Dernière mise à jour : 28 Mars 2007

Histoire de compléter un peu le foisonnement des topics uniques de Hardware.fr, j'ai décidé de lancer un nouveau sujet ciblé par les pros de l'administration : la mise en place et l'administration d'une plate-forme Citrix Metaframe. Je ciblerai en particulier Citrix Metaframe Presentation Server 3.0, et les versions ultérieures. Toutes les infos apportées supposent que vous en connaissez un minimum en gestion de réseau, et de serveurs. Sans oublier bien entendu Active Directory.

Le but de ce topic est de recenser un maximum d'informations, afin de comprendre ce qu'est Citrix Metaframe, et comment mettre en place une petite plate-forme de démarrage. De même, je tenterai d'apporter des infos sur des applications particulières que j'ai pu installer.
Bien entendu, si vous avez des liens intéressants, des informations à apporter au moulin, etc. etc. n'hésitez pas. Il vivra d'autant mieux que vous y contribuerez.

Je commence une première couche, j'y reviendrai régulièrement pour ajouter des infos au fur et à mesure...

Quelques bases pour commencer

Citrix ? C'est qui ?
La première chose très intéressante à savoir, c'est l'historique (très rapide, hein), de Citrix. Vous connaissez tous actuellement la fonctionnalité "Terminal Services" des serveurs Win2000/2003, également disponible avant sur WinNT4 Terminal Server Edition, et encore avant sous d'autres appellations. Le commun des mortels (plus ou moins), connait plus facilement le "Bureau à distance" de Windows 2003. Et bien tout cela a été au départ lancé par Citrix, qui proposait des surcouches aux OS Windows Server, afin de pouvoir travailler en bureau distant.
Pour en savoir plus : Présentation officiel Citrix

TSE, à quoi ça sert
Les "Terminal Services", présents sur les serveurs Windows 2000 Server et Windows Server 2003, permettent d'accéder au bureau de ces machines, à distance, au travers de sessions "virtuelles". Pour cela, on utilise un logiciel appelé "Client Terminal Server" (ou Client TSE), connu aussi sous le nom de Remote Desktop Client.

Après identification, comme sur tout serveur Windows, on accède au bureau du serveur, aux applications, etc. etc. On peut distinguer deux modes de travail : le mode dit "d'administration", et le mode dit de "serveur d'applications". Le mode d'administration permet à deux administrateurs maximum de se connecter au serveur. Très utile pour faire de l'administration distante sans utiliser de logiciel type VNC, PCAnyWhere ou autre. Le mode dit "serveur d'applications", permet de mettre à disposition une batterie de logiciels (Office, applications métiers, etc.) à un nombre illimité d'utilisateurs simultanés. C'est ce dernier fonctionnement qui nous intéresse.

Et Citrix Metaframe Presentation Server dans tout ça ?
Le produit Citrix Metaframe Presentation Server est une surcouche de TSE, qui apporte nombre de fonctionnalités supplémentaires : publications d'applications, gestion plus puissante des droits d'accès, bande passante fortement réduite, stratégies, équilibrage de charges, zoning, etc. etc. etc. Les possibilités sont nombreuses, et croissent à chaque nouvelle version de MPS.
Une petite vidéo de démonstration pour appréciser la différence de performances : http://fr.youtube.com/watch?v=_RMTM7vaMnI

Quel est l'intérêt de TSE ou Citrix Metaframe ?
En général, en réseau d'entreprise, vous avez les applications (office, applis métier, etc.) installées sur chaque poste de travail. Ce qui présente plusieurs inconvénients que les administrateurs connaissent bien : suivi des mises à jour à déployer, remplacement des machines devenant rapidement obsolètes, déploiement de nouveaux logiciels, etc.. Un serveur d'applications permet de centraliser toutes les applis sur un seul (ou plusieurs) serveur(s) très puissants. Les utilisateurs n'y accèdent alors plus que par bureau distant. Les postes de travail peuvent être nettoyés au maximum, et même remplacés par des terminaux légers sous Windows CE. En fait, toutes les applis tourneront sur les serveurs : la seule chose que fait le PC, c'est de l'affichage, et du renvoi de frappes claviers/souris.

Les différentes éditions de Citrix Metaframe Presentation Server
Comme pour les OS Windows Server, il existe plusieurs éditions, avec des tarifs différents, et bien sûr des fonctionnalités différentes :
- Standard Edition : édition la moins cher. On ne peux avoir qu'un seul serveur.
- Advanced Edition : permet l'équilibrage de charge entre plusieurs serveurs. Idéal pour 2 ou 3 serveurs.
- Entreprise Edition : version la plus complète. Ajoute le déploiement des applis, la gestion des ressources, la gestion des charges, etc.

1. Préparer l'architecture

Ce que vous devez déjà avoir
Avant de déployer des serveurs Metaframe, vous devez déjà avoir une certaine architecture de prête. On considèrera donc que vous avez déjà un réseau de postes de travail sous Windows (Win2000 mini conseillé pour que ça roule bien). Vous devez également avoir une architecture Active Directory avec vos comptes utilisateurs, vos groupes, vos GPO, etc., un serveur de ressources, un serveur d'impression, etc. Bref, tout ce qu'il faut pour avoir un beau réseau d'entreprise que vous bichonnez jour après jour [img]\":D\[/img]
Vous pouvez bien entendu avoir peau de chagrin et vous monter un petit serveur Metaframe vite fait, avec des comptes utilisateurs locaux sur le serveur, et des sécurité minimes. Mais on n'est pas là pour bricoler non plus [img]\":p\[/img]

L'environnement réseau
Le gros avantage d'un serveur Metaframe, c'est que la communication entre le client (poste de travail) et le serveur est très réduite : selon l'utilisation, on peut estimer la bande passante consommée à environ 20Kbps. Bien entendu, cela peut passer fortement en dessous (faible activité), ou fortement au-dessus (grosses images à afficher). Mais 20 Kbps c'est une bonne moyenne. Ca vous permet de dimensionner votre réseau.
L'architecture la plus simple est bien entendu de tout avoir sur un seul LAN (serveurs, PC, etc.). Bien entendu, si vous travaillez en multi-sites, rien ne vous empêche de dispatcher des serveurs Metaframe sur les différents sites. Attention au dimensionnement des liens et aux temps de réponse dans ce cas. Il vaut parfois mieux tout centraliser en un seul point, que d'en avoir partout.

L'environnement matériel
Citrix Metaframe est un logiciel. Il faut donc une machine (ou plusieurs) pour l'accueillir. Le dimensionnement dépend beaucoup des applications qui seront utilisées.
Niveau CPU, on préfèrera du bi-pro. Passer au quadri-pro ne servira pas à grand chose, vous ne gagnerez presque rien. Il vaut mieux deux serveurs bi-pro qu'un seul serveur quadri-pro.
Niveau mémoire, le calcul est simple : estimez la consommation mémoire moyenne de chaque utilisateur, ajoutez environ 512 Mo pour le fonctionnement de Windows et de Metaframe, et voilà.
Pour les disques durs, sachant qu'il est fortement déconseillé de stocker des données sur un serveur Metaframe, et que donc vous ne le ferez pas ;-), deux disques en RAID1 (un minimum de sécurité quand même) sont amplement suffisants.
Histoire de vous donner une petite idée, sur un bi-pro Xeon 3 GHz avec 4 Go de RAM, on loge facilement entre 40 et 50 utilisateurs bureautique. Avec 4 Go de RAM en plus, on arrive à caser une trentaine de développeurs Cobol et Web.

L'environnement logiciel
Comme vu précédemment, Citrix Metaframe est une surcouche. Sur vos serveurs, il faudra que vous ayez installé préalablement Windows Server (2000 ou 2003), et avoir activé les composants Terminal Services (en mode serveur d'applications).
Pour les autres composants, on verra plus loin dans ce tutoriel.

Les licences
Et comme vous n'avez pas encore sorti assez d'argent du portefeuille de votre entreprise, il va falloir en sortir encore un peu. Je passe sur toutes licences Windows Server (entre 800 et 2000 € HT selon version), celles de vos postes de travail (entre 200 et 400 € HT), ainsi que les CAL Windows (je sais plus combien ça vaut [img]\":D\[/img]) que vous devez déjà avoir.
Pour un environnement Metaframe, il va falloir tout d'abord acquérir des TSCAL (ou CAL TSE - Entre 80 et 100 € HT par licence). Vous avez deux types de TSCAL : les TSCAL Device et les TSCAL User. Sur Windows 2000 Server, par contre, il n'existe que des TSCAL Device. Il faudra une TSCAL par utilisateur ou périphérique. Attention : ce n'est pas du simultané. Si vous avez 200 utilisateurs, mais que seulement 100 personnes travaillent simultanément, il faudra acheter 200 TSCAL. Les TSCAL fonctionnent ainsi : chaque fois qu'un nouvel utilisateur se connecte en TSE, une licence temporaire lui est affectée. Elle est valable 90 jours. Après, c'est fini. Il ne pourra plus se connecter. Avec des TSCAL, chaque nouvel utilisateur ou périphérique se connectant en TSE (ou en Metaframe d'ailleurs), va consommer une licence. Cette licence restera bloquée. Elle ne se libèrera qu'au bout de 90 jours si l'utilisateur ou le périphérique ne s'est pas connecté pendant ce laps de temps. Vous avez donc grand intérêt à voir large. Pas de licence, pas de connexion. A noter qu'avec des serveur TSE/Metaframe sous Windows 2000 Server, les postes sous Win2000/XP n'ont pas besoin de TSCAL : elles sont déjà incluses. Par contre pour des serveurs Win2003 il vous faut absolument des TSCAL pour tout. Seule petite exception, si vous avez des postes avec des licences XP Pro achetée avant Avril 2003. Pour plus de détails, consulter la FAQ Microsoft sur les licences de transition

Et histoire d'assécher encore votre porte-monnaie, le plus important, les licences Citrix Metaframe : il va vous falloir une licence pour chaque utilisateur connecté simultanément. Si on reprend le cas précédent (200 utilisateur, dont seulement 100 simultanés), 100 licences suffiront. Là encore le prix varie entre 200 et 400 € par licence selon la version Metaframe et votre fournisseur.
Attention : à partir de Presentation Server 3.0, tout connexion RDP (TSE) consomme également une licence Citrix.

2. L'installation de Citrix Metaframe Presentation Server

Bien. Maintenant que votre environnement est prêt, que vous avez acheté tout ce qu'il faut, on va passer à la phase d'installation/déploiement.

a. Préparation - Serveurs de licences
La première chose à préparer, ce sont les serveurs de licence. Il va vous en falloir deux (ça peut bien entendu être la même machine, ou une machine existante).
* Serveur de licences TSE : de préférence, on le placera sur un contrôleur de domaine pour des raisons pratiques et de détection automatique. Il suffit pour cela d'installer le composant Windows \"Gestionnaire de Licences Terminal Server\". Une fois installé, dans les Outils d'Administration, lancez le gestionnaire de licences TSE. Il faudra activer le serveur, puis installer les TSCAL que vous aurez acheté. A noter que si vos serveurs Metaframe sont sous Windows 2003, il vous faudra impérativement un serveur de licences TSE sous Win2003.
* Serveur de licences Citrix : pour accueillir ce serveur de licences, il vous faudra IIS installé sur un serveur. Installez le serveur de licences Citrix. Il faudra ensuite vous connecter à votre compte MyCitrix.com, afin d'obtenir le fichier de licences à télécharger sur votre serveur de licences. ATTENTION : il faudra impérativement que le nom de machine que vous donnez lors de la génération du fichier de licence soit parfaitement identique au nom de la machine accueillant le serveur de licences. Attention à la casse !!

b. Préparation - Accueillir le magasin de données (Data Store)
Tiens, un nouveau mot ! Pour fonctionner un serveur Metaframe (ou une batterie de serveurs Metaframe) a besoin de ce qu'on appelle un \"Magasin de données\" ou \"Data Store\". Il s'agit en fait d'une base de données qui stocke toutes les informations statiques nécessaires au bon fonctionnement de la batterie : applications publiées, droits d'accès, paramétrages, etc. Autant dire que si vous flinguez cette base et que vous n'avez pas de sauvegarde, vous pouvez tout recommencer à zéro.
Ce DataStore peut être stocké dans une base Access, SQL, Oracle, DB2. Si vous avez un seul serveur metaframe, une base Access suffit amplement. Elle sera créée automatiquement en local sur le serveur Metaframe, lors de l'installation du logiciel. Si vous avez plusieurs serveurs, il est conseilllé d'utiliser une base externalisée (SQL, Oracle, DB2). Il faudra alors créer cette base au préalable, avec des identifiants permettant d'y accéder. Laissez-la vide, Metaframe s'occupera de générer son contenu. Si vous utiliser Oracle ou DB2, il faudra installer le client nécessaire à l'accès à la base avant d'installer Metaframe.

c. Bon allez ! On installe la bestiole !!
Nous y voilà. On va maintenant installer notre serveur Metaframe. Vous allez voir, c'est ultra compliqué. Insérez le CD, lancez l'installation, suivez les instructions, redémarrez, et voilà. Vous avez un serveur Metaframe. Trop dur ! [img]\":D\[/img]
Pendant l'installation, vous choisirez notamment les composants à installer, le type et l'emplacement du DataStore, les sécurités, l'emplacement du serveur de licences, etc.

d. L'installation des logiciels
Maintenant que votre serveur est prêt, il ne reste plus qu'à installer les logiciels que vous allez mettre à disposition. Pour ce point, faites très attention : on n'installe pas un logiciel sur un serveur TSE comme on l'installe sur un poste de travail. Avant toute chose, faites des recherches, et assurez-vous que le logiciel est compatible TSE. Certains ont besoin de procédures particulières ou de scripts de compatibilité.
Pour installer un logiciel, il faut passer en mode d'installation : cela permet à Windows de stocker toutes les variables utilisateur dans une zone spéciale de la base de registre, pour réplication ultérieure dans les comptes des utilisateurs. Pour cela, passez toujours par le Panneau de Configuration / Ajout Suppression de programmes / Ajouter un programme. Vous pouvez également utiliser la commande \"change user /install\". Une fois l'install d'un logiciel faite, repassez en mode d'exécution, soit en validant la fenêtre finale de l'Ajout de programme, soit avec la commande \"change user /execute\", selon ce que vous avez utilisé précédemment. Refaites la même manip pour chacun des logiciels installés. Bien sûr, tout cela est à faire hors production, pendant que personne n'utilise la plateforme.

3. Comment travailler sur une plateforme Metaframe ?

Votre plateforme Citrix Metaframe est maintenant installée, avec tous ses logiciels. Maintenant, reste à faire profiter vos utilisateurs de ce nouveau joujou. Pour y accéder, il faut utiliser un \"Client ICA\" (ICA étant le protocole utilisé par Citrix Metaframe, en comparaison du protocole RDP utilisé pour Terminal Services). Ce client devra être installé sur chacun des postes clients susceptibles d'accéder à la plateforme Metaframe.

a. Les types de clients
Il existe plusieurs types de clients, disponibles pour plus ou moins de systèmes d'exploitation, allant du DOS à Windows, en passant par les Unix, les MAC, les PocketPC, etc. etc. Bref, presque tout...
* Program Neighborhood : c'est le client le plus complet en terme de fonctionnalités et de réglages possibles. Il s'agit d'un programme totalement indépendant, que vous réglez manuellement sur le poste de travail.
* Client Web : pour accéder à Metaframe, vous pouvez aussi passer par une interface Web spécifique appelée \"Web Interface\" (NFuse pour les vieilles versions). Vous pouvez installer cette interface sur un serveur Web IIS. Vous passez ensuite par votre navigateur pour accéder à cette interface et vous authentifier. Les applis disponibles sont alors accessibles par IE. Le client Web peut s'installer automatiquement au travers de l'interface Web.
* Agent Program Neighborhood : c'est un client qui s'installe discrètement dans le Systray du poste client. Il communique avec la Web Interface que vous aurez préalablement paramétré pour mettre à dispo les logiciels directement dans le menu Démarrer du poste client.
Le choix du type de client doit être décidé au plus vite selon vos besoins. Vous comprendrez qu'il est compliqué de déployer 300 clients sur une plateforme, pour se rendre compte après qu'il faut tout recommencer parce qu'on n'a pas fait le bon choix.

b. Déployer les clients
Vous avez plusieurs méthodes pour déployer les clients. Pour le client Web, on peut l'installer directement depuis la Web Interface lorsqu'il le propose.
Sinon, les méthodes sont simple : soit vous installez le client (ou les clients d'ailleurs) voulu manuellement sur chaque poste, soit vous pouvez faire un déploiement des clients par Active Directory ou tout autre méthode de déploiement de fichiers MSI. Pour ça, il suffit de télécharger le client au format MSI sur le site de Citrix.

4. La gestion des imprimantes
Vous avez maintenant une jolie plateforme Metaframe, vos logiciels sont installés, vos clients déployés, et vous commencez à tester le tout. Et d'un seul vous vous dites : \"euh ! comment on fait pour imprimer ??\" Ah ah ! Bonne question que celle là.

Sur un poste de travail classique, vous installez généralement le pilote de l'imprimante à utiliser, et vous déclarez votre imprimante en local (port parallèle, USB ou TCP/IP). L'autre méthode, plus propre quand on a un réseau plus complet, c'est d'avoir un serveur d'impression, et de créer uniquement un lien sur les postes de travail.
Sous une session Metaframe, c'est un peu pareil. Il existe trois méthodes pour gérer et mettre à dispo vos imprimantes. Chaque méthode a ses avantages et inconvénients, et sera à choisir selon votre architecture.

a. Imprimantes locales
C'est une méthode simple : vous déclarez directement toutes vos imprimantes sur le serveur Metaframe, comme si c'était un serveur d'impression (mais vous ne les partagez pas). Idéal pour une petite structure, ou un serveur dédié à un service, cela vous permet de vous passer d'un serveur d'impression annexe. Lorsque les utilisateurs se connecteront, ils auront accès directement à toutes les imprimantes installées/déclarées sur le serveur.

b. Imprimantes réseau
Cette méthode sera plutôt à adopter dès que vous commencez à avoir un peu de monde, et pas mal d'imprimantes. Cela suppose que vous avez un (ou plusieurs) serveur d'impression à côté. Dans la console de gestion Metaframe, vous allez \"importer\" votre serveur d'impression. Vous allez ainsi simplement récupérer la liste des imprimantes définies sur le serveur d'impression. De là, pour chaque imprimante, vous allez pouvoir dire : telle imprimante va à tel groupe d'utilisateurs, telle autre à tel utilisateur, ou encore telle autre va à tout le monde. Il suffit de faire les affectations ainsi. Lorsqu'un utilisateur ouvre une session Metaframe, l'imprimante réseau (ou les imprimantes) qui lui est affectée remonte automatiquement dans sa session. Pour que cela fonctionne, il faut absolument que les drivers des imprimantes soient installés sur le(s) serveur(s) Metaframe. Il faudra que ce soit le même que celui du serveur d'impression.

c. Imprimantes clients
C'est enfin la dernière méthode, très intéressante si vous avez pas mal de psotes de travail sur des sites distants, venant se connecter à vos serveurs Metaframe. La méthode consiste tout simplement à remonter dans la session Metaframe, les imprimantes définies localement sur votre poste de travail. Ca peut être des imprimantes locales (// ou USB), ou des imprimantes réseau. A l'ouverture de session, Metaframe tentera de trouver le même pilote d'impression que celui qui se trouve sur le poste de travail pour gérer correctement l'imprimante. Selon les paramétrages que vous aurez définis, les drivers pourront s'installer automatiquement (déconseillé cependant si vous ne voulez pas polluer votre serveur), ou Metaframe pourra se rabattre sur des drivers compatibles, appelés \"drivers génériques\" (intégrés à l'install de Metaframe). L'avantage de cette méthode de gestion, est que le flux d'impression est encapsulé dans le flux ICA. Cela évite les allers/retours inutiles, en particulier au travers de liens WAN.

d. Déployer les pilotes d'impression
Pour la plupart des méthodes utilisées, il faudra que les pilotes des imprimantes utilisées soient installés sur les serveurs Metaframe. Evidemment, si vous avez 50 serveur Metaframe, je vous vois mal installer manuellement les pilotes sur chaque serveur. Pour cela, la console de gestion metaframe intègre un outil de réplication des pilotes. Il suffit de choisir le serveur de départ, les serveurs cibles, les pilotes à répliquer, et rulez...

e. Choisir ses pilotes d'impression
Dans un environnement TSE/Metaframe, on a vite fait de planter les serveurs à cause d'un mauvais choix de drivers. Certains pilotes ne sont pas du tout adaptés pour fonctionner dans ces environnements, et utilisent énormément de ressources. Chaque fois que vous intégrez une nouvelle imprimante dans votre parc, assurez-vous qu'il y a des pilotes d'impression compatibles TSE. Si ce n'est pas le cas, n'hésitez pas à faire des recherches pour trouver un pilote compatible : par exemple, si vous installez une Deskjet 6840, installez plutôt le pilote de la Deskjet 990c (intégré à Win2003). De même, essayez de regrouper vos imprimantes : par exemple, pour une LaserJet 1320 et une LaserJet 1300, vous pouvez utiliser le même pilote. Moins vous aurez de pilotes différents déployés, moins vous aurez de problèmes.

5. Citrix Secure Gateway - Accéder à votre SI depuis l'extérieur
Tous vos utilisateurs sont contents, vous avez maintenant une belle plateforme centralisée qui ronronne et tout et tout. Maintenant, vous avez des collaborateurs qui souhaitent accéder au SI depuis Internet. Aucun problème, Citrix a tout prévu : Citrix Secure Gateway.
En fait la fonctionnalité Citrix Secure Gateway est une passerelle qui vous permet d'accéder de façon indirect à votre plateforme Metaframe, avec une simple DMZ, ou même une double DMZ. Les méthodes que je vais décrire ici sont des méthodes simplifiées au maximum. Vous pouvez bien entendu faire des architectures plus complexes, plus ou moins sécurisées, avec plus de serveurs. Je ne rentrerai pas non plus dans les détails, il faudra un topic à lui tout seul. Mais ça vous permettra d'avoir une petite intro sur la chose.

a. La Secure Gateway, comment ca marche
Lorsque vous êtes directement sur votre réseau LAN, vous accédez à la plateforme directement à l'aide des clients ICA : le client ICA interroge les serveurs Metaframe par le port 80, puis après obtention des droits d'accès, effectue la connexion à la session ICA au travers du port 1494 ou 2598 (fiabilité de session). Hors de question pour des raisons évidentes de sécurité que votre plateforme Citrix soit directement en frontal de votre connexion Internet. Le but de la Secure Gateway (logiciel gratuit fourni avec Metaframe Presentation Server) est donc de mettre un ou deux serveurs entre Internet et votre plateforme Metaframe.
Une fois votre Secure Gateway installée, les utilisateurs se connectent dessus au moyen d'un simple navigateur web, par une liaison sécurisée SSL. La Secure Gateway, au travers de divers mécanismes (certificats, Secure Ticket, etc.), va tout simplement servir de passerelle intermédiaire. Une fois l'utilisateur correctement reconnu, la liaison entre votre entreprise et le client ne sera alors plus qu'un flux encrypté SSL. Toutes les communications \"en clair\" transiteront entre votre Secure Gateway et vos serveurs Metaframe. Nous allons voir à suivre les différents éléments qui composent cette architecture.

b. Les différents composants
* La Web Interface : Afin de permettre aux utilisateurs de s'identifier, la première chose à installer sur votre serveur en DMZ sera la Web Interface de Citrix. Une fois installée, il faudra modifier les options de celle-ci, afin qu'elle pointe vers votre plateforme Metaframe. Faites déjà un premier test en interne pour vérifier qu'elle fonctionne correctement. En cas de double DMZ, il faudra l'installer sur la DMZ Data.
* La Secure Ticket Authority :  Ce composant Citrix (également fourni gratuitement), sert à valider l'authentification de l'utilisateur. Nous verrons plus loins à quoi il sert. Installez ce composant sur le serveur de la DMZ, ou un serveur interne. En cas de double DMZ, il faudra qu'il soit dans la DMZ Data ou dans le réseau interne.
* Les certificats : comme nous allons travailler en flux SSL, il va falloir certifier tout ça : les serveurs, ainsi que les clients. Vous avez le choix entre acheter des certificats Verisign ou équivalent, ou faire les votre. On va choisir la deuxième solution. Installez un serveur de certificats sur votre serveur en DMZ (ou DMZ Data), et certifiez chacun de vos serveurs Secure Gateway. Générez également un Certificat Root, que vous fournirez aux utilisateurs.
* La Secure Gateway : c'est le composant principal. A installer sur votre serveur en DMZ, ou celui de DMZ Data en cas de double DMZ. Il vous demandera à l'installation, notamment l'adresse de votre serveur Secure Ticket Authority, de votre interface web, ainsi que le certificat serveur à utiliser.
* Le Secure Gateway Proxy : ce composant vous servira si vous utilisez une double DMZ. Il permet en fait de faire un rebond supplémentaire. Installez-le sur votre serveur en DMZ Internet.
* La Web Interface - Le Retour : De là, il faudra retourner dans le paramétrage de la Web Interface, afin de lui indiquer d'une part qu'elle sera utilisée par une Secure Gateway, et d'autre part pour lui donner l'adresse de votre serveur Secure Ticket Authority (STA)

c. Le fonctionnement de la Secure Gateway (simple DMZ)
Une petite explication sur le fonctionnement ne fera pas de mal.
La première étape pour votre utilisateur est d'installer le certificat Root que vous lui aurez donné. Ensuite, il tape l'adresse publique de votre Secure Gateway (SSL 443). De là, le processus commence. La SG va interroger la Web Interface (WI) afin d'obtenir la première page à afficher, avec la demande de login. L'utilisateur s'authentifie. La SG communique ces infos à la WI, qui après interrogation auprès des serveurs Metaframe, va renvoyer la nouvelle page, avec la liste des applications accessibles par l'utilisateur. L'utilisateur clique alors sur l'icône d'une appli à exécuter. L'ordre est transmis à la WI : elle va à nouveau interroger les serveurs Metaframe pour obtenir les infos nécessaires à la connexion. De plus, elle va demander et obtenir un ticket auprès du STA, qui sera inséré dans le fichier ICA. Le fichier ICA est renvoyé au client. Il est alors ouvert et pris en compte par le client ICA Web présent sur le poste client. Le client va donc retourner vers la SG, qui renverra le tout à la WI, qui elle-même vérifiera à nouveau la validité du ticket auprès du STA. La connexion s'établiera alors et la session Citrix s'ouvre.

d. Le fonctionnement de la Secure Gateway (double DMZ)
Le fonctionnement est similaire. La seule différence, c'est qu'entre la Secure Gateway et le client, on insère le Secure Gateway Proxy. Il servira d'intermédiaire entre les deux, afin d'améliorer encore la sécurité.

e. Améliorer la sécurité
Pour améliorer la sécurité de votre Secure Gateway, vous pouvez tout crypter en faisant communiquer les composants entre eux en SSL. De même, vous pouvez renforcer l'authentification en mettant en place une authentification forte de type RSA. Bon après dans ce domaine j'ai jamais fait. Alors débrouillez-vous, vous êtes grands [img]\":D\[/img]

6. Citrix Access Suite 4.0 arrive !!!
La suite logicielle de Citrix en version 3.0 n'existe que depuis quelques mois, que sa version 4.0 pointe déjà le bout de son nez. Voici les principales nouveautés de cette version très prometteuse :

a. Gestion des imprimantes
Jusqu'à maintenant, vous deviez affecter les imprimantes réseaux à des groupes d'utilisateurs par l'option \"Création automatique\". Désormais, tout cela est géré par stratégies Citrix, et donc applicable à d'autres paramètres autres que les utilisateurs (rangs IP, noms des clients, etc.).
D'autre part, tous les paramétrages d'imprimantes clients se gèrent désormais uniquement par stratégies Citrix.

b. Virtualisation d'adresses IP
Si vous utilisez des applications un peu \"sensibles\" qui vérifient votre IP, vous aviez jusqu'à maintenant des problèmes dus au fait que dès que vous lanciez deux instances de l'appli en question, celle-ci vous faisait gentiment remarquer que les deux utilisateurs travaillaient avec la même adresse ? Eh bien désormais c'est fini : la virtualisation des adresses IP vous permet de fournir à l'application une adresse IP virtuelle plutôt que la véritable adresse IP du serveur.

c. Isolation d'applications
Vous allez enfin pouvoir installer toutes les versions de Microsoft Office, de la 97 à la 2003, sans que celles-ci rentrent en conflit. Idem pour des applis nécessitant des paramétrages spécifiques à l'installation (comme Neotrace par exemple). Avec la version 4, on peut désormais isoler totalement les applications pour effectuer des installations multiples d'une même appli, ou empêcher deux applis de se voir entre elles.

d. Ports USB, ActiveSync et Scanners
La version 4 prend désormais en charge la remontée des ports USB. Vous pouvez également désormais installer ActiveSync (pour les PocketPC) sur vos serveurs Metaframe, cela fonctionnera. De même, vous pouvez faire de la redirection TWAIN pour utiliser votre scanner branché en local, au travers d'une session Citrix.

e. Consoles de gestion et Secure Gateway
Désormais, l'administration de la Web Interface et de l'Agent Program Neighborhood se fait entièrement au travers de la Console Access Suite, et non plus au travers de la page Wiadmin habituelle.
Au passage, la Secure Gateway change de nom et devient l'Access Gateway.

7. un nouveau produit : Citrix Access Essentials!!!
Citrix Access Essentials sera à Citrix Metaframe Presentation Server, ce que Windows Server 2003 Small Business est à Windows Server 2003 Standard : une version "tout intégré", spécifique aux petites structures. Plutôt qu'un long discours, voici un copier/coller d'un mail que je viens de recevoir de Citrix sur ce produit  
Une nouvelle offre est disponible chez Citrix : Access Essentials. Spécialement destinée au marché des PME, elle permet d'étendre les possibilités de Terminal Server avec les très performantes fonctionnalités d'accès distant sécurisé Citrix. Facilement mise en place grâce à un assistant d'installation spécifique, la solution Access Essentials propose sur des petites configurations (jusqu'à 75 utilisateurs nommés) la centralisation des applications et l'accès distant pour un prix très modique. Les licences Citrix Access Essentials comprennent en effet pour un prix public de 210 à 250 € par utilisateur nommé, les licences Microsoft CAL TSE et les fonctionnalités puissantes de Citrix. Attention ! Access Essentials est limité et non évolutif.

8. Metaframe Presentation Server 4.5 pointe le bout de son nez
Les principales innovations attendues sur cette nouvelle version :
* Health Monitoring & Recovery %u2013 Monitors the health of many Presentation Server components and reports any failures instantly. If a component fails, it can be configured to trigger an action to the server.
* Configuration logging %u2013 Logs any changes made to the farm to a database and provides reporting capabilities.
* Non-administrator client installation %u2013 Allows end users without administrative rights to install a client.
* SpeedScreen Progressive Display %u2013 Provides an aggressive compression algorithm for graphic-intensive applications, through a connection policy, to improve the performance and responsiveness of these applications.  
* Active Directory Federation Services (ADFS) support %u2013 Extends the value of Microsoft%u2019s Active Directory and Identity Federation technology by allowing Presentation Server-hosted applications to participate in federation trusts. Without Citrix, ADFS can only be used with Web Applications.
* Application streaming %u2013 Provides applications to be packaged and delivered to Presentation Server without having to install them in every server.

Lien vers Forum Citrix sur cette nouvelle version : http://forum-citrix.com/index.php/topic,785.0.html

Installation des logiciels
Vous trouverez ici des méthodes d'installation pour les logiciels que vous déploierez sur votre plateforme Metaframe.

Microsoft Office 97/2000
Vous ne pourrez pas installer MS Office 97 ou 2000 directement, sans avoir de problèmes. Vous devrez pour cela préparer un fichier de transformation (fichier .MST), spécifique. Pour ce faire, téléchargez et installez le Resource Kit pour Office 2000 (ORKTOOLS - gratuit). Vous trouverez avec, une fois installé, un fichier TERMSRV.MST. Je vous conseille d'utiliser l'outil "Custom Installation Wizard" du resource kit. Lorsqu'il vous demande un fichier MST de départ, sélectionnez le fichier TERMSRV.MST. Puis suivez les instructions. Retirez les composants dont vous ne voudrez pas, mais ne rajoutez surtout pas ceux qui sont désélectionnés par défaut. Enregistrer votre fichier MST sous le nom METAFRAME.MST par exemple. Il ne reste plus qu'à installer Office en utilisant la commande suivante :
D:\Install.exe TRANSFORMS="C:\nimportequeldossier\METAFRAME.MST" /qb+
Pour ajouter ou supprimer des composants sur une install déjà effectuée : c'est ici...

Microsoft Office XP/2003
Contrairement aux versions précédentes, pas besoin de fichier de transformation. Vous pouvez lancer l'installation directement. Le logiciel d'install détectera tout seul que c'est un serveur TSE. Rien ne vous empêche bien entendu de faire des fichiers de transformation pour choisir les composants à installer.
Pour ajouter ou supprimer des composants sur une install déjà effectuée : c'est ici...

Adobe Acrobat
Quoi de mieux pour générer de beaux fichiers PDF me direz-vous ? Adobe Acrobat ? Eh bien si c'est pour mettre sur un serveur TSE/Citrix, et que vous voulez éviter les migraines, oubliez tout de suite. Je peux vous dire que c'est la croix et la banière, et qu'il vaut mieux passer au point suivant.
NB: Acrobat Reader en revanche, fonctionne très bien...

eDocPrinter PDF Pro Terminal Server Edition
Si vous voulez générer du PDF, je ne saurais trop que vous conseiller ce logiciel : http://www.iteksoft.com/.
Il est spécialement adapté pour tourner sur des serveurs TSE. Il crée tout simplement une imprimante PDF en local sur le serveur. A noter que si vos serveurs n'ont pas de port LTP, il faudra modifier les propriétés de cette imprimante PDF, pour la faire pointer sur le port COM1. Vous verrez ce que je veux dire si vous l'utilisez.

PDF Creator
Bonne nouvelle pour ceux qui sont prêts de leurs sous. Les dernières version de PDF Creator sont compatibles TSE/Citrix.

Firefox
Je n'ai jamais testé, mais il n'y a pas de raison que ça ne fonctionne pas.
Un petit topic sur le forum pour sa gestion : La gestion des updates de Firefox en entreprise

Améliorer la sécurité de votre plateforme
 
Il va falloir se mettre aux GPO !
Soyons clair, les utilisateurs se croient toujours plus malins que vous et vont toujours tenter de trouver des parades pour vous mettre le bazar. Il est donc impératif de mettre en place un maximum de GPO pour sécuriser vos serveurs.  
Dans Active Directory, faites-vous une OU spéciale dans laquelle vous placerez les comptes de vos serveurs Metaframe. Mettez vos stratégies Ordinateur sur cette OU, et faites également des stratégies Utilisateur, toujours sur cette OU. Activez enfin la stratégie Ordinateur / Modèles d'administration / Système / Stratégie de groupe / Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur. Avec cette stratégie, vos GPO Utilisateur s'appliqueront aux utilisateurs lorsqu'ils sont sous une session Metaframe.
 
Les utilisateurs arrivent à accéder au bureau du serveur, même en mode Publication d'applications
Vous avez passé du temps à faire de la publication d'applications pour empêcher les utilisateurs d'aller sur le bureau, mais il y arrivent quand même ? C'est rageant hein !  
Si ils y arrivent, c'est parce qu'ils parviennent à exécuter le programme EXPLORER.EXE. A suivre plusieurs méthodes qu'ils peuvent utiliser, et leur paliatif :
* Ouvrir le gestionnaire des tâches, et utiliser la commande Fichier/Exécuter/Explorer.exe : une simple GPO suffit pour empêcher cela : Config Utilisateur/Modèles d'administration/Menu Démarrer et Barre des tâches/Supprimer le menu Exécuter du menu Démarrer.
* Un clic droit sur un dossier, et un clic sur Explorer et paf le bureau apparaît : ce sont les liens OLE des dossiers qui provoquent cela. Explorer.exe est automatiquement appelé. Le paliatif consiste à rediriger ces requêtes vers une copie de EXPLORER.EXE que vous aurez faite dans un autre dossier, et que vous aurez renommé (par exemple : C:\Pubexplore\fileman.exe). Modifier la base de registre :
- supprimer la clé HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec
- supprimer la clé HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec
- modifier dans la clé HKEY_CLASSES_ROOT\Folder\shell\explore\command la valeur "@=%SystemRoot%\Explorer.exe /idlist,%I,%L" par "@=C:\Pubexplore\fileman.exe /idlist,%I,%L"
- modifier dans la clé HKEY_CLASSES_ROOT\Folder\shell\open\command la valeur "@=%SystemRoot%\Explorer.exe /idlist,%I,%L" par "@=C:\Pubexplore\fileman.exe /idlist,%I,%L"
* Un magnifique fichier BAT, et zou il lance l'explorer.exe sans ménagement : contre ça, pas de pitié. Votre seule porte de salut est de modifier les droits NTFS du fichier C:\Windows\explorer.exe. Soit manuellement, soit pas GPO, retirer les droits d'exécution du fichier aux utilisateurs. Ne les retirez pas aux administrateurs bien évidemment. Conservez les droits en lecture cependant, pour éviter les bugs d'affichage avec certaines icônes.
 
Masquer les lecteurs locaux
Pour masquer les lecteurs locaux de vos serveurs et vous assurer qu'ils ne verront que les lecteurs que vous voulez bien, un petit outil indispensable : Hidecalc. Que vous trouverez ici par exemple : http://www.dabcc.com/DABCC/WebAppl [...] intFile=20
Ce petit outil vous permet de choisir facilement les lecteurs à masquer. Une fois validé, il vous génère un fichier ADM (ou un fichier REG, au choix), que vous pouvez facilement intégrer à vos GPO.
 
 
 
 
 
Les bugs fréquemment rencontrés
 
L'utilisateur doit supporter un horrible BIP chaque fois qu'un message s'affiche
Rien de plus horripilant qu'un gros BIP du speaker de votre PC lorsque Word ou Excel pour invite à enregistrer votre travail quand vous le fermez. Alors pour vous en débarasser, si vous être sous Windows 2003 SP1, voici un petit patch : http://support.microsoft.com/?scid [...] &x=13&y=12

Optimiservotre plateforme
 
Windows Server 2003 SP1 et la Prévention d'Exécution des Données (DEP)
Avec le SP1 de Windows Server 2003, à l'instar du SP2 de Windows XP, introduit une nouvelle technologie : le DEP (Prévention d'Exécution des Données). Dans la théorie, cette technologie permet de stabiliser une machine en bloquant les applications effectuant des opérations non conformes dans la mémoire vive. Dans la pratique, si vous avez des applicatons non validées pour cette technologie (i.e. toutes les applications ayant plus de 2 ans en gros ), vous pouvez être certains que vous allez avoir du plantage à tire-larigot. Pour désactivez cette fonctonnalité, éditez le fichier BOOT.INI de votre serveur (ou vos serveurs), et remplacez le /NoExecute=OptIn par /Execute
 
L'ouverture de session Citrix bloque pendant 20 secondes sur Application de vos paramètres personnels
C'est dû à un bug dans le fichier NTLANMAN.DLL de Windows Server 2003 SP1 (et pareil sous Windows XP SP2). Ce sera corrigé dans le prochain Service Pack. Pour ceux qui sont impatients comme moi, allez voir cette page, et demandez à Microsoft de vous faire parvenir le correctif qui va bien : Correctif KB899409
 
 
Liens utiles
 
Définition du cycle de vie des produits Citrix
Matrice de cycle de vie des produits Citrix
Comparatif de caractéristiques des différentes versions de Metaframe (PDF)
Drivers et Imprimantes HP validés TSE/Citrix
 
Citrix Access Gateway 4.1 - FAQ (CTX107179)
Citrix Access Gateway - Administrator's guide (PDF)
 
Presentation Server 4.0 Migration Guide

Pour l'histoire des TSCAL, il me semble que c'est vrai dans le cas d'un serveur 2003. Si le serveur de licences est sur un 2000 ainsi que citrix... les licences perso types XP pro suffisent.
 
Il me semble, hein

 
Merci beaucoup  

C'est vrai...j'ai oublié de le préciser C'est corrigé dans le chapitre Licences  

En gros, pour les licences, faut avoir un serveur 2000  

 
 
En gros, oui, il ne faut pas jeter son vieux serveur 2000 de suite, il peut servir
 
N'empeche, qu'est-ce que c'est lourd ces systèmes de licences.

Moi j'ai une petite question idiote.
 
Quand un nouveau client se connecte, son imprimante est "montée" sur le serveur citrix et se retrouve dispo pour tous les autres clients. Comment faire pour restreindre les imprimantes dispos pour chaque client ?
 

C'est pas possible. Seuls les administrateurs voient les imprimantes client des autres utilisateurs. Es-tu que tes utilisateurs ne sont pas admins du serveur ?

 
 
Damnaid, ils sont bien utilisateurs du domaine dans l'AD...mais j'ai un rôle qui traine sur le citrix, merci

Mmmm... j'ai toujours ce problème. Ils sont juste utilisateurs du domaine...et remontent toutes les imprimantes des connectés à Citrix. Une idée ?
 
Up au passage pour ce bô topic

Quelle version de Windows ? Quelle version de metaframe ? Tu es sûr qu'ils ne sont pas admin locaux des serveurs Metaframe (sait-on jamais) ?

J'ai mis à jour le topic avec un chapître sur la gestion des imprimantes. Idem dans les logiciels, j'ai rajouté deux petits points.

euh... tu ne voudrais pas nous faire une partie sur la mise en place d'un serv citrix sur une dmz ?  
 
up

Y'a qu à demander...

merci.
 
Aie ! mon FR2 est juste derrière le router/fw sur  le 1494

Pas terrible niveau sécurité.

flag

 
 
Yep. C'est quasi le seul port d'ouvert sur mon fwall.
 
secure gateway existe avec la fr2 ?

Je pense que oui. Sinon, il doit être téléchargeable sur ton compte MyCitrix.

Oki, merci

bravo pour le taff sur citrix Wolfman, j'ai appris des trucs
 
sinon petite précision, avec Windows XP, la licence TSE n'est plus "offerte" depuis une certaine date, année dernière il me semble
 
Bravo pour la citation de l'application de stratégie par boucle de rappel, c'est très utile, et m'a sauvé la vie ... dire que le mcse qui nous a fait la migration nt -> 2000 de nos citrix ne connaissait pas cette fonction et nous a pondu des profils en lecture seule
 
Aussi, pour les utilisateurs d'anciennes versions, faut faire gaffe aux compatibilité avec les OS (et Service Packs!).

La CAL TSE n'est plus offerte avec XP ?? Tu as un lien là-dessus ?

La date correspond à la celle de la sortie de windows serveur 2003, le 24 avril 2003. Les conditions d'octroi des CAL ont changé avec la sortie de 2003...
 
http://support.microsoft.com/?id=823313  :
 

 
de la doc :
 
http://www.microsoft.com/windowsse [...] letter.pdf
http://www.microsoft.com/france/wi [...] ws2003.asp
 

Oui donc c'est bien ce que je dis dans mon topic : pour Win2000 pas besoin de TSCAL, par contre, pour Win2003, il faut systématiquement des TSCAL.

etonnant ! , dès qu'on travaille de maniere un peu fouillé sur les GPOs, celle ci devient vite incontournable tellement elle est utile.
 
pour les CAL TSE avec un serveur 2003, c'est achat obligatoire ... sauf si on a acheté son XP Pro (ça marche pas pour 2k    ) avant le 24 avril 2003.
 
edit : même si j'utilise pas citrix, merci à Wolfman pour ce boulot de synthese  

 
 
pas systématiquement, si tes licences de Xp ont été achetées avant la date, tu as la TSCAL incluse, non ?

A priori oui. Maintenant, le problème est de savoir comment les déclarer.

Je me demande si le SP2 d'XP ne modifie pas des choses (restriction) à ce niveau là...

 
c'est la date d'achat de la licence XP pro qui fait fois pour obtenir la cal tse, le sp2 n'a rien à voir je pense

En passant par le "bureau virtuel" j'ai des clients qui ne passent pas par [fermer la session] pour quitter leur session ica, et restent donc de manière infinie au statut 'Disconnected' dans la console de gestion de serveur citrix. Actuellement, je fais des reset à la mano.... il y a moyen de definir un délai de "maintien de la session" ?

Dans les GPO sur les Services Terminal Server, tu as des stratégies sur le temps de déconnexion des sessions : tu peux alors lui dire de fermer automatiquement une session déconnectée au bout de x minutes (ou x heures).

Argh... le truc c'est que mon serveur est sous windows 2000, je ne crois pas qu'il y ait ce type de policies

 
 
si si çà y est
 
ou alors tu peux faire çà en dur sur le serveur via la configuration des connexions ica

 
 
Dqns les GPO ?
 
A quel niveau siouplé ? Je suppose que c'est dans les param users ?

Non. C'est dans les paramètres Ordinateurs. A appliquer donc sur tes serveurs Citrix.

Bonjour,
 
J'ai quelques questions sur Citrix Access Suite 4.0, la nouvelle version de Citrix.
 
Pour ceux qui connaissent:
 
1) Advanced Access Control Option (nouveau Metaframe Secure Access Manager - MSAM)
nécessite t-il d'avoir Presentation Server d'installé ou peut-il fonctionner juste avec la Citrix Access Gateway (nouvelle boite incluant Citrix Secure Gateway (CSG)). Pour par exemple, utiliser cette configuration pour partager des documents via le portail web. Donc la question est, est ce qu'il faut quand meme du Presentation Server derrière ?
 
2) Pour accéder en VPN avec le nouveau boitier Citrix Access Gateway (CAG) qu'est ce que le client doit installer comme client, et est ce qu'il a quelques choses à installer ? J'ai entendu parlé de Secure Access, mais l'installation est-elle automatique via le Web ?
 
3) Le serveur avec Advanced Acces Control Option (anciennement MSAM) analyse le poste distant pour déterminer son niveau de dangerosité, quand est-il du dimensionnement de ce serveur ? combien de connexion peut il supporter en meme temps ?
 
 
Merci de vos réponses.  

 
1) En principe, comme pour MSAM, non. Tu peux tout à fait utiliser d'autres modules que l'accès à Presentation Server. Bien entendu, la Citrix Access Gateway ne sert alors à rien, puisque cette dernière nécessite MPS.
 
2) Si c'est comme avec le système logiciel, un simple client Web ICA suffit. Sachant que la Web Interface qui se trouve derrière l'Access Gateway peut délivrer ce client...eh bien tu le faire en automatique.
 
3) Alors là par contre, niveau dimensionnement, je ne saurais pas te dire. Je n'en ai jamais mis en place.