarbij het verkeer wordt gecomprimeerd en versleuteld.
NetOpus // juli/augustus 2004
25
GO2MYPC
eenvoud die het meest in het oog springt. Installeren, configureren en gebruiken stellen werkelijk niets voor en kan door medewerkers met minimale pc- of Windows-kennis uitgevoerd worden. Aan de zijde van de guest is geen installatie nodig. Je kunt GoToMyPC zelf uitproberen door een gratis demo aan te vragen op de website. Er wordt wel gevraagd om je creditcardnummer, dat gebruikt wordt om na afloop van de demonstratieperiode het abonnement te verlengen als je tijdens de demo niet annuleert. Je kunt na invoeren van je e-mail de verdere registratie echter annuleren, nog vóórdat je een creditcardnummer opgeeft. Na enkele indringende mailberichten waarom je nog niet begonnen bent met de evaluatie, ontvang je alsnog een toegangscode om de dienst te testen zónder gebruik te maken van je creditcard. Hou wel rekening met een lange periode van mailberichten met aanbiedingen en vragen of je de dienst alsnog wilt aanschaffen. Hopelijk dat Citrix te zijner tijd deze irritante manier van zieltjes werven niet langer handhaaft, want in wezen valt dit gewoon onder de categorie spam.
Wat heeft Citrix aan GoToMyPC? GoToMyPC geeft veilig en eenvoudig toegang via ieder type verbinding en vanaf ieder type werkplek. Waar hebben we dat eerder gehoord? Het product past erg goed bij Citrix, met één verschil ten opzichte van de andere oplossingen van Citrix: GoToMyPC geeft toegang tot individuele PC’s in plaats van server-based computing omgevingen. De aankoop van GoToMyPC kan op langere termijn de beste aankoop blijken te zijn die Citrix ooit heeft gedaan. Het vult netjes de tekortkoming aan die is ontstaan doordat Microsoft het Windows XP Professional besturingssysteem heeft voorzien van remote desktopfaciliteiten. GoToMyPC is echter veel meer, het maakt toegang tot bedrijfs-pc’s zeer eenvoudig zonder gedoe met NAT, VPN en/of poorten in firewalls. Vooral kleinere en middelgrote bedrijven zullen door GoToMyPC bekend raken met Citrix als bedrijf dat eenvoudige toegang kan verschaffen. Grote bedrijven - die vaak al klant zijn van Citrix kunnen als gevolg van de acquisitie hun remote access mogelijkheden uitbreiden en alle oplossingen van één fabrikant kopen. Citrix verlaat meer en meer de wereld van server-based computing en stapt binnen in de wereld van de access infrastructure. Met GoToMyPC wordt Citrix zelfs Application Service Provider. Behalve GoToMyPC heeft Expertcity een ander product dat tevens overgaat naar Citrix: GoToAssist. Dit is een helpdesk-oplossing die op hetzelfde concept is gebaseerd. Vooralsnog zal er weinig tot niets veranderen aan
GoToMyPC en aan MetaFrame Presentation Server. Expertcity blijft met 200 medewerkers gewoon nog even in Santa Barbara gevestigd om met dezelfde directeur dezelfde producten verder te ontwikkelen. Voor marketing van GoToMyPC heeft Citrix een apart bureau ingeschakeld. Expertcity gaat verder onder de naam “Citrix Online, a division of Citrix Systems, Inc.” De website is te bereiken via www.gotomypc.com en www.citrixonline.com.
Conclusie GoToMyPC vormt een volledig losstaande omgeving naast de andere producten van Citrix. Bedrijven die al werken met MetaFrame Presentation Server krijgen door GoToMyPC een alternatieve methode erbij om toegang te verschaffen. Het zou mooi zijn als er tussen beide omgevingen kruisbestuiving plaats vindt. Zo kan GoToMyPC gebruik gaan maken van het ICA-protocol om goed te integreren met Presentation Server en de andere producten uit de suite. Uiteindelijk willen we als IT-afdeling natuurlijk bij voorkeur één presentatieprotocol en één toegangsmethode. Andersom kunnen onderdelen als Citrix Secure Gateway, web interface voor MetaFrame en Secure Access Manager gebruik maken van de GoToMyPC-technologie waarbij Citrix als ASP kan optreden voor grote bedrijven. Zo kan Citrix doorgroeien van ontwikkelaar van toegangssoftware tot aanbieder van toegangsdiensten. Deze integratie naar twee kanten is echter verre van eenvoudig en we hoeven in 2004 zeker geen vernieuwingen op dit gebied te verwachten. J
C Afbeelding 2 » Remote sessie via GoToMyPC
NetOpus // juli/augustus 2004
27
Aan de slag met Program Neighborhood Agent Een seam-less omgeving implementeren
28
Om met MetaFrame Presentation Server te communiceren wordt het programma Program Neighborhood veel gebruikt. Dit is één van de standaard ICA Win32 clients die je kunt downloaden bij Citrix. De ICA Win32 Web Client is eveneens te downloaden. Met deze client opent de eindgebruiker met de browser een webpagina waarop de gepubliceerde Windows-toepassingen verschijnen. Er is echter een alternatieve manier om gepubliceerde Windows-toepassingen te gebruiken waarbij de eindgebruiker noch een ICA-client, noch een browser hoeft aan te roepen.
W
il je op transparante wijze Windows-toepassingen aanbieden aan eindgebruikers, zonder dat deze handmatig een ICA-client moeten starten of met de browser een webpagina moeten openen, dan is Citrix Program Neighborhood Agent (PN Agent) een mooi maar minder bekend alternatief. Gelukkig heeft Citrix besloten sinds de laatste ICA-versie 8 (de Program Neighborhood) de Web Client Program én Neighborhood Agent te integreren in één enkele download (de MetaFrame Presentation Server Client Packager). Hierdoor zal Program Neighborhood Agent opvallen bij een breder publiek. Een afzonderlijke download is eveneens nog beschikbaar als je daar behoefte aan hebt. De Program Neighborhood Agent zorgt ervoor dat toepassingen waar de gebruikt rechten toe heeft, vanzelf in het startmenu van Windows of eventueel op het bureaublad worden toegevoegd, gewijzigd of verwijderd. Nu zul je waarschijnlijk denken dat in de ict-wereld niets vanzelf gaat. Dat is juist. Program Neighborhood Agent gebruikt om dit proces te automatiseren een webserver waarop Web interface for MetaFrame Presentation Server is geïnstalleerd. Hoewel PN Agent ook te gebruiken is met NFuse Classic 1.7 is de nieuwe Web interface 2.0 aan te raden vanwege de verbeterde mogelijkheden voor beheer.
juli/augustus 2004
\\ NetOpus
Web interface en PN Agent Als eerste installeer je Web interface for MetaFrame (onder meer opgenomen op de MetaFrame Presentation Server 3.0 cd-rom) op een webserver. Deze mag gebaseerd zijn op Microsoft Internet Information Server, maar UNIX/Linux met Tomcat, Sun ONE en WebSphere worden tevens ondersteund. Op IIS moet, voorafgaand aan de installatie van Web interface het .NET-raamwerk en de afzonderlijke J#- omgeving worden geïnstalleerd. Beide onderdelen zijn bij Microsoft gratis te downloaden. Web interface zelf is een simpele recht-toe-recht-aan installatie. Heeft de webserver naast Web interface geen doel, dan kun je tijdens de installatie aangeven dat de default homepage van de webserver mag wijzen naar de Web interface gebruikers-loginpagina. Vervolgens installeer je de PN Agent op de werkplekken (met Administrator rechten). Dit kan handmatig of met een unattended setup, zodat uitrollen met een enterprise desktop management pakket mogelijk is. Een belangrijke instelling in de PN Agent is de URL van de Web interface als http://servernaam of https://servernaam voor beveiligde verbindingen. De gebruiker merkt in principe weinig van de aanwezigheid van Program Neigborhood Agent: er is alleen een pictogram aanwezig rechtsonder op de taakbalk. Bij inloggen neemt de PN Agent contact op met de Web interface component die draait op de webserver, gebruikmakend van standaard http/https-poorten. Hier worden de laatste instellingen voor de PN Agent opgehaald en een lijst van gepubliceerde toepassingen (die de webserver via de XML-service op de Presentation Servers kent) voor de betreffende gebruiker. Als je de PN Agent niet installeert met Pass-Through Authentication ingeschakeld, dan wordt er bij het starten van de pc gevraagd om het wachtwoord voor toegang tot de Server-based computing-omgeving. Gebruikers zullen dit niet handig vinden. Kies als het mogelijk is om het Windows-wachtwoord automatisch door te geven aan de PN Agent.
PROGRAM NEIGHBORHOOD AGENT
Webbeheer Het belangrijkste voordeel van de PN Agent is dat je in staat bent de noodzakelijke lokale ICA-instellingen volledig centraal te beheren vanaf de webserver. Nadat je verbinding maakt met de Web interface beheerconsole op de webserver via http://servername/Citrix/MetaFrame/WIAdmin (zie afbeelding 1) kun je de diverse basisinstellingen voor de serveromgeving, beveiliging en de client-omgeving maken. Door op de afbeeldingen van het architectuurplaatje op de homepage te klikken, of door je keuze te maken in het menu, kom je op de juiste plek terecht. Naast deze Web interface beheerconsole kan je de instellingen rechtstreeks wijzigen in het WebInterface.confbestand. Als je met UNIX werkt is dit de enige manier, want op dat platform is de mooie beheerconsole niet geïmplementeerd. De instellingen die je hier maakt gelden in het algemeen en voor alle typen ICA-clients. De specifieke instellingen voor de Program neighborhood Agent vind je in de Program Neighborhood Agent Console en in het bestand Config.xml. Gebruik je Internet Information Server, dan vind je de PN Agent beheerconsole onder http://servername/Citrix/Meta Frame/PNAgentAdmin.
Wat heb je eraan? Je zorgt er met de PN Agent voor dat gebruikers geen afzonderlijke client-toepassing hoeven te bedienen en te configureren om de centraal aangeboden toepassingen te gebruiken. PN Agent biedt de ultieme ‘seamless’ omgeving op pc’s waar zowel lokaal geïnstalleerde als centraal aangeboden toepassingen nodig zijn. Pictogrammen van de toepassingen die in de MetaFrame Presentation Server farm worden gepubliceerd, krijgen de medewerkers te zien op het bureaublad, of in het menu Start. Snelkoppelingen worden gemaakt op het moment van starten van PN Agent (normaal nadat Windows is gestart), of iedere keer als een toepassing uit het gepubliceerde lijstje wordt gestart of automatisch periodiek na een in te stellen tijdstip van bijvoorbeeld enkele uren. Bij deze laatste optie ziet de gebruiker tijdens het werken met zijn pc, programma’s verschijnen en verdwijnen in het startmenu (als de beheerder op de MetaFrame server programma’s aan het toekennen of ontnemen is). Bij oudere versies van PN Agent hoorde je soms de klacht dat op het moment dat het menu in de achtergrond werd ververst, het scherm flikkerde. Een andere instelling legt vast op welk moment snelkoppelingen weer worden verwijderd. Dat kan bijvoorbeeld tijdens het afsluiten van de PN Agent. Desgewenst kun je er voor kiezen om snelkoppelingen te laten
bestaan, maar het nadeel is dan dat er bijvoorbeeld op notebooks snelkoppelingen bestaan naar toepassingen die niet functioneren zonder de netwerkverbinding. Uiteraard is het mogelijk alle gangbare instellingen in de volledige Program Neighborhood toepassing (waar veel gebruikers toch wel moeite mee hebben) in de webinterface centraal te configureren voor de PN Agent. Denk daarbij aan de grootte van toepassingsvensters, het aantal kleuren dat die toepassingen mogen gebruiken en hoe je geluid wilt doorsturen van de MetaFrame servers naar de clients. Gebruik je nu nog geen PN Agent, dan loont het zeker eens de moeite er mee te experimenteren om de voordelen zelf te ervaren.
Populair in thin clients PN Agent is populair op thin clients op basis van Windows XP Embedded (zie ook het Labreport over thin client in deze NetOpus). De gedachte is dat je gebruikers met de lokale thin client een grafische interface biedt (Windows XP Embedded) die erg uitgekleed is, maar die de gebruikers wel een herkenbare omgeving laat zien. Afhankelijk van de persoon die zich aanmeldt, worden de voor hem relevante snelkoppelingen in het startmenu gemaakt en bij uitloggen weer verwijderd. Je hoeft in deze situatie geen volledig bureaublad te publiceren. PN Agent is echter niet voor alle besturingssystemen te krijgen. Uiteraard bestaat er een 32-bit Windows-versie, maar daarnaast is PN Agent beschikbaar voor Linux, Solaris en Windows CE. De 32-bit versie (gebaseerd op ICA versie 8) loopt zoals altijd voor op de andere versies (die ICA versie 7 ondersteunen). Als gevolg hiervan zijn op dit moment de nieuwste mogelijkheden, zoals de ondersteuning voor meerdere farms, niet mogelijk voor besturingssystemen (en dus thin clients met die besturingssystemen) anders dan 32-bit Windows. Y
C Afbeelding 1 » Web Interface Console
NetOpus // juli/augustus 2004
29
Veilige toegang over het internet Secure Gateway for MetaFrame Presentation Server Het is niet moeilijk om toepassingen die aangeboden worden met server-based computing te gebruiken over het internet. Het gevolg is wel dat je firewall er uit komt te zien als gatenkaas door alle openingen die je moet maken, maar dan werkt het wel. Veilig is het bij lange na niet, want iemand die in staat is ongeoorloofd toegang te krijgen tot de terminal server, heeft met een beetje geluk toegang tot het gehele bedrijfsnetwerk. Dit vraagt om een goede oplossing.
30
W
at doe je als je veilig via internet toegang wilt hebben tot bedrijfstoepassingen? Je kunt gebruik maken van één van de vele op IPSEC, of SSL gebaseerde VPN-oplossingen die te koop zijn (zie onder meer de Labreports in deze NetOpus). Met een VPN zet je een versleutelde tunnel op tussen de werkplek en een VPN-server bij je bedrijf, om veilige communicatie mogelijk te maken met iedere gewenste bedrijfstoepassing en netwerkdienst. Uiteraard heb je dan tevens toegang tot alle met server-based computing aangeboden Windows- en UNIX-toepassingen. Als alternatief kun je kiezen voor Secure Gateway for MetaFrame Presentation Server (dat voorheen Citrix Secure Gateway heette). Dit is een gratis component binnen de MetaFrame Access Suite. Deze technologie is geboren als een afzonderlijk aan te schaffen product bij Citrix, maar is uitgegroeid tot een kosteloos comExtranet Citrix heeft een eigen VPN product gehad, genaamd Extranet. Dit is komen te vervallen ten gunste van Secure Gateway: voor Extranet is de End Of Life datum verstreken op 31 december van vorig jaar. Toch is te voorspellen dat Citrix ooit opnieuw met een VPNproduct op de markt komt, want dit past immers erg goed in de nieuwe 'access'-strategie van het bedrijf. Of dit een doorontwikkeling wordt van Extranet is nog maar de vraag. Het verhaal gaat dat Citrix aan het zoeken is naar een derde partij VPN-product om over te nemen. Uit de presentaties op de Strategy Day 2004 in april van dit jaar kan je tussen de regels door afleiden dat dit ook wel eens een hardwaregebaseerd product kan worden, bijvoorbeeld van Netilla.
juli/augustus 2004
\\ NetOpus
ponent binnen zowel MetaFrame Presentation Server als MetaFrame Secure Access Manager (voorheen NFuse Elite). Secure Gateway is gepositioneerd als de vervanging voor VPN’s, met de beperking dat je alleen verbinding kunt maken met MetaFrame-omgevingen. Secure Gateway is ook gratis te downloaden.Extranet Met Secure Gateway kun je via een browser veilig toegang geven tot bedrijfstoepassingen die met MetaFrame Presentation Server gepubliceerd worden. Dat het product gratis meegeleverd wordt, wil niet zeggen dat het minderwaardig is of minder goed bruikbaar is. Secure Gateway is een compleet en serieus onderdeel waarvoor kennis vereist is van netwerken, beveiliging, DMZ’s, Internet Information Server en de benodigde Citrix producten.
Firewall verplicht Secure Gateway maakt gebruik van de standaarden SSL of TLS. Deze encryptie wordt ook gebruikt in ecommerce toepassingen en internetbankieren. Verder draagt Secure Gateway zorg voor authenticatie en het voelt zich het beste thuis in een DMZ. Een firewall blijft altijd nodig om het bedrijf te beveiligen, maar Secure Gateway maakt veilige communicatie tussen werkplekken via de firewall en de gateway, mogelijk met MetaFrame Presentation Server systemen die binnen het bedrijf staan (dus buiten het DMZ). De werking voor medewerkers die vanuit huis via ISDN, of over een breedbandverbinding, vanaf een seminar met een internetverbinding, of zelfs draadloos met een GPRSadapter in een notebook verbinding maken, is eenvoudig. Ze maken met Internet Explorer verbinding met het webadres van de Secure Gateway server binnen het bedrijf (bijvoorbeeld gateway.netopus.nl) en in het loginscherm wordt de loginnaam, het wachtwoord en de domeinnaam ingevoerd. Na enige tijd verschijnt een webpagina. Deze wordt, afhankelijk van het product dat je gebruikt, gegenereerd door Web interface for MetaFrame XP Presentation Server of Secure Access Manager. Maak je gebruik van twee-weg authenticatie dan kun je bij het inloggen ook nog gebruik maken van bijvoorbeeld SecurID van RSA of Safeword for Citrix MetaFrame van Secure Computing. De firewall moet geschikt zijn om het Citrix bedrijfseigen ICA/SSL-verkeer door te laten. Heb je een firewall die dit ICA/SSL-protocol standaard ondersteunt, dan
SECURE GATEWAY
hoef je waarschijnlijk niets speciaals te doen. Is dat niet het geval, dan moeten er enkele speciale instellingen gemaakt worden in de firewall om ervoor te zorgen dat de eindgebruikers zo min mogelijk last hebben van vertraging (latency) veroorzaakt door de firewall. Omdat ICA-verkeer interactieve muisklikken en toetsaanslagen doorgeeft, is het zeer gevoelig voor vertraging met als gevolg slechte prestaties en wegvallende eindgebruikersessies. Eén van de instellingen die je kunt maken is dat de firewall voor ICA/SSL in zogenaamde Forward-mode geplaatst wordt (in tegenstelling tot Proxy-mode). TCP-pakketten worden dan direct doorgestuurd naar de Secure Gateway server. Wil je dat niet, dan vind je in de Secure Gateway handleiding enkele geavanceerde instellingen om in Proxy-mode toch Secure Gateway te kunnen gebruiken.
Certificaten verplicht Alle werkplekken en beveiligde servers binnen een infrastructuur opgebouwd met Secure Gateway vereisen digitale certificaten om elkaars identiteit en authenticiteit te kunnen vaststellen. Als je gebruik maakt van één van de standaard in Internet Explorer opgenomen certificaat autoriteiten (zeg maar aanbieders die jouw vertrouwen hebben) hoef je op de werkplekken niets te installeren. Relevante servers dienen echter te worden voorzien van aan te schaffen server-certificaten.
De ‘goedkope’ oplossing Bij MetaFrame Presentation server wordt het onderdeel Web interface for MetaFrame XP geleverd (voorheen Nfuse Classic). Hiermee geef je webtoegang tot gepubliceerde toepassingen met MetaFrame Presentation Server in combinatie met Secure Gateway. Een voordeel van Web interface is dat op de werkplek naast Internet Explorer tevens andere browers en dus andere besturingssystemen worden ondersteund. In afbeelding 1 zie je hoe de architectuur er uit kan zien met Web interface. Er zijn twee services nodig in de DMZ: de Secure Gateway service en Web interface. Deze kunnen samen op een enkele server geïnstalleerd worden of op twee afzonderlijke systemen, afhankelijk van de benodigde prestaties en het beveiligingsniveau. Secure Gateway praat met de Secure Ticketing Authority (STA) service. Deze wordt geïnstalleerd op een afzonderlijke server, binnen het bedrijf. De STA genereert en controleert autorisatietickets en draagt zorg voor de bewaren van IP-adressen van clients en servers. In de firewall tussen de DMZ en het interne netwerk moeten de poorten 80, 443 en 1494 open staan. In de firewall richting Internet hoeft alleen poort 443 te worden doorgelaten. Een gevolg
van deze opzet is dat er geen smartcards gebruikt kunnen worden met Web interface omdat daarvoor wel directe communicatie nodig is.
Hoe werkt het? De eindgebruiker bevindt zich op een locatie buiten het bedrijf en maakt met de browser op de werkplek, verbinding met de URL van Secure Gateway via poort 443 (https://). De Secure Gateway stuurt het verzoek om verbinding door naar Web interface (op dezelfde, of een andere server). Secure Gateway zorgt voor de communicatie met Web interface; er is dus geen directe verbinding tussen de werkplek en Web interface. Web interface toont een loginpagina in de browser van de eindgebruiker, die vervolgens zijn inloggevens invult. Deze gegevens worden via de Secure Gateway doorgestuurd naar Web interface. Web interface neemt contact op met de XML-service die draait op de MetaFrame farm binnen het bedrijf om een lijst op te vragen van toepassingen waartoe de betreffende gebruiker rechten heeft. Deze lijst wordt door de XML-service doorgegeven aan Web interface die ze via Secure Gateway aan de gebruiker toont. De eindgebruiker kiest de toepassing die hij wil gebruiken, waarna Web interface het IP-adres en poort voor de gewenste MetaFrame server naar de Secure Ticket Authority service stuurt met het verzoek voor een ticket. De STA genereert het ticket en geeft dit door aan Web interface. Web interface vervaardigt een ICA-bestand waarin het ticket is opgenomen en stuurt dit naar de werkplek van de gebruiker. De browser start de ICA-client toepassing op met de instellingen zoals die zich in het ICA-bestand bevinden en benadert Secure Gateway met SSL/TLS. De Secure Gateway server controleert op zijn beurt het ticket bij de STA. Als dit correct is geeft de STA het IP-adres van een MetaFrame server door waar de toepassing op gepubliceerd is. Secure Gateway maakt nu een ICA-verbinding met de MetaFrame server over poort 1494 en versleuteldmet SSL over poort 443 met de ICAclient toepassing. Je moet uiteraard wel een f
NetOpus // juli/augustus 2004
31
nieuwere ICA client hebben die SSL ondersteund (vanaf Feature Release 1).
het bedrijf draait. Als de gebruikersgegevens correct zijn, wordt de gebruiker geauthenticeerd en een Access token naar de Logon Agent gestuurd.
De luxe oplossing
32
In combinatie met Citrix MetaFrame Secure Access Manager heb je meer mogelijkheden, maar het wordt nog een stuk complexer. De combinatie met Secure Gateway maakt het mogelijk naast server-based toegang te geven, ook zonder veel kunstgrepen per eindgebruiker doelgerichte toegang te geven tot andere webservers en webgebaseerde toepassingen. Voorwaarde is wel dat de werkplek gebruik maakt van Internet Explorer. MetaFrame Secure Access Manager is een afzonderlijk aan te schaffen product naast MetaFrame Presentation Server. In afbeelding 2 zie je een voorbeeldarchitectuur met Secure Access Manager. De Logon Agent is een ASP-script dat je dient te installeren op een webserver voorzien van Internet Information Server. De Logon Agent draagt zorg voor het tonen van de login webpagina en het afhandelen van de loginverzoeken. De Authenticatie Service zorgt ervoor dat op verzoek van de Logon Agent er een sessie cookie gegenereerd wordt. Als de tijd verlopen is of de gebruiker te lang niet actief is, zorgt de Authenticatie Service ervoor dat de sessie afgebroken wordt. De Secure Ticket Authority (STA) heeft dezelfde rol als in het vorige scenario met de Web interface: het genereren en valideren van tickets voor ICA-gebruikerssessies. Wil je toegang hebben tot interne websites via Secure Access Manager, dan moet op de werkplek de Gateway Client (een ActiveX-component) geïnstalleerd en gedownload worden. De Gateway Client is in staat te bepalen of een URL bedoeld is voor een site op het internet of het intranet. In het tweede geval wordt het verzoek omgeleid via de Secure Gateway naar de interne site.
De werking met Secure Access manager is iets uitgebreider door de extra functies: De eindgebruiker bevindt zich op een locatie buiten het bedrijf en maakt met de browser op de werkplek verbinding met de URL van Secure Gateway via poort 443 (https://). Logon Agent toont via Secure Gateway de loginpagina in de browser van de eindgebruiker, die vervolgens zijn inloggevens invult. Deze worden opnieuw via de Secure Gateway doorgestuurd naar de Logon Agent. De Logon Agent neemt contact op met de Authentication Service die op een server binnen
juli/augustus 2004
\\ NetOpus
De Logon Agent stuurt het Access token via Secure gateway naar de browser op de werkplek, die vervolgens een https-verzoek voorzien van het token naar Secure Gateway stuurt. Secure Gateway ontvangt het verzoek en neemt contact op met de Authentication Service om de geldigheid van het token te controleren. Is dit in orde, dan wordt het IP-adres van een Secure Access manager webserver doorgegeven. Secure Gateway toont via versleutelde communicatie de hoofdpagina van de website. De eindgebruiker kiest de toepassing die hij wil gebruiken, waarna Secure Access Manager contact opneemt met de XML-service die draait op de MetaFrame farm binnen het bedrijf. De XML-service geeft het IP-adres door van de MetaFrame server waar de toepassing op is gepubliceerd. Secure Access Manager stuurt het adres en de poort voor de gewenste MetaFrame server naar de Secure Ticket Authority service met het verzoek voor een ticket. De STA genereert het ticket en geeft dit door aan Secure Access Manager. Secure Access Manager vervaardigt een ICAbestand waarin het ticket is opgenomen en stuurt dit naar de werkplek van de gebruiker. De browser start de ICA-client toepassing op met de instellingen zoals die zich in het ICA-bestand bevinden en benadert Secure Gateway met SSL/TLS. De Secure Gateway server controleert op zijn beurt het ticket bij de STA. Als dit correct is geeft de STA het IP-adres van een MetaFrame server door waar de toepassing op gepubliceerd is. Secure Gateway maakt nu een ICA-verbinding met de MetaFrame server over poort 1494, en versleuteld met SSL over poort 443 met de ICAclient toepassing. Je moet uiteraard wel een nieuwere ICA client hebben die SSL ondersteund (vanaf Feature Release 1). Met Secure Access Manager ben je overigens niet verplicht MetaFrame Presentation Server te gebruiken. Zonder Presentation Server geeft Secure Access Manager je op eenvoudige wijze toegang tot intranet webserver en -services.
SECURE GATEWAY
Het dubbele DMZ-scenario
Secure Gateway for Linux
Secure Gateway ondersteunt omgevingen waar een dubbele (twee-traps) DMZ ingericht is. In de eerste DMZ direct achter de firewall die het Internet afschermt, hoeft alleen Secure Gateway te draaien. In het tweede DMZ dat zich tussen het eerste DMZ en het interne netwerk bevindt, wordt de Logon Service of Web interface geïnstalleerd en een Secure Gateway Proxy (een installatiekeuze tijdens het installeren van Secure Gateway). Deze Secure Gateway Proxy functioneert dan slechts als een doorgeefluik.
Regelmatig komt de vraag ter sprake of Citrix ooit producten voor Linux gaat ontwikkelen. Hoewel het een redelijk kleine inspanning zou betekenen om MetaFrame Presentation Server for Linux te maken (naast de reeds bestaande HP-UX, AIX en Solaris versie) levert dit voor Citrix niets op. Er zijn simpelweg te weinig professionele toepassingen die op Linux beschikbaar zijn en er is geen vraag naar. Bovendien kunnen Linux-toepassingen aangeboden worden via tweetrapstoegang als het echt moet. Een veel interessanter product zou Secure Gateway for Linux zijn. Dit maakt het voor organisaties die geen Windows in hun DMZ willen, toch mogelijk Secure Gateway te gebruiken door alleen de DMZ-machine te vervangen door een Linux-systeem. Omdat ‘access’ de filosofie van Citrix is voor de komende jaren, is de kans erg groot dat dit product er komt. Citrix zou hiermee een erg goede beurt maken en de multiplatform gedachte versterken. Nog mooier zou het zijn als dit product gratis zou worden meegeleverd voor bedrijven die al andere producten in gebruik hebben.
Redundantie Ongeacht de exacte implementatie die je kiest, zijn er nogal wat systemen en services betrokken bij de toegang. Zeker bij omvangrijke implementaties met grote aantallen externe eindgebruikers, is het verstandig na te denken over redundantie- en failover-mogelijkheden. Om de beschikbaarheid en betrouwbaarheid te vergroten kun je voor iedere component speciale maatregelen treffen. De Secure Gateway Service kan met derde partij load balancing oplossingen zoals Microsoft Network Load Balancing of Cisco en dergelijke redundant worden uitgevoerd omdat het een standaard SSL/TLS redundantie betreft. De STA wordt door Secure Gateway zelf redundant ondersteund. Hierdoor is het dus mogelijk er meer parallel van in te richten. Een goed opgezette MetaFrame server-farm met load balancing is per definitie redundant.
33
Gratis is niet voor niks Secure Gateway is weliswaar kosteloos inbegrepen in de MetaFrame Access Suite, maar de invoering kost redelijk wat tijd. Omdat het gaat om toegang tot het bedrijf van buiten af, is het dus noodzakelijk om zaken met betrekking tot beveiliging uiterst serieus te nemen. Door doordacht te werk te gaan kun je het scenario bedenken dat het beste bij het bedrijf past, met versleuteling en certificaten exact op die plaatsen waar dat relevant is. De invoering van Secure Gateway is tevens geen vrijbrief om dus maar de beveiliging van servers achterwege te laten. De servers dichttimmeren, onnodige services uitschakelen, het volgen van hotfixes en security patches en dergelijke blijft zeer belangrijk. Behalve voor minimaal één extra server en de diverse server-certificaten hoef je verder geen kosten te maken. De actuele versie is Secure Gateway 2.0 voor Windows (codenaam Newport) en Secure Gateway 1.13 voor Solaris. MetaFrame Presentation Server 3.0 wordt ook geleverd met het al langer bestaande Secure Gateway 2.0. Y
C Afbeelding 1 » Voorbeeldarchitectuur met Web Interface Bron Citrix Systems.
C Afbeelding 2 » Voorbeeldarchitectuur met Secure Access Manager Bron Citrix Systems.
NetOpus // juli/augustus 2004
Publiceer je browser
Voor- en nadelen in kaart gebracht We weten allemaal dat met we met Server-based computing toegang krijgen tot toepassingen die centraal aangeboden worden. Dit opent de mogelijkheid om ook de browser op deze wijze te publiceren. Hiermee wordt centraal beheer van de Internet Explorer-versie, hotfixes en plug-ins mogelijk. Publiceren van de browser heeft echter bijzondere aandachtspunten en is niet voor iedereen weggelegd.
E 34
r zijn veel redenen te bedenken waarom je een browser niet lokaal op de werkplek wilt gebruiken maar vanaf een centrale terminal server. Door de browser centraal aan te bieden en niet op lokale werkplekken, ben je in staat de voordelen van Server-based computing uit te buiten. Immers de browser (en het onderliggende besturingssysteem Windows) is een bron van beveiligingsproblemen. Microsoft brengt maandelijks een reeks patches uit om deze omgeving op niveau te houden. Om steeds weer al deze patches te verspreiden naar de werkplekken heb je infrastructurele voorzieningen nodig, zoals Microsoft SUS en zelfs dan heb je nog geen garantie dat alle werkplekken altijd up-todate zijn. Als je de browser op een terminal server publiceert met Citrix MetaFrame Presentation Server is het een kleinigheid (in vergelijking met vele werkplekken) deze op niveau te houden. Je hebt de garantie dat iedere gebruiker een identieke browseromgeving gebruikt en dat kan heel wat waard zijn. Een ander voordeel is dat je met een centrale browser in staat bent de plug-ins onder controle te houden. Als je binnen het bedrijf een zelf ontwikkelde of aangeschafte webtoepassing in wilt voeren (bijvoorbeeld voor projectmanagement of urenregistratie), dan hoeven de medewerkers deze plug-in niet zelf te downloaden en te installeren. Je voert dit simpelweg uit op de terminal servers. Medewerkers zijn bovendien niet in staat te pas en te onpas ongewenste plug-ins te downloaden en te installeren omdat het centraal móet gebeuren. Om gebruik te maken van webservices (.NET Web gebaseerde toepassingen) moet op iedere werkplek het .NET-raamwerk geïnstalleerd zijn (zo’n 20MB aan bestanden) en onderhouden worden als er upda-
juli/augustus 2004
\\ NetOpus
tes, of een nieuwe versie beschikbaar komt. Werk je met een gepubliceerde browser, dan is dit weer een kwestie van ‘even’ centraal installeren en onderhouden. Invoeren van Web services kan op deze wijze per direct geschieden zonder te kijken naar de eisen die .NET aan de werkplek stelt. Het hebben van een Citrix ICA-client toepassing is voldoende. Bijkomstig voordeel is dat je in staat bent .NET webservices, alle bestaande webgebaseerde toepassingen en Web sites, te ondersteunen op nagenoeg iedere desktop: van UNIX, Linux tot Mac OS X.
Internet als stroop Als het zoveel voordelen heeft om de browser met MetaFrame Presentation Server aan te bieden, waarom doen we dat niet altijd en overal? Er is een belangrijk probleem dat roet in het eten gooit en dat is het gebruik van graphics. Intranet- en Internetwebsites en webtoepassingen hebben de neiging in toenemende mate gebruik te maken van afbeeldingen. En dan hebben we het niet over een website met een enkele foto die de ervaring met het werken met de gepubliceerde browser bemoeilijkt, want daar is nog wel mee te leven. Echter bijna alle websites zijn tegenwoordig voorzien van tientallen foto’s, afbeeldingen en grafische knoppen. Vooral de bewegende afbeeldingen zijn fataal: flashanimaties, moving GIF-afbeeldingen, wisselende foto’s (door bijvoorbeeld scripts), hover buttons met afbeeldingen, achtergrondanimaties (zoals regendruppels of sneeuw), pop-up afbeeldingen met reclame, enzovoort. Het werken met de gepubliceerde browser wordt door de medewerkers als zeer stroperig ervaren. Soms hangt de browser zelfs even en kun je klikken wat je wilt, om enkele tientallen tellen later alle klikken in te halen en vervolgens weer een tijdje stil te staan. Het afspelen van streaming video is sterk af te raden, want de prestaties zijn onder de maat. Er is nog een bijkomend nadeel. Hoewel de browser zelf een redelijk nette applicatie is qua belasting die deze geeft op een terminal server wat betreft geheugen en processor, zijn er bepaalde websites die al met een paar browsergebruikers de processor van de terminal server lam leggen. Dit is ook een reden waarom veel bedrijven ervoor kiezen toch de browser niet te publiceren maar lokaal op de werkplek te gebruiken. Veel thin clients hebben om dezelfde reden een loka-
BROWSER PUBLISHING
le browser. De nadelen van een gepubliceerde browser zijn te vervelend om op te wegen tegen de veel grotere voordelen van een centrale browser.
SpeedScreen Browser Accelerator Citrix heeft als enige in de markt een gedeeltelijke oplossing voor deze problematiek en brengt met iedere release van MetaFrame extra mogelijkheden uit om de browser-ondersteuning te verbeteren. De technologie wordt SpeedScreen genoemd en naast het optimaliseren van de netwerkbandbreedte zorgt SpeedScreen 3 (inbegrepen in Feature Release 1) onder meer voor het verbergen van traagheid op het netwerk (latency reduction). SpeedScreen 3 maakt het mogelijk om de muis direct te laten reageren, ook als de server of het netwerk even vertraging ondervindt (dit wordt Mouse Click Feedback genoemd). Hetzelfde effect is mogelijk bij het invoeren van gegevens via het toetsenbord. SpeedScreen 3 laat de karakters al zien, voordat ze verzonden zijn naar de server (dit wordt Local Text Echo genoemd). Deze laatste optie is standaard uitgeschakeld en kan het beste per afzonderlijke toepassing getest en ingeschakeld worden. Omdat Feature Release 1 voor zowel MetaFrame 1.8 als MetaFrame XP Presentation Server beschikbaar is, kunnen bijna alle bedrijven deze mogelijkheden benutten. SpeedScreen versie 4 is inbegrepen in Feature Release 3 (alleen beschikbaar voor MetaFrame XP Presentation Server) en werkt in combinatie met de ICA-client versie 7.0 of hoger. De technologie die de browser-ervaring verbetert, wordt SpeedScreen Browser Acceleration genoemd. Dit is default ingeschakeld op zowel de server als in de ICA-client. SpeedScreen Browser Acceleration zorgt ervoor dat afbeeldingen in de achtergrond worden geladen zonder de browser of de sessie te bevriezen. Gedurende het laden van de afbeeldingen in de pagina, werken de terug- en stop-toetsen in de gepubliceerde browser zoals je dat op een pc gewend bent. Je ziet de afbeelding al verschijnen voordat de download gereed is. Je kunt de afbeelding direct gebruiken door op de onderliggend link te klikken als die eronder ligt (dit wordt door Citrix Progressive drawing genoemd). De frustrerende ervaring van het moeten wachten en niet kunnen scrollen met de schuifbalken is eveneens opgelost, want het laden van de afbeeldingen loopt in de achtergrond door. Er zijn twee instellingen in Internet Explorer 6 die uitgeschakeld dienen te worden zodat SpeedScreen goed zijn werk kan doen. Dat zijn Automatic Image Resizing en Play animations in web page (zie afbeel-
ding 1). De instelling ‘Automatic Image Resizing’ van Internet Explorer zorgt ervoor dat een afbeelding die groter is dan het zichtbare deel van de browser op je scherm, automatisch wordt verkleind zodat deze toch in zijn geheel getoond kan worden. Je ziet dit effect bijvoorbeeld goed als je een foto van bijvoorbeeld 1200x1600 pixels, gemaakt met je digitale camera, weergeeft in Internet Explorer. De foto komt in zijn geheel op het beeldscherm in de browser en rechts onder op de foto verschijnt een knop om de verkleining eventueel ongedaan te maken. SpeedScreen kan hier niet goed mee om gaan. De tweede instelling van Internet Explorer ‘Play Animations in Web Page’ zorgt ervoor dat zogenaamde moving GIF’s ofwel animated GIF’s (een serie opgeslagen afbeeldingen in één GIF-bestand die na elkaar worden afgespeeld) functioneren. Door dit uit te schakelen wordt bandbreedte bespaard en kunnen GIF’s wel worden weergegeven zonder de animatie. Beide instellingen worden door MetaFrame Presentation Server Feature Release 3 automatisch uitgeschakeld als de gebruiker de allereerste keer verbinding maakt. Als een gebruiker dit vervolgens zelf aanpast is dit een blijvende wijziging. Het kan dus handig zijn deze instelling in het logon-script op te nemen zodat SpeedScreen iedere sessie weer correct ingesteld wordt. Overigens wordt door SpeedScreen Browser Accelerator wel de kwaliteit van de afbeelding iets minder. Browser Acceleration werkt alleen met Internet Explorer 5.5 en hoger, maar niet voor andere f
C Aanpassingen in Internet Explorer
NetOpus // juli/augustus 2004
35
BROWSER PUBLISHING
browsers zoals Netscape of Mozilla. Er worden alleen JPG- en GIF-afbeeldingen ondersteund, maar daarmee is het overgrote deel van de graphics op Internet wel gedekt. Verder worden transparate GIF-afbeeldingen niet ondersteund en moet er gewerkt worden met minimaal 16-bit kleuren om de versnelling daadwerkelijk gewaar te worden. Als in HTML-pagina’s de grootte van een afbeelding wordt vastgelegd (bijvoorbeeld 100x100 pixels) terwijl de daadwerkelijk afbeelding groter is (bijvoorbeeld 200x200 pixels) wordt deze in de pagina geforceerd op het kleine formaat weergegeven. SpeedScreen Browser Accelerator weet hier eveneens geen raad mee. Speedscreen 4 zou goed toepasbaar moeten zijn om in andere gepubliceerde toepassingen de prestaties van het werken met afbeeldingen te verbeteren. SpeedScreen 4 ondersteunt naast Internet Explorer alleen Outlook en Outlook Express. In het artikel over MetaFrame 3.0 (elders in deze NetOpus) lees je de verbeteringen die in die versie zijn aangebracht om het gedrag van de gepubliceerde browser nog verder te verbeteren.
5
Zorg ervoor dat veelgebruikte interne pagina’s zoals homepages van Intranet sites, bedrijfsportals, enzovoort geen moving GIF’s, flash en andere grafische toeters en bellen bevatten. Gebruik bij voorkeur JPG-afbeeldingen. Gebruik geen in HTML-pagina’s verkleinde afbeeldingen.
6
Gebruik aanvullende software (zoals AppSense Performance Manager of een vergelijkbaar product van een andere fabrikant) om te voorkomen dat de processor voor 100% belast kan worden door een enkele Internet Explorer-sessie die een pagina verwerkt die verkeerd is ontworpen (tenminste vanuit het standpunt van Server-based computing bekeken).
7
Wat voor iedere toepassing op een terminal server met en zonder MetaFrame Presentation Server geldt, is ook van toepassing op Internet Explorer: sluit alle achterdeuren. Doe je dit niet, dan geeft bijvoorbeeld het vervangen van het httpadres door %SystemRoot%\system32\cmd.exe, toegang tot de opdrachtregel van de server.
8
Zorg dat de benodigde toepassingen die door de browser worden aangeroepen als de gebruiker op een link klikt, beschikbaar zijn op de server. Denk aan Adobe Acrobat Reader, Outlook, Word, of PowerPoint. Als alternatief kun je gebruik maken van content redirection. Je kunt daarmee regelen dat de aanroep van een link naar een toepassing als gevolg heeft dat het bestand geopend worden met een lokaal geïnstalleerde toepassing.
9
Als hybride oplossing kun je voor ‘gewoon’ surfen Internet Explorer 6 op de lokale werkplek blijven aanbieden en onderhouden, maar voor speciale webtoepassingen of vooraf gedefinieerde toepassingsgebieden de browser eveneens centraal publiceren. De gebruikers werken dan met twee verschillende browsers maar zullen er zich niet van bewust zijn.
10
Als je over een trage verbinding een webtoepassing wilt aanbieden, is (afhankelijk van hoe de toepassing is ontwikkeld) veelal de gepubliceerde browser toch sneller in vergelijking met het benaderen van de webtoepassing met de lokale browser over dezelfde trage verbinding.
Toch doen! Het is aan te raden, ondanks de mogelijke problemen, waar mogelijk gebruik te maken van een gepubliceerde browser om van de eerder genoemde grote voordelen te kunnen profiteren. Zo is het goed mogelijk een specifieke bedrijfskritische webtoepassing aan te bieden met een gepubliceerde browser. Werk je met thin clients en wil je geen beheer van lokale browser op je hals halen, biedt dan Internet Explorer aan binnen de sessie op de MetaFrame server. De volgende tips helpen je dit zo optimaal mogelijk in te voeren.
Onmisbare tips 1
Gebruik MetaFrame XP Presentation Server met minimaal Feature Release 3 of MetaFrame Presentation Server 3.0. Alleen dan heb je de beschikking over SpeedScreen 4 of beter.
2
Gebruik op de werkplekken (ook op de Thin clients) ICA-client versie 7.0 of hoger en zorg ervoor dat SpeedScreen geoptimaliseerd is in het ICA configuratiebestand.
3
Gebruik Internet Explorer 6 of hoger.
4
Gebruik een login-script om Automatic Image Resizing en Play animations in Web page als Internet Explorer instelling voor iedere sessie uit te schakelen.
Eenvoudige testen kunnen je helpen de juiste keuze te maken. Y
NetOpus // juli/augustus 2004
37
Verbeter je toegangsbeveiliging 2-factor authenticatie
Server-based computing wordt erg veel gebruikt om (meestal met een browser) via Internet toegang te geven tot het bedrijfsnetwerk. Als je op deze wijze medewerkers of zelfs derden toegang wilt verschaffen is het zeer verstandig een extra manier voor authenticatie te implementeren. Het gebruik van een wachtwoord (en vaak een loginnaam) is niet meer voldoende. Het wachtwoord is vaak te raden, te kraken, af te luisteren of wordt zelfs opgeschreven. Hoe kan je de beveiliging verbeteren?
E 38
en gebruiker kan zich authenticeren met iets wat hij weet (een pincode, of een wachtwoord), iets wat hij bij zich heeft (een token, bankpas, smartcard en dergelijke) of met iets wat hem persoonlijk identificeert (biometrische authenticatie met een vingerafdruk, stem, gezicht, hand of oog). Als je twee van deze zaken combineert voor authenticatie wordt er gesproken van 2-factor authenticatie. Een zeer veelgebruikte methode voor dit type authenticatie is een wachtwoord gecombineerd met iets wat de gebruiker bij zich heeft. Dit is weliswaar nog geen garantie dat je met honderd procent zekerheid weet wie er inlogt, immers kan het pasje of token ook door iemand anders gebruikt worden samen met diens wachtwoord en de loginnaam. Toch verbetert het de situatie rondom beveiliging en toegang op afstand via publieke verbindingen enorm.
Smart is vaak slim Smartcards en tokens zijn de meest gebruikte vorm van authenticatie. Ze maken gebruik van een chip die informatie bevat. Een smartcard in kaartvorm gebruiken we allemaal wel eens om te internetbankieren, pinnen, of om te chippen. Er zijn smartcards die naast de mogelijkheid tot bewaren van informatie ook in staat zijn gegevens zelf te versleutelen, en hiervoor dus extra elektronica aan boord hebben. In de vorm van een token, heb je een klein apparaatje wat je bijvoorbeeld aansluit op de USB-poort van een computer om je te authenticeren. Deze manier van authenticatie heeft als belangrijke nadeel dat je gebruik dient te maken van een paslezer, of USBpoort in combinatie met software die al dan niet geïn-
juli/augustus 2004
\\ NetOpus
stalleerd dient te worden op je computersysteem. Bovendien zijn vaak één of meer speciale servers nodig om de PKI-infrastructuur mogelijk te maken en die autorisatie- en beheerfuncties biedt. Een infrastructuur met PKI wordt wel als de meeste veilige manier voor authenticatie en autorisatie beschouwd.
Innovatief opgelost: A-select Voor het onderwijs is mede door Surfnet een dienst opgezet om authenticatie te verbeteren Hierbij wordt gebruik gemaakt van de reguliere bankpas en pincode, die ook al gebruikt wordt voor internetbankieren. Het voordeel is dat er geen extra apparaatje of pas nodig is en een bankpasje niet snel aan iemand anders wordt gegeven. De gebruiker die op het bedrijfs- (of school-)netwerk wil inloggen, meldt zich bij de internetbankierenpagina van de RABO- of ABN AMRO-bank en gebruikt de voor hem bekende manier om hier in te loggen. Daarna wordt de verbinding doorverbonden naar het bedrijf/de school. Als alternatief kan de persoonlijke mobiele telefoon worden gebruikt voor authenticatie. Na inloggen wordt de toegangscode per SMS-bericht naar de GSM gestuurd, waarna de gebruiker daarmee verder kan inloggen in de webomgeving van serverbased computing. Bij A-select wordt feitelijk authenticatie uitbesteed bij een externe partij.
Password-tokens Password-tokens zijn erg populair binnen serverbased computing oplossingen. Vooral RSA SecurID en SafeWord for Citrix MetaFrame worden veel gebruikt. Het token genereert iedere keer bij het inschakelen of drukken op een knopje, een password in de vorm van een code dat op een eenvoudig display wordt getoond. Dit wachtwoord is iedere keer anders en hoeft dus niet door de gebruiker te worden onthouden. Er bestaan overigens ook varianten waarbij een pincode ingevoerd moet worden voordat dit wachtwoord wordt gegenereerd. Het wachtwoord moet binnen een bepaalde tijd (bijvoorbeeld een minuut) worden gebruikt anders is het alweer verlopen. Na authenticatie is het alleen geldig voor deze ene sessie, dus na uitloggen kan het niet meer worden gebruikt. Voordelen van (onetime) password-tokens zijn dat er geen software en
2-FACTOR AUTHENTICATIE
SafeWord for Citrix MetaFrame
paslezers op de werkplekken nodig zijn, dat ze eenvoudig in het gebruik zijn en dat de meeste ervan goed tegen een stootje, vocht en stof kunnen. Voor password-tokens is aan de bedrijfszijde een bij het gekozen product passende infrastructuur nodig die kan omgaan met deze veranderende wachtwoorden. Wil je password-tokens integreren binnen een PKIarchitectuur dan vereist dat wat extra onderzoek, want je kunt immers op de tokens zelf geen sleutels/ID’s opslaan en dat moet dan bijvoorbeeld gebeuren op de harde schijf van de werkplek (en dat is weer minder veilig).
Om te laten zien hoe je een en ander in de praktijk toepast, bekijken we Secure Access SafeWord for Citrix MetaFrame (verder voor het gemak SafeWord genoemd). Het product implementeert authenticatie met een wachtwoord-token (zie afbeelding 1). SafeWord is eenvoudig te implementeren, omdat het gebruik maakt van Active Directory in plaats van een afzonderlijk te installeren en te beheren securityserver. Dit is meteen ook het grootste nadeel: je bent afhankelijk van hoe Active Directory binnen je bedrijf beveiligd is.
De authenticatiemarkt
Installatie
Er zijn nogal wat nationale en internationale fabrikanten van 2-factor authenticatie producten die in het bedrijfsleven geïmplementeerd kunnen worden. Het volgende lijstje geeft een kort overzicht, maar is ongetwijfeld niet compleet.
De SafeWord Security Server toepassing dient geïnstalleerd te worden op een Domain Controller en past het schema aan. Een werkgroepserver is ook mogelijk, maar dan heb je aanmerkelijk minder functionaliteit, waardoor dit dus niet aan te raden is. De installatie verloopt recht toe recht aan met een simpele wizard. Tijdens de installatie wordt meerdere malen contact gemaakt met Internet om een tiental MBytes aan updates te downloaden, zodat je altijd actuele versies van de software gebruikt. Je kunt in de wizard aangeven of je de SafeWord Management console (een MMC plug-in) gelijktijdig wilt installeren, of dat je dit op een afzonderlijk systeem wilt doen. Na installatie moet je het product aanmelden bij Secure Computing met de SafeWord Management Console, waarbij je één of meer aangeschafte token-group ID-nummers, invult. Je ontvangt een code terug waarmee automatisch het product wordt geactiveerd. De software is nu operationeel en de aangeschafte tokens zijn nu bekend in de database. Andere mogelijkheden van de SafeWord Management Console zijn bijvoorbeeld het maken, of terugzetten van een back-up van de SafeWord database, het importeren van een token-bestand (dit laatste heb je normaal gesproken niet nodig) of het zoeken naar tokens in de database. f
ActiveCard (www.activcard.com) biedt een heel scala aan authenticatie producten, waaronder password tokens, USB-authenticatiesleutels, smartcards en software. Aladdin (www.ealaddin.com) biedt eveneens smartcards en USB-authenticatiesleutels, waaronder een USB-model dat ook in staat is onetime passwords te genereren. RSA Security (www.rsasecurity.com) is misschien wel de bekende fabrikant van beveiligingsproducten, en vooral de SecurID wachtwoord-tokens met de RSA ACE/server wordt veel gebruikt in serverbased computing implementaties en daarbuiten. Secure Computing (www.safewordforcitrix.com) heeft speciaal voor Citrix-omgevingen een onetime password product ontwikkeld dat relatief simpel in te voeren is. Het product heet ‘SafeWord for Citrix MetaFrame’ en integreert met Active Directory. Daarnaast zijn er vele ander beveiligingsproducten door Secure Computing ontwikkeld. Vasco (www.vasco.com) levert onder andere het product met de langste naam, de ‘DigiPass for Citrix Web interface for MetaFrame Presentation Server’. Er is een Digipass middleware authenticatie server in het bedrijf nodig die ervoor zorgt dat de one-time wachtwoorden van de Digipass netjes kunnen worden afgehandeld.
C Afbeelding 1 » SafeWord for Citrix token
NetOpus // juli/augustus
39
40
De volgende stap is het toekennen van SafeWord tokens aan gebruikers. Ieder token heeft een uniek serienummer gedrukt op de achterzijde, bestaande uit een C gevolgd door zes cijfers (bijvoorbeeld C121181). Het standaard beheerprogramma Active Directory Users en Computers is uitgebreid met een tabblad SafeWord (zie afbeelding 2). Hierin kun je een token aan een gebruiker toewijzen door het serienummer in te voeren. Als extra beveiliging kun je een viercijferige pincode aan deze code toevoegen. Als de gebruiker met het token verbinding maakt met de webserver, dient hij deze pincode toe te voegen aan het wachtwoord dat op het schermpje van het token verschijnt na inschakelen. Mocht het token worden gestolen, dan werkt het niet zonder deze pincode. Het is mogelijk een token aan meerdere gebruikers toe te kennen. Dit kan soms handig zijn, bijvoorbeeld als medewerkers in ploegendienst gebruik maken van dezelfde werkomgeving. Met de overdracht van het werk van de ene naar de andere ploeg, moet dan tevens het token worden overgedragen. Op deze plek kun je als beheerder tevens de werking van het token testen, alvorens je het uitgeeft aan de gebruiker. Voor redundantie kun je SafeWord Server op meerdere machines installeren en synchronisatie daar tussen inschakelen. Je creëert dan een omgeving die voorzien is van load balancing, automatic failover en automatische backup van token-gegevens tussen die servers. De servers communiceren op basis van een bi-directionele ringtopologie.
SafeWord Web Agent moet nog geïnstalleerd worden op de webserver waarop Web interface for MetaFrame Presentation Server (NFuse Classic) of Secure Access Manager draait. Dit is een plug-in op de webserver die een extra veld aan het inlogscherm toevoegt. Nu kunnen de medewerkers inloggen met hun loginnaam, hun wachtwoord, het wachtwoord dat in het lcd-schermpje van het token verschijnt en optioneel de pincode die achter dat nummer toegevoegd kan worden, veilig en simpel.
Bezint eer gij begint De installatie van de gehele SafeWord omgeving is weliswaar erg simpel, maar toch is het aan te bevelen vooraf een plan te maken om de tokens in het grotere geheel van bedrijfsbeveiliging een plaats te geven en niet zomaar te beginnen met de installatie. SafeWord past bovendien het schema van Active Directory aan, dus ook dit vereist dat je vooraf goed de consequenties op een rijtje zet. Zeker als je met veelal complexere beveiligingsproducten van andere fabrikanten aan de slag gaat, is een gedegen voorbereiding onvermijdelijk. Als je beveiliging echter serieus neemt, is voor authenticatie over internet een smartcard, smart token of one-time password token onmisbaar. Y
Help, in ben mijn token vergeten Mocht een gebruiker zijn token verliezen, of vergeten en toch verbinding moeten maken met de bedrijfstoepassingen op MetaFrame Presentation Server, dan kan deze bijvoorbeeld de helpdesk van het bedrijf bellen. De helpdesk kan in Active Directory Users en Computers een wachtwoord genereren waarmee de gebruiker vervolgens kan inloggen. SafeWord installeert een ‘User Center’ en webservertje op de domain controller waar het product op is geïnstalleerd. De gebruiker kan op deze webpagina zelf een token installeren of zijn pincode veranderen. Helemaal handig is dit niet, omdat deze dienst op de domain controller draait en die wil je natuurlijk niet van buiten het netwerk beschikbaar maken. De dienst kan dus alleen vanaf het LAN gebruikt worden.
Mogelijk maken webtoegang Om SafeWord daadwerkelijk in gebruik te nemen op de webserver, moet er nog één ding gebeuren. De
juli/augustus 2004
\\ NetOpus
C Afbeelding 2 » Tabblad SafeWord
Linux Terminal Server Project Meer Linux op de desktop Het Linux Terminal Server project is bedoeld om serverbased computing mogelijk te maken met een centrale server en oude pc’s die als thin client worden ingezet. Je geniet de voordelen van server-based computing: je hebt werkplekken waar nauwelijks eisen aan worden gesteld en alle beheer vindt op de server plaats. Microsoft en Citrix krijgen er een concurrent bij!
42
M
isschien is het niet Citrix maar SUN die server-based computing als technologie bedacht heeft. Zo’n twintig jaar geleden kwam SUN op de markt met schijfloze werkstations gebaseerd op het toenmalige SunOS UNIX-besturingssysteem. Deze SUN 2/50 modellen kon je aanschaffen zonder harde schijf en ze laadden het complete grafische besturingssysteem en alle toepassingen van een applicatie-server. Deze diskless workstations hebben het echter niet zo heel lang volgehouden en zijn opgevolgd door volledige UNIX-werkstations voorzien van alle toeters en bellen. Met het Linux Terminal Server project (LSTP) herhaalt 20 jaar later de geschiedenis zich. Je kunt een pc zonder harde schijf opstarten via het netwerk en van die plek Linux laden en alle toepassingen gebruiken. Toepassingen draaien volledig op de server. Is dat niet wat Microsoft met Terminal Server en Citrix met MetaFrame Presentation Server ook doen? Er zijn zowel overeenkomsten als enkele belangrijke verschillen.
LSTP 4.0 Het Linux Terminal Server project (http://www.lt sp.org) maakt het mogelijk om grafische Linux- en Xwindows toepassingen te bedienen op uitgeklede en oude pc’s, bijvoorbeeld 486’s met slechts 16MB geheugen. Het project heeft hier begin dit jaar de ‘Recycling Award’ voor gewonnen. De pc’s hebben
juli/augustus 2004
\\ NetOpus
geen harde schijf nodig en kunnen van het netwerk opstarten als de netwerkkaart PXE ondersteunt (Preboot Execution Environment standaard van Intel). Eventueel kan een opstartdiskette worden gebruikt, die vervolgens Linux laadt van een server die aan het netwerk is verbonden. Op de Linux-server moet het LTSP-package worden geïnstalleerd. Gebruikmakend van DHCP, wordt naast een IP-adres de hostnaam van de server en het pad naar het opstart-image aangegeven om diskless werkplekken daarvandaan te starten met tftp. De software die naar de schijfloze pc wordt verzonden bevatten minimale onderdelen van het Linux-besturingssysteem (zoals de kernel). De benodigde bestanden en programma’s worden met NFS (Network File System) verbonden met de Linux-server. Vervolgens wordt de grafische shell X-Windows gestart met de window manager naar keuze, bijvoorbeeld KDE of Gnome. Wat je eigenlijk doet met LTSP is het ombouwen van oude pc’s tot X-terminals en de Linux-server tot applicatie-server met de noodzakelijke netwerkdiensten om de X-terminals aan te kunnen sturen. Je kunt gebruik maken van alle toepassingen die beschikbaar zijn op Linux (of die draaien op een ander UNIX-systeem dat op het netwerk is aangesloten). LTSP is voorzien van rdesktop, de public domain RDP-versie voor Linux. Met rdesktop kun je vanaf het Linux-systeem een RDP-sessie openen met een Windows 2000 server waarop Terminal Services is ingeschakeld, of een Windows Server 2003 Terminal Server. Met een stevige server en een verzameling oude 486’s kun je een aardige X-omgeving bouwen. Aan de server worden ongeveer dezelfde eisen gesteld als aan Windows Terminal Server: met een Dual Pentium III op 800Mhz en 1Gb RAM kom je een heel eind voor een stuk of 20 gelijktijdige gebruikers. Het grote nadeel is dat de software, de documentatie en de website van LTSP wat rommelig zijn en de professionaliteit missen die de Windows-beheerders gewend zijn. Tot en met versie 3.0 van LTSP is dit project geen handige oplossing. Hierbij werken de gebruikers met Linux-werkplekken en X-windows toepassingen. Dit kan bruikbaar zijn voor bedrijven die ervoor gekozen hebben Linux op de werkplekken te gebruiken in plaats van Windows, maar niet zo heel veel bedrijven in Nederland en België zijn daar daadwerkelijk mee bezig. Maar zoals te verwachten in de Open Source
LINUX TERMINAL SERVER PROJECT
wereld, is het eenvoudig om door te ontwikkelen aan het orginele LTSP. Een oplossing is de aanvulling voor LTSP die door Wili System (http://www.wili system.com) is gemaakt. Dit is een script dat gedraaid dient te worden op de Linux-server en zorgt ervoor dat de X-terminal zicht gaat gedragen als een Windowsbased terminal. Je kunt boven op X-win-dows een RDP-sessie naar een terminal server openen en de Windows-toepassingen die daarop draaien bedienen, gebruikmakend van Rdesktop. In versie 4 van LSTP is deze mogelijkheid overigens wel inbegrepen.
LSTP voor het onderwijs Speciaal voor scholen is K12LTSP samengesteld (http://k12ltsp.org/contents.html). Het aardige is dat dit feitelijk een complete op RedHat gebaseerd distributie is, voorzien van diverse toepassingen als Open Office, met LSTP 4.0 voorgeconfigureerd. In K12LTSP bevindt zich uiteraard rdesktop, zodat met een relatief simpele installatie een Linux terminal server met Linux diskless werkplekken ingericht kan worden. Hierbij kunnen dan Linux en X-windows-toepassingen bediend worden op de werkplekken, maar kan tevens een verbinding worden gemaakt met Windows Terminal Servers. De website van K12LTSP is beter toegankelijk en de instapdrempel om ermee aan de slag te gaan is een stuk lager.
tussen de Linux-server en de Linux-terminals veel meer bandbreedte nodig is dan bij server-based computing met het RDP- of ICA-protocol. De extra netwerkbandbreedte is nodig voor het laden van de kernel, het openen van toepassingen met NFS en het werken met de toepassingen en de grafische omgeving door het X-protocol.
Zit er brood in? Het Amerikaanse Symbio Technologies (zie http://www.thesymbiont.com) gelooft in de mogelijkheden van Linux en het LTSP-concept. Symbio Technologies is gespecialiseerd in Linux-servers en Linux-gebaseerde thin clients die gereed zijn om in te zetten in een Linux terminal Server Project omgeving. Voor alle varianten van LTSP die je toegang geven tot Windows server-based computing, heb je een Windows server nodig inclusief een Windows serverlicentie, evenals een Terminal Services Client Access Licentie voor iedere Linux-werkplek. Gebruik je Windows Server 2003 dan kan de Terminal Server Client Access Licentie naar keuze per werkplek, of per gebruiken ingesteld worden. Microsoft is de lachende partij bij toepassing van LTSP: het bedrijf verdient hoe dan ook aan LTSP als deze gebruikt wordt om toegang te geven tot Windows-omgevingen.
Linux op de desktop Rdesktop loopt achter Een beperking van LTSP voor het gebruik in combinatie met Windows Terminal Servers is het gebruikte Rdesktop (http://www.rdesktop.org). Dit is een versie die ontwikkeld is voor RDP versie 4 en 5, die wat beperkingen heeft. Zo is het maximale aantal ondersteunde kleuren 256 en wordt bijvoorbeeld geen automatisch drive mapping ondersteund. Dit maakt LTSP in deze samenstelling alleen zinvol voor gebruik met Windows NT 4.0 Server, Terminal Server Edition en Windows 2000 Server met Terminal Services. In combinatie met Windows Server 2003 Terminal Server verlies je net die aanvullingen die dit besturingssysteem voor RDP zo interessant maken. Wil je Windows Server 2003 ondersteuning dan kun je natuurlijk een commerciële versie van een RDPclient aanschaffen voor Linux zoals LinRDP van Cláudio Rodrigues (http://www.terminal-services .net), WinConnect van ThinSoft (http://www.thinsoftinc.com). Als alternatief kun je gaan werken met de ICA-client van Citrix. Alledrie de oplossingen zul je wel zelf moeten installeren en configureren binnen LTSP. Een ander nadeel van LTSP is het feit dat het weliswaar een terminal-oplossing is, maar dat er
LTSP voor gebruik als thin clients om Windows Terminal Servers te bedienen, heeft nogal wat beperkingen en uitdagingen. Daarmee is niet gezegd dat Linux als besturingssysteem niet geschikt is voor thin clients, integendeel. Bijna alle fabrikanten van thin clients (waaronder Neoware, Igel, Wyse en het Nederlandse Acropolis) maken gebruik van Linux in één of meer van hun apparaten, waarbij sommigen ook de mogelijkheid bieden om op te starten van het netwerk. Het grote voordeel van een commerciële thin client met Linux is in het bijzonder de noodzakelijke beheertoepassing om de firmware en instellingen op afstand te kunnen onderhouden. Vaak moet je daar wel extra voor betalen. Sommige fabrikanten (zoals Igel en Acropolis) verkopen insteekkaarten voorzien van embedded Linux waarmee je in een handomdraai een oude pc omtovert tot een Linux thin client. Linux verschijnt stilaan op de desktop, alleen in een iets andere vorm dan sommigen misschien denken of hopen. Y
NetOpus // juli/augustus
43
Nederland vergaderland Virtueel overleggen met Conferencing Manager De vele fabrikanten van conferencing-oplossingen willen ons aan het ‘vergaderen’ hebben. Alsof we nog niet genoeg vergaderen in Nederland! Toch kan Conferencing helpen om de efficiency van besprekingen te vergroten. Omdat het niet langer nodig is om fysiek bij elkaar aanwezig te zijn in één ruimte kun je op elektronische wijze een bespreking of presentatie bijwonen en op die wijze dure internationale reiskosten en reistijd besparen. Volgens Citrix hoort conferencing tot de ‘access infrastructure for the on-demand enterprise’.
44
M
et het toevoegen van Conferencing Manager aan de access suite van Citrix, is server-based computing voorzien van conferencing. Conferencing Manager draait boven op server-based computing met Citrix MetaFrame Presentation Server en maakt gebruik van de daarvoor al bestaande infrastructuur en het dunne ICAprotocol. Een ander groot voordeel is dat je niet alleen PowerPoint-sheets kunt tonen en delen met de andere deelnemers aan de virtuele vergadering, maar iedere toepassing die je met MetaFrame Presentation Server aanbiedt. Dit werkt over tragere WAN-verbindingen en draadloze verbindingen, maar natuurlijk net zo goed over het bedrijfsnetwerk.
zodat interactie mogelijk is. Behalve het kunnen delen van alle bestanden en toepassingen die je maar wilt, is er een whiteboardfunctie ingebouwd om live aantekeningen op het scherm te maken (hiervoor wordt MSPAINT van Windows gebruikt, die ook geïnstalleerd dient te zijn) en kun je persoonlijke berichten sturen naar een andere deelnemer. Gebruik je niet de Outlook-optie om bijeenkomsten te plannen, dan is het mogelijk om direct een bespreking te beginnen, door de Create Conference Wizard aan te roepen. Je zult vervolgens de deelnemers wel telefonisch moeten uitnodigen die dan de conference kunnen binnenstappen. Op zich is dit geen probleem, want bij de meeste conferences wil je toch ook telefonisch contact met alle deelnemers.
Het secretariaat en de voorzitter De conference-organisator regelt met Outlook de bespreking en nodigt deelnemers uit maar hoeft niet zelf deel te nemen aan de bespreking. Je zou kunnen zeggen dat deze organisator een secretariaatsrol vervult. De conference-host is de persoon die daadwerkelijk de vergadering opent en op die wijze een voorzittersrol heeft. De vergadering vindt altijd plaats op het kantoor van de voorzitter (lees: de terminal serversessie van de host) en je ziet dus de inrichting van zijn kantoor (lees: de middelen binnen die sessie, zoals printer, bestanden en dergelijke). De conference host bepaalt de rechten van de deelnemers. Hij kan toetsenbord en muis uitschakelen zodat ze alleen kunnen meekijken, of inschakelen
juli/augustus 2004
\\ NetOpus
Achter de schermen Conferencing Manager bestaat uit drie onderdelen. MetaFrame Conferencing Manager is het programma dat wordt gepubliceerd op één of meer terminal servers en dat primair gebruikt wordt door de host en de deelnemers vanuit de ICA-client. Het tweede onderdeel, Conference Room genaamd, is eveneens een gepubliceerde toepassing op één of meer terminal servers, maar het wordt alleen indirect en onzichtbaar aangeroepen vanuit de gebruikersinterface van Conferencing Manager. De applicatie Conferencing Room is dus niet rechtstreeks door gebruikers te starten. Het laatste onderdeel is de Conference Organizer
CONFERENCING MANAGER
dienst. Deze wordt niet gepubliceerd en draait slechts op een enkele terminal server of willekeurige andere server in je domein. De Conferencing Organizer service bouwt sterk op de XML-service (die op alle MetaFrame servers draait). Je moet één terminal server als primair systeem instellen (bij voorkeur het systeem dat in de farm als Data Collector fungeert) en een ander systeem als secundaire XML-server. Lastig, maar begrijpelijk als je door hebt hoe het onder de motorkap allemaal werkt, is dat je tweemaal moet inloggen; eenmaal als je Conferencing Manager start en nog een keer als je een vergadering binnen wilt stappen door de Conferencing Room te openen vanuit Conferencing Manager. Wil je dit niet, dan kun je Passthrough authenticatie inschakelen, zowel op in de lokale ICA-client toepassing (voor de eerste login) en in de pass-through client op de MetaFrame servers.
Dus gebruik je bedrijfsbreed MetaFrame Presentation Server dan kun zonder veel inspanning en met relatief lage en vaste kosten vergaderen. Het product maakt net als Presentation Server gebruik van gelijktijdige licenties. Voor bedrijven die slechts gedeeltelijk met Presentation Server werken (voor enkele gedefinieerde toepassingen en voor enkele groepen gebruikers), is Conferencing Manager niet zo een handig product. Maar maakt je bedrijf op grote schaal gebruik van MetaFrame Presentation Server, dan is de invoering van Conferencing Server voor eigen medewerkers eigenlijk een kleinigheidje. In Conferencing Manager ontbreken verschillende (minder gebruikte) functies die in andere webgebaseerde conferencing-diensten vaak wel inbegrepen zijn, zoals instant messaging (interactief chatten) en polling (enquetes houden of stemmen).
Daar moeten we over vergaderen
Rondvraag
Het product kan gebruik maken van Outlook in combinatie met Exchange 5.5 of Exchange 2000 om vergaderingen te beleggen, deelnemers uit te nodigen en dergelijke. Helaas worden Lotus Notes en andere e-mailtoepassingen nog niet ondersteund. Om deze integratie te activeren moet er één en ander geconfigureerd worden op de Exchange server en voor Outlook. Maar conceptueel belangrijker is dat dit alleen werkt als Outlook gepubliceerd en gebruikt wordt op de MetaFrame server die tevens Conferencing Manager draait. Gebruikers die de functionaliteit willen gebruiken zullen dus Outlook op deze wijze moeten gebruiken en niet lokaal op hun pc of notebook. Dit maakt deze optie niet voor alle omgevingen geschikt. Wil of kun je de Outlook/Exchange integratie niet gebruiken dan kunnen geautoriseerde gebruikers met een wizard een vergadering direct starten. In de laatste versie van Conferencing Manager is het mogelijk om niet-medewerkers zoals partners of toeleveranciers als gast te laten deelnemen aan een conferentie met de Guest Attendee Web Interface optie. Met een Conference ID dat bijvoorbeeld telefonisch dient te worden doorgegeven, kunnen externen via de webpagina aan de bespreking deelnemen. Uiteraard is hiervoor op de werkplek van de externe de ICA-client toepassing noodzakelijk. Toch is MetaFrame Conferencing Manager vooral zinvol om virtuele bijeenkomsten te houden tussen medewerkers van je bedrijf. Deze medewerkers hoeven niet fysiek met hun werkplek op het LAN aangesloten te zijn, maar ze moeten wel online toegang hebben tot het bedrijfsnetwerk en tot de MetaFrame servers.
De conferencing-markt is erg omvangrijk en er zijn vele tientallen bedrijven die conferencing aanbieden. Meestal is dit een internetdienst: de deelnemers van de conferentie melden zich aan bij een webserver en over de internetverbinding kan dan wereldwijd worden vergaderd. Je betaalt per tik (per minuut), per gebruiker, of een vast bedrag per maand of jaar voor een abonnement. Citrix heeft hierdoor veel concurrenten waaronder niet de minsten (denk aan Microsoft die voor dit doel Placeware heeft overgenomen, WebEx, Centra of IBM/Lotus). En nu gaat Citrix de concurrentie met zichzelf aan, doordat de Citrix Online divisie GoToMeeting als webconferencing-dienst introduceert. GoToMeeting maakt geen gebruik van de ICA-client en is een losstaand webgebaseerd vergaderproduct, te betalen per maand of per jaar voor het aantal gelijktijdige gebruikers dat ermee vergadert. De doelgroep zijn zakelijke vergaderingen van kleinere omvang en het is zeker niet de bedoeling om er complete seminars over het web (webinars) mee te organiseren. De vraag is of we op grote schaal zitten te wachten op conferencing-software. Is dit vooral niet iets wat zich beperkt tot grote organisaties die wereldwijd vestigingen hebben? Onderzoeksbureaus voorspellen echter dat deze markt tot 2009 hard zal groeien. Conferencing zal deel gaan uitmaken van de standaard desktop, samen met instant messaging, Voiceover-IP en videomogelijkheden geïntegreerd met andere toepassingen. Citrix zit er in ieder geval alvast bovenop. Y
NetOpus // juli/augustus 2004
45
MARKETWATCH
Server-based computing Server-based computing zoals we dat kennen op basis van Windows, bestaat feitelijk al sinds 1989, toen Citrix op basis van OS/2 een multi-user omgeving begon te ontwikkelen. Server-based computing is uitgegroeid tot een markt waar anno 2004 twee partijen met de scepter zwaaien: Microsoft en Citrix.
N 46
aast Microsoft en Citrix zijn er ook andere fabrikanten bijgekomen die de concurrentie met één van beiden zijn aangegaan, of die aanvullingen bieden op hiaten die de producten van Microsoft of Citrix laten liggen. Naast de platformproducten en aanvullende beheertools, vormen thin clients een onderdeel van de server-based computing markt. Hoewel server-based computing met een ‘dun’ presentatieprotocol ook op UNIX mogelijk is (met bijvoorbeeld Graphon Go-Global for UNIX of Citrix MetaFrame Presentation Server for UNIX) is het toch in 99,9% van de implementaties een Microsoft-besturingssysteem dat de basis vormt voor de technologie. Terminal services is standaard inbegrepen in Windows 2000 Server en Windows Server 2003, maar heeft nog zo zijn beperkingen. De behoefte aan een aanvullend platform is in veel gevallen aanwezig. Hiermee worden de mogelijkheden die Microsoft met het Remote Desktop protocol biedt sterk uitgebreid. Aanvullingen die in meer of mindere mate door de aanvullende platforms worden geboden, zijn bijvoorbeeld geavanceerde loadbalancing, het transparant voor de gebruiker kunnen aanbieden van toepassingen (seamless windows en publiceren), vereenvoudigde en beveiligde webtoegang of monitoren en rapporteren van het gebruik van servers en toepassingen.
Opmars concurrenten Ongeveer driekwart van de platformmarkt in serverbased computing is in handen van Citrix met de producten MetaFrame 1.8 en MetaFrame XP Presentation Server. De drie producten uit de laatste MetaFrame-familie (standard, advanced en enterprise server) bieden alle bovengenoemde mogelijkheden en nog veel meer. Citrix maakt hierbij gebruik
juli/augustus 2004
\\ NetOpus
van een eigen presentatieprotocol (ICA) waarop de mogelijkheden geboden worden en gebruikt niet het standaard aanwezige RDP-protocol. Toch zijn er ontwikkelingen gaande die er geleidelijk aan voor zullen zorgen dat Citrix een deel van de pure server-based computing markt verliest. Het marktaandeel van de concurrenten is nog marginaal, maar dat kon wel eens veranderen. Citrix biedt weliswaar de meest uitgebreide mogelijkheden, maar is ook het duurste platform. Bovendien lijkt Citrix zich meer en meer te richten op grote organisaties, hoewel Citrix dit laatste tegenspreekt. Er is weliswaar een standard edition, maar zelfs kleine implementaties hebben behoefte aan load balancing-mogelijkheden dus kom je al snel bij advanced server terecht. Door de IMA-store, data-collectors, licentie-servers en dergelijke wordt server-based computing met Citrix te complex voor kleinere organisaties. De prijs en complexiteit samen geven veel ruimte voor andere partijen om goedkopere en eenvoudigere producten aan de man te brengen, eventueel ten koste van een beetje functionaliteit. De oudste daadwerkelijke concurrent met het meest gelijkwaardige productportfolio is HOB. HOB is een Duitse organisatie die al tientallen jaren mainframeterminals en connectivity-software biedt en die in 1999 het server-based computing platform HOBLink JWT heeft gelanceerd. Net als Citrix biedt HOB beveiligde toegang, load balancing, gepubliceerde toepassingen en multi-plaform ondersteuning. Het jongere NewMoon is in 2003 overgenomen door Tarantella en biedt sinds 2001 Canaveral iQ. Dit product gaat sinds eind mei verder onder de naam Secure Global Desktop Terminal Services Edition. In tegenstelling tot de Citrix- en HOB-producten is dit nog geen ware multi-platformoplossing, maar een Java-oplossing is in ontwikkeling. De overige fabrikanten in de tabel bevinden zich in een niche markt (het Amerikaanse Graph-On) of hebben nauwelijks of geen aandeel in ons land (zoals de Engelse DAT group en het Israëlische Jetro Platforms). Door de uitgebreidere mogelijkheden van Windows Server 2003 Terminal Server (zie het themanummer van vorig jaar) wordt de Microsoft-oplossing ook als losstaande server-based computing infrastructuur gebruikt. Als de geruchten waar zijn dat Microsoft in de Bearpaw-release van Windows Server 2003
MARKET WATCH
seamless windows, publiceren van toepassingen en veilige SSL-webtoegang incorporeert, zouden Citrix, HOB en Tarantella dit wel eens kunnen gaan voelen.
Beheerproducten Ondanks de vaak uitgebreide beheermogelijkheden van de genoemde platforms, zijn er nog enkele probleemgebieden en aandachtspunten waar andere bedrijven zinvolle aanvullingen leveren. Soms bieden ze gedeeltelijk overlappende of verbeterde functies maar veelal aanvullende mogelijkheden op de platformproducten. Net zoals Microsoft met iedere serverversie van Windows functies overneemt van Citrix MetaFrame Presentation Server, neemt Citrix met regelmaat functies over van de beheerproducten. En net zoals Citrix toegevoegde waarde blijft houden op Microsoft, slagen de fabrikanten van aanvullende beheerproducten er in om toegevoegde waarde te blijven vinden op Citrix en Microsoft. Maar de kans is groot dat Citrix één van de populaire hieronder genoemde beheertools opkoopt om te integreren in MetaFrame Presentation Server. In Nederland en België worden de producten van RES en AppSense erg veel gebruikt. De functionaliteit van hun producten PowerFuse respectievelijk Performance Suite zijn niet zonder meer vergelijkbaar, maar globaal bieden ze meer of minder mogelijkheden om het beheer van de gebruikers- en/of serveromgeving te vereenvoudigen, waaronder profielen, rechten tot toepassingen, menu’s en dergelijke. Ook zijn ze in staat om geheugen en/of processorgebruik te reguleren. TScale van RTO software is gespecialiseerd in cpu-beheer (het product wordt tevens onder licentie verkocht door Wyse als Expedian). Aurema ARMtech is in staat zowel het geheugen, het virtuele geheugen en de processor te sturen. Andere producten zoals die van Tricerat en Emergent Online komen in onze regio weinig voor. Het beheer van printerdrivers en onder controle houden van printerverkeer over trage verbindingen is nog steeds een uitdaging. Als specialistische hulpmiddelen op dit gebied zien we Qnetix Uniprint en het Duitse Thinprint veelvuldig verschijnen. Om het server-based computing verkeer in het algemeen over trage verbindingen voorrang te geven wordt software als PacketShaper van Packeteer of Expand’s Accelerator gebruikt. Deze hulpmiddelen zijn niet specifiek voor de server-based markt bedoeld of ontwikkeld, maar zijn wel in staat RDPen ICA-verkeer te herkennen en te sturen. Een bijzonder product dat sinds enige tijd in Nederland aan
de weg timmert is SoftGrid van Softricity (zie ook de Labreports in deze NetOpus) dat gebruikt kan worden om toepassingen op terminal servers aan te bieden in een virtuele omgeving. Hierdoor kunnen toepassingen die elkaar op terminal servers niet in de weg zitten, of helemaal niet functioneren toch gebruikt worden. Er zijn concurrenten die ook applicatie-streaming mogelijk maken (zoals AppStream) maar die komen we in Nederland voor zover bekend nog niet tegen. Om de belasting en impact van toepassingen op multi-user servers te testen, kun je gebruik maken van software die gebruikers simuleert zoals Stresstest van Scapa. Wil je geen gebruik maken van resource management mogelijkheden van MetaFrame Presentation Server Enterprise Edition, dan zijn er alternatieven die tevens werken op een pure terminal server omgeving zoals EControl Portal van ICS (zie het LabReport in Windows & .NET Magazine van juli/augustus 2003).
Thin clients Een bijzondere markt vormen de thin clients. In dit themanummer testen we twee modellen thin clients van vier fabrikanten, maar er zijn meer dan 40 fabrikanten van deze systemen met samen meer dan 200 thin client types. Toch is de markt voor thin clients op dit moment helemaal niet zo groot en is het eigenlijk wonderbaarlijk dat ze hun bestaansrecht kunnen handhaven. Populair in Nederland is marktleider Wyse met een groot aantal modellen in allerhande prijsklassen. Wyse is een tijdje geleden ook in de softwaremarkt gestapt om niet helemaal afhankelijk te zijn van thin client hardware. Neoware is een goede tweede, mede veroorzaakt door de overname van verschillende andere populaire fabrikanten zoals Boundless en een samenwerkingsverband met IBM. HP, op de derde plek in de wereldranglijst, heeft lange tijd Wyse-terminals als OEM geleverd maar heeft sinds enige tijd enkele eigen thin clients en maakt volgens marktonderzoekers als IDC grote kans om ooit nog eens Wyse van de eerste plaats te stoten. Veel klanten ervaren een fabrikant die zowel hun servers, pc’s, beheersoftware én thin clients kan bieden immers als een voordeel. Ook het Duitse Igel en het Nederlandse Athena doen het goed. Doordat CDG het Israëlische ChipPC als thin client heeft geadopteerd komen we dit merk eveneens met enige regelmaat in Nederland tegen.
De ‘Access Infrastructure’ markt De markt voor access infrastructure (toegangsinfrastructuur) die door Citrix is gedefinieerd, is f
NetOpus // juli/augustus 2004
47
MARKET WATCH
enorm groot en onmogelijk in een enkele pagina te beschrijven. Als het gaat om veilige toegang tot server-based computing ondervindt Citrix met Secure Gateway concurrentie van onder meer HOB’s HOBLink Secure, van Tarantella Enterprise 3 dat sinds mei Secure Global Desktop Enterprise Edition heet, maar ook van toegangsappliances zoals die van Netilla, Juniper of Aventail. Verder heeft deze markt helemaal niets meer te maken met server-based computing maar omvat het onder meer producten voor identiteitenbeheer en single sign-on, instant messaging, conferencing, groupware, firewalls en VPN-oplossingen, intrusion detectie systemen, enterprise portals, enzovoort. Alles wat maar enigszins direct of indirect te maken heeft ‘toegang’ valt onder deze markt en dat is bijna de gehele ICT-infrastructuur. De Citrix-producten lossen slechts een klein deel van het toegangsprobleem op. MetaFrame Password Manager lost bijvoorbeeld geen identiteitenbeheerprobleem op, MetaFrame Conferencing Manager ondersteunt geen Instant Messaging, Secure Access Manager is geen enterprise portal, geen documentbeheersysteem of content management systeem en Citrix heeft (nog) geen VPN appliances, firewalls of authenticatie-oplossingen. Het worden dus spannende tijden voor Citrix, maar vooral voor serverbased computing beheerders. Is het mogelijk om in de toekomst nog Citrix-specialist te zijn of wordt je straks ‘Presentation Server’-specialist omdat het vakgebied ‘Citrix’ veel te breed wordt en nog onmogelijk te volgen is? Laten we in ieder geval hopen dat Citrix de ‘roots’ niet vergeet en server-based computing veel aandacht blijft geven. Y
Server-based computing platforms Citrix - MetaFrame http://www.citrix.com DAT Group - Panther Server http://www.pantherpowered.com GraphOn - GO-Global http://www.graphon.com HOB - HobLink JWT 3.1 http://www.hob.nl Jetro Platforms - CockpIT 3.5 en BoostIT! http://www.jp-inc.com Microsoft Windows 2000 Terminal Services en Windows Server 2003 Terminal Server http://www.microsoft.com Tarantella http://www.tarantella.com
Server-based computing beheerproducten Aerema ARMtech 2.1 http://www.aurema.com AppSense Performance Suite 2.2 http://www.appsense.com AppStream Technology Windows Edition http://www.appstream.com Emergent Online AppPortal http://www.99point9.com/public/products Expand Networks Accelerator http://www.expand.com ICS EControl Portal 3.4 http://www.econtrolportal.com Packeteer PacketShaper http://www.packeteer.com Qnetix UniPrint 4.3 http://www.qnetix.com RES PowerFuse 7.01 http://www.respowerfuse.com RTO Software Tscale 3.0 http://www.rtosoft.com Scapa technologies StressTest Thin Client 2.0 http://www.scapatech.com Softricity SoftGrid for Terminal Server v3 http://www.softricity.com ThinPrint GMBH ThinPrint .print Server Engine http://www.thinprint.com Tricerat Simplify Printing, en andere http://www.tricerat.com Thin clients Acropolis Athena http://www.acropolis.nl Acute http://www.acutetech.com ChipPC http://www.chippc.com Eizo http:/www.eizo.com Fujitsu-Siemens http://www.fujitsu-siemens.com HP http://www.hp.com Igel http://www.igel.com NCD http://www.ncd.com Neoware http://www.neoware.com Wyse http://www.wyse.com
NetOpus // juli/augustus 2004
49
LABREPORTS
Dun, dunner, dunst 8 thin clients vergeleken Een zakelijke pc aanschaffen is tegenwoordig niet zo kostbaar meer. Voor 1000 euro koop je een stevige middenklasser inclusief DVD-schrijver, 17 inch LCD scherm en 512MB geheugen. Een dergelijke pc is geschikt voor nagenoeg alle toepassingen en voldoet voor 95% van de medewerkers in kantooromgevingen. Maar we weten allemaal dat het daar niet bij blijft. De kosten voor beheer en onderhoud en de indirecte kosten zijn enorm. Zaken als softwaredistributie, licensing, patchmanagement, virusbestrijding en versiebeheer kosten jaarlijks veel geld. Server-based computing in zijn meest verregaande vorm pakt deze problematiek aan door thin clients te gebruiken in plaats van pc’s. 50
B
ij Server-based computing worden de beheerproblemen verlegd van de werkplek naar de centrale terminal servers. De problematiek bestaat dan weliswaar nog steeds, maar is veel beter onder controle doordat het zich allemaal afspeelt op de centrale servers, in geconditioneerde dataruimtes onder direct toezicht van de IT-afdeling. Door op de werkplek een simpele thin client te plaatsen, kunnen de eindgebruikers de centraal aangeboden Windows-omgeving bedienen en alle toepassingen gebruiken. Een thin client is een goedkoop klein kastje, voorzien van een uitgekleed besturingssysteem op een chip, zeer weinig intern geheugen heeft en niet beschikt over een harde schijf, of andere bewegende delen. Het enige wat de thin client na het opstarten doet, is een verbinding maken met een terminal server, gebruikmakend van het RDP- of ICAprotocol. De thin client is om die reden voorzien van een RDC-client toepassing, of een ICA-client toepassing. Het belangrijkste doel van thin clients is om de werkplek onder controle te krijgen en beheerbaar te maken. De thin client draait immers geen lokale toepassingen, is zeer snel te installeren, bij storingen relatief eenvoudig te vervangen en bevat geen lokale gegevens. Virusbescherming is op de thin client niet nodig en patchmanagement, servicepack-upgrades, enzovoort zijn niet relevant. Nog belangrijker is dat de gebruiker van het apparaatje er niets aan kan veranderen en geen software kan installeren, of verwijderen.
juli/augustus 2004
\\ NetOpus
Selectie Het selecteren van de juiste thin client is veel moeilijker dan het vinden van een standaard pc, want de thin clients zijn onderling zeer verschillend. Voor ieder inzetgebied is wel een thin client te vinden en voor ieder type thin client is wel een markt. Behalve aspecten als installatie, beheermogelijkheden, uitbreidingsmogelijkheden, beschikbare stuurprogramma’s en grafische prestaties, spelen ook ander zaken een rol bij de selectie. Daarbij kun je denken aan prijs, garantie, kwaliteit van de handleidingen, de ondersteuning van de fabrikant, of zelfs iets banaals als de beschikbare montagematerialen tegen diefstal. Er zijn projecten bij de overheid bekend waar alleen een selectie uit Linuxmodellen gemaakt mocht worden. NetOpus vergeleek van vier fabrikanten een instap- en een topmodel, met
8 THIN CLIENTS VERGELEKEN
De thin client wordt alsmaar dikker de door de fabrikant aangeleverde firmware, in een Windows Server 2003-omgeving voorzien van MetaFrame Presentation Server Feature Release 3.
Beste koop Een beste koop bestaat helaas niet, want eigenlijk vergelijk je al snel appels met peren. De thin clients tonen namelijk zeer grote verschillen in prijs, uiterlijk, aansluitmogelijkheden en uitbreidingsmogelijkheden, grafische prestaties, pc-gevoel, het gebruikte besturingssysteem en remote beheermogelijkheden. Hoe meer toepassingen er geïnstalleerd zijn en hoe meer randapparatuur er ondersteund moet worden, des te belangrijker wordt de beheersoftware voor de thin clients. Het kan handig zijn als je een thin client kunt beheren met de enterprise desktop managementoplossing die je bedrijf toch al gebruikt. Echter, in sommige bedrijfsomgevingen wil je dat juist niet, lukt dat niet, wil je dat niet, of gebruik je nog geen enterprise-toepassing. In dat geval ben je aangewezen op hetgeen de thin client fabrikant meelevert. Want hoe dun je client ook is, ooit moeten er instellingen aangepast worden, een nieuwe client geïnstalleerd worden, of moet de firmware opgewaardeerd worden. Je ontkomt dan niet aan een remote beheer oplossing voor thin clients. Regelmatig blijkt juist die beheertool de doorslag te geven bij de selectie van een thin client. Verder heeft vrijwel elke fabrikant meerdere modellen die met iedere nieuwe release van de firmware ook weer andere mogelijkheden krijgen. Onze test geeft een kleine selectie van thin clients weer en vormt een momentopname. Het beste kun je zelf het inzetgebied voor de thin client vaststellen in je organisatie en daarna zelf enkele modellen op die plek daadwerkelijk met echte gebruikers en de gewenste toepassingen testen. Gebruik dit Labreport om inspiratie en ideeën op te doen bij de selectie van je eigen thin client. In de tabel kan je de belangrijkste specificaties en onze beoordeling nalezen. Een uitgebreidere elektronische versie van de tabel hebben we op www.netopus.nl (onder de knop Downloads) geplaatst. Je kunt dan eventueel je eigen merk en type ernaast plaatsen en je keuze wellicht vereenvoudigen.
HP thin clients HP heeft lange tijd thin clients van Wyse verkocht onder eigen merknaam. Sinds enige tijd levert HP eigen producten en sinds eind 2003 is het bedrijf naar de derde plaats in de wereldranglijst van thin clients opgeklommen. Op dit moment kun je kiezen uit drie modellen. Wij bekeken de T5300 en de T5700. HP maakt voor het remote beheer van haar thin clients
Thin clients schieten steeds meer hun doel voorbij. Dat komt niet alleen door de fabrikanten maar vooral door de gebruikers van die producten. Vragen om ondersteuning voor USB-drives, smart cards, token ring, draadloze adapters, het kunnen aansturen van lokale printers, of een ingebouwde browser, zorgen voor uitbreidingen aan het besturingssysteem. Het gevolg is dat er steeds meer geheugen en processorcapaciteit nodig is. Je krijgt door deze extra hard- en software steeds meer behoefte aan werkplekbeheersoftware voor de thin clients om bijvoorbeeld de browser te voorzien van plug-ins en updates. Voor je het in de gaten hebt, beland je in exact hetzelfde voortdurende opwaardeerproces zoals dat bij pc’s het geval is, inclusief het uitrollen van servicepacks en securitypatches. Sommige thin clients zijn zo volgestouwd met extra software en hardware dat ze zeker geen thin client meer genoemd mogen worden. Als al die speciale beheertoepassingen noodzakelijk worden, bieden ze lang niet meer alle voordelen van de ware thin client. De thin client wordt dus alsmaar dikker. Er zijn zelfs al thin clients die net zo duur zijn als een pc.
gebruik van het product Altiris. De serversoftware is gratis te downloaden op de website van Altiris. De thin clients van HP zijn voorzien van een (bij de prijs inbegrepen) client-licentie van Altiris. Mocht je Altiris willen gebruiken voor het remote beheer van normale pc’s of servers, dan dien je daarvoor wel een client-licentie te kopen (voor informatie zie: www.altiris.com). Altiris is zeker niet het eenvoudigste product. Gebruik je al een ander desktop management pakket, dan zul je daarnaast met Altiris aan de slag moeten voor deze thin clients.
HP T5300 thin client Het instapmodel is de T5300. Dit is een op Windows CE .NET gebaseerde thin client. De kast kan horizontaal liggen, of verticaal in een voet worden geplaatst. Het is niet mogelijk de thin client onder het beeldscherm te plaatsen. Er zijn verschillende opties mogelijk in een multi bay en ook een USB-drive functioneert. Een draadloze adapter wordt niet ondersteund. De thin client wordt geleverd inclusief een USB-muis en een USB-toetsenbord. Deze sluit je aan op twee van de vier USB-aansluitingen op de client. De standaard machine start redelijk snel op. Dit duurt namelijk 35 seconden. Daarna heb je de beschikking over de grafische bediening van Windows CE .NET. Op de T5300 kun je ervoor kiezen de gebruiker de Windows CE Explorer shell te laten gebruiken, de HP Connection administrator, of de kiosk mode. De shell van Windows CE lijkt op die van Windows XP met een knop Start en het bekende Programs menu, maar met veel minder toeters en bellen. Met HP Connection Administrator configureer je een ICA-sessie, een RDC-sessie, een TEK terminal sessie (telnet) of een Internet Explorer sessie. i
NetOpus // juli/augustus 2004
51
8 THIN CLIENTS VERGELEKEN
Je kunt lokale profielen definiëren om per gebruiker aan te geven in welke mode deze terecht moet komen na het inloggen. Waarschijnlijk is dat niet wat je wilt, want gebruikers worden lokaal op de thin client bewaard en moeten worden onderhouden. Het kan wel handig zijn om bijvoorbeeld een ‘kiosk’ account te definiëren en een Connection Administrator account. Voor gebruikers wordt het minder handig om eerst met een andere account te moeten inloggen. Configureren van de T5300 is minder intuïtief dan je misschien zou verwachten. Windows CE is toch wel een beetje een eigenwijs besturingssysteem. Alles lijkt op de normale Windows-versies die je dagelijks gebruikt en beheert, maar het is net wat anders en op de een of andere wijze blijf je steeds onderdeeltjes missen. Het initieel inrichten van een Windows CE thin client kost wat meer inspanning dan bijvoorbeeld de door ons geteste Igel-oplossing op basis van Linux. Bij Windows CE heb je wel degelijk als beheerder te maken met typische eigenschappen van dat besturingssysteem. De T5300 wordt geleverde met minimaal benodigde toepassingen. Toch vind je enkele Windows CE toepassingen die de thin client net geen ‘ware’ thin client meer maken. Zo is er een lokale Windows Media Player 9, een Windows Messenger en Internet Explorer geïnstalleerd. Hiermee kun je deze toepassingen zowel op de terminal server en lokaal gebruiken. Echter, op Windows CE zitten speciale versies
HP T5300 P
van deze software en zul je snel tegen de beperkingen daarvan aanlopen. Zo zijn niet alle websites goed te bekijken met deze Internet Explorer door het ontbreken van veel plug-ins. Deze zijn simpelweg niet voor Windows CE ontwikkeld. Volgens HP moet de T5300 ook voorzien zijn van verschillende terminal emulaties (zoals een 3270-emulatie), maar op ons testexemplaar waren deze niet geïnstalleerd. Op de website van HP kun je wel terminal emulaties downloaden en installeren met Altiris. De grafische prestaties van de T5300 vallen erg tegen: alleen het getest Capio-model is nog trager. Wat je ook doet, browsen met de lokale Internet Explorer of na inloggen browsen op een terminal server, verslepen van objecten, bekijken van PowerPoint-presentaties en bladeren in Wordbestanden: de menu’s van toepassingen op de server voelen stroperig aan. Bij allerlei handelingen die je doet, merk je een vertraging op het scherm, zelfs met minder kleuren. Dit maakt de T5300 alleen echt bruikbaar in kioskomgevingen of andere specifieke plekken waar geen eisen gesteld worden aan grafische prestaties.
53
HP T5700 thin client De T5700 is de snelste en duurste thin client van HP. Qua uiterlijk is het apparaatje nauwelijks te onderscheiden van de kleinere broertjes T5300 en T5500. Alleen aan de achterzijde vind je als extra aansluitingen een parallelle en seriële poort. De T5700 heeft net als de T5500 een PCI-slot waar je een adapter kunt aansluiten voor bijvoorbeeld een wireless LAN. Ook de T5700 wordt geleverd met USB-muis en –toetsenbord. Hiermee houden de overeenkomsten met de andere modellen op. De HP5700 draait als besturingssysteem Windows XP Professional Embedded. De gebruiker zal het besturingssysteem beter herkennen, als je dit tenminste rechtstreeks wilt aanbieden. Ook zijn stuurprogramma’s beter beschikbaar en zijn lokale Windows-toepassingen te installeren. Op de T5700 draait een volwaardige Internet Explorer en Windows Media Player. Je kunt deze aanroepen op de lokale client, maar als je de T5700 als pure thin client inzet om de volledige desktop centraal aan te bieden, kun je Windows-media bestanden via de MetaFrame content redirection, transparant op de centrale desktop zichtbaar maken. De mediabestanden draaien dan niet op de terminal server maar lokaal. Verder zijn verschillende terminal emulaties inbegrepen en meegeïnstalleerd. Een ander logisch gevolg van Windows XP is dat je de thin client lid kunt maken van een domein, i
NetOpus // juli/augustus 2004
54
waardoor je vervolgens gebruik kunt maken van de domein authenticatie en autorisatie. De opstarttijd van de T5700 is ongeveer het dubbele van de T5300 (meer dan een minuut). Windows XP logt automatisch in met user-rechten zodat de gebruiker bijna niets kan veranderen. Door de shifttoets ingedrukt te houden bij het uitloggen kun je als Administrator inloggen. De T5700 is grafisch sneller dan de T5300. Toch zijn simpele handelingen als het verslepen van een volledig venster op terminal server trager als je dit vergelijkt met een gemiddelde pc en enkele andere thin clients uit de test. Met de RDC-client lijkt het systeem zich iets beter te gedragen dan met de ICA-client. Volgens de website van HP kun je een snellere grafische kaart aanschaffen en die in het (enige) PCI-slot plaatsen om de grafische snelheid te verbeteren. De T5700 heeft verschillende andere uitbreidingsmogelijkheden, zoals bijvoorbeeld een token ring kaart en een draadloze adapter. De opties maken de thin client wel iets duurder. HP heeft een goede website waarop helder de opties per model weergegeven zijn, evenals de downloads voor ieder besturingssysteem. De drie Windows XP Embedded systemen (HP T5700, Wyse 9650XE en Neoware Eon 6700) vertonen allemaal hetzelfde nadeel: met de ICA-client worden de lokale toetsen niet correct afgevangen. Hierdoor wordt bijvoorbeeld de toetsencombinatie CTRL+ALT+DEL en de Windows-toets niet op de server, maar op de client geïnterpreteerd. Het gevolg is dat je deze thin clients HP T5700 U
het beste kunt gebruiken door individuele gepubliceerde toepassingen aan te bieden op het lokale Windows XP bureaublad. Met de RDC-client werkt dit wel zoals het hoort. Een andere bijkomstigheid van Windows XP Embedded, is dat het qua beheer veel lijkt op Windows XP Professional werkplekken. Verder lijkt de HP client zoals verwacht erg op de andere Windows XP systemen uit de test. De verschillen zitten in de details van default instellingen, extra hulpprogramma’s, terminal emulaties en de hardwareconfiguratie.
Igel Clever clients Igel thin clients worden ontwikkeld door de Duitse Melchers Group. Ze worden ook in Nederland veel gebruikt. Je hebt de keuze uit een tiental modellen. De meeste modellen zijn voorzien van Linux en een enkele van Windows CE 4.1 (.NET). Igel heeft tevens een thin client die is ingebouwd in het LCD-scherm en een adapter waarmee je een oude pc snel kunt ombouwen tot een Igel thin client. Op de pas vernieuwde website van Igel (www.igel.com) vind je een feature comparison van alle beschikbare modellen. Igel gebruikt voor remote beheer een zelf ontwikkelde toepassing genaamd Remote Manager. De software maakt gebruik van de open source database SAPdb voor de opslag van alle gegevens van de thin clients. Het product werkt op zowel Windows-versies als Linux-distributies en de managementconsole ondersteunt daarnaast nog Solaris en enkele andere UNIX-varianten. Remote Manager is een relatief eenvoudige en vriendelijke beheeromgeving voor Igel thin clients in tegenstelling tot de complexere beheersoftware van de andere fabrikanten.
Igel-132 Smart Het goedkoopste model is de Igel-132. Dit is het instapmodel uit de nieuwe generatie thin clients van Igel. Het is een klein zwart metalen kastje met een aardig ontwerp. Aan de voorzijde is het apparaat voorzien van een klepje met daarachter twee USBaansluitingen. Aan de achterzijde vind je de standaard aansluitingen voor onder meer muis, toetsenbord, printer en netwerk. Het kastje is netjes weg te werken onder een bureau als je dat wilt. Helaas is de Igel-132, zoals overigens de meeste thin clients, voorzien van een externe voedingsadapter. Het opstartproces duurt 1 minuut en 10 seconden. Het is de bedoeling van deze thin client om hem in te zetten op plekken waar na verbinding maken met een terminal server met RDP of ICA, automatisch het Windows-logonscherm van de server aan de gebrui-
juli/augustus 2004
\\ NetOpus
8 THIN CLIENTS VERGELEKEN
ker wordt getoond. De uitbreidingsmogelijkheden van dit model zijn beperkt. Optioneel wordt er een enkel type draadloze netwerkkaart ondersteund. In dat geval is de thin client inzetbaar binnen een draadloos netwerk. Je kunt de thin client dusdanig configureren dat automatisch een sessie wordt gestart na het inschakelen en dat bij verlies van de sessie er een autostart wordt uitgevoerd. De gebruiker merkt dan nauwelijks nog dat hij met een thin client werkt. Alleen tijdens opstarten wordt even wat tekst getoond inclusief een Igel-opstartafbeelding. Als linux is gestart, ziet de gebruiker een paar tellen de Linux-desktop. In de sessie met de terminal server gedraagt de Igel zich als een ware pc. CTRL+ALT+DEL toont het beveiligingsscherm van de server zoals dat hoort en ook de Windows-toets laat het menu Start op de server zien. De Igel-132 is grafisch niet zo snel. Als je bladert in bijvoorbeeld een Word-bestand en je laat de cursortoets los, dan scrolt het bestand nog een tijdje door. Ook bij het verslepen van volledige schermen zie je het naijlen duidelijk, zelfs als zich daar geen grafische afbeeldingen in bevinden. Dit zorgt ervoor dat de Igel-132 niet voor iedere werkplek waar je een pc wilt vervangen geschikt is, maar voor kiosks en taakgebaseerde werkplekken is het een charmante en goedkope thin client, zoals een thin client ‘dun’ hoort te zijn. Voor meereisende gebruikers is een zwaarder model van Igel aan te raden. In beide gevallen kun je echter de
Igel-132 Smart P
IT-manager vertellen dat je de werkplekken met Linux gaat uitrusten. Voor sommige organisaties is dat een sterk argument.
Igel-596 Premium Plus De Igel-596 is een topmodel thin client van Igel. Het kastje van bijna 5 kg is degelijk en stevig in een veelvoorkomend standaardformaat van 29 bij 22 bij 5,3 cm en kan zowel verticaal (eventueel in een standaard) of horizontaal onder een beeldscherm worden geplaatst. Je kunt uit enkele kleuren behuizing kiezen. Als je iets speciaals wilt, kan Igel dat voor je maken (ook kleinere aantallen). De Igel-596 heeft een losse externe voeding en standaard aansluitingen. De twee USB-poorten bevinden zich aan de achterzijde. De systeemkast heeft een PCI/ISA-slot om een analoog modem, een ISDN-kaart, een tokenring kaart, Wi-Fi kaart of GSM-kaart te monteren. Overigens is er slechts een beperkte keuze uit merken en typen kaarten die worden ondersteund. Het geheugen van 256MB kan worden opgewaardeerd naar 512MB en de 96MB flash naar 144MB. De Igel-596 is eveneens geen snelle starter, van inschakelen tot het laden van de Igel/Linux desktop duurt 1 minuut en 20 seconden. In de Linux-omgeving heb je daarna de beschikking over verschillende terminal emulaties (waaronder powerterm, rsh, ssh en een x-term venster), uiteraard de RDP- en ICA-client toepassing maar ook de Tarantella client. Je kunt de emulaties en de RDP/ICA clients samen op de eenvoudige Linux desktop gebruiken als je wilt. Concreet betekent dit dat de gebruiker met een simpele grafische Linux-shell werkt om toepassingen te selecteren en verbinding te maken met systemen. Naast allerlei terminal emulaties is aanvullende Linux-software beschikbaar. Ons testmodel bevatte bijvoorbeeld de Java Web Start en een lokale browser Mozilla met Adobe Reader, Flash en Real Audio plug-ins. Verder is het mogelijk card reader sessies te maken en is er smartcard ondersteuning om in te loggen op de thin client en automatisch op de terminal server sessie (alleen onder Windows Server 2003 met RDP of MetaFrame Presentation Server). De ICA-client ondersteunt de laatste mogelijkheden zoals het vinden van servers met SSL/TLS en HTTPS, SpeedScreen 3-instellingen en de mogelijkheid om het niveau van versleuteling in te stellen tot 128-bit. Mocht je de thin client op een locatie buiten het netwerk plaatsen dan kun je een firewall/socks proxy instellen, of een MetaFrame Secure Gateway server benoemen. Een RDP/ICA terminal server-sessie op het volledige scherm is eveneens mogelijk, net als bij de igel-132 h
NetOpus // juli/augustus 2004
55
clients door IBM verkocht en is IBM gestopt met eigen thin clients. Je kunt een IBM opwaarderen naar een Neoware-besturingssysteem. Het gevolg is dat Neoware een uitgebreide mix van beschikbare thin clients heeft met een keuze uit flink wat varianten, in alle soorten en maten met verschillende besturingssystemen. Wij testten de instapper Capio 500 en de zware jongen Eon e100 XPe. Beheren van Neoware thin clients doe je met ezRemote Manager. Behalve deze Windows-gebaseerde beheeromgeving bestaat er ook een Neoware ezRemote manager Portal Edition waarmee - zoals de naam al impliceert - via een browser het beheer kan worden uitgevoerd. Met ezRemote manager kun je onder meer online en gepland groepen van thin clients opwaarderen met toepassingen en zelfs images klonen. Uiteraard houdt de toepassing ook een inventaris bij van de clients en de geïnstalleerde componenten (snap-ins genaamd). ezRemote Manager is niet heel eenvoudig, maar lang niet zo ingewikkeld als bijvoorbeeld de Altiris-oplossing van HP. EzRemote Manager kan geïntegreerd worden met Altiris, IBM Tivoli en Microsoft SMS.
Igel-596 Premium Plus P
56
Smart. Het gedrag wat betreft het verbergen van Linux en de werking van Windows-toetscombinaties in een remote sessie is ook identiek aan de Igel-132. De Igel-596 is wel aanmerkelijk sneller dan de Igel-132 en dat komt vooral door de processor en de S3 Savage4 grafische chipset die wordt gebruikt. Zelfs als je in true color werkt op de terminal server kun je een volledig venster verslepen zonder dat het naijlt of vervelend wordt. Als je bladert in een document en je laat vervolgens de cursortoets, of de Page Up/Page Down toets los, dan stopt ook meteen het scrollen. Alleen als je een venster van bijvoorbeeld een browser met afbeeldingen erin verplaatst, zie je de opbouw van het scherm even. Een PowerPoint-presentatie met overgangen loopt net iets langzamer en je ziet van links naar rechts de sheets opbouwen. Verlaag je de resolutie van het bureaublad dan is dit verholpen, maar ook in hoge resolutie is dit werkbaar en niet storend. De Igel-596 is een ASCII terminal (voor diverse terminals), thin client, NC en X-terminal in één doos en de meest uitgebreide uit de test.
Neoware thin client appliances Neoware staat op nummer twee op de wereldranglijst van thin client fabrikanten. Neoware heeft thin client fabrikant Boundless overgenomen, evenals de ThinStar thin clients van NCD. Verder wordt als gevolg van de samenwerking met IBM, NeoWare thin
juli/augustus 2004
\\ NetOpus
Neoware Capio 500 (16/32) De Capio 500 is de enige in onze test met een ingebouwde voeding. Dit alleen kan voor sommigen al reden zijn dit model aan te schaffen. Het zilverkleurige kastje is toch lekker klein en staat op een bijgeleverde voet. De voorzijde is van twee USB-poorten voorzien. Het opstarten duurt iets meer dan een minuut en de enige applicatie die je ziet (op een verder leeg bureaublad) is ezConnect. Hiermee maak je instellingen, regel je de beveiliging en definieer je RDP- en ICA-sessies. Behalve telnet, zijn er geen terminal emulaties inbegrepen. Volgens de specificaties is dat wel het geval; na enig rondspeuren op de website vind je een download met enkele terminal emulaties. De website is niet erg toegankelijk door de vele modellen en opties en bovendien moet je inloggen om toegang te krijgen tot een deel van de downloads. Veel meer dan printer-, geluid- en datum/tijdinstellingen vallen er niet te maken. Mocht het nodig zijn, dan kun je een console-venster openen en rechtsreeks tegen de Linux-opdrachtregel praten, om bijvoorbeeld eenvoudige netwerkdiagnose te kunnen uitvoeren. Deze eenvoud is voor sommigen een belangrijk selectiecriterium. De Capio 500 is geschikt om als pc-vervanger te gebruiken omdat het mogelijk is om deze alleen het volledige centrale bureaublad aan te bieden. Het systeem
8 THIN CLIENTS VERGELEKEN
Neoware Eon e100 XPe (256/256)
Neoware Capio 500 (16/32) P
kan in ‘autoconnect’ mode gebruikt worden en is daardoor geschikt als bijvoorbeeld kiosk. Op de thin client is VNC geïnstalleerd om de lokale desktop te kunnen overnemen vanuit de ezRemote Manager beheeromgeving. Het werken met de Server-toepassingen op de Capio 500 is erg stroperig. Bladeren in Word vertoont het al eerder genoemde doorloopeffect. Bekijken van websites en andere relatief eenvoudige handelingen is traag en je ziet het venster steeds opgebouwd worden. De Capio 500 is wat dit betreft de traagste uit onze test. Een ander euvel is dat op dit apparaatje als enige het wiel op de wheel mouse niet functioneert, een probleem dat toch al jaren geleden is opgelost op dit soort thin clients. De Capio 500 is dan wel de goedkoopste uit de test, maar goedkoop zal hier duurkoop blijken te zijn. Met een ander model Capio ben je misschien beter af. Met de eveneens in dit Labreport geteste Eon e100 XPe ben je zeker beter af. De Linux-modellen uit onze test (de Igel-132, de Igel596 en de Neoware Capio 500) zijn minder gemakkelijk te vergelijken. Onduidelijk is welke stuurprogramma’s voor welke randapparaten exact beschikbaar zijn. Als je wat bijzonders wilt is navragen bij de fabrikant zinvol.
Het Eon e100 XPe kastje is van hetzelfde grote formaat als de Igel-596, maar ziet er iets gelikter uit qua (zilveren) ontwerp. De aansluitingen zijn standaard en verder zijn er twee USB-poorten beschikbaar aan de achterzijde en is er plaats voor een PCI-uitbreidingskaart. Het model werd eerst onder de naam Eon 6300 op de markt gebracht, maar gaat nu door het leven onder de nieuwe naam e100 XPe. De Eon e100 XPe draait Windows XP Embedded en na nadere inspectie lijkt dit de minst uitgeklede Windows XP uit dit Labreport. Zo vind je op deze Eon bijvoorbeeld de beheertools (Event Viewer, Services en dergelijke) maar ook Windows Media Player, Internet Explorer, Windows Explorer, het gehele menu Start en My Computer en Network Neighborhood op het bureaublad. Uiteraard bevinden zich op het systeem de RDPclient en ICA-client toepassingen. Additionele software is Pericom TeemTALK (de verzameling terminal emulaties) en Tridia VNC dat gebruikt wordt door de ezREmote Manager beheeromgeving van Neoware (waarvan de agent eveneens is geïnstalleerd). Met de voorgeïnstalleerde TweakUI kun je instellingen voor de gebruiker aanpassen. Als beheerder van een Windows-netwerk ben je snel thuis op de thin client, omdat deze het meeste lijkt op een volledige werkplek. Maar zoals al eerder gezegd, ook de beheerinspanning lijkt daardoor veel op die van een volwaardige Windows-werkplek. De ICA-client vertoont logischerwijze hetzelfde euvel als bij de HP T5700. f
Neoware Eon e100 XPe (256/256) P
NetOpus // juli/augustus 2004
57
Deze thin client verwacht dat je als gebruiker inlogt. Het bureaublad is dan ontdaan van alle pictogrammen en in de menu’s zijn alleen de benodigde clients, de terminal emulaties, Internet Explorer en Windows media Player beschikbaar. Instellingen aanpassen is niet meer mogelijk. Handig voor de helpdesk is het hulpprogramma ‘Display IP Config’ dat de gebruiker de hostnaam en de IP-gegevens toont. De grafische prestaties van de Eon e100 XPe zijn ongeveer gelijk aan die van de Wyse 9650Xe. Verslepen van vensters, animaties in PowerPoint en webpagina’s functioneren naar behoren en de gebruiker zal hier niet snel over klagen. De e100 XPe is een mooie en snelle, maar door Windows XP Embedded een niet echt ‘dunne’ thin client.
Wyse Winterm thin clients
58
Wyse is de oudste thin client fabrikant en nog steeds de marktleider. Je hebt de keuze uit een tiental modellen met als bijzondere variant een draadloze tablet thin client. Wij bekeken het instapmodel Wyse 1125SE en het topmodel Wyse 9650XE. Deze laatste is wederom ingebouwd in een LCD-scherm. Wyse beheert zijn thin clients met Rapport. Deze beheersoftware is tevens in staat Pocket PC’s en Palm’s op afstand te beheren (en volgens de website ook Neoware Linux thin clients). De complexiteit van het inrichten en werken met deze toepassing ligt tussen de eenvoudige en charmante Igel-oplossing en NeoWare’s ezRemote Manager. Maar het is ook een kwestie van smaak en ervaring welke gebruikersinterface je als gemakkelijk ervaart en welke niet. Als één van de weinige fabrikanten is de beheersoftware van Wyse niet gratis. De standaard editie van Rapport kost 29 euro per thin client en de beter schaalbare enterprise versie van Rapport kost 49 euro per thin client exclusief optioneel softwareonderhoud.
Wyse 1125se De Wyse 1125se heeft een aardig ontwerp door de ronde voorkant. Dit maakt het kastje echter alleen geschikt voor verticaal gebruik. De fysieke aansluitingen zijn beperkt, zoals dat hoort op een ware thin client. De 1125se is een bijzondere thin client. Dit heeft verschillende redenen. Het besturingssysteem is niet gebaseerd op Windows CE .NET, Windows XP Embedded of Linux. Het Blazer-besturingssysteem is gebaseerd op BSD UNIX. Opvallend na het inschakelen is de razendsnelle opstarttijd van slechts 6 seconden, een absoluut record in onze test. De grafische schil die aangeboden wordt is eenvoudig, met een startknop en
juli/augustus 2004
\\ NetOpus
Wyse 1125se U
een klein menu. Naast een RDC-client en een ICAclient vind je geen andere toepassingen en dat maakt de 1125se een thin client zoals die hoort te zijn, zonder toeters en bellen. Het enige doel is het draaien van terminal server-toepassingen. De Program Neighborhood Lite kan automatisch in het menu de gepubliceerde toepassingen toevoegen en verwijderen. De eenvoud vind je ook terug in de configuratie en het beheer: simpele invulschermen met alleen de hoognodige velden. Nog een bijzonder punt is dat er standaard diagnosemogelijkheden in de schil zijn opgenomen. Zo kun je een ping en traceroute uitvoeren en netwerkstatistieken bekijken. Het is eigenlijk niet de bedoeling dat je deze thin client gaat uitbreiden met hard- of software, want dan verliest het apparaatje zijn charme als ware thin client. Mocht je nu denken dat dit kastje minder presteert dan heb je het mis. De 1125se is grafisch zeer snel (de snelste uit onze test). Als gebruiker merk je niet dat je achter een thin client werkt. Alle Windows-toetsen functioneren zoals verwacht, van de Windows-toets tot en met CTRL+ALT+DEL en het wisselen tussen taken met ALT+TAB. De grafische prestaties zijn bijzonder: het gebruik van de browser op de terminal server, bladeren in documenten en verplaatsen van vensters en dergelijke werkt flitsend met slechts 32MB geheugen. Zoek je een zeer snelle, eenvoudige ware thin client, dan is de Wyse 1135se een aanrader met een erg goede prijs/prestatie-verhouding. Omdat het een echte thin client is, is het remote beheer geen groot probleem. Meer dan een keer per jaar het superkleine image te vernieuwen hoef je waarschijnlijk niet te doen.
Wyse 9650XE De Wyse 9650XE is een Windows XP Embedded thin client ingebouwd in een LCD-scherm. Veel fabrikanten hebben soortgelijke thin clients in LCD-scher-
8 THIN CLIENTS VERGELEKEN
men ingebouwd. Het voordeel is dat er geen apart systeemkastje geplaatst hoeft te worden, maar als de thin client of het beeldscherm defect gaat, dan moeten beide worden vervangen. Twee andere nadelen van deze integratie zijn dat de garantie van de thin client slechts één jaar is en dat de maximale resolutie beperkt is tot 1024x768. De mogelijkheden voor het uitbreiden van de hardware zijn vergelijkbaar met andere Windows XP Embedded modellen. Zo kun je in het PCI-slot verschillende kaarten plaatsen en is er ruimte voor een interne harde schijf, diskettestation, of draadloze netwerkkaart. Op de USB-aansluitingen worden verschillende randapparaten ondersteund. Waar Linux thin clients onderling moeilijk vergelijkbaar zijn door de grote verschillen, geldt dat voor Windows XP Embedded juist niet. Ze zijn met dezelfde toolkit van Microsoft samengesteld en daardoor zijn de softwarematige verschillen erg klein. Ook de verkrijgbaarheid van stuurprogramma’s is erg goed en vergelijkbaar. Standaard is op dit Wyse model Internet Explorer, Windows Media Player en Flash geïnstalleerd en de TeemNT terminal-emulatie suite geeft je toegang tot allerhande hosts. Binnen een Active Directory domein wordt de tijd gesynchroniseerd vanaf de domain controllers. Omdat je hoogstwaarschijnlijk de Windows XP Embedded thin clients geen computeraccounts geeft in het domein, kun je de thin client toch de tijd laten synchroniseren met de Netron time server client. Ook nu is de ICA-client bij gebruik in fullscreen mode niet in staat de juiste Windows-toetsen door te geven en toont bijvoorbeeld CTRL+ALT+DEL de lokale taakmanager in plaats van de taakmanager op de server. De client is wel in staat
de Program Neigborhood Agent te gebruiken om de menu’s lokaal per gebruiker te bouwen. De grafische prestaties van de Wyse zijn goed. Grafische informatie verschijnt met redelijke snelheid op het scherm en de meeste gebruikers zullen er goed mee kunnen werken. Opmerkelijk is dat ook bij deze thin client de grafische prestaties met de RDC-client iets beter zijn dan die met de ICA-client. De Wyse 9650XE is met 999 euro de duurste uit de test, maar dat komt uiteraard doordat het LCDscherm is inbegrepen bij de prijs. De Wyse 9455XL is de modulaire variant van de 9650XE zonder beeldscherm met een prijs van circa 599 euro. Y
Specificaties thin clients Fabrikant Type thin client Besturingssysteem in firmware
Wyse 9650XE P
59
Legenda: - matig / -- slecht / --- zeer slecht / + redelijk / ++ goed / +++ zeer goed
Echte thin client Hard- en software opties Grafische prestaties Pc-’gevoel’ met RDP en ICA Adviesprijs excl. BTW
HP T5300 Windows CE .NET + 1 319,-
Beheeroplossing Kosten beheersoftware
Altiris Deployment Solution Gratis voor thin clients
Igel Remote Manager Gratis
Neoware ezRemote Manager Gratis
Website
www.hp.com
www.igel.com
www.neoware.com
T5700 Windows XP Embedded -++ + 1 525,(256Mb model)
IGEL 132-smart Linux
NEOWARE 596-premium Capio 500 Linux Linux
+ + ++ 1 269,-
-++ ++ ++ 1 769,-
+ + -+ 1 251,-
WYSE Eon e100 XPe Winterm 1125se Windows XP Blazer Embedded (BSD UNIX) -++ ++ -++ +++ ++ 559,1 1 299,(256Mb model)
Winterm 9650XE Windows XP Embedded -++ + 1 999,(ingebouwd in LCD), anders 1 599,Wyse Rapport Device Management Werkgroep: 1 29,- per client. Enterprise: 1 49 euro per client. www.wyse.com
NetOpus // juli/augustus 2004
LABREPORTS
Softricity Softgrid for Terminal Server Met het openen van een Europese vestiging van Softricity in Zoetermeer vorig jaar en de lancering van versie 3.0 van hun producten eind 2003, is de spraakmakende technologie van applicatie-streaming stilaan volwassen geworden. Steeds meer organisaties raken dan ook geïnteresseerd.
A
60
pplicatie-streaming is in staat te concurreren met desktop management oplossingen en server-based computing. Toch kan server-based computing ook profiteren van de virtualisatietechniek van applicatie-streaming. In deze NetOpus focusseren we ons op ‘SoftGrid for Terminal Server’. Bij streaming denken de meeste mensen aan het streamen van audio en video. Het is een methode waarbij je bijvoorbeeld een video kunt bekijken via internet terwijl deze pas gedeeltelijk gedownload is en in de achtergrond (tijdens het kijken) doorgaat met binnenhalen van de resterende videobeelden. Belangrijk is dat de video direct begint wanneer voldoende informatie binnen is om deze te tonen. Applicatie-streaming doet hetzelfde met toepassingen. Een toepassing die niet lokaal is geïnstalleerd wordt op het moment dat een gebruiker erom vraagt, gedownload en meteen gestart zodra voldoende onderdelen binnen zijn. Al werkende met de toepassing worden andere benodigde onderdelen in de achtergrond gedownload. Maar er is meer aan de hand. De toepassing wordt geladen in een virtuele omgeving, gebruikmakend van een eigen bestandssysteem, register en systeemobjecten. Het systeem zelf blijft volledig schoon en onaangetast. Voor server-based computing biedt dit grote voordelen.
De virtuele terminal server Omdat toepassingen on-demand worden gedownload ben je verlost van het continu installeren van nieuwe toepassingen en het updaten van bestaande toepassing op je terminal servers. En als je geen toepassingen meer hoeft te installeren en te onderhouden, hoef je ook geen onderscheid meer te maken tussen de vele terminal servers die je wellicht gebruikt. Iedere terminal server wordt identiek, namelijk kaal en zonder toepassingen erop geïnstalleerd. De groepering van servers die ontstaan is, omdat bepaalde
juli/augustus 2004
\\ NetOpus
toepassingen niet te combineren zijn op één en dezelfde machine, is niet langer nodig omdat door de virtuele omgeving alle toepassingen en versies van toepassingen gelijktijdig zijn te draaien. Het vrijgaveproces van een nieuwe toepassing wordt verkort omdat je geen rekening hoeft te houden met de afhankelijkheden bij de installatie. En doordat alle machines identiek zijn, gebruik je de servers efficiënter en wordt je omgeving redundanter. Bovendien hoeven servers bij installaties van nieuwe toepassingen niet herstart hoeven te sworden. Kortom, ben je beheerder van een omvangrijke en complexe terminal server infrastructuur, dan kan SoftGrid veel voor je betekenen.
Installatie van de onderdelen Om streaming mogelijk te maken heb je een Virtual Applicatie Server (VAS) nodig. Deze server stelt toepassingen al ‘streamend’ beschikbaar aan clients en regelt tevens de rechten en licenties. Wij installeerden de 150MB tellende VAS-toepassing op een Windows 2000 Server. Omdat SoftGrid het Microsoft .NET 1.1 framework nodig heeft, dient dit op Windows 2000 apart te worden geïnstalleerd. Tijdens de installatie van de VAS kies je de database (MSDE of SQL Server) en geef je initiële groepsrechten voor de Management Console en de eindgebruikers op. Verder geef je enkele paden op voor configuratie- en content-bestanden. Vervolgens kopieer je het licentiebestand naar de juiste plek en de installatie is afgerond. Nu is het zaak de clients, in ons geval terminal servers die zijn voorzien van MetaFrame Presentation Server, te voorzien van de SoftGrid for Terminal Server clients. Deze installatie is erg eenvoudig. Je hoeft alleen de vragen te beantwoorden over de snelheid van je netwerkverbinding (voor een terminal server is dat altijd een LAN) en hoe groot de cache dient te zijn. De cache is erg belangrijk op een
SOFTRICIT Y SOFTGRID FOR TERMINAL SERVER
terminal server, omdat je door een grote cache voorkomt dat applicaties iedere keer opnieuw naar de terminal server worden verzonden. In het Control Panel is nu een configuratieprogramma toegevoegd waarmee je onder meer de VAS server kunt toekennen aan de betreffende terminal server. Het aanbieden van toepassingen wordt verzorgd door de VAS. Echter zal, net als bij traditionele softwaredistributie, van toepassingen een package gemaakt moeten worden. Hiervoor dien je een schoon basissysteem te voorzien van de SoftGrid Sequencer. Dit is ook een simpele installatie. De sequencer maakt packages van toepassingen, echter in tegenstelling tot packages voor softwaredistributie, zijn deze specifiek bedoeld om met streamingtechnologie naar werkplekken verstuurd te worden (via het Real Time Streaming Protocol RTSP op poort 554).
Een simpele test In ons testlab hebben we een eenvoudige toepassing (Winzip 9) onder handen genomen. Als eerste wordt het installatiebestand op de sequencemachine geplaatst. Na starten van de sequencer leidt een wizard je door het gehele proces. Na beantwoorden van wat administratieve vragen, wordt de winzipinstallatie aangeroepen. Hierbij kun je de compressie en de blokgrootte kiezen waarmee winzip als streaming package moet worden vervaardigd. Vervolgens monitort de sequencer de installatie. Als de winzipinstallatie is afgerond beëindig je de monitorfunctie van de sequencer. Vervolgens kun je een pictogram voor de toepassing kiezen. Omdat bij streamen straks alleen de noodzakelijk onderdelen (en als eerste) gekopieerd worden naar de terminal server sessie van de gebruiker, is het zaak de toepassing te starten en enkele basishandelingen uit te voeren. De wizard laat je dit automatisch uitvoeren. In de laatste fase kun je optioneel de systeemeisen bij deze toepassing vastleggen zoals cpu-, geheugen-, disk- en beeldschermbeperkingen. Na opgave van de besturingssystemen waarop je de toepassing wilt aanbieden, wordt een geprepareerd SFT-bestand aangemaakt met daarin alle bestanden, registerinstellingen, enzovoort en een OSD-bestand met configuratiegegevens die samen met het pictogram op de VAS worden geplaatst. Je kunt overigens het package met de sequencer-toepassing bewerken en aanpassen als je wilt. Nu importeer je het package in de virtual application server. Een wizard stelt je weer enkele administratieve vragen, waarna je de bestandsextensies kunt opgeven die bij deze toepassing horen (in het geval van winzip is dat bijvoorbeeld .zip). De
wizard laat je de toepassing meteen toekennen aan een groep van gebruikers. De ultieme test is nu om als gebruiker (lid van de gekozen groep) met een ICAclient in te loggen op de terminal server waarop geen toepassingen geïnstalleerd zijn. Kijk daarna of Winzip toch gebruikt kan worden. De SoftGrid-client op de terminal server maakt - indien gewenst - een submenu aan in het menu Start met daarin de aangeboden toepassingen, of kan het pictogram op het bureaublad plaatsen. Na klikken wordt de applicatie gestreamed en gestart zodra voldoende code ontvangen is. De toepassing loopt nu in de afgeschermde SystemGuard-omgeving.
Per saldo SoftGrid for Terminal Server is zonder meer een mooi product. Het is in staat verschillende uitdagingen aan te gaan die nog steeds bestaan in een server-based computing omgeving. Gezien de prijs is het echter vooral weggelegd voor omvangrijke implementaties van terminal server bij grotere ondernemingen. Het Softgrid Starter Pack for Terminal Server heeft een adviesprijs van 10.500 euro. Dit is inclusief 20 gelijktijdige gebruikers. Extra gebruikerslicenties kosten 81 euro. Wil je een tweede SoftGrid server inzetten om redundantie te waarborgen, dan kost die licentie je nog eens 8.616 euro. Het onderhoud bedraagt 18% van de licentiekosten. Deze kosten komen nog eens extra boven op de terminal server licenties en MetaFrame licenties. Jammer genoeg ben je voor de keuze van de database beperkt tot MSDE of SQL Server en wordt bijvoorbeeld geen Oracle of DB2 ondersteund. Tevens wordt alleen een NT 4/Active Directory domein ondersteund en bijvoorbeeld geen Novell eDirectory. Voor een enterprise-toepassing als SoftGrid is dat weliswaar een tekortkoming, maar die zal naar verwachting van tijdelijke aard zijn. SoftGrid is geen eenvoudig product, maar niet complexer dan een enterprise desktop management toepassing zoals bijvoorbeeld Microsoft SMS. Y Product: Fabrikant: Website: Prijs: Beoordeling:
Softgrid for terminal server Softricity http://www.softricity.com Vanaf 2 10.000,+ Mooie technologie met grote
-
potentie; veel voordelen voor complexe terminal server omgevingen, of bij specifieke terminal server problemen. Prijs, beperkte database/directory-ondersteuning
NetOpus // juli/augustus 2004
61
LABREPORTS
Sluit de poorten Eenvoud met SSL VPN-appliances Een traditionele manier om medewerkers van locaties buiten het netwerk toegang te geven tot het bedrijfsnetwerk is door een VPN-omgeving in te richten. Voor de versleuteling en authenticatie van de verbinding wordt IPsec gebruikt. In het algemeen worden IPsec VPN’s beschouwd als moeilijk te beheren en niet erg flexibel. IPsec VPN’s zijn nog steeds erg geschikt voor het verbinden van nevenkantoren. Voor het toelaten van eindgebruikers - die zich op willekeurige locaties ter wereld kunnen bevinden - tot het bedrijfsnetwerk, is de SSL VPN sterk in opkomst.
62
M
et een SSL VPN is het niet nodig om een moeilijk te onderhouden IPsec VPN toepassing op de werkplekken te installeren. Een SSL VPN oplossing heeft voldoende aan een browser op de werkplek en functioneert daardoor op verschillende besturingssystemen en apparaten. Het voordeel is dat een SSL VPN hierdoor tevens functioneert vanaf bijvoorbeeld een kiosk, vanuit een internetcafé en vanaf een willekeurige pc bij een toeleverancier en zelfs op een conferentie. Ook voor thuiswerksituaties waar de organisatie geen invloed heeft op de werkplek en daar ook geen software (zoals een IPsec VPN-client) wil installeren, is SSL VPN uitermate geschikt. Breedbandontwikkelingen zoals kabel en ADSL dragen nog eens extra bij tot de populariteit van SSL VPN’s. Maar toegang geven is meer dan een veilige verbinding maken! De volgende stap is dat er toegang moet zijn tot bedrijfstoepassingen en informatie. Bij een SSL VPN is het niet nodig bedrijfstoepassingen op de remote werkplek beschikbaar te hebben. De SSL VPN’s hebben proxy- of gateway-functies om de eindgebruiker door te sluizen naar de juiste toepassingen en informatie. Dat hierbij server-based computing een belangrijke rol speelt moge duidelijk zijn. De Secure Gateway component van Citrix MetaFrame Presentation Server en MetaFrame Secure Access Manager is een voorbeeld van zo’n gateway als
juli/augustus 2004
\\ NetOpus
pure softwareoplossing. Erg populair zijn hardwaregebaseerde SSL VPN’s, waarbij je slechts een relatief simpel kastje hoeft te plaatsen (vaak in je DMZ) om toegang mogelijk te maken: dit zijn SSL VPN-appliances, ofwel toegangs-appliances. Net als bij Secure Gateway is het slechts nodig om enkel poort 443 in de firewall te openen, om toegang te verschaffen tot allerhande toepassingen op diverse servers achter de firewall op het interne bedrijfsnetwerk. NetOpus installeerde twee SSL VPN-appliances in het netwerk en bekeek de mogelijkheden, met als insteek toegang tot server-based computing: we bekeken de Aventail EX-1500 appliance en de Juniper Access Series 3000.
Aventail EX-1500 appliance De Aventail EX-1500 appliance is een dunne maar grote en zware systeemkast, bedoeld om in te bouwen in een 19”-rack ergens in data- of computerruimte. Hiermee voorkom je meteen dat je last hebt van het flinke geluidsniveau dat de appliance produceert. De aansluitingen bevinden zich aan de achterzijde. Met een knopje aan de voorzijde kun je aan de achterzijde een led doen oplichten, zodat je weet welke kabels je los trekt bij eventueel onderhoud of troubleshooting. Het installeren van de hardware is simpel. Er zijn drie manieren om dit te doen. Je kunt de internetverbinding en het lokale
SSL VPN
netwerk beide aansluiten op een poort op de appliance, je kunt de appliance met één netwerkaansluiting in je DMZ hangen en in een clusteromgeving kun je twee machines aan elkaar koppelen. Om het apparaat initieel te configureren, dien je het apparaat met een seriële kabel aan een pc aan te sluiten en met een vt100-emulator in te loggen. Je doorloopt dan - na 18 beeldschermen met licentieinformatie - een korte setup om enkele basisgegevens in te stellen waaronder een IP-adres. Om het geheel operationeel te krijgen moet in de firewall aan internetzijde poort 443 geopend zijn (SSL), maar dat is meestal al het geval. Op de firewall tussen het bedrijfsnetwerk dienen enkele aanvullende poorten geopend te worden. Deze zijn afhankelijk van de diensten die je nodig heb, zoals LDAP (389) of Windows netwerktoegang (de poorten 137-139, 445) en de toepassingen die je wilt aanbieden (ICA, RDP, client/server-toepassingen, enzovoort). Aventail ondersteunt NTP, Syslog en SNMP, dus als je die wilt gebruiken moeten deze eveneens worden doorgelaten naar de betreffende interne servers. Nu kun je met een browser via http://ipadres:8843/console inloggen als beheerder om de Aventail Management Console (AMC) te gebruiken. Dit is een vriendelijk ontworpen webinterface om het dagelijkse beheer uit te voeren, zoals het uitdelen van rechten, het maken van instellingen, toepassingen toevoegen en dergelijke. Om medewerkers van je bedrijf (of derde partijen) toe te laten tot je netwerk is authenticatie belangrijk. De EX-1500 is in staat LDAP (en beveiligde LDAPS over SSL), Active Directory en Radius te gebruiken gecombineerd met bepaalde smartcard tokens. Het is tevens mogelijk locale accounts te definiëren, maar voor een productieomgeving wordt dat niet aangeraden. Je kunt deze accounts dan ook niet met de webinterface aanmaken; dat dient op de (gestripte Debian Linux) opdrachtregel uitgevoerd te worden met het commando ‘adduser’. Voor SSL moet gewerkt worden met certificaten. Aventail ondersteunt uiteraard commerciële certificaten van een derde partij (bijvoorbeeld Verisign). Dit is aan te raden als je veel externe niet-medewerkers toegang wilt geven. Wil je geen commercieel certificaat bestellen en onderhouden, dan kun je de zogenaamde self-signed certificaten van de EX-1500 gebruiken. Om eigen medewerkers toegang te geven is dit meestal voldoende volgens Aventail. In AMC kun je vervolgens toegang regelen tot webservers, webtoepassingen en gedeelde Windows-
mappen door te definiëren welke URL’s je wilt aanbieden. Op de externe werkplek is niets anders nodig dan een browser. De gebruiker maakt een verbinding met https naar de EX-1500 en ziet vervolgens na inloggen de ASAP-workplace. Dit is een aan te passen webportal waarin de geautoriseerde toepassingen worden weergegeven. Heeft je bedrijf een eigen portal dan hoef je ASAP Workplace natuurlijk niet te gebruiken. Om TCP-toegang te geven tot het netwerk zodat client/server-toepassingen en RDP- of ICA- op de externe werkplek functioneren, gebruik je de optie OnDemand. Dit is een compacte Javaagent, die wordt gedownload om netwerktoegang te verschaffen. Op de EX-1500 regel je exact welke zaken je aanbiedt en doorstuurt. Het voordeel van de OnDemand client is dat deze op verschillende besturingssystemen werkt en dat er geen lokale client-toepassing geïnstalleerd hoeft te worden. Aventail Connect is een optioneel softwareproduct dat de mogelijkheden van IPSec VPN’s biedt, gebruikmakend van SSL. Het is een volwaardige Windows-client die je dan wel lokaal dient te installeren, waarbij initieel de setup kan worden aangeboden via een webpagina. Connect is vooral interessant voor eigen medewerkers met notebooks en thuiswerkplekken. Op de EX-1500 kun je met uitgebreide regels instellen welke toegang wel en niet geoorloofd is voor gebruikers en groepen, maar je kunt ook een IP-adres of -bereik opgeven, de toegang beperken tot bepaalde tijden van de dag en het versleutelingsniveau. Een laatste aan te schaffen optie is Secure Desktop; hiermee weet je zeker dat op werkplekken nooit gegevens achterblijven (dus geen data, geen cookies, geen cache, enzovoort). Om de EX-1500 in te richten heb je uiteraard netwerkkennis nodig en is het handig als je wat afweet van authenticatie, certificaten, LDAP en/of Active Directory. Voor speciale activiteiten zoals het aanmaken van locale accounts, backup/restore van instellingen of de machine te herstellen naar fabrieksinstellingen kun je rechtstreeks op de Linux-console van de EX-1500 inloggen. Als je op de externe firewall de poort voor SSH opent, kun je op afstand deze handelingen verrichten. Basiskennis van Linux is dus eveneens handig. Voor het periodieke operationele beheer kun je als gevolg van de webinterface met minder brede kennis wel uit de voeten. De documentatie van de Aventail appliance is erg goed en helder. f
NetOpus // juli/augustus 2004
63
Product: Fabrikant: Website: Prijs: Beoordeling:
Aventail EX-1500 v7.0 Aventail http://www.aventail.com Vanaf 2 10.445,- voor 25 gelijktijdige gebruikers + Goede helpfunctie en docu-
-
mentatie, relatief eenvoudig te beheren en gebruiksvriendelijke webinterface, uitgebreide opties om objecten te beheren en rechten te controleren. Server-based toegang is nogal bewerkelijk en matig gedocumenteerd.
SBC-toegang 64
Om toegang te bieden tot toepassingen die in een server-based computing omgeving zijn ondergebracht, moet RDP- of ICA-verkeer op de juiste wijze worden afgehandeld en doorgestuurd. Hiervoor is één van beide softwareopties (OnDemand of Connect) noodzakelijk. Ook als je al webtoegang tot server-based computing gebruikt (met Web interface of Secure Access Manager) is een browser op de externe werkplek niet voldoende. Configureren van RDP/ICA-toegang is erg bewerkelijk en het vergt nogal wat doe-het-zelf uitzoekwerk. De enige documentatie hierover zijn twee korte FAQ’s. De EX-1500 kost 10.445 euro met een 25 Concurrent-User licentie. Wil je er twee aanschaffen om een cluster te maken vanwege redundantie, dan kosten die samen 16.715 euro. De OnDemand optie kost 2.200 euro en de Connect optie kost 2.420 euro maar gebundeld zijn ze iets goedkoper. De Aventail Secure Desktop kost 2.420 euro. Met meerdere gelijktijdige gebruikers neemt de prijs uiteraard toe. Voor detailinformatie kun je contact opnemen met Eye-Sec Distribution (http://www.eye-sec.com) of de website van de fabrikant bezoeken.
Juniper Networks Netscreen SA-3000 De toegangsmarkt is sterk in beweging. Onze plannen om een appliance van Neoteris te bekijken stammen al van eind vorig jaar. In november 2003 is echter de overname van Neoteris door Netscreen afgerond. NetScreen is vooral bekend
juli/augustus 2004
\\ NetOpus
van IPsec VPN-producten en krijgt door de overname SSL VPN’s in handen. In april 2004 is echter Netscreen zelf overgenomen door Juniper Networks, en zo bevindt er zich plotseling een Juniper-appliance in onze test, weliswaar nog steeds met het opschrift Neoteris en het apparaat wordt overal de Neoteris Instant Virtual Extranet (IVE) genoemd. Dit is meteen een nadeel, want op de website word je overdonderd met typenummers, producten, softwareopties en verschillende plekken waar je moet inloggen. Documentatie is niet gemakkelijk te vinden en bedrijfs- en productnamen worden door elkaar gebruikt. Dit alles maakt Juniper voor de zoekende potentiële klant op dit moment een stuk minder toegankelijk dan bijvoorbeeld Aventail. De SA-3000 is eveneens een 19”-apparaat dat nog meer lawaai produceert dan die van Aventail. De kast is daarentegen iets minder diep. Verder heeft het de netwerkaansluitingen aan de voorzijde. De initiële installatie is nagenoeg identiek aan die van Aventail. Je sluit het apparaat met een seriële kabel aan op een pc en logt met een vt100-emulator in. Je doorloopt dan een korte setup om enkele basisgegevens in te stellen; gelukkig heeft Juniper geen lange licentievoorwaarden die je voorbij moet bladeren. Juniper adviseert in de handleiding om de appliance op je interne bedrijfsnetwerk aan te sluiten en niet in een DMZ. Dit is conceptueel anders dan Aventail. Om de Juniper appliance te gebruiken vanaf een externe locatie, moet je de SSL-poort (443) en http-poort (80) openen in je firewall, en deze met een virtueel IP-adres omleiden naar de appliance. Wil je de Juniper appliance in een DMZ plaatsen, dan is dit wel mogelijk en hier is ook ondersteuning voor; de SA-3000 heeft hiervoor, net als Aventail, twee ethernetaansluitingen. Er is overigens een clusteringoptie te koop om redundantie in te bouwen. Vervolgens kun je met een browser inloggen als beheerder om de Administrator Console te bedienen. Deze is net zo intuïtief als die van Avential. De eerste stap is het inschakelen van de licentiecodes voor de opties en daarna kun je aan de slag met het configureren van de machine zoals het uitdelen van rechten, toepassingen beschikbaar stellen, enzovoort. Juniper ondersteunt een bredere set aan authenticatiemethoden, zo kun je naast Active Directory, LDAP en ACE/Server bijvoorbeeld NIS of Netegrity SiteMinder gebruiken als je dat wilt. Ook kun je lokale gebruikers aanmaken, in tegenstelling tot Aventail kan dit met de grafische
SSL VPN
webinterface. De Juniper biedt ondersteuning voor SSL-certificaten van derden maar heeft ook een eigen tijdelijke self-signed certificaat. Juniper adviseert om dit niet te gebruiken in productieomgevingen. Je kunt de Juniper-appliance dusdanig configureren dat het noodzakelijk is dat de gebruiker ervan een geldig client-side certificaat moet presenteren om in te mogen loggen. Op de homepage van Central Manager, de beheerconsole, zie je een erg mooie grafische weergave van de status van het systeem (met dynamische grafieken). Ook de logbestanden zijn erg toegankelijk door de kleurcodering. In de Central Manager regel je toegang tot webservers, webtoepassingen, gedeelde Windows-mappen én UNIX-directories die met NFS door UNIX-servers geëxporteerd worden, door te definiëren welke URL’s je wilt aanbieden. Op de externe werkplek is niets anders nodig dan een browser want de gebruiker maakt een verbinding via https naar de Juniper appliance. De appliance kan Single-Sign on implementeren naar websites en Windows-toepassingen (NTLM). De duurdere advanced versie van het apparaat biedt extra mogelijkheden zoals het kunnen delegeren van onderdelen van het beheer en uitgebreidere Single Sign-On mogelijkheden dan standaard worden geboden. Verder is de SA-3000 optioneel in staat om direct Microsoft Outlook en Lotus Notes vanaf een PC door te laten en eveneens optioneel, worden SSH en telnet ondersteund. Er zijn verder nog twee upgrades beschikbaar die toegang geven tot meer dan alleen web- en bestandsresources. Juniper’s SA-3000 heeft meer mogelijkheden dan de EX1500 van Aventail, maar als je die allemaal wilt aanschaffen wordt de SA-3000 ook een heel stuk duurder. Ook de complexiteit voor het beheer neemt hierdoor toe. Ook Juniper vereist kennis van netwerken, authenticatie, certificaten, de gebruikte directory-server. Kennis van UNIX/Linux is handig omdat het apparaat UNIX als bestandssysteem kan doorlaten, maar dat is niet noodzakelijk.
de Java-versie van Secure Application Manager, wordt het ICA-bestand naar de werkplek verzonden. Voordat het bestand daar aankomt, wordt hierin door de appliance enkele zaken veranderd, zoals de hostnamen en het IP-adres van de terminal server. Deze worden omgeleid naar de ‘localhost’. De ICA-client communiceert vervolgens met de localhost. De Java-client pakt deze communicatie in, stuurt het geheel over SSL naar de appliance die het weer uitpakt en verbind legt met de terminal server over poort 1494. Een NetScreen appliance voor 25 gelijktijdige gebruikers kost 7.370 euro in de basisuitvoering en 10.520 in de advanced versie (met extra instellingsmogelijkheden). De optie SAM kost 2.100 euro en Network Connect kost 2.100 euro. Voor informatie kun je terecht op de website http://www.centior.nl, of op de website van de fabrikant. Y
65 Product: Fabrikant: Website: Prijs: Beoordeling:
Juniper Networks Netscreen SA-3000 Juniper http://www.juniper.net Vanaf 2 7.370,- voor 25 gelijktijdige gebruikers + Standaard NIS- en NFS-ondersteuning, heldere Citrix MetaFrame Web interface ondersteuning, zeer uitgebreide opties om objecten te beheren en rechten te controleren, redelijke documentatie, mooie en heldere bediening met grafische weergave van status en logging. - Verwarrende en tegenstrijdige productopties en licentieinformatie op website en in documentatie. Toegankelijkheid informatie van de fabrikant is matig.
SBC-toegang Web interface integratie (die door Juniper nog NFuse wordt genoemd) is standaard in de Administrator Console te vinden en te configureren. De optie Secure Application Manager is wel noodzakelijk, maar de werking is vervolgens eenvoudig. Als een gebruiker een Windows-toepassing aanklikt in de Web interface pagina bij gebruik van
NetOpus // juli/augustus 2004
LABREPORTS
Uitgelezen! Het is even stil geweest rond server-based computing boeken, maar recentelijk zijn er drie nieuwe exemplaren in de boekwinkels verschenen. NetOpus ging naast de open haard zitten en dook met zijn neus in de boeken.
Citrix MetaFrame Access Suite for Windows Server 2003: The Official Guide Dit boek met als titel ‘MetaFrame Access Suite for Windows Server 2003: The Official Guide” is de opvolger van ‘Citrix MetaFrame for Windows Terminal Services: The Official Guide’ van enkele jaren geleden. De opdruk ‘The Official Guide’ heeft ervoor gezorgd dat er maar liefst 13.000 exemplaren van verkocht zijn. Twee jaren geleden was het oordeel van NetOpus: ‘Veel terminologie om als manager indruk te maken bij je medewerkers’. Voor Citrix is de suite erg belangrijk en het is dan ook niet vreemd dat deze editie weer geclassificeerd is als ‘The Official Guide’, met een voorwoord van de grote baas van Citrix: Mark Templeton. Hiermee is de sfeer van het boek gezet. Deel 1 van het boek bestaat uit drie hoofdstukken die in 100 bladzijden een algemene inleiding geven op de technologie. Het bevat nogal wat citaten van tevreden klanten van Citrix. Het is een stukje promotie van server-based computing, waarbij alle voordelen van het concept worden genoemd en waarin zelfs nadelen voordelen blijken te zijn. Na twee pagina’s van hoofdstuk 2 bevind je je plotseling onnodig tussen virtueel geheugenbeheer en terminal server processen. Windows Server 2003 wordt gepromoot als hét besturingssysteem en de minder gunstige licentieaspecten daarvan worden volledig genegeerd. Het hoofdstuk ‘MetaFrame Access Suite’ staat vooral stil bij de toegevoegde waarde van
66
Titel:
Citrix MetaFrame Access Suite for Windows Server 2003: The Official Guide
Auteurs: Aantal blz.: Uitgever: Prijs: ISBN:
Steve Kaplan, Tim Reeser, Alan Wood 724 Osborne - McGraw-Hill 258,90 incl. BTW 0-07-219566-5
juli/augustus 2004
\\ NetOpus
Presentation Server bovenop Windows, met een feature list van zeven pagina’s. Het tweede deel gaat over het ontwerpen van een enterprise Server-based computing infrastructuur. In zes hoofdstukken wordt de projectmatige aanpak, het ontwerp van het datacenter, het netwerk, de clients, beveiliging en netwerkmanagement besproken. Een indrukwekkende lijst met belangrijke onderwerpen, die echter de diepgang missen voor een enterprise omgeving. Zo komt hoofdstuk 4 niet veel verder dan het noemen van lange opsommingen in verband met projectmatig werken. Hoofdstuk 6 en 9 hebben te maken met het netwerk en monitoring waarbij iedere netwerkterm wordt genoemd die maar bestaat. Dit alles aangevuld met een groot aantal plaatjes. Het enige verrassende onderdeeltje in hoofdstuk 6 gaat over bandbreedtebeheer en het korte hoofdstuk over beveiliging is eveneens aardig om te lezen. Het derde en laatste onderdeel gaat over het implementeren van een on-demand server-based computing omgeving. Na een moeilijk leesbaar hoofdstuk over projectmanagement komen in een groot aantal hoofdstukken onder andere het installeren van de hardware, Terminal Server en MetaFrame, de installatie van toepassingen, de client-toepassing, profielen en policy, beveiliging aan de orde. Voor al deze hoofdstukken geldt weer hetzelfde: ze bevatten veel terminologie in een poging alles wat er in IT-land bestaat maar te noemen. Het meest zinloze deel van het boek is hoofdstuk 17. Dit hoofdstuk beschrijft het configureren van het netwerk. De auteurs slagen erin om 55 bladzijden te vullen met tabellen, plaatjes, afkortingen tot zelfs uitgebreide router-configuratiebestanden en alweer vele afkortingen. De inhoud van het boek is twijfelachtig. Ieder hoofdstuk beoogt diepgaand onderwerpen te beschrijven maar daar zijn de hoofdstukken veel te kort voor. Het duidelijkste voorbeeld hiervan is de onnodige beschrijving van de MetaFrame voor UNIX installatie in hoofdstuk 12, een Citrix product dat in geen enkel ander boek voorkomt. Het boek springt van de hak op de tak en van ‘Jip en Janneke’-niveau naar onnodige diepgang en weer terug. Het treurigste is dat titel en kaft de lading niet dekken en zelfs misleidend zijn. De kaft belooft “This invaluable guide shows you how to maximize the suite components to enable and manage secure access to applications.” Maar het boek gaat echter ‘gewoon’ over server-based computing en MetaFrame Presentation Server. Behalve een paar bladzijden in hoofdstuk 16 over Secure Access Manager, lees je niets over de andere onderdelen uit de Access Suite en de implementatie daarvan. Maar
BOEKEN
dankzij het predikaat ‘The Official Guide’ zal het boek toch wel weer goed verkocht worden. Mijn exemplaar staat inmiddels naast de open haard.
Terminal Services Brian Madden heeft enkele succesvolle en goede boeken geschreven over server-based computing (zie de reviews in het themanummer van NetOpus van 2002 en 2003). De verwachtingen met betrekking tot zijn laatste coproductie zijn dan ook hoog. Brian heeft het vorige boek in onze boekbespreking blijkbaar ook gelezen, want het voorwoord begint ironisch met “This book is not authorized or approved by Microsoft, Citrix, or anyone else! Instead of vendor marketing speak, this book tells you how Terminal Server actually works.” Alleen al door deze uitspraak kan dit boek niet meer stuk. Deze advanced technical design guide is een uitstekend boek en logisch opgebouwd. De auteur laat 15 hoofdstukken zien hoe je met Terminal Server gebaseerd op Windows Server 2003, een grootschalige implementatie van server-based computing implementatie kunt uitvoeren, zónder Citrix MetaFrame Presentation Server. Bij alle probleemgebieden die een pure terminal server omgeving heeft worden zinvolle aanvullende producten genoemd. Er is veel aandacht voor ontwerpaspecten zoals de plaats van de terminal servers binnen je netwerk en hoe je de beschikbaarheid kunt verbeteren (onder meer met de sessie directory). Verder vind je een hoofdstuk van ruim 30 pagina’s over de moeilijke licentieaspecten van terminal server. Onderwerpen waar een serverbased computing omgeving gebaseerd op pure Windows, minder goed in is Verder komt uitgebreid aan bod: webtoegang, multi-platformtoegang, printen en het gericht beschikbaar stellen van toepassingen aan gebruikers. Naar alle onderwerpen wordt met een zekere diepgang gekeken en je moet zeker enige voorkennis van Windows hebben om alles te kunnen waarderen. Het boek van Brian is lekker technisch en daardoor zeker geen leesboek voor de vrije zaterdag of zondag. Het is eerder een boek waar je induikt als je specifiek iets wilt weten. Het lijkt met 496 bladzijden geen dik boek, maar in tegenstelling tot andere boeken bevat dit boek slechts twee screenshots en het is erg doelgroepgericht en compact geschreven. Helaas zitten er flink wat foute paginaverwijzingen in de inhoudsopgave en de index wat het erg onhandig maakt als naslagwerk. Desondanks is Brian’s werk zonder meer een boek dat niet mag ontbreken in je boekenkast als je zelf met terminal server werkt of wilt gaan
Titel:
Terminal Services for Microsoft Windows Server 2003: Advanced Technical Design Guide
Auteurs: Aantal blz.: Uitgever: Prijs: ISBN:
Brian Madden en Ron Oglesby 496 BrianMadden.com Publishing Group 249,90 incl. BTW 0-9711510-4-0
werken zonder dat je met Citrix- of concurrerende oplossingen aan de slag wilt gaan.
Windows Server 2003 Terminal Services De titel van dit boek is positief misleidend, omdat Citrix MetaFrame er wel degelijk een belangrijke rol in heeft. Het boek is logisch opgezet en dat maakt dat je het sequentieel kunt lezen. De eerste vier hoofdstukken zijn inleidend van aard en gaan over de geschiedenis, de protocollen, de inrichting van terminal server op Windows Server 2003 en beheer. Beheerders die nog niet met terminal services hebben gewerkt op Windows 2000 Server, hebben hier een mooie inleiding aan. De daaropvolgende vier hoofdstukken gaan wat dieper in op installeren en configureren van toepassingen, beveiliging en bijvoorbeeld scripting. Vervolgens beschrijven twee hoofdstukken MetaFrame XP, maar dat is veel te beknopt als je er daadwerkelijk mee aan de slag gaat. Na een goed hoofdstuk over resource management technieken en producten, gaan de volgende twee hoofdstukken over webtoegang en portalproducten (waaronder Secure Access Manager). Deze hoofdstukken zijn verhelderend om te lezen. De laatste twee hoofdstukken over troubleshooten en plannen, vallen echter weer een beetje tegen. Het boek van Bernard Tritsch heeft niet de pretentie om compleet te zijn noch om praktische handvaten te geven om specifieke werkzaamheden te verrichten. Het is een wel een goed leesbare en bruikbare inleiding over Server-based computing op Windows Server 2003 en een aanrader als je nog wat onzeker bent over de concepten en producten. Y
Titel: Auteur: Aantal blz.: Uitgever: Prijs: ISBN:
Windows Server 2003 Terminal Services B. Tritsch 578 Microsoft Press International 256,97 incl. BTW 0-356190-4-2
NetOpus // juli/augustus 2004
67
TOOLBOX Deze keer in onze freeware-rubriek enkele handige gratis hulpmiddelen als server-based computing onderdeel uitmaakt van je werkzaamheden.
Methodes in een box
68
Invoering van server-based computing vergt een terdege voorbereiding en door simpel een cd’tje in de cd-romspeler van de server te stoppen kom je er niet. Wil je niet het hoofd stoten tegen onverwachte problemen, is het lezen van documentatie van de producten, het proefdraaien in een testlab en het ontwerpen van de infrastructuur erg belangrijk. Douglas Brown offert zijn vrije tijd op om deze wijsheden op te schrijven en is regelmatige spreker op symposia. Project In A Box (PIAB) is vele tienduizenden malen gedownload van zijn website. De nieuwste editie met de naam Methodology In A Box (MIAB) versie 3.0 is geheel omgevormd naar de Access Suite van Citrix. MIAB 3.0 bestaat uit een gratis boek dat je helpt bij de invoering van een toegangsinfrastructuur op basis van de inmiddels bekende Citrix producten: MetaFrame Presentation Server, MetaFrame Secure Access Manager, MetaFrame
Password Manager en MetaFrame Conferencing Manager. De download van meer dan 20MB bevat voor iedereen die met de techniek van Citrix werkt wel iets bruikbaars en is dus zeker de moeite van het bestuderen waard. Het boek is ruim 900 bladzijden dik! Projectmatig werken en documenteren nemen een belangrijke rol in binnen dit document. Dat zie je ook terug in de begeleidende voorbeeld Word-bestanden die je praktisch kunt gebruiken bij een Serverbased project. Verder zit er in het zipbestand een set tools en handige scripts, waaronder HideCalc, Sysprep, ConnSpeed en Hiddenfolders en JavaClientFallback. Met die laatste kunnen gebruikers die werken met de webinterface en niet beschikken over de ICA-client, automatisch aan de slag met de Java-client. Speur maar eens rond in het zipbestand en het omvangrijke pdfboek van deze onmisbare download. Douglas, ga zo door!
Eenvoudig tunen van het register Iedere terminal server bevat een aantal basisinstellingen in het register die je zo nu en dan aan zal willen passen. Uiteraard kan dit handmatig, maar een mooie gui eromheen zorgt ervoor dat je de registerpaden en -waarden niet hoeft te noteren. Citrix Tuner 1.1 is in staat enkele veelvoorkomende aanpassingen op Windows NT 4.0 Server, Terminal Server Edition en Windows 2000 Server met terminal services te maken. Daarbij
juli/augustus 2004
kun je onder andere denken aan het verhogen van het aantal Idle-sessies, of het verwijderen van de OS/2 en POSIX subsystemen. Product: Versie: Website: Licentie: Beperkingen: Prijs:
\\ NetOpus
Citrix tuner 1.1 http://www.brainsmith.com Freeware Geen Gratis
Product: Versie: Website: Licentie: Beperkingen: Prijs:
Methodology in a box 3.0 http://www.dabcc.com Freeware Geen Gratis
TOOLBOX
Uit met die server Hoewel iedere nieuwe versie van Windows stabieler wordt, is het helaas nog steeds noodzakelijk dat multi-user systemen als terminal servers periodiek moeten herstarten, bijvoorbeeld om geheugen vrij te geven van toepassingen met geheugenlekken. Je kunt goochelen met het AT- en het TSSHUTDN-commando om dit netjes voor elkaar te krij-
gen. Vaak wil je echter ook andere onderdelen van de server opschonen bij een reboot, zoals bijvoorbeeld de afdrukwachtrijen. Smart Shutdown helpt je op grafische wijze om een herstartopdracht te plannen en op juiste wijze het script erin te passen. Het is geschreven in Visual Basic maar de installatie gaat helaas niet op alle versies van Windows
goed. Testen is dus noodzakelijk. Product: Website:
Licentie: Beperkingen: Prijs:
Smart Shutdown http://www.dabcc.com /thinSol/downloads/files /smartshutdown.zip Freeware Geen Gratis
Flexibele profielen We kennen allemaal het probleem van gebruikersprofielen in combinatie met terminal servers. De profielen bevatten persoonlijke instellingen van gebruikers en in veel organisaties wordt er daarom voor gekozen de profielen roaming te maken. Dit betekent dat ze meereizen van een fileserver naar de server waarop ingelogd wordt en waar de server-gebaseerde toepassing draait. Bij uitloggen wordt het profiel weer teruggeschreven naar de fileserver. Roaming profielen kunnen erg omvangrijk worden en het inloggen vertragen. Een groter probleem is als je werkt met veel terminal servers waarop verschillende toepassingen worden gepubliceerd. Een profiel wordt dan meerdere malen geladen (voor iedere toepassing die een gebruiker start en die op een andere server draait), waardoor corrupte profielen al snel voorkomen en voor zeer vervelende problemen zorgen. De oplossing is simpel: gebruik mandatory (verplichte) profielen. Dit type profiel blijft compact en raakt niet corrupt. Het grote nadeel is dat gebruikers geen instellingen kunnen bewaren en dat is in bijna alle gevallen onoverkomelijk. Met de Flexprofilekit samengesteld door
Jeroen van de Kamp, kun je het beste van beide werelden integreren: je kiest voor verplichte profielen en regelt de persoonlijke (register)instellingen met deze toolkit. De basis van de toolkit bestaat uit Proflwiz.exe (een gemodificeerde versie van de tool uit de Office 2003 resource kit) en een verzameling INI-bestanden. De werkwijze is als volgt. Als eerste maak je een verplicht profiel aan en zorg je er voor dat directories worden doorgestuurd naar de fileserver met een Policy (denk aan My Pictures, Local Settings en een tiental andere). Maak vervolgens INI-bestanden aan die registerinstellingen beschrijven voor je toepassingen. Met Proflwiz in het logoff- en logonscript, worden die instellingen nu iedere keer geladen en bewaard bij in- en uitloggen. Overigens heeft Group Policy in Windows Server 2003 de mogelijkheid om een apart terminal server profiel te definiëren voor alle machines die zich samen in een Organizational Unit bevinden. Hiermee kun je een deel van de corrupte profielproblemen omzeilen, maar
Pc wordt thin client Er zijn commerciële en freeware oplossingen om een pc ‘om te bouwen’ tot thin client, waarbij alleen een RDC/ICA-client gebruikt kan worden. Vorig jaar lazen we in deze rubriek over de RES Subscriber. Citrix Shell is eveneens zo een thin client
hulpprogramma. Je kunt dit nog downloaden op www.thethin.net, maar de auteur heeft inmiddels de commercie ontdekt en een geavanceerder product op de markt gebracht dat geen freeware meer is, genaamd Fat-2-Thin. Y
69
iedere gebruiker heeft dan wel meer profielen en dat is eveneens niet altijd wenselijk. Vooral voor het beheer compliceert dit het troubleshooting-proces bij profielvraagstukken. Product: Versie: Website: Licentie: Beperkingen: Prijs:
Product: Website: Licentie: Beperkingen: Prijs:
Flex Profile Kit (FPK) 3.0 http://www.login consultants.nl Freeware Geen Gratis
Citrix Shell http://www.thethin.net /downloads.cfm Freeware Geen Gratis
NetOpus // juli/augustus 2004
TRICKS&TRAPS Vraag:
We maken gebruik van roaming profiles in onze Windows 2000 terminal services omgeving. In Active Directory hebben we aangegeven met een Group Policy instelling dat profielen van gebruikers bij het uitloggen moeten worden verwijderd. Deze functie werkt goed. Echter, als gebruikers niet netjes uitloggen maar de sessie verbreken, blijven deze profielen op de server liggen. Bij het opnieuw inloggen wordt er als gevolg van de Network Load Balancing-oplossing die we gebruiken, vaak automatisch een andere terminalserver gekozen. Het laatste - eigenlijk niet meer correcte - profiel wordt dan van de file server gekopieerd en gebruikt en bij uitloggen weer teruggezet op de file server. Nu doet zich soms het probleem voor dat bij inloggen op de eerste server, toch het op die server aanwezige (nu oudere) profiel gebruikt wordt. De gebruiker krijgt dan het lokaal gecachte foute en oudere profiel. De gebruiker merkt hierdoor dat instellingen zich op een vreemde wijze gedragen. Is hier iets aan te doen?
70
resale licenties. De combinatie van een licentiecode met een foute productcode kan dit effect tot gevolg hebben. Je kunt de productcode controleren en eventueel aanpassen. Selecteer in de Citrix Management Console met de rechtermuisknop de server of servers, en kies in het menu dat verschijnt ‘Set MetaFrame Product Code’.
Vraag:
We gebruiken een 16-bit urenregistratie toepassing met de ICA-webclient op een Metaframe XP Presentation Server met Feature Release 3 op Windows Server 2003. Na afsluiten van de toepassing blijft echter de sessie doorlopen. Op het scherm bevindt zich een leeg venster, dat je weliswaar met een klik op het sluitknopje rechtsboven kunt sluiten. Kunnen we de omgeving dusdanig maken dat dit niet nodig is en het venster vanzelf sluit?
Antwoord: Je kunt proberen de 16-bit toepassing te starten vanaf de opdrachtregel, met een klein script:
Antwoord: Bij gebruik van Citrix Load Management of Windows Server 2003 terminal server met de sessie directory, komt de gebruiker bij opnieuw inloggen wel terug in de eerder niet netjes verbroken verbinding. Het probleem zal hierdoor aanmerkelijk kleiner zijn. Een nette manier om het probleem onder Windows 2000 Server terminal services op te lossen is er niet. Je kunt met een periodiek script, of een script voor of na het starten van de server met DELPROF.EXE de achtergebleven profielen verwijderen. Gebruik dan wel DELPROF.EXE zoals zich dat in de Windows Server 2003 Resource kit bevindt (en te downloaden is) omdat die versie enkele verbeterde mogelijkheden biedt.
Vraag:
We hebben Citrix MetaFrame XP Server geïnstalleerd op Windows 2000 Server en alles geconfigureerd zoals het hoort. Alle licentiecodes zijn ingevoerd en er is een Terminal Services licentie server actief. Toch kunnen gebruikers geen verbinding krijgen met de ICA-client toepassing. Wat kan hier de oorzaak van zijn?
Antwoord: Het is mogelijk dat je de productcode van MetaFrame Presentation Server hebt ingevoerd en per abuis de verkeerde vorm hebt gekozen bij de licentie die je hebt aangeschaft. Citrix maakt heeft naast ‘gewone’ licenties ook evaluatie en not-for-
juli/augustus 2004
\\ NetOpus
start /wait toepassing.exe logoff In veel gevallen verdwijnt hierdoor tevens het ‘hangende’ venster.
Vraag: We werken ongeveer een jaar met MetaFrame XP Presentation Server en proberen nu een extra MetaFrame XP Presentation Server toe te voegen in onze bestaande infrastructuur. We willen dezelfde toepassingen publiceren en op deze wijze betere prestaties bieden aan de gebruikers. We krijgen echter geen verbinding met de farm. Wat kan er aan de hand zijn? Antwoord: Om een verbinding te krijgen met de farm en de IMA store die daar op draait, communiceert de nieuwe server standaard over poort 2512. De Citrix Management Console die je als beheerder gebruikt, heeft zelf poort 2513 nodig. Misschien is destijds door de consultant tijdens de inrichting van de initiële farm één van deze default poorten veranderd. Dit is te controleren en aan te passen met de opdracht IMAPORT /QUERY. Is het poortnummer wel correct, controleer dan of de nieuwe server zich op een ander subnet bevindt en er een firewall tussen de IMA store en deze server is aangesloten waarop poort 2512 (of 2513 voor beheer) niet wordt doorgelaten.
TRICKS & TRAPS
Vraag:
Wij gebruiken een Microsoft Access database op een server met MetaFrame Presentation Server. De toepassing is gepubliceerd en de gebruikers zien de toepassing. De toepassing vereist echter een specifiek datumformaat, dat anders is dan hetgeen op de werkplekken ingesteld is. Aanpassen van het datumformaat als Administrator op de server heeft echter geen effect. Hoe veranderen we het datumformaat zodat de toepassing bij de gebruiker wel functioneert?
Antwoord: De allereerste keer dat een gebruiker verbinding maakt, wordt het profiel van de Default User gekopieerd en gebruikt. Als er Roaming profielen worden gebruikt, wordt dit profiel bewaard op een fileserver en hergebruikt bij het opnieuw inloggen. Het datumformaat zit opgeslagen in het profiel van de gebruiker. Om dit aan te passen is het handig om eerst een reservekopie te maken van het Default user profiel. Log in als een testgebruiker en pas het datumformaat aan. Kopieer dit profiel naar de Default User. Iedere nieuwe gebruiker ontvangt vanaf dat moment het profiel met de aangepaste datuminstelling. Voor bestaande gebruikers met een roaming profiel verandert er echter niets. Om daarvoor toch het datumformaat te wijzigen kan het loginscript gebruikt worden, of additionele software worden aangeschaft die profielenbeheer vereenvoudigd. Indien mogelijk, pas dan liever de Access-code aan die de datum verwerkt, zodat die in staat is om te gaan met verschillende datumformaten zoals die op de werkplekken kunnen voorkomen.
Vraag:
Is het mogelijk om in een script alle sessies van ingelogde gebruikers op een terminal server te beëindigen?
Antwoord: Ja, dat is niet zo moeilijk. Je kunt met ‘echo y | reset session ica-tcp’ of ‘echo y | reset session rdptcp’ alle ingelogde gebruikers die gebruik maken van het ICA- respectievelijk het RDP-protocol ontkoppelen. Vergeet echter niet om vooraf de mogelijkheid tot inloggen uit te schakelen, want anders kunnen er werkplekken zijn waar door de auto-connect mogelijkheid de gebruiker meteen opnieuw verbinding maakt en kan inloggen. Dit is overigens niet zo’n nette manier om gebruikers uit te loggen, want ze krijgen geen waarschuwing dat ze hun openstaande documenten moeten bewaren. Gebruik deze optie alleen om bijvoorbeeld buiten werktijden onderhoud te plegen aan de server waarbij er geen sessies actief mogen zijn.
Vraag:
Wij willen bij een klant terminal server gaan toepassen om over een DSL-verbinding een veertigtal gebruikers toe te laten op het netwerk. Het bedrijf heeft een 1Mbps down/256kbps up verbinding. Is dit een reële mogelijkheid?
Antwoord: Met deze verbinding kun je waarschijnlijk geen 40 gelijktijdige gebruikers laten werken. Uitgaande van een goed gemiddelde van 20kbps die een gebruiker nodig heeft, kun je maximaal ongeveer 12 gebruikers laten werken die daarmee de uplink volledig belasten. De uplink is de beperkende factor, omdat de 20kbps met name die communicatie gebruikt voor het versturen van beeldscherminformatie, geluid en dergelijke. Door het aantal kleuren te verminderen, geen geluid toe te staan en niet te printen op printers bij de gebruikers kun je de benodigde bandbreedte terugbrengen. Hierdoor kun je wellicht wat extra gebruikers kwijt, maar 40 simultane gebruikers is nagenoeg onmogelijk.
Vraag:
Wij proberen een MetaFrame-sessie te openen via een WAN-verbinding naar ons bedrijf, maar dit functioneert niet. Moeten er bepaalde poorten geopend worden in de firewall?
Antwoord: Op deze vraag is geen eenduidig antwoord te geven. het ligt er aan hoe de architectuur is opgezet. Ervan uitgaande dat er geen poorten zijn aangepast van de default waardes, spelen de volgende vraagstukken. Gebruik je de component MetaFrame Secure Gateway om toegang te verschaffen, dan is alleen poort 443 noodzakelijk. Is dat niet het geval en gebruik je MetaFrame 1.8, dan zijn de poorten 1604 voor de ICA browser en 1494 voor ICA-verkeer nodig. Bij standaard gebruik van MetaFrame XP Presentation Server, of als je op MetaFrame 1.8 met Feature Release 1 de XML-service inschakelt, kun je volstaan met de XML-poort (80) en ook weer 1494 voor ICA-verkeer. Uiteraard moet de ICA-client-toepassing dan de XML-service ondersteunen en niet al te oud zijn. Y
NetOpus // juli/augustus 2004
71
ATTACHMENT
Weg met kabels en adapters
Wild van de spanning In de ICT is standaardiseren om kosten te besparen erg belangrijk, in het bijzonder het verlagen van de Total Cost of Ownership. Standaardisatie verbetert immers het gebruiksgemak en beheergemak. Het wordt hoog tijd dat de fabrikanten van elektronische apparaten daar eens aandacht aan schenken en dan hebben we het over fabrikanten van aansluitkabels en voedingsadapters.
72
In ons Labreport van thin clients bleek maar weer dat iedere fabrikant zijn eigen weg gaat, en zelfs dat de apparaten van één fabrikant niet over uitwisselbare kabels en voedingen beschikken. Ook thuis zijn de laatste jaren nogal wat apparaten binnen geslopen die op de netspanning worden aangesloten met een voedingsadapter. Kijk maar eens naar de printer, de scanner, het luidsprekersysteem aan de pc, je eventuele wireless router maar ook de huistelefooncentrale, de Tv-signaalversterker en zelfs kerstverlichting voor buiten: allemaal zijn ze voorzien van zware grote
onhandige en onderling verschillende voedingsadapters met een aansluiting die eveneens steeds weer anders is. Bij apparaten met een spanningsadapter en een accu, is het probleem met een work-around verholpen: je plaatst de apparaten in een oplader en je hebt er verder geen omkijken naar: denk aan je draadloze huistelefoons, de babyfoon en de babyfoon-ontvanger in het geval je een baby hebt. Voor sommige apparaten is het mogelijk de accu en adapter in de behuizing in te bouwen, zoals bij je eventuele huisalarm, je scheerapparaat of de boormachine.
C » Het matje van Splashpower
juli/augustus 2004
\\ NetOpus
Gelukkig heb je bij sommige van deze apparaten niet zoveel last van het nietstandaard zijn. Je sluit ze eenmaal aan en hoeft er verder niet meer naar te kijken. Problematisch wordt het pas als een voedingsadapter of kabel defect gaat. Het wordt dan een kunst om de juiste adapter te vinden. Ben je verplicht om een adapter van de fabrikant aan te schaffen omdat anders niets past, dan weet je zeker dat je te veel betaalt. En in het geval van kerstlampjes gooi je de voeding gewoon weg en koop je maar een nieuwe ketting met lampjes inclusief weer een adapter voor 8 euro. Kleine ergernissen zoals het niet in de spanningsslof van de verlengkabel passen van al die grote voedingsadapters neem je op de koop toe. Pas echt wild wordt het als je met losse opladers en kabels moet werken. Het begon met een paar afstandbedieningen met batterijen. Door deze te vervangen door accu’s en een oplader hoef je nooit meer batterijen te kopen. Was het daar maar bij gebleven. De opladers (en kabels) van de twee notebooks, de twee mobiele telefoons, de digitale filmcamera, de digitale fotocamera, de PDA, de GPS, de draadloze muis hebben allemaal hun eigen oplaadsysteem. Naast het niet standaard zijn, zijn de adapters vaak factoren zwaarder dan de appara-
ATTACHMENT
ten waar ze voor bedoeld zijn. Zo is een voedingsadapter van 500 gram of meer geen uitzondering, terwijl een beetje moderne GSM en zelfs enkele fotocamera en PDA’s minder dan 200 gram weegt. De kabels en adapters heb je wekelijks en enkele zelfs dagelijks nodig. Leg ze vooral niet samen in een lade want je bent iedere week een warboel van kabels aan het ontrafelen om de juiste te vinden en aan te sluiten. En natuurlijk hebben ze allemaal net andere specificaties en een andere aansluiting, zodat ze niet uitwisselbaar zijn. Laat de halve kilo tellende adapter ook niet per ongeluk uit je handen vallen, want zelfs als die dat weet te overleven heb je een gat in je mooie parketvloer.
73
Dat kan makkelijker! Met accu’s op basis van brandstof wordt al enige tijd geëxperimenteerd en het lijkt haalbaar om op deze wijze een accu te produceren die zelfs drie maal langer meegaat, ter grootte van een normale AA batterij. In 2005 worden de eerste commerciële producten al verwacht. In plaats van gewone oplaadbare accu’s of batterijen voorzien van brandstof, wordt het misschien mogelijk straks met je notebook of je mobieltje te tanken bij het tankstation op de hoek. Experimenten in laboratoria gebruiken een minuscuul motortje van enkele millimeters groot. Hiermee kan naar verluid maar liefst 300 keer meer energie worden geleverd dan met een normale batterij. Je hebt geen spanningskabels en adapters meer, maar je tankt wat benzine uit de sigarettenaansteker om het apparaat op te laden. En het schijnt nog beter voor het milieu te zijn, want het produceren van een traditionele batterij kost 2000 keer meer energie dan de batterij levert gedurende de levensduur. Dat klinkt als een mooie oplossing, mobiel met groene
energie in je PDA. Maar het zal nog wel even duren voordat de micromotor ingebouwd wordt in al onze draagbare apparaatjes.
Dat moet toch draadloos kunnen? Alles wordt draadloos, van netwerken tot randapparaten en zelfs luidsprekers en het deurbelknopje op de voordeur. Waarom maken we de netspanning niet draadloos? Laten we het niet een te hoog Star Trekgehalte geven en het idee beperken tot het draadloos opladen van accu’s. Het idee is simpel. Je legt het apparaat dat je wilt opladen op een matje dat is aangesloten op het lichtnet en de accu wordt draadloos opgeladen. Geen gedoe meer met span-
Beste fabrikant Daarom, beste fabrikant, moet het toch mogelijk zijn om de warboel van netsnoeren, adapters en opladers te verbeteren? Produceer liever geen onhandige adapters van 8 bij 8 bij 10 centimeter die 900 gram wegen. Er zijn collega-fabrikanten die bewijzen dat kleiner en licht goed mogelijk is. Maak ook geen adapters die rechtstreeks in het stopcontact moeten worden gestoken, maar gebruik minimaal een standaard netsnoer om de adapter aan het net te hangen. En als het even kan: standaardiseer de adapters waar mogelijk.
ningskabels, adapters en opladers. Behalve als je straks in plaats van tien opladers tien matjes hebt met ieder weer een eigen adapter. Deze technologie wordt ooit in de verre
toekomst
mogelijk
(zie
http://www.splashpower.com), maar we zijn bang dat we geen oplossing op korte termijn hoeven te verwachten.
Wat zou het mooi zijn als alle apparaten kunnen worden aangesloten met één en dezelfde adapter of als het echt niet anders kan, één adapter die past op alle notebooks en één adapter en oplader voor alle kleine mobiele apparaatjes. Y
NetOpus // juli/augustus 2004
Haal alles uit je netwerk! Iedere maand brengt NetOpus praktische, hands-on informatie over de meest uiteenlopende netwerkgerelateerde zaken. Welke producten zijn er beschikbaar voor je netwerk en hoe werken ze? Hoe verbind je systemen aan elkaar? Hoe richt je een netwerk zo goed mogelijk in en hoe beheer je het optimaal? Op deze en nog vele andere vragen biedt het blad NetOpus een antwoord. Als jij een netwerkprofessional bent, dan kun je simpelweg niet zonder NetOpus!
Geïnteresseerd? Surf naar de website www.netopus.nl en neem een abonnement. Je ontvangt NetOpus dan 10 keer per jaar voor 4 59,50. Het eerste jaar krijg je bovendien een extra korting van 4 12,-
