Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer

Transcriptie

1 Mobility White Paper Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Gebruik Citrix XenMobile MDM en de Mobile Solutions Bundle voor het maken van een uniforme mobiliteit oplossing citrix.com Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 1 of 28

2 Citrix s Referentiearchitectuur voor Mobiele Apparaten en Applicatie Beheer begeleid architecten in het ontwerpen van de volgende generatie beheerdiensten voor mobiele apparaten en applicaties. Deze diensten stellen IT organisaties in staat controle te krijgen over de verspreiding van mobile apparaten in de onderneming. De Mobile Solutions Bundel (bundel voor mobile oplossingen) biedt een oplossing voor het veilig aanbieden van mobiele, web, Windows applicaties en data aan alle apparaten in het bedrijf. Dit document is bedoeld voor IT-architecten die kijken naar het implementeren en beheren van hun mobiliteits infrastructuur. Elk van deze gevalideerde architecturen zijn door Citrix gecertificeerd om te voldoen aan de veeleisende behoeften van het bedrijf voor prestatie en schaalbaarheid. Mobile Solutions Bundle De Mobile Solutions Bundle combineert XenMobile, (MDM, beveiliging en beheer van mobiele endpoints) met CloudGateway (een zelfbediening applicatiestore voor zakelijke toepassingen en gegevens) voor het bieden van een complete mobiele oplossing. Elk van deze onderdelen bevat infrastructuurcomponenten die nader worden beschreven in de volgende secties. XenMobile MDM CloudGateway XenMobile Device AppController Manager XenMobile SMG Access Gateway XenMobile SharePoint DLP StoreFront (Windows Desktops en Apps Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 2 of 28

3 XenMobile Device Manager (MDM) XenMobile Device Manager biedt geavanceerde beheermogelijkheden voor mobiele apparatuur zoals provisioning, geautomatiseerde compliance, en functies die mobiele applicaties Business-ready maken. Met een one-click dashboard, een eenvoudige beheerconsole, en real-time integratie met Microsoft Active Directory vereenvoudigt MDM het apparaat beheer in de hele onderneming. XenMobile MDM biedt mogelijkheden om de levenscyclus van het apparaat te beheren over alle grote platformen waaronder iphone, ipad, Android, BlackBerry, Symbian en Microsoft Windows 8. Het biedt out-of-the-box ondersteuning voor BYOD programma s of zakelijke mobiliteit initiatieven. XenMobile SMG XenMobile Secure Mobile Gateway (SMG) biedt de mogelijkheid mobiele te beveiligen met MDM beleid. Het laat mobiele gebruikers versleutelde bijlagen in een veilige viewer zien en voorkomt dat gevoelige bedrijfsinformatie buiten de controle van het bedrijf lekt op ios en Android apparaten. XenMobile SharePoint DLP XenMobile SharePoint DLP (Data Leak Prevention) biedt SharePoint toegang voor mobile apparaten via MDM beleid. Deze functie geeft beheerders beheer over de apparaten die toegang hebben tot SharePoint data terwijl de native mobiele app, Citrix Mobile Connect, de interface en beveiliging levert voor het bekijken van de documenten. CloudGateway Citrix CloudGateway is een beheeroplossing voor bedrijfsmobiliteit die veilige web, software as a Service (SaaS), Windows applicaties, en data levert. Het biedt Werknemers via een zelfbedienings appstore toegang tot bedrijfstoepassingen en data, gebruikmakend van de consistente, rijke gebruikerservaring van Citrix receiver. AppController AppController biedt toegang tot web, SaaS, mobiele applicaties en ShareFile. Dit onderdeel maakt het mogelijk om bedrijfstoepassingen en -data te beschermen met beleid gebaseerd beheer zoals beperking van applicatietoegang tot geautoriseerde Werknemers, wissen van gegevens van Werknemers die zijn vertrokken en remote wipe (wissen op afstand) van data en applicaties op apparaten die verloren zijn. StoreFront StoreFront, de volgende generatie van de Web interface, biedt een aantal diensten die door de Receiver worden gebruikt om toegang tot AppController en XenDesktop mogelijk te maken. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 3 of 28

4 ShareFile Citrix ShareFile is een Cloud gebaseerde follow-me-data oplossing. ShareFile stelt gebruikers in staat veilig gegevens op te slaan, te synchroniseren en te delen, zowel binnen als buiten het bedrijf. Het gebruik van ShareFile met CloudGateway biedt IT mogelijkheden voor integratie met de bedrijfsdirectory voor een gemakkelijke organisatie brede uitrol en beheer van gebruikersaccounts. Referentie Omgevingen Dit document begeleidt architecten door zich bewezen architecturen, gebaseerd op de bedrijfs brede eisen voor beheer van mobiele apparaten en applicaties. De volgende omgevingen zijn gevalideerd als referentie architecturen: XenMobile MDM XenMobile MDM Secure proxy Mobile Solutions Bundle Mobile Solutions Bundle XenDesktop (XD) Integratie Mobile Solutions Bundle Multi-Store Mobile Solutions Bundle High Availability Mobile Solutions Bundle NetScaler as proxy Het bepalen van de juiste architectuur wordt gebaseerd op de eisen van het bedrijf voor apparaat- of applicatiebeheer. De onderdelen van de bundel zijn modulair en bouwen op elkaar voort. De volgende tabel toont architecturen gebaseerd op mobiele technologieën. Voordat een beslissing wordt gemaakt is het belangrijk om het volgende vast te stellen: Welk niveau van beheer is vereist, app of apparaat, of beide? Welke typen applicaties moeten beheer en uitgerold worden? Welke data strategie is vereist, SharePoint of ShareFile? Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 4 of 28

5 XenMobile MDM Mobile Solutions Bundle Mobile Solutions Bundle XD Integration Device Security Control X X X Device Provisioning X X X Native App Delivery X X X SharePoint Integration X X X Web/SaaS App Delivery X X Mobile MDX Apps X X ShareFile Integration X X Mobile App Policies X X Mobile App Mgmt. X X Win Apps/Desktops X Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 5 of 28

6 XenMobile MDM Figuur 1 XenMobile MDM Referentiearchitectuur 1. XenMobile Device Manager (MDM) is de centrale server voor MDM die beleid, apparaten en gebruikers combineert voor het creëren van een implementatie voor het beheren van de bedrijfsmobiliteit strategie. Apparaten verbinden met MDM over de poorten 80, 443 en 8443 (alleen voor uitrollen van ios apparaten). MDM draait op een Windows Server 2008 R2. Het wordt aanbevolen om de Microsoft Security best practices voor Windows Server in de DMZ te volgen. De MDM server vereist verbindingen met backend infrastructuur componenten zoals Active Directory, DNS, SMTP, SQL Server en een Certificate Authority. MDM vereist ook een PKI service, zoals Microsoft Certificate Authority of het kan de eigen PKI server op de MDM server gebruiken die wordt geïnstalleerd met Device manager (apparaat beheer). Device Manager gebruikt deze dienst voor het pushen van cliëntcertificaten naar apparaten ten behoeve van verificatie van Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 6 of 28

7 cliëntcertificaten op de MDM. Clientcertificaten worden automatisch ingezet tijdens het uitrollen van een apparaat. Het wordt aanbevolen om SQL Server, Express, Standard of Enterprise voor een productieomgeving te gebruiken. Bekijk de volgende link voor ondersteunde Windows en SQL Servers ce_manager%2fzenprise_device_manager%2finstallation_guide%2f003_pro duct_requirements 2. De SharePoint Connector is een optioneel component van XenMobile MDM dat toegang biedt tot SharePoint sites. Dit vereist externe toegang tot uw SharePoint Server door of het plaatsen van de SharePoint Server in de DMZ of het gebruik van een loadbalancer in de DMZ met toegang tot de SharePoint server. Deze functionaliteit kan worden geconfigureerd in een MDM beleidsregel die de Citrix Mobile Connect App in staat stelt de SharePoint data op te slaan en te tonen in een veilige viewer op het mobiele apparaat. 3. XenMobile Secure Mobile Gateway (SMG) biedt beveiligede mobiele via MDM beleidsregels. Deze kan op een Exchange Client Access Server (CAS) geïnstalleerd worden, of in de DMZ, of op een Microsoft Forefront of Threat Management Gateway (TMG) server. Basis functionaliteit vereist toegang tot Exchange, MDM en mobiele apparaten over HTTPS (443). SMG zal de MDMserver doorzoeken om het beleid voor de gebruiker en de toegang tot het apparaat te controleren. 4. De Apple Push Notification Service (APNS) wordt door MDM gebruikt om berichten naar ios-apparaten voor configuratie en beleid updates te pushen). Dit is een door Apple aangeboden dienst en is alleen vereist voor ios-apparaten. Niet-iOS-apparaten hebben hun eigen push implementatie Opmerking: Een speciaal APNS certificaat, dat door Citrix wordt ondertekend en door Apple wordt uitgegeven, is vereist voor het installeren van MDM. Zie installatieinstructies: NS_Certificate_Request_Guide Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 7 of 28

8 MDM Firewall poorten De volgende poorten moeten opengezet zijn om MDM te kunnen laten communiceren met interne en externe resources.. Figuur 2 XenMobile MDM Communications Paden MDM Server Specificaties Alle onderdelen van de MDM architectuur kunnen worden geïnstalleerd op fysieke of virtuele machines. De volgende tabel beschrijft de vereisten voor het ondersteunen van 5000 apparaten voor ieder onderdeel in de MDM architectuur. Virtual Machine vcpu Memory (GB) Disk Space (GB) XM Device Manager Secure Mobile Gateway XM SQL Server Organisaties die een schaalbaarheid nodig hebben van meer dan 5000 apparaten zullen de serverspecificaties moeten aanpassen conform de parameters in onderstaande tabel. Apparaten XenMobile MDM Server SQL Server vcpu, 4 GB RAM 2 vcpu, 6 GB RAM vcpu, 8 GB RAM 4 vcpu, 16 GB RAM vcpu, 16 GB RAM 16 vcpu, 24 GB RAM vcpu, 32 GB RAM 32 vcpu, 64 GB RAM Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 8 of 28

9 De MDM en database servers kunnen worden geclusterd voor hoge beschikbaarheid. Bekijk de High Availability paragraaf voor meer informatie over het clusteren van MDM onderdelen. Database back-up en recovery dienen te worden uitgevoerd conform het data center beleid van het bedrijf. Tomcat TCP verbindingen moeten ook in overweging genomen worden. Apparaten Poort 443 Poort 8443 Poort 80 Poort Max Threads Tot Boven Als de TCP verbindingen het aantal van 750 benadert, overweeg dan het clusteren van de MDM server. XenMobile MDM met NetScaler optie Een alternatieve en meer veilige installatie van MDM is om hardware matige load balancer te gebruiken, zoals de NetScaler, vóór alle MDM onderdelen. In de architectuur load-balanced de NetScaler alle HTTP en HTTPS verkeer naar de MDM, SMG en SharePoint. Figuur 3 XenMobile MDM met NetScaler Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 9 of 28

10 Er zijn verschillende redenen om dit te doen. Beperken van de blootstelling van Windows Servers in de DMZ Gemakkelijk opschalen door het toevoegen van meer servers achter NetScaler in de toekomst Additionele NetScaler functies kunnen worden aangezet voor het verder verhogen van de beveiliging. (zoals application firewalls). Configuratie Tip: Zorg er voor de SSL persistence op de NetScaler is aangezet en is ingesteld op SSLSESSION voor load balancing van de virtuele servers over HTTPS (443 en 8443) Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 10 of 28

11 Mobile Solutions Bundle CloudGateway, een onderdeel van de Mobile Solutions Bundle, bevat Access Gateway, AppController, en optioneel StoreFront (t.b.v. XenDesktop en XenApp integratie). De volgende onderdelen in deze architectuur worden er uitgelicht: AppController Access Gateway In deze omgeving zijn MDM en CloudGateway naast elkaar geïnstalleerd, en vullen elkaar aan. MDM biedt het apparaat beheer en controle met beleid, terwijl CloudGateway MDX mogelijkheden biedt en veilige toegang op afstand tot bedrijfsmiddelen. Het volgende diagram wijst op de CloudGateway infrastructuur componenten. Het volgende plaatje licht de CloudGateway infrastructuur onderdelen uit. Figuur 4 Mobile Solutions Bundle Referentiearchitectuur Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 11 of 28

12 1. Access Gateway NetScaler Acces Gateway wordt gebruikt voor externe toegang en kan worden geïnstalleerd in de vorm van een NetScaler hardware appliance (MPX of SDX) of een VPX (een virtual Appliance die draait op XenServer, VMWare en Hyper-V). Deze infrastructuur component bevindt zich in de DMZ en vormt het centrale toegangs punt tot het bedrijfsnetwerk. Voor extra veiligheid wordt two-factor authenticatie via RADIUS, als secundaire authenticatiemethode, ondersteunt voor diensten zoals RSA SecureID of Symantec VIP producten. 2. AppController AppController is een op Linux gebaseerde hardened VPX appliance die kan worden geïnstalleerd op XenServer of VMWare. In deze configuratie is externe toegang beschikbaar door Access Gateway te gebruiken, maar interne gebruikers kunnen AppController rechtstreeks benaderen met de Receiver of de Receiver for Web. AppController bevat een versie van Receiver for Web op dezelfde server om mobiele- en desktop receivers toegang te geven tot apps zonder een StoreFront server toe te voegen. AppController vereist verbindingen met LDAP, DNS, NTP en SMTP servers. SMTP is vereist voor goedkeuring van workflow via melding. AppController integreert met ShareFile (ShareFile account met geactiveerde SSO is vereist) door het uitrollen van Active Directory gebruikers naar de ShareFile Cloud dienst, waarbij Single-Sign-On (SSO) tot de data diensten wordt aangeboden via SAML authenticatie. 3. Citrix Receiver - Citrix Receiver is Client software die u in staat stelt uw data, applicaties en desktops te benaderen vanaf iedere apparaat, inclusief smartphones, tablets en PCs. De Receiver kan worden gedownload van de appstore van het apparaat of naar het apparaat worden gepusht vanaf XenMobile MDM. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 12 of 28

13 CloudGateway Firewall poorten In aanvulling op de XenMobile MDM firewall poorten uit de vorige omgeving moeten de volgende poorten worden opengezet voor de CloudGateway Infrastructuur componenten. Poort 1494 en 2598 hoeven alleen te worden opengezet als XenDesktop of XenApp is geïntegreerd (getoond in de volgende omgeving) Figuur 5 CloudGateway Firewall poorten CloudGateway Server Specificaties Alle onderdelen van CloudGateway kunnen worden geconfigureerd en gehost als virtuele machines. De AppController virtuele machine (VM) is een virtuele appliance die draait op XenServer of VMWare ESXi. Access Gateway is een virtuele appliance die dezelfde functionaliteit en eigenschappen biedt als de fysieke MPX apparaten. Access Gateway VPX is een virtuele workload die wordt uitgerold op eigen hardware. De volgende tabel toont de minimale resource eisen in detail: vcpu Memory (MB) Disk Space Access Gateway VPX AppController Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 13 of 28

14 CloudGateway Enterprise Schaalbaarheid CloudGateway kan organisaties met duizenden gebruikers ondersteunen door het kiezen van de geschikte NetScaler Access Gateway hardware appliance. Naarmate het aantal gebruikers die authentiseren, mail en web resources gebruiken en de app activiteit via Micro VPN toeneemt (figuur 6), dient de processing power van de NetScaler Access Gateway infrastructuur component te worden verhoogd. Bekijk onderstaande figuur voor het kiezen van de geschikte configuratie voor uw omgeving. Deze resultaten zijn gebaseerd op het AES encryptie algoritme met een 1024-bit sleutelgrootte. Schaalbaarheid resultaten wijken af gebaseerd op encryptie algoritme en sleutelgrootte. Steekproefsgewijs gebruikersprofielen zijn voor onderstaande resultaten gebruikt: Een enkele verbinding per gebruiker Alleen gebruik van WorkMail app Het data verkeer is ongeveer 2,5 MB / min per gebruiker CloudGateway gebruikersschaalbaarheid/netscaler Appliance Figuur 6 Gebruikersschaalbaarheid CloudGateway (@WorkMail) Voor meer informatie over de NetScaler hardware appliance die in deze tests is gebruikt verwijzen we naar het volgende knowledgebase artikel: Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 14 of 28

15 CloudGateway XenDesktop Integratie Figuur 7 CloudGateway XenDesktop integratie 1. Access Gateway Access Gateway biedt toegang tot XenDesktop/XenApp HDX sessies, toegang tot web/saas en mobiele applicaties die worden geleverd door de AppController. De extra configuratie die nodig is voor deze opstelling van Access Gateway levert de Secure Ticket Authority (STA) URLs voor XenDesktop/XenApp naar de Access Gateway. Dit maakt pass-through authenticatie naar Windows desktops en apps mogelijk. TCP poorten 1494 en 2598 moeten worden opengezet voor verkeer tussen AG en Desktop./XenApp. 2. StoreFront Voor toegang tot Windows Desktops en apps moet StoreFront vóór de AppController en XenDesktop onderdelen worden geplaatst. StoreFront biedt integratie van resources. Het maakt een opsomming van applicaties op XenDesktop, XenApp, en AppController en toont ze aan de gebruiker in een samengestelde lijst met resources: Windows apps, desktops, mobiele apps, Web/SaaS apps, en data. In deze configuratie moet StoreFront weten hoe deze apparaat specifieke informatie aan de AppController moet doorgeven zoals informatie voor uitrollen van het apparaat en sleutel beheer. Deze diensten moeten worden geconfigureerd in de web.config file voor een juiste communicatie tussen alle drie servers. Volg deze instructies voor een juiste configuratie: Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 15 of 28

16 3. XenDesktop Link de XenDesktop Broker of XenApp XML service om de integratie met CloudGateway te voltooien. CloudGateway - Multi Store Optie Er bestaat een alternatieve installatie optie voor organisaties die hun Windows desktops en applicaties nog niet hebben geconsolideerd met behulp van StoreFront. In dit scenario is Access Gateway geüpgrade naar versie 10 en een aparte Access Gateway virtuele server wordt gemaakt voor ondersteuning van de Mobile Solutions Bundle. Als dat nog niet mogelijk is, dan is een andere configuratie om een aparte Access Gateway 10 server op te zetten voor AppController en de oudere AG installatie ongemoeid te laten. Beide configuraties vereisen dat er voor Citrix Receiver twee verschillende stores zijn geconfigureerd, een voor XenDesktop/XenApp die gebruik maakt van de PN Agent server en een voor de AppController. Citrix Receiver is verbeterd om gemakkelijk te schakelen tussen twee stores zonder iedere keer opnieuw te moeten authentiseren. U hoeft slechts een keer te authentiseren voor ieder store. Figuur 8 CloudGateway - Multi Store optie 1. Access Gateway moet eerst worden geüpgrade naar versie e of later. Het aanmaken van een tweede AG virtuele server vereist een aparte publieke URL, publiek IP, en certificaat. 2. Web Interface/PN Agent Server Er zijn geen wijzigingen nodig voor PN Agent Server in deze omgeving. Web Interface Server v5.4 is de enige ondersteunde versie. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 16 of 28

17 High Availability XenMobile MDM + CloudGateway Deze architectuur biedt een volledig redundante XenMobile MDM en CloudGateway omgeving. Figuur 9 high Availability XenMobile MDM + CloudGateway 1. Acces Gateway HA Mode In deze omgeving zijn de NetScaler apparaten geconfigureerd in High Availability mode. Het inzetten van twee NetScalers in High Availability (hoog beschikbaarheid) mode kan een ononderbroken werking bieden voor iedere transactie. Met één appliance geconfigureerd als primaire node en één als secundaire node, accepteert de primaire node de verbindingen en beheert de servers, terwijl de secundaire node de primaire node bewaakt. Als om wat voor reden dan ook de primaire node niet in staat is verbindingen te accepteren, neemt de secundaire node het over. Kijk voor meer informatie op de volgende link: 2. StoreFront HA Mode StoreFront HA mode komt overeen met de MDM server installatie. Het vereist een aparte SQL server (De SQL server heeft bij voorkeur zijn eigen geclusterde omgeving) en een hardware matige load balancer. De poorten 80 en 443 dienen te worden geconfigureerd op de load balancer met Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 17 of 28

18 SSL session persistance ingeschakeld voor SSL verbindingen. Het is aan te bevelen om meerdere connection broker URLs te hebben voor XenDesktop / XenApp verbindingen. Kijk voor meer informatie op de volgend link: 3. AppController Twee AppController VMs kunnen ingezet worden als een hoog beschikbare configuratie. De eerste AppController waarop High Availability is geconfigureerd wordt de primaire genoemd en de andere wordt de secundaire genoemd. In deze opzet luistert de primaire AppController naar verzoeken, bedient gebruikersaanvragen en synchroniseert de gegevens op de secundaire AppController. De twee VMs werken als een actief passief paar waarbij slechts één VM tegelijkertijd actief is. Als de primaire AppController om wat voor reden niet meer reageert neemt de secundaire AppController het over, wordt de actieve VM en begint met het afhandelen van de gebruikers verzoeken. Als actieve VM, synchroniseert de secundaire AppController systeem en database informatie door het client-server mechanisme te gebruiken. Een cliënt op de actieve AppController VM deelt de noodzakelijke informatie naar een virtuele server op de passieve AppController in de vorm van een reeks aanvragen.. De virtuele server analyseert de aanvragen en voert de noodzakelijk acties uit. Een virtueel IP adres is vereist; dit is het FQDN adres van de AppController dat wordt gebruikt voor configuratie van StoreFront en Access Gateway in een CloudGateway omgeving. Kijk voor meer informatie op de volgende link: 4. XenMobile MDM HA Mode XenMobile MDM kan geconfigureerd worden met meerdere servers geloadbalanced achter een NetScaler appliance of een andere hardware load balancing oplossing. In deze omgeving worden de poorten 80, 443 en 8443 geloadbalanced. Zorg er voor dat voor SSL verbindingen (poorten 443 en 8443) SSL persistance aan staat in de load balancing regels. MDM vereist dat er een gedeelde SQL server en NTP is geconfigureerd op iedere server. Opmerking: Deze configuratie is veiliger omdat de MDM servers zijn geplaatst in het interne netwerk achter de Access Gateway Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 18 of 28

19 Mobile Solutions Bundle met NetScaler Deze omgeving toont een NetScaler ingezet als transparante proxy voor alle MDM componenten waarbij tevens Access Gateway is ingezet voor de CloudGateway componenten. Dit is een alternatief voor het hebben van meerdere servers in de DMZ. Figuur 10 Mobile Solutions Bundle met NetScaler In de NetScaler configuratie wordt load balancing gebruikt als proxy voor ieder component. In dit geval wordt slechts een server gebruikt voor iedere balancer. Hier is een voorbeeld configuratie voor een component server: Figuur 11 NetScaler Load balancing Configuratie Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 19 of 28

20 Referentie Omgeving Infrastructuur De XenMobile en CloudGateway referentiearchitectuur bevat veel ondersteunende servers en diensten die vereist zijn voor functioneren in een bedrijfsomgeving. De volgende paragraaf beschrijft de gemeenschappelijke infrastructuurcomponenten (storage, virtualisatie omgeving, servers, netwerkapparatuur, etc.) en hoe de XenMobile en CloudGateway referentiearchitectuur daarmee integreert. Netwerk Layout Figuur 12 Netwerk layout voor referentie omgevingen Server Hardware XenServer Hosts XenServer Configuratie Dell PowerEdge C6100 De Dell C6100 bevat 4 fysieke servers in een 2U form factor waarbij iedere server de hardware specificaties heeft zoals hieronder aangegeven: 2 stuks Intel Xeon E5620 Processors 64GB RAM 500GB HDD 2 fysieke machines geconfigureerd in HA (High Availability) mode 2 x 1Gb Ethernet Adapters 2 servers geconfigureerd in een virtualisatie pool voor HA (High Availability) XenServer versie p Drie apart geconfigureerde VLANs: VLAN 30 Storage VLAN geconfigureerd voor 9000 MTU voor snelle verbinding naar backend NFS storage. VLAN 10 gebruiker / management VLAN verkeer geconfigureerd voor standaard 1500 MTU. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 20 of 28

21 Hou er rekening mee dat het gebruikelijk is om bij XenServer gebruiker en management verkeer nog verder te scheiden door het aanmaken van extra VLANs in high traffic implementaties VLAN 50 DMZ VLAN voor het bieden van toegang tot het bedrijfsnetwerk van buitenaf. Storage NetApp TB totaal geconfigureerde storage Active/active controller configuratie 4.5TB NFS storage volume configuratie 250 GB voor gebruik van de gehele virtualisatie omgeving 2 x 10GB Ethernet (10GbE) adapters Netwerk Cisco C3560X Cisco ASA 5520 Authenticatie Active Directory op Windows Server 2008 R2 is gebruikt voor alle referentiearchitectuur omgevingen. Active Directory, of LDAP, ondersteuning verschilt voor ieder product. Zowel AppController als XenMobile MDM ondersteunen geen gebruikers in geneste groepen. Een andere beperking voor AppController is dat het slechts één enkele forest ondersteunt. Raadpleeg de documentatie van elk product voor de volledige ondersteunings eisen. De referentieomgevingen maken ook gebruik van two-factor authenticatie, geconfigureerd op Access Gateway, voor het bieden van veilige toegang tot de interne bedrijfsmiddelen met RADIUS verificatie van Symantec Validation en ID Protection. Gebruik van twee-factor authenticatie vereist dat een extra poort op de firewall wordt opengezet (meestal UDP/1812) vanuit de DMZ (AG) naar de RADIUS-server (intern). Meer informatie over het configureren van twee-factor authenticatie is hier te vinden: Certificaten Wildcard en SAN certificaten worden ondersteund voor alle Citrix Producten. In de meeste installaties zijn slechts twee wildcard of SAN server certificaten nodig: 1. Extern - *.extcompany.com 2. Intern - *.intdomain.net Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 21 of 28

22 De volgende tabel toont de certificaten en formaten die nodig zijn voor ieder component. Een eenvoudige programma zoals Open SSL ( kan worden gebruikt voor het omzetten van certificaatformaten. Een apart SAML certificaat is nodig afhankelijk van de in de apps toegepaste SAML authenticatie die zijn gepubliceerd in de AppController. Certificaatformaat Vereiste Certificaten Locatie Access Gateway PEM Server*, root CA Extern AppController PEM of PFX (PKCS Server, SAML, root CA Intern #12) StoreFront PFX (PKCS#12) Server, root CA Intern XenMobile MDM PFX (PKCS#12) APNS. Server, MDM maakt Extern een eigen PKI service aan of gebruik Microsoft CA voor cliënt certificaten. XenMobile SMG PFX (PKCS#12) Server, root CA Extern * Het is aan te bevelen een publiek (3rd party) te maken zodat mobile apparaten niet eerst de privé root CA van de organisatie hoeven te downloaden. DNS Het verdient aanbeveling om statische IP adressen voor alle servers in de omgeving te gebruiken. De volgende records zijn toegevoegd aan de DNS server conform de configuratie van de referentieomgeving. Server DNS Locatie Record XenMobile MDM Intern en Extern Host (A) Access Gateway * (AG Vserver IP adres) Intern en Extern Host (A) AppController Intern Host (A) StoreFront Intern Host (A) XenMobile SMG Intern en Extern Host (A) en Mail (MX) SharePoint DLP Intern en Extern Host (A) Configuratie Tip: Zorg er voor dat de FQDN van iedere server vanaf iedere andere server, en specifiek de Access Gateway kan worden gevonden en gepingd. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 22 of 28

23 SQL Server SQL Server (Express, Standard en Enterprise) wordt ondersteund voor alle producten in de Mobile Solutions Bundle. Het is belangrijk om dienovereenkomstig te plannen en de omvang van SQL-server te bepalen op basis van het aantal apparaten, applicaties en gebruikers die van deze omgeving gebruik zullen maken. Dezelfde SQL Server kan worden gebruikt voor de verschillende producten. Het wordt aanbevolen om de grootte van de SQL server te baseren op de eisen van MDM. De impact van StoreFront op SQL is minimaal. Raadpleeg de individuele architecturen voor de aanbevolen dimensionering. Exchange Server en XenMobile Secure Mobile Gateway In de referentieomgeving is een Microsoft Exchange 2010 server gebruikt om toegang te bieden tot beveiligde mail van XenMobile Secure Mobile Gateway. Een volledige Exchange Server 2010 implementatie omvat 5 rollen, er zijn 3 hoofdrollen die moeten worden geconfigureerd: De Mailbox Server die de backend server is die de mailboxen host De Hub Transport server die mail routeert en de mail stroom afhandelt De Client Access Server (CAS) die een Edge Server is die de verbindingen naar de Exchange server accepteert van een diversiteit aan cliënts. Hoewel alle 3 hierboven genoemde rollen zijn vereist volgens het referentie ontwerp, zijn meer details over de CAS rol hier opgenomen omdat de fysieke plaatsing van deze rol op een server in deze topologie, en de integratie met XenMobile SMG belangrijk is. XenMobile SMG wordt geïnstalleerd op de CAS en zorgt voor beleid gebaseerd beheer van apparaat toegang tot door ActiveSync verkeer te onderscheppen met behulp van de ingebouwde ISAPI filters die de CAS server aanbiedt. De CAS rol is een tussenlaag server die verbindingen naar Exchange server accepteert van een diversiteit aan cliënts. Deze server host de protocollen die door alle cliënts worden gebruikt bij het controleren van berichten. Op het lokale netwerk, worden Outlook MAPIcliënts direct aangesloten op de Client Access server om mail te checken. Externe gebruikers kunnen hun via het internet controleren via Outlook Anywhere, Outlook Web App, Exchange ActiveSync, POP3 of IMAP4. Hoewel plaatsing van de CAS rol meestal wordt bepaald door de plaatsing van de Exchange Server mailboxserver, wordt het volgens de referentiearchitectuur aanbevolen dat de CAS rol op een standalone server wordt geïnstalleerd die is gescheiden van de Exchang box-server en die zich in de DMZ bevindt. Het hebben van de CAS server in de DMZ voegt een extra beveiligings laag toe aan de implementatie door het vermijden van de noodzaak om de mailbox server in de DMZ te plaatsen. In plaats daarvan kan de CAS server communiceren met de Exchange server die zich op het interne netwerk bevind via beveiligde communicatie. Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Pagina 23 of 28