Руководство администратора клиента Citrix ICA Win32 (v.7.0)


Содержание


Введение


Набор клиентов ICA Win32

MetaFrame предлагает выбор из нескольких клиентов ICA Win32 Clients для использования на 32-битных системах Windows:

ICA Win32 Program Neighborhood Agent
ICA Win32 Web Client
ICA Win32 Program Neighborhood Client

Выбор клиента

Каждый из клиентов ICA Win32 Client имеет свои преимущества и недостатки. Перед тем, как выбрать тот или иной клиент, вы должны определиться со способом доставки приложений пользователям.

Доступ к приложениям через рабочий стол

Агент ICA Win32 Program Neighborhood Agent предоставляет доступ к опубликованным приложениям через привычный интефейс рабочего стола Windows.

Доступ к приложениям через Web-Браузер

Доступ через интерфейс пользователя

Что нового в версии 7.0

Помимо новых возможностей, в версии 7 клиентов ICA Win32 улучшена производительность в следующих областях:

Program Neighborhood Agent Admin Tool. Это инструмент, управляемый через веб, используется для настройки Program Neighborhood Agent для пользователей. В нем вы можете определить настройки по умолчанию для ярлыков, размер и количество цветов экрана, аудио, метод регистрации и многое другое. Вы также можете разрешить или запретить пользователям менять многие из этих параметров. Admin Tool располагается на серверах Web Interface for MetaFrame XP. В предыдущих выпусках Program Neighborhood Agent файл конфигурации приходилось редактировать вручную. Program Neighborhood Agent Admin позволяет теперь быстро и легко менять файл конфигурации.
Program Neighborhood Agent Admin поддерживает несколько файлов конфигурации, может делать резервные копии, позволяет ограничивать к себе доступ .

Поддержка динамических имен клиентов. Клиенты ICA Win32 теперь поддерживают динамические имена клиентов. При инсталляции имя клиента берется из имени машины и меняется при ее изменении.

SpeedScreen browser acceleration. Технология SpeedScreen для браузеров повышает производительность при использовании Internet Explorer для подключения к серверу MetaFrame XP. SpeedScreen доступна только для Internet Explorer Version 5.5 и выше. Преимущества:

Универсальный драйвер печати. Теперь с универсальным драйвером можно печатать в цвете на принтерах высокого разрешения (600 dpi). Драйверы принтеров могут автоматически инсталлироваться для сетевых принтеров, причем принудительно проводится проверка совместимости.

Поддержка NTLM. В версии 7.0 включена поддержка NTLM. На клиентах Windows 95, 98, Me вы должны вручную включить аутентифиацию NTLM.

Поддержка проверки списка отозванных сертификатов. При подключении к серверу MetaFrame XP, клиенты ICA Win32 теперь могут проверять, не был ли отозван сертификат севера. Эта возможность улучшает криптографическую аутентификацию сервера и улучшает общую защищенность соединения SSL/TLS между клиентом ICA Win32 и сервером MetaFrame XP.

Подготовка клиентов к распространению

Вы можете раздавать клиентов пользвателям следующими способами:

Подробнее о каждом из методов см. "Руководство администратора"

Использование Microsoft Systems Management Server или Active Directory Services

ICA Win32 Program Neighborhood Client и Program Neighborhood Agent поставляются в виде пакетов Windows Installer (.msi). Они находятся на CD в каталоге Icaweb\language\ica32, где language может принимать значение En, Fr, De, Ja, Es. Аналогичные файлы для Program Neighborhood Agent располагаются в каталоге Icainst\language\ica32\pnagent.

Для установки ПО клиента на устройстве клиента должен быть установлен Windows Installer. По умолчанию он присуствует в Windows 2000. Для более ранних версий Windows вам необходимо загрузить Windows Installer 2.0 с сайта Microsoft.

Про создание веб-сайта загрузки клиентов или сетевую папку и так понятно...

Создание инсталляционных дискетт

Для создания инсталляционных дискетт вы можете использовать ICA Client Creator. Вам потребуется 3 дискетты 3.5 дюйма, 1.44Мб.


Установка и настройка ICA Win32 Program Neighborhood Agent

Обзор

ICA Win32 Program Neighborhood Agent включает следующие особенности:

Системные требования

Установка ICA Win32 Program Neighborhood Agent

Вы можете установить Агента используя один из следующих пакетов:

Установка ICA Win32 Program Neighborhood Agent с пакетом Windows Installer

Пакет находится в следующих каталогах:
Icaweb\En\ica32
Icainst\En\ica32\pnagent
Для установки вам необходим уже установленная служба Windows Installer. она по умолчанию присутствует в Windows 2000; для более старых версий Windows вам следует загрузить Windows Installer с сайта Microsoft.

Для удаления Агента с компьютера клиента воспользуйтесь пунктом "Установка/удаление программ" в панели управления

Настройка пакета для тихой инсталляции

Вы можете настроить пакет Program Neighborhood Agent для "тихой" инсталялции. Windows Installer сообщит пользователю лишь то, что клиент успешно установлен. Пользователю нужно будет толлько закрыть окно сообщения.

  1. Введите с комадной строки:
    msiexec /I MSI_Package /qn+ [Key=Value]:
    где MSI_Package - имя инсталляционного пакета.
  2. Вы можете установить значения следующих ключей:

Установка самораспаковывающегося архива

Для настройки "тихой" установки:

  1. Распакуйте файлы из Ica32a.exe, запустив с командной строки
    Ica32a.exe -a -unpack:Directory, где Directory - каталог, куда будут помещены файлы.
  2. Откройте в текстовом редакторе файл Install.ini. Вы можете настроить следующие параметры:
  3. Сохраните файл и закройте редактор
  4. Вновь упакуйте файлы

Для установки Program Neighborhood Agent из самораспаковывающегося архива на машине клиента:

  1. Запустите Ica32a.exe.
  2. Появится экран приглашения. Прочтите информацию и щелкните Next.
  3. Прочтите лицензионное соглашение и щелкните Yes. Далее программа установки проверит наличие старой версии Program Neighborhood Agent.
  4. Если старая версия Агента не обнаружена, setup перейдет к шагу 6. Иначе появится окно выбора типа установки.
  5. Появится окно выбора каталога установки. Выберите либо значение по умолчанию - Citrix Program Neighborhood Agent, либо укажите имя новой папки, либо выберите существующую папки. Щелкните Next.
  6. Появится окно ввода адреса сервера. Введите URL сервера NFuse Classic (или Web Interface) в формате http://servername или https://servername. Щелкните Next.
  7. Появится диалог "Choose Installation Type". Можете выбрать "Yes" для включения сквозной аутентификации. В таком случае на сервер будут переданы имя и пароль в локальной системе; приглашения зарегистрироваться не будет выдаваться. Но для этого вы должны соответствующим образом настроить файл конфигурации на сервере NFuse Classic.
    Если вы указали "No", то для последующего включения сквозной аутентификации вам придется переинсталлировать Агента.
    Щелкните Next.
  8. Появится диалог "ICA Client Name". Введите уникальное имя клиента. MetaFrame использует имя клиента для управления принтерами и прочими системными ресурсами. Если вы не укажите уникальное имя клиента, отображение устройств и опубликованные приложения будут работать неправильно.
    Щелкните Next. Появится термометр, показывающий процесс копирования файлов на ваш компьютер.

Централизованная настройка ICA Win32 Program Neighborhood Agent

Метод регистрации пользователя, ярлыки, доступ к интерфейсу пользователя определяются опциями, настраиваемые инструментом Program Neighborhood Agent Admin.

Настройки сохраняются в файле конфигурации, расположенном на сервере Web Interface. После запуска Агента клиенты считывают конфигурационные данные с этого файла с заданным интервалом времени. Это позволяет клиенту динамически отображать опции пользователям.

Program Neighborhood Agent Admin Tool

Файл конфигурации, Config.xml, устанавливается с настройками по умолчанию. В большинстве случаев он готов к использованию без модификации. Однако, при необходимости вы можете отредактировать его или создать несколько файлов конфигурации. Для этого используется инструмент Program Neighborhood Agent Admin.

Для доступа к Program Neighborhood Agent Admin откройте страницу http://servername/Citrix/PNAgentAdmin/ на сервере Web Interface.

Файлы конфигурации

Файл конфигурации Config.xml при установке помещается в каталог \Inetpub\wwwroot\Citrix\PNAgent на сервере Web Interface. Новый файл, создаваемый Program Neighborhood Agent Admin, а также его резервная копия, находятся в том же каталоге. Файлы конфигурации служат для следующего:

Файл конфигурации содержит несколько параметров, которые появляются в виде опций в диалоговом окне свойств. Пользователи могут выбирать доступные опции для настройки своих сеансов ICA, включая режим регистрации, размер экрана, качество звука и размещение ссылок на опубликованные ресурсы.

Вы можете создать несколько файлов конфигурации. После создания нового файла на сервере Web Interface сообщите пользователям новый URL сервера, содержащего новый файл.

Замечание. По умолчанию использование SSL/TLS, а также использование смарт-карт, отключено. Вы должны активировать эти функции в свойствах сервера с помощью Program Neighborhood Agent Admin. Кроме того, вы должны включить SSL на сервере MetaFrame server.

Перед развертыванием в своей сети Program Neighborhood Agent, вы должны протестировать вашу конфигурацию, установив копию клиента на выделенной машине. Затем выясните, нужны ли дополнительные настройки.

Внимание. Настройки в файле конфигурации являются глобальнымии затрагивают всех пользователей, подключающихся к этому файлу.

Настройка для фермы

Program Neighborhood Agent Admin разбит на несколько разделов: Client Tab Control, Server Settings, Logon Methods, Application Display, Application Refresh и Session Options. Вы можете определить, какие закладки будут видны в диалоге Properties в Агенте, а также какие опции пользователям разрешено менять.

Диалог свойств Агента открывается из панели задач. Вы можете выбрать спрятать или показать закладки в разделе Client Tab Control, включая закладки Server, Application Display, Application Refresh и Session Options.

Показ и скрытие закладок в диалоге свойств

Диалог свойств отображает до четырех закладок: Server, Application Display, Application Refresh и Session Options. Вы можете запретить пользователям менять отдельные опции. Для этого вы можете спрятать закладку, используя Program Neighborhood Agent Admin.

Разрешение и запрещение изменения отдельных опций

Server. Здесь вы можете настроить соединение с сервером и параметры обновления конфигурации, а также перенаправление пользователей на сервер Web Interface используя FQDN или пользовальский URL. Здесь также включается SSL/TLS.

Logon Methods. Предоставляет выбор методов регистрации. Методы регистрации включают в себя анонимный, смарт-карта, смарт-карта со сквозной аутентифиацией, запрос пользователя, сквозная аутентификация. Если выбрано несколько методов, пользователи могут выбирать из списка предпочтительный.
По умолчанию пользователи, у которых запрашиваются учетные данные, могут сохранять свои пароли. Для запрещения этого сбросьте флажок "Allow user to save password".
Если вы не хотите предоставить пользователям доступ ко всем этим опциям, вы можете использовать закладку Client Tab Control чтобы вообще спрятать закладку Server.

Application Display. Опции на закладке Application Display позволяют пользователям размещать ссылки на опубликованные ресурсы на своем рабочем столе, включая меню "Пуск", панель задач. Здесь вы можете указать, какие опции пользователи могут изменять.

Session Options. На этой закладке вы можете установить для сеансов ICA размер экрана, глубину цвета, качество звука. Эти настройки влияют на пропускную способность сети.

Application Refresh. Опции на закладке Application Refresh позволяют настроить частоту, с которой клиент ICA запрашивает у сервера Web Interface обновленный список опубликованных ресурсов. Эта закладка по умолчанию скрыта в окне свойств. Если вы хотите, чтобы пользователи сами могли менять частоту обновления, вам надо включить эту возможность.


Установка и настройка веб-клиента

ICA Win32 Web Client используется для предоставления доступа к опубликованным ресурсам посредством обычного веб-браузера. Для его использования необходим сервер Web Interface for MetaFrame XP, NFuse Classic или ALE (Application Launching and Embedding).

Полный веб-клиент доступен в виде самораспаковывающегося архива и в виде файла .cab. Его размер около 1.8Мб - значительно меньше, чем у других клиентов. Это позволяет его быстро загружать и инсталлировать. Также можно настроить "тихую" инсталляцию.

Версия ICA Win32 Web Client (Minimal Installation) является уменьшенной версией веб-клиента, предназначенной для поддержки лишь основных функций MetaFrame XP для пользователей Internet Explorer. Его размер около 1Мб. Используйте его в том случае, когда загрузка больших объемов данных нежелательно.

Особенности веб-клиента

Особенность ICA Win32 Web Client ICA Win32 Web Client
(минимальная инсталляция)
User-to-user shadowing +  
Поддержка смарт-карт + +
Редирект контента +  
Поддержка расширенной публикации контента++
Восстановление соединений перемещаемых пользователей+ 
Поддержка SSL/TLS для данных ICA++
Поддержка Secure Gateway++
Поддержка прокси+ 
Автовосстановление соединения++
Поддержка NDS+ 
Расширенная передача параметров + 
Цельные окна + 
Отображение дисков ++
Отображений устройств + 
Отображение принтеров ++
Звук  
Поиск сервера по TCP/IP+HTTP++
Мышь с колесиком+ 
Несколько мониторов+ 
Панорамирование и масштабирование+ 
Временные зоны клиента+ 
Буфер обмена+ 
Низкие требования к пропускной способности++
SpeedScreen latency reduction+ 
кеширование и компрессия данных+ 

Системные требования

Настройка веб-клиента для тихой инсталялции

Обычно при установке клиента пользователю приходится щелкать мышью по кнопкам в окнах приветсвия, лицензионного соглашения и при завершении установки. Вы можете свести к минимуму вмешательсво пользователя в процесс установки, подготовив специальный дистрибутив.

  1. Распакуйте файл ica32t.exe утилитой декомпрессии (файл находится на CD в каталоге Icaweb\En\ica32) в какой-нибудь каталог
  2. Откройте в текстовом редакторе файл Ctxsetup.ini
  3. Найдите параметр InitialPrompt и измените его значение на 0.
  4. Найдите параметр DisplayLicenseDlg и измените его значение на 0.
  5. Сохраните файл и закройте редактор.
  6. Заново упакуйте файлы дистрибутива в самораспаковывающийся архив.

Установка

Обычный веб-клиент
Запустите на исполнение файл Ica32t.exe из каталога Icaweb\en\ica32.

Минимальный веб-клиент
Файл Wficac.cab находится в каталоге Icaweb\en\ica32.
Вы можете для загрузки этого файла вставить в веб-страницу следующий код:

<OBJECT classid="clsid:238f6f83-b8b4-11cf-8771-00a024541ee3"
  data="np.ica"
  CODEBASE="http://веб-сервер/путь_к_файлу/wficac.cab"
  width='640'
  height='480'
  hspace='2'
  vspace='2'>
<param name="Start" value="Auto">
<param name="Border" value="On">
</OBJECT>

Чтобы файл загрузился, небходимо добавить указанный сервер в список доверенных сайтов.


Установка и настройка ICA Win32 Program Neighborhood Client

С помощью Citrix ICA Win32 Program Neighborhood Client пользователи могут подключаться к серверу MetaFrame следующими сопособами:

Замечание. Удаленные пользователи могут подключаться к серверу MetaFrame XP на платформе Windows Server 2003 только через TCP/IP. Terminal Services в Windows Server 2003 не поддерживают удаленные соединения по протоколам IPX/SPX, NetBIOS, а также асинхронный транспорт.

Вы также можете использовать Remote Access Service (RAS) или "Удаленное соединение" (Dial-Up Networking, DUN) в комбинации с клиентом ICA. Для этого типа сединения клиент должен удовлетворять следующим требованиям:

Выбор протокола для ICA Browsing

Настройки сетевых протоколов позволяют выбрать способ, которым клиент ICA будет призводить поиск серверов MetaFrame и способ связи с ним.

TCP/IP+HTTP

Если вы выбрали сетевой протокол TCP/IP+HTTP, клиент ICA для поиска серверов использует протокол HTTP. Выберите этот протокол при использовании клиента через интернет или через межсетевые экраны и прокси-серверы. Выберите SSL/TLS+HTTPS для использования защищенной связи.

Использование протокола TCP/IP+HTTP дает следующие преимущества:

Если вы выбрали TCP/IP+HTTP, то укажите в Клиенте серверы, к которым следует обращаться за браузингом, введя в поле Address List адреса IP или имна DNS серверов MetaFrame. В этом случае клиент ICA будет связываться со службой XML указанного сервера.

По умолчанию, если сервер не указан, клиент пытается разрешить имя "ica" в адрес IP. В списке адресов это обозначается виртуальным именем "ica". Эта особенность дает вам возможность настроить DNS или WINS так, чтобы имя "ica" соответствовало адресу IP сервера, обслуживающего запросы XML от клиентов ICA.

Для поиска службы XML, клиент ICA делает соединение на порт 80 сервера MetaFrame. Если, например, пользователь запускает опубликованное приложение, служба XML передает клиенту адрес IP сервера MetaFrame, на котором это приложение опубликовано.

В случае протокола TCP/IP+HTTP коммуникация между клиентом и службой XML состоит в передаче данных в формате XML в пакетах HTTP. Широковещательная рассылка сетевых пакетов не производится.

Коммуникация со службой Citrix XML Service

Citrix XML Service по умолчнию утанавливается на все серверы MetaFrame XP. Она также устанавливается вместе с Feature Release 1 for MetaFrame 1.8.
Если вы выбрали протокол TCP/IP+HTTP, служба XML Service передает клиентам информацию об опубликованных приложениях используя протокол HTTP и данные в формате XML. Служба XML также сообщает информацию об опубликованных приложениях серверам NFuse Classic и Web Interface. Например, когда пользователь запускает опубликованное приложение из клиента Program Neighborhood Client, клиент посылает запрос приложения. Служба XML отвечает адресом сервера MetaFrame, на котором опубликовано это приложение. В сслучае NFuse Classic или Web Interface, пользователь открывает веб-страницу своим веб-браузером. Служба XML предоставляет список опубликованных приложений серверу NFuse (или Web Interface). Затем сервер отображает доступные приложения на персонализированной веб-странице.

SSL/TLS+HTTPS

Если вы выбрали протокол SSL/TLS+HTTPS, клиент для поиска серверов использует протокол HTTPS. Коммуникация между клиентом и сервером осуществляется по протоколу SSL/TLS. SSL/TLS+HTTPS предоставляет сильное шифрование траффика ICA и аутентификацию на сервере MetaFrame. Используйте его в случае подключения через интернет или через межсетевыце экраны и прокси-серверы.
Если вы используете SSL/TLS+HTTPS, то должны указать полностью квалифицированное доменное имя сервера, содержащего цифровой сертификат.

Протоколы TCP/IP+HTTP и SSL/TLS+HTTPS должны использоваться только с совместимыми версиями MetaFrame. Более подробная информация о настройке серверов для использования SSL/TLS содерджится в "Руководстве администратора сервера MetaFrame XP"
TCP/IP

Если вы выбрали в качестве сетевого протокола TCP/IP и в списке адресов содержится (Auto-Locate) (автопоиск), то клиенты ICA для поиска сервера MetaFrame рассылают широковещательные пакеты UDP службе ICA browser на порт 1604. Выберите эту опцию, если сервер и клиенты находятся в одной сети.
По умолчанию фермы серверов MetaFrame XP не отвечают клиентам ICA, использующих протокол UDP для поиска серверов. Поэтому если клиент настроен на протокол TCP/IP и автопоиск, он не сможет найти сервер или опубликванные приложения в ферме. Поскольку широковещательные пакеты UDP не переходят в другие подсети, их использование взможно только в том случае, если клиент находится в одной подсети с сервером. После того, как клиент обнаружил сервер, он общается с ним напрямую (не широковещательно) через порт 1604/UDP.
Из-за ограничений широковещания вы можете в список адресов в Клиенте добавить один или несколько адресов IP или имен DNS серверов MetaFrame. Это необходимо сделать, если клиент ICA находится в другой подсети, чем коллектор данных.

Настройка соединений к серверам MetaFrame и опубликованным приложениям

Program Neighborhood Client предлагает два способа соединения:

Настройка адреса сервера при использовании TCP/IP+HTTP

  1. В списке "Network Protocol" выберите TCP/IP+HTTP.
  2. Щелкните Add для вызова диалога добавления сервера
  3. Введите имя или IP-адрес сервера MetaFrame и номер порта (по умолчанию 80).
    Если вы не указали адрес IP, но вы должны в своей сети иметь сервер MetaFrame с именем "ica". TCP/IP+HTTP не использует автопоиск [Auto-Locate].
  4. Указанный сервер сообщит список всех серверов и опубликованных приложений в своей ферме
Важно. Поиск TCP/IP+HTTP осуществляется только в пределах одной фермы. Для получения информации из других ферм, вы должны указать адрес сервера для каждого из наборов приложений, а для пользовательских соединений - для каждого соединения ICA. Не указывайте адреса серверов разных ферм в одном списке.

Настройка адреса сервера при использовании SSL/TLS+HTTPS

  1. В списке "Network Protocol" выберите SSL/TLS+HTTPS.
  2. Щелкните Add для вызова диалога добавления адреса сервера
  3. Введите полностью квалифицированное доменное имя сервера, содержащий цифровой сертификат. Уюедитесь, что номер порта 443.
  4. Щелкните OK.
Важно. Поиск SSL/TLS+HTTPS осуществляется только в пределах одной фермы. Для получения информации из других ферм, вы должны указать адрес сервера для каждого из наборов приложений, а для пользовательских соединений - для каждого соединения ICA. Не указывайте адреса серверов разных ферм в одном списке.

Поиск сервера и отказоустойчивость

Поиск сервера (браузинг) предоставляет пользователю сетевого клиента ICA способ увидеть список серверов MetaFrame и список опубликованных приложений. Для каждого сетевого протокола вы можете указать другое размещение сервера. При выборе протокола TCP/IP, по умолчанию в списке адресов серверов стоит (Auto-Locate) (автопоиск). Автопоиск работает следующим образом:

  1. Клиент ICA посылает широковещательные сообщения "Get Nearest MetaFrame server" Первый откликнувшийся сервер MetaFrame возвращает адрес главного браузера ICA, который используется в следующем этапе.
  2. Клиент ICA посылает главному браузеру ICA запрос получения списка серверов или опубликованных приложений .
  3. Главный браузер сообщает клиенту список всех серверов MetaFrame в сети или опубликованных приложений.

Для избежания широковещательной рассылки, или если ваша сеть использует шлюзы и маршрутизаторы, вы можете указать явный адрес IP сервера MetaFrame, который функционирует в качестве главного браузера.

Отказоустойчивость состоит в постоянном предоставлении доступа к опубликованным ресурсам даже в случае выхода главного браузера из строя. Вы можете попределить до трех групп серверов MetaFrame, к которым хотите подключаться - одна первичная и две дублирующие. Каждая группа может содержать от 1 до 5 серверов. Если вы указываете группу серверов для клиента, то клиент пытается одновременно связаться со всеми серверами группы и затем подключается к первому ответившему.

Использование наборов приложений и пользовательских соединений ICA

Набор приложений - это взгляд со стороны пользователя на ресурсы, опубликованные на некотором сервере и к которым ему разрешен доступ. Приложения, опубликованные в наборе, имеют предустановленные значения размера окна, глубины цвета, уровня шифрования, качества звука. Если какие-то параметры не нужны для запуска приложения (например, звук), вы можете отключить их для всего набора приложений.

Наборы недоступны для приложений, опубликованных на MetaFrame Server for UNIX. Для доступа к ним вы должны использовать соединения ICA.

Пользовательское соединение ICA - это ярлык на опубликованное приложение или сервер MetaFrame. Хотя вы можете создать пользовательское соединение ICA для подключения к любому серверу MetaFrame, вы должны использовать его в следующих случаях:

Добавление наборов приложений и соединений ICA

Для поиска дополнительных наборов приложений или для добавления нового соединения ICA используйте мастеры соответственно Find New Application Set или Add New ICA Connection. Для этого щелкните соответствующую иконку в окне Program Neighborhood.

Настройка наборов приложений и соединений ICA

Для настройки свойств соединения запустите Клиента. Если вы настраиваете набор приложений, выберите набор приложений и щелкните в меню Settings. Если вы настраиваете соединение ICA, то выберите соединение и щелкните кнопку Properties.

На закладке Connections доступно несколько опций.

Connection Type. Тип соединения. Если вы подключаетесь через локальную сеть, выберите Local Area Network. Если вы подключаетесь через сеть, покрывающие географически отдаленные регионы, выберите Wide Area Network.

При настройке соединений вы можете выбрать подключение либо к серверу (Server), либо к опубликованым приложениям (Published Application).

Настройка опций по умолчанию

Для настройки свойств соединения запустите Клиента. Если вы настраиваете набор приложений, выберите набор приложений и щелкните в меню Settings. Если вы настраиваете соединение ICA, то выберите соединение, щелкние правой кнопкой мыши и выберите Custom Connection Settings.

Настройка режима регистрации

Уменьшение количества регистраций

По умолчанию при каждом запуске опубликованного приложения пользователям требуется вводить свое имя и пароль. Вы можете настроить Program Neighborhood Client передавать учетные данные пользователей одним из следующих методов:

Вы можете включить сквозную аутентификацию для передачи учетных данных пользователя локальной Windows на сервер MetaFrame. Тогда пользователю не нужно будет второй раз вводить пароль.

Если вы включили сквозную аутентификацию, все существующие наборы приложений автоматически конфигурируются на ее использование. Однако, существующие пользовательские соединения ICA автоматически настроены не использовать сквозную аутентификацию. Тем не менее вы можете ее включить для каждого соединения ICA. Для этого необходимо сначала включить ее на уровне машины, а потом на уровне пользователя.

Для разрешения скозной аутентифкации для новых пользовательских соединений ICA в мастере добавления соединения ICA включите опцию Use local User name and Password.

Для настройки сквозной аутентификации уже существующих соединений ICA выберите соединение, а зтем из меню - Properties, на закладке Logon Information установите требуемые опции.

Предотвращение сохранения паролей пользователями

Вы можете снять флажок Save Password на экране логина набора приложений или на закладке Logon Information. Это предотвратит сохранение пользователями своих паролей. Вы можете запретить сохранение паролей для всех наборов или для выбранных. Для определения того, какие файлы нужно править, воспльзуйтесь следующей таблицей:
Запрет сохранения паролей для всех наборов приложений Запрет сохранения паролей для отдельных наборов приложений
%User Profile%\Application Data\ICAClient\Appsrv.ini %User Profile%\Application Data\ICAClient\Pn.ini

  1. Для запрета сохранения паролей для всех наборов приложений откройте пользовательский файл Appsrv.ini (по умолчанию находится в каталоге %User Profile%\Application Data\ICAClient) и в секции [WFClient] вставьте строку
      NoSavePwordOption=On
  2. Для запрета сохранения паролей для отдельных наборов приложений откройте пользовательский файл Pn.ini (по умолчанию находится в каталоге %User Profile%\Application Data\ICAClient). В нем найдите секцию для нужного набора приложений, например, [MyAppSet]. Вставьте в этой секции строчку
      NoSavePwordOption=On

После этих операций перезапустите Клиента.

Настройка общих параметров

Запустите клиента, из меню Tools выберите ICA Settings и далее закладку General. На этой закладке вы можете изменить следующие опции:

Настройка кеширования изображений

Для настройки кеширвоания из меню Tools выберие ICA Settings и откройте закладку Bitmap Cache.

Настройка горячих клавиш

  1. Запустите Program Neighborhood Client.
  2. В меню Tools щелкние ICA Settings для вывода диалога настроек.
  3. Щелкните закладку Hotkeys.
  4. Для каждой клавиши выберите модификатор и клавишу.
  5. Вы можете запретить горячую клавишу, выбрав значение для клавиши (none).

Горячие клавиши используются для управления поведением Клиента и заменяют стандартные горячие клавиши Windows для опубликованных приложений.
На закладке имеются следующие поля:

Настройка журнала событий

На странице Event Logging вы можете настроить регистрацию разнообразных событий, которые могут возникать при запуске опубликованных приложений.

  1. Запустите Program Neighborhood Client.
  2. Из меню Tools выберите ICA Settings.
  3. Веберите закладку Event Logging.

На этой закладке вы можете настроить следующие параметры:

Улучшение производительности на низкоскоростных соединениях

Если вы используете ICA по низкоскоростным каналам связи, например, через модем, вы можете внести некоторые изменения в настройку клиента и в способ использования клиента.

Изменение настройки клиента ICA

На устройствах с ограниченной вычислительной мощностью или при ограничении пропускной способности следует достигнуть компромисса между производительностью и функциональностью. Вот несклько советов, которые могут повысить производительность работы на медленных линиях:

Изменение способа использования клиента

Технология ICA хорошо опимизирована и, как правило, не предъявляет высоких требований к процессору и пропускной способности. Тем не менее если вы используете совсем медленные каналы связи, следуйте нашим советам:


Настройка общих функций клиентов ICA Win32

Настройка следующих особенностей одинакова для всех клиентов ICA Win32:

Настройка существующих параметров, общих для всех клиентов ICA Win32

User-to-User Shadowing

На стороне клиента настройка не требуется. Вы можете следить за сеансами других пользователей, опубликовав Shadow Taskbar.

Поддержка смарт-карт

Поддержка смарт-карт со стороны MetaFrame осуществляется на основе спецификаций Microsoft PC/SC. MetaFrame поддерживает только те смарт-карты и устройства для их считывания, которые поддерживаются операционной системой Windows.

Для включения регистрации с использованием смарт-карт (Program Neighborhood Agent):

  1. В панели задач Windows щелкните правой кнопкой на Program Neighborhood Agent и выберите из меню Properties.
  2. Выберите закладку Server.
  3. В меню Logon выберите Smart card logon или Smart card logon pass-through authentication.
    В первом случае клиент будет предлагать пользователю вводить свой личный пин-код при каждом запуске опубликованного приложения. Во втором случае клиент предложит пользователю ввести пин-код при своем запуске; затем код запоминается и используется при последующих запросах опубликованных приложений, т.е. пользователю не нужно второй раз вводить код.
  4. Щелкните OK для закрытия диалога свойств.

Microsoft настоятельно рекомендует использовать только совместимые с Windows считыватели карт, находящиеся в списке совместимого оборуования. Подробнее см. на сайте Microsoft.

MetaFrame XP не поддерживает управление пин-кодами смарт-карт. Это управление осуществляется криптонрафической службой поставщика ваших карт.

Автовосстановление связи
 

Пользователи могут отключаться от сервера по причине разрыва связи, из-за больших задержек в сети, из-за огранчиений беспроводных устройств и т.п. С помощью функции автовосстановления связи клиент ICA может определить неожиданное отключение сеанса и попытаться его автоматически восстановить.

Если эта функция включена на сервере MetaFrame, пользователям для продолжения работы не требуется вновь подключаться вручную. Клиент будет пытаться автоматически восстановить сеанс до тех пор, пока не установится соединение или пользователь не прервет попытки. Если в Консоли Управления на сервере в свойствах ICA Settings стоит Require user authentication, то во время восстановления связи появится диалог, приглашающий ввести логин и пароль. Автовосстановление не срабатывает, если пользователь вышел из приложения, не разрегистрировавшись. Автовосстанолвление подключает только к отключенным сеансам.

Изменение настроек автовосстановления

В клиенте ICA Win32 автовосстановление включено по умолчанию. В случае обнаружения потери соединения он ждет 30 секунд до начала операции восстановления связи. По умолчанию он делает три попыткаи соединиться, а затем останавливается.

Если вы хотите изменить эти настройки для отдельного пользователя, добавьте следующие строки в файл appsrv.ini, в секцию [WFClient] (файл находится в каталоге %User Profile%\Application Data\ICA Client).
TransportReconnectEnabled=0 для запрета автовосстановления
TransportReconnectDelay=n число секунд ожидания до начала автовосстановления
TransportReconnectRetries=n число попыток автовосстановления

Поддержка Novell Directory Services

При запуске клиента пользователь может при аутентификации ввести свои учетные данные NDS. Под учетными данными здесь подразумевается имя пользователя (иил его отличительное имя), пароль, дерево и контекст.

Поддержка NDS интегрирована в следующие компоненты:

Для старых версий клиента Win32 в поле имени домена надо было вводить имя дерева NDS.

Использование учетной записи Windows с клиентом Novell и сквозной аутентификацией

Если Program Neighborhood Client настроен на использование сквозной аутентификации, а на устройстве клиента установлен Novell Client, то Program Neighborhood Client при аутентификации на сервере MetaFrame по умолчанию использует учетные данные NDS. Если вы хотите, чтобы клиент ICA использовал вместо них учетные данные Windows NT, то вы должны добавить в файл appsrv.ini один параметр:
SSOnCredentialType=NT

Разрешение имен DNS

Вы можете настроить клиенты ICA Win32 Clients, использующие службу XML для подключения к ферме серверов MetaFrame, запрашивать имя DNS вместо IP-адреса сервера.

Важно. Если ваш DNS не настроен специально для использования этой функции, Citrix рекомендует не включать разрешение имен DNS в ферме.

Program Neighborhood Client по умолчанию настроен на использование браузинг по протоколу TCP/IP+HTTP. Клиенты ICA, подключающиеся к опубликованнм приложениям через NFuse Classic или Web Interface for MetaFrame XP используют службу XML. для этих клиентов веб-сервер разрешает имена DNS.

По умолчанию разрешение имен в ферме отключено. В этом случае на запрос клиента возвращается адрес IP.

Для запрещения использования DNS откройте пользовательский appsrv.ini и измените строку
xmlAddressResolutionType=DNS-Port
на
xmlAddressResolutionType=IPv4-Port.

Расширенная передача параметров

С помощью расширенной передачи параметров вы можете ассоциировать типы файлов на устройстве клиента, с приложениями, опубликованными на сервере MetaFrame. Например, если вы ассоциировали все текстовые файлы на устройстве клиента с приложением "Notepad", опубликованном на сервере MetaFrame XP, то при открытии локального текстового файла он откроется в опубликованном Notepd'е.

Замечание Версия 7.0 агента Program Neighborhood Agent поддерживает редирект контента, эта функциональность включена в Feature Release 2. Хотя редирект функционально эквивалентен расширенной передаче параметров, он позволяет автоматически ассоциировать типы файлов с опубликованными приложениями без необходимости настройки ассоциации на индивидуальных устройствах клиентов.

Настройка расширенной передачи параметров делается как на сервере, так и на клиенте. На сервере добавьте к опубликованному приложению символы %* - они будут вместилищем для переданных пользователем параметров.
На клиенте вы должны заменить командную строку для нужного типа файла в команде open так, чтобы она передавала имя файла на сервер MetaFrame.

Ассоциации файлов хранятся в реестре Windows.

MetaFrame XP поддерживает кодировку ISO8859-1 для европейских языков, включая English, и кодировку ShiftJIS японского языка. Вы должны при установке ассоциации использовать только одну из этих кодировок.

Командная строка должна включать в себя следующие элементы:


Пользователи могут подключаться к опубликованным приложениям следующими способами:

Каждый из этих методов использует свой исполняемый файл:
Метод соединения Исполняемый файл
Custom ICA connections (using Program Neighborhood Client) Wfcrun32.exe
Приложения, определяемые файлами ICA Wfica32.exe
Наборы приложений (при использовании Program Neighborhood Client) Pn.exe

Идентификация опубликованных приложений

Каждый исполняемый файл клиента ICA Win32 имеет свой синтакиси командной строки. Для получения подсказки по параметрам комадной строки, запустите клиента с опцией /?.

Включение параметров для передачи аргументов

При указании аргументов добавьте к командной строке /param:"%1".

Вот пример командной строки, которая ассоциирует текстовые файлы с приложением "Notepad Text Editor" в наборе с именем "Production Farm":
C:\Program Files\Citrix\ICA Client\pn.exe /pn:"Production Farm" /app:"Notepad Text Editor" /param:"%1"

Передача параметров через реестр Windows

При сборке необходимых элементов новой командной строки вы должны указать новую команду в реестре Windows. Ее нужно указать в команде open для типа файлов, открыв в панели управления диалог "Свойства папки". Подробнее см. подсказку по Windows.

Приведем пример.
Для ассоциирования текстового файла с опубликованным приложением "Notepad Text Editor", запускаемого с помощью Pn.exe, укажите:
C:\Program Files\Citrix\ICA Client\pn.exe /app:"Notepad Text Editor" /param:"%1"

Важно. В этом примере подразумевается, что устройства клиента подключаются к серверу, имеющему переназначенные драйвы сервера. Если драйвы сервера не переназначены, то вы должны добавить к аргументу \\client\, например, /param:"\\client\%1"
Отображение устройств клиента

Citrix ICA Client поддерживает отображение устройств, чтобы они были доступны в сеансах ICA. Пользователь может иметь доступ к локальным дискам, принетрам, портам COM; он может использовать буфер обмена для выделения/вставки между локальным и удаленным приложениями; слушать аудио (системные звуки и файлы WAV), воспроизводимые в сеансе ICA. Во время регистрации клиент ICA информирует сервер MetaFrame о доступных драйвах клиента, портах COM и LPT. По умолчанию на сервере MetaFrame драйвам клиента присваиваются буквы, а для принтеров клиента создаются очереди печати. Эти отображения доступны только в текущем сеансе. При выходе пользователя они удаляются. Вы можете использовать команду net use и change user для отображения драйвов, которые автоматически не прицепились при регистрации.

Выключение переназначения драйвов

На сервере MetaFrame опции отображения устройств настраиваются в Citrix Connection Configuration, в разделе Client Settings

Блок опций Connection options определяют, следует ли переназначать драйвыи принтеры клиента. Если опции здесь не установлены, утсройства все равно можно потом подключать вручную.

Блок опций Client Mapping Overrides позволяет запретить подключения устройств клиента.
Опция Описание
Connect Client Drives at Logon Если включено, то устройства клиента автоматически отображаются при регистрации пользователя
Connect Client Printers at Logon Ели включено, то принтеры клиента автоматически отображаются при регистрации пользователя. Эта опция доступна только для клиентов Windows и отображает принтеры, определенные в Print Manager на устройстве клиента.
Default to Main Client Printer Если включено, то принтер по умолчанию на устройстве клиента становится принтером по умолчанию в сеансе ICA.
(inherit user config) Если включено, то берутся настройки из User Manager

Отображение портов COM

Для ручного отображения портов используйте команду net use, например:
net use comx \\client\\comz,
где x - номер COM-порта сервера, z - номер COM-порта клиента.

Замечание. Отображение портов COM не совместимо с TAPI. Устройства TAPI не могут быть отображены на порты COM клиента.
Настройка на несколько мониторов

Чтобы использовать несколько мониторов, ваша система должна иметь следующее:

При тестировании использовалась следующая конфигурация:

Использование ALE

Если вы не планируете использовать NFuse Classic или Web Interface for MetaFrame XP, но хотите предоставить возможность доступа к приложениям через Web, вы можете совместно с веб-клиентом ICA использовать технологию запуска и внедрения приложений (Application Launching and Embedding - ALE). Для ALE могут использоваться ICA Win32 Program Neighborhood и веб-клиенты. ICA Win32 Web Client заменяет элемент управления ActiveX и плагин к Netscape Plug-In. Он представляет собой самораспаковывающийся архив размером около 1.8Мб.

С использованием ALE вы можете предоставить доступ к полнофункциональным приложениям Windows из страницы HTML через интернет и интранет. Приложение выглядит так, словно запущено локально, хотя выполняется на сервере MetaFrame. Существует два способа доступа к приложениям из веб-страницы: запуск и внедрение.

Запуск приложений

Management Console for MetaFrame XP и Published Application Manager (MetaFrame 1.8) включает себя мастера создания файлов ICA и страниц HTML. Страницы HTML сохраняются на вашем веб-сервере, который посещают пользователи для запуска приложений. Страницы HTML, запускающие приложения, содержат гиперссылки на файл ICA, который размещается в публичном каталоге HTML. При щелчке по гиперссылке файл ICA загружается на компьютер клиента. Затем клиент ICA использует параметры из этого файла для запуска опубликованного приложеия. Если клиента ICA не обнаружено, будет предложено его установить.

Для подготовки веб-страницы для запуска приложений:

  1. Скопируйте файл Ica32t.exe (для ICA Win32 Web Client) или Ica32.exe (для ICA Win32 Program Neighborhood Client) на ваш веб-сервер.
  2. Опубликуйте приложение.
  3. Используйте мастер Create HTML File для создания страницы HTML. Вы также можете создать файл ICA. Подробнее см. в руководстве администратора сервера MetaFrame.
  4. Откройте файл HTML в текстовом редакторе и отредактируйте параметр клиента так, чтобы он включал полный путь к файлу Ica32.exe или Ica32t.exe

Внедрение приложений

Citrix ICA Win32 Program Neighborhood и веб-клиенты позволяют внедрять приложения в Internet Explorer и Netscape Navigator. Вместо создания отдельных страниц для пользователей Microsoft Internet Explorer и Netscape Navigator, вы можете создать одну страницу, содержащую два типа тегов HTML.

  1. Создайте веб-сайт загрузки клиентов ICA, используя компоненты инсталялции через веб. Элементы, необходимые для загрузки через веб, находятся в дистрибутиве MetaFrame XP. Вы также можете загрузить из http://www.citrix.com/download. Щелкните ссылку "Download Web-based ICA Clients Install Components".
  2. Создайте на сервере Metarame с помощью соттветствующего мастера страницу HTML.
  3. Настройте параметр cabLoc для пользователей Internet Explorer.
  4. Настройте параметр Pluginspage для пользователей Netscape Navigator.

Подробные инструкции для этапов 2,3,4 приведены ниже:

Для создания страницы HTML:

  1. На сервере MetaFrame XP в консоли управления откройте мастер Create HTML File
  2. Создайте файл HTML и сохраните его на вашем веб-сервере.
  3. Откройте файл HTML в текстовом редакторе.

Настройка для Internet Explorer:

  1. Найдите в созданном файле HTML строку, содержащую var cabLoc =. и укажите после знака равенства URL соответствующего клиента Win32: "http://Webserver/directory/Ica32.exea32t.exe". Не забудьте заключить значение в двойные кавычки.
  2. Сохраните файл HTML и файл ICA на веб-сервере.
    При посещении страницы HTML, Internet Explorer автоматически загрузит и утановит ActiveX control.
  3. Не закрывайте пока файл HTML.

Настройка для Netscape Navigator

  1. Найдите в файле строку, начинающуюся с var plugRefLoc =. Укажите после знака равенства URL веб-стайта загрузки клиента ICA. Например:
    var plugRefloc = "http://mywebserver/directory/setup.htm";
    Не забудьте заключить значение в двойные кавычки.
  2. Сохраните файл на веб-сервере вместе с файлом ICA
  3. Опубликуйте ссылку на странице HTML. При посещении страницы HTML, Netscape направит пользователей, у которых не установлен плагин, на соответствующую страницу загрузки клиента ICA

Использование приложений, опубликованных на серверах MetaFrame for UNIX

Для подключения к приложениям, опубликованных на сервере MetaFrame Server for UNIX, предусмотрены две дополнительных утилиты - для настройки отображения сеанса и вырезки/вставки объектов между сеансом ICA и устройством клиента.

Использование Window Manager

Если вы подключаетесь к приложению, опубликованному на сервере MetaFrame for UNIX, используйте менеджер окон Citrix для сворачивания, изменения размера, положения, закрытия окна, а также для доступа к "полноэкранному" режиму.

О цельных (seamless) окнах

В режиме цельного окна опубликованные приложения и рабочий стол располагаются не в окне сеанса ICA, а в своем окне, как будто они были физически инсталлированы на устройстве клиента. Пользователи могут переключаться между опубликованными приложениями и локальным рабочим столом. Вы также можете настроить цельные окна в "полноэкранном" режиме, т.е. разместить приложение на весь размер экрана рабочего стола. В этом режиме вы можете использовать меню ctxwm.
Для переключения между цельным окном и цельным "полноэкранным" окном используйте клавиши SHIFT+F2.

При подключении к опубликованному приложения на сервере MetaFrame, кнопки сворачивания окна, изменения его размера и положения, рисуются оконным менеджером ctxwm.

Для вызова меню ctxwm в полноэкранных сеансах нажмите и удерживайте левую кнопку мыши на свободном месте окна.

Копирование и вставка

Если вы подключаетесь к приложению, опубликованному на сервере MetaFrame for UNIX, то для копирования и вставки графических объектов между удаленным сеансом и локальным рабочим столом используйте ctxgrab или ctxcapture. Эти утилиты входят в состав MetaFrame for UNIX server.


Безопасность в клиентах ICA Win32

Реализация безопасности в клиентах ICA Win32

Вы можете интегрировать клиентов ICA Win32 с широким спектром технологий безопасности, включая прокси-серверы, межсетевые экраны, системы SSL/TLS.

Подключение через прокси-сервер

Прокси-серверы используются для ограничения доступа в и из вашей сети, а также для обработки соединений между клиентами ICA и серверами MetaFrame. Клиенты ICA Win32 поддерживают протоколы SOCKS и secure proxy. ICA Win32 Program Neighborhood Agent и веб-клиент используют настройки прокси-сервера, которые настраиваются удаленно на сервере NFuse Classic или Web Interface. Подробнее см. документацию к NFuse Classic.

При коммуникации с веб-сервером, ICA Win32 Program Neighborhood Agent и клиент ICA Win32 Web Client используют настройки прокси-сервера из настроек браузера по умолчанию. Вы должны соответствующим образом сделать настройки подключения к интернет в вашем веб-браузере.

The Win32 Program Neighborhood Client использует настройки прокси, которые вы делаете в панели инструментов клиента ICA. Вы можете настроить использование прокси сервера двумя способами:

Если в вашей организации эксплуатируются несколько прокси-серверов, желательно использовать автоматическое обнаружение прокси. При автообнаружении клиент обращается к локальному веб-браузеру за настройками прокси-сервера. Это также полезно в том случае, когда вы не знаете, какой прокси-сервер будет использоваться при настройке клиента.
Автообнаружение прокси требует наличия Internet Explorer 5.0 или выше, или Netscape for Windows 4.78, 6.2 и выше.

Для включения автоматического определения прокси-сервера:

  1. Запустите Program Neighborhood Client.
  2. Если вы настраиваете набор приложений, щелкните по нему правой кнопкой и выберите Application Set Settings.
    Если вы настраиваете существующее пользовательское соединение ICA, щелкните по нему правой кнопкой и выберите Properties.
    Если вы хотите сделать настройку для будущих соединений, щелкните правой кнопкой на пустой области окна Custom ICA Connections и выберте Custom Connection Settings.
  3. На закладке Connection выберите Firewalls.
  4. Выберите Use Web browser proxy settings.
  5. Дважды щелкните OK

Ручная настройка прокси-сервера

  1. Запустите Program Neighborhood Client.
  2. Если вы настраиваете набор приложений, щелкните по нему правой кнопкой и выберите Application Set Settings.
    Если вы настраиваете существующее пользовательское соединение ICA, щелкните по нему правой кнопкой и выберите Properties.
    Если вы хотите сделать настройку для будущих соединений, щелкните правой кнопкой на пустой области окна Custom ICA Connections и выберте Custom Connection Settings.
  3. На закладке Connection выберите Firewalls.
  4. Выберите тип протокола (SOCKS или Secure (HTTPS)).
  5. Введите адрес прокси-сервера
  6. Укажите порт прокси-сервера (если он отличается от 1080 для SOCKS или 8080 для secure proxy).
  7. Дважды щелкните OK

Настройка имени и пароля

Некоторые прокси-серверы требуют аутентификации, предлагая ввести имя пользователя и пароль, когда вы пытаетесь получить список ресурсов или установить соединение ICA. Вы можете избежать появления этого приглашения, предоставив клиенту ICA автоматически передать эти данные без вмешательства пользователя.

Для существующих соединений откройте пользовательский файл Appsrv.ini file (находится в каталоге: %User Profile%\Application Data\ICAClient), найдите секцию [ServerLocation], где ServerLocation - имя соединения. Найдите в этой секции параметр DoNotUseDefaultCSL. Если значение этого параметра On, то добавьте в секцию следующие строки:
ProxyUsername=<user name>
ProxyPassword=<password>

Если значение DoNotUseDefaultCSL = Off, или параметр вооще не присутствует, добавьте в секцию [WFClient] строки:
ProxyUsername=<user name>
ProxyPassword=<password>

Использование клиентов ICA Win32 Clients с Secure Gateway или SSL Relay

Клиенты поддерживают протоколы SSL и TLS:

Secure Gateway

Вы можете использовать Secure Gateway for MetaFrame либо в обычном режиме, либо в режиме релея. Настройки клиентов при использовании Secure Gateway в обычном режиме не требуется.

Если вы используете Secure Gateway в режиме релея, то сервер Secure Gateway функционирует в качестве прокси-сервера, и вы должны настроить на клиентах использование FQDN сервера и указать номер порта сервера Secure Gateway.

Замечание. Режим релея не используется в Secure Gateway 2.0

Откройте свойства набора приложений или соединения ICA и в поле Network Protocol укажите SSL/TLS+HTTPS. На закладке Firewalls укажите полностью квалифицированное доменное имя (FQDN) сервера Secure Gateway и укажите номер порта.

Citrix SSL Relay

По умолчанию Citrix SSL Relay использует порт TCP 443. Когда SSL Relay получает соединение SSL/TLS, он расшифровывает данные перед дальнейшей передачей их серверу MetaFrame, или, если пользователь выбрал браузинг по протоколу SSL/TLS+HTTPS, службе Citrix XML Service. Вы можете использовать SSL Relay для защиты следующих коммуникаций:

Подробнее о настройке SSL Relay см. в Руководстве администратора сервера MetaFrame.

Системные требования:

Если у вас установлен Internet Explorer, вы можете проверить уровень шифрования следующим образом: запустите Internet Explorer, из меню Help выберите About Internet Explorer. Посмотрите на значение Cipher Strength (Стойкость шифра). Если оно ниже 128 бит, вам необходимо установить обновление с сайта Microsoft

Клиенты ICA поддерживают длины ключей сертификатов до 4096 бит. Убедитесь, что все сертификаты не превышают это значение.

Использование Citrix SSL Relay с нестандартными портами TCP

По умолчанию Citrix SSL Relay использует порт TCP 443. Если вы настроили SSL Relay слушать другой порт, то вы должны настроить клиентов. Для этого откройте в текстовом редакторе пользовательский файл Appsrv.ini, найдите секцию [WFClient]. Установите значение параметра SSLProxyHost следующим образом:
SSLProxyHost=*:<SSL relay port number>
где <SSL relay port number> - номер порта.

Настройка клиентов ICA на использование SSL и TLS

SSL и TLS настраивается таким же способом, используют те же сертификаты и включаются одновременно. Если включено использование SSL иTLS, то при каждом инициировании соединения клиент сначала пытается использовать TLS, а потом в случае неудачи пробует SSL. Если он не может подключиться через SSL, появляется сообщение об ошибке.

Для настройки ICA Win32 Program Neighborhood Client на использование SSL/TLS:

  1. Убедитесь, что ваша система соответствует вышеизложенным требованиям
  2. Откройте Program Neighborhood Client.
  3. Если вы настраиваете набор приложений, щелкните по нему правой кнопкой и выберите Application Set Settings.
    Если вы настраиваете существующее пользовательское соединение ICA, щелкните по нему правой кнопкой и выберите Properties.
    Если вы хотите сделать настройку для будущих соединений, щелкните правой кнопкой на пустой области окна Custom ICA Connections и выберте Custom Connection Settings.
  4. В меню Network Protocol выберите SSL/TLS+HTTPS.
  5. В список адресов серверов MetaFrame Address List добавьте FQDN-имя сервера MetaFrame
  6. Щелкните OK

Для настройки ICA Win32 Program Neighborhood Agent на использование SSL/TLS:

  1. Убедитесь, что ваша система соответствует вышеизложенным требованиям
  2. Для использования SSL/TLS для шифрования траффика между Агентом и сервером NFuse Classic (или Web Interface), сделайте настройки на веб-сервере. Файл конфигурации должен включать имя машины сервера MetaFrame, соедржащего сертификат SSL.
  3. Для использования HTTP (HTTPS) для шифрования траффика между Агентом и NFuse Classic (Web Interface), в свойствах Агента на закладке Server cвведите URL сервера NFuse Classic, содержащего файл конфигурации, в формате https://<servername>.

Настройка appsrv.ini на использование TLS:

  1. Закройте Program Neighborhood Agent, если он выполняется.
  2. Откройте в текстовом редакторе пользовательский файл Appsrv.ini file (по умолчанию в каталоге %User Profile%\Application Data\ICAClient)
  3. Найдите секцию [WFClient].
    Установите в ней значения следующих параметров:
    SSLCIPHERS={GOV | All}
    SECURECHANNELPROTOCOL={TLS | Detect}.

    Укажите значение TLS для явного его использования, или Detect для автообнаружения. В случае Detect, Агент попытается использовать TLS, а если не получится - переключится на SSL.
  4. Сохраните изменения.

Установка корневых сертификатов

Для использования SSL/TLS, на устройстве клиента необходимо наличие корневого сертификата, который может проверить подпись удостоверяющего центра (Certificate Authority). Клиенты ICA Win32 поддерживают те удостоверяющие центры, которые поддерживает Windows. Сертификаты таких центров инсталлируются вместе с Windows и управляются утилитами Windows. Эти же сертификаты использует Microsoft Internet Explorer.

Если вы выбрали другой удостоверяющий центр, вам необходимо установить его корневой сертификат (root certificate) на каждом устройстве клиента. Впоследствии этот сертификат будет использоваться как клиентом Citrix ICA Win32, так и Microsoft Internet Explorer. В зависимости от политики вашей организации вы можете сами установить корневой сертификат на каждом устройстве клиента, не заставляя это делать пользователей. Если вы используете Windows 2000 и Active Directory, вы можете установить сертификаты используя групповые профили. В качестве альтернативы вы можете использовать для этого другие средства, например, Microsoft Internet Explorer Administration Kit (IEAK) или продукты третьих производителей.

Для установки корневого сертификата на устройстве Win32:

  1. Дважды щелкните на файле сертификата. Обычно файлы сертификатов имеют расширения .cer, .crt, or .der.
  2. Убедитесь, что вы устанавливаете корневой сертификат
  3. Щелкните Install Certificate.
  4. Появится мастер импорта сертификатов. Щелкните Next.
  5. Выберите опцию Place all certificates in the following store и щелкните Browse.
  6. На экране Select Certificate Store выберите Show physical stores.
  7. Раскройте узел Trusted Root Certification Authorities store и затем выберите Local Computer. Щелкните OK.
  8. Щелкните Next и затем Finish. Корневой сеортификат установлен в выбранное хранилище.

Обновление клиентов ICA Win32

Об автообновлении

ICA Win32 Program Neighborhood Agent и ICA Win32 Program Neighborhood Client поставляются в виде пакетов Windows Installer (.msi). Если ваша сеть основана на Windows 2000, вы можете воспользоваться преимуществами сервера Microsoft Systems Management Server или Active Directory для развертывания обновленных версий клиента. Для развертывания веб-клиента, а также если вы не используете SMS или AD, вы можете воспользоваться функцией автообновления клиента (Client Auto Update) для распространения exe-файлов.

Обычно вы используете Client Auto Update для распространения последних версий клиентов ICA Win32. Вы также можете использовать эту функцию для отката на предыдущую версию клиента. Почаще посещайте сервер Citrix http://www.citrix.com/download за свежими версиями клиентов. По мере появления новых версий, добавляйте их в бауз данных обновлений. При подключении клиента к серверу MetaFrame, сервер запрашивает у клиента номер версии. Если версия соответствует имеющейся в базе данных, регистрация идет дальше. В противном случае клиент информируется о наличии доступной к загрузке обновленной версии. Далее обновление идет в зависимости от опций, установленных вами в базе данных.

Вы не можете обновлять ранние версии клиентов, установленные через пакеты msi. Вы можете только распространять новые пакеты msi.

Автоматическое обновление работает со всеми протоколами, поддерживаемыми ICA (TCP/IP, IPX, NetBIOS, асинхронные соединения).

Автобновление:

Процесс автообновления

Клиенты ICA идентифицируются номером продукта и модели. Номер версии назначается при выпуске нового клиента ICA. Процесс автообновления использует стандартный протокол ICA:

О настройке базы данных обновлений клиентов см. Руководство администратора сервера MetaFrame


 

Возврат