www.netopus.nl • jaargang 7 • nummer 5 • juli/augustus 2005
Verklein je clients!
T JW b s k il n We B n O H do le l a t s in
SBC
• Van pc naar thin client • De toekomst van SBC • Het belang van Access Strategy • Citrix Presentation Server 4.0
Server-based computing &/IP P C Access T Infrastructure IP / P
Focus
• UNIX op de pc met X-Windows Server-based computing & Access Infrastructure
Marketwatch
• Gebruik end-point security
Labreports
• Citrix Access Gateway • Citrix GoToMeeting • Hoblink JWT en WebSecureProxy • Netilla Security Platform t • Network Appliance FAS270 e n r • Philips ProScribe 100WT10P e
t
In
TC
i
W n
io t c e n P n o RD C ) (2 via
nr. 05 | juli/aug 05 NL | 2 6,80 BE | 2 7,40
et d l p e p d a a a o av nl t NOP05_Cover.indd
1
6/8/05
9:13:23
NetOpus Postbus 3389 2001 DJ Haarlem Telefoon redactie: (023) 543 00 00 Fax redactie: (023) 535 96 27 E-mail redactie:
[email protected] Hoofdredactie • Mireille Rameau (
[email protected]) Eindredactie • Onno Louwen Redactie • Marcel Beelen (
[email protected]) Vormgeving • Marijn Wegman Medewerkers • Bart Brakel, Maarten Hennekens Uitgever • Wouter Hendrikse Traffic • Marco Verhoog Management Assistente • Jane Degenaar Media Order • Mirella van der Willik Boekhouding • René de Muijnck, Geeta Hobo Directie • Wouter Hendrikse, Richard Mul P&O en Algemene Zaken • Hans Nusselder (dir.) Prepress & Druk • Senefelder Misset Doetinchem Distributie • Betapress Abonnementen Haarlems Uitgeef Bedrijf B.V. Ingrid van der Aar Postbus 3389 2001 DJ Haarlem Telefoon: (023) 536 44 01 Fax: (023) 545 18 43 E-mail:
[email protected] Een abonnement kan elk moment ingaan, en kost voor 10 nummers 2 59,50. Een abonnement wordt steeds automatisch voor eenzelfde periode verlengd tenzij u twee maanden voor de vervaldatum schriftelijk opzegt. Advertenties Martijn Daalder Telefoon: (023) 543 00 42 Fax: (023) 535 96 27 E-mail:
[email protected] NetOpus is een uitgave van HUB uitgevers BV
Colofon
Hoewel aan NetOpus door de redactie en de uitgever uiterste zorg is besteed, aanvaarden de redactie noch de uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in het blad en/of op de website. Reproductie van artikelen, of andere redactionele bijdragen op welke wijze dan ook is alleen toegestaan na schriftelijke toestemming van de uitgever. Copyright © 2005 Haarlems Uitgeef Bedrijf.
4
Thin client – slanke client – Een netwerkcomputer (NC°) in een netwerk met een speciale server°. Wintel°-PC’s worden dikke clients (thick client°) genoemd.
Wij nemen je gegevens, zoals naam, adres en telefoonnummer op in een gegevensbestand. De verwerking van je gegevens is aangemeld bij het College Bescherming Persoonsgegevens in Den Haag door HUB Uitgevers b.v., de verantwoordelijke voor je gegevens. Je gegevens worden gebruikt voor de uitvoering van met jou gesloten overeenkomsten, zoals de abonnementen administratie. Daarnaast kunnen wij je gegevens gebruiken om je op de hoogte te houden van interessante informatie en/of aanbiedingen. Jouw gegevens kunnen ook aan door ons zorgvuldig geselecteerde partijen ter beschikking worden gesteld. Je gegevens kunnen, samen met hun informatie over jou, worden geanalyseerd om de aanbiedingen en/of informatie zoveel mogelijk op je interesses af te stemmen. Je kunt bij het opgeven van je gegevens bezwaar maken tegen beschikbaarheids stelling van je gegevens aan derden. Ook kun je je eigen gegevens opvragen en verzoeken ze te corrigeren of te verwijderen. Stuur hiertoe een kaartje aan de abonnementen administratie. Postbus 3389, 2001 DJ Haarlem.
NOP0504_p04-05_Colofon&Inhoud.indd
4
6/8/05
18:19:20
Inhoud
Colofon&
Voorwoord
7
Update
8
Veranderingen Marcel Beelen Nieuws, gadgets en evenementen
Analyses
“You must act now!” Marcel Beelen
10
10
De link tussen Citrix en Viagra
SBC afgeserveerd Maarten Hennekens
11
Applicatie-virtualisatie Bart Brakel
13
Server-Based Computing
14
Hoezo server-based? 14 Na vier themanummers over serverbased computing is het hoog tijd voor een hernieuwde introductie van de technologie. Citrix heeft de term server-based computing al een tijdje achter zich gelaten en de stap gemaakt naar ‘access infrastructure’. We bekijken de veranderingen en de toekomst van server-based computing.
Wat mag nog server heten? De evolutie van SBC
De toekomst van SBC
14
Bouw je eigen thin client 18 Thin clients zijn kant-en-klaar aan te schaffen, maar het is ook mogelijk om verouderde pc’s om te bouwen tot thin clients. De kosten van een migratie naar kun je hier aanzienlijk mee verlagen. Wij zetten de mogelijkheden voor je op een rij.
Van SBC naar access infrastructure
Server-based zelfbouw
18
Van pc naar thin client
eExamen verplicht!
22
Behoud je CCA-status met modules
Codenaam Colorado
26
Citrix Presentation Server 4.0
Focus
32
Access Strategy
32
Meer dan een marketingterm
UNIX op de pc met X-Windows
Het nut van access strategy 32 Bedrijven worden steeds groter, met als resultaat dat men ook steeds vaker van buiten het bedrijf toegang tot het netwerk wil hebben. Het is daarom belangrijk goed na te denken over wie je nu en in de toekomst toe wilt laten tot het netwerk en hoe je dat veilig en gebruiksvriendelijk doet, oftewel je access strategy.
36
Het server-based alternatief
Onbekend maar toch bemind
38
Citrix Presentation Server for UNIX
Marketwatch
42
Sluit de deuren!
42
Veilig met end-point security 42 End-point security heet ook wel client security, en beschrijft methodes om de achterdeur naar het bedrijfsnetwerk te sluiten op locaties waar remote gewerkt wordt. We bekijken de nieuwste ontwikkelingen op dit gebied.
Gebruik end-point security
Labreports
46
Toolbox
76
Philips ProScribe 100WT10P Hoblink JWT en WebSecureProxy Citrix Access Gateway Citrix GoToMeeting Network Appliance FAS270 Netilla Security Platform Uitgelezen! Handige server-based computing freeware
46 48 52 60 62 68 74
Mobiele thin client
Tricks & Traps
78
Attachment
80
Vraag & antwoord Peuters Online
NOP0504_p04-05_Colofon&Inhoud.indd
5
46
Zakelijke gebruikers kennen Philips als maker van LCDschermen. Zonder veel bombarie heeft Philips vorig jaar een draadloze thin client op de markt gebracht, in tablet-vorm met een LCD-aanraakscherm en ingebouwd draadloos netwerk. NetOpus testte hem uitvoerig.
5 6/8/05
18:19:56
Voorwoord
Veranderingen Voor het vierde achtereenvolgende jaar komt NetOpus met een special volledig gewijd aan server-based computing. Er is dit jaar weer bijzonder veel nieuws te melden want Citrix, de bedenker van de term server-based computing, heeft er sinds vorig jaar voor gezorgd dat er een verbreding heeft plaatsgevonden naar ‘access infrastructure’. Toch merken we dat er nog steeds ICT-managers en beslissers zijn die nauwelijks op de hoogte zijn van server-based computing en nog minder van thin clients. De verbreding naar access infrastructure die door Citrix in gang is gezet, wordt door een nog grotere groep managers en beheerders niet begrepen en vaak zelfs niet eens gevolgd.
We maken dit jaar even een pas op de plaats en bekijken opnieuw wat server-based computing nu eigenlijk is. Wat zijn thin clients en wat zijn de voor- en nadelen van het concept precies? Tevens lichten we de stap richting access infrastructure toe, waarbij we laten zien welke noodzaak er is voor organisaties om een access strategie te ontwikkelen. Uiteraard nemen we dit jaar ook weer verschillende nieuwe producten en diensten binnen het thema onder de loep. Werd vorig jaar nog Citrix GoToMyPC getest, dit jaar is het zusje Citrix GoToMeeting aan de beurt. Behalve het product zelf bekijken we in een analyse tevens hoe agressief Citrix dit product (in de VS) aan de man brengt. In een ander Labreport testen we een hardwaregebaseerde appliance: de Citrix Access Gateway. Verder heeft Citrix eind april van de meeste producten nieuwe versies op de markt gebracht onder de naam Citrix Access Suite 4.0. We kijken kort naar deze suite en zoomen daarna in op de nieuwste functies van Presentation Server 4.0. Opvallend dit jaar is het relatief hoge UNIX/Linux-gehalte. De geteste Citrix appliance draait Linux, maar ook de geteste AEP/Netilla appliance is voorzien van Linux, en in een artikel over X-servers bekijken we onder meer hoe UNIX/Linuxtoepassingen op Windows te bedienen zijn. Een onbekender product van Citrix is MetaFrame for UNIX, waarmee - gebruik makend van het ICA-protocol - UNIX- en Linux-toepassingen op Windows werkplekken bediend worden, geïntegreerd met gepubliceerde Windows-toepassingen. Om bestandsopslag tussen UNIX en Windows te integreren is een SAN-applicance erg handig, en daarom houden we ook nog een multi-protocol filer van Network Appliance tegen het licht. Verder ben ik bereid per e-mail in te gaan op inhoudelijke opmerkingen, kritiek, meningen en vragen over het onderwerp.
Marcel Beelen
[email protected]
7 NOP0505_p07_Voorwoord_Veranderingen.indd
7
6/13/05
9:53:31
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Update Titel: Misverstanden en onwaarheden Auteur: Marcel Beelen Pagina’s: 8 en 9
Update Misverstanden en onwaarheden Er zijn veel vooroordelen over server-based computing. Het zou zijn beste tijd gehad hebben, en de stap van Citrix om deze term te verlaten zou daar een voorteken van zijn. Ook bedrijven zouden eerder kiezen voor alternatieven en nieuwe technologieën zoals applicatie- en machinevirtualisatie. Niets is echter minder waar, en daarom staan we kort stil bij deze misvattingen.
“Server-based computing verliest aan populariteit”
8
Server-based computing is populairder dan ooit. Signalen die de populariteit in de markt aangeven, zijn er voldoende. Zo heeft Microsoft al lang server-based computing geïntegreerd in het Windowsbesturingssysteem. De hiaten die Microsoft in terminal server laat zitten, zoals geavanceerde load balancing, printverbeteringen, gepubliceerde transparante vensters, veilige webtoegang en meer, worden door andere partijen ingevuld. Het aantal bedrijven dat deze opties in een platformproduct biedt, is inmiddels gegroeid tot meer dan tien, waaronder naast de bekenden Citrix, HOB en Tarantella bijvoorbeeld ook Genuit en Ericom. Het aantal fabrikanten van de alternatieve werkplek die bij serverbased computing kan worden ingezet, de thin client, is gegroeid tot meer dan 50 stuks. Zelfs Philips heeft tegenwoordig een thin client (zie Labreport in deze NetOpus). Een overzicht van de platformen en thin clients is te vinden op www. server-based-computing.nl. Het aantal ontwikkelaars van commerciële kleinere en omvangrijkere beheerprogramma’s voor terminal servers neemt nog steeds toe. Er ontstaat zelfs een ware community, met freeware-tools en alternatieve symposia. Het aantal bedrijven dat zich bezighoudt met de inrichting en het onderhoud van server-based computing bij
NOP0505_p08-09_Update_Misverstanden.indd
8
klanten is erg groot. Citrix bijvoorbeeld, heeft al bijna 100 officiële partners in Nederland. Er zijn meer nieuwe boeken over het onderwerp gepland of geschreven dan in eerdere jaren. Citrix toont met Presentation Server 4.0 aan dat er zelfs na jaren nog functionaliteit toegevoegd kan worden om standaard uit de doos weer meer mogelijk te maken en het product verder te verbeteren.
“Linux-gebaseerde oplossingen vervangen Citrix-oplossingen” Vaak worden Linux-oplossingen - commercieel en open source - in een adem genoemd met server-based computing, en zelfs als alternatief voor terminal servers gepositioneerd. Of je het nu hebt over het Linux Terminal Server Project (besproken in ons themanummer van vorig jaar), of de oplosing van NoMachine.com, het zijn allemaal thin client-oplossingen op basis van Linux. Om Windows-toepassingen te draaien moet je echter toch weer gebruik maken van ‘traditionele’ terminal servers als WINE, CrossOver of VMware. Citrix heeft geen last van Linux ‘terminal servers’.
“Server-based computing is een tijdelijke oplossing” Vele middelgrote en grote bedrijven werken met server-based computing. Vaak wordt hiervoor Citrix Presentation Server
of een van de eerdere versies daarvan ingezet. De technologie is diep ingebed in de organisatie en de ICT-infrastructuur, en wordt ingezet om werkplekken en toepassingen onder controle te houden. Ook de mogelijkheid om toepassingen op afstand te bedienen bij nevenkantoren of gebruikers die onderweg zijn is een belangrijk inzetgebied. Serverbased technologie wordt bij grote ondernemingen vaak door vele honderden tot vele duizenden medewerkers gebruikt, op allerhande locaties en voor allerlei tactische en strategische toepassingen. Om die reden is het zeker geen tijdelijke oplossing. Je stapt immers niet van de ene op de andere dag over naar een andere infrastructuur. Zelfs webservices en webgebaseerde toepassingen hebben niet geleid tot een afname van server-based computing; integendeel. Via server-based computing ben je juist in staat de omgeving die voor webgebruik nodig is centraal te beheren. Er zijn veel bedrijven die al tien jaar en zelfs langer gebruik maken van server-based computing en dat nog vele jaren zullen doen. Er is zelfs nog ruimte voor groei, want er zijn organisaties die server-based computing nog niet gebruiken, maar dat wel van plan zijn. De markt is bovendien stevig in beweging. Kijk eens naar de overnames die Citrix of Neoware de laatste tijd hebben gedaan, of naar de jongste overname van Tarantella door Sun. De term ‘server-based computing’ mag bij Citrix
6/8/05
18:30:12
Update
Misverstanden en onwaarheden
dan wel uit het vocabulair verwijderd zijn, de technologie is dat zeker niet.
“Server-based computing lost al je problemen op” Server-based computing is zeker niet de ultieme oplossing om alle werkplekken en alle toepassingen binnen organisaties te beheren. Zelfs Citrix - die dit enkele jaren geleden wel nog op deze wijze verkocht - is hierop teruggekomen. Er zijn zeker bedrijven die nagenoeg alle toepassingen op basis van server-based computing (en zelfs op thin clients) gebruiken, maar bij veel meer organisaties is server-based computing een onderdeel van de ICT-infrastructuur, als aanvulling voor werkplekken, toepassingsbeheer en toegang tot informatie op afstand. Fabrikanten van server-based computing-producten zoeken het dan ook breder. Citrix zoekt het in ‘access’, RES (de maker van PowerFuse) stapt met WisDom de pcbeheer markt binnen, HP biedt zijn thin client ook aan in blade-pc oplossingen, en AppSense, Scapa, Softricity en anderen verbreden de markt naar terminal servers, servers en werkplekken. Opmerkelijk maar begrijpelijk is bovendien dat enkele van de serverbased bedrijven hun producten ook positioneren voor het gebruik binnen virtual machines (met name van EMC VMware).
“Virtualisatie maakt serverbased computing overbodig” Virtualisatie is misschien wel de belangrijkste trend van de afgelopen tijd. Met virtualisatie verberg je de fysieke onderdelen en componenten van je ICTinfrastructuur tot een overkoepelende virtueel groter geheel. Het aardige is dat dit virtuele aspect voor de gebruiker niet zichtbaar is, die gewoon met fysieke objecten denkt te werken. Het lijkt de ideale oplossing om de ICT-infrastructuur
NOP0505_p08-09_Update_Misverstanden.indd
9
te consolideren, centraliseren, vereenvoudigen en de operationele kosten ervan sterk te reduceren. Maar is dat niet precies wat server-based computing ook doet? Server-based computing is bovendien zelf een vorm van virtualisatie, namelijk het door gebruikers laten bedienen van toepassingen waarbij het lijkt dat deze op de werkplek draaien, terwijl ze in werkelijkheid elders draaien. Citrix Presentation Server 4.0 heeft virtuele
com-poorten, virtuele IP-adressen en een virtuele applicatielaag (Application Isolation Environment). Deze technologie lijkt veel op de softwarevirtualisatie van Softricity of AppStream. Toepassingen worden dan op je werkplek in een geïsoleerde omgeving gedraaid, zonder dat ze elkaar of Windows in de weg zitten. Ze hoeven niet geïnstalleerd te worden en worden naar de werkplek gestreamed waar nodig. De ultieme vorm van virtualisatie zie je in Virtual Machines, met EMC VMware en Microsoft als belangrijkste spelers. Daar draai je meerdere complete virtuele pcomgevingen bovenop een ander fysiek systeem. De overeenkomst is dat ze beide in staat zijn Windows-toepassingen te draaien op Linux, maar daar houdt de overeenkomst op. Ze dienen een totaal
ander doel en zijn conceptueel niet te vergelijken. Virtualisatie maakt serverbased computing niet werkeloos, maar brengt beide technologieën samen. Het heeft zelfs grote voordelen om terminal servers te installeren op virtuele machines.
“Bij access strategie denk ik als eerste aan Citrix” Als je het hebt over access, access infrastructure of access strategy, zullen veel Nederlandse organisaties nog niet automatisch terecht komen bij Citrix, ondanks de stevige campagne die Citrix al een tijdje voert. Eerlijk is eerlijk, met het NetOpus-themanummer van vorig jaar en dit jaar dragen we er zelfs aan bij om de themaverandering van server-based computing naar access infrastructure door te voeren. Maar waarom verloopt dit zo moeizaam? Een deel van het probleem zit in de terminologie. Daar waar server-based computing een herkenbare en ingeburgerde Engelse term is, is access infrastructure dat niet. Het ligt niet zo gemakkelijk in de mond en bij projectbesprekingen is het een term die je daarom niet snel gebruikt. De vertalingen ‘toegangsinfrastructuur’ en ‘toegangsbeleid’ hebben meer te maken met telecom en fysieke toegangscontrolesystemen dan met ICT en software. Een ander deel van het probleem zijn de Citrix-producten zelf. Bij toegang en beveiligde toegang denk je aan beveiligingsappliances, end-point security, tokens en smartcards, firewalls, intrusion detection and prevention, maar bijvoorbeeld niet aan conferencing. Zelfs Presentation Server, dat toegang biedt tot centrale toepassingen, wordt in de wandelgangen nog niet geassocieerd met access. Het idee van Citrix is goed, maar de producten zijn minder voor de hand liggend. De nieuwe Citrixappliance zal daar echter verandering in brengen, want de Access Gateway appliance past wel goed bij het thema en zal zelfs server-based computing meer met ‘access’ verbinden. Y
9 6/8/05
18:30:15
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Analyse Titel: “You must act now!” Auteur: Marcel Beelen Pagina’s: 10
“You must act now!” De link tussen Citrix en Viagra Citrix nam begin 2004 het bedrijf Expertcity over, dat is opgegaan in de nieuwe divisie Citrix Online. Citrix Online biedt GoToMyPC, GoToMeeting en GoToAssist als diensten aan om op afstand over internet toegang te krijgen tot pc’s, online te vergaderen en ondersteuning te geven. Daarmee zijn de verkoopmethoden er alleen niet op vooruit gegaan.
D
e producten van Citrix Online maken gebruik van centrale UNIX servers, die een soort gateway-functie hebben om remote access-diensten te regelen en te sturen. Ze fungeren als verkeersagent om alle verbindingen te registeren, beveiligen en te monitoren. Je hebt op de werkplek slechts een kleine toepassing nodig, die met de Citrix Online-servers communiceert via een dun protocol. Er wordt hierbij gebruik gemaakt van standaard webpoorten en er is initieel geen verkeer nodig naar de bestemmingsmachine, waardoor dit ook over de firewall van je organisatie heen werkt. Het zijn mooie diensten, maar Citrix Online is nog steeds een erg Amerikaanse aangelegenheid. Dat geldt voor betaling en ondersteuning, maar zeker voor de agressieve marketing die er bij komt kijken, vooral voor GoToMyPC. Dit past totaal niet bij het betrouwbare en zakelijke imago wat we van Citrix hebben en verwachten. Advertenties in vakbladen zien we niet. Citrix Online adverteert wel erg veel op allerhande websites, waaronder veelvuldig op Google, maar ook op allerhande shareware- en andere software download-sites. Citrix Online straalt hierdoor geen eenduidigheid uit en mist de professionaliteit van Citrix. De agressieve Amerikaanse aanpak blijkt bijvoorbeeld uit de benadering van eindgebruikers die ooit een tijdelijke (gratis) evaluatie hebben gedaan. Minstens eenmaal per maand
10
NOP0505_p10_Analyse_Beelen.indd
10
ontvang je een e-mail met een aanbieding die je moet aansporen alsnog tot aankoop over te gaan. De mailberichten spreken je aan met “Dear Marcel”, zitten vol met uitroeptekens, hoofdletters en overtreffend woordgebruik en bevatten kreten als “BACK BY POPULAR DEMAND”, “Save Over 50%!”, “an overwhelming response:, “this amazing opportunity”, “Act now and save over 50%”, “This could be your last chance”, “2 additional PCs absolutely FREE”, “your special discount FOR LIFE!”, “We want you back”, “You must act now!”, en zo kan ik nog wel even doorgaan. Dit past toch direct in de categorie spam, naast de e-mails over Viagra, illegale cd’s, illegale software, house wife services en wat al niet meer? Op zijn minst heb je het gevoel dat je de teksten van een ‘amazing’ Telsell-uitzending zit te lezen. Citrix, dit is toch niet de manier om in ons land producten aan de man of vrouw te brengen? En waar koop je het product eigenlijk? Als je zoekt, kom je in Nederland en België op websites terecht van allerlei bedrijven die niets te maken hebben met producten van Citrix, en geen reguliere partner van Citrix zijn. Klik je op een bestel-link dan wordt je toch weer doorgestuurd naar de Amerikaanse website om daadwerkelijk een bestelling te plaatsen. Maar goed, Citrix heeft natuurlijk wat Expertcity-historie weg te werken en bovendien is het verkopen van een internetdienst met een abonnement (als Application Service Provider) heel iets
anders dan het verkopen en ondersteunen van een softwareproduct. De doelgroep van Citrix Online-producten (in het bijzonder GoToMyPC) is breder dan die van bijvoorbeeld Presentation Server, omdat zelfs de thuisgebruiker als potentiële koper wordt gezien en dus een andere aanpak vereist. Toch moet er wat gebeuren om Citrix Online een ander gezicht te geven en in Nederland (en Europa) tot een groot succes te maken. Deze agressieve aanpak past immers niet zo bij onze nuchtere mentaliteit. Diensten wil je gewoon bij een partner afnemen, met een normale bestelopdracht en tegen ontvangst van een factuur. De eerste stap is onlangs gezet en maakt het voor Benelux-partners mogelijk de diensten aan te bieden, maar het effect hiervan is nog niet direct merkbaar. Hopelijk voor Citrix gaat het allemaal lukken, want Citrix Online heeft werkelijk mooie producten. Ze zijn snel, effectief, zeer eenvoudig te gebruiken en hebben een scherpe prijs. Y
Marcel Beelen is sinds 1987 werkzaam in de ICTindustrie en sinds enkele jaren actief als freelance technisch schrijver. Hij schrijft voor diverse Nederlandse vakbladen en ICT-bedrijven, veelal over zijn specialisatie: server-based computing en access infrastructure.
6/8/05
18:31:59
Analyse
SBC afgeserveerd Wat mag nog een server heten? Als vanaf de jaren vijftig wordt er gewerkt met digitale informatieverwerking. De eerste dertig jaar was elke bewerking in feite ‘server-based’, want er bestond nog geen decentraal apparaat met enige verwerkingscapaciteit. Er was een mainframe of centrale computer, met een of meer in- en output-apparaten. Eerst waren dat ponskaarten, later pas schermen en toetsenborden. Maar wat mag vandaag de dag nog server-based heten? Maarten Hennekens
De oude mainframes van vroeger waren nog met zekerheid een server te noemen. Met de uitvinding van de terminal werd het mogelijk om ook meerdere mensen tegelijkertijd toegang te verschaffen tot de gezochte functionaliteit. Gaandeweg ontstond een groeiend aantal platformen, ontwikkeltalen en applicaties. Bedrijven kregen behoefte aan steeds meer functionaliteit, en zaken als bestuurlijke informatievoorziening werd iets dat ook door computers geleverd kon worden. Ondersteuning voor bedrijfsprocessen kon nu ook ingekocht worden, in plaats van deze zelf te hoeven ontwikkelen. Parallel hieraan ontstond in de jaren tachtig het fenomeen kantoorautomatisering: de uitvinding van de personal computer. Deze was betaalbaar voor de gewone man, en zelfs thuis te gebruiken! Wat begon met tekstverwerking, werd al snel gevolgd door spreadsheets, fileservers en later e-mail. Deze applicaties werden in eerste instantie niet als kritisch beschouwd en stonden op zichzelf. De beeldvorming van de goedkope pc en het thuisgebruik ervan droeg daar zeker aan bij. Microsoft wist een zeer dominante positie te verwerven in deze kantoorautomatiseringsmarkt. De architectuur hiervan had weinig te maken met de primaire, dure bedrijfsoplossingen die op mainframes of UNIX draaiden. Maar terminals als toegang tot de mainframe-applicaties waren op deze manier achterhaald, en werden al snel vervangen door applicaties op de pc. Nieuw te bouwen applicaties werden volgens het client-serverprincipe
NOP0505_p11_Analyse_Hennekens.indd
11
ontwikkeld, want waarom zouden we de rekenkracht op het bureau onbenut laten? Die capaciteit kon mooi gebruikt worden om de centrale computers te ontlasten. Dit principe werd toegepast in zowel zelfgebouwde als ingekochte software. Het effect van de client-server trend ken je waarschijnlijk wel. Vijftien jaar later was de chaos bijna niet te overzien. Een gemiddelde kantoor-pc had honderden applicaties geïnstalleerd, in allerlei soorten en maten. Daarnaast werd het ondersteunende serverpark zo groot en complex dat de beheerkosten exponentieel waren gestegen. De maatregelen lagen voor de hand. Terug naar het principe dat de verwerking van informatie weer volledig centraal, op servers, uitgevoerd wordt. Dat was geen eenvoudige verandering, want het grootste deel van de actieve software was immers ontwikkeld volgens het clientserver principe. Hier kwam Citrix door een gouden greep en gulden timing met een oplossing: het centraliseren van pc-functionaliteit, oftewel van het client-gedeelte van client-serverapplicaties. In korte tijd is Citrix hier groot mee geworden, want het vervulde een sterke behoefte. Maar welbeschouwd is dit SBC-principe een workaround voor de tekortkomingen van het client-servermodel, en geen oplossing op zich. Want wat gebeurt er eigenlijk in een typische SBC-omgeving? De client van een client-serverapplicatie wordt op een server gezet, en deze server bedient een aantal nieuwe clients (de Citrix terminals). Natuurlijk zijn deze veel eenvoudiger en
dus makkelijk te beheren, hoewel ze nog steeds rekenkracht nodig hebben. Hierdoor had het misschien wel een clientserver-server architectuur moeten heten, in plaats van SBC. De wereld ziet er inmiddels weer anders uit. Nieuwe applicaties, of het nu zelfbouw of pakketkeuze is, zijn tegenwoordig bij voorkeur web-based. Langzaam zullen de client-serverapplicaties uit het straatbeeld verdwijnen, hoewel dit nog jaren zal duren. Citrix is alvast bezig op andere gebieden aan de weg te timmeren. De problematiek van applicatietoegang is veel breder dan het client-serverprobleem en is nog lang niet opgelost. Maar de benaming serverbased computing, die altijd al verwarrend is geweest, heeft het bedrijf in elk geval losgelaten. De ouderwetse mainframes waren misschien wel de enige echte SBCapparaten. Want wat is tegenwoordig nog een server, in een wereld vol rekenkracht tot in de kleinste hoekjes? Y Maarten Hennekens is IT-architect en teamleider van Microsoft Infrastructuur consultants TCS bij Unisys Nederland N.V. Vanuit een achtergrond in technische natuurkunde en operationele beheeromgevingen is hij zich gaandeweg meer gaan toeleggen op advies en analyse van optimalisatie van grotere infrastructuren.
11 6/8/05
18:33:03
Analyse
Applicatie-virtualisatie De evolutie van SBC Server-based-computing werd aanvankelijk vooral tactisch ingezet bij specifieke problemen, in het bijzonder in het kader van telewerkoplossingen. Met de toen nog schaarse bandbreedte kwam men daarmee al snel tot acceptabele oplossingen. Producten van Citrix, zoals WinFrame en WinView gaven hier invulling aan. In maart 1997 kwam Microsoft met het product Windows NT 4.0 Terminal Server, dat mede door de alsmaar groeiende beheer(s)problemen van pc’s en de marketingkracht van Microsoft al snel aan populariteit won.
B
ij verschillende organisaties werden al snel alle branche offices aangesloten op SBComgevingen. In 2000 werd Windows 2000 Server op de markt gebracht, en hierin zaten de terminal services standaard geïntegreerd. Dat had technische voordelen en mede daardoor werd de acceptatie van het concept verder vergroot. Dit was tegelijk het moment waarop veel organisaties het SBC-concept organisatiebreed invoerden en daarmee strategisch kozen voor een centrale applicatie-architectuur. Die populariteit is steeds verder toegenomen door de alsmaar betrouwbaarder en goedkoper wordende verbindingen. Het kan gesteld worden dat SBC in veel gevallen een juiste oplossing is, waarbij de beheerbaarheid ‘by design’ is geoptimaliseerd. Helaas is niet alles rozengeur en maneschijn. Door het toepassen bij grotere organisaties, wilden er in het verleden nog wel eens problemen ontstaan met de schaalbaarheid. Oorzaak hiervan was in veel gevallen het grote aantal en de diversiteit aan applicaties dat door de terminal servers gehost moest worden. Onderlinge applicatieconflicten, performance-kwesties evenals incompatibiliteit van applicaties lagen hier veelal aan ten grondslag. Het gevolg was dan een instabiele omgeving, waarbij gebruikers veel hinder ondervonden van bijvoorbeeld vertragingen in de schermopbouw. Diagnoses die
NOP0505_p13_Analyse_Brakel.indd
13
moesten leiden tot de oplossing lieten in de regel vaak veel te lang op zich wachten, met als gevolg irritaties bij eindgebruikers. Bovenstaande problemen konden technisch worden voorkomen door de SBC-farm te partitioneren, zodat het aantal applicaties per partitie, ook wel server-groep of silo genoemd, beperkt bleef. Met behulp van specifieke tools van derden werd deze gepartitioneerde farm beheer(s)baar gemaakt en werd het mogelijk gemaakt een kleine honderd applicaties volgens het SBC-concept beschikbaar te stellen aan duizenden gelijktijdige gebruikers. Anno 2005 kan dit ook efficiënter, en wel met behulp van applicatie-virtualisatie. Hoe kan het ook anders, virtualiseren in ICT is hot. Het virtualiseren van servers, netwerken en storage is tegenwoordig integraal aanwezig binnen de modernere oplossingen. Een belangrijk voordeel van applicatie-virtualisatie is dat het besturingssysteem niet vervuild wordt, omdat er geen lokale wijzigingen worden doorgevoerd. Bovendien kunnen er geen conflicten ontstaan tussen applicaties onderling met als extra voordeel dat vooraf aan een installatie geen uitgebreide regressietesten uitgevoerd hoeven te worden. De installatietijd neemt hierdoor significant af. Twee fabrikanten zijn vooralsnog op het applicatie-virtualisatieconcept ingesprongen: Citrix en Softricity. Citrix
benadert het probleem met zijn nieuwste versie MetaFrame Presentation Server 4.0 meer individueel, terwijl Softricity met SoftGrid een meer generieke oplossing biedt. Presentation Server heeft de mogelijkheid om specifieke programma’s te isoleren en daarmee conflicten te voorkomen. Bij SoftGrid is het in de regel gebruikelijk het gros van de applicaties te virtualiseren, meer op een proactieve basis. Daarnaast heeft SoftGrid clients voor terminal services, pc’s en laptops. Dit impliceert dat beide producten uitermate geschikt zijn om gecombineerd te worden toegepast in een zogenaamde hybride omgeving. Applicatie-virtualisatie is niet meer weg te denken, zeker als het gaat om het beschikbaar stellen van een groot aantal verschillende soorten applicaties. In een hybride omgeving, waarbij producten van Citrix en Softricity worden toegepast, komen de voordelen het best tot hun recht. Het is immers zeer schaalbaar; robuust, stabiel en uiterst goed te beheren. Y Bart Brakel is consultant bij Profinity ICT BV. Als een van de medeoprichters heeft hij zich de laatste 5 jaar voornamelijk gericht op resultaatverplichte projecten waarbij centrale applicatiearchitecturen het fundament vormen.
13 6/8/05
18:34:21
NetOpus: Juli/augustus 2005 Thema: Server Based Computing Rubriek: Server Based Computing Titel: De toekomst van SBC Auteur: Marcel Beelen Pagina’s: 14, 15, 16 en 17
De toekomst van SBC Van SBC naar access infrastructure In dit vierde themanummer over server-based computing is het hoog tijd voor een hernieuwde introductie van de technologie. Citrix heeft de term server-based computing al een tijdje achter zich gelaten en de stap gemaakt naar ‘access infrastructure’. Daarbij hoort een hele reeks nieuwe producten, die worden toegevoegd aan een suite die eigenlijk weinig meer te maken heeft met server-based computing. Maar wat is access infrastructure precies?
E
en onderzoek van IDC toonde vorig jaar aan dat 30 procent van de ICT-managers nog nooit van een thin client of Windows-based terminal heeft gehoord. Ook het concept van server-based computing is niet altijd bekend. Daar komt bij dat menig manager die wel bekend is met serverbased computing, het zicht op marktleider Citrix een beetje kwijtraakt. Dat is een logisch gevolg van de bijna jaarlijkse aanpassingen in de namen van producten, evenals het verdwijnen van bestaande en het verschijnen van nieuwe producten, en het bundelen of juist niet bundelen ervan in een suite.
14
NOP0505_p14-17_SBC_IntroSBC.indd
14
Gebruik je deze introductie niet voor jezelf - omdat je alles al weet - laat hem dan eens door je ICT-manager, controller of ICT-directeur lezen om hem even bij te praten. We doen even een stapje terug in de tijd.
Applications at your service Normaal gesproken - misschien mogen we al zeggen: traditioneel - worden Windows-toepassingen lokaal op de werkplek geïnstalleerd. Hoe groter het bedrijf, hoe moeizamer het onderhouden van Windows en de toepassingen erop ervaren wordt. Het is dan ook niet vreemd dat er allerlei oplossingen voor
deze uitdaging zijn bedacht. De oudste oplossing wordt ‘application serving’ genoemd. Bij dit concept worden alle, of een geselecteerd deel van de benodigde Windows-toepassingen, niet meer op de werkplek geïnstalleerd, maar draaien ze volledig op centrale servers, die bovendien multi-user gedeeld worden door meerdere gebruikers. Hierbij wordt gebruik gemaakt van de processor en het geheugen van de centrale computer. Gebruikers kunnen de toepassingen op hun eigen werkplek gebruiken, terwijl het onderhoud, het beheer en de ondersteuning op afstand plaatsvindt op de server. In de begintijd werd dit concept
6/8/05
18:38:24
SBC
De toekomst van SBC
‘application serving’ genoemd, oftewel het centraal aanbieden van Windowsapplicaties. Citrix is begin jaren negentig de grondlegger van dit concept, en heeft in 1993 het op OS/2-gebaseerde product WinView herschreven voor Windows en dit in 1995 als WinFrame op de markt gebracht. Hiermee was het mogelijk om Windows-toepassingen centraal aan te bieden door een kleine toepassing te installeren op de werkplek. De kleine client-toepassing communiceert met de server met het Independent Computing Architectureprotocol (ICA) van Citrix. Het protocol is een presentatieprotocol, waarbij de grafische informatie van de toepassing vanaf de server gecomprimeerd over het netwerk verstuurd wordt naar de werkplek en daar gepresenteerd wordt op het beeldscherm. Toetsaanslagen, muisbewegingen en muisklikken worden van de werkplek over het netwerk naar de server gestuurd en daar weer geïnterpreteerd en uitgevoerd. WinFrame maakt gebruik van een aangepast Windows NT-besturingssysteem en werd dus geleverd inclusief Windows NT. WinFrame is bovendien door andere fabrikanten op OEM-basis onder ander namen verkocht. Application serving werd niet specifiek gepositioneerd als oplossing om het pc-beheer en applicatiebeheer te vereenvoudigen, maar om Windows-toepassingen te kunnen bedienen op andere besturingssystemen zoals UNIX, waarvoor een ICA-client beschikbaar is.
Thin clients Bij application serving worden weinig eisen gesteld aan de werkplek wat betreft hardware en prestaties ervan. De applicaties draaien immers compleet op de server. De werkplek, oftewel de client-toepassing, de netwerkbelasting en het beheer, is daardoor erg ‘dun’, en daarom werd rond 1995/1996 de term ‘thin/client-server computing’ ingevoerd. Hoewel het gebruikte platform van Citrix verder evolueert en meer mogelijkheden krijgt, vooral voor inzet in omvangrijkere omgevingen, is er con-
NOP0505_p14-17_SBC_IntroSBC.indd
15
ceptueel geen verschil met ‘application serving’. Doordat er alleen een minimale toepassing nodig is (de ICA-client) is een zware pc-werkplek in principe niet meer nodig. Wyse introduceert daarom de Windows-based terminal. Een Windows-based terminal is een relatief goedkoop klein kastje, voorzien van een uitgekleed besturingssysteem op een chip, met zeer weinig intern geheugen en geen harde schijf of andere bewegende delen. Het enige dat de terminal na het opstarten doet, is verbinding maken met een centrale server, gebruikmakend van het ICA-protocol. De terminal draait verder geen lokale toepassingen, is zeer snel te installeren en bij storingen te vervangen. Bovendien bevat hij geen lokale gegevens. Virusbescherming is op een Windows-based terminal niet nodig en zaken als patchmanagement en service pack upgrades zijn niet meer relevant. Nog belangrijker is dat de gebruiker van het apparaatje er niets aan kan veranderen en geen software kan installeren of verwijderen. De Windowsbased terminal heeft echter ook wel nadelen. Het selecteren van het juiste model is veel moeilijker dan het vinden van een standaard pc, want ze zijn onderling zeer verschillend, in prijs, uiterlijk, aansluitmogelijkheden, uitbreidingsmogelijkheden, grafische prestaties, pc-gevoel, het gebruikte besturingssysteem en de remote beheermogelijkheden. Hoe meer toepassingen er geïnstalleerd zijn en hoe meer randapparatuur er ondersteund moet worden, des te belangrijker wordt de beheersoftware. Verder levert iedere fabrikant meerdere modellen, die met iedere firmware-release weer andere mogelijkheden krijgen.
heeft Citrix onder meer door de genoemde reden, de term ‘server-based computing’ geïntroduceerd. Deze term verklaart bovendien het concept veel beter. Ook nu evolueert het gebruikte platform van Citrix verder, maar is er conceptueel weer geen verschil met ‘application serving’. In 1998 komt Microsoft tevens met een server-based computing product op de markt, Windows NT 4.0 Server, Terminal Server Edition, gebruikmakend van technologie van Citrix. We zien dat server-based computing meer en meer gebruikt wordt om Windows-toepassingen ook op Windows-werkplekken aan te bieden als strategische oplossing binnen het bedrijfsnetwerk. Citrix brengt een nieuwe generatie van WinFrame op de markt, genaamd MetaFrame, dat bovenop het Microsoft-product draait, in plaats van dat het ermee verweven is op source code-niveau. Citrix loopt hiermee ver voor op de mogelijkheden die Microsoft biedt, en de meeste organisaties kiezen daarom voor Citrix-technologie. Server-based computing heeft veel voordelen. Een toepassing kan door iedere medewerker gebruikt worden, f
Microsoft en SBC Thin/client-server computing lijkt qua benaming te veel op de nogal beladen client/server-toepassingen. Die laatste zijn namelijk veelal omvangrijke, complexe en moeizaam te beheren toepassingen, terwijl dit bij thin/client-server computing juist niet het geval is. In 1998
Afbeelding 1 De evolutie van de Citrix-strategie
15 6/8/05
18:38:27
NetOpus: Juli/augustus 2005 Thema: Server Based Computing Rubriek: Server Based Computing Titel: De toekomst van SBC Auteur: Marcel Beelen Pagina’s: 14, 15, 16 en 17
op iedere werkplek, ongeacht het type werkplek of besturingssysteem of het type verbinding. Hierdoor wordt de werkplek beter uitwisselbaar, locatieonafhankelijk, te gebruiken over trage verbindingen en wordt standaardisatie sterk bevorderd. Toepassingen kunnen zeer snel uitgerold of opgewaardeerd worden, en daardoor ben je sneller in staat de ontwikkelingen te volgen. Kostenbesparing, verlaging van de TCO, een hoge ROI, een goede schaalbaarheid en verbeterde beveiliging; het zijn allemaal punten die in het voordeel van server-based computing spreken.
Nadelen Natuurlijk heeft server-based computing ook nadelen. Je bespaart wellicht directe en indirecte kosten op de werkplekken, maar je moet investeren in gecentraliseerde servers, server-based computing-software en -kennis. Door de verschuiving van decentraal beheer naar centraal beheer, wordt dit onderdeel een stuk complexer. In de praktijk zien we initieel hogere kosten in vergelijking met een traditionele oplossing en de kans bestaat, zeker bij een minder goed doordachte invoering, dat er na verloop van tijd om allerlei redenen onvoorziene
Afbeelding 2 De server-based computing productenfamilie
16 NOP0505_p14-17_SBC_IntroSBC.indd
16
kosten gemaakt moeten worden. Verder is het concept nog steeds niet voor alle soorten toepassingen geschikt. De Citrix-oplossing biedt extra functies met nog meer voordelen. Zo kunnen toepassingen beschikbaar gesteld worden in farms met load balancing, waarbij volgens in te stellen criteria toepassingen op bepaalde servers gekozen worden. Het component NFuse maakt webtoegang tot Windows-toepassingen mogelijk en de component Secure Gateway maakt veilige toegang over het internet mogelijk via een SSL-verbinding. Daarnaast biedt Citrix onderdelen aan voor resource management en er is een installatietoepassing om de servers identiek te kunnen houden. Het beste bewijs voor de acceptatie van een concept, is als er nieuwe concurrentie bijkomt. Voor server-based computing is dat het geval geweest, met producten als HOBLink JWT of NewMoon Canaveral iQ (overgenomen door Tarantella, dat binnenkort in handen komt van Sun).
Virtual workplace Citrix is sinds het begin van deze eeuw op zoek naar expansie en vooral verbreding van het vakgebied server-based computing. Daar is de organisatie immers groot mee geworden en dat heeft het bedrijf tot marktleider en wereldspeler gemaakt. Citrix is op zoek naar een strategie voor een toekomst ‘beyond server-based computing’ en daarmee is voor (mogelijke) klanten een lange periode van verwarring rondom producten, versies en visie ontstaan. Citrix heeft een tijd lang de term ‘virtual workplace’ gebruikt als vervanging van ‘serverbased computing’, maar dat is niet echt aangeslagen. Het werd misschien iets te futuristisch gepresenteerd en daardoor vaak niet begrepen. Toch is de virtuele werkplek helemaal niet zo gek bedacht. Server-based computing-toepassingen laat je immers op afstand gebruiken door middel van een protocol dat dit met goede prestaties toestaat over tragere verbindingen. Om die reden is het uitermate geschikt om thuiswerken, werken
op nevenkantoren of werken onderweg mogelijk te maken. Dat is in feite de centrale werkplek, die virtueel meereist met de gebruikers en hen mobiel maakt. Het concept functioneert over een WAN-, ISDN- of UMTS-verbinding en met speciale optimalisaties kan het zelfs gebruikt worden over nog tragere modem-, GSM- en GPRS-lijnen. Bij deze virtual workplace is gebruik gemaakt van een uit de overname van Sequoia verkregen en aangepast product dat NFuse Elite is gedoopt. Klanten begrepen in eerste instantie niet wat daar de toegevoegde waarde van was in vergelijking met het gratis inbegrepen NFuse bij MetaFrame. Beide softwareoplossingen bieden immers webtoegang tot toepassingen. Is het nu wel of geen webportal? Citrix gebruikt de term portal liever niet en noemt het een access center. Het feit dat NFuse omgedoopt werd tot NFuse Classic heeft zeker niet bijgedragen tot meer helderheid, want het suggereert dat de ene het grotere broertje van de ander is. Behalve de nieuwe naam ‘virtual workplace’ voor het concept heeft Citrix ook veel nieuwe producten ontwikkeld of aangekocht. Verschillende producten zijn opgegaan in een component dat is inbegrepen bij een ander product (zoals Secure Gateway dat deel uitmaakt van MetaFrame). Het van V-ONE Corporation in licentie genomen VPN-product Extranet heeft slechts enkele jaren bestaan en VideoFrame (om bewegende beelden centraal te kunnen aanbieden) is eveneens stopgezet. De Windowstegenpool MetaFrame voor UNIX houdt wel nog steeds stand, hoewel het nog redelijk onbekend is.
Access sinds 2003 De laatste marketingstrategie sinds 2003 is een blijvertje: access en access infrastructure (zie afbeelding 1 voor de evolutie van de strategie-terminologie). Citrix gaat de bekende term ‘MetaFrame’ gebruiken om nieuwe producten te introduceren en deze samen te voegen in een suite. Het server-based computing platform heet nu MetaFrame
6/8/05
18:38:32
SBC
De toekomst van SBC
Presentation Server en het begrip ‘server-based computing’ is definitief geschiedenis. NFuse Elite wordt herboren als MetaFrame Secure Access Manager. NFuse (Classic) is hernoemd naar Web Interface en nog steeds een gratis inbegrepen component binnen MetaFrame Presentation Server. Nieuw is MetaFrame Password Manager (verkregen door de overname van Passlogix) om inloggen en veel toepassingen met wachtwoorden te versimpelen. MetaFrame Conferencing Manager biedt verder op basis van MetaFrame Presentation Server vergaderfuncties. De vier producten worden samen Access Suite 3.0 genoemd en deze is te koop voor een aanschafprijs die lager is dan de vier afzonderlijke producten, zoals dat hoort bij een suite. De overname van Expertcity leidt tot de diensten GoToMyPC, GoToMeeting en GoToAssist. Hiermee is het mogelijk om respectievelijk op afstand via een internetverbinding een pc over te nemen, te vergaderen, een beeldscherm te delen met de deelnemers, of om een beeldscherm over te nemen voor ondersteunende activiteiten. Het verkopen van deze goed werkende diensten naast een software-suite, zorgt ervoor dat er een aparte divisie Citrix Online opgezet wordt.
De kip met gouden eieren Terminal server-functionaliteit is door Microsoft standaard opgenomen in zowel Windows 2000 Server als Windows Server 2003 en hierdoor is het verzekerd van een goede toekomst. Met elke versie worden er nieuwe functies en mogelijkheden toegevoegd (die Citrix al lang biedt) en komt Microsoft dichterbij Citrix. Toch slaagt Citrix er in steeds weer een groot stuk voorop te blijven lopen. Microsoft en (vooral) Citrix blijven wijzen op de onderling goede verstandhouding en wederzijdse contracten. Begin 2005 is er opnieuw een vijfjarig contract afgesloten tussen Citrix en Microsoft, dat Citrix onder meer inzage geeft in de Windows-source code en het wederzijds in licentie ne-
NOP0505_p14-17_SBC_IntroSBC.indd
17
men van patenten mogelijk maakt. Citrix kan er de komende vijf jaar dus redelijk zeker van zijn dat Microsoft niet echt dwars zal gaan liggen met de nieuwe terminal server-functies. Bovendien verdient Microsoft goed geld aan Citrix, want voor elke werkplek of gebruiker die met Citrix Presentation Server werkt, moet tevens een Terminal Server Client Access-licentie bij Microsoft aangeschaft worden.
Access Suite, the next generation Onlangs heeft Citrix opnieuw zijn producten onder de loep genomen. Er is dit jaar besloten MetaFrame als handelsmerk stop te zetten voor alle producten. MetaFrame is al lang in gebruik voor het server-based computing-product, en door de andere producten op deze wijze met het vlaggenschip te verbinden, worden de producten vanzelf bekender of wordt er op zijn minst interesse voor gewekt. Er is echter een groot nadeel aan verbonden. MetaFrame is namelijk in veel ogen nog steeds het serverbased computing-product. Je kunt dan wel XP of Presentation Server achter de naam plakken, maar het blijft in de wandelgangen gewoon MetaFrame. Door de andere producten, die feitelijk niets met server-based computing te maken hebben, MetaFrame te noemen, wekt dit de suggestie dat dit juist wel zo is. Hopelijk voor Citrix wordt nu de relatie met server-based computing voor de producten ontkoppeld. Het zijn immers aparte producten die met toegang te maken hebben, die je ook individueel kunt aanschaffen en gebruiken zonder server-based computing. Citrix MetaFrame Presentation Server wordt nu Citrix Presentation Server 4.0 en MetaFrame Password Manager wordt Citrix Password Manager 4.0. Behalve de naamsverandering, is er ook nog wat met producten geschoven. De overname van Net6 heeft geleid tot een hardwareproduct: de Citrix Access Gateway 4.0. Als je Citrix Access Gateway koopt, krijg je licenties om deze appliance te gebruiken (de hardware dient apart te worden aangeschaft). Citrix Ac-
cess Gateway Enterprise 4.0 bevat naast licenties voor de appliance, de Citrix Access Gateway Advanced Control Option 4.0. Dit is de nieuwe naam voor MetaFrame Secure Access Manager, dat niet langer als apart product gepositioneerd en waaraan technologie is toegevoegd dat verkregen is door de overname van Motivus. Advanced Control Option biedt gedetailleerde en beveiligde toegang tot allerlei bronnen bij het bedrijf, inclusief Presentation Server, en werkt nauw samen met de appliance. De producten vallen onder de Citrix Gateways-divisie. MetaFrame Conferencing Manager 3.0 is als product opgehouden te bestaan en maakt nu (gratis) als component deel uit van Presentation Server 4.0. De jongste overname van Netscaler (www.netscaler.com) biedt Citrix later dit jaar nog meer hardware. De producten bieden onder meer applicatieversnellers voor WAN en LAN en passen in het concept om toegang tot toepassingen te optimaliseren. Citrix gaat hier de directe concurrentie met Cisco aan.
SBC anno nu Wie bang was dat server-based computing in relevantie zou afnemen, heeft het mis. De Windows-based terminal wordt tegenwoordig meestal thin client genoemd en er zijn maar liefst 50 fabrikanten (voor een compleet overzicht, zie www.server-based-computing.nl). Server-based computing is en blijft een belangrijke peiler voor veel organisaties, of ze nu werken met de pure Microsoft-oplossing of er een add-on bij gebruiken als Citrix Presentation Server, HOBLink JWT of Tarantella Secure Global Desktop Terminal Server Edition (NewMoon Canaveral iQ). Citrix Presentation Server wordt veruit het meest gebruikt en versie 4.0 laat de concurrentie ver achter zich. Dat het concept nu meer met ‘toegang’ gerelateerd wordt, is begrijpelijk. Het biedt immers toegang tot toepassingen (en de onderliggende data) vanaf elke werkplek, vanaf elke locatie, over elk type verbinding met het ICA-protocol. En dat is nooit anders geweest. Y
17 6/8/05
18:38:34
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Server-Based Computing Titel: Server-based zelfbouw Auteur: Marcel Beelen Pagina’s: 18, 19 en 21
Server-based zelfbouw Van pc naar thin client Een thin client wordt bij veel organisaties ingezet als de ultieme gecontroleerde en beheerde werkplek. Een werkplek zonder bewegende delen, die nauwelijks geluid en warmte produceert en in enkele tellen te vervangen is. Gebruikers kunnen geen software installeren en geen lokale gegevens bewaren, waardoor de kans op beveiligingsproblemen en virussen erg klein is. Fabrikanten als HP, Igel, Neoware en Wyse zijn dan ook erg succesvol in het verkopen van thin clients.
E
r zijn vele tientallen fabrikanten van thin clients en ook een grote organisatie als HP is zijn eigen thin clients gaan vervaardigen. Hoewel het aantal verkochte thin clients niet te vergelijken is met het aantal verkochte pc’s, zit de groei er al jaren behoorlijk goed in. Mocht deze ultieme werkplek in de toekomst echt een aanzienlijk aandeel van de werkplekmarkt veroveren, dan moet je daar als bedrijf natuurlijk bij zijn. Een thin client is speciale hardware, voorzien van een processor, geheugen en een besturingssysteem in flashgeheugen. Hoewel er grote verschillen kunnen zijn tussen thin clients op het gebied van snelheid en mogelijkheden (zie NetOpus SBC-special van vorig jaar op www.netopus.nl), is het besturingssysteem van de thin client niet per se relevant. Een RDP-client of Citrix ICAclient toepassing is immers het enige dat nodig is om centrale toepassingen, of zelfs een volledig centraal aangeboden bureaublad, te gebruiken.
Doe het zelf Een thin client is in feite maar een eenvoudig klein apparaatje. Je zou daarom kunnen overwegen om je eigen thin client te bouwen. Bouwen is misschien niet he-
18 NOP0505_p18-21_SBC_ServerBasedZelfbouw.indd
18
6/8/05
18:43:05
SBC
Server-based zelfbouw
lemaal het juiste woord. Je hoeft immers geen thin client te monteren en samen te stellen uit losse onderdelen en adapters, maar het omtoveren van een pc tot een thin client is zeker een optie. Er zijn twee manieren op dit aan te pakken. De eerste aanpak is om nieuwe pc’s te kopen en die te herconfigureren als thin client. Dit is een reële optie, want een geavanceerdere thin client zonder beeldscherm of toetsenbord kost in veel gevallen evenveel als een instap-pc inclusief 15” LCD-scherm, muis en toetsenbord. Het grote voordeel is dat de pc’s altijd nog te gebruiken zijn als ‘echte’ pc-werkplekken, als het idee van server-based computing toch niet mocht aanslaan. Een tweede mogelijkheid is om juist niet te investeren in nieuwe pc’s en oude afgeschreven pc’s te gebruiken als thin clients. Dat is heel goed mogelijk, omdat een thin client juist zo weinig eisen aan de hardware stelt. Haal dus je 486’s met 16 MB geheugen en Windows 95 van de zolder, installeer er een RDC- of ICA-client op en gebruik deze als thin client! Welke van de twee mogelijkheden je ook kiest; er moet wel iets meer gebeuren dan enkel de installatie van een client-toepassing.
Configureren en tunen Of je nu een nieuwe pc aanschaft en deze wilt configureren als thin client, of dat je een oud tweedehandsje een nieuw leven wenst te geven, de problematiek waar je tegenaan loopt is dezelfde. Om te beginnen moet de pc uitgekleed worden. De harde schijf eruit slopen en een flashgeheugen erin plaatsen gaat misschien te ver, maar het verwijderen van diskettestation, cd-romstation en uitschakelen van andere hardware zoals usb-poorten of Bluetooth is wel zinvol. Maar belangrijker is dat de pc softwarematig op een thin client moet gaan lijken. Dit houdt onder meer in dat naast de installatie en configuratie van een thin client-toepassing (RDC-client of ICA-client), Windows enerzijds beschermd moet worden tegen installaties van toepassingen door gebruikers. Daarnaast moet het besturingssysteem ook goed beveiligd worden tegen virussen en spyware. Methoden met
NOP0505_p18-21_SBC_ServerBasedZelfbouw.indd
19
antivirus en anti-spyware-software en diepgaande NTFS-beveiliging zijn mogelijk om programma’s en het register af te schermen op moderne Windows XP werkplekken. Door de thin client aan te sluiten binnen het domein is het zelfs mogelijk een aantal zaken met Group Policy-objecten te regelen. Op oude Windows 95-werkplekken is het allemaal een stuk moeilijker. Meestal is het noodzakelijk het besturingssysteem uit te kleden door veel onnodige programma’s en systeem-executables te verwijderen en met scripts te werken om een omgeving te maken die tot op zekere hoogte foolproof wordt. Het maakt hierbij veel uit welke inzetvariant je kiest. Kies je ervoor om het volledige bureaublad vanaf een terminal server aan te bieden en te draaien op de thin client/ pc, dan kost afschermen van de lokale pc minder inspanning. Wil je echter gepubliceerde individuele toepassingen op het lokale besturingsysteem aanbieden en misschien zelfs lokale toepassingen (zoals Windows Media Player) gebruiken, dan is het afschermen van de thin client/pc een ingewikkelde klus. Als alternatief is het natuurlijk ook mogelijk de pc te voorzien van een ander besturingssysteem, bijvoorbeeld Linux, en daarop de RDC- of ICA-client te installeren. Het afschermen is dan wellicht iets eenvoudiger, maar je zult evengoed een methode moeten bedenken om de centrale desktop of de individuele toepassingen aan te bieden aan de gebruikers van deze Linux-pc/thin client. Een laatste uitdaging is dat je een oplossing moet bedenken om de afgeschermde thin clients te beheren. Zelfs als er weinig software op geïnstalleerd is, zal er zo nu en dan toch een instelling veranderd moeten worden of een RDC- of ICAclient opgewaardeerd moeten worden. Gebruik je nieuwe goedkope Windows XP pc’s als thin client, dan is het mogelijk deze te beheren met de Enterprise Desktop-toepassing die je wellicht binnen je organisatie gebruikt. Een thin client op basis van een oude Windows 95 pc kan problematisch worden om op afstand te beheren.
Al deze uitdagingen zijn precies waar de echte thin clients hun voordelen uithalen. Het uitkleden en afschermen is dan fabrieksmatig uitgevoerd en wordt door een commercieel bedrijf ondersteund, evenals het onderhoud van het speciale besturingssysteem en enkele optionele toepassingen in het flashgeheugen.
Wrappers Als je zelf een thin client wilt bouwen, hoef je gelukkig het wiel niet helemaal opnieuw uit te vinden. Er zijn verschillende handige oplossingen te vinden op basis van software en op basis van hardware. Laten we eens een selectie maken van de beschikbare producten. Softwareoplossingen om een pc om te bouwen tot een thin client worden vaak ‘wrappers’ genoemd. Ze leggen als het ware een schil op de pc, die directe toegang tot het netwerk en de RDC/ICA-client verzorgt en daarnaast de lokale pc verbergt. Een dergelijke toepassing kan een eenvoudig Windows-programma zijn, maar ook een compleet besturingssysteem. Een simpele wrapper is genaamd ‘wrapper’ en start een gepubliceerde desktop op een MetaFrame server en stopt de pc nadat de sessies wordt afgesloten. Het in 2002 in NetOpus bekeken RES Subscriber is hier weliswaar niet voor bedoeld, maar kan eveneens ingezet worden als een simpele shell voor de gebruiker van een thin client/pc om toepassingen te starten vanuit een menu. Een eveneens gratis programma dat hiermee te vergelijken is, heet SheLaunch. Dit vervangt de standaard shell (Explorer) voor een menu waarin toepassingen onder een knop kunnen worden gehangen. Een vierde programma CTXShell is niet meer te downloaden, omdat de maker het nu commercieel verkoopt onder de naam Fat-2Thin (dat overigens nergens te vinden is). Zoek je een commerciële toepassing, dan zijn er veel te koop die uitgebreidere configuratiemogelijkheden bieden om pc’s om te bouwen tot thin clients. De Duitse fabrikant LinWare biedt hiervoor het product LinWare PC aan. Bekender is het product ThinPath PC dat door NCD is ontwikkeld en tegenwoordig door f
19 6/8/05
18:43:08
SBC
Server-based zelfbouw
Linux
Kiezen is moeilijk
Het kan ook nog anders en volgens sommigen zelfs mooier. Je kunt een uitgeklede Linux-versie op een pc zetten, voorzien van een RDC- of ICA-client en op die wijze je pc hergebruiken als thin client. Je gaat dat uiteraard niet allemaal zelf bedenken, want ook hier zijn weer verschillende kant-en-klare oplossingen voor te vinden. Qua architectuur bestaan er verschillende varianten. Er zijn oplossingen waarbij je zelfs optioneel de harde schijf kunt verwijderen uit
Er zijn veel open source en commerciële producten om thin clients te maken van pc’s. Het ombouwen van pc’s tot thin clients lijkt vooral zinvol als je al gekozen hebt voor server-based computing en thin client-technologie, maar nog niet bereid bent de bestaande pc-werkplekken financieel af te schrijven. Als tussenoplossing kun je dan pc’s als thin client inzetten, totdat de hardware is afgeschreven en er echte thin clients ingezet kunnen worden. Het aanschaffen van nieuwe pc’s om deze
NOP0505_p18-21_SBC_ServerBasedZelfbouw.indd
21
als thin client in te zetten, is alleen zinvol als je daarnaast dezelfde pc’s gebruikt als normale werkplekken en als je organisatie gebruik maakt van een Enterprise Desktop-oplossing voor het beheren van de pc’s en de thin client pc’s. De slimste keuze bij het uitkiezen van een softwareof hardware-oplosssing om een pc tot thin client te degraderen, is te kiezen voor dezelfde fabrikant waar je uiteindelijk je thin clients wilt kopen. Neoware met ThinPC, Wyse met Alcatrez en Igel met de TC-adapters zijn dan goede, voor de hand liggende en veilige keuzes voor de toekomst. De voornaamste reden is dat je dan de fysieke thin clients en de omgebouwde thin clients/pc’s op dezelfde wijze beheert. Dat is goed voor de beheerkosten en de beheereenvoud, en dat zijn vaak de voornaamste selectiecriteria. Y Gratis wrappers Wrapper: http://thethin.net/wrapper.zip RES Subscriber: www.powerfuse.nl SheLaunch: http://thethin.net/shelaunch.zip Commerciële toepassingen Linware PC: www.linware.de ThinPATH Systems ThinPATH PC: www.thinpathsystems.com Neoware ThinPC: www.neoware.com ThinTop Lite/Elite: www.thintop.com ClamIT ClamStation: www.clam-it.com Wyse Alcatrez: www.wyse.com ThinWin en ICADOS: www.icados.com Linux-gebaseerde toepassingen ThinStation open source: http://thinstation.sourceforge.net PXES open source: http://pxes.sourceforge.net ShaoLin Microsystems: www.shaolinmicro.com ThinTux: http://thintux.sourceforge.net PilotLinux: www.pilotlinux.nl TerminalService.NET: www.terminal-services.net Igel TC-kaart: www.igel.nl
Oplossingen om thin clients te maken van pc’s
de pc om een schijfloze thin client te maken die via het netwerk kan booten. Dit is het geval bij het commerciële product Aptus van ShaoLin of de open sourcetoepassingen ThinStation en PXES (de Universal Linux Thin Client). Soms is het opstarten van usb-drive of cd-rom ook mogelijk. Er zijn toepassingen bedacht die rechtsreeks kunnen draaien van cdrom of usb-drive, zoals het open source project ThinTux of het Nederlandse PilotLinux. Dit zijn handige oplossingen om tijdelijk en heel snel een thin client ter beschikking te hebben of om een pc in enkele minuten te transformeren tot thin client. Een belangrijke randvoorwaarde hierbij is wel dat de pc in staat moet zijn om op te starten van cd-rom of usb-drive en dat dit vast instelbaar is in het Met de Igel TC Card bouw je de pc om BIOS. Erg interessante tot thin client oplossingen zijn producten die hardwaregebaseerd ThinPATH Systems wordt aanzijn, zoals een IDE-insteekkaart of usb-drive voorzien geboden. Neoware’s ThinPC is gebaseerd op ditvan een kant-en-klare bootable thin client. Vooral de IDE-insteekzelfde product. Het aardige van ThinPC is dat met de beheersoftware kaart is een gedegen oplossing, omdat je hiermee de harde schijf vervangt en van Neoware zowel hardwarematige thin vervolgens opstart van de IDE-adapter. clients van Neoware als softwarematige Aan de buitenzijde van de pc zie je verthin clients met ThinPC beheerd kunnen der niets bijzonders. Thin client-fabriworden. Een alternatief wordt geboden kant Igel biedt bijvoorbeeld TC-kaarten door het Engelse bedrijf ThinTop. Wyse zoekt de oplossing in een pc-beheerpak- aan die een pc ombouwen tot een Igel thin client. TerminalService.NET heeft ket Alcatrez, dat tevens in staat is een de F.Boot-productserie om pc’s tot thin lock-down uit te voeren van pc’s om deze clients te bombarderen met usb-drives, te configureren als thin client. En zo zijn flashkaarten en een softwarevariant. er nog wel enkele te noemen.
21 6/8/05
18:43:17
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Server-Based Computing Titel: eExamen verplicht! Auteur: Marcel Beelen Pagina’s: 22, 23 en 25
eExamen verplicht! Behoud je CCA-status met modules Ben je voorheen ooit gecertificeerd voor Citrix server-based computing producten, dan wil je dit waarschijnlijk periodiek opfrissen naar de laatste versies. Sinds de komst van de access infrastructure-filosofie van Citrix ben je verplicht een eLearning-module te doen en een bijbehorend eExamen af te leggen om je certified status te behouden of voor het eerst te halen. Dit extra examen hoeft echter zeker geen drempel te vormen.
Twee certificeringen
O
m je kennis als Citrix Certified Administrator (CCA) of als Citrix Certified Enterprise Administrator (CCEA) naar de laatste stand der techniek op te waarderen, zul je een of meer examens af moeten leggen in onderwerpen die niets te maken hebben met server-based computing, maar met andere producten uit de Citrix Access Suite. Voor veel beheerders is server-based computing een passie en specialisatie, maar is de interesse voor de toegangsproducten van Citrix minder aanwezig. Desondanks wordt je toch gedwongen een cursus te volgen en examen te doen in een dergelijk product. NetOpus nam de proef op de som en deed het eExamen voor het product MetaFrame Password Manager: examen CTX1320BW Citrix MetaFrame Password Manager 2.5: Introduction
22
NOP0505_p22-25_SBC_eLearningCCA.indd
22
Sinds 1 maart 2005 heeft Citrix besloten de examens in producten te splitsen. Concreet houdt dit in dat er een examen en certificering is als Citrix Certified Administrator for MetaFrame XP Presentation Server en een certificering als Citrix Certified Administrator for MetaFrame Access Suite 3.0. De basis van CCA vormt het MetaFrame Presentation-examen. Voor Citrix Certified Administrator for MetaFrame XP Presentation Server is dat logischerwijs MetaFrame XP. Voor Citrix Certified Administrator for MetaFrame Access Suite 3.0 is dat MetaFrame Presentation Server 3.0. Het is echter allemaal een kwestie van naamgeving, want voor beide certificeringen moet je een aanvullende eLearning-opleiding volgen en er examen in doen. Je kunt voor beide CCA-varianten kiezen twee opleidingen te volgen, namelijk:
• CTX-1300BW Citrix MetaFrame Secure Access Manager 2.2: Introduction • CTX-1320BW Citrix MetaFrame Password Manager 2.5: Introduction
Stapsgewijs door de module De eLearning-modules volg je via een website van Citrix, die je uiteindelijk doorsluist naar https://citrix.learning. accenture.com. Je moet je hier aanmelden (dat is gratis) en vervolgens kun je inloggen in je eLearning-omgeving. Voor elke eLearning-module moet je betalen. Dit kan ofwel met een voucher die je bij een opleidingsinstituut gekocht of gekregen hebt, of door het bedrag voor deelname met creditcard over te boeken (afbeelding 1).
Afbeelding 1 Betaling met credit card
6/8/05
18:57:28
SBC
eExamen verplicht
Je kunt meteen een factuur uitprinten voor je administratie of om intern te declareren. Wij melden ons aan voor de eLearning-module voor Password Manager, betalen de 100 dollar en starten de eLearning-module, die in een apart venster verschijnt. De eLearning-modules zijn beschikbaar in vier talen, maar niet in het Nederlands. Je zult de module dus in het Engels moeten volgen. Door op Start te klikken begint het geheel te lopen, en na het lezen van de inleiding doorloop je zes modules. In Afbeelding 2 zie je de eLearningomgeving met de zes modules (aan de linkerzijde) weergegeven. Om deze webgebaseerde opleiding te volgen, schat Citrix dat je twee uren nodig hebt, maar je mag er net zo lang over doen als je wilt en het is mogelijk vooruit en terug te bladeren in het lesmateriaal zoveel je wilt. Je kunt ook de opleiding afsluiten door uit te loggen, en die op een later moment hervatten door opnieuw in te loggen. Onder het knopje Progress bovenaan in de eLearning-omgeving kun je exact opvragen welke modules je hebt afgesloten en hoeveel tijd je eraan gespendeerd hebt. Iedere module heeft 10 tot 20 stappen, waarvan er een aantal gereserveerd zijn voor simpele oefenvragen. Deze oefenvragen hebben dezelfde vorm als de examenvragen, en bestaan uit een meerkeuzevraag waar je een antwoord uit vier dient te selecteren. In Afbeelding 3 zie je zo een oefenvraag. In de achtereenvolgende zes modules wordt ingegaan op de volgende onderwerpen: • De eerste module is een Overview en legt uit wat het product is, voor welke problemen het inzetbaar is en wat de voordelen ervan zijn voor organisaties. Password Manager verbetert de netwerkbeveiliging, vereenvoudigt het werken met wachtwoorden voor gebruikers en vermindert het aantal calls naar de helpdesk voor het resetten van wachtwoorden. Password Manager maakt single sign-on mogelijk voor Windows,
NOP0505_p22-25_SBC_eLearningCCA.indd
23
web- en host-gebaseerde toepassingen. • In module twee wordt bekeken hoe Citrix MetaFrame Password Manager past binnen de Citrix Access Suite en worden de architecturale componenten benoemd, zoals authenticatie, versleuteling, de intelligent agent response-optie en credential synchronization tussen de locale en centrale ‘database’ met wachtwoorden. Een van de examenvragen gaat over de stappen die nodig zijn in het proces van het werken met Password Manager. De stappen zijn: 1) configureer het systeem 2) voeg login-namen en wachtwoorden toe (credentials) 3) synchroniseer de locale wachtwoordendatabase met de centrale omgeving en 4) log in. • De derde module beschrijft hoe Password Manager ingezet wordt: op locale systemen, op centrale MetaFrame Presentation Servers of op beide omgevingen. Verder wordt toegelicht dat het product tevens werkt als een gebruiker geen verbinding heeft met het netwerk en de centrale database waar de wachtwoorden bewaard worden. • Module vier gaat over de benodigde licenties. Password Manager ondersteunt ‘concurrent’ licenties voor gebruikers die verbonden zijn met het netwerk. Deze licenties worden uitgegeven aan gebruikers en teruggenomen als de gebruiker geen verbinding meer heeft met het netwerk. Named user licenties worden eveneens ondersteund, waarbij de licentie vast wordt toegekend aan een specifieke gebruiker. • In module vijf worden de opties van de agent-toepassing en de consoletoepassing besproken. Verder worden de systeemeisen beschreven:
Afbeelding 2 eLearning-opleiding met modules
de agent vereist 5 MB RAM en 10 MB diskruimte. De console heeft 20 MB RAM en 20 MB diskruimte nodig, evenals het Microsoft .NET framework versie 1.1 en Microsoft Windows Installer 2.0. Password Manager wordt ondersteund op Windows 2000 Professional en Server, Windows Server 2003, Windows XP Professional en Windows NT Workstation. • In de laatste module worden enkele functies van MetaFrame Password Manager bekeken en waar ze precies voor dienen. Een examenvraag waar we in de tekst overheen hebben gelezen is dat host-gebaseerde toepassingen niet vanuit de Agent kunnen worden geconfigureerd maar dat hiervoor het gebruik van de console verplicht is.
Examentijd Als je het gevoel hebt voldoende te weten van Password Manager, kun je het eExamen afleggen. In tegenstelling tot de eLearning-modules zelf, mag je het examen slechts eenmaal doen. Als je hiervoor zakt, zul je opnieuw 100 dollar moeten betalen. Het examen bestaat uit 20 meerkeuzevragen, waarbij bij je elke vraag een antwoord uit een lijstje van vier moet aankruisen. De meeste vragen gaan over de mogelijkheden en voordelen van het product. Bij enkele vragen wordt feitenkennis gevraagd. Aan het einde van het examen krijg je f
23 6/8/05
18:57:32
SBC
eExamen verplicht
Afbeelding 3 Meerkeuzevraag als oefening
meteen de uitslag (P=pass, F=fail) en een exact overzicht van de gebruikte tijd voor alle modules (zie afbeelding 4). De benodigde tijd voor deze eLearning-module wordt geschat op twee uur, maar als je een beetje in staat bent Engels te lezen, heb je die tijd niet eens nodig. In ons voorbeeld is te zien dat we 42 minuten aan de eLearning-modules hebben gespendeerd en 18 minuten aan het examen zelf. Met 18 van de 20 vragen goed, en een passing score van 89% is het diploma op zak. Als je wat serieuzer de teksten doorneemt, er iets meer tijd voor neemt en wat aantekeningen maakt, is het geen enkel probleem om met 100% te slagen. Vergeet niet dat je ook over het examen zo lang mag doen als je wilt, en dat je dus de antwoorden waarvan je niet zeker bent, kunt opzoeken in de productdocumentatie van MetaFrame Password Manager. Optioneel kun je na het examen nog wat vragen beantwoorden om feedback te geven over eLearning of het eExamen.
een ander product, wil zeggen dat hij waarschijnlijk geen examen heeft gedaan in de andere Citrix-producten. Het is dus verre van een ‘suite’certificering. Het feit dat de tekst MetaFrame Access Suite in de CCA-titel is opgenomen is pure marketing, want CCA staat nog steeds alleen voor MetaFrame Presentation Server. Het lijkt zelfs een beetje een verborgen manier om server-based computingspecialisten te forceren om zich minimaal te verdiepen in een van de andere producten uit de suite. Wat zou er moeten gebeuren om certificering weer een wat meer technisch en minder commercieel aanzien te geven? Om te beginnen is een CCA/CCEA in MetaFrame Presentation Server 3.0 zonder de aanvullende suiteproducten sterk aan te raden. Het geeft server-based computing-specialisten een mogelijkheid zich te certificeren, zonder zich te hoeven verdiepen in de andere producten. Misschien dat de nieuwe samenstelling die Citrix aangebracht heeft in de producten van de Access Suite 4.0 in de toekomst een ontkoppeling van ‘server-based’ en ‘access’ mogelijk maakt. Maar net zo belangrijk is dat de huidige Access Suite-certificering uitgebreid wordt met de andere producten
van de suite, zodat je terecht mag spreken van een suite-certificering. Daarbij moet het technische niveau van de opleidingen en examens een heel stuk zwaarder worden. De vraag is of een eLearning-module met een eExamen hiervoor geschikt is.
Honderd dollar armer De eLearning-module bevat alleen sheets en tekst met wat afbeeldingen. Er is geen spraak of geluid bij aanwezig, noch zit er een hands-on mogelijkheid ingebouwd. In server-based computing-land zou dit wel gemakkelijk te implementeren zijn en er bestaan al andere (niet-Citrix) eLearning-omgevingen waar dit wel het geval is. Je krijgt dan meer waar voor je geld. Verder ontbreekt in de opleiding elke vorm van diepgang en heb je een uur lang het gevoel een marketing-brochure te lezen. Als je de tijd die je aan de eLearning-modules spendeert, zou gebruiken om de producthandleiding van Password Manager door te bladeren, leer je veel meer en kost het niets. Helaas heeft Citrix besloten deze eExamens verplicht te stellen, dus je ontkomt er niet aan. Het kost je een uur, je bent een nietszeggend ‘diploma’ rijker en 100 dollar armer. Het goede nieuws van dit alles is, dat het dusdanig eenvoudig is dat het je niet hoeft te belemmeren om je CCA-status te halen of behouden. Y
Wat zegt CCA nu precies? Als je CCA bent in de MetaFrame Access Suite 3.0 of als je dit op iemands CV ziet staan, wil dat helemaal niet zeggen dat de persoon in kwestie enige ervaring heeft met de producten uit de suite. Immers is het enige examen waar daadwerkelijk kennis voor nodig is, de MetaFrame Presentation Server 3.0 (het server-based computing-onderdeel). Dat de CCA’er daarnaast een eExamen gedaan heeft in
NOP0505_p22-25_SBC_eLearningCCA.indd
25
Afbeelding 4 Score en benodigde tijd voor opleiding en examen
25 6/8/05
18:57:36
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Server-Based Computing Titel: Codenaam Colorado Auteur: Marcel Beelen Pagina’s: 26, 27, 29 en 31
Codenaam Colorado Citrix Presentation Server 4.0 Citrix Presentation Server 4.0 is eind april 2005 op de markt gebracht en heeft enorm veel uitbreidingen gekregen, veel meer zelfs dan in bijvoorbeeld feature release 3 of MetaFrame Presentation Server 3.0. Door het verdwijnen van feature release lijkt het alsof de versies elkaar steeds sneller opvolgen, maar dat is slechts schijn door de vele productnamen. Een jaar na MetaFrame Presentation Server 3.0 komt Citrix Presentation Server 4.0 op de markt. Wij bekijken de veranderingen en de naamsveranderingen.
M
et Citrix Presentation Server 4.0 is er technologisch een grote stap gezet. Citrix zal hiermee een groot aantal beheerders gelukkig maken die al een tijdje bang waren dat Citrix’ stap richting ‘access’ stilstand zou betekenen voor serverbased computing-technologie. In een eerdere NetOpus lazen we over het Swiebertje-effect waar Citrix mee worstelt. Iedereen kent Citrix nog steeds als server-based computing-marktleider en het is moelijk van dit imago af te komen. Citrix stopt nu met de al jaren gebruikte term MetaFrame. Eerder is gepoogd an-
26
NOP0505_p26-31_SBC_CPS4.indd
26
dere producten onder dit merk te positioneren, maar daarmee leek het alsof de producten direct te maken hadden met server-based computing en dat is natuurlijk niet waar. Door nu MetaFrame als term te verlaten, moet duidelijk worden dat Citrix meer doet dan alleen server-based computing. Citrix MetaFrame Presentation Server heet nu gewoon Citrix Presentation Server. Merk op dat niet alle nieuwe features in alle versies van Citrix Presentation Server zitten, want net als bij de vorige release bestaan er drie versies: een Standard-, Advanceden een Enterprise-versie. Op de website
van Citrix is een tabel te vinden met de exacte beschrijving van de onderdelen van elke versie.
Access Suite 4.0 Citrix Presentation Server 4.0 is een onderdeel van de Access Suite 4.0. Eind april heeft Citrix versie 4.0 van de Access Suite op de markt gebracht. Hierin zijn ook dit jaar weer enkele onderdelen aangepast wat betreft versienummers en samenstelling, als een gevolg van het herpositioneren van de bestaande en nieuwe producten. Degenen die net gewend waren aan de samenstelling van
6/8/05
18:54:15
SBC
Codenaam Colorado
de suite zullen het lijstje even moeten bijwerken. Zo is MetaFrame Conferencing Manager niet langer een betaald product, maar een gratis component van Citrix Presentation Server. Dat wil zeggen dat je dit onderdeel op cd-rom krijgt meegeleverd bij Presentation Server. Datzelfde geldt voor Citrix Presentation Server voor UNIX. De cd-rom met de drie UNIX-versies van het product wordt meegeleverd bij de Enterprise versie van Citrix Presentation Server 4.0. Je kunt daarmee zelf besluiten welke versies je installeert en gebruikt. De ICA-client licenties maken voor beide platformen gebruik van de Citrix Licentie Manager en zijn dus uitwisselbaar. De nieuwe versie van MetaFrame Password Manager heet nu Citrix Password Manager. MetaFrame Secure Access Manager bestaat niet meer, en is nu een optie bij de de Citrix Access Gateway geworden (zie Labreport in deze NetOpus) onder de naam Citrix Access Gateway Advanced Control Option. Als je de suite koopt, zitten daar licenties voor de Access Gatway bij, evenals de Advanced Control Option.
SmartAccess De belangrijkste toevoeging in de suite is misschien wel SmartAccess. Dit is een marketingnaam voor een verzameling functies. Onder SmartAccess verstaan we de mogelijkheid dat er allerlei kenmerken van de lokale werkplek worden herkend, die gebruikt kunnen worden
om aan de hand daarvan de toegang nauwkeuriger te regelen. SmartAccess heeft alles te maken met end-point security, waarbij het end-point (de werkplek, de thin client, de kiosk) aan allerlei voorwaarden dient te voldoen voordat toegang tot toepassingen (en dus bedrijfsinformatie) wordt verschaft. Zo kun je denken aan het verplicht aanwezig zijn van antivirus software, het verplicht aanwezig zijn van bepaalde randapparaten of onderdelen en het verplicht aanwezig zijn van bepaalde hotfixes, service packs en dergelijke. Ook is het mogelijk om toegang te laten afhangen van specifieke netwerkadressen of subnetten of zelfs het MAC-adres van de client. Maak je bijvoorbeeld verbinding vanaf je LAN, dan heb je de beschikking over alle toepassingen en alle Citrix Presentation Server-functies waaronder client drive mapping. Maak je verbinding vanaf een kiosk of vreemde werkplek bij een klant, dan is deze functie uitgeschakeld. Werk je vanaf een werkplek waar gebruik wordt gemaakt van een token of smartcard, dan heb je de beschikking over alle toepassingen. Als je alleen in kunt loggen met een loginnaam en wachtwoord, dan heb je slechts de beschikking over standaard kantoortoepassingen. Het slechte nieuws voor gebruikers van Citrix Presentation Server is dat deze geavanceerde controlemogelijkheden van werkplekken (end-points) alleen nog mogelijk is als je gebruik maakt van
Citrix Access Gateway Enterprise. In die zin is het dus geen direct bruikbare uitbreiding op Citrix Presentation Server die losstaand te gebruiken is.
Printerarchitectuur Printen in een server-based computingomgeving blijft problematisch. Dat komt voornamelijk doordat een printopdracht centraal op de terminal server wordt gegeven vanuit een daarop draaiende toepassing. De aan te sturen printer bevindt zich misschien niet op het LAN, maar op een werkplek bij een nevenkantoor dat is aangesloten met een WAN-verbinding. De lokale printer wordt automatisch bekend gemaakt in de serversessie, zodat printen mogelijk is. Echter spelen er een groot aantal mogelijke problemen. Zo moet het stuurprogramma voor de lokale printer op de server geïnstalleerd zijn, of er moet een alternatief ingesteld zijn. De processor wil wel eens tijdelijk zwaar belast worden bij het aanmaken en verwijderen van de printers bij het in- en uitloggen. Heb je veel printers, f
Oude namen
Nieuwe namen
Access Suite 3.0
Access Suite 4.0
MetaFrame Presentation Server 3.0 voor Windows Standard, met de componenten Secure Gateway, Web interface
Citrix Presentation Server 4.0 voor Windows Standard, met de componenten Secure Gateway, Web interface, Conferencing Manager
MetaFrame Presentation Server 3.0 Advanced, met de componenten Secure Gateway, Web interface
Citrix Presentation Server 4.0 Advanced, met de componenten Secure Gateway, Web interface, Conferencing Manager
MetaFrame Presentation Server 3.0 Enterprise
Citrix Presentation Server 4.0 Enterprise voor Windows en UNIX, met de componenten Secure Gateway, Web interface, Conferencing Manager
MetaFrame Conferencing Manager 3.0
Opgenomen in Citrix Presentation Server
MetaFrame Presentation Server voor UNIX 1.2
Opgenomen in/bijleverd met Citrix Presenation Server EnterPrise
MetaFrame Password Manager 2.5
Citrix Password Manager 4.0
MetaFrame Secure Access Manager 2.2
Citrix Access Gateway Advanced Control Option 4.0 (extra optie voor Citrix Access Gatway)
-
Citrix Access Gateway (appliance en licenties)
27 NOP0505_p26-31_SBC_CPS4.indd
27
6/8/05
18:54:26
SBC
Codenaam Colorado
dan raak je al snel de kluts kwijt, omdat de namen van de printers op de server automatisch aangemaakt worden en moeilijk herkenbaar zijn. Veel fabrikanten in server-based computing-land spelen in op die printproblematiek. Denk aan universele printer driver-oplossingen van UniPrint en ThinPrint of aan de mogelijkheid om printers meer dynamisch toe te kennen, afhankelijk van de fysieke lokatie van de gebruiker met RES PowerFuse. De Citrix-oplossing zoals die in MPS XP en 3.0 al aanwezig is, is verder uitontwikkeld dan hetgeen Microsoft standaard biedt aan de ondersteuning van printers in sessies. De universele printerdriver die Citrix vanaf MetaFrame XP ondersteunt, lost echter slechts een klein deel van deze problemen op. In Citrix Presentation Server 4.0 is de hele printerarchitectuur herschreven. De oude methode met de universal printer driver functioneert nog steeds en kan als fallback worden gebruikt, maar aangeraden wordt om de nieuwe stuurprogrammaloze universele printoplossing te gebruiken. Hierbij wordt gebruik gemaakt van een oplossing die andere partijen ook al gebruikten. Er wordt bij printen vanuit een toepassing niet naar de spooler afgedrukt, maar er wordt een EMF-bestand afgevangen en die wordt over een ICA virtual channel naar de werkplek gestuurd. Op de werkplek bevindt zich normaal gesproken altijd een correct stuurprogramma voor de lokale printer, zodat het EMF-bestand netjes gerenderd, geconverteerd en afgedrukt kan worden. Dit heeft een
tweetal relevante voordelen: er is minder performance op de server nodig om de printjobs te renderen omdat dit nu op de client wordt uitgevoerd, en het over te sturen printbestand is een stuk compacter doordat het wordt gecomprimeerd. Het probleem dat gebruikers de eigen printer binnen de sessie moeilijk herkennen door de vreemde en lange namen, is in Citrix Presentation Server 4.0 opgelost door de printernaam over te nemen van de werkplek, en alleen achteraan een sessie-identificatie toe te voegen. Maar er zijn nog veel meer aanpassingen gedaan die printen ten goede komen. Het meest opvallend is dat nu met Citrix policies (de Sessions Printer Policy) veel meer ingesteld kan worden, zoals de default printer afhankelijk van de locatie (Proximity Printing genoemd). Merk op dat Microsoft in Service Pack 1 voor Windows Server 2003 ook verbetering heeft doorgevoerd in het printen vanuit sessies op een terminal server (die geen MetaFrame draait). Er is een optie bijgekomen om een fallback printer in te stellen, een universele printerdriver die weliswaar zonder geavanceerde print-opties het afdrukken op lokale printers toch mogelijk maakt.
ActiveSync ActiveSync is een toepassing die niet bijzonder geschikt is voor multi-user gebruik. In Citrix Presentation Server 4.0 wordt ActiveSync ondersteund voor meerdere gebruikers tegelijkertijd via een ICA-sessie, als je gebruik maakt van een Windows-gebaseerde pda (met
PocketPC of Windows CE). Hierbij is het mogelijk een pda aan te sluiten via een seriele poort, maar ook de usb-poort is nu een mogelijkheid. Er wordt op de werkplek vanuit de nieuwste ICA 9client een virtuele seriële poort geëmuleerd, die vervolgens vanaf de server gebruikt wordt door ActiveSync. Pda’s met andere besturingssystemen of Windows-pda’s die gebruik maken van andere synchronisatiesoftware worden niet ondersteund.
TWAIN-ondersteuning TWAIN is een standaard protocol en API die de communicatie vastlegt tussen toepassingen en imaging-hardware zoals digitale camera’s en scanners. Citrix Presentation Server 4.0 ondersteunt TWAIN-apparaten die zijn aangesloten op een lokale werkplek. Voorwaarde is wel dat er een werkende TWAIN-driver op die werkplek geïnstalleerd dient te zijn. De scanner- of fototoepassing wordt geïnstalleerd op de server en communiceert met de lokale hardware, die aangesloten mag zijn op een usb-poort. Een universeel usb-stuurprogramma of totale usbondersteuning is nagenoeg niet te realiseren vanwege de grote diversiteit op het gebied van usb-standaarden en -implementaties. Om die reden wordt er, net als bij ActiveSync-ondersteuning, weer een virtuele COM-poort op de lokale client gedefinieerd om communicatie mogelijk te maken.
Application Isolation Environment De Application Isolation Environment (AIE) doet op het eerste gezicht denken aan VMware en meer nog aan Softricity. Toepassingen draaien op de server binnen een afgezonderde virtuele omgeving. In Citrix Presentation Server 4.0 biedt Citrix deze Application Isolation Environment aan, om het mogelijk te maken volledig tegenstrijdige toepassingen toch te kunnen installeren en gebruiken op een enkele server. De toepassingen zitten elkaar niet langer in de weg omdat er f
29
NOP0505_p26-31_SBC_CPS4.indd
29
6/8/05
18:54:33
SBC
Codenaam Colorado
Processorgebruik Citrix heeft een onderdeel van Aurema’s ARMTech Workload Management in licentie genomen, om hiermee het processorbeheer beter te kunnen sturen. Door deze technologie zijn Citrix Presentation Server-versies in staat meer gelijktijdige gebruikers te ondersteunen, doordat het op hol raken van toepassingen die vervolgens 100% van de cpu gebruiken niet meer mogelijk is. De CPU Utilization Management-technologie van Citrix zorgt ervoor dat virtuele processors worden gecreëerd; een voor elke ingelogde en actieve gebruiker. Toepassingen van een gebruiker zijn dan nooit in staat de processor voor 100% te belasten omdat de beschikbare processorcapaciteit netjes wordt verdeeld over de gebruikers.
Geheugen Van RTO Software is het virtuele geheugenbeheer dat met RTO’s TScale wordt geboden in licentie genomen door Citrix en opgenomen in Citrix Presentation Server 4.0. Citrix Presentation Server 4.0 gaat nu door het onderdeel Virtual Memory Optimization - zoals dit is genoemd - een stuk slimmer om met het geheugengebruik van de vele toepassin-
NOP0505_p26-31_SBC_CPS4.indd
31
gen die op een gemiddelde terminal server draaien. Het gebruik van het virtuele geheugen kan worden geoptimaliseerd door het laden van dll’s handiger aan te pakken. In de management console is het mogelijk dll-optimalisatie in- en uit te schakelen of automatisch te laten lopen op vaste tijdstippen.
is de logintijd, die met elke versie van Presentation Server langer leek te worden, geoptimaliseerd en versneld. Datzelfde geldt voor het bladeren op lokale schijven vanuit de serversessie. Door caching, read-ahead en asynchroon schrijven functioneert dit nu een stuk soepeler over tragere (WAN) verbindingen.
Virtuele IP-adressen
Petje af
Maar Citrix Presentation Server 4.0 maakt nog meer virtueel. Naast een virtuele Windows-omgeving in de Application Isolation Environment, virtuele processors in CPU Utilization Management en virtuele COM-poorten bij de ondersteuning van TWAIN en ActiveSync, hebben we nu ook nog virtuele IP-addressen. Op terminal servers, met en zonder Citrix Presentation Server, gebruiken toepassingen voorheen altijd het IPadres van de server waar de toepassing op draait. Elke lopende toepassing op de betreffende server bij elke gebruiker ziet dan hetzelfde IP-adres. Draait dezelfde toepassing op een Windows-pc, dan wordt het IP-adres van de werkplek gebruikt, wat per definitie uniek is in een netwerk. Er zijn toepassingen die unieke IP-adressen vereisen, en dit hoeven niet noodzakelijkerwijze oudere toepassingen te zijn. Ook moderne Voice-over-IP toepassingen en andere toepassingen die een virtuele interne loopback adapter gebruiken, hebben een uniek IPadres nodig. In de Advanced en Enterprise versies van Citrix Presentation Server 4.0 is het mogelijk op een toepassing te publiceren en daarbij aan te geven dat er een uniek IP-adres gebruikt dient te worden. In de management console kun je een bereik van IP-adressen opgeven dat hiervoor gebruikt mag worden (vergelijkbaar met een DHCP-server, maar dan voor toepassingen).
De nieuwe versie van Citrix Presentation Server heeft indrukwekkende vernieuwingen ondergaan. Citrix brengt hiermee een belangrijk statement, namelijk dat server-based computing en MetaFrame weliswaar als termen niet meer in het Citrix-vocabulair voorkomen, maar dat het concept en de technologie belangrijker is dan ooit. Citrix Presentation Server 4.0 is daarvoor het levende bewijs. Y
Andere verbeteringen De genoemde uitbreidingen vormen de technologie die van Citrix Presentation Server 4.0 met recht een major upgrade maken. Er zijn daarnaast nog een groot aantal minder opzienbarende, maar toch handige verbeteringen doorgevoerd. Zo
• “Safe for scripting”-aanpassingen in de Web Client • Application Isolation Environment (AIE) • Client session-ondersteuning voor Windows toetsenbord shortcuts • CPU utilization management • Verbeterde bestandstoegang en directory browsing op het client-apparaat • Verbeterde smartcard PIN-behandeling • Verbeterde smartcardondersteuning • Licensing-verbeteringen • Logon-prestatieverbeteringen • Meertalige user interface voor de Web Interface • Ondersteuning meerdere monitoren • Verbeteringen printeraansturing • Verbeteringen printerprestaties • Quick Launch Bar voor de Program Neighborhood • Redirection-ondersteuning voor TWAIN devices • Versimpelde customisation-interface van de Web Interface • Smartcard roaming • Ondersteuning voor HP ProtectTools • Ondersteuning voor operating system file locking rules • Ondersteuning voor RSA SecurID en Safeword op UNIX • Ondersteuning voor de Common Access Card • Usb-synchronisatie voor pda’s • Virtueel IP-addres en ondersteuning virtual loopback address • Virtuele geheugenoptimalisatie
Nieuw in Citrix Presentation Server 4.0
een geïsoleerde Windows-omgeving wordt gebouwd met voor die toepassen (of toepassingen) een eigen Windows-omgeving met een mapstructuur voor executables en DLL’s in een virtuele schijf en een eigen kopie van het register. Application Isolation Environment is een aparte keuze in de management console, werkt met een handige wizard en kun je alleen toepassen op gepubliceerde toepassingen. Ook al zou je niet specifiek tegenstrijdige toepassingen of toepassingen die ongeschikt zijn voor multi-user gebruik hebben, dan nog heeft AEI het voordeel dat het beheer van toepassingen hierdoor kan versimpelen. Je hoeft voor het opwaarderen van toepassingen die in een geïsoleerde omgeving draaien geen rekening meer te houden met andere toepassingen, die er wellicht bestanden mee delen.
31 6/8/05
18:54:36
NetOpus: Juli/augustus 2005 Thema: Server Based Computing Rubriek: Focus Titel: Access strategy Auteur: Marcel Beelen Pagina’s: 32, 33 en 35
Access strategy Meer dan een marketingterm
Bedrijven worden steeds groter en de behoefte om van afstand toegang tot hebben tot het bedrijfsnetwerk en de centrale applicaties vanuit bijvoorbeeld nieuwe partnerlocaties is daardoor groot. Daarnaast eisen consolidatieprojecten, nieuwe wetgeving en belangrijke business-to-business diensten steeds meer van het netwerk. Het is dan ook belangrijk vooraf goed na te denken over wie je nu en in de toekomst allemaal toe wilt laten tot het netwerk en hoe je dat veilig en gebruiksvriendelijk doet.
C
itrix promoot sinds enkele jaren ‘access intrastructure’ en wijst organisaties erop dat ze een accessstrategie moeten definiëren. De reeks Citrix-producten is in een bundel te koop en wordt deze wordt de Access Suite genoemd. Citrix wijst erop dat het bedrijf marktleider is op het gebied van access infrastructure (‘global leader in access infrastructure solutions’) en dat dit een belangrijke groeimarkt is de komende jaren. Dit marktleiderschap is natuurlijk logisch als je de term zelf bedenkt. Het grootste deel van dit leiderschap zit in Citrix Presentation Server, waarmee toepassingen (en dus ook bedrijfsgegevens) op afstand toegankelijk worden gemaakt. Maar is Citrix wel echt marktleider? Het ligt er maar net aan welke ICT-onderwerpen je tot ‘access infrastructure’ rekent. Het boek ‘Van server-based computing naar access infrastructure’ (zie www.server-basedcomputing.nl) beschrijft de componenten van een access infrastructure. Tot de toegangsinfrastructuur rekenen we de volgende componenten: • Client-software die nodig is om toepassingen binnen het bedrijf te kunnen benaderen, bijvoorbeeld een
32
NOP0505_p32-35_Focus_AccessStrategy.indd
32
browser en terminal-emulaties voor mainframes en mini’s en X-servers voor Windows. • Middleware en hulptoepassingen of diensten die nodig zijn om toepassingen te kunnen bedienen buiten de fysieke locatie van het bedrijf op willekeurige apparaten, zoals server-based computing-oplossingen, remote control-oplossingen voor werkplekken en blade-pc-oplossingen. • Soft- en hardware die nodig is om de toegang op veilige wijze tot stand te brengen en te gebruiken, bijvoorbeeld firewalls, VPN-oplossingen, intrusion detection- en intrusion prevention-systemen, antivirus-software, anti-spyware en end-point security-oplossingen. • Toepassingen die nodig zijn om gezamenlijk toegang te verschaffen tot bedrijfsinformatie en om samen te werken met die informatie, bijvoorbeeld e-mail, forums, weblogs, conferencing- en instant messagingoplossingen, groupware, document management-systemen en enterprise portals.
• Toepassingen die nodig zijn om identiteiten en gegevens van die identiteiten te onderhouden, bijvoorbeeld een directory service, single sign-on oplossingen en producten voor authenticatie, zoals smartcards. Als je dit lijstje bekijkt dan is duidelijk dat er veel spelers in de ‘access infrastructure’-markt zitten. Grote organisaties als HP, Microsoft of Cisco houden zich immers ook op grote schaal met ‘toegang’ bezig. Maar los van wie nu baas boven baas is, Citrix heeft een belangrijk statement: een strategische keuze voor een toegangsstrategie is zeer relevant en kan een hoop ellende besparen.
Tactisch versus strategisch De noodzaak voor toegang op afstand ontstaat vaak door incidentele uitdagingen. Een medewerker wordt bijvoorbeeld langdurig ziek en moet langere tijd thuis kunnen werken met zijn bestanden. Als oplossing wordt er een inbelserver geplaatst en de medewerker kan daarmee over ISDN inbellen. Later blijkt misschien dat er een kleine afdeling buiten kantooruren moet kunnen werken met een belangrijke toepassing en moet er een terminal server toege-
6/8/05
19:01:09
Focus
Access strategy
weet dan in ieder geval wel dat de keuzes passen in een groter toegangskader. We stellen een eenvoudige access strategie samen aan de hand van zes stappen: Stap 1 Bepaal de gebruikerscategorieën Als je weet welke groepen gebruikers er zijn en welke behoefte deze medewerkers hebben, ben je al een goed eind op weg. Breng deze gebruikersprofielen in kaart in een spreadsheet. Zo is er de zogenaamde ‘taakwerker’ die altijd in het kantoorpand met een thin client een ‘published desktop’ gebruikt op een Citrix Presentation Server-farm. Aan de andere kant van het spectrum vind je de zogenaamde ‘road warrior’. Dit is de consultant die altijd onderweg is, met lokaal geïnstalleerde applicaties op de laptop werkt en wellicht met een UMTSkaart enkele bedrijfskritische toepassingen centraal gebruikt. In tabel 1 zie je een voorbeeld van deze inventarisatie. Stap 2 Bepaal de systeemcategorieën Om de verschillende generaties desktops en notebooks te voorzien van een standaard besturingssysteem, zijn tientallen images noodzakelijk. Ieder kwartaal is er een nieuw type
systeem en komen er weer images bij. Hoe kun je dit probleem oplossen? Standaardisatie en afspraken maken met de leverancier over leveringen vormen slechts een deeloplossing van de puzzel. De andere oplossing zit in het gebruik van Citrix Presentation Server. Breng de systeemcategorieën in kaart en kijk of deze te combineren zijn tot maximaal zes varianten. Hoe doe je dit dan in de praktijk? Publiceer zoveel mogelijk applicaties op de Citrix serverfarm, waardoor je maximaal rendement haalt uit de gemaakte investeringen. De mogelijkheden voor de inzet van thin clients wordt groter en maakt wellicht de inzet van desktop-pc’s op veel plekken overbodig. Hiermee kun je een aantal categorieën wegstrepen. Stap 3 Analyseer de netwerkconnectiviteit De volgende stap omvat de netwerkverbindingen. De keuze voor siteto-site oplossingen voor partners en nieuwe kantoren is beperkt. Je gebruikt een IPSec VPN over het internet of als het echt niet anders kan een vaste huurlijn of ethernet VPN-oplossing. Voor de road warrior die altijd mobiel is en altijd online wil zijn, is een generieke access-oplossing zoals iPASS geschikt. Na het verkrijgen van internettoegang kan hij met een SSLVPN oplossing zijn e-mail lezen of een back-up van zijn bedrijfsgegevens f
Gebruikerscategorie
Locatie
Client-device
Connectivity
Netwerk security
Host security
Behoeften
Taakwerker
Kantoor
Thin client
100 Mbps LAN
Geen of mogelijk 802.1X protocol
Antivirus op Citrix farm
Werkt alleen op kantoor
Power-user
Kantoor
Desktop
100 Mbps LAN
Geen of mogelijk 802.1X protocol
Antivirus
Thuis
Prive PC
Breedband internetverbinding
Geen
Personal firewall, antivirus
Zware applicaties op desktop; wil deze ook thuis gebruiken
Kantoor
Laptop
Wireless verbinding 802.1g
802.1X
Antivirus
Thuis
Laptop
Breedband internetverbinding
IPSec VPN of SSL-VPN
Antivirus, personal firewall
Kantoor
Desktop
100 Mbps LAN
Geen of mogelijk 802.1X protocol
Antivirus
Werkt alleen op kantoor, heeft enkele applicaties lokaal geinstalleerd Werkt op laptop; werkt ‘s avonds thuis op laptop; laptop hard-disk is encryped
Roaming user
Standaard user CxO
Thuiswerker
Consultant
Road warrior
Kantoor
Laptop
100 Mbps LAN
802.1X
Antivirus
Thuis
Laptop
Breedband internetverbinding
IPSec VPN of SSL-VPN
Antivirus, personal firewall, encrypted hard disk
Thuis
Desktop
Breedband internetverbinding
IPSec VPN of SSL-VPN
Antivirus, personal firewall
Kantoor
Thin client
100 Mbps LAN
Geen of mogelijk 802.1X protocol
Antivirus op Citrix farm
Klant
Laptop
100 Mbps klant-netwerk met internetverbinding
SSL-VPN over proxy server klant
Antivirus
Kantoor
Laptop
100 Mbps LAN of wireless verbinding 802.1g
Geen of mogelijk 802.1X protocol
Antivirus
Thuis
Laptop
Breedband internetverbinding
IPSec VPN of SSL-VPN
Antivirus, personal firewall, encrypted hard disk
Onbekend
Laptop
Wireless op hotspot, LAN op klant-locatie, dial-up, iPass
Geen, 802.1X, (SSL)-VPN
Afhankelijk van locatie
Thuis
Laptop
Breedband internetverbinding
IPSec VPN of SSL-VPN
Antivirus, personal firewall, encrypted hard disk
Werkt op laptop en neemt deze mee van gebouw naar gebouw; werkt soms thuis op laptop
Access-oplossing
GoToMyPC
SSL-VPN + Citrix
SSL-VPN + Citrix
Werkt 4 dagen in de week thuis en gebruikt flex-plek met thin client op kantoor
SSL-VPN + Citrix
Werkt bij klant op eigen laptop; leest e-mail via OWA of SSL-VPN klant-proxy en wil data synchroniseren met server in data center
SSL-VPN + Citrix of OWA
Werkt overal en wil altijd online zijn met een zo snel mogelijke verbinding; wil data synchroniseren met server in data center
iPASS, SSL-VPN + Citrix of OWA
SSL-VPN met Citrix
SSL-VPN + Citrix
Gebruikerscategorieën
voegd worden. Ook kan het gebeuren dat er een nevenkantoor bijkomt, dat de toepassing op de terminal server eveneens moet gebruiken. Om opschalingsproblemen aan te pakken wordt Citrix Presentation Server toegevoegd. Maar hoe zorg je ervoor dat er geen vreemden inloggen? Er kan dan bijvoorbeeld een smartcardoplossing toegevoegd worden voor de remote kantoren. En zo kunnen we nog wel even doorgaan. We noemen dit de tactische aanpak voor het opzetten van een toegangs- en beveiligingsinfrastructuur. Gestuurd door incidenten en keuzes gemaakt op ad-hoc basis. Tactische oplossingen zijn vaak ‘quick en dirty’ of ontstaan als er te weinig geld vrijgemaakt wordt voor een echte structurele oplossing. Veel bedrijven hebben in de afgelopen jaren geïnvesteerd in een access infrastructuur, maar blijven geconfronteerd met nieuwe ontwikkelingen en nieuwe gebruikersvragen. De technologische ontwikkelingen gaan snel en goede timing vereist visie. Het inventariseren van de omgeving en het in kaart brengen van de behoeften is van groot belang voor het slagen van de access strategie. Met een stuk tekst op papier ben je er nog niet. Na de ontwikkeling volgt de implementatie van de strategie. Een strategische aanpak is noodzakelijk om de juiste oplossing op het juiste moment te kunnen bieden. Dat neemt niet weg dat je nog steeds gedeeltelijk kunt beginnen, daar waar de situatie het meest knelt, maar je
33 NOP0505_p32-35_Focus_AccessStrategy.indd
33
6/8/05
19:01:14
Focus
Access strategy
maken. Ook de thuiswerker heeft dezelfde voorzieningen nodig. De thuiswerker wil daarnaast nog verschillende (of alle) bedrijfsapplicaties gebruiken. De traditionele methode is om client-software te installeren op de thuis-pc. Dit is vaak problematisch omdat die pc niet gestandaardiseerd is en de pc ook nog eens een familietaak heeft (bijvoorbeeld het spelen van spelletjes). Door ‘application presentation’ is het lokaal installeren van toepassingen overbodig geworden. Inventariseer alle categorieën netwerkverbindingen die er zijn, van het snelle 100 Mbps LAN tot tragere 64 Kbps dial-up-lijnen. Combineer verder de informatie van systeemprofielen met de informatie over de connectivity van de eindgebruikers. Als alle verzamelde informatie uitgewerkt is in een matrix, kunnen de access-oplossingen worden bepaald (zie het voorbeeld in afbeelding 1). Stap 4 Kies beveiligingsoplossingen Maar hoe weet je nu of een remote systeem veilig is? Werkplekken van thuiswerkers of de laptop van een road warrior wordt voortdurend blootgesteld aan virussen, trojans, spyware en andere malware. Een goede endpoint security-oplossing om de beveiliging op het client-systeem te controleren is noodzakelijk. Meer informatie over deze oplossingen is elders in deze NetOpus te vinden. Naast de end-point security zul je ook nog een toegangsscenario moeten ontwikkelen en inrichten, zoals een SSL VPN soft- of hardwareoplossing, die toegang over publieke verbindingen versleuteld en een authenticatie-oplossing moeten selecteren. Hier kun je bijvoorbeeld denken aan smartcards of tokens. Het is de combinatie van end-point security en de toegangs- en authenticatieoplossing, die zorg draagt voor zowel de totale beveiliging op afstand als het gebruikersgemak ervan. Zorg ervoor dat toegang voor gebruikers helder en eenduidig is, in elk toegangssce-
NOP0505_p32-35_Focus_AccessStrategy.indd
35
nario waar ze zich in kunnen bevinden. Het werken met verschillende client-toepassingen, wachtwoorden en authenticatiemethodes is namelijk erg onhandig. Stap 5 Inrichten application presentation Natuurlijk is het nog steeds mogelijk om toepassingen lokaal op werkplekken te installeren (op nevenkantoren, in thuissituaties en op notebooks). Dit is om allerlei redenen niet wenselijk. Vooral op werkplekken die je eigen organisatie niet beheert, of waar minder controle op is, is application presentation met producten van Citrix, HOBLink of Tarantella (of SUN als de geplande overname achter de rug is) een veel slimmere aanpak. De reden is dat applicaties worden gepubliceerd naar gebruikers vanaf centrale servers in je datacenter. Lokaal hoeft niets te gebeuren en bovendien wordt voorkomen dat gegevens zich op de lokale werkplek bevinden en bewust of onbewust kunnen uitlekken. Citrix Access Gateway met de Advanced Control Option biedt uitgebreide mogelijkheden om voor toepassingen die met Citrix Presentation Server gepubliceerd worden, op detailniveau te beveiligen. Dit komt doordat er end-point security-functies in alle componenten van deze oplossing zijn ingebouwd. In je access strategieplan leg je vast welke toepassingen er gepubliceerd worden en eventueel welke lokaal op remote pc’s geïnstalleerd worden. Stap 6 Zorg voor desktop access Waarom is toegang tot de desktop toch nog belangrijk? Niet alle applicaties zijn geschikt voor het draaien op een terminal server. Denk aan de power user, bijvoorbeeld de programmeur die software wil compileren. Compileren is CPU- en schijfintensief en stelt hoge eisen aan het systeem. Door toegang te bieden tot de persoonlijke desktop met al zijn applicaties, zijn complexe en zware
toepassingen eveneens te gebruiken. Dit is efficiënt, bespaart je licentiekosten en je hoeft minder notebooks in te richten en te beheren. Ook voor informatie-security zijn de voordelen overduidelijk. Alle gevoelige bedrijfsinformatie blijft binnen het bedrijfsnetwerk. Er zijn veel remote control-oplossingen voor werkplekken, bijvoorbeeld van Citrix Online (GoToMyPC), maar als alternatief zou je ook persoonlijke pc’s kunnen centraliseren door gebruik te maken van blade-pc oplossingen en deze op afstand beschikbaar te stellen.
Afbeelding 1 Matrix met Access-oplossingen
Access infrastructure in place Je weet nu welk type gebruiker, met welk systeem over welke verbindingen toegang wil hebben. Je hebt een toegangsmethode bedacht die voorziet in een waterdichte authenticatie en je hebt besluiten genomen over hoe je de end-points wilt controleren en beveiligen. Tot slot weet je welke toepassingen je op terminal servers of lokale pc’s op afstand wilt aanbieden aan de gebruikers. Bij het opstellen van een access strategy voor je organisatie, zul je al deze (en meer) punten willen meenemen. Begin op kleine schaal met het invoeren van toegang op afstand. Dat is nu geen probleem meer, omdat het in het groter kader past van hetgeen je hebt geschapen, namelijk je ‘access infrastructure’. Je hebt nu de eerste stap van tactische oplossingen naar strategische oplossingen gemaakt. Y
35 6/8/05
19:01:16
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Focus Titel: UNIX en X-Windows Auteur: Marcel Beelen Pagina’s: 36 en 37
UNIX op de pc met X-Windows Het server-based alternatief Op je Windows-pc bedien je lokale en centrale toepassingen die met het RDP-protocol of ICA-protocol vanaf terminal servers worden aangeboden. Maar wat doe je om UNIX- en mainframe-toepassingen op afstand te draaien? Een geëigende methode om dit mogelijk te maken is door X-Windows te gebruiken.
H
Collaboration met HP Remote Graphics Software
et X-Window-systeem is een van de meest succesvolle open source-technologieën en is het standaard window-systeem voor UNIX- en Linuxsystemen. Het X-Window-systeem is onafhankelijk van het besturingssysteem, het netwerk en de hardware. Er zijn ongeveer 30 miljoen gebruikers Een bijzondere manier om UNIX-toepassingen op afstand aan te bieden is het HP Remote Graphics Softwareconcept. Hiermee is het mogelijk om 2D en 3D grafische toepassingen tussen meerdere personen te delen, voor bijvoorbeeld co-development binnen de engineeringafdeling of voor begeleiding tijdens trainingen. Net als in een X-Window methode is er sprake van een verzender en een ontvanger. De grafische kaart van het verzendende systeem wordt gebruikt om het beeld op te bouwen. Hierdoor wordt naast de software op het hostsysteem ook de dure grafische kaart hergebruikt. Het is met de software mogelijk een 3D beeld te ontvangen op een systeem met een 2D grafische kaart. Voor remote samenwerken over een breedbandverbinding is de HP Remote Graphics Software goed te gebruiken door de HP2 codec voor compressie en decompressie van grafische informatie op server en client. HP is erg trots op het feit dat zijn software gebruikt wordt in de DreamWorks studio in Hollywood voor films als Shrek 2 en Shark Tale.
36 NOP0505_p36-37_Focus_X-servers.indd
36
van X-Windows (zie voor meer informatie www.x.org). Een X-Window-server is een programma waarmee een grafische X-terminal op de pc mogelijk wordt. Met de X-server kunnen meerdere X-Window client-toepassingen (X-clients), die bijvoorbeeld op verschillende UNIX-servers draaien, gepresenteerd worden op werkplekken. De X-client draait op de host computer. Dit is in de meeste gevallen een UNIX-server of een mainframe/mini, waarop het X-protocol over het TCP/IPnetwerk wordt ondersteund. Het tonen van een X-client applicatie kan in aparte X-client schermen, met meerdere clientschermen in een X-server scherm of in ‘volledige schermweergave’. Een simpele manier om UNIX-toepassingen te bedienen op pc's is de X-server-toepassing voor Windows. Het concept lijkt veel op server-based computing en thin clienttechnologie. Toch stelt X-Windows wat meer eisen aan de werkplek en kost het meer bandbreedte dan de Windowstegenpool. Er zijn dan ook ontwikkelingen om het dikke X-Windows af te laten vallen zoals Thin-X.
Door dik en dun Mobiele gebruikers hebben beperkte bandbreedte beschikbaar, waardoor het met traditionele X-Window-techniek niet mogelijk is om op een werkbare ma-
nier een applicatie te presenteren. Een verbetering in X11 Release 6.3 is Low Bandwidth X (LBX). Deze optimalisatie van netwerkverkeer maakt het gebruik van X-client applicaties mogelijk over verbindingen met beperkte bandbreedte. Andere uitbreidingen aan het X-protocol dragen de codenaam Broadway. Hiermee kan een gebruiker X-client applicaties op het intranet of internet opstarten over het HTTP-protocol. Broadway vormt de basis voor dit protocol, maar het Thin-X protocol kan geen gebruik maken van HTTP(S) proxy servers. Thin-X technologie wordt bijvoorbeeld in Hummingbird Exceed onDemand v5 toegepast. Hierdoor kunnen X-client applicaties met web portaltechnologie vanuit het datacenter aangeboden worden aan mobiele gebruikers. Security is met protocollen als SSL, SSH en RSA-technologie (op UNIX/Linux) ingebouwd in het on-demand concept. Twee TCP/IP-poorten in de firewall(s) tussen client en server moeten geopend worden. Een poort voor de communicatie met de onDemand server en een tweede poort naar de X-applicatie server. De onDemand client wordt via het web uitgerold, waardoor systeembeheer aan de remote client voorkomen wordt. Belangrijk voor mobiel gebruik is de mogelijkheid om een Thin-X-sessie in suspend te plaatsen. Hierdoor blijft een sessie actief
6/8/05
19:03:12
Focus
UNIX en X-Windows
PC X-Server producten
Website
Product website
Exceed
Versie 10
www.hummingbird.com
http://connectivity.hummingbird.com/products/nc/exceed/index.html
Starnet X-Win32
6.1
www.starnet.com
http://www.starnet.com/products
HOBLink X11 for Windows
5.1
www.hobsoft.com
http://www.hobsoft.com/www_us/produkte/connect/x11.htm
Xvision Eclipse
7.31
www.tarantella.com
http://www.tarantella.com/products/vision/family
Attachmate KEA! X
6
www.attachmate.com
http://www.attachmate.com/en-US/Products/KEA/KEA+X/KEA+X+Overview.htm
WRQ Reflection X
12
www.wrq.com/
http://www.wrq.com/products/reflection/pc_x_server
LabF WinaXe
7
NetManage ViewNow X Server XLitePro X-Deep/32 - PC X Server for Windows
labf.com
http://labf.com/winaxe/index.html
9.4.2
www.netmanage.com
http://www.netmanage.com/products/viewnow/index.asp
1.4
www.labtam-inc.com
http://www.labtam-inc.com/index.php?act=products&pid=14
www.pexus.com
http://www.pexus.com/Product_Information/product_information.html
4.6.5
als de verbinding wegvalt en kan teruggenomen worden als de netwerkverbinding weer terug is. Wat dat betreft lijkt deze Hummingbird suspend-optie in het Thin-X protocol erg veel op ‘session reliability’ dat Citrix heeft geïmplementeerd in het nieuwe Citrix ICA-protocol van Citrix Presentation Server 4.0.
En de winnaar is... Er is een uitgebreide keuze van X-servers voor Windows, zoals NetManage ViewNow X Server, SCO Xvision Eclipse, Attachmate KEA! X, X-LitePro en LabF WinaXe. Wil je je onderscheiden als fabrikant, dan probeer je er met speciale features uit te springen. Zo heeft WRQ Reflection X v12 de meeste functies en loopt voor op de concurrenten met een IPV6 en 64-bits implementatie en bredere ondersteuning van encryptieprotocollen als DES en AES. HOBLink X11 van HOBSoft kan in het HOB Enterprise Access systeem geïntegreerd worden, waarmee een server met daarop Microsoft Terminal Services benaderd kan worden. Starnet X-Win32 biedt veel toegevoegde waarde en heeft de tweede plaats in de markt. Het bedrijf claimt tot 50 procent goedkoper te zijn dan de concurrenten in de markt. Ze hebben in het X-Win32 product geen NFS- en FTP-client, maar bieden wel standaard SSH en 3D-features. Tot de licentiemogelijkheden behoort een floating licentie-mechanisme, waarmee licenties per seat niet nodig zijn en extra budget bespaard kan blijven. Hummingbird heeft met vlaggenschip Exceed het grootste deel van de pc X-servermarkt in
NOP0505_p36-37_Focus_X-servers.indd
37
handen. Volgens Hummingbird zelf is het aandeel dat Exceed heeft meer dan 70 procent. In de Exceed Powersuite v10 zijn de producten Exceed v10, NFS Maestro Solo en HostExplorer gecombineerd. Hiermee kan de gebruiker toegang krijgen tot X-Window applicaties, legacy-applicaties via TN/VT-emulatie en NFS-servers. Alsof de keuze in X-servers voor commerciële Windows nog niet groot genoeg is, kun je daarnaast ook een freeware of open source-oplossing gebruiken. Want waarom zou je betalen als het ook gratis kan? Het X-protocol is van oorsprong ontwikkeld als open source-project en daardoor zijn er kostenloze X-servers en gerelateerde toepassingen beschikbaar voor Windows-werkplekken. Erg populair is bijvoorbeeld het gratis X-deep/32 voor Windows. Het programma is te downloaden op www.pexus.com.
X-server op de werkplek Een nadeel van X-Windows is dat er op de Windows-pc een X-server-toepassing geïnstalleerd en onderhouden moet worden, maar ook op pc's thuis of op andere locaties. Er zijn gelukkig oplossingen die dit voorkomen. Door een X-server te installeren op een Citrix Presentation Server worden de mogelijkheden voor het gebruik van UNIX en Mainframe X-clients bijna onbeperkt. Het Citrix ICA-protocol zorgt voor beperkte netwerkbelasting en hiermee zijn X-client applicaties te gebruiken over bijvoorbeeld onbetrouwbare of trage netwerken. Je houdt het dikkere X-Windows protocol binnen je bedrijfsnet-
werk en naar buiten communiceer je met het ICA-protocol. Het enige dat je merkt, is enige vertraging in de schermopbouw, doordat de X-Window schermmanager in het Citrix ICA-venster gebruikt wordt. Het vergt wat geknutsel om de X-server op een terminal server te koppelen met een sessie, omdat X-Windows hiervoor normaal gesproken de hostnaam of het IP-adres van de client gebruikt. In dit geval vertoont elke X-server in een sessie hetzelfde IPadres en dat zou niet goed gaan. Maar de Virtual IP-optie van Citrix Presentation Server 4.0 maakt een einde aan de scripts en tools om dit te realiseren. Tweetrapstoegang (van de werkplek met ICA naar de terminal server en van terminal met XWindows naar de UNIX-omgeving) wordt een heel stuk simpeler. Een andere oplossing van Citrix om de Xserver installatie op werkplekken te omzeilen is Citrix Presentation Server voor UNIX (zie elders in deze NetOpus). Heb je al werkplekken met een ICA-client, dan maakt de uitbreiding met de UNIXversie van het product X, het gebruik erg eenvoudig. Het Citrix-alternatief, Tarantella Secure Global Desktop Enterprise, is eveneens een optie om een dun protocol te gebruiken aan de buitenzijde en X-Windows over het bedrijfsnetwerk. Verschillende appliances waaronder die van AEP Netilla (zie eveneens elders in deze NetOpus) bieden eveneens een dunne X-Windows toegang over internet. Het gebruik van UNIX-toepassingen op nagenoeg alle typen werkplekken en over elk type verbinding is dus geen enkel probleem. Y
37 6/8/05
19:03:16
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Focus Titel: Onbekend maar toch bemind Auteur: Marcel Beelen Pagina’s: 38, 39 en 41
Onbekend maar toch bemind Citrix Presentation Server for UNIX 4.0 Citrix Presentation Server voor UNIX (voorheen MetaFrame Presentation Server voor UNIX) is het minst bekende en misschien wel het minst gewaardeerde product van Citrix. Toch is het een technisch hoogstandje, dat vergelijkbaar is met het grote broertje voor Windows. Hoog tijd om in het vierde jaar Server-Based Computing-themanummers eens in te zoomen op de UNIX-versie.
M
et de Windows-versie van Citrix Presentation Server bied je Windows-toepassingen aan op iedere werkplek of apparaat voorzien van de ICA-client toepassing van Citrix. Zo bedien en gebruik je bijvoorbeeld Office 2003 op Windows-werkplekken, maar ook op Linux- en UNIX-werkplekken, pda's, sommige mobiele telefoons, Mac's en meer, doordat de toepassing centraal op de Windows-server draait. Citrix Presentation Server voor UNIX is conceptueel identiek aan Citrix Presentation Server voor Windows, maar is wel minder ver wat betreft mogelijkheden. Deels is dat een gevolg van het afwijkende besturingssysteem. Met de UNIX-versie van het product biedt je namelijk UNIX- en Java-applicaties aan op
38
NOP0505_p38-41_Focus_CitrixUnix.indd
38
Windows-werkplekken of andere systemen voorzien van een ICA-client, die nu echter op een UNIX-server draait.
MetaFrame voor UNIX Citrix Presentation Server voor UNIX - verder CPSU genoemd - is de tegenpool van Citrix Presentation Server voor Windows. Je installeert het op UNIX en bent daarna in staat via het ICA-protocol UNIX- en Java-toepassingen aan te bieden op alle werkplekken en apparaten waar een ICA-client voor beschikbaar is
(en dat zijn er nogal wat). De vraag is: voor welke UNIX is CPSU beschikbaar? Een probleem waar de UNIX-wereld mee worstelt, is dat UNIX niet echt standaard is. Zo lijkt Sun Solaris weliswaar op IBM AIX en heeft het ook veel weg van HP-UX en Suse Linux of FreeBSD. De onderliggende standaarden zijn veelal open en uitwisselbaar, en het inzetten van deze UNIX-varianten als fileserver, printserver of mailserver is daarom niet echt problematisch. De verschillen zijn echter groter dan het in eerste instantie lijkt.
6/8/05
19:05:05
Focus
Onbekend maar toch bemind
Vooral als je kijkt naar het beheer van deze systemen en de integratiemogelijkheden zijn er veel minder overeenkomsten. De besturingssystemen draaien op een scala van (vaak eigen) processoren, en dat maakt dat je niet vrij kunt kiezen uit een willekeurige combinatie van processor en besturingssysteem. Iedere fabrikant wil zich daarbij onderscheiden, en daarom zijn er ook nog eens bedrijfseigen uitbreidingen en aanpassingen aan ieder van deze besturingssystemen gemaakt. Voor Linux geldt dit in mindere mate, hoewel de onderlinge verschillen, vooral in beheer, er ook niet om liegen. Versie 1.0 van het product CPSU bestaat sinds 2000, toen alleen nog Sun Solaris ondersteund werd. Met de opvolgende versies zijn daar IBM AIX en HP's HPUX aan toegevoegd. De laatste versie was CPSU 1.2 tot aan het moment dat de Access Suite 4.0 werd uitgebracht. Met de lancering van de nieuwe Access Suite heeft CPSU eveneens versie 4.0 meegekregen en zijn de versienummers gelijk getrokken. CPSU 4.0 is te installeren op Sun Solaris SPARC 8 en 9, IBM AIX 5.1 tot en met 5.3 en HP-UX 11 en 11i. Je kunt CAD-toepassingen als Synopsis of Cadence, UNIX-gebaseerde CRM-toepassingen en elke andere grafische UNIX-toepassing overal transparant gebruiken.
Installed-base De gedachte is dat je Citrix Presentation Server voor UNIX installeert op je favoriete UNIX-besturingssysteem: Solaris, HP-UX of AIX. Na installatie kun je iedere X-Windows- en Java-toepassing op dat platform gebruiken via het ICA-protocol op apparaten waarvoor een ICAclient beschikbaar is. Maar waarom zou je dat willen? Je kunt toch net zo goed gebruik maken van X-Windows? Dat is namelijk standaard aanwezig op UNIX en biedt dezelfde mogelijkheden. Er zijn enkele redenen waarom CPSU een zeer zinvolle aanvulling is binnen je infrastructuur. Een belangrijke reden is dat veel organisaties een gigantische installed base hebben van ICA-client toepassingen op werkplekken en andere ap-
NOP0505_p38-41_Focus_CitrixUnix.indd
39
paraten. Door CPSU te installeren, biedt je de UNIX-toepassingen zonder veel extra inspanning aan al deze gebruikers aan. Vergeet daarbij ook niet dat Citrix Presentation Server weliswaar gelijktijdige licenties ondersteunt, maar dat de ICA-client bij elke potentiële en sporadische gebruiker noodzakelijk is. Zo zijn er bedrijven met 1000 concurrent licenses, maar met 5000 ICA-installaties op het LAN, WAN en op thuiswerkplekken. Uiteraard kan Citrix Presentation Server ook via een web-interface benaderd worden. Het alternatief om een X-servertoepassing op alle Windows pc's te installeren is om beheerredenen zeer onaantrekkelijk (zie het artikel over Xservers in deze NetOpus).
What's new? Ten opzichte van de vorige versie 1.2 zijn er in versie 4.0 geen schokkende vernieuwingen doorgevoerd. Misschien is de grootste verandering wel dat Citrix Presentation Server voor UNIX geen los aan te schaffen product meer is sinds de introductie van de Citrix Access Suite 4.0. Je koopt simpelweg Citrix Presentation Server 4.0 Enterprise en daarbij zit zowel de Windows- als de UNIX-cd-rom met alle UNIX-versies. Je bent daarmee vrij om zowel Windows- als UNIX-servers te voorzien van Citrix Presentation Server. Een technische architectuurverandering die hiermee direct te maken heeft, is dat Citrix Presentation Server voor UNIX gebruik maakt van de license-server die in
De SpeedScreen 2-technologie kost veel minder bandbreedte dan het dikke X-Windows-protocol. Het netwerkverkeer van ICA en de SpeedScreen 2-technologie kost veel minder bandbreedte dan het dikke XWindows protocol. Een gevolg is dat nu ook UNIX-toepassingen over WANverbindingen en breedbandverbindingen vergelijkbaar goed presteren met Windows-toepassingen. Maar eigenlijk komen met CPSU bijna alle voordelen van server-based computing uit de Windows-wereld naar het UNIX-platform. Het is daarom logisch dat je veel mogelijkheden van de Windows-versie terugvindt in de UNIX-versie. Daarbij kun je denken aan de ondersteuning van hoge resoluties (tot 32k bij 32k) en 24-bit kleur en typische server-based mogelijkheden als client drive mapping (nu dus van de UNIX-omgeving naar de werkplek die eventueel Windows draait). Ook het behoud van sessies als de verbinding wegvalt wordt ondersteund, evenals het gebruik van de XML-service om de client-toepassingen te vinden op basis van TCP/ HTTP, shadowing-functies en zelfs load-balancing.
Citrix Presentation Server 3.0 voor Windows is ingevoerd en ook deel uitmaakt van Citrix Presentation Server 4.0. Je kunt dus concurrent client-licenties delen tussen Windows en UNIX, zonder dat hiervoor overigens broadcasts op je netwerk nodig zijn, zoals met de eerdere UNIX-producten het geval was. Naast diverse performance-verbeteringen die onder de motorkap zijn doorgevoerd, worden in MPSU 4.0 web-interface en secure gateway ondersteund. Verder is voor 2-factor authenticatie RSA SecurID en SafeWord mogelijk. MPSU 4.0 weet (beperkt) om te gaan met 8-bit OpenGL, met name server-side rendering om grafische informatie te bekijken. Echter werken toepassingen niet als ze zelf hardware op de server proberen te detecteren (zoals grafische kaarten) of gebruik maken van OpenGL-extensies.
Heerlijk op z'n UNIX CPSU installeren functioneert zoals de meeste UNIX-beheerders wel gewend zijn, met een opdrachtregel-installatiescript. Er is geen grafisch f
39 6/8/05
19:05:07
Focus
Onbekend maar toch bemind
Presentation Server voor Linux Op nagenoeg elke bijeenkomst, inclusief iForum, komt al jaren de vraag uit de zaal waarom er geen Linux-versie bestaat van Citrix Presentation Server. Het antwoord van Citrix is terecht elke keer hetzelfde: er zijn te weinig professionele werkplektoepassingen die op grotere schaal gebruikt worden om een Linux-versie van het product te motiveren. Maar de tweetrapstoegang is een optie die sinds het begin van X-Windows op UNIX en dus ook op Linux mogelijk is. Door wat te goochelen met omgevingsvariabelen zoals DISPLAY en enkele remote shells, is het geen probleem om Linux-toepassingen via de UNIX-server (die Citrix Presentation Server draait) naar een ICA-client te sturen. Als je wilt, kun je zelfs het complete Linux-bureaublad met alle toepassingen op het volledige scherm van een pc, thin client of pda aan de andere kant van de aardbol via internet bedienen. Deze ma-
NOP0505_p38-41_Focus_CitrixUnix.indd
41
nier om Linux-toepassingen te gebruiken via het ICA-protocol is overigens gedocumenteerd in de handleiding onder de titel “Publishing an Application on a UNIX Server of Different Architecture”. Het op de markt komen van een Linux-versie van Citrix Presentation Server is dus niet nodig en erg onwaarschijnlijk.
Bijna passend Het mooie pak dat Citrix de Access Suite noemt, past Citrix Presentation server voor UNIX 4.0 nog niet helemaal. CPSU kan zich weliswaar meten met de Windows-variant van het product, maar er zijn enkele architecturale verschillen. Het is echter nog niet mogelijk om een enkele farm te bouwen waarin Windows en UNIX naast elkaar bestaan. UNIX en Windows bevinden zich altijd in een afzonderlijke farm. Wel is het mogelijk meerdere farms aan te bieden binnen een en hetzelfde web-interface-component, waardoor toepassingen uit zowel de UNIX-farms als de Windows-farms op een webpagina terechtkomen. Doordat je slechts een keer inlogt, moet het UNIX/NIS-wachtwoord wel gelijk zijn aan het Windows/Active ctxalt ctxanoncfg ctxappcfg ctxbrcfg ctxcapture ctxcfg ctxconnect ctxcreatefarm ctxdisconnect ctxfarm ctxgrab ctxjoinfarm ctxlogoff ctxlpr ctxlsdcfg ctxmaster ctxmount ctxmsg ctxprinters ctxqserver ctxqsession ctxquser ctxreset ctxsecurity ctxshadow ctxshutdown ctxsrv ctxnfusesrv
Directory-wachtwoord om het geheel voor de gebruiker naadloos te doen overkomen. Dat geldt met name voor meer platformoverschrijdende producten. Verder is een deel van de technologie nog MetaFrame 1.8/XP-georiënteerd. Zo is Load Balancing sinds versie 1.1 niet veranderd. Om servers en gepubliceerde toepassingen te vinden of load-gegevens door te geven zijn nog steeds een ICA Master Browser en ICA Browsers nodig die met UDP-broadcasts communiceren (over poort 1604). Om farms over subnetten met elkaar te laten communiceren kan een ICA-gateway worden geconfigureerd. Dit alles ondanks het feit dat de UNIX-variant wel een IMAstore heeft. Toch zijn de architectuurverschillen niet zo relevant: het voordeel van een uniforme multi-platform toegang over elke verbinding en op elk apparaat maakt alles goed. Hopelijk wordt het UNIX-product veel populairder door de nieuwe productsamenstelling, waarbij je naar keuze Windows en UNIX presentation servers mag inrichten en licenties kunt delen. Zoals we van Citrix gewend zijn is de documentatie erg goed, dus daar zal het zeker niet aan liggen. Y
Configureren poort voor de ICA-browsers Configureren van anonieme gebruikers Configureren gepubliceerde toepassingen Configureren van instellingen voor de ICA-browser Kopiëren en plakken tussen server en lokale toepassingen Configureren van server-instellingen Verbinding maken met een sessie Maken van een nieuwe farm Ontkoppelen van een sessie Farm maken, een server toevoegen/verwijderen van een farm Kopiëren en plakken van server naar lokale toepassingen Lid maken van een farm Uitloggen van een server Afdrukken van de server naar een lokale printer Configureren licentie-server Toon de ICA Master Browser Configureren toegang tot verbonden netwerkstations Verstuur een bericht Toon lokale printers Toon informatie over servers Toon sessie-informatie Toon gebruikersgegevens van een sessie Reset van een sessie Configureren van beveiliging Shadow een gebruiker Afsluiten van CPSU Starten of stoppen van CPSU Configureren van de Citrix XML Service poort en dergelijke
Overzicht van CPSU UNIX-opdrachten
installatie-programma beschikbaar. Je maakt een beheerdersaccount en groep, tikt simpelweg 'sh installmpsu' in een terminalvenster. Daarna beantwoord je enkele vragen zoals of je een nieuwe farm wilt maken en of je een de server aan een bestaande farm wilt toevoegen. Verder geef de hostnaam van de licentieserver en de poort voor de XMLserver. Dit zijn allemaal vragen die bekend zijn van de Windows-versie van het product. Vervolgens start je de service met de opdracht 'ctxsrv start'. Het UNIXsysteem dient wel voorzien te zijn van de Java Runtime Environment en uiteraard X-Windows en een window-manager. Het is daarnaast mogelijk een unattended installatie uit te voeren. De server waarop je de farm installeert, wordt de Management Service Master en die machine bevat de Data Store, in - hoe kan het ook anders op UNIX - een tekstbestand. Op de andere UNIX-servers in de farm draait een Management Service en bevindt zich een kopie van deze IMA-store. De communicatie tussen de server is versleuteld en gebruikt TCP/IP-poort 2897. In het kader vind je de UNIX-opdrachten voor het beheer van CPSU.
41 6/8/05
19:05:11
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Marketwatch Titel: Sluit de deuren Auteur: Marcel Beelen Pagina’s: 42, 43, 44 en 45
Sluit de deuren! Gebruik end-point security
De uitspraak “toegang vanaf iedere locatie, op ieder moment en vanaf ieder device” wordt steeds vaker toegepast. Dit komt voort uit de behoefte om toegang te verlenen aan voor het bedrijf bekende systemen, maar ook aan systemen van partners, klanten of zelfs publieke pc-systemen bij seminars of internetcafés. Remote devices krijgen toegang tot het bedrijfsnetwerk via VPN-verbindingen op basis van IPSec, SSL-VPN of met een ISDN-inbelinfrastructuur. Bij deze toegang tot applicaties en bedrijfsinformatie hoort echter wel een beveiligingsrisico.
W
aarom is het koppelen van systemen en remote devices een beveiligingsprobleem? Als je toegang biedt aan slechts een systeem dat besmet is met een worm, virus of trojan, kan het gehele bedrijfsnetwerk verlamd raken. Het verlenen van netwerktoegang aan een systeem met een hacker achter het toetsenbord die op zoek is naar informatie, is een ernstig bedrijfsrisico met in potentie kwalijke gevolgen. De basis van de problemen ligt in het gebruikte besturingssysteem. Windows 2000 en XP zijn uiterst kwetsbaar en vereisen bijna wekelijks security patches. Koppel een Windowssysteem met een breedband verbinding aan het internet en in 20 minuten heb je een virus op het systeem. Zonder firewall, de laatste security patches, antivirus-software, anti-spyware en pop-up killers zijn Windows-systemen al besmet na een korte tijd internetten. Eigen systemen binnen het LAN kun je redelijk beveiligen omdat je zelf het beheer doet. Moeilijker wordt het gebruik van remote Windows-systemen, doordat deze in principe in vreemde handen zijn. Daarom zijn aanvullende securityoplossingen noodzakelijk. Deze extra’s zijn overigens met een Linux of Apple systeem (nog) minder noodzakelijk.
42
NOP0505_p42-45_Marketwatch_Endpoint.indd
42
End-point security Een antwoord op deze beveiligingsproblematiek is ‘end-point security’, of anders gezegd: client security. Dit is misschien wel het minst uitgekristalliseerde onderwerp binnen ICT-infrastructuren. End-point security beschrijft methodes om de achterdeur naar het bedrijfsnetwerk te sluiten, op locaties waar remote gewerkt wordt. Oplossingen zijn beschikbaar met verschillende methodieken en gebaseerd op verschillende strategieën en visies. De drie basisvragen vanuit ICT-beheer zijn: • Is het remote systeem veilig? • Hoe wordt de beveiliging gecontroleerd? • Krijgt het systeem wel, geen of beperkte toegang?
Iedere implementatie van securitytechnologie maakt onderdeel uit van een beveiligingsbeleid. Dit beleid geldt voor de gehele ICT-infrastructuur en de gebruikers daarvan, en zeker niet alleen voor remote access client devices. In het beveiligingsbeleid wordt vastgelegd wanneer een gebruiker toegang tot informatie en de onderliggende systemen mag hebben. Dit beleid wordt middels end-point security-oplossingen geïmplementeerd. End-point security-oplossingen maken gebruik van een software agent op het client-systeem. Die agent kan permanent actief zijn of geïnstalleerd worden bij het aanloggen op bijvoorbeeld een SSL VPN-appliance. De agent inspecteert het client-systeem en kijkt bijvoorbeeld naar: • Antivirus - is er antivirus-software geïnstalleerd en zijn de definitiebestanden actueel? • Securitypatches - is het systeem voldoende gepatched? • Application control - mag een programma gestart worden en zo ja, welke functies daarbinnen mogen gebruikt worden? • Personal firewalls - zijn noodzakelijke poorten toegestaan en overbodige en niet relevante risicovolle
6/8/05
19:07:31
Marketwatch
Sluit de deuren
TCP/UDP-poorten afgesloten? • Intrusion prevention - welk type IP-verkeer verlaat het remote systeem en is dat toegestaan? • Systeem profiling - is een remote systeem bekend of onbekend op basis van bijvoorbeeld gebruikersnaam, de Active Directory domeinnaam, de versie van het besturingssysteem, het MACadres, een registersleutel, het IPadres of het echte IP-adres van de gateway waarmee het systeem verbinding maakt?
Application control Application control is een methode om het gebruik van toepassingen te reguleren. Het wordt geïmplementeerd door het analyseren van gedrag of met behulp van een whitelist. Zo analyseert het product WholeSecurity’s Confidence bijvoorbeeld het gedrag van een applicatie. Als de applicatie vreemd gedrag vertoont, wordt de applicatie gestopt of wordt dat gelogd. SecureWave’s Sanctuary gebruikt een whitelist om het opstarten van applicaties toe te staan of juist te verbieden. Iedere executable wordt in de whitelist gezet met naam en een cryptografische hash van de executable. Finjan Vital Security for clients gebruikt beide methodieken. De drie genoemde producten beschermen het systeem echter niet voor een netwerkaanval, omdat ze geen firewall of Intrusion Preventionfunctie hebben. Door aan application control een firewall en Intrusion Prevention functie toe te voegen, wordt de systeembeveiliging op een hoger niveau gebracht. De firewall beschermt het systeem door binnenkomend of uitgaand verkeer op ongewenste poorten te blokkeren. Intrusion prevention beschermt het systeem door het IP-verkeer te inspecteren op ongewenste patronen. Ongewenst verkeer wordt na inspectie en controle op de policy toegestaan of tegengehouden. Daar waar Intrusion Detection alleen kijkt en registreert, grijpt Intrusion Prevention meteen in bij ongewenst netwerkverkeer. Producten in deze categorie zijn
NOP0505_p42-45_Marketwatch_Endpoint.indd
43
Afbeelding 1 Cisco’s NAC-architectuur
beter bekend: Sygate Technologies Secure Enterprise, Checkpoint Integrity, F-Secure Anti-Virus Client Security, Symantec Client Security en eEye’s Blink End-Point vulnerability prevention. Opvallend is dat in de laatste releases Intrusion Prevention- en Application Control-functies zijn toegevoegd aan de producten die dit nog niet hadden. De markt is op dit gebied nog stevig in beweging. Een opmerkelijke stap is dat Checkpoint Zonelabs heeft overgenomen en de Total Access Protection-strategie (TAP) aangekondigd heeft rondom het Checkpoint Integrity-product. Hiermee wil Checkpoint bedrijven helpen met een end-to-end security-oplossing. Dit gebeurt helaas op basis van de commerciële Checkpoint Enterprise-producten en niet middels gratis shareware, zoals we van Zonelabs gewend zijn. CheckPoint claimt de eerste ‘hands-free’ intrusion prevention-oplossing te hebben en verwijst hiermee naar de eerste generatie producten die moeilijk te beheren zijn. Met de naamsbekendheid van ZoneAlarm heeft Checkpoint een goede startpositie om een groot marktaandeel te verwerven op de endpoint security-markt. Door antivirusmogelijkheden toe te voegen, wordt voorkomen dat een virus actief wordt op het systeem. Tot deze categorie behoren de producten McAfee Entercept, Symantec Client Security en F-Secure
Anti-Virus Client Security. Dit zijn de grote antivirus-spelers die hun basis antivirus-product zoveel mogelijk in andere producten hergebruiken. Trend Micro en McAfee gaan de Cisco NACtechnologie gebruiken voor Trend Micro Office Scan en McAfee Enterceptproducten. Deze pakketten hebben op dit moment geen Application Control, geen IPS-functie, en er zijn er maar weinig die ook de patches van het besturingssysteem controleren. Sygate Technologies Secure Enterprise en Endforce Enterprise controleren hier wel op. Endforce doet dit met Shavlik’s HFNetChkPro-engine.
NAC of NAP? In de categorie voor network access ontwikkelen zich standaarden van twee grote jongens. Cisco is bezig met Network Admission Control (NAC) en Microsoft werkt aan Network Access Protection (NAP). Cisco NAC is een network access security-oplossing met daarin verschillende onderdelen (zie afbeelding 1). Gezien vanaf de het end-point systeem zijn dit: • De Cisco Trust Agent (CTA) voor client-inspectie. • De Cisco NAC enabled router of switch. • De Cisco Access Control Server (ACS) in het datacenter. • De derde partij-server met daarop bijvoorbeeld Trend Micro Office Scan Corporate. f
43 6/8/05
19:07:35
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Marketwatch Titel: Sluit de deuren Auteur: Marcel Beelen Pagina’s: 42, 43, 44 en 45
In de Cisco-strategie zit de intelligentie in de NAC-enabled switch en niet in de client. Het grote voordeel hiervan is dat een eindgebruiker die administrator-rechten heeft, geen invloed heeft op het gehele proces dat in de netwerkinfrastructuur geactiveerd wordt. Tevens wordt het systeembeheer volgens Cisco eenvoudiger, weliswaar met als gevolg meer complexiteit in de access layer switches. De Cisco CTA-client is actief op het systeem en verzamelt security informatie van het systeem. Als het systeem het netwerk wil benaderen, vangt de Cisco NAC-switch het netwerkverkeer af. De switch vraagt om credentials als gebruikersnaam en wachtwoord, het logondomein en vraagt tevens de verzamelde security-informatie van de CTA-client op. Het protocol voor transport van authenticatiegegevens is het standaard protocol 802.1X. De switch geeft deze informatie door aan de Cisco ACS server. Deze valideert de credentials van gebruikers door bijvoorbeeld een ADS domaincontroller of LDAP-directory te raadplegen. Tevens gaat de ACS-server naar de derde partij-server, bijvoorbeeld Trend Micro Office Scan, en vraagt welke toegang het systeem mag krijgen. Als de authenticatiecontrole succesvol is, geeft de ACSserver de toegangsrechten terug aan de
switch en het systeem krijgt netwerktoegang. Dit kan dan volledige, geen of beperkte toegang zijn. Stel dat bijvoorbeeld de antivirus-software niet up-to-date is, dan krijgt het systeem alleen toegang tot de antivirus update server. Na de update wordt de security opnieuw gevalideerd en krijgt de client beperkte of volledige netwerktoegang. In Tabel 1 is het verschil in functies te zien tussen Cisco NAC en Checkpoint Integrity.
NAC-alliance Veel leveranciers van security producten en diensten melden zich aan bij Cisco om deel te kunnen nemen aan de Cisco NAC-alliance. Grote spelers als Computer Associates, IBM, Trend Micro, McAfee, F-Secure en Symantec springen op de Cisco-trein genaamd NAC en proberen zo een toekomstig aandeel van de markt in handen te krijgen. Cisco heeft een visie opgebouwd en schrijft dat het belangrijk is dat er geïnvesteerd wordt in intelligente netwerkinfrastructuur om de overhead op client devices te verminderen. Hierin staat Cisco niet alleen, want ook de HP Procurve Networking divisie praat over ‘control to the edge’ en doet dit feitelijk al langer dan Cisco. Voorlopig is NAC beschikbaar op een reeks Cisco-routers die voorzien zijn
Tabel 1 • Verschillen Checkpoint Integrity 6.0 en Cisco NAC Functie
Checkpoint Integrity 6.0
NAC
Afdwingen van up-todate AV-software en OS-patches
Ja, met elke AV leverancier
Beperkt. Op een aantal Cisco routers kan NAC er voor zorgen dat Symantec, McAfee en Trend Micro AV software up-to-date is
Afdwingen applicatie patches, registry keys, verplichte of verboden applicaties
Ja
Nee
Integratie met switches, routers en wireless access points
Ja
Beperkt. Voorlopig alleen Cisco routers en later ook Cisco switches
Ondersteuning voor clientless security
Ja
Nee. Cisco Trust Agent is vereist
OS ondersteuning
Windows XP, 2000, NT, 98SE
Windows XP, 2000, NT
Afdwingen van centrale bedrijfssecurity policy
Ja
Nee
44 NOP0505_p42-45_Marketwatch_Endpoint.indd
44
van het nieuwste Cisco IOS. Cisco Catalyst switches met NAC-ondersteuning zullen binnenkort volgen. Kun je NAC ook gebruiken op andere merken routers of switches? Dat is wel de bedoeling, maar Cisco wil natuurlijk eerst een marktvoordeel binnenhalen en nog meer Cisco-apparatuur leveren. Daarna mogen concurrenten dit proberen. We hebben dit eerder al gezien met het eigen Cisco spanningtree-protocol en de ontwikkeling van Power-over-Ethernet. Cisco werkt overigens hard mee in de commissies die standaarden ontwikkelen en steekt daar veel tijd in.
Wat doet Microsoft? Microsoft heeft Windows Server 2003 SP1 vrijgegeven met daarin nieuwe security features en verbeteringen. Zo is er de Security Configuration Wizard (SCW) om snel ongewenste services te stoppen, poorten te blokkeren, registry keys te zetten en audit settings aan te passen. Door het Post-Setup Security Updates-feature (PSSU) wordt op een nieuw geïnstalleerd systeem het netwerkverkeer tegengehouden, totdat de laatste patches geïnstalleerd zijn. De Window-firewall, bekend van Windows XP SP2, is eveneens in Windows Server 2003 SP1 ingebouwd. Tot slot bevat Data execution prevention (DEP) verbeteringen in het geheugenbeheer om de invloed van malicious code te minimaliseren. Eind 2005 zal Microsoft Windows Server 2003 R2 vrijgeven met daarin “een gestroomlijnde functie om op een veilige manier informatie te benaderen”. Wat dit precies betekent is nog niet bekend, maar in het nieuwe Longhorn-platform, dat ergens in 2007 wordt verwacht, wordt wel Network Access Protection (NAP) opgenomen.
Quarantine Control NAP is niet hetzelfde als Network Access Quarantine Control dat al in Windows Server 2003 aanwezig is. Network Access Quarantine Control maakt het mogelijk om een remote access-verbinding die binnenkomt op een Windows 2003 RAS server, te ver-
6/8/05
19:07:41
Marketwatch
Sluit de deuren
Network Access Protection Hoe werkt NAP eigenlijk? NAP heeft drie quarantainemogelijkheden: DHCP, VPN of IPSec. Een binnenkomende DHCP-request, IPSec- of VPN-verbinding van een ongezond systeem wordt in een netwerkdeel met beperkte netwerktoegang geplaatst. Dit duurt totdat het systeem gezond is. Deze gezondheid wordt gecontroleerd door een System Health Agent (SHA) op het clientsysteem. De SHA communiceert met een System Health Validator (SHV) die op een Microsoft Internet Authentication Server (IAS) draait. Quarantine Enforcement Server-componenten (QES) zorgen ervoor dat een ongezond systeem beperkte netwerktoegang krijgt. Een QES-component, bijvoorbeeld een SMS-server, geeft opdrachten aan de Quarantine Enforcement Clients (QECs), zoals bijvoorbeeld een SMSagent. Deze SMS-agent zorgt dan voor de benodigde updates. De QEC kan ook een client van een antivirus-leverancier zijn, die de antivirus software update, of een client van bijvoorbeeld Altiris of Shavlik Technologies. Er is veel Microsoft-technologie noodzakelijk om een goede NAP-implementatie mogelijk te maken. NAP vereist dat DHCP, VPN, IPSec, Certificate, Authentication en ADS-diensten draaien op het nieuwste Microsoft-platform. Net als Cisco heeft Microsoft ondersteuning van vele industriepartners nodig om het succes van NAP te garanderen.
En Citrix dan? Citrix biedt met de combinatie van de Access Gateway (de appliance uit een van onze Labreports) en Access
NOP0505_p42-45_Marketwatch_Endpoint.indd
45
End-point security-producten
Versie
Website
EEye Blink End-Point vulnerability prevention
2.0
www.eeye.com
Finjan Vital Security for clients
5.7
www.finjan.com
F-Secure Anti-Virus Client security
5.55
www.f-secure.com
InfoExpress CyberArmor
3.0
www.infoexpress.com
SecureWave Sanctuary
2.8
www.securewave.com
Sygate Technologies Secure Enterprise
4.0
www.sygate.com
Symantec’s Client Security
3.0
www.symantec.com
WholeSecurity’s Confidence Online
www.wholesecurity.com
Checkpoint Integrity
6.0
www.zonelabs.com
McAfee Entercept
5.1
www.mcafee.com
StillSecure suite
www.stillsecure.com
Trend Micro Office Scan Corporate
6.5
www.trendmicro.com
ENDFORCE Enterprise
2.0
www.endforce.com
Pedestal Software SecurityExpressions
3.1
www.pedestal.com
SSL-VPN
Versie
Website
Citrix Access Gateway
-
www.citrix.com
F5 Networks Firepass 1000
-
www.f5.com
Aventail EX-1500
-
www.aventail.com
Juniper NetScreen SA-5000
-
www.juniper.net
Netilla NSP
-
www.netilla.com
Gateway Advanced Control Option (de nieuwe release van Metaframe Secure Access Manager) eveneens end-point security aan. Onder de codenaam Firecracker heeft Citrix al geruime tijd aan dit product gewerkt. Na de authenticatie wordt een software-client gedownload en uitgevoerd. Deze client controleert, net als de andere end-point security-oplossingen, een grote reeks van systeemkenmerken. De gevonden kenmerken worden tegen een policy gehouden en Advanced Control Option bepaalt hoeveel toegang gegeven mag worden tot de applicaties en informatie. Dit kunnen applicaties zijn die met Citrix Presentation Server gepubliceerd worden, maar ook client/server applicaties die lokaal draaien. Een belangrijk onderdeel van de Citrix-strategie is het beperken van de mogelijkheid om data op het remote systeem op te slaan of te kopiëren met bijvoorbeeld met het Windows clipboard. Dit is middels de LiveEdit-feature geïmplementeerd.
Aanvullende informatie
tragen totdat een script gecontroleerd heeft of het systeem aan de security policy voldoet. Tijdens de quarantainefase heeft het systeem slechts beperkt netwerktoegang. Microsoft geeft zelf aan dat Network Access Quarantine Control en NAP geen volwaardige security-oplossing is, omdat een gevalideerd systeem uiteindelijk volledige network access zal krijgen.
Sluit de deuren In oktober 2004 hebben Cisco en Microsoft aangekondigd hun NAC- en NAPtechnologie te delen om een zo breed mogelijke markt te kunnen bedienen. Als Cisco en Microsoft de technologie verder ontwikkelen krijgt een systeembeheerder een standaard methode, waarmee het mogelijk is client-systemen met vertrouwen te koppelen aan het bedrijfsnetwerk. Door de langzame ontwikkeling van NAC en NAP zijn echter andere fabrikanten in staat hun producten te positioneren. Er zijn nu al goede end-point security-oplossingen voorhanden en het wachten op Cisco NAC of Microsoft NAP is dus niet noodzakelijk. Sygate Technologies Secure Enterprise en Checkpoint Integrity lijken vooralsnog de meeste prijzen te winnen in de hectische wereld van end-point security. Citrix biedt met de Advanced Control Option een mooie oplossing om toegang voor Presentation Server tot in de kleinste details te regelen. Y
45 6/8/05
19:07:46
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Philips ProScribe 100WT10P Auteur: Marcel Beelen Pagina’s: 46 en 47
Mobiele thin client Philips ProScribe 100WT10P Zakelijke gebruikers kennen Philips vooral als maker van LCD-schermen. Zonder veel bombarie heeft Philips vorig jaar een draadloze thin client op de markt gebracht, in tablet-vorm met een LCD-aanraakscherm en ingebouwd draadloos netwerk. Met veel moeite wist NetOpus een exemplaar te bemachtigen.
P
hilips levert sinds de CeBit van vorig jaar een eigen thin client, de Philips ProScribe wireless display 100WT10P. Het apparaat valt op door zijn uiterlijk. Hij is stevig gebouwd, met veel hardplastic en rubber, en heeft een opvallende witte kleur. Als alternatief is er ook een donkergrijze versie te koop. Philips positioneert de thin client als een mobiel werkstation dat tussen de draadloze pda en de tablet pc in ligt, bedoeld om content te bekijken en eventueel gegevens in te voeren of te wijzigen. Het is een echte thin client, zonder bewegende delen, zonder harde schijf en voorzien van een RDC- en ICA-client om verbinding te maken met terminal servers.
46
NOP0505_p46-47_Labreport_PhilipsThinClient.indd
46
Niet kapot te krijgen De thin client oogt professioneel. De stylus is aan de linkerzijde weggewerkt en is eenvoudig met een knopje los te maken. Het is een stevig apparaat dat met 1,6 kilo net niet te zwaar is om al lopend op je arm te leggen en met de pen te bedienen. De robuustheid wordt gewaarborgd door de hardplastic behuizing en de rubberen rand rondom. Bovendien zijn alle aansluitingen met een uitklapbaar rubberen afdekrandje afgesloten, waardoor ook stof en zelfs waterdruppels of gemorste koffie niet direct een probleem zal zijn. Het scherm is eveneens gesealed en ongevoelig voor water en stof, net als de programmeerbare functietoetsen aan de
bovenzijde. Volgens de specificaties kan het apparaat zelfs een val van een meter hoogte overleven. We namen de proef op som en gooiden ‘per ongeluk’ een glas water over de ProScribe en lieten hem tot twee keer toe van de tafel vallen - een keer met het scherm naar boven en een keer op een hoek. Het apparaat vertoonde geen krimp, en de sessie met de terminal server draaide netjes door op het tien inch grote scherm.
Waar inzetbaar? Philips lijkt vooral geïnteresseerd te zijn in de gezondheidszorg. Verschillende ziekenhuizen en dienstverleners in de gezondheidszorg gebruiken (waarschijnlijk de witte versie van) de ProScribe. Denk
6/8/05
19:12:58
Labreport
Philips ProScribe 100WT10P
daarbij aan artsen die aan het bed van een patiënt de patiëntgegevens inzien of een anesthesist die dat in de operatiekamer doet. Toch kan de ProScribe net zo gemakkelijk in muziekwinkels, kledingwinkels, restaurants, magazijnen, werkplaatsen en zelfs basisscholen ingezet worden. Op veel plekken waar een robuuste en mobiele oplossing belangrijk is, biedt de ProScribe uitkomst.
In de praktijk De door ons geteste thin client draait Windows CE .NET 4.2. Windows CE op de ProScribe is redelijk kaal uitgevoerd. Naast Pocket WordPad en Pocket Explorer is alleen een versie van Media Player geïnstalleerd. Dit maakt het gebruik van internet of intranet lokaal op de ProScribe minder interessant. Maar lokaal met toepassingen werken op de thin client is ook niet de bedoeling van de ProScribe. Met de RDC-client (versie 5.1) of de ICA client (versie 8.0 in ons testexemplaar) maak je verbinding met een terminal server en bedien je de toepassingen op de centrale server. De RDC-client en de ICA-client zijn redelijk actueel, maar dat is op dit type thin clients eigenlijk niet zo relevant, omdat veel geavanceerde mogelijkheden niet nodig zijn. Zelfs standaard mogelijkheden als local drive mapping of local printer mapping heb je niet echt nodig. Ook seamless Windows, dat geboden wordt door Citrix, lijkt niet erg relevant, omdat je de thin client net zo handig fullscreen zult gebruiken. Lokaal kun je gebruik maken van de Transcriber-toepassing. Hiermee kun je karakters en cijfers invoeren door op het aanraakscherm te schrijven. Dit werkt echter alleen lokaal en niet binnen een sessie op de terminal server. Wil je daar gegevens invoeren, dan dien je gebruik te maken van het on-screen toetsenbord, dat je oproept door op een knopje te drukken aan de voorzijde van de client.
Aansluitingen De thin client is van diverse aansluitingen voorzien, zoals usbpoorten, een mini-VGA-adapter
NOP0505_p46-47_Labreport_PhilipsThinClient.indd
47
en een PCMCIA-adapter. Niet alle randapparaten worden ondersteund, want er moet uiteraard wel een stuurprogramma voor Windows CE .NET voor bestaan. Zo gebruikt een klant van Philips een GPRS-adapter voor draadloze toegang. Wil je de ProScribe op het LAN aansluiten, dan dient daarvoor een usb-netwerkadapter of een PCMCIA-netwerkadapter voor aangeschaft te worden, want de thin client zelf is niet voorzien van een UTP-aansluiting. De accu gaat volgens de specificaties vier uur mee en wordt opgeladen door de thin client in een stevige standaard te plaatsen. De thin client schakelt zeer snel aan en uit (binnen een halve seconde), omdat er alleen een suspend-optie aanwezig is. Ons testsysteem is voorzien van een Intel XScale PXA255 400 MHz processor en 128MB RAM geheugen. Als je lokaal werkt op de thin client, merk je vrij snel dat Windows CE .NET niet echt supersnel of multi-tasking is. Tijdens het werken met de lokale browser worden andere functies vertraagd uitgevoerd en de grafische prestaties vallen wat tegen. Daar staat tegenover dat de prestaties juist erg meevallen tijdens het werken op de terminal servers in vergelijking met andere thin clients. Je merkt totaal niet dat je over een draadloos netwerk op een centrale server werkt. De toepassingen functioneren (logischerwijs) snel, maar ook grafisch valt het erg mee. Bovendien is het bereik van het 802.11b netwerk goed te noemen. De thin client heeft nog geen 802.11g aan boord.
Beheersoftware Vorig jaar in het NetOpus themanummer over server-based computing zagen we dat beheersoftware een belangrijk selectiecriterium is voor thin clients. Philips biedt hier geen oplossing voor. Je zult de ProScribes handmatig moeten opwaarderen naar nieuwe firmware. Dat is niet zo problematisch, omdat het merendeel van de klanten geen honderden ProScribes zullen gebruiken, maar eerder tientallen. Het
inrichten van een beheeromgeving voor kleinere aantallen thin clients is alleen wel een kostbare aangelegenheid. Bovendien hoef je dit type thin client niet vaak op te waarderen, omdat je veelal slechts een sessie opent met een volledig bureaublad en geen behoefte hebt aan nieuwe RDC- of ICA-clients. Alleen als er softwarematig iets mis is met de thin client of als er nieuwe functionaliteit ondersteund dient te worden waar stuurprogramma’s voor nodig zijn, dan zijn updates van de firmware nodig.
Specifieke doelgroep Philips heeft aan de ProScribe een mooie thin client voor een heel specifieke doelgroep. De ProScribe is ideaal in situaties met veel stof en vocht, waar draadloze mobiele toegang tot terminal servers en een stukje design belangrijk is. Organisaties zullen vooral de robuustheid van het apparaat waarderen. We wachten daarom met spanning op toekomstige modellen. Op het moment dat je dit artikel leest, zou een nieuw 12inch model met en XGA-scherm beschikbaar moeten zijn, voorzien van 802.11g en een beheermogelijkheid voor upgrades. Bij het nieuwe model kun je kiezen uit Windows CE .NET 5.0 en Windows XP Embedded. Y
Product: ProScribe 100WT10P Producent: Philips Website: www.business. philips.com/solution. aspx?solutionid=9 Prijs: circa 1250 euro + Robuuste thin client; mooi ontwerp; prestaties van toepassingen op terminal server; goed draadloos bereik - Nog geen beheersoftware en geen wireless 802.11g
47 6/8/05
19:13:04
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Boeiende puzzel Auteur: Marcel Beelen Pagina’s: 48, 49 en 51
Boeiende puzzel Hoblink JWT en WebSecureProxy Wil je meer met terminal servers doen dan wat Microsoft je mogelijk maakt? Dan is HOBLink JWT een bijzondere oplossing voor het inrichten van omvangrijkere omgevingen. De basis van HOBLink JWT vormt feitelijk een RDPclient (tegenwoordig RDC-client geheten bij Microsoft), geschreven in Java. Dit maakt toegang mogelijk tot Windows 2000/2003 terminal servers en Windows XP Professional-werkplekken, vanaf elk type apparaat waarvoor een Java Virtual Machine beschikbaar is. De meest actuele verkrijgbare versie is HOBLink JWT 3.1, en die bestaat alweer een tijdje. Wij testen daarom alvast de beta van HOBLink JWT 3.2.
heden bovenop Windows Server 2003 terminal server.
Installatie
A
ls je werkt met Windows 2000 Server terminal services heb je nogal wat beperkingen. Zo is toegang tot lokale stations vanaf een terminal-sessie niet automatisch mogelijk en ben je beperkt tot 256 kleuren. Met Windows Server 2003 terminal server zijn deze en andere tekortkomingen verholpen. Waarom zou je dan toch op Windows Server 2003 terminal server een add-on als HOBLink JWT willen installeren? HOBLink JWT biedt enkele onmisbare schaalbaarheidsverbeteringen, zoals webgebaseerde toegang, een universele printmogelijkheid, uitgebreide load balancing op basis van diverse resources en het publiceren van toepassingen. Ook biedt de local drive mapping extra mogelijk-
48
NOP0505_p48-53_Labreport_HOBlink.indd
48
Het product HOBLink JWT 3.2 is op twee manieren in te zetten. De eerste aan te raden methode is om de software te installeren op een webserver, waarbij elk type webserver wordt ondersteund. Ze hoeven immers slechts de Java-client en instellingen ervan te hosten. Het downloaden van de applet is maar eenmaal nodig, want deze wordt vervolgens bewaard in de cache. De Smart Updatefunctie zorgt ervoor dat de applet wordt vernieuwd als er op de webserver een nieuwe versie wordt aangeboden. De tweede manier is dat je de Java-client installeert op de lokale werkplek. De installatie van JWT verloept snel en soepel met een wizard. HOB gebruikt hiervoor InstallAnywhere van Zero G (zie Afbeelding 1). Tijdens de installatie van de client kun je aangeven of je een lokale installatie of een server gebaseerde installatie uit wilt voeren. Om de client te installeren, kun je de installatie het beste starten op een webserver. Installeer de bestanden daarom bij voorkeur in een directory die toegankelijk is via de webserver. Op IIS kan dat bijvoorbeeld C:\InetPub\wwwroot zijn. De beta van HOBLink JWT 3.2 biedt ook een serverinstallatie zonder ‘native components’, die vooral bedoeld lijkt te zijn voor het
gebruik vanaf kiosks (met weliswaar uitgeklede functionaliteit) en een Web Start application-installatiemethode. Verder kun je tijdens de installatie aangeven of je HOBLink Secure-ondersteuning wilt gebruiken (SSL wordt dan ingeschakeld in de Java-client), zodat de RDP-client in staat is te communiceren met WebSecureProxy. Vink je tijdens de installatie HOB Single SingeOn aan, dan wordt de loginnaam, het wachtwoord en de domeinnaam van de lokale werkplek tevens gebruikt voor terminal server-sessies.
Functionaliteit Als we kijken naar de toegevoegde functionaliteit van JWT aan Windows Server 2003 terminal server, dan zijn met name gepubliceerde toepassingen, de toegangsmogelijkheden tot lokale stations, de universele printmogelijkheid en geavanceerde load balancing relevant.
Afbeelding 1 Installatie van HOBLink JWT
6/8/05
19:14:42
Labreport
Hoblink JWT en WebSecureProxy
Helaas zijn deze functies niet allemaal inbegrepen in het basisproduct en is hiervoor extra software nodig, namelijk HOB Enhanced Terminal Servers 1.2. Die bestaat uit drie onderdelen: Het eerste onderdeel is de Basic Module for Enhanced Terminal Services, die op elke terminal server geïnstalleerd dient te worden. Deze optie zorgt voor het publiceren van toepassingen en geavanceerde load balancing. Met de functie Application Publishing worden individuele toepassingen gepubliceerd en transparant aangeboden aan werkplekken van medewerkers. Om een gepubliceerde toepassing vervolgens te starten, dient de gebruiker de toepassing op de client te selecteren. Hierbij wordt load balancing ondersteund. De servers worden gegroepeerd in een server farm. Op de client kan vervolgens ingesteld worden of de farm benaderd wordt door middel van een broadcast, als de routers binnen je bedrijf dit doorlaten. Je kunt daarnaast gebruik maken van een lijst met servers. Als een sessie om de een of andere reden ontkoppeld wordt, kun je aangeven opnieuw in te loggen op dezelfde server. HOBLink JWT Load Balancing gebruikt standaard poort 4095, dus routers en firewalls moeten deze ook doorlaten. De Xpert-module moet eveneens geïnstalleerd worden op elke terminal server en biedt uitgebreide speciale opties voor Local Drive Mapping. Je kunt diverse instellingen maken die vastleggen wat een medewerker precies mag doen op de verbonden lokale stations. Als je niet wilt dat een gebruiker een .exe-bestand start, kun je dat bijvoorbeeld instellen. HOBLink gaat hierin dus verder dan Citrix Presentation Server en biedt in weze een minimale variant van endpoint security met JWT. Het derde onderdeel is de Enhanced Terminal Services Manager. Dit is een MMC-hulpprogramma dat de Serverfarm Manager, de Application Publishing Manager en de Load Balancing Manager bevat voor het beheren en configureren van farms. Je kunt dit installeren op een werkplek of een server die je voor beheer gebruikt.
NOP0505_p48-53_Labreport_HOBlink.indd
49
Uiteraard is HOBLink JWT in staat te printen naar lokaal ingestelde printers (ook netwerkprinters). Je kunt daarbij gebruik maken van de Universal Printer Driver. Op de terminal servers worden twee stuurprogramma’s gebruikt (van de HP LaserJet Series II en de HP DeskJet 500 C voor kleurenafdrukken). Op de server wordt met deze drivers PCL-printcode gegenereerd, die wordt doorgestuurd naar de werkplek om daar op elk type lokale printer afgedrukt te worden. De maximaal ondersteunde afdrukresolutie is 300 dpi. Je kunt bovendien instellen dat voor het printen een beperkte bandbreedte gebruikt mag worden (door een baudrate in te voeren).
met de centrale toepassingen. Dit werkt tevens op elke thin client die een lokale browser en een Java Virtual Machine bezit (en dat zijn nagenoeg alle Linux- en Windows XP Embedded gebaseerde thin clients). Een toepassing op de terminal server kan naar believen in een afzonderlijk venster starten, binnen de browser draaien of het volledige beeldscherm in beslag nemen. De grootste tekortkoming van JWT 3.1 is misschien wel dat je geen ‘seamless Windows’ hebt. De toepassing is altijd voorzien van een extra bureaublad. Je kunt dat verbergen door de toepassing op het volledige scherm te plaatsen, maar voor de gebruiker blijft het een ietwat verwarrend toepassings-
HOBlink JWT geïnstalleerd op Webserver
(1) Java applet gedownload naar client
TCP/IP Internet TCP/IP
Client computer met JVM (browser)
(2) Verbinding via RDP
Windows Terminal Server
Afbeelding 2 Basisarchitectuur HOBLink JWT
Daarmee voorkom je dat printers trage lijnen te zwaar belasten.
WebSecureProxy Als je HOBLink Secure aanschaft, zit daar de WebSecureProxy bij. Deze wordt ondersteund op verschillende besturingssystemen, waaronder enkele UNIX-varianten. Hierdoor hoef je geen Windows in je DMZ te installeren. De WebSecureProxy biedt HOBLink JWT veilig toegang tot terminal servers via SSL (zie Afbeelding 3), met behoud van JWT load balancing.. Een gebruiker op een willekeurig platform kan gebruik maken van terminal servers door met de browser (Internet Explorer of Netscape) verbinding te maken met de webserver waar HOBLink JWT op geïnstalleerd is. Je download de compacte Java-applet en bent daarna eenvoudig in staat verbinding te maken
venster in een bureaubladvenster. JWT 3.2 krijgt deze optie wel en wordt dan True Windows genoemd. Helaas is deze optie in de beta die we gebruiken nog niet te selecteren om het daadwerkelijk te kunnen testen.
Muiswiel In eerdere versies van JWT werd geen wheelmouse ondersteund voor de centrale toepassingen (zie het Labreport van JWT 2.3 uit het server-based computing themanummer uit 2002, te downloaden op www.netopus.nl). Dat probleem is in deze versie gelukkig opgelost, want het wiel op de wheelmouse functioneert prima. Merk tevens op, dat bij het gebruik van JWT middels de Java-applet, het originele browservenster geopend dient te blijven. Sluit je deze, dan wordt tevens de sessie met de terminal server verbroken. Werk je met de lokaal f
49 6/8/05
19:14:46
Labreport
Hoblink JWT en WebSecureProxy
WAN
HOBlink JWT Client met HOBlink Secure (incl. Application Publishing
RDP
SSL/ Load Balancing/ Application Publishing Firewall 1
DMZ
HOB Web Secure Proxy --Windows NT/2000, Sun Solaris, AIX, Open Unix of HP-UX
RDP
Load Balancing/ Application Publishing Firewall 2
LAN
Windows Terminal Server-Farm met RDP Load Balancing Application Publishing
Afbeelding 3 Architectuur met WebSecureProxy
geïnstalleerde Java-RDP-client, dan is dit uiteraard niet het geval. Deze Javaclient biedt je het Session Center, een grafische omgeving voor het maken van instellingen of het toevoegen van snelkoppelingen op het bureadblad en in de menu’s. Het programma wordt tevens gebruikt door beheerders om html-bestanden te genereren op de webserver, zodat gebruikers voorgedefinieerde instellingen krijgen.
Toegevoegde waarde Het basis-HOBLink JWT-product kost 149 euro per named user en biedt op Windows Server 2003 terminal server niet voor iedereen toegevoegde waarde. Vooral binnen heterogene netwerken waar Windows, Mac’s en Linux/Unix door elkaar gebruikt worden is HOBLink JWT zinvol, omdat het draait op elk type systeem met Java. Verder is de processorgebaseerde load balancing erg handig. Het wordt echter pas interessant voor een veel bredere doelgroep als je de eerdergenoemde extra opties en aanvullende toepassingen erbij koopt.
NOP0505_p48-53_Labreport_HOBlink.indd
51
Deze aanvullingen maken HOBLink JWT bovendien een stevige concurrent voor andere fabrikanten van gelijksoortige aanvullende terminal server-software. Merk wel op dat de prijs door de aanschaf van de genoemde opties en extra toepassingen, die initieel een heel stuk lager is dan die van de grote concurrent, wel wat hoger wordt. Als je eerlijk vergelijkt moet je deze opties en producten van HOB hierin wel meetellen. Sinds de vorige door ons in NetOpus geteste versie 2.3 is er veel verbeterd aan HOBLink JWT 3.1, en we kunnen nog meer verwachten in de aankomende JWT 3.2. Vooral standaard HOBLink JWT is bijzonder eenvoudig in beheer en gebruik. Technisch bekeken, biedt het product, mits je de extra modules aanschaft, exact de functies die Microsoft laat liggen, zonder de voor veel organisates onnodige toeters en bellen van bijvoorbeeld Citrix Presentation Server. Verder heeft HOB nog andere beveiligings- en toegangsproducten voor bijvoorbeeld mini’s, mainframes en UNIX, en kan dus voorzien in meer dan alleen toegang tot terminal servers.
Documentatie De Engelstalige documentatie is zowel wat betreft installatie als gebruik van JWT erg matig. Je moet regelmatig terugvallen op de online hulpinformatie binnen de programma’s en zelfs dan blijf je met kleine vragen zitten. Vooral als je HOBLink JWT wilt gebruiken met de aanvullende componenten en producten wordt het een flinke maar boeiende puzzel. Het Duitste HOB denkt erg in techniek en producten, waarbij bovendien de productnamen niet helemaal consistent gebruikt worden en de documentatie incompleet is. Een gevolg hiervan is dat je als mogelijke koper van JWT de benodigde informatie en documentatie over producten en componenten bij elkaar moet schrapen uit webpagina’s, pdf-bestanden, readme’s en meer. Zo is er in het kader van een server-based computing-oplossing (in willekeurige volgorde) sprake van HOBLink JWT, HOBLink JWT/Enter-
prise Access, HOBLink WTS Edition, de Xpert-module, HOBLink Secure, HOB Enterprise Access, WebSecureProxy, HOBlink Certificate Generator, HOB Enhanced Terminal Services en HOB Proxy Server. Het is hierdoor weliswaar modulair, maar misschien wel iets te modulair. Wat moet je aanschaffen, wat is inbegrepen en wat moet je installeren om in jouw situatie veilige toegang te verschaffen tot terminal servers? Het zou verhelderend werken als de vele opties en producten bij JWT zouden worden gecombineerd tot een product, met een overkoepelende installatieprocedure, management interface, goede oplossingsgerichte documentatie en een basisprijs. Dat betekent dus zonder een individueel aan te schaffen Xpert module en HOBLink Secure of Enterprise Access. Vooral Enterprise Access is het meest wazig beschreven in combinatie met JWT. HOB zou flink wat extra server-based klanten kunnen winnen door te gaan denken en communiceren in oplossingen in plaats van in technologie. Want met de technologie zit het wel goed. Y
Product: HOBLink JWT 3.1 Producent: HOB Website: www.hobsoft.com Prijs: vanaf 149 euro per gebruiker + Uitgebreide multi-platform de support voor RDP-client; bre rs, wse bro r voo ing ondersteun webservers en HOBLink Secure-servers; biedt alle noodzakelijke extra functies voor server-based computing bovenop terminal server; veilige toegangsopties met extra verkrijgbare HOBLink Secure; redelijke prijs - Geen ‘seamless Windows’ (in ge JWT 3.1, wel in JWT 3.2); mati te ie; ntat ume algehele doc veel (los aan te schaffen, installeren en licenseren) componenten en producten
51 6/8/05
19:14:49
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Hardware in Citrix-kleuren Auteur: Marcel Beelen Pagina’s: 52, 53, 55, 57 en 59
Hardware in Citrix-kleuren Citrix Access Gateway Als Citrix het kleine bedrijf Net6 uit San José met 30 medewerkers niet had overgenomen, hadden we waarschijnlijk in Nederland nooit van de Net6-producten gehoord. In de zoektocht van Citrix naar toegangsoplossingen is het product Hybride VPN omgedoopt tot de Citrix Access Gateway. Het apparaat had al een rood frontje, en door dat te voorzien van een Citrix-logo en een Citrix quickstart folder heb je een direct bruikbaar Citrix-productt.
C
itrix heeft al een softwaregebaseerde SSL-toegangsoplossing (secure gateway) dat bijgeleverd wordt bij Citrix Presentation Server. Het nadeel hiervan is dat het nogal complex is om in te richten en dat het alleen werkt in combinatie met het genoemde Citrix-product. Met de Access Gateway stapt Citrix de hardwaremarkt binnen, en maakt toegang mogelijk tot meer dan alleen de Presentation Server-wereld. De Citrix Access Gateway is een SSL VPN appliance die tot 2000 gebruikers gelijktijdig toelaat en concurreert met producten van organisaties die al een stevige marktpositie hebben veroverd met appliances (zoals de Netilla-appliance elders in deze NetOpus en de vorig jaar geteste appliances van Aventail en Juniper). Laten we eens bekijken
52
NOP0505_p52-59_Labreport_CitrixAccesGateway.indd
52
in hoeverre het apparaat van Citrix in staat is te concurreren met de andere SSL VPN-appliances.
Half Citrix en half Net6 Je merkt al direct dat de appliance nu door een grote organisatie met een enorme marketingmachine wordt verkocht. Bij Net6 was er nog sprake van een Hybride VPN, omdat volgens de brochure de voordelen van zowel traditionele IPSec VPN’s als SSL VPN’s worden geïntegreerd, maar Citrix heeft dit verwarrende ‘hybride’ terecht laten vervallen. De appliance van Citrix is namelijk een SSL VPN, die net als andere SSL VPN appliances via poort 443 toegang biedt. Het apparaat heeft technisch bekeken niets te maken met IPsec, maar we zullen verderop wel zien waarom Net6 de naam Hybride VPN hanteerde.
Net6 had verder twee modellen: een tower en een 1U hoog 19” apparaat. De verschillen waren eigenlijk vooral kunstmatig, met maximaal 20, respectievelijk 2000 gebruikers. Welke organisatie heeft bovendien een tower pc look-alike als beveiligingsapparaat ingericht? Citrix biedt nu terecht alleen nog de 1U 19” appliance aan. Verder komen in de grafische interface en de helpbestanden de namen Net6 en Citrix nog hier en daar door elkaar voor. Een ander stukje historie vind je bij de licenties. In het helpbestand is er nog sprake van named user licenties, terwijl de appliance nu werkt met gelijktijdige licenties. Het inrichten van de appliance is en beetje on-Citrix. Er wordt nog regelmatig gerefereerd naar open source-tools die nodig of handig zijn voor het beheer. Zo wordt cygwin
6/8/05
19:16:54
Labreport
Citrix Access Gateway
geadviseerd om op Windows certificaten te prepareren, en ldapbrowser om objecten in een directory server op te vragen. De beheeromgeving zelf is eveneens rijkelijk voorzien van open source hulpprogramma’s, en de appliance draait een uitgeklede en op RedHat v8-gebaseerde Linux-versie.
Appliance of pc? Het apparaat ziet er mooi uit met een Citrix-rode en iets ronde vormgeving en LED’s aan de voorzijde van het 1U dunne en 19” brede apparaat. Het wordt geleverd met alle inbouwmaterialen om het in een rack te monteren. Alle relevante aansluitingen bevinden zich aan de achterzijde. Opvallend is dat zich hier aansluitingen voor muis, toetsenbord en beeldscherm bevinden, evenals enkele usb-poorten en een parallelle poort. Als we het rode frontpaneel aan de voorzijde verwijderen, ontdekken we nog eens een tweetal usb-poorten, een diskettestation en een cd-rom-speler. De Citrix Access Gateway is bovendien een van de weinige appliances met een echte (fysieke) aan/uit-schakelaar. De cd-rom-speler kan (en moet!) worden gebruikt voor firmware-upgrades. Op de bijgeleverde cd-rom staat een waarschuwing dat deze alleen in de appliance gebruikt mag worden omdat er zonder interactie een installatie wordt uitgevoerd. We probeerden dit natuurlijk toch uit, en inderdaad: een pc start op van de cd-rom met Isolinux en probeert vervolgens een appliance te installeren. Al deze extra en soms overbodige aansluitingen maken dat het apparaat meer weg heeft van een pc dan van een appliance. In appliances heb je immers het liefst zo weinig mogelijk overbodig aansluitingen en componenten, om de kans op storingen en fouten door beheerders te voorkomen. Na het inschakelen maakt de Access Gateway overigens net zoveel lawaai als al zijn door ons geteste concurrenten, wat hem weer méér appliance dan pc maakt. In je datacenter heb je immers geen last van blazende en razende ventilatoren.
NOP0505_p52-59_Labreport_CitrixAccesGateway.indd
53
Installatie Het installeren en configureren van de Access Gateway is niet moeilijk. Het starten van de appliance en het geïntegreerde Linux-besturingssysteem gaat redelijk vlot, waarna je de initiële configuratie dient uit te voeren. Hiervoor sluit je een seriële kabel aan op de consolepoort en configureer je met een terminal-emulator het IP-adres. Handig is het beschikbare ping-commando om direct in deze fase als de netwerkconnectiviteit te kunnen controleren. Het systeem hoeft niet te herstarten en na korte tijd is de appliance gereed voor verdere configuratie via het netwerk. De softwareversie in het door ons geteste apparaat is v4.9, de actuele versie eind mei 2005.
Gateway Administration Tool, waarop een kleine executable van 347 Kb wordt gedownload en gestart wordt (de citrix_ admin_monitor.exe). Dit programmaatje blijkt een soort mini VNC-viewer voor je Windows-werkplek te zijn, die automatisch verbinding maakt met de appliance en een grafische toepassing opstart binnen een compact, uitgekleed en afgeschermd Linux-bureaublad. Die wordt over de netwerkverbinding naar je werkplek gestuurd en kun je vervolgens bedienen met de muis en je toetsenbord. Het grote voordeel is dat er een rijke beheertoepassing mogelijk wordt, waarbinnen allerlei mooie en geavanceerde grafische Linux-programma’s gestart en gebruikt kunnen worden (zie Afbeelding 1). Zo vind
Afbeelding 1 Beheeromgeving van de Citrix Access Gateway
Grafische beheerconsole Je maakt verbinding met de appliance door naar de ingeschakelde webserver te bladeren met je browser en hier in te loggen (https://appliance:9001). Wat meteen opvalt, is de minimale webinterface. Naast het aanpassen van het beheerwachtwoord, het instellen van de licentie en het certificaat, valt er verder weinig te configureren. Verder kun je de appliance herstarten, logging bekijken en de configuratiegegevens bewaren of herstellen. Verder is het pdf-bestand met de complete beheerhandleiding te downloaden. Citrix haalt echter een magische truc uit om nog meer functionaliteit aan te bieden. Je klikt op de knop Launch Access
je op deze Linux-desktop bijvoorbeeld de Access Gateway Realtime Monitor om te bekijken welke gebruikers zijn ingelogd via de appliance en welke adressen en poorten ze gebruiken. Verder vind je wat open source-hulpprogramma’s, zoals xNettools 1.0 (grafische interface naar bijvoorbeeld ping en andere opdachten), Etherreal 0.9 (netwerkprotocol-analyser), een grafische traceroute (Matt’s Traceroute v0.49), de Gnome System Monitor 2.0 en fnetload (om de netwerkbelasting op de adapters te bekijken).
Nadelen Toch zullen er veel bedrijven zijn die de voorkeur geven aan een volwaardige web-interface, omdat dit een gangbare f
53 6/8/05
19:16:58
Labreport
Citrix Access Gateway
manier is voor het beheren van allerlei andere soorten appliances en netwerkcomponenten in een bedrijfsnetwerk, ook al is die wellicht wat minder rijk als de grafische beheeromgeving die de Access Gateway nu biedt. De beheermodule werkt bovendien niet op een ander besturingssysteem (dus niet vanaf Linux of UNIX). De aparte client-toepassing is geen gewone VNC-viewer of X-server,
je wat aanvullende netwerkgegevens in, zoals de tweede netwerk-interface, extra DNS-servers, een WINS-server, SNMP- en/of SYSLOG-logging ten behoeve van je enterprise monitoringoplossing. Verder mis je een optie om NTP te configureren. De tijd wordt door de appliance gesynchroniseerd door tijdens starten via internet een rdate-opdracht uit te voeren naar time.nist.gov.
Voor authenticatie wordt op dit moment Radius en RSA SecurID ondersteund
Een eenvoudige variant van end-point security (zie artikel elders in deze NetOpus) is hierbij te configureren. De appliance is samen met de agent op de pc in staat te controleren op bestanden, registerwaarden of lopende processen. Je zou dus bijvoorbeeld kunnen controleren of het Norton Antivirus-proces draait of dat er een zich een specifiek bestand op de harde schijf van de pc bevindt. Je moet vooraf wel exact weten wat je wilt controleren. Helemaal fraude-ongevoelig is het ook niet, want een gebruiker die weet wat er wordt gecontroleerd, kan dit met trucs wel omzeilen.
Niet clientless anders was dit wellicht wel mogelijk geweest. De grafische interface van de Access Gateway heeft wel enkele andere nadelen. Je moet niet alleen voor elke beheeractiviteit de helper-toepassing downloaden en starten (of beschikbaar hebben). Het is ook niet bijzonder snel en dat merk je direct tijdens het werken met de beheerconsole. Je sluit de Access Gateway normaal gesproken aan in je DMZ, waarna je alleen poort 443 (SSL) hoeft te openen in de firewall. In de handleiding van het apparaat vind je geen uitleg over scenario’s waarbij je met een dubbele firewall of driedubbele firewall werkt, maar het is wel duidelijk dat op de firewall tussen het bedrijfsnetwerk alle aanvullende poorten geopend dienen te worden voor alle toepassingen die je wilt gebruiken. Die zijn afhankelijk van de diensten die je nodig heb, zoals LDAP (389) of Windows netwerktoegang (de poorten 137-139, 445) en de poorten voor toepassingen die je wilt aanbieden met ICA of RDP en poorten die gebruikt worden door individuele client/server-toepassingen.
Wizard niet nodig De verdere configuratie is een kwestie van wat spelen met de tabbladen van het apparaat. Het is niet moeilijk om er zelf achter te komen hoe het werkt en wat er ingesteld moet worden (mocht je de bijgeleverde handleiding met 175 pagina’s niet willen lezen). Indien nodig stel
NOP0505_p52-59_Labreport_CitrixAccesGateway.indd
55
De Citrix Access Gateway ondersteunt een active/active failover-mogelijkheid. Hiertoe kun je de adressen invullen van de failover-machines. De agents op de clients bepalen in combinatie met de dubbele Access Gateway welke appliance daadwerkelijk gebruikt wordt. In toekomstige versies zal bovendien ook load balancing plaatsvinden. De webpagina waarop de gebruikers zich aanmelden zijn minimaal aan te passen door een andere html-pagina en individuele jpg/gif-plaatjes te uploaden naar het apparaat, maar dat verandert niets aan het ‘menu’. Daarvoor heb je slechts een of twee keuzemogelijkheden. De gebruiker kiest of hij een volwaardige netwerkverbinding met het bedrijf wil maken of dat hij in kioskmode toegang wil hebben. Er zijn enkele manieren waarop de toegang kan worden beperkt. Je maakt op de gateway gebruikers en groepen aan of haalt deze uit een LDAP directory server. Voor authenticatie wordt op dit moment Radius en RSA SecurID ondersteund. Vervolgens ga je de groepen koppelen aan ACL’s, zoals Citrix dit noemt. In vergelijking met andere appliances is hier niet veel gradatie mogelijk, want je kunt toegang slechts beperken tot IP-adressen, subnetten en poortnummers of TCP/UDP. De groepen waar de gebruikers zich in bevinden, bepalen dus welke netwerken, servers en poorten op die server zichtbaar en te gebruiken zijn.
De Citrix Access Gateway biedt geen geavanceerde webpagina voor de gebruikers, waarop ze na het inloggen hun toepassingen zien. De appliance is een netwerk-gateway, en geeft toegang tot het netwerk alsof de pc is aangesloten op het bedrijfsnetwerk. De Access Gateway zorgt voor een tunnel, versleuteld met 196-bit TLS over SSL-poort 443. Nadat de gebruiker kiest om een volledige netwerkverbinding te maken, wordt de Secure Access Agent gedownload en geïnstalleerd. Dit lukt de eerste keer alleen met administrator-rechten op de werkplek. Linux-werkplekken worden ook ondersteund, en daarop zijn rootprivileges noodzakelijk om te kunnen installeren. Nadat de client geïnstalleerd en gestart is, is het openen van een VPNsessie met je organisatie zeer simpel. Je klikt op de Secure Acces Agent, waarna er een eenvoudig login-scherm wordt getoond. Je vult naam en wachtwoord in en vervolgens wordt over poort 443 een VPN-tunnel geopend naar je bedrijfsnetwerk. Je ziet slechts dat deel van het netwerk dat door de beheerder is geopend, maar er is geen manier om op te vragen tot welke servers en toepassingen je toegang gekregen hebt. Je zult als gebruiker zelf lokaal toepassingen moeten starten en controleren of deze toegang hebben tot de benodigde servers. Zo heb je directe toegang tot eventuele gedeelde netwerkstations omdat je aan het netwerk gekoppeld bent. Je zult f
55 6/8/05
19:17:00
Labreport
Citrix Access Gateway
deze mappings echter wel zelf handmatig moeten maken, omdat je niet in het Windows-domein bent ingelogd. Dit is overigens vergelijkbaar met veel andere VPN- en IPSec-oplossingen die volledige netwerktoegang realiseren.
De kioskmode Om toch eenvoudig toegang te bieden vanaf onbeheerde werkplekken zoals in internetcafés of thuis, biedt de Access Gateway een kioskmode. Gebruikers die deze willen gebruiken, kiezen deze optie op de webpagina na het inloggen. Er wordt dan een compleet Linux-bureaublad geopend met een soort X-Windows/VNC-oplossing die draait op de appliance, met op dat bureaublad enkele mogelijkheden om verder in te loggen naar je bedrijf (zie Afbeelding 2). Zo vind je er - afhankelijk van wat de beheerder geconfigureerd heeft - een ICA-client (versie
en RDP-clients configureren. Verder is de pdf-viewer van matige kwaliteit en moet toegang tot netwerkstations handmatig op de appliance worden gedefinieerd door de beheerder. De Mozilla browser werk niet samen met bepaalde websites en webtoepassingen en bovendien kost een kiosksessie relatief veel performance voor de appliance. Als de beheerder ervoor gekozen heeft deze kiosk in ‘persistent’ mode te draaien, worden gemaakte instellingen en gedownloade bestanden op de appliance bewaard, zodat je niet steeds de ICA-client opnieuw hoeft te configureren. Maar het is ook een potentieel gevaar, want als een gebruiker bedrijfsbestanden download naar de kioskomgeving, blijven deze ook na uitloggen fysiek op de appliance in je DMZ liggen. De kioskmode komt in toekomstige versies van de Access Gateway te vervallen.
Afbeelding 2 Kiosk-mode op de Citrix Access Gateway
8.0), een RDC-client, een VNC-client, de Mozilla browser met de xpdf-viewer om pdf-documenten te bekijken en een x3270-emulator voor mainframetoegang. In de handleiding wordt ook een Yahoo!-client genoemd, maar deze optie is door Citrix uit de kioskmode verwijderd. Deze kioskoplossing werkt prima voor power users, maar voor minder vaardige gebruikers er zijn meer nadelen dan voordelen te bedenken. Zo moet de gebruiker die verbinding heeft gemaakt, zelf de ICA-
NOP0505_p52-59_Labreport_CitrixAccesGateway.indd
57
De omgekeerde wereld? De Citrix Access Gateway is moeilijk vergelijkbaar met andere SSL-appliances, omdat het concept en de architectuur anders zijn. Veel SSL-appliances bieden een webgebaseerde omgeving om verbinding mee te maken. In die webomgeving zie je precies die file shares en toepassingen waar je vanaf de externe werkplek toegang tot hebt. Om te voorkomen dat na gebruik van de resources geen ongewenste bestanden en informatie
achterblijft, wordt gebruik gemaakt van bijvoorbeeld cache-cleaners of wordt er een virtuele omgeving aangeboden die wordt schoongemaakt als de netwerkverbinding wordt verbroken. Met aanvullende softwareopties voor de firmware van de SSL-appliances worden er meer toegangsmogelijkheden toegevoegd. De ultieme softwaretoevoeging is een mogelijkheid om over de SSL-appliance volledige netwerktoegang te bieden, met een afzonderlijk te installeren client-toepassing op de werkplek (vaak een virtuele netwerkdriver). Aventail noemt deze optie bijvoorbeeld Connect, Juniper de Network Connect en bij Netilla heet dit de tunnel-optie. Met andere woorden, de kale SSL-appliances bieden je een gecontroleerde toegang tot enkele resources, die je in de appliance met (meestal geen goedkope) softwareopties uitbreidt naar meer resources en het volledige netwerk. De Citrix Gateway doet het feitelijk andersom. De kale machine biedt volledige toegang tot (delen van) het netwerk via SSL door gebruik te maken van een lokale client op de werkplek. Door deze lokale agent en de volledige netwerkverbinding, werken aardige functies als de always-on functionaliteit. Hierdoor kun je met een druk op de knop van werkplek naar werkplek roamen met behoud van de VPN-verbinding, met daarbij ondersteuning van bijvoorbeeld spraak- en videotoepassingen. Met aanvullende software krijg je de mogelijkheid om fijnmazige toegang te verschaffen en uitgebreide end-point security-zaken te implementeren. Dit is dus het omgekeerde van wat je wellicht gewend bent. De Citrix Access Gateway heeft geen webgebaseerde gebruikersomgeving waar toegang en toepassingen in worden aangeboden. De remote gebruiker werkt dus gewoon met lokaal geïnstalleerde toepassingen op zijn eigen Windows-omgeving. De benodigde netwerkverbinding is hierdoor standaard niet ‘dun’, zoals bij sommige concurrenten. De toevoeging van software maakt het f
57 6/8/05
19:17:04
Labreport
Citrix Access Gateway
geheel wel dunner en biedt een webgebaseerde toegangsomgeving. Daarnaast is de architectuur wel anders. De aanvullende software waar we over spreken draait namelijk niet op de Access Gateway maar op een of meer Windows-servers binnen het netwerk. Deze software werd voorheen als apart product verkocht onder de naam MetaFrame Secure Access Manager, maar is in deze vorm opgehouden te bestaan en wordt nu aangeboden als Citrix Access Gateway Advanced Control Option. Licenties voor beide producten samen (dus de Citrix Access Gateway client-licenties en de Advanced Control Option) worden aangeboden als de Citrix Access Gateway Enterprise. Dit is exclusief de hardware, want die dient apart aangeschaft te worden. De Advanced Control Option compliceert weliswaar de charmante eenvoud van de Citrix Access Gateway, maar biedt bijzondere mogelijkheden om toegang te regelen, vooral in combinatie met Citrix Presentation Server.
Wat de toekomst biedt De Citrix Access Gateway zal in de door ons geteste vorm moeite hebben te con-
NOP0505_p52-59_Labreport_CitrixAccesGateway.indd
59
curreren met de andere appliances. Er ontbreken toch wel wat zaken om het apparaat in te kunnen zetten in grote ondernemingen, waar clientless toegang op detailniveau geregeld moet kunnen worden of waar toepassingen bijvoorbeeld in een webpagina (portal) aangeboden moeten worden. De combinatie van de Citrix Access Gateway met de Advanced Control Option (MetaFrame Secure Access Manager) biedt al die mogelijkheden echter wel, en zelfs met veel uitgebreidere opties voor toegang tot Presentation Servers dan de concurrentie. De architectuur zorgt ervoor dat je toch alleen maar een Linux-appliance in je DMZ hebt staan. De Citrix Access Gateway is in al het enthousiasme een beetje te snel aangekondigd, want de persberichten, de website van Citrix, de producten en zelfs de namen ervan liepen niet synchroon. De ontwikkelingen staan natuurlijk niet stil. Eind mei is de Citrix Access Gateway 4.0 uitgebracht (de opvolger van de door ons geteste v4.9 wat eigenlijk een opgepept Net6-product uit februari 2005 is). Hierbij is Secure Gateway (bekend als gratis softwarecomponent van Citrix Presentation Server) opgenomen in de appliance. Dit geeft het apparaat ook zonder de Advanced Control Option een handige gebruiksmogelijkheid voor enterprises die veel met Presentation Server werken, namelijk door het vervangen van de (complexe) Secure Gateway-component en bijbehorende architectuur. Je kunt dan met een ICA-client veilig en gemakkelijk Presentation Servers in je organisatie benaderen.
Totaalbeeld De Access Gateway Enterprise mist nog een paar mogelijkheden om een echt bijzondere toegangsoplossing te worden. Een volwaardige webgeba-
seerde beheermogelijkheid is daar een van, en eventueel ook een optie om monitoring en het beheer met de Access Suite-console te doen. Ook zou het handig zijn als overlappende functies met ander producten verwijderd of geïntegreerd kunnen worden, zoals remote control en end-point securityzaken in zowel de gateway als de Advanced Control Option. Daarmee zou de Acces Gateway de concurrentie met zowel SSL VPN- als IPSec VPN-oplossingen nog beter aankunnen. Als je zelf wilt gaan testen of evalueren, zorg er dan voor dat je altijd de jongste versie van zowel de Acces Gateway (firmware) samen met de Advanced Control Option bekijkt om een totaalbeeld van de oplossing te krijgen. Y
v4.9 Product: Citrix Access Gateway Producent: Citrix Website: www.citrix.com 99 Prijs: Hardware: 2495 dollar, e jdig jkti geli dollar per gebruiker (149 dollar voor de Citrix Access Gateway Enterprise inclusief Advanced Control Option) + Eenvoudig beheer en veilige toegang; aardige remote control over functie; rijke grafische; fail rmee der zon g en load balancin s dloo naa t slui ; prijs inbegrepen on Opti trol Con ed aan bij Advanc ook (voorheen MSAM) en daardoor ersch ; ver Ser bij Presentation pe prijs - Overbodige zichtbare aanslui eer beh e sch fi tingen; trage gra rd llee etai ged niet tool; toegang op applicatieniveau te regen len in de appliance zelf; gee e erkt bep g; ssin clientless oplo te en alle en; kioskmogelijkhed upgraden met een cd-rom
59 6/8/05
19:17:10
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Citrix Online GoToMeeting Auteur: Marcel Beelen Pagina’s: 60 en 61
Let’s meet again Citrix Online GoToMeeting Op de conferencingmarkt zijn er flink wat mogelijkheden, waaronder Microsoft Live Meeting, WebEx, Centra en IBM/ Lotus. Meestal zijn het internetdiensten, waarbij de deelnemers zich aanmelden bij een webserver, om vervolgens over de internetverbinding te vergaderen. Je betaalt per tik (per minuut), per gebruiker, of een vast bedrag per maand of jaar voor een abonnement. Wij bekijken GoToMeeting van Citrix.
C
itrix biedt binnen de MetaFrame Access Suite 3.0 het product MetaFrame Conferencing Manager aan 3.0. Dit product analyseerden we in het themanummer van vorig jaar. Citrix heeft echter nog een tweede vergaderproduct: Citrix Online’s GoToMeeting. Ben je niet zo bekend met Citrix, dan zal je opvallen dat GoToMeeting veel lijkt op MetaFrame Conferencing Manager 3.0. De gebruiksmogelijkheden van beide producten lijken erg veel op elkaar, op kleine verschillen na, zoals het ontbreken van een chatmogelijkheid in Conferencing Manager 3.0 of het ontbreken van een whiteboard-functie in GoToMeeting. Qua architectuur zijn beide producten echter zeer grote tegenpolen. MetaFrame Conferencing Manager 3.0 draait alleen bovenop Citrix Presentation Server en je moet dus een infrastructuur tot je beschikking hebben met terminal servers en Citrix Presentation Server erop geïnstalleerd. Het product is dan ook vooral een conferen-
Afbeelding 1 Aanmelding en persoonlijke gegevens
60 NOP0505_p60-61_Labreport_GoToMeeting.indd
60
cing-aanvulling op Presentation Serveromgevingen. GoToMeeting echter maakt geen gebruik van de ICA-client en is een losstaand webgebaseerde vergaderdienst. Je kunt er per maand of per jaar voor betalen, of voor het aantal gelijktijdige gebruikers dat ermee vergadert. GoToMeeting lijkt veel op de eerdergenoemde concurrenten.
Klik & vergader Je neemt een abonnement voor een maand of een jaar voor het gebruik van de GoToMeeting-dienst op www. gotomeeting.com. Je betaalt als organisator een bedrag en mag daarmee zo veel en zo vaak vergaderen als je wilt met het aantal deelnemers dat je hebt aangeschaft. GoToMeeting ondersteunt maximaal een organisator met tien deelnemers. GoToMeeting Corporate ondersteunt meer dan vijf organisatoren en sessies tot maximaal 200 deelnemers. De corporate versie heeft verder extra beheermogelijkheden en rapportagemogelijkheden. Citrix Online beweert dat installatie, configureren en starten van een bijeenkomst slechts een tweetal minuten kost, en dat blijkt in de praktijk inderdaad waar te zijn. Op besturingssystemen vanaf Windows 95 met Internet Explorer 5 of hoger of Netscape 6 of hoger kun je online vergaderen. Maak
Afbeelding 2 GoToMeeting installeert razendsnel en opent een login-scherm
een login-mogelijkheid voor jezelf aan op www.gotomeeting.com. Daarna worden wat persoonlijke gegevens gevraagd, zoals adres, woonplaats en telefoon en moet je een creditcardnummer op te geven (zie afbeelding 1). Wil je geen creditcardnummer invoeren, sluit dan zonder verder iets te bewaren het venster af waar om het nummer wordt gevraagd. Je ontvangt toch een e-mail met een link, die je opnieuw naar het creditcardscherm brengt. Sluit je het scherm opnieuw dan wordt je direct een aanbieding gestuurd om de dienst te evalueren zonder creditcardgegevens. Klik op Install GoToMeeting en de vergadertoepassing wordt in een paar tellen gedownload en geïnstalleerd. Vervolgens heb je de beschikking over een knopje in je messenger toepassing, binnen Outlook en rechts op de taakbalk. GoToMeeting kent een drietal rollen. De rol van organisator is weggelegd voor de persoon die de bijeenkomst regelt en de deelnemers uitnodigt. De presentator is de persoon wiens pc gedeeld
6/8/05
19:20:06
Labreport
Citrix Online GoToMeeting
wordt en de deelnemers zijn degenen die mee mogen kijken.
Vergaderingen Er zijn verschillende manieren om een vergadering te organiseren. Het meest transparant is als je op de website www.gotomeeting.com inlogt met je gegevens, en daar op de knop Host a Meeting klikt. Je geeft een vergaderonderwerp op en verstuurt de uitnodiging per e-mail, via een Instant Message of gewoon per telefoon. Het is aan te raden hierbij een extra Meeting-wachtwoord op te geven. Je kunt de vergadering direct starten, of een vergadering inplannen. Na inloggen en starten van de vergadering, verschijnt het zogenaamde Organizer Control Panel (zie afbeelding 3). Hierbij zie je meteen
Verschillen GoToMeeting en Conferencing Manager GoToMeeting
Conferencing Manager
Dienst
Softwareproduct
Periodieke abonnementskosten
Inbegrepen bij Citrix Presentation Server
Draait webgebaseerd
Draait op Windows met Citrix Presentation Server
Vanaf alle werkplekken
Alleen op werkplekken voorzien van de ICA-client
Over organisaties heen
Alleen binnen de organisatie of door gasten toe te laten op het bedrijfsnetwerk
iedereen inhaken? Kan zomaar iedereen meekijken op de pc van de presentator? Iedere deelnemer die wil meedoen aan een vergadering, dient in te loggen met een eigen wachtwoord en moet daarnaast de beschikking hebben over de unieke meeting-ID. Als extra beveiliging, is het slim als de organisator een extra wachtwoord gebruikt en dit alleen bekend maakt een de geautoriseerde deelnemers. Verder wordt de verbinding versleuteld met SSL en 128-bit AES. Tijdens een live presentatie heeft de presentator de volledige controle over het toetsenbord en de muis, en kan deze optioneel delen. De presentator kan ook op elk moment het delen van zijn bureaublad beëindigen. Met andere woorden: het lijkt allemaal wel snor te zitten met de beveiliging (zie ook het artikel over GoToMyPC van vorig jaar).
Is twee teveel? Afbeelding 3 De toolbar van de organisator
welke deelnemers zich online hebben gemeld, en kun je chatten met de deelnemers en je beeldscherm of een toepassing met hen delen. De deelnemers zelf hoeven slechts op een link in hun e-mail of message te klikken, waarna een klein programma wordt gedownload. Door vervolgens de ID van de vergadering in te voeren en het optionele wachtwoord, ben je live aanwezig in de online vergadering.
Veilig of onveilig Bij alle diensten die op deze wijze extern elektronisch worden afgenomen, speelt de vraag of het wel veilig is. Kan zomaar
NOP0505_p60-61_Labreport_GoToMeeting.indd
61
Citrix heeft twee producten die min of meer hetzelfde kunnen. Als Citrix geweten had dat ExpertCity Inc. met onder meer de dienst GoToMeeting overgenomen zou worden, had het misschien geen moeite genomen om Conferencing Manager verder te ontwikkelen. Maar Conferencing Manager is nu eenmaal gereed en in de Access Suite 3.0 opgenomen. In april van dit jaar is MetaFrame Conferencing Manager als product opgehouden te bestaan. Het is vanaf de Access Suite 4.0 inbegrepen bij alle versies van Citrix Presentation Server (Standard, Advanced en Enterprise). Dit is een logische stap, want er staan nu immers geen twee producten meer op de prijslijst die voor de buitenstaander hetzelfde doen, hetgeen toch altijd moeilijk is uit te leggen. Misschien dat
Conferencing Manager ooit in de toekomst een stille dood sterft, of dat verdere ontwikkelingen worden stopgezet. GoToMeeting kan de conferencingtaak in ieder geval gemakkelijk overnemen. Het is namelijk niet alleen een goedkope dienst, het werkt ook nog eens verbazend eenvoudig, goed, snel en betrouwbaar. De architectuur en werkwijze van GoToMeeting sluit bovendien beter aan bij de concurrenten op conferencinggebied en is veel beter uit te leggen.
Alweer een aanrader Vorig jaar waren we al erg blij verrast door Citrix Online GoToMyPC, waarmee je zeer eenvoudig je werkplek op afstand kunt overnemen. Met GoToMeeting zijn we minstens net zo gecharmeerd. Het is verschrikkelijk eenvoudig om te installeren en gebruiken, en heeft de potentie uit te groeien tot een zeer krachtige conferencing-oplossing. De dienst heeft weliswaar nog niet alle geavanceerde mogelijkheden van de concurrenten, maar het is ongetwijfeld een kwestie van tijd voordat er bijvoorbeeld video- en spraak-ondersteuning (VoIP/Skype) toegevoegd gaat worden. Y
Product: GoToMeeting Producent: Citrix m Website: www.gotomeeting.co nd; maa per ar Prijs: 49 doll t 39 dollar bij jaarabonnemen goede + Zeer gebruiksvriendelijk; kt wer ies; stat grafische pre s over firewalls; redelijke prij e voic n gee ; ans - Erg Amerika conferencing-nummer in Nederland beschikbaar; nog moeilijk te koop in Nederland
61 6/8/05
19:20:09
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Network Appliance FAS270 Auteur: Marcel Beelen Pagina’s: 62, 63, 64, 65 en 67
Multi-protocol filers Network Appliance FAS270 UNIX-varianten en Windows hebben afwijkende bestandssystemen, maar toch kunnen beide typen bestanden gemakkelijk op een enkele file server en zelfs op hetzelfde volume bewaard worden. Je kunt hiervoor een UNIX-server inrichten die voorzien is van services die in staat zijn CIFS/SMB te communiceren. De andere kant op is eveneens een optie, door de Windows-server te voorzien van een dienst die het NFS-protocol ondersteunt. Een veel elegantere oplossing is de inzet van een multi-protocol filer in de vorm van een appliance. NetOpus bekeek de FAS270 van Network Appliance.
Network Apliance FAS270 filer
S
torage en server-based computing zijn voor elkaar gemaakt. De technologieën vullen elkaar perfect aan en passen goed binnen het centralisatie- en consolidatieproces dat bij veel organisaties plaatsvindt. Bij server-based computing worden de terminal servers op centrale locaties geplaatst en bedienen de medewerkers deze toepassingen op afstand. De back-office systemen die nodig zijn bij server-based computing bevinden zich nabij de terminal servers. Alleen dan maak je optimaal gebruik van de voordelen van het concept en verkrijg je de beste prestaties. Denk bijvoorbeeld aan een database server die gebruikt wordt door een client/server-toepassing die op terminal server wordt aangeboden, of een file server voor de opslag
62
NOP0505_p62-77_Labreport_NetworkAppliance.indd
62
van gebruikersbestanden, profielen en dergelijke. Je ziet dan ook terecht dat bij veel server-based computingprojecten, centralisatie van storage in de vorm van een NAS of SAN meteen wordt meegenomen.
FAS270 De FAS270 is het op een na kleinste model filer van Network Appliance. Klein wil niet zeggen minder krachtig of minder functioneel, omdat voornamelijk de maximale opslagcapaciteit minder groot is dan bij de zwaardere modellen. De FAS270 heeft een maximale opslagcapaciteit van 8 terabyte en is net als alle filers geschikt voor inzet als Fibre Channel SAN, IP SAN (iSCSI) of networkattached storage (NAS). De allereerste Network Appliance filer - meer dan tien
jaar geleden - was een NAS-server die alleen UNIX ondersteunde, maar met de opkomst van Windows NT is daar al snel Windows-ondersteuning aan toegevoegd (sinds 1996). Het voordeel van NAS is dat deze technologie volwassen, flexibel en eenvoudig te implementeren en beheren is, zelfs bij het gebruik van grote aantallen UNIX- en Windows-servers die hun bestanden op de filer bewaren. De total cost of ownership van NAS is daardoor erg laag. Bij NAS wordt de storage appliance rechtstreeks aan ethernet gekoppeld, en biedt deze directe toegang over de netwerkverbinding via NFS en CIFS voor zowel werkplekken als servers. Network Appliance biedt enkele tientallen softwareopties en architectuurmogelijkheden om de beschikbaarheid
6/8/05
19:21:49
Labreport
Network Appliance FAS270
en prestaties te optimaliseren en de schaalbaarheid sterk te vergroten. Dit varieert van clustering tot het klonen van volumes en systemen, zowel lokaal als over het netwerk, en zelfs archivering van gegevens tot read-only data is mogelijk. Alle filers van Network Appliance zijn te beheren en monitoren met een handige webgebaseerde grafische interface, maar zijn voor een groot aantal geavanceerdere beheertaken tevens te beheren met opdrachten via rsh en telnet. Een opmerkelijk feit van de filers is dat ze in staat zijn te herstarten binnen een minuut, ongeacht de grootte van het bestandssysteem of de volumes. De basis van alle filers sinds het allereerste model, is het gepatenteerde bestandssysteem Write Anywhere File Layout (WAFL) en het NetApp Data ONTAP besturingssysteem. Bij de eerste servers stond het complete besturingssysteem nog op een diskette, maar tegenwoordig is het door alle opties en de uitgebreide documentatie wel wat omvangrijker geworden. Desondanks zijn de filers nog steeds appliances. Het zijn bijna black boxes, simpel te beheren en heterogeen inzetbaar. Voor typische storage-aspecten met betrekking tot de filers van Network Appliance verwijzen we naar het januari-nummer van NetOpus. Wij focussen ons verder op de specifieke aandachtspunten waar je mee te maken krijgt als je UNIX- en Windows-bestanden gaat mengen op een file server in een en dezelfde map.
middel van een X-servertoepassing op de Windows-werkplek of door te werken met Citrix Presentation Server voor UNIX (zie de artikelen over X-server en Presentation Server voor UNIX elders in deze NetOpus). De route de andere kant op wordt meer gebruikt: het bedienen van Windows-toepassingen op UNIX -werkplekken en Mac’s door middel van Microsoft terminal server, Citrix Presentation Server of HOBLink JWT. In een dergelijke heterogene werkplekomgeving krijgt de gebruiker op een werkplek te maken met bestandsopslag op een Windows-server voor Windows-toepassingen en een UNIXserver voor UNIX-toepassingen. Dit is erg onhandig, maar Network Attached Storage met multi-protocol ondersteuning biedt hier een perfecte oplossing. Het is veel eenvoudiger te beheren en op te schalen dan een oplossing waar een UNIX-server of -werkplek wordt voorzien CIFS/SMB-ondersteuning of een oplossing waarbij een Windowswerkplek wordt voorzien van NFS-ondersteuning. In Afbeelding 1 is deze architectuur weergegeven. Je ziet een filer in het midden, die via NFS communiceert met de UNIX-applicatieserver en via CIFS met de terminal server. De
werkplekken bedienen Windows-toepassingen op afstand, gebruikmakend van het RDP- of ICA-protocol. UNIXtoepassingen doen dat met X-Windows of het ICA-protocol.
Spreek in twee talen Er zijn nogal wat aspecten waar je mee te maken kunt krijgen als je Windowsen UNIX -bestanden gaat mengen in een directory. Zet je een Linux server met SAMBA in of een NFS-server op Windows, dan spelen deze aspecten eveneens. De FAS270 appliance ondersteunt zowel native NFS v2, NFS v3 en gedeeltelijk NFS v4, over zowel UDP als TCP evenals CIFS/SMB. Daardoor is hij inzetbaar in heterogene omgevingen waar behoefte is aan opslag van zowel UNIX-bestanden als Windows-bestanden. Network Applicance heeft met elke release van ONTAP-oplossingen bedacht om deze multi-protocol aspecten - die inherent zijn aan de verschillen tussen de besturingssystemen - te verbeteren. Daardoor heeft dit een sterke voorkeur boven de andere oplossingen zoals SAMBA. Laten we eens enkele multiprotocol bestandsaspecten bekijken. In Afbeelding 2 zie je de instellingen voor NFS op de filer. f
UNIX applicatie servers of MetaFrame voor UNIX X of ICA
X of ICA NFS
UNIX en Windows In server-based computing-land komen UNIX en Windows al snel samen. Enerzijds omdat UNIX-back-office servers (met bijvoorbeeld een Oracle database) fysiek dicht bij de terminal servers aan het netwerk worden gekoppeld, anderzijds omdat gebruikersbestanden gecentraliseerd dienen te worden. Maar server-based computing brengt de UNIX-werkplekken en Windows-werklekken ook erg dicht bij elkaar. Het bedienen van UNIX-toepassingen op Windows-werkplekken is mogelijk door
NOP0505_p62-77_Labreport_NetworkAppliance.indd
63
Windows werkplekken
Appliance
UNIX/Linux/Mac werkplekken
CIFS
RDP of ICA
Windows terminal servers
RDP of ICA
Afbeelding 1 Architectuur multi-protocol filer bij server-based computing
63 6/8/05
19:21:53
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Network Appliance FAS270 Auteur: Marcel Beelen Pagina’s: 62, 63, 64, 65 en 67
Afbeelding 2 FilerView met NFS-instellingen
Wie is de baas De filers integreren zowel in een UNIX NIS-omgeving als in een Active Directory-domeinstructuur. Bij NFS wordt de authenticatie uitgevoerd door de client en wordt aangegeven welke werkplekken een mount mogen maken naar een server in /etc/exports. Hierbij is het slechts beperkt mogelijk rechten mee te geven, want feitelijk zijn alleen readwrite en read-only rechten mogelijk. Bij CIFS echter, is authenticatie een taak van de server. Een filer kan lid worden gemaakt van een domein en een computer-account krijgen, waardoor Active Directory verantwoordelijk wordt voor authenticatie op basis van gebruikers en wachtwoorden. In Afbeelding 3 zie je hoe een filer aangemeld wordt in een domein. Een ander voordeel van het hebben van een computeraccount is bij NetApp filers dat deze voor een deel beheerd kunnen worden met standaard Windows-tools. Onder UNIX wordt een User Identificatie (UID) en Group Identificatie (GID) toegekend en onder Active Directory een
64
NOP0505_p62-77_Labreport_NetworkAppliance.indd
64
loginnaam en wachtwoord (en automatische een SID). In een gemengde omgeving heeft een gebruiker dus veelal twee identiteiten, die samengevoegd moeten worden. Met de Windows-toepassing SecureShare Account Migrator kun je wachtwoorden en groepen genereren op de NetApp aan de hand van Active Directory informatie. Dit een-op-een matchen van gebruikers is noodzakelijk om gebruik te kunnen maken van quota op de NetApp filers, ook in pure Windowsomgevingen. Ook handig is de mogelijkheid om Windows-gebruikers die geen UNIX-account hebben, automatisch dezelfde UNIX-account toe te kennen (guest). Verder kan NetApp dynamisch Windows-accounts matchen met UNIXgebruikersnamen.
Help, mijn netwerk is weg Een ander onmisbare optie in multi-protocol omgevingen, is de zogenaamde optie voor autohome. Met deze functie wordt er automatisch een share aangemaakt voor de home directory van elke gebruiker. Standaard ziet elke gebruiker
alleen zijn eigen share in de Network Neighborhood en niet die van de andere gebruikers op de server. CIFS en NFS gedragen zich duidelijk anders op de werkplek als de netwerkverbinding wegvalt met de filer, of als de filer wordt herstart. NFS is ‘stateless’, waardoor de UNIX-werkplek hier geen last van heeft en simpelweg wacht tot de server weer beschikbaar is. CIFS kan niet tegen het tijdelijk verliezen van de verbinding met de server en de meeste Windows-toepassingen kunnen hier dan ook niet tegen en vertonen hetzelfde effect als wanneer de lokale harde schijf defect zou raken. Network Appliance biedt mogelijkheden om Windows-werkplekken standaard te waarschuwen als de server wordt herstart, waardoor gebruikers hun bestanden tijdig kunnen bewaren. In een multiprotocol omgeving is dit verschil iets waar je terdege rekening mee dient te houden om informatieverlies op werkplekken tegen te gaan.
Rechten en attributen NFS ondersteunt alleen de gelimiteerde rechten van het UNIX-bestandssysteem. Er bestaan slechts drie categorieën gebruikers (user/group/other) en bij elke categorie zijn er drie typen rechten (read/write/execute). Met chmod kan een gebruiker of beheerder de rechten aanpassen. Het eigenaarschap en groep van bestanden is alleen door superuser (root) te veranderen met de opdracht chown en chgrp. Bij elke toegang van de werkplek tot de file server worden de UID en GID gecontroleerd om toegang tot de bestanden te geven. CIFS share-, directory-, en bestandspermissies worden gecontroleerd door ACL’s (Access Control Lists). ACL’s bevatten veel uitgebreidere informatie over rechten dan het UNIXbestandssysteem ondersteunt. Bovendien worden shares beschikbaar gesteld aan gebruikers en niet aan werkplekken (zoals bij UNIX het geval is) en verzorgt de server de authenticatie. Het eigenaarschap kan niet door een Windowsadministrator worden toegekend, want er is geen chown-equivalent.
6/8/05
19:22:00
Labreport
Network Appliance FAS270
Een NetApp filer kan opereren in NTFSmode, NFS-mode of mixed-mode. Je kunt voor multi-protocol ondersteuning de filer het beste inrichten zodat een volume of de gehele filer in ‘mixed’ mode draait. Hierdoor worden zowel NTFS- als UNIX-bestandspermissies binnen hetzelfde volume ondersteund. Overigens spreekt NetApp liever van quota trees (qtree), wat een soort partities zijn. Concreet betekent dit dat UNIX-rechten en NTFS-rechten beide worden opgeslagen in het WAFL-bestandssysteem. Dat wil echter niet zeggen dat UNIX de uitgebreide NTFS-rechten kan gebruiken of kan zien. Een voorbeeld: Windows kent een creatiedatum en -tijd voor een bestand. UNIX kent deze niet en heeft daar ook geen weet van.
Locking en sharing Onder locking verstaan we dat een bestand of deel van een bestand afgeschermd moet worden zodat andere gebruikers hier niet simultaan in kunnen lezen of schrijven. Denk aan een Microsoft Access-database die zich op de server bevindt. Onder UNIX NFS is locking geïmplementeerd met een afzonderlijk proces (de lock daemon). Locking gebeurt hier op vrijwillige basis (advisory locking). Met andere woorden: andere toepassingen mogen zelf besluiten of ze wel of niet rekening houden met locking. Bij gebruik van CIFS is locking strak geregeld (mandatory locking) en dat is vaak noodzakelijk. Je kunt je voorstellen dat er problemen ontstaan zoals crashende Windows-toepassingen en corruptie van gegevens als je een Access-database met meerdere gebruikers moet gebruiken via het NFS-protocol. Soortgelijke problemen ontstaan als je een Accessdatabase gebruikt via het CIFS-protocol, maar tevens als je het MDB-bestand met UNIX wilt benaderen. Bij CIFS wordt locking door de server uitgevoerd en gecontroleerd. Network Appliance pakt deze uitdaging aan en ondersteunt Windows-georiënteerde locking ook vanaf UNIX-werkplekken met een technologie die SecureShare wordt genoemd. SecureShare voorkomt tevens dat bestanden
NOP0505_p62-77_Labreport_NetworkAppliance.indd
65
onterecht gelocked blijven op UNIX, ook als deze aan Windows-zijde al is vrijgegeven. Goede multi-platform toepassingen locken overigens zelf, door bijvoorbeeld een lock-bestand aan te maken.
Groot en klein Het UNIX-bestandssysteem heeft geen mogelijkheid om namen hoofdletterongevoelig te maken. Met andere woorden, onder UNIX is een directory ‘Mail’ een andere dan de directory ‘mail’. Beide mappen kunnen naast elkaar bestaan, terwijl Windows hier geen weg mee weet. ONTAP zorgt ervoor dat deze mappen beide toegankelijk worden gemaakt aan Windows-zijde. Hiervoor wordt een mechanisme gebruikt dat we onder Windows kennen als verkorte namen, ofwel 8.3-namen. Stel dat er een dubbele naam zou ontstaan, bijvoorbeeld ‘netscape’ en ‘Netscape’. De naam met kleine letters is gewoon onder Windows bruikbaar. De naam met een hoofdletter wordt aan Windows-zijde toegankelijk gemaakt onder ‘netsca~1’. Network Appliance kent overigens een optie om bestandsnamen onder CIFS te forceren naar kleine letters. Een ander verschil tussen beide omgevingen is dat bestandsnamen alleen tekens mogen
bevatten die door UNIX en Windows ondersteund worden. Als je onder UNIX een bestand bewaard met de naam ‘Verslag: iForum 2005’, dan kan Windows hier niet mee omgaan, omdat een dubbele punt niet is toegestaan in Windowsbestandsnamen. Andere verschillen zijn onhandig, maar zorgen niet voor echte problemen, zoals het gebruik van spaties in bestandsnamen en de bestandsextensies die Windows-toepassingen gebruiken. Een bijzonder aardige optie van de filers wordt FPolicy genoemd. Hiermee kun je er als beheerder voor zorgen dat bepaalde typen bestanden niet mogen en kunnen worden opgeslagen op de filers. Wel is er een derde partij file screening server nodig, zoals van Veritas.
Symbolic links UNIX-gebruikers kunnen symbolic links maken. Dit zijn verwijzingen naar andere bestanden op een file server. Een Windows-gebruiker is normaal gesproken niet in staat het bestand te openen waar de UNIX symbolic link naar toe wijst. Network Appliance interpreteert zelf de symbolic link en geeft het resulterende bestand door naar de Windows-gebruiker, mits het bestand zich op dezelfde filer bevindt. f
Afbeelding 3 Aanmelden filer in een Windows-domein
65 6/8/05
19:22:03
Labreport
Network Appliance FAS270
Filers van Network Appliance zijn sinds de eerste versie in staat periodiek snapshots te maken van gegevens die op de filer opgeslagen liggen. Tegenwoordig is deze functionaliteit deels ook door andere fabrikanten overgenomen. Snapshots zijn bevroren read-only kopieën van alle bestanden en mappen, waarbij ongewijzigde bestanden alleen als verwijzing naar dat bestand vastgelegd worden. Pas als een bestand daadwerkelijk gewijzigd is sinds de vorige snapshot, wordt een
maken met metadata, oftewel gegevens over de bestanden zelf. Metadata van bestanden die onder CIFS zijn aangemaakt, bevatten veel meer informatie dan onder UNIX. Informatie met betrekking tot eigenaar, de rechten en datums en tijden is opgeslagen in het bestandssysteem. CIFS wordt hierbij als superset beschouwd van UNIX, en daarom moet een back-up van een filer gemaakt worden via het CIFS-protocol, dus met een Windows-gebaseerde back-up toepassing. Zou je via NFS
Metadata van bestanden die onder CIFS zijn aangemaakt, bevatten veel meer informatie dan onder UNIX. kopie van de gewijzigde data bewaard. Snapshots kosten hierdoor nauwelijks prestaties van de filer en de benodigde diskruimte is minimaal, behalve op filers waar zeer veel bestanden wijzigen in korte tijd, zoals in omgevingen waar software ontwikkeld wordt. Snapshot directories zijn normaal gesproken onzichtbaar voor de gebruiker. Deze kan er wel bewust in kijken door naar de ‘~snapshot’-directory te kijken op Windows of de ‘.snapshot’-directory op UNIX. Snapshots hebben als voordeel dat een gebruiker zelf vorige versies van bestanden kan ophalen, maar ook dat het maken van een back-up van de filer eenvoudig op een operationele machine uitgevoerd kan worden, omdat de snaphot een read-only representatie van het bestandssysteem is op enig moment. Als beheerder kun je snapshots uitgebreid configureren (wanneer, hoe vaak). Snapshots vormen tevens de basis voor andere technologieën van Network Appliance, die als extra softwareopties te koop zijn.
Back-ups Snapshots brengen ons bij het laatste aandachtspunt van multi-protocol filers. De verschillen tussen UNIX- en Windows-bestanden hebben vooral te
NOP0505_p62-77_Labreport_NetworkAppliance.indd
67
een back-up maken, dan verlies je na herstel van deze back-up relevante gegevens, ook al lijkt het alsof de UNIXgebaseerde back-up is gelukt. Maak je van een NetApp filer een back-up met het locale dump-commando, dan verlies je geen metadata. Hetzelfde is het geval als je gebruik maakt van de inbegrepen NDMP-standaard (Network Data Management Protocol, zie www. ndmp.org), waarvan Network Appliance de geestelijke vader is, in combinatie met een back-up oplossing van een derde partij, zoals Veritas of Legato.
Niet alleen enterprises Heeft je organisatie UNIX-gebaseerde servers in gebruik voor mail, databases of andere applicaties met veel gegevensopslag, dan kan een filer van Network Appliance gebruikt worden om storage te consolideren. Datzelfde geldt als je werkt met Windows-gebaseerde file server. Werk je met UNIXtoepassingen op Windows-werkplekken door middel van X-servers of Citrix MetaFrame Presentation Server voor UNIX, of bedien je Windows-toepassingen op UNIX-werkplekken, dan biedt een filer als de FAS270 onmisbare technologie en opties om UNIX- en Windows-bestanden netjes te integre-
ren. De prijzen van Network Appliance filers beginnen bij 11.000 euro. De filers zijn hierdoor niet alleen geschikt voor enterprise-omgevingen, maar ook voor kleinere organisaties. Network Appliance heeft de filers en softwareopties voorzien van zeer uitgebreide documentatie. Zo is er onder meer een System Administrator’s Manual van 300 pagina’s, een Storage Management Guide van meer dan 350 pagina’s, een Network Management Guide van 250 pagina’s en een Manual Page Reference Guide met alle mogelijke commando’s voor de opdrachtregel van 500 pagina’s. Typische bestandsperikelen tussen CIFS en NFS worden beschreven in de File Access Management Guide van 400 pagina’s. Hierin staan tevens de andere ondersteunde toegangsprotocollen beschreven: FTP, HTTP, WebDav (Web-based Distributed Authoring and Versioning) als aanvulling op HTTP en DAFS (Direct Access File System). Overigens heb je deze documentatie alleen nodig om achtergrondinformatie te verkrijgen of om sporadisch heel specifieke zaken op of uit te zoeken. Voor het installeren, configureren, beheren en gebruiken van de filer is geen documentatie nodig; dat gebeurt allemaal webgebaseerd met FilerView. Y
Product: FAS270 multi-protocol filer Producent: Network Appliance ducts Website: www.netapp.com/pro r het voo o eur 00 11.0 Prijs: Vanaf ) 250 (FAS el mod kleinste multi+ Krachtige file server met ot gro ing; teun ers protocol ond sdow /Win UNIX om es aantal opti ; ren gre inte te bestanden webgebaseerd beheer; command line beheer voor geavanceerdere instellingen; uitstekende documentatie ngen - Veel geavanceerde instelli ce erfa -int web de zijn niet met te maken
67 6/8/05
19:22:05
NetOpus: Juli/augustus 2005 Thema: Server Based Computing Rubriek: Labreport Titel: Netilla Security Platform Auteur: Marcel Beelen Pagina’s: 68, 69, 71 en 73
Krachtig maar complex AEP Networks’ Netilla Security Platform Om veilige en eenvoudige toegang tot bedrijfsmiddelen te verschaffen is een toegangs-applicance een mooie oplossing. De concurrentie is echter groot en dat geeft je een uitgebreide keuze aan appliances. In het server-based computing en access infrastructure themanummer van vorig jaar bekeken we de EX-1500 SSL-appliance van Aventail en de Access Series 3000 van Juniper. Dit jaar is het ‘Netilla Security Platform’ (NSP) aan de beurt.
H
et Netilla platform is van AEP Networks, een organisatie die begin 2005 is ontstaan uit de fusie van Netilla Networks en AEP Systems. De NSP is een hardwareappliance die je installeert in je DMZ achter de internetrouter. Met een netwerkpoort aangesloten op het DMZsubnet of met een tweede netwerkpoort tussen het internet en het bedrijfsnetwerk aangesloten, vormt het een beveiligde toegangspoort naar dat bedrijfsnetwerk. Medewerkers, partners of wie je ook toegang wilt bieden, kunnen het bedrijfsnetwerk benaderen gebruikmakend van een browser en een versleu-
68
NOP0505_p68-73_Labreport_AEPnetilla.indd
68
telde SSL-verbinding. Je hoeft dus geen productieservers in het DMZ te plaatsen en deze pogen te beveiligen. De NSP zelf communiceert met de verschillende ondersteunde bedrijfstoepassingen en biedt toegang tot bestanden, tot UNIX/Linux/X-windows en karaktergebaseerde UNIX/Linux-toepassingen en client/server-toepassingen (door SSLtunneling), webservers/webtoepassingen, mainframes (met 3270-emulatie) en terminal servers. De enige poort die op de firewall aan de internetzijde geopend moet zijn is 443 (voor SSL). Op de firewall aan bedrijfszijde dienen uiteraard wel een hele reeks poorten
geopend te zijn van en naar de NSP, afhankelijk van de methodes die je kiest voor authenticatie en welke toepassingen je wilt aanbieden.
NSP en Linux Wat handig is om te weten is dat de Netilla Linux als besturingssysteem draait, en als toegangssoftware onder meer gebruik maakt van Tarantella Secure Global Desktop Enterprise Edition. Deze software maakt de NSP uniek in vergelijking met alle andere appliances op de markt. De clients communiceren met de appliance, en de appliance met de servers in het back office. De
6/8/05
19:25:29
Labreport
Netilla Security Platform
NSP fungeert dus als toepassingsproxy. Centrale toepassingen op UNIX/Linux (X-windows en karaktergebaseerd), op mainframes (3270-emulatie) en op terminal servers (met het RDP-protocol) worden doorgestuurd over het internet, gebruikmakend van een eigen presentatieprotocol (AIP). Het presentatieprotocol is te vergelijken met RDP van Microsoft en ICA van Citrix. Schermafbeeldingen, toetsaanslagen en muisklikken worden gecomprimeerd en versleuteld van en naar de werkplek buiten de organisatie gestuurd. Het protocol ondersteunt veel van dezelfde mogelijkheden als RDP/ICA en biedt toegang tot lokale bestanden vanaf de server en de mogelijkheid om van de servers te printen op lokaal aangesloten printers. Het aardige is dat dit hierbij werkt voor zowel UNIX- als Windows-toepassingen. Het enige wat op de werkplek nodig is, is een Java-applet die bij het aanroepen van de eerste toepassing wordt gedownload. Met andere woorden: maak je verbinding met een terminal server, dan communiceert de werkplek via SSL-versleuteling met het Netillapresentatieprotocol. De NSP communiceert zelf met RDP met de terminal servers. Dit geeft een soort van tweetrapstoegang. Als je van buitenaf verbinding maakt met websites of webtoepassingen, fungeert de NSP als reverse http-proxy. De code wordt geanalyseerd en herschreven om alle informatie over het lokale netwerk te verbergen. Doordat de werkplek SSL gebruikt, worden ook websites op het intranet die geen SSL gebruiken van buitenaf benaderd met SSL. Werk je met een lokale client/ server-toepassing, dan is deze in staat te communiceren met de server, gebruikmakend van SSL-tunneling (waar eveneens weer een ActiveX-component voor noodzakelijk is). De lokale toepassing denkt gewoon dat deze is verbonden met het lokale netwerk en functioneert als verwacht.
Uit de doos Als je de appliance uit de doos pakt, valt op dat de vormgeving niet zo bijzonder
NOP0505_p68-73_Labreport_AEPnetilla.indd
69
is. Ook na inschakelen van de spanning wordt je verrast met nogal wat herrie van de ventilatoren, vergelijkbaar met de meeste concurrerende appliances. Dit is beide echter niet storend, want het 1U-hoge apparaat monteer je normaal gesproken in een 19”-rack, bijvoorbeeld in een datacenter, en niet op de werkplek, zoals in ons testlab. De aansluitingen bevinden zich aan de voorzijde van het apparaat (inclusief twee ongebruikte usb-poorten). Dat lijkt in eerste instantie handig omdat je er snel bij kunt, maar na inbouw in een 19”-rack zijn de uitstekende kabels aan de voorzijde wel wat hinderlijk. Om initieel het IP-adres in te stellen moet je de appliance met de bijgeleverde seriële kabel aansluiten op een systeem, en kun je met een terminal emulator inloggen om de standaard netwerkinstellingen te maken. Na instellen van IP-gegevens herstart de appliance. Als je vervolgens een netwerkkabel in de eerste van de twee netwerkaansluitingen stopt en aan een switch hangt, kun je de verdere configuratiewerkzaamheden over het netwerk uitvoeren met een browser. Voor beheer wordt Netscape, Mozilla of IE ondersteund. De grafische interface voor beheer is goed bruikbaar, maar niet bijzonder intuïtief of mooi vormgegeven. Om een simpel voorbeeld te noemen: Delete en Remove of Submit en Apply worden door elkaar gebruikt.
Installatie De primaire installatie van de machine zelf is niet zo moeilijk. Je hebt een paar admin-loginmogelijkheden (met alle rechten, met beperkte rechten en een speciale login voor resellers). Log je in met de meeste rechten, dan verander je eerst het wachtwoord. De eerste stappen voor ingebruikname: wachtwoord veranderen, de uitgebreidere IP-instellingen maken (zoals NAT, een NTP-server om de tijd te synchroniseren, IP-forwarding, DNS-servers en dergelijke). Als je wilt is de interne SPI-firewall in te schakelen en te configureren. Deze vervangt niet de firewall
van je organisatie, maar is bedoeld om de appliance zelf en de bronnen waar hij toegang tot verleent een extra beschermingslaag te bieden. Daarna voer je geldige licenties in voor alle componenten. Tot slot configureer je de certificaten, wat een goede gewoonte is op SSL-webservers (en appliances) om een root-certificaat te importeren. Net als bij de concurrenten worden interne self signed certificaten ondersteund, eigenlijk als tijdelijke of noodoplossing, totdat je een geldig certificaat hebt aangeschaft. Uiteraard zijn er nog veel meer geavanceerdere mogelijkheden, waaronder logging en rapportages, maar daar gaan we verder niet op in.
V-Realms V-Realms is de architectuur van de appliance voor authenticatie en autorisatie. Het heeft dus alles te maken met hoe je inlogt en wat je vervolgens mag. De login-acounts, de groepen en de gehele bijbehorende policy met rechten worden lokaal op de appliance bewaard. Een gebruiker moet (en kan maar) lid zijn van een V-Realm. Een V-Realm kan wel geconfigureerd worden om gebruik te maken van meerdere fases van authenticatie, met een maximum van tien. In elke fase wordt er dan een extra authenticatiemethode gebruikt (variërend van een lokale authenticatie, SecureID ACE, LDAP en dergelijke). Daarnaast kan voor elk van deze fases een optionele policy aangemaakt worden, die groepsrechten kan gebruiken uit de betreffende bronnen. Merk op dat er voor elke gebruiker dus altijd een account op de appliance aanwezig dient te zijn en dat het apparaat geen lid kan worden van een domein om daar direct de gebruikers uit te halen. Groepen van gebruikers kunnen wel worden uitgelezen en automatisch worden aangemaakt op de NSP, maar zijn vervolgens lokale groepen. Deze groepen zul je handmatig gelijk moeten houden aan de groepen in Active Directory, anders werkt de policy die je lokaal aan de groep hangt niet meer als de gebruiker inlogt. Het is ook niet mogelijk de policy-informatie f
69 6/8/05
19:25:31
Netilla Security Platform
op te slaan binnen een directory-server en ook kun je niet een automatische back-up laten lopen om alle gegevens veilig te stellen. Dit moet periodiek handmatig gebeuren. Wil je toegangsproblemen voorkomen en gegevens automatisch veiligstellen, dan is het aan te raden een tweede NSP aan te schaffen en deze in een master/slaveopstelling (de HotFailover-configuratie) in te richten.
End-point-security De appliance bevat een optionele mogelijkheid voor client identity-controle. Dit houdt in dat je een extra controle van de werkplek van de eindgebruiker kunt definiëren, en deze onder een V-Realm kunt hangen. Een van deze policies is SecureDesktop. Hiermee wordt een afgeschermde en versleutelde omgeving gemaakt op de werkplek, tijdens de sessies met de NSP. In deze ‘kluis’ worden tijdelijke bestanden van de sessie bewaard. Daarbij kun je denken aan cookies of de cache van de browser. Na het beëindigen van de sessie wordt alles weer opgepoetst door de componenten Cache Cleaner, inclusief eventueel bewaarde wachtwoorden of gedownloade bestanden in de sessie. Om complete host-integriteit mogelijk te maken, moet je eerst de bijgeleverde Sygate On-Demand Manager voor Windows op een werkplek van een beheerder installeren. Hiermee configureer je alle regels waaraan de pc van een gebruiker moet voldoen, zoals
Labreport
Afbeelding 1 Sygate OnDemand Manager
antivirus-software, personal firewall, Service Packs (zie afbeelding 1). Verder kun je eigen regels toevoegen en controleren op bepaalde bestanden of registerwaardes. Het bewaarde bestand dien je vervolgens te uploaden naar de appliance om de instellingen actief te maken. Het zou handiger zijn als alle instellingen binnen de interface van de appliance te maken waren en het aparte Windows-programma niet nodig zou zijn. Dat is misschien slechts een kwestie van tijd.
Server-based toegang Het mooie van het Netilla Security Platform is dat het toegang tot UNIX, Windows en Mainframe verenigt, doordat er aan de buitenzijde een overkoepelend presentatieprotocol wordt gebruikt. De appliance zelf communiceert wel met de gangbare protocollen als RDP met de interne server en vertaald dus protocollen. Alle toepassingen configureer je op de NSP, die verwijzingen bevat naar daadwerkelijke toepassingen op
de achterliggende servers. Deze ‘losse’ koppeling heeft tot gevolg dat je paden naar bijvoorbeeld Windows-toepassingen op terminal servers op de NSP moet invoeren (er is geen browsefunctie naar de terminal servers) en pictogrammen voor de toepassingen moeten tevens lokaal op NSP liggen. Bovendien moeten sommige terminal server-instellingen op de NSP gemaakt worden en andere weer op de terminal server zelf. Vervolgens geef je op de NSP aan op welke servers de toepassingen beschikbaar zijn. Als je de server voorziet van een Load Balancing enhancement-module, dan ben je in staat naast sessie load balancing ook in staat load balancing te configureren op basis van processor en geheugen. Het mooie van een ‘losse’ koppeling van de NSP met de applicatie-servers, is dat dit opties als het verbinden van lokale printers en schijven, en functies als shadowing en load balancing mogelijk maakt op zowel UNIX als Windows.
Weinig gedoe
Afbeelding 2 Configureren van een thin applicatie.
NOP0505_p68-73_Labreport_AEPnetilla.indd
71
Hoe bewerkelijk het voor de beheerder allemaal is, des te simpeler is het voor de eindgebruiker. Om een medewerker toe te laten tot de aangeboden resources, dient deze met een browser naar de appliance op het DMZ van je bedrijf te bladeren. Na eventuele certificaatmeldingen, het installeren van een Java Virtual Machine als die niet aanwezig is, en inloggen, verschijnt een mooi vormgegeven webtop. Merk op dat voor toegang tot bestanden en client/ server-toegang met SSL-tunneling f
71 6/8/05
19:25:35
Netilla Security Platform
alleen Internet Explorer als browser wordt ondersteund (omdat de Virtual adapter ActiveX-plugin hiervoor noodzakelijk is). Ook wordt de Netilla VPN Adapter gedownload en geïnstalleerd (terug te vinden onder Add/Remove Programs). In het horizontale hoofdmenu selecteert de eindgebruiker de toegangsvorm (bestanden, thin, tunnel of web), waarna de betreffende aangeboden toepassingen in het hoofdvenster verschijnen. Merk wel op dat er bij gebruik van Windows 2000 terminal servers een aantal beperkingen hiervan blijven bestaan . Zo is er een maximum van 256 kleuren voor toepassingen en een ‘seamless’ venster van toepassingen ontbreekt. Bij gebruik van Windows Server 2003 terminal servers wordt uiteraard wel true color ondersteund (maar nog steeds geen seamless vensters).
Geen Citrix? In de door ons geteste appliance ontbreekt de mogelijkheid voor toegang met het Citrix ICA-protocol. Je kunt weliswaar bij gebruik van de tunneloptie een ICA-client gebruiken om toegang te krijgen tot MetaFrame Presentation Servers, maar dan is het wel noodzakelijk de ICA-client te installeren op de werkplekken en daarmee verlies je dus het grote voordeel van ‘clientless access’. Je zou de ICA client ook op de terminal server kunnen installeren om op deze wijze verbinding te maken, maar dat is nogal bewerkelijk, omdat je dan in totaal met drie presentatieprotocollen communiceert. EAP biedt echter een apart product aan: de Netilla Secure Gateway Appliance. Deze appliance biedt alleen ICA-ondersteuning
Afbeelding 4 Webtop, zoals de gebruiker die ziet
NOP0505_p68-73_Labreport_AEPnetilla.indd
73
Labreport
Afbeelding 3 De admin properties zijn zeer uitgebreid
en is gepositioneerd als vervanger de complexe component Secure Gateway van Citrix.
Zwaardere modellen (E en G) of meer gelijktijdige gebruikers maken de appliance uiteraard duurder.
Krachtig maar lastig
Pilot eerst
De NSP heeft uitgebreide mogelijkheden en is in te passen in vrijwel elke organisatie om veilige toegang te verschaffen tot bestanden, mainframes, UNIX en terminal servers. De krachtige V-Realms die hiervoor een belangrijk onderdeel vormen, zijn echter ook meteen een nadeel. Het definiëren van gebruikers, groepen, authenticatie-koppelingen en policies is tamelijk complex en verre van intuïtief. Verder lopen de manuals niet synchroon met de daadwerkelijk geïnstalleerd software van de appliance en de functionaliteit doet ook ietwat ouderwets aan door het gebruik van SMB-authenticatie in de grafische interface en de documentatie. Verder zoek je tevergeefs naar Windows Server 2003-ondersteuning. Het blijkt dat je zelf moet uitvinden dat de drive mapping enhancement-module die op Windows 2000 geïnstalleerd dient te worden, ook op Windows Server 2003 nodig is. De NSP is een modulair systeem, want elke software-optie is apart aan te schaffen. Zo kost het kleinste model appliance (het B-model), alleen voorzien van veelgebruikte licenties ongeveer 10.500 euro. Plaats je alle mogelijke licenties op het apparaat voor 25 users, dan kost de appliance ruim 30.000 euro exclusief hard- en softwareonderhoud. Twee van deze appliances met alle software-opties en een redundancy kit kosten net geen 37.000 euro, exclusief onderhoud.
Het is om deze redenen aan te raden om de implementatie (of pilot) uit te voeren samen met een partner die goed thuis is in de NSP. Dit voorkomt veel uitzoekwerk en ma en en te gebruiken is. Voor meer informatie kun je contact opnemen met Allasso (tel. 0492-668228, e-mail:
[email protected]). Y
form Product: Netilla Security Plat orks Netw Producentt: AEP (voorheen Netilla) Website: www.netilla.com Prijs: Afhankelijk van model, rs softwareopties en aantal use + Krachtige appliance voor toegang; ondersteuning UNIX/Linux/X-windows en r mainframe; mooie ‘webtop’ voo ers eindgebruik (in - Vrij complex en bewerkelijk ); alms V-Re de er het bijzond back-ups schedulen is niet mogelijk; host-integriteit beheertoepassing is een apart Windows-programma; gedateerde documentatie en te beheerinterface; veel apart es opti licenseren
73 6/8/05
19:25:37
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Uitgelezen! Auteur: Marcel Beelen Pagina’s: 74 en 75
Uitgelezen! Server-based computing boeken Eén nieuw boek heeft de deadline van deze NetOpus net niet gehaald, en dat is “Deploying Citrix MetaFrame Presentation Server 3.0 with Windows Server 2003 Terminal Services”, geschreven door Elias Khnaser van Syngress Publishing (ISBN 1-932266-50-X). Twee andere boeken lagen wel op tijd in de boekhandel, zodat we die uitgebreid konden bestuderen.
Windows Server 2003/2000 Terminal Server Solutions De derde editie van dit boek is geactualiseerd tot en met Windows Server 2003 Terminal Server en MetaFrame Presentation Server 3.0. Met maar liefst 1236 pagina’s is het boek het dikste dat er in de markt over dit onderwerp te koop is. Nu staat omvang niet altijd garant voor kwaliteit, maar dit boek van Todd W. Mathers is een uitstekend leesbaar en bruikbaar naslagwerk, waar veel aandacht aan besteed is. Net zoals de vorige druk, zijn de eerste twee delen van het boekwerk gewijd aan een introductie (in dit geval twee hoofdstukken), gevolgd door zeven hoofdstukken met betrekking tot het plannen van een invoering. Alle relevante onderwerpen voor de voorbereiding komen aan de
74
NOP0505_p74-75_Labreport_uitgelezen.indd
74
orde, van hardware sizing tot en met software change management. We zijn dan al op pagina 275 beland, waar het echte werk begint. De rest van het boek beschrijft een groot aantal aspecten waar je mee te maken krijgt bij het installeren, configureren, opwaarderen en beheren van kleine en grote omgevingen. Waar relevant (vooral voor configureren) worden steeds de verschillen tussen Windows Server 2000 en Windows Server 2003 toegelicht. Ieder denkbaar onderwerp waar je in een server-based computing-omgeving mee te maken krijgt komt ter sprake, zoals Group Policyobjecten voor terminal servers, de Web Interface-component van MetaFrame, printen naar lokale printers, roaming profiles en load balancing. MetaFrame Presentation Server 3.0 wordt uiteraard uitgebreid beschreven, inclusief de nieuwe beheertools die met deze release zijn geïntroduceerd, zoals de MetaFrame Access Suite Licensing en de MetaFrame Access Suite-console en de nieuwe technische mogelijkheden zoals Workspace control. In enkele bijlagen vind je de command line opdrachten voor terminal server en MetaFrame, een korte intro over netwerken (het OSI-model) en een inleiding met betrekking tot de rechten op het NTFS-bestandssysteem en het register. Een nadeel van dit dikke Amerikaanse boek is dat je behalve hoofdstukken geen genummerde pa-
ragraafindeling hebt en dat maakt de structuur van het boek wat minder inzichtelijk. Gelukkig is er een zeer uitgebreide index die je snel naar het gewenste onderwerp loodst.
Echte aanrader Dit boek is een echt server-based computing-boek. Werk je al met MetaFrame Presentation Server 3.0 of ben je van plan van MetaFrame XP over te stappen naar MPS 3.0, dan is dit boek een absolute aanrader. De overige producten van Citrix komen in dit boek niet ter sprake en de term access in-
Titel: Windows Server 2003/2000 Terminal Server Solutions, Third Edition - Implementing Windows Terminal Services and Citrix MetaFrame Presentation Server 3.0 Auteur: Todd W. Mathers Uitgever: Addison-Wesley Pearson Education Gepubliceerd: voorjaar 2005 Prijs: circa 2 50,ISBN: 1-578-70276-3
6/8/05
19:29:12
Labreport
Uitgelezen!
frastructure vindt je niet terug in de index, noch in het boek zelf. Alleen de absoluut noodzakelijke en onvermijdelijke onderwerpen zoals Access Suite Licensing wordt besproken. Mathers is een typische consultant en aanhanger van server-based technologie, zoals er wel meer op deze aarde rondlopen. Conferencing, single signon en andere access-gerelateerde onderwerpen zijn niet zo interessant, omdat dit ‘slechts’ toepassingen zijn die je installeert op Windows. Toch kijken we uit naar een vierde druk over MetaFrame Presentation Server 4.0. Zou Mathers erin slagen access infrastructure dan weer te mijden? Veel dikker kan het boek overigens niet meer worden, want dan wordt het onhandelbaar.
Citrix MetaFrame Access Suite, Advanced Concepts Vorig jaar bestudeerden we de tweede herziene uitgave van “Citrix MetaFrame Access Suite for Windows Server 2003: The Official Guide”. Net als de eerste uitgave viel dat dure boek erg tegen. Het boek sprong van de hak op de tak en van Jip en Janneke-niveau naar onnodige diepgang en weer terug. De titel dekte de lading niet, want je las niets over de onderdelen uit de Access Suite. Dit nieuwe boek is net zo duur maar een stukje dunner. De kaft en opmaak is hetzelfde als het eerdere boek, zodat ze mooi naast elkaar in de boekenkast passen. Jammer alleen dat het boek van vorig jaar in de open haard is geëindigd. De inhoud klopt deze keer wel met de titel. Alle vier de producten binnen de Citrix Access Suite komen aan de orde. Bovendien is het een aanvulling op het eerder genoemde boek,
NOP0505_p74-75_Labreport_uitgelezen.indd
75
omdat het technisch is en zich richt op gevorderde ICT-beheerders. Dat klinkt veelbelovend. Het boek telt ruim 500 pagina’s, waarvan er helaas 100 verloren gaan aan tamelijk overbodige lijsten van bestanden en foutmeldingen. De overblijvende 400 pagina’s omvatten maar liefst 18 hoofdstukken en zijn zeker de moeite waard om te lezen. De hoofdstukken en paragrafen over MetaFrame Presentation Server zijn in nauwe samenwerking met Citrix geschreven, en hebben veel weg van de Advanced Conceptshandleidingen van Citrix. Je merkt dat aan tabellen met meetgegevens over bijvoorbeeld de benodigde bandbreedte voor de IMA-store of aan een paragraaf over het ICAMark-hulpprogramma voor benchmarking. Tussen deze rode draad door vind je het voorbereiden, installeren en configureren van respectievelijk Secure Access Manager, Password Manager en Conferencing Manager. Door de hoofdstukken en paragrafen over deze onderwerpen door elkaar te plaatsen, krijg je een beetje het suite-gevoel, maar het voelt ook erg gekunsteld aan. Zo hebben Password Manager en Conferencing Manager eigenlijk niets te maken met MetaFrame Presentation Server, behalve dat het draait op dat platform. In het boek lees je een hoofdstuk over ‘Farm Management’, dat gevolgd wordt door ‘Password Manager Administration’, dat op zijn beurt weer gevolgd wordt door ‘Tuning and optimizations’ voor Presentation Server en ICA. Een ander hoofdstuk gaat over ‘Troubleshooting’ en beschrijft alleen MetaFrame Presentation Server. Een apart hoofdstuk gaat in op ‘Troubleshooting’ van de andere drie producten, maar elk in een aparte paragraaf. In het eerste boek werd nog alleen MetaFrame Presentation Server beschreven, en daarom zul je na het lezen van dit vervolg merken dat de geavanceerde onderwerpen - zoals de titel beweerd - in dit boek alleen te vinden zijn over MetaFrame Presentation Server. De overige producten van de suite zit-
ten op het niveau van voorbereiden en installeren. Het zou veel logischer zijn geweest als de twee delen anders van samenstelling waren, waarbij in deel 1 alleen MPS aan de orde komt inclusief de ‘Advanced concepts’ en in deel 2 de drie andere onderdelen van de suite.
Gemengd niveau Als je geïnteresseerd bent in wat Citrix met access infrastructure bedoelt, en je vind de introductie in deze NetOpus te beknopt, dan is dit boek zeker de moeite waard. Alle vier de componenten van de Access Suite (versie 3.0) worden besproken en je krijgt een beeld van de functies en het nut van deze toepassingen. Hou er wel rekening mee dat MetaFrame Presentation Server in dit boek inderdaad ‘Advanced’ is en de rest van de onderwerpen niet. Ben je alleen geïnteresseerd in MetaFrame Presentation Server, dan kun je wellicht beter de ‘Advanced Concept Guides’ van Citrix downloaden en bestuderen. Y
Titel: Citrix MetaFrame Access Suite for Advanced Concepts, The Official Guide Auteurs: Steve Kaplan, Tim Reeser, Alan Wood Uitgever: Osborne Gepubliceerd: najaar 2004 Prijs: circa 2 54,ISBN: 0-07-225710-5
75 6/8/05
19:29:17
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Toolbox Titel: Freeware Auteur: Marcel Beelen Pagina’s: 76 en 77
Toolbox
Handige freeware voor de beheerder Als je werkt met server-based computing, krijg je vaak te maken met allerlei kleine uitdagingen. Een enkeling is zo vriendelijk de oplossing op te schrijven of er zelfs een hulpprogramma voor te schrijven en dit gratis aan te bieden aan andere gebruikers van de server-based computing-gemeenschap. Zo verzamelden we een aantal handige en gratis tools voor de SBC-beheerder.
ReconnAct Dennis Damen, werkzaam bij Login Consultants, heeft een gratis hulpprogramma ontwikkeld dat het ontkoppelen en verbinden van sessies vereenvoudigt. Het programma heet ReconnAct! en zorgt ervoor dat er twee omgevingsvariabelen gedefinieerd worden: CURRENT_
CLIENTIP en CURRENT_CLIENTNAME. Deze variabelen bevatten respectievelijk het IP-adres van de werkplek waar vanaf de gebruiker verbinding maakt, en de werkpleknaam van die werkplek (hoeft niet gelijk te zijn aan de hostnaam). Het mooie is dat deze variabelen automatisch worden aangepast als de gebruiker een sessie ontkoppelt, en later de verbinding herstelt vanaf een andere werkplek. Je installeert dit programma door ReconnAct!.exe toe te voegen aan loginscripts. Je hebt dus de mogelijkheid om te detecteren dat een gebruiker terugkomt in zijn sessie vanaf een andere werkplek.
BrsSuite 3.0 Brainsys heeft een gratis toolset ontwikkeld, waarmee je het aanroepen van ongewenste toepassingen kunt voorkomen. Je krijgt de mogelijkheid om toepassingen te autoriseren voor enkele gebruikers, groepen of werkplekken. Ook zorgt de toolset bijvoorbeeld voor startmenu’s, drive en printer mappings. De toolset wordt door Brainsys BrsSuite genoemd en heeft iets weg van bijvoorbeeld AppSense Application Manager. BrsSuite maakt gebruik van een SQL-Server database of MSDE voor het opslaan van de gegevens en op elke terminal server moet een service
geïnstalleerd worden. Na het downloaden, vergt het wat kunst en vliegwerk om de software te installeren. Er is geen mooie installer meegeleverd, dus je moet met de hand bestanden in de juiste directory plaatsen en het register wijzigen. De documentatie van BrsSuite bestaat uit een kort tekstbestand waarin de installatie is toegelicht en
Het programma is daarmee in staat een ander programma of script te starten op het moment dat dit wordt gedetecteerd. Zo is het bijvoorbeeld eenvoudig mogelijk om een andere default printer in te stellen in een sessie vanaf een andere werkplek. Product: ReconnAct! 1.3 Prijs: gratis Beperkingen: geen Website: http://portal. loginconsultants. nl/forum/attachments/ ReconnAct_v1.3.zip
dat zal voor velen onvoldoende zijn. Maar als je deze nadelen even voor lief neemt, krijg je de beschikking over een krachtige en gratis beheeromgeving voor het aanbieden of verbieden van toepassingen op terminal servers. Volgens Brainsys kost het programma verwaarloosbare processor- en geheugencapaciteit op de terminal servers en is het geschikt voor grote omgevingen met honderden servers. Product: BrsSuite 3.0 Prijs: gratis Beperkingen: karige documentatie Website: www.brainsys.be
76 NOP0505_p76-77_Toolbox.indd
76
6/8/05
19:34:59
Toolbox
Freeware
PN Agent Profile Manager De Program Neighborhood Agent van Citrix is een mooie oplossing om gepubliceerde toepassingen op de desktop en in de menu’s geïntegreerd aan te bieden op lokale Windows-werkplekken. In een omgeving waar je met meerdere accounts wilt testen zou het handig zijn als je kon schakelen van de ene naar de andere login. Met de
LimitLogin LimitLogin is een toepassing van Microsoft, waarmee het aantal gelijktijdige lo-
PN Agent Profile Manager is dat mogelijk. Je ziet een eenvoudig grafisch programma waarin je simpel weg het gewenste profiel
kiest om de Program Neighborhood Agent een andere omgeving aan te wijzen. Product: PN Agent Profile Manager 1.0 Prijs: gratis Beperkingen: geen Website: www.dabcc.com/ ProfileManager
gins van gebruikers in het Active Directory domein kan worden beperkt vanaf een bepaald systeem. Het is dus uitermate geschikt om terminal server-sessies te beperken. Het programma bestaat uit Visual Basic scripts en een webservice. Om te kunnen functioneren moet er een afzonderlijke partitie worden aangemaakt in Active Directory. Verder heeft de tool nog enkele andere beheermogelijkheden, die
niet specifiek voor terminal servers zijn. Product: Microsoft LimitLogin Prijs: gratis Beperkingen: Active Directory noodzakelijk Website: www.microsoft. com/technet/technetmag/ issues/2005/05/UtilitySpotlight/ default.aspx
Threadmaster Je kunt eenvoudig voorkomen dat er toepassingen op een terminal server (met of zonder Citrix Presentation Server) draaien die te veel processortijd claimen. Installeer de service ThreadMaster en stel per toepassing in hoeveel processortijd deze mag innemen. Het programma heeft geen handleiding en
Microsoft Application Compatibility Toolkit Met deze toolkit en documentatie van Microsoft ben je in staat te controleren of Windows-toepassingen geschikt zijn voor Windows XP Service Pack 2 en dus ook voor Windows Server 2003 Service Pack 1. Met de tools kun je bijvoorbeeld controleren of toepassingen om kunnen gaan met DCOM
geen mooie grafische omgeving. Configureren doe je met de registereditor.
en RPC, de internet firewall, de aangepaste Internet Explorer-functies of Data Execution Prevention (DEP). ACT
Product: Threadmaster v1.12 build 182 Prijs: gratis Beperkingen: geen handleiding en GUI Website: http://threadmaster. tripod.com
gebruikt het .NET framwork 1.1 en MSDE als database. Product: Microsoft Application Compatibility Toolkit 4.0.1 Prijs: gratis Beperkingen: geen Website: www.microsoft.com/ windows/appcompatibility/ act4.mspx
77 NOP0505_p76-77_Toolbox.indd
77
6/8/05
19:35:04
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Tricks & Traps Titel: Vraag & antwoord Auteur: Marcel Beelen Pagina’s: 78 en 79
Tricks & Traps Veelgestelde vragen, beantwoord door onze experts Vraag: We hebben een discussie met een leverancier. Die gaat een administratiepakket met een Progress database leveren, op een server waarop we maximaal een twintigtal gelijktijdige gebruikers verwachten, die hier allemaal via terminal server van gebruik dienen te maken. De database zal na enkele jaren ongeveer 4 gigabyte groot worden. Wij willen voor dit doel een Proliant ML 350 met 2 GB geheugen en een Xeon 3400 aanschaffen. De fabrikant wil echter per se een aparte server erbij hebben voor de database, maar wij zien dat niet zitten omdat 20 databasegebruikers volgens ons gemakkelijk moet kunnen. Wat is wijsheid?
Antwoord: Er zijn twee redenen waarom de fabrikant waarschijnlijk gelijk heeft. De fabrikant heeft hopelijk vergelijkingsmateriaal bij andere klanten die deze architectuur kunnen bevestigen. Als je toch kiest voor een enkele server en er ontstaan in een later stadium problemen, dan kan de fabrikant zijn handen terugtrekken op grond van het feit dat je een niet-geadviseerde of nietondersteunde omgeving gebruikt. De tweede reden is misschien nog wel meer doorslaggevend. Een terminal server draait in een speciale mode die geoptimaliseerd is voor het afhandelen van grafische sessies. Je zou kunnen zeggen dat de server zich gedraagt als een ‘werkplek’, maar een database vereist andere instellingen die meer servergericht zijn. Deze tegenstrijdige instellingen passen niet samen op een server en de kans is daarom groot dat ze elkaar in de weg zitten doordat de sessies last hebben van de database of andersom. Microsoft adviseert om deze reden om geen back-office toepassingen op een terminal server te gebruiken. Als je kiest voor opsplitsing van front-end en back-office toepassing over twee servers, dan lijkt de server die je specificeert ruim voldoende voor het draaien van 20 gelijktijdige gebruikerssessies. Het daadwerkelijke aantal gelijktijdige gebruikers is afhankelijk van veel factoren. Hoeveel geheugen is er per gebruiker nodig, hoe zwaar belast het database front-end de processor en hoe is het database front-end geschikt voor terminal servergebruik?
Vraag: We gebruiken de Telefoongids 2005, maar slagen er niet in om die te installeren op terminal server. We gebruiken Windows Server 2003 terminal server, voorzien van Service Pack 1, zonder aanvullende software van Citrix of andere ontwikkelaars. Heb je een tip voor ons?
Antwoord: Er zijn toepassingen zoals de Telefoongids 2005/CD-foongids die een server-installatie en een client-installatie kennen. Bij de eerstgenoemde installatie is een netwerkversie vereist of dient een netwerkinstallatie te worden uitgevoerd. De meeste bestanden worden dan op de server geplaatst (normaal een netwerkstation, nu een map op de terminal server). Lokaal op de werkplek is slechts een snelkoppeling nodig en soms nog enkele bestanden en registeraanpassingen. Bij de tweede variant kan de toepassing stand-alone geïnstalleerd en gebruikt worden op een werkplek. Als een stand-alone installatie op een
78 NOP0505_p78-79_Tricks&Traps.indd
78
6/8/05
19:42:04
Tricks&Traps terminal server niet multi-user werkt binnen sessies is er een truc die het probleem kan verhelpen. In een terminal serveromgeving wil het vaak helpen als de netwerkversie eerst wordt geïnstalleerd. Dit kan meestal in de normale uitvoermode, dus zonder de terminal server om te schakelen naar de installatiemode. Alle gedeelde bestanden worden dan gekopieerd naar de harde schijf van de terminal server. Om echter de omgeving voor iedere gebruiker te prepareren is het niet voldoende om een snelkoppeling naar het programma te maken. Voer daarna in installatiemode nogmaals een installatie van de toepassing uit, maar nu een client, ofwel een standalone-installatie. Zorg ervoor dat het installatiepad hetzelfde is als bij de eerder uitgevoerde netwerkinstallatie. Als het mee zit heb je nu een werkende toepassing voor terminal server.
Vraag: We werken met MetaFrame XP Feature Release 2 op Windows 2000 Servers en gebruiken Access als IMA-store. We willen nu de database verplaatsen naar een systeem met een hogere beschikbaarheid (een SAN). Is dit zonder meer mogelijk?
Antwoord: Het verplaatsen van de IMA-store is mogelijk, maar vereist een aantal handmatige acties. Probeer dit eerst eens uit in een testsituatie. De database bevindt zich op de eerst geïnstalleerd MetaFrame-server in het pad %systemdrive%\program files\citrix\independent management architecture. Kopieer de database MF20. mdb en het configuratiebestand MF20.dsn naar de nieuwe plek op je SAN. Vervolgens moet in het configuratiebestand de naam van de oude server veranderd worden naar de nieuwe server-naam. Voer daarna dsmaint config uit, met als opties de loginnaam, het wachtwoord en het exacte pad naar het DNS-bestand: dsmaint config /user:”loginaam” /pwd:”wachtwoord” / dsn:”drive:\program files\citrix\independent management architecture\mf20.dsn”. Stop de IMA-service op die server met de opdracht ‘net stop imaservice’ en start de IMA-service weer met ‘net start imaservice’. Je kunt in het register bekijken of de server naar de nieuwe datastore wijst: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ IMA\DataSourceName. Stop en start de IMA-service op alle andere servers in de farm.
Vraag: We zitten met een irritant probleem op onze drie terminal servers. De systemen draaien Windows 2000 Server en zijn voorzien van Service Pack 3. Regelmatig gedurende een werkdag lijkt het alsof de sessies van de gebruikers even hangen, om na een paar seconden weer verder te gaan. De door de gebruiker ingetypte karakters verschijnen dan alsnog op het beeldscherm. Onze gebruikers klagen hier al een tijdje over, hoewel er gelukkig geen gegevens verloren gaan. Onder Windows NT
NOP0505_p78-79_Tricks&Traps.indd
79
4 Terminal Server Edition hadden we hier met dezelfde toepassingen en dezelfde gebruikers geen last van. Lost de installatie van Service Pack 4 voor Windows 2000 Server dit op?
Antwoord: Dit is een bekend probleem dat op sommige systemen voor komt. De installatie van Service Pack 4 lost dit niet op, en Microsoft verwacht dat het probleem pas bij Service Pack 5 verholpen is. Je kunt een hotfix opvragen bij Microsoft (zie artikel 324446). De hotfix vervangt een zestigtal bestanden. Bovendien moet je na de installatie van de hotfix voor alle harde schijven de Power Protect write cache inschakelen. Dit geldt voor schijven die write cache ondersteunen en gebruik maken van bescherming tegen gegevensverlies door het uitvallen van de bijvoorbeeld de spanning. Hiervoor is een apart programma te downloaden bij Microsoft (Dskcache.exe).
Vraag: We werken met Windows XP Professional op al onze 150 werkplekken, die in een Active Directory domein zijn aangesloten. Aangezien Windows XP de terminal services-standaard ondersteunt, willen we graag een tweede sessie kunnen openen naar de werkplekken om beheertaken uit te voeren, zonder dat de ingelogde gebruiker hier last van heeft. Als we dit proberen, wordt de ingelogde gebruiker uitgelogd en wordt zijn scherm uitgeschakeld. Is dit met een registerinstelling aan te passen?
Antwoord: Nee dat is niet mogelijk. Zowel Windows XP Home Edition als Windows XP Professional ondersteunt inderdaad terminal services. Het kan echter alleen gebruikt worden voor remote desktop (het werken op afstand terwijl de lokale werkplek uitgelogd wordt), remote assistance (het gelijktijdig delen van de werkplek voor een helpdesk) en fast user switching (het na en door elkaar gebruiken van de pc, waarbij gebruikersessies een voor een bediend kunnen worden). Het openen van een tweede gelijktijdige sessie naar een werkplek is niet mogelijk. Microsoft heeft in voorlopers van Service Pack 2 wel geëxperimenteerd met de mogelijkheid voor meerdere gelijktijdige gebruikers, maar deze functionaliteit is verwijderd in de definitieve versie van SP2. Je zou termserv.dll uit SP2 kunnen vervangen door de versie uit de SP2-beta om deze functionaliteit weer in te schakelen, maar dat is niet legaal en werkt bovendien toch niet als werkplekken in een domein zijn aangesloten. Het product WinConnect van ThinSoft Inc. maakt van je Windows XP-werkplek wel een terminal server voor maximaal 21 gelijktijdige gebruikers. Dit is voor jouw vraagstuk echter wel een veel te dure oplossing. Naast WinConnect gebruikerslicenties moet je bovendien een Windows XP-licentie hebben voor elke aangesloten gebruiker. Voor remote beheer betekent dit dus twee Windows XP-licenties: een voor de gebruiker en een voor de beheerder. Y
79 6/8/05
19:42:06
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Attachment Titel: Peuters online Auteur: Marcel Beelen Pagina’s: 80 en 81
Peuters online De wereld van de downloadgeneratie In de meeste gezinnen vind je wel een of meer computers. Een draadloos netwerk, een router, een firewall en een breedbandverbinding horen daar bijna standaard al bij. Zo heb je al snel een omgeving die on-demand toegang biedt tot alle informatie die je maar wenst, op elke locatie in huis. De ideale omgeving voor het downloaden van digitale foto’s, videobestanden, tv, muziekbestanden, ringtones, en vooral het domein van de downloadgeneratie.
T
ieners en twintigers die zich intensief bezighouden met het downloaden van content, worden ook wel de downloadgeneratie of de multimediageneratie genoemd. Zij weten of beseffen vaak niet eens dat een gedownload divx-filmpje of mp3’tje illegaal is. Na het bekijken van de film of beluisteren van de muziek wordt het bestand verwijderd, op cd/dvd bewaard of via peer-to-peer software gedeeld met anderen. Downloaden wordt beschouwd als het luisteren naar de radio of tv kijken. Je vader betaalt toch het breedbandabonnement en je mag daarmee toch kijken en luisteren zoveel je maar wilt? Breedbandproviders versterken overigens bewust dat beeld in hun reclamespots.
Communicatie De downloadgeneratie is naast het downloaden van content ook druk doende met communicatie en communicatie: e-mailen en vooral SMS’en met vrienden en vriendinnen is belangrijk. Voor de veertiende verjaardag worden geen cadeaus meer gevraagd maar harde euro’s, zodat het
80
NOP0505_p80-81_Attachment_PeutersOnline.indd
80
noodzakelijke prepaid beltegoed kan worden aangevuld voor nog meer SMSplezier, en de aankoop van de nieuwste ringtones van Di-rect, Ali B of Eminem. Ook moet de mobiele telefoon regelmatig worden vervangen door een nieuwer en hipper model. Als het budget het laatste even niet toelaat, voldoet een iets actueler tweedehandsje van marktplaats.nl ook. Nog belangrijker in het dagelijks leven is MSN. Er wordt na school op pa’s pc stevig ge-MSN’ed met vrienden en vriendinnen, waar overigens de hele dag ook al mee gekeuveld wordt. Uiteraard heb je als tiener en twintiger ook een eigen homepage, weblog of een profielpagina, bijvoorbeeld bij cu2.nl, waar je uitgebreid over je interesses en je liefdesleven publiceert. De nadruk ligt bij de downloadgeneratie op always-on technologie (breedband), messaging-toepassingen (SMS, MSN) en content/entertainment (foto, video, muziek, ringtones en online games).
Opa en oma haken af Het einde is alleen nog niet in zicht, want waar opa’s, oma’s en soms zelfs vaders
en moeders al lang zijn afgehaakt, zoeken de tieners en twintigers naar méér. Draadloze netwerkverbindingen in audioapparatuur, mediacenters, allemaal rechtstreeks verbonden met internet, bieden nog meer entertainmentmogelijkheden op nog meer locaties en apparaten in huis. Smartphones maken MSN mogelijk op het mobieltje, dat door UMTS een allways-on netwerkverbinding krijgt. MSN’en kan dan in de trein, op school of in het café, slechts gebruikmakend van je duim. De downloadgeneratie verwacht de integratie van de telefoons met mp3spelers, fotocamera’s, navigatiesystemen en volwaardige pda-functies. Zelfs tv laat niet lang meer op zich wachten. Op het moment dat de aanschafprijs en het abonnement betaalbaar wordt voor die leeftijdsgroep, gaat de volgende fase van entertainment in.
Vroeger Toen de huidige downloadgeneratie nog in de luiers zat, was er nog geen sprake van internet thuis, mobiele telefoons, ringtones of chatten. Het world wide
6/8/05
19:43:35
Attachment
Peuters online
NOP0505_p80-81_Attachment_PeutersOnline.indd
81
‘Iemeele’ en ‘intenette’ Mijn dochter is nu net drie jaar geworden en over een jaar of tien behoort ze tot een nieuwe generatie tieners, die vanaf de geboorte in een geheel digitale draadloze wereld is opgegroeid. Alle gemaakte home video’s zijn sinds de eerste dag digitaal gemaakt en vastgelegd op dvd-video’s. Ook zijn alle foto’s digitaal gemaakt en het archief omvat nu al vele gigabytes. Het bekijken van al die foto’s en homevideo’s kan on-demand: op het moment dat ze er zin in heeft, overal in huis bovendien draadloos. Ook een filmpje op tv werkt on-demand: dankzij de harde schijf/dvd-recorder is wachten op het doorspoelen van een videoband of het verwisselen van een dvd niet meer nodig. Haar digitale filmkeuze kan à la minute worden aangepast van Nijntje naar Piet Piraat. Haar leven is echter niet alleen digitaal, maar bovendien always-on dankzij draadloos breedband internet. Computers en internet worden haar met de paplepel ingegoten, ook omdat pa en ma nu eenmaal veel met die apparaten moeten werken. Ze schuift een stoeltje aan tafel, klapt het beeldscherm van de notebook open, zet de computer aan en start met de muis Internet Explorer om te ‘iemeele’ en ‘intenette’. Uiteraard kan dit overal waar ze maar wil in huis en zelfs in de tuin. Zonder probleem worden op het scherm plaatjes van een memory spel omgedraaid, tekeningen ingekleurd en puzzelstukken verplaatst. Ze maximaliseert het venster om online een videoclip van K3 goed te kunnen bekijken. Downloaden doet ze ook al: kleurplaten worden geselecteerd, gedownload en afgedrukt. Internet is gevuld met educatieve spellen voor peuters, online
en gratis. Ze worden aangeboden in Java of Flash en zijn dus feitelijk zelfs een variant op het thema server-based computing. Op een leeftijd van drie jaar ervaart ze al het on-demand en connected home en het gemak van een access infrastructure voor peuters. Peuters gaan online, en hoe zou de entertainment-industrie er uit zien als ze tieners worden? Het is onmogelijk om zover vooruit te kijken, en dat is maar goed ook. Y http://people.zeelandnet.nl/ribert www.4kids2play.nl www.bobo.nl www.boohbah.com/zone.html www.bosk.nl/files_content/ Louiseloeloe.html www.brum.kro.nl www.dotje.nl www.dribbel.com/house.sp?locale=NL www.e-united.nl/scoony www.grin.be/kinderspel www.hitentertainment.com/ bobthebuilder/nl/main.html www.k3.be www.kinderlines.nl/html/ h_h_aankleden.html www.kleurplaten.nl www.musti.be/html/kleur04.html www.nijntje.nl www.omroep.nl/nps/circuskiekeboe/ spelletjes.html www.schatkast.nl www.schooltv.nl/flip/index.html www.schooltv.nl/koekeloere/index.jsp www.schooltv.nl/teletubbies/index.jsp www.schooltv.nl/tweenies/index.shtml www.speelzolder.com/ peuter/index.htm www.studio100.be www.studio100.be/pietpiraat/ default.asp www.studio100.be/plop/ speel/default.asp www.wnf.nl/kleuter www.zapflat.nl
Peuters online
web bestond nog niet. Eigenlijk was alles analoog, want bellen deed je met de vaste telefoon, je foto’s liet je ontwikkelen bij de fotowinkel, de laatste top 40 hit nam je op een cassette op van de radio en had je wat geld dan kocht je een single in de platenwinkel. Het enige wat een beetje vergelijkbaar is met de entertainment van nu waren de populaire thuiscomputers zoals die van Commodore. Toch is het grootschalige gebruik van draadloze netwerken, mobiele multimedia telefoons, digitale fotocamera’s, chatten, dvd’s, divx-films en mp3 een ontwikkeling van de laatste vijf jaar. Dat zet je wel aan het denken. Het is voorspelbaar dat er de komende vijf jaar weer zo een schijnbaar grote stap wordt gezet als de afgelopen vijf jaar. Hoe zou de multimediawereld er dan uit zien? Er worden steeds meer toepassingsgebieden voor Wi-Fi gevonden in allerlei huishoudelijke apparaten. Pc en tv/video/ audio-apparatuur beginnen met elkaar te communiceren zodat je mp3’s direct draadloos vanaf de pc kunt afspelen op de audio-installatie. Met mediacenters integreren videorecorders en pc’s tot een apparaat, maar ook telefoons en camera’s gaan samen. De ringtone is verdwenen, want elke telefoon is in staat hoogwaardige muziek ten gehore te brengen als volwaardige multimediaplayer en tv-ontvanger. Met VoIP-oplossingen als Skype gaan zeer goedkope telefonie en internet samen. Als Near Field Communication (NFC) doorzet, krijg je een peuterproof en tienerproof oplossing voor de eenvoudige overdracht van bestanden. Je houdt je mobieltje annex fotocamera in de buurt van de tv en de foto’s worden op het scherm getoond. Je houdt je mobieltje annex mp3-speler naast een audiosysteem en de muziek komt uit de luidsprekers. Houd je een NFC-mobieltje al wandelend door de stad voor een billboard van een concert van Snoop Dogg en je hebt een toegangskaartje betaald, ontvangt dit de volgende dag in de brievenbus en een paar maanden later sta je in de Ahoy. Toekomstmuziek? De vraag is hoe lang nog.
81 6/8/05
19:43:43