Webinterface-Administratorhandbuch
Transcription
Webinterface-Administratorhandbuch
Webinterface-Administratorhandbuch Die anderen Handbücher in dieser Dokumentationssammlung finden Sie im Document Center. Webinterface für MetaFrame Presentation Server Citrix® MetaFrame® Presentation Server 4.0 Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung. Eine Kopie der Endbenutzerlizenzvereinbarung finden Sie jeweils im Stammverzeichnis der MetaFrame Presentation ServerCD-ROM und der Komponenten-CD-ROM. Copyright und Marken Die in diesen Unterlagen enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, sofern nichts anderes angegeben ist. Ohne ausdrückliche schriftliche Erlaubnis von Citrix Systems, Inc. darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, weder elektronisch noch mechanisch. Ausgenommen davon ist das einmalige Ausdrucken des Dokuments für den persönlichen Gebrauch. Copyright © 2001-2005 Citrix Systems, Inc. Alle Rechte vorbehalten. Citrix, ICA (Independent Computing Architecture), NFuse, Citrix Solutions Network, MetaFrame, MetaFrame XP, Program Neighborhood und SpeedScreen sind eingetragene Marken oder Marken von Citrix Systems, Inc. in den USA und anderen Ländern. RSA Encryption © 1996-1997 RSA Security, Inc. Alle Rechte vorbehalten. Marken Adobe, Acrobat und PostScript sind Marken oder eingetragene Marken von Adobe Systems Incorporated in den USA und/oder anderen Ländern. Apple, LaserWriter, Mac, Macintosh, Mac OS und Power Mac sind eingetragene Marken oder Marken von Apple Computer Inc. Java, Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen Ländern. Solaris ist eine eingetragene Marke von Sun Microsystems, Inc. Sun Microsystems, Inc. hat dieses Produkt weder getestet noch genehmigt. Microsoft, MS-DOS, Windows, Windows NT, Win32, Outlook, ActiveX und Active Directory sind eingetragene Marken oder Marken der Microsoft Corp. in den USA und/oder anderen Ländern. Novell Directory Services, NDS und NetWare sind eingetragene Marken von Novell, Inc. in den USA und anderen Ländern. Novell Client ist eine Marke von Novell, Inc. SafeWord ist eine Marke der Secure Computing Corporation, eingetragen in den USA und anderen Ländern. UNIX ist eine eingetragene Marke von The Open Group. Apache ist entweder eine eingetragene Marke oder eine Marke von Apache Software Foundation in den USA und/oder anderen Ländern. JavaServer Pages und Sun ONE Application Server sind entweder eingetragene Marken oder Marken der Sun Microsystems Corporation in den USA und/oder anderen Ländern. Dieses Produkt verwendet XML Parser for Java Edition von IBM, © 1999, 2000 IBM Corporation. Alle anderen Marken und eingetragenen Marken sind das Eigentum der jeweiligen Besitzer. Dokumentcode: 3. März 2005, 10:09 (KM) Gehe zu Document Center Inhalt 3 Inhalt Kapitel 1 Einführung Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Hinweise zur Benutzung dieses Handbuchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Zugreifen auf die Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Einführung in das Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Webinterface-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 MetaFrame Presentation Server-Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Program Neighborhood Agent-Dienste-Sites. . . . . . . . . . . . . . . . . . . . . . 13 MetaFrame Conferencing Manager-Gastteilnehmersites. . . . . . . . . . . . . 13 Verwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Funktionen für den Anwendungszugriff . . . . . . . . . . . . . . . . . . . . . . . . . 14 Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Funktionen zur Clientbereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Neue Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Access Suite Console-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Installationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Funktionen für Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Authentifizierungs- und Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . 18 Verbesserte Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Verwaltungsfunktionen für Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Webinterface-Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Webserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Clientgeräte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Funktionsweise des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Kapitel 2 Bereitstellen des Webinterface Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Systemanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Serveranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Unterstützte Versionen von MetaFrame Presentation Server . . . . . . . . . 24 Access Suite Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4 Webinterface-Administratorhandbuch Gehe zu Document Center Zusätzliche Softwareanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Allgemeine Konfigurationsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . 27 Anforderungen für Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Benutzeranforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Personal Digital Assistants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Anforderungen für MetaFrame Presentation Server-Clientgeräte. . . . . . . . . . . 31 Installieren des Webinterface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Installationsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Installieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Aktualisieren einer bestehenden Installation . . . . . . . . . . . . . . . . . . . . . . 32 Sicherheitsüberlegungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Leistungsaspekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Installieren des Webinterface auf Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Installieren des Webinterface auf UNIX-Plattformen . . . . . . . . . . . . . . . . . . . . 36 Verwenden von MetaFrame Conferencing Manager unter UNIX . . . . . . 37 Verwenden der Befehlszeile zur Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Verwenden von Sprachpaketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Entfernen von Sprachpaketen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Bereitstellen von Sprachen für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . 40 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Durchführen und Konfigurieren der Discovery . . . . . . . . . . . . . . . . . . . . . . . . . 41 Erstellen von Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Erstellen von Sites auf UNIX-Webservern . . . . . . . . . . . . . . . . . . . . . . . 43 Angeben der Sitekonfiguration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Verwenden von Sitetasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Problembehandlung bei der Installation des Webinterface. . . . . . . . . . . . . . . . . . . 45 Verwenden der Option „Reparieren“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Deinstallieren des Webinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Deinstallieren des Webinterface auf Microsoft IIS . . . . . . . . . . . . . . . . . . . . . . 46 Deinstallieren des Webinterface auf UNIX-Plattformen. . . . . . . . . . . . . . . . . . 46 Kapitel 3 Konfigurieren des Webinterface Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Auswählen einer Konfigurationsmethode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Konfigurieren von Sites mit der Access Suite Console. . . . . . . . . . . . . . . . . . . . . . 50 Gehe zu Document Center Inhalt 5 Aufrufen der Hilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Erste Schritte mit der Access Suite Console . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Durchführen der Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Erstellen von Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Ausführen von Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Verwalten von Serverfarmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Konfigurieren von Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Konfigurieren von Einstellungen für alle Server . . . . . . . . . . . . . . . . . . . 57 Festlegen erweiterter Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . 59 Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Empfehlungen für die Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . 61 Aktivieren der Smartcard-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . 62 Aktivieren der Passthrough-Authentifizierung. . . . . . . . . . . . . . . . . . . . . 66 Aktivieren der Authentifizierungsmethoden „Explizit“ oder „Zugriff bestätigen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Zwei-Faktor-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Aktivieren von Secure Computing SafeWord auf IIS . . . . . . . . . . . . . . . . . . . . 70 Anforderungen für SafeWord. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Anforderungen für den SafeWord Agent für das Webinterface. . . . . . . . 70 Aktivieren der SafeWord-Authentifizierung mit der Konsole . . . . . . . . . 71 Aktivieren der Authentifizierung mit RSA SecurID 6.0 auf IIS . . . . . . . . . . . . 71 SecurID-Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Hinzufügen des Webinterface-Servers als Agent Host . . . . . . . . . . . . . . 71 Kopieren der Datei sdconf.rec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Aktivieren der RSA SecurID-Authentifizierung mit der Konsole . . . . . . 71 Überlegungen zum Node Secret-Registrierungsschlüssel . . . . . . . . . . . . 72 Unterstützung mehrerer Domänen mit RSA SecurID . . . . . . . . . . . . . . . 73 Aktivieren der RSA SecurID 6.0-Windows-Kennwortintegration . . . . . 73 Aktivieren der Zwei-Faktor-Authentifizierung für UNIX. . . . . . . . . . . . . . . . . 73 Aktivieren von RADIUS mit SafeWord. . . . . . . . . . . . . . . . . . . . . . . . . . 74 Aktivieren von RADIUS mit RSA SecurID. . . . . . . . . . . . . . . . . . . . . . . 74 Hinzufügen der Webinterface- und RADIUS-Server als Agent Hosts . . 74 Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS . . . . . . 75 Aktivieren der RADIUS-Zwei-Faktor-Authentifizierung mit der Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Verwenden des RADIUS-Challengemodus . . . . . . . . . . . . . . . . . . . . . . . 75 6 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden von benutzerdefinierten Challengemeldungen . . . . . . . . . . . 76 Ändern von Sitzungsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Verwalten von Anwendungsverknüpfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Verwalten von Servereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Anpassen der Darstellung für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Verwalten des sicheren Clientzugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Bearbeiten der DMZ-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Bearbeiten der Secure Gateway-Einstellungen . . . . . . . . . . . . . . . . . . . . 82 Bearbeiten von Adressübersetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Anzeigen der sicheren Clientzugriffseinstellungen . . . . . . . . . . . . . . . . . 84 Verwalten der Clientbereitstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Anforderungen für Remotedesktopverbindungen . . . . . . . . . . . . . . . . . . 86 Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . . 89 Kompatibilität mit Webservern mit asiatischen Sprachen . . . . . . . . . . . . 90 Anpassen der Bereitstellung des Clients für Java. . . . . . . . . . . . . . . . . . . 90 Bearbeiten von clientseitigen Proxyeinstellungen . . . . . . . . . . . . . . . . . . . . . . . 94 Verwalten von Einstellungen für Clientverbindungen. . . . . . . . . . . . . . . . . . . . 96 Verwalten von Clientkonfigurationsdateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Verwenden von Optionen zur Anwendungsaktualisierung . . . . . . . . . . . . . . . . 99 Konfigurieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Funktionsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Konfigurieren von Workspace Control mit integrierten Authentifizierungsmethoden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Aktivieren von Workspace Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Steuern der Diagnoseprotokollierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Load Balancing für Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Verwenden von Tasks für lokale Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Verwalten von Konfigurationsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Reparieren und Deinstallieren von Sites . . . . . . . . . . . . . . . . . . . . . . . . 104 Importieren und Exportieren von Konfigurationsdateien . . . . . . . . . . . . . . . . 105 Konfigurieren des Webinterface mit der Konfigurationsdatei . . . . . . . . . . . . . . . 105 Überlegungen zu Program Neighborhood Agent. . . . . . . . . . . . . . . . . . . . . . . 120 Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Konfigurieren der Kommunikation mit MetaFrame Presentation Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Konfigurieren der Citrix SSL-Relay-Kommunikation. . . . . . . . . . . . . . 122 Konfigurieren der Secure Gateway-Unterstützung . . . . . . . . . . . . . . . . 122 Deaktivieren von Fehlermeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Gehe zu Document Center Inhalt 7 Bereitstellen des Webinterface für die Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Festlegen der Anmeldeseite als Standardwebseite auf IIS. . . . . . . . . . . . . . . . 123 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Webbasierte Clientinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Kopieren der Installationsdateien für Clients auf den Webserver . . . . . . . . . . 126 Konfigurieren von webbasierten Clientinstallationen . . . . . . . . . . . . . . . . . . . 127 Installationsdateien für den Client für Win32 . . . . . . . . . . . . . . . . . . . . 127 Konfigurieren von Installationsmeldungen . . . . . . . . . . . . . . . . . . . . . . 128 Übersicht über den Client für Java. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Übersicht über Program Neighborhood Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Kapitel 5 Konfigurieren der Webinterface-Sicherheit Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Einführung in die Webinterface-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Sicherheitsprotokolle und Citrix Sicherheitslösungen. . . . . . . . . . . . . . . . . . . 133 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Citrix SSL-Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 ICA-Verschlüsselung (Citrix SecureICA) . . . . . . . . . . . . . . . . . . . . . . . 134 Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Sichern der Webinterface-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Sichern von Program Neighborhood Agent mit SSL . . . . . . . . . . . . . . . . . . . . . . 136 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Kommunikation zwischen dem Clientgerät und dem Webinterface-Server . . . . 137 Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Implementieren SSL/TLS-aktivierter Webserver und Webbrowser . . . 138 Deaktivieren der Passthrough-Authentifizierung . . . . . . . . . . . . . . . . . . 139 Kommunikation zwischen dem Webinterface-Server und MetaFrame Presentation Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Verwenden des Citrix SSL-Relays. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Aktivieren des Webinterface-Servers auf dem MetaFrame-Server . . . . 142 8 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden des HTTPS-Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Kommunikation zwischen der Clientsitzung und MetaFrame Presentation Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Verwenden von SSL/TLS- oder ICA-Verschlüsselung . . . . . . . . . . . . . 144 Verwenden von Secure Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Allgemeine Sicherheitsüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Kapitel 6 Verwenden von Program Neighborhood Agent Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Verwenden von Program Neighborhood Agent . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Konfigurieren des Webinterface mit der Access Suite Console . . . . . . . . . . . . . . 146 Verwenden der Datei Config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Konfigurieren des Webinterface mit Program Neighborhood Agent . . . . . . . . . . 147 Sichern von Program Neighborhood Agent mit SSL . . . . . . . . . . . . . . . . . . . . . . 148 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Gehe zu Document Center KAPITEL 1 Einführung Übersicht Willkommen beim Webinterface für MetaFrame Presentation Server. In diesem Kapitel finden Sie eine Einführung in die Dokumentation und in das Webinterface. Unter anderem werden folgende Themen behandelt: • Hinweise zur Benutzung dieses Handbuchs • Einführung in das Webinterface • Neue Funktionen 10 Webinterface-Administratorhandbuch Gehe zu Document Center Hinweise zur Benutzung dieses Handbuchs Das Webinterface-Administratorhandbuch wendet sich an MetaFrameAdministratoren und -Webmaster, die für das Installieren, Konfigurieren und Verwalten von Sites für MetaFrame Presentation Server, Program Neighborhood Agent und MetaFrame Conferencing Manager-Gastteilnehmer verantwortlich sind. Dieses Handbuch stellt eine aufgabenorientierte Anleitung dar, mit der Sie das Webinterface schnell und problemlos einrichten. In diesem Kapitel finden Sie eine Einführung in die Dokumentation und in das Webinterface sowie eine Erläuterung der in dieser Version enthaltenen neuen Funktionen. In den folgenden Kapiteln wird erläutert, wie Sie das Webinterface bereitstellen und konfigurieren. In diesem Handbuch werden Kenntnisse über MetaFrame Presentation Server für Windows oder Citrix MetaFrame Presentation Server für UNIX vorausgesetzt. Weitere Informationen Das Webinterface umfasst die folgende Dokumentation: • Das Webinterface-Administratorhandbuch (dieses Dokument) gibt eine Übersicht über die Installation und Konfiguration des Webinterface-Servers, der MetaFrame Presentation Server-Clientgeräte und der Sicherheit. Sie können auf dieses Handbuch über das Document Center auf der MetaFrame Presentation Server-CD-ROM und im Bereich Support der Citrix Website (http://www.citrix.com) zugreifen. • Onlinehilfe für die Access Suite Console: Drücken Sie zum Zugreifen auf das Hilfesystem auf F1 oder klicken Sie mit der rechten Maustaste auf einen Knoten in der Konsolenstruktur und wählen Sie im Kontextmenü Hilfe aus. • Im Handbuch Customizing the Web Interface wird die Anpassung des Webinterface erläutert. Dieses Handbuch finden Sie im Bereich Support auf der Citrix Website (http://www.citrix.com). • Die MetaFrame Presentation Server-Readme-Datei enthält die neuesten Informationen und Korrekturen zur Dokumentation sowie eine Liste bekannter Probleme. Diese Datei finden Sie im Document Center auf der MetaFrame Presentation Server-CD-ROM. Gehe zu Document Center Kapitel 1 Einführung 11 Zugreifen auf die Dokumentation Dieses Administratorhandbuch ist Teil der MetaFrame Presentation ServerDokumentation. Dazu gehören Onlinehandbücher, die die verschiedenen Funktionen von MetaFrame Presentation Server behandeln. Die Onlinedokumentation liegt in Form von PDF-Dateien (Adobe Portable Document Format) vor. Über das Document Center können Sie auf alle Onlinehandbücher zugreifen. Das Document Center bietet einen zentralen Zugriffspunkt auf die gesamte Dokumentation und ermöglicht ein direktes Aufrufen des gewünschten Abschnitts. Das Document Center enthält Folgendes: • Eine Liste häufig vorkommender Aufgaben und einen Link zum entsprechenden Abschnitt der Dokumentation. • Eine Suchfunktion, die alle PDF-Handbücher abdeckt. Dies ist hilfreich, wenn Sie eine Reihe verschiedener Handbücher konsultieren müssen. • Querverweise zwischen den einzelnen Dokumenten. Sie können über die Links zu anderen Handbüchern und zum Document Center beliebig oft zwischen einzelnen Dokumenten wechseln. Wichtig: Damit Sie die PDF-Dokumentation anzeigen, durchsuchen und drucken können, benötigen Sie Adobe Acrobat Reader 5.0.5 oder höher mit Acrobat Search. Adobe Acrobat Reader steht zum kostenlosen Download auf der Website von Adobe Systems unter http://www.adobe.com/ zur Verfügung. Wenn Sie das Document Center nicht nutzen möchten, um auf die Handbücher zuzugreifen, können Sie die PDF-Dateien auch über den Windows-Explorer aufrufen. Wenn Sie gedruckte Dokumentation bevorzugen, können Sie die Handbücher von Acrobat Reader aus ausdrucken. Weitere Informationen zur Citrix Dokumentation und Hinweise dazu, wie Sie weitere Informationen und Support erhalten, finden Sie im Handbuch Schnelleinstieg für MetaFrame Presentation Server. 12 Webinterface-Administratorhandbuch Gehe zu Document Center Einführung in das Webinterface Mit dem Webinterface können Benutzer über einen Standardwebbrowser oder Program Neighborhood Agent auf MetaFrame Presentation Server-Anwendungen und -Inhalte zugreifen. Darüber hinaus können Sie MetaFrame Conferencing Manager-Sites für die Gastteilnehmeranmeldung konfigurieren. Das Webinterface setzt Java- und .NET-Technologie ein, die auf einem Webserver ausgeführt wird und dynamisch HTML-basierte Darstellungen von Serverfarmen für MetaFrame Presentation Server-Sites erstellt. Benutzer sehen genau die Anwendungen in der Serverfarm bzw. den Serverfarmen, die Sie bereitgestellt haben. Sie können eigenständige Websites für den Zugriff auf Anwendungen erstellen sowie Websites, die Sie in Ihr Unternehmensportal integrieren können. Mit dem Webinterface können Sie außerdem Einstellungen für Benutzer konfigurieren, die mit Program Neighborhood Agent auf Anwendungen zugreifen. Darüber hinaus können Sie Sites für Benutzer erstellen, die sich als Gast bei MetaFrame Conferencing Manager anmelden. Auf Windows-Plattformen kann das Webinterface mit der Access Suite Console konfiguriert werden. Weitere Informationen zum Verwenden dieses Tools finden Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50. Sie können außerdem die Konfigurationsdatei (WebInterface.conf) bearbeiten, um MetaFrame Presentation Server-Sites zu erstellen und zu verwalten. Weitere Informationen finden Sie unter „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf Seite 105. Darüber hinaus können Sie MetaFrame Presentation Server-Sites anpassen und erweitern. Im Handbuch Customizing the Web Interface wird das Konfigurieren von Sites mit diesen Verfahren erläutert. Webinterface-Funktionen In diesem Abschnitt werden die Funktionen des Webinterface erläutert. Weitere Informationen zu den MetaFrame Presentation Server- und Clientversionen, die für bestimmte Webinterface-Funktionen erforderlich sind, finden Sie unter „Versionsanforderungen für MetaFrame Presentation Server und Clients“ auf Seite 25. MetaFrame Presentation Server-Sites Das Webinterface bietet Funktionen zum Erstellen und Verwalten von MetaFrame Presentation Server-Sites. Die Benutzer greifen über einen Webbrowser auf Anwendungen und Inhalte zu. Gehe zu Document Center Kapitel 1 Einführung 13 Program Neighborhood Agent-Dienste-Sites Program Neighborhood Agent ist ein Client, der flexibel und einfach zu konfigurieren ist. Mit Program Neighborhood Agent in Verbindung mit dem Webinterface können Sie veröffentlichte Ressourcen in Benutzer-Desktops integrieren. Benutzer greifen über Symbole auf dem Desktop, im Startmenü, im Infobereich oder über eine Kombination dieser Elemente auf Remoteanwendungen, Desktops und Inhalte zu. Sie können die Konfigurationseinstellungen festlegen, auf die Benutzer zugreifen können und die sie ändern können, wie zum Beispiel Audio-, Darstellungs- und Anmeldungseinstellungen. MetaFrame Conferencing Manager-Gastteilnehmersites Das Webinterface stellt für Gastteilnehmer den Zugriff auf MetaFrame Conferencing Manager-Konferenzen über einen Standardwebbrowser bereit. Ein Gastteilnehmer ist eine Person, die zur Teilnahme an einer Konferenz eingeladen wurde und die keinen NT-Domänennamen hat oder diesen nicht verwenden möchte. Gastteilnehmer greifen über das Webinterface auf die Konferenz zu und verwenden eine gesperrte Version der veröffentlichten MetaFrame Conferencing Manager-Anwendung. Dabei unterliegen sie folgenden Einschränkungen: • Gastteilnehmer können keine Konferenzen erstellen oder starten. • Gastteilnehmer können in einer Konferenz keine Anwendungen starten. Weitere Informationen zu MetaFrame Conferencing Manager finden Sie im MetaFrame Conferencing Manager-Administratorhandbuch. Verwaltungsfunktionen Unterstützung für mehrere Serverfarmen: Sie können mehrere Serverfarmen konfigurieren und Benutzern die in allen Farmen veröffentlichten Anwendungen anzeigen. Mit dem Task Serverfarmen verwalten können Sie jede Serverfarm einzeln verwalten. Weitere Informationen finden Sie unter „Konfigurieren der Kommunikation mit MetaFrame Presentation Server“ auf Seite 121. Vollständige administrative Kontrolle über die Anwendungsbereitstellung: Das webserverseitige Skripting ermöglicht die Konfiguration aller Clientoptionen für MetaFrame Presentation Server in serverseitigen Skripts und ICA-Dateien. Integration mit bekannten Webtechnologien: Sie können mit ASP.NET von Microsoft und JavaServer Pages von Sun Microsystems auf die Webinterface-API zugreifen. NDS-Unterstützung (Novell Directory Services): Die Webinterface-Seite Anmelden für NDS enthält ein Kontextfeld, mit dem Benutzer ihren Benutzernamen in der Struktur suchen und den Kontext ermitteln können, in dem sie sich befinden. 14 Webinterface-Administratorhandbuch Gehe zu Document Center Unterstützung für Active Directory und UPN (User Principal Name): Alle Webinterface-Komponenten sind mit Microsoft Active Directory kompatibel. Benutzer, die MetaFrame Presentation Server-Sites öffnen, können sich an Serverfarmen anmelden, die Teil einer Active Directory-Bereitstellung sind, und die veröffentlichten Anwendungen problemlos verwenden. Die Anmeldeseiten sind mit der Verwendung von UPNs (User Principal Names) von Active Directory kompatibel. Funktionen für den Anwendungszugriff Unterstützung für Server unter UNIX-Betriebssystemen: Die Unterstützung für MetaFrame Presentation Server für UNIX-Serverfarmen ermöglicht dem Webinterface das Anzeigen und Starten von UNIX-Anwendungen auf Clientgeräten. Backup-Server: Das Konfigurieren von Backup-Servern stellt sicher, dass Benutzer bei einem Serverausfall weiterhin auf die Anwendungen zugreifen können. Anonyme Benutzer: Mit dieser Funktion können sich Benutzer anonym an MetaFrame Presentation Server-Sites anmelden. Starten von veröffentlichten Inhalten: Das Webinterface unterstützt die Funktionen von MetaFrame Presentation Server zum Veröffentlichen von Inhalten. Sicherheitsfunktionen SSL (Secure Sockets Layer)/TLS-Unterstützung: Das Webinterface unterstützt SSL für das Sichern der Kommunikation zwischen dem Webinterface-Server und den Serverfarmen. Das Implementieren von SSL auf dem Webserver und die Verwendung von Webbrowsern, die SSL unterstützen, gewährleisten eine sichere Datenübertragung im Netzwerk. Das Webinterface verwendet für MetaFrame Presentation Server-Sites auf Windows-Plattformen das SChannel-Sicherheitsprotokoll von Microsoft. Dieses Protokoll verwendet Kryptografie, die FIPS 140 (einem von einigen Unternehmen geforderten Standard) entspricht. Weitere Informationen zur FIPS 140-Zertifizierung finden Sie auf der Website des NIST (National Institute of Standards and Technology) (http://csrc.nist.gov/cryptval/). Unterstützung für Secure Gateway für MetaFrame Presentation Server: Secure Gateway stellt zusammen mit dem Webinterface einen einzelnen, sicheren und verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit. Secure Gateway vereinfacht die Zertifikatverwaltung, da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt. Gehe zu Document Center Kapitel 1 Einführung 15 Ticketing: Diese Funktion bietet erhöhte Sicherheit bei der Authentifizierung. Das Webinterface erhält Tickets, mit denen Benutzer bei veröffentlichten Anwendungen authentifiziert werden. Tickets besitzen eine konfigurierbare Gültigkeitsdauer und gelten nur für eine einzige Anmeldung. Nach Benutzung oder Ablauf ist das Ticket ungültig und kann nicht mehr für den Zugriff auf Anwendungen verwendet werden. Durch die Verwendung von Ticketing müssen Anmeldeinformationen nicht explizit in den ICA-Dateien enthalten sein, mit denen das Webinterface Anwendungen startet. Funktionen zur Clientbereitstellung Webbasierte Clientinstallation: Das Webinterface ermöglicht die Bereitstellung des Clients für Win32 auf jedem Gerät mit einem Webbrowser. Wenn der Benutzer eines Clientgeräts eine MetaFrame Presentation Server-Site öffnet, erkennt der Clientinstallationscode das Gerät sowie den Webbrowsertyp und fordert den Benutzer zur Installation eines entsprechenden Clients auf. Unterstützung von Program Neighborhood Agent: Mit Program Neighborhood Agent können Benutzer direkt vom Windows-Desktop ohne einen Webbrowser auf MetaFrame Presentation Server-Anwendungen zugreifen. Sie können remote konfigurieren, dass Links zu Remoteanwendungen im Startmenü, auf dem Windows-Desktop oder im Windows-Infobereich erstellt werden. Die Oberfläche von Program Neighborhood Agent kann auch „gesperrt“ werden, um eine falsche Konfiguration von Seiten der Benutzer zu verhindern. Neue Funktionen Das Webinterface enthält die folgenden neuen Funktionen und Verbesserungen: Access Suite Console-Verwaltung Sie können mit der Access Suite Console sowohl ASP- als auch JSP-Sites erstellen und konfigurieren. Webinterface-Verwaltung: Webinterface-Verwaltungstasks sind jetzt in der Access Suite Console enthalten. Zum Verwalten und Konfigurieren von Sites installieren Sie die Access Suite Console und das Webinterface. Anschließend verwenden Sie das Webinterface in der Konsole, um Sites zu erstellen. Weitere Informationen über erste Schritte mit der Access Suite Console finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Program Neighborhood Agent-Verwaltung: Verwaltungsaufgaben für Program Neighborhood Agent sind jetzt in der Access Suite Console enthalten. Verwenden Sie nach dem Erstellen einer Program Neighborhood Agent-Dienste-Site die Tasks zum Konfigurieren und Verwalten der Site. 16 Webinterface-Administratorhandbuch Gehe zu Document Center MetaFrame Conferencing Manager-Gastteilnehmerverwaltung: Benutzer können als Gastteilnehmer an Conferencing Manager-Konferenzen teilnehmen und sich dabei zum Beispiel mit ihren E-Mail-Adressen anmelden. Mit der Access Suite Console können Sie Conferencing Manager-Sites für Gastteilnehmer erstellen und konfigurieren. Installationsfunktionen Unterstützung mehrerer Websites: Das Webinterface stellte bisher die Installation einer Webinterface-Site und einer Program Neighborhood Agent-Dienste-Site auf jedem Windows-Server zur Verfügung. Mit der Access Suite Console können Sie nun mehrere Sites installieren und müssen weitere Sites nicht manuell erstellen. Befehlszeilenoptionen von Installationsprogrammen: Windows- und UNIXInstallationen können von der Befehlszeile aus ausgeführt werden und ermöglichen so automatisches Installieren, Warten und Ausführen von Tasks für lokale Sites. Funktionen für Benutzer Mehrsprachige Benutzeroberfläche: Es gibt jetzt eine einzige Version des Webinterface, die alle Sprache enthält. Die Darstellung kann je nach Benutzer- und Administratorwünschen dynamisch geändert werden. Durch Sprachpakete werden mehrere Sprachen unterstützt. Mit einem Sprachpaket können Sie Sites einschließlich der Ressourcendateien und lokalisierter Bilder in einer bestimmten Sprache anzeigen. Für Englisch, Französisch, Deutsch, Spanisch und Japanisch sind Sprachpakete bei der Installation des Webinterface verfügbar. Darüber hinaus können einer vorhandenen Site jederzeit Sprachpakete hinzugefügt werden. Die Sprachpakete werden zentral gespeichert, sodass alle Sites auf sie zugreifen können. Wenn Benutzer einer MetaFrame Presentation Server- oder einer Conferencing Manager-Site zum ersten Mal die Seite Anmelden öffnen, wird die bevorzugte Benutzersprache über die vom Browser gesendeten Informationen ermittelt und die Seite wird in der entsprechenden Sprache angezeigt. Darüber hinaus können Benutzer eine Sprache auswählen; die Seite wird dann automatisch erneut in dieser Sprache geladen. Erweiterte Benutzeroptionen und neue Einstellungen: Die Seite Anmelden bietet jetzt im Bereich Erweiterte Optionen zusätzliche Optionen: Workspace Control, Clientauswahl, Sprachauswahl und Bandbreitensteuerung. Gehe zu Document Center Kapitel 1 Einführung 17 Außerdem enthält die Seite Einstellungen Optionen für Präsentationseinstellungen (Sprache, Layout, Anwendungslistendarstellung, Spalten und Authentifizierung), Clienteinstellungen, Verbindungseinstellungen (Fenstergröße und -farbe, Druckerzuordnung oder PDA-Synchronisierung, Windows-Tastenkombinationen, Bandbreitensteuerung und Audioqualität) und Workspace Control. Jeder Bereich wird in einem eigenen Bildschirm angezeigt. Bandbreitensteuerung: Im Webinterface können Benutzer jetzt Einstellungen basierend auf ihrer Verbindungsbandbreite auswählen (z. B. Farbe des Fensters, Audioqualität und Clientdruckerzuordnung). Diese Optionen sind in den Bildschirmen Anmelden und Einstellungen verfügbar. Anpassen der Benutzeroberfläche: Sie können die Darstellung der Benutzeroberfläche anpassen, wenn die Site beispielsweise entsprechend den Unternehmensstandards gestaltet werden soll. Sie können das gesamte Layout, Brandinginformationen, Anwendungsfenster und den Willkommensbereich anpassen. Kompakte Benutzeroberfläche: Für Benutzer, die auf ihre Anwendungen auf einem PDA zugreifen, oder zur Integration von Unternehmenswebsites von Drittanbietern kann eine kompakte Benutzeroberfläche sinnvoll sein. Diese Oberfläche enthält keinen Willkommens- und Message Center-Bereich und zeigt keine Clientinstallationsoptionen an. Außerdem werden Meldungen über der Hauptseite angezeigt. Kioskmodus: Dieser Modus eignet sich optimal, wenn es sich bei den Clientgeräten um öffentliche Terminals handelt, die von verschiedenen Benutzern verwendet werden. Bei aktiviertem Kioskmodus werden Benutzereinstellungen nicht gespeichert und nur für die Dauer der Sitzung beibehalten. Windows-Tastenkombinationen: Das Webinterface und Program Neighborhood Agent unterstützen jetzt den Passthrough für eine Reihe von Windows-Tastenkombinationen an Remotedesktops, die ICA-Sitzungen ausführen. USB-Synchronisierung für PocketPC: MetaFrame Presentation Server unterstützt die PDA-Synchronisierung über direkte USB-Verbindungen. Webinterface- und Program Neighborhood Agent-Administratoren können diese Funktion aktivieren und deaktivieren. Automatisches Starten des Clients für Java: Wenn der lokale oder native eingebettete Client auf dem Clientgerät nicht verfügbar ist, können Sie den Client für Java automatisch auf Clients für Win32-Plattformen bereitstellen. 18 Webinterface-Administratorhandbuch Gehe zu Document Center Authentifizierungs- und Sicherheitsfunktionen Radius-2-Faktor-Authentifizierung für UNIX: Unter UNIX ist jetzt RADIUSAuthentifizierung mit RSA SecurID- und SafeWord-Servern verfügbar. Kerberos-Authentifizierung: Im Webinterface können Sie KerberosAuthentifizierung mit Passthrough-Authentifizierung verwenden. In Program Neighborhood Agent können Sie Kerberos-Authentifizierung sowohl mit Passthrough-Authentifizierung als auch mit Passthrough mit SmartcardAuthentifizierung verwenden. NDS-Kontextsuche über LDAP: Voraussetzung für die NDS-Kontextsuchfunktion war bisher die Installation des NDS-Clients auf dem Webinterface-System und dem Computer, der auf den NDS-Server zugreift. Jetzt wird die Kontextsuche über LDAP ausgeführt, sodass der NDS-Client auf dem Webinterface-System nicht mehr erforderlich ist. Verbesserte Fehlerbehandlung Fehlerprotokollierung: Das Webinterface bietet eine Protokollierungsfunktion zur verbesserten Problembehandlung und -diagnose. Zusätzlich zu Berichten über Benutzeroberflächenfehler werden auch genaue Beschreibungen von Fehlern des zugrunde liegenden Systems im Windows-Ereignisprotokoll für IIS und in den Servlet-Engine-Protokolldateien für JSP mit Bezeichnern erfasst. Die Protokollbezeichner für Systemfehler können den Benutzern zusammen mit den Fehlermeldungen angezeigt werden, sodass sie an Administratoren für die Problembehandlung weitergeleitet werden können. Gesperrte Umgebungen: Wenn clientseitiges JavaScript und Cookies im Webbrowser deaktiviert sind, wird eine Seite angezeigt, die angibt, dass diese Funktionen zum Verwenden des Webinterface aktiviert werden müssen. Gehe zu Document Center Kapitel 1 Einführung 19 Verwaltungsfunktionen für Sites Zentrale Konfiguration: Die Konfiguration für Sites kann auf Remoteservern gespeichert werden, sodass statt einer lokalen eine zentrale Konfiguration verwendet wird. Sie können beim Erstellen von Sites und danach beim Verwenden von Sitetasks die zum Speichern der Konfigurationen verwendeten Server angeben. Tasks für lokale Sites: Mit den Tasks für lokale Sites können Sie Konfigurationsquellen verwalten, das Hosting der Sites durch IIS (Internet-Informationsdienste) festlegen und Sites reparieren oder deinstallieren. Sie können bestimmen, ob die Site eine zentrale Konfiguration oder eine lokale Konfigurationsdatei verwendet, und Sie können die Server zum Abrufen der Konfigurationsdateien angeben. Sites für Load Balancing gruppieren: Sie können Sites mit zentraler Konfiguration gruppieren. Die Sites haben somit eine gemeinsame Konfiguration und können mit Load Balancing-Programmen von Drittanbietern für den Lastausgleich verwendet werden. Webinterface-Komponenten Eine Webinterface-Bereitstellung umfasst drei Netzwerkkomponenten: • Eine oder mehrere Serverfarmen • Einen Webserver • Ein Clientgerät mit einem Webbrowser und einem MetaFrame Presentation Server-Client Serverfarmen Eine Serverfarm ist eine Gruppe von Servern, die eine Verwaltungseinheit darstellt. Eine Serverfarm besteht aus mehreren Servern, die zusammenarbeiten, um MetaFrame Presentation Server-Clientbenutzern Anwendungen bereitzustellen. Eine wichtige Funktion von Serverfarmen ist das Veröffentlichen von Anwendungen. Mit diesem Verwaltungstask können Administratoren bestimmte Anwendungen in der Serverfarm für Benutzer freigeben. Wenn eine Anwendung von einem Administrator für eine Gruppe von Benutzern veröffentlicht wird, steht die Anwendung in Form eines Objekts zur Verfügung, zu dem die Clients eine Verbindung herstellen und Clientsitzungen starten können. 20 Webinterface-Administratorhandbuch Gehe zu Document Center Mit der Program Neighborhood-Clientoberfläche wird die clientseitige Konfiguration automatisiert. Administratoren bzw. Clientbenutzer brauchen nicht mehr das gesamte Netzwerk nach veröffentlichten Anwendungen zu durchsuchen. Mit Program Neighborhood wird den Benutzern nach der Anmeldung an der Serverfarm eine benutzerspezifische Liste aller Anwendungen angezeigt, die für den Benutzernamen veröffentlicht sind. Diese Anwendungsliste wird als Anwendungsgruppe bezeichnet. Der Server, auf dem das Webinterface ausgeführt wird, bildet eine Program Neighborhood-Oberfläche, über die eine Verbindung zu den Serverfarmen hergestellt wird. Der Webinterface-Server fragt die Serverfarmen nach den Informationen zur Anwendungsgruppe ab und gibt die Ergebnisse in Form von HTML-Seiten aus, die Benutzer in einem Webbrowser anzeigen können. Der Webinterface-Server kommuniziert mit den Serverfarmen über den Citrix XML-Dienst, der auf mindestens einem Server ausgeführt wird. Der Citrix XMLDienst ist eine MetaFrame-Komponente, die Clients und Webinterface-Servern über TCP/IP und HTTP Informationen zu veröffentlichten Anwendungen zur Verfügung stellt. Dieser Dienst stellt den Kontaktpunkt zwischen der Serverfarm und dem Webinterface-Server dar. Der Citrix XML-Dienst wird mit MetaFrame Presentation Server für Windows und MetaFrame Presentation Server für UNIXBetriebssysteme installiert. Webserver Auf dem Webserver befinden sich die Webinterface-Klassen und die webserverseitigen Skripts. Die folgenden Dienste werden von den Webinterface-Klassen zur Verfügung gestellt: • Authentifizieren von Benutzern bei einer oder mehreren Serverfarmen • Abrufen von Anwendungsinformationen, einschließlich einer Liste der Anwendungen, auf die ein Benutzer zugreifen kann Die Webinterface-Klassen werden bei der Installation auf den Webserver kopiert. Das Installationsprogramm fügt auch Webseiten und Konfigurationsdateien hinzu. Clientgeräte Im Kontext des Webinterface bezeichnet Clientgerät ein beliebiges Computinggerät, auf dem ein MetaFrame Presentation Server-Client und ein Webbrowser ausgeführt werden können. Clientgeräte sind u. a. Desktop-PCs und Netzwerkcomputer. Gehe zu Document Center Kapitel 1 Einführung 21 Bei der Zusammenarbeit des Webbrowsers und des Clients auf dem Clientgerät übernimmt der Webbrowser die Rolle des Viewers und der Client die Rolle der Engine. Der Webbrowser zeigt den Benutzern die Anwendungsgruppen an, die mit serverseitigen Skripts auf dem Webinterface-Server erstellt wurden, und der Client dient als Engine zum Starten der veröffentlichten Anwendungen. Das Webinterface bietet webbasierte Clientinstallation. Die webbasierte Clientinstallation ist ein Verfahren zum Bereitstellen von Clients von einer Website aus. Wenn ein Benutzer eine mit dem Webinterface erstellte Website öffnet, erkennt der webbasierte Clientinstallationscode das Gerät und der Webbrowser fordert den Benutzer zur Installation eines entsprechenden Clients auf. Bei Windows-Geräten kann die webbasierte Clientinstallation auch erkennen, ob ein installierter Client vorhanden ist. Dem Benutzer wird in diesem Fall nur dann eine Installationsaufforderung angezeigt, wenn dies erforderlich ist. Weitere Informationen finden Sie unter „Automatisches Bereitstellen von Clients“ auf Seite 87 . Das Webinterface unterstützt eine Vielzahl von Kombinationen aus Webbrowsern und Clients. Sie finden eine vollständige Liste der Kombinationsmöglichkeiten unter „Anforderungen für MetaFrame Presentation Server-Clientgeräte“ auf Seite 31. Funktionsweise des Webinterface In dieser Darstellung ist das Zusammenspiel zwischen den Serverfarmen, einem Webinterface-Server und einem Clientgerät dargestellt. Diese Darstellung zeigt die Interaktion der einzelnen Komponenten mit dem Webinterface. Der Browser auf dem Clientgerät sendet Informationen an den Webserver, der mit der Serverfarm kommuniziert, damit Benutzer auf ihre Anwendungen zugreifen können. 1. Der Benutzer eines Clientgeräts zeigt in einem Webbrowser die Seite Anmelden an und gibt die Anmeldeinformationen ein. 2. Der Webserver liest die Informationen des Benutzers und verwendet die Webinterface-Klassen, um diese Informationen an den Citrix XML-Dienst auf Servern in der Serverfarm zu übergeben. Der angegebene Server dient als Vermittler zwischen dem Webserver und den Servern. 22 Webinterface-Administratorhandbuch Gehe zu Document Center 3. Der Citrix XML-Dienst auf dem angegebenen Server ruft dann die Liste der Anwendungen von den Servern ab, auf die der Benutzer zugreifen kann. Diese Anwendungen stellen die dem Benutzer zugängliche Anwendungsgruppe dar. Der Citrix XML-Dienst ruft die Anwendungsgruppe vom IMA-System (Independent Management Architecture) bzw. vom Program NeighborhoodDienst ab. In einer Serverfarm mit MetaFrame Presentation Server für UNIX ermittelt der Citrix XML-Dienst auf dem angegebenen Server die Anwendungen, auf die der Benutzer zugreifen kann, anhand der Informationen, die vom ICA-Browser und der lokalen Webinterface-Konfigurationsdatei gesammelt wurden. Der Citrix XML-Dienst übergibt dann die Anwendungsgruppen-Informationen des Benutzers an die auf dem Server ausgeführten Webinterface-Klassen. 4. Der nächste Verfahrensschritt wird vom Benutzer durch das Klicken auf einen Hyperlink auf der HTML-Seite gestartet. 5. Der Citrix XML-Dienst sucht den am geringsten ausgelasteten Server in der Farm. Dann fordert der XML-Dienst ein Ticket von diesem Server an, das den Anmeldeinformationen des Benutzers entspricht. Anschließend gibt der XMLDienst die Adresse des am geringsten ausgelasteten Servers und das Ticket für das Webinterface aus. 6. Die Klassen beenden die Analyse der Vorlagendatei und senden eine benutzerdefinierte Datei an den Webbrowser. 7. Der Webbrowser empfängt die Datei und übergibt sie an das Clientgerät. 8. Der Client empfängt die Datei und startet eine Clientsitzung auf einem Server, die auf den in der Datei enthaltenen Verbindungsinformationen basiert. Nächste Schritte Weitere Informationen zu den Systemanforderungen, zur Installation des Webinterface und der Konfiguration des Webinterface-Servers finden Sie unter „Bereitstellen des Webinterface“ auf Seite 23. Gehe zu Document Center KAPITEL 2 Bereitstellen des Webinterface Übersicht In diesem Kapitel wird die Installation des Webinterface auf dem Server und die Konfiguration des Servers zum Ausführen des Webinterface erläutert. Unter anderem werden folgende Themen behandelt: • Systemanforderungen • Installieren des Webinterface • Nächste Schritte • Installieren des Webinterface auf UNIX-Plattformen • Problembehandlung bei der Installation des Webinterface • Deinstallieren des Webinterface 24 Webinterface-Administratorhandbuch Gehe zu Document Center Systemanforderungen Im folgenden Abschnitt werden die Anforderungen für den Server, den Webserver und die Clientgeräte für das Webinterface beschrieben. Serveranforderungen Um das Webinterface ausführen zu können, müssen Server die folgenden Anforderungen erfüllen. Unterstützte Versionen von MetaFrame Presentation Server Das Webinterface erfordert eine der folgenden Plattformen: • Citrix MetaFrame Presentation Server 4.0 für Windows Server 2003 • Citrix MetaFrame Presentation Server 4.0 für Windows 2000 Server • Citrix MetaFrame Presentation Server 3.0 für Windows Server 2003 • Citrix MetaFrame Presentation Server 3.0 für Windows 2000 Server • Citrix MetaFrame Presentation Server für UNIX-Betriebssysteme • MetaFrame XP für Windows, Service Pack 2 für Terminal Services Edition • MetaFrame XP für Windows, Service Pack 3 für Windows 2000 Server • MetaFrame XP für Windows, Service Pack 3 für Windows Server 2003 • MetaFrame für UNIX-Betriebssysteme Version 1.1, Feature Release 1 • MetaFrame Anwendungsserver für Windows Version 1.8, Feature Release 1 und Service Pack 3 Das Webinterface kann mit diesen Versionen von MetaFrame Presentation Server auf allen unterstützten Plattformen eingesetzt werden. Sie finden eine Liste der unterstützten Plattformen in der Dokumentation zu MetaFrame Presentation Server. Citrix empfiehlt außerdem die Installation des neuesten Service Packs. Access Suite Console Zum Verwalten des Webinterface unter Windows muss die Installation der Access Suite Console vor der Installation des Webinterface vorgenommen werden. Informationen zum Installieren der Konsole finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 25 Zusätzliche Softwareanforderungen Ohne Feature Releases stehen einige neue Funktionen nicht zur Verfügung. Beispiel: Für das Verwenden der Funktion zum erweiterten Veröffentlichen von Inhalten mit dem Webinterface muss MetaFrame XP für Windows, Service Pack 2 und eine Feature Release 2-Lizenz auf allen Servern in der Serverfarm installiert sein. Versionsanforderungen für MetaFrame Presentation Server und Clients In der nachfolgenden Tabelle sind die MetaFrame Presentation Server- und Clientversionen zusammengefasst, die für wichtige Webinterface-Funktionen benötigt werden. WebinterfaceFunktion Anforderungen für MetaFrame Presentation Server Clientanforderungen Sitzungszuverlässigkeit MetaFrame Presentation Server 4.0 9.0 Workspace Control MetaFrame Presentation Server ab Version 3.0 8.0 Remotedesktopverbindung MetaFrame Presentation Server ab Version 3.0 Nicht zutreffend Ticketing MetaFrame Presentation Server ab Version 3.0 MetaFrame 1.8 Feature Release 1 MetaFrame XP 1.0 MetaFrame für UNIX 1.1 Feature Release 1 ab 6.0 NDS-Authentifizierung MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 1 ab 6.20 DNS-Adressauflösung MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 1 MetaFrame für UNIX 1.1 Feature Release 1 ab 6.20 26 Webinterface-Administratorhandbuch Gehe zu Document Center WebinterfaceFunktion Anforderungen für MetaFrame Presentation Server Clientanforderungen SmartcardUnterstützung MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 2 ab 6.30 Erweitertes Veröffentlichen von Inhalten MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 2 ab 6.20 Serverseitige FirewallUnterstützung MetaFrame Presentation Server ab Version 3.0 MetaFrame 1.8 Feature Release 1 MetaFrame XP 1.0 MetaFrame für UNIX 1.1 Nicht zutreffend Clientseitige FirewallUnterstützung Nicht zutreffend ab 6.0 für SOCKS ab 6.30 für Secure Proxy Load Balancing MetaFrame Presentation Server ab Version 3.0 MetaFrame 1.8 Feature Release 1 MetaFrame XP 1.0 MetaFrame für UNIX 1.1 Nicht zutreffend Benutzerseitige Kennwortänderung MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 2 Nicht zutreffend Automatischer Download des Win32Webclients Nicht zutreffend Bereitstellung durch Webinterface Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface WebinterfaceFunktion Anforderungen für MetaFrame Presentation Server Clientanforderungen PassthroughAuthentifizierung MetaFrame Presentation Server ab Version 3.0 MetaFrame XP Feature Release 2 Vollversion des Program Neighborhood-Clients für Win32/ Program Neighborhood Agent ab Version 6.20 Eingebettete Clients Nicht zutreffend Bereitstellung durch Webinterface Unterstützung für Secure Gateway MetaFrame Presentation Server ab Version 3.0 MetaFrame 1.8 Feature Release 1 MetaFrame XP 1.0 MetaFrame für UNIX 1.1 Feature Release 1 ab 6.20.986 27 Allgemeine Konfigurationsanforderungen Server müssen Mitglied einer Serverfarm sein. Auf den Servern in der Farm müssen Anwendungen veröffentlicht sein. Wenn MetaFrame 1.8 für Windows auf den Servern ausgeführt wird, müssen Sie außerdem sicherstellen, dass die Anwendungen unter dem Verwaltungsbereich der Serverfarm veröffentlicht sind. Weitere Informationen zur Mitgliedschaft in Serverfarmen und zum Veröffentlichen von Anwendungen in einer Serverfarm finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Hinweis: Wenn Sie das Webinterface in einer MetaFrame 1.8 für WindowsUmgebung einsetzen, müssen Sie in der Datei WebInterface.conf den Parameter AddressResolutionType von ipv4-port zu ipv4 ändern. Auch auf Servern mit MetaFrame Presentation Server für UNIX müssen Anwendungen veröffentlicht sein. Darüber hinaus müssen diese Anwendungen für die Verwendung mit dem Webinterface konfiguriert sein. Weitere Informationen zum Installieren des Citrix XML-Dienstes für UNIX und zum Konfigurieren veröffentlichter Anwendungen zur Verwendung mit dem Webinterface finden Sie im MetaFrame Presentation Server für UNIX-Administratorhandbuch. 28 Webinterface-Administratorhandbuch Gehe zu Document Center Anforderungen für Webserver Für die webbasierte Clientinstallation muss eine Kopie der MetaFrame Presentation Server-Clients auf dem Server vorhanden sein. Weitere Informationen zu den unterstützten Clientversionen finden Sie unter „Anforderungen für MetaFrame Presentation Server-Clientgeräte“ auf Seite 31. Weitere Informationen zum Kopieren der Clients auf den Server, auf dem das Webinterface ausgeführt wird, finden Sie unter „Kopieren der Installationsdateien für Clients auf den Webserver“ auf Seite 126. Windows-Plattformen Das Webinterface kann mit den folgenden Windows-Plattformen und Servern verwendet werden: • Internet Information Services 6.0 unter Windows Server 2003 • Internet Information Services 5.0 unter Windows 2000 mit Service Pack 4 Vor der Installation des Webinterface muss die folgende Software installiert werden: • .NET Framework 1.1 mit Service Pack 1 (nur Windows 2000-Systeme) • Visual J# .NET 1.1 • ASP.NET Auf Windows 2000-Systemen wird ASP.NET mit .NET Framework installiert, wenn zuvor IIS installiert wurde. Wurde IIS nicht installiert, installieren Sie IIS und installieren Sie Framework erneut, oder installieren Sie IIS und führen Sie im Verzeichnis WINNT\Microsoft.NET\Framework\v1.1.4322 den Befehl aspnet_regiis -i aus. Hinweis: Wenn Sie bei der Verwendung des Webinterface auf Windows 2000Systemen eine interne Fehlermeldung erhalten, ist die Konfiguration der .NETKonten möglicherweise fehlerhaft. Deinstallieren Sie in diesem Fall das Webinterface, Visual J# .NET sowie alle Versionen von .NET Framework vom Server und installieren Sie die Software erneut. Auf Windows Server 2003-Systemen wird ASP.NET installiert, wenn Sie IIS während der Installation von Windows Server 2003 aktiviert haben. Anderenfalls müssen Sie IIS installieren und ASP.NET, eine Unterkomponente von IIS, auswählen. Die verteilbaren Dateien von .NET Framework und J# sind im Ordner „Support“ der MetaFrame Presentation Server CD-ROM enthalten. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 29 Wenn der Server eine statisch konfigurierte IP-Adresse verwendet, müssen Sie das primäre DNS-Suffix oder einen vollqualifizierten Domänennamen für den Server festlegen. In Windows 2000 wird diese Einstellung in Netzwerkumgebung/ Eigenschaften von LAN-Verbindung/Eigenschaften von Internetprotokoll (TCP/IP) vorgenommen. ACHTUNG: Eine unsachgemäße Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind, behoben werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung. Bei einer korrekten Konfiguration muss ein gültiges DNS-Suffix in den Wertdaten des folgenden Registrierungsschlüssels vorhanden sein: Schlüssel: HKLM\System\currentControlset\services\tcpip\parameters Wert: Domain UNIX-Plattformen Sie können das Webinterface mit den folgenden UNIX-Konfigurationen verwenden: Betriebssystem Server JDK Servlet-Engine Red Hat Enterprise Edition Apache 2.x Sun 1.4.x Tomcat 5.x Red Hat Enterprise Edition WebSphere Application Server 5.1 WebSphere WebSphere Solaris 9 Sun ONE 8 Sun 1.4.x Sun ONE Solaris 9 WebLogic Server 8.x WebLogic WebLogic 30 Webinterface-Administratorhandbuch Gehe zu Document Center Benutzeranforderungen Die folgenden Browser-/Betriebssystem-Kombinationen werden für die Anmeldung am Webinterface unterstützt: Browser Betriebssystem Internet Explorer ab Version 6.0 Windows XP, Windows 2000 mit Service Pack 4 Internet Explorer ab Version 6.0 Windows 2000 mit Service Pack 4 Safari ab Version 1.0 Mac OS X Mozilla ab Version 1.0 Red Hat Enterprise Edition Pocket IE 2003 Pocket PC 2003 Personal Digital Assistants Sie können das Webinterface mit den folgenden Konfigurationen für Windowsbasierte Terminals und Personal Digital Assistants (PDAs) ausführen: Gerät Betriebssystem Browser Dell Axim Pocket PC 2003 Internet Explorer 6.0 Wyse 3125SE WinCE 4.1 Internet Explorer 5.5 Wyse 3125SE WinCE 4.2 Internet Explorer 6.0 HP iPaq H5550 Pocket PC 2003 Pocket Internet Explorer 2003 HPT 5510 WinCE 4.2 Internet Explorer 6.0 Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 31 Anforderungen für MetaFrame Presentation ServerClientgeräte Für das Zusammenspiel mit dem Webinterface müssen ein unterstützter Client und Webbrowser auf den Clientgeräten installiert sein. Alle auf der KomponentenCD-ROM enthaltenen Clients sind mit dem Webinterface kompatibel. Sie finden die Komponenten-CD-ROM im Medienpaket von MetaFrame Presentation Server. Die Clients stehen auch auf der Citrix Website zum kostenlosen Download zur Verfügung. Citrix empfiehlt die Bereitstellung der neuesten Clients, damit die Benutzer die neuesten Funktionen nutzen können. Jeder Client bietet andere Funktionen und Merkmale. Weitere Informationen zu den unterstützten Clientfunktionen finden Sie jeweils im Administratorhandbuch des entsprechenden Clients. Installieren des Webinterface In diesem Abschnitt wird die Installation des Webinterface auf dem Server erläutert. Sie finden eine Übersicht über die Installation und Anweisungen zur Installation des Webinterface auf verschiedenen Servern. Installationsübersicht Sie können das Webinterface von der MetaFrame Presentation Server-CD-ROM installieren. Vor der Installation des Webinterface muss die Installation der Access Suite Console erfolgen. Für Windows-Plattformen müssen darüber hinaus Microsoft Internet-Informationsdienste (IIS) und ASP.NET installiert sein. Wenn Sie das Webinterface auf Windows-Plattformen mit den Sprachen Japanisch, Traditionelles Chinesisch, Vereinfachtes Chinesisch oder Koreanisch installieren, dürfen Sie für die Anmeldung an Windows keinen Benutzernamen mit DoppelbyteZeichen verwenden. Informationen zum Installieren der Access Suite Console finden Sie im MetaFrame Presentation Server-Administratorhandbuch. 32 Webinterface-Administratorhandbuch Gehe zu Document Center Installieren des Webinterface Installationsprogramme stehen für die folgenden Komponenten zur Verfügung: • Microsoft Internet Information Services (IIS) • Tomcat, Sun ONE und WebSphere für UNIX-Plattformen Weitere Informationen zur Installation des Webinterface finden Sie unter „Leistungsaspekte“ auf Seite 33 und „Installieren des Webinterface auf UNIXPlattformen“ auf Seite 36. Aktualisieren einer bestehenden Installation Sie können von NFuse ab Version 1.7 auf die neueste Version des Webinterface aktualisieren, indem Sie das Webinterface entweder von der CD-ROM installieren oder die entsprechenden Dateien aus dem Web downloaden. Wenn Sie von einer älteren Version des Webinterface aktualisieren, die mit MetaFrame Presentation Server installiert wurde, wird das Webinterface vom System entfernt und es wird keine Sicherungskopie der Konfigurationsdateien erstellt. Citrix empfiehlt, diese Version des Webinterface vor der Installation von MetaFrame Presentation Server zu aktualisieren. Sie können das Webinterface für MetaFrame Presentation Server 4.0 nicht auf eine frühere Version von Webinterface zurückstufen. Sicherheitsüberlegungen Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die Microsoft-Standardrichtlinien für die Konfiguration des Windows-Servers einhalten. Anzeigen der Citrix XML-Dienst-Portzuordnung Beim Erstellen der Webinterface-Site (Windows) oder der WAR-Datei (UNIX) werden Sie aufgefordert, die Nummer des Ports anzugeben, auf dem der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die Kommunikationsverbindung zwischen der Serverfarm und dem Server, auf dem das Webinterface ausgeführt wird. In diesem Abschnitt wird erläutert, wie Sie die Nummer des Ports anzeigen, auf dem der Citrix XML-Dienst ausgeführt wird. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 33 So zeigen Sie den vom Citrix XML-Dienst verwendeten Port an: • Öffnen Sie auf Servern die Managementkonsole für MetaFrame Presentation Server. Klicken Sie auf der linken Seite der Konsole mit der rechten Maustaste auf den Server und wählen Sie Eigenschaften. Markieren Sie im Eigenschaften-Dialogfeld den Eintrag MetaFrame-Einstellungen. Der zugewiesene Port ist auf der rechten Seite angegeben. Wenn Sie während der Installation von MetaFrame Presentation Server die Option zum Freigeben des TCP/IP-Ports der Internet-Informationsdienste für den XML-Dienst auswählen, wird in der Presentation Server Console Ebenfalls verwendet von IIS angezeigt, da der Port verwendet wird. Um in diesem Fall den Port für den Citrix XML-Dienst zu bestimmen, müssen Sie den Port suchen, der vom WWW-Dienst von Internet-Informationsdienste verwendet wird. Der WWW-Dienst verwendet standardmäßig Port 80. • Auf MetaFrame 1.8-Servern ist der Port im folgenden Registrierungsschlüssel angegeben: HKLM\SYSTEM\CurrentControlSet\Services\CtxHttp\TcpPort • Geben Sie im MetaFrame Presentation Server für UNIX-Server in einer Befehlszeileneingabeaufforderung ctxnfusesrv -l ein, um die Portinformationen anzuzeigen. Hinweis: Falls erforderlich, können Sie den auf dem Server verwendeten Port ändern. Weitere Informationen finden Sie im entsprechenden MetaFrame Presentation Server-Administratorhandbuch. Leistungsaspekte Wenn Sie das Webinterface für eine Vielzahl an Benutzern bereitstellen, kann eine Anpassung von System- und Serverparametern erforderlich sein, um die Skalierbarkeit für die Benutzer zu verbessern. ACHTUNG: Eine unsachgemäße Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind, behoben werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung. 34 Webinterface-Administratorhandbuch Gehe zu Document Center Sie können zum Beispiel unter Windows in der Registrierung den folgenden Wert erhöhen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters\MaxUserPort Dieser Schlüssel bestimmt die höchste Portnummer, die TCP zuordnen kann, wenn eine Anwendung einen verfügbaren Benutzerport vom System anfordert. Bei einer großen Anzahl an gleichzeitig angemeldeten Benutzern können Sie den Standardwert 5000 erhöhen. Sie können außerdem im .NET Framework den Wert für maxWorkerThreads und maxIoThreads erhöhen. Auf Apache oder Tomcat können Sie die verfügbaren Parameter in httpd.conf (Apache) oder server.xml (Tomcat) anpassen. Citrix empfiehlt sicherzustellen, dass die Java-Heapgröße auf Tomcat bei Bedarf für eine große Benutzeranzahl ausreicht. Sie können die Heapgröße erhöhen, indem Sie beim Start den Parameter Xmx<size> an Java übergeben. Auf Tomcat nehmen Sie hierzu im Skript catalina.sh die Einstellung für die Variable JAVA_OPTS vor oder ändern diese entsprechend. Installieren des Webinterface auf Windows Sie müssen die Access Suite Console vor dem Webinterface installieren. Die Installation der Access Suite Console erfolgt von der MetaFrame Presentation Server-CD-ROM. Weitere Informationen finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Wenn Sie eine Aktualisierung von einer früheren Version des Webinterface aus vornehmen, fordert das Installationsprogramm Sie zum Sichern Ihrer Sites auf. Vorhandene Sites werden aktualisiert. Hinweis: Bei IIS 6.0 unter Windows Server 2003 wird jede Site einem Anwendungspool zugeordnet. Die Konfiguration des Anwendungspools enthält eine Höchstanzahl von Arbeiterprozessen. Wenn Sie den Standardwert „1“ ändern, können Sie das Webinterface unter Umständen nicht ausführen. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 35 So installieren Sie das Webinterface: 1. Melden Sie sich als Administrator an. 2. Wenn Sie das Webinterface von der MetaFrame Presentation Server-CD-ROM installieren, legen Sie die CD-ROM in das CD-ROM-Laufwerk des Webservers ein. Wenn Sie die Webdownload-Datei des Webinterface verwenden, kopieren Sie die Datei WebInterface.exe auf den Webserver. Doppelklicken Sie dann auf die Datei. 3. Wählen Sie eine Sprache aus der Liste aus. Als Standardauswahl wird die aus dem Betriebssystem ermittelte Sprache angezeigt. Klicken Sie auf Weiter. 4. Klicken Sie auf der Willkommensseite auf Weiter. 5. Wählen Sie auf der Seite Lizenzvereinbarung die Option Ich stimme der Lizenzvereinbarung zu und klicken Sie auf Weiter. 6. Geben Sie auf der Seite Gemeinsame Komponenten einen Speicherort für die gemeinsamen Komponenten des Webinterface an. (Standardmäßig wird dieser Pfad angegeben: C:\Programme\Citrix\Web Interface.) Klicken Sie auf Weiter. 7. Wählen Sie auf der Seite Clients die Option Clients von der KomponentenCD-ROM installieren aus. Klicken Sie auf Durchsuchen, um die Komponenten-CD-ROM oder das CD-Image nach Client-Setupdateien zu durchsuchen. Das Setup kopiert den Inhalt des Verzeichnisses ICAWEB der CD in das Verzeichnis C:\Programme\Citrix\Web Interface\4.0\ICAWEB, das im Stammverzeichnis des Webservers erstellt wird. Für alle während der Installation erstellten Websites wird angenommen, dass der Webserver die Clientdateien in dieser Verzeichnisstruktur enthält. Wenn Sie die Clients nicht während der Webinterface-Installation auf den Webserver kopieren möchten, können Sie sie auch später auf den Server kopieren. Wählen Sie hierzu die Option Clients nicht von der KomponentenCD-ROM installieren. 8. Klicken Sie auf Weiter, um mit der Installation fortzufahren. 9. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen. 10. Um mit dem Erstellen und Konfigurieren der Sites zu beginnen, öffnen Sie die Access Suite Console. Nach dem Installieren des Webinterface können Sie die Discovery konfigurieren und durchführen, um mit dem Verwalten der Sites zu beginnen. Weitere Informationen finden Sie unter „Durchführen und Konfigurieren der Discovery“ auf Seite 41. 36 Webinterface-Administratorhandbuch Gehe zu Document Center Installieren des Webinterface auf UNIX-Plattformen In diesem Abschnitt wird die Installation des Webinterface auf Tomcat erläutert. Informationen zu anderen UNIX-Plattformen finden Sie in der Dokumentation zur jeweiligen Plattform und in der Dokumentation zum Verwaltungstool der Plattform. Hinweis: Wenn Sie das Webinterface unter WebSphere installieren, wird eine Anwendungssicherheitswarnung angezeigt, die auf ein Problem mit dem Inhalt der Datei was.policy hinweist. Hierbei handelt es sich um eine von WebSphere erstellte Richtliniendatei, wenn Sie unter Security > Global Security die Option Enforce Java 2 Security auswählen. Stellen Sie sicher, dass Sie die Datei was.policy entsprechend der WebSphere Java 1-Sicherheitsrichtlinie modifizieren. Andernfalls funktioniert das Webinterface eventuell nicht ordnungsgemäß. Diese Richtliniendatei wird in folgendem Ordner gespeichert: WEBSPHERE_HOME/AppServer/ installedApps/<Knotenname>/<Name der WAR-Datei>.ear/META-INF. Das Webinterface benötigt auf UNIX-Plattformen eine Servlet-Engine. Der Apache-Webserver benötigt für die Webinterface-Unterstützung eine zusätzliche Servlet-Engine (z. B. Tomcat). Tomcat kann als eigenständiger Webserver oder als Servlet-Engine verwendet werden. Wenn Sie das Webinterface unter Red Hat (Enterprise oder Fedora) installieren, stellen Sie sicher, dass auch das sharutils-Paket installiert ist, das für das Dienstprogramm uudecode erforderlich ist. So installieren Sie das Webinterface auf Tomcat: 1. Kopieren Sie die Datei WebInterface.sh.gz aus dem Verzeichnis „Web Interface“ auf der Komponenten-CD-ROM an einen temporären Speicherort. 2. Wechseln Sie in einer UNIX-Shell in das Downloadverzeichnis, das die Installationsdatei enthält. Um die Datei zu entpacken, geben Sie Folgendes ein: gunzip WebInterface.sh.gz 3. Um das Installationsprogramm auszuführen, geben Sie Folgendes ein: sh WebInterface.sh 4. Drücken Sie zum Lesen des Endbenutzerlizenzvereinbarung die Eingabetaste. 5. Geben Sie Ja ein, um die Lizenzvereinbarung zu akzeptieren. 6. Wählen Sie einen Sitetyp aus der Liste aus. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 37 7. Geben Sie an, ob Sie eine lokale Konfiguration (zum Beispiel WebInterface.conf) oder die zentrale Konfiguration (den Konfigurationsdienst) verwenden möchten. Wenn Sie die lokale Datei auswählen, geben Sie den Namen des Servers ein, der die Anwendungsinformationen enthält. Der XML-Dienst muss auf diesem Server installiert sein und ausgeführt werden. Wählen Sie ein XMLDienstprotokoll aus der Liste aus und geben Sie die Portnummer an, die der XML-Dienst abhört. Wenn Sie Konfigurationsdienst auswählen, geben Sie den Konfigurationsdienstserver (Name oder IP-Adresse) und die XML-Portnummer für den Konfigurationsdienst ein. Sie können mehrere Kombinationen von Konfigurationsdiensten und Ports eingeben. 8. Wenn Sie eine MetaFrame Conferencing Manager-Gastteilnehmersite erstellen, geben Sie den Speicherort und die Portnummer für den externen Konferenzserver (ECS) ein. Klicken Sie auf Ja oder Nein, um anzugeben, ob der Server über SSL gesichert ist. 9. Wenn Sie eine Site für MetaFrame Presentation Server oder MetaFrame Conferencing Manager erstellen, bietet das Installationsprogramm an, die Clientdateien von der CD-ROM in die WAR-Datei zu kopieren. 10. Geben Sie zum Erstellen der WAR-Datei den Pfad und einen Namen ein. 11. Eine Zusammenfassung wird angezeigt. Klicken Sie auf Ja, wenn die angezeigten Informationen richtig sind. 12. Die WAR-Datei wird erstellt und die Clients werden falls erforderlich von der CD-ROM kopiert. 13. Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation der WAR-Datei abzuschließen. Verwenden von MetaFrame Conferencing Manager unter UNIX Bevor Sie Anmeldungssites für MetaFrame Conferencing Manager-Gastteilnehmer auf Sun ONE erstellen können, müssen Sie die Sicherheitsrichtlinie auf dem Server manuell konfigurieren. Dies erfolgt nach dem Bereitstellen der WAR-Datei für Conferencing Manager-Gastteilnehmer. 38 Webinterface-Administratorhandbuch Gehe zu Document Center So konfigurieren Sie die Sicherheitsrichtlinie auf Sun ONE: 1. Stellen Sie die WAR-Datei von Conferencing Manager auf Sun ONE bereit. 2. Beenden Sie den Sun ONE-Server. 3. Bearbeiten Sie die Datei server.policy im bereitgestellten Domänenkonfigurationsverzeichnis. Wenn Sun ONE beispielsweise in <SunOne root>/AppServer installiert ist und die Gastteilnehmer-Anmeldungssite von MetaFrame Conferencing Manager in domain1 bereitgestellt wird, befindet sich die Datei unter <SunOne root>/AppServer/domains/domain1/config. <SunOne root> ist das Verzeichnis oberster Ebene, in dem Sun Java Application Server installiert ist. 4. Fügen Sie die folgende Konfiguration vor allen allgemeinen Berechtigungsblöcken hinzu: grant codeBase "file:<SunOne root>/AppServer/domains/domain1/ applications/j2ee-modules/MCMGuest/WEB-INF/lib/-" { permission java.lang.RuntimePermission "getClassLoader"; permission java.lang.RuntimePermission "createClassLoader"; permission java.net.SocketPermission "*", "connect,accept,resolve"; permission java.io.FilePermission "<>", "read,write,delete"; }; 5. Starten Sie den Sun ONE-Server. Verwenden der Befehlszeile zur Installation Durch Befehlszeilenskripts können Sie unbeaufsichtigte Installationen und Siteverwaltung ausführen. WebInterface.exe (die Installationsdatei für Windows) kann eine Befehlszeile nicht direkt akzeptieren. Verwenden Sie zum Übergeben einer Befehlszeile an diese Datei die folgende Umgebungsvariable: WI_COMMAND_LINE=<Befehlszeilenzeichenfolge> In der <Befehlszeilenzeichenfolge> wird der umgekehrte Schrägstrich (\) zum Vermeiden von Leerzeichen in Pfaden verwendet. Wenn Sie den umgekehrten Schrägstrich verwenden möchten (zum Beispiel in einem Pfad), geben Sie \\ ein oder schließen Sie den Pfad in doppelte Anführungszeichen ein („\“). Um doppelte Anführungszeichen zu verwenden, geben Sie \“ ein. Weitere Informationen über die Verwendung der Befehlszeile mit dem Webinterface finden Sie in der Knowledge Base unter http://support.citrix.com. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 39 Verwenden von Sprachpaketen Sprachpakete enthalten alle erforderlichen Informationen zum Lokalisieren von Sites für eine bestimmte Sprache (Deutsch, Englisch, Spanisch, Französisch und Japanisch). Sie enthalten folgende Komponenten: • Ressourcendateien für Sites • Ressourcendateien für das Windows-Installationsprogramm • Ressourcendateien zur Verwaltung von Sites • Onlinehilfe • Ressourcendateien für das UNIX-Vorinstallationsskript • Alle lokalisierten Symbole und Bilder Nach der Installation können Sie dem Windows-Verzeichnis „Gemeinsame Dateien“ Sprachpakete hinzufügen, indem Sie die Struktur kopieren oder die ZIPDatei in diesem Verzeichnis entpacken. Um die Sprache für eine bestimmte Site anzupassen, kopieren Sie das Sprachpaket an den Speicherort der Site und ändern Sie es. Die Site verwendet anschließend das geänderte Sprachpaket, während andere Sites weiter auf das Standardpaket zugreifen. Unter UNIX können Sie weitere Sprachpakete installieren, indem Sie sie in das entsprechende Verzeichnis auf der Site verschieben. Wenn Pakete beispielsweise als ZIP-Dateien vorliegen, extrahieren Sie sie. Das Installationsprogramm verwendet standardmäßig die Sprache des Betriebssystems, auf dem es ausgeführt wird, unabhängig von der Sprache der InstallationsCD-ROM. Wenn Sie beispielsweise die Installation auf einem französischen Betriebssystem mit einer deutschen Installations-CD-ROM ausführen, wird das Installationsprogramm auf Französisch angezeigt. Während der Installation kann die Standardsprache geändert werden. Diese Sprache wird dann als Standardsprache für die Sites verwendet, die Sie erstellen. Das englische Sprachpaket muss als Standardsprache immer auf dem Server vorhanden sein. Entfernen von Sprachpaketen Einige Clients, wie beispielsweise WinCE-Geräte, können bestimmte Sprachen nicht anzeigen (zum Beispiel Japanisch). In diesem Fall werden in der Dropdownliste zum Auswählen der Sprache in der Benutzeroberfläche für nicht verfügbare Sprachen Quadrate angezeigt. Wenn Sie diese Anzeige vermeiden möchten, können Sie eine Sprache für alle oder für bestimmte Sites entfernen. 40 Webinterface-Administratorhandbuch Gehe zu Document Center Bei ASPX-Sites entfernen Sie <Sprachcode>.lang (zum Beispiel ja.lang) aus den gemeinsamen Dateien; normalerweise im Ordner C:\Programme\Citrix\ Web Interface\4.0\languages. Die Sprache wird hiermit aus allen Sites auf dem Server entfernt. Wenn Sie diese Sprache für eine bestimmte Site aktivieren möchten, verschieben Sie die LANG-Datei in das Sprachenverzeichnis der Site. Bei JSP-Sites öffnen Sie die WAR-Datei nach ihrer Erstellung mit einem entsprechenden Tool, entfernen die LANG-Datei und packen die WAR-Datei erneut. Die Sprache wird hiermit aus allen Sites entfernt, die von dieser WAR-Datei bereitgestellt werden. Bereitstellen von Sprachen für Benutzer Beim Anmelden eines Benutzers wird die vom Browser übermittelte Sprache erkannt. Die Seite wird in dieser Sprache angezeigt. Wenn die Sprache des Benutzers nicht ermittelt oder nicht erkannt wird, wird die Standardsprache der Site verwendet. Benutzer können eine der verfügbaren Sprachen auswählen (wenn mehr als ein Sprachpaket installiert wurde). Die Seite Anmelden wird anschließend in der ausgewählten Sprache neu geladen. Wenn der Kioskmodus für die Site eingestellt ist, wird die Browsersprache des Benutzers in jeder neuen Sitzung ermittelt. Wenn Benutzer die Seite Anmelden normalerweise nicht anzeigen (zum Beispiel bei transparenter Authentifizierung), können sie eine Sprache auf der Seite Präsentationseinstellungen auswählen. Stellen Sie sicher, dass den Benutzern die richtige MetaFrame Presentation ServerClientversion für ihre ausgewählte Sprache zur Verfügung steht. Wenn Benutzer einen eingebetteten Client zum Starten einer Anwendung verwenden, führt das Webinterface einen der folgenden Schritte aus: • Beim Starten wird der eingebettete Client in der bevorzugten Sprache des Benutzers verwendet (wenn diese auf dem Server verfügbar ist). • Beim Starten wird der eingebettete Client in der Standardsprache der Site verwendet (wenn diese auf dem Server verfügbar ist). • Beim Starten wird der erste auf dem Server gefundene eingebettete Client verwendet. • Dem Benutzer wird eine Fehlermeldung angezeigt, dass keine Clients auf dem Server verfügbar sind. Diese Meldung wird ebenfalls für Webclients angezeigt. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 41 Nächste Schritte Nach der Installation müssen Sie den Benutzern das Webinterface bereitstellen. Hierzu verwenden Sie entweder die Access Suite Console, um Sites zu erstellen und zu konfigurieren, oder Sie bearbeiten direkt die Konfigurationsdatei WebInterface.conf. Darüber hinaus müssen Sie das Webinterface ggf. konfigurieren. Dies hängt von den anderen installierten MetaFrame-Komponenten ab. Sie können die Funktionen des Webinterface auch anpassen oder erweitern. • Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway mit der Access Suite Console finden Sie unter „Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 122. • Informationen zur Konfiguration des Webinterface mit der Konsole oder mit der Datei WebInterface.conf finden Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50 oder „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf Seite 105. • Informationen zu den Sicherheitsüberlegungen finden Sie unter „Konfigurieren der Webinterface-Sicherheit“ auf Seite 131. • Weitere Informationen zur Erweiterung und Anpassung der WebinterfaceFunktionalität finden Sie im Handbuch Customizing the Web Interface. Durchführen und Konfigurieren der Discovery Zum Verwalten des Webinterface mit der Access Suite Console müssen Sie in der Konsole die Discovery durchführen. Beim ersten Öffnen der Konsole werden Sie automatisch zum Starten des Discoveryvorgangs aufgefordert und durch die entsprechenden Schritte geführt: Auswählen der gewünschten Komponenten, Konfigurieren des Discoveryvorgangs und Ermitteln der Objekte, die zu verwalten sind. Führen Sie den Discovery-Vorgang danach nur dann durch, wenn Sie eine Komponente erkennen möchten oder wenn Sie Elemente aus der Bereitstellung entfernen oder ihr hinzufügen möchten. So führen Sie die Discovery durch: 1. Starten Sie die Access Suite Console vom Menü Start aus: Start > Programme > Citrix > MetaFrame Presentation Server > Access Suite Console für Presentation Server. 2. Klicken Sie auf der Seite Discovery konfigurieren und durchführen auf Ja. Wenn diese Seite nicht automatisch angezeigt wird, klicken Sie auf den Task Discovery konfigurieren und durchführen. 3. Klicken Sie auf Weiter. 42 Webinterface-Administratorhandbuch Gehe zu Document Center 4. Klicken Sie auf der Seite Konfigurationsserver auf Hinzufügen, um einen Namen eines Konfigurationsservers einzugeben, oder wählen Sie die Option Keine Webinterface-Konfigurationsserver kontaktieren, wenn Sie nur Tasks für lokale Sites verwenden möchten. 5. Es wird eine Zusammenfassung der Konfigurationsinformationen angezeigt. Wenn die Informationen korrekt sind, klicken Sie auf Weiter. Klicken Sie andernfalls auf Zurück, um die Angaben zu ändern oder einen weiteren Server hinzuzufügen. 6. Auf der Seite Discoverystatus wird die Anzahl erkannter Elemente angezeigt. Klicken Sie auf Fertig stellen, um die Seite zu schließen und die Access Suite Console zu verwenden. Nach dem Durchführen der Discovery zum Verbinden mit einer Serverfarm können Sie Sites mit der Access Suite Console erstellen. Erstellen von Sites Klicken Sie zum Erstellen neuer Sites in der Konsolenstruktur auf den Knoten Webinterface und anschließend auf den Task Site erstellen. Sie können eine der folgenden Sites hinzufügen: • MetaFrame Presentation Server: für Benutzer, die mit dem Webinterface auf veröffentlichte Anwendungen zugreifen. • Program Neighborhood Agent-Dienste: für Benutzer, die mit Program Neighborhood Agent auf veröffentlichte Anwendungen zugreifen. • Conferencing Manager-Gastteilnehmer: für Benutzer, die sich bei Gastteilnehmerkonferenzen anmelden. Sie können mit diesem Task verschiedene Informationen für die Site angeben: die IIS-Site, die URL zum Übernehmen von Änderungen und die Konfigurationsquelle. Diese Optionen können später über Tasks für lokale Sites aktualisiert werden. Zur Erstellung von lokalen Sites müssen Sie ein lokaler Administrator auf dem System sein, auf dem die Access Suite Console ausgeführt wird. Hinweis: Wenn Sie die zentrale Konfiguration verwenden, können Sie keine Server von mehreren Farmen angeben. Die Sitekonfiguration kann nur von Servern derselben Farm abgerufen werden. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 43 Beim Erstellen oder Bearbeiten von Sites wird eine Bootstrapkonfigurationsdatei aktualisiert. Sie enthält die Konfigurationsquelle, die Standardsprache und bei der Installation erstellte Bezeichner der Sites (vom Konfigurationsdienst verwendet). Der Sitebezeichner hat das Format <Hostname>:<IIS-Sitenummer>: <Sitepfad>:<Numerische ID>. Dabei gilt Folgendes: • <Hostname> ist der Hostname des Servers. • <IIS-Sitenummer> ist die Nummer der IIS-Site. • <Sitepfad> ist der Pfad (in der IIS-Metabasis, unter der Site) der Site. • <Numerische ID> ist eine zufällige 128-Bit-ID. In diesen Zeichenfolgen wird ein umgekehrter Schrägstrich (\) als Escape-Zeichen verwendet. Bei UNIX-Webservern werden <Hostname> und <Sitepfad> dynamisch generiert, daher enthält das Feld SiteIDRoot nur die <numerische ID>. Der <Sitepfad> ist die empfohlene Identifikation der Site, die von der Servlet-Engine abgerufen wird, und kann abhängig von der Servlet-Engine variieren. Erstellen von Sites auf UNIX-Webservern Unter UNIX wird vor dem Erstellen der jeweiligen Site ein Vorinstallationsskript ausgeführt. Das Skript erstellt eine angepasste WAR-Datei für die Site, die anschließend installiert wird. (Normalerweise wird hierzu die WAR-Datei am korrekten Ort für die Servlet-Engine gespeichert.) Für das Skript sind uudecode und Java erforderlich. Sites werden durch Bearbeiten der Inhalte der entpackten WAR-Datei geändert und können durch Löschen der WAR-Datei entfernt werden. ACHTUNG: Wenn mehrere Program Neighborhood Agent-Dienste-Sites mit mehreren Clientkonfigurationen eingerichtet sind, enthält die Datei WebInterface.conf alle clientspezifischen Einstellungen. Folgende Einstellungen gehören hierzu: Authentifizierungseinstellungen, Größe der Clientsitzungen, Clientressourcen und Workspace Control. Dies führt dazu, dass die Program Neighborhood Agent-Dienste-Site nur die Verbindung von zwei Einstellungen erzwingen kann. Wenn zwei verschiedene Program Neighborhood AgentKonfigurationsdateien mit zwei verschiedenen Sicherheitskonfigurationen (z. B. intern und extern) vorhanden sind, ist ein externer Client in der Lage, eine beliebige Aktion auf dem internen Client auszuführen. 44 Webinterface-Administratorhandbuch Gehe zu Document Center Angeben der Sitekonfiguration Die Konfiguration kann in lokalen Konfigurationsdateien oder an einem zentralen Konfigurationsspeicherort (dem Konfigurationsdienst) gespeichert werden. Bei der zentralen Konfiguration geben Sie beim Erstellen von Sites eine oder mehrere Kombinationen von Host und Port an, um den Konfigurationsdienst zu identifizieren. Bei der lokalen Konfiguration können Sie eine bestehende lokale Konfiguration kopieren oder einen XML-Dienst/externen Konferenzdienst (für MetaFrame Conferencing Manager) zum Abrufen von Farminformationen angeben. Sie können eine Site bearbeiten, um die Konfigurationsquelle zu ändern. Wenn Sie zu einer lokalen Konfiguration wechseln, wird die vorhandene Konfiguration vom zentralen Konfigurationsspeicherort abgerufen und die neue lokale Datei entsprechend mit dieser Konfiguration aktualisiert. Weitere Informationen zum Angeben der Sitekonfiguration in der Access Suite Console finden Sie unter „Verwenden von Tasks für lokale Sites“ auf Seite 104. Das Vorinstallationsskript unter UNIX kann keine Sites mit lokalen Konfigurationsdateien auf der Basis vorhandener Sitekonfigurationen erstellen. Wenn unter Windows beim Installieren einer Site die zentrale Konfiguration ausgewählt wird, wird die Site nach der Installation automatisch beim Konfigurationsdienst registriert. Unter UNIX wird die Site beim ersten Laden einer Seite registriert, nachdem sie in einer Servlet-Engine bereitgestellt wurde. Verwenden von Sitetasks Um mit dem Konfigurieren von Sites zu beginnen, wählen Sie in der Access Suite Console im Webinterface-Knoten die Site aus und verwenden Sie die Tasks im Taskbereich. Sie können auch mit der rechten Maustaste auf einen Sitenamen klicken und Tasks aus dem Kontextmenü auswählen. Teilen Sie nach der Konfiguration des Webinterface den Benutzern die URL der Seite Anmelden mit. Weitere Informationen finden Sie unter „Bereitstellen des Webinterface für die Benutzer“ auf Seite 123. Gehe zu Document Center Kapitel 2 Bereitstellen des Webinterface 45 Problembehandlung bei der Installation des Webinterface In diesem Abschnitt wird die Verwendung der Option Reparieren auf WindowsPlattformen erläutert, mit der Probleme der Webinterface-Installation behoben werden können. Außerdem finden Sie Anweisungen zur Vorgehensweise, wenn die Option Reparieren nicht verfügbar ist oder das Problem nicht behoben wird. Verwenden der Option „Reparieren“ Sollten Probleme bei der Webinterface-Installation auftreten, versuchen Sie das Problem mit der Option Reparieren zu beheben. Die Option Reparieren installiert gemeinsame Dateien neu. Die Skripts oder die Datei WebInterface.conf werden nicht ersetzt. Auf Windows-Plattformen können Sie eines der folgenden Verfahren verwenden. So führen Sie die Option „Reparieren“ von der Systemsteuerung aus: 1. Wählen Sie in der Systemsteuerung Software. 2. Klicken Sie im Dialogfeld Software auf Webinterface für MetaFrame Presentation Server. 3. Klicken Sie auf Ändern. 4. Folgen Sie den auf dem Bildschirm angezeigten Anweisungen. So führen Sie die Option „Reparieren“ von der EXE-Datei aus: 1. Doppelklicken Sie auf die Datei WebInterface.exe. 2. Wählen Sie Reparieren und klicken Sie auf Weiter. 3. Folgen Sie den auf dem Bildschirm angezeigten Anweisungen. Hinweis: Wenn das Problem nicht mit der Option Reparieren behoben wird oder die Option nicht zur Verfügung steht (z. B. auf UNIX-Plattformen), deinstallieren und installieren Sie das Webinterface neu. Weitere Informationen finden Sie unter „Deinstallieren des Webinterface“ auf Seite 46. Nach der erneuten Installation des Webinterface müssen Sie Anpassungen an der Datei WebInterface.conf erneut vornehmen. 46 Webinterface-Administratorhandbuch Gehe zu Document Center Deinstallieren des Webinterface Bei der Webinterface-Deinstallation werden alle Webinterface-Dateien entfernt, einschließlich des Verzeichnisses ICAWEB und der Webinterface-Backupdateien. Kopieren Sie Webinterface-Dateien, die Sie behalten möchten, vor der Deinstallation des Webinterface in ein anderes Verzeichnis. In gewissen Situationen kann die Deinstallation des Webinterface fehlschlagen. Mögliche Ursachen: • Unzureichender Registrierungszugriff für das Deinstallationsprogramm • IIS wurde nach der Webinterface-Installation vom System entfernt Deinstallieren des Webinterface auf Microsoft IIS So deinstallieren Sie das Webinterface auf Microsoft IIS: 1. Verwenden Sie die Option Software, auf die Sie über Start > Einstellungen > Systemsteuerung zugreifen. 2. Folgen Sie den auf dem Bildschirm angezeigten Anweisungen. Deinstallieren des Webinterface auf UNIX-Plattformen So deinstallieren Sie das Webinterface auf Tomcat: 1. Wechseln Sie in das Verzeichnis, in das Sie ursprünglich die WAR-Datei kopiert haben. 2. Beenden Sie den Webserver. 3. Geben Sie rm <Name der WAR-Datei> ein. 4. Sie müssen ggf. die Verzeichnisse löschen, in die die WAR-Datei extrahiert wurde. Normalerweise hat dieses Verzeichnis denselben Namen wie die WARDatei. Beispiel: Der Inhalt der Datei Citrix.war wird in das Verzeichnis „Citrix“ extrahiert. Gehe zu Document Center KAPITEL 3 Konfigurieren des Webinterface Übersicht In diesem Kapitel wird die Konfiguration und Anpassung des Webinterface mit der Access Suite Console und der Webinterface-Konfigurationsdatei erläutert. Unter anderem werden folgende Themen behandelt: • Auswählen einer Konfigurationsmethode • Konfigurieren von Sites mit der Access Suite Console • Konfigurieren des Webinterface mit der Konfigurationsdatei • Bereitstellen des Webinterface für die Benutzer 48 Webinterface-Administratorhandbuch Gehe zu Document Center Auswählen einer Konfigurationsmethode In diesem Abschnitt wird beschrieben, wie Sie die am besten für Ihre Anforderungen geeignete Konfigurationsmethode für das Webinterface ermitteln. Für die Konfiguration und Anpassung des Webinterface stehen die folgenden Methoden zur Verfügung: Access Suite Console: Mit der Access Suite Console können Sie tägliche Verwaltungsaufgaben schnell und einfach ausführen. Sie können mit der Konsole beispielsweise die Einstellungen festlegen, die Benutzer auswählen können, oder die Benutzerauthentifizierung beim Webinterface konfigurieren. Die Konfiguration wird sofort wirksam, wenn Sie mit der Konsole Änderungen vornehmen. Sie können die Access Suite Console auf Computern mit den folgenden Betriebssystemen installieren: • Alle Betriebssysteme aus den Windows 2000 Server- oder Windows Server 2003-Familien • Windows XP Professional • Windows 2000 Professional Informationen zur Konfiguration des Webinterface mit der Konsole finden Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50 und in der Onlinehilfe der Access Suite Console. Webinterface-Konfigurationsdatei: Mit der Datei WebInterface.conf können Sie viele Webinterface-Eigenschaften ändern. Die Datei steht unter Windows und UNIX zur Verfügung. Mithilfe dieser Datei können Sie gängige Verwaltungsaufgaben ausführen und zahlreiche Einstellungen anpassen. Sie ändern einfach die Werte in der Datei WebInterface.conf und beenden und starten den Webserver neu, um die Änderungen zu übernehmen. Weitere Informationen zur WebinterfaceKonfiguration mit der Datei WebInterface.conf finden Sie unter „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf Seite 105. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 49 Program Neighborhood Agent-Konfigurationsdatei: Sie können Program Neighborhood Agent mit der Datei Config.xml konfigurieren, die sich auf dem Webinterface-Server befindet. Die Datei Config.xml enthält zahlreiche Parameter, die in die folgenden Kategorien unterteilt sind: • FolderDisplay: Gibt an, wo Anwendungssymbole angezeigt werden: im Startmenü, auf dem Windows-Desktop oder im Infobereich. Sie können auch mit zusätzlichen Parametern einen bestimmten Ordner im Startmenü und die auf dem Windows-Desktop zu verwendeten Symbole angeben. Diese Parameter entsprechen den Optionen im Dialogfeld Program Neighborhood Agent Eigenschaften auf der Registerkarte Anwendungsanzeige. • DesktopIntegration: Bearbeiten Sie diesen Parameter nicht. • ConfigurationFile: Ermöglicht die Angabe einer anderen URL für die Datei Config.xml des zukünftig verwendeten Clients. Dies vereinfacht ein Verlagern der Benutzer auf einen anderen Webinterface-Server. • Request: Gibt an, von welcher Stelle der Client die Informationen zu veröffentlichten Anwendungen anfordert und wie oft die Informationen aktualisiert werden. • Logon: Gibt die verwendete Anmeldemethode an. • UserInterface: Gibt an, ob für den Benutzer bestimmte Optionen in der Program Neighborhood Agent-Oberfläche ein- oder ausgeblendet werden. • FileCleanup: Bearbeiten Sie diesen Parameter nicht. • ICA_Options: Gibt die Audio- und Videooptionen für die Clientverbindungen an. Dieser Parameter entspricht den Optionen im Dialogfeld Program Neighborhood Agent - Eigenschaften auf der Registerkarte ICA-Optionen. Webserverskripts und Java-Servlets: Mit der Anwendungsprogrammierschnittstelle (API) des Webinterface können Sie die Webinterface-Site umfassend anpassen. Sie können mit ASP.NET oder JavaServer Pages Webserverskripts für MetaFrame Presentation Server-Sites erstellen. Weitere Informationen finden Sie im Handbuch Customizing the Web Interface. 50 Webinterface-Administratorhandbuch Gehe zu Document Center Konfigurieren von Sites mit der Access Suite Console Die Webinterface-Verwaltungsfunktionen sind jetzt in der Access Suite Console verfügbar. Mit der Konsole können Sie Sites für MetaFrame Presentation Server und Program Neighborhood Agent sowie für MetaFrame Conferencing ManagerGastteilnehmer erstellen und konfigurieren. Viele der Einstellungen sind mit der Konsole schnell und einfach zu ändern. In dieser Abbildung sehen Sie die Access Suite Console. Bei Verwendung der Konsole werden ggf. einige Einstellungen des Webinterface deaktiviert, wenn deren Werte für die aktuelle Konfiguration nicht relevant sind. Die entsprechenden Einstellungen in der Datei WebInterface.conf werden auf die Standardwerte zurückgesetzt. Citrix empfiehlt das regelmäßige Erstellen einer Sicherungskopie der Datei WebInterface.conf. Aufrufen der Hilfe Zum Anzeigen der Onlinehilfe für das Webinterface können Sie F1 drücken oder mit der rechten Maustaste auf einen Knoten in der Konsolenstruktur klicken und Hilfe auswählen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 51 Erste Schritte mit der Access Suite Console Um die Access Suite Console zu starten, wählen Sie Start > Programme > Citrix > MetaFrame Presentation Server > Access Suite Console für Presentation Server. Weitere Informationen über die Access Suite Console finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Durchführen der Discovery Bevor Sie die bereitgestellten Objekte mit der Konsole verwalten können, müssen Sie die Discovery durchführen, um Verbindungen zu den Serverfarmen herzustellen. Beim ersten Öffnen der Konsole werden Sie automatisch zum Starten des Discoveryvorgangs aufgefordert und durch die entsprechenden Schritte geführt: Auswählen der gewünschten Komponenten, Konfigurieren des Discoveryvorgangs und Ermitteln der Objekte, die zu verwalten sind. Mit dem Assistenten Discovery konfigurieren und durchführen legen Sie die Komponenten fest, die Sie nach neuen Objekten durchsuchen möchten, und geben an, ob eine Remotekonfiguration für die Sites auf dem Computer abzurufen ist. Sie bearbeiten Konfigurationsserver und geben MetaFrame Presentation ServerFarmen an. Anschließend führen Sie den Discoveryvorgang durch, um eine Komponente zu erkennen oder wenn Objekte aus der Bereitstellung entfernt oder dieser hinzugefügt wurden. Klicken Sie im Taskbereich auf Discovery durchführen. 52 Webinterface-Administratorhandbuch Gehe zu Document Center Nach Abschluss des Discoveryvorgangs werden die vorhandenen Sites unter dem Knoten Webinterface in der Konsolenstruktur angezeigt. Sie können nun neue Sites erstellen und vorhandene Sites verwalten. Beispiel: In dieser Abbildung sehen Sie die Access Suite Console mit bereits erstellten Sites. Erstellen von Sites Mit dem Task Site erstellen können Sie die folgenden Typen von Sites erstellen: • MetaFrame Presentation Server: für Benutzer, die über einen Webbrowser (das Webinterface) auf veröffentlichte Anwendungen zugreifen. • Program Neighborhood Agent-Dienste: für Benutzer, die mit Program Neighborhood Agent auf veröffentlichte Anwendungen zugreifen. • Conferencing Manager-Gastteilnehmer: für Gastteilnehmer, die sich an Conferencing Manager-Konferenzen anmelden. Der Assistent Site erstellen führt Sie durch die Erstellung einer dieser Sites. Sie können den IIS-Speicherort angeben, auf dem die Site gehostet wird, und festlegen, ob es sich um die Standardsite in der IIS-Site handelt. Sie können die URL für Änderungen festlegen sowie einen Speicherort, von dem die Site die zugehörige Konfiguration abruft, und Serverfarmen hinzufügen. Nach Beendigung dieses Tasks wird die neue Site in der Konsolenstruktur angezeigt. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 53 Klicken Sie in der Konsolenstruktur auf die Site, um sie zu verwalten. Im Task- und im Detailfenster werden Sitetasks, Informationen und Warnmeldungen angezeigt. Wenn der Konfigurationsserver nicht verfügbar ist und keine Verbindung zu diesem hergestellt werden kann, werden keine Sitetasks in der Konsole angezeigt. Ausführen von Tasks Im Taskbereich werden die Tasks angezeigt, die für die einzelnen Typen von Sites verfügbar sind. Tasks können auf zwei Arten ausgeführt werden: über Assistenten oder durch das Festlegen von Optionen in Dialogfeldern. Um einen Task auszuführen, klicken Sie im Taskbereich auf einen Tasknamen, oder klicken Sie mit der rechten Maustaste auf die Site, die Sie konfigurieren möchten, und wählen Sie im angezeigten Menü einen Task aus. Einige Tasks sind nur für bestimmte Typen von Sites verfügbar. Die entsprechenden Informationen dazu werden jeweils am Anfang der folgenden Abschnitte angegeben. 54 Webinterface-Administratorhandbuch Gehe zu Document Center Verwalten von Serverfarmen Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent-Dienste und Conferencing ManagerGastteilnehmer. Mit dem Task Serverfarmen verwalten können Sie das Webinterface für die Kommunikation mit einer oder mehreren Farmen konfigurieren. Benutzer müssen über ein Konto zur Authentifizierung bei jeder Farm, die für diesen Task festgelegt ist, verfügen. Wenn sich Farmen in verschiedenen Domänen befinden, muss unter Windows eine bidirektionale Vertrauensstellung zwischen diesen Domänen aktiviert werden. Bei einer Farm unter UNIX muss jeder Benutzer über einen Benutzernamen und ein Kennwort verfügen, der bzw. das mit der Windows-Farm übereinstimmt. Können Benutzername und Kennwort nicht von einer der angegebenen Farmen authentifiziert werden, wird dem Benutzer eine Fehlermeldung über ungültige Anmeldeinformationen angezeigt. Die Funktion zum Verwenden mehrerer Serverfarmen ist für die Benutzer nicht erkennbar, da sie nicht darauf hingewiesen werden, dass die Anwendungsgruppe eine Aggregation von mehreren Serverfarmen ist. Anwendungen aus mehreren Serverfarmen werden genauso wie die einer einzigen Farm dargestellt. Zuerst werden die Ordner und dann die Anwendungssymbole angezeigt. Aus diesem Grund werden Anwendungen desselben Namens aus verschiedenen Serverfarmen an beliebiger Stelle in der Anwendungsgruppe des Benutzers angezeigt. Deshalb empfiehlt Citrix, dass Sie eindeutige Anwendungsnamen in allen Serverfarmen sicherstellen, z. B. durch Veröffentlichen von Anwendungen in Ordnern mit anderen Namen. Hinweis: Das Webinterface fragt vor der Anzeige der Anwendungen Anwendungsdaten von allen Serverfarmen ab. Jede Serverfarm wird in der Reihenfolge kontaktiert, in der sie in der Konfiguration aufgeführt ist. Aus diesem Grund wirkt sich eine langsam reagierende Serverfarm auf die gesamte Reaktionsfähigkeit aus, wenn Anwendungsgruppen abgerufen werden. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 55 Überlegungen zur Kennwortänderung Sollten Unterschiede zwischen den Serverfarmen bestehen, können Benutzer ihre Kennwörter möglicherweise aufgrund von weiteren Problemen nicht ändern. Beispiel: • Die Domänenrichtlinie verhindert das Ändern von Kennwörtern durch Benutzer. • Bei einer Aggregation mehrerer Farmen muss die erste Farm, die in der Konfiguration aufgelistet ist, MetaFrame XP mit Service Pack 2 oder höher ausführen. • Bei einer Aggregation von MetaFrame Presentation Server für UNIX und MetaFrame Presentation Server für Windows durch eine einzelne Site kann nur das Windows-Kennwort geändert werden. Citrix empfiehlt, in diesen Situationen die Kennwortänderung durch Benutzer zu deaktivieren. Bei Bedarf kann die Kennwortänderung in einer gemischten Serverfarmbereitstellung aktiviert werden. Das Webinterface kontaktiert die Serverfarmen in der definierten Reihenfolge, bis eine Serverfarm meldet, dass das Kennwort ordnungsgemäß geändert wurde. An dieser Stelle wird das Verfahren angehalten. Sie können dann die Serverfarm angeben, an die die Anfrage zum Ändern des Kennworts ausgegeben wird. Verwenden Sie jedoch geeignete Kennwortreplikationsmethoden zwischen den Serverfarmen, um konsistente Benutzerkennwörter sicherzustellen. Wenn die Kennwortänderungsanfrage fehlschlägt, wird sie an die nächste Serverfarm in der Reihenfolge ausgestellt. Konfigurieren von Servereinstellungen Servereinstellungen werden für jede einzelne Serverfarm konfiguriert. Wählen Sie den Task Serverfarmen verwalten aus, um Einstellungen für Serverfarmen anzuzeigen und zu konfigurieren. Mit diesem Task können Sie Serverfarmnamen erstellen und bearbeiten sowie die Reihenfolge festlegen, in der sie für Load Balancing verwendet werden. Sie können auch einzelne Farmeinstellungen konfigurieren, wie beispielsweise XML- und SSL-Serverports und den Transporttyp. Außerdem können Sie Ticketing aktivieren. So fügen Sie Serverfarmen hinzu: 1. Klicken Sie auf den Task Serverfarmen verwalten. 2. Klicken Sie auf Hinzufügen. Klicken Sie im Serverbereich auf Hinzufügen, um einen Servernamen zu erstellen. 56 Webinterface-Administratorhandbuch Gehe zu Document Center 3. Markieren Sie bei der Angabe mehrerer Serverfarmnamen einen Namen in der Liste und klicken Sie auf Nach oben oder Nach unten, um die Namen in der entsprechenden Failover-Reihenfolge zu sortieren. Wenn Sie einen Servernamen ändern möchten, klicken Sie auf Bearbeiten. Wenn Sie einen Servernamen entfernen möchten, markieren Sie den Namen in der Liste und klicken Sie auf Entfernen. 4. Geben Sie in Farmname einen Namen für die Serverfarm ein. 5. Klicken Sie auf OK, um das Hinzufügen der Farm abzuschließen. Konfigurieren der Fehlertoleranz Das Webinterface bietet eine Fehlertoleranz für die Server, auf denen der Citrix XML-Dienst ausgeführt wird. Wenn die Kommunikation mit einem Server unterbrochen wird, wird der ausgefallene Server für eine bestimmte Dauer umgangen. Die Kommunikation wird mit den restlichen Servern in der Liste Server fortgesetzt. Standardmäßig wird ein ausgefallener Server für 1 Stunde umgangen. So konfigurieren Sie die Fehlertoleranz: 1. Klicken Sie auf den Task Serverfarmen verwalten. 2. Wenn Sie eine Farm hinzufügen, klicken Sie auf Hinzufügen. Wenn Sie eine bestehende Farm konfigurieren, klicken Sie auf Bearbeiten. 3. Ordnen Sie die Server in der Liste Server der Priorität nach. Markieren Sie einen Namen in der Liste und klicken Sie auf Nach oben oder Nach unten, um die Server in die gewünschte Reihenfolge zu verschieben. 4. In dem Feld Ausgefallene Server umgehen können Sie die Zeitspanne ändern, die ein ausgefallener Server umgangen wird. Hinweis: Wenn ein Server ausfällt, auf dem der Citrix XML-Dienst ausgeführt wird, versucht das Webinterface erst nach Ablauf der in Ausgefallene Server umgehen angegebenen Dauer mit dem ausgefallenen Server zu kommunizieren. Wenn keiner der Server in der Liste antwortet, versucht das Webinterface alle 10 Sekunden erneut, mit den Servern zu kommunizieren. Aktivieren von Load Balancing zwischen Servern Sie können Load Balancing zwischen Servern aktivieren, auf denen der Citrix XML-Dienst ausgeführt wird. Wenn Sie Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, sodass kein Server überlastet wird. Load Balancing ist standardmäßig aktiviert. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 57 Wenn ein Kommunikationsproblem mit einem Server auftritt, wird die Kommunikationslast zwischen den restlichen Servern in der Liste ausgeglichen. Der ausgefallene Server wird für eine bestimmte Dauer (standardmäßig 1 Stunde) umgangen. Sie können diesen Wert in Ausgefallene Server umgehen ändern. Weitere Informationen finden Sie unter „Konfigurieren der Fehlertoleranz“ auf Seite 56 . So aktivieren Sie Load Balancing: 1. Klicken Sie auf den Task Serverfarmen verwalten. 2. Wenn Sie eine Farm hinzufügen, klicken Sie auf Hinzufügen. Wenn Sie eine bestehende Farm konfigurieren, klicken Sie auf Bearbeiten. 3. Fügen Sie der Liste Server die Server für Load Balancing hinzu. Informationen zum Hinzufügen von Servern finden Sie unter „Konfigurieren von Servereinstellungen“ auf Seite 55. 4. Aktivieren Sie Serverliste für Load Balancing verwenden. 5. In dem Feld Ausgefallene Server umgehen können Sie die Zeitspanne ändern, die ein ausgefallener Server umgangen wird. Konfigurieren von Einstellungen für alle Server Mit dem Task Serverfarmen verwalten können Sie für die Server in der Liste Server den TCP/IP-Port für den Citrix XML-Dienst festlegen sowie das verwendete Protokoll für die Übermittlung von Webinterfacedaten zwischen dem Webserver und dem Server, der MetaFrame Presentation Server ausführt. Der Citrix XML-Dienst ist eine Komponente von MetaFrame, die als Kontaktpunkt zwischen der Serverfarm und dem Webinterface-Server dient. Standardmäßig wird die bei der Erstellung der Site angegebene Portnummer verwendet. Diese Portnummer muss der vom Citrix XML-Dienst verwendeten Portnummer entsprechen. Sie können außerdem die Gültigkeitsdauer für das vom Server erstellte Ticket angeben. Tickets erhöhen die Authentifizierungssicherheit für explizite Anmeldung, da die vom Webserver an die Clientgeräte übermittelten ICA-Dateien keine Anmeldeinformationen der Benutzer enthalten. Jedes Webinterface-Ticket hat standardmäßig eine Gültigkeitsdauer von 200 Sekunden. Sie können die Gültigkeitsdauer ändern, zum Beispiel um sie der Netzwerkleistung anzupassen, da ein Benutzer mit ungültigen Tickets nicht ordnungsgemäß bei der Serverfarm authentifiziert werden kann. Wenn Sie die IPAdresse (bzw. Adressen) eines Servers ändern, der den Citrix XML-Dienst ausführt, funktioniert Ticketing erst nach dem Neustart des Servers. Vergessen Sie nach dem Ändern der IP-Adressen eines Servers nicht, den Computer neu zu starten. 58 Webinterface-Administratorhandbuch Gehe zu Document Center So geben Sie Einstellungen für alle Server an: 1. Klicken Sie auf den Task Serverfarmen verwalten. 2. Wenn Sie eine Farm hinzufügen, klicken Sie auf Hinzufügen. Wenn Sie eine bestehende Farm konfigurieren, klicken Sie auf Bearbeiten. 3. Geben Sie im Bereich Einstellungen für alle Server in Port für XML-Dienst die Portnummer ein. 4. Wählen Sie in der Liste Transporttyp eine der folgenden Optionen aus: • HTTP: Wählen Sie dieses Protokoll für die Übermittlung von Daten über eine HTTP-Standardverbindung. Verwenden Sie diese Option, wenn Sie bereits andere Vorkehrungen zum Sichern dieser Verbindung getroffen haben. • HTTPS: Wählen Sie dieses Protokoll für die Übermittlung von Daten über eine sichere HTTP-Verbindung mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security). Der Citrix XML-Dienst muss den Port für IIS freigegeben haben und IIS muss HTTPS unterstützen. • SSL-Relay: Wählen Sie dieses Protokoll für die Übermittlung von Daten über eine sichere Verbindung, bei der die Hostauthentifizierung und Datenverschlüsselung über das Citrix SSL-Relay erfolgt, das auf einem Server mit MetaFrame Presentation Server ausgeführt wird. 5. Geben Sie bei Verwendung der Option SSL-Relay den TCP-Port des Citrix SSL-Relays in Port für SSL-Server ein (der Standardport ist 443). Das Webinterface authentifiziert einen Citrix SSL-Relay-Server mit Stammzertifikaten. Stellen Sie sicher, dass alle Server, auf denen das Citrix SSL-Relay ausgeführt wird, dieselbe Portnummer abhören. Hinweis: Bei Verwendung von SSL-Relay oder HTTPS müssen die angegebenen Servernamen mit den Namen auf dem Zertifikat des Servers, auf dem MetaFrame ausgeführt wird, übereinstimmen. 6. Wenn Sie Ticketing verwenden möchten, aktivieren Sie die Option Tickets für ICA-Authentifizierung aktivieren. 7. Um die Gültigkeitsdauer von Tickets zu ändern, geben Sie einen Wert in Gültigkeitsdauer von MetaFrame-Tickets ein. 8. Klicken Sie auf OK, um die Änderungen zu bestätigen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 59 Festlegen erweiterter Servereinstellungen Auf der Seite Serverfarmen verwalten können Sie unter Erweitert erweiterte Servereinstellungen vornehmen. Sie können Socketpooling aktivieren, ein Zeitlimit für den Citrix XML-Dienst festlegen und die Anzahl der Versuche vor dem Fehlschlagen des XML-Dienstes angeben. Bei Aktivierung von Socketpooling verwaltet das Webinterface einen Socketpool anstatt Sockets jedes Mal neu zu erstellen. Beim Trennen der Verbindung gibt das Webinterface die Sockets an das Betriebssystem zurück. Das Aktivieren von Socketpooling verbessert die Leistung, besonders für SSL-Verbindungen. Hinweis: In Ausnahmesituationen kann Socketpooling die Stabilität beeinträchtigen und muss deaktiviert werden. Das Deaktivieren von Socketpooling verbessert die Zuverlässigkeit, kann allerdings die Leistung mindern. Socketpooling sollte nicht verwendet werden, wenn das Webinterface so konfiguriert ist, dass MetaFrame für UNIX-Server verwendet werden. So aktivieren Sie Socketpooling und XML-Dienstkommunikation: 1. Wenn Sie Socketpooling verwenden möchten, aktivieren Sie die Option Socketpooling aktivieren. 2. Wenn Sie das Zeitlimit für den Citrix XML-Dienst konfigurieren möchten, geben Sie einen Wert in Sockettimeout ein. 3. Wenn Sie die Anzahl der Versuche vor dem Fehlschlagen des Dienstes festlegen möchten (während dieser Versuche wird der Dienst übergangen), geben Sie einen Wert in Anzahl der Versuche, bevor ein XML-Dienst fehlschlägt ein. 60 Webinterface-Administratorhandbuch Gehe zu Document Center Konfigurieren der Authentifizierung Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server und Program Neighborhood Agent-Dienste. Mit dem Task Authentifizierungsmethoden konfigurieren konfigurieren Sie die Methoden, mit denen Benutzer bei MetaFrame Presentation Server und Program Neighborhood Agent authentifiziert werden können. Authentifizierungsmethoden Eine Authentifizierung erfolgt, wenn ein Benutzer auf Anwendungen zugreift. Nach einer erfolgreichen Authentifizierung wird die Anwendungsgruppe des Benutzers angezeigt. Sie können die folgenden Authentifizierungsmethoden konfigurieren: • Explizit (MetaFrame Presentation Server-Sites) oder Zugriff bestätigen (Program Neighborhood Agent-Dienste-Sites): Benutzer müssen sich bei IIS mit einem Benutzernamen und einem Kennwort anmelden. Zur Authentifizierung können UPN (User Principal Name), domänenbasierte Authentifizierung von Microsoft und NDS (Novell Directory Service) verwendet werden. Für MetaFrame Presentation Server-Sites stehen auch RSA SecurID und SafeWord zur Authentifizierung zur Verfügung. • Passthrough: Benutzer können mit den Anmeldeinformationen authentifiziert werden, die bei der Anmeldung auf IIS am Windows-Desktop eingegeben wurden. Sie müssen diese Angaben nicht erneut eingeben und ihre Anwendungsgruppe wird automatisch angezeigt. Zur Verbindung mit Servern kann außerdem Kerberos-Authentifizierung verwendet werden. Wenn Sie die Kerberos-Authentifizierung festlegen und diese Methode fehlschlägt, schlägt die Passthrough-Authentifizierung ebenfalls fehl und es können sich keine Benutzer anmelden. Weitere Informationen zu Kerberos finden Sie im MetaFrame Presentation Server-Administratorhandbuch. • Passthrough mit Smartcard: Benutzer können bei IIS authentifiziert werden, indem sie eine Smartcard in ein entsprechendes Lesegerät einlegen, das an das Clientgerät angeschlossen ist. Ist die Authentifizierung mit Passthrough aktiviert, wird der Benutzer nicht zur Eingabe einer PIN-Nummer aufgefordert. Wenn Sie eine Program Neighborhood Agent-Dienste-Site konfigurieren, können Sie zur Verbindung mit Servern Kerberos-Authentifizierung verwenden. Wenn Sie die Kerberos-Authentifizierung festlegen und diese Methode fehlschlägt, schlägt die Passthrough-Authentifizierung ebenfalls fehl und es können sich keine Benutzer anmelden. Weitere Informationen zu Kerberos finden Sie im MetaFrame Presentation ServerAdministratorhandbuch. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 61 • Smartcard: Benutzer können sich mit einer Smartcard bei IIS authentifizieren und werden dabei zur Eingabe einer PIN aufgefordert. • Anonym: Benutzer können sich ohne Eingabe von Benutzernamen und Kennwort anmelden und die Anwendungen starten, die auf dem Server für anonyme Benutzer veröffentlicht wurden. Hinweis: Citrix empfiehlt, die Anmeldung für anonyme Benutzer nicht zu aktivieren, wenn Sie MetaFrame 1.8 mit Feature Release 1 verwenden. Ist diese Option in dieser MetaFrame-Version aktiviert, können Benutzer explizit veröffentlichte Anwendungen anzeigen. ACHTUNG: Anonyme Webinterface-Benutzer können Secure GatewayTickets erhalten, obwohl sie nicht beim Webinterface authentifiziert wurden. Da Secure Gateway davon ausgeht, dass das Webinterface nur authentifizierten Benutzern Tickets ausstellt, wird die Sicherheit von Secure Gateway an dieser Stelle gefährdet. Empfehlungen für die Authentifizierung Stellen Sie sicher, dass die Benutzeranmeldung an den Arbeitsstationen und dem Webinterface konsistent erfolgt, entweder explizit (mit einem Benutzernamen und einem Kennwort) oder mit Smartcards, jedoch nicht mit beiden Methoden. Beispiel: Wenn sich Benutzer beim Windows-Desktop mit einer Smartcard anmelden und dann für das Webinterface die explizite Authentifizierung wählen, können die vom Client übergebenen Anmeldeinformationen ggf. falsch sein. In dieser Situation übergibt der Client ggf. die PIN-Nummer und nicht den Benutzernamen und das Kennwort. Wenn Sie die Webinterface-Authentifizierungsmethoden ändern, werden bestehenden Benutzern ggf. Fehlermeldungen angezeigt. Benutzer müssen für den Zugriff auf das Webinterface den Browser beenden und neu öffnen. 62 Webinterface-Administratorhandbuch Gehe zu Document Center Aktivieren der Smartcard-Authentifizierung Smartcards sind Plastikkarten in der Größe einer Kreditkarte, in die ComputerChips eingebettet sind. Smartcards können nur Speicher, Speicher mit Sicherheitslogik oder Speicher mit CPU-Funktionen enthalten. Mit Smartcards kann die Kommunikation über ein Netzwerk gesichert und die Authentifizierung zwischen Clients und Servern ausgeführt werden. Der Benutzer legt die Smartcard in einen Smartcardleser ein, der an das Clientgerät angeschlossen ist, und gibt dann eine PIN-Nummer ein. Ist die Authentifizierungsmethode Smartcard mit Passthrough aktiviert, werden Benutzer aufgefordert, eine PIN-Nummer einzugeben, wenn sie sich am Clientgerät anmelden. Bei allen folgenden Anmeldungen (und beim Starten von Anwendungen) werden sie nicht erneut dazu aufgefordert, die PIN-Nummer einzugeben. Im folgenden Abschnitt werden die Anforderungen für Smartcards und die Schritte erläutert, die für die Aktivierung der Smartcard-Unterstützung erforderlich sind. Ein Konfigurationsbeispiel für Smartcard-Authentifizierung im Webinterface finden Sie unter „Beispiel: Aktivieren der Smartcard-Authentifizierung“ auf Seite 65. Anforderungen für Smartcards Damit die Smartcard-Authentifizierung verwendet werden kann, muss das Webinterface auf IIS ausgeführt werden und Benutzer müssen Internet Explorer (ab Version 5.5) auf einem 32-Bit-Windows-System ausführen. Smartcards werden nicht unter UNIX unterstützt. Auf dem Webserver muss SSL (Secure Sockets Layer) aktiviert sein. Da die Smartcard-Technologie auf SSL aufbaut, muss SSL zwischen dem Browser und dem Webserver verwendet werden. Weitere Informationen hierzu finden Sie in der Webserver-Dokumentation. Wenn Sie die Smartcard-Authentifizierung aktivieren möchten (mit oder ohne anderen Authentifizierungsmethoden), müssen Sie die Seite Anmelden konfigurieren, sodass auf diese nur über HTTPS-Verbindungen zugegriffen werden kann. Bei Verwendung von HTTP oder falsch konfiguriertem HTTPS erhalten Benutzer eine Fehlermeldung und können sich nicht anmelden. Veröffentlichen Sie eine vollständige HTTPS-URL für alle Benutzer, um dieses Problem zu vermeiden, wie beispielsweise: https://www.IhrUnternehmen.com:449/Citrix/MetaFrame. Weitere Informationen zu den Anforderungen des Clientgeräts und des Servers für die Unterstützung von Smartcards finden Sie im Client für 32-Bit-WindowsAdministratorhandbuch und im MetaFrame-Administratorhandbuch. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 63 Schritt 1: Installieren der Vollversion des Clients für Win32 Sie müssen die Vollversion des Clients für Win32 auf den Clientgeräten der Benutzer unter Verwendung eines Administratorkontos installieren. Die Passthrough-Authentifizierungsfunktion ist nur in der Vollversion des Clients für Win32 verfügbar, der sich auf der Komponenten-CD-ROM befindet. Aus Sicherheitsgründen ist diese Funktion in den zum Download angebotenen Clients für Win32 nicht enthalten. Aus diesem Grund können Sie Benutzern mit der webbasierten Clientinstallation keine Clients bereitstellen, die diese Funktion enthalten. Schritt 2: Bearbeiten der Datei Appsrv.ini Wenn Sie die Passthrough-Authentifizierung aktivieren möchten, damit der Benutzer die PIN-Nummer nicht so oft eingeben muss, müssen Sie die Datei Appsrv.ini bearbeiten. Diese Datei ist im Benutzerprofil gespeichert. Wenn ein Benutzerprofil beispielsweise lokal gespeichert ist, befindet es sich unter folgendem Verzeichnispfad: C:\Dokumente und Einstellungen\<Benutzer>\Anwendungsdaten\ICAClient. (Hinweis: Der Ordner „Anwendungsdaten“ ist verborgen.) Fügen Sie im Abschnitt [WFClient] die folgenden Einträge hinzu: EnableSSOnThruICAFile=On SSOnUserSetting=On Hinweis: Das Aktivieren der Authentifizierung mit Passthrough stellt ein Sicherheitsrisiko dar. Weitere Informationen finden Sie unter ACHTUNG unter „Passthrough-Anforderungen“ auf Seite 66. Schritt 3: Aktivieren des Verzeichnisdienst-Zuordnungsprogramms von Windows Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss auf dem Webinterface-Server aktiviert sein. Bei der Webinterface-Authentifizierung werden Windows-Domänenkonten verwendet, d. h. die Anmeldeinformationen (Benutzername und Kennwort). Zertifikate werden jedoch auf Smartcards gespeichert. Das VerzeichnisdienstZuordnungsprogramm verwendet Windows Active Directory, um ein Zertifikat einem Windows-Domänenkonto zuzuordnen. 64 Webinterface-Administratorhandbuch Gehe zu Document Center So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows auf IIS 5.0: 1. Öffnen Sie auf dem Webinterface-Server in der Managementkonsole für MetaFrame Presentation Server die Internet-Informationsdienste. 2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter dem Server, auf dem das Webinterface ausgeführt wird) und klicken Sie auf Eigenschaften. 3. Auf der Registerkarte Internet-Informationsdienste muss der Eintrag WWWDienst im Abschnitt Haupteigenschaften angezeigt sein. Klicken Sie auf Bearbeiten. 4. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit die Option Verzeichnisdienst-Zuordnungsprogramm von Windows aktivieren. 5. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu aktivieren. So aktivieren Sie das Verzeichnisdienst-Zuordnungsprogramm von Windows auf IIS 6.0: 1. Öffnen Sie auf dem Server, auf dem das Webinterface ausgeführt wird, in der Managementkonsole für MetaFrame Presentation Server das Snap-In-Tool für Internet-Informationsdienste. 2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis für Websites (unter dem Server, auf dem das Webinterface ausgeführt wird) und klicken Sie auf Eigenschaften. 3. Aktivieren Sie auf der Registerkarte Verzeichnissicherheit im Abschnitt Sichere Kommunikation die Option Windows-Verzeichnisdienstzuordnung aktivieren. 4. Klicken Sie auf OK, um das Verzeichnisdienst-Zuordnungsprogramm zu aktivieren. Schritt 4: Aktivieren der Smartcard-Authentifizierung mit der Konsole Sie müssen die Smartcard-Authentifizierung im Webinterface (damit Benutzer auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können). Verwenden Sie hierzu den Task Authentifizierungsmethoden konfigurieren. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 65 Beispiel: Aktivieren der Smartcard-Authentifizierung Dieses Beispiel erläutert die nötigen Schritte, damit sich Benutzer mit einer Smartcard beim Webinterface anmelden und Anwendungen starten können. Sie möchten die Smartcard-Authentifizierung für einen Benutzer aktivieren. Der Benutzer verwendet ein Clientgerät unter Windows 2000 mit Service Pack 4. An das Clientgerät ist ein Smartcardleser angeschlossen und auf dem Server ist Smartcard-Unterstützung konfiguriert. Das Webinterface lässt im Augenblick nur explizite Authentifizierung mit Benutzername und Kennwort zu. So aktivieren Sie die Smartcard-Authentifizierung: 1. Installieren Sie die Vollversion des Clients für Win32 von der KomponentenCD-ROM auf dem Clientgerät des Benutzers. Die Installation auf dem Client wird mit einem Administratorkonto ausgeführt. Beantworten Sie die während der Installation des Clients für Win32 angezeigte Meldung „Möchten Sie Ihre lokalen Benutzerinformationen für Citrix Sitzungen mit diesem Client aktivieren und automatisch verwenden?“ mit Ja. 2. Bearbeiten Sie im Benutzerprofil die Datei Appsrv.ini. Sie finden die Datei im Ordner C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ICAClient. Fügen Sie im Abschnitt [WFClient] die folgenden Einträge hinzu: EnableSSOnThruICAFile=On SSOnUserSetting=On 3. Das Verzeichnisdienst-Zuordnungsprogramm von Windows muss aktiviert sein. Weitere Informationen finden Sie unter „Schritt 3: Aktivieren des Verzeichnisdienst-Zuordnungsprogramms von Windows“ auf Seite 63. 4. Aktivieren Sie die Smartcard-Authentifizierung in der Access Suite Console mit dem Task Authentifizierungsmethoden konfigurieren. Wenn der Benutzer auf der Seite Anmelden Smartcard auswählt, ist für die Anmeldung nur die Eingabe der PIN-Nummer erforderlich. Voraussetzung dafür ist, dass seine Anmeldung am Windows-Desktop mit der Smartcard erfolgte. Hinweis: Damit der Benutzer die PIN-Nummer nicht erneut eingeben muss, wenn er sich am Webinterface anmeldet, aktivieren Sie Passthrough mit Smartcard. 66 Webinterface-Administratorhandbuch Gehe zu Document Center Aktivieren der Passthrough-Authentifizierung Für Benutzer, die sich mit ihrem Benutzernamen, ihrem Kennwort und ihrer Domäne an ihrem Desktop anmelden, können Sie unter Verwendung der Konsole Passthrough-Authentifizierung aktivieren. Mit dieser Funktion können Benutzer mit den Anmeldeinformationen authentifiziert werden, die bei der Anmeldung am Windows-Desktop eingegeben wurden. Sie müssen diese Informationen nicht erneut eingeben und ihre Anwendungsgruppe wird automatisch angezeigt. Im folgenden Abschnitt werden die Anforderungen für Passthrough und die Schritte erläutert, die für die Aktivierung der Passthrough-Unterstützung erforderlich sind. Passthrough-Anforderungen Damit Sie die Passthrough-Authentifizierung verwenden können, müssen die Server MetaFrame Presentation Server mit Feature Release 2 oder höher ausführen, das Webinterface muss auf IIS unter Windows 2000 mit Service Pack 4 oder Windows Server 2003 ausgeführt werden und die Benutzer müssen Internet Explorer ab Version 5.5 verwenden. ACHTUNG: Wird auf den Servern eine frühere Version als MetaFrame Presentation Server mit Feature Release 2 ausgeführt, werden für die Benutzer bei aktiviertem Passthrough möglicherweise alle Anwendungen angezeigt. Wenn Benutzer ältere Clientversionen als 6.30 verwenden und die ICAVerschlüsselung (SecureICA) aktiviert ist, funktioniert Passthrough nicht. Damit Sie Passthrough mit ICA-Verschlüsselung verwenden können, müssen die neuesten Clients verwendet werden. Außerdem muss auf dem Server MetaFrame Presentation Server mit Feature Release 2 oder höher ausgeführt werden. ACHTUNG: Wenn ein Benutzer eine Anwendung wählt, wird eine Datei an den Browser übermittelt. Die Datei kann eine Anweisung für den Client enthalten, die Anmeldeinformationen der Benutzer-Arbeitsstationen an den Server zu übermitteln. Der Client ignoriert diese Einstellung standardmäßig. Ist jedoch Passthrough auf dem MetaFrame Presentation Server Client für Win32 aktiviert, könnte ein Angreifer dem Benutzer eine Datei übermitteln, die die Anmeldeinformationen des Benutzers an einen nicht autorisierten oder falschen Server weiterleitet. Verwenden Sie Passthrough daher nur in sicheren, vertrauenswürdigen Umgebungen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 67 Schritt 1: Installieren der Vollversion des Clients für Win32 Sie müssen die Vollversion des Clients für Win32 auf den Clientgeräten der Benutzer unter Verwendung eines Administratorkontos installieren. Passthrough ist nur in dieser Vollversion verfügbar, die sich auf der Komponenten-CD-ROM befindet. Aus Sicherheitsgründen ist diese Funktion in den zum Download angebotenen Clients für Win32 nicht enthalten. Aus diesem Grund können Sie Benutzern mit der webbasierten Clientinstallation keine Clients bereitstellen, die diese Funktion enthalten. Beantworten Sie die während der Installation des Clients für Win32 angezeigte Meldung „Möchten Sie Ihre lokalen Benutzerinformationen für Citrix Sitzungen mit diesem Client aktivieren und automatisch verwenden?“ mit Ja. Die Passthrough-Authentifizierung wird aktiviert. Benutzer des Clientgeräts können diese Funktion erst nutzen, wenn sie aktiviert wurde. Hinweis: Wenn Sie Passthrough nicht während der Installation des Clients für Win32 aktivieren, können Sie dies zu einem späteren Zeitpunkt tun. Weitere Informationen zur Aktivierung finden Sie im Client für 32-Bit-WindowsAdministratorhandbuch. Schritt 2: Bearbeiten der Datei Appsrv.ini Um Passthrough zu aktivieren, müssen Sie außerdem die Datei Appsrv.ini bearbeiten. Diese Datei ist in den Benutzerprofilen gespeichert. Beispiel: Ist ein Benutzerprofil lokal gespeichert, befindet sich die Datei im folgenden Ordner: C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ICAClient. (Hinweis: Der Ordner „Anwendungsdaten“ ist verborgen.) Fügen Sie im Abschnitt [WFClient] die folgenden Einträge hinzu: EnableSSOnThruICAFile=On SSOnUserSetting=On Schritt 3: Aktivieren von Passthrough mit der Konsole Zum Aktivieren der Passthrough-Authentifizierung müssen Sie die Access Suite Console verwenden. Ist diese Funktion aktiviert, müssen Benutzer die Anmeldeinformationen nicht erneut eingeben und die Anwendungsgruppe wird automatisch angezeigt. Aktivieren Sie die Passthrough-Authentifizierung mit dem Task Authentifizierungsmethoden konfigurieren. Sie können für MetaFrame Presentation Server-Sites außerdem Kerberos mit Passthrough-Authentifizierung aktivieren. Für Program Neighborhood Agent-Dienste-Sites können Sie auch Kerberos für Passthrough mit Smartcard-Authentifizierung festlegen. 68 Webinterface-Administratorhandbuch Gehe zu Document Center Aktivieren der Authentifizierungsmethoden „Explizit“ oder „Zugriff bestätigen“ Wenn als Authentifizierung Explizit oder Zugriff bestätigen aktiviert ist, müssen Benutzer über ein Benutzerkonto verfügen und bei der Anmeldung einen Benutzernamen, ein Kennwort und eine Domäne eingeben. Sie können die Einstellungen für die explizite Authentifizierung mit der Konsole ändern. Sie können es Benutzern z. B. ermöglichen, das Anmeldekennwort in einer Sitzung zu ändern. So aktivieren Sie die Authentifizierungsmethoden „Explizit“ oder „Zugriff bestätigen“: 1. Klicken Sie auf den Task Authentifizierungsmethoden konfigurieren. 2. Aktivieren Sie Explizit oder Zugriff bestätigen, damit Benutzer beim Anmelden einen Benutzernamen und ein Kennwort angeben müssen. 3. Wenn Sie eine MetaFrame Presentation Server-Site konfigurieren, können Sie aus der Liste 2-Faktor-Authentifizierung erzwingen entweder RSA SecurID oder SafeWord auswählen. Weitere Informationen zum Konfigurieren der SafeWord-Authentifizierung finden Sie unter „Zwei-Faktor-Authentifizierung“ auf Seite 69. Weitere Informationen zum Konfigurieren der RSA SecurIDAuthentifizierung finden Sie unter „Aktivieren der Authentifizierung mit RSA SecurID 6.0 auf IIS“ auf Seite 71. 4. Wenn Sie eine MetaFrame Presentation Server-Site konfigurieren, legen Sie unter Benutzer können Kennwort ändern fest, ob Benutzer das Anmeldekennwort in einer Webinterface-Sitzung ändern können: • Wählen Sie Nie, wenn Benutzer ihr Kennwort nicht ändern dürfen. • Wählen Sie Nur bei Ablauf, wenn Benutzer das Anmeldekennwort nur ändern können, wenn es abgelaufen ist. Bei Auswahl dieser Option wird dem Benutzer das Dialogfeld zum Ändern des Kennworts angezeigt, wenn die Anmeldung am Webinterface aufgrund eines abgelaufenen Kennworts fehlgeschlagen ist. Nach dem Ändern des Kennworts wird der Benutzer automatisch mit dem neuen Kennwort beim Webinterface angemeldet. • Wählen Sie Immer, wenn Benutzer das Kennwort beliebig oft im Webinterface ändern können. Bei Auswahl dieser Option wird das Symbol zum Ändern des Kennworts auf den Benutzerseiten angezeigt. Wenn Benutzer auf dieses Symbol klicken, können sie im angezeigten Dialogfeld ein neues Kennwort eingeben. Wenn Sie eine Program Neighborhood Agent-Dienste-Site konfigurieren, legen Sie unter Benutzer können Kennwort speichern fest, ob Benutzer das Anmeldekennwort speichern können. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 69 5. Wählen Sie den von expliziten Benutzern verwendeten Authentifizierungstyp: • Wählen Sie Windows oder NIS (UNIX), um die domänenbasierte Authentifizierung von Microsoft festzulegen. Sie können festlegen, ob Sie die Eingabe von beliebigen Domänen im Benutzerfeld Domäne zulassen, oder Sie geben die zulässigen Domänen an. Sie können außerdem die zulässigen Suffixe der UPNs (User Principal Names) festlegen. Standardmäßig sind alle UPN-Suffixe zugelassen. Hinweis: Wenn Benutzer bei der Anmeldung eine Fehlermeldung über falsche Anmeldeinformationen erhalten, kann die Ursache ein leeres Domänenfeld sein. Aktivieren Sie die Option Domänenfeld bei Anmeldung ausblenden, um dieses Problem zu beheben. Bei einer gemischten Farmumgebung fügen Sie UNIX als Domänenname hinzu, der in der Liste Domänen das erste Element sein muss. • Aktivieren Sie NDS, um NDS-Authentifizierung (Novell Directory Services) festzulegen, und geben Sie im Feld Name von Standardstruktur einen Namen ein. Sie können anschließend die Kontexteinschränkung oder kontextlose Authentifizierung konfigurieren. Zwei-Faktor-Authentifizierung Für MetaFrame Presentation Server können Sie die folgenden Zwei-FaktorAuthentifizierungsmethoden konfigurieren: • Secure Computing SafeWord für Citrix: Eine aus zwei Faktoren bestehende Authentifizierungsmethode, bei der mit alphanumerischen Codes, die von SafeWord-Tokens und (optional) PIN-Nummern erzeugt werden, ein Passcode erstellt wird. Benutzer geben die Domäneninformationen und SafeWordPasscodes auf der Seite Anmelden ein und können dann auf Anwendungen auf dem Server zugreifen. • RSA SecurID: Eine aus zwei Faktoren bestehende Authentifizierungsmethode. Hierbei wird ein PASSCODE verwendet, der sich aus von RSA SecurID-Tokens generierten Nummern (Tokencodes) und PIN-Nummern zusammensetzt. Benutzer geben die Benutzernamen, Domänen und RSA SecurIDPASSCODES auf der Seite Anmelden ein und können dann auf Anwendungen auf dem Server zugreifen. Beim Erstellen von Benutzern auf dem ACE/Server müssen die Anmeldenamen mit den Domänenbenutzernamen übereinstimmen. 70 Webinterface-Administratorhandbuch Gehe zu Document Center Hinweis: Wenn Sie RSA SecurID-Authentifizierung verwenden, kann vom System eine neue PIN-Nummer für den Benutzer erstellt und angezeigt werden. Diese PIN-Nummer wird für 10 Sekunden angezeigt oder bis der Bentzer auf OK oder Abbrechen klickt. Dies soll sicherstellen, dass die PIN-Nummer nicht von anderen Personen eingesehen werden kann. Diese Funktion steht nicht für PDAs zur Verfügung. Aus Sicherheitsgründen können sich Benutzer nicht über Program Neighborhood Agent anmelden, wenn das Webinterface RSA SecurID- oder Secure Computing SafeWord-Authentifizierung verwendet. Aktivieren von Secure Computing SafeWord auf IIS Im folgenden Abschnitt wird beschrieben, wie Sie Secure Computing SafeWord aktivieren. Standardmäßig verwendet der SafeWord-Server Port 5031. Diese Einstellung kann aber angepasst werden. Der Webinterface-Server muss nicht zur Active Directory-Domäne gehören, in die SafeWord integriert ist. Anforderungen für SafeWord So verwenden Sie SafeWord-Authentifizierung mit dem Webinterface für IIS: • Der SafeWord Agent für das Webinterface muss auf dem Server installiert werden, auf dem das Webinterface ausgeführt wird. • Das Webinterface muss vor dem SafeWord Agent für das Webinterface installiert werden. Anforderungen für den SafeWord Agent für das Webinterface Wenn Sie das Webinterface für MetaFrame XP Version 2.0 oder früher und SafeWord für Citrix 1.1 verwenden, können Sie ein Upgrade auf das Webinterface für MetaFrame Presentation Server Version 4.0 durchführen. Wenn Sie eine frühere Version des Webinterface verwenden, in die SafeWord nicht integriert ist, müssen Sie eine aktualisierte Version des SafeWord Agents für das Webinterface von Secure Computing anfordern. Informationen zum Konfigurieren von SafeWord finden Sie unter http://www.securecomputing.com. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 71 Aktivieren der SafeWord-Authentifizierung mit der Konsole Sie müssen die SafeWord-Authentifizierung im Webinterface (damit Benutzer auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können). Verwenden Sie hierzu den Task Authentifizierungsmethoden konfigurieren. Aktivieren der Authentifizierung mit RSA SecurID 6.0 auf IIS Im folgenden Abschnitt wird beschrieben, wie Sie RSA SecurID aktivieren. SecurID-Anforderungen So verwenden Sie SecurID-Authentifizierung mit dem Webinterface für IIS: • Der RSA ACE/Agent für Windows 6.0 muss auf dem Server installiert sein, auf dem das Webinterface ausgeführt wird. • Das Webinterface muss nach der Installation von ACE/Agent installiert werden. Hinzufügen des Webinterface-Servers als Agent Host Sie müssen in der RSA ACE/Server-Datenbank einen Agent Host für den Server erstellen, auf dem das Webinterface ausgeführt wird, damit der RSA ACE/Server dessen Authentifizierungsanfragen erkennt und akzeptiert. Wählen Sie beim Erstellen eines Agent Hosts in der Liste Net OS Agent aus. Kopieren der Datei sdconf.rec Suchen Sie die Datei sdconf.rec auf dem RSA ACE/Server und kopieren Sie sie in das Verzeichnis „Windows\System32“ oder „WINNT\System 32“ auf dem Server, auf dem das Webinterface ausgeführt wird. Ist die Datei nicht vorhanden, müssen Sie sie erstellen. Diese Datei enthält die Informationen, die der Webinterface-Server für das Herstellen einer Verbindung zum RSA ACE/Server benötigt. Aktivieren der RSA SecurID-Authentifizierung mit der Konsole Sie müssen die RSA SecurID-Authentifizierung im Webinterface (damit Benutzer auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf dem Server konfigurieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können). Verwenden Sie hierzu den Task Authentifizierungsmethoden konfigurieren. 72 Webinterface-Administratorhandbuch Gehe zu Document Center Überlegungen zum Node Secret-Registrierungsschlüssel Das Node Secret wird verwendet, um eine sichere Kommunikation zwischen dem Webinterface-Server und dem RSA ACE/Server herzustellen. Das Node Secret zwischen den beiden Servern kann in den folgenden Situationen abweichen: • Wenn das Betriebssystem des Webinterface-Servers neu installiert wird. • Wenn der Agent Host-Eintrag für den Server, auf dem das Webinterface ausgeführt wird, gelöscht und erneut hinzugefügt wurde. • Wenn das Kontrollkästchen Sent Node Secret im Dialogfeld Edit Agent Host auf dem RSA-Server deaktiviert ist. • Wenn der RSA Server neu installiert wird. • Wenn der Node Secret-Registrierungsschlüssel auf dem Server, auf dem das Webinterface ausgeführt wird, gelöscht worden ist. Wenn das Node Secret auf dem Webinterface-Server und dem RSA ACE/Server nicht übereinstimmt, schlägt RSA SecurID fehl. Sie müssen das Node Secret auf dem Webinterface-Server und dem RSA ACE/Server zurücksetzen. Wichtig: Eine unsachgemäße Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungseditors zurückzuführen sind, behoben werden können. Verwenden Sie den Registrierungseditor auf eigene Verantwortung. So setzen Sie das Node Secret auf dem Webinterface-Server zurück: 1. Wechseln Sie in der Systemregistrierung zu folgendem Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\ACECLIENT 2. Löschen Sie den Node Secret-Schlüssel. Hinweis: Wenn Sie das Webinterface neu installieren, wird der Node SecretSchlüssel nicht gelöscht. Wenn der Agent Host-Eintrag auf dem RSA-Server nicht geändert wird, kann das Node Secret erneut verwendet werden. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 73 Unterstützung mehrerer Domänen mit RSA SecurID Wenn Sie Benutzerkonten mit identischen Namen in verschiedenen WindowsDomänen haben, müssen Sie diese in der RSA ACE/Server-Datenbank mit einer Standardanmeldung nach folgendem Muster identifizieren: <DOMÄNE>\<Benutzername> (nicht nur <Benutzername>). Außerdem müssen Sie das Webinterface so konfigurieren, dass Domäne und Benutzername an den ACE/Server gesendet werden. Verwenden Sie hierzu den Assistenten für Authentifizierungsmethoden in der Access Suite Console. Aktivieren der RSA SecurID 6.0-Windows-Kennwortintegration Das Webinterface für IIS unterstützt die Windows-Kennwortintegration, die mit RSA SecurID 6.0 erhältlich ist. Wenn diese Funktion aktiviert ist, können sich Webinterface-Benutzer mit ihrem SecurID-PASSCODE anmelden und Anwendungen starten. Benutzer müssen nur bei der ersten Anmeldung am Webinterface einen Windows-PASSCODE eingeben oder wenn ihr Kennwort geändert werden muss. So verwenden Sie SecurID 6.0-Windows-Kennwortintegration mit dem Webinterface für IIS: • Der RSA/ACE/Agent Local Authentication Client für Windows 6.0 muss auf dem Server, auf dem das Webinterface ausgeführt wird, installiert sein (Administratoren müssen sich am Webinterface mit lokalen Administratorrechten anmelden). • Das Webinterface muss nach der Installation von ACE/Agent installiert werden. • Der RSA Authentication Agent Offline Local-Dienst muss auf dem Webinterface-Server ausgeführt werden. • Der Agent Host für den Server in der RSA ACE/Server-Datenbank, auf dem das Webinterface ausgeführt wird, muss für die Aktivierung der WindowsKennwortintegration konfiguriert sein. • Die Datenbanksystemparameter müssen so konfiguriert sein, um die WindowsKennwortintegration auf Systemebene zu ermöglichen Aktivieren der Zwei-Faktor-Authentifizierung für UNIX Die folgenden Abschnitte erläutern, wie Sie Secure Computing SafeWord und RSA SecurID unter UNIX aktivieren. Für JSP-Sites (UNIX) verwendet das Webinterface das RADIUS-Protokoll (Remote Authentication Dial In User Service) und nicht die herstellerspezifische Agentsoftware, die für IIS-Sites installiert sein muss. SafeWord und SecurID können als RADIUS-Server installiert und konfiguriert werden. 74 Webinterface-Administratorhandbuch Gehe zu Document Center Aktivieren von RADIUS mit SafeWord Wählen Sie bei der Installation von SafeWord-Serversoftware den IAS RADIUS Agent. Führen Sie die Anweisungen auf dem Bildschirm für die Installation der RADIUSClients mit dem Windows IAS-Snap-In aus. Für jeden Webinterface-Server, der Benutzer über den SafeWord-Server authentifiziert, muss ein neuer RADIUSClient konfiguriert werden. Jeder RADIUS-Server muss über folgende Informationen verfügen: • Den vollqualifizierten Namen oder die IP-Adresse des Webinterface-Servers, mit dem der Client verknüpft ist. • Einen geheimen Schlüssel, der dem verknüpften Webinterface-Server bekannt ist. Weitere Informationen finden Sie unter „Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS“ auf Seite 75. • Der Clienttyp sollte auf RADIUS standard gesetzt sein. • Die Option Request must contain the Message Authenticator attribute muss aktiviert sein, um zusätzliche Sicherheit zu bieten. Aktivieren von RADIUS mit RSA SecurID RADIUS wird auf dem ACE/Server mit dem SecurID 6.0 Configuration Mnagement Tool aktiviert. Weitere Informationen über dieses Tool finden Sie in der mitgelieferten RSA-Dokumentation der SecurID-Software. Hinzufügen der Webinterface- und RADIUS-Server als Agent Hosts Wenn Sie den ACE/Server, der Benutzer authentifiziert, auch als RADIUS-Server verwenden möchten, müssen Sie einen Agent Host für den lokalen RADIUS-Server erstellen, der in der RSA ACE/Server-Datenbank ausgeführt wird. Geben Sie bei der Erstellung des Agent Hosts als Namen und IP-Adresse die Daten des lokalen Servers an und wählen Sie in der Liste Agent type die Option Net OS Agent aus. Der lokale Server muss als der aktive Server eingerichtet werden. Zusätzlich müssen Sie in der RSA ACE/Server-Datenbank einen Agent Host für jeden Server erstellen, auf dem das Webinterface ausgeführt wird, damit der RSA ACE/Server dessen Authentifizierungsanfragen über den RADIUS-Server erkennt und akzeptiert. Wählen Sie bei der Erstellung dieses Agent Hosts in der Liste Agent type die Option Communication Server und geben Sie als Verschlüsselungsschlüssel den geheimen Schlüssel ein, der mit dem Webinterface gemeinsam verwendet wird. Weitere Informationen finden Sie unter „Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS“ auf Seite 75. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 75 Erstellen eines gemeinsamen geheimen Schlüssels für RADIUS Für das RADIUS-Protokoll ist ein gemeinsamer geheimer Schlüssel erforderlich. Dieser Schlüssel ist dem RADIUS-Client (d. h. dem Webinterface) und dem RADIUS-Server, bei dem sich der Client authentifiziert, bekannt. Das Webinterface speichert diesen geheimen Schlüssel in einer Textdatei im lokalen Dateisystem. Der Speicherort für diese Datei wird in der auf dem UNIX-Server gespeicherten Datei web.xml im Parameter radius_secret_path angegeben. Um den gemeinsamen geheimen Schlüssel zu erstellen, erstellen Sie die Textdatei radius_secret.txt, die eine beliebige Zeichenfolge enthält. Verschieben Sie die Textdatei in den in der Datei web.xml angegebenen Speicherort und stellen Sie sicher, dass sie gesperrt ist und nur Benutzer oder Prozesse mit entsprechenden Berechtigungen darauf zugreifen können. Aktivieren der RADIUS-Zwei-Faktor-Authentifizierung mit der Konsole Sie müssen die Zwei-Faktor-Authentifizierung im Webinterface (damit Benutzer auf das Webinterface zugreifen und Anwendungsgruppen anzeigen können) und auf dem Server aktivieren (damit Benutzer mit dem Webinterface Anwendungen in einer Clientsitzung starten können). Verwenden Sie hierzu den Task Authentifizierungsmethoden konfigurieren in der Access Suite Console. Für JSP-Sites (UNIX) können Sie zusätzlich zum Aktivieren der Zwei-FaktorAuthentifizierung eine oder mehrere RADIUS-Serveradressen (optional auch Ports), Load Balancing und Failover-Verhalten der Server sowie ein Zeitlimit für die Antwort angeben. Verwenden des RADIUS-Challengemodus Der SecurID-RADIUS-Server ist standardmäßig im RADIUS-Challengemodus. In diesem Modus gilt für Meldungen Folgendes: • Das Webinterface zeigt eine generische Challengeseite an, zusammen mit einer Meldung, einem Feld für ein HTML-Kennwort sowie den Schaltflächen OK und Abbrechen. • Challengemeldungen werden vom Webinterface nicht lokalisiert; sie werden in der Sprache angezeigt, die auf dem SecurID-RADIUS-Server für Challengemeldungen eingestellt ist. Übermitteln Benutzer keine Antwort (zum Beispiel wenn sie auf Abbrechen klicken), werden sie zur Seite Anmelden zurückgeleitet. Citrix empfiehlt, diesen Modus nur zu verwenden, wenn auch andere Softwarekomponenten oder -produkte als das Webinterface den RADIUS-Server zur Authentifizierung verwenden. 76 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden von benutzerdefinierten Challengemeldungen Sie können für den SecurID-RADIUS-Server benutzerdefinierte Challengemeldungen erstellen. Wenn Sie benutzerdefinierte Meldungen verwenden, die dem Webinterface bekannt sind, können dem Benutzer identische Seiten wie im Webinterface für IIS angezeigt werden. Diese Seiten können lokalisiert werden. Diese Funktion erfordert Änderungen an der RADIUS-Serverkonfiguration. Implementieren Sie sie nur dann, wenn der RADIUS-Server ausschließlich zur Authentifizierung von Webinterface-Benutzern dient. Zum Ändern von Challengemeldungen starten Sie das RSA RADIUS-Konfigurationsprogramm. Weitere Informationen zum Verwenden dieses Tools finden Sie in der mitgelieferten RSA-Dokumentation der SecurID-Software. Wenn Sie Benutzern beim Zugriff auf Sites auf IIS- und UNIX-Servern dieselben Meldungen anzeigen möchten, müssen die folgenden Challenges aktualisiert werden: Meldung Paket Aktualisierter Wert Does User Want a System PIN Challenge CHANGE_PIN_EITHER Is User Ready To Get System PIN Challenge SYSTEM_PIN_READY Is User Satisfied With System PIN Challenge CHANGE_PIN_SYSTEM_[%s] New Numeric PIN of Fixed Length Challenge CHANGE_PIN_USER New Alphanumeric PIN of Fixed Length Challenge CHANGE_PIN_USER New Numeric PIN of Variable Length Challenge CHANGE_PIN_USER New Alphanumeric PIN of Variable Length Challenge CHANGE_PIN_USER New PIN Accepted Challenge SUCCESS Enter Yes or No Challenge FAILURE Next Token Code Required Challenge NEXT_TOKENCODE Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 77 Ändern von Sitzungsoptionen Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood Agent-Dienste. Mit dem Task Sitzungsoptionen ändern können Sie die folgenden Einstellungen für Benutzersitzungen ändern: • Fenstergrößen: Mit diesen Optionen wählen Sie die für ICA-Sitzungen verfügbaren Fenstergrößen aus und geben benutzerdefinierte Größen in Pixeln oder Prozentwerten der Bildschirmgröße an. • Farbe: Die in diesem Bereich aktivierten Optionen stehen dem Benutzer zur Auswahl zur Verfügung. • Windows-Tastenkombinationen: Mit diesen Optionen aktivieren Sie die Ziele der Windows-Tastenkombinationen, die Benutzer auswählen können. Die Windows-Tastenkombinationen betreffen keine Seamlessverbindungen. Für die folgenden Modi können Sie Optionen für die Verbindungseinstellungen der Benutzer bereitstellen: • Auf lokalem Desktop: Tastenkombinationen gelten nur für den lokalen Desktop. Sie werden nicht an die ICA-Sitzungen übergeben. • Auf Remotedesktop: Tastenkombinationen gelten für den Remotedesktop in der ICA-Sitzung. • Nur auf Desktops im Vollbildmodus: Tastenkombinationen gelten für den Remotedesktop in der ICA-Sitzung nur im Vollbildmodus. • Audio: Die in diesem Bereich aktivierten Optionen stehen dem Benutzer zur Auswahl zur Verfügung. • Workspace Control: Mit diesen Optionen können Sie Workspace ControlEinstellungen konfigurieren. Weitere Informationen zu Workspace Control finden Sie unter „Konfigurieren von Workspace Control“ auf Seite 99. 78 Webinterface-Administratorhandbuch Gehe zu Document Center Verwalten von Anwendungsverknüpfungen Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood Agent-Dienste. Mit dem Task Anwendungsverknüpfungen verwalten können Sie festlegen, wie Program Neighborhood Agent Verknüpfungen für veröffentlichte Anwendungen anzeigt. Sie können die folgenden Verknüpfungstypen erstellen: • Startmenüverknüpfungen: Sie können die auf der Seite Anwendungsverknüpfungen verwalten angegebenen Einstellungen verwenden. Sie können auch die Einstellungen verwenden, die bei der MetaFrame Presentation ServerAnwendungsveröffentlichung festgelegt wurden. Außerdem ist es möglich, eine Kombination beider Einstellungen zu verwenden. Zusätzlich können Sie definieren, ob und wie Verknüpfungen im Startmenü angezeigt werden, und das Ändern dieser Einstellung durch Benutzer zulassen. Sie können auch Verknüpfungen im Menü Programme sowie zusätzliche Untermenüs erstellen und/oder das Festlegen von Namen für Untermenüs durch Benutzer zulassen. • Desktop: Sie können die auf der Seite Anwendungsverknüpfungen verwalten angegebenen Einstellungen verwenden. Sie können auch die Einstellungen verwenden, die bei der MetaFrame Presentation ServerAnwendungsveröffentlichung festgelegt wurden. Außerdem ist es möglich, eine Kombination beider Einstellungen zu verwenden. Zusätzlich können Sie definieren, ob und wie Verknüpfungen auf dem Desktop angezeigt werden, und das Ändern dieser Einstellung durch Benutzer zulassen. Sie können darüber hinaus einen benutzerdefinierten Ordnernamen verwenden, das Auswählen eines Namens durch Benutzer zulassen und/oder eine benutzerdefinierte URL für Symbole verwenden. • Infobereich: Sie können Anwendungen im Infobereich anzeigen und/oder zulassen, dass Benutzer festlegen, wie Anwendungen angezeigt werden. Auch das Entfernen von Verknüpfungen wird über den Task Anwendungsverknüpfungen verwalten ausgeführt. Sie können festlegen, zu welchem Zeitpunkt Verknüpfungen entfernt werden (beim Beenden von Program Neighborhood Agent oder beim Abmelden der Benutzer von Program Neighborhood Agent) und welche Verknüpfungen entfernt werden (nur Program NeighborhoodVerknüpfungen oder auch vom Benutzer erstellte Verknüpfungen). Wenn Program Neighborhood-Verknüpfungen und die vom Benutzer erstellten Verknüpfungen entfernt werden, können Sie zur Verbesserung der Leistung die Ordnersuchtiefe bestimmen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 79 Verwalten von Servereinstellungen Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood Agent-Dienste. Mit dem Task Servereinstellungen verwalten aktivieren Sie folgende Einstellungen: • SSL/TLS für Kommunikation zwischen Clients und dieser Site verwenden: Anmeldung mit Smartcard und sichere SSL/TLS-Kommunikation zwischen Client und Webinterface-Server sind standardmäßig nicht aktiviert. Sie können die SSL/TLS-Kommunikation auf dieser Seite aktivieren und URLs zwingen, das HTTPS-Protokoll automatisch anzuwenden. Sie müssen außerdem auf dem Server, auf dem MetaFrame Presentation Server ausgeführt wird, SSL aktivieren. • Benutzer können die Server-URL anpassen: Die Server-URL verweist für Program Neighborhood Agent auf die korrekte Konfigurationsdatei. Der Standardpfad wird auf der Grundlage der Serveradresse bestimmt, die vom Benutzer bei der Installation des Agent eingegeben wurde. Sie können die Änderung der Server-URL durch Benutzer zulassen. Dadurch wird im Dialogfeld Eigenschaften auf der Registerkarte Server die Option Server-URL aktiviert. • Automatische Aktualisierung: Legen Sie fest, wie häufig der Client seine Konfigurationseinstellungen aktualisiert. • Konfigurationsumleitung: Legen Sie den Zeitpunkt fest, zu dem Benutzer an einen anderen Server weitergeleitet werden: beim Herstellen der Verbindung oder einer geplanten Clientaktualisierung. Anpassen der Darstellung für Benutzer Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server und Conferencing Manager-Gastteilnehmer Sie können die Darstellung der Benutzeroberfläche anpassen, wenn die Site beispielsweise entsprechend den Unternehmensstandards gestaltet werden soll. 80 Webinterface-Administratorhandbuch Gehe zu Document Center Mit dem Task Darstellung für Benutzer anpassen können Sie folgende Elemente anpassen: • Gesamtlayout: Legen Sie ein benutzerdefiniertes allgemeines Bildschirmlayout fest oder lassen Sie die Anpassung durch Benutzer zu. Sie können als Layout eine automatische, kompakte oder volle Anzeige auswählen. Für Benutzer, die auf ihre Anwendungen auf einem PDA zugreifen, kann z. B. eine kompakte Benutzeroberfläche sinnvoll sein. Diese Oberfläche enthält keinen Willkommens- und Message Center-Bereich und zeigt keine Clientinstallationsoptionen an. Außerdem werden Meldungen über der Hauptseite angezeigt. • Branding: Gestalten Sie die Benutzeransicht ganz individuell, indem Sie Kopfund Fußzeilen, Brandingfarben, Kopfzeilenbilder und Logos anzeigen. Sie können außerdem einen Hyperlink für Logos erstellen. • Anwendungsfenster: Legen Sie Farbe, Textfarbe und Bilder der Titelleiste und die Anzahl der Spalten mit Anwendungssymbolen fest und lassen Sie Änderungen an diesen Einstellungen durch Benutzer zu. • Willkommensbereich: Legen Sie Hintergrundfarbe und Textfarbe für die Titelleiste, Sprache und Text der Willkommensmeldung und ggf. weitere Sprachen fest. Die Grafiken auf diesen Optionsseiten werden während der Änderung aktualisiert und auf der Hauptseite Darstellung für Benutzer anpassen übernommen. Verwalten des sicheren Clientzugriffs Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server und MetaFrame Conferencing Manager. Wenn Sie in der MetaFrame Presentation Server-Bereitstellung eine Firewall oder Secure Gateway verwenden, können Sie mit dem Task Sicheren Clientzugriff verwalten die entsprechenden Einstellungen im Webinterface konfigurieren. Sie können das Webinterface beispielsweise zum Bereitstellen einer alternativen Adresse konfigurieren, wenn der Server mit einer alternativen Adresse und die Firewall für die Netzwerkadressübersetzung konfiguriert ist. In diesem Abschnitt wird erläutert, wie Sie mit dem Task Sicheren Clientzugriff verwalten DMZ- und Secure Gateway-Einstellungen konfigurieren, Adressübersetzungen bearbeiten und die Einstellungen im Detailbereich anzeigen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 81 Bearbeiten der DMZ-Einstellungen Mit dem Task DMZ-Einstellungen bearbeiten können Sie Clientadressen, Masken und Zugriffsmethoden konfigurieren. Die Reihenfolge der angewendeten Regeln entspricht der angezeigten Eintragsreihenfolge der Clientadressentabellen. Zum Beispiel wird zuerst die für alle Clientcomputer angegebene Zugriffsmethode festgelegt. Die weitere Reihenfolge richtet sich dann nach den Regeln in der Tabelle. So fügen Sie eine Clientroute hinzu oder bearbeiten sie: 1. Klicken Sie im Dialogfeld DMZ-Einstellungen bearbeiten auf Hinzufügen, um eine neue Clientroute hinzuzufügen, oder auf Bearbeiten, um eine vorhandene Route zu bearbeiten. 2. Geben Sie die Netzwerkadresse und die Subnetzmaske des Clientnetzwerkes ein. 3. Wählen Sie eine der folgenden Zugriffsmethoden aus: • Direkt: Die eigentliche IP-Adresse des Servers wird an den Client übergeben. Dies ist die Standardeinstellung. • Alternative Adresse: Die alternative Adresse wird an den Client übergeben. Der Server muss mit einer alternativen Adresse und die Firewall muss für die Netzwerkadressübersetzung konfiguriert sein. • Übersetzt: Die an den Client übergebene Adresse wird durch die im Webinterface festgelegten Zuordnungen für die Adressübersetzung festgelegt. • Secure Gateway: direkt • Secure Gateway: alternative Adresse • Secure Gateway: übersetzte Adresse 4. Klicken Sie auf OK, um die Änderungen abzuschließen. 82 Webinterface-Administratorhandbuch Gehe zu Document Center Bearbeiten der Secure Gateway-Einstellungen Wenn Sie Secure Gateway mit MetaFrame Presentation Server verwenden, müssen Sie das Webinterface für die Unterstützung von Secure Gateway konfigurieren. Verwenden Sie hierzu den Task Secure Gateway-Einstellungen bearbeiten. Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten Clients und Servern. Die Datenübertragungen über das Internet zwischen den Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt. Benutzer können remote auf Informationen zugreifen, ohne die Sicherheit zu gefährden. Secure Gateway vereinfacht auch die Zertifikatverwaltung, da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt. Secure Gateway verschlüsselt und authentifiziert alle Verbindungen transparent, um Abhören und Datenmanipulation zu verhindern. • Secure Gateway stellt Remotebenutzern und Telearbeitern eine einfache, preisgünstige und sichere Methode für den sicheren und benutzerfreundlichen Zugriff auf Serverfarmen über das Internet bereit. • Secure Gateway stellt mit bestehenden Citrix Technologien und der vorhandenen Sicherheitsinfrastruktur eine clientspezifische Sicherheitsschicht bereit, mit der die Kommunikation zwischen Citrix Clients und Servern im Netzwerk gesichert wird. • Secure Gateway stellt zusammen mit dem Webinterface einen einzelnen, sicheren und verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit. Büromitarbeiter können von jedem weltweiten Standort, von jedem Gerät und zu jeder Zeit remote auf Unternehmensinformationen zugreifen, ohne die Netzwerksicherheit zu gefährden. Mit Secure Gateway-Ticketing (STA) wird Secure Gateway darüber informiert, dass ein Benutzer authentifiziert wurde und auf die Serverfarm zugreifen kann. Tickets werden vom Secure Ticket Authority-Server erstellt und verifiziert. Wenn ein Benutzer eine Anwendung auswählt, übermittelt das Webinterface die Adresse des Servers, auf dem die Anwendung ausgeführt wird, an die Secure Ticket Authority und erhält ein Ticket. Secure Gateway tauscht dieses Ticket später gegen die Adresse des Servers ein. Tickets erhöhen die Sicherheit, da interne Netzwerkadressen der Server verborgen sind. Ein Konfigurationsbeispiel für die Secure Gateway-Unterstützung finden Sie unter „Bearbeiten von Adressübersetzungen“ auf Seite 84. Weitere Informationen zu Secure Gateway finden Sie im Secure Gateway für MetaFrameAdministratorhandbuch. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 83 So bearbeiten Sie Secure Gateway-Einstellungen: 1. Geben Sie im Dialogfeld Secure Gateway-Einstellungen bearbeiten im Feld Secure Gateway-Adresse (FQDN) den vollqualifizierten Domänennamen (FQDN) des Secure Gateway-Servers an, den Clients verwenden müssen. Diese Eingabe muss mit dem Wert auf dem Zertifikat übereinstimmen, das auf dem Secure Gateway-Server installiert ist. 2. Geben Sie im Feld Secure Gateway-Port die Portnummer auf dem Secure Gateway-Server an, den Clients verwenden müssen. Der Standardport ist 443. 3. Wenn Sie Sitzungszuverlässigkeit aktivieren möchten, wählen Sie die Option Sitzungszuverlässigkeit über Secure Gateway 3.0 aktivieren aus. 4. Klicken Sie im Bereich Secure Ticket Authorities auf Hinzufügen, um die URL einer Secure Ticket Authority hinzuzufügen, die das Webinterface verwenden kann. Die Secure Ticket Authority wird in der Liste Secure Ticket Authority-URLs angezeigt. Secure Ticket Authorities gehören zum XMLDienst, zum Beispiel in http://mfsrv01/Scripts/CtxSta.dll. Sie werden im Allgemeinen für die Fehlertoleranz verwendet. Citrix rät davon ab, für diesen Zweck ein externes Lastausgleichsprogramm zu verwenden. Sie können in dieser Liste maximal 256 Secure Ticket Authorities angeben. 5. Wenn Sie die Secure Ticket Authorities der Priorität nach ordnen möchten, markieren Sie eine Secure Ticket Authority-URL und klicken Sie auf Nach oben oder Nach unten. Wenn Sie eine Secure Ticket Authority-URL entfernen möchten, markieren Sie den Eintrag in der Liste und klicken Sie auf Entfernen. 6. Aktivieren Sie ggf. mit der Option Für Load Balancing verwenden Load Balancing zwischen den Secure Ticket Authorities. Wenn Sie Load Balancing aktivieren, werden die Verbindungen gleichmäßig auf die Server verteilt, sodass kein Server überlastet wird. Wenn ein Kommunikationsproblem mit einem Server auftritt, wird die Kommunikationslast zwischen den restlichen Servern in der Liste ausgeglichen. 7. Das Webinterface bietet Fehlertoleranz für die in der Secure Ticket AuthorityListe enthaltenen Server. Wenn bei der Kommunikation mit einem Server ein Fehler auftritt, wird der ausgefallene Server für die Dauer umgangen, die im Feld Ausgefallene Server umgehen festgelegt ist. 8. Klicken Sie auf OK, um die Änderungen abzuschließen. 84 Webinterface-Administratorhandbuch Gehe zu Document Center Bearbeiten von Adressübersetzungen Mit dem Task Adressübersetzungen bearbeiten können Sie die Serveradresse der Adresse und dem Port zuordnen, die von der internen Firewall übersetzt wurden. Benutzer können Anwendungen starten, wenn Adresse und Port des Servers an der internen Firewall übersetzt werden. Sie können mit dem Webinterface Zuordnungen von internen IP-Adressen zu externen IP-Adressen und Ports definieren. Wenn der Server beispielsweise nicht mit einer alternativen Adresse konfiguriert ist, kann das Webinterface zum Bereitstellen einer alternativen Adresse konfiguriert werden. So konfigurieren Sie die interne Firewalladressübersetzung: 1. Klicken Sie auf der Seite Adressübersetzungen bearbeiten auf Hinzufügen, um eine Adressübersetzung hinzuzufügen, oder auf Bearbeiten, um eine vorhandene Adressübersetzung zu bearbeiten. 2. Wählen Sie im Bereich Zugriffstyp eine der folgenden Optionen aus: Clientrouteübersetzung, Secure Gateway-Route-Übersetzung oder Beide Zugriffstypen. 3. Geben Sie im Feld Interne IP-Adresse die normale (interne) IP-Adresse des Servers ein. 4. Geben Sie im Feld Interner Port die Portnummer des Servers ein. 5. Geben Sie in Externe Adresse die übersetzte (externe) IP-Adresse oder den Hostnamen ein, über die bzw. den Clients eine Verbindung zum Server herstellen müssen. 6. Geben Sie in Externer Port die Portnummer des Servers ein. 7. Klicken Sie auf OK. Die Zuordnung wird in der Tabelle mit Adressübersetzungen angezeigt. 8. Wenn Sie eine Zuordnung entfernen möchten, markieren Sie die Zuordnung in der Tabelle mit Adressübersetzungen und klicken Sie dann auf Entfernen. Anzeigen der sicheren Clientzugriffseinstellungen Sie können mit dem Task Einstellungen anzeigen alle Einstellungen für den sicheren Clientzugriff anzeigen, die zurzeit für die Site konfiguriert sind. Mit dem Dropdownmenü Ansicht zeigen Sie die verschiedenen Konfigurationen für den jeweiligen sicheren Clientzugriffstask an. Durch Klicken auf den angezeigten Link können Sie die Seiten laden, die mit dem Task verknüpft sind. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 85 Verwalten der Clientbereitstellung Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server und MetaFrame Conferencing Manager-Gastteilnehmer. Für den Zugriff auf Anwendungen oder zum Anmelden bei Konferenzen benötigen Benutzer einen unterstützten Webbrowser und einen MetaFrame Presentation Server Client oder Software für Remotedesktopverbindungen. Geben Sie mit dem Task Clientbereitstellung verwalten an, welche Clients bereitgestellt werden. Nur mit den hier angegebenen Clients können Benutzer Anwendungen starten. Die folgenden Optionen stehen zur Verfügung: • Konfigurieren der webbasierten Clientinstallation: Mit dieser Funktion können die entsprechenden Clients auf den Benutzergeräten mit Installationsmeldungen schnell bereitgestellt werden. Installationsmeldungen sind Links, die Benutzern angezeigt werden, die einen Client benötigen. Benutzer klicken zur Installation des Clients auf dem Clientgerät auf einen solchen Link. • Konfigurieren des Webinterface für die automatische Bereitstellung der kleineren Webclient-Installation oder der Vollversion des Clients für Win32 für Windows-Benutzer, die über Internet Explorer auf Anwendungen zugreifen. • Konfigurieren des Webinterface zum Bereitstellen der Software für Remotedesktopverbindungen. • Einrichten, dass Benutzer entscheiden können, wie Anwendungen gestartet werden. • Festlegen der in der Bereitstellung des Java-Clients enthaltenen Komponenten oder Zulassen, dass Benutzer die gewünschten Komponenten auswählen können. Clienteinstellungen Die folgenden Clients stehen zum Starten von Anwendungen zur Verfügung: • Lokaler Client: Die Vollversion des Clients (einschließlich der SeamlessFenster-Unterstützung) wird automatisch für Benutzer bereitgestellt. Anwendungen werden in Desktop-Fenstern gestartet, deren Größe geändert werden kann. Wenn Benutzer über einen PDA auf Anwendungen zugreifen, müssen Sie den lokalen Client aktivieren. • Nativer eingebetteter Client (ActiveX oder Netscape-Plug-In): Benutzer downloaden und installieren diesen Client, wenn Anwendungen gestartet werden. Seamless-Fenster werden nicht unterstützt und die Anwendungen werden in einem Fenster mit fester Größe gestartet. 86 Webinterface-Administratorhandbuch Gehe zu Document Center • Client für Java: Der Client für Java wird automatisch für Benutzer bereitgestellt. Dieser Client unterstützt Seamless-Fenster und Anwendungen werden in Desktop-Fenstern gestartet, deren Größe geändert werden kann. • Eingebettete Remotedesktopverbindung: Die Software für Remotedesktopverbindungen wird automatisch für Benutzer bereitgestellt. Seamless-Fenster werden nicht unterstützt und die Anwendungen werden in einem Fenster mit fester Größe gestartet. Sie müssen einen Standardclient angeben. Wählen Sie dazu einen Client aus und klicken Sie im Assistenten Clientbereitstellung verwalten auf die Schaltfläche Als Standard definieren. Hinweis: Der native eingebettete Client und die eingebettete Software für die Remotedesktopverbindung werden auf Personal Digital Assistants (PDAs) unter Pocket PC nicht unterstützt. Anforderungen für Remotedesktopverbindungen Diese Funktion ist auf 32-Bit-Windows-Systemen mit Internet Explorer ab Version 5.5 verfügbar. Wenn Sie eine MetaFrame Conferencing Manager-Gastteilnehmersite konfigurieren und Benutzer für die Verbindung eine Remotedesktopsoftware verwenden, müssen Sie sicherstellen, dass Konferenzen mit einer Farbtiefe von höchstens 256 erstellt werden. Andernfalls können diese Benutzer sich nicht anmelden und erhalten eine Fehlermeldung. Wird die Webinterface-Site vom Browser des Clients nicht im Intranet oder der Zone Vertrauenswürdige Sites abgelegt, wird eine Fehlermeldung angezeigt und der Benutzer wird auf die Informationen in der Onlinehilfe verwiesen. In diesem Fall wird die folgende Vorgehensweise empfohlen. So fügen Sie den Webinterface-Server der Zone „Vertrauenswürdige Sites“ hinzu: 1. Öffnen Sie im Internet Explorer das Menü Extras. 2. Wählen Sie Internetoptionen. 3. Öffnen Sie die Registerkarte Sicherheit. 4. Klicken Sie auf Vertrauenswürdige Sites. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 87 5. Klicken Sie auf Sites. 6. Geben Sie in Diese Website zur Zone hinzufügen den Namen des Webinterface-Servers (z. B. http://Servername) ein. 7. Klicken Sie auf Hinzufügen, um den Server der Liste Websites hinzuzufügen. 8. Klicken Sie zweimal auf OK, um das Dialogfeld Internetoptionen zu schließen. Automatisches Bereitstellen von Clients Sie können den Client für Java automatisch bereitstellen, wenn Benutzer beispielsweise den lokalen Client nicht auf ihrem Computer installiert haben. So aktivieren Sie den automatischen Fallback auf den Client für Java: 1. Wählen Sie im Assistenten Clientbereitstellung verwalten die Option Lokaler Client und/oder Nativer eingebetteter Client aus. 2. Wählen Sie Client für Java und klicken Sie auf Weiter. 3. Wählen Sie auf der Seite Clienteinstellungen angeben die Option Automatisches Fallback auf Client für Java aus. 4. Setzen Sie den Assistenten fort und klicken Sie schließlich auf Fertig stellen, um die Änderungen zu übernehmen. Hinweis: Der Client für Java muss für Benutzer bereitgestellt werden, die mit einem Safari-Webbrowser eine Verbindung herstellen. Sie können den Webclient außerdem automatisch für Benutzer bereitstellen, die Internet Explorer ausführen. Wenn diese Funktion aktiviert ist und Benutzer auf das Webinterface zugreifen, werden das Clientgerät und der Webbrowser der Benutzer erkannt. Wenn die Benutzer unter Windows arbeiten und kein Client installiert bzw. der installierte Client nicht aktuell ist, versucht das Webinterface den angegebenen Client auf dem Clientgerät der Benutzer automatisch zu installieren. Benutzer installieren den Client, indem Sie in der angezeigten Meldung auf Ja klicken. Sie können die minimale Webclient-Installationsdatei (wficac.cab) bereitstellen. Dieser Client installiert nicht alle Komponenten (z. B. Program Neighborhood) und ist daher kleiner und einfacher zu downloaden und evtl. für Benutzer mit Verbindungen mit niedriger Bandbreite geeignet. Die folgenden Funktionen sind mit dem minimalen Webclient nicht verfügbar: 88 Webinterface-Administratorhandbuch • SecureICA (RC5)-Verschlüsselung • Universeller Druckertreiber • SpeedScreen-Latenzreduktion • Clientaudiozuordnung • Radmausunterstützung • Unterstützung mehrerer Monitore • Benutzer-zu-Benutzer-Spiegelung • Inhaltsumleitung • Unterstützung von Novell Directory Services • Erweiterte Parameterübertragung • Zuordnung von Client-COM-Ports • Verschieben und Skalieren • Zeitzonenunterstützung pro Benutzer • Unterstützung anderer Protokolle als TCP/IP • Single Sign-On Gehe zu Document Center Weitere Informationen zu den in den Webclients verfügbaren Funktionen finden Sie im Client für 32-Bit-Windows-Administratorhandbuch. Wenn Sie die Downloadoption für den Webclient aktivieren möchten, wählen Sie im Task Clientbereitstellung verwalten die Option Webclient automatisch bei Anmeldung aktualisieren aus. Hinweis: Für die automatische Installation des Webclients auf WindowsArbeitsstationen muss der Benutzer über Administratorrechte auf dem Clientgerät verfügen oder das ActiveX-Steuerelement muss in ActiveDirectory registriert sein. Weitere Informationen finden Sie auf der Microsoft Support-Website. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 89 Konfigurieren von Installationsmeldungen Sie können die entsprechenden Clients auf den Geräten der Benutzer bereitstellen und installieren. Wenn Sie den lokalen oder den Client für Java bereitstellen, erkennt das Webinterface das Clientgerät und den Webbrowser des Benutzers und zeigt ggf. einen Link zum Download der entsprechenden Clientinstallationsdatei an. Der Benutzer klickt auf diesen Link, um den Client auf seinem Clientgerät zu installieren. Diese Links werden Installationsmeldungen genannt. Beispiel: Die Abbildung zeigt eine Beispielinstallationsmeldung, die auf der Benutzeranmeldeseite möglicherweise angezeigt wird. Hinweis: Für das Verwenden der webbasierten Clientinstallation müssen die Installationsdateien auf dem Webserver gespeichert sein. Weitere Informationen zur webbasierten Clientinstallation finden Sie unter „MetaFrame Presentation Server Clients und das Webinterface“ auf Seite 125. Sie können eine der folgenden Einstellungen verwenden: • Automatisch: Die Installationsmeldung wird angezeigt, wenn auf dem Benutzercomputer kein geeigneter Client installiert ist. Dies ist die Standardeinstellung; sie gilt nur für den Client für Win32. • Ja: Die Installationsmeldung wird auf allen Plattformen angezeigt. • Nein: Die Installationsmeldung wird nie angezeigt. Sie müssen die Datei WebInterface.conf bearbeiten, um die den Benutzern durch Installationsmeldungen angebotenen Clients zu konfigurieren. Weitere Informationen finden Sie unter „Konfigurieren von webbasierten Clientinstallationen“ auf Seite 127 und „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf Seite 105. 90 Webinterface-Administratorhandbuch Gehe zu Document Center Kompatibilität mit Webservern mit asiatischen Sprachen Sie können das Webinterface konfigurieren, um ICA-Dateien in Unicode zu erstellen, wodurch die Anzahl von nichteuropäischen Zeichen erhöht wird, die von Clients erkannt werden. ICA-Dateien sind Textdateien, die Parameter und Anweisungen zum Starten von veröffentlichten Anwendungen enthalten. Diese Funktion setzt Clients ab MetaFrame Presentation Server 3.0 oder höher voraus; frühere Versionen der Clients unterstützen Unicode-ICA-Dateien nicht. Aktivieren Sie die Option Clients ab Version 8 unterstützen, um sicherzustellen, dass die ICA-Dateien in Unicode sind. Anpassen der Bereitstellung des Clients für Java Sie können die Komponenten konfigurieren, die bei der Bereitstellung des Clients für Java enthalten sind. Die Größe der Downloaddatei für den Client für Java hängt von den enthaltenen Paketen ab. Je weniger Pakete Sie wählen, desto kleiner ist der Download (unter Umständen nur 540 KB). Wenn Sie die Größe des Downloads für Benutzer, die langsame Verbindungen verwenden, einschränken möchten, können Sie nur das Minimum der Komponenten bereitstellen. Sie können Benutzern auch die Kontrolle über die gewünschten Komponenten geben. Hinweis: Einige Komponenten des Clients für Java erfordern weitere Konfigurationsschritte auf dem Clientgerät oder dem Server. Weitere Informationen zum Client für Java und den Komponenten finden Sie im Client für Java-Administratorhandbuch. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface In der folgenden Tabelle werden die verfügbaren Optionen erläutert: Paket Beschreibung Audio Auf dem Server ausgeführte Anwendungen können Audiodateien über ein auf dem Clientgerät installiertes Audiogerät wiedergeben. Sie können die von der Clientaudiozuordnung auf dem Server verwendete Bandbreite steuern. Weitere Informationen finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Zwischenablage Benutzer können Text und Grafiken zwischen serverbasierten Anwendungen und lokal auf dem Clientgerät ausgeführten Anwendungen kopieren. Lokales Textecho Die Anzeige der Texteingabe auf dem Clientgerät wird beschleunigt. SSL/TLS Die Kommunikation wird mit SSL (Secure Sockets Layer) und TLS (Transport Layer Security) gesichert. SSL/TLS bietet Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität. Verschlüsselung Hohe Verschlüsselung für eine erhöhte Sicherheit der Clientverbindungen. Clientlaufwerkszuordnung Benutzer können in einer Clientsitzung auf die lokalen Laufwerke zugreifen. Wenn Benutzer eine Verbindung zum Server herstellen, werden die Clientlaufwerke automatisch zugeordnet (z. B. Disketten-, Netzwerk- und CD-ROM-Laufwerke). Benutzer greifen auf lokal gespeicherte Dateien zu, bearbeiten sie in den Clientsitzungen und speichern sie wieder auf einem lokalen Laufwerk oder einem Laufwerk auf dem Server. Zum Aktivieren dieser Einstellung muss im Dialogfeld Einstellungen für Client für Java die Clientlaufwerkszuordnung konfiguriert sein. Weitere Informationen finden Sie im Client für JavaAdministratorhandbuch. Druckerzuordnung Benutzer können auf den lokalen oder Netzwerkdruckern in einer Clientsitzung drucken. KonfigurationsBenutzeroberfläche Diese Funktion aktiviert das Dialogfeld Einstellungen für Client für Java. In diesem Dialogfeld können Benutzer den Client für Java konfigurieren. 91 92 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden von privaten Stammzertifikaten mit dem Client für Java, Version 9.x Wenn Sie Secure Gateway oder den Citrix SSL-Relaydienst mit einem Serverzertifikat konfiguriert haben, das Sie von einer privaten Zertifizierungsstelle erworben haben (z. B. wenn Sie eigene Zertifikate mit den Zertifikatsdiensten von Microsoft ausstellen), müssen Sie das Stammzertifikat in den Java-Schlüsselspeicher jedes Clientcomputers importieren. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch. Verwenden von privaten Stammzertifikaten mit dem Client für Java, Version 8.x Um private Stammzertifikate mit der Clientversion 8.0 zu verwenden, wählen Sie die Option Privates Stammzertifikat verwenden aus. Geben Sie den Dateinamen des Zertifikats in Dateiname von Zertifikat ein. Das Zertifikat muss sich auf dem Webserver in demselben Ordner wie die Java-Client-Paketdateien befinden (z. B. ICAWEB\icajava unter Gemeinsame Dateien auf dem IIS-Server). Wichtig: Bei dieser Option wird nicht überprüft, ob das Stammzertifikat über eine sichere Verbindung bereitgestellt wird. Da das Stammzertifikat unter Umständen über eine nicht verschlüsselte HTTP-Verbindung übertragen wurde, sind Angriffe auf das Zertifikat möglich. Citrix empfiehlt, den Webserver für die Verwendung von HTTPS-Verbindungen zu konfigurieren. Bereitstellen des Clients für Java mit dem Webinterface und benutzerdefinierten SSL/TLS-Zertifikaten Im folgenden Verfahren wird beschrieben, wie Sie das Webinterface zum Verwenden eines einzelnen benutzerdefinierten SSL-Stammzertifikats konfigurieren, wenn Sie den Client für Java, Version 8.x, verwenden. Das Zertifikat wird dem Java-Client als einzelne Datei im Codebase-Verzeichnis des Clients für Java auf dem Webserver bereitgestellt. Dies kann Probleme bei CER-Dateien verursachen, da IIS diese als MIME-Text überträgt und die Datei bei der Übertragung beschädigt werden kann (z. B. geänderte Zeilenenden). Außerdem rufen einige JVMs (Java Virtual Machines), wie z. B. IBM JVM unter OS/2, als individuelle Dateien angegebene Zertifikate nicht ab. Citrix empfiehlt das Verpacken von benutzerdefinierten Stammzertifikaten in einer Archivdatei, mit der mehrere Zertifikate bereitgestellt werden. Dieses Verfahren wird im Client für Java-Administratorhandbuch beschrieben. Im folgenden Abschnitt wird die Konfiguration von benutzerdefinierten Zertifikaten mit dem Webinterface und dem Client für Java beschrieben. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 93 So konfigurieren Sie benutzerdefinierte Zertifikate: 1. Erwerben Sie von der Zertifizierungsstelle die Stammzertifikate, die den auf den Servern verwendeten Serverzertifikaten entsprechen. 2. Öffnen Sie die Datei appembed.inc in einem Texteditor. Diese Datei befindet sich standardmäßig im folgenden Verzeichnis: C:\Inetpub\Wwwroot\Citrix\MetaFrame\site\include. 3. Suchen Sie den Abschnitt zwischen den HTML-Tags <applet> und </applet>. 4. Geben Sie vor dem Tag </applet> die SSL/TLS-Zertifikate an, die der Client für Java verwenden soll. Verwenden Sie die folgenden Parameter: • SSLNoCACerts: Die Anzahl der im Clientarchiv angegebenen Zertifikate. • SSLCACert0, SSLCert1...SSLCert<n>: Die Namen der Stammzertifikate, die für die Echtheitsprüfung des Serverzertifikatsnamens verwendet werden sollen. Die von Ihnen angegebene Anzahl der Stammzertifikate muss der im Parameter SSLNoCACerts angegebenen Anzahl entsprechen. Beispiel: Wenn Sie drei benutzerdefinierte Stammzertifikate mit den Dateinamen A.crt, B.crt und C.cer verwenden, fügen Sie die folgenden Zeilen hinzu: <param name="SSLNoCACerts" value="3"> <param name="SSLCACert0" value="A.crt"> <param name="SSLCACert1" value="B.crt"> <param name="SSLCACert2" value="C.cer"> 5. Suchen Sie den Codebase-Parameter und notieren Sie den in dieser Zeile angegebenen Pfad. <%=langCode%> ist der Name des Ordners der Sprache, mit der Sie arbeiten. Diese Zeile darf nicht geändert werden. 94 Webinterface-Administratorhandbuch Gehe zu Document Center 6. Wenn Sie den Client in Microsoft Internet Explorer mit Microsoft JVM bereitstellen, verpacken Sie die Zertifikate in einer CAB-Datei. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch. 7. Suchen Sie den Parameter cabinets. Fügen Sie den Namen des in Schritt 6 erstellten Archivs hinzu. Beispiel: Wenn Sie das Archiv MeineZertifikate.cab genannt haben, ändern Sie die folgenden Einträge: <param name=cabinets value="<%=jicaCabFiles%>"> zu <param name=cabinets value="<%=jicaCabFiles%>MeineZertifikate.cab"> 8. Kopieren Sie die Archivdatei in das im Codebase-Attribut angegebene Verzeichnis, dessen Pfad Sie in Schritt 5 notiert haben. Der Standardpfad lautet: C:\Inetpub\Wwwroot\Citrix\ICAWEB\en\icajava 9. Speichern Sie die Datei appembed.inc. 10. Starten Sie auf dem Clientgerät den Webbrowser und stellen Sie eine Verbindung zum Webinterface-Server her. Alle eingebetteten JavaClientsitzungen auf gesicherten Servern funktionieren transparent mit SSL. Bearbeiten von clientseitigen Proxyeinstellungen Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer. Wenn Sie einen Proxyserver auf der Clientseite des Webinterface verwenden, können Sie festlegen, ob Clients mit dem Server über einen Proxyserver kommunizieren müssen. Nehmen Sie diese Einstellung mit dem Task Clientseitigen Proxy bearbeiten vor. Ein Proxyserver, der sich auf der Clientseite des Webinterface befindet, bietet die folgenden Sicherheitsvorteile: • Verbergen von Informationen. Innerhalb der Firewall verwendete Systemnamen werden nicht an Systeme außerhalb der Firewall über DNS bekannt gegeben. • Weiterleiten (Channeling) verschiedener TCP-Verbindungen über eine Verbindung. Mit der Access Suite Console können Sie Proxystandardregeln für Clients festlegen. Sie können auch Ausnahmen für einzelne Clients konfigurieren. Zum Konfigurieren von Ausnahmen ordnen Sie die externe IP-Adresse des Proxyservers der internen Adresse und dem Port des Proxyservers zu. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 95 Das Proxyverhalten kann auch vom Client gesteuert werden. Beispiel: Sie möchten die Funktion für die Verwendung eines sicheren Proxy (Secure Proxy) in MetaFrame Presentation Server verwenden. Konfigurieren Sie das Webinterface für die Verwendung der vom Client angegebenen Proxyeinstellungen und den Client für Secure Proxy. Weitere Informationen über das Steuern des Proxyverhaltens mit Clients finden Sie im entsprechenden MetaFrame Presentation Server ClientAdministratorhandbuch. So konfigurieren Sie Proxystandardeinstellungen: 1. Klicken Sie auf den Task Clientseitigen Proxy bearbeiten. 2. Zum Erstellen einer neuen Zuordnung, klicken Sie auf Hinzufügen. Zum Bearbeiten einer vorhandenen Zuordnung, klicken Sie auf Bearbeiten. 3. Geben Sie die externe Proxyadresse im Feld IP-Adresse ein. 4. Geben Sie die Subnetzmaske im Feld Subnetzmaske an. 5. Wählen Sie aus der Dropdownliste Proxy eine der folgenden Optionen aus: • Automatische Suche: Der Client erkennt den Webproxy automatisch basierend auf der Browserkonfiguration des Clients. • Clienteinstellung verwenden: Die vom Benutzer für den Client konfigurierten Einstellungen. • Kein Proxy: Es wird kein Proxy verwendet. • SOCKS: Bei Auswahl dieser Option müssen Sie im Feld Proxyadresse die Adresse des Proxyservers und im Feld Proxyport die Portnummer eingeben. Die Proxyadresse kann eine IP-Adresse oder ein DNS-Name sein. • Sicher (HTTPS): Bei Auswahl dieser Option müssen Sie im Feld Proxyadresse die Adresse des Proxyservers und im Feld Proxyport die Portnummer eingeben. Die Proxyadresse kann eine IP-Adresse oder ein DNS-Name sein. 6. Klicken Sie auf OK. Die Zuordnung wird der Liste Zuordnung hinzugefügt. 7. Sie können die Reihenfolge festlegen, in der die Zuordnungen angewendet werden. Wählen Sie eine Zuordnung aus und klicken Sie auf Nach oben oder Nach unten, um die Zuordnungen der Priorität nach zu ordnen. Wenn Sie eine Zuordnung entfernen möchten, markieren Sie diese und klicken Sie auf Entfernen. 96 Webinterface-Administratorhandbuch Gehe zu Document Center Verwalten von Einstellungen für Clientverbindungen Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server und MetaFrame Conferencing Manager-Gastteilnehmer. Mit dem Task Einstellungen für Clientverbindungen verwalten können Sie die Einstellungen festlegen, die die Benutzer anpassen können. Für MetaFrame Presentation Server-Sites können Sie folgende Optionen aktivieren und angeben, dass Benutzer diese anpassen können: • Bandbreitensteuerung • Farbtiefe • Audioqualität • Druckerzuordnung • Fenstergröße • PDA-Synchronisierungseinstellungen • Windows-Tastenkombinationen • Kioskmodus Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 97 Mit der Bandbreitensteuerung können Benutzer Sitzungseinstellungen auf der Grundlage ihrer Verbindungsbandbreite auswählen. Die verfügbaren Optionen werden auf der Seite Anmelden unter Erweiterte Optionen in der Dropdownliste Verbindungsgeschwindigkeit angezeigt. Mit der Bandbreitensteuerung können Farbtiefe, Audio und Druckerzuordnung gesteuert werden. Um diese Funktion zu aktivieren, müssen Sie im Task Einstellungen für Clientverbindungen verwalten auch die Option Benutzer können Druckerzuordnung anpassen auswählen. Sie können außerdem ICA-Dateien zum Ändern anderer ICA-Einstellungen zur Bandbreitensteuerung verwenden: Dateiname Beschreibung bandwidth_ high.ica Enthält die ICA-Einstellungen zum Ändern von Verbindungen mit hoher Bandbreite. bandwidth_ medium_high.ica Enthält die ICA-Einstellungen zum Ändern von Verbindungen mit mittelhoher Bandbreite. bandwidth_ medium.ica Enthält die ICA-Einstellungen zum Ändern von Verbindungen mit mittlerer Bandbreite. bandwidth_low.ica Enthält die ICA-Einstellungen zum Ändern von Verbindungen mit niedriger Bandbreite. default.ica Enthält die ICA-Einstellungen zum Ändern der Einstellungen, wenn keine Bandbreite ausgewählt ist. Bei Verwendung des Clients für Java bestimmt die Bandbreitensteuerung, ob Pakete für Audio und Druckerzuordnung gedownloadet werden. Bei einer Remotedesktopverbindung wird die Audioqualität ein- oder ausgeschaltet; eine weitere Steuerung der Qualität findet nicht statt. Für drahtlose WAN-Verbindungen wird eine niedrige Bandbreite empfohlen. Hinweis: Wird die Remotedesktopverbindung zusammen mit der Bandbreitensteuerung verwendet, legt das Webinterface die geeigneten Parameter für die ausgewählte Bandbreite fest. Das tatsächliche Verhalten richtet sich aber immer nach der Version der Remotedesktopsoftware, den Terminalservern und der Serverkonfiguration. Benutzer können standardmäßig die Fenstergröße von Clientsitzungen anpassen. Für MetaFrame Conferencing Manager-Gastteilnehmersites können Sie folgende Einstellungen konfigurieren: • Windows-Tastenkombinationen • Kioskmodus 98 Webinterface-Administratorhandbuch Gehe zu Document Center Der Kioskmodus eignet sich optimal, wenn es sich bei den Clientgeräten um öffentliche Terminals handelt, die von verschiedenen Benutzern verwendet werden. Bei aktiviertem Kioskmodus werden Benutzereinstellungen nicht gespeichert und nur für die Dauer der Sitzung beibehalten. Wenn Benutzer eine Einstellung nicht anpassen können, wird die Einstellung nicht in der Benutzeroberfläche angezeigt. Es werden die Einstellungen verwendet, die für die veröffentlichte Anwendung in der Managementkonsole für MetaFrame Presentation Server festgelegt wurden. Verwalten von Clientkonfigurationsdateien Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood Agent. Die Program Neighborhood Agent-Optionen, die mit der Konsole konfiguriert werden, werden auf dem Webinterface-Server in einer Konfigurationsdatei gespeichert. Die Konfigurationsdatei steuert den Umfang der Parameter, die für den Benutzer als Optionen im Dialogfeld Eigenschaften angezeigt werden. Mit den verfügbaren Optionen können Benutzer ihre Einstellungen für ICA-Sitzungen festlegen; u. a. Anmeldemodus, Bildschirmgröße, Audioqualität und die Speicherorte von Links für veröffentlichte Ressourcen. Die installierte Standardkonfigurationsdatei Config.xml enthält Standardeinstellungen und kann in den meisten Netzwerkumgebungen ohne Änderungen direkt verwendet werden. Sie können die Datei jedoch bearbeiten oder mit der Konsole mehrere Konfigurationsdateien erstellen, die an Ihre Anforderungen angepasst sind. Auf diese Weise können Sie eine bestimmte Option für Benutzer schnell hinzufügen oder entfernen und die Anzeige für die Benutzer zentral steuern. Die Datei Config.xml wird im Ordner der Site unter \conf\clientconfigs gespeichert. In demselben Ordner wie die Standardkonfigurationsdatei werden auch BackupKonfigurationsdateien und neue Konfigurationsdateien gespeichert, die Sie mit der Access Suite Console erstellen. Um allen Anforderungen Ihrer Organisation zu entsprechen, können Sie mehrere Konfigurationsdateien erstellen. Einstellungen, die Sie in einer einzelnen Konfigurationsdatei speichern, gelten für alle Benutzer, die diese Datei verwenden. Wenn Sie eine neue Konfigurationsdatei erstellen, müssen die Benutzer die ServerURL in Program Neighborhood Agent in die neue Datei ändern. Verwenden Sie hierzu den Task Clientkonfigurationsdatei erstellen. In der Konsolenstruktur wird unter der bestehenden Datei Config.xml die Datei Config.xml angezeigt, die mit den Tasks im Taskbereich bearbeitet werden kann. Erstellen Sie mit dem Task Clientkonfiguration kopieren eine Kopie der ausgewählten Datei Config.xml. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 99 Speichern Sie mit dem Task Clientkonfiguration exportieren eine Kopie der ausgewählten Datei Config.xml an einem anderen Ort (z. B. einem Dateiordner). Mit dem Task Clientkonfiguration löschen entfernen Sie die ausgewählte Clientkonfiguration von der Site. Verwenden von Optionen zur Anwendungsaktualisierung Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp Program Neighborhood Agent. Geben Sie mit dem Task Anwendungsaktualisierung verwalten an, wann die Liste der Benutzer mit veröffentlichten Ressourcen aktualisiert wird und ob Benutzer diese Einstellung ändern können. Sie können die Aktualisierung beim Start von Program Neighborhood Agent oder beim Starten von Anwendungen aktivieren und die Aktualisierungshäufigkeit angeben. Konfigurieren von Workspace Control Hinweis: Der folgende Abschnitt gilt nur für den Sitetyp MetaFrame Presentation Server. Mit dem Task Workspace Control verwalten können Sie Einstellungen konfigurieren, damit Benutzer schnell alle ausgeführten Anwendungen trennen, getrennte Anwendungen wiederverbinden und sich von allen ausgeführten Anwendungen abmelden können. Benutzer können so zwischen verschiedenen Clientgeräten wechseln und auf alle installierten Anwendungen zugreifen (nur auf getrennte oder auf getrennte und aktive Anwendungen) und zwar entweder direkt bei der Anmeldung oder jederzeit manuell. Beispiel: Angestellte eines Krankenhauses müssen evtl. verschiedene Arbeitsstationen verwenden und auf dieselbe Anwendungsgruppe zugreifen, wenn sie sich an MetaFrame Presentation Server anmelden. Hinweis: Sie können Workspace Control nicht mit dem ICA-Client für Windows CE mit früheren Versionen des Clients für Win32 als Version 8 und nicht mit der Software für Remotedesktopverbindungen verwenden. Außerdem ist diese Funktion nur auf Servern verfügbar, die MetaFrame Presentation Server ab Version 3.0 ausführen. 100 Webinterface-Administratorhandbuch Gehe zu Document Center Funktionsanforderungen Die folgenden Anforderungen und Empfehlungen gelten für die Funktion Workspace Control: • Erkennt das Webinterface, dass von einer Clientsitzung darauf zugegriffen wird, wird die Funktion Workspace Control deaktiviert. • Damit Sie Single Sign-On, Smartcards oder Smartcards mit Single Sign-On verwenden können, müssen Sie eine Vertrauensstellung zwischen dem Webinterface-Server und dem Citrix XML-Dienst herstellen. Weitere Informationen finden Sie unter „Konfigurieren von Workspace Control mit integrierten Authentifizierungsmethoden“ auf Seite 100. • Anwendungen, die für anonyme Benutzer veröffentlicht wurden, werden beendet, wenn sowohl anonyme als auch authentifizierte Benutzer die Verbindung trennen, wenn der Citrix XML-Dienst so eingestellt ist, dass er den Webinterface-Anmeldeinformationen vertraut. Benutzer können daher die Verbindung zu anonymen Anwendungen nicht wiederherstellen, falls diese getrennt wurde. • Ist Passthrough für Client-Anmeldeinformationen nicht aktiviert, werden Smartcard-Benutzer aufgefordert, für jede erneut verbundene Sitzung ihre PINNummer einzugeben. Bei Single Sign-On bzw. Smartcard mit Single Sign-On stellt dies kein Problem dar, da bei diesen Optionen Passthrough für ClientAnmeldeinformationen aktiviert ist. • Eine Sitzung wird nach einem gewissen Inaktivitätszeitraum beendet (Standardwert ist 20 Minuten). Wird die HTTP-Sitzung beendet, wird die Seite Anmelden angezeigt. In dieser Sitzung gestartete oder erneut verbundene Anwendungen werden jedoch nicht getrennt. Die Benutzer müssen die Trennung manuell ausführen oder sich ab- und wieder am Webinterface anmelden und die Schaltfläche Abmelden verwenden oder die Verbindung trennen. Konfigurieren von Workspace Control mit integrierten Authentifizierungsmethoden Wenn sich Benutzer mit den Authentifizierungsmethoden Smartcard, Passthrough mit Smartcard oder Passthrough anmelden, müssen Sie eine Vertrauensstellung zwischen dem Webinterface-Server und anderen Servern in der Farm herstellen, auf denen das Webinterface auf veröffentlichte Anwendungen zugreift. Besteht diese Vertrauensstellung nicht, schlagen die Befehle Trennen, Wiederverbinden und Abmelden für Benutzer fehl, die sich mit Smartcard oder Passthrough anmelden. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 101 Es ist keine Vertrauensstellung erforderlich, wenn die Benutzer von dem Server authentifiziert werden, auf dem ihre Anwendungen ausgeführt werden, also wenn sich Benutzer nicht mit den Authentifizierungsmethoden Smartcard oder Passthrough anmelden. Um die Vertrauensstellung in der Presentation Server Console herzustellen, öffnen Sie die Eigenschaften des Servers, auf dem MetaFrame Presentation Server ausgeführt wird, markieren Sie im linken Bereich XML-Dienst und aktivieren Sie An XML-Dienst gesendeten Anfragen vertrauen. Der Citrix XML-Dienst sendet Informationen über veröffentlichte Anwendungen vom Webinterface an die Server, auf denen MetaFrame Presentation Server ausgeführt wird, und umgekehrt. Beachten Sie Folgendes, wenn Sie einen Server so konfigurieren, dass Anforderungen, die an den XML-Dienst gesendet werden, vertraut werden soll: • Wenn Sie die Vertrauensstellung herstellen, müssen Sie sich darauf verlassen, dass der Webinterface-Server den Benutzer authentifiziert. Verwenden Sie zur Vermeidung von Sicherheitsrisiken IPSec, Firewalls oder andere Verfahren, die sicherstellen, dass nur vertrauenswürdige Dienste mit dem XML-Dienst kommunizieren. Wenn Sie die Vertrauensstellung ohne solche Vorkehrungen erstellen, kann ein beliebiges Netzwerkgerät Clientsitzungen trennen oder beenden. Wenn Sites nur für die explizite Authentifizierung konfiguriert sind, ist keine Vertrauensstellung erforderlich. • Aktivieren Sie die Vertrauensstellung nur auf Servern, auf die das Webinterface direkt zugreift. Diese Server sind auf der Seite Serverfarmen verwalten aufgelistet. • Konfigurieren Sie IPSec, Firewalls oder andere Sicherheitsvorkehrungen, um den Zugriff auf den Citrix XML-Dienst auf Webinterface-Server zu beschränken. Beispiel: Wenn der Citrix XML-Dienst einen Port mit Microsoft Internet Information Services (IIS) gemeinsam verwendet, können Sie die IPAdresseinschränkungsfunktion in IIS verwenden, um den Zugriff auf den Citrix XML-Dienst einzuschränken. Aktivieren von Workspace Control Aktivieren Sie Workspace Control mit dem Task Workspace Control verwalten. Auf dieser Seite können Sie folgende Einstellungen vornehmen: • Aktivieren der automatischen Wiederverbindung bei Anmeldung der Benutzer, damit Benutzer getrennte Anwendungen oder getrennte und aktive Anwendungen wiederverbinden können. • Aktivieren der Schaltfläche Wiederverbinden, damit Benutzer getrennte Anwendungen oder getrennte und aktive Anwendungen wiederverbinden können. 102 Webinterface-Administratorhandbuch • Gehe zu Document Center Zulassen, dass sich Benutzer vom Webinterface und den aktiven Sitzungen oder nur vom Webinterface abmelden. So aktivieren Sie die automatische Wiederverbindung bei Anmeldung der Benutzer: 1. Aktivieren Sie die Option Automatische Wiederverbindung von Sitzungen nach Benutzeranmeldung. • Um sowohl getrennte als auch aktive Sitzungen automatisch wiederzuverbinden, wählen Sie Alle Sitzungen. • Um nur getrennte Sitzungen automatisch wiederzuverbinden, wählen Sie Nur getrennte Sitzungen. 2. Aktivieren Sie die Option Benutzerseitig anpassbar, damit Benutzer diese Optionen in der Benutzeroberfläche auswählen können. So aktivieren Sie die Option „Wiederverbinden“: 1. Aktivieren Sie die Option Automatische Wiederverbindung von Sitzungen nach Benutzeranmeldung. • Um den Befehl Wiederverbinden so zu konfigurieren, dass sowohl getrennte als auch aktive Sitzungen automatisch wiederverbunden werden, wählen Sie Alle Sitzungen. • Um den Befehl Wiederverbinden so zu konfigurieren, dass nur getrennte Sitzungen automatisch wiederverbunden werden, wählen Sie Nur getrennte Sitzungen. 2. Aktivieren Sie die Option Benutzerseitig anpassbar, damit Benutzer diese Optionen in der Benutzeroberfläche auswählen können. So konfigurieren Sie das Abmeldeverhalten: 1. Um Benutzer vom Webinterface und allen aktiven Sitzungen abzumelden, aktivieren Sie im Bereich Abmelden die Option Alle Sitzungen bei Abmelden des Benutzers vom Webinterface abmelden. 2. Aktivieren Sie die Option Benutzerseitig anpassbar, damit Benutzer diese Optionen in der Benutzeroberfläche auswählen können. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 103 Steuern der Diagnoseprotokollierung Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer. Mit dem Task Diagnoseprotokollierung steuern können Sie die Systemsicherheit für die Fehlerprotokollierung erhöhen. Sie können ein wiederholtes Protokollieren von doppelten Ereignissen unterdrücken oder deren Anzahl und Protokollierungshäufigkeit konfigurieren. Mit diesem Task können Sie auch die Weiterleitungs-URL bei Fehlern angeben. Wenn Sie eine benutzerdefinierte Fehlerrückgabe-URL verwenden, müssen Sie alle Fehler-IDs mit dieser URL verarbeiten und Fehlermeldungen für die Benutzer anzeigen. Die Fehlerrückgabe-URL ersetzt außerdem die Seite Abmelden für den Benutzer, auch wenn Benutzer sich erfolgreich ohne Fehler abgemeldet haben. Load Balancing für Sites Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer. Mit dem Task Load Balancing für Sites können Sie Sites gruppieren, sodass diese über eine gemeinsame Konfiguration verfügen und für Load Balancing verwendet werden können. Mit diesem Task können Sites mit zentraler Konfiguration gruppiert werden. Für lokale Sites wird der Task nicht angezeigt. Mit dem Task Sitegruppe erstellen können Sie eine Gruppe von Sites erstellen. Geben Sie einen Namen für die Gruppe ein und wählen Sie anschließend die Sites für die Gruppe aus. Sites in einer Gruppe müssen dieselbe Konfigurationsquelle und dasselbe Betriebssystem (z. B. Windows oder UNIX) verwenden. Typ (z. B. MetaFrame Presentation Server) und Version müssen ebenfalls übereinstimmen. Wenn eine Site einer Gruppe hinzugefügt wurde, können Sie für diese keine Tasks für lokale Sites mehr ausführen, außerdem wird ihre Konfiguration entfernt. Wenn Sie Tasks für lokale Sites ausführen möchten, müssen Sie die Site mit dem Task Sites aus Gruppe entfernen aus der Gruppe entfernen. Dann wird die Gruppenkonfiguration für die Site verwendet. Sie können auch mit dem Task Gruppierung aufheben alle Sites aus der Gruppe entfernen. 104 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden von Tasks für lokale Sites Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer. Geben Sie mit Tasks für lokale Sites den Konfigurationsort für Sites und das IISHosting der Sites an. Diese Tasks sind nur auf dem Computer verfügbar, auf dem das Webinterface installiert ist. Sie können die Angaben ändern, die Sie beim Erstellen der Site eingegeben haben, und Server zur zentralen Konfiguration der Site hinzufügen. Verwalten von Konfigurationsquellen Mit dem Task Konfigurationsquellen verwalten können Sie festlegen, ob die Site eine lokale Konfiguration (Sitekonfiguration wird auf dem lokalen Computer gespeichert) oder eine zentrale Konfiguration (Sitekonfiguration wird auf dem Remoteserver, auf dem MetaFrame Presentation Server ausgeführt wird, gespeichert) verwendet. Wenn Sie eine Firewall zwischen dem Webinterface-Server und dem Server, auf dem MetaFrame Presentation Server ausgeführt wird, verwenden, führen Sie die folgenden Schritte aus, um eine zentrale Konfiguration für lokale Sites zu verwenden. So verwenden Sie eine zentrale Konfiguration für lokale Sites, die sich hinter Firewalls befinden: 1. Verwenden Sie den Task Konfiguration exportieren und speichern Sie die Konfiguration in einer Datei. 2. Verwenden Sie den Task Konfigurationsquelle verwalten, um die zentrale Konfiguration zu aktivieren. Klicken Sie auf Ja, wenn eine Warnung angezeigt wird. 3. Starten Sie die Access Suite Console auf dem Server, auf dem MetaFrame Presentation Server ausgeführt wird, und importieren Sie mit dem Task Konfiguration importieren die gespeicherte Konfiguration. Reparieren und Deinstallieren von Sites Mit den Tasks Site reparieren und Site deinstallieren können Sie Sites reparieren und entfernen. Beim Deinstallieren einer Site wird diese vollständig aus dem System entfernt und Sie können keine Tasks mehr für die Site verwenden. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 105 Wichtig: Mit dem Task Site reparieren werden benutzerdefinierte Skripts und Bilder entfernt, sofern solche vorhanden sind. Benutzerdefinierte Dateien werden auch durch den Task IIS-Hosting verwalten entfernt. Citrix empfiehlt, alle erstellen Dateien vor dem Ausführen eines dieser Tasks zu sichern. Importieren und Exportieren von Konfigurationsdateien Hinweis: Der folgende Abschnitt gilt für die Sitetypen MetaFrame Presentation Server, Program Neighborhood Agent und Conferencing Manager-Gastteilnehmer. Sie können bestehende Konfigurationsdateien zur Verwendung mit einer ausgewählten Site importieren und Sie können Konfigurationsdateien exportieren, um sie mit anderen Sites zu verwenden. Verwenden Sie hierzu die Tasks Konfiguration importieren und Konfiguration exportieren. Konfigurieren des Webinterface mit der Konfigurationsdatei Das Webinterface enthält die Konfigurationssdatei WebInterface.conf, in der Sie einige Eigenschaften lokal konfigurierter MetaFrame Presentation Server-Sites ändern können. Mithilfe dieser Datei können Sie gängige Verwaltungsaufgaben ausführen und zahlreiche Einstellungen anpassen. Sie können beispielsweise mit der Datei WebInterface.conf die Einstellungen festlegen, die Benutzer auf der Seite Einstellungen anpassen können, oder die Benutzerauthentifizierung beim Webinterface konfigurieren. Die Datei WebInterface.conf wird auf allen Plattformen im Softwareverzeichnis gespeichert. Unter Windows lautet der Ordner normalerweise C:\Inetpub\wwwroot\Citrix\MetaFrame\conf, unter UNIX beispielsweise /usr/local/tomcat/webapps/Citrix/WEB-INF. Sie können einige Werte in der Datei WebInterface.conf für individuelle Seiten in den Webserverskripts ändern. Weitere Informationen zu Webserverskripts finden Sie im Handbuch Customizing the Web Interface. Wichtig: Änderungen an der Datei WebInterface.conf treten unter UNIX erst nach dem Herunterfahren und Neustart des Webinterface-Servers in Kraft. Sie müssen außerdem darauf achten, Ihre Änderungen in UTF8-Codierung zu speichern. 106 Webinterface-Administratorhandbuch Gehe zu Document Center In der folgenden Tabelle sind die in der Datei WebInterface.conf ggf. enthaltenen Parameter aufgeführt (in alphabetischer Reihenfolge). Ist ein Parameter nicht in der Datei WebInterface.conf angegeben, wird der Standardwert verwendet. Parameter Beschreibung Werte Sitetyp AdditionalExplicit Authentication Definiert die explizite Zwei-FaktorAuthentifizierung, die zusätzlich zu SAM, ADS oder NDS ausgeführt werden muss. Dieser Wert ersetzt die Einstellung EnableSecurIDWithExplicit Authentication None, SecurID, SafeWord, RADIUS MetaFrame Presentation Server AddressResolution Type Gibt den zu verwendenden Adresstyp für das Tag NFuse_AppServerAddress in der Datei Template.ica an. Ipv4-port, ipv4, dns, dns-port MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager AllowBandwidth Selection Gibt an, ob Benutzer zum Optimieren der ICA-Einstellungen den Typ der Verbindung zwischen dem Webbrowser und MetaFrame Presentation Server in MetaFrame Presentation Server festlegen können. Off, On MetaFrame Presentation Server AllowCustomizeApp Columns Gibt an, ob Benutzer die Anzahl der Spalten festlegen können. On, Off MetaFrame Presentation Server AllowCustomize Audio Gibt an, ob Benutzer die Audioqualität für ICA-Sitzungen anpassen können. Off, On MetaFrame Presentation Server AllowCustomizeClient PrinterMapping Gibt an, ob Benutzer die Clientdruckerzuordnung aktivieren/ deaktivieren können. Off, On MetaFrame Presentation Server AllowCustomize Clients Gibt an, ob Benutzer ändern können, welcher Client zum Starten der Anwendung verwendet wird. Off, On MetaFrame Presentation Server MetaFrame Conferencing Manager AllowCustomizeJava ClientPackages Gibt an, ob die Benutzer die Downloadpakete des Clients für Java ändern können. Off, On MetaFrame Presentation Server AllowCustomize Layout Gibt an, ob Benutzer die zu verwendende Benutzeroberfläche auswählen können. Off, On MetaFrame Presentation Server Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp AllowCustomize Logoff Gibt an, ob Benutzer das Verhalten von Workspace Control ändern können, wenn sich Benutzer bei MetaFrame Presentation Server abmelden. On, Off MetaFrame Presentation Server AllowCustomize ReconnectAtLogin Gibt an, ob MetaFrame Presentation Server-Benutzer das Verhalten von Workspace Control beim Anmelden ändern können. On, Off MetaFrame Presentation Server AllowCustomize ReconnectButton Gibt an, ob MetaFrame Presentation Server-Benutzer das Verhalten von Workspace Control beim Klicken auf Wiederverbinden ändern können. On, Off MetaFrame Presentation Server AllowCustomize Settings Gibt an, ob Benutzer auf den Bildschirm Einstellungen zugreifen und Änderungen vornehmen können. On, Off MetaFrame Presentation Server AllowCustomize TransparentKey Passthrough Gibt an, ob Benutzer das Passthroughverhalten für Tastenkombinationen auswählen können. Off, On MetaFrame Presentation Server AllowCustomizeVirtua lCOMPortEmulation Gibt an, ob Benutzer die PDASynchronisierung aktivieren/ deaktivieren können. On, Off MetaFrame Presentation Server AllowCustomizeWin Color Gibt an, ob Benutzer die Farbtiefe für ICA-Sitzungen ändern können. Off, On MetaFrame Presentation Server AllowCustomizeWin Size Gibt an, ob Benutzer die Fenstergröße für ICA-Sitzungen ändern können. On, Off MetaFrame Presentation Server AllowUserPassword Change Gibt an, unter welchen Bedingungen Benutzer ihr Kennwort ändern können. Never, Expired-only, Always MetaFrame Presentation Server AlternateAddress Gibt an, ob die alternative MetaFrame Presentation ServerAdresse in der ICA-Datei zurückgegeben wird. Off, Mapped, On MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager AppColumns Die Anzahl der Spalten mit Anwendungssymbolen auf der Seite Anwendungen. Ganzzahl 1 - 300 (3) MetaFrame Presentation Server 107 108 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp Authentication Methods Definiert die zulässigen Anmeldungsmethoden. Eine kommagetrennte Liste, die jeden der angegebenen Werte in beliebiger Reihenfolge enthalten kann. Explicit, Anonymous, CertificateSingleSign On, Certificate, SingleSignOn MetaFrame Presentation Server Program Neighborhood Agent-Dienste AutoDeployWebClient Gibt an, ob der ICA-ActiveX-Client für Benutzer ohne Client oder mit veraltetem Client gedownloadet werden soll. Off, On MetaFrame Presentation Server AutoFallbackToJava Client Gibt an, ob der Client für Java zum Starten von Anwendungen verwendet wird, wenn auf Win32Plattformen kein nativer Client erkannt wird. Off, On MetaFrame Presentation Server MetaFrame Conferencing Manager BrandingColor Gibt die Farbe für Linien und Leisten in den Kopf- und Fußbereichen an. Hexadezimale Farbnummer oder Farbname MetaFrame Presentation Server MetaFrame Conferencing Manager BypassFailedRadius ServerDuration Dauer bis zum nächsten Versuch, einen RADIUS-Server nach einem Fehlschlagen erneut zu verwenden. Dauer in Sekunden (600) MetaFrame Presentation Server BypassFailedSTA Duration Dauer bis zum nächsten Versuch, einen STA-Server erneut zu verwenden. Dauer in Sekunden (3600) MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager ClientAddressMap Teil der serverseitigen Firewallkonfiguration. Eine Liste mit Clientadressen und Paaren von Adresstypen. Die erste kann eine Teiladresse oder Subnetzadresse und Maske sein , die zweite kann folgende Werte enthalten: Normal, Alternate, Translated, SG, SGAlternate, SGTranslated. Ein * anstelle einer Clientadresse oder eines Subnetzes gibt für alle ansonsten nicht festgelegten Clients die Standardeinstellung an. <Clientaddresse>|< Subnetzadresse>/ <Subnetzmaske>|*, Normal|Alternate|Tra nslated|SG|SGTrans lated|SGAlternate… MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp ClientProxy Clientseitige Firewalloption. Gibt eine Liste von Clientsubnetzadressen und -masken oder Adresspräfixen und entsprechenden Proxyeinstellungen an. Die Clientadresse in der ausgegebenen Datei wird durch diese Einstellungen bestimmt. Ein * anstelle einer Clientadresse oder eines Subnetzes gibt für alle ansonsten nicht festgelegten Clients die Standardeinstellung an. Der Wert des dritten Feldes (Proxyadresse) in jedem Satz, standardmäßig das Minuszeichen (-), muss immer vorhanden sein, wird aber ignoriert, wenn nicht das zweite Feld (Proxytyp) ein expliziter Proxytyp (SOCKS oder Secure) ist. <Clientadresse>|<S ubnetzadresse>/ <Subnetzmaske>|*, Auto|Client|None|SO CKS|Secure, |<Proxyadresse>|<P roxyadresse>:<Prox yport>… MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager CompanyHomePage Gibt die Hyperlink-URL für das Unternehmenslogo an, wenn CompanyLogo festgelegt wurde. Eine gültige URL MetaFrame Presentation Server MetaFrame Conferencing Manager CompanyLogo Eine URL für das Unternehmenslogobild. Eine gültige URL MetaFrame Presentation Server MetaFrame Conferencing Manager Configuration Location Gibt an, von wo das Webinterface die Konfiguration laden soll. Pfad der Konfigurationsdatei in der Webanwendung | kommagetrennte Liste von Serveradresse:Port, wobei Serveradresse ein DNS-Name oder eine IP-Adresse ist. MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager ConfigurationSource Type Konfigurationstyp, der von der Site verwendet wird. Datei | ConfigurationService MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager 109 110 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp CSG_Server Gibt die Secure Gateway-Adresse an. Kein Wert. Serveradresse als FQDN. MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager CSG_ServerPort Gibt den Secure Gateway-Port an. Kein Wert. Serverport. MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager CSG_STA_URL<n> Server, der die Funktion Secure Ticketing Authority bereitstellt. Kein Wert. Eine URL zu einer STA. MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager DefaultClient Gibt an, ob alle zum Download verfügbaren Clients angezeigt werden, wenn die Plattform nicht automatisch ermittelt wird. Nur relevant, wenn Installationsmeldungen angezeigt werden. On, Off MetaFrame Presentation Server MetaFrame Conferencing Manager DefaultLocale Die verwendete Standardsprache, wenn ein Browser eine nicht unterstützte Sprache anfordert. en | fr | de | es | ja | Bezeichner aller anderen unterstützten Sprachen MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager DefaultWelcome MessageLocale Gebietsschema der Standardwillkommensmeldung, die auf den Seiten Anmelden und Anwendungen im Willkommensbereich angezeigt wird. Dieser Wert muss mit der Angabe <lang-code> in einer der definierten Einstellungen für WelcomeMessage_<lang-code> übereinstimmen, z. B. en. Kein Wert. en | fr | de | es | ja | Bezeichner aller anderen unterstützten Sprachen MetaFrame Presentation Server MetaFrame Conferencing Manager Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp DisplayFooter Gibt an, ob die in der Datei footer.inc definierte Fußzeile angezeigt wird. On, Off MetaFrame Presentation Server MetaFrame Conferencing Manager DisplayHeader Gibt an, ob die in der Datei header.inc definierte Kopfzeile angezeigt wird. On, Off MetaFrame Presentation Server MetaFrame Conferencing Manager DisplayMainBoxTitle BarBgImage Gibt an, ob für die Titelleiste des Hauptdialogfelds ein Hintergrundbild oder eine einfache Hintergrundfarbe verwendet wird. On, Off MetaFrame Presentation Server MetaFrame Conferencing Manager DuplicateLogInterval Gibt an, für welche Dauer Protokolleinträge des DuplicateLogLimit überwacht werden. Dauer in Sekunden (60) MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager DuplicateLogLimit Gibt an, wie viele doppelte Protokolleinträge während der Dauer von DuplicateLogInterval zulässig sind. Ganzzahl größer als 0 (10) MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager EnableKerberosTo MPS Gibt an, ob die KerberosAuthentifizierung aktiviert wird. Off, On MetaFrame Presentation Server EnableLegacyICA ClientSupport Gibt an, ob ältere MetaFrame Presentation Server-Clients, die UTF-8 ICA-Dateien nicht lesen können, unterstützt werden. Wird der Wert Off gewählt, erstellt MetaFrame Presentation Server ICA-Dateien in UTF-8-Codierung. On, Off MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager EnableLogoff Applications Gibt an, ob Workspace Control aktive Anwendungen abmeldet, wenn der Benutzer sich bei MetaFrame Presentation Server abmeldet. On, Off MetaFrame Presentation Server 111 112 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp EnableRadiusServer LoadBalancing Bei On kann Load Balancing mit zufälligem Zugriff für Sitzungen auf mehreren RADIUS-Servern ausgeführt werden. Unabhängig von dem ausgewählten Wert findet immer noch Failover zwischen den Servern statt. On, Off MetaFrame Presentation Server EnableSTALoad Balancing Bei On kann Load Balancing für Anforderungen an mehrere Secure Gateway-STA-Server ausgeführt werden. On, Off MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager EnableVirtualCOM PortEmulation Gibt an, ob die PDASynchronisierung über eine direkte USB-Verbindung aktiviert wird. On, Off MetaFrame Presentation Server EnableWorkspace Control Gibt an, ob Workspace Control für MetaFrame Presentation ServerBenutzer verfügbar ist. On, Off MetaFrame Presentation Server ErrorCallbackURL Gibt eine URL für das Webinterface zum Weiterleiten bei einem Fehler an. Verwendet vier Abfragezeichenfolgen-Parameter: NFuse_MessageType NFuse_MessageKey NFuse_MessageArgs NFuse_LogEventID Eine gültige URL MetaFrame Presentation Server Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp Farm<n> Gibt alle Informationen zu einer Farm an. Adresse des XMLDienstes [,XML service address,...] [,Name:<Name>] [,XMLPort:<Port>] [,Transport:<HTTP| HTTPS|SSL>] [,SSLRelayPort: <Port>] [,BypassDuration: <Dauer>] [,LoadBalance: <on|off>] [,ECSUrlURL>] [,AuthenticationTicke ts:<on|off>] [TicketTimeToLive: <Sekunden (200)>] MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager HeadingImage Gibt die URL für das Bild an, das als Überschrift des Webinterface angezeigt wird. Eine gültige URL MetaFrame Presentation Server MetaFrame Conferencing Manager HideDomainField Steuert, ob auf der Seite Anmelden das Feld Domäne angezeigt wird. Off, On MetaFrame Presentation Server HpUxUnixClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager IbmAixClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager ICAWebClient Der Dateiname des Clients für Win32, der zum nativen eingebetteten Starten und automatischen Bereitstellen des Webclients verwendet wird. wficat.cab MetaFrame Presentation Server MetaFrame Conferencing Manager IcaWebClientClassID Klassen-ID des ActiveX-Clients. 238f6f83-b8b4-11cf8771-00a024541ee3 MetaFrame Presentation Server MetaFrame Conferencing Manager 113 114 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp ICAWebClientVersion Versionsnummer des Clients (von der Client-CD-ROM). Wird mit autoWebClientDownload verwendet. Neueste Clientversion MetaFrame Presentation Server MetaFrame Conferencing Manager IgnoreClientProvided ClientAddress Bei On wird die vom Client bereitgestellte Clientadresse ignoriert. Off, On MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager InternalServer AddressMap Eine Liste mit Paaren, die je eine normale und eine übersetzte Adresse enthalten. Die normale Adresse bestimmt die Secure Gateway-Serveradresse und die übersetzte Adresse ist die, die an den MetaFrame Presentation Server-Client ausgegeben wird. NormaleAdresse = ÜbersetzteAdresse, … MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager JavaClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager JavaClientPackages Der Standardsatz der Downloadpakete für den Client für Java. Besteht aus einer kommagetrennten Liste in beliebiger Reihenfolge. ConfigUI, PrinterMapping, SecureICA, Audio, ClientDriveMapping, ClipBoard, SSL, Thinwire1, ZeroLatency W MCMI JavaClientRoot Certificate Dateiname des privaten Stammzertifikats des Clients für Java. Das Zertifikat muss sich in demselben Ordner wie die Client für Java-Pakete befinden. Kein Wert. Ein gültiger Dateiname. MetaFrame Presentation Server MetaFrame Conferencing Manager KioskMode Steuert, ob Benutzereinstellungen beibehalten werden oder nur für die Sitzung bestehen. Bei aktiviertem Kioskmodus werden Benutzereinstellungen nach jeder Sitzung zurückgesetzt. Off, On MetaFrame Presentation Server MetaFrame Conferencing Manager Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp LaunchClients Legt fest, welche Clients der Benutzer auswählen kann. Wird zusammen mit AllowCustomizeClients verwendet. Ica-Local, Ica-Java, Ica-Embedded, RdpEmbedded MetaFrame Presentation Server MetaFrame Conferencing Manager LaunchMethod Client, der bevorzugt zum Starten von Anwendungen verwendet wird. Ica-Local, Ica-Java, Ica-Embedded, RdpEmbedded MetaFrame Presentation Server MetaFrame Conferencing Manager LinuxClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager LoginDomains Domänennamen, die zu Anzeigebzw. Einschränkungszwecken für explizite Authentifizierung verwendet werden sollen. Liste von NetBIOSDomänennamen MetaFrame Presentation Server Program Neighborhood Agent-Dienste LoginType Gibt an, welche Anmeldeseite angezeigt wird. Möglich sind entweder domänenbasiert oder NDS. Default. NDS MetaFrame Presentation Server Program Neighborhood Agent-Dienste MacClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager MainBoxTitleBarBg Color Gibt die Hintergrundfarbe für die Titelleiste des Hauptdialogfeldes an. Hexadezimale Farbnummer oder Farbname MetaFrame Presentation Server MetaFrame Conferencing Manager MainBoxTitleBarBg Image Gibt die URL für das Hintergrundbild der Titelleiste des Hauptdialogfeldes an. Eine gültige URL MetaFrame Presentation Server MetaFrame Conferencing Manager MainBoxTitleFont Color Gibt die Schriftfarbe für die Titelleiste des Hauptdialogfeldes an. Hexadezimale Farbnummer oder Farbname MetaFrame Presentation Server MetaFrame Conferencing Manager 115 116 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp MessageHeadingBg Color Gibt die Hintergrundfarbe für die Überschriften von Willkommensbereich und Message Center an. Hexadezimale Farbnummer oder Farbname MetaFrame Presentation Server MetaFrame Conferencing Manager MessageHeadingFont Color Gibt die Schriftfarbe für die Überschriften von Willkommensbereich und Message Center an. Hexadezimale Farbnummer oder Farbname MetaFrame Presentation Server MetaFrame Conferencing Manager NDSTreeName Gibt bei NDS-Authentifizierung die zu verwendende NDS-Struktur an. Kein Wert. NDSStruktur. MetaFrame Presentation Server Program Neighborhood Agent-Dienste OtherClient Gibt Downloadmeldungen und Links für nicht erkannte Clientplattformen an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager OverrideClientInstall Caption Gibt eine benutzerspezifische Meldung an, die zusammen mit den Download-Links für die Clients angezeigt wird. Kein Wert. Benutzerdefinierter Meldungstext. MetaFrame Presentation Server MetaFrame Conferencing Manager PooledSockets Gibt die Verwendung von Socketpooling an. Off, On MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager RadiusRequest Timeout Gibt das Zeitlimit für die Wartedauer für eine Antwort vom RADIUSServer der Sitzung an. Zeitlimit in Sekunden (30) MetaFrame Presentation Server RadiusServers Eine kommagetrennte Liste von RADIUS-Servern und optional den von diesen abgehörten Ports. Server können durch IPs oder Namen angegeben werden. Server und Port für jedes Element sind durch einen Doppelpunkt getrennt. Wird der Port nicht angegeben, verwendet MetaFrame Presentation Server den RADIUS-Standard, Port 1812. Es können maximal 512 RADIUS-Server konfiguriert werden. Server[:Port][,…] MetaFrame Presentation Server Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp RdpWebClient Dateiname der Software für Remotedesktopverbindungen zum eingebetteten Starten und automatischen Bereitstellen des Clients. msrdp.cab MetaFrame Presentation Server MetaFrame Conferencing Manager RdpWebClientClassID Klassen-ID des Remotedesktopverbindungs-ActiveX-Clients, der im Lieferumfang von Windows Server 2003 enthalten ist. 7584c670-22744efb-b00bd6aaba6d3850 MetaFrame Presentation Server MetaFrame Conferencing Manager RDPWebClient Version Versionsnummer der Software für Remotedesktopverbindungen, die im Lieferumfang von Windows Server 2003 enthalten ist. 5,2,3790,0 MetaFrame Presentation Server MetaFrame Conferencing Manager ReconnectAtLogin Gibt an, ob Workspace Control beim Anmelden erneut eine Verbindung zu Anwendungen herstellen soll, und falls ja, ob die Verbindung zu allen oder nur zu getrennten Anwendungen wiederhergestellt werden soll. DisconnectedAndAc tive, Disconnected, None MetaFrame Presentation Server Program Neighborhood Agent-Dienste ReconnectButton Gibt an, ob Workspace Control erneut eine Verbindung zu Anwendungen herstellen soll, wenn MetaFrame Presentation ServerBenutzer auf Wiederverbinden klicken, und falls ja, ob die Verbindung zu allen oder nur zu getrennten Anwendungen wiederhergestellt werden soll. DisconnectedAndAc tive, Disconnected, None MetaFrame Presentation Server RequestICAClient SecureChannel Steuert TLS-Einstellungen. Detect-AnyCiphers, TLS-GovCiphers, SSL-AnyCiphers MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager RestrictDomains Bestimmt, ob LoginDomains als Einschränkungs- oder Anzeigeliste für die explizite Authentifizierung behandelt werden soll. Off, On MetaFrame Presentation Server Program Neighborhood Agent-Dienste 117 118 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp RetryCount Gibt an, wie oft eine fehlgeschlagene Anforderung des XML-Dienstes wiederholt wird, bevor angenommen wird, dass der Dienst nicht erreichbar ist. Ganzzahl größer als 0 (5) MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager ScoUnixClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager SearchContextList Eine optionale, kommagetrennte Liste von Kontextnamen zur Verwendung bei der NDSAuthentifizierung. Kein Wert. Kommagetrennte Liste von Kontextnamen. MetaFrame Presentation Server Program Neighborhood Agent-Dienste ServerAddressMap Teil der serverseitigen Firewallunterstützung. Eine Liste mit Paaren, die je eine normale und eine übersetzte Adresse enthalten. Die normale Adresse bezeichnet die Serveradresse und die übersetzte Adresse wird an den Client zurückgegeben. NormaleAdresse, ÜbersetzteAdresse, … MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager SgiUnixClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager ShowClientInstall Caption Steuert die Anzeige der Downloadmeldungen. Auto gibt an, dass die Downloadmeldung angezeigt wird, wenn auf dem Benutzercomputer kein Client installiert ist und die automatische Webinstallation deaktiviert ist. Auf anderen Plattformen wird die Installationsmeldung immer angezeigt. Hebt ForceClientInstallCaption auf. Auto, Off, On MetaFrame Presentation Server MetaFrame Conferencing Manager Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface Parameter Beschreibung Werte Sitetyp SiteIDRoot Eine Zeichenfolge als Grundlage eines eindeutigen Sitebezeichners. Unter Windows wird SiteIDRoot bei der Kommunikation mit dem Konfigurationsdienst direkt als Sitebezeichner verwendet. Unter UNIX wird zu SiteIDRoot Laufzeitinformation hinzugefügt, um den Sitebezeichner für den Konfigurationsdienst zu erstellen. Eine zufällige, vom Installationsprogramm erstellte Zahl. MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager SolarisUnixClient Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager Timeout Gibt das Zeitlimit an, das bei der Kommunikation mit dem XMLDienst verwendet werden soll. Zeitlimit in Sekunden (60) MetaFrame Presentation Server Program Neighborhood Agent-Dienste MetaFrame Conferencing Manager TransparentKey Passthrough Gibt den Passthroughmodus für Windows-Tastenkombinationen an. Local,Remote,FullSc reenOnly MetaFrame Presentation Server MetaFrame Conferencing Manager Tru64Client Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager UPNSuffixes Begrenzt UPN-Authentifizierung auf diese Suffixe für die explizite Authentifizierung. Liste von UPNSuffixen. MetaFrame Presentation Server Program Neighborhood Agent-Dienste UserInterfaceLayout Gibt an, ob die kompakte Benutzeroberfläche verwendet werden soll. Auto | Normal | Compact MetaFrame Presentation Server MetaFrame Conferencing Manager 119 120 Webinterface-Administratorhandbuch Gehe zu Document Center Parameter Beschreibung Werte Sitetyp WelcomeMessage_ <lang-code> Lokalisierte Willkommensmeldung, die auf den Seiten Anmelden und Anwendungen im Willkommensbereich angezeigt wird. <lang-code> ist en, fr, de, es, ja oder ein beliebiger anderer Standardsprachencode. Kein Wert. HTMLformatierter Text. MetaFrame Presentation Server MetaFrame Conferencing Manager Win16Client Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager Win32Client Gibt Downloadmeldung und Links für die zugeordnete Plattform an. Default. Meldung und Links. MetaFrame Presentation Server MetaFrame Conferencing Manager Überlegungen zu Program Neighborhood Agent Bestimmte Einstellungen in der Datei WebInterface.conf wirken sich auf die Überprüfung der Anfragen von Program Neighborhood Agent aus. Citrix empfiehlt, dass die Einstellungen in der Datei WebInterface.conf mit den Einstellungen der Datei Config.xml in Program Neighborhood Agent übereinstimmen. In diesem Abschnitt wird die Konfiguration der Einstellungen in der Datei WebInterface.conf mit Program Neighborhood Agent erläutert. So konfigurieren Sie das Webinterface bei Verwendung von Program Neighborhood Agent: 1. Öffnen Sie die Datei WebInterface.conf. 2. Suchen Sie die folgenden Parameter: • AuthenticationMethods • ForceLoginDomain • LoginType • NDSTreeName Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 121 Die folgende Tabelle erläutert die Parameter (in alphabetischer Reihenfolge), die Werte, die sich auf die Einstellungen von Program Neighborhood Agent auswirken, und die empfohlenen Einstellungen: Parameter Wert Empfohlene Einstellung AuthenticationMethods Nicht zutreffend Verwenden Sie dieselbe Authentifizierungsmethode, die im Webinterface konfiguriert wurde. Die Authentifizierung schlägt fehl, wenn sich diese Methode von der in Config.xml unterscheidet. ForceLoginDomain Nicht zutreffend Dieses Feld verhindert, dass sich Benutzer von Program Neighborhood Agent mit einer anderen Domäne authentifizieren können. LoginType NDS NDS muss in der Datei Config.xml aktiviert sein. NDSTreeName Nicht zutreffend Der Parameter DefaultTree im Abschnitt Logon der Datei Config.xml muss dieselbe Einstellung haben. 3. Starten Sie den Webinterface-Server neu, um die Änderungen zu übernehmen. Beispiele Dieser Abschnitt enthält typische Beispiele für die Konfiguration des Webinterface mit der Datei WebInterface.conf. Konfigurieren der Kommunikation mit MetaFrame Presentation Server In diesem Beispiel soll der Name eines zusätzlichen Servers angegeben werden, auf dem der Citrix XML-Dienst ausgeführt wird. Der Citrix XML-Dienst ist die Kommunikationsverbindung zwischen der Serverfarm und dem Webinterface-Server. Die Kommunikation erfolgt zurzeit mit einem „Server1“ genannten Server. Sie möchten den Server „Server2“ für den Fall hinzufügen, dass „Server1“ ausfällt. Gehen Sie hierzu folgendermaßen vor: 1. Suchen Sie in der Datei WebInterface.conf folgende Zeile: SessionField.NFuse_Farm1= 2. Schließen Sie in dieser Zeile den zusätzlichen Server folgendermaßen ein: SessionField.NFuse_Farm1=Server1,Server2 3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. 122 Webinterface-Administratorhandbuch Gehe zu Document Center Konfigurieren der Citrix SSL-Relay-Kommunikation In diesem Beispiel möchten Sie die Kommunikation zwischen dem Webserver und dem MetaFrame-Server mit SSL (Secure Sockets Layer) sichern. Das Citrix SSLRelay wird auf einem MetaFrame-Server installiert, der den vollqualifizierten Domänennamen www.firmenname.com hat. Das Citrix SSL-Relay hört den TCPPort 443 ab. Die Kommunikation erfolgt zurzeit mit dem Server „Server1“, Sie möchten jedoch „Server1“ durch „www.firmenname.com“ ersetzen. Gehen Sie hierzu folgendermaßen vor: 1. Öffnen Sie die Datei WebInterface.conf und suchen Sie die folgenden Zeilen: SessionField.NFuse_Farm1=www.firmenname.com, Name:Server1, Transport:SSL, SSLRelayPort:443 Hinweis: Der angegebene Servername muss dem Namen auf dem Serverzertifikat entsprechen. 2. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Konfigurieren der Secure Gateway-Unterstützung In diesem Beispiel soll ein Secure Gateway-Server mit dem Namen csg1.citrix.com angegeben werden, auf dem die MetaFrame Presentation Server Clients den Port 443 verwenden. Folgende Secure Ticket Authority-Adressen werden verwendet: • http://server1.citrix.com/scripts/CtxSta.dll • http://server2.citrix.com/scripts/CtxSta.dll Fügen Sie der Datei WebInterface.conf die folgenden Zeilen hinzu: SessionField.NFuse_CSG_STA_URL1=http://server1.citrix.com/ scripts/CtxSta.dll SessionField.NFuse_CSG_STA_URL2=http://server2.citrix.com/ scripts/CtxSta.dll SessionField.NFuse_CSG_Server=csg1.citrix.com SessionField.NFuse_CSG_ServerPort=443 ClientAddressMap=*,CSG (Secure Gateway-Aktivierung für alle Benutzer) Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Gehe zu Document Center Kapitel 3 Konfigurieren des Webinterface 123 Deaktivieren von Fehlermeldungen Unter Windows können Sie die im Webinterface enthaltene anpassbare Fehlermeldung deaktivieren, um informativere Fehlermeldungen anzuzeigen. Bearbeiten Sie dazu die Datei web.config, die sich im Stammordner der Site befindet. Ändern Sie die folgende Zeile: <customErrors mode="On" defaultRedirect="html/serverError.html" /> zu <customErrors mode="Off" defaultRedirect="html/serverError.html" /> Bereitstellen des Webinterface für die Benutzer Nach dem Installieren und Konfigurieren des Webinterface teilen Sie den Benutzern die URL der Seite Anmelden mit. Wenn Benutzer die Seite in ihren Browsern mit einem Lesezeichen versehen möchten, sollte das Lesezeichen auf den folgenden Wert eingestellt werden: http://<Servername>/<Sitepfad>. Verzichten Sie auf die Angabe einer bestimmten Seite wie z. B. login.aspx. Auf UNIX-Webservern wird der Pfad der Site (der Teil der URL nach dem Hostnamen und der Portnummer) durch die Servlet-Engine bestimmt. Sie können den Pfad beim Installieren der WAR-Datei in der Servlet-Engine ändern. Der Standard ist normalerweise /<Name der WAR-Datei>, wobei der Dateiname WARFileName.war ist. Für WebLogic muss eine separate XML-Datei erstellt werden, um den Pfad zu ändern. XML-Beispieldateien mit Verwendungshinweisen werden mit der WAR-Datei in /Citrix/<Name der WAR-Datei> erstellt. Festlegen der Anmeldeseite als Standardwebseite auf IIS Sie können die Seite Anmelden während der Installation des Webinterface als Standardseite für Benutzer festlegen. Die URL lautet in diesem Fall http://<Servername>/. Aktivieren Sie hierfür im Task Site erstellen die Option Als Standardseite für die IIS-Site definieren. Nächste Schritte • Weitere Informationen zur Bereitstellung von MetaFrame Presentation Server Clients für Webinterface-Benutzer oder zur Konfiguration des Clients für Macintosh finden Sie unter „MetaFrame Presentation Server Clients und das Webinterface“ auf Seite 125. • Weitere Informationen zu Sicherheitsüberlegungen finden Sie in Kapitel 5 unter “Konfigurieren der Webinterface-Sicherheit“ auf Seite 131. 124 Webinterface-Administratorhandbuch Gehe zu Document Center Gehe zu Document Center KAPITEL 4 MetaFrame Presentation Server Clients und das Webinterface Übersicht Dieses Kapitel enthält Informationen zur Bereitstellung und Verwendung der MetaFrame Presentation Server Clients mit dem Webinterface. Es wird beschrieben, wie Sie Benutzern Clients mit der webbasierten Clientinstallation bereitstellen. Außerdem finden Sie weitere Informationen zum Client für Java. Unter anderem werden folgende Themen behandelt: • Webbasierte Clientinstallation • Übersicht über den Client für Java • Übersicht über Program Neighborhood Agent 126 Webinterface-Administratorhandbuch Gehe zu Document Center Webbasierte Clientinstallation Für die Verwendung des Webinterface müssen Benutzer einen unterstützten Webbrowser und einen MetaFrame Presentation Server Client einsetzen. Wenn sich Benutzer an einer Webinterface-Site anmelden, prüft die webbasierte Clientinstallation, ob die Clientsoftware auf dem Gerät des Benutzers vorhanden ist. Wird die Clientsoftware nicht auf dem Gerät erkannt, bietet die webbasierte Clientinstallation die entsprechende Clientsoftware zum Download und zur Installation an. Die dem Benutzer dargestellten Links werden Installationsmeldungen genannt. Im Folgenden wird eine typische Installationsmeldung gezeigt: Die Abbildung zeigt eine Beispielinstallationsmeldung, die auf der Benutzeranmeldeseite angezeigt werden kann. Kopieren der Installationsdateien für Clients auf den Webserver Um die webbasierte Clientinstallation verwenden zu können, müssen die Installationsdateien auf dem Webserver gespeichert sein. Während der Webinterface-Installation werden Sie vom Setupprogramm zum Einlegen der Komponenten-CD-ROM oder zur Angabe des CD-Image-Speicherorts aufgefordert. Das Setupprogramm kopiert den Inhalt des Verzeichnisses ICAWEB der CD in das Verzeichnis \ICAWEB im Stammverzeichnis der gemeinsamen Dateien (zum Beispiel C:\Programme\Citrix\Web Interface\4.0\ICAWEB). Im Verzeichnis \ICAWEB werden die Clients nach Sprache und Plattform angeordnet (zum Beispiel ICAWEB\en\ica32). Eine Ausnahme stellt der Client für Java dar; er befindet sich im Verzeichnis ICAWEB\icajava. Wenn Sie die Installationsdateien für die Clients während der WebinterfaceInstallation nicht auf den Webserver kopiert haben, müssen Sie die Dateien auf den Webserver kopieren, bevor Sie die webbasierte Clientinstallation einrichten. Gehe zu Document Center Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface 127 So kopieren Sie die Clientdateien auf den Webserver: 1. Stellen Sie fest, wo sich das Installationsverzeichnis ICAWEB des Webinterface befindet, beispielsweise C:\Programme\Citrix\Web Interface\4.0\ICAWEB. 2. Legen Sie die Komponenten-CD-ROM in das CD-ROM-Laufwerk des Webservers ein oder suchen Sie im Netzwerk ein freigegebenes Image der Komponenten-CD. 3. Wechseln Sie in das Verzeichnis \ICAWEB der CD. Kopieren Sie den Inhalt vom Verzeichnis \ICAWEB der CD in das Verzeichnis \ICAWEB des Webinterface-Servers. Stellen Sie dabei sicher, dass Sie den Inhalt des Verzeichnisses und nicht das Verzeichnis \ICAWEB selbst kopieren. Konfigurieren von webbasierten Clientinstallationen In diesem Abschnitt wird beschrieben, wie Sie die den Benutzern angezeigten Installationsmeldungen und den Client für Win32, der den Windows-Clientgeräten angeboten wird, konfigurieren. Sie erfahren, wie Sie diese Vorgänge mit der Datei WebInterface.conf ausführen. Hinweis: Weitere Informationen zur Konfiguration der webbasierten Clientinstallation mit der Access Suite Console finden Sie unter „Automatisches Bereitstellen von Clients“ auf Seite 87. Installationsdateien für den Client für Win32 Standardmäßig bietet die webbasierte Clientinstallation 32-Bit-Windows-Clientgeräten die Installationsdatei für den Webclient an. Sie können diese Einstellung jedoch so ändern, dass der Program Neighborhood-Client oder Program Neighborhood Agent angeboten wird. Im Anschluss finden Sie eine Beschreibung der Unterschiede zwischen diesen Installationsdateien: • Installationsdatei des Webclients (ica32t.exe): Diese Version installiert den Webclient für Benutzer. • Installationsdatei des Program Neighborhood-Clients (ica32.exe):) Mit dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der Program Neighborhood-Benutzeroberfläche installiert. Wenn die Benutzer die gesamte Funktionalität des Clients für Win32 benötigen, müssen Sie das Archiv Ica32.exe bzw. Ica32.msi installieren. 128 Webinterface-Administratorhandbuch • Gehe zu Document Center Installationsdatei von Program Neighborhood Agent (Ica32a.exe): Mit dieser Datei werden alle Komponenten des Clients für Win32 einschließlich der Program Neighborhood Agent-Benutzeroberfläche installiert. Sie können mit der Datei Ica32a.exe oder Ica32a.msi den Benutzerzugriff auf veröffentlichte, für das Webinterface aktivierte Anwendungen direkt vom Windows-Desktop, Startmenü oder Windows-Infobereich ermöglichen. So konfigurieren Sie das Webinterface für das Bereitstellen eines anderen Clients für Win32: 1. Öffnen Sie die Datei WebInterface.conf. 2. Bearbeiten Sie den Parameter Win32Client. Beispiel: Win32Client=Click here for the Client&/Citrix/ICAWEB/ en/ica32/ica32.exe 3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Konfigurieren von Installationsmeldungen Sie können das Anzeigen von Installationsmeldungen und den in den Meldungen angezeigten Text konfigurieren. Bearbeiten Sie die Parameter ShowClientInstallCaption und OverrideClientInstallCaption in der Datei WebInterface.conf. Hinweis: Weitere Informationen zur Konfiguration von Installationsmeldungen mit der Konsole finden Sie unter „Automatisches Bereitstellen von Clients“ auf Seite 87. Der Parameter ShowClientInstallCaption legt fest, ob den Benutzern Meldungen für die webbasierte Clientinstallation angezeigt werden. Es stehen drei Optionen zur Verfügung: • auto: Wenn auf einer Windows-Plattform nicht der entsprechende Client installiert ist, wird dem Benutzer eine Installationsmeldung angezeigt. Auf anderen Plattformen wird die Installationsmeldung immer angezeigt. Dies ist die Standardeinstellung. • on: Die Installationsmeldung wird auf allen Plattformen angezeigt. • off: Die Installationsmeldung wird nie angezeigt. Gehe zu Document Center Kapitel 4 MetaFrame Presentation Server Clients und das Webinterface 129 Der Parameter OverrideClientInstallCaption gibt eine benutzerdefinierte Meldung an, die zusammen mit den Download-Links für die Clients angezeigt wird. Der Parameter ist standardmäßig durch ein Nummernzeichen (#) am Zeilenanfang als Kommentar gekennzeichnet, sodass die Standardmeldungen verwendet werden. Die Standardmeldung ist clientplattformspezifisch und lautet ungefähr folgendermaßen: „Wenn Sie den neuesten MetaFrame Presentation Server Client (ActiveX) für 32-Bit-Windows verwenden möchten, können Sie ihn installieren. Wählen Sie das Symbol unten, um den Client zu installieren.“ So zeigen Sie eine benutzerdefinierte Meldung mit den Download-Links an: 1. Öffnen Sie die Datei WebInterface.conf. 2. Bearbeiten Sie den Parameter OverrideClientInstallCaption. Beispiel: OverrideClientInstallCaption=Bitte installieren Sie einen Client. Die folgenden Clients stehen zur Verfügung: 3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Übersicht über den Client für Java Wenn Sie Clients über Netzwerke mit geringer Bandbreite bereitstellen oder die von Benutzern verwendete Plattform nicht kennen, sollten Sie den Client für Java in Erwägung ziehen. Der Client für Java ist ein plattformübergreifendes Applet, das der Webinterface-Server jedem Java-kompatiblen Webbrowser bereitstellen kann. Mit dem Webinterface kann der Client für Java als kleiner Download konfiguriert werden (unter Umständen nur 540 KB), indem Sie nicht benötigte Komponenten entfernen. Sie können das Webinterface auch so konfigurieren, dass Benutzer die gewünschten Komponenten des Client für Java selbst wählen können. Weitere Informationen zur Konfiguration der im bereitgestellten Client für Java enthaltenen Komponenten mit der Access Suite Console finden Sie unter „Anpassen der Bereitstellung des Clients für Java“ auf Seite 90. Der Client für Java ist für den Download und das Ausführen ohne lokale Speicherung der Dateien optimiert, wenn es nicht wünschenswert oder möglich ist, einen Client auf dem Clientgerät zu installieren. Sie können den Client für Java auch unabhängig vom Webinterface bereitstellen. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch. Der Benutzer kann Clienteinstellungen über eine grafische Benutzeroberfläche ändern, wenn der Client für Java im Appletmodus ausgeführt wird. Weitere Informationen finden Sie im Client für Java-Administratorhandbuch. 130 Webinterface-Administratorhandbuch Gehe zu Document Center Übersicht über Program Neighborhood Agent Mit Program Neighborhood Agent können Sie veröffentlichte Inhalte in BenutzerDesktops integrieren. Mit Program Neighborhood Agent greifen Benutzer über Symbole auf dem Windows-Desktop, im Startmenü oder im Windows-Infobereich oder einer Kombination dieser Elemente auf veröffentlichte Anwendungen zu. Program Neighborhood Agent wird im Hintergrund ausgeführt. Das Programm hat außer einem Kontextmenü im Infobereich keine Benutzeroberfläche. Das Arbeiten mit Remoteanwendungen erfolgt daher genauso wie bei lokalen Anwendungen. Die Datenübertragung zwischen Client und Server erfolgt über das standardmäßige HTTP-Protokoll oder über das HTTPS-Protokoll. Dies vereinfacht den Einsatz von Program Neighborhood Agent mit Firewalls, die Port 80 verwenden. Sie können die Konfigurationseinstellungen von Program Neighborhood Agent bearbeiten, um die Clients im Netzwerk dynamisch zu verwalten und zu steuern. Beispiel: Sie können das Ändern bestimmter Einstellungen von Seiten der Benutzer verhindern und bestimmte Program Neigborhood Agent-Einstellungen auf den Clientgeräten aktivieren. Sie steuern die Eigenschaften für Program Neighborhood Agent mit zwei Methoden: • Mit der Access Suite Console • Mit der Konfigurationsdatei Config.xml Die Konsole stellt ein Tool zum Anzeigen und Ändern der aktuellen Einstellungen bereit. Parameter und Werte der Datei Config.xml werden auf der Oberfläche angezeigt. Sie ändern diese Einstellungen durch Auswahl von Optionen und Eingabe von Werten in die Felder. Weitere Informationen zur Konfiguration von Program Neighborhood Agent mit der Konsole finden Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50. Ausführliche Informationen zur Installation und Konfiguration von Program Neighborhood Agent finden Sie im Client für 32-BitWindows-Administratorhandbuch. Nächste Schritte Weitere Informationen zu Sicherheitsüberlegungen finden Sie in Kapitel 5 unter „Konfigurieren der Webinterface-Sicherheit“ auf Seite 131. Gehe zu Document Center KAPITEL 5 Konfigurieren der WebinterfaceSicherheit Übersicht Dieses Kapitel enthält Informationen zum Sichern von Daten in einer WebinterfaceUmgebung. Unter anderem werden folgende Themen behandelt: • Einführung in die Webinterface-Sicherheit • Sichern der Webinterface-Kommunikation • Sichern von Program Neighborhood Agent mit SSL • Kommunikation zwischen dem Webinterface-Server und MetaFrame Presentation Server • Kommunikation zwischen der Clientsitzung und MetaFrame Presentation Server • Allgemeine Sicherheitsüberlegungen 132 Webinterface-Administratorhandbuch Gehe zu Document Center Einführung in die Webinterface-Sicherheit Ein umfassender Sicherheitsplan muss den Schutz von Daten an allen Punkten im Anwendungsbereitstellungsprozess berücksichtigen. Dieses Kapitel enthält eine Beschreibung der Sicherheitsrisiken für das Webinterface und Empfehlungen für die folgenden Kommunikationsverbindungen: • Kommunikation zwischen dem Clientgerät und dem Webinterface-Server: Erläutert Risiken, die mit dem Übertragen von Webinterface-Daten zwischen Browsern und Servern verbunden sind, und schlägt Strategien zum Sichern der Daten vor, wenn diese übertragen und auf Clientgeräte geschrieben werden. • Kommunikation zwischen dem Webinterface-Server und MetaFrame Presentation Server: Beschreibt das Sichern der Authentifizierung und der Informationen zu veröffentlichten Anwendungen, die zwischen dem Webinterface-Server und der MetaFrame-Farm ausgetauscht werden. • Kommunikation zwischen der Clientsitzung und MetaFrame Presentation Server: Erläutert Risiken, die mit dem Übertragen von Clientsitzungsinformationen zwischen Clients und Servern verbunden sind, und beschreibt die Implementierung der Webinterface- und MetaFrame-Sicherheitsfunktionen zum Schutz dieser Daten. In dieser Darstellung wird die Interaktion zwischen dem Server, auf dem MetaFrame Presentation Server ausgeführt wird, und dem Webinterface-Server erläutert. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 133 Sicherheitsprotokolle und Citrix Sicherheitslösungen In diesem Abschnitt werden einige der Sicherheitsprotokolle und der Citrix Lösungen beschrieben, mit denen die Webinterface-Bereitstellung gesichert werden kann. Der Abschnitt enthält einführende Informationen zu den SSL- und TLSSicherheitsprotokollen, Citrix SSL-Relay, Secure Gateway und der ICA-Verschlüsselung. Außerdem erhalten Sie Verweise zu weiteren Informationen über diese Technologien. SSL Das SSL-Protokoll (Secure Sockets Layer) sichert die Datenkommunikation in Netzwerken. SSL bietet Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität. SSL verschlüsselt Nachrichten mit Kryptografie, authentifiziert die Identität und gewährleistet die Integrität der Inhalte. Dies schützt vor Abhören, falschem Weiterleiten und Datenmanipulation. SSL prüft die Identität mit Zertifikaten, die öffentliche Schlüssel enthalten und von Zertifizierungsstellen ausgegeben werden. Weitere Informationen zu SSL, Kryptografie und Zertifikaten finden Sie im MetaFrame Presentation Server-Administratorhandbuch, im Citrix SSL-Relay für UNIX-Administratorhandbuch und im Secure Gateway-Administratorhandbuch. TLS TLS (Transport Layer Security) ist die neueste, standardisierte Version des SSLProtokolls. Die Organisation IETF (Internet Engineering Taskforce) hat das Protokoll nach der Übernahme der Verantwortung für die Entwicklung von SSL als einen offenen Standard in TLS umbenannt. TLS bietet wie SSL Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfung der Nachrichtenintegrität. Unterstützung für TLS Version 1.0 ist in Feature Release 2 von MetaFrame Presentation Server enthalten. Da zwischen SSL Version 3.0 und TLS Version 1.0 nur geringfügige technische Unterschiede bestehen, können die Serverzertifikate, die Sie für SSL in Ihrer Installation verwenden, auch für TLS eingesetzt werden. Einige Organisationen, u. a. Behörden der US-Regierung, verlangen den Einsatz von TLS zur Sicherung der Datenkommunikation. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS (Federal Information Processing Standard) ist ein Kryptografiestandard. Hinweis: Auf UNIX-Plattformen unterstützt das Webinterface SSL- bzw. TLSZertifikatschlüssel von maximal 2048 Bit. 134 Webinterface-Administratorhandbuch Gehe zu Document Center Citrix SSL-Relay Das Citrix SSL-Relay ist eine Komponente von MetaFrame Presentation Server, die SSL zum Sichern der Kommunikation zwischen Webinterface-Servern und Serverfarmen verwendet. Das Citrix SSL-Relay stellt Serverauthentifizierung, Datenverschlüsselung und Nachrichtenintegrität für TCP/IP-Verbindungen zur Verfügung. Das SSL-Relay wird durch den Citrix XTE-Dienst bereitgestellt. Das Citrix SSL-Relay vermittelt die Kommunikation zwischen dem WebinterfaceServer und dem Citrix XML-Dienst. Bei Verwendung des Citrix SSL-Relays überprüft der Webserver zuerst die Identität des Citrix SSL-Relays, indem das Serverzertifikat des Relays mit einer Liste der vertrauenswürdigen Zertifizierungsstellen verglichen wird. Nach dieser Authentifizierung handeln der Webserver und das Citrix SSL-Relay eine Verschlüsselungsmethode für die Sitzung aus. Der Webserver sendet dann alle Informationsanfragen in verschlüsselter Form an das Citrix SSL-Relay. Das Citrix SSL-Relay entschlüsselt die Anfragen und übergibt sie an den Citrix XML-Dienst. Bei der Rückgabe der Informationen an den Webserver sendet der Server alle Informationen über den Citrix SSL-Relay-Server, der die Daten verschlüsselt und an den Webserver zur Entschlüsselung weiterleitet. Nachrichtenintegritätsprüfungen stellen sicher, dass die Kommunikation nicht manipuliert wurde. Weitere Informationen zum Citrix SSL-Relay finden Sie im MetaFrame Presentation Server-Administratorhandbuch oder im Citrix SSL-Relay für UNIXAdministratorhandbuch. ICA-Verschlüsselung (Citrix SecureICA) Mit der ICA-Verschlüsselung (Citrix SecureICA) können die zwischen einem Server und einem Client übermittelten Informationen verschlüsselt werden. Für unbefugte Benutzer ist es daher schwierig, eine verschlüsselte Übertragung zu interpretieren. ICA-Verschlüsselung sichert Vertraulichkeit und schützt vor einem möglichen Abhören. Es bestehen jedoch weitere Sicherheitsrisiken und die Verwendung von Verschlüsselung ist nur ein Aspekt einer umfassenden Sicherheitsrichtlinie. Im Gegensatz zu SSL/TLS wird bei ICA-Verschlüsselung der Server nicht authentifiziert. Informationen könnten theoretisch im Netzwerk abgefangen und an einen falschen Server weitergeleitet werden. Bei ICA-Verschlüsselung wird auch die Integrität nicht überprüft. ICA-Verschlüsselung steht nicht auf Servern mit MetaFrame Presentation Server für UNIX zur Verfügung. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 135 Secure Gateway Secure Gateway stellt zusammen mit dem Webinterface einen einzigen sicheren, verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit. Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten Clients und Servern. Die Datenübertragungen über das Internet zwischen den Clientgeräten und dem Secure Gateway-Server werden mit SSL/TLS verschlüsselt. Dies ermöglicht es dem Benutzer, ohne Gefährdung der Sicherheit remote auf Informationen zuzugreifen. Secure Gateway vereinfacht auch die Zertifikatverwaltung, da nur der Secure Gateway-Server und nicht jeder Server in der Serverfarm ein Serverzertifikat benötigt. In dieser Abbildung wird dargestellt, wie Secure Gateway die Kommunikation zwischen SSL/TLS-aktivierten Clients und Servern sichert. Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway mit der Access Suite Console finden Sie unter „Bearbeiten der Secure Gateway-Einstellungen“ auf Seite 82. Sichern der Webinterface-Kommunikation Bei der Verwendung des Webinterface können Sie die Kommunikation zwischen Client und Server folgendermaßen sichern: • Weisen Sie Benutzer an, eine Verbindung zu Webinterface-Seiten mit HTTPS (sicheres HTTP) herzustellen. Ein SSL-Zertifikat muss in IIS (InternetInformationsdienste) installiert sein, um eine sichere HTTP-Verbindung zu ermöglichen. • Konfigurieren Sie Webinterface-Ticketing, um die direkte Kommunikation zwischen den Clients und den Servern weiter zu sichern. • Konfigurieren Sie das Webinterface für die Verwendung des Citrix SSL-Relays für die Verschlüsselung zwischen dem Webinterface-Server und den Servern. 136 Webinterface-Administratorhandbuch Gehe zu Document Center Tipp: Sperren Sie Port 1494 und öffnen Sie Port 2598, um sicherzustellen, dass nur ICA-Verbindungen, die SSL (normalerweise Port 443) verwenden, an der Firewall zugelassen werden. Sichern von Program Neighborhood Agent mit SSL Wenn Sie die Kommunikation zwischen Program Neighborhood Agent und dem Webinterface-Server mit SSL sichern möchten, legen Sie für die URLs in den folgenden Parametern in der Datei Config.xml die Verwendung von HTTPS fest. Möglicherweise sind nicht alle Parameter in Ihrer Version der Datei angegeben. • FolderDisplay/DesktopDisplay/Icon/Location • ConfigurationFile/Location • Request/Enumeration/Location • Request/Resource/Location Wenn Sie die Verbindung zwischen Program Neighborhood Agent und dem Server mit SSL sichern möchten, folgen Sie den unter „Verwalten des sicheren Clientzugriffs“ auf Seite 80 angeführten Anweisungen zur Konfiguration des Webinterface für SSL. Aktivieren Sie SSL aktivieren auf der Registerkarte ICA-Clientoptionen im Dialogfeld für Anwendungseigenschaften in der Managementkonsole. Beispiel Wenn die Zeile Request/Resource/Location <Location>http:// server3.eng.citrix.com/Citrix/PNAgent/launch.aspx</Location> lautet, ändern Sie diese zu <Location>https://server3.eng.citrix.com/Citrix/PNAgent/launch.aspx </Location>. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 137 Kommunikation zwischen dem Clientgerät und dem Webinterface-Server Bei der Kommunikation zwischen MetaFrame Presentation Server-Clientgeräten und dem Server, auf dem das Webinterface ausgeführt wird, werden verschiedene Datentypen übergeben. Wenn sich der Benutzer identifiziert, nach Anwendungen sucht und dann eine Anwendung für die Ausführung auswählt, tauschen der Webbrowser und der Webserver Anmeldeinformationen, Anwendungsgruppenlisten und Dateien für die Sitzungsinitialisierung aus. Die folgenden Daten werden im Rahmen dieser Übertragungen auf dem Netzwerk weitergeleitet: • HTML-Formulardaten: Webinterface-Sites übertragen die Anmeldeinformationen des Benutzers zum Anmeldezeitpunkt mithilfe eines HTML-Standardformulars vom Webbrowser an den Webserver. Das Webinterface-Formular übergibt den Namen und die Anmeldeinformationen des Benutzers im Klartext. • HTML-Seiten und Sitzungscookies: Wenn der Benutzer Anmeldeinformationen auf der Seite Anmeldung eingegeben hat, werden die Anmeldeinformationen auf dem Webserver gespeichert und von einem Sitzungscookie geschützt. Die HTML-Seiten, die vom Webserver an den Browser gesendet werden, enthalten Anwendungsgruppen. Diese Seiten führen die Anwendungen auf, die für den Benutzer verfügbar sind. • ICA-Dateien: Wenn der Benutzer eine Anwendung auswählt, sendet der Webserver eine ICA-Datei für diese Anwendung an den Browser. Die ICADatei enthält ein Ticket, das für die Anmeldung am Server verwendet werden kann (außer bei Smartcard-Authentifizierung). ICA-Dateien enthalten keine Tickets zur Passthrough-Authentifizierung. Risiken Angreifer können Webinterface-Daten abfangen, wenn diese im Netzwerk zwischen dem Webserver und dem Browser übertragen oder auf das Clientgerät geschrieben werden: • Ein Angreifer kann Anmeldedaten, das Sitzungscookie und HTML-Seiten abfangen, die zwischen dem Webserver und dem Webbrowser übermittelt werden. • Zwar ist das vom Webinterface verwendete Sitzungscookie temporär und wird entfernt, wenn der Benutzer den Webbrowser schließt; ein Angreifer mit Zugriff auf den Webbrowser des Clientgeräts kann das Cookie jedoch abrufen und möglicherweise die Anmeldeinformationen verwenden. 138 Webinterface-Administratorhandbuch Gehe zu Document Center • Die ICA-Datei enthält zwar keine Anmeldeinformationen aber ein Einmalticket, das standardmäßig nach 200 Sekunden ungültig wird. Ein Angreifer kann theoretisch mit der abgefangenen ICA-Datei eine Verbindung zum Server herstellen, bevor der autorisierte Benutzer mit dem Ticket eine Verbindung herstellt. • Wenn Single Sign-On aktiviert ist, könnte ein Angreifer dem Benutzer eine ICA-Datei übermitteln, die die Anmeldeinformationen des Benutzers an einen nicht autorisierten oder falschen Server weiterleitet. Empfehlungen Die folgenden Empfehlungen kombinieren Sicherheitspraktiken gemäß dem Industriestandard und von Citrix zur Verfügung gestellte Sicherheitsmaßnahmen, um die Daten zu schützen, die zwischen Clientgeräten und dem Webserver übertragen werden, sowie die Daten, die auf Clientgeräte geschrieben werden. Implementieren SSL/TLS-aktivierter Webserver und Webbrowser Das Sichern der Webserver-zu-Webbrowser-Komponente der WebinterfaceKommunikation beginnt mit dem Implementieren sicherer Webserver und Webbrowser. Viele sichere Webserver verwenden die SSL/TLS-Technologie zum Sichern des Webverkehrs. In einer typischen Webserver-zu-Webbrowser-Transaktion überprüft der Webbrowser zuerst die Identität des Webservers, indem er das Zertifikat des Webservers mit einer Liste der vertrauenswürdigen Zertifizierungsstellen vergleicht. Nach dieser Überprüfung verschlüsselt der Webbrowser Seitenanfragen des Benutzers und entschlüsselt dann die Dokumente, die vom Webserver zurückgegeben werden. Am Ende der Transaktion stellen TLS- oder SSL-Nachrichtenintegritätsprüfungen sicher, dass die Daten bei der Übertragung nicht manipuliert wurden. In einer Webinterface-Bereitstellung wird durch Authentifizierung und Verschlüsselung mit SSL/TLS eine sichere Verbindung hergestellt, über die der Benutzer Anmeldeinformationen übergeben kann, die auf der Seite Anmelden eingegeben werden. Daten, die vom Webserver gesendet werden, einschließlich des Cookies mit den Anmeldeinformationen, der ICA-Dateien und der HTMLAnwedungslistenseiten, sind gleichfalls sicher. Zur Implementierung der SSL/TLS-Technologie im Netzwerk sind ein SSL/TLS-aktivierter Webserver und SSL/TLS-aktivierte Webbrowser erforderlich. Die Verwendung dieser Produkte ist für das Webinterface transparent. Webserver oder Webbrowser müssen nicht für das Webinterface konfiguriert werden. Weitere Informationen zur Konfiguration des Webservers für die Unterstützung von SSL/TLS finden Sie in der Webserverdokumentation. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 139 Wichtig: Viele SSL/TLS-aktivierte Webserver verwenden den TCP/IP-Port 443 für die HTTP-Kommunikation. Standardmäßig verwendet das Citrix SSL-Relay ebenfalls diesen Port. Wenn der Webserver gleichzeitig ein Server ist, auf dem das Citrix SSL-Relay ausgeführt wird, stellen Sie sicher, dass der Webserver oder das Citrix SSL-Relay einen anderen Port verwendet. Deaktivieren der Passthrough-Authentifizierung Passthrough-Authentifizierung darf in einer sicheren Installation nicht aktiviert werden, um ein mögliches Weiterleiten der Anmeldeinformationen der Benutzer an einen nicht autorisierten oder falschen Server zu verhindern. Aktivieren Sie diese Funktion nur in einem kleinen, vertrauenswürdigen Umfeld. Kommunikation zwischen dem Webinterface-Server und MetaFrame Presentation Server Bei der Kommunikation zwischen dem Server und dem Webinterface-Server in einer Webinterface-Bereitstellung werden Anmeldeinformationen der Benutzer und Anwendungsgruppeninformationen zwischen den Webinterface-Klassen auf dem Server und dem Citrix XML-Dienst in der MetaFrame-Farm übergeben. In einer typischen Webinterface-Sitzung übergeben die Klassen für die Benutzerauthentifizierung Anmeldeinformationen an den Citrix XML-Dienst und der Citrix XML-Dienst gibt Anwendungsgruppeninformationen zurück. Der Server und die MetaFrame-Farm übergeben die Informationen mit einer TCP/IP-Verbindung und dem Citrix XML-Protokoll. Risiken Das Webinterface-XML-Protokoll verwendet Klartext für den Austausch aller Daten mit Ausnahme von Kennwörtern, die in schwach verschlüsselter Form übergeben werden. Die XML-Kommunikation bietet folgende Schwachstellen: • Ein Angreifer kann den XML-Verkehr abfangen und auf diese Weise Anwendungsgruppeninformationen und Tickets erhalten. Ein Angreifer mit der Fähigkeit, die schwache Verschlüsselung aufzulösen, kann außerdem Anmeldeinformationen erhalten. • Ein Angreifer kann die Identität des Servers annehmen und Authentifizierungsanfragen abfangen. 140 Webinterface-Administratorhandbuch Gehe zu Document Center Empfehlungen Citrix empfiehlt die Implementierung einer der folgenden Sicherheitsmaßnahmen zum Sichern der XML-Datenübertragungen zwischen dem Webserver und der Serverfarm: • Verwenden Sie das Citrix SSL-Relay als Sicherheitsbarriere zwischen dem Webserver und der Serverfarm. Das Citrix SSL-Relay führt die Hostauthentifizierung und Datenverschlüsselung aus. • Führen Sie in Bereitstellungen, die das Ausführen des Citrix SSL-Relays nicht unterstützen, den Webinterface-Server auf dem Server aus, auf dem MetaFrame Presentation Server ausgeführt wird. • Verwenden Sie das HTTPS-Protokoll für das Übermitteln von WebinterfaceDaten über eine sichere HTTP-Verbindung mit SSL, wenn IIS für einen anderen Zweck auf dem Server installiert ist. Verwenden des Citrix SSL-Relays Das Citrix SSL-Relay ist eine Standardkomponente von MetaFrame Presentation Server. Auf MetaFrame 1.8-Servern müssen Sie Citrix MetaFrame 1.8 Service Pack 2 oder höher installieren, um das Citrix SSL-Relay verwenden zu können. Auf MetaFrame 1.1 für UNIX müssen Sie Feature Release 1 oder höher für das Verwenden des Citrix SSL-Relays installieren. Zusätzlich muss eine Lizenz für Feature Release 1 auf allen Servern mit MetaFrame 1.8 oder MetaFrame Presentation Server für UNIX installiert und aktiviert sein. Auf der Serverseite müssen Sie ein Serverzertifikat auf dem Citrix SSL-RelayServer installieren und die Konfiguration des Citrix SSL-Relay-Servers überprüfen. Weitere Informationen zum Installieren von Serverzertifikaten und Konfigurieren des Citrix SSL-Relays auf Servern finden Sie im MetaFrame Presentation ServerAdministratorhandbuch. Sie finden zusätzliche Informationen in der Onlinehilfe für das Citrix SSL-Relay-Konfigurationstool. Informationen zu Servern mit MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für UNIX-Administratorhandbuch. Stellen Sie bei der Konfiguration des Citrix SSL-Relays sicher, dass der Citrix SSLRelay-Server die Weiterleitung von SSL-Datenübertragungen an die Server zulässt, die Sie als Kontaktpunkt für den Citrix XML-Dienst verwenden. Standardmäßig leitet das Citrix SSL-Relay den Datenverkehr nur an den Server weiter, auf dem das Relay installiert ist. Das Citrix SSL-Relay kann jedoch für das Weiterleiten von Datenverkehr an andere Server konfiguriert werden. Wenn das Citrix SSL-Relay auf einem Gerät installiert ist, an das Sie keine Webinterface-Daten senden möchten, vergewissern Sie sich, dass der Server, an den Sie Webinterface-Daten weiterleiten möchten, in der Serverliste des Citrix SSL-Relays aufgeführt ist. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 141 Sie können das Webinterface für die Verwendung des Citrix SSL-Relays mit der Access Suite Console oder der Datei WebInterface.conf konfigurieren. Weitere Informationen zur Verwendung der Konsole finden Sie unter „Verwalten von Serverfarmen“ auf Seite 54. So konfigurieren Sie das Webinterface für die Verwendung des Citrix SSLRelays mit der Datei WebInterface.conf: 1. Öffnen Sie die Datei WebInterface.conf. 2. Ändern Sie die Einstellung SSLRelayPort im Parameter Farm<n> zur Portnummer des Citrix SSL-Relays auf dem Server. 3. Ändern Sie den Wert der Einstellung Transport im Parameter Farm<n> zu SSL. 4. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Tipp: Ein Beispiel dafür, wie Sie das Webinterface für die Verwendung des Citrix SSL-Relays mit der Datei WebInterface.conf konfigurieren, finden Sie unter „Konfigurieren der Citrix SSL-Relay-Kommunikation“ auf Seite 122. Hinzufügen von Zertifikaten auf dem Webinterface-Server Unter UNIX enthält das Webinterface systemeigene Unterstützung für die folgenden Zertifizierungsstellen: • VeriSign, Inc., http://www.verisign.com • Baltimore Technologies, http://www.baltimore.com Wenn Sie Unterstützung für andere Zertifizierungsstellen hinzufügen möchten, müssen Sie dem Webinterface-Server das Stammzertifikat der betreffenden Zertifizierungsstelle hinzufügen. So fügen Sie dem Webinterface-Server ein neues Stammzertifikat hinzu: 1. Kopieren Sie das Stammzertifikat auf den Webserver. • Unter Windows wird das Zertifikat mit dem Snap-In Zertifikate der Microsoft Management Console (MMC) kopiert. • Kopieren Sie das Zertifikat auf UNIX-Geräten in das Verzeichnis ./cacerts. Informationen zu Zertifikaten finden Sie im Installationskapitel im MetaFrame Presentation Server-Administratorhandbuch. Informationen zu Servern mit MetaFrame Presentation Server für UNIX finden Sie im Citrix SSL-Relay für UNIX-Administratorhandbuch. 142 Webinterface-Administratorhandbuch Gehe zu Document Center Aktivieren des Webinterface-Servers auf dem MetaFrame-Server In Bereitstellungen, die das Ausführen des Citrix SSL-Relays nicht unterstützen, kann ein Netzwerkangriff verhindert werden, indem ein Webserver auf dem Server ausgeführt wird, der die Webinterface-Daten zur Verfügung stellt. Wenn Sie die Webinterface-Sites auf einem solchen Webserver hosten, werden alle WebinterfaceAnfragen an den Citrix XML-Dienst auf dem lokalen Host geroutet; auf diese Weise entfällt die Übertragung von Webinterface-Daten über das Netzwerk. Die Vorteile, die sich aus dem Wegfall der Netzwerkübertragung ergeben, müssen gegen das Risiko von Angriffen auf den Webserver abgewogen werden. Hinweis: Bei der Installation von MetaFrame Presentation Server-Systemen können Sie erzwingen, dass der Citrix XML-Dienst denselben TCP/IP-Port wie IIS verwendet. Wenn Sie diese Portfreigabe aktivieren, verwenden der Citrix XMLDienst und der Webserver standardmäßig denselben Port. Als Mindestsicherung können Sie sowohl den Webserver als auch den MetaFrameServer hinter einer Firewall einrichten, damit die Kommunikation zwischen den Servern nicht im Internet offenbart wird. In diesem Szenario müssen die Clientgeräte in der Lage sein, durch die Firewall mit dem Webserver und dem MetaFrame-Server zu kommunizieren. Die Firewall muss HTTP-Datenübertragungen für die Kommunikation zwischen Clientgerät und Webserver zulassen (meist über den HTTP-Standardport 80 oder 443, wenn ein sicherer Webserver verwendet wird). Für die Kommunikation zwischen Clients und Servern muss die Firewall eingehende ICA-Datenübertragungen an den Ports 1494 und 2598 zulassen. Weitere Informationen zur Verwendung von ICA mit Netzwerkfirewalls finden Sie in der Serverdokumentation. Weitere Informationen zur Verwendung des Webinterface mit der Netzwerkadressübersetzung finden Sie im Handbuch Customizing the Web Interface. Verwenden des HTTPS-Protokolls Sie können mit dem HTTPS-Protokoll die zwischen dem Webserver und dem MetaFrame-Server übergebenen Webinterface-Daten sichern. HTTPS bietet mit SSL/TLS starke Verschlüsselung der Daten. Der Webserver stellt eine HTTPS-Verbindung zu IIS auf dem MetaFrame-Server her. Hierfür ist die IIS-Portfreigabe auf dem MetaFrame-Server und das Aktivieren von SSL für den auf dem MetaFrame-Server ausgeführten IIS erforderlich. Der Servername, den Sie mit der Konsole oder in der Datei WebInterface.conf im Parameter Farm festlegen, muss ein vollqualifizierter DNS-Name sein, der dem Namen auf dem SSL-Serverzertifikat von IIS entspricht. Die Adresse des Citrix XML-Dienstes lautet: https://<Servername>/scripts/wpnbr.dll. Gehe zu Document Center Kapitel 5 Konfigurieren der Webinterface-Sicherheit 143 Weitere Informationen zur Konfiguration des Webinterface für die Verwendung des HTTPS-Protokolls mit der Access Suite Console finden Sie unter „Verwalten des sicheren Clientzugriffs“ auf Seite 80. So konfigurieren Sie das Webinterface für die Verwendung von HTTPS mit der Datei WebInterface.conf: 1. Öffnen Sie die Datei WebInterface.conf. 2. Ändern Sie den Wert der Einstellung Transport im Parameter Farm<n> zu HTTPS. 3. Starten Sie den Webserver neu, um die Änderungen zu übernehmen. Kommunikation zwischen der Clientsitzung und MetaFrame Presentation Server Bei der Webinterface-Kommunikation zwischen Clientgeräten und Servern werden verschiedene Typen von Clientsitzungsdaten übergeben, einschließlich Initialisierungsanfragen und Clientsitzungsinformationen. • Initialisierungsanfragen: In der ersten Phase beim Herstellen einer Clientsitzung, die Initialisierung genannt wird, fordert der Client eine Clientsitzung an und übergibt eine Liste der Konfigurationsparameter für die Sitzung. Diese Parameter steuern zahlreiche Aspekte der Clientsitzung, u. a. welcher Benutzer angemeldet wird, die Größe des angezeigten Fensters und das in der Sitzung ausgeführte Programm. • Clientsitzungsinformationen: Nach der Clientsitzungsinitialisierung übergibt der Client Tastatur- und Mauseingaben des Benutzers als grafische Aktualisierungen des Benutzerclients an den Server. Risiken Um die Netzwerkkommunikation zwischen dem Client und dem Server abzufangen und zu interpretieren, muss ein Angreifer in der Lage sein, das binäre Clientprotokoll zu entschlüsseln. Ein Angreifer, der das binäre Clientprotokoll kennt, kann folgende Informationen abfangen: • Informationen zu den Initialisierungsanforderungen, die vom Client gesendet werden, einschließlich der Anmeldeinformationen • Clientsitzungsinformationen, einschließlich des vom Benutzer eingegebenen Texts und der vom Benutzer eingegebenen Mausklicks, sowie Bildschirmaktualisierungen, die vom Server gesendet werden 144 Webinterface-Administratorhandbuch Gehe zu Document Center Empfehlungen Verwenden von SSL/TLS- oder ICA-Verschlüsselung Citrix empfiehlt die Implementierung von SSL/TLS- oder ICA-Verschlüsselung zum Sichern der Datenübertragungen zwischen den Clients und den Servern. Beide Verfahren unterstützen die Verschlüsselung des Datenstroms zwischen dem Client und dem Server mit 128 Bit. SSL/TLS unterstützt außerdem die Überprüfung der Identität des Servers. Unterstützung für SSL ist in Feature Release 1 für MetaFrame XP oder höher und Feature Release 1 für MetaFrame für UNIX oder höher enthalten. SSL/TLS wird von Feature Release 2 für MetaFrame XP oder höher unterstützt. Unterstützung für ICA-Verschlüsselung ist in Feature Release 1 für MetaFrame 1.8 und MetaFrame Presentation Server oder höher enthalten. Informationen darüber, welche Clients welche Verfahren unterstützen, finden Sie in der Clientdokumentation oder auf der Citrix Download-Website. Weitere Informationen zur ICA-Verschlüsselung finden Sie im MetaFrame Presentation Server-Administratorhandbuch. Verwenden von Secure Gateway Mit Secure Gateway können Sie die Datenübertragung über das Internet zwischen den Clients und den Servern sichern. Secure Gateway ist ein sicheres Internetgateway zwischen SSL/TLS-aktivierten Clients und Servern. Weitere Informationen zu Secure Gateway finden Sie im Secure GatewayAdministratorhandbuch. Weitere Informationen zur Konfiguration des Webinterface für Secure Gateway mit der Access Suite Console finden Sie unter „Konfigurieren der Secure Gateway-Unterstützung“ auf Seite 122. Allgemeine Sicherheitsüberlegungen Citrix empfiehlt, dass Sie genauso wie bei jedem Windows-basierten Server die Microsoft Standardrichtlinien für die Konfiguration des Windows-Servers einhalten. Stellen Sie sicher, dass für alle Komponenten immer die neuesten Patches installiert sind. Weitere Details und die neuesten Download-Empfehlungen finden Sie auf der Microsoft-Website unter http://support.microsoft.com. Gehe zu Document Center KAPITEL 6 Verwenden von Program Neighborhood Agent Übersicht In diesem Kapitel wird Program Neighborhood Agent und die Konfiguration dieser Funktion mit der Datei Config.xml erläutert. Unter anderem werden folgende Themen behandelt: • Verwenden von Program Neighborhood Agent • Konfigurieren des Webinterface mit der Access Suite Console • Verwenden der Datei Config.xml • Konfigurieren des Webinterface mit Program Neighborhood Agent • Sichern von Program Neighborhood Agent mit SSL 146 Webinterface-Administratorhandbuch Gehe zu Document Center Verwenden von Program Neighborhood Agent Mithilfe von Program Neighborhood Agent können Benutzer auf veröffentlichte Anwendungen direkt vom Windows-Desktop ohne einen Webbrowser zugreifen. Sie können remote konfigurieren, dass Links zu veröffentlichten Anwendungen im Startmenü, auf dem Windows-Desktop oder im Windows-Infobereich erstellt werden. Die Oberfläche von Program Neighborhood Agent kann auch „gesperrt“ werden, um eine falsche Konfiguration von Seiten der Benutzer zu verhindern. Sie können Program Neighborhood Agent sowohl mit der Access Suite Console als auch mit der Datei Config.xml konfigurieren. Aus Sicherheitsgründen können sich Benutzer nicht über Program Neighborhood Agent anmelden, wenn das Webinterface RSASecurID-Authentifizierung verwendet. Konfigurieren des Webinterface mit der Access Suite Console Program Neighborhood Agent ist mit standardmäßigen Präsentationseinstellungen, Authentifizierungsmethoden und Serververbindungsoptionen konfiguriert. Mit der Access Suite Console können die Standardeinstellungen so eingestellt werden, dass Benutzer bestimmte Optionen nicht ändern können. Mit der Konsole können Sie mehrere Konfigurationsdateien erstellen, die in demselben Verzeichnis auf dem Webinterface-Server gespeichert werden. Sie können Konfigurationsdateien erstellen und löschen und Werte von einer bestimmten Konfigurationsdatei laden oder in einer bestimmten Konfigurationsdatei speichern. Die Konsole zeigt an, welche Konfigurationsdatei jeweils zurzeit geladen ist. Die Standardkonfigurationsdatei ist Config.xml. Weitere Informationen zur Verwendung der Konsole finden Sie unter „Konfigurieren von Sites mit der Access Suite Console“ auf Seite 50. Verwenden der Datei Config.xml Sie können Program Neighborhood Agent auch mit der Datei Config.xml konfigurieren, die sich im Verzeichnis wwwroot\Citrix\PNAgent auf dem Webinterface-Server befindet. Die Datei Config.xml enthält zahlreiche Parameter, die in acht Kategorien unterteilt sind: Gehe zu Document Center Kapitel 6 Verwenden von Program Neighborhood Agent 147 • FolderDisplay: Gibt an, wo Anwendungssymbole angezeigt werden: im Startmenü, auf dem Windows-Desktop oder im Infobereich. Sie können auch mit zusätzlichen Parametern einen bestimmten Ordner im Startmenü und die auf dem Windows-Desktop zu verwendeten Symbole angeben. Diese Parameter entsprechen den Optionen auf der Registerkarte Anwendungsanzeige im Dialogfeld Program Neigborhood Agent - Eigenschaften. • DesktopIntegration: Bearbeiten Sie diesen Parameter nicht. • ConfigurationFile: Ermöglicht die Angabe einer anderen URL für die Datei Config.xml des zukünftig verwendeten Clients. Dies vereinfacht ein Verlagern der Benutzer auf einen anderen Webinterface-Server. • Request: Gibt an, von welcher Stelle der Client die Informationen zu veröffentlichten Anwendungen anfordert und wie oft die Informationen aktualisiert werden. • Logon: Gibt die verwendete Anmeldemethode an. • UserInterface: Gibt an, ob für den Benutzer bestimmte Optionen in der Program Neighborhood Agent-Oberfläche ein- oder ausgeblendet werden. • FileCleanup: Bearbeiten Sie diesen Parameter nicht. • ICA_Options: Gibt die Audio- und Videooptionen für die Clientverbindungen an. Dieser Parameter entspricht den Optionen auf der Registerkarte ICAOptionen im Dialogfeld Program Neighborhood Agent - Eigenschaften. Weitere Informationen zum Verwenden der Datei Config.xml finden Sie im Client für 32-Bit-Windows-Administratorhandbuch. Konfigurieren des Webinterface mit Program Neighborhood Agent Bestimmte Einstellungen in der Datei WebInterface.conf wirken sich auf die Überprüfung der Anfragen von Program Neighborhood Agent aus. Citrix empfiehlt, dass die Einstellungen in der Datei WebInterface.conf mit den Einstellungen der Datei Config.xml in Program Neighborhood Agent übereinstimmen. In diesem Abschnitt wird die Konfiguration der Einstellungen in der Datei WebInterface.conf mit Program Neighborhood Agent erläutert. So konfigurieren Sie das Webinterface bei Verwendung von Program Neighborhood Agent: 1. Öffnen Sie die Datei WebInterface.conf. 2. Suchen Sie die folgenden Parameter: 148 Webinterface-Administratorhandbuch Gehe zu Document Center • AuthenticationMethods • ForceLoginDomain • LoginType • NDSTreeName Die folgende Tabelle erläutert die Parameter (in alphabetischer Reihenfolge), die Werte, die sich auf die Einstellungen von Program Neighborhood Agent auswirken, und die empfohlenen Einstellungen: Parameter Wert Empfohlene Einstellung AuthenticationMethods Nicht zutreffend Verwenden Sie dieselbe Authentifizierungsmethode, die im Webinterface konfiguriert wurde. Die Authentifizierung schlägt fehl, wenn sich diese Methode von der in Config.xml unterscheidet. ForceLoginDomain Nicht zutreffend Dieses Feld verhindert, dass sich Benutzer von Program Neighborhood Agent mit einer anderen Domäne authentifizieren können. LoginType NDS NDS muss in der Datei Config.xml aktiviert sein. NDSTreeName Nicht zutreffend Der Parameter DefaultTree im Abschnitt Logon der Datei Config.xml muss dieselbe Einstellung haben. 3. Starten Sie den Webinterface-Server neu, um die Änderungen zu übernehmen. Weitere Informationen zu den Einstellungen in der Datei Config.xml finden Sie im Client für 32-Bit-Windows-Administratorhandbuch. Weitere Informationen zu den Einstellungen in der Datei WebInterface.conf finden Sie unter „Konfigurieren des Webinterface mit der Konfigurationsdatei“ auf Seite 105. Sichern von Program Neighborhood Agent mit SSL Wenn Sie die Kommunikation zwischen Program Neighborhood Agent und dem Webinterface-Server mit SSL sichern möchten, legen Sie für die URLs in den folgenden Parametern in der Datei Config.xml die Verwendung von HTTPS fest. Möglicherweise sind nicht alle Parameter in Ihrer Version der Datei angegeben. • FolderDisplay/DesktopDisplay/Icon/Location • ConfigurationFile/Location • Request/Enumeration/Location • Request/Resource/Location Gehe zu Document Center Kapitel 6 Verwenden von Program Neighborhood Agent 149 Wenn Sie die Verbindung zwischen Program Neighborhood Agent und dem Server mit SSL sichern möchten, folgen Sie den unter „Verwalten des sicheren Clientzugriffs“ auf Seite 80 angeführten Anweisungen zur Konfiguration des Webinterface für SSL. Aktivieren Sie SSL aktivieren auf der Registerkarte ICA-Clientoptionen im Dialogfeld für Anwendungseigenschaften in der Managementkonsole. Beispiel Wenn die Zeile Request/Resource/Location <Location>http:// server3.eng.citrix.com/Citrix/PNAgent/launch.aspx</Location> lautet, ändern Sie diese zu <Location>https://server3.eng.citrix.com/Citrix/PNAgent/launch.aspx </Location>. 150 Webinterface-Administratorhandbuch Gehe zu Document Center Gehe zu Document Center 151 Index A C Access Suite Console 48 Erste Schritte 51 Informationen 48 Verwenden 50 Acrobat Reader Anforderungen 11 Adressübersetzung Bearbeiten 84 Konfigurieren 80 Zuordnung 84 Aktualisieren 32 Anmeldeseite Festlegen als Standard 123 Anonyme Authentifizierung 61 Sicherheitsüberlegungen 61 Anwendungsaktualisierung Optionen 99 Anwendungsgruppen 20 Anwendungsverknüpfungen Verwalten 78 Anwendungsveröffentlichung 19 Appsrv.ini-Datei Bearbeitung für Passthrough 67 Bearbeitung zur Unterstützung von Smartcards 63 Authentifizierung Anonym 61 Empfehlungen 61 Explizit 60, 68 Konfigurieren 60 Methoden 60 Passthrough 60, 66 Passthrough mit Smartcard 60 Smartcard 61 Zugriff bestätigen 60, 68 Zwei-Faktor 69 Citrix SSL-Relay Konfigurieren des Webinterface 58, 122 siehe auch SSL Übersicht 134 Citrix XML-Dienst Anzeigen der Portzuordnung 32 Konfigurieren der Fehlertoleranz 56 Konfigurieren der Kommunikation 121 Rolle im Webinterface 20 TCP/IP-Portkonfiguration 57 Client für Java Bereitstellung von Komponenten 90 Übersicht 129 Verwenden von privaten Stammzertifikaten 92 Client für Win32 Automatisches Bereitstellen 87 Installationsdateien 127 Konfiguration für Passthrough 67 Konfiguration zur Unterstützung von Smartcards 63 Program Neighborhood Agent 130 Clientbereitstellung Verwalten 85 Clientdateien Kopieren auf den Server 126 Clientgeräte Anforderungen 31 Rolle im Webinterface 20 Sicherheit 137, 143 Clientinstallation 89 Clientkonfigurationsdateien Verwalten 98 Clients Anpassen durch den Benutzer 96 Bereitstellen mit benutzerdefinierten Zertifikaten 92 Downloadeinstellungen 89 Installieren 89 Clientseitige Proxyeinstellungen Bearbeiten 94 Config.xml 49, 130 Informationen 146 Cookies 137 B Bandbreitensteuerung 97 Befehlszeile 38 Benutzeranforderungen 30 152 Webinterface-Administratorhandbuch Gehe zu Document Center D I Darstellung für den Benutzer Anpassen 79 Deinstallieren 46 Deinstallieren von Sites 104 Dell Axim Anforderungen 30 Diagnoseprotokollierung Steuern 103 Discovery 51 DMZ-Einstellungen Bearbeiten 81 Dokumentation Andere Quellen 10 Domänenbasierte Authentifizierung von Microsoft 69 Durchführen der Discovery 41, 51 Durchführen und Konfigurieren von Discovery 41, 51 ICA-Dateien 137 ICA-Dateien in Unicode 90 ICA-Verschlüsselung 134, 144 Inhaltsveröffentlichung 14 Initialisierung 143 Installationsmeldungen 89, 126, 128 Installieren Befehlszeile verwenden 38 Sicherheitsüberlegungen 32 Übersicht 31 UNIX-Plattformen 36 Windows 34 Internet-Informationsdienste Anforderungen 28 E JavaServer Pages 49 Einstellungen für Clientverbindungen Verwalten 96 Erstellen von Sites 42, 52 Erweiterte Servereinstellungen 59 Explizite Authentifizierung 60 K F Fehlermeldungen Deaktivieren 123 Fehlertoleranz Konfigurieren 56, 83 Firewall Konfigurieren der Adressübersetzung 80 G Gültigkeitsdauer Tickets 57 H Hilfe Anzeigen 50 HTTP 58 HTTPS 58 HTTPS-Protokoll 142 J Kennwort Ändern durch Benutzer 68 Klassen 20 Komponenten-CD-ROM 31 Konfigurationsdateien Exportieren 105 Importieren 105 Konfigurieren Verwenden der Access Suite Console 48 Kontextsensitive Hilfe 50 L Legacy-Unterstützung 90 Leistungsaspekte 33 Load Balancing XML-Anforderungen 56 Zwischen Secure Ticket Authorities 83 Load Balancing für Sites 103 Gehe zu Document Center Index M R MetaFrame Conferencing Manager Konfigurieren unter UNIX 37 MetaFrame Conferencing Manager-Gastteilnehmersites 13 MetaFrame Presentation Server UNIX-Konfigurationsanforderungen 27 MetaFrame Presentation Server für UNIX Ermitteln der Ports für den Citrix XML-Dienst 33 MetaFrame Presentation Server-Sites 12 Readme-Datei 10 Remotedesktopverbindung Anforderungen 86 Zone „Vertrauenswürdige Sites“ 86 Reparieren von Sites 104 Reparieren, Option 45 RSA SecurID Authentifizierung 68 PASSCODES 69 Tokencodes 69 N NDS Authentifizierung 25, 69 Unterstützung 13 Netzwerkadressübersetzung 80 Novell Directory Services siehe NDS O Onlinehilfe 50 P Passthrough Konfigurieren 66 Passthrough mit Smartcard 60 Passthrough-Authentifizierung 60 Personal Digital Assistants Anforderungen 30 Unterstützte Konfigurationen 30 Private Stammzertifikate 92 Problembehandlung Installieren 45 Program Neighborhood Agent 130 Config.xml 146 Informationen 130 Konfiguration 49 Konfigurationseinstellungen 120 Konfigurieren 146 Sichern 136, 148 Program Neighborhood Agent-Dienste-Sites 13 S Safari Anforderungen 30 SafeWord Authentifizierung 68 Secure Gateway Informationen 135 Konfigurationsbeispiel 122 Konfigurieren des Webinterface 82 Ticketing 82 Zwischen Clients und MetaFrame Presentation Server 144 Secure Sockets Layer siehe SSL Secure Ticket Authority 82 SecureICA siehe ICA-Verschlüsselung Server Konfigurieren der Kommunikation 121 Rolle im Webinterface 20 Sicherheit 138 Sicherheitsüberlegungen 143 Skripts 49 Servereinstellungen Erweiterte festlegen 59 Verwalten 79 Serverfarmen Angeben von Einstellungen für alle Server 58 Entfernen 56 Erstellen 55 Rolle im Webinterface 19 Überlegungen zur Kennwortänderung 55 Verwalten 54 Sichere Clientzugriffseinstellungen Anzeigen 84 Sicherer Clientzugriff 80 153 154 Webinterface-Administratorhandbuch Sicherheit 131 Allgemeine Überlegungen 144 Anonyme Authentifizierung 61 Citrix SSL-Relay ICA-Verschlüsselung 134 Installieren des Webinterface 32 Kommunikation zwischen Client und Server 135 Konfigurieren des Citrix SSL-Relays 140 Netzwerkkommunikation 137, 139 Client und Server 143 Protokolle und Citrix Lösungen 133 Secure Gateway 135 Konfigurieren des Webinterface 82 Zwischen Clients und MetaFrame Presentation Server 144 SSL Hinzufügen von Zertifikaten 141 Webserver und Webbrowser 138 Zwischen Clients und MetaFrame Presentation Server 144 TLS Übersicht 133 Webserver und Webbrowser 138 Zwischen Clients und MetaFrame Presentation Server 144 Sichern des Webinterface 135 Sitekonfiguration 44 Sites Angeben der Konfiguration 44 Deinstallieren 104 Erstellen 42, 52 Erstellen unter UNIX 43 Konfiguration mit der Access Suite Console 50 Load Balancing 103 Reparieren 104 Sitetasks Lokale Verwendung 104 Verwenden 44 Sitetyp 52 Sitzungen siehe Clientsitzungen Sitzungsoptionen Ändern 77 Smartcard Aktivieren 62 Anforderungen 62 Informationen 61 Konfigurationsbeispiel 65 Socketpooling Aktivieren 59 Gehe zu Document Center Sprachpakete 39 SSL Hinzufügen von Zertifikaten 141 Konfigurieren des Citrix SSL-Relays 140 Secure Gateway 82 Sichere Webserver 138 siehe Citrix SSL-Relay Übersicht 133 Unterstützung Zertifikatschlüssellänge 133 Zwischen Clients und MetaFrame Presentation Server 144 Systemanforderungen 24–31 Clientgeräte 31 Webserver 28 T Tasks Ausführen 53 Tasks für lokale Sites 104 Ticketing 15, 137 Konfigurieren der Gültigkeitsdauer von Tickets 57 Secure Gateway 82 TLS Secure Gateway 82 Sichere Webserver 138 Übersicht 133 Zertifikatschlüssellänge 133 Zwischen Clients und MetaFrame Presentation Server 144 U UNIX-Plattformen Installieren 36 UPN Authentifizierung 69 Einschränken von Suffixen 69 Unterstützung User Principal Name siehe UPN V Veröffentlichen von Anwendungen 19 Veröffentlichen von Inhalten 14 Verzeichnisdienst-Zuordnungsprogramm von Windows 63 Gehe zu Document Center W Webbasierte Clientinstallation 21 Kopieren von Clients auf den Server 126 Webclient Bereitstellen 87 Webinterface Ausführen auf einem Server 142 Bereitstellen für Benutzer 123 Einführung 12 Funktionen 12 Funktionsweise 21 Konfigurieren 48, 122 Konfigurieren mit Program Neighborhood Agent 147 Übersicht 21 WebInterface.conf Informationen 48 Konfigurieren des Webinterface 105 Parameter 106 Webserver Anforderungen 28 Windows-Authentifizierung 69 Windows-basierte Terminals 30 Windows-Plattformen Installieren 34 Workspace Control Abmeldeverhalten 102 Aktivieren 101 Anforderungen 100 Automatische Wiederverbindung 102 Informationen 99 Integrierte Authentifizierung 100 Wiederverbindungsoption 102 Z Zertifikatschlüssellänge 133 Zugriff bestätigen für Authentifizierung 60 Zwei-Faktor-Authentifizierung 69 Index 155