Планирование развертывания
MetaFrame XP

Системные требования

Feature Release 2 поддерживается на платформе Windows 2000 Server с установленным Service Pack 2.

Важно. Feature Release 2 не поддерживается в Windows NT Server 4.0 Terminal Server Edition.

Вы можете установить MetaFrame XP до Feature Release 1 включительно на следующие операционные системы Microsoft:

Важно. Перед установкой MetaFrame XP вы должны установить компонент Terminal Services. По умолчанию Terminal Services не инсталлируются вместе с Windows 2000; вы можете инсталлировать через Add/Remove Programs Панели Управления.
Устанавливайте Terminal Services в режиме сервера приложений


Для использования Novell Client с MetaFrame XP на Windows NT Server 4.0 Terminal Server Edition вы должны установить сначала клиента Novell и перезагрузить сервер.

Требования к Citrix NFuse Classic

Для установки NFuse Classic на сервере MetaFrame XP необходимо наличие установленных Microsoft Internet Information Services (IIS) Version 5.0 и Microsoft Java Virtual Machine (JVM), включенную в состав IIS.

Именование серверов и ферм

Вы указывете имя фермы при инсталляции первого сервера. Имя фермы не должно превышать 32 символов. Имена ферм чувствительны к регистру букв. Для работы фермы серверов MetaFrame XP в смешанном режиме с существующей фермой серверов MetaFrame 1.8, то при создании фермы MetaFrame XP вы должны указать имя существующей фермы серверов MetaFrame 1.8.

Имя сервера должно быть уникально вне зависимости от того, где они находятся - в ферме MetaFrame XP или в смешанном режиме серверов MetaFrame XP и MetaFrame 1.8.

Важно.MetaFrame XP поддерживает имена серверов, содержащие расширенные символы, только в том случае, если сервер DNS поддерживает имена с раширенными символами.

Требования к аппаратному обеспечению

Для Windows NT Server 4.0 TSE Microsoft рекомендует процессор Pentium, 32Mб RAM, жесткий диск с минимум 128Mб свободного места.

Windows 2000 Server и Advanced Server. Microsoft рекомендует Pentium 166MHz или выше, 256Mб RAM, HDD 2Гб и 1Гб свободного места.


Windows 2000 Datacenter Server. Microsoft рекомендует массив процессоров Pentium III Xeon, 256MB RAM, HDD 2Гб с 1 Гб свободного места.

Важно. Microsoft не рекомендует инсталлировать Terminal Services на сервер Windows 2000, выполняющий функцию контроллера домена. По умолчанию пользователям запрещается регистрироваться в сеансах Terminal Services на контроллере домена. Вы можете разрешить регистрацию, разрешив право “log on locally”; но это не рекомендуется.

Требования к диску и памяти

Дополнительно к требованиям операционной системы, используйте следующие пожелания для MetaFrame XP:

Модемы и мультипортовые адаптеры

Помимо соединений ICA по сетевым протоколам, MetaFrame XP поддерживает асинхронные соединения. При настройке асинхронных соединений на сервере MetaFrame, устройства клиентов через модемы дозваниваются на сервер MetaFrame XP. После подключения клиент ICA и сервер MetaFrame XP общаются напрямую, не используя Windows Remote Access Service (RAS) и TCP/IP.

Если вы хотите настроить модемы для модемных соединений ICA, а модемы уже сконфигурированы для RAS, удалите модемы из модемного пула RAS до начала установки MetaFrame XP.

Вы не можете настроить последовательный порт одновременно для RAS и асинхронных соединений ICA.

Для асинхронных соединений Citrix рекомендует на сервере оборудование высокоскоростных последовательных портов или интеллектуальные многопортовые адаптеры. Эти устройства эффективно используют процессор, освобождая его ресурсы для пользовательских процессов. Если у вас есть многопортовый адаптер, установите его до инсталляции MetaFrame XP.

Требования к Citrix Management Console

Citrix Management Console представляет собой утилиту централизованного управления фермой серверов MetaFrame XP. По умолчанию она инсталлируется на все серверы MetaFrame XP. Однако, вы можете установить ее с CD-ROM на рабочей станции, которая должна удовлетворять слудующим требованиям:

Операционная система. Вы можете установить CMC на любой компьютер с NT 4.0, Windows 2000 или Windows XP.

Sun Java Runtime Environment (JRE). Консоль является приложением Java и требует Sun JRE версии 1.3.0. Если ваша система не содержит JRE, она устанавливается при инсталляции. Консоль не работает с версией JRE 1.3.1. Если на целевой системе у вас уже есть установленный JRE, вы должны деинсталлировать до установки Citrix Management Console.

Место на диске. Мнимум 50MB для Citrix Management Console и Java Run-Time Environment.

Память. Минимум 64MB RAM (дополнительно к RAM, требуемых операционной системой и другими приложениями).

Процессор. Pentium и выше.

Масштабирование систем для MetaFrame XP

Многопользовательская среда требует болше системных ресурсов, чем однопользовательская. В этом разделе содержатся рекомендации, которые помогут вам решить вопросы аппаратного обеспечения.

Больше информации о масштабировании системы, оптимизации, настройке и сценариях развертывания содержатся в "Расширенных концепциях MetaFrame XP", а также в книге "Настройка Citrix Metaframe для Windows 2000 Terminal Services".

Многие компании находят, что пользователей можно разделить на две группы: обычные пользователи и активные пользователи.

Обычный пользователь. Как правило, использует одно-два приложений, но одновременно работает только с одним. Между клиентом и сервером передается немного данных, и пользователи редко импользуют OLE.

Активный пользователь. Более продвинутый пользователь, который использует три и более приложений, часто некотрые из них одновременно. Данные часто пересылаются между локальными и удаленными приложениями, активно используется OLE.

Активные пользователи поребляют больше ресрусов, чем обычные пользователи. Как правило, активный пользователь с точки зрения потребления памяти и процессора эквивалентен двум обычным пользователям .

В следующих примерах учитываются только обычные пользователи. Вы сами можете настроить требования с учетом активных пользователей.

Процессор, шина, память

Процессор и архитектура шины имеют важнейшее значение для производительности сервера MetaFrame XP.

Шина ISA имеет низкую скорость и не рекомендуется для сервера. Используйте высокопроизводительные шины, например, EISA или PCI.

Требования к памяти (RAM) для MetaFrame XP составляют 16MB плюс 4MB на каждого обычного пользоввателя или 8Мб на каждого активного пользователя.

Требования к процессору и RAM растут линейно. Вы можете грубо удвоить количество пользователей, поддерживаемых сервером, удвоив количество процессоров и удвоив количество памяти. Купив многопроцессорную систему (даже с одним процессором), вы создаете запас для будущего увеличения производительности.

Требования к приложениям Win16
Windows NT и Windows 2000 является средами Win32 (32-битными). Windows 3.x и DOS являются 16-битными. Windows NT и Windows 2000 выполняют приложения Win16 через процесс под названием WOW (Win16 или Win32), который транслирует вызовы 16-битных приложений в раширенном режиме. Этот процесс вызывает потребление приложениями Win16 дополнительных ресурсов, уменьшая количество поддерживаемых пользователей на 20% и повышая требования к RAM на 25%. По этой причине используйте по возможности только приложения Win32

Жесткие диски

Быстродействие дисковой подсистемы является очень важным фактором общей производительности. Диски SCSI,особенно Fast Narrow SCSI (SCSI-1), Fast Wide SCSI, Wide Ultra SCSI и Wide Ultra1 SCSI имеют значительно лучшую производительность, чем диски IDE или ESDI. Для наилучшей производительности используйте RAID.
В качестве файловой системы для всех разделов серверов использйте только NTFS.

Сетевые адаптеры

Протокол ICA использует сжатие информации и не вызывает сильной нагрузки на сеть. Однако, поскольку сервер MetaFrame XP обрабатывает все сетевые запросы, рекомендуется использовать высокопроизводительные сетевые адаптеры.

Использование средств мониторинга произвдительности

Для аккуратного учета системной производительности и оценки эффекта от внесения изменений Citrix рекомендует использовать утилиты мониторинга. Наиболее важными критериями являются процент общего процессорного времени, процент использования сети и частота дисковых операций ввода/вывода.

Неплохой способ оценки общего числа поддерживаемых сервером пользователей состоит в измерении системной производительности для 2-5 пользователей с последним масштабированием результата. Этот метод дает достаточно надежные результаты.

(Более подробно процесс масштабирования рассмотрен в книге "Настройка Citrix MetaFrame для Windows 2000 Terminal Services")

Выбор СУБД для хранилища данных

Перед установкий MetaFrame XP вы должны решить, какую базу данных следует использовать под хранилище данных. MetaFrame XP совместим со следующими СУБД:

При использовании Microsoft Access хранилище создается при запуске инсталляции MetaFrame XP. База данных находится на первом сервере MetaFrame XP в ферме.

При использовании Microsoft SQL Server, Oracle или IBM DB2, для базы данных выделяется отдельный сервер. Этот выделенный сервер должен быть настроен до создания фермы, поскольку вам потребуется настроить соединение с ним через ODBC. Серверы MetaFrame XP также требуют установленного программного обеспечения клиента базы данных.

При выборе той или иной базы данных вы должны учитывать ряд факторов, включая:

Использование Microsoft SQL, Oracle и IBM DB2 требует значительно больших знаний для установки и сопровождения. Если у вас недостаточно опыта работы с этими продуктами, лучше их не использовать.

Предупреждение. Не устанавливайте MetaFrame XP непосредственно на серверы Microsoft SQL, Oracle или IBM

Рекомендации по выбору той или иной СУБД содержатся в "Расширенных концепциях"

Подключение к хранилищу данных

После выбора базы данных решите, как серверы MetaFrame XP будут подключаться к хранилищу - напрямую или нет.

Для прямого соединения с хранилищем сервер MetaFrame XP должен иметь соответствующий установленный и настроенный драйвер ODBC. Тогда сервер напрямую подключается к хранилищу.

В случае непрямого доступа один сервер MetaFrame XP подключается к промежуточному серверу MetaFrame XP, а промежуточный сервер уже подключается к хранилищу напрямую. Использование непрямого соединения с базой данных SQL устраняет необходимость настройки драйверов ODBC на каждом сервере MetaFrame XP. Если вы для хранилища используете базу данных SQL Server, вы можете использовать комбинацию методов прямого и непрямого доступа.

Для критических серверов использование непрямого доступа не рекомендуется, поскольку все зависит от надежности промежуточного сервера.

По умолчанию, непрямой доступ использует порт TCP 2512 для связи между серверами MetaFrame XP. Если серверы MetaFrame XP располагаются в разных сетях, разделенных защитными экранами, убедитесь, что этот порт не закрыт.

При пересоздании БД хранилища учетная запись администратора создается с данными локальной учетной записи администратора. Не забудьте в Citrix Management Console создать нового администратора Citrix с полными правами. Не забывайте делать резервную копию базы перед ее пересозданием.

Требования к хранилищу

Microsoft Access

Выберите при инсталляции опцию сервера Use a local database (Microsoft Access) .При этом создается база данных Access, выполняющая роль хранилища данных. Access и драйверы ODBC для него уже входят в состав серверов Windows 2000. ODBC использует Microsoft Jet Engine. Вам не нужно устанавивать какие бы то ни было драйверы или дополнитеьное программное обеспечение.

Минимальные требования

Аутентификация
При выборе Access в качестве хранилища, инсталляция MetaFrame создает базу данных “mf20.mdb.” По умолчанию логин и пароль к базе “citrix/citrix.”

Вы можете использовать команду Dsmaint (dsmaint config /pwd:newpassword) для изменения пароля к базе данных. Для работы этой утилиты необходима работающая служба IMA.

Перед запуском Dsmaint всегда делайте резервную копию (dsmaint backup)


Microsoft SQL Server

Microsoft SQL Server 7. Microsoft SQL Server 7 м Service Pack 2 или 3 поддерживается на платформе Windows NT 4.0 Server и Windows 2000 Server. Вам необходима версия драйвера Microsoft SQL ODBC 3.70.08.20 или более новая на каждом сервере MetaFrame XP, который напямую будет подключаться к серверу SQL.


Microsoft SQL Server 2000. Microsoft SQL Server 2000 поддерживается на сервере Windows NT 4.0 и Windows 2000. На сервере Windows NT 4.0 необходимо установить Service Pack 5 или более поздний.

Проверена следующая конфигурация:

Минимальные требования

Перед установкой Microsoft SQL Server обязательно прочтите его документацию. При использовании SQL Server в качестве хранилища предъявляются следующие требования:

Аутентификация в базе данных Microsoft SQL Server

Миграция на SQL Server

Переход на Microsoft SQL Server поддерживается для базу данных, перечисленных в таблице. Остальная информация о миграции находится в документации к утилите Dsmaint.

Оригинальная платформа Целевая платформа
Microsoft Access SQL Server 7 with SP3
Microsoft Access SQL Server 2000
Microsoft Access SQL Server 2000 with SP1
Oracle 8.1.6 SQL Server 2000 with SP1
Oracle 8.1.7 SQL Server 2000 with SP1
Oracle9i SQL Server 2000 with SP1
IBM DB2 with FixPak 5 SQL Server 2000 with SP1

 

Требования к Oracle и IBM DB2 см. в "Расширенных концепциях"

Настройка сети и учетных записей


Общие пожелания

Citrix не рекомендует использование контроллеров домена в качестве сервера MetaFrame XP по следующим соображениям:

Рекомендации для Active Directory

Если ваша сеть сконфигурирована на использование доменов и групп Active Directory, учитывайте следующие пожелания:

Используйте серверы Windows 2000. Устанавливайте MetaFrame XP исключительно на серверы Windows 2000. Поддержка Active Directory включена в Windows 2000 изначально, поэтому вам не потребуется дополнительные службы.

Если пользователи серверов фермы используюи приципальные имена (User Principal Name, UPN), вы должны использовать исключительно серверы Windows 2000, поскольку регистрация с использованием UPN не поддерживается серверами Windows NT Server 4.0 Terminal Server Edition, даже если инсталлирован Active Directory Services Interface. Если ферма содержит серверы Windows 2000 и TSE, вы должны использовать старую нотацию имени пользователя в виде domainname\username

Используйте единый лес. Устанавливайте все серверы фермы в одном лесу Active
Directory forest. Подробнее см. "Использование лесов Active Directory”.

Установите ADSI 2.5 или выше. Если в ферме вы используете серверы TSE, установите Active
Directory Services Interface (ADSI) 2.5 на серверах TSE. ADSI значительно улучшает скорость перечисления пользователей в больших доменах. Кроме того, ADSI позволяет серверам TSE использовать запросы LDAP вместо устаревших запросов.

Если ADSI не установлен, серверы TSE не могут составить список локальных групп из доменов Active Directory, работающих в "родном" режиме.

Важно. Если установлен ADSI, регистрация пользователя с использованием UPN не допускается. Кроме того, администраторы Citrix не могут использовать UPN для регистрации в Citrix Management
Console. По этой причине используйте только серверы Windows 2000, если хотите использовать принципальные имена.

Рекомендуемая конфигурация домена

Эти рекомендации не являются обязательными. Однако, множественные домены или доверительные отношения с доменами не-Active Directory могут влиять на аутентификацию пользователей, включая:


Использование лесов Active Directory

Если вы используете Active Directory, Citrix рекомендует размещать все серверы MetaFrame XP в одном и том же лесе. Если ваша ферма содержит серверы MetaFrame XP более чем в одном лесе, пользователи не смогут использовать принципальные имена (UPN).

Принципальные имена имеют вид username@UPN. В Active Directory при регистрации с сипольщовании UPN не обязательно указывать имя домена, поскольку Active Directory может найти его в каталоге. Однако, если в ферме существует несколько лесов, может возникнуть проблема, поскольку один и тот же идентификатор может существовать в разных лесах.

Поскольку не существует эффективного способа определения учетной записи, MetaFrame XP не поддерживает регистрацию с использованием UPN, если ферма MetaFrame XP распространяется на несклько лесов Active Directory.

Доступ пользователей к приложениям и принтерам

Для авторизации пользователей при доступе к ресурсам в ферме, вы выбираете пользователя и группу. Например, при публикации приложения, вы указываете сервер для осблуживания приложения и Citrix Management Console выводит список пользователей из доверительного пересечения всех серверов. После выбора пользователей или групп, которым вы хотите разрешить использование приложения, изменение списка хост-серверов может изменить доверительное пересечение и сделать приложение недоступным пользователям, которые выпали из этого пересечения. Если доверительное пересечение изменяется, консоль информирует вас об этом и удаляет пользователей, которые потеряли право на доступ к ресурсу.

Опубликованное приложение доступно только тем пользователям, которые имеют права доступа к каждому серверу, обслуживающему приложение. Если несколько серверов обслуживают одно и то же приложение, вы не можете предсказать, к какому серверу подключится клиент ICA для запуска приложения. Поэтому если пользователь авторизован только на некоторых серверах, вы не можете обеспечить для него постоянную доступность приложения.
Для предотвращения непредсказуемого доступа MetaFrame XP удаляет пользователей из списка авторизованных пользователей опубликованного приложения или принтера, если учетные записи не находятся в доверительном пересечении всех хост-серверов.

Доверительная маршрутизация

Доверительная маршрутизация позволяет серверам быть членами фермы даже в том случае, если они находятся в разных доменах, не связанных доверительными отношениями. В доверительной маршрутизации запрос перечисления пользователей или аутентификации пользователя перенаправляется на сервер, который имеет доверительные отношения с инициирующим сервером.
Сервер MetaFrame XP регистрирует свои доверительные домены при каждом запуске и приблизительно каждые 6 часов работы службы. Таким образом, хранилище данных является центральным хранилищем всех доверительных данных серверов фермы.

Когда сервер осуществляет одну из нижеперечисленных операций на домене, который не является доверительным, сервер определяет из храниллища данных, какие серверы могут ее выполнить, и перенаправляет запрос на этот сервер. Доверительная маршрутизация работает для следующих операций:

Модель безопасности Active Directory и ограничения

Active Directory содержит новые типы групп безопасности, которым могут принадлежать пользователи. Вы можете использовать такие группы при отборе пользователей для опубликованых приложений или сетевых принтеров.

Локальные доменные группы. В модели Active Directory локальные группы могут содержать группы из других доменов, но доменная локальная группа может быть назначена ресурсу, находящемуся только в том домене, где находится сама группа.

Универсальные группы. Эти группы могут содержать группы из других доменов. Универсальные группы хранятся в глобальном каталоге Active Directory. Они могут использоваться для предоставления привилегий ресурсам, находящимся в любом домене.

Доменные глобальные группы.Доменные глобальные группы содержат группы из того же домена и могут быть назначены ресурсам любого домена. Citrix рекомендует использовать доменные глобальные группы для доступа пользователей к опубликованным приложениям или сетевым принтерам.
Доменные глобальные группы эквивалентны глобальным группам не-Active Directory. Доменные глобальные группы и универсальные группы доступны только в доменах Active Directory.

Права пользователей в Active Directory

В следующей таблице показано, как сетевая конфигурация затрагивает права пользователей в Active Directory.

  Program Neighborhood
Filtering
Аутентификация к опубликованным приложениям Аутентификация в Citrix Management Cosole
Доменные глобальные
группы
Не оказывает вредного эффекта Не оказывает вредного эффекта Не оказывает вредного эффекта
Доменные локальные
группы.
Рекомендации:
Все серверы фермы должны принадлежать одному домену.

Обоснование:
Если пользователь является членом локального домена, группа представлена в метке безпасности только при регистрации пользователя на машине, находящейся в том же домене, что и локальная группа. Доверительная маршуртизация не гарантирует правильное перенаправление запроса о ргистрации. Она гарантирует только то, что запрос будет обработан сервером домена, имеющие доверительные отношения с доменом пользователя.
Рекомендации:
Все серверы, исползующие балансирование нагрузки, должны находиться в одном домене, если локальной группе разрешено использовать приложение.

Обоснование:
Доменные локальные группы, назначенные приложениям, должны быть из первичного домена всех серверов, включенных в балансировку нагрузки. При публикации приложения доменные локальные группы видны в списке при условии соблюдения первого условия.
Если опубликованное приложение имеет пользователей ихз любой локальной доменной группы, и вы добавляете сервер из другого домена, доменные локальные группы удаляются из списка пользователей, поскольку все серверы должны иметь возможность проверить любые права пользователей на запуск приложения.

Рекомендации:
Если пользователь является администратром Citrix только благодаря принадлежности локальной доменной группе, пользователь должен подключаться к консоли сервера в том же домене, что и локальная доменная группа.

Обоснование:
Если пользователь подключается к консоли сервера, находящемся в другом домене, чем локальная доменная группа, ему запрещается доступ, поскольку локальная доменная группа не имеет метки безопасности пользователя.

 

Универсальные
группы
Рекомендации:
Домены в лесу, не входящие в Active Directory, имеют явные доверительные отношения с доменами

Обоснование:
Домены, отличные от Active Directory не знают о наличии универсальных групп и контроллеры доменов исключат универсальные группы из меток безопасности пользователя. В результате приложения могут не появиться в Program Neighborhood.

Рекомендации:
Если приложению назначена универсальная гурппа, все серверы, обслуживающие эжто приложение, должны находиться в домене Active Directory

Обоснование:
Сервер в домене, отличном от Active Directory, должен аутентифицировать пользователя. В этом случае универсальные группы отсутствуют в метке безопасности пользователя и пользователю запрещается доступ.
Для сервера в домене, отличном от Active Directory, возможно применение балансировки нагрузки, если между доменами установены явные доверительные отношения.

Рекомендации:
Если пользователь проверяется в консоли и является членом администратором Citrix только благодаря членству в универсальной группе, консоль должна обратиться к серверу, входящему в домен Active Directory.

Обоснование:
Контроллеры доменов, отличные от Active Directory, и домены вне дерева универсальной группы не содержат информации об универсальной группе.


Поддержка пользователей Novell Directory Services

MetaFrame XP поддерживает аутентификацию через пользователей посредством Novell Directory Service (NDS).

NDS обеспечивает защищенную регистрацию и организует сетевые ресурсы в виде дерева. Когда дерево NDS назначено ферме серверов, информация о пользователях берется непосредственно из NDS.

Для использования на серверах MetaFrame XP NDS необходима установка Novell Client. В ферме необходимы выделенные серверы с установленным Novell Client для обслуживания приложений для объектов NDS. Не размещайте на этих серверах приложения, предназначенные для пользователей Windows NT, Windows 2000 или Active Directory. Ферма может представлять собой смесь серверов, используемых только для приложений NDS, и других серверов.

Для управления объектами NDS администратор Citrix должен иметь учетную запись в NDS.

NDS поддерживается в MetaFrame XP начиная с Fetaure Release 1.

Подробнее об интеграции с Novell Directory Services

Настройка учетной записи администратора Citrix

Администраторы Citrix управляют серверами MetaFrame XP в ферме. Вы можете создать учетные записи администраторов Citrix со следующими привилегиями:

При первой инсталляции сервера MetaFrame XP в новой ферме вы можете определить администратора фермы. Этой учетной записи автоматически даются полные права в Citrix Management Console.

Чтобы дать права доступа к консоли для других пользователей, администратор с полными правами должен зарегистрироваться на консоли и создать другие записи администраторов. Уровень привилегий зависит от функциональных обязанностей администратора. Например, сетевому и системному администраторам требуется полный доступ ко всем аспектам администрирования, а персоналу службы поддержки может потребоваться только права просмотра.

Для предоставления администраторам прав доступа к Citrix Management Console, добавьте учетную запись пользователя в группу Citrix Administrators. Консоль использует стандартную регистрацию и аутентификацию Windows. Щелкните в левой панели на узел Citrix Administrators для отображения списка администраторов.

При создании административной записи для пользователя, вы можете предоставить или запретить доступ как к отдельным функциям MetaFrame XP, таким как отключение пользователей, так и к целым областям администрирования, напрмер, к управлению сеансами. Вы можете создать специализированных администраторов Citrix с разными уровнями привилегий для выполнения специфических задач без предоставления полного доступа.

Подробнее см. раздел "Настройка учетных записей администраторов"

В ферме всегда должен быть хотя бы один администратор с полными правами. MetaFrame предотвращает удаление последнего администратора Citrix с этим уровнем привилегий. Даже если учетная запись больше не существует в сети, консоль позволяет зарегистрироваться локальному администратору.

Планирование связи сервера и клиента

Учитывайте следующие аспекты при развертывании клиентов ICA:

Первая часть описана относится к MetaFrame XP. Подробнее об аспектах связи MetaFrame XP с MetaFrame 1.8 см. "Браузеры ICA и взаимодействие с MetaFrame 1.8"

Некоторые возможности, описанные в этом разделе, доступны не для всех клиентов ICA. В этом разделе рассматриваются клиенты ICA ICA Win32 6.0

Связь клиентов ICA с серверами MetaFrame XP

Основными коммуникационными процессами в ферме является браузинг ICA и сеансы ICA.

Клиенты ICA осуществляют браузинг ICA при запросе опубликованных приложений с серверов. Клиент для запуска приложения инициирует сеанс ICA с сервером.


ICA Browsing

ICA Session

Браузинг ICA

Браузинг ICA - это процесс, в котором клиент ICA передает данные для поиска в сети серверов MetaFrame и получения информации об опубликованных приложениях.

Для браузинга ICA клиенты в зависимости от протокола браузинга используют службу Citrix XML Service или ICA Browser.

Браузинг проиходит в следующих случаях:


Сеансы ICA

Сеанс ICA представляет собой коммуникационное соединение между клиентом ICA и сервером MetaFrame, которое устанавливает клиент для запуска приложения. В сеансе ICA сервер передает отображение экрана приложения клиенту, а клиент присылает на сервер нажатия клавиш, действия мыши и локальные данные.

Для сеансов ICA используется порт 1494. Этот порт должен быть открыт на защитных экранах для входящих соединений, если клиент находится за пределами экрана. Порт, используемый клиентом, конфигурируется динамически при установлении соединения.

В установлении сеансов ICA могут быть вовлечены другие компоненты MetaFrame, такие как Citrix NFuse, Web серверы, прокси-серверы, веб-браузеры. Во всех случаях основная связь осуществляется между клиентом ICA и сервером MetaFrame.

Настройка браузинга ICA

Пользователи подключаются к серверу и приложениям через наборы приложений или заказные (custom) соединения из клиента ICA.


Настройка поиска сервера

Метод, используемый клиентами ICA для браузинга, зависит от настроек поиска сервера. Эта настройка делается пользователями в Program Neighborhood.


Задание протокола для браузинга

Настройки сетевого протокола, указываемые для поиска сервера, затрагивают следующие аспекты, относящиеся к браузингу ICA:

Использование протоколов TCP/IP и HTTP

Citrix рекомендует использовать TCP/IP+HTTP в качестве протокола поиска сервера. Кроме того, Citrix рекомендует указывать серверы посредством указания адреса IP или имени DNS в поле Address List.

При использовании TCP/IP+HTTP и укаания серверов в поле Address List, клиент ICA связывается для поиска сервера со службой Citrix XML на указанном сервере.

Если сервер не указан, клиент пытается определить IP-адрес для имени "ica". Это заметно по имени “ica” в поле Address List. Используя эту возможность, администратор может настроить в DNS или WINS хост с именем “ica” на правильный адрес IP сервера, выполняющего службу XML.

Вы можете настроить сервер DNS для отображения имени "ica" на группу серверов MetaFrame XP, запускающих службу XML, дабы избежать индивидуальной настройки адресов серверов в клиентах.

Для обращения к Citrix XML Service, клиент ICA делает соединение HTTP через порт 80 сервера MetaFrame. Если пользователь запускает опубликованное приложение, то служба XML направляет клиенту адрес сервера MetaFrame, обслуживающего это приложение.

При настройке клиента на использование TCP/IP+HTTP, коммуникация между клиентом и службой XML состоит в передаче данных в формате XML в виде пакетов HTTP. Это дает следующие преимущества:

Использование для браузинга TCP/IP

Если для поиска сервера выбран протокол TCP/IP и видна кнопка (Auto-Locate) в списке Address List, то клиенты ICA посылают широковещательные пакеты UDP браузеру ICA через порт 1604.

По умолчанию серверы MetaFrame XP не откликаются на запросы клиентов, использующих рассылку UDP. Таким образом, клиенты, настроенные на использование TCP/IP и автопоиск серверов и приложений, не смогут их найти.

Вы можете поступить следующим образом:

При работе MetaFrame XP в смешанном режиме только Главное Браузеры из серверов MetaFrame XP отвечают на широковещательные рассылки UDP.

Поскольку широковещательные рассылки UDP не распространяются на другие подсети, этот метод работает только для серверов, находящихся в одной подсети с клиентом. После того, как сервер найден, связь с ним осуществляется напрямую через порт UDP to port 1604.

Из-за ограничений широковещательных рассылок предпочтительнее ввести один или несколько адресов IP в список Address List. В должны это сделать, если клиент находится в другой подсети, чем коллектор данных.

Вцелом, использование TCP/IP для автообнаружения менее эффективно, чем использование TCP/IP+HTTP.

Влияние настроек обнаружения сервера на браузинг ICA

Сетевой протокол Address List Тип данных Кто отвечает Настройка фермы
TCP/IP+HTTP по умолчанию (“ica”) XML / HTTP Служба XML Родной или смешанный режим
TCP/IP+HTTP Указанные серверы XML / HTTP Служба XM Родной или смешанный режим.
В смешанном режиме укажите серверы MetaFrame XP
TCP/IP Default
(Auto-Locate)
Широковещательная
рассылка UDP
ICA Browser на коллекторе данных Смешанный режим.
Родной режим, если серверы настроены отвечать на широковещательную рассылку UDP. Сервер и клиенты должны находиться в одной подсети.
TCP/IP Указанные серверы Прямой UDP ICA Browser Родной или смешанный режим

Связь со службой Citrix XML

Citrix XML Service является компонентом сервера MetaFrame XP Эта служба инсталлируется по умолчанию на все серверы MetaFrame XP. Она также включена в Feature Release 1 для MetaFrame 1.8.

Если клиент настроен на использование TCP/IP+HTTP, служба XML доставляет клиенту информацию об опубликованых приложениях, используя протокол HTTP и данные XML. Служба XML также предоставляет информацию серверам NFuse Classic.

Например, при запуске пользователем опубликованного приложения, клиент ICA запрашивает это приложение. Служба XML отвечает адресом сервера MetaFrame, на котором опубликовано это приложение.

Настройка порта для Citrix XML Service

Служба Citrix XML использует порт IP на сервере MetaFrame для связи с клиентом ICA и NFuse. Вы можете установить номер порта во время или после инсталляции MetaFrame XP.

Важно. Все серверы MetaFrame в ферме должны иметь использовать один номер порта для службы XML.

Служба XML по умолчанию использует порт 80. Обчно это порт открыт на зажитных экранах.

Если вы хотите использовать NFuse через HTTP с использованием SSL, убедитесь, что служба XML настроена на совместное использование этого порта с IIS, а IIS настроен на поддержку протокола HTTPS.

Замечание. Порт 80 по умолчанию используется веб-серверами. Служба XML включает расширение ISAPI для Internet Information Services (IIS). Это расширение позволяет IIS и службе XML совместно использовать порт 80. Это необходимо в том случае, когда IIS и NFuse установлены на серверах MetaFrame. По умолчанию инсталляция MetaFrame XP устанавливает NFuse в том случае, если IIS уже инсталлирован на сервере. Однако, для улучшения производительности рекомендуется устанавливать IIS и NFuse на выделенных веб-серверах.

Подробнее см. "Настройка порта службы XML"

Важно. Если вы изменяете номер порта, используемый Citrix XML Service, вы должны установить правильный порт на клиенте ICA.

Использование разрешения адресов DNS

Запросы клиентов на браузинг обычно генерируют адреса IP сервера MetaFrame. Вы можете настроить серверы MetaFrame XP так, чтобы они сообщали свои квалифицированные доменные имена (FQDN). Эта возможность, называемая доменная система имен (DNS), доступна клиентам, использующих службу XML.

Серверы MetaFrame XP по умолчанию сообщают свои адреса IP. Вы можете изменить это поведение (для всей фермы) в Citrix Management Console. В большинстве случаев использование адресов IP работает хорошо и создает меньшую нагрузку.

Разрешение имен DNS работает только в родном режиме и при использовании клиннта ICA не ниже 6.20.985.

Для разрешения/запрещения использования разрешения DNS:

  1. Откройте Citrix Management Console.
  2. Щелкните правой кнопкой мыши в левой панели на имени фермы и выберите Properties.
  3. Выберите закладку MetaFrame Settings.
  4. Установите или снимите опцию Enable DNS address resolution.
  5. Щелкните OK.

Настройка защитных экранов

Защита серверов, содержащих ценные данные, является чрезвычайно важным делом. Вы должны рассматривать вопросы безопасности как часть сценария развертывания MetaFrame XP.

Помимо физической защиты серверов большинство организаций устанавливает средства защиты сети, включая защитные экраны для изоляции серверов от Интернет и других сетей общего доступа.

Для развертывания серверов MetaFrame XP за сетевыми экранами, настройте доступ для клиентов ICA, находящихся по ту сторону экранов, разрешив прохождение пакетов на отдельные порты, используемые серверами и клиентами ICA.

Как ужек упоминалось, Citrix рекомендует клиентам ICA использовать для браузинга TCP/IP+HTTP. Для использования этого протокола в случае, когда клиенты находятся за сетевым экраном, настройте экран на прохождение входящих пакетов HTTP через порт 80. Обычно этот порт открыт для веб-серверов.

В сеансах ICA клиенты общаются через порт сервера 1494. Этот порт также должен быть открыт для входящих соединений.

Конфигурация фермы

Диаграмма ниже иллюстрирует базовую сетевую конфигурацию ферм Citrix.

В обеих диаграммах коммуникационные маршруты являются двунаправленными; стрелки означают направление инициирующего соединения.

Первая диаграмма иллюстрирует основную конфигурацию коммуникации клиентов ICA и сервера MetaFrame.

Схема коммуникации от клиента к серверу

Если между клиентом ICA и сервером MetaFrame XP находится защитный экран, порт 80 должен быть открыт для входящих соединений HTTP для службы XML, а порт 1494 должен быть открыт для входящих соединений ICA.

Процесс запуска приложения начинается с браузинга ICA (поиска сервера). Для этого используется протокол TCP/IP+HTTP, а в клиенте указаны адреса серверов.

  1. Клиент посылает запрос службе XML на порт 80 указанного сервера по протоколу HTTP.
  2. Служба Citrix XML вовзращает адрес сервера, на котором находится приложение.
  3. Клиент ICA устанавливает соединение ICA с сервером MetaFrame XP. Пакеты ICA пересылаются от клиента на сервер на 1494. Пакеты ICA от сервера клиенту посылаются на динамически назначенный порт.

Иногда организации размещают свои веб-серверы в демилитаризованной зоне (DMZ) между двумя защитными экранами. В этой конфигурации, показанной ниже, веб-серверы с NFuse находятся между экранами и изолированы от серверов MetaFrame и клиентов ICA.

Коммуникация при использовании серверов NFuse Classic

Если веб-сервер находится в демилитаризованной зонге между экранами, пользователи веб-браузеров посылают запросы на веб-сервер с NFuse.

Веб-серверы отправляют запросы HTTPS на SSL
Relay и службу XML в ферме.

Клиенты ICA устанавливают сеансы ICA с серверами MetaFrame XP через порт 1494. Порт на стороне клиента конфигурируется динамически.

Как и для базовой конфигурации, Citrix рекомендует использовать протокол TCP/IP+HTTP.

Следующая диаграмма показывает взаимодействие клиента ICA и сервера MetaFrame XP при использовании шифрования SSL.

Связь клиента с сервером при использовании SSL

Для использования SSL должен быть
открыт порт 443 для входящих соединений. Клиент связывается с SSL Relay для поиска сервера и коммуникации с сеансом ICA.

  1. Клиент посылает шифрованный запрос на Citrix SSL Relay на порт 443 указанного сервера, используя HTTPS.
  2. SSL Relay расшифровывает запрос и передает его службе XML на порт 80.
  3. Служба XML передает адрес сервера на SSL Relay.
  4. SSL Relay шифрует и отправляет адрес клиенту ICA.
  5. Клиент ICA устанавливает зашированный SSL сеанс ICA с сервером MetaFrame XP. Пакеты ICA передаются от клиента на порт 443 сервера, а потом расшифровываются и подаются на порт 1494. Клиенту передаются зашированные данные.

Настройка портов TCP в ферме серверов Citrix

В следующей таблице приведены порты TCP/IP, используемые серверами MetaFrame XP, клиентами ICA, IMA, и другими службами Citrix. Эта информация поможет настроить защитные экраны.

Тип связи Номер порта
по умолчанию
Конфигурация
Сеансы ICA
(от клиентов ICA к серверу)
1494 См. инструкции по настройке порта в документации к утилите ICAPORT. Этот порт должен быть открыт для входящих пакетов от клиентов ICA.
Citrix XML Service 80 Этот порт должен быть открыт для входящих пакетов, если клиент использует протокол TCP/IP+HTTP для поиска сервера. Настройку этого порта см. в разделе "Настройка порта для Citrix XML"
Citrix SSL Relay 443 См. "Изменение порта для SSL Relay"
Межсерверные коммуникации 2512 См. инструкции по применению команды IMAPORT в разделе "Команды MetaFrame XP"
От сервера MetaFrame XP к серверу Microsoft SQL или Oracle 139, 1433, или 443 для MSSQL См. документацию к вашей базе данных
От Citrix Management
Console к серверу MetaFrame XP
2513 См. инструкции по применению команды IMAPORT в разделе "Команды MetaFrame XP"
От клиентов ICA к ICA
Browser (UDP)
1604 Серверы MetaFrame XP всегда отвечают на прямые запросы UDP. Подробнее смю раздел "Настройка ответа на широковещательные запросы клиента ICA"
От сервера к серверу (UDP) 1604 Не настраивается. Используется при взаимодействии с серверами MetaFrame 1.8


Браузеры ICA и взаимодействие с MetaFrame 1.8

В этом разделе описаны аспекты, связанные с браузингом ICA при работе серверов MetaFrame XP в смешанном режиме совместно с серверами MetaFrame 1.8. Подробнее см. "Взаимодействие с серверами MetaFrame 1.8"

При использовании смешанного режима вы должны создать две разных фермы - одну только для серверов MetaFrame 1.8, а вторую - только для серверов MetaFrame XP.

В смешанном режиме обе фермы видны как единая, поскольку браузеры ICA в каждой ферме объединяют информацию и сервер MetaFrame XP становится главным браузером для обеих ферм. Главный браузер содержит информацию об опубликованных приложениях на каждом сервере.

Замечание. На сервере MetaFrame 1.8 служба ICA Browser является системной службой. На сервере MetaFrame XP, ICA Browser является подсистемой службы IMA Service, которая отвечает на запросы клиентов ICA. В этой главе ссылка на браузер ICA относится как к службе, так и к подсистеме.

Когда пользователь запускает опубликованное приложение в ферме MetaFrame 1.8, клиент ICA спрашивает у главного браузера адрес сервера, обслуживающего приложение. Клиент также использует главный браузер для заказных соединений.

В смешанном режиме клиенты ICA могут связываться с одним главным броаузером для подключения к серверам из разных ферм. Клиент образается к главному браузеру через браузер ICA по протоколу TCP/IP.

Если вы выбрали работу в смешанном режиме, вы разрешили ферме MetaFrame XP отвечать на широковещательные запросы от клиентов ICA, использующих функцию автобнаружения серверов. По умолчанию, на широковещательные запросы отвечает только главный браузер и серверы RAS; на остальных серверах ответ на широковещательные рассылки запрещен.

Подробнее см. "Настройка браузинга ICA"

При использовании TCP/IP+HTTP клиенты не посылают широковещательных запросов.

Выборы Главного Браузера ICA


При работе в смешанном режиме браузер ICA работает на каждом сервере. Главный браузер выбирается во время выборов. Выборы Главного Браузера инициирутся в слудующих случаях:

При выборах используется набор критериев. Выборы начинаются с рассылки некоторым браузером ICA своих критериев. Если у другого браузера ICA обнаружились более высокие критерии, тот начинает рассылать свои. Последний ответивший браузер становится Главным Браузером.
Критерии, определяющие выборы:

Для определния того, какой сервер выступает в качестве Главного Браузера, выполните команду query server. Буква M рядом с сетевым адресом означает, что это Главный Браузер, В - дублирующий, в G - шлюз между подсетями в ферме MetaFrame 1.8.

Изменение букв дисков сервера

Переназначение букв дисков клиентов позволяет пользователям клиента ICA получать доступ к своим локальным дискам при использовании приложений на серверах MetaFrame. При запуске сеанса ICA, MetaFrame назначает буквы клеинтским драйвам.

Переназначение поумолчанию показано в следующей таблице. Диски клиента C и D переименовываются в V и U, поскольку сервер использует C и D.

  Логическая буква драйва Буква в сеансе ICA
Драйвы клиента A (флоппи-диск) А
  B (флоппи-диск) B
  C V
  D U
     
Драйвы сервера C C
  D D
  E E
     


Чтобы сделать доступ к дискам более привычным, вы можете изменить буквы драйвов сервера. В этом случае диски клиенты сохранят свои наименования.

  Логическая буква драйва Буква в сеансе ICA
Драйвы клиента A (флоппи-диск) А
  B (флоппи-диск) B
  C С
  D В
     
Драйвы сервера C M
  D N
  E O
Предупреждение. Если вы собрались изменить буквы драйвов сервера, сделайте это во время инсталляции MetaFrame XP. Если вы решили сделать это после установки MetaFrame XP, то делайте до установки любых приложений.

Если вы изменили диски сервера, MetaFrame XP просматривает следующие ключи реестра и меняет все ссылки на драйвы для отражения изменений:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*
HKEY_LOCAL_MACHINE\SOFTWARE\Equinox\eqn\CurrentVersion\NetRules
HKEY_LOCAL_MACHINE\SYSTEM\*
HKEY_CLASSES_ROOT\*
HKEY_USERS\*

MetaFrame XP также меняет размещение файла подкачки и следующих ярлыков:
%SystemRoot%\Profiles\Default User\*.lnk
%SystemRoot%\Profiles\Administrator\*.lnk
%SystemRoot%\Profiles\All Users\*.lnk

 

Использование смарт-карт

Feature Release 2 включает поддержку смарт-карт. Смарт-карты - это небольшие пластиковые карточки с встроенным компьютерным чипом. Они могут использоваться:

Смарт-карты можно использовать для аутентификации пользователей при доступе к приложениям и контенту, опубликованным на серверах MetaFrame. Кроме того, в некоторых приложениях поддерживаются возможности смарт-карт. Например, опубликованное приложение Microsoft Outlook можно настроить на запрос вставить карточку в устройство считывания смарт-карт, подключенное к устройству клиента. После аутентификации пользователь может использовать цифровую подпись отправляемых писем.

Системные требования


На сервере MetaFrame необходимо наличие следующих компонентов:

На клиенте необходимо наличие:

[skip]

Взаимодействие с MetaFrame 1.8

Ферма серверов MetaFrame XP может работать совместно с фермой MetaFrame 1.8 в смешанном режиме. Этот режим предусматривает ограниченное накопление лицензий между серверами MetaFrame 1.8 и MetaFrame XP и позволяет публиковать приложения на серверах MetaFrame 1.8 и MetaFrame XP.

В смешанном режиме новые возможности, содержащиеся в Fetaure Release, недоступны.

Настройка MetaFrame XP на смешанный режим

Вы можете укаать смешанный режим при первой инсталляции сервера MetaFrame XP . После инсталляции это можно сделать в Citrix Management Console. Более подробную информацию вы можете получить из помощи консоли.

Если вы переключаетесь от смешанного режима в родной режим, то фермы MetaFrame 1.8 и MetaFrame XP становятся полностью независимыми друг от друга.

На время изменения режима обеспечьте невозможность регистрации пользователей.

Смешанный режим предназначен для облегчения перехода на MetaFrame XP; он не предназначен для постоянного решения. После перевода всех серверов с MetaFrame 1.8 на MetaFrame XP, переключите режим снова на родной, используя Citrix Management Console.

При работе в смешанном режиме учитывайте следующие аспекты:

Выборы браузера ICA. В смешанном режиме сервер MetaFrame XP становится главным браузером в подсети. На каждом сервере MetaFrame XP перезапускаются службы, связанные с браузером ICA и Program Neighborhood. В это время клиенты не могут получить список опубликованных приложений.

Шлюзы лицензий. В смешанном режиме шлюзы лицензий в ферме MetaFrame 1.8 не работают с пулом лицензий. Вы должны настроить организацию пула лицензий в Citrix Management Console.

Служба Program Neighborhood. При изменении режима от смешанного к родному, вы должны перезапустить службу Program Neighborhood на всех серверах MetaFrame 1.8, не имеющих MetaFrame 1.8 Service Pack 1. В противном случае клиенты не смогут использовать опубликованные приложения в ферме MetaFrame 1.8.

Имена ферм. Имя, даваемое ферме MetaFrame XP, должно совпадать с существующим именем фермы MetaFrame 1.8

Подсети. Не используйте смешанный режим, если ферма не имеет ни одного сервера MetaFrame 1.8, работающего в той же сети, где есть хотя бы один сервер MetaFrame XP.

Active Directory и имена пользователей. MetaFrame 1.8 не поддерживает Active Directory. Клиенты не могут использовать принципальные имена в формате UPN (user@domain).

Организация пула лицензий в смешанном режиме

Пулы лицензий в MetaFrame 1.8 не поддерживаются в разных подсетях. В смешанном режиме должно быть по одному пулу на каждую подсеть (в родном режиме MetaFrame XP содержится единый пул лицензий для всей фермы).

Если вы используете шлюзы лицензий для организации пула с несколькими продсетями, в смешанном режиме такие шлюзы не работают.


Содержание