Citrix MetaFrame XP Presentation Server

1
Citrix MetaFrame XP Presentation Server

• AVANZADO II

2
Agenda

• Secure Gateway v.2.0
• Trabajando con GPOs
• Herramientas de soporte
• Soporte en Citrix
• Troubleshooting
• Utilidades Citrix

3
Secure Gateway 2.0

• Citrix Secure Gateway 1.0
• Novedades en Secure Gateway 2.0
• Componentes de la solución SG 2.0
• Secure Gateway Service
• Secure Ticket Authority
• Authentication Service
• Logon Agent
• Gateway Client
• Escenarios de despliegue SG 2.0
• Gestión de Secure Gateway
• Tips traps

4
Arquitectura CSG 1.0
Internet
DMZ
Trusted network
HTTPS
443
XML/HTTP
Secure Ticket Authority
SSL
443
ICA
5
Citrix Secure Gateway 1.0

• Componentes de CSG 1.x incluidos también en la
  versión 2
• Gateway Service escucha tráfico SSL entrante, lo
  desencripta y lo transmite a los servidoes de la
  trusted network
• Secure Ticket Authority (STA) es un servicio XML
  anónimo que intercambia información de
  direcciones de servidores MetaFrame por tickets
  generados aleatoriamente y viceversa.
• Servidores Citrix Web Interface o NFuse Classic,
  usados para acceder a los iconos de aplicaciones
  publicadas
• Cliente ICA realiza conexiones SSL vía el gateway
  a los servidores MetaFrame

6
CSG paso a paso
2
NFuse
MF1
1

• Proceso de lanzar Wordpad usando CSG
• La mayor parte del trabajo de inicio de conexión
  lo realiza NFuse
• Una vez establecida la conexión, NFuse termina su
  trabajo, y se puede cerrar sin que afecte a la
  aplicación publicada

4
Client
STA
3
6
5
CSG
MF2
7

• Cada acceso CSG implica siete conexiones TCP
  distintas
• MF1 Servidor MetaFrame proporcionando servicio
  XML a NFuse
• MF2 Servidor menos ocupado en el lanzamiento de
  la aplicación

7
Usuarios se validan en NFuse
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• Abrir un navegador y apuntar a la página de
  validación de NFuse
• Conexión estandard HTTP o HTTPS al servidor web
  NFuse usando puerto 80 o 443
• Teclear nombre de usuario y contraseña, clic
  botón para enviar credenciales al servidor web
• El servidor web recibe nombre de usuario y
  contraseña

8
NFuse ?XML? MF1
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• El servidor web NFuse redirige las credenciales
  al servidor MetaFrame (MF1) corriendo el servicio
  Citrix XML
• El servicio XML envía la lista de aplicaciones e
  iconos XML para el usuario actual a NFuse
• NFuse formatea la página como HTML para el usuario

9
Usuario hace clic en un icono de aplicación
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• Cuando el usuario hace clic en el icono de una
  aplicación (Wordpad), se envía una petición HTTP
  a NFuse
• Un icono es un hyperlink a launch.asp?NFuse_Applic
  ationWordpad

10
NFuse pide detalles para Wordpad
2
NFuse
MF1
1
ltxmlgt Least-busy server hosting Wordpad? lt/xmlgt
4
Client
STA
3
6
5
CSG
MF2
7

• La petición de lanzamiento de la aplicación del
  usuario genera otra transacción XML entre NFuse y
  MetaFrame qué servidor está menos cargado?
• Las reglas de Citrix Load Management determina
  cuál es el servidor menos cargado y disponible
• La dirección del servidor se puede devolver como
  una dirección IP normal, alternate address,
  IPport, DNS name o DNSport

11
MetaFrame localiza servidor menos cargado
2
ltxmlgt NFuse Ticket for user on MF2 lt/xmlgt
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• El servicio XML de MF1 pregunta al Data Collector
  (DC) de la zona cuál es el servidor MetaFrame
  menos cargado que sirve esa aplicación
• En este ejemplo, MF2 es el menos cargado
• MF1 envía las credenciales del usuario al
  servicio XML de MF2
• MF2 genera un ticket NFuse y lo devuelve a MF1

12
MF1 envía la dirección de MF2 a NFuse
2
NFuse
MF1
ltxmlgt MF2 IP address MF2 NFuse ticket lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

• El servicio XML primario envía los datos XML a
  NFuse de nuevo, indicando la dirección del
  servidor menos cargado (MF2)
• NFuse también recibe el ticket NFuse generado por
  MF2 para las credenciales del usuario actual
• El ticket NFuse permanecerá en memoria de MF2
  hasta que es utilizado por WinLogon o expira (por
  defecto 200 segundos)

13
NFuse envía la dirección de MF2 a STA
2
NFuse
MF1
ltxmlgt Request CSG ticket for MF2s IP
address lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

• NFuse ya sabe quién es el servidor menos cargado
  MF2
• Sin CSG, Nfuse colocaría la dirección de MF2 en
  un fichero ICA, que pasaría al usuario.
• Con CSG, NFuse envía la dirección de MF2 a STA y
  recibe un ticket CSG de vuelta
• STA genera un ticket para NFuse y almacena la
  dirección de MF2 en memoria

14
El usuario recibe el fichero ICA
2
NFuse
MF1
Launch.ica
1
4
Client
STA
3
6
5
CSG
MF2
7

• NFuse recoge toda la información que tiene y
  genera un fichero ICA dinámico para esta conexión
• El contenido del fichero ICA se basa en el
  fichero TEMPLATE.ICA
• El fichero launch.ica se devuelve al navegador
  usando el application/x-ica MIME type, triggering
  users ICA client
• El ticket STA aparece en el fichero launch.ICA,
  en la línea address, ej Address10STA01FE0A7B2
  CE2E77DDC17C7FD3EE7959E79

15
El cliente conecta con la pasarela CSG
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• El cliente abre una conexión con la pasarela CSG,
  que estaba en el fichero ICA, como SSLProxyHost
• Se produce un handshake SSL estándar
• El servidor CSG debe enviar una cadena de
  certificado válida al cliente
• El CA root certificate debe ser instalado y
  trusted por el cliente
• El FQDN del servidor como aparece en el fichero
  ICA debe coincidir con el nombre (subject name)
  del certificado

16
Gateway valida el ticket STA
2
NFuse
MF1
ltxmlgt Validate CSG ticket, get MF2 address in
return lt/xmlgt
1
4
Client
STA
3
6
5
CSG
MF2
7

• El ticket CSG producido por STA se presenta a CSG
• CSG reenvía el ticket de vuelta a la STA para
  validación
• Si la STA aún tiene la dirección del servidor MF
  en memoria que corresponde al ticket, se pasa esa
  dirección del servidor MF a CSG y STA borra el
  ticket de memoria
• CSG recibe la dirección del servidor MF2 y

17
Cliente ?SSL? CSG ?ICA? MF2
2
NFuse
MF1
1
4
Client
STA
3
6
5
CSG
MF2
7

• CSG abre una conexión con MF2 usando el puerto
  estándar ICA, estableciendo una pasarela segura a
  la aplicación publicada
• El ticket NFuse se presenta a MF2 para el logon
  de MetaFrame
• Tráfico entre CSG y el cliente encriptado SSL
• Tráfico ICA regular entre CSG y MF2

18
Novedades en Secure Gateway 2.0

• Nuevos componentes
• Acceso seguro vía Internet a Secure Access
  Manager (soporte tráfico HTTP)
• Acceso seguro vía Internet a servidores web
  corporativos
• Soporta integración SecurID RSA
• Nuevas características
• Despliegue de una o dos DMZ
• Comunicación segura entre todos los componentes
• Mejoras en configuración, gestión local y
  herramientas de diagnóstico

19

• MetaFrame Secure Access Manager permite acceso
  vía web seguro y personalizado a aplicaciones e
  información

20
Secure Access Manager

• Permite conexión segura a cualquier aplicación o
  información a través de internet
• Único punto de acceso a recursos empresariales
• Personalizado, basado en rol de trabajo
• Fácil despliegue y gestión
• Se integra en los entornos actuales de MetaFrame

21
Acceso seguro a cualquier información en Internet

• How does it work?
• Encriptación en internet basada en estándars
• Configuración de cliente mínima
• Soporte autenticación 2-factor
• Firewall traversal
• Soporte tolerancia a fallos

22
Unico punto de acceso a los recursos

• Fácil de encontrar cualuqier información dentro
  de la empresa o a través de la web
• How does it work?
• Todas las aplicaciones e información mostradas
  desde un único punto
• Interfaz de navegador familiar
• Funcionalidad de index y búsqueda

23
Personalizado, basado en rol de usuarios

• How does it work?
• Definición de roles
• Acceso basado en roles
• Interfaz de usuario personal
• Configuraciones de usuario persistente

24
Comparado con web interface

• MetaFrame Presentation Server web interface
  muestra una lista de aplicaciones basada en la
  identidad del usuario
• MetaFrame Secure Access Manager muestra
  aplicaciones e información a la medida del rol de
  cada usuario

25
The User Perspective
Content Delivery Agents (CDAs)
Program Neighborhood Aplicaciones publicadas
disponibles al usuario desde granja de MetaFrame
XP Presentation Server
Favorites List Lista de web sites internos y/o
externos
Web Site Viewer Ver y navegar de forma segura
contenidos web externos o internos
26
The User Perspective
Content Delivery Agents (CDAs)
Search CDA Permite a los usuarios buscar web
sites y file shares, devuelve sólo contenido y
ficheros accesible al usuario, y proporciona
resultados de búsqueda por relevancia
secure access manager
27
The User Perspective
Content Delivery Agents (CDAs)
Search CDA Permite a los usuarios buscar web
sites y file shares, devuelve sólo contenido y
ficheros accesible al usuario, y proporciona
resultados de búsqueda por relevancia
28
The User Perspective
ICA Applications Ver y trabajar con aplicaciones
ICA publicadas
29
Content Delivery Agents

• CDAs contienen datos, aplicaciones, documentos y
  servicios al centro de acceso, incluyendo
• Recursos publicados en MetaFrame XP
• Web sites Internos o externos y aplicaciones
• Documentos y recursos de red
• El acceso de usuarios a los distintos CDAs es
  controlado por el administrador
• Se pueden crear agentes personalizados con el SDK

30
Novedades en Secure Gateway 2.0
31
Novedades en Secure Gateway 2.0

• Nuevos componentes
• Cliente Gateway
• pequeño ActiveX control que los usuarios ejecutan
  en sus navegadores para acceder a servidores web
  internos a través del gateway.
• Este control actúa como un localhost proxy,
  interceptando tráfico y enviándolo a través del
  túnel del gateway
• Logon Agent
• Conjunto de scripts ASP que muestran un
  formulario de login a los usuarios antes de
  permitirles acceder al site SAM o a cualquier
  servidor web interno
• Authorization Service (AS)
• El Logon Agent se comunica con un authorization
  service housed by SAM para autorizar tráfico
  HTTP. Como STA para tráfico HTTP
• Secure Gateway Proxy
• Servicio de Secure Gateway que puede hacer de
  proxy para tráfico de otro Secure Gateway service
  a una trusted network.
• Permite desplegar Secure Gateway 2.0 en
  organizaciones donde una doble DMZ separa
  Internet de la trusted network.

32
Novedades en Secure Gateway 2.0
MetaFrame PS Server Farm
Internet Explorer and ICA Client
Secure Gateway
Secure Gateway Proxy
Gateway Client
Internal Web Servers
WebInterface
MetaFrame Secure Access Manager
Authentication Service STA
Logon Agent
HTTP(S)
DMZ 2
DMZ 1
3rd Party Auth
ICA
33
Distintos escenarios de despliegue

• DMZ simple o DMZ doble?

• Usando MetaFrame?
• Web Interface en la misma máquina, en una máquina
  distinta en la DMZ o en la trusted network?
• Usando SSL para comunicar con la STA?

• Usando MSAM?
• Con o sin RSA?
• Logon Agent en la misma máquina?
• Permitir acceso a otros servidores web internos?
• Usar SSL para comunicar con Auth Service?

• Usando ambos?
• Aplicaciones ICA con MSAM o WI? O ambos?

34
Soporte SSL/TLS

• Protocolos de seguridad soportados SSL v3.0 y
  TLSv1.0
• Las conexiones seguras ahora incluyen
• Client browser to Web Interface server
• Web Interface to MetaFrame XML Service
• Web Interface to Secure Ticket Authority
• Secure Gateway to Secure Gateway Proxy
• Secure Gateway to Authentication Service
• Secure Gateway to Secure Ticket Authority
• Secure Gateway to Logon Agent
• Logon Agent to Authentication Service
• En todos los casos, en cualquier conexión SSL se
  debe cumplir lo siguiente
• Root certificate en el componente que inicia
  conexión (cliente SSL)
• Server certificate en el componente securizado
  (servidor SSL)
• El cliente SSL se dirige al servidor SSL usando
  su FQDN (fully-qualified domain name)
• El subject del certificado del servidor SSL debe
  coincidir con el FQDN usado por el cliente SSL
• El cliente SSL debe poder resolver el FQDN del
  servidor SSL a la dirección IP correspondiente

35
Componentes de la solución en detalle

• Secure Gateway Service
• Secure Ticket Authority
• Authentication Service
• Logon Agent
• Gateway Client

36
Secure Gateway Service

• An SSL-secured reverse proxy server for HTTP and
  ICA traffic
• Novedad soporte tráfico HTTP (interno)

37
Secure Gateway Service
HTTPS 443
HTTP(S)
ICA in SSL 443
ICA

• Secure Gateway Service es un proxy server que
  escucha tráfico ICA securizado por SSL y tráfico
  HTTP por el puerto 443. Corre como un servicio
  de sistema.
• Si el cliente está autenticado, su tráfico se
  desencripta y proxied a una trusted network
• Si el cliente no está autenticado

38
Secure Gateway Service
SecureTicketAuthority
HTTP(S)
ltxmlgt Ticket Validation lt/xmlgt
ICA in SSL 443

• Para tráfico ICA, el servicio Gateway contacta
  con STA para validar el ticket del fichero ICA
  (pedido originalmente por Web Interface o SAM)
• Esto es igual que en versiones 1.x, a excepción
  de
• Enlace entre Gateway y STA puede ser HTTPS
• STA informa al Gateway del nombre de usuario
  actual de MF y el nombre de la aplicación además
  de la dirección del servidor MF

39
Secure Gateway Service
Authentication Service
HTTP(S)
ltxmlgt Cookie Validation lt/xmlgt
HTTPS 443

• Para tráfico HTTPS, el servicio Gateway contacta
  con el Authentication Service (AS) para validar
  la cookie de autenticación (establecida
  originalmente por el Logon Agent)
• Si la cookie es válida, la petición HTTP pasa por
  el gateway
• Si la cookie es inválida o no aparece, se envía
  el formulario de login del Logon Agent al usuario

40
Secure Gateway Service

• Entrada de registro
• HKLM\CurrentControlSet\Services\CtxSecGwy
• Contadores de rendimiento añadidos (Performance
  Monitor counters)
• Performance object Secure Gateway
• MMC Management Console
• Muestra sesiones actuales, bytes enviados/
  recibidos
• Para conexiones ICA muestra username, nombre de
  aplicación y nombre de servidor MetaFrame
• No disponible en Gateway Proxy
• Gateway Diagnostic Tool
• Muestra detalles de configuración para gateway
  service y comprueba todos los enlaces entre
  componentes

41
Secure Ticket Authority

• An XML web service that exchanges MetaFrame
  server information for randomly generated tickets
  
• Novedad información adicional para cada sesión
  ICA Username, nombre de aplicación, dirección
  servidor MetaFrame

42
Secure Ticket Authority
ltxmlgt Provide Data Request Ticketlt/xmlgt
Web Interfaceo SAM

• ISAPI DLL publicada anónimamente por IIS
• URL por defecto /Scripts/CtxSta.dll
• STA no necesita pertenecer a un dominio, granja o
  cluster SAM. Cualquier servidor IIS
• Se incluye una STA cuando se instala SAM
• Genera y valida tickets para sesiones ICA

HTTP(S)
STA
ltxmlgt Ticket Validation Data Requestlt/xmlgt
Secure Gateway
43
Authentication Service

• An XML web service that exchanges valid user
  credentials for randomly generated cookies and a
  list of internal web servers

44
Authentication Service
ltxmlgt Send credentials request cookielt/xmlgt
LogonAgent

• .Net ASMX file published anonymously by IIS
• Default URL /Access/AuthService/AuthService.asmx
• Incluido como parte de cada SAM Access Center
• Autentifica usuarios, genera y valida cookies
  para sesiones HTTP
• Típicamente AS y STA estarán co-localizados en la
  misma máquina, pero no es un requerimiento.

HTTP(S)
AS
ltxmlgt Cookie Validation Allowed server list lt/xmlgt
Secure Gateway
45
Authentication Service

• Si el enlace entre logon Agent y Authentication
  Service no es seguro, las credenciales de
  usuarios irán en texto claro dentro de la
  petición de ticket XML
• Citrix recomienda securizar este enlace con HTTPS

ltxmlgt Clear-textcredentialslt/xmlgt
LogonAgent
HTTP(S)
AS
46
Logon Agent

• A collection of ASP scripts that display an HTML
  login form for unauthenticated users and forwards
  their credentials to the Authentication Service
  for handling

47
Logon Agent

• Servicio de login web based responsable de
  mostrar la página de login y procesar las
  peticiones de login.
• Sólo es necesario en despliegues con Secure
  Access Manager
• Implementado como un conjunto de scripts ASP
  servidos por IIS

48
Logon Agent
Client
HTML
Gateway Service

• Pide credenciales a usuarios sin autenticar y
  reenvía esas credenciales al Authentication
  Service
• Si son correctas, AS envía una cookie de
  autenticación al Logon Agent y éste envía la
  cookie al cliente
• Opcionalmente puede pedir validación del SecurID
  tokencode de RSA

HTML
LogonAgent
UDP 5500
XML HTTP(S)
RSA ACE Server (optional)
AS
49
Proceso Logon Agent

• Logon Agent presenta una página de logon HTML al
  usuario
• Recoge la información de nombre de usuario,
  password, dominio y (opcionalmente) SecurID
  TokenCode
• Logon Agent valida primero el SecurID TokenCode
• Utiliza XML Simple Object Access Protocol (SOAP)
  para pasar las credenciales al Authentication
  Service y recibir un ticket a cambio

50
Proceso Logon Agent

• En una autenticación válida, AuthService
  devuelve
• Cookie de session
• Redirection URL
• Otras cookies requeridas por SAM
• Lista de servidores web internos permitidos
• Logon Agent formatea los datos devueltos por el
  Authentication Service y reenvía la información
  al navegador web del cliente usando HTML/HTTP

51
No acceder al Logon Agent directamente

• Los clientes no deberían acceder al logon agent
  sin pasar por el secure gateway service, si no,
  el login fallará
• (Si el Logon Agent está instalado en el gateway
  server o en un servidor serparado)

csg.company.com
Gateway Service
Correct
IIS
Logon Agent
HTTPS
HTTP
443
80
HTTP(S)
INCORRECT
52
Logon Agent

• 2 logon page templates
• Autenticación básica username, password y
  dominio
• Autenticación básica integrada con RSA SecurID
• Usuarios pueden personalizar logon page templates

La integración de RSA aplica sólo a logins de
Secure Access Manager. Si sólo se usa MetaFrame,
utilizar Web Interface 2.0 integrado con RSA
SecurID
53
Personalización de Logon Agent

• Modificar la apariencia de una lista de domino
  editando Inetpub\wwwroot\LogonAgent\AuthService_co
  nf.asp

LP_DomainMode 0
LP_DomainMode 2
LP_DomainMode 1
LP_DomainMode 1
54
Gateway Client

• An ActiveX plug-in for Internet Explorer that
  intercepts HTTP traffic and proxies it through
  the Secure Gateway service

55
Acceso web externo e interno

• Secure Gateway proporciona acceso HTTP/HTTPS
  access a MetaFrame SAM y otros servidores web
  internos situados en la red corporativa.
• La dirección del portal y los servidores web
  internos no se puede resolver normalmente desde
  fuera de la trusted network.
• A veces se utilizan reverse proxies para
  solucionar este problema, pero hay ciertas
  cuestiones
• Requiere re-escribir URLs dentro de las páginas
  web
• Falla cuando se genera una URL con un client-side
  JavaScript

56
Gateway Client
Client
Internet Explorer

• ActiveX control CSGProxy.cab descargado por SAM
  durante logon después de la autenticación
• Funciona como un localhost proxy para Internet
  Explorer, interceptando peticiones HTTP,
  encriptándolas y redirigiéndolas a través del
  gateway si es necesario
• Gateway Client sólo es necesario para acceder a
  web sites internos distintos de Secure Access
  Manager o Web Interface. (Web sites
  identificados por el servidor SAM como permitidos
  para gateway clients)

Gateway Client
HTTPS
Gateway Service
HTTP(S)
Internal Web Servers
57
Gateway Client

• Para cada nueva petición HTTP, el cliente gateway
  decide si debería ser tunneled a través del
  gateway o enviada por la ruta normal
• Tras login correcto, Authentication service envía
  una lista XML de direcciones de servidores y
  puertos accesibles vía el gateway
• El tráfico se envía por el gateway sólo si es
  para un servidor que aparece en la lista
• SAM 2.0 tiene un única lista de servidores web
  internos para todos los usuarios

58
Gateway Client a través de un Proxy
Client
IE
Gateway Client
Gateway Service
Client-side proxy server

• If IE is configured to use a proxy server, the
  gateway honors those settings
• Gateway client lee las configuraciones del proxy
  del host web browser cuando se lanza, y se
  inserta entre el web browser y el client-side
  proxy
• Si no se detecta client-side proxy, el gateway
  client se inserta entre el web browser e
  Internet, haciendo él de cliente side proxy

59
Gateway Client
El icono de Internet Explorer cambia cuando el
cliente Gateway está activo
60
Gateway Client

• El cliente intercepta tráfico HTTP o HTTPS
• Determina si la petición de URL es para un site
  interno o externo
• Si es un site interno, el componente de la parte
  cliente redirecciona el tráfico a través de
  Secure Gateway al site correcto
• Si la petición es de un site externo, el
  componente de la parte cliente permite que el
  cliente resuelva la petición localmente

61
Gateway Client

• A veces el Gateway Client no puede ser instalado
  en la máquina cliente
• El dispositivo cliente puede ser un pequeño
  handheld o estar bloqueado, como una máquina de
  un Internet Café
• En estos casos donde el cliente no está presente,
  Secure Gateway sólo reenvía peticiones
  autenticadas a Secure Access Manager

62
Escenarios de despliegue

• Single DMZ or Dual DMZ?
• MetaFrame, SAM or both?
• Web Interface installed on the gateway, parallel
  to the gateway, or behind it?
• Logon agent on the gateway or on a separate
  server?
• There are dozens of ways to deploy Secure Gateway
  2.0. Here are just a few

63
DMZ simple, sólo MetaFrame

• WI detrás de Secure Gateway (ejemplo misma
  máquina)
• Mensajes entre web browser y WI se pasan a través
  de SG
• Conexión SSL hasta SG -gt Sólo 1 certificado SSL
• https//csg.acme.com/Citrix/MetaFrameXP/
• Restricción IP al IIS denegar acceso a clientes
  HTTP excepto localhost (127.0.0.1)
• Sólo GS accede a páginas WI. Balanceo

64
DMZ simple, sólo SAM

• AS en vez de STA y Logon Agent scripts en vez de
  WI scripts
• Ej Logon agent con GS
• Despliegues grandes Logon Agent separado y
  securizado (SSL)
• Permite múltiples gateways, balanceo (DNS round
  robin o hardware)

65
DMZ simple, SAM y MetaFrame

• Acceso a iconos de aplicaciones publicadas..
  Opciones
• Web Interface, SAM o ambos
• Recomendado Ambos. Cualquier plataforma, browser
  distintos de IE
• SAM sólo soportado en navegadores IE Win32
• Ej. Netscape en Linux conecta a IE publicado en
  WI, accede granja SAM o servers internos

66
Gestión Secure Gateway
67
Gestión Secure Gateway

• Características de gestión de Secure Gateway
  centralizadas en un MMC Snap-In
• MMC Snap-In para administración del servidor
  local (1 administrador)
• El snap-in permite al administrador desde una
  única consola de gestión
• Monitorizar conexiones HTTP activas
• Monitorizar y controlar conexiones ICA activas
• Mostrar configuración del Gateway
• Mostrar contadores de rendimiento del Gateway
• Lanzar la utilidad de configuración del Gateway

68
Gestión Secure Gateway
Lista de sesiones activas. Para cada
sesión Client IP Address, Server Address, User
Name, Domain, Application Name, Protocol, Bytes
to client, Bytes from client, Bytes to server,
Bytes from server, Time established, Time
elapsed, Time idle
69
Diagnostic tool

• Muestra y valida todas las configuraciones del
  gateway en tiempo real
• Exportación sencilla a fichero de texto para
  soporte técnico botón save report

70
Tips and traps

• What to watch out for when dealing with Secure
  Gateway 2.0

71
Resolución de nombres en el gateway
Client

• Gateway server debe ser capaz de resolver el FQDN
  de cualquier servidor interno al que los usuarios
  se conectarán.
• El gateway server debe resolver los nombres de
  cualquier otro componente como Logon Agent,
  AuthService, STA o Gateway Proxy
• Utilizar un fichero HOSTS en el gateway si no hay
  DNS disponibles en la DMZ
• En DMZ doble
• El primer gateway sólo necesita resolver FQDN del
  gateway proxy
• Gateway proxy debe resolver nombres de los otros
  componentes o servidores internos

TCP
Gateway Service
TCP
72
Escalabilidad Logon Agent
Small deployments
Large deployments

• Logon Agent puede soportar 20 logons por segundo
  aprox cuando corre en un servidor standalone 1GHz
• Por defecto, el logon agent se instala en el
  gateway server. Esto es válido para despliegues
  pequeños (lt1000 users). Para despliegues grandes,
  el logon agent debería estar en una máquina
  separada
• Si es necesario, se pueden usar múltiples logon
  agents por gateway

Gateway Service
Gateway Service
Logon Agent
Logon Agent
73
Escalabilidad Rules of thumb

• Por procesador 1GHz
• (Escalabilidad NO lineal)

Gateway Service 30 conexiones SSL por
segundo 1,000 sesiones concurrentes ICA o HTTPS
Logon Agent 20 logonspor segundo
Authentication Service 20 logons por segundo
74
Usar siempre Certificates snap-in

• Cuando se use CA privada para securizar enlaces
  entre componentes, hay que usar el MMC
  Certificates snap-in para Local Computer para
  importar certificados tanto Root como de servidor
• Doble-clic en un certificado, el certificado se
  importa al usuario actual, no a la máquina local
  -gt gateway service falla al empezar

75
Muchas gracias! Preguntas?