Features. Focus. Labreports. Server-based computing & Virtualisatie. Altijd overal aanwezig

Transcriptie

1 Server-based computing & Virtualisatie Altijd overal aanwezig Features Citrix 2006: alle oplossingen Beveiliging en terminal servers Thinstall virtualisatie HOB Remote Desktop VPN Veilig toegang met SmartGate Focus Web Interface voor SharePoint SSL VPN wordt volwassen Labreports Sun Ray Virtual Display Clients Citrix Netscaler Application Firewall RES vs. AppSense Citrix Access Essentials Expand Accelerator 4920 nr. 6 juli/aug 06 NL 6,80 BE 7,40 Klein, kleiner, kleinst!

2 Colofon NetOpus Postbus DJ Haarlem Telefoon redactie: (023) Fax redactie: (023) redactie: Hoofdredactie Mireille Rameau Eindredactie Onno Louwen Redactie: Marcel Beelen Vormgeving Marijn Wegman Medewerkers Remy Habets Uitgever Wouter Hendrikse Traffic Marco Verhoog Management Assistente Rosita de Krou Media Order Mirella van der Willik Boekhouding René de Muijnck, Geeta Hobo Directie Wouter Hendrikse, Richard Mul, Martin Smelt P&O en Algemene Zaken Hans Nusselder (dir.) Prepress & Druk Senefelder Misset Doetinchem Distributie Betapress Abonnementen HUB Uitgevers b.v. Ingrid van der Aar Postbus DJ Haarlem Telefoon: (023) Fax: (023) Een abonnement kan elk moment ingaan, en kost voor 10 nummers 1 59,50. Een abonnement wordt steeds automatisch voor eenzelfde periode verlengd tenzij u twee maanden voor de vervaldatum schriftelijk opzegt. Advertenties Sander de Haas Telefoon: (023) Mobiel : (06) Fax: (023) s.de.haas@hub.nl NetOpus is een uitgave van Hoewel aan NetOpus door de redactie en de uitgever uiterste zorg is besteed, aanvaarden de redactie noch de uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten en/of onvolkomenheden in het blad en/of op de website. Reproductie van artikelen, of andere redactionele bijdragen op welke wijze dan ook is alleen toegestaan na schriftelijke toestemming van de uitgever. Copyright 2006 HUB Uitgevers b.v. Wij nemen je gegevens, zoals naam, adres en telefoonnummer op in een gegevensbestand. De verwerking van je gegevens is aangemeld bij het College Bescherming Persoonsgegevens in Den Haag door HUB Uitgevers b.v., de verantwoordelijke voor je gegevens. Je gegevens worden gebruikt voor de uitvoering van met jou gesloten overeenkomsten, zoals de abonnementen administratie. Daarnaast kunnen wij je gegevens gebruiken om je op de hoogte te houden van interessante informatie en/of aanbiedingen. Jouw gegevens kunnen ook aan door ons zorgvuldig geselecteerde partijen ter beschikking worden gesteld. Je gegevens kunnen, samen met hun informatie over jou, worden geanalyseerd om de aanbiedingen en/of informatie zoveel mogelijk op je interesses af te stemmen. Je kunt bij het opgeven van je gegevens bezwaar maken tegen beschikbaarheids stelling van je gegevens aan derden. Ook kun je je eigen gegevens opvragen en verzoeken ze te corrigeren of te verwijderen. Stuur hiertoe een kaartje aan de abonnementen administratie. Postbus 3389, 2001 DJ Haarlem. BV Server-based computing SBC - Een multi-user netwerkoplossing waarbij applicaties via centrale servers beschikbaar zijn voor de aangesloten werkplekken. De werkstations heten ook wel thin clientsº. De systeembeheerder heeft het voordeel van centraal beheer en administratie.

3 SBC & Virtualisatie Colofon & Inhoud Analyses Virtualisatie als massaproduct (Marcel Beelen) 9 Gratis software en open standaarden Server-based computing & Virtualisatie Citrix Alle oplossingen Virussen geen kans 14 Beveiliging en terminal servers Thinstall virtualisatie 18 Neem je toepassingen mee op usb Complete toegang 20 HOB Remote Desktop VPN SmoothRoaming 22 De meest flexibele werkplek Veilig toegang met SmartGate 25 De terugkeer van V-ONE Focus Eindelijk samen 28 Web Interface voor SharePoint Toegang op afstand 40 SSL VPN wordt volwassen Dubbele virtualisatie 44 Virtuele sessies op virtuele systemen Marketwatch Kan het wat sneller? 46 Technologieën voor applicatie-accelleratie Labreports Meer dan een thin client 50 Sun Ray Virtual Display Clients Gevecht ten einde 54 RES PowerFuse vs. AppSense Management Suite Uitstekende webbeveiliging 60 Citrix Netscaler Application Firewall Nieuwe terminals voor het mkb 64 Citrix Access Essentials Bandbreedte onder controle 68 Expand Accelerator 4920 Uitgelezen! 74 De nieuwste SBC-boeken Linkbox Handige links voor de beheerder 76 Attachment Slimme camera s (Onno Louwen) 78 Intelligente beeldanalyse Tricks & Traps Vraag en antwoord 81 Beveiliging op terminal servers? 14 In gangbare bedrijfsnetwerken is beveiliging al een hele klus. Terminal servers en de bijbehorende clients kunnen je beheer sterk vereenvoudigen, maar geldt dat ook voor antivirusbeveiliging? We ontzenuwen deze mythe en schetsen scenario s voor veilig beheer. Soepele werkplekken 22 SmoothRoaming is een concept dat het mo- gelijk maakt om je werkomgeving zonder onderbrekingen mee te nemen van de ene naar de andere computer. NetOpus bekijkt hoe realistisch deze belofte is aan de hand van de innovatieve oplossingen van Igel. Virtuele sessies 44 Virtualisatie van servers krijgt steeds vaker een vaste plek in productieomgevingen en in datacenters van grote organisaties. Het gebruik van terminal server op virtuele machines lijkt misschien volkomen onzinnig, maar zelfs het virtualiseren van de virtuele werkplekken op terminal server kan nuttig zijn. Applicatatieversnellers 46 Applicatie-acceleratie is een brede term voor het versnellen van applicaties door het implementeren van acceleratie-infrastructuur voor de servers in het datacenter of aan de randen van het WAN. In deze Marketwatch kijken we niet naar producten, maar naar de verschillende technologieën achter hardwarematige versnelling. Attachment 78 De steeds toenemende intelligentie in netwerkapparatuur maakt een verbreding mogelijk van functionaliteit en zorgt voor een ontlasting van het servers, clients en het netwerk als geheel. Maar zelfs videocamera s worden steeds intelligenter, wat erg interessante mogelijkheden biedt. Welke voordelen dat precies zijn bespraken we met Magnus Ekerot, country manager Benelux van Axis Communications.

4 Voorwoord Jubileum! Dit is alweer het vijfde achtereenvolgende jaar dat NetOpus een zomernummer uitbrengt over server-based computing. We kunnen dus met recht spreken van een jubileum! De interessante ontwikkelingen dit jaar hebben in ieder geval weer voor voldoende stof gezorgd die in dit nummer aan bod zal komen. T erugkijkend op de afgelopen jaren valt op dat er mede door Citrix een behoorlijke evolutie heeft plaatsgevonden van pure serverbased computing naar access infrastructure, en tegenwoordig is er weer een duidelijke beweging naar virtualisatie. We spreken dan over producten en oplossingen die je helpen met het centraliseren en consolideren van toepassingen om die efficiënt en veilig aan te bieden op allerhande lokale en remote werkplekken, over elk type verbinding. Het klinkt misschien alsof er niets veranderd is, maar niets is minder waar. De omslag die heeft plaatsgevonden is dat er nu ook bij Citrix sprake is van een onderscheid tussen server-based computing-toepassingen, webtoepassingen en lokale toepassingen. Naast Presentation Server, de diensten van Citrix Online en de Citrix Access Gateway (de SSL VPN appliance) zijn nieuwe producten voortgekomen uit enkele overnames die webtoepassingen kunnen versnellen en beveiligen. Om lokale toepassingen aan te bieden heeft Citrix vorig jaar als vaporware een oplossing voor applicatie-streaming aangekondigd met de codenaam Tarpon, die binnenkort zal materialiseren in de Citrix Streaming Server. Vanaf dat moment kan Citrix zich met recht een ware applicatieontsluiter noemen voor alle typen toepassingen. In dit themanummer zullen we verder de tijd nemen om de marketingterm SmoothRoaming naar technologie te vertalen en daarnaast bekijken we het nut van antivirussoftware op terminal servers. Onder de Labreports vind je softwareproducten zoals SmartGate van AEP en RD VPN van HOB, die we grondig onder de loep zullen nemen. Verder virtualiseren we terminal server en verkennen we de gevirtualiseerde ICA-client van Citrix. De Citrix Application firewall en de Expand Accelerator worden getest en we staan na jaren weer eens even stil bij AppSense en RES. Een erg boeiend en veelbelovend server-based alternatief vormt bovendien de Sun Ray-oplossing. In dit nummer vind je de Sun Ray clients en in NetOpus 8 zullen we ons gaan richten op de servers. Voor degenen die behoefte hebben aan een terugblik: de vier voorgaande Net- Opus-nummers over server-based computing zijn gratis en zonder registratie te downloaden op of op Heb je inhoudelijke vragen en opmerkingen over de artikelen of de technologie die erin beschreven wordt, neem dan gerust contact met me op. Marcel Beelen marcel.beelen@eversa.nl fimi.philips.com

5 Virtualisatie als massaproduct Analyse Virtualisatie als massaproduct Gratis software en open standaarden Virtualisatie in de vorm van virtual machine-technologie voor het Intel-plaform heeft het afgelopen halve jaar een boeiende ontwikkeling doorgemaakt. Niet zozeer de technologie zelf is veranderd, maar vooral de vorm. De eerste opmerkelijk stap was in december 2005, toen VMware (EMC) een gratis VMWare Player beschikbaar stelde, om kanten-klare virtuele machines mee te bedienen. (Marcel Beelen) E r is al een hele gemeenschap ontstaan rond virtual appliances met VMware. Er zijn al meer dan 250 te downloaden en te gebruiken bovenop een Windows- of Linux-werkplek. Een minstens zo bijzondere stap was de aankondiging in februari 2006 door EMC om de opvolger van VMware GSX Server ook gratis op de markt te brengen. VMware Server (RC2) is al te downloaden en maakt het gebruik van virtuele machines in grote, maar ook kleine datacenters, veel toegankelijker. Verder heeft VMware besloten het bestandsformaat gebruikt door de virtuele machines, weliswaar op aanvraag, vrij te geven. De door VMware opgerichte Virtual Desktop Infrastructure Alliance moet andere technologieën en gebruikstoepassingen in de week leggen. Wat is EMC toch aardig voor ons: gratis software en open standaarden. Maar we weten allemaal dat niets in deze wereld echt gratis is. Het doel is natuurlijk om zoveel mogelijk bedrijven strategisch te laten kiezen voor het VMware virtualisatieplatform, zodat steeds meer partners er add-on s voor ontwikkelen. We weten dat virtualisatieondersteuning wordt toegevoegd aan hardware door Intel s VT en AMD s Pacifica en aan besturingssystemen door Microsoft s Vista en onder meer Novell s Linux (door de adoptie van virtualisatie-software Xen). VMware is bezig de toekomst zeker te stellen door de toch al grote installed base nog verder te vergroten. Met software-maintenance, dienstverlening en de andere producten van VMware, waaronder het superieure ESX Server en VMotion, is ook in de nieuwe virtuele wereld nog steeds veel geld te verdienen. VMware handhaaft het positieve imago als marktleider en als dé specialist door in hoge mate betrokken te zijn bij al deze ontwikkelingen. Concurrent Microsoft (voorheen Connectix) kon als reactie hierop niet anders besluiten dan in april van dit jaar Virtual Server ook gratis te gaan aanbieden. Waarom zou je immers Virtual Server kopen als de directe concurrent VMware Server gratis is? Maar daar blijft het niet bij. Het virtuele bestandsformaat dat Microsoft gebruikt is eveneens beschikbaar gesteld, de licentievoorwaarden zijn verbeterd en onlangs is zelfs Microsoft Virtual PC freeware geworden. Ook wordt Linux nu door Microsoft ondersteund als gastbesturingssysteem op Virtual Server R2. Wat is Microsoft toch aardig voor ons: gratis software en open standaarden. Microsoft heeft er uiteraard baat bij als veel organisaties nu al virtuele machines draaien op Virtual Server in plaats van op de VMware-producten. Het idee van de one-stop-shop is natuurlijk op de lange termijn goed voor Microsoft. Bovendien wordt later de overstap naar Vista veel eenvoudiger. Consolidatie met virtualisatie pakt trouwens altijd goed uit voor Microsoft. Het aantal servers hoeft hierdoor namelijk helemaal niet af te nemen. Juist omdat het toevoegen en onderhouden van nieuwe virtuele servers zo eenvoudig wordt, is de kans groot dat je juist méér servers gebruikt dan je nu hebt. En die virtuele servers draaien vaak software van Microsoft, met alle bijbehorende licenties. Kassa dus. Maar wat ook de beweegredenen van deze bedrijven zijn om deze software gratis te maken, en ongeacht wat de toekomst ons brengt, voor ons als klanten is het een prima ontwikkeling. Wij kunnen gratis virtual machine-technologie invoeren en nu al profiteren van de vele technische, organisatorische en kostentechnische voordelen om ons datacenter te consolideren en meer dynamisch te maken. Y Marcel Beelen is technisch ictschrijver van onder meer white papers, handleidingen en case studies voor ict-bedrijven en publiceert regelmatig artikelen in vakbladen. In 2005 schreef hij onder meer het themaboekje Virtuele systemen.

6 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Citrix 2006 Auteur: Marcel Beelen Pagina s: Citrix 2006 Alle toepassingen Het productaanbod van Citrix is bijna te groot om op te noemen. Door de vele overnames en nieuwe producten raken we zo langzamerhand de tel kwijt. Op moment van dit schrijven heeft Citrix dertien hoofdproducten waaronder vaak minimaal 27 afzonderlijke producten of productversies vallen, afhankelijk van hoe je precies telt en exclusief upgrade-licenties en andere speciale versies. Tijd dus voor een overzicht. C itrix is al lang het jasje van MetaFrame ontgroeid. De nieuwste strategie van de bedenker van server-based computing op Windows is op dit moment weer terug bij access. Via uitstapjes als virtual workplace, access infrastructure en on-demand access profileert Citrix zich nu als applicatieontsluiter. We hebben in dit artikel 27 producten van Citrix anno augustus 2006 voor je op een rijtje gezet. Tel je mee? Citrix Presentation Server 4.0 Citrix Presentation Server 4.0 (het oude MetaFrame) kennen we allemaal. Er zijn een paar varianten: de Standard, Advanced en de Enterprise versie. Bovendien zijn er 32-bit en 64-bit versies. In de Enterprise editie is het eerdere product Conferencing Manager opgenomen, dat niet langer los te koop is. Ook de UNIX-versie van Presentation Server is niet langer meer individueel te koop, maar maakt deel uit van de Enterprise-versie van Presentation Server. Op dit moment kun je kiezen uit zes Citrix Presentation Server producten. Presentation Server is in elk van de vijf NetOpus-themaspecials uitgebreid aan de orde gekomen, en in het bijzonder keken we in 2005 naar de UNIX-versie. De nieuwste versie van Presentation Server (Ohio) wordt eind 2006 (Q4) verwacht. Componenten van Presentation Server zijn onder meer Secure gateway 3.0, Web Interface 4.2 en Web Interface for SharePoint 1.0. Producten: 6 Citrix Password Manager 4.1 Het single sign-on product Password Manager, gebaseerd op technologie in licentie genomen van Passlogix, biedt een techniek om wachtwoorden te bewaren in een datastore om met een enkel wachtwoord te kunnen inloggen voor allerhande typen toepassingen. Dit jaar wordt nog een nieuwe release van dit product verwacht. Producten: 1 Citrix Access Gateway De Citrix Access Gateway 4.2 Standard Edition, verkregen door de overname van Net6, is een hardware appliance (op basis van hardwaremodel 2000) die een SSL VPN toegang mogelijk maakt tot je bedrijfsnetwerk. Deze hardware is uit te breiden met software die draait op een Windows server, genaamd Advanced Access Control. Deze software bestaat uit de eerdere MetaFrame Secure Access Manager (voorheen NFuse Elite), maar uitgebreid met geavanceerde mogelijkheden voor end-point security. De combinatie Access Gateway met Advanced Access Control wordt verkocht als de Access Gateway Advanced Edition 4.2. Een beetje verwarrend is het nieuwe product Access Gateway Enterprise Edition 6.1. Dit is namelijk een Netscaler Application Accelerator, voorzien van de Netscaler SSL VPN-optie, en draait nu nog op andere hardware (modellen 7000 en 9000), op een ander besturingssysteem en met andere software dan de overige twee Access Gateways. Producten: 3 Citrix Access Suite 4.2 De Citrix Access Suite bevat de eerder genoemde producten: Citrix Presentation Server Enterprise Edition, Citrix Password Manager en licenties voor de Citrix Access Gateway Advanced edition, dus inclusief Advanced Access Control. De hardware appliance zelf maakt geen deel uit van de suite en dient apart aangeschaft te worden. Producten: 1 Citrix Access Essentials 1.5 Access Essentials is een speciale versie van Citrix Presentation Server, die bedoeld is voor het middenen kleinbedrijf. Met sommige geavanceerde mogelijkheden uit de Enterprise Edition, maar zonder schaalbaarheidsopties zoals load balancing. Producten: 1

7 Citrix 2006 SBC & Virtualisatie Citrix Voice Office en de Application Gateway 4.6 Dit softwareproduct is eveneens afkomstig uit de overname van Net6. Het is een product dat je als klant niet snel zult kopen, omdat het bedoeld is voor een heel specifieke doelgroep, namelijk leveranciers van telefonieoplossingen. Deze schaffen Citrix Voice Office aan met een Application Gateway appliance, met de bijbehorende ontwikkelomgeving, waaronder Citrix Design Studio, Citrix Visual Voic , Citrix Broadcast Server of bijvoorbeeld Citrix Conference Manager. Producten: 1 Citrix GoToMyPC 5.0 Deze dienst bespraken we in het NetOpus themanummer uit De dienst biedt veilige toegang tot werkplekken over een internetverbinding. Je kunt kiezen uit een gewone Personal versie, een Pro en een Corporate versie. Producten: 3 Citrix GoToAssist 7.0 Voortbordurend op GoToMyPC biedt GoToAssist veilig toegang tot andermans werkplekken, ook weer over een beveiligde internetverbinding. IT-afdelingen die remote sites moeten ondersteunen of bedrijven die klanten wensen te ondersteunen, gebruiken deze dienst organisaties maken er al gebruik van met jaarlijks maar liefst sessies (kengetal uit oktober 2005). Producten: 1 Citrix GoToMeeting 2.0 Met GoToMeeting (besproken in het NetOpus themanummer van 2005) is het mogelijk online vergaderingen te houden. Deelnemers kunnen veilig over internet presentaties bekijken, chatten enzovoort. Naast de Standard versie is er tevens een Citrix GoToMeeting Corporate met speciale beheer- en accountingfuncties. In de corporate versie (vanaf 10 licenties) wordt tevens GoToWebinar geactiveerd. GoToMeeting wordt dagelijks keer gebruikt (kengetal oktober 2005). Producten: 2 Citrix GoToWebinar 1.0 GoToWebinar is al een tijdje geleden aangekondigd, maar pas in juni van dit jaar beschikbaar gekomen. Met deze dienst kun je grote internetgebaseerde seminars organiseren tot wel 1000 deelnemers. Er is een versie waar je met meerdere organisatoren kunt werken en een kleinere versie waar slechts één organisator mogelijk is (nog niet te koop). Producten: 1 Citrix EdgeSight Citrix nam 2006 Reflectent Software over en daarmee het product EdgeSight. In 2005 kondigde Citrix al aan dat er een oplossing zou komen om de gevoelssnelheid bij eindgebruikers te meten. Dit is dus iets anders dan de performance van je server of je netwerk, maar het geeft weer hoe snel de toepassing werkt voor het gevoel van een gebruiker. EdgeSight lijkt de eerste stap in deze richting. Naast realtime monitoring en analyses achteraf, kan het product ingezet worden om Presentation Servers te dimensioneren. Citrix heeft op dit moment twee versies: Citrix EdgeSight for Presentation Server en Citrix EdgeSight for End Points. Volgens Citrix zijn er wereldwijd gebruikers van EdgeSight. In de loop van dit jaar (Q4) zal het product een opfrisbeurt krijgen en voorzien worden van de Citrix-merknaam. Producten: 2 Citrix NetScaler Application Accelerator en Switches Na de overname van Netscaler is Citrix begonnen de producten in te passen in het portfolio. De Netscaler Application Accelerator (het kleinste model met de minste mogelijkheden) is opgedoopt tot Access Gateway Enterprise Edition met SSL VPN-mogelijkheden en dus familie gemaakt van de Access Gateways. De andere verkrijgbare modellen zijn nu als volgt samengesteld: de Citrix Application Accelerator (op hardwaremodellen 7000 en 9000), de Citrix Application Switch Standard Edition (op hardwaremodel 7000) en de Citrix Application Switch Enterprise Edition (op hardwaremodellen 7000, 9000, en 12000). Citrix heeft bovendien enkele FIPS-gecertificeerde apparaten. Deze appliances zijn het best te classificeren als webversnellers met een groot aantal aanvullende functies voor optimalisatie en beveiliging. Op de website van Citrix vindt je een tabel met de exacte functies van deze drie apparaten en de ondersteunde hardwareplatformen. Producten: 3 Citrix Application Firewall De overname van Teros leidt tot een tweetal producten: de Application Firewall en de Application Firewall Enterprise Edition. Het product is besproken in een Labreport achter in deze NetOpus-special en is bedoeld om webtoepassingen te beschermen. De Application Firewalls zijn onlangs overgezet van de oorspronkelijke Teroshardware (T100/T200) naar de Netscaler hardware. Het besturingssysteem zelf is nog niet veranderd van Linux naar FreeBSD. Dat moet later dit jaar of begin volgend jaar gebeuren. Producten: 2 Citrix WAN-accelerators Citrix heeft medio augustus 2006 Orbital Data overgenomen en krijgt hiermee de beschikking over WAN-acceleratie/WAN-optimalisatie-technologie. De producten van Citrix/Orbital zijn de Orbital 6500, de Orbital 6800 en het softwarecomponent OrbitalEdge. Tot welke Citrix-producten dit leidt is nog niet bekend, dus we tellen ze nog maar even niet mee in ons overzicht. Producten: 0 f

8 Citrix 2006 SBC & Virtualisatie Citrix Streaming Server Project Tarpon is vorig jaar aangekondigd en is nog in ontwikkeling. Op dit moment wordt het getest bij bedrijven. De verwachting is dat Citrix Streaming Server tegen het einde van dit jaar aangekondigd wordt. Met Streaming Server kun je toepassingen on-demand en in delen naar werkplekken en naar Presentation Servers streamen en in een geïsoleerde omgeving draaien. Hoe het product gepositioneerd wordt ten opzichte van Microsoft s SoftGrid is nog niet bekend. Omdat het product er nog niet is, tellen we het niet mee in ons lijstje van producten. Producten: 0 Oplossingen Citrix spreekt liever niet van producten maar van oplossingen. Het bedrijf legt de nadruk nu weer helemaal op toepassingen en hoe de gebruiker de eenvoud en het gemak ervan ervaart. Citrix heeft oplossingen om alle soorten toepassingen onder controle te krijgen. Er wordt wel onderscheid gemaakt tussen client/server en bedrijfskritische toe passingen, webtoepassingen en desktoptoepassingen. Voor de eerste categorie wordt applicatievirtualisatie met Presentation Server als ideale oplossing beschouwd. Door virtualisatie als term te gebruiken lift Citrix mee op de virtualisatietrend van dit moment. Producten als Presentation Server, Access Essentials maar ook Password Manager, EdgeSight en de Access Gateways passen bij deze toepassingen om ze eenvoudig, veilig en met voldoende prestaties te kunnen aanbieden. Webtoepassingen Webtoepassingen draaien weliswaar op terminal servers, maar hebben in de praktijk toch al snel te maken van prestatieproblemen. Citrix heeft dat ook erkend door voor direct benaderde webtoepassingen de Citrix Netscalerproducten aan te prijzen. De Netscaler appliances zijn in staat nagenoeg alle webgebaseerde toepassingen te optimaliseren en ze hierdoor flink te versnellen. Om te voorkomen dat websites problemen ondervinden kan de beveiliging opgekrikt worden met de Citrix Application Firewall. De beschikbare appliances zorgen voor niet alleen voor versnelling, maar ook voor versleuteling en load-balancing. Ook EdgeSight en Password Manager vinden hun plek bij webtoepassingen. Desktoptoepassingen Citrix ziet in dat er altijd en nog lang lokale toepassingen op werkplekken nodig zullen zijn naast client/server- en bedrijfskritische toepassingen op terminal servers. Tarpon/Streaming Server komt ergens einde van dit jaar beschikbaar, en dit is een virtualisatieoplossing voor desktop streaming die aan de buitenzijde veel weg heeft van Microsoft s SoftGrid. Het bouwt voort op de Application Isolation Environment van Citrix Presentation Server 4 om toepassingen in een geïsoleerde omgeving te kunnen draaien. De desktop-applicatie wordt gestreamd naar de werkplek en niet geïnstalleerd. Alleen de onderdelen die op dat moment nodig zijn worden verstuurd. De toepassing draait vervolgens in een aparte omgeving zonder het bestandssysteem of het register te vervuilen en is bovendien in staat offline te draaien (bijvoorbeeld op Endpoints Application performance Client/ server & bedrijfstoepassingen Webtoepassingen Werkplek toepassingen Control & Secure Collaborate notebooks). Citrix verbreed zijn blikveld dus naar werkplekbeheer, wat een slimme zet is omdat nu voorzien wordt in een oplossing om alle toepassingen te bedienen, zowel online als offline. Overigens werkt Tarpon net zo goed op terminal servers en het is mogelijk dat deze technologie gebruikt zal worden om toepassingen naar terminal servers te streamen in plaats van ze te installeren. Tarpon zou in de toekomst de Application Isolation Environment van Presentation Server 4 kunnen vervangen, evenals Installation Management Services. Voor de desktop spelen EdgeSight en Password Manager eveneens weer een rol. GoToAll Als je al client-, server-, web- en desktoptoepassingen aan kunt bieden, kunt optimalizeren en versnellen, dan mis je nog maar één component. Hoewel toegang op afstand voor de eerste twee typen toepassingen netjes geregeld kan worden, ontbreekt toegang tot de werkplekken zelf. Hier komt GoToMyPC om de hoek kijken. De andere GoTodiensten zijn variaties op dit thema, om andere personen toe te laten of om met meerdere personen samen informatie op werkplekken te bekijken. En zo lijkt de cirkel helemaal rond te zijn: Citrix organiseert en optimaliseert toegang tot alle soorten toepassingen. Y Virtualize Optimize & Secure Stream De Citrix-producten gevisualiseerd EdgeSight Presentation Server Acces Essentials Application Accellerator Application Switch Application Firewall Voice Office & Application Gateway Citrix/Orbital WAN-accelerators Streaming Server AccessGateway Password Manager GoTo Services

9 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Virussen geen kans Auteur: Marcel Beelen Pagina s: Virussen geen kans Beveiliging en terminal servers In gangbare bedrijfsnetwerken is beveiliging een hele klus. Denk alleen al aan het installeren van de laatste patches en Service Packs, het gebruik van antivirustools, firewalls, security appliances en IDS/IPS-systemen om aanvallen van buitenaf tegen te houden en te voorkomen dat gegevens je bedrijf ongeoorloofd verlaten. Maar wat doe je met terminal servers? Moeten die ook voorzien worden van antivirussoftware? V irussen hebben in een serverbased computing-infrastructuur geen schijn van kans. Antivirussoftware is daarom niet nodig op terminal servers, zo wordt wel eens geredeneerd. Niets is echter minder waar: ook voor terminal servers met of zonder Citrix Presentation Server kunnen last krijgen van virussen. Het is dus zaak je hiertegen te wapenen. Dichtspijkeren Terminal servers zijn ongevoeliger voor virussen dan bijvoorbeeld fileservers. De terminal server heb je met Group Policy dichtgetimmerd zodat gebruikers hier bewust of onbewust geen toepassingen op kunnen installeren of besmette bestanden kunnen achterlaten. Als je daarnaast het bestandssysteem nog eens extra hebt afgeschermd en overbodige rechten op programma s en mappen hebt verwijderd, is dat nog eens een extra drempel voor virussen om hun gang te gaan. Als je geen volledige bureaubladen aan je medewerkers aanbiedt, maar alleen gepubliceerde toepassingen op Citrix Presentation Servers, zien de gebruikers de Windows serveromgeving en het bureaublad niet en vormt dat nog eens een extra slot. Veel organisaties werken met de beheersoftware van bijvoorbeeld App- Sense of RES om de server en de gebruikersomgeving extra te beschermen. Als je deze software gebruikt, is de kans dat een virus de server besmet of zich via gebruikersessies verspreid zeer klein. Je kunt dan overwegen de terminal servers niet te voorzien van antivirussoftware. Besmettingen Zonder antivirussoftware lopen je terminal servers een zeker gevaar besmet te worden. Zelfs als je alleen gepubliceerde toepassingen gebruikt en geen volledige bureaubladen aanbiedt, als je fileservers, mailservers en werkplekken hebt voorzien van deze software en als je geen toegang biedt tot lokale stations vanaf de terminal serversessies, zelfs dan maken virussen een kans om bestanden op de terminal server te besmetten. Doordat op een terminal server vele tientallen of zelfs meer dan honderd gebruikers simultaan werken, is de kans op verspreiding of problemen met de terminal server aanwezig. Een simpele download vanaf een website naar een schrijfbare plek waar andere gebruikers ook bij kunnen volstaat. Als je mailserver problemen heeft en hierdoor tijdelijk geen inkomende mail scant, of als de nachtelijke scan op je fileservers is misgelopen, zal een virus snel verspreid worden door de gebruikers van de terminal server. Een besmette pc van een beheerder die verbindingen opent met stations van de terminal server, die installaties van nieuwe toepassingen uitvoert of internet gebruikt met Adminirechten kan een flink probleem veroorzaken. Er zijn dus redenen genoeg om toch antivirussoftware op al je terminal servers te strator- installeren. Ondersteuning Op terminal servers is het selecteren en configureren van antivirussoftware een heel stuk ingewikkelder dan in gangbare situaties. Heb je als bedrijf al gekozen voor een standaard antivirusproduct voor werkplekken en servers, dan ligt het voor de hand dit ook op de terminal servers te installeren. Maar functioneert het product wel naar behoren op terminal servers? Sommige organisaties kiezen er juist voor om met meerdere antivirusproducten te werken in verschillende omgevingen, om op die manier beter verzekerd te zijn van het vinden van de laatste virussen. Maar

10 Virussen geen kans SBC & Virtualisatie misschien is het antivirusproduct dat je nu gebruikt op de fileservers ook het beste product voor terminal servers. Feit is dat er grote verschillen zijn tussen antivirusproducten die op terminal server tot gevolg hebben dat specifieke problemen waar je op werkplekken geen last van ondervindt, nu vertienvoudigd worden op een multi-user systeem zoals een terminal server. Onverklaar bare instabiliteit en ongewenste terugval van de prestaties van je terminal servers zijn twee veelgehoorde problemen. Hoewel de meeste antivirusfabrikanten aangeven terminal server te ondersteunen of er compatibel mee te zijn, wil dat helemaal niet zeggen dat ze voldoende functioneren. Desktop of server Welke versie van het antivirusproduct moet je bekijken, het werkplekproduct of het serverproduct? Het werkplekproduct scant bij een gebruiker, afhankelijk van je instellingen, elk document dat deze opent, elke mail die er wordt verstuurd en elke website die wordt bezocht en toont een eventuele virusmelding als waarschuwing in een pop-up venster op het bureaublad. Bovendien bevindt zich vaak een pictogram in het systeemvak om aan te geven dat antivirussoftware actief is, en dat toegang biedt tot de console van de software. Als de antivirussoftware 5 MB geheugen kost, dan is dat op een server waar 100 simultane eindgebruikers op werken al meteen 500 MB RAM die je kwijt bent. Het serverproduct echter scant de server, serverbestanden en serverprocessen en zal virussen vinden en verwijderen of in quarantaine zetten zonder dat de gebruiker een melding op zijn beeldscherm ziet. Meldingen verschijnen niet op het beeldscherm (dat heeft ook weinig zin op de console van de server), maar worden geschreven in het logboek van de server. Als de interactieve gebruiker al een melding ziet, dan is dat waarschijnlijk de melding Ac- cess Denied op het besmette bestand. Dit gedrag is minder vriendelijk en af- wijkend van wat de gebruiker gewend is op zijn normale Windows-werkplek (desktop, notebook en thuis). Het voordeel is natuurlijk wel dat de antivirussoftware niet als gebruikersproces wordt geladen en daardoor veel minder geheugen kost op je terminal server. Licentietechnisch is het ook goed om eens goed te kijken hoe de werkplekvariant betaald dient te worden. Betaal je toch per server, of betaal je per actieve sessie (concurrent use licentie) of per mogelijke gebruiker die in kan loggen? Of is de werkplekversie op terminal server misschien gratis als de werkplek zelf al een gelijkwaardige licentie bezit? Terminal server awareness Behalve multi-user awareness moet de software kennis hebben en getuned zijn, of kunnen worden, voor terminal servers. Hierbij kun je denken aan simpele zaken als het kunnen uitschakelen van het grafische splashscherm bij het starten van de antivirussoftware in een gebruikerssessie tot ingewikkeldere zaken als de ondersteuning van Drive Remapping. Dit laatste wordt regelmatig toegepast op terminal servers voorzien van Citrix Presentation Server, waarbij de systeemdisk wordt hernoemd naar bijvoorbeeld M. Een veelgebruikte mogelijkheid op terminal servers is dat je vanuit de centrale sessies bestanden kunt openen en bewaren op de client drives, oftewel de lokale schijven op de werkplek. Wil je dit wel en kan de antivirussoftware hiermee omgaan? Als je beide vragen positief hebt beantwoord, dan is de vraag Behalve multi-user awareness moet de software kennis hebben en getuned zijn voor terminal servers wat de gevolgen zijn voor gebruikerservaring. Hoeveel trager verloopt het bewaren van serverbestanden op de werkplek via het RDP- of ICA- protocol waar een antivirusscanner op losgelaten wordt? Een bekend euvel van veel antivirussoftware, zeker een tijdje geleden, is dat de software in staat is de processor van de terminal server erg zwaar te belasten. Het scannen van elk geopend en bewaard bestand en elk gecomprimeerd bestand dat als aanhangsel binnenkort, vergt veel van de processor. De last die de software f Anti-virussoftware voor terminal servers AVG CA etrust Antivirus Enterprise Edition Frisk F-Prot Antivirus for Windows Corporate F-Secure Anti-Virus for Citrix Servers Kaspersky Anti-Virus for file servers McAfee Virusscan Enterprise Norman Virus Control Panda EnterpriSecure Sophos Symantec Antivirus Corporate Trend Micro OfficeScan client/ server Edition

11 Virussen geen kans SBC & Virtualisatie Thin clients uitgesloten Op Windows-werkplekken is er geen organisatie die geen antivirussoftware gebruikt. Als je ook toegang tot je netwerk verschaft van werkplekken buiten het netwerk (bijvoorbeeld vanaf thuis), gebruik dan producten voor end-point security die erop kunnen controleren of de antivirussoftware draait en voorzien is van de laatste definitiebestanden. Heb je Windows-werkplekken omgebouwd tot thin client, dan is antivirussoftware minder kritisch, maar nog steeds aan te raden. De kans dat echte hardwarematige thin client werkplekken besmet worden met een virus is extreem klein en te verwaarlozen. Het besturingssysteem bevindt zich in flash memory en de clients zijn afgeschermd tegen installaties en vervuiling. een processor oplegt en mogelijkheden als het tunen van realtime scannen maakt een antivirusproduct juist wel of juist niet geschikt voor een terminal server. Ook het benodigde geheugen bij het dagelijkse gebruik van de antivirussofware verschilt enorm per antivirustoepassing. Configuratie Het spreekt voor zich dat je antivirusdefinitiebestanden niet periodiek laat ophalen via internet. Op servers binnen je organisatie wil je dit proces onder controle hebben en gecontroleerd uitvoeren. Voor terminal servers is dat niet anders. Maar gebruik je hiervoor het proces en de procedure die je voor de werkplekken toepast of liever het proces dat bij de servers hoort, als dit afwijkend is? Het laatste dat je wilt is dat elke instantie van de antivirussoftware bij elke gebruiker afzonderlijk deze definitiebestanden moet ophalen. Niet via internet en ook niet kaal op het LAN. Zorg ervoor dat elke terminal server lo- met één set van definitiebestanden werkt. Omdat antivirussoftware altijd een impact heeft op de performance van terminal servers, is het belangrijk nauwkeurig te kijken wat je wel en wat je niet wilt of hoeft te scannen. Zo is het voor de eerder genoemde client-drives misschien niet nodig om deze te scannen vanaf de terminal serversessie, ervan uitgaande dat de werkplek zelf ook antivirussoftware heeft. Je fileserver wordt al gescand en daarom is het ook niet nodig om verbonden netwerkstations op de terminal server te scannen. De Office-integratie van veel antivirusproducten scant elke keer elk bestand dat een gebruiker opent. Als je inkomende mailaanhangsels en de fileserver scant en lokale opslag van bestanden niet toestaat, is deze voor de gebruiker vertragende factor niet noodzakelijk. Mappen die je met Folder Redirection hebt verplaatst naar een fileserver hoeven wellicht niet gescand te worden, evenals de bestanden in het roaming profiel van elke gebruiker. Scan je bijvoorbeeld de profielen wel, dan wordt het inlogproces hierdoor aanmerkelijk vertraagd. Het scannen van zipfiles kost nog wat extra rekentijd van de processor van je server, dus misschien dat je die ook wilt uitsluiten. Een volledige scan van de harde schijven in je terminal server kun je het beste buiten werktijd uitvoeren als er geen actieve sessies aanwezig zijn. Met andere woorden: scan in jouw omgeving alleen wat nodig is en bij voorkeur op het juiste moment. Groot aanbod De keuze op het gebied van anti- virussoftware is groot. Maar hoe weet je nu welke scanner de beste is voor jouw omgeving? Je hebt hier uiteraard te maken met stabiliteit, performance en mogelijkheden die voor specifiek gebruik op een terminal server belangrijk zijn. Het uitgebreid testen van alle producten is bijna onmogelijk. De manier om hiermee om te gaan is door de websites van de meeste interessante fabrikanten te bezoeken en te kijken wat ze te bieden hebben. Vind je er geen informatie over terminal servers, dan mag je aannemen dat het product er niet specifiek voor gemaakt en getest is. Ook het lezen van enkele relevante forums over server-based computing kan je een aardig beeld geven van welke antivirustoepassingen in de praktijk goed functioneren. Verder kun je als extra indicatie nog bekijken of de anti virusfabrikant een officiele partner van Citrix is. Daarmee ben je in ieder geval verzekerd van goede ondersteuning op het gebied van terminal servers. Antivirusbescherming voor terminal servers is absoluut nodig, maar de keuze voor een geschikt product blijft toch altijd afhankelijk van je eigen netwerkomgeving. Y 10 tips voor een virusvrije terminal server-omgeving 1. Verwijder onnodige services van je systemen. 2. Scherm server- en gebruikersomgeving af met Group Policyobjecten. 3. Verwijder onnodige NTFS-rechten op programma s en mappen. 4. Gebruik RES PowerFuse of de AppSense Management Suite op al je terminal servers. 5. Verwijder zo veel mogelijk de achterdeuren in (gepubliceerde) toepassingen. 6. Voorzie je terminal servers met beleid van de laatste security patches en updates. 7. Gebruik antivirussoftware op de back-office systemen van je terminal servers, op alle terminal servers en op alle Windowswerkplekken. 8. Actualiseer regelmatig de virusdefinitiebestanden op back-office, terminal servers en Windows-werkpekken. 9. Gebruik voor toegang op afstand end-point security-functies in de vele toegangsproducten, die de remote werkplekken controleren en alleen netwerktoegang bieden als de antivirussofware actief is. 10. Schakel local drive mapping uit als dat in je omgeving niet noodzakelijk is.

12 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Terug naar MS-DOS Auteur: Marcel Beelen Pagina s: Thinstall virtualisatie Neem je toepassingen mee op usb Als je op de Citrix website op zoek gaat naar de ICA-clients, dan zal je misschien zijn opgevallen dat er een ICA-client van een partner in het lijstje van beschikbare clients is toegevoegd: de Thinstall Virtualized Citrix Presentation Server Client. Het is de normale ICA Program Neighborhood client, maar de installatie is een stuk eenvoudiger gemaakt. Een dubbelklik op de client volstaat en installatie is niet nodig. D e Thinstall Virtualized Citrix Presentation Server (ICA) Client is de laatste versie (9.15) van de Citrix-client, die is gevirtualiseerd met Thinstall. Het gevolg van deze virtualisatie is dat de Windows-client niet geïnstalleerd hoeft te worden en op afgeschermde werkplekken zonder Administator-rechten toch gebruikt kan worden. Ook kun je de client meenemen op een usb-drive of cd-rom om hem op elke Windowswerkplek te gebruiken, waar je ook maar achter komt te zitten. Citrix heeft met partner Thinstall een gevirtualiseerde ICA- client gemaakt en biedt deze aan op de website. Tenminste daar lijkt het op. Deze vorm van partnerreclame is een beetje on-citrix, want de download bij Citrix stuurt je door naar de website van Thinstall, waar je eerst een verplicht registratieformulier moet invullen. Je ontvangt een met een download-link en na het wegklikken van een ingewikkelde licentieovereenkomst kun je de client downloaden. De speciaal verpakte client is alleen voor persoonlijk en niet voor zakelijk gebruik. Hiervoor moet je minimaal 50 licenties kopen voor een stukprijs van 30 dollar per gebruiker of per usb-drive. Klik en run Je dubbelklikt op ThinICA.exe, waarna Internet Explorer start. Je opent de webpagina van je organisatie, logt in en de sessie met de Presentation Server wordt gestart. Zonder ActiveX plug-in of Java krijg je toch webtoegang tot de Citrix-omgeving van je bedrijf. De complete Program Neighborhood-client is eveneens ingebouwd en wordt als keuze aangeboden. Instellingen die je maakt met de ICA-client (en in de browser!), worden in een map bewaard op de plek waar ook de executable staat. ThinICA. exe is slechts 4 MB klein. Nu is het nut van deze ICA-client op zichzelf niet zo groot. Welke organisatie staat medewerkers toe verbinding te maken met Presentation Servers vanaf locaties buiten het eigen netwerk, zónder gebruik te maken van een smartcard, token of andere vorm van authenticatie? Waarom zou je bovendien 30 dollar gaan betalen voor een gratis ICA-client? Toch bevat deze compacte ICA-client een sterk staaltje virtualisatietechnologie, bruikbaar op veel andere fronten, nu en in de toekomst. We moeten deze Thinstall ICA-client dus vooral zien als een stukje promotie van virtualisatietechnolgie. Uitvoerbaar bestand Met Thinstall maak je van elke Windowstoepassing een losstaand uitvoerbaar programma (.exe). Of je dat nu doet voor de ICA-client, MS-Word of MS-Outlook, elke complexe Windows-toepassing wordt verpakt en kan worden aangeboden of meegenomen op een usb-drive. Deze executables kun je ook op een gedeelde map op een fileserver plaatsen, waarna elke gebruiker de toepassing kan starten door erop te klikken. Plaatsen we meer dan een tiental jaren geleden ook al niet DOS-toepassingen op Novell- en NT-fileservers, om het beheer ervan te centraliseren? Nu kan dat dus ook voor Windows-toepassingen. Er treedt geen pc-vervuiling meer op en er zijn geen applicatieconflicten meer. Technologiemix Thinstall verkoopt naast de verpakte ICA-client ook een toepassing voor softwarebouwers om hun applicatie als een uitvoerbaar bestand te kunnen verkopen. Hier is de virtualisatielaag van Thinstall dus in meegeleverd als OEMversie. Binnenkort komt er een variant voor organisaties om interne toepassingen op deze wijze te verpakken en aan te bieden. Thinstall heeft een bijzondere technologiemix gebruikt voor deze producten, die we gedeeltelijk terugzien in Citrix Presentation Server Application Isolation Environment (AIE), VMware ACE, Microsoft s SoftGrid (voorheen Softricity). Het product lijkt misschien nog wel het meest op Altiris Software Virtualization Solution (SVS). Om te beginnen is er een virtuele machine die draait op je Windows-werkplek. Deze is slechts 300 K groot op de harde schijf, kost 1 MB aan RAM-geheugen op het moment dat hij actief is en draait volledig in de veilige usermode van het Windows-besturingssys teem. De virtuele omgeving bestaat uit het Thinstall virtuele besturingssys teem (VOS), dat de geïsoleerde applicatie integreert met het onderliggende Windows-besturingssysteem. VOS maakt gebruik van een virtueel bestandssysteem

13 Terug naar MS-DOS SBC & Virtualisatie (Virtual File system, VFS) en een virtueel register (Virtual Registry, VREG). VOS laadt het uitvoerbare programma van het VFS en maakt het mogelijk een ander uitvoerbaar programma aan te roepen (van het VFS of het Windows-bestandssysteem), laadt dll s en bewaakt alle virtuele processen. Om dit te realiseren heb je wel een andere toepassing nodig, namelijk Thinstall Embedded voor ontwikkelaars. Die willen op OEM-basis toepassingen uitleveren, inclusief VOS en Thinstall Virtualization Suite speciaal voor IT-afdelingen bij organisaties. Het product fungeert als packaging-oplossing. Met een ingebouwde registermonitor, filesnapshotmechanisme en de mogelijkheid om Windows Installer-bestanden te converteren, vormt het product bestaande Windows-toepassingen om tot uitvoerbare programma s. Door op deze wijze toepassingen te isoleren, kunnen ze worden meegenomen op bijvoorbeeld usb-drives of kunnen ze centraal worden aangeboden op fileservers. De geïsoleerde toepassing kan echter ook draaien op Citrix Presentation Server, waar geen Application Isolation Environment voor is (de versies vóór 4.0), of voor terminal servers zonder Citrix-software. Maar er is meer. Er is een geïntegreerde installer met allerlei aardige features die ook een lokale installatie mogelijk maken, eventueel in een schrijfbare plek in plaats van onder C:\Program Files. Toepassingen binnen Thinstall zijn nauwelijks nog te ontleden door hackers Afbeelding 1 ThinICA client wordt gestart en alle gegevens blijven afgezonderd. Thinstall heeft packaging-aspecten van SoftGrid, maar is geen oplossing voor applicatiestreaming. Het ontwikkelproduct heeft verder een geavanceerd licentiemechanisme aan boord, waarmee je licenties van een met Thinstall aangeboden softwareproduct kunt beheren. Je kunt de licentie van het product dat draait onder VOS dusdanig configureren dat dit alleen draait op een specifieke pc s op basis van allerlei controles, of dat de licentie slechts voor beperkte tijd werkt of op een vastgestelde datum eindigt (vergelijkbaar met VMware ACE). De ontwikkelomgeving voor Thinstall die nodig is om uitvoerbare packages te kunnen maken is overigens net zo ingewikkeld als die van de andere oplossingen en niet iets wat er als beheerder even bij doet. Applicatieisolatie thuis Oplossingen voor applicatie-isolatie zoals die van Thinstall hebben naast allerlei beheervoordelen voor organisaties ook een belangrijk voordeel voor thuiswerkplekken. Stel je voor dat je thuis, bij familie, buren en vrienden geen toepassingen meer hoeft te installeren maar ze simpelweg kunt starten van cdrom of harde schijf met een dubbelklik. Komt er een nieuwe versie, dan vervang je simpelweg de executable op de harde schijf of gebruik je een nieuwe cd-rom. Alle populaire open source-, maar ook commerciële producten moeten dan wel gebruik gaan maken van een virtualisatiesysteem als dat van Thinstall en zover is het helaas nog lang niet. Overname? Nu Altiris, eigenlijk samen met HP, aan de weg timmert met virtualisatie- oplossingen en Microsoft het bedrijf Softricity heeft overgenomen zijn de twee giganten virtualisatie aan het promoten. De enorme kracht van drie technologieën: applicatievirtualisatie, applicatiestreaming en softwaredistributie, gebundeld bij deze partijen, kan het de concurrentie (waaronder Citrix met de Citrix Streaming Server (codenaam Tarpon) wel eens knap moeilijk maken. Het is jammer dat het Citrix enkele jaren geleden niet is gelukt om Softricity over te nemen, maar wie weet, misschien is Citrix-partner Thinstall wel de volgende overnamekandidaat op de verborgen agenda van Citrix om het ontwikkelingsproces van virtualisatie bij Citrix te versnellen. Y Schema 1 Thinstall architectuur

14 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: Complete toegang Auteur: Marcel Beelen Pagina s: Complete toegang HOB Remote Desktop VPN HOB timmert al een tijdje aan de weg met HOB Remote Desktop VPN. Volgens de beschrijving biedt het product toegang tot alle Windowstoepassingen binnen je organisatie, waar ze ook op draaien. We bekijken kort de mogelijkheden van HOB RD VPN. H OB RD VPN is geen op zichzelf staand product, hoewel het op de website lijkt alsof dat wel zo is. Je kunt het downloaden en er is zelfs een datasheet beschikbaar. HOB RD VPN is een oplossing, een filosofie, die geïmplementeerd kan worden met een set van al langer bestaande producten van HOB. Eigenlijk is het een softwaresuite. De naam is echter niet bijzonder charmant of commercieel te noemen. Zou een naam die géén verwijzingen heeft naar bestaande technologieën niet slimmer zijn geweest? Immers is RD als afkorting te beperkend als synoniem voor Microsoft s Remote Desktop. VPN zonder de SSL-toevoeging klinkt een beetje ouderwets in deze tijd van SSL VPN s. Wat dacht je van: HOB AppliGate Suite, de Secure Application Gateway Suite? Maar goed, de naam is voor de functionaliteit natuurlijk niet zo relevant. Voor elke enterprise RD VPN is een heel aardige oplossing om toegang te verschaffen tot toepassingen binnen je organisatie. Het vult namelijk bestaande technologieën aan die de meeste organisaties tegenwoordig gebruiken en biedt eenvoudig toegang tot alle vormen van toepassingen, of die nu draaien op Windows-pc s, Blade-pc s, terminal servers, UNIX-systemen of mainframes/mini s. HOB s RD VPN biedt je veilige en versleutelde browsergebaseerde SSL-verbinding (standaard over poort 443) naar al deze platformen en de toepassingen die daarop draaien, over een internetverbinding. De oplossing is helemaal geschreven in Java, en werkt dus op elk systeem voorzien van een Java Virtual Machine. Toegangspoort De toegangspoort wordt gevormd door de component WebSecureProxy voor Windows Server. Dit onderdeel draait op een meegeleverde Apache-webserver en zorgt ervoor dat geauthentificeerde gebruikers al naar gelang hun rechten, verbinding kunnen maken met hun eigen werkplek, een shared Blade-pc, toepassingen op terminal servers, toepassingen op mini s of UNIX-systemen. De gebruikersrechten en andere instellingen die noodzakelijk zijn om Web SecureProxy en de andere componenten met je infrastructuur te integreren worden beheerd met het onderdeel Enterprise Access. Dit is een beheeromgeving die niet alleen door WebSecureProxy wordt gebruikt, maar ook door de andere onderdelen en softwareproducten binnen deze suite om bijvoorbeeld applicatie- en gebruikersinstellingen op te slaan. Een gebruiker die toegang wenst tot het bedrijfsnetwerk maakt met zijn browser verbinding met de url van de WebSecureProxy. Je download een Java-applet en logt in, waarna Enterprise Access de gegevens controleert en de ingestelde toegangsmogelijkheden op een webpagina toont. Het mooie is dat hiervoor geen speciale rechten op de werkplek nodig zijn, waardoor het zelfs op internetkiosks functioneert. Drie toegangsvormen In veel organisaties zie je dat Windowstoepassingen vooral gebruikt worden op individuele werkplekken. De persoonlijke werkomgevingen op voor veel gebruikers veel te zwaar uitgevoerde pc s vormen de ruggengraat voor bedrijfstoepassingen. Om al deze werkplekken te kunnen beheren zijn veel oplossingen bedacht, van handmatig beheer tot en met all-in complexe enterprise desktopmanagement-oplossingen. Deze toepas-

15 Complete toegang SBC & Virtualisatie singen zijn in principe alleen bruikbaar als je fysiek achter het beeldscherm en toetsenbord zit. Natuurlijk zijn er remote control producten om het beeldscherm van werkplekken over te nemen, maar die moeten apart gekocht, geïnstalleerd en per werkplek onderhouden worden. Deze toepassingen zijn bovendien niet zo geschikt om toegang tot de werkplek te verschaffen op locaties die zich buiten het LAN bevinden. Microsoft heeft in zakelijke Windows-versies vanaf Windows XP Professional de dienst Terminal Services ingebouwd. Deze standaard dienst maakt het mogelijk om met het Remote Desktop Protocol (RDP) de werkplek op afstand te bedienen. Als alternatief zie je dat server-based computing met terminal servers veel gebruikt wordt. Hoewel er organisaties zijn die alle dikke pc s hebben vervangen door thin clients, zie je toch meestal dat server-based computing als aanvulling wordt ingezet. Sinds Microsoft terminal server standaard onderdeel heeft gemaakt van het Windows serverbesturingssysteem kiezen organisaties ervoor deze technologie te gebruiken voor het gecontroleerd aanbieden van enkele relevante bedrijfstoepassingen. Toegang tot terminal servers wordt ook geboden met het RDP-protocol. Een derde optie om Windows-toepassingen aan te bieden, wordt minder gebruikt maar de verwachtingen voor de toepassingsgebieden ervan in de nabije toekomst zijn hoog. Blade-pc s, al een tijdje aangekondigd door HP, maar nog steeds niet leverbaar in Europa, vormen de ultieme mix tussen Windows XP-werkplekken en het op afstand aanbieden van werkomgevingen op terminal servers. Je plaatst een batterij blades in een rack in het datacenter en biedt deze aan gebruikers aan met technologieën uit de terminal serverwereld. Je deelt met meerdere gelijktijdige gebruikers centrale (fysieke) werkplekken met de terminal servicesdienst op deze werkplekken. Je kunt natuurlijk ook een eigen Blade-pc-achtige oplossing implementeren door enkele pc s centraal in een computerruimte te plaatsen en aan te sluiten op een kvmswitch of zelfs door Windows XP Professional werkplekken virtueel aan te bieden met EMC VMware (ESX) Server of Microsoft Virtual Server. HOB RD VPN bevat precies de componenten die nodig zijn om webgebaseerde Java-toegang tot Windows XP Professional werkplekken, terminal servers en gecentraliseerde (blade) pc s te regelen die voorzien zijn van Windows XP Professional. Als eerste heb je de Java RDP-client van HOB nodig, genaamd HOBLink JWT. Deze client start je vanuit de WebSecureProxy om verbinding te maken met voorgeconfigureerde centrale of persoonlijke werkplekken en terminal servers. HOB biedt met HOBLink JWT ook een aanvulling voor terminal servers om deze te load balancen en er enkele andere extra features aan toe te voegen zoals true windows. Een ander component genaamd HOB Desktop-on-Blade zorgt ervoor dat je de gecentraliseerde pc s of Blade-pc s in een load balanced pool plaatst waarna een gebruiker via WebSecureProxy een ongebruikte werkplek aangeboden krijgt, die bij uitloggen weer wordt vrijgegeven. Een andere extra component die door WebSecureProxy en Enterprise Access wordt ondersteund is HOB Desktop-on-Demand, de functie om Wake-up-on-Lan te gebruiken om werkplekken eerst wakker te maken als een gebruiker deze wenst te benaderen. De Wake-up-on-Lan relay-software die nodig is om dit over subnetten mogelijk te maken wordt eveneens meegeleverd en moet per subnet op een systeem geinstalleerd worden. Mini, mainframe en UNIX Wil je toegang hebben tot host-toepassingen, dan installeer je met RD VPN de HOBlink J-Term software. Deze integreert met de WebSecureProxy waardoor een externe gebruiker eenvoudig een terminal-emulator kan starten om met vt220-, of 5250-emulatie in te loggen op die systemen. UNIX werkt grafisch met X-windows. Wil je hier toegang tot aanbieden, dan moet de remote client een X-servertoepassing draaien. HOB s X11 Gate, eveneens weer een optioneel onderdeel van RD VPN, zorgt ervoor dat je alweer met een Java-client grafische toegang krijgt tot UNIX-toepassingen in je LAN. Niet helemaal compleet Een evaluatieversie die een maand functioneert, is te downloaden van de website van HOB ( Het bestand is bijna 70 MB groot. Na uitpakken en installeren heb je minimaal de beschikking over vier componenten: HOBLink JWT 3.1, J-Term 3.4 en HOB Enterprise Access 3.2 en HOB WebSecureProxy. Bovendien wordt er gedurende de installatie een Apache webserver meegeinstalleerd. Onze download was helaas niet voorzien van documentatie, maar de bedoeling van de software is dat je deze installeert op een Windows- of UNIX/ Linux-server in je DMZ. De webserver op deze machine dient benaderbaar te zijn vanaf locaties buiten je fysieke netwerk op poort 443, maar de meeste firewalls laten dit standaard door. Als je er daarna nog even voor zorgt dat de poorten van je interne firewall de juiste protocollen doorlaten naar de gewenste omgevingen (terminal servers, hosts en dergelijke), dan is je voordeur goed beveiligd en gaat deze alleen open als een ge autoriseerde persoon aanbelt. RD VPN is een complete toegangsoplossing voor al je toepassingen. Helaas zijn de website, de cd-rom en de documentatie op een dusdanig niveau dat je hier niet even snel mee aan de slag gaat. Je moet alles een beetje bij elkaar schrapen om de complete oplossing te kunnen gebruiken. Er wordt echter aan gewerkt om ook dit compleet te krijgen. Y Per 1 mei is HOB Electronic B.V. overgenomen door de Maddocks & Bugley Group. Dit heeft geen gevolgen voor de HOB software, omdat HOB al een zelfstandige onderneming was met een partnerschap met HOB Duitsland. Het partnerschap blijft gewoon bestaan en de overname heeft uiteraard geen verdere gevolgen voor HOB Duitsland, de ontwikkelaar van de software.

16 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: SBC & Virtualisatie Titel: SmoothRoaming Auteur: Marcel Beelen Pagina s: SmoothRoaming De meest flexibele werkplek SmoothRoaming is een marketingterm bedacht door Citrix toen MetaFrame Presentation Server 3.0 op de markt kwam. In Citrix Presentation Server 4.0 is het concept verder ontwikkeld. SmoothRoaming belooft dat je toepassingen zonder onderbrekingen kunt voortzetten als je van de ene computer naar de andere computer wandelt. NetOpus verkent de mogelijkheden van dit interessante concept. S moothroaming is geen product en geen feature, dus je kunt het ook nergens in- of uitschakelen. SmoothRoaming, dat zich in de praktijk vertaalt in functies als WorkSpace Control, Dynamic Session Reconfiguration en Session Reliability, zijn op zichzelf ook weer indrukwekkende marketingtermen. Overigens lijkt Citrix ook niet precies te weten welke mogelijkheden exact tot Smooth Roaming behoren, maar eigenlijk is dat ook niet zo belangrijk voor een concept. Vertaling SmoothRoaming is een term die eigenlijk niet te vertalen is naar het Nederlands, zoals dat wel meer het geval is met marketingterminologie uit de VS. SmoothRoaming houdt in dat een set aan technologieën en functies ervoor zorg draagt dat je heel eenvoudig van werkplek, locatie of netwerk kunt wisselen terwijl al je toepassingen netjes doordraaien. Citrix spreekt ook wel van Personal Access Continuity en Uninterupted Access. Dit beschrijft al iets beter wat wat het concept precies inhoudt. Een voordeel is dat de toepassingen zich hierbij vanzelf aanpassen aan de gewijzigde omstandigheden van de werkplek, zoals een kleiner of groter beeldscherm, andere invoerapparatuur, een ander besturingssysteem of andere netwerkbandbreedte. Virtuele werkplek Met Citrix Presentation Server is eigenlijk al vanaf de eerste versies mogelijk geweest om sessies te ontkoppelen en op een andere plek weer te verbinden, maar van smooth was toen nog geen sprake. Op dit moment, met onder meer smartcard-ondersteuning, zijn de mogelijkheden best indrukwekkend. Misschien dat sommigen zich nog de Virtual Workplace-video van Citrix herinneren van jaren geleden (op dit moment nog te downloaden bij movies/virtual_workplace.mpg). In deze ietwat te futuristische video wordt het concept heel goed weergegeven. Citrix heeft later nog een andere variant van deze video gemaakt, toen er enkele producten waren waarmee het concept ook daadwerkelijk beter ingevuld kon worden. De term virtual workplace mocht op een bepaald moment echter niet meer gebruikt worden en access is ervoor in de plaats gekomen. Op dit moment hanteert Citrix overigens weer uitgebreid de term virtualisatie voor de producten. Workspace control Toch is SmoothRoaming meer dan alleen marketing. Er zijn verschillende functies in Presentation Server ingebouwd die aanpassingen maken in sessies als die na roamen draaien op een andere werkplek met een ander beeldschermformaat of voorzien van een ander besturingssysteeem. Workspace Control is te configureren met een webinterface en net als alle andere instellingen van Program Neighborhood Agent kun je hier het sessiegedrag configureren. Workspace Control kom je dan ook als term tegen in beide beheertools. Hierbij stelt een beheerder of een gebruiker zelf in hoe toepassingen zich binnen sessies moeten gedragen. Een gebruiker kan sessies simpelweg laten draaien en ze op een andere werkplek over een ander type verbinding weer vervolgen. Ook kan een gebruiker met een druk op de knop alle lopende sessies en toepassingen ontkoppelen en ze op de andere werkplek net zo snel weer verbinden. Ook het uitloggen van alle sessies is met een enkele handeling mogelijk. Session Reliability Een term die Citrix gebruik binnen SmoothRoaming is Session Reliablity. Dit is een standaard functie binnen Presentation Server. Als je mobiel via internet of draadloos werkt is de kwaliteit van de verbinding niet te garanderen. Op enig moment kan de verbinding even wegvallen. Session Reliability zorgt ervoor dat de applicatie op het scherm zichtbaar blijft en er weer verder gewerkt kan worden zonder hernieuwd te moeten authenticeren. Session Reliability schakelt je omgeving om van poort 1494 naar poort Houd er rekening mee dat dit aanpassingen in firewalls en WAN-optimalisatie producten vereist (zoals in de in deze NetOpus geteste Expand Accelerator). Session Reconfiguration Dynamic session reconfiguration houdt in dat de sessie van het bureaublad zich automatisch aanpast aan veranderende

17 SmoothRoaming SBC & Virtualisatie omstandigheden, zoals een ander beeldschermformaat of meer of minder kleuren. Dit is vooral handig als je veel van werkplek of type apparaat verandert. Niet altijd eenvoudig Overigens lijkt het configureren van SmoothRoaming niet zo ingewikkeld, maar dat is het wel degelijk als je gebruik maakt van de vele extra producten van Citrix. Om SmoothRoaming naar Presentation Servers mogelijk te maken over WAN-verbindingen met firewalls, de Citrix Access Gateway en Advanced Access Control (dat weer op een aparte Windows-server moet draaien), en met Password Manager om wachtwoordbeheer te automatiseren, moet flink wat geconfigureerd worden. Dat is op zichzelf niet erg, want het gaat om het uiteindelijke effect, en vooral om het gemak voor de gebruiker. Verder zijn er toepassingen die niet kunnen omgaan met het veranderen van de client-naam doordat deze op een andere werkplek getoond wordt. Toepassingen die afhankelijk zijn van de hostnaam moeten speciaal ontwikkeld zijn om te kunnen werken met dynamische naamsveranderingen. Citrix heeft een document waarin beschreven is hoe je software moet schrijvenom hier correct mee om te gaan. Smartcards Bij SmoothRoaming moet je op de werkplek waar je naartoe wilt roamen nog steeds inloggen. De ultieme manier om SmoothRoaming te implementeren is het gebruik van een authenticatiemethode die inloggen veel eenvoudiger en sneller maakt zoals biometrische authenticatie of authenticatie met een token of smartcard. Pc s zijn echter standaard niet voorzien van een kaartlezer, dus we bekeken SmoothRoaming op thin clients die vaak standaard voorzien van een (slot voor een) smartcardlezer. Helaas blijken veel fabrikanten weliswaar een kaartlezer ingebouwd of als optie te hebben, maar hebben ze zelf geen smartcard-oplossing. Dit maakt het implementeren van Smooth Roaming op thin clients met smartcards ingewikkelder, omdat je op meerdere plekken hardware, software en smartcards moet aanschaffen. Je kunt natuurlijk ook een (Citrix) partner vinden die alles kan leveren. Ook kun je een al bestaande smartcard-oplossing binnen je organisatie geschikt maken voor Citrix Presentation Server en je thin clients. Onze zoektocht naar een eenvoudige oplossing bracht ons bij IGEL, een Duitse fabrikant van thin clients. IGEL is in staat thin clients te leveren voorzien van een smartcard-lezer én smartcards. Een kant-en-klare oplossing dus, die zelfs bij kleine organisaties een smooth & secure feeling kan bezorgen. Uiteraard roam je nu niet van werkplektype naar werkplektype maar je houdt wel dezelfde werkplek, namelijk een IGEL thin client. Je maakt bij het roamen tussen thin clients eigenlijk geen gebruik van de SmoothRoaming functies van Pre- sentation Server. Het werkt daarom ook met pure terminal servers. Eenvoudig gebruik IGEL heeft het werken met smartcards heel eenvoudig gemaakt. Op de thin client definieer je eerst de sessies die je wilt gebruiken met de smartcard. Tijdens het configureren kruis je Smartcard Autostart aan. Vervolgens open je de smartcard beheer-tool en voert hier de voornaam en achternaam van de kaarteigenaar in, en optioneel een wachtwoord/pincode die de gebruiker aanvullend moet invoeren. De naam wordt alleen gebruik om op het scherm te plaatsen als het wachtwoord/pincode wordt gevraagd. Selecteer de sessies (bureaublad of toepassingen) die eerder geconfigureerd zijn. Stop de smartcard in de sleuf en klik op Write Smartcard. De gemaakte sessies kunnen nu weer verwijderd worden. Gebruik je de smartcard overigens alleen om in te loggen op de thin client en niet om ook sessies te starten. Die hoeven dan uiteraard niet gedefinieerd en bewaard worden op de smartcard. Optioneel kan er ook nog een Company Key worden bewaard op de smartcard, die de smartcard koppelt aan een thin client. Klaar voor gebruik Na de configuratie kun je met de smartcard werken. Je loopt naar een thin client en steekt de smartcard in de sleuf. Optioneel wordt je naam op het scherm getoond en gevraagd om het wachtwoord. Vervolgens starten al je geconfigureerde toepassingen of het bureaublad op de terminal server. Verwijder de smartcard en het scherm wordt zwart. Wandel naar een andere thin client en steek de smartcard weer in de reader. Na het optionele wachtwoord kom je vanzelf weer terug in de toepassingen of het bureaublad op de terminal server. Een soepele werkplekwisseling is het gevolg. Y IGEL thin client met IGEL smartcard.

18 Veilig toegang met SmartGate SBC & Virtualisatie Veilig toegang met SmartGate De terugkeer van V-ONE Citrix die-hards kennen wellicht V-ONE en het softwaregebaseerde VPNtoegangsproduct SmartGate dat BorderWare Technologies en Citrix in licentie namen. Citrix verkocht het product tot 2002 als Citrix Extranet. AEP Networks nam onlangs V-ONE en daarmee het product SmartGate over. Het bedrijf nam eerder al Netilla over en heeft nu nog een concurrerend toegangsproduct met AEP SmartGate. B ij de demoversie van Smart- Gate 5.0 merk je al dat het een zeer uitgebreid product is met ontzettend veel beveiligingsmogelijkheden en een erg brede ondersteuning van protocollen en authenticatie-oplossingen. SmartGate is een 100 procent softwaregebaseerde hybride IPsec en SSL VPN identiteitgebaseerde application layer security gateway. Dat is een hele mond vol, maar het komt er op neer dat je een veilige toegangsoplossing bouwt waarbij de identiteit en authenticatie gegarandeerd zijn en je op applicatieniveau toegang kunt regelen. Installatie Je installeert SmartGate op een Windows-server of een ondersteunde UNIX/Linux-server. Vervolgens log je bij V-ONE in en moet je het serienummer invoeren, drie bestanden uploaden en twee gegenereerde bestanden te downloaden en op de juiste plek plaatsen op de SmartGate server. Configuratie en beheer is mogelijk met een browser en de webserver op de SmartGate server, waar je overigens ook updates van de client centraal regelt. Aan de client-kant heb je een lokale native client of een Java-client nodig, waardoor eigenlijk alle typen werkplekken en client-apparaten worden ondersteund. De native SmartPass client is er voor Windows, Solaris, Linux, Mac OS X en Windows CE. Een redelijk unieke functie van dit product is dat een gebruiker na download en installatie, zichzelf kan registeren op je SmartGate website, waarna er een soft-token wordt verkregen. Daarna kan de beheerder centraal gedetailleerd aangeven tot welke toe passingen de gebruiker toegang krijgt. Met de Java-client biedt je browser gebaseerde SSL-versleutelde toegang tot het bedrijfsnetwerk. De Java-client is qua functionaliteit en beveiliging uiteraard beperkt tot wat SSL ondersteunt. FBI Beveiligingstechnisch zit het allemaal wel snor en ook de schaalbaarheid in grote omgevingen is in orde. Zo laat de Amerikaanse FBI ruim politieagenten ermee werken in het kader van het FBI Law Enforcement Online programma. Verschillende niet-technische zaken rondom SmartGate doen op dit moment wat verouderd aan en de overname van V-ONE door AEP is nog lang niet op alle plekken verwerkt. Zo word je om de licenties te activeren nog doorgestuurd naar de sterk verouderde V-ONE website (hier vind je zelfs nog een opmerking speciaal voor Internet Explorer 3.0-gebruikers). De documentatie is voor een redelijk complex en erg uitgebreid product als dit eigenlijk té compact en gefragmenteerd. Zoek je naar updates of support (in de Tech- Notes tak van AEP s website) dan staat daar geen actuele informatie. Alleen in het archief bevinden zich V-ONE Tech- Notes tot en met Het is duidelijk dat de marketing bij V-ONE even op een laag pitje heeft gestaan. AEP zal nog wat inspanning moeten leveren om het product te positioneren en helder uit te leggen hoe het product zich verhoudt met het AEP Netilla Security Platform (door AEP zelf aanvullende concurrenten genoemd), maar ook tot de vele andere oplossingen in hard- en softwarevorm die te koop zijn. Grote beurt Met versie SmartGate 5.0 maakt AEP een statement dat het product weer leeft. Op het moment dat versie 5.1 ergens in de herfst van dit jaar beschikbaar komt, zal het product vermoedelijk helder gepositioneerd zijn. Je zou kunnen zeggen dat de SmartGate-auto op dit moment nog een grote beurt en een APK-keuring krijgt en door de wasstraat gaat. Voor meer informatie kun je de websites van de fabrikant AEP ( com) of de importeur Magirius (www. allasso.nl) bezoeken. NetOpus volgt deze veelbelovende ontwikkelingen en zal zeker SmartGate later eens aan een uitgebreide test onderwerpen. Y

19 NetOpus: Juli/augustus 2006 Thema: SBC & Virtualisatie Rubriek: Focus Titel: Eindelijk samen Auteur: Marcel Beelen Pagina s: Eindelijk samen Web Interface voor SharePoint Je bladert met je browser naar een webpagina, logt in en ziet vervolgens pictogrammen van Windows- of UNIX-toepassingen waarvoor je een licentie hebt. Je klikt op het pictogram van Microsoft Project en enkele tellen later werk je op je werkplek met Project alsof de software lokaal op je pc geïnstalleerd is, terwijl dat niet zo is. Dat is wat Web interface je biedt: eenvoudige volledig transparante webgebaseerde toegang tot toepassingen die draaien op terminal servers voorzien van Presentation Server. Nu is er ook Web Interface for SharePoint: WISP. C itrix is met een speciale variant van Web Interface op de markt gekomen met de naam WISP (Web Interface for SharePoint). WISP is geen betaald product, maar een gratis onderdeel van versie 4.2 van de Access Suite. Bij de downloads op MyCitrix.com vind je het onderdeel terug als je een subscription advantage hebt. WISP is al een hele tijd geleden aangekondigd en is sinds het begin van dit jaar zonder veel bombarie toegevoegd aan de (gratis) componenten van Presentation Server. Server 2003 SharePoint Services of SharePoint Server 2003 webomgeving. Maar waarom heeft de SharePoint-integratie zo lang geduurd? Is dit zoveel moeilijker dan de integratie met de genoemde Enterprise Portals? Om hier een antwoord op te geven, gaan we even terug in de tijd. Sequioa XPS WISP heeft erg lang op zich laten wachten. Daar zijn minimaal twee redenen voor te bedenken. De eerste reden is dat Citrix met WISP de concurrentie zou aangaan met zichzelf. Citrix biedt al vele jaren een gratis en bij klanten goed gewaardeerd onderdeel bij MetaFrame/ Presentation Server aan om webtoegang te bieden tot Windows-toepassingen. Dit component werd NFuse genoemd. In 2001 heeft Citrix echter Sequioa ingelijfd, wat XPS portal server toevoegde aan de productreeks. Sinds die tijd heeft de organisatie een tijd lang geworsteld met de positionering van XPS en N Fuse. Citrix noemde het nieuwe product NFuse Elite. Met de annoncering hiervan is besloten om NFuse om te dopen tot NFuse Classic. Beide namen suggereren een familiegedachte: NFuse Classic is het kleine broertje (gratis) en NFuse Elite is de uitontwikkelde (commerciële) oplossing. Dit maakte het er niet duidelijker op. Wanneer gebruik je welke versie? Is de één inderdaad het grotere broertje Portal-integratie Een (enterprise) portal is een belangrijke toegangsomgeving voor organisaties. Het mooist is als medewerkers met één website werken: je enterprise portal met daarbinnen geïntegreerd de Windows-toepassingen op Presentation Server. Je kunt al heel lang integratiemogelijkheden in de vorm van Portlets, Pagelets of iviews downloaden bij Citrix, voor BEA WebLogic, IBM WebSphere, Oracle Application Server, PeopleSoft Enterprise Portal, SAP Enterprise Portal en Sun Java System Portal Server. Dit zijn een soort van plug-ins die een Web Interface-onderdeel plaatsen op pagina s van het portalproduct. WISP is nieuw. Het plaatst pictogrammen van gepubliceerde toepassingen op Presentation Server binnen je Windows Schema 1 De evolutie van Advanced Access Control Schema 2 De evolutie van Web Interface

20 Eindelijk samen Focus van de ander? Waarom is NFuse Classic gratis en waarom moet je voor NFuse Elite betalen? Waarom kun je bovendien NFuse Elite ook gebruiken zónder Meta- Frame Presentation Server? NFuse Elite is niet op noemenswaardige schaal door bedrijven geïmplementeerd. Het bieden van kortingen op de aanschaf van NFuse Elite heeft niet veel mogen baten. Op een bepaald moment is zelfs aangekondigd dat er aan NFuse Classic geen verdere ontwikkelingen meer gedaan zouden worden, in de hoop klanten meer te interesseren voor het aan te schaffen NFuse Elite. Het koppelen van NFuse Elite met als nieuwe productnaam MetaFrame Secure Access Manager (MSAM) binnen de Access Suite heeft ook niet geholpen om het product populair te maken. Naast dit vraagstuk van positionering van de software is een tweede reden voor het uitblijven van WISP, speelt de vermeende concurrentie van NFuse Elite met Share- Point Server een rol. NFuse Elite is vaak vergeleken met Microsoft s SharePoint Server. Hoewel het producten zijn die verschillende toepassingsgebieden hebben en eigenlijk niet echt concurreren, zou Web Interface-ondersteuning voor SharePoint Server de concurrentie met NFuse Elite wel degelijk vergroot hebben. Het is daarom ook logisch dat Citrix geen plug-in voor SharePoint op de markt wilde brengen. Citrix zag het gebruik bovendien liever andersom en ondersteunde zelf Content Delivery Agents (plug-ins) voor SharePoint binnen NFuse Elite. NFuse Elite zou op deze wijze een access center moeten worden voor alle Office-informatiebronnen. Er is echter sindsdien heel veel veranderd bij Citrix. NFuse Classic heet nu Web Interface en wordt gelukkig nog steeds verder ontwikkeld. Inmiddels is versie 4 inbegrepen bij Citrix Presentation Server 4.0. Veel organisaties gebruiken dit onderdeel als handige toegangsmethode tot Windows-toepassingen in combinatie met de Presentation Server-component Secure Gateway, de Citrix Access Gateway appliance of gewoon op het LAN als aanvulling op native server-based computing clients. Ook de vermeende concurrentie van NFuse Elite/MetaFrame Secure Access Manager is er niet meer. Het product heeft op dit moment een andere passende plek gekregen, namelijk bij de Access Gateway (in de Enterprise Edition) met als nieuwe naam Advanced Access Control, waar het volledig tot zijn recht komt. De huidige rol is dat het product in staat is zeer nauwkeurig rolgebaseerde toegang tot toepassingen en zelfs functies binnen die toepassingen te regelen in combinatie met de appliances van Citrix. Het product is hiertoe uitgebreid met technologie die Citrix in handen heeft gekregen met de overname van Motivus in De weg ligt open Nu de mogelijke redenen die de ontwikkeling van WISP in de weg staan niet meer bestaan, is er dan eindelijk Web Interface for SharePoint. Met Microsoft Windows Server 2003 SharePoint Services of Microsoft SharePoint Server 2003 kun je in een webomgeving samen aan documenten te werken en ze te beheren. Denk daarbij aan functies als versiebeheer, goedkeuring, publiceren, archiveren en indexeren van documenten en het zoeken naar en in documenten. SharePoint is bovendien aan de gebruikerskant geïntegreerd in de menu s van onder meer Word en Windows Explorer. Schema 3 SharePoint-architectuur met Citrix-producten Uitbreidingen aan SharePoint zijn eenvoudig mogelijk door er zogenaamde webparts aan toe te voegen. En dat is nu precies van WISP doet: het voegt webparts toe aan SharePoint, om behalve documentbeheer in het portal meteen transparante toegang te bieden tot Windows-toepassingen draaiend op Presentation Server. Architectuurscenario s SharePoint kan in allerlei architectuurvormen worden opgebouwd. Met een enkele SharePoint-server tot en met een complexe architectuur bestaande uit meerdere redundante webservers en Network Load Balancing, meerdere SQL Servers en meerdere servers die specifieke Share- Point-functies ontlasten, zoals zoeken of indexeren. Citrix voegt hier aan toe dat deze scenario s uitgebreid kunnen worden met implementaties van Secure Gateway of liever nog met de combinatie van de Access Gateway appliance en Advanced Access Control. Het oude NFuse Elite biedt nu in de vorm van Advanced Access Control een belangrijke toegevoegde waarde aan Share- Point. Zo wordt Citrix de applicatie-ontsluiter voor SharePoint-omgevingen over beveiligde internetverbindingen ( Schema 3). Het invoeren van dit type toegangs-scenario s vergt uiteraard wel een gedegen planning. f