Vorstellung und Bewertung neuer Technologien 18. MultiUser Techgroup – Veranstaltung NetScaler 10.5 / 11.0 - erster Überblick - Vorstellung und Bewertung neuer Technologien - Infrastruktur - Wolfgang Ruttscheidt info@ruttscheidt.de www.ruttscheidt.de 0172/9515591
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
4 Plattformen MPX: Physical Netscaler Appliance VPX: Virtual Netscaler Appliance für VMware ESX, Microsoft Hyper-V und XenServer SDX: Advanced Hardware basierender Citrix Hypervisor -> Netscaler VPX Instances auf einer einzigen Hardware Appliance Cloud: AWS and Azure 18.09.2018 18. MUTG
Platinum Enterprise Standard Maintenance Bronze, Silber, Gold Editionen Platinum Enterprise Standard Maintenance Bronze, Silber, Gold 18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
Access Layer – Appliance Options Multi-function appliance (secure access, load-balancing, acceleration) Highest capacity (10,000+ users per appliance) Most reliable hardware Ideal for business continuity across multiple datacenters NetScaler SDX 88xx or higher NetScaler Gateway MPX Designed for secure access High capacity (5,000 users per appliance) Upgradable to NetScaler for additional functionality Virtual appliance with same functionality as NG MPX Designed to upgrade Secure Gateway Capacity for medium-size deployments (500 users per appliance) Available for Citrix XenServer, VmWare ESX, Microsoft HyperV hypervisors Citrix NetScaler Gateway VPX NetScaler Gateway VPX 18.09.2018 18. MUTG
NetScaler - Hardware Citrix NetScaler MPX 5500 18.09.2018 18. MUTG
18.09.2018 18. MUTG
VPX 10 MB bis 3 GB 18.09.2018 18. MUTG
MPX Hardware - 500 MB bis 120 GB 18.09.2018 18. MUTG
SDX Hardware + virtuelle Instanzen -> 50 GB 18.09.2018 18. MUTG
VPX oder MPX VPX 1000 , nicht preiswerter als vgl. Hardware Citrix NetScaler MPX 5550/5560 18.09.2018 18. MUTG
Platform Lizenz “Jede Access Gateway Appliance (MPX/VPX) enthält die Platform License, die alle Basis Funktionalitäten von Access Gateway ermöglicht. Mit Platform Licenses können Benutzer auf XenApp oder XenDesktop Ressourcen zugreifen, ohne dass dazu für jede einzelne Verbindung eine (kostenpflichtige) Access Gateway Universal License benötigt wird. Jede Access Gateway und NetScaler Appliance (physisch und virtuell) umfasst eine Access Gateway Platform License, die zum Aufbau von Benutzerverbindungen bis zur maximalen Kapazität der Appliance berechtigt.Nach dem Kauf der Appliance kann die Lizenz über den MyCitrix Account runtergeladen und auf der Appliance installiert werden. Über die Platform License wird: ICAProxy-Zugriff auf XenApp-gehosteten Anwendungen oder zu XenDesktop-gehostete Desktops über WebInterface ICAProxy-Zugriff auf XenApp/XenDesktop über Storefront (CloudGateway Express) ermöglicht.” 18.09.2018 18. MUTG
Universal Lizenz Die Universal License ermöglicht es, zusätzliche, erweiterte Funktionaliäten auf Access Gateway Appliances frei zu schalten. Lizenziert wird nach dem Concurrend User (CCU) Modell. Die Lizenzen müssen zusätzlich zu der Hardware oder Software Appliance gekauft werden, die Installation erfolgt wie oben beschrieben genauso wie bei der Platform Lizenz. Access Gateway Universal License unterstützt folgende Funktionen: Vollständiges VPN-Tunneling auf Netzwerkebene (SSL VPN) Endpunktanalyse (EPA) von Client Endgeräten Adaptive SmartAccess-Richtlinien für XenApp/XenDesktop Clientless Zugang zu E-Mail, Websites und File Shares (CVPN) MDX Micro VPN 18.09.2018 18. MUTG
Die Universal License wird in den folgenden Citrix Umgebungen benötigt: Verbindung zu XenApp/XenDesktop mit SmartAccess Funktionalität (über WebInterface und Storefront) CloudGateway Enterprise Mobility (AppController) CloudGateway Enterprise (AppController und Storefront) 18.09.2018 18. MUTG
18.09.2018 18. MUTG
…wichtige Eigenschaften Load Balancing Content Switching High Availability Gateway, SSL VPN SSL Offload TriScale (Clustering) Global Server Load Balancing Application Firewall 18.09.2018 18. MUTG
IP-Adressen NSIP (NetScaler IP) SNIP (Subnet IP) MIP (Mapped IP) VIP (Virtual IP) 18.09.2018 18. MUTG
NSIP The NetScaler IP (NSIP) is the primary IP for the management of the appliance. That is the first IP address you must configure on the NetScaler. The NSIP is used for internal Netscaler communication in HA deployment. In that case, the NSIP is the only IP enabled on the secondary NetScaler. Reboot is required when changing the NSIP. 18.09.2018 18. MUTG
SNIP The Subnet IP (SNIP) is used for server side communication and is also known as Interface IP. You should configure a new SNIP address for each subnet you want the NetScaler to be directly connected to. When the SNIP is added in the NetScaler configuration, the appliance will automatically add a static route entry into the NetScaler routing table to identify that SNIP as the default entry point for that subnet. 18.09.2018 18. MUTG
VIP A Virtual IP (VIP) is the IP address of a virtual server that the end users will connect to. You can host the same VIP on multiple Netscaler instances. 18.09.2018 18. MUTG
MIP A Mapped IP address (MIP) is similar to a SNIP address and is also used for server-side communication. The difference is that by default, NetScaler will use a SNIP address to communicate with a subnet. If there is no SNIP available , it will use a MIP address. 18.09.2018 18. MUTG
one-arm 18.09.2018 18. MUTG
—In two arm mode, multiple network interfaces are connected to different Ethernet segments, and the NetScaler is placed between the clients and the servers. 18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
NetScaler 11 - VPX 11.0 Build 55.20 Seit dem 30.06.2015 ist die neue Firmware 11.0, Build 55.20.nc für den Citrix NetScaler verfügbar Da mit diesem Release sehr viele neue Features und Änderungen eingeführt wurden, handelt es sich nicht um ein Update sondern einen Major Release. Administrativ fühlt sich das Release aber gleich zum letzten Release an Update des NetScaler machbar http://support.citrix.com/article/CTX127455 (2nd,1rst, Sync) 18.09.2018 18. MUTG
NetScaler 11 -> Unified Gateway Die größte Neuerung ist das neue “Unified Gateway”. Citrix hat hier nicht nur einen neuen Namen eingeführt, sondern dem Gateway auch eine Menge neuer Features hinzugefügt Das Unified Gateway dient nun als Zugriffspunkt für alle Applikationen unter einer einzigen URL bzw. IP-Adresse. Bisher mussten für die Features Loadbalancing bzw. Content Switching und NetScaler Gateway zwei verschiedene IP-Adressen bzw. Ports verwendet werden 18.09.2018 18. MUTG
Vorbereiten des Access-Gateways Bevor ein NetScaler als Access- Gateway verwendet werden kann, muss das Feature „Access- Gateway“ eingeschaltet werden. 18.09.2018 18. MUTG
Administration: Anlegen des virtuellen Servers Ein Virtueller Server ist ein „Proxy- Dienst“, über den der Zugriff auf die Infrastruktur erfolgt. Ein virtueller Server benötigt eine virtuelle IP- Adresse, über die der virtuelle Server erreichbar sein wird. Diese IP Adresse muss später in der Firewall freigeschaltet werden. Der Name des virtuellen Servers dient rein zu administrativen Zwecken Die IP Adresse sollte im Bereich der DMZ liegen und ist die IP Adresse, über die das Access Gateway später erreicht werden soll SSL Standard Port 443 18.09.2018 18. MUTG
18.09.2018 18. MUTG
Platform License - Universal License Im Smart Access Mode benötigen wir zusätzlich zu der Platform License auch noch eine Universal License für jeden zugreifenden Benutzer. Falls der Benutzer einen VPN Client installiert hat, können Endpoint Analyse Scans laufen, die uns gute Informationen über die Zustände am Client Device liefern. 18.09.2018 18. MUTG
Der Policy Manager 18.09.2018 18. MUTG
Eine Authentisierungs- Policy anlegen Jeder Vorgang am Netscaler benötigt eine Policy Hier – Bsp.: Authentisierung gegen ein LDAP / eigene Domäne Im Policy Manager lassen sich alle benötigten Policies anlegen. Man klickt dazu den gewünschten Policy Typ und wählt dann ganz rechts neue Policy. 18.09.2018 18. MUTG
18.09.2018 18. MUTG
Eine Policy besteht aus 2 Teilen Die Bedingung, die erfüllt sein muss, dass die Policy gilt. Hier: Erfolgreiche Authentisierung. Das Ergebnis, das die Policy zurückliefern soll, (hier: True Value) 18.09.2018 18. MUTG
18.09.2018 18. MUTG
LDAP „ New“ Domain- Controller IP-Adresse. Typ LDAP ist AD Das Port ergibt sich von selbst, es muss nicht angepasst werden. (Würde man Port 3268 eintragen so wäre es eine Authentisierung gegen den globalen Catalog, das ist best Practice in multi domain Forests (CTX113655)) Die Base DN ist der Name der Domain, er ist in LDAP- Notation anzugeben. Die Domain test.norz.at mit NetBIOS Namen dc=test,dc=norz,dc=at 18.09.2018 18. MUTG
Administrator Bind DN Administrator Bind DN ist der Name eines Benutzers, der im AD zumindest Leserechte hat. Man kann ihn in folgenden Formen angeben: domain/user name ou=administrator,dc=test,dc=norz,dc=at user@domain.name (nur für Active Directory®) cn=Administrator,cn=Users,dc=test,dc=norz,dc=at für das AD wird die Form Name@domain oft als am einfachsten empfunden 18.09.2018 18. MUTG
Test: „Retrieve Attributes“ Klickt man jetzt auf retrieve Attributes, dann sollte das ohne Fehler gelingen. Es ist der Beweis, dass die Authentisierung jetzt möglich ist Wir lassen alle Attribute, wie sie bei Other Settings stehen. Wenn die Benutzer ihre Kennwort ändern können sollen, benötigt man „Allow Password Change „ und unbedingt TLS/SSL. 18.09.2018 18. MUTG
18.09.2018 18. MUTG
Nachdem wir die Policy erfolgreich angelegt haben ziehen wir sie mit der Maus auf Authentication Policy (primary). Damit ist unser virtueller Server bereits in der Lage, Benutzer zu authentisieren. Ein erster Versuch wäre jetzt möglich. 18.09.2018 18. MUTG
2 Faktor Authentisierung Falls man eine 2 Faktor Authentisierung implementiert, würde man die Token- Authentisierung (RADIUS) als primäre Authentisierung, die LDAP Authentisierung als sekundäre eintragen. Damit verhindert man, dass ein unautorisierter Benutzer von außen beim Hacken von Passworten einen Domain- Account Lockout verursacht erst wird der RADIUS Token probiert, nur wenn der gültig ist wird das Domänenkennwort gegen das AD verifiziert. 18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG
18.09.2018 18. MUTG