Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Citrix über Browser und Access Gateway nutzen

Frage Microsoft Windows Netzwerk

Mitglied: Aktuator

Aktuator (Level 1) - Jetzt verbinden

28.02.2013 um 14:02 Uhr, 8934 Aufrufe, 18 Kommentare

Hallo liebe Forumgemeinde,

ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag *aufgeregt*

Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.

Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.

Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.

Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.

Danke und Gruß
Aktuator
Mitglied: SlainteMhath
28.02.2013 um 14:07 Uhr
Moin,

richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.

Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).

Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.

lg,
Slainte
Bitte warten ..
Mitglied: Aktuator
28.02.2013 um 14:52 Uhr
Danke!
D.h. ich sollte das CAG schon auf einem separaten Server installieren und diesen dann in die DMZ stellen.
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding das CAG erreichbar machen wäre nicht gut?
Bitte warten ..
Mitglied: SlainteMhath
28.02.2013 um 15:00 Uhr
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding
das CAG erreichbar machen wäre nicht gut?
Diese Möglichkeit existiert überhaupt nicht. CAG = HW Appliance oder Virtuelle Appliance!
Bitte warten ..
Mitglied: Aktuator
28.02.2013 um 15:15 Uhr
Verstehe! Da muss ich mich dann nochmal genauer einlesen etc.

Gäbe es noch andere Alternativen? Z.B. XenApp direkt über Portfowarding erreichbar machen und das Ganze aber per SSL zu verschlüsseln?
Bitte warten ..
Mitglied: sk
02.03.2013, aktualisiert 03.03.2013
Wenn ich das Wort "Portforwarding" höre, schrillen bei mir die Alarmglocken.
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!

Gruß
sk
Bitte warten ..
Mitglied: Aktuator
04.03.2013 um 09:42 Uhr
@...sk...

ich gebe Dir absolut recht. Das ist sicherlich der richtige Weg. Da will ich auch hin, muss jedoch momentan mit dem Auskommen was ich habe. Ist nunmal leider so.

Kurze Frage dazu:
Was hälst Du von einem Server mit 2 Netzwerkkarten, eine fürs Internet und eine fürs LAN und alle Clients gehen dann über diesen Server? Auch nicht wirklich sicher oder schonmal einen Schritt besser? Der Server wäre halt auch (leider) gleichzeitig unser Small Business Server mit anderen Diensten wie AD, Exchange etc.

Danke und Gruß
Bitte warten ..
Mitglied: sk
04.03.2013 um 16:21 Uhr
Das bringt keine Vorteile - außer dass man dann das SMB-Protokoll von dieser Schnittstelle entbinden könnte. Aber letzteres sollte auf dem Router ohnehin nicht weitergeleitet werden.

Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.

Gruß
sk
Bitte warten ..
Mitglied: Aktuator
04.03.2013 um 17:50 Uhr
Ok, andere und richtige Vorgehensweise:

Wenn wir unser Netzwerk wie folgt aufrüsten und konfigurieren, wäre das dann so korrekt:

Gescheite Firewall kaufen, die einen dedizierten DMZ Port hat. Dort den Server anschließen auf dem Windows Server 2008 mit Hyper-V und Access Gateway drauf läuft.
Der XenApp Server läuft im normalen, gesicherten LAN. Die mobilen User machen dann von aussen eine Session auf das Access Gateway auf und können somit "normal" auf ihre XenApp Umgebung zugreifen.

Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss und dann aber über den Browser die Session aufbauen kann, z.B. über https://meinefirma.com/Remote

Gruß
Aktuator
Bitte warten ..
Mitglied: SlainteMhath
05.03.2013 um 08:20 Uhr
Moin,

nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt

Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss
und dann aber über den Browser die Session aufbauen kann, ...
Ja der Client braucht auf jedenfall ein Stück Software installiert. Entweder den Reciever, oder das Web Online Plugin.

lg,
Slainte
Bitte warten ..
Mitglied: Aktuator
05.03.2013 um 16:31 Uhr
Zitat von SlainteMhath:
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt

ok. Kannst mir noch kurz sagen warum Du VMware bevorzugst?
Danke!
Bitte warten ..
Mitglied: SlainteMhath
05.03.2013 um 16:36 Uhr
In Kürze:
- Stabiler & Sicherer
- braucht Weniger Resourcen
- Stabiler & Sicherer
- Bootet von USB/SC Card
- Stabiler & Sicherer

Bitte warten ..
Mitglied: Aktuator
06.03.2013 um 09:38 Uhr
ok, super! Ich danke euch!
Bitte warten ..
Mitglied: Aktuator
08.03.2013 um 11:37 Uhr
jetzt muss ich das Thema doch nochmal aufgreifen.
Ich habe jetzt nämlich 2 Anwendungen, die beide auf Port 443 ankommen. Einmal habe ich ActiveSync für mobile Clients und dann eben das Access Gateway.
Soweit ich weiss, kann man den Port bei ActiveSync nicht ändern.....kann ich das beim AG?? Und wenn nein, was dann?
Bitte warten ..
Mitglied: sk
08.03.2013 um 14:34 Uhr
Selbst wenn sich der Port von CAG nicht ändern lassen sollte, kannst Du ihn ja an der Firewall "drehen". Die bessere Alternative wären es allerdings, mehrere öffentliche IP-Adressen zu verwenden.

Gruß
sk
Bitte warten ..
Mitglied: Aktuator
08.03.2013 um 15:40 Uhr
wir haben momentan nur eine IP.
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port gedreht werden muss?

Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an und dann könnte ich es natürlich an der Firewall übersetzen....weiss aber nicht, ob man dem Citrix Client das sagen kann.
Bitte warten ..
Mitglied: sk
09.03.2013 um 12:40 Uhr
Zitat von Aktuator:
wir haben momentan nur eine IP.

Dann wäre es an der Zeit, dies zu überdenken.


Zitat von Aktuator:
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?

Der Client muss in diesem Fall selbstverständlich auf einem anderen Port anfragen.


Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an ...

Keine Ahnung. Ist nicht meine Baustelle. Aber wolltest Du bzw. der Chef nicht ohnehin die clientlose, rein browserbasierte Variante nutzen? http://www.youtube.com/watch?v=u9GyL-6K3xU


Gruß
sk
Bitte warten ..
Mitglied: Aktuator
10.03.2013 um 00:48 Uhr
ok, ich habe jetzt mal Access Gateway als Trial runtergeladen und installiert.
Und es erschlägt mich einfach nur! AG braucht ja als Basis NetScaler und da gibt es ja unendlich viele Konfigmöglichkeiten und ich komme damit leider nicht klar....

Darf ich nochmal zusammenfassen und um euren Rat bitten:
Momentan wählen wir uns über VPN Client ein und können dann über Browser die Citrix Site aufrufen: http://servername/XenApp

Ich will ja jetzt quasi "nur" dass diese Site über https://UnsereDomain.com/XenApp erreichbar ist und der Datenverkehr dabei verschlüsselt wird. Benötige ich da denn wirklich den, wie ich finde, riesen Aufwand mit dem Access Gateway inkl. Netscaler?

Könnte ich denn nicht z.B. einen ISA Server (ich weiss heisst jetzt TMG) in die DMZ stellen, und der leitet die Anfragen weiter an meinen internen Citrix Server? Und zusätzlich kaufen wir uns noch Zertifikate von Verisign oder so und das wars?

Der TMG Server läuft ja mittlerweile auch schon aus, was ist da eigentlich der Nachfolger bzw. Alternative.

Hoffe ihr könnt mir nochmal helfen, denn ich bin langsam mit meinem Wissen am Ende...

Danke und Gruß
Aktuator
Bitte warten ..
Mitglied: Herbrich19
10.10.2013 um 19:23 Uhr
Hallo,

Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.

LG, Herbrich

PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...