Verlängerung der Lebensdauer Ihrer älteren Webanwendungen mit Citrix Secure Browser
In der Welt der Webanwendungen und Frameworks muss Vielfalt berücksichtigt werden. Verschiedene Arten von Benutzern, Gruppen und Unternehmen benötigen Zugriff auf die richtigen Tools, Anwendungen und Berechtigungen, um sich mit webbasierten Geschäftsanwendungen zu verbinden. In den meisten Fällen gibt es Compliance-Faktoren, die den Zugriff auf diese Anwendungen bestimmen. Unternehmen, die ältere Subsysteme mit älteren Browser-Frameworks unterstützen müssen, stehen vor der schwierigen Aufgabe, einen angemessenen Zugriff zu ermöglichen und die Compliance-Anforderungen für geschäftskritische Anwendungen zu erfüllen. Das folgende Dokument beschreibt, wie Sie Citrix Secure Browser nutzen können, um den Zugriff und die Lebensdauer Ihrer älteren Webanwendungen und Browser zu verlängern, während Sie eine Update- und Migrationsstrategie erstellen.
Die Lösung erfordert die Veröffentlichung eines konformen Browsers, der externen oder internen Benutzern den Zugriff ermöglicht, unabhängig davon, wie sich der Benutzer verbindet oder welchen Browser er für die Verbindung zur internen Site verwendet. Diese Lösung verwendet XenDesktop Server OS VDA, StoreFront™, NetScaler Gateway und XenApp Secure Browser. Benutzer leiten konforme Browser oder Endpunkte um, um einen nativen Browser zu verwenden, wenn dieser alle vom IT-Administrator festgelegten Anforderungen erfüllt; und wenn die Richtlinie einen nicht konformen Browser oder Endpunkt erkennt, leitet sie den Benutzer zu einer remote bereitgestellten, containerisierten Browsersitzung um. Benutzer müssen nur eine URL pro Ressource kennen (was Schulungs- und Supportkosten reduziert), unabhängig davon, wie sie sich mit der Umgebung verbinden.
Architektur
Der folgende Abschnitt erläutert, wie Benutzer auf die interne Site zugreifen, unabhängig davon, ob der Benutzer von einem internen oder externen Netzwerk aus eine Verbindung herstellt. In diesem Szenario ist ein Browsertyp (Internet Explorer) der konforme Browser und ein anderer (Google Chrome) der nicht konforme. Es liegt an jedem Unternehmen zu bestimmen, wie und welche Browser der Compliance-Richtlinie zugeordnet werden.
Für diese Lösung gehen wir davon aus, dass NetScaler® Gateway für den externen Zugriff auf veröffentlichte Anwendungen konfiguriert ist; dies wird in Abbildung 1 als Gateway vServer 1 dargestellt. Der zweite virtuelle Server (Gateway vServer 2) leitet Benutzer um, um die HTML5 Receiver-Sitzung für Secure Browser zu starten.
Anwendungsfall
Es besteht die Notwendigkeit, ältere Webanwendungen zu pflegen, die von aktuellen Browsern nicht mehr unterstützt werden. In diesem Fall muss die IT weiterhin eine Website pflegen, die für Internet Explorer 8 entwickelt wurde, und der Anbieter veröffentlicht keine Verbesserungen mehr, um neue oder andere Browser zu unterstützen. Um dieses Problem zu lösen, veröffentlicht der IT-Administrator einen Secure Browser, um Benutzern, die die Browseranforderungen erfüllen, den Zugriff auf die Site zu ermöglichen. Das folgende Diagramm erläutert jede Verbindung im Workflow für interne und externe Benutzer.
Konnektivitäts-Workflow
- Jeder Benutzer gibt die Site-URL ein, die von einem externen DNS-Server aufgelöst wird, in unserem Beispiel,
https://train.qckr.net - Der Browser verbindet sich mit dem NetScaler Gateway Load Balancer und ermittelt die Compliance-Anforderungen.
- Wenn der Browser nicht konform ist, werden sowohl interne als auch externe Benutzer zum virtuellen NetScaler Gateway-Server umgeleitet. Wenn der Browser konform ist, leitet NetScaler Gateway die Verbindung zur internen Site über den Load Balancer für externe Benutzer weiter und leitet den lokalen Browser für interne Benutzer zur Site um.
- Der virtuelle Server startet automatisch eine von StoreFront aufgelistete Sitzung.
- StoreFront kontaktiert den XenDesktop® Controller für Sitzungsinformationen und Routing.
- Die Sitzung wird über die Secure Browser-Desktopgruppe initiiert; in diesem Fall handelt es sich um einen Server-OS-VDA mit einem veröffentlichten kompatiblen Browser.
- Die Sitzung wird über den ICA®-Proxy auf der NetScaler Gateway-Appliance verbunden.
- Citrix Receiver™ für HTML5 stellt die Benutzersitzung innerhalb des nativen Browsers her.
- Die interne Website wird über die Secure Browser-Sitzung mit Citrix Receiver für HTML5 angezeigt.
Einrichtung und Konfiguration
Dieser Abschnitt zeigt, wie die Lösung für aktuelle XenDesktop-Umgebungen mit NetScaler Gateway-Remoteverbindung implementiert wird.
Lösungsanforderungen
Die Einrichtung erfordert die Installation und Konfiguration der folgenden Komponenten:
- XenDesktop Desktop Controller-Server
- Citrix StoreFront-Server mit einem für externen Zugriff konfigurierten Store
- NetScaler Gateway mit einem virtuellen XenDesktop-Server
- Server-OS-VDA, wobei der installierte Browser als Secure Browser verwendet wird
- Externe DNS-Adresse, die auf einen neuen NetScaler-Lastenausgleich verweist
- Externe DNS-Adresse, die auf einen neuen virtuellen NetScaler Gateway-Server verweist
Konfiguration
XenDesktop Desktop Controller
Fügen Sie den Server-OS-VDA einem neuen Maschinenkatalog mit dem Namen Secure Browser Catalog hinzu.
Erstellen Sie eine Bereitstellungsgruppe für Secure Browser Catalog und veröffentlichen Sie Internet Explorer. Geben Sie in den Befehlszeilenparametern -k <URL of Internal Site> ein. Der Parameter -k dient dazu, Internet Explorer im Kiosk-Modus zu öffnen. In diesem Beispiel veröffentlichen wir Internet Explorer 8 und verwenden eine interne Site für die URL.
Sie können die Bereitstellungsgruppe bestimmten Benutzern und Gruppen zuweisen. Sie müssen keinen Desktop-Zugriff hinzufügen, wenn dieser für den Anwendungsfall nicht erforderlich ist.
Installieren Sie auf dem Server-OS-VDA ein Server- oder Client-Authentifizierungszertifikat, das SSL für die Controller- und VDA-Kommunikation aktiviert.
Binden Sie die Installationsmedien von XenDesktop 7.6 oder höher ein. Öffnen Sie ein PowerShell-Befehlsfenster und führen Sie dann %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable aus.
Starten Sie die Server-OS-VDA-Instanz neu.
Öffnen Sie auf dem XenDesktop Controller ein PowerShell-Befehlsfenster und führen Sie den Befehl ASNP Citrix* aus.
Führen Sie die folgenden drei Befehle aus, um die sichere Broker-zu-VDA-Kommunikation zu aktivieren:
Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->
StoreFront
Erstellen Sie einen neuen Store namens SecureBrowser und wählen Sie Nur nicht authentifizierten Benutzern den Zugriff auf diesen Store gestatten. Der Datenverkehr wird authentifiziert, da alle Benutzer ein Token vom NetScaler Gateway an den Controller übergeben.
Fügen Sie den XenDesktop Controller hinzu.
Aktivieren Sie Remotezugriff und fügen Sie ein zweites NetScaler Gateway hinzu, das Sie in den folgenden Schritten konfigurieren werden. Für diese Konfiguration müssen Sie den Rückruf oder die VIP-Adresse in der StoreFront-/NetScaler Gateway-Konfiguration nicht verwenden.
Schließen Sie die Erstellung des Stores mit den Standardeinstellungen des Assistenten ab.
Nachdem Sie den Store erstellt haben, klicken Sie auf Receiver für Web-Sites verwalten.
Klicken Sie auf der Seite Receiver für Web-Sites verwalten auf Konfigurieren, gehen Sie zu Website-Verknüpfungen, fügen Sie die interne Website-URL hinzu und klicken Sie auf den Link Verknüpfungen abrufen.
Melden Sie sich als regulärer Benutzer mit Zugriff auf die veröffentlichte Secure Browser-Anwendung an.
Kopieren Sie die URL für die Secure Browser-App und speichern Sie sie in einer Textdatei, um sie später in der NetScaler Gateway-Konfiguration zu verwenden.
Kehren Sie zu den Eigenschaften von Edit Receiver for Web site zurück, klicken Sie auf „Citrix Receiver bereitstellen“ und wählen Sie Always use Receiver for HTML5 aus. Wählen Sie die Option Launch applications in the same tab as Receiver for Web.
Klicken Sie auf Workspace Control, wählen Sie unter Logoff action die Option Terminate. Deaktivieren Sie die Option Enable workspace control.
Klicken Sie auf Client Interface Settings, deaktivieren Sie die Option Auto launch desktop und klicken Sie auf OK, um die Einstellungen zu speichern.
Öffnen Sie in einem Texteditor die Datei C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.
Suchen Sie die Einstellung <appShortcuts promptForUntrustedShortcuts=”true”>, setzen Sie sie auf false und speichern Sie die Änderungen. Durch das Deaktivieren dieser Einstellung wird verhindert, dass StoreFront Benutzer fragt, ob sie die Anwendung starten möchten.
NetScaler Gateway
Klicken Sie in der NetScaler Gateway-GUI im Navigationsbereich auf XenApp® und XenDesktop und dann auf dem Dashboard auf Neues Gateway erstellen.
Legen Sie in den StoreFront-Eigenschaften den Site-Pfad auf /Citrix/SecureBrowserWeb fest und legen Sie den Store-Namen als SecureBrowser als neuen Store auf dem StoreFront-Server fest.
Fahren Sie mit dem Assistenten fort und speichern Sie den neuen virtuellen Server.
Erweitern Sie auf dem Knoten NetScaler Gateway die Richtlinien und gehen Sie zu Sitzung.
Wählen Sie die Registerkarte Aktionen aus, bearbeiten Sie die neu erstellte Aktion für den zweiten virtuellen Server und bearbeiten Sie dann die Richtlinienaktion AC_WB_.
Fügen Sie auf der Registerkarte Veröffentlichte Anwendungen die zuvor gespeicherte App-Verknüpfungs-URL in das Feld Web Interface-Adresse ein und klicken Sie dann auf OK.
Klicken Sie im Navigationsbereich auf den Knoten AppExpert, erweitern Sie den Abschnitt Responder und klicken Sie dann auf Aktionen.
Fügen Sie eine neue Aktion hinzu, nennen Sie sie Interne Verbindungen, und legen Sie den Typ auf Umleiten fest.
Fügen Sie im Feld Ausdruck die URL der internen Website, zu der eine Verbindung hergestellt werden soll, in Anführungszeichen hinzu, z. B. https://mysite.acme.com
Klicken Sie auf Erstellen, um die Aktion zu speichern.
Fügen Sie eine neue Aktion hinzu, nennen Sie sie Externe Verbindungen, und legen Sie den Typ auf Umleiten fest.
Geben Sie im Feld Expression die URL des zweiten virtuellen NetScaler Gateway-Servers, umgeben von Anführungszeichen, ein, wie z. B. https://gateway.acme.com
Klicken Sie auf Erstellen, um die Aktion zu speichern.
Gehen Sie zum Knoten Responder-Richtlinien.
Fügen Sie eine neue Richtlinie hinzu, nennen Sie sie Detect Browser Compliance, und wählen Sie im Dropdown-Menü Aktion die zuvor erstellte Aktion External Connections aus.
Setzen Sie die Undefined-Result Action auf NOOP.
Geben Sie im Feld Expression den folgenden Text ein:
| HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”) | HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”) |
Die obigen Ausdrücke erkennen Browser, die nicht konform sind, oder in diesem Anwendungsfall nicht Internet Explorer.
Klicken Sie auf Erstellen, um die Änderungen zu speichern.
Fügen Sie eine neue Richtlinie hinzu, nennen Sie sie Detect Client Source, und setzen Sie die Aktion auf die zuvor erstellte Aktion Internal Connections.
Setzen Sie die Undefined-Result Action auf NOOP.
Geben Sie im Feld Expression den folgenden Text ein:
| (CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23) |
Ersetzen oder fügen Sie jedes der oben genannten Subnetze hinzu, um Ihrer internen Netzwerkumgebung zu entsprechen. Der User-Agent entspricht in diesem Fall der konfigurierten Version von Internet Explorer und dass der Client aus dem internen Netzwerk eine Verbindung herstellt.
Klicken Sie auf Erstellen, um die Änderungen zu speichern.
Erweitern Sie im Navigationsbereich Traffic Management > Load Balancing, und wählen Sie dann Servers aus. Fügen Sie den Server hinzu, der zum Hosten der internen Site verwendet wird.
Klicken Sie im Navigationsbereich unter Load Balancing auf Service Groups, fügen Sie eine neue Dienstgruppe hinzu, stellen Sie das Protocol auf SSL ein und binden Sie den im vorherigen Schritt erstellten Server an die Liste der Service Group Members.
Klicken Sie auf Done.
Klicken Sie im Navigationsbereich im Knoten Load Balancing auf Virtual Servers, klicken Sie auf Add und nennen Sie den Server Intranet Site.
Stellen Sie das Protocol auf SSL ein und geben Sie die IP-Adresse des Load Balancers ein.
Binden Sie die im vorherigen Schritt erstellte Service Group Internal Web Server und konfigurieren Sie Zertifikate für den externen Zugriff. Binden Sie das interne Stamm-CA-Zertifikat an CA-Zertifikate, damit der Load Balancer SSL an den internen Webserver auslagern kann.
Klicken Sie im Detailbereich unter Advanced settings auf + Policies. Klicken Sie auf das Pluszeichen (+), um eine neue Richtlinie zu binden.
Wählen Sie Responder for Choose Policy und klicken Sie auf Continue. Wählen Sie Detect Client Source und setzen Sie die Priorität auf 100.
Klicken Sie auf Bind.
Klicken Sie auf den Abschnitt der Responder-Richtlinie, klicken Sie auf Add Binding, wählen Sie Detect Browser Compliance und setzen Sie die Priorität auf 110. Klicken Sie auf Bind.
Klicken Sie auf Close und dann auf Done.
Speichern Sie die NetScaler Gateway-Konfiguration.
Ergebnisse und Erwartungen der Anwendungsfälle
Dieser Abschnitt behandelt die Anwendungsfälle und die erwarteten Ergebnisse, wie sich jeder Benutzer mit der vorhergehenden Konfiguration verbindet. In allen folgenden Anwendungsfällen öffnet der Benutzer einen lokal installierten Browser und gibt die externe URL der Schulungswebsite ein.
Externer Benutzer mit nicht-konformem Browser
Erwartetes Ergebnis: Der Benutzer startet eine Citrix Receiver-Sitzung in einem Browser-Tab, die die Website mit dem veröffentlichten Secure Browser rendert.
Externer Benutzer mit konformem Browser
Erwartetes Ergebnis: NetScaler Gateway leitet den Datenverkehr zwischen dem lokalen Browser und der internen Website weiter.
Interner Benutzer mit nicht-konformem Browser
Erwartetes Ergebnis: Der Benutzer startet die Citrix Receiver-Sitzung in einem Browser-Tab, der die Website mit dem veröffentlichten Secure Browser rendert.
Interner Benutzer mit konformem Browser
Erwartetes Ergebnis: Die Benutzersitzung wird auf die interne Website umgeleitet; NetScaler Gateway leitet die Verbindung nicht weiter, da der Client aus dem internen Netzwerk eine Verbindung herstellt.
Bekannte Einschränkungen
- Die dynamische URL-Übergabe an den virtuellen NetScaler Gateway-Server unterstützt die Verwendung von Citrix Receiver für HTML5 für Secure Browser nicht.
- Um eine Start-URL an den virtuellen Server zu übergeben, deaktivieren Sie ICA Proxy im Sitzungsprofil. ICA Proxy ist eine Voraussetzung für Citrix Receiver für HTML5.
- Citrix Receiver für HTML5 unterstützt keine Inhaltsumleitung.
- Administratoren können Citrix Receiver in StoreFront für Websites konfigurieren.
- Umgebungen mit mehreren separaten Sites: Erstellen Sie unterschiedliche NetScaler Gateway-Sitzungsrichtlinien für jede Site und binden Sie diese an den virtuellen Server, oder erstellen Sie ein internes Startportal, das URLs für die internen Sites hosten kann.