3 Проектирование MetaFrame Access Suite

На этапе проектирования MetaFrame Access Suite вам необходимо определить логическую структуру MetaFrame. В нее входит детализация фермы и ее компонентов, метод доставки приложений и контента конечным пользователям, методы защиты среды MetaFrame.

Проектирование MetaFrame Access Suite состоит из следующих этапов:

Каждый этап будет разбит на следующие три подраздела.

3. Проектирование MetaFrame Access Suite

Проектирование MetaFrame Access Suite определяет логическую структуру, используемую для развертывания MetaFrame XP Feature Release 3, MetaFrame Conferencing Manager 2.0, MetaFrame Secure Access Manager 2.0 и Secure Gateway for MetaFrame.

В настоящем проекте D & D Consulting определяет ферму MetaFrame XP и ее компоненты, способ доставки приложений и контента конечным пользователям, а также способы защиты среды MetaFrame.

Проектирование MetaFrame Access Suite Design состоит из следующих разделов:

  • Архитектура MetaFrame
    • Проектирование фермы MetaFrame XP Farm
    • Проектирование зоны MetaFrame XP
    • Проектирование коллектора данных MetaFrame XP
    • Проектирование хранилища данных MetaFrame XP
    • Проектирование MetaFrame XP Load Management
    • Приложения
    • Проектирование MetaFrame Conferencing Manager
    • Проектирование печати MetaFrame
  • Архитектура доставки приложений
    • Проектирование MetaFrame XP Web Interface
    • Проектирование MetaFrame Secure Access Manager
    • Проектирование клиентов ICA
  • Архитектура безопасности
    • Проектирование Secure Gateway for MetaFrame
    • Проектирование MetaFrame Password Manager

 

3.1. Архитектура MetaFrame XP

При проектировании MetaFrame XP вам необходимо определить логическую структуру, используемую для развертывания серверов MetaFrame XP. Раздел проектирования MetaFrame XP состоит из следующих разделов:

3.1 Архитектура MetaFrame Access Suite

Проектирование MetaFrame XP определяет логическую структуру, используемую для развертывания серверов MetaFrame XP Feature Release 3.

В следующем разделе D & D Consulting определит архитектуру MetaFrame XP для всех ее компонентов. D & D Consulting также определит сопосб доставки приложений MetaFrame XP конечным пользователям.

Раздел "Архитектура MetaFrame XP" стадии конструирования состоит из следующих разделов:

  • Проектирование фермы MetaFrame XP
  • Проектирование зоны MetaFrame XP
  • Проектирование коллектора данных MetaFrame XP
  • Проектирование хранилища данных MetaFrame XP
  • Проектирование MetaFrame XP Load Management
  • Приложения
  • Проектирование MetaFrame Conferencing Manager
  • Проектирование печати MetaFrame

 

3.1.1 Проектирование фермы MetaFrame XP

В разделе проектирования фермы вам необходимо определить количество, размещение и имена серверов MetaFrame XP.

3.1.1 Проектирование фермы MetaFrame XP

Введение.

Фермы Citrix MetaFrame XP обеспечивают гибкий и эффективный способ развертывания приложений на любое устройство. Ферма серверов MetaFrame XP представляет собой группу серверов MetaFrame XP, управляемых с единой консоли управления и совместно использующих некоторый вид сетевого соединения. Кроме того, все серверы в ферме совместно используют единое хранилище данных IMA.

Одной фермы достаточно даже для больших сред. Однако, некотрые факторы, относящиеся к аппаратному обеспечению, производительности базы данных, загрузке сети могут уменьшить производительности фермы. Один из способов повышения производительности состоит в создании внутри предприятия нескольких изолированных ферм. Ниже приведены достоинства внедрения одной и нескольких ферм.

  • Одна ферма
    • Совместное использование лицензий - Все лицензии MetaFrame XP собираются в пул и совместно используются всеми серверами фермы.
    • Упрощенное администрирование - администратору Citrix для выполнения своих задач достаточно зарегистрироваться в одной ферме.
  • Несколько ферм
    • Уменьшенный траффик IMA - одна ферма с удаленными коллекторами данных должна часто связываться с ними для синхронизации информации о пользовательских сеансах и опубликованных приложениях.
    • Не надо настраивать брэндмауэры - Если ферма простирается через брэндмауэр, то для коммуникаций IMA необходимо держать открытыми порты 2512 и 2513. Реализация на каждом сайте отдельной фермы устраняет необходимость в открытии портов 2512 и 2513, а также портов ODBC, используемых для соединения с хранилищем данных.
    • Нет траффика через Интернет - если ферма простирается через Интернет, траффик IMA и соединений ODBC может быть потенциально перехвачен. В изолированных фермах данные не передаются через WAN.
    • Нет репликации хранилища данных - Citrix рекомендует репликацию данных, если используется одна ферма, простирающаяся через WAN. Использование нескольких хранилищ данных устраняет необходимость в репликации хранилища, поскольку каждый удалененный сайт поддерживает собственное хранилище данных.

Требования

DABCC.COM определил централизованное хранение лицензий в пуле для всех сайтов организации с единой точкой управления, с учитом требования минимального потребления пропускной способности. DABCC.COM определил центральный инструмент администрирования для управления всеми опубликованными ресурсами согласно продъявленным требованиям.

Рекомендации

Для реализации централизованного использования лицензий для всех сайтов в организации DABCC.COM и управления с помощью единого инструмента D& D Consulting рекомендует создать единственную ферму MetaFrame XP. D & D Consulting рекомендует назвать ферму "DABCC - Application Farm".

3.1.2 Проектирование зоны MetaFrame XP

На этом этапе проектирования кроллектора данных вы должны определить количество, размещение и имена зон фермы MetaFrame XP. Планировка зоны очень важна для производительности конечных пользователей.

3.1.2 Проектирование зоны MetaFrame XP

Введение.

Планирование и распределение зон в MetaFrame XP очень важно для производительности конечных пользователей. В ферме серверов MetaFrame XP зона представляет собой группу серверов MetaFrame XP. По умолчанию все серверы фермы, находящиеся в одной подсети, принадлежат одной зоне. Зоны предназначены для улучшения производительности фермы серверов MetaFrame XP, позволяя сгруппировать вместе географически родственные серверы, независимо от того, находятся ли они в одной подсети или нет.

Если все серверы фермы находятся в одном месте, вы можете создать единственую зону, не вызывая падения производительности.

Если вы управляете фермой уровня предприятия с серверами, расположенными в различных географических регионах, вы можете разместить серверы в разные зоны на основе расположения серверов. Это может повысить производительность и сделать управление фермой более эффективным.

В среде WAN учитывайте стоимость размещения разных зон в каждой точке WAN. Например, если DABCC.COM использует три разных зоны, при каждом динамическом событии, например, входе пользователя, коллектор данных отправляет информацию двум другим коллекторам данных. Таким образом, информация передается через WAN дважды. Если среда содержит единственную зону с центральным коллектором данных, при каждом динамическом событии инфрмация о нем проходит через WAN только один раз.

Требования

Требованием является обеспечение надежной, высокооптимизированной структуры зоны, способной поддерживать траффик IMA с наименьшими затратами и позволяющей достичь масимальной производительности конечных пользователей. Зона должна поддерживать текущие и будущие потребности DABCC.COM.

Рекомендации

Для DABCC.COM рекомендуется одна зона. Если на удаленном сайте будет более двух серверов MetaFrame XP, стоимость репликации двух серверов будет меньше, чем поддержка коммуникаций серверов MetaFrame XP на удаленном сайте с единым хранилищем данных, расположенном в центре данных Des Moines.

3.1.3 Проектирование коллектора данных

В этом разделе вы должны описать конфигурацию и размещение коллекторов данных MetaFrame XP

3.1.3 Проектирование коллектора данных MetaFrame XP

Введение.

Каждая зона в ферме содержит один сервер MetaFrame XP, выполняющий роль коллектора данных для зоны. Коллектор даных принимает информацию от каждого сервера MetaFrame XP, находящегося в зоне. Коллекторы данных хранят информацию о серверах и опубликованных приложениях фермы серверов. Коллекторы знают адреса каждого сервера MetaFrame XP и приложения, доступные на каждом сервере.

Коллекторы данных функционально аналогичны Главным Браузерам Windows в сетях Microsoft Windows NT 4.0. Однако, коллекторы данных для межсерверных коммуникаций используют соединения TCP/IP. Windows для этого использует RPC.

Коллектор данных в каждой зоне может поддерживать до 70 разрешений в секунду. Серверы-члены в каждой зоне часто обновляют свои сеансы и загружают информацию на коллектор данных своей зоны. Коллектор данных отвечает за пересылку новой информации всем остальным коллекторам данных в ферме. Эта операция потребляет N раз полосы пропускания, где N - число зон.

Требования

Основной целью конструирования является обеспечение высокой доступности. Также необходимо учитывать будущий рост.

Рекомендации

На основе рекомендаций при проектировании зоны MetaFrame XP, D & D Consulting рекомендует использовать выделенный коллектор данных (управляющий сервер).

Управляющий сервер будет выполнять следующие роли: коллектор данных, консоль управления, основной сервер метрик для Resource Manager, центральная база данных обновлений клиентов и сервер-источник для репликации драйверов принтеров.

3.1.4 Проектирование хранилища данных MetaFrame XP

В разделе проектирования хранилища данных нужно описать не только то, какое хранилище данных будет использовать заказчик, но и то, как он будет справляться со сбоями во время репликации, резервного копирования и пр. Как всегда, укажите обзорную информацию о типах хранилищ (Microsoft SQL, Oracle, IBM DB2, MSDE или Access), размещении, методах доступа (прямой или косвенный).

3.1.4 Проектирование хранилища данных MetaFrame XP

Введение.

Перед установкой MetaFrame XP необходимо выбрать базу данных, используемую для хранилища.

Microsoft Access
Microsoft Access является облегченной базой данных, включенной в состав операционных систем Windows. Она лучше всего подходит для небольших ферм. Однако, средние фермы с числом серверов до 50 также неплохо работают с Microsoft Access. При использовании Microsoft Access, база данных хранится на первом сервере MetaFrame XP в ферме и создается на этапе инсталляции MetaFrame XP. Access является лучшим решением для централизованных ферм и поддерживает только косвенный режим доступа для всех серверов, отличных от хранилища. Однако, производительность его ниже, чем при прямом доступе в больших фермах. Репликация баз данных не поддерживается.

Microsoft SQL Desktop Edition (MSDE)
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) - это инструмент, построенный на ядре SQL Server. MSDE 2000 поддерживает многопроцессорные устройства и является надежным механизмом хранения данных для настольных систем и корпоративных приложений. Общая технология, лежащая в основе SQL Server и MSDE 2000, позволяет разработчикам создавать приложения, которые можно прозрачно масштабировать от переносных компьютеров до многопроцессорных кластеров. MSDE2000 работает в фоновом режиме и не имеет пользовательского интерфейса. Пользователи взаимодействуют с MSDE 2000 посредством приложений, в которые он встраивается.
Особенности MSDE 2000: поддержка нескольких экземпляров (instances) на одном компьютере; наличие утилит для администрирования; поддержка репликации; высокая производительность; поддержа баз до 2GB; возможность удаленного администрирования

Microsoft SQL Server
Microsoft SQL Server - это полноценная база данных в архитектуре "клиент-сервер". Он подходит для ферм любого размера. При испольовании Microsoft SQL Server база данных находится на выделенном сервере, который должен быть создан до начала создания фермы. Для установки и споровождения серверов Microsoft SQL требуются специальные знания. Если у вас их нет, то использование его не рекомендуется.

Помимо количества серверов важно отметить еще несколько факторов, влияющих на хранилища данных и общую производительность фермы. Среди них - число и типы опубликованных приложений, среднее число одновременных клиентских соединений и аппаратная конфигурация серверов MetaFrame.

После того, как вы выбрали базу данных, вам следует определиться с методом соединения серверов с хранилищем - напрямую или косвенно, через другой сервер MetaFrame XP.

Прямой доступ
Для прямого доступа к хранилищу сервер MetaFrame XP должен иметь установленные и настроенные соответствующие драйверы ODBC. Сервер напрямую соединяется с сервером базы данных.

Косвенный доступ
При косвенном доступе сервер MetaFrame XP соединяется с промежуточным сервером MetaFrame XP. Промежуточный сервер в свою очередь соединяется с хранилищем напрямую. Использование косвенного доступа к базам SQL устраняет необходимость устанавливать и настраивать драйверы ODBC на каждом сервере MetaFrame XP. Если вы используете базы данных SQL, то можете комбинировать методы прямого и косвенного доступа.
Косвенный доступ не рекомендуется для критически важных серверов фермы, поскольку промежуточный сервер становится узким звеном. По умолчанию косвеный доступ для связи с серверами MetaFrame XP использует порт 2512 TCP . Если серверы MetaFrame XP находятся в разных подсетях, убедитесь, что этот порт не болокирован на маршрутизаторе.

Репликация баз данных
Рекомендуется единственное хранилище данных, но в некоторых случаях репликация хранилища может повысить производительность фермы. Медленные каналы связи без использования репликации могут создать ситуацию, при которой хранилище данных блокируется на продолжительное время. Это означает, что служба IMA получает тайм-аут (хотя и перезапускается через некотрое время) и некоторые операции на удаленном сайте не могут выполняться.
Использование репликации базы данных может повысить производительность и в других случаях. Серверы MetaFrame XP делают значительно больше операций чтения из хранилища, чем записи. Большинство операций чтения выполняются при запуске сервера, когда заполняется локальный кеш.
В среде LAN использвание репликации позволяет ускорить запуск службы IMA и улучшить отклик серверов в больших фермах. В WAN репликация очень важна. Из-за частых операций чтения, размещайте реплики хранилища данных на сайтах, содержащих значительное количество серверов. Это снижает количество запросов чтения, передаваемых через WAN.
Помните, что репликация потребляет полосу пропускания.

Распределенные базы данных
MetaFrame XP поддерживает распределенные базы данных. Они полезны в случае, когда хранилище данных становится узким местом вследствие большого числа запросов чтения. Microsoft SQL Server использует репликацию для создания распределенных баз данных.

Требования

DABCC.COM хотела бы иметь высокодоступное решение для хранилища данных MetaFrame XP, спроектированное с учетом предполагаемого роста.

Рекомендации

Для DABCC.COM рекомендуется в качестве сервера базы данных для хранилища данных IMA использовать Microsoft SQL 2000 SP2. Это позволит DABCC.COM достигнуть видения проекта и учесть будущий рост. DABCC.COM должна внедрить Microsoft SQL 2000 SP2 в модели распределенной базы данных. Это позволит повысить отказоустойчивость, равномерно распределить нагрузку чтения и записи. Кроме того, DABCC.COM должна реализовать репликацию базы данных в зоне, если число серверов Citrix MetaFrame XP превысит пять штук и производительность конечных пользователей снизится. Это позволит DABCC.COM обеспечить высокую производительность для конечных пользователей посредством уменьшения траффика IMA по каналам WAN.

3.1.5 Проектирование MetaFrame XP Load Management

В этом разделе вы должны указать, как следует настроить оценщиков нагрузки (Load Evaluators). Укажите оценщики, правила и настройки.

3.1.5 Проектирование MetaFrame XP Load Management

Введение.

Load Manager автоматически устаналивается с MetaFrame XPa и MetaFrame XPe. Load Manager использует систему оценщиков нагрузки для вычисления загрузки сервера. Коллекторы данных сравнивают нагрузки серверов и определяют сервер, к которому следет подключить клиента ICA.

Оценщик включает одно или нескольких правил, которые применяются к серверу или опубликованному приложению. Load Manager содержит два оценщика:

  • Default - прикрепляется по умолчанию к каждому серверу. Он содержит единственное правило - Server User Load, которое сообщает о полной загрузке сервера по достижении 100 зарегистрированных на нем пользователей.
  • Advanced - содержит правила CPU Utilization, Memory Usage и Page Swaps.

Для каждого сервера могут быть разные оценщики, а каждый оценщик в свою очередь может содержать любую комбинацию правил и значений.

Правила, включенные в Load Manager:

  • Application User Load - Ограничивает число пользователей, котрым разрешено подключаться к выбранному опубликованному приложению.
  • Context Switches - Определяет диапазон частоты переключения контекста
  • CPU Utilization - Использование процессора для выбранного сервера
  • Disk Data I/O - Определяет диапазон потока данных для выбранного сервера
  • Disk Operations - Определяет диапазон частоты дисковых операций для выбранного сервера
  • IP Range - Определяет диапазон разрешенных или запрещенных адресов IP клиентов ICA для сервера или приложения. Это правило должно использоваться совместно с другим правилом.
  • License Threshold - Устанавливает верхний лимит назначенных или объединенных лицензий
  • Memory Usage - Определяет диапазон использования памяти сервером
  • Page Fault - Частота ошибок страницы
  • Page Swap - Частота обращения к файлу подкачки
  • Scheduling - Расписание доступности сервера или приложения
  • Server User Load - Ограничивает число пользователей, котрым разрешено подключаться к выбранному серверу

Требования

Для DABCC.COM необходима постоянная доступность опубликованных ресурсов

Рекомендации

DABCC.COM желает, чтобы ресурсы MetaFrame XP были доступны конечным пользователям постоянно. Это требует применения управления нагрузкой. D&D Consulting рекомендут DABCC.COM применить расширенного оценщика распределения нагрузки для всех приложений в ферме MetaFrame XP.

3.1.6 Приложения

В этом разделе вы должны определить приложения и/или контент, которые должны быть развернуты на серверах MetaFrame XP. Вам также необходимо определить способ развертывания, метод установки (через образ, вручную или с помощью Installation Manager), на каких серверах следует установить и кто будет иметь к ним доступ.

Я рекомендую классифицировать приложения на три категории.

Вам необходимо задокументировать, какие приложения инсталлированы на каждом сервере MetaFrame XP и кто будет иметь к ним доступ.

Ниже приведен пример информации об опубликованном приложении:

3.1.6 Приложения

Публикация приложений и/или контента упрощает доступ к ним со стороны пользователей. При публикации вы можете:

  • Усилить контроль за развертыванием приложений
  • Оградить пользователей от серверной среды
  • Протолкнуть приложение и ярлыки на рабочий стол пользователя с помощью Program Neighborhood, Program Neighborhood Agent, Web Interface или MetaFrame Secure Access Manager 2.0.
  • Использовать для публикации Management Console. С помощью Management Console вы можете публиковать приложения на любом сервере MetaFrame XP, даже на тех серверах, которые в данный момент времени не работают.
Наименование Исполняемый файл Тип Серверы Пользователи
Adobe Acrobat \\dabcc.com\dfsroot\apps\acrobat\setup.exe IMAGE Все  
Adobe Acrobat C:\program files\adobe\reader.exe Опубликованный
ярлык
Все CTX Users
Exchange Admin Loaded from Exchange 2000 CDROM Вручную DB2K3CX1  
Exchange Admin \\dabcc.com\dfsroot\apps\tools\exchadmin.cmd
Опубликованный
ярлык
DB2K3CX1
Exchange
Admins
Symantec Corporate
Edition Antivirus 8.1
\\dabcc.com\dfsroot\apps\smantecav\setup.exe Вручную Все  
Microsoft Office 2002 \\dabcc.com\dfsroot\apps\office2k3\setup.exe
TRANSFORMS=\\dabcc.com\dfsroot\apps\
officexp\trmsrvdabcc.mst
Вручную Все  
Excel 2002 C:\Program Files\Microsoft Office\Office11\Excel.exe
Опубликованный EXE Все MS Office
Users
Word 2002 C:\Program Files\Microsoft Office\Office11\winword.exe Опубликованный EXE Все MS Office
Users
Outlook 2002 C:\Program Files\Microsoft Office\Office11\outlook.exe Опубликованный EXE Все MS Office
Users
Power Point 2002 C:\Program Files\Microsoft Office\Office11\powerpnt.exe Опубликованный EXE Все MS Office
Users
Access 2002 C:\Program Files\Microsoft Office\Office11\access.exe Опубликованный EXE Все MS Office
Users
WinZip 8.0 \\dabcc.com\dfsroot\apps\winzip8\setup.exe IMAGE Все  
WinZip 8.0 C:\Program Files\Winzip\winzip32.exe Опубликованный EXE Все CTX Users
http://www.dabcc.com DABCC.COM Web Site Опубликованный
контент
  CTXUsers

 

3.1.7 Проектирование MetaFrame Conferencing Manager

Здесь вам необходимо определить: (1) размещение компонентов MetaFrame Conferencing Manager и (2) будете ли вы использовать интеграцию с Microsoft Exchange Server.

Для этого вам нужно учесть приложения, которые следует развернуть, максимальное число конечных пользователей, участвующих в конференции, и требуется ли интеграция с Microsoft Exchange Server. Например, если требуется участие в коференции максимум 30 пользователей, то надо проверить - выдержит ли сервер MetaFrame XP дополнительную нагрузку. Вам также потребуется развернуть компонент Conference Room на серверах MetaFrame XP вместе с желаемыми опубликованными приложениями. Если вы хотите интеграцию с Microsoft Exchange, то надо определить серверы Exchange, к которым будет выполняться подключение.

3.1.7 Проектирование MetaFrame Conferencing Manager

Введение.

MetaFrame Conferencing Manager - это инструмент обеспечения совместной работы в среде MetaFrame XP. MetaFrame Conferencing Manager позволяет конечным пользователям совместно использовать приложения, документы, проводить совместное обучение с любого устройства и с любого места. MetaFrame Conferencing Manager позволяет проводить конференции в реальном времени, преодолеть географические расстояния, мешающие совместной работе пользователей и сэкономить на командировках.

MetaFrame Conferencing Manager дает следующие преимущества:

  • Возможность проведения конференции по сети
  • Доступ к любому типу опубликованного приложения или контента
  • Доступ к любому типу информации.
  • Прозрачная интеграция с Microsoft Outlook и Exchange Server. Используйте календарь Microsoft Outlook для проверки доступности участника, планируйте график конференции с помощью электронной почты, используйте напоминатели конференции.
  • Управление клавиатурой и мышью участника конференции.
  • Запуск веб-браузера простым щелчком мыши
  • Запуск Whiteboard простым щелчком мыши
  • Отправка личных сообщений в любое время любому участнику конференции.

MetaFrame Conferencing Manager 2.0 состоит из следующих компонентов:

Служба организации конференций (Conference Organizer Service)
Conference Organizer следит за местом встречи и информацией о нагрузке. Он выполняется как служба Windows и может работать на любом сервере фермы MetaFrame XP или на сервере в том же домене, что и компоненты Conferencing Manager User Interface и Conference Room.
Citrix рекомендует инсталлировать компоненты Conference Organizer на одном из серверов домена или на один из серверов компонентов Conference Room.
В одной ферме необходим только один экземпляр Conference Organizer.

MetaFrame Conferencing Manager User Interface
MetaFrame Conferencing Manager User Interface предоставляет конечным пользователям все инструменты, необходимые для создания и участия в конференции. Именно этот компонент запускает пользователь. Во время инсталляции User Interface автоматически устанавливается и публикуется в
Management Console for MetaFrame XP под именем "Citrix MetaFrame Conferencing Manager".
Citrix рекомендует устанавливать User Interface на серверах MetaFrame XP, выполняющих другие рабочие приложения. Если вы будете использовать большое число одновременных соединений, желательно установить Интерфейс на нескольких серверах и использовать распределение нагрузки.

Conference Room
Conference Room обеспечивает теневые сеансы всех участников конференции. Аналогично User Interface, Conference Room является опубликованным приложением, выполняемым на серверах MetaFrame XP. В отличие от User Interface, Сonference Room вполняется как скрытое приложение - оно не видно в списке опубликованных приложений пользователя. Вместо этого пользователи после начала конференции автоматически подключаются к этому компоненту через MetaFrame Conferencing Manager User. При установке компонента Conference Room также устанавливается служба Conference Room Manager. Служба Conference Room связывается со службой Conference Organizer. При запросе клиентом новой конференции, Conference Organizer определяет, какой сервер Conference Room следует использовать. Это делается на основе параметров Load Manager.
Citrix рекомендует установить Conference Room на выделенном сервере MetaFrame XP. Если вы будете использовать большое число одновременных соединений, желательно установить Conference Room на нескольких серверах и использовать распределение нагрузки.

Интеграция с Microsoft Exchange Server
Вы можете использовать MetaFrame Conferencing Manager сам по себе или интегрировать его с Microsoft Exchange Server 5.5 и выше и Microsoft Outlook 2000/XP. Если вы используете Conferencing Manager самостоятельно, пользователи могут создавать конференции "на лету". Если вы интегрируете с Microsoft Exchange Server и Outlook, пользователи могут создавать запросы на проведение конференции с помощью календаря Outlook.

Требования

DABCC.COM желает повысить продуктивность с помощью механизма конференций.

DABCC.COM желает иметь в конференции доступ к опубликованным ресурсам

DABCC.COM желает, чтобы конференции были доступны сетевым пользователям с помощью любых механизмов развертывания приложений.

DABCC.COM желает, чтобы в конференции одновременно принимало участие максимум 27 конечных пользователей, т.е. общее число сотрудников компании..

Рекомендации

D & D Consulting рекомендует развертывание Citrix MetaFrame Conferencing Manager 2.0 для обеспечения недорогого механизма проведения конференций. D & D Consulting рекомендует установить Citrix MetaFrame Conferencing Manager User Interface на всех серверах MetaFrame XP. Чтобы конференция была доступна всем 27 пользователям, D & D Consulting рекомендует установить MetaFrame Conference Manager Room на выделенном сервере MetaFrame XP вместе со всеми необходимыми приложениями MetaFrame XP.

D&D Consulting рекомендует для пользовательских конференций создать страницу MetaFrame Secure Access Manager. Опубликованный Интерфейс конференции будет также доступен через Web Interface и кнопку Launch в центре доступа MetaFrame Secure Access Manager.

3.1.8 Проектирование печати MetaFrame XP

На этом этапе вам необходимо спроектировать печать в среде MetaFrame XP. Чтобы оправдать ожидания пользователей, вам следует поставить четкие цели - как для проекта, так и для пользователей. Эти цели следующие:

3.1.8 Проектирование печати MetaFrame XP

Введение

Пользователи могут легко печатать из приложений, выполняющихся на серверах MetaFrame XP. Для большинства пользователей печать из сеанса ICA не отличается от печати из приложения, выполняющегося на их персональных компьютерах.

Пользователи могут печатать на следующие устройства печати:

  • Принтеры, подключенные к устройству клиента на платформах Windows, WinCE, DOS и Mac OS
  • Виртуальные принтеры, создаваемые для таких задач, как печать из дайвера PostScript в файл на устройство клиента
  • Принтеры общего доступа, подключенные к серверам печати в сети Windows
  • Принтеры, подключенные непосредственно к серверам MetaFrame XP

Принтеры, которые могут использовать клиенты ICA, можно разбить на несколько категорий в зависимости от типа подключения: клиентские принтеры, сетевые принтеры и локальные принтеры.

Клиентские принтеры
Определение клиентского принтера зависит от платформы клиента ICA.
Для клиентов DOS и WinCE клиентский принтер физически подключен к порту устройства клиента.
На 32-разрядных платформах Windows (Windows 9x, Windows NT и Windows 2000), любой принтер, созданный в Windows (т.е. который виден в папке Принтеры на устройстве клиента) является клиентским принтером.
Некоторые виртуальные принтеры, например, факсы, находящиеся в папке Printers, могут быть недоступны в качестве клиентских принтеров в сеансах ICA. MetaFrame XP осуществляет связь с локальными (LPT) принтерами по протоколу ICA. Вы можете ограничить полосу пропускания протокола ICA, потребляемую печатью.

Локальные принтеры
Принтеры, непосредственно подключенные к серверам MetaFrame XP, являются локальными принтерами в пределах фермы. Это определение включает принтеры, подключенные к серверу MetaFrame XP, обслуживающему сеанс ICA пользователя, а также принтеры, подключенные к другим серверам MetaFrame XP той же фермы.

Сетевые принтеры
Принтеры, подключенные к серверам печати и совместно используемые в сети Windows, называются сетевыми принтерами. В сети Windows вы можете импортировать сетевые принтеры в MetaFrame XP и назначать их пользователям или группам. MetaFrame XP общается с сетевыми принтерами напрямую по протоколу TCP/IP.

Универсальный Драйвер Принтера (Universal Printer Driver)
Универсальный Драйвер устраняет необходимость в инсталляции множества драйверов принтеров на каждый сервер MetaFrame XP в ферме. Универсальный Драйвер состоит из двух компонентов:

  • стандартного драйвера печати PCL5c или PCL4, используемого для цветной и черно-белой печати с разрешением до 600dpi. Черно-белая печать 300dpi поддерживается в некоторых старых версиях клиента ICA
  • интерпретатора PCL5c или PCL4 и агента визуализации, интегрированного в клиента ICA Win32. Требуется версия 7.0 клиента ICA Win32

Универсальная печать работает следующим образом:

  • Для подготовки задания печати используется некоторый общий драйвер принтера. Это может быть драйвер PostScript (PS) или разновидности PCL5c или PCL4.
  • Общий драйвер создает поток данных печати, помещает задание в очередь и перенаправляет задание клиенту ICA.
  • Принтер клиента обрабатывает поток данных с использованием интерпретатора PCL4, PCL5c или PS.
  • Драйверы локального принтера клиента создают печатный образ и направляют его на любой принтер, подключенный к устройству клиента. Задание печати не ограничены принтерами, совместимыми с PCL или PS.

Общий драйвер принтера дает возможность не устанавливать и реплицировать в ферме большое количество родных драйверов принтеров. Вы можете установить небольшое число специфических драйверов для приложений, требующих некоторых функций, отсутствующих в универсальном драйвере.

Вы можете просматривать свойства клиентского принтера, создаваемого с помощью Универсального Драйвера. Если принтер создан с использованием Универсального Драйвера, то к его имени добавляется приставка [UPD:PCL5c]

Поддержка USB в MetaFrame XP
Citrix поддерживает внешние устройства, подключенные к устройству клиента, двумя основными способами:

  • Переназначение на уровне устройства (Device Level Redirection) - Этот метод включает в себя переназначение высокоуровневых устройств, определяемых операционной системой, таких как клавиатуры, мыши, принтеры. Такие устройства видны операционной системой не через аппаратные порты, к которым они подключены, а сами по себе.Например, независимо от того, как подключена клавиатура - через USB, последовательный порт или PS/2 - она видна как "клавиатура", а принтер, независимо от подключения - через USB или LPT - виден как "принтер". В случае с параллельным принтером используется особенность "отображения принтера"; отображение порта LPT не играет роли.

  • Переназначение на уровне порта - Этот метод использует низкоуровневое переназначение самого порта. Сюда входят порты COM, LPT и USB. Они идентифицируются операционной системой как "порты" и траффик на них переадресуется между сервером и клиентом. В настоящее время MetaFrame поддерживает отображение только портов COM и LPT устройства клиента.

Из этого вытекает, что хотя MetaFrame не поддерживает отображение портов USB, многие устройства USB поддерживаются на уровне устройств.

Переназначение портов USB
В настоящее время Citrix не поддерживает устройства USB, требующие низкоуровневого переназначения портов. Из-за большого количества устройств USB и закрытости реализации USB у каждого производителя, невозможно создать общее решение переназначения портов USB в качестве стандартного компонента MetaFrame. Хотя Citrix постоянно работает над решением переназначения USB для отдельных устройств.

Принтеры USB и клиенты ICA
Поддержка периферии USB требует наличия на устройстве клиента соответствующего драйвера USB и соответствующего клиента ICA. Например, не все клиенты Citrix ICA поддерживают считыватели смарт-карт независимо от наличия драйвера от производителя.

Принтеры USB и компьютеры Macintosh
Клиент Citrix ICA Client for Mac OS X v6.30 обеспечивает общую поддержку принтеров, подключенных к портам USB Macintosh. Для более ранних версий клиента Citrix ICA Client for Macintosh поддержка USB ограничена. Некоторые производители предоставляют драйверы, которые позволяют печатать файл непосредственно на указанный принтер (например, Epson Stylus Color 740), они корректно работают с клиентом ICA 6.20. Печать на принтер через порт USB (используя переходник USB - parallel), также поддерживается использованием продукта PowerPrint от Strydent Software. Другой альтернативой может быть печать через сетевой принтер, а не использование отображения принтеров.

Принтеры USB и терминалы Windows
Поддержка USB в WBT зависит от производителя.

Требования

DABCC.COM ставит целью печать из любого приложения как на локальные, так и на удаленные устройства. DABCC.COM нуждается в возможности печатать на локальные и сетевые устройства печати. DABCC.COM требует поддержки следующих принтеров в рабочей среде и понимает, что любые дополнительные принтеры могут потребовать дополнительной конфигурации. DABCC.COM требует создание политик и процедур добавления принтеров в перечень поддерживаемых принтеров.

Рекомендации

Для DABCC.COM рекомендуется спроектировать печать MetaFrame XP следующим образом:

  • Клиентские принтеры - Рекомендуется включить автоматическое создание принтеров клиентов только LPT. Все остальные принтеры будут назначены как сетевые принтеры. Рекомендуется назначить автоматически созданные принтеры пользователям.

  • Локальные принтеры - DABCC.COM не будет использовать локальные принтеры MetaFrame

  • Сетевые принтеры - Рекомендуется импортировать сетевые серверы печати и назначить принтеры пользователям. Это даст возможность назначать сетевые принтеры отдельным пользователям и снизить нагрузку на сеть.

  • Универсальный Драйвер Принтера - Рекомендуется настроить использовать Универсальный Драйвер только в том случае, если недоступен родной драйвер принтера.

  • Процедуры добавления дополнительных принтеров - Администраторы DABCC.COM будут использовать Project Compatibility для управления принтерами, которые не удалось автоматически создать. Конечные пользователи будут обучены сообщать администраторам об ошибках печати, и что в случае возникновения неизвестного принтера может придется подождать 24 часа до того, как принтер станет поддерживаться в сети.

 

3.2. Архитектура доставки приложений

В этом разделе вы определяет технологии MetaFrame Access Suite, используемые для доставки приложений и контента конечным пользователям.

Раздел "Архитектура доставки приложений" состоит из следующих подразделов:

3.2 Доставка приложений

Проектирование MetaFrame XP определяет логическую структуру, которая будет использоваться для развертывания MetaFrame XP Feature Release 3. В этом разделе D & D Consulting определит архитектуру MetaFrame XP для всех ее компонентов, определит метод, который будет использоваться для доставки приложений и контента MetaFrame XP конечным пользователям, а также метод защиты MetaFrame.

Раздел "Архитектура доставки приложений" состоит из следующих подразделов:

  • Проектирование MetaFrame XP Web Interface
  • Проектирование MetaFrame Secure Access Manager
  • Проектирование клиентов ICA

3.2.1 Проектирование MetaFrame XP Web Interface

В этом подразделе вы должны определить, как пользователи будут использовать Web Interface (и будут ли вообще его использовать) для доступа к опубликованным ресурсам. Вам следует определить, требуется ли доработка страницы Web Interface, например, нужно ли добавить меню выбора скорости соединения.

3.2.1 Проектирование MetaFrame XP Web Interface

Введение

Web Interface 2.1 предоставляет пользователю мощный интефейс для защищенного доступа к приложениям. Этот интерфейс использует объектную технологию Java и выполняется на веб-сервере, динамически создавая для пользователя представление фермы в виде HTML, отображающего список приложений, опубликованных для этого пользователя.

Web Interface 2.1 - это одновременно инструмент разработчика и веб-приложение. Web Interface включает в себя API и полнофункциональный веб-сайт по умолчанию. API позволяет создавать собственные сценарии для веб-сервера, а сайт позволяет администратору использовать готовое решение, которое может быть внедрено за несколько часов.

С помощью Web Interface вы можете создать прозрачный интерфейс между пользователем и его приложениями с минимальным вмешательством на стороне клиента.

Основные преимущества использования Web Interface:

  • Централизованное управление удаленными клиентами ICA - Web Interface 2.1 позволяет централизованно управлять конфигурацией клиентов ICA с помощью единой административной веб-страницы. Это позволяет администратору настроить такие элементы, как атрибуты фермы MetaFrame XP, брэндмауэры, развертывание клиентов ICA, конфигурацию клиента Java и многое другое.

  • Обнаружение и инсталляция клиента ICA - Когда устройство клиента посещает сайт Web Interface, код обнаружения клиента ICA проверяет устройство клиента и браузер и предлагает установить соответствующего клиента ICA.

Требования

DABCC.COM желает упростить процесс развертывания приложений и контента для конечных пользователей с любого места, для любого устройства и в любое время. Метод развертывания должен быть максимально экономичным и безопасным, при этом сохраняя все достоинства MetaFrame.

Рекомендации

D & D Consulting рекомендует внедрить Web Interface 2.1. Это позволит конечным пользователям DABCC.COM использовать приложения через стандартный веб-браузер, Internet Explorer, Netscape, Mozilla. Это также позволит быстро устанавливать клиентов ICA независимо от операционной системы клиента. Рекомендуется внедрить несколько серверов Internet Information Servers (IIS), выполняющих Web Interface 2.1. Это позволит достигнуть высокой доступности клиентских приложений.

3.2.2 Проектирование MetaFrame Secure Access Manager

В этом подразделе вам следует определить центр доступа (Access Center) для конечных пользователей, через который они будут получать доступ к корпоративным ресурсам.

3.2.2 Проектирование MetaFrame Secure Access Manager

Введение

MetaFrame Secure Access Manger 2.0 (MSAM) представляет собой инфраструктуру доступа, которая предлагает способ безопасного доступа к корпоративной информации и службам в форматах "бизнес - сотрудник" (Business to Employee, B2E), "бизнс - бизнес" (Business to Business, B2B), "бизнес - клиент" (Business to Consumer, B2C) и даже в формате портала корпоративной информации (Enterprise Information Portal, EIP), не требуя привлечения разработчиков или инфраструктуры VPN. Одна инфраструктура MetaFrame Secure Access Manager может поддерживать безопасный доступ к одной или нескольким средам, позволяя организациям доставлять корпоративные приложения и контент своим пользователям (B2E), партнерам (B2B) и клиентам (B2C). MetaFrame Secure Access Manager предлагает единый интерфейс, из которого осуществляется доступ ко всем приложениям, данным, информации посредством любого веб-браузера. И все это достигается без лишнего кода или применения VPN.

MetaFrame Secure Access Manager состоит из трех необязательных компонентов - службы доставки контента (Content Delivery Service, CDS), шлюза защиты (Secure Gateway, SG) и сервера индексирования (Index Server). Заказчик должен указать, какие компоненты ему нужны. Компоненты CDS, SG и MetaFrame Index входят в состав MetaFrame Secure Access Manager.

CDS позволяет сделать быструю интеграцию контента и ролей доступа с существующими приложениями, данными и корпоративным контентом. Встроенный MetaFrame Index Server позволяет делать запросы и индексировать как внутренние данные (например, документы на файловых серверах), так и внешние веб-сайты. Secure Gateway предоставляет защищенное решение VPN на базе SSL, не требуя реализации инфраструктуры VPN, т.е. пользователи осуществляют защищенный доступ к корпоративным службам из веб-браузера без клиента VPN.

Большинство компаний предлагают услуги в распределенной вычислительной среде, где пользователи используют локальные и сетевые приложения на своих рабочих станциях. Как правило, на рабочих санциях устанавливается стандартный набор приложений. Пользователи работают с данными, с локальными, сетевыми и веб-приложениями, а также сохраняют свои данные на локальных и сетевых дисках. По мере роста корпоративной информации, пользователи все больше и больше тратят время на поиск нужных данных на своих локальных рабочих станциях и в сети. Мы все знаем, что поиск нужной информации в корпоративной сети может представлять собой проблему. На следующем рисунке показана типичная сетевая среда.

Допустим, пользователь в этом примере работает в отделе маркетинга и ищет приложение CRM и относящиеся к нему данные, расположенные на двух файловых серверах и базах данных. Ей следует использовать утилиты операционной системы для просмотра сети в поиске приложения и данных, что может стать проблемой. Если она подключена удаленно через VPN, на ее рабочей станции необходимо настроить клиента VPN. В нашем примере рабочее пространство стационарно, т.е. если бы ей пришлось использовать другую рабочую станцию или VPN удаленно, то в другом месте ее среда оказалась бы другой.

MetaFrame Secure Access Manager проеодолевает эту проблему, предлагая способ конфигурирования ролей для приложений, данных и корпоративного контента. Это позволяет корпорациям централизованно управлять приложениями, данными и контентом и безопасно предоставлять их на основе ролей.

Если взять наш пример, то когда наша дама (из офиса или удаленно) обращается к центру доступа MetaFrame Secure Access Manager (веб-сайту), она получает защищеннй доступ к той же рабочей среде. Основное отличие двух моделей состоит в том, что одна поддерживает стационарную распределенную среду, а вторая поддерживает централизованно управляемую переносимую среду, с возможностью безопасного доступа к ней с любого места. Secure Gateway обеспечивает защищенный доступ к рабочей среде из любой рабочей станции через LAN, WAN, модем или беспроводную связь.

MetaFrame Secure Access Manager предлагает компаниям способ перехода от распределенной среды к централизованно управляемой среде, в которой доступ к корпоративным службам доступен пользователям из любого места. MetaFrame Secure Access Manager может безопасно доставить приложения, веб-службы, данные, находящиеся на файловых серверах, базы данных, а также внутренний и внешний веб-контент прямо на рабочий стол пользователя. С помощью MetaFrame Secure Access Manager пользователи могут получать защищенный доступ к целостной среде из любой рабочей станции офиса, из дома или в пути.

Ниже показано, как MetaFrame Secure Access Manager объединяет корпоративный контент и доставляет его пользователям через веб-браузер.

Служба доставки контента (Content Delivery Services)
Content Delivery Services (CDS) позволяет настроить и отображать портал с помощью файлов XML и консоли управления доступом (Access Manager Console, AMC). Консоль управления доступом позволяет администраторам настраивать темы, страницы и CDA, которые управляют информацией, отображаемой пользователю в центре доступа. Архитектуру CDS можно менять, чтобы создавать собственный вид портала.

Вид CDS формируется с помощью Агентов доставки контента (CDA), тем, шаблонов страниц и самих страниц. Они описаны в следующей таблице.

Компонент Описание
CDA Генерирует и представляет контент в окне браузера пользователя
Тема Управляет видом элементов страницы, например, цвет и шрифт
Шаблон страницы Определяет макет страницы
Страница Управляет навигацией пользователя и отбражает разнообразный контент

Внутри CDS администратор может настроить страницы для управления навигацией и отображения различного контента с помощью CDA. Страницы центра доступа могут содержать несколько ячеек контента. Каждая ячейка может содержать один или несколько агентов доставки контента (CDA). CDA отвечают за генерацию осмысленного контента, отображаемого пользователю.

CDS выполняет следующие задачи:

  • Аутентификация пользователя по имени и паролю для открытия пользовательского сеанса
  • Настройка таблицы стилей и темы
  • Сбор информации из запроса для идентификации, какая страница запрашивается и кто ее запрашивает.
  • Проверка аутентификации пользователя
  • Создание страницы портала
  • Вызов CDA и размещение их на странице
  • Отображение страницы

Интеграция приложений с использованием CDA и Web

MetaFrame Secure Access Manager дает возможность администраторам интегрировать компоненты существующей инфраструктуры без написания ни единой строчки кода. Интеграция приложения и контента делается внутри Access Management Center (AMC) агентами доставки контента (CDA) и Microsoft Web Parts. CDA позволяют быструю интеграцию приложений и контента из различных источников, например, Citrix MetaFrame XP и MetaFrame for UNIX, приложений Web, служб Web, Web Forms, совместных каталогов на файловых серверах, баз данных, систем управления документооборотом, а также клиентов электронной почты. Microsoft Web Parts поволяют быструю интеграцию приложений и служб, таких как Microsoft Outlook Smart Inbox, Microsoft Great Plains Business, Microsoft Office Spreadsheet Solutions, внешний контент MSN & MSNBC, например, новости, биржевые сводки, прогноз погоды.

CDA и Web Parts являются программными модулями и берут контент из приложений или с веб-сайта и отображают его в центре доступа. Страницы центра доступа могут содержать один или несколько агентов CDA и Web Parts.

Citrix, Microsoft и другие разработчики постоянно создают новые CDA и Web Parts. Web Parts можно взять с галереи Microsoft, CDA третьих производителей можно взять у этих производителей. Есть большое сообщество разработчиков CDAEXCHANGE, которые разрабатывают, тестируют и свободно распространяют CDA.

В следующей таблице показан список известных CDA, которые можно использовать в центре доступа.

MSAM CDA CDAEXCHANGE Web Parts
Account Summary for Documentum
Adapter for Lotus Notes Web access
Adapter for Microsoft Share Point
Adapter for Stellent
Advanced search for
Documentum
Adapter for Netmeeting
Alert Broadcaster
Alert Broadcast Manager
Database Viewer
Program Neighborhood
Embedded Application
Event CDA for eRoom
Interactive Poll
Internal Search
Message Center
My Account for Documentum
Personnel CDA for eRoom
Personnel Locator
Shared Documents
Website Viewer
Web Favorites
Search
Search CDA for eRoom
Web Search
World Clock
Local Application Access
SAP Adaptor
Change Password CDA
Citrix Support
Calendar
AskJeeves Search
Embedded Media Player
Lycos Search
Google Search
Database Driven News Scroller
Local File Explorer
UK Weather Map
Basic Calculator
Clock Dashboard
Personalized Weather Content
MS Outlook Smart Mailbox
MS Outlook Smart Contacts
MS Outlook Smart Calendar
MSN Encarta Reference
MSN MoneyCentral Search
MSN MoneyCentral Stock Quotes
MSN MoneyCentral Stock Ticker
MSN MoneyCentral Search
MSNBC Business News
MSNBC Stock News
MSNBC Stock Quote List
MSNBC Weather
.NetWire News
Hoovers Business Buzz
Hoovers Capsule Search
Hoovers City Guides
Hoovers Headline News
Hoovers Industry Updates
Hoovers IPO Alerts
Hoovers IPO Hot List
Hoovers IPO Week Rating
Hoovers IPOs on Deck
Hoovers Simple Search
Hoovers Weather
Industry News - Aerospace & Defense
Industry News - Automotive & Transport
Industry News - Banking
Industry News - Chemicals
Industry News - Computer Hardware
Industry News - Computer Software & Services
Industry News - Conglomerates
Industry News - Consumer Products (Durables)
Industry News - Consumer Products (Non-Durables)
Industry News - Diversified Services
Industry News - Drugs
Industry News - Electronics
Industry News - Energy
Industry News - Financial Services
Industry News - Food, Beverage & Tobacco
Industry News - Health Products & Services
Industry News - Insurance
Industry News - Leisure
Industry News - Manufacturing
Industry News - Materials & Construction
Industry News - Media
Industry News - Metals & Mining
Industry News - Real Estate
Industry News - Retail
Industry News - Specialty Retail
Industry News - Telecommunications
Industry News - Transportation
Industry News - Utilities
Factiva Search Form Module
Factiva Search Box Module
Factiva Track Summary View Module
Factiva Track Folder View

Страницы
Страницы - это набор активных страниц (ASP), которые отображают контент. Страница также используется для определения, какие CDA следует отображать в ячейках страницы на основе шаблона. Страницы становятся доступными пользователям посредством ролей доступа. Узел Pages в Secure Access Manager Console позволяет администраторам создавать новые страницы, определять тип страницы, а также указывать, какие CDA следует отображать на отдельной странце.

Темы
Темы - это набор таблиц стилей (CSS), содержащие файлы изображений и соответствующую цветовую схему. Они определяют вид страниц портала. В состав MetaFrame Secure Access Manager входит несколько готовых схем, кроме того, он поддерживает импорт пользовательских схем. Элементы темы включают цвет фона, фоновые изображения, кнопки, цвет текста и т.д. Вы можете применить готовые схемы или создать собственную.
При каждом создании нового центра доступа, MetaFrame Secure Access Manager проверяет реестр и выбирает значения для отдельных настроек CDS.

Пользователи
Если разрешена аутентификация пользователей, то для доступа к порталу необходимо создать их учетные записи. Они могут быть испортированы из любого доверенного домена Windows NT или Active Directory. Пользователю должна быть назначена хотя бы одна роль.
Поскольку CDS включает слой безопасности на базе аутентифкации Windows, администраторы могут контролировать, к каким CDA пользователи будут иметь доступ. После аутентификации пользователя для него создается идентификатор сеанса, который хранит имя пользователя, пароль, профиль и т.п.

Роли
Роль идентифицирует группу пользователей, требующих доступ в портале к одинаковому набору CDA. Роль определяет, какой контент будет доступен этим пользователям через папки, страницы и CDA. Роль также определяет домашнюю страницу пользователя и основную тему.
При добавлении CDA в роль, он не обязательно появляется на странице, ассоциированной с этой ролью. Например, если вы добавляете в роль 5 CDA, но только три из них являются частью страницы, ассоциированной с этой ролью, то остальные два CDA будут доступны, когда пользователь откроет вкладку Add, если это настроено.

Компоненты Центра Доступа

Инфраструктура центра доступа состоит из базовых служб, которые можно установить на одной или нескольких физических машинах.
Компоненты MetaFrame Secure Access Manager:

Сервер состояния (State Server)
Первая инсталлированная машина в ферме серверов MetaFrame Secure Access Manager называется основным сервером (primary server). Ферма MetaFrame Secure Access Manager берет свое имя из основного сервера, который всегда является сервером состояния. В ферме может быть только один сервер состояния. Его можно рассматривать как мозг фермы MetaFrame Secure Access Manager. Сервер состояния контролирует, как данные кешируются в памяти или записываются в постоянное хранилище. Сервер состояния кеширует и сохраняет конфигурации, управляет данными, находящимися в памяти, и записывает данные на диск. Он хранит профили пользователей, информацию о роли, конфигурации портала, CDA и конфигурации страниц.
Как организован сервер состояния? Каждый центр доступа в ферме имеет собственное конфигурационное пространство (ConfigSpace) и типы кеша (Cache Types). Каждый сервер фермы имеет собственное конфигурационное пространство администратора (Administration ConfigSpace), в котором хранится информация о лицензировании и о сервере (например, балансировщик нагрузки MetaFrame Secure Access Manager и MetaFrame Settings). На верхнем уровне находится конфигурационное пространство, а на втором уровне - Cache Types (типы конфигураций, организованные в древовидную структуруty и хранящиеся на диске).
Ниже показана структура сервера состояния:

State Server

Cache

User Session Configuration
Role Global CDA

Размер файловой базы сервера состояния
Когда число пользователей возрастает и производительность сервера состояния становится узким местом, важно масштабирование сервера. Подбирая оборудование для сервера, учитывайте следующее:

  • Информация о сеансе - начиная с 1К для пользователя
  • Страницы Access Center - начиная с 2К на каждую
  • Персонализированные данные пользователей - начиная с 80 байт на пользователя

Так, для 15,000 пользователей с 10 страницами потребуется файловая база около 75 MB.

Сервер агента
Серверы агента - это рабочие лошадки в ферме. Они в реальном времени обрабатывают сообщения XML, выполняют запросы и вовзвращают результат в серверы IIS. Агенты содержат службы доставки контента (Content Delivery Services, CDS). CDS отвечают за визуализацию страницы и ее данных. Каждая ферма требует одного агента; для повышения надежности и распределения нагрузки можно добавить несколько агентов.

База данных фермы
Ферма MetaFrame Secure Access Manager использует базу данных для хранения данных о конфигурациях и настройках. База данных хранит информацию о версиях файлов и копию информации о портале, хранящейся на сервере состояния. MetaFrame Secure Access Manager поставляется с MSDE и поддерживает SQL Server 7.0 SP3, SQL Server 2000 SP2, MSDE 1.0 и 2000.

Веб-сервер
Веб-сервер содержит модуль обработки сообщений XML (Host.dll), который создает сообщения XML для внутренних коммуникаций, службу распределения нагрузки (Loadbalanceservr.dll), а также виртуальные каталоги портала. Веб-сервер принимает от браузера запросы HTTP и возвращает ответ HTTP. Веб-сервер составляет из входящих параметров сообщение XML и посылает его для обработки серверу агента. Веб-сервер получает ответ в виде сообщения XML, разбирает его и передает данные (HTML, cookies) обратно браузеру. Веб-серверы для связи с серверами агентов используют IMA. Веб-серверы не обязательны связаны распределением нагрузки, хотя поддерживают ее посредством технологии "DNS Round Robin", NLB, а также с помощью аппаратного распределения нагрузки.

Access Manager Console
Access Management Console - это централизованная консоль управления, которая работает как оснастка MMC. Все службы-компоненты MetaFrame Secure Access Manager управляются с ее помощью. Консоль читает и записывает данные на сервер состояния и в хранилище. Вы можете установить Access Management Console на любую машину Windows 2000 или XP. Access Management Console может использоваться удаленно и для управления несколькими фермами MetaFrame Secure Access Manager. Консоль поддерживает:

  • Администрирование нескольких ферм
  • Администрирование нескольких серверов
  • Конфигурация ролей
  • Создание и макетирование страниц
  • Импорт CDA, Web Part и контента
  • Импорт/экспорт центров доступа
  • Брендинг

Используйте Secure Access Manager Console для конфигурирования:

  • Сайтов
  • Папок
  • Страниц
  • Пользователей
  • Ролей
  • Тем

Требования

Для DABCC.COM требуется высокопроизводительная и защищенная среда для доступа внутренних и внешних конечных пользователей. DABCC.COM требуется поддерживать максимум 27 пользователей. DABCC.COM требуется решение, которое было бы легко управляемым, легко развертываемым и простым в использовании. Решение не должно требовать дополнительных навыков в веб-программировании.
DABCC.COM требует решения для обеспечения персонализированного доступа к следующим ролям:

Имя роли Описание
Engineering Доступ для группы инженеров
Sales Доступ для группы отдела продаж
Management Доступ для руководства

Решение должно содержать следующие папки:

Папка Описание
Home Содержит домашние страницы для каждой из вышеперечисленных ролей
Administrative Tools

Содержит следующие страницы:

  • Management Console for MetaFrame XP
  • Access Management Console
  • Прочие инструменты администрирования
File Cabinet

Содержит следующие страницы:

  • Данные
  • Приложения
  • Личная
Home

Содержит следующие страницы:

  • Домашняя страница инженеров
  • Домашняя страница руководства
  • Домашняя страница отдела продаж
Resources

Содержит следующие страницы:

  • Путешествия
  • Карты
  • Персональные документы
Support

Содержит следующие страницы:

  • DABCC.COM Support
  • Citrix Support
  • Microsoft Support
  • Поиск

DABCC.COM требует возможности доставки контента конечным пользователям с использованием следующих агентов CDA:

MSAM CDAs CDAEXCHANGE Web Parts
Alert Broadcaster
Alert Broadcast Manager
Embedded Application
Interactive Poll
Internal Search
Message Center
Personnel Locator
Shared Documents
Website Viewer
Web Favorites
Search
Web Search
World Clock
Local Application Access
Citrix Support
Embedded Media Player
Google Search
Database Driven News Scroller
Local File Explorer
Basic Calculator
MS Outlook Smart Mailbox
MS Outlook Smart Contacts
MS Outlook Smart Calendar
MSN Encarta Reference
MSN MoneyCentral Stock
Ticker
MSN MoneyCentral Search
MSNBC Business News
MSNBC Stock News
MSNBC Stock Quote List
MSNBC Weather
.NetWire News
Industry News - Computer
Hardware
Industry News - Computer

Требуется, чтобы решение содержало следующие страницы:

Название страницы Описание
Management Console for MetaFrame XP

Эта страница содержит следующие CDA и/или Web Parts:

  • Внедренное приложение - настроить на публикацию Management Console
  • Оставшуюся часть страницы заблокировать
  • Дать доступ группе CTX_Admins group
Access Management Console

Эта страница содержит следующие CDA и/или Web Parts:

  • Внедренное приложение - настроить на публикацию Access Management Console
  • Оставшуюся часть страницы заблокировать
  • Дать доступ группе CTX_Admins group
Misc. Administrative Tools

Эта страница содержит следующие CDA и/или Web Parts:

  • Alert Broadcast Manager
  • Оставшуюся часть страницы заблокировать
  • Дать доступ группе CTX_Admins group

 

Data

Эта страница содержит следующие CDA и/или Web Parts:

  • "Shared Documents", настроенный на отображение корпоративной папки общего доступа "Data"
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем пользователям

 

Applications

Эта страница содержит следующие CDA и/или Web Parts:

  • "Shared Documents" настроенный на отображение корпоративной папки общего доступа "Application"
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем пользователям

 

Personal

Эта страница содержит следующие CDA и/или Web Parts:

  • "Shared Documents", настроенный на отображение домашнего каталога пользователя
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем пользователям
Engineering Home

Эта страница содержит следующие CDA и/или Web Parts:

  • MSN MoneyCentral Stock Ticker
  • Local Application Access
  • Personnel Locator
  • Alert Broadcaster
  • Embedded Application - настроить на публикацию Microsoft Outlook 2002
  • MSNBC Weather
  • Оставшуюся часть страницы заблокировать
  • Дать доступ роли Engineering
Management Home

Эта страница содержит следующие CDA и/или Web Parts:

  • MSN MoneyCentral Stock Ticker
  • Local Application Access
  • Personnel Locator
  • Alert Broadcaster
  • Embedded Application - настроить на публикацию Microsoft Outlook 2002
  • MSNBC Weather
  • Оставшуюся часть страницы заблокировать
  • Дать доступ роли Management
Sales Home

Эта страница содержит следующие CDA и/или Web Parts:

  • MSN MoneyCentral Stock Ticker
  • Local Application Access
  • Personnel Locator
  • Alert Broadcaster
  • Embedded Application - настроить на публикацию Microsoft Outlook 2002
  • MSNBC Weather
  • Оставшуюся часть страницы заблокировать
  • Дать доступ роли Sales
Travel

Эта страница содержит следующие CDA и/или Web Parts:

  • Website Viewer, настроенный на представление веб-сайта отдела Travel и страница аутентификации.
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем ролям

 

Maps

Эта страница содержит следующие CDA и/или Web Parts:

  • Embedded Application - настроенный на публикацию Microsoft MapPoint 2004
  • Оставшуюся часть страницы заблокировать
  • Дать доступ роли Sales
HR Documents

Эта страница содержит следующие CDA и/или Web Parts:

  • "Shared Documents", настроенный на отображение корпоративной папки HR
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем пользователям

 

DABCC.COM Support

Эта страница содержит следующие CDA и/или Web Parts:

  • Website Viewer, настроенный на представление веб-сайта отдела Travel и страница аутентификации.
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем ролям
Citrix Support

Эта страница содержит следующие CDA и/или Web Parts:

  • Website Viewer, настроенный на представление веб-сайта Citrix Support
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем ролям
Microsoft Support Эта страница содержит следующие CDA и/или Web Parts:
  • Website Viewer, настроенный на представление веб-сайта Microsoft Support
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем ролям
Search

Эта страница содержит следующие CDA и/или Web Parts:

  • Search
  • Web Search
  • Internal Search
  • Оставшуюся часть страницы заблокировать
  • Дать доступ всем ролям

Рекомендации

На основе требований D & D Consulting рекомендует установить MetaFrame Secure Access Manager 2.0 на одном сервере Microsoft Windows 2000 Server.

D & D Consulting рекомендует развернуть вышеуказанные страницы, папки и роли на корпоративном центре доступа.

D & D Consulting рекомендует установить Secure Gateway for MetaFrame для защиты траффика ICA и HTTP/HTTPS, проходящего через Access Center.

3. 2. 3 Проектирование клиентов ICA

На этом этапе вам следует определить клиентов ICA, которые будут использоваться для доступа к опубликованным ресурсам MetaFrame XP в среде MetaFrame Access Suite. Для определения наилучшего клиента венитесь к видению проекта и требованиям заказчика. Учитывайте физическое месторасположение клиента. Например, если конечные пользователи будут подключаться через Web Interface и/или MetaFrame Secure Access Manager, то вам следует развернуть Web Client, а в пределах локальной сети на рабочие станции Microsoft Windows развернуть Program Neighborhood Agent .

Ниже приведен пример проектирования клиента ICA:

3. 2. 3 Проектирование клиентов ICA

Введение

Для доступа к опубликованным ресурсам MetaFrame XP необходим Citrix MetaFrame XP ICA Client. Citrix имеет множество разнообразных клиентов ICA, но не все из них включают одинаковый набор функций.

Ниже перечислены разные клиенты ICA и их особенности.

Program Neighborhood

Клиент Program Neighborhood имеет графический интерфейс (GUI), позволяющий пользователям выбирать наборы приложений на устройстве клиента, выполняющем 32-разрядную версию Windows. Он предоставляет полный контроль над приложением посредством публикации приложений MetaFrame XP на локальных рабочих столах. С помощью Program Neighborhood, приложения MetaFrame XP можно "протолкнуть" на устройство клиента, интегрировать в локальный рабочий стол или разместить непосредственно в главное меню. Program Neighborhood включает в себя следующие особенности:

  • Поддержка TAPI – Позволяет модемные соединения. Клиенты ICA для DOS и Win16 могут интерпретировать конфигурационные файлы модема для Windows 9x и Windows 2000 в старые файлы INI для обеспечения оптимальной производительности конечных пользователей.
  • Поддержка интернациональных клавиатур – Позволяет использовать клиента ICA с Internet Explorer и Netscape, последние версии которых поддерживают интернациональные раскладки клавиатур.
  • Отображение клиентских устройств – Позволяет пользователям обращаться к локальным принтерам и дискам. Поддерживаются длинные имена файлов. Все принтеры, автоматически обнаруженные при подключении к серверу MetaFrame XP, переназначаются автоматически и доступны из приложений, выполняющихся на сервере. Принтеры клиента можно выбирать и подключать аналогично сетевым принтерам (для клиентов Windows, WinCE и DOS).
  • Отображение портов COM – Позволяет пользователям получать доступ к локальным портам COM. Это позволяет пользователям использовать большинство внешних устройств, подключающихся к последовательным портам так, как будто они подключены к портам сервера MetaFrame XP.
  • Интеграция с буфером обмена Windows – Позволяет пользователям выполнять операции копирования и вставки между сеансами ICA и локальными приложениями с помощью Windows Clipboard.
  • Поддержка аудио – ICA поддерживает воспроизведение звука через звуковую карту, совместимую с Sound Blaster 16 на клиентах DOS и Windows.
  • Кеширование и сжатие данных. Эти опции повышают производительность на низкоскоростных соединениях. Кеширование локально сохраняет часто используемые изображения, предотвращая их повторную передачу. Сжатие данных уменьшает объем пересылаемых данных.
  • Поддержка seamless-окон. Некоторые клиенты ICA поддерживают "бесшовную" интеграцию локальноых и удаленных приложений на локальном рабочем столе. Настройка соединения ICA на бесшовные окна позволяет пользователям переключаться между локальными и удаленными приложениями посредством клавиатуры или панели задач. Бесшовные окна поддерживают значки удаленных приложений на локальном рабочем столе, размещение окон плиткой или каскадом.
  • Отказоустойчивость. Клиенты ICA поддерживают несколько адресов сайтов (например, для основного и резервного) для одного и того же имени опубликованного приложения. Это позволяет обеспечить соединение даже в случае выхода одного сервера из строя.
  • Менеджер клиентского принтера. Пользователи могут определять, какие клиентские принтеры следует конфигурировать. Это позволяет хранить свойства принтеров клиентских устройств, упрощая конфигурирование принтеров для клиентов, отличных от Windows.
  • Поддержка нескольких мониторов. Клиент ICA Win32 поддерживает несколько мониторов на клиентах Microsoft Windows 98, Windows 2000 и Windows XP. Он также поддерживает виртуальные рабочие столы, предоставляемые некоторыми графическими адаптерами для Windows 95 и Windows NT 4.0.
  • Панорамирование и масштабирование. Если сеанс ICA больше, чем рабочий стол клиента, вы можете панорамировать окно сеанса по рабочему столу. Масштабирование позволяет видеть больше в сеансе ICA без панорамирования, посредством сжатия воспринимаемого размера сеанса ICA.

Если вы не хотите предоставлять доступ к приложениям через веб (Web Interface и/или MetaFrame Secure Access Manager), публикуйте приложения для прямого доступа. Для прямого доступа к приложениям, опубликованным на серверах MetaFrame XP, пользователи запускают клиента ICA Win32 Program Neighborhood Client для выбора набора приложений или для создания соединения ICA к серверам Citrix или опубликованным приложениям.

Program Neighborhood Agent

Вы можете использовать ICA Win32 Program Neighborhood Agent совместно с Web Interface для проталкивания ссылок на приложения непосредственно на пользовательский рабочий стол Windows. Поскольку пользователи не запускают веб-браузер для просмотра веб-страницы, доступ к удаленным приложениям аналогичен доступу к локальным приложениям. Вы также можете использовать редирект контента от клиента к серверу, который позволяет открывать локальные файлы опубликованными приложениями. Это требует установки Web Interface.
Пользователи работают с опубликованными ресурсами также, как они работают с локальными приложениями и файлами. Опубликованные ресурсы представляются иконками на рабочем столе клиента, в главном меню и панели задач, которые выглядят также, как локальные иконки. Пользователи могут щелкать, перемещать, копировать, создавать ссылки на эти иконки. Program Neighborhood Agent работает в фоновом режиме. Он не имеет интерфейса пользователя.

ICA Web Clients

Если вам требуется доступ к опубликованным ресурсам посредством Web Interface 2.0 и/или MetaFrame Secure Access Manager 2.0, используйте ICA Win32 Web Client.
Полный веб-клиент доступен в виде саморазворачивающегося архива и в виде файла .cab. Его размер около 1.8Mб, что намного меньше остальных клиентов ICA Win32. Небольшой размер позволяет быстро загружать и инсталлировать программное обеспечение клиента. Вы также можете настроить ICA Win32 Web Client для тихой инсталляции.
Минимальная инсталляция веб-клиента - ICA Win32 Web Client (Minimal Installation) - это укороченная версия веб-клиента для пользователей Internet Explorer. Ее размер около 1.01Mб, это самый маленький веб-клиент, который может использоваться с продуктами MetaFrame XP. Используйте его в средах, где требуются небольшие загрузки и минимальная функциональность.
Веб-клиенты ICA Win32 поддерживают следующие функции:

Функция ICA Win32 Web
Client
ICA Win32 Web Client
(Minimal Installation)
Удаленное управление между пользователями X  
Поддержка смарт-карт X X
Редирект контента X  
Расширенная поддержка публикации контента X X
Переподключение перемещаемых пользователей X  
Поддержка SSL/TLS для шифрования траффика ICA X X
Поддержка нового Web Interface for MetaFrame XP, NFuse Classic и Web Interface Extension X X
Поддержка Secure Gateway X X
Расширенная поддержка прокси-серверов X  
Автовосстановление соединения X X
Поддержка Novell NDS X  
Расширенная передача параметров X  
Seamless windows X  
Отображение клиентских устройств X X
Отображение клиентских дисков X X
Отображение клиентских принтеров X X
Поддержка звука X  
Поиск сервера по TCP/IP+HTTP X X
Поддержка мыши с колесиком X  
Поддержка нескольких мониторов X  
Панорамирование и масштабирование X  
Поддержка часового пояса клиента X  
Интеграция с буфером обмена X  
Низкие требования к пропускной способности X X
SpeedScreen latency reduction X  
Кеширование и сжатие данных X  

ICA Java Client

Клиент ICA Java - это апплет Java, обеспечивающий доступ к приложениям, выполняющимся на сервере MetaFrame, через веб-браузер с любого компьютера. Этот апплет можно просто загрузить и запустить своего рода "бесклиентское" соединение. Клиент Java оптимизирован для веб и полезен тогда, когда инсталляция программного обеспечения на клиенте нежелательна или невозможна. В клиенте Java 7.0 доступны следующие возможности:

  • Поддержка бесшовных окон
  • Редирект контента
  • Расширенная публикация контента
  • Восстановление соединения к сеансу с прнудительно заданными размерами
  • Поддержка мыши с колесиком при использовании J2SE (Java 2 Platform, Standard Edition) версии 1.4)
  • Поддержка разнообразных технологий безопасности, включая прокси-серверы, Secure Gateway, шифрование SSL и TLS, шифрование ICA.
  • Автоматическое восстановление соединения
  • Возможность передачи параметров опубликованным приложениям
  • Поддержка видео: разрешение до 65536 x 65536; цветность от 256 цветов до 24-bit (16.7 миллионов цветов)
  • Отображение буфера обмена
  • Отображение дисков, принтеров и аудио клиента
  • Сжатие данных для уменьшения объема данных, передаваемых по сети.
  • Кеширование данных для улучшения производительности
  • SpeedScreen Latency Reduction
  • Возможность поддерживать соединения даже в случае отказа основного браузера ICA.
  • Использование горячих клавиш для замены стандартных клавиш Windows для опубликованных приложений.
  • Удаленное управление (Shadowing). Начиная с MetaFrame XP Feature Release 2 возможно удаленное управление между пользователями.

Требования

Требованием со стороны DABCC.COM является минимальное участие конечных пользователей в создании соединений. DABCC.COM желает предоставить конечным пользователям все функции клиента ICA. DABCC.COM желает, чтобы для пользователей LAN не требовалась дополнительная аутентификация и/или щелчки кнопки мыши, отличные от необходимых для запуска приложения.

Рекомендации

На основе предъявленных требований, D&D Consulting рекомендует развернуть на удаленных клиентских устройствах полного веб-клиента ICA Web Client с помощью Web Interface 2.1 и MetaFrame Secure Access Manager 2.0. Вместе с тем, пользователям LAN следует установить Program Neighborhood Agent, чтобы снизить затраты на обучение и одновременно повысить продуктивность работы.

3.3. Архитектура безопасности

В этом разделе вы должны определить технологии, используемые для защиты среды MetaFrame Secure Access Manger 2.0. Здесь также следует определить архитектуру управления паролями.

Раздел "Архитектура безопасности" состоит из двух подразделов:

Пример содержания раздела "Архитектура безопасности":

3.3 Архитектура безопасности

Архитектура безопасности определяет логическую структуру, используемую для защиты среды MetaFrame Secure Access Manager 2.0. В следующем разделе D & D Consulting определит технологии, рекомендуемые для защиты среды MetaFrame Access Suite, а также методы, используемые для аутентификации и управления паролями.

Раздел "Архитектура безопасности" состоит из двух подразделов:

3. 3. 1 Проектироване Secure Gateway for MetaFrame


Введение

Secure Gateway for MetaFrame 2.0 - это компонент MetaFrame XP Feature Release 3. Secure Gateway предназначен для работы совместно с Web Interface и/или MetaFrame Secure Access Manager для предоставления единой защищенной точки доступа через Интернет к серверам MetaFrame XP и/или серверам MetaFrame Secure Access Manager. Служба Secure Gateway прозрачно шифрует и аутентифицирует все соединения ICA, HTTP и HTTPS.

Типичное развертывание Secure Gateway включает взаимодействие пяти компонентов MetaFrame Access Suite:

  • Устройства клиента с ICA Client 7.0 или более поздним
  • Web Interface и/или Logon Agent (Logon Agent требуется только для MetaFrame Secure Access Manager)
  • Secure Gateway for MetaFrame XP
  • Сервер(ы) Citrix MetaFrame XP, на одном из которых работает служба XML


Замечание: Траффик HTTP/HTTPS защищается только при использовании Secure Access Manger 2.0 и выше.

Secure Gateway Service (SG)

Secure Gateway Service является посредником при каждом соединении между Интернет и корпоративной сетью. Служба Gateway Service слушает входящий траффик SSL, расшифровывает его и перенаправляет на серверы в доверенной сети. Поведение службы управляется значениями реестра в ветви HKLM\CurrentControlSet\Services\CtxSecGwy.
В отличие от предыдущих реализаций Secure Gateway, он не делает аутентификацию входящих запросов. Вместо этого шлюз передает функции аутентификации службе аутентификации (Authentication Service). Это позволяет службе Secure Gateway наследовать методы аутентификации, используемые на вашем веб-сервере.

Ниже описано, как Gateway Service обрабатывает траффик ICA и HTTP.
Для траффика ICA шлюз обращается к службе STA для проверки билета файла ICA, который изначально запрашивается Веб-интерфейсом или MetaFrame Secure Access Manager.
Для траффика HTTPS, Gateway Service обращается к службе Authentication Service (AS) для проверкии cookie аутентификации (который изначально устанавливается агентом Logon Agent). Если cookie верен, запрос HTTP проксируется, в противном случае пользователю выдается страница входа.
Окончательные соединения HTTP или ICA через шлюз инициируются службой шлюза. Поэтому сервер шлюза должен быть способен разрешать имена FQDN любого внутреннего сервера, к которому будет подключаться пользователь. Сервер шлюза также должен разрешать имена любого другого компонента, например, Logon Agent, AuthService, STA или Gateway Proxy. Если нет доступа к серверам DNS, то вам необходимо использовать файл HOSTS на каждом сервере Secure Gateway и на всех устройствах, которые не могут разрешать имена FQDN.

Сервер, предназначенный для выполнения Secure Gateway, Logon Agent и/или Web Interface и имеющий процессор 1GHz, может выполнять до 30 соединений SSL в секунду и поддерживать до 1000 параллельных соединений ICA или HTTPS.

Служба Secure Ticket Authority (STA)

Служба Secure Ticket Authority (STA) - это веб-служба XML, которая обменивается информацией с серверами, перечисляющими приложения, случайно генерируемыми билетами (tickets). Она используется для управления доступом к серверу Secure Gateway.
Серверы Web Interface и/или MetaFrame Secure Access Manager делают аутентификацию пользователей, перечисляют опубликованные приложения и создают файлы ICA для клиентов, позволяя им подключаться к опубликованному приложению и ресурсам через сервер шлюза.
Служба Secure Ticket Authority на самом деле является библиотекой интерфейса Internet Server Application Program Interface (ISAPI). По умолчанию она инсталлируется на первичном сервере в ферме MetaFrame Secure Access Manager и требует наличия IIS. IIS вызывает DLL при запросе билета (ticket). Основное назначение STA состоит в генерации и проверки билетов для доступа к ресурсам внутренней сети. Расширение ISAPI вызывает CtxSta.dll и находится в каталоге /Scripts. Остальные компоненты общаются с STA по HTTP через XML .
Билеты Secure Ticket Authority (STA) после успешного запроса немедленно уничтожаются, поэтому могут использоваться только один раз. Кроме того, они автоматически уничтожаются через определенный интервал времени (по умолчанию 100 секунд), если не используются.
Одна служба STA может использоваться несколькими серверам шлюзов и серверами перечисления приложений. STA не ограничена некоторым доменом, фермой или сервером. Это анонимная служба XML. Citrix рекомендует инсталлировать ее на выделенном сервере, не являющимся членом никакого домена.

Logon Agent (LA)

Logon Agent - это веб-служба входа, которая отображает страницу входа и обрабатывает запросы входа. Logon Agent представляет собой набор скриптов ASP, находящихся на IIS. Клиенты не могут обращаться к Logon Agent минуя шлюз - в этом случае Access Center не запустится, даже если Logon Agent находится на одной машине со службой шлюза.
MetaFrame Secure Access Manager 2.0 поставляется с двумя шаблонами страниц входа. Один использует базовое имя пользователя, пароль и домен. Второй поддерживает интеграцию с RSA SecurID.
После успешной аутентификации, AuthService возвращает cookie сеанса, URL редиректа, другие cookies, требуемые для MetaFrame Secure Access Manger, а также список доступных внутренних веб-серверов.
Logon Agent при работе на выделенном сервере 1GHz может обслуживать около 20 входов в секунду. По умолчанию агент инсталлируется на сервер шлюза. Это подходит для небольшого развертывания (до 1000 пользователей). Но для больших сред агента необходимо размещать на выделенном сервере. При необходимости можно использовать несколько агентов.

Authorization Service

Служба авторизации (Authorization Service, AS) - это файл ASMX, который анонимно публикуется сервером IIS. Его URL по умолчанию \<Access_Center>\AuthService\AuthService.asmx и он включается в каждый центр доступа MetaFrame Secure Access Manager 2.0. AS аутентифицирует пользователей, генерирует и проверяет cookies для сенсов шлюза HTTPS. Обычно AS и STA находятся на одной машине, но это не обязательно. Службу авторизации можно скопировать на два сервера IIS, связанных распределением нагрузки. AS может обслуживать 20 соединений в секунду.

Secure Gateway Proxy (только для двойной DMZ)

Этот компонент является службой Secure Gateway, которая проксирует траффик от другого шлюза Secure Gateway во внутреннюю сеть. С использованием Secure Gateway Proxy можно реализовать SG, где две DMZ отделяют Интернет от доверенной сети.

Сертификаты SSL

Это цифровые сертификаты, используемые между конечной точкой и службой шлюза, а также между другими серверами MetaFrame Access Suite для проверки подлинности и достоверности каждого. Вы можете выбрать использовать цифровые сертификаты, выдаваемые коммерческими или персональными центрами сертификации. Коммерческие центры сертификации - это доверенные компании, например VeriSign, которые выдают цифровые сертификаты, используемые для создания цифровых подписей и пар личных и открытых ключей. Личный центр сертификации - это такой, который стоит в вашей организации.
Главное преимущество использования коммерческих центров сертификации состоит в том, что корневые сертификаты для большинства коммерческих центров встроены в Internet Explorer и серверы Windows. Если вы используете сертификаты личного центра сертификации, то вам необходимо распространить и установить корневой сертификат на все устройства клиентов и серверы, использующие SSL.
Когда центр сертификации выпускает сертификат, он подтверждает подлинность субъекта. Если имя в формате FQDN, то оно уникально в глобальном масштабе, в отличие от NETBIOS.

Требования

DABCC.COM требует, чтобы все коммуникации от клиента к серверу были защищены легким решением. DABCC.COM также требует безопасный доступ с любого места без необходимости установки дополнительного программного обеспечения на всех клиентских устройствах.

Рекомендации

D & D Consulting рекомендует установить Secure Gateway for MetaFrame. Secure Gateway for MetaFrame обеспечивает безопасный траффик ICA от клиента к серверу. С добавлением Web Interface 2.1, DABCC.COM сможет удовлетворить требования удаленного доступа с любого места и почти с любого устройства. Для повышения доступности рекомендуется установить два сервера Windows 2000 со службой Secure Ticket Authority и Secure Gateway.

3 3.2 Проектирование MetaFrame Password Manager

В этом подразделе вам следует определить, какую службу каталога использовать, какие приложения потребуют настройки и какие следует сделать настройки агента.

3 3.2 Проектирование MetaFrame Password Manager

Введение

Citrix MetaFrame Password Manager предоставляет защиту паролей и унифицированный доступ к Windows, Web, приложениям, выполняющимся на серверах MetaFrame XP и локальных рабочих станциях Microsoft Windows. Конечным пользователям требуется лишь зарегистрироваться на рабочих станциях, а MetaFrame Password Manager сделает все остальное, зарегистрировав их на ресурсах, защищенных паролями. Агент MetaFrame Password Manager Agent также применяет политики паролей, следит за событиями, связанными с паролями, автоматизирует смену паролей.

Цель использования MetaFrame Password Manager состоит в упрощении работы конечных пользователей и снижении административных издержек на поддержание пользовательских паролей. Это достигается тем, что конечным пользователям нужно зарегистрироваться только один раз, а затем MetaFrame Password Manager аутентифицирует пользователей в других приложениях, защищенных паролем. Пользователям не нужно запоминать логины и пароли для доступа к сетевым приложениям и ресурсам. При этом устраняется одна из гловных болей администраторов - как отучить пользователей записывать свои пароли на клавиатуре и ковриках от мыши.

MetaFrame Password Manager также повышает безопасность сети, помогая устранить плохое управление паролями, делая частую автоматическую смену паролей и применяя строгие политики. Кроме того, менджер паролей повышает безопасность путем централизации политик безопасности, предусматривая зашифрованный файл для каждого набора учетных данных пользователя, что позволяет администраторам автоматически генерировать пароли, которые трудно вычислить.

MetaFrame Password Manager состоит из трех систем:

  • MetaFrame Password Manager Agent
  • MetaFrame Password Manager Console
  • MetaFrame Password Manager Directory Service

MetaFrame Password Manager Agent
Это клиентский компонент менеджера паролей. Он выполняет роль посредника между пользователелями и приложенями, требующими аутентификации. Когда пользователь пытается получить доступ к приложению, требующему аутентификации, агент перехватывает запрос приложения на аутентификацию. Затем он ищет учетные данные в локальном хранилище и подставляет их в приложение. Учетные данные также сохраняются в центральном хранилище, в общих папках или в Active Directory. Агент синхронизирует локальное хранилище с центральным, позволяя пользователю поддерживать свои данные на любой рабочей станции. Кроме того, он имеет следующие особенности:

  • Значок в системной панели задач обеспечивает легкий доступ к MetaFrame Password Manager, позволяя пользователям управлять входами, устанавливать предпочтения, обращаться к справке.
  • Logon Manager - предоставляет пользователям консоль для просмотра, изменения и удаления учетных данных
  • Мастер New Logon позволяет быстро создать новую учетную запись. Агент обнаруживает запрос входа и сохраняет введенную информацию для извлечения при следующем запуске приложения.
  • Мобильность пользователей - поддержка локальных и удаленных пользователей. Удаленные пользователи могут легко перемещаться от машины к машине, и несколько пользователей могут безопасно использовать одну и ту же рабочую станцию.

MetaFrame Password Manager Console
Консоль MetaFrame Password Manager позволяет администраторам управлять всеми аспектами поддержки паролей для приложения. Консоль используется для настройки определений паролей, которые используются агентом, и расшряет его функциональность (агент без консоли имеет ограниченную функциональность).
В консоли вы можете использовать мастера для создания политик паролей, настройки приложений, управления учетными данными пользователей. Вы можете создать центральное хранилище, в котором хранится вся конфигурация и настройки агентов. В левой панели консоли имеются 5 узлов, в правой панели отображаются специфические опции.
Консоль включает в себя следующие особенности:

  • Application definitions (Определения приложений). Идентификаторы, требуемые агенту для обнаружения страниц с паролями, где пользователь доолжен ввести свои учетные данные, а также методы подстановки этих данных содержатся в определениях приложений. MetaFrame Password Manager предлагает большой список предопределенных приложений, но вы легко можете добавить собственные.
  • Password policies (политики паролей). Позволяет установить политики для автоматически генерируемых паролей. Политики включают в себя длину пароля, тип, набор символов.
  • Password sharing (совместное использование паролей). Позволяет автоматизировать и упростить процесс смены паролей для приложений, совместно использующий общий пароль. Если приложение принадлежит группе Password Sharing Group и присходит смена пароля, то изменение затрагивает все приложения в этой группе.
  • Other options (Прочие опции). Вы можете сделать разнообразные настройки агента в консоли для удовлетворения потребностей вашей организации. Наример, вы можете запретить кнопку, позволяющую пользователям увидеть пароли.

MetaFrame Password Manager Directory Service
Password Manager синхронизирует учетные данные, настройки агента, определения приложений между агентами и центральным хранилищем. Эта синхронизация обеспечивает, что все данные и настройки самые последние и находятся в безопасности.
Локальные учетные данные хранятся в зашифрованной базе данных, а настройки агента - в реестре. Вы можете настроить Password Manager синхронизироваться либо с общей папкой, либо с Microsoft Active Directory. Active Directory имеет преимущество в использовании существующей инфраструктуры для быстрого легкого доступа к синхронизатору. Он не требует лицензии от Microsoft на соединение, а синхронизированные данные доступны во всей организации.
Использование общей папки позволяет осуществлять синхронизацию без необходимости расширения схемы Active Directory или может применяться в средах, где не используется Active Directory. Вы можете мигрировать на Active Directory позднее.
Оба варианта являются одинаково защищенными.

Требования

DABCC.COM требует недорогого улучшения безопасности сети одновременно с улучшением продуктивности.
DABCC.COM требует средства управления аутентификацией для всех защищенных паролями приложений и сетевых ресурсов.

Рекомендации

На основе предъявленных требований D & D Consulting рекомендует внедрить MetaFrame Password Manager 2.0 для улучшения безопасности сети, снижения издержек и повышения продуктивности.
D & D Consulting рекомендует использовать общую сетевую папку для уменьшения риска, связанного с расширением схемы Active Directory.
D & D Consulting создаст определения приложений для всех опубликованных приложений MetaFrame XP

 


Проектирование сервера Содержание Проектирование инфраструктуры