Formation Expert. Microsoft Windows/Citrix XenApp

Formation Expert Microsoft Windows/Citrix XenApp

Table des matières Révisions certification XenApp 6.5 (1Y0-A20)... 3 1/ Les éditions et fonctionnalités de XenApp :... 3 2/ L architecture XenApp :... 4 3/ Élection du collecteur de données :... 5 4/ Les rôles XenApp :... 8 5/ Data Store & Local Host Cache (IMALHC.mdb) :... 9 6/ Service IMA :... 10 7/ Les zones :... 10 8/ Les composants supplémentaires :... 11 9/ La console d administration de Citrix (AppCenter) :... 12 10/ Les licences... 14 11\ Prérequis d installation de XENAPP 6.5... 17 12\ Question à se poser avant l installation... 19 13\ Installation du serveur de licence... 21 14\ Installation de XenApp 6.5 + Interface Web... 30 15\ Configuration de XenApp 6.5 :... 36 15\ Configuration de la Web Interface pour le client Receiver :... 42 16\ Installation des Hotfix XenApp :... 46 17\ Activation du serveur de licence RDS (Remote Desktop Service) :... 48 18\ Affectation manuel du serveur de licence RDS (Remote Desktop Service) :... 53 19\ Affectation via GPO du serveur de licence RDS (Remote Desktop Service) :... 55 20\ Création et administration des «Groupes de tâches» :... 59 21/ Les privilèges administratif et les permissions :... 60 22/ Configuration des logs :... 61 Microsoft Windows Server 2008 (Certification 70-640)... 62 Chapitre 1... 62 Chapitre 2... 68 Chapitre 3... 72 Chapitre 4... 73 Chapitre 5... 75 Chapitre 6... 76 Chapitre 7... 80 Chapitre 8... 84 Chapitre 9... 86 Chapitre 10... 91 1

Chapitre 11... 98 Chapitre 12... 104 Chapitre 13... 107 Chapitre 14... 115 Chapitre 15... 118 Chapitre 16... 121 2

Révisions certification XenApp 6.5 (1Y0-A20) Description : Citrix XenApp 6.5 est une solution de gestion d applications centralisées et accessibles par les utilisateurs depuis n importe quel type de périphérique. La solution fonctionne à partir d un OS Microsoft Windows Server 2008 R2 afin de distribuer des applications à la demande. Le but de cet article est de vous apprendre l essentiel du produit afin que vous puissiez passer votre certification Citrix XenApp 6.5 (1Y0-A20). 1/ Les éditions et fonctionnalités de XenApp : Il existe 3 éditions de XenApp 6.5 : Advanced Edition (Contient le strict minimum pour publier des applications) Enterprise Edition (Contient des fonctionnalités avancées par rapport à l édition basique) Platinum Edition (La version la plus complète) XenApp 6.5 possède de nombreuses fonctionnalités qui sont pour certaines présentent dans toutes les versions de XenApp et d autres accessibles qu à partir de la version Enterprise ou Platinum. Liste des fonctionnalités présentent dans toutes les versions de XenApp 6.5 : Self-Service Application Any Device Anywhere High Definition User Experience (Technologie HDX) Secure By Design Single Instance Management Enterprise Class Scalability Liste des fonctionnalités présentent uniquement dans les éditions Enterprise et Platinum : VM Hosted Applications (Permet de publier des applications à partir de postes clients virtuel sous Windows XP, Vista ou Seven) Installation Manager (Permet de déployer automatiquement des applications ou patchs sur plusieurs serveurs) Profile Management (Permet la sauvegarde des paramètres des profils utilisateur ainsi que le déploiement de profil à la demande) Health Monitoring and Recovery (Permet de surveiller la santé des serveurs et d activer des actions automatique cas de panne) Server Preference and Failover Power and Capacity Management 3

Lise des fonctionnalités présente uniquement dans l édition Platinum : Provisionning Services (Contient des images de serveurs virtuel ou physique prête à être déployé) Smart Access With Citrix Access Gateway (Permet de granuler les autorisations accordés aux users accédant à Citrix via un VPN SSL) HDX Broadcast Branch Optimization (Optimise la compression des flux pour améliorer l expérience des connexions WAN) Load Testing Services (Permet de réaliser des tests de charges utilisateurs avec des scripts spécifiques) Service Monitoring Preferential Load Balancing (Permet d appliquer des priorités à une population d utilisateur sur la répartition de charge) Single Sign-On and Password Management (Permet d activer la gestion des mots de passe via SSO dans les différentes applications) Smart Auditor (Permet d enregistrer des sessions utilisateurs en vue d un éventuel diagnostic technique) 2/ L architecture XenApp : L architecture XenApp est composée des serveurs suivants : Un poste utilisateur muni du client Citrix Receiver Un serveur hébergeant la Web Interface (Interface Web permet l accès aux applications via un portail web ou via le client Citrix Receiver) Un serveur dans la zone hébergeant le rôle de Data Collector (Collecteur des données dynamique de la zone, comme les informations de charge des serveurs, le nombre de sessions active par serveur, ) Des serveurs de présentation XenApp sur lesquels seront publiées les applications (Installées ou streamées). Les applications peuvent être load balancé au sein d une même ferme uniquement. Un serveur de Licence RDP/Citrix (Il faut autant de licence RDP que de licence Citrix pour que XenApp fonctionne. Citrix utilise toujours un mode de licence en utilisateurs simultanées). Un serveur SQL faisant office de Data Store (Magasin de donnée qui sera chargé de stocker la configuration de la ferme, les applications publiées, les serveurs, les administrateurs et les imprimantes). Une ferme de serveur Citrix possède un seul Data Store qui peut fonctionner sous Microsoft SQL Server Express, Microsoft SQL Server ou Oracle. Des zones qui permettent de regrouper géographiquement des serveurs afin d améliorer les communications WAN. Une zone collecte les données de ses serveurs membres via un collecteur de données unique au sein de la zone. Un contrôleur de domaine Active Directory afin de créer des groupes de sécurité ou des utilisateurs pour les publications Citrix. Des groupes de travail également nommé Worker Groups, qui permettent de rassembler plusieurs serveurs en un seul groupe afin d y publier rapidement des applications ou des stratégies en même temps. 4

Lors de la création d une nouvelle ferme Citrix, le premier serveur de la ferme devient automatiquement le collecteur de données (Rôle «Controller») pour cette ferme et héberge ainsi le service XML BROKER. Les autres serveurs Citrix qui rejoindrons la ferme hébergerons les applications ainsi que les sessions utilisateurs (Rôle «Sessions Host Only»). Il est recommandé de choisir un serveur Citrix dédié pour héberger le rôle de collecteur de données. Ce serveur aura également pour fonction d alimenter le data store à l aide des données dynamique qu il collectera auprès des autres serveurs. 3/ Élection du collecteur de données : En cas de panne du contrôleur (data collector), il y aura une élection automatique afin qu un autre serveur de la ferme exécute cette fonction. Le processus d élection s effectue de trois manières: 1/ Le serveur ayant la priorité la plus élevé dans les paramètres d élection sera nommé collecteur de données. 2/ Si tous les serveurs de la ferme possède le même paramètre de priorité, c est alors le serveur qui possède la version de XenApp la plus élevé qui sera élue. 5

3/ Si tous les serveurs de la ferme possèdent la même version de XenApp, c est le serveur possédant le numéro de «Host ID» le plus élevé qui sera élue. A l installation d un serveur Citrix dans une ferme, ce dernier prend possession d un ID aléatoire et unique dans la ferme. Pour connaitre le «Host ID» d un serveur, il faut télécharger l outil «QueryHR» sur le site de Citrix à l adresse suivante : http://support.citrix.com/article/ctx106320/ NB : «QueryHR» n est pas installé par défaut mais figure également sur le CD d installation. Une fois téléchargé, il faudra déposer «QueryHR.exe» dans le répertoire «C:\Windows\System32«Pour utiliser «QueryHR» et récupérer les informations concernant tous les serveurs de la ferme, il suffit d ouvrir une invite de commande DOS et taper la commande «QueryHR» : «QueryHR.exe» possède les options suivantes : QueryHR -z : Permet d afficher le nom des zones disponibles dans la ferme 6

QueryHR -h «zonename» : Permet d afficher des informations sur les serveurs membres de la zone spécifiée en paramètre QueryHR -l : Permet d afficher les informations concernant l hôte XenApp sur lequel la commande est exécutée. QueryHR -n hostname : Permet d afficher des informations sur le serveur spécifié par son hostname en paramètre QueryHR -i «host ID»: Permet d afficher des informations sur le serveur spécifié par le Host ID en paramètre 7

QueryHR -N : Permet d afficher le nom de la ferme NB : Il faut être administrateur de la ferme Citrix afin d exécuter cette commande. Une fois les rôles attribués, si vous souhaitez modifier les rôles «Sessions Host Only» ou «Controller», il faudra sortir le serveur de la ferme et le réintégrer avec les nouveaux rôles. 4/ Les rôles XenApp : Lors de l ajout d un serveur dans la ferme Citrix, il est possible de lui attribuer des rôles. Après installation, si on souhaite modifier le rôle, il faudra sortir le serveur de la ferme et le réintégrer en spécifiant le bon rôle : Remarque : Selon l édition sélectionnée précédemment, vous aurez plus ou moins de rôles disponibles. L édition Platinum permet d avoir l intégralité des rôles. Les rôles peuvent être ajoutés ou supprimés depuis l outil de configuration «XenApp Server Role Manager». Description des rôles disponibles : Serveur de licences : Installe le gestionnaire de licence sur votre serveur. Ce serveur sera celui qui répondra aux requêtes lors de demande de licences. (Peut-être installé sur un serveur n exécutant pas XenApp) 8

XenApp : Installe le rôle XenApp sur votre serveur pour permettre la publication d applications de manière centralisées Interface Web : Installe le rôle Interface Web permettant l accès aux applications publiées. (Peut-être installé sur un serveur n exécutant pas XenApp) Merchandising Server : Ce rôle permet de déployer les Plug-in client (Ex : Client Receiver) sur les postes utilisateur. Ce rôle doit être installé sur un serveur dédié à ce rôle. (Remarque : il s agit d une appliance virtuelle et en tant que telle requiert une machine virtuelle) Service Single Sign-On : Ce service s exécute sur un serveur Web et offre des fonctionnalités de gestion de mot de passe optionnelles, comme le libre-service, l intégrité des données, la gestion des clés, le provisionning et la synchronisation des informations d identification. Secure Gateway : Permet de sécuriser l accès aux ordinateurs du réseau d entreprise exécutant Citrix XenApp et fournit une passerelle Internet sécurisée entre Citrix XenApp et les machines clientes. (Peut-être installé sur un serveur n exécutant pas XenApp) Administration de la Gestion de la capacité et de la consommation : Permet de réduire la consommation d énergie et de gérer la capacité du serveur XenApp en augmentant ou diminuant le nombre de serveur XenApp actif. (nécessite une ferme ayant plusieurs serveurs XenApp) EdgeSight Server : Permet de contrôler les performances du système et des sessions des infrastructures XenApp. (Peut-être installé sur un serveur n exécutant pas XenApp) Provisionning Services : Permet de virtualiser la charge d un serveur (système d exploitation, applications et configuration) en streamant la charge des serveurs à la demande sur des serveurs physiques ou virtuels. Serveur SmartAuditor : Permet d enregistrer les activités à l écran de toute session utilisateur. 5/ Data Store & Local Host Cache (IMALHC.mdb) : Le Data Store représente la base de données d une infrastructure Citrix et permet de stocker toutes les informations statique de la ferme comme : Les informations de configuration de la ferme La configuration des applications publiées La configuration des serveurs La gestion de la sécurité de la ferme La configuration des imprimantes Le nom et le port du serveur de licences Cette base de données peut être du type : Microsoft SQL Server Microsoft SQL Server Express Oracle 9

A des fins d optimisation et de continuité d activité, les serveurs XenApp possèdent une copie minimale du Data Store dans une base de données Microsoft Access locale nommée «IMALHC.mdb» ou plus communément appelé «LOCAL HOST CACHE». Cette base de données locale contient les informations des serveurs de la ferme, les applications publiées ainsi que les relations d approbation existante afin que les serveurs XenApp puissent continuer de fonctionner malgré une perte de communication avec le Data Store. Dans le cas où la ferme fonctionnerait en mode dégradé en utilisant le Local Host Cache, les serveurs ne pourront pas publier de nouvelles applications. Le service IMA interrogera la Data Store toutes les 30 minutes ou dès qu une modification de la configuration de la ferme sera détecté afin de savoir si le service est rétablie ou non. Si un changement de configuration était effectué, le service IMA contactera chaque serveur XenApp afin de mettre à jour le cache local. 6/ Service IMA : Le service IMA (Independant Management Architecture) fonctionne comme un bus de données qui véhicule des informations sur le réseau afin de communiquer avec les serveurs XenApp d une ferme. Ce service Windows présent dans chaque serveur XenApp communique au travers du port TCP 2512 (par défaut). Chaque serveur XenApp contact le collector de données via le service IMA afin de lui apporter des informations dynamique le concernant comme sa charge ou ses sessions utilisateurs active. 7/ Les zones : Les zones sont des groupements logiques de serveurs qui communiquent ensemble via un unique collecteur de données. Les collecteurs de données de chaque zone peuvent également communiquer entre eux pour s échanger des informations sur la charge de chaque zone. Généralement, les zones se basent sur des sous-réseaux. Lors de l installation d une ferme Citrix, le premier serveur XenApp est intégré dans une zone par défaut nommé «Default Zone» et devient ensuite le premier collecteur de données de la zone. Il est ensuite possible de créer plusieurs zones dont le nom pourra définir un site, une région, une ville, etc. Citrix recommande d utiliser qu une seul zone pour des performances optimales. Il n est pas conseiller de créer trop de zones. Par défaut les zones s échangent des informations à travers le réseau, augmentant ainsi la consommation de bande passante qui peut, dans certains cas, diminuer les performances au niveau du confort utilisateur. 10

NB : Si un serveur appartenant à une zone venait à être déplacé dans une autre zone, il est impératif de redémarrer ce dernier afin qu il récupère les informations de la nouvelle zone pour fonctionner correctement. 8/ Les composants supplémentaires : Load Manager (Gestionnaire du load balancing Citrix), permet de diriger les utilisateurs vers les serveurs les moins chargés de la ferme à l aide de règles d évaluation de charge définit par l administrateur. Access Gateway VPX qui permet de créer une appliance virtual dans le but d offrir un accès sécurisé supplémentaire à la ferme. Citrix XenApp Management Pack constitue une solution de monitoring de l ensemble de la batterie afin de surveiller la santé des serveurs et la disponibilité de ces derniers au sein de la ferme. Ce produit est compatible avec la technologie de Microsoft SCOM (Microsoft System Center Operations Manager 2007 (SP1). AppCenter constitue la console d administration (MMC : Microsoft Management Console) de Citrix. Toutes les tâches d administration essentielles comme la publication d applications, la gestion des droits, les stratégies Citrix, les règles d évaluation de charges, les zones etc Citrix Receiver and plug-ins constituent les clients Citrix. Ces derniers permettent un accès à la ferme Citrix depuis n importe quel système d exploitation (Windows, Linux, Macintosh) ou périphérique utilisateur (Tablette, iphone, Android). 11

9/ La console d administration de Citrix (AppCenter) : La console d administration de Citrix est disponible en cliquant sur «Start > All Programs > Citrix >Consoles de gestion > Citrix Delivery Services Consoles«. Cette console contient les sections suivantes : Alertes : Permet visualiser d un coup d œil les erreurs survenues sur la ferme Search : Permet de rechercher une application, un utilisateur ou un serveur sur la ferme My views : Permet de créer des vues personnalisées faisant office de raccourcis. Cela permet d avoir accès directement aux outils les plus fréquemment utilisé plutôt que d aller les chercher manuellement dans l arborescence de la console. 12

Hotfix Management : Permet de gérer la politique de mise à jour des serveurs Citrix. Il est également possible de comparer les Hotfix installés sur plusieurs serveurs de la ferme. Administrator : Permet de gérer les permissions attribuées à des groupes ou des utilisateurs afin de déléguer l administration de la batterie. Applications : Permet de publier des applications (en ligne ou hors ligne) ou du contenu aux différents clients. History : Permet de vérifier l historique de modifications apportées par chaque administrateur de la ferme. Load Balancing Policies : Permet de créer des stratégies concernant la répartition de charge Citrix. Il sera ainsi possible de priorisé des utilisateurs ou groupes pour la connexion à un serveur x ou y de la ferme, voire d appliquer une stratégie qu à une population bien définit de client. Load Evaluator : Permet de créer les calculateurs de charge des serveurs Citrix. Ces derniers seront appliqués à chaque serveur de la batterie et Load Manager se chargera d appliquer ces règles (Exemple : Il est possible de définir qu un serveur est chargé lors sont CPU atteint 90% d utilisation) Policies : Permet de créer des stratégies Citrix. Il est également possible de gérer la ferme via des GPO Active Directory. 13

Servers : Permet de voir l ensemble des serveurs de la ferme Worker Groups : Permet de créer des groupes de serveurs afin de mieux les gérer. Zones : Permet de gérer les zones ainsi que les serveurs de chaque zone Single Sign-On (SSO) : Permet de gérer la politique de gestion des mots de passe au sein de la ferme Citrix. La gestion des accès en authentification unique pour accéder aux applications. 10/ Les licences Pour fonctionner les serveurs XenApp doivent posséder des licences qui certifient que le produit peut fonctionner tout en étant en règle avec Citrix. Lorsqu un utilisateur se connecte à la ferme, ce dernier utilise une des licences disponible au moment de sa connexion. Une fois sa session clôturé, l utilisateur libèrera la licence qu il avait prise précédemment afin de la rendre disponible pour une future demande de connexion à la ferme. La gestion des licences peut être découpée en plusieurs parties : Le serveur de licences : Stock les fichiers de licences et répond aux requêtes des produits Citrix pour l obtention d une licence. Les fichiers de licences : Est un fichier «*.lic» qui contient les informations de licences d un produit Citrix La console d administration des licences : Permet de manager le serveur de licences Lorsqu on installe un serveur de licences et qu on n a pas encore déposé un fichier de licence valide, le serveur fonctionne directement avec une période de grâce de 30 jours pendant lesquels il est possible à deux utilisateurs seulement d utiliser le produit XenApp. Dans les précédentes versions de Citrix, cette période de grâce était historiquement de 96h. Après que le serveur de licences ait été installé et des licences enregistrées, si les serveurs XenApp de la ferme perdent le contact avec le serveur de licence, ils entrent automatiquement en période de grâce de 30 jours pendant lesquels ils continueront de fonctionner. Dans un environnement de production, un PCA comprenant le serveur de licence n est pas obligatoire car les 30 jours de grâce sont largement suffisamment aux 14

équipes techniques pour remonter un serveur de licence. Si vous souhaitez tout de même prévoir de la haute disponibilité sur ce composant, vous pouvez également effectuer une image du serveur que vous stockerez éteinte dans un coin de votre réseau. Le jour où votre serveur de licences devient indisponible, il vous suffira de mettre en ligne la copie de votre serveur de licence qui disposera de la même adresse IP, des mêmes fichiers de licence et du même nom de machine afin que les serveurs de la ferme puissent continuer de communiquer avec lui automatiquement. Si vous ne souhaitez pas conserver le même nom de machine, vous pouvez utiliser un nom différent mais l opération nécessitera de modifier le serveur de licence au niveau des paramètres d un serveur Citrix ou de la ferme (solution plus couteuse). Les fichiers de licences existant ne fonctionneront plus car ils ne porteront pas le même nom que le serveur de backup. Il faudra donc réattribuer les licences pour le nom du nouveau serveur via l interface du site web MyCitrix. Dernière solution, il est également possible d utiliser un cluster Microsoft comprenant plusieurs nœuds de serveurs de licence. Dans cette situation, le fichier de licence devra contenir le nom du cluster et pas le nom de machine d un nœud composant ce cluster. Des licences peuvent être consommées de façon multiple dans les situations suivantes : Si un utilisateur se connecte à la ferme via différents périphériques, il consommera autant de licences que de périphériques depuis lequel il sera connecté. Si des serveurs de la ferme sont configurés pour se connecter à différent serveurs de licences, l utilisateur consommera des licences sur chaque serveur de licence configuré. Si les serveurs de la ferme utilisent une version de Citrix différentes, l utilisateur consommera une licence pour chaque version de Citrix. Citrix XenApp 6.5 fonctionne uniquement avec des serveurs de licences en version 11.9.x. Si le serveur de licence possède une version antérieure, il faudra migrer ce dernier. La migration n est possible qu à partir de la version 11.x du serveur de licence. XenApp fonctionne avec autant de licences Citrix que de licences RDS (Remote Desktop Services). 15

Il est possible de faire un GPO pour configurer automatiquement les serveurs Citrix qui rejoignent la ferme en leur indiquant le nom du serveur de licences RDS. Le serveur de licence peut être géré via un navigateur web. Lorsqu on installe le serveur de licence sur un serveur XenApp, le setup installe un serveur apache qui s exécute via le processus «lmadmin.exe» sur le port 8082 par défaut. Pour accéder à l interface web du serveur de licence Citrix, il suffit de taper l url suivante : http://[hostname-serveur-licence]:8082 Ou cliquer sur «Start > All Programs > Citrix > Management Consoles > License Administration Console» Le serveur de licence utilise les ports de communication suivant par défaut : Citrix Vendor Daemon : 7279 NB : Citrix Vendor Daemon est un processus chargé de gérer les fichiers de licences importés sur un serveur de licences. Ainsi, vous serez capable de connaitre le nombre total de licence attribués, disponibles etc. Port de communication du serveur de licence : 27000 NB : Les serveurs de la batterie communique avec le serveur de licence pour demander des licences utilisateurs ou logiciels via le port 27000. Port d accès à la console du serveur de licence : 8082 Ces ports par défaut peuvent être configurés pendant l installation du serveur de licence ou post-installation. La modification d un de ces ports nécessite un redémarrage du service de licences. Par défaut, tous les utilisateurs ont accès à la console de gestion des licences Citrix. L administrateur peut néanmoins protéger l accès par un mot de passe. L installation du serveur de licence nécessite l installation des prérequis suivant : Microsoft Visual C++ 2008 Redistribuable Microsoft MSI Utility version 3.x 16

NB : Il est recommandé d installer le serveur de licence en premier lors de l installation d une nouvelle plateforme Citrix. Le fichier de licence «Licence.lic» contient le nom du serveur de licence. Si vous souhaitez attribuer la licence à un autre serveur de licence, il faudra renvoyer la licence à Citrix afin qu elle génère un nouveau fichier de licence. Les fichiers de licences sont stockés sur le serveur de licence dans le répertoire : %Program Files%\Citrix\Licensing\MyFiles. Pour demander un fichier de licence, il faut aller sur le site web MyCitrix.com et s authentifier avec ses identifiants. 11\ Prérequis d installation de XENAPP 6.5 Pour installer XenApp 6.5 il vous faut l ISO que vous pouvez télécharger sur le site de Citrix. Le serveur sur lequel vous allez installer XenApp ne doit pas être un contrôleur de domaine et doit respecter les caractéristiques suivantes : CPU 64 Bits 512 Mo de RAM (minimum) 32 Go de disque dur (minimum) L installation du composant AppCenter nécessite les composants software suivants :.NET Framework 3.5 SP1 (Installé automatiquement par le setup) MMC 3.0 (Installé automatiquement par le setup) MS Visuel C++ 2005\2008 SP1 Redistribuable x64 (Installé automatiquement par le setup) L installation du composant Web Interface nécessite les composants software suivants : IIS (Internet Information Service) (Installé automatiquement par le setup) Authentification Windows (Vérifier la présence de ce paramètre IIS) Authentification par mappage de certificat client (Vérifier la présence de ce paramètre IIS) ASP.NET 3.5 (Vérifier la présence de ce paramètre IIS) Visual J#.NET Framework (Installé automatiquement par le setup) 17

L installation du composant XenApp installe automatiquement les composants suivants : Microsoft.NET 3.5 SP1 GPMC (Group Policy Management Console) Windows Application Server Role Microsoft Windows Installer (MSI) 3.0 Microsoft Remote Desktop Services «Session Host» rôle Microsoft Visual C++ 2005\2008 SP1 Redistribuable x64 Microsoft Primary Interoperability Assemblies 2005 Le composant XenApp Server Role Manager permet d installer les composants Citrix suivants : Citrix License Server XenApp Server Web Interface Server Single Sign-On services (Platinum Edition only) Power and Capacity Management Administration (Enterprise et Platinum Editions only) EdgeSight Server (Platinum Edition only) Provisionning Services (Platinum Edition only) L installation du composant Citrix Licensing nécessite les composants software suivants : Microsoft.NET Framework 3.5 IIS ASP.NET Pendant l installation d un serveur XenApp, l outil SCT (Server Configuration Tool) permet de configurer l installation et d ajouter des rôles supplémentaires. A l installation, il est possible de définir les options suivantes : Créer et joindre une ferme Indiquer le data store à utiliser (Sélection du serveur de base de données) Indiquer le port du service XML Ajouter des utilisateurs dans le groupe «Bureau d accès à distance» Configurer les paramètres d observation Supprimer un serveur de la ferme Indiquer le mode du serveur ainsi que sa zone Préparer une image de serveur pour le provisionning Indiquer le nom du serveur ainsi que l URL de la Web Interface utilisé par le client Citrix Receiver 18

Lorsque vous utilisez l outil SCT pour préparer des images de serveurs dédiés au provisionning de serveurs Citrix, il faut utiliser un serveur de la ferme qui respecte les exigences suivantes : Le serveur ne doit pas être le seul serveur de la ferme Le serveur ne doit pas être le Data Collector Le serveur ne doit pas être le Data Store Le serveur ne doit pas être le serveur de licence 12\ Question à se poser avant l installation Avant l installation d une nouvelle ferme Citrix, imaginez et définissez à l avance l architecture cible en répondant à des questions essentielles du type : Combien de ferme? Le nom de la ferme? Combien de zone? Utiliser les ports par défaut ou des ports personnalisés? Quel serveur hébergera quel rôle? Les rôles seront-ils mutualisés sur un même serveur? etc - Définitions : Une ferme : Une ferme Citrix est un regroupement de serveur qui peut être managé comme une simple entité. La ferme utilise un unique magasin de données pour stocker la configuration de la ferme ainsi que les applications publiées. Une zone : Une zone est un regroupement logique de serveurs d une ferme. La première zone créée se nomme «Défault Zone». Il est possible de personnaliser le nom de zone pour lui donner un nom plus explicite. On utilise généralement des zones pour situer des serveurs géographiquement. Pour optimiser les performances, Citrix recommande l utilisation que d une seule zone. - Sur quel type de serveur SGBD installer la ferme? L installation du Data Store peut s effectuer sur différentes technologie de serveur de base de données : Microsoft 2008 R2 Express Microsoft 2008 Express SP3 Microsoft 2008 R2 Microsoft 2008 SP2 Microsoft 2005 SP4 Oracle 11g R2 32-bit Enterprise Edition 19

NB : Lors de l installation du Data Store sur une infra Microsoft SQL 2008 Express, l outil SCT (Server Configuration Tools) configure le produit en créant une instance nommée «CITRIX_METAFRAME» et une base de données nommée «MF20». - Est-ce que l observation sera activée? Lors de l installation de XenApp, il est possible d autoriser l observation de sessions utilisateurs via trois options : Interdire l observation Autoriser l observation et forcer l apparition d une boite de dialogue pour prévenir l utilisateur avant d observer sa session Enregistrer toutes les sessions d observation - Quel port utiliser pour l exécution du service XML? Par défaut, le service XML utilise le port 80. Si IIS est également installé sur le serveur, il est possible de partager le port 80 avec IIS et le service XML. Citrix recommande toutefois l utilisation d un port différent que le port par défaut. - Quand ajouter des utilisateurs dans le groupe «Utilisateur du bureau à distance»? Pour se connecter aux applications publiées sur les serveurs Citrix, les utilisateurs doivent appartenir au groupe des «Utilisateur du bureau à distance» du serveur. On peut sélectionner les groupes ou utilisateurs habilités pendant ou après l installation de XenApp. - L authentification unique sera-t-elle utilisée? L authentification unique permet à un utilisateur d accéder à la plateforme XenApp sans devoir saisir à nouveau ses identifiants de sécurité Windows. Les informations d authentification fournit à l ouverture de la session Windows seront utilisés pour accéder aux ressources publiées. - Le cryptage IMA sera-t-il il implémenter pour protéger les informations stockées dans le Data Store ou les logs de la base de données? Le cryptage IMA ajoute une couche de sécurité supplémentaire. Cette action peut être faite avant ou après l installation de XenApp. Si vous décidez d activer le cryptage après l installation de XenApp, il faudra utiliser l utilitaire CTXKeyTool en ligne de commande. 20

13\ Installation du serveur de licence 1 Insérez le DVD d installation de XenApp 6.5 dans votre lecteur : 2 Exécutez le fichier «autorun.exe» : 3 Cliquez sur «Manually install components» : 4 Cliquez sur «Common Components» : 21

5 Cliquez sur «Citrix Licensing» : 6 Si vous n avez pas installé le pré requis «Microsoft.NET Framework 3.5», vous obtiendrez le message suivant. Cliquez sur «OK» : 7 Cliquez sur «Terminer» pour aller installer le pré requis manquant : 22

8 Démarrez «Server Manager» : 9 Sélectionnez «Features» : 10 Cliquez sur «Add Features» : 11 Cochez l option «.NET Framework 3.5.1 Features» : 12 Cliquez sur «Add Required Role Services» : 23

13 Cochez l option «Windows Process Activation Service» et cliquez sur «Next» : 14 Cliquez sur «Next» : 15 Cliquez sur «Add Required Role Services» : 24

16 Cochez l option «Request Filtering» et cliquez sur «Next» : 17 Cliquez sur «Next» : 18 Cliquez sur «Close» : 25

19 Exécutez de nouveau l autorun de XenApp, cochez la case et cliquez sur «Suivant» : 20 Sélectionnez l emplacement d installation du serveur de licence puis cliquez sur «Installer» : 21 Cliquez sur «Terminer» : 26

22 Modifiez si besoin les ports par défaut des différents composants du serveur de licence, spécifiez un mot de passe d administration du serveur de licence et cliquez sur «OK» : 23 Démarrez votre navigateur Web : 24 Tapez l URL «http://localhost:8082/», où «8082» représente le port de gestion de la console web du serveur de licence : 25 Dès que vous êtes sur l interface web du serveur de licence, cliquez sur «Administration» : 27

26 Tapez le mot de passe du compte «Admin» que vous avez saisi précédemment pendant l installation et cliquez sur «Envoyer» : 27 Vous êtes désormais sur l interface web du serveur de licence : 28 Cliquez sur le bouton «Configuration du démon vendeur» puis sur «Importer licence» : 28

29 Cliquez sur «Browse» : 30 Sélectionnez le fichier de licence que vous avez récupéré sur le site de Citrix «www.citrix.com/mycitrix» et cliquez sur «Open» : 31 Cliquez sur «Importer licences» : 32 Cliquez sur «OK» après le message indiquant que la licence a bien été importée : 29

14\ Installation de XenApp 6.5 + Interface Web NB : L utilisation d un compte administrateur du domaine est recommandée pour effectuer l installation. Le premier serveur XenApp installée dans la ferme sera automatiquement considéré comme Data Collector. 1 Insérez le DVD d installation de XenApp 6.5 dans votre lecteur : 2 Exécutez le fichier «autorun.exe» : 3 Cliquez sur «Install XenApp Server» : 30

4 Cliquez sur «Ajouter / supprimer des rôles de serveur» : 5 Cliquez sur «Ajouter des rôles de serveur» : 6 Sélectionnez l édition de votre choix. Dans notre cas, nous allons cliquer sur «l Edition Platinum» qui offre le plus grand nombre de fonctionnalités : 31

7 Cochez la case «J accepte le contrat de licence» et cliquez sur «Next»: 8 Cochez la case «XenApp» : 9 Cochez la case «Interface Web» et cliquez sur «Next» : 32

10 Cliquez sur «Next» : 11 Cliquez sur «Next» : 12 Cliquez sur «Installer» : 33

13 Cliquez sur «Finish» : 14 Cliquez sur «Redémarrer» : 15 Cliquez sur «Yes» afin de redémarrer immédiatement le serveur : 34

16 Au redémarrage du serveur, cliquez sur «Reprendre l installation» : 17 Cliquez sur «Installer» : 18 Cliquez sur «Finish» : 35

15\ Configuration de XenApp 6.5 : 1 Après l installation de XenApp, cliquez sur «Spécifier les licences» : 2 Tapez le nom du serveur de licence, laissez le port par défaut et cliquez sur «Tester la connexion» : 3 Cliquez sur «Fermer» si la connexion au serveur de licence est parfaitement établie : 36

4 Cliquez sur «Suivant» : 5 Vérifiez que «XenApp» est bien coché puis cliquez sur «Appliquer» : 6 Cliquez sur «Configure» : 7 Cliquez sur «Create a new server farm» : 37

8 Tapez le nom de la ferme CITRIX et cliquez sur «Next» : 9 Sélectionnez «New database» et cliquez sur «Next» : NB : Dans un environnement de production comportant plusieurs serveurs dans la ferme CITRIX, il est indispensable de sélectionner un système de base de données d entreprise tel quel Microsoft SQL Server 2008 ou Oracle 11g. 38

10 Tapez les identifiants du compte d administrateur qui a servi à faire l installation de XenApp puis cliquez sur «OK» : 11 Cliquez sur «Next» : 12 Cochez la case «Force a shadow acceptance popup» et cliquez sur «Next» : NB : Cette option permet d afficher une popup à l utilisateur lorsqu un administrateur souhaite observer la session de ce dernier. 39

13 Sélectionnez «Data Collector», cochez la case «Use a custom zone name» et tapez le nom de votre zone : NB : Par défaut, si vous ne spécifiez pas de nom de zone personnalisé, le nom de la zone sera «Default zone». 14 Sélectionnez «XML Service», cochez la case «Use a custom XML Service TCP/IP port» et tapez le numéro de port à utiliser pour le service XML : NB : Par défaut, si vous n indiquez pas un numéro de port spécifique, le port 80 sera utilisé. Si IIS est installé sur le serveur XenApp, le service XML partagera le port 80 avec IIS. Des manipulations supplémentaires seront à prévoir (Exemple : Cocher la case «Intégration de IIS au service XML» pendant l installation de XenApp. 40

15 Sélectionnez «Remote Desktop Users», décochez la case «Add Anonymous Users» et cliquez sur «Next» : 16 Cliquez sur «Apply» : 17 Cliquez sur «Suivant» : 41

18 Cliquez sur «Redémarrer» : 19 Cliquez sur «Yes» : 15\ Configuration de la Web Interface pour le client Receiver : NB : Pour communiquer avec la ferme, un utilisateur utilise un client Citrix (Client web ou client Receiver). Le processus est le suivant concernant un client web : a) Un utilisateur s authentifie à la web interface b) La web interface transmet les informations d authentification aux serveurs de la batterie via le service XML c) Les serveurs de la batterie transmettent les identifiants à un contrôleur de domaine pour l authentification d) Le service XML informe la web interface que l utilisateur est authentifié e) La web interface affiche les applications disponible et l utilisateur clic sur l application de son choix f) La web interface contact le service XML pour savoir quel serveur de la batterie est le moins chargé g) Le service XML renvoi le nom du serveur le moins chargé de la batterie ainsi qu un ticket sécurisé h) La web interface génère automatiquement un fichier ICA (Launch.ica) contenant ces 42

informations et le transmet à l utilisateur i) Le plugin web de l utilisateur interprète le fichier ica afin de se connecter directement au serveur de la ferme via le protocole ICA Il y a deux types de web interface : XenApp Web : Permet aux clients d accéder aux applications publiées via une page web XenApp Services : Permet aux clients d accéder aux applications publiées via le client Receiver 1 Cliquez sur «Configurer» au niveau de la catégorie «Interface Web» : 2 Sélectionnez «XenApp Services Sites» et cliquez sur «Create Site» : 43

3 Cliquez sur «Next» : 4 Cliquez sur «Next» : 5 Cliquez sur «Next» : 44

6 Tapez le nom de la ferme CITRIX, ajouter le serveur hébergeant l interface Web Cliquez sur «Next» : 7 Cliquez sur «Next» : 8 Cliquez sur «Finish» : 45

9 Le site web «XenApp Services Sites» apparait dans la console de gestion de l interface web : 16\ Installation des Hotfix XenApp : NB : Il faut installer les correctifs Citrix sur l ensemble des serveurs de la batterie en commençant par le serveur faisant office de Data Collector. Si l ordre n est pas respecté, l élection des collecteurs de données sera modifiée car le serveur le plus à jour deviendra collecteur de données. Dans notre cas, nous installerons les correctifs «XA650W2K8R2X64001.msp» et «XA650W2K8R2X64002.msp» récupérable sur le site de Citrix à l emplacement suivant : http://support.citrix.com/product/xa/v6.5_2008r2/?lang=fr&tab=tab-hotfix#tab-hotfix 1 Cliquez sur «Start / Run» : 2 Tapez «cmd» et cliquez sur «OK» : 3 Tapez la commande «change user /install» pour basculer votre serveur en mode d exécution prévu pour l installation d applications : 46

NB : La commande «change user /query» permet de connaitre le mode d exécution actuel du serveur. 4 Exécutez le premier HotFix que vous avez en double cliquant dessus : 5 Cliquez sur «Suivant» : 6 Cliquez sur «Fermer» : NB : Répétez la même opération pour l installation des Hotfix suivants. 7 Cliquez sur «OK» pour redémarrer le système : 47

17\ Activation du serveur de licence RDS (Remote Desktop Service) : Les produits CITRIX XenApp fonctionnent à l aide des services TS. C est pourquoi, un des serveurs de l architecture doit posséder le rôle de serveur de licence RDS et chaque serveur de présentation doit posséder la couche RDS. Dans une infrastructure, les serveurs de licences CITRIX et RDS sont souvent mutualisé sur le même serveur. Il est possible d activer votre serveur plus tard grâce à la période de grâce de 120 jours. 1 Cliquez sur «Server Manager» de votre serveur de licence CITRIX / RDS : 2 Assurez-vous que le rôle RDS a bien été installé et cliquez sur «Remote Desktop Services» : 3 Cliquez sur «Add Role Services» : 48

4 Cochez la case «Remote Desktop Licensing» et cliquez sur «Next» : 5 Cochez la case «Configure a discovery scope for this licence server» et cliquez sur «Next» : 6 Cliquez sur «Install» : 49

7 Cliquez sur «Close» : 8 Cliquez sur «Start / All Programs / Administrative Tools / Remote Desktop Services / Remote Desktop Licensing Manager» : 9 Vous pouvez ainsi voir que votre serveur de licence RDS n est pas activé : 50

10 Pour l activer, faites un clic droit sur votre serveur et cliquez sur «Activate Server» : 11 Cliquez sur «Next» : 51

12 Sélectionnez la méthode de connexion «Web Browser» et cliquez sur «Next» : 13 Connectez-vous sur le site web «http://activate.microsoft.com» muni de votre Product ID. Tapez ensuite votre ID du serveur de licence et cliquez sur «Next» : 52

18\ Affectation manuel du serveur de licence RDS (Remote Desktop Service) : Dans une infrastructure CITRIX, chaque serveur de la ferme doit être configuré afin de lui spécifier le serveur de licence RDS à utiliser. Cette action est possible manuellement mais Microsoft recommande toutefois l usage d une GPO pour paramétrer automatiquement l ensemble d une ferme de plusieurs serveurs XenApp. 1 Cliquez sur «Start / Administrative Tools / Remote Desktop Services / Remote Desktop Session Host Configuration» : 2 Double cliquez sur «Remote Desktop license servers» : 53

3 Sélectionnez «Per User» et cliquez sur «Add» : 4 Sélectionnez le serveur de licences à déclarer ou tapez son alias si ce dernier existe et cliquez sur «Add» : 5 Cliquez sur «OK» et fermez la console : 54

NB : Pour augmenter la tolérance de panne, il faudra configurer et ajouter au moins un deuxième serveur de licences RDS 19\ Affectation via GPO du serveur de licence RDS (Remote Desktop Service) : NB : Nous avons vu précédemment comment spécifier à un serveur XenApp le serveur de licence RDS à utiliser en effectuant une opération manuelle. Pour éviter d avoir à reproduire la procédure sur plusieurs serveurs, nous examinerons la possibilité d utiliser les GPO (Group Policy Object) d Active Directory afin de centraliser le paramétrage sur le domaine et le diffuser sur l ensemble des serveurs concernés par la GPO. 1 Sur votre contrôleur de domaine, cliquez sur «Start / Administrative Tools / Group Policy Management» : 2 Développez l arborescence, faites un clic droit sur l OU de votre choix et cliquez sur «Create a GPO in this domaine, and Link it here» : 55

3 Tapez le nom de votre GPO et Cliquez sur «OK» : 4 Sélectionnez votre GPO, faites un clic droit dessus et cliquez sur «Edit» : 5 Développez l arborescence jusqu à sélectionner le dossier suivant «Computer Configuration \ Policies \ Administrative Template \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Licensing» et double cliquez sur «Use the specified Remote Desktop license servers» : 56

6 Cochez la case «Enabled», tapez le nom du serveur de licence RDS puis cliquez sur «OK» et fermez l éditeur de stratégie de groupe : 7 Double cliquez sur «Set the Remote Desktop licensing mode» : 8 Cochez la case «Enabled», sélectionnez l option «Per User», cliquez sur «OK» et fermez l éditeur de GPO : 57

9 Sélectionnez «Authenticated Users» et cliquez sur «Remove» : 10 Cliquez sur «OK» : 11 Cliquez sur «Add» : 12 Tapez le nom d un groupe de sécurité comportant vos serveurs XenApp et cliquez sur «OK» : 58

NB : Si vous ne possédez pas de groupe de sécurité englobant vos serveurs XenApp, il faudra que vous en créiez un. 13 Cliquez sur l onglet «Détails» et sélectionnez l option «User configuration settings disabled» : 14 Cliquez sur «OK» et fermez la console de gestion des stratégies de groupes : 20\ Création et administration des «Groupes de tâches» : Les «Groupes de tâches» ou «Worker Group» en anglais permettent à un administrateur CITRIX de regrouper des serveurs d une même batterie dans une unité de gestion. Grâce à ces groupes de tâches, il est possible de : Publier une application à un groupe de serveurs afin de gagner du temps dans le déploiement de l application Prioriser des serveurs dans les règles de répartition de charge Filtrer des stratégies de sécurité pour appliquer des paramètres à un groupe de serveurs spécifique Lorsqu on publie une application, il est possible de la publier pour un groupe de tâche plutôt que pour un groupe d utilisateur. Le groupe de tâche contenant des serveurs de la batterie, l application sera donc automatiquement publiée à tous les serveurs contenu dans le groupe de tâche. Si un des serveurs appartenant au groupe de tâche ne contient pas l application publiée, il y a aura une erreur qui sera logué sur le Data Collector. Pour 59

éviter qu un utilisateur se retrouve sur un serveur qui ne possède pas l application, XenApp utilise «Application Installation Check» qui est un programme qui vérifie la présence ou non de l application installé sur le serveur. 21/ Les privilèges administratif et les permissions : Lors de la création d une ferme Citrix XenApp, l administrateur qui installe la ferme créé un compte d administration disposant d un contrôle total sur la ferme. Ce dernier aura ainsi la possibilité de créer d autres comptes d administration avec les niveaux d administration suivant : Administrateur avec contrôle total (Ne nécessite pas de licence d accès utilisateur) Administrateur en lecture seul (Nécessite l utilisation d une licence d accès utilisateur) Personnalisé (Nécessite l utilisation d une licence d accès utilisateur) Chaque administrateur de la ferme doit posséder un compte d administration unique afin que l on puisse plus facilement identifier les auteurs des différents changements de configuration sur l infrastructure quand les logs sont activés. Selon les best practices, il est recommandé d attribuer des droits à des groupes plutôt qu à des utilisateurs explicite. Par exemple, lors de la création d une ferme, créé deux groupes de sécurité : Un groupe contenant les administrateurs ayant un contrôle total Un groupe contenant les administrateurs ayant des droits restreints sur la ferme La gestion des droits personnalisés permet d afficher les droits à attribuer à un groupe d administrateur. Il sera ainsi possible de n autoriser qu une partie de la gestion de la ferme à défaut de ne pas pouvoir leur attribuer un contrôle total. Restreindre les droits permet de limiter le nombre de personne ayant accès au paramétrage complet de la ferme et ainsi limiter les erreurs. NB : Si deux administrateurs modifie en même temps le même paramètre dans la ferme, ce n est que le dernier à enregistrer le paramètre qui sera pris en compte. Dans la console AppCenter, il est possible de créer des dossiers pour organiser les applications publiées. Seul un administrateur ayant un contrôle total sur la ferme peut créer des dossiers. Une fois les dossiers créés, il sera possible d y affecter des autorisations spécifiques pour un groupe d administrateur. Ainsi, un technicien ayant des droits restreints sur la ferme ne pourra voir que les répertoires dont la vue lui aura été autorisée sur le répertoire parent. L arborescence de dossier créé dans la console 60

AppCenter ne sera visible que des administrateurs et ne reflète pas l arborescence final que verra l utilisateur au travers de son client Citrix. NB : Par défaut, un répertoire parent n est pas configuré pour propager la configuration des permissions aux répertoires enfants. Il faudra cocher une case pour autoriser la propagation des droits à l identique du paramétrage des permissions sur un système de fichiers NTFS. 22/ Configuration des logs : Les logs permettent de savoir «qui a fait quoi» sur la batterie de serveurs lorsque plusieurs administrations gèrent une ferme Citrix. Grâce à la configuration des logs, il sera ainsi possible de conserver un historique de l ensemble de modifications apportées à la ferme. Configurer les logs est donc important lorsque plusieurs modifications peuvent être apportées à la ferme car les informations suivantes seront ainsi enregistrées : Identité de l administrateur ayant fait un changement dans la configuration La date et l heure du changement L objet expliquant le changement et l élément impacté La configuration des logs implique l enregistrement de toutes les modifications de la ferme quelles soit faites via des lignes de commandes, la console d administration ou autres. Ces données sont enregistrées directement dans une base de données dédiée du Data Store. L option de configuration des logs ne supporte qu une seule ferme XenApp. Pour configurer une autre ferme, il faudra créer une autre base de données dédiée. NB : La communication des informations de logs issues des serveurs vers le Data Store peut être crypté à l aide de l outil CTXKEYTOOL 61

Microsoft Windows Server 2008 (Certification 70-640) Voici tout ce qu il vous faut savoir en vue d un passage de la certification 70-640 Chapitre 1 Microsoft Windows Server 2008 existe en version 32 ou 64 bits. La version Windows Server 2008 R2 est une version essentiellement en 64 bits. Pour installer la version complète de Windows Server 2008, il faut disposer au moins : 512 Mo de RAM 10 Go d espace disque libre Un processeur x86 cadencé au minimum à 1 GHz Un processeur x64 cadencé au minimum à 1,4 GHz Active Directory n est qu une solution de gestion des identités et des accès (IDA, Identity and Access). L infrastructure IDA se charge de : Mémoriser les informations sur les utilisateurs, les groupes et les autres identités. Authentifier une identité (Authentification Kerberos dans un domaine). Contrôler les accès (Exemple : ACL). Fournir une trace d audit. L infrastructure IDA est composée de 5 technologies : AD FS : Active Directory Federation Services AD LDS : Active Directory Lightweight Directory Services AD DS : Active Directory Domain Services AD CS : Active Directory Certificate Services AD RMS : Active Directory Rights Management Services AD DS : Active Directory Domain Services : [ANNUAIRE] Ce composant de l infrastructure IDA permet de fournir un service d authentification et d autorisation dans un réseau et prend en charge la gestion des objets au moyen de stratégies de groupes. Ce dernier fournit également une solution de gestion et de partage d informations à travers un annuaire et permet de trouver n importe quel objets au sein d un domaine Active Directory (Serveurs, utilisateurs, imprimantes, groupes, etc.). 62