Applications et postes de travail virtuels Citrix Gateway et Citrix

Généralités

Citrix Gateway est la meilleure solution d’accès à distance sécurisée pour Citrix Workspace. Il offre une myriade d’intégrations uniques qui améliorent la sécurité et l’expérience utilisateur. De plus, Citrix Gateway consolide l’accès à n’importe quelle application, à partir de n’importe quel appareil, via une seule URL.

Citrix Gateway permet un accès chiffré et contextuel (authentification et autorisation) à Citrix Workspace. Son équilibrage de charge basé sur Citrix ADC distribue le trafic utilisateur sur les serveurs Citrix Virtual Apps and Desktops. Citrix Gateway accélère, optimise et fournit également une visibilité sur le flux de trafic, ce qui est utile pour garantir des performances utilisateur optimales dans un déploiement Citrix Virtual Apps and Desktops.

Les intégrations suivantes ajoutent de la valeur à un déploiement Citrix Workspace :

  • Authentification contextuelle — Valider l’utilisateur et l’appareil avec l’authentification multifacteur (nFactor)
  • Autorisation contextuelle : limite la disponibilité des applications et des postes de travail en fonction de l’utilisateur, de l’emplacement et des propriétés de l’appareil
  • Accès contextuel - Limiter l’accès aux fonctionnalités HDX en modifiant le comportement de connexion Citrix HDX
  • Surveillance de bout en bout — Identifier la source des retards et des problèmes de triage qui ont une incidence sur les performances des utilisateurs
  • Transport réseau adaptatif — Offrez une expérience utilisateur supérieure en répondant dynamiquement aux conditions changeantes du réseau
  • Routage optimal — Assurez une meilleure expérience utilisateur en lançant toujours des applications et des postes de travail à partir de la passerelle locale
  • Moniteurs de disponibilité personnalisés : assure une surveillance approfondie de l’état des applications des services back-end exécutés sur les serveurs StoreFront et Delivery Controller

Architecture conceptuelle

Citrix Gateway est une appliance durcie (physique ou virtuelle) qui assure et sécurise tout le trafic Citrix Workspace avec un chiffrement SSL/TLS basé sur des normes. La configuration de déploiement la plus courante consiste à placer l’appliance Citrix Gateway dans la zone DMZ. Cela place Citrix Gateway entre le réseau interne sécurisé d’une organisation et Internet (ou tout réseau externe).

De nombreuses organisations protègent leur réseau interne à l’aide d’une zone démilitarisée unique (Figure 1). Toutefois, plusieurs appliances Citrix Gateway peuvent être déployées pour des déploiements plus complexes nécessitant une zone DMZ à double saut (Figure 2).

Diagramme DMZ à saut unique

Figure 1 : Application virtuelle et postes de travail avec Citrix Gateway déployé dans une zone DMZ unique

Certaines organisations utilisent plusieurs pare-feu ou pour protéger leurs réseaux internes. Les trois pare-feu de la figure 2 divisent la DMZ en deux étapes (double saut) pour fournir une couche supplémentaire de sécurité pour le réseau interne.

Diagramme DMZ Double Hop

Figure 2 : Virtual Apps and Desktops avec Citrix Gateway déployé dans une zone DMZ à double saut

Les administrateurs Citrix peuvent déployer des appliances Citrix Gateway dans une zone DMZ à double saut pour contrôler l’accès aux serveurs exécutant Citrix Virtual Apps and Desktops. Dans un déploiement à double saut, les fonctions de sécurité sont réparties entre les deux appliances.

Citrix Gateway dans la première zone DMZ gère les connexions utilisateur et exécute les fonctions de sécurité telles que le chiffrement, l’authentification et l’accès aux serveurs du réseau interne.

Citrix Gateway dans la deuxième DMZ sert de périphérique proxy Citrix Gateway. Cette Citrix Gateway permet au trafic HDX de traverser la deuxième DMZ pour terminer les connexions utilisateur à la batterie de serveurs. Les communications entre Citrix Gateway dans la première DMZ et STA (Secure Ticket Authority) dans le réseau interne sont également transmises par proxy via Citrix Gateway dans la deuxième DMZ.

Dans les entreprises où plusieurs serveurs StoreFront et Delivery Controller sont déployés, Citrix recommande d’équilibrer la charge des services à l’aide de l’appliance Citrix ADC. Un serveur virtuel équilibre la charge de tous les serveurs StoreFront et un autre équilibre tous les serveurs Delivery Controller. La surveillance intelligente de l’intégrité des applications garantit que seuls les serveurs pleinement fonctionnels sont marqués disponibles pour répondre aux demandes des utilisateurs.

Les appliances Citrix ADC configurées pour l’équilibrage de charge du serveur global (GSLB) peuvent équilibrer la charge Citrix Workspace entre les centres de données. GLSB dirige les demandes des utilisateurs vers le centre de données le plus proche ou le plus performant, ou vers les datacenters survivants en cas de panne. L’utilisation de GSLB permet la reprise après sinistre dans plusieurs datacenters et garantit une disponibilité continue des applications en protégeant les points de défaillance.

Dans la figure 3, les CAN utilisent le protocole MEP (Metric Exchange Protocol) et l’infrastructure DNS pour connecter les utilisateurs au datacenter qui répond le mieux aux critères définis par les administrateurs. Les critères peuvent désigner le centre de données le moins chargé, le plus proche ou le plus rapide pour répondre aux demandes.

GSLB pour les applications virtuelles et les postes de travail Citrix

Figure 3 : Équilibrage global de la charge des serveurs pour les Virtual Apps and Desktops de travail

Authentification contextuelle (nFactor et EPA)

Citrix Gateway consolide l’infrastructure d’authentification d’accès à distance pour toutes les applications, que ce soit dans un centre de données, dans un cloud ou si les applications sont fournies en tant qu’applications SaaS. De plus, Citrix Gateway fournit :

  • Le point d’accès unique à toutes les applications
  • Gestion sécurisée des accès, contrôle d’accès granulaire et cohérent pour toutes les applications
  • Une meilleure expérience utilisateur qui améliore la productivité
  • Authentification multifacteur qui améliore la sécurité

Consolidation Citrix Gateway Single Signature

Figure 4 : consolidation de l’ouverture de session unique Citrix Gateway

L’authentification Citrix Gateway intègre l’authentification locale et distante pour les utilisateurs et les groupes. Citrix Gateway inclut la prise en charge des types d’authentification suivants.

  • Locaux
  • Protocole LDAP (Lightweight Directory Access Protocol)
  • RADIUS
  • SAML
  • TACACS+
  • Authentification du certificat client (incluant l’authentification par carte à puce

Citrix Gateway prend également en charge les solutions d’authentification multifacteur telles que RSA SecurID, Gemalto Protiva (Thales), Duo (Cisco) et SafeWord (Aladdin) à l’aide d’une configuration de serveur RADIUS.

Options NFactor Citrix Gateway

Figure 5 : options de Citrix Gateway NFactor

Authentification de N

Citrix Gateway étend l’authentification à deux facteurs avec de vraies fonctionnalités multifacteurs et offre une flexibilité aux administrateurs pour l’authentification, l’autorisation et l’audit. Par exemple, les formulaires de connexion dynamiques et les actions en cas de défaillance sont possibles à l’aide de l’authentification NFactor. Les administrateurs peuvent configurer deux types d’authentification multifacteur sur Citrix Gateway :

  • Authentification à deux facteurs qui exige que les utilisateurs se connectent à l’aide de deux types d’authentification
  • Authentification en cascade qui définit le niveau de priorité d’authentification

Si le déploiement Citrix Gateway comporte plusieurs serveurs d’authentification, les administrateurs peuvent définir la priorité des stratégies d’authentification. Les niveaux de priorité déterminent l’ordre dans lequel le serveur d’authentification valide les informations d’identification des utilisateurs. Lorsque les administrateurs configurent une cascade, le système traverse chaque serveur d’authentification pour valider les informations d’identification d’un utilisateur.

L’authentification nFactor permet des flux d’authentification dynamiques basés sur le profil utilisateur. Les flux peuvent être simples ou peuvent être couplés à des exigences de sécurité plus complexes à l’aide d’autres serveurs d’authentification. Voici quelques cas d’utilisation activés par Citrix Gateway :

  1. Sélection dynamique du nom d’utilisateur et du mot de passe : Traditionnellement, les clients Citrix (y compris les navigateurs et l’application Workspace) utilisent le mot de passe Active Directory (AD) comme premier champ de mot de passe. Le deuxième mot de passe est réservé pour le mot de passe à usage unique (OTP). Toutefois, pour sécuriser les serveurs AD contre les attaques de force brute et de verrouillage, les clients peuvent exiger que le second facteur, tel que OTP, soit validé en premier. nFactor peut le faire sans nécessiter de modifications client.
  2. Point de terminaison d’authentification multilocataire : Certaines organisations utilisent différents points de connexion Citrix Gateway pour les utilisateurs de certificats et non certificats. Les utilisateurs utilisant leurs propres appareils pour se connecter, leurs niveaux d’accès peuvent varier sur Citrix Gateway en fonction du périphérique utilisé. Citrix Gateway peut répondre à différents besoins d’authentification sur le même point de connexion, ce qui réduit la complexité et améliore l’expérience utilisateur.
  3. Authentification basée sur l’appartenance à un groupe : Certaines organisations obtiennent des propriétés utilisateur auprès des serveurs AD pour déterminer les exigences d’authentification qui peuvent varier selon les utilisateurs individuels. Par exemple, l’extraction de groupe peut être utilisée pour déterminer si un utilisateur est un employé ou un fournisseur et présenter l’authentification de deuxième facteur appropriée.

Analyses d’analyse des points d’extrémité

Les analyses EPA (Endpoint Analysis) sont utilisées pour vérifier la conformité des périphériques utilisateur aux exigences de sécurité des terminaux. Il s’agit d’analyses de pré-authentification et de post-authentification basées sur des stratégies configurées sur l’appliance Citrix Gateway. Les analyses EPA font partie de l’authentification contextuelle si l’état du point de terminaison est impliqué dans les stratégies d’authentification.

Lorsqu’une machine utilisateur tente d’accéder à Citrix Workspace via l’appliance Citrix Gateway, le périphérique est analysé pour vérifier la conformité avant d’obtenir l’accès. Par exemple, EPA peut être utilisé pour vérifier des paramètres tels que le système d’exploitation, un antivirus, un navigateur Web, des processus spécifiques, un système de fichiers ou une clé de registre et des certificats d’utilisateur ou d’appareil.

Les administrateurs peuvent configurer deux types d’analyses EPA à l’aide de l’analyse du moteur OPSWAT EPA et d’une analyse système à l’aide du moteur Client Security. À l’aide du moteur OPSWAT EPA, les administrateurs peuvent configurer des analyses produit, fournisseur et générique. Ces contrôles recherchent un produit particulier offert par un fournisseur particulier, un fournisseur dans une catégorie spécifique ou une catégorie pour tous les fournisseurs et produits respectivement.

Les analyses système valident les attributs de niveau système tels que l’adresse MAC ou les certificats de périphérique. Les certificats de périphérique peuvent être configurés dans nFactor en tant que composant EPA et les administrateurs peuvent autoriser ou bloquer sélectivement l’accès aux ressources intranet d’entreprise en fonction de l’authentification par certificat de périphérique.

Autorisation contextuelle (SmartAccess)

SmartAccess utilise les stratégies de post-authentification de l’EPA pour limiter l’accès des utilisateurs aux applications et aux postes de travail. Par exemple, une application sensible des ressources humaines peut être activée ou désactivée lorsqu’un utilisateur se connecte à partir d’un périphérique géré ou non géré respectivement.

Grâce aux stratégies SmartAccess, les administrateurs peuvent identifier les ressources disponibles par utilisateur et par application. Des facteurs tels que l’utilisateur final, la plage d’adresses IP source, la clé de Registre spécifique ou le fichier sur le point de terminaison utilisateur sont utilisés pour déterminer si la conformité est respectée. De même, les analyses SmartAccess peuvent être utilisées pour identifier des périphériques spécifiques connectés à un ordinateur et montrer les applications qui nécessitent ce périphérique.

SmartAccess est configuré à la fois sur Citrix Gateway et dans Citrix Studio. Les résultats d’une analyse EPA sont mis en correspondance avec les stratégies d’accès correspondantes dans Citrix Studio. Dans la figure 6, un utilisateur se connecte à Citrix Workspace via Citrix Gateway avec un périphérique géré et passe l’analyse de conformité. Depuis que l’analyse a été effectuée, le serveur virtuel Citrix Gateway associé et la stratégie de session déclenchent la stratégie Citrix Studio pour activer l’accès à l’application.

Échec de l'analyse EPA avec conformité

Figure 6 : L’analyse EPA avec passe de conformité et application est autorisée

Dans la figure 7, le même utilisateur se connecte à Citrix Workspace via Citrix Gateway avec l’appareil personnel et échoue l’analyse de conformité. Inversement, l’échec de l’analyse EPA ne déclenche pas l’activation de l’application pour cet utilisateur et cet appareil.

Échec de l'analyse EPA avec conformité

Figure 7 : Analyse EPA avec échec de conformité et restriction de l’application

Accès contextuel (SmartAccess et SmartControl)

Les administrateurs Citrix peuvent également modifier le comportement de connexion Citrix HDX en fonction de la façon dont les utilisateurs se connectent à Citrix Gateway. Certains exemples incluent la désactivation des mappages de lecteur client, la désactivation de l’accès à des applications et des postes de travail spécifiques et la désactivation de l’accès à l’impression.

Dans la figure 8, un utilisateur ouvre une session sur Citrix Workspace via Citrix Gateway avec un appareil personnel et échoue l’analyse de conformité. Les résultats de l’analyse EPA effectuée par Citrix Gateway sont communiqués avec Citrix Workspace. À l’aide de SmartAccess, le Delivery Controller applique les résultats de l’analyse et interdit l’accès au presse-papiers et les mappages de lecteur client.

Échec de l'analyse EPA avec conformité

Figure 8 : Analyse EPA avec échec de conformité

Dans la figure 9, le même utilisateur se connecte à la même Citrix Gateway avec un périphérique conforme. Les résultats de l’EPA permettent désormais l’accès au presse-papiers et les mappages de lecteur client.

Analyse EPA avec passe de conformité

Figure 9 : Analyse de l’EPA avec passe de conformité

SmartControl aide les clients à répondre aux exigences de sécurité qui stipulent que les conditions d’accès sont évaluées à la périphérie du réseau. Les stratégies de sécurité des clients peuvent exiger la possibilité de bloquer l’accès aux ressources avant même qu’un utilisateur n’ait accédé au réseau d’entreprise. SmartControl peut être utilisé pour bloquer ou autoriser certains composants tels que l’accès à l’imprimante, la redirection audio et la redirection de lecteur de périphérique client, au niveau de Citrix Gateway.

SmartAccess et SmartControl sont similaires, mais SmartControl est configuré exclusivement sur Citrix Gateway, tandis que SmartAccess nécessite une configuration à la fois sur Citrix Gateway et dans Citrix Studio. Lorsque les administrateurs souhaitent prendre des décisions de stratégie d’accès pour l’ensemble de la batterie de serveurs, ils peuvent utiliser SmartControl sur Citrix Gateway qui s’applique à l’ensemble de la batterie. Une différence est que SmartAccess permet aux administrateurs de contrôler la visibilité des icônes publiées, alors que SmartControl ne le fait pas. La figure 10 compare la prise en charge des fonctionnalités SmartAccess et SmartControl.

Comparaison des fonctionnalités SmartAccess et SmartControl

Figure 10 : comparaison des fonctionnalités SmartAccess et SmartControl

Les stratégies SmartControl sont conçues pour ne permettre aucun type d’accès s’ils sont interdits au niveau du Delivery Controller. Les options sont de définir par défaut le paramètre de stratégie au niveau Delivery Controller ou d’interdire un certain accès, même s’il est autorisé par le Delivery Controller. Les stratégies SmartAccess et SmartControl peuvent être définies simultanément et l’ensemble de stratégies le plus restrictif est appliqué. Voici une liste des paramètres SmartControl :

  • Connect Client LPT Ports — Bloque la redirection des ports LPT utilisée pour les imprimantes
  • Redirection audio client — Redirection audio du VDA vers le périphérique client
  • Partage local de données à distance — Autorise ou interdit le partage de données à l’aide de Receiver HTML5
  • Redirection du Presse-papiers client — Redirige le contenu du presse-papiers client vers VDA
  • Redirection de port COM client — Redirection des ports COM (série) du client vers VDA
  • Redirection de lecteur client — Rediriger les lecteurs clients du client vers le VDA
  • Redirection de l’imprimante cliente : redirige les imprimantes clientes du client vers le VDA
  • Multistream — Autoriser ou désactiver le flux multistream
  • Redirection de lecteur USB client — Rediriger les lecteurs USB du client vers le VDA de bureau uniquement

Transport réseau adaptatif (EDT)

Citrix HDX est un ensemble de technologies qui garantissent une expérience utilisateur inégalée lors de la connexion à une ressource Citrix distante. Avec le moteur HDX de l’application Citrix Workspace et le protocole HDX, Citrix HDX permet aux utilisateurs d’interagir en toute transparence avec les ressources, même dans des conditions réseau difficiles.

Une optimisation récente vers HDX est le protocole de transport fiable basé sur Citrix UDP appelé Enlightened Data Transport (EDT). EDT est plus rapide, améliore l’interactivité des applications et est plus interactif sur les connexions WAN longue distance et Internet difficiles. EDT offre une expérience utilisateur supérieure en répondant dynamiquement aux conditions changeantes du réseau tout en maintenant une évolutivité élevée du serveur et une utilisation efficace de la bande passante.

EDT est construit sur UDP et améliore le débit de données pour tous les canaux virtuels ICA, y compris la télécommande d’affichage Thinwire, le transfert de fichiers (mappage de lecteur client), l’impression et la redirection multimédia. Lorsque EDT n’est pas disponible, EDT bascule intelligemment vers TCP ICA pour offrir les meilleures performances. Citrix Gateway prend en charge EDT et Datagram Transport Layer Security (DTLS) qui doivent être activés pour chiffrer la connexion UDP utilisée par EDT.

Transport adaptatif HDX

Figure 11 : transport adaptatif HDX

Regardez cette vidéo pour en savoir plus :

Surveillance de bout en bout (HDX Insight)

Citrix HDX Insight fournit une visibilité de bout en bout pour le trafic HDX vers les Virtual Apps and Desktops passant par Citrix Gateway. À l’aide de Citrix Application Delivery Management (ADM), les administrateurs peuvent afficher en temps réel les mesures de latence client et réseau, les rapports historiques, les données de performances de bout en bout et résoudre les problèmes de performances.

En analysant le trafic HDX, HDX Insight peut identifier la source des retards et des problèmes de triage qui affectent les performances des utilisateurs. Par exemple, un utilisateur peut rencontrer des retards lors de l’accès à Citrix Virtual Apps and Desktops. Pour identifier la cause première du problème, les administrateurs peuvent utiliser HDX Insight pour analyser la latence WAN, la latence du datacenter et le retard d’hôte. L’utilisation de HDX Insight permet de déterminer si la latence est du côté serveur, réseau du centre de données ou réseau client.

La figure 12 montre un exemple où un utilisateur spécifique a une latence WAN normale mais une latence élevée dans le centre de données. Ces informations sont essentielles pour aider les administrateurs à trier un problème de performance.

Visibilité des sessions HDX Insight

Figure 12 : visibilité de la session HDX Insight

Une des capacités importantes de HDX Insight est la capacité de capturer et d’afficher la latence au niveau de la couche 7 (L7). Le calcul de latence L7 est effectué au niveau de la couche HDX et permet ainsi une détection de latence de bout en bout indépendamment de l’existence de proxies TCP. En regardant la figure 10, la visibilité sur les couches d’application aide les administrateurs à diagnostiquer la latence en détectant qu’elle provient d’applications et non du réseau, par exemple dans le cas d’un serveur surchargé ou d’un back-end.

Le seuil de latence L7 détecte activement les problèmes de latence réseau de bout en bout au niveau de l’application. Cette fonctionnalité est contrastée avec la capture de latence réseau de couche 4, qui ne nécessite pas d’analyse HDX mais souffre de l’inconvénient majeur d’une vue incomplète de la latence de bout en bout.

HDX Insight fournit des informations sur les ouvertures de session utilisateur, la latence et les détails au niveau de l’application pour les applications HDX virtuelles et les postes de travail. L’analyse des points de terminaison (EPA), l’authentification, l’authentification unique (SSO) et les échecs de lancement d’applications pour un utilisateur sont disponibles avec Gateway Insight.

Gateway Insight fournit également une visibilité sur les raisons de l’échec du lancement d’applications pour les applications virtuelles. Gateway Insight améliore la capacité d’un administrateur à résoudre tout type d’échec d’ouverture de session ou de lancement d’application et d’afficher les éléments suivants :

  • Nombre de demandes lancées
  • Nombre de sessions totales et actives
  • Nombre total d’octets et de bande passante consommés par les applications
  • Détails des utilisateurs, des sessions, de la bande passante et des erreurs de lancement d’une application
  • Nombre de passerelles
  • Nombre de sessions actives
  • Nombre total d’octets et de bande passante utilisés par toutes les passerelles associées à une appliance Citrix Gateway à un moment donné
  • Détails de tous les utilisateurs associés à une passerelle et de leur activité d’ouverture de session

Visibilité des sessions HDX Insight L7

Figure 13 : visibilité de la session HDX Insight L7

Routage de passerelle optimal HDX

Citrix offre la meilleure expérience utilisateur des applications et des postes de travail avec Citrix Workspace. Dans un déploiement cloud hybride, les clients simplifient l’expérience utilisateur avec Global Server Load Balancing (GSLB). GSLB permet aux utilisateurs d’accéder facilement aux applications, aux postes de travail et aux données, quel que soit leur emplacement. Mais avec plusieurs Citrix Gateways, les clients demandent : « Comment pouvons-nous envoyer des utilisateurs vers un centre de données spécifique où résident les données uniques des utilisateurs ou les dépendances d’applications back-end ? »

HDX Optimal Gateway Routing permet aux administrateurs de pointer des connexions Citrix Gateway vers des zones. Cela garantit que Citrix Gateway choisit la zone qu’il possède généralement la meilleure connexion définie par l’administrateur. L’utilisation de GSLB achemine également l’utilisateur vers la passerelle Citrix Gateway optimale en fonction de son emplacement, et cette passerelle serait connectée à une zone pour un routage de passerelle optimal complet.

HDX Optimal Gateway Routing garantit que l’expérience utilisateur est à la fois simple et cohérente en découplant la passerelle d’authentification de la passerelle de lancement optimale. Cela garantit que les utilisateurs lancent toujours leurs applications et postes de travail à partir de la passerelle locale, assurant ainsi une meilleure expérience utilisateur lorsque vous travaillez de n’importe où, sur n’importe quel appareil.

La préférence de zone alimentée par GSLB est une fonctionnalité qui s’intègre à Workspace, StoreFront et à l’appliance ADC pour permettre à l’utilisateur d’accéder au centre de données le plus optimisé en fonction de l’emplacement de l’utilisateur. Avec cette fonctionnalité, l’adresse IP du client est examinée lorsqu’une requête HTTP arrive à l’appliance Citrix Gateway, et l’adresse IP du client réel est utilisée pour créer la liste de préférences du centre de données qui est transférée à StoreFront.

Si l’ADC est configuré pour insérer l’en-tête des préférences de zone, StoreFront 3.5 ou version ultérieure peut utiliser les informations fournies par l’appliance pour réorganiser la liste des Delivery Controller et se connecter à un Delivery Controller optimal dans la même zone que le client. StoreFront sélectionne le serveur virtuel VPN de passerelle optimal pour la zone de centre de données sélectionnée, ajoute ces informations au fichier ICA avec les adresses IP appropriées et les envoie au client. StoreFront tente ensuite de lancer des applications hébergées sur les Delivery Controller du centre de données préféré avant d’essayer de contacter des contrôleurs équivalents dans d’autres centres de données.

Routage de passerelle optimisé HDX Insight

Figure 14 : Routage de passerelle optimisé HDX Insight

Moniteurs de disponibilité personnalisés

Citrix Gateway déployé avec Citrix Workspace garantit la fourniture efficace des applications. À l’aide de Citrix Gateway, les demandes utilisateur entrantes de l’application Citrix Workspace peuvent être équilibrées entre plusieurs nœuds StoreFront dans un groupe de serveurs. Alors que d’autres solutions utilisent des moniteurs de ports ICMP ou TCP simples, Citrix Gateway offre une surveillance approfondie de l’état des applications des services back-end exécutés sur les serveurs StoreFront et Delivery Controller.

Les services StoreFront sont surveillés en sondant un service Windows qui s’exécute sur le serveur StoreFront. Le service Windows Citrix Service Monitor n’a pas d’autres dépendances de service et peut surveiller et signaler l’échec des services critiques suivants sur lesquels StoreFront s’appuie pour un fonctionnement correct :

  • W3SVC (IIS)
  • WAS (Service d’activation des processus Windows)
  • CitrixCredentialWallet
  • CitrixDefaultDomainService

Citrix Gateway dispose également de moniteurs Delivery Controller personnalisés pour s’assurer que les Delivery Controller sont vivants et répondent avant que la charge Citrix Gateway n’équilibre la charge sur la ressource. La sonde moniteurs validera les informations d’identification d’un utilisateur et confirmera l’énumération de l’application pour confirmer si le service XML fonctionne. Cela empêche les scénarios de trou noir où des demandes peuvent être envoyées à un serveur qui ne répond pas.

Synthèse

Citrix Gateway possède le plus grand nombre de points d’intégration avec Citrix Workspace de toutes les solutions proxy HDX. Citrix Gateway fournit un accès distant sécurisé à Citrix Virtual Apps and Desktops et est complété par des fonctionnalités de visibilité et d’optimisation utiles pour garantir des performances utilisateur optimales. Citrix ADC fournit un équilibrage global intelligent de la charge du serveur qui améliore la disponibilité et l’expérience utilisateur. Les fonctionnalités suivantes améliorent la sécurité et l’expérience utilisateur :

  • Authentification contextuelle — Authentification multifactorielle (nFactor) pour valider l’utilisateur et l’appareil
  • Autorisation contextuelle : limite la disponibilité des applications et des postes de travail en fonction de l’utilisateur, de l’emplacement et des propriétés de l’appareil
  • Accès contextuel - Limiter l’accès aux fonctionnalités HDX en modifiant le comportement de connexion Citrix HDX
  • Surveillance de bout en bout - Identifier la source des retards et des problèmes de triage qui ont une incidence sur le rendement des utilisateurs
  • Transport réseau adaptatif — Offre une expérience utilisateur supérieure en répondant dynamiquement aux conditions changeantes du réseau
  • Routage optimal — Assurez une meilleure expérience utilisateur en lançant toujours des applications et des postes de travail à partir de la passerelle locale
  • Moniteurs de disponibilité personnalisés — Surveillance approfondie de l’état des applications des services back-end exécutés sur les serveurs StoreFront et Delivery Controller