Citrix Web Interface Einstellungen die Standard sein sollten!
Geschrieben von Thomas Koetzing am Montag, 20 Juli 2009 | Artikel Editor:
Citrix Web Interface existiert seit mehr als 10 Jahren aber noch immer gibt es Einstellungen, die nicht als Standard sind aber es sein sollten. Ich hatte kürzlich ein Gespräch mit dem Lead Architekt von Web Interface und er fragte mich zu Standardeinstellungen für Web Interface. Dieser Artikel beschreibt Einstellungen, die meines Erachtens Standard sein sollten und ich erkläre auch warum.
Sie sind nicht meiner Meinung oder möchten etwas ergänzen? Dann schreiben Sie mir bitte ihren Kommentar.
XML Broker Load Balancing oder Failover
Web Interface Standard für "XML Broker" ist Load Balancing. Mit dieser Einstellung verwendet Web Interface alle verfügbaren XML Broker und geht von einem Server zum nächsten. Viele Administratoren nehmen einfach alle XML Broker in die Liste auf, die sie nur finden können.
Load Balancing für XML Broker ist der Standard. Alle Server werden verwendet.
Problem mit Load Balancing
Sollte ein XML Broker Probleme haben (Korrupter Local Host Cache, XML Dienst Fehler) dann gibt es für Benutzer scheinbar wahllos Fehler in Web Interface (keine Anwendungen, weiße Seite usw.) In diesem Fall kann es schwer werden genau den Server mit dem Problem zu finden. Probleme mit XML Broker sind aber häufig und diese Tatsache ist Administratoren oft nicht bewusst.
Standard FAILOVER
Die Failover Einstellung verwendet nur den ersten Server in der Liste und nur wenn dieser nicht antwortet, wechselt Web Interface zum nächsten XML Broker in der Liste. Der erste Server in der Liste sollte der Citrix Datensammelpunkt (DataCollector) sein, da dieser die aktuellsten Daten vorhält. Der zweite und evtl. dritte XML Broker sollten die höchst päferierten Server der Zone sein, die als nächstes Datensammelpunkt werden. Durch die Failover Einstellung verwendet damit Web Interface immer den Datensammelpunkt und damit immer die aktuellsten Daten für veröffentlichte Anwendungen.
Der XML Dienst ist "leicht" mit Blick auf Performance und daher nicht kritisch für den Datensammelpunkt. In Enterprise Umgebungen wird der Datensammelpunkt ausschließlich für den XML Datenverkehr verwendet und stellt keine Anwendung bereit.
Standard Failover mit Datensammelpunkt (DataCollector) als erster in der Liste.
Standard STA Failover
Beim Einsatz von Citrix Gateway (Secure oder Access) sollten die gleichen STA Server wie bei den XML Broker verwenden werden und ebenso im Failover und nicht Load Balancing. Hierbei ist es nicht so kritisch wie bei den XML Broker aber die Liste sollte klein sein, da es bei der Fehlerbehebung hilft. Sehr wichtig ist aber, dass die gleichen STA Server in Web Interface und Citrix Gateway verwendet werden.
Sicherstellen, dass Web Interface und Gateway dieselben STA Server verwenden.
Java Client Packete
Der Citrix Java Client wird oft für den externen Zugriff und als "Client-less" Lösung verwendet. Um den Java Client für den Download klein zu halten können Administratoren die Java Pakete vordefinieren. Citrix hat einige Pakete als Standard gesetzt, welche aber wirklich nicht als Standard definiert sein sollten.
Haben Sie jemals die Java UI gesehen? Verwenden Sie eine höhere ICA Verschlüsselung als Basis? Erlauben Sie nicht die Zwischenablage?
Standard's für Java Client Pakete. Sehr selten verwendet ICA Verschlüsselung.
Standard Java Pakete
Nochmal, der Java Client wird häufig für den externen Zugriff verwendet was bedeutet gesichert durch SSL/TLS. Das Lokale Text Echo hilft bei langsamen Verbindungen, was typisch bei externen Zugriffen ist. Es kommt selten vor das die Zwischenablage,um einfachen Text zu kopieren, nicht erlaubt ist. Auch die Pakete für Laufwerke und Drucker sollten Standard sein, da diese oft genutzt werden und zudem über Citrix Richtlinien eingeschränkt werden können.
Zwischenablage, SSL/TLS, Lokales Text Echo, Client Laufwerke und Drucker sollten als Standard vordefiniert sein.
Sooket Pooling
Die Sooket Pooling Funktion ist hauptsächlich gut bei der Verwendung von SSL zwischen Web Interface und den XML Brokern. Ohne SSL sind die übertragenen Daten im XML Format immer noch sicher nicht hoch sicher aber die Anmeldedaten sind "gemischt". Viele Firmen beschäftigen sich erst nicht mit Zertifikaten und SSL Relay und verwenden einfach den Port 80 für den XML Dienst.
Wird SSL nicht verwendet, dann kann das aktivierte Sooket Pooling sogar einen negativen Effekt auf XML Datenabfrage haben. Daher sollte Sooket Pooling als Standard deaktiviert sein.
Standard, Sooket Pooling ist aktiv aber nur gut wenn SSL zwischen WI und XML Broker verwendet wird.
Zusammenfassung
Failover sollte Standard für XML Broker und STA Server sein. Besonders die Server für die XML Broker sollten der Datensammelpunkt und die höchst präferierten Server der Zone sein. Dies hilft bei der Fehlerbehebung und stellt sicher, dass Web Interface immer die aktuellsten Daten der Farm verwendet.
Der Citrix Java Client wird oft für den externen Zugang verwendet und sollte daher als Standard die Pakete SSL/TLS, Lokales Text Echo, Zwischenablage sowie Laufwerke und Drucker haben.
Sooket Pooling hilft nur beim Einsatz von SSL zwischen Web Interface und XML Broker wird aber ehr selten verwendet. Daher sollte das Sooket Pooling als Standard deaktiviert sein.
Als Anmerkung: Die Verwendung von XML DNS Auflösung ist unter Umständen keine gute Idee und sollte nur aktiviert werden wenn es wirklich zwingend notwendig ist und besonders, wenn mehrere XenApp Farmen im selben Web Interface verwendet werden.
Die genannten Änderungen sollten durch das Web Interface Entwickler Team als Standards gesetzt werden und sollte für einige Umgebungen bereits hilfreich sein.
Kommentar(e)
nitro Geschrieben von Guest am 2009-07-20 16:52:52In the new WI version, the "Refresh" icon/button is not enabled by default...that is one of my pet peeves. I think it should be available by default as well...great feature when you're publishing apps and need to ping the XML Broker for any new apps on the fly.l
Keep it coming! Geschrieben von andrewin am 2009-07-21 00:24:22Thanks Thomas; some of these aren't areas I would have thought about, so it's great to have people pointing out our blindspots.
BTW the DNS setting in WI by itself won't cause XenApp to return DNS addresses - there is another DNS flag in the farm and server properties that controls whether the DNS flag from WI is honoured. So we flipped the default in WI to essentially take it out of the picture.
I must admit I keep getting caught out by the missing Refresh link too - not sure why it was removed.
Cheers, AndrewI (WI architect)
Keep it coming! Geschrieben von Thomas Koetzing am 2009-07-21 09:12:09Hi Andrew
>DNS flag in the farm and server properties That's the one I was talking about ;-)
>missing Refresh link too - not sure why >it was removed. It's not removed but disabled by default and many don't realize that it can be simply enabled.
Thomas
Java Defaults Geschrieben von Andrew am 2009-07-21 18:28:57I disagree with your Java client recommendation to include drive mapping and clipboard by default. The Java client is more often used in highly secured external access scenarios or from untrusted external PC's (Internet cafes etc). Sure you can control via Citrix policy but more often than not Java connections do not use these features for security purposes. When connecting from external trusted (or at least user's home PC's) then the client is more likely to be a Win32 variant, not Java. Also, you CAN transfer files (up to about 2mb in size) using just the clipboard mapping feature, not just text as you mention. This is commonly overlooked and clipboard mapping is seen as 'safe' which is incorrect. Thanks.
Java Defaults Geschrieben von Thomas Koetzing am 2009-07-21 18:27:50Default should be for MOST customers and HIGH security as you say is probably only 5-20% of those who are using the Java Client and have an issue with the clipboard. Most custmer just want to have a working clientless access and restrict things with the Citrix policy whitch makes things more flexible.
Something else: AGWISO Geschrieben von IgnasR am 2009-07-22 17:23:28Why is the AGWISO code not part of the standard WI code? The WI and CAG are both products from Citrix for some time now, you would expect that SSO from the CAG to the WI is a common scenario that would be supported by default
Something else: AGWISO - Use AG 4.6!!! Geschrieben von Thomas Koetzing am 2009-07-22 17:59:22>Why is the AGWISO code not >part of the standard WI code? Since AG Version 4.6 NO code change is needed anymore!!! So it is supported by default.
Default ICA settings Geschrieben von Guest am 2009-07-24 03:39:01Some template ICA file settings would benefit from review too. One in particular that has hurt me is the ProxyUseFQDN setting tha gets reset to off when you do a Web Interface upgrade.
Why wouldn't you always leave it ON ?
Default ICA settings Geschrieben von Thomas Koetzing am 2009-07-24 09:58:50>Why wouldn't you always leave it ON ? Because it manly depends on how a proxy server is configured. Most custerms can work with "off" and only some require "on". Somethimes it can be both at the same time and tricky to do with WI, read more http://support.citrix.com/article/ctx104716
ProxyUseFQDN Geschrieben von Francesco Dipietromaria am 2009-08-25 13:32:43Since XenApp Plugin version 11 the behaviour of the ProxyUSEFQDN has changed: please have a look at http://support.citrix.com/article/CTX116697 [#177622]
Francesco Dipietromaria http://www.dpmworld.net
PS 4 and PS4.5 - WI and Access gateway Geschrieben von Guest am 2010-02-01 08:41:56I found this article very helpfull but could someone shed some light on: If i have 2 PS4 servers added as STA in my Gatway Applince and have ONLY 4.5 servers in WI>ManageServerFarm>ServerList(failover order), it doesnt connect user session if the published resource is on PS4 server. It works fine if the published resource is on 4.5 server. STA and Farm management servers are NOT ZDC. I have tried adding 4.5 servers as STAs to access gateway but it doesnt work at all after making this change. WI is running 5.1.1. Any ideas will be highly appreciated. Thanks Naz
PS 4 and PS4.5 - WI and Access gateway Geschrieben von Thomas Koetzing am 2010-02-01 08:49:28Ask questions not related to the article in the forum, thanks.
Kommentar(e)
