Geschrieben von Thomas Koetzing am Montag, 14 August 2006
Mit der Veröffentlichung des "early relase" (März 2005) von Citrix Presentation Server 4.0 und der Komponente Secure Gateway 3.0 unterstützt Citrix die Sitzungszuverlässlichkeit durch das Secure Gateway 3.0 Meiner Meinung nach eines der Highlights in der Access Suite 4.0 Wer das Secure Gateway (SG) Administrator Handbuch liest wird feststellen, dass dieses Feature nur mit Presentation Server 4.0 unterstützt wird.
In diesem Artikel werde ich erklären, wie die Sitzungszuverlässlichkeit durch Secure Gateway 3.0 mit einer Presentation Server 3.0 Farm bzw. Server funktioniert.
Sitzungszuverlässlichkeit durch Secure Gateway verstehen Die erste wichtige Tatsache ist, dass die Sitzungszuverlässlichkeit durch das Gateway nur mit der neuen Secure Ticket Authority (STA) 4.0 funktioniert. Nächster Fakt ist, dass Citrix die STA in den Citrix XML Dienst integriert hat und dieser wird standardmäßig auf jedem Citrix Server installiert. Die STA benötigt nur ein absolutes Minimum an Server Ressourcen und ist daher kein Problem für den Presentstion Server. Der Vorteil dabei ist, dass kein zusätzlicher IIS Server (tatsächlich ist der XML Dienst eine Art mini Webserver) mehr benötigt wird.
Die Frage ist, was wurde an der STA verändert und warum ist es für die Sitzungszuverlässlichkeit so wichtig? Die Antwort ist, dass die STA 4.0 eine neue Ticket Variante ausgeben kann und genau diese ist für die Sitzungszuverlässlichkeit durch das Gateway notwendig. Die neue Variante heißt "Gateway Transversal Ticket v4" oder Erneuerbares Ticket (refreshable ticket). Das Ticket der Version 4.0 wird nur durch das Secure Gateway angefordert und nur nach der initialen Verbindung bzw. nach einem Wiederverbinden. Das Erneuerbare Ticket, angefragt durch Secure Gateway, wird sofort zum lokalen Client gesendet und dort im Arbeitsspeicher abgelegt. Im Falle des Wiederverbinden durch das Gateway wird das am Client abgelegte Ticket verwendet.
Normalerweise ist ein Ticket zeitlich begrenzt aber das Secure Gateway sendet alle 5 Minuten eine Ticket Erneuerung für jede noch aktive Verbindung zu der Ticket Authority. Existiert keine Verbindung für ein Ticket, so fordert das Gateway keine Erneuerung des Tickets mehr an. Es ist zu beachten, dass 5 Minuten nicht die maximale Auszeit für ein Wiederverbinden ist, da die Standard Einstellung für die Sitzungszuverlässlichkeit 3 Minuten beträgt. Sollten aber diese 3 Minuten auf z.B. 6 Minuten erhöht worden sein, so beträgt das Maximum nur 5 Minuten durch das Secure Gateway. Für weitere Details ist das CSG 3 Troubleshooting guide sehr empfehlenswert.
Secure Ticket Authority 4.0 Wie zuvor erwähnt ist die STA 4.0 zwingend notwendig aber mit Presentation Server 4.0 fest in dem XML Dienst integriert. Es gibt keine Installationsroutine nur für die STA 4.0 und daher ist ein Presentation Server 4.0 notwendig. MetaFrame Presentation Server 3.0 unterstützt die Sitzungszuverlässlichkeit. Aber ohne STA 4.0 funktioniert die Sitzungszuverlässlichkeit nicht durch das Secure Gateway 3.0. Zum Anfang gefiel mir dies nicht und ich suchte nach einen Weg die STA 4.0 als einzelnen Dienst nutzen zu können. Schnell fand ich eine Lösung und dieser "Workaround" läuft schon in vielen Installationen.
STA 4.0 als Dienst Die Lösung für das Problem ist sehr einfach. Wird Presentation Server 4.0 auf einem Server mit aktiven IIS installiert, dann verwendet Citrix ISAPI Filter, um den XML Port 80 gemeinsam mit dem IIS nutzen zu können. XML und STA 4.0 bestehen hierbei aus unterschiedlichen ISAPI dll’s. Wird nun wieder ein extra IIS Server verwendet, so können die STA 4.0 ISAPI Dateien vom IIS genutzt werden.
Wie werden die STA 4.0 ISAPI Filter Dateien verwendet? Als erstes wird eine "alte" STA Version auf dem IIS installiert und danach die existierenden STA dll’s durch die dll`s der Version 4.0 (incl. Unterverzeichnisse) ersetzt. Danach wird die STA Konfiguration erneut durchlaufen, um die neue STA ID zu verwenden und den IIS neu zu starten. Abschließend wird auch die Secure Gateway Konfiguration verwendet, um ebenfalls die STA ID einzutragen. Fertig, STA 4.0 als unabhängiger Dienst mit IIS.
Benötigte STA 4.0 Dateien: CtxSta.config, ctxxmlss.txt, ctxsta.dll plus dem Verzeichnis, wobei <language> gleich DE, EN etc. zu setzen ist und die Datei resource\<language>\ctxstaui.dll
Supported duch Citrix? Die Verwendung der ISAPI Filter auf einem nicht Presentation Server 4.0 ist nicht Supported bzw. man bewegt sich im grauen Bereich. Sollte es mit dieser Implementation Probleme geben, dann sollte dem Citrix Technischem Support gesagt werden, dass auf einem Presentation Server 4.0 IIS und XML geteilt wurde und das ist eine supportete Installation. Siehe auch Citrix Artikel:
Der Vorteil von Sitzungszuverlässlichkeit durch das Gateway 3.0 Da es die Sitzungszuverlässlichkeit bereits seit MetaFrame Presentation Server 3.0 gibt, kennen die meisten die Vorteile. Nun geht es auch durch das Secure Gateway. Und was ist jetzt der Vorteil? Neben der Tatsache, dass Clients automatisch und ohne neue Autentifizierung Wiederverbunden werden, besteht ein besonderer Benefit mit Secure Gateway Server im Load-balancing. Um das Verhalten in solchen Umgebungen zu zeigen, habe ich eine Flash Demo erstellt.
Zuerst ein Blick auf die Umgebung. In der DMZ sind zwei WI/CSG Server, die im Netzwerk Lastenausgleich konfiguriert sind. Clients verbinden sich zum FQDN der virtuellen NLB IP Adresse. In der Demo fällt ein SG/WI Server aus, indem einfach die Netzwerkkarte, die für das NLB konfiguriert wurde, deaktiviert wird. (Jeder SG/WI Server hat zwei Netzwerkkarten, eine für’s Management und die zweite für NLB).
Was passiert in der Flash Demo? Ich habe eine aktive ICA Verbindung durch das CSG 01 und in dieser Desktop Verbindung habe ich zwei RDP Sitzungen geöffnet; zu jedem Secure Gateway eine (über die Management Netzwerkkarte). Dann deaktiviere ich die NLB Netzwerkkarte von CSG 01, welche meine derzeitige ICA Sitzung verwaltet. Das führt dazu, dass meine aktive ICA Sitzung getrennt wird.
Bedingt durch die Sitzungszuverlässlichkeit und der aktiven STA wird meine ICA Sitzung sofort über das zweite Secure Gateway wieder verbunden. Man beachte, dass selbst Citrix nicht weiß, wie die Sitzungszuverlässlichkeit in unterschiedlichen Fehler Szenarien reagiert. Deshalb empfehle ich hier: "Selber testen!"
Kommentar(e)
