Configuraciones adicionales en un servidor Presentation Server o XenApp

En este procedimiento se explican diversos temas, los pongo todos en el mismo documento, pero serían los siguientes temas:

Configuraciones del protocolo ICA – AKI
Conectarse a una sesión de un usuario – AKI
Crear administradores de Citrix adicionales – AKI
Mejora de rendimiento del servidor/aplicaciones y conectividad – AKI
Entornos de aislamiento para aplicaciones (AIE – Aplication Isolation Enviroments) – AKI
Temás de impresión: Impresoras y controladores – AKI
Zonas – AKI
Asegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado
AKI

Configuraciones sobre el protocolo ICA,

Todas estas configuraciones adicionales que podemos hacer serían sólo por servidor, tenemos que hacerlo tantas veces servidores tengamos ya que se realizan sobre el protocolo ICA de cada servidor.

Primero, vamos a “Inicio” > “Programas” > “Citrix” > “Administration Tools” > “Configuración de la conexión Citrix”

Sobre el protocolo ICA de Citrix, damos doble click para entrar en sus propiedades.

En “Adaptador LAN” decimos para que adaptador/tarjeta de red va a aceptar conexiones ICA en el 1494, podemos limitar el número máximo de conexiones ICA, por defecto son ilimitadas. Si pulsamos sobre “Avanzados…” tenemos más opciones para configurar.

Arriba en “Inicio de sesión” si lo desactivamos estamos prohibiendo que nadie se pueda conectar al servidor por ICA (lo normal para cualquier tarea de mantenimiento). Aquí podemos configurar diferentes tiempos de conexión, igual que en el RDP, cuanto tiempo pueden estar las sesiones desconectadas (“Parametros de tiempo de desconexión”), o cuanto tiempo de inactividad en una sesión (“Parametros de tiempo de inactividad”); además podemos requerir un nivel de seguridad que nos interese para este servidor en concreto. En la parte de la derecha, en “Inicio de sesión automático” podemos decir con que usuario se van a loguear los que quieran iniciar sesión, podemos forzar a que todos inicien sesión con un mismo usuario, por defecto cada usuario trae el suyo propio. Si queremos podemos poner un “Programa inicial” a todos los que inicien sesión en este servidor, que se les ejecute un script… y por supuesto, el papel tapiz queda desactivado por defecto para que la sesión sera más ligera en el caso que sea una conexión al escritorio por ICA. Además de varias opciones del remedo, o desde donde se pueden reconectar en el caso que hayan perdido la sesión, si desde donde la perdieron o desde cualquier otro PC.

Si volvemos a esta pantalla, y vamos a los “Parametros de cliente…” podemos personalizar un poco más las conexiones de los clientes.

Podemos forzar a que se conecten o no las unidades de disco de los clientes desde aquí, aunque esto, lo normal serían con directivas. Que se conecten las impresoras del cliente de forma automática cuando inicia sesión en el servidor y por supuesto que la predeterminada sea la que tiene en su PC. Además podemos desactivar diferentes opciones como que no se le mapeé el puerto serie COM o el paralelo LPT…

Conectarnos a una sesión de un usuario,

Si un usuario tiene algún tipo de problemas con alguna aplicación, podemos conectarnos a su sesión y ayudarle. Esto está pensado para evitarnos levantarnos del sitio o para empresas que tienen públicas aplicaciones y el usuario final necesita que nos conectemos a su sesión.

Vamos a “Inicio” > “Programas” > “Citrix” > “Management Consoles” > “Presentation Server Console”, podemos hacerlo de diferentes formas, si sabemos que aplicación es, podemos ir a la aplicación y desde ahí localizaremos los usuarios que hay conectados. En este ejemplo, lo hago desde los servidores, así que vamos hasta ellos, seleccionamos el servidor donde está conectado nuestro usuario, pinchamos en la parte de la derecha en la pestaña “Usuarios” y sobre el usuario que nos interesa y su aplicación, botón derecho > “Remedar”.

Nos indica una combinación de teclas para salir de este control remoto, por defecto suele ser “CTR + *”, aceptamos,

Nos pide unos credenciales de un administrador de Citrix con permisos de remedar, los suministramos…

Y ya en la parte del cliente, le indicará que el administrador XXX está intentando conectarse a su sesión, pide una confirmación para evitar temas espia, de que ningún administrador espie el trabajo de ningún usuario, por supuesto esto por directivas/politicas se puede hacer de forma automática. El usuario aquí seleccionaría “Sí”.

Le saldría está pantalla que le indica que hay alguien conectado en su sesión. El administrador trabajará sobre está sesión de forma remota hasta que solucione el problema del usuario, para finalizar el remedo, “CTR + *” o pulsar sobre “Terminar el remedo”.

Crear administradores de Citrix adicionales,

Esta parte está pensada para tener más de un usuario que sea administrador de Citrix, para no tener que pasar los credenciales de Administrador del dominio a cualquier usuario, además podemos personalizar la consola con los privilegios que nos interese dar a los usuarios, podemos que acceda sólo a ciertas partes y pon permisos totales o de lectura.

Para ello, abrimos la consola de PS: “Inicio” > “Programas” > “Citrix” > “Management Consoles” > “Presentation Server Console”. Vamos a la parte de “Administradores de Metaframe” > botón derecho > “Agregar administrador Metaframe”,

Selecionamos el/los usuario(s) o grupo(s) que nos interesen que sean administradores, por ejemplo, escojo a un usuario en concreto, lo buscamos en el directorio activo y vamos hasta su unidad organizativa, marcamos el check de “Mostrar usuarios” y cuando lo encontremos, lo seleccionamos y lo agregamos, continuamos, “Siguiente”,

Si configuramos el “Resource Manager” podemos hacer que nos envie alertas por mail o SMS al usuario, indicamos la forma de contacto que nos interese y continuamos “Siguiente”,

Tenemos tres opciones, la primera es “Sólo ver”, si marcamos esta el usuario puede acceder a todas las partes de la consola pero no podría hacer nada, nada más que ver cómo funciona (ideal para becarios), podemos indicar “Administración completa” y sería una copia del administrador de dominio, podría hacer lo que necesite en Citrix; y la tercera opción “Personalizado” para darle acceso a partes que nos interesen, selecciono esta para mostrar el ejemplo, “Siguiente”,

En esta de “Permisos” puedo establecer que tipo de permisos le voy a dar a mi usuario, en mi caso, sólo quiero que este usuario sea un usuario que pueda Publicar aplicaciones en Citrix y si alguna sesión de algún usuario se queda colgada que la cierre de forma correcta. Podríamos darle tantos accesos como nos interese, pulsando en las opciones de la izquierda. Finalizamos.

Ahora para probarlo, cuando se abre la consola de “Presentation Server Console” pedirá credenciales o si se la instala en su puesto, debe loguearse como su usuario, pone sus credenciales y entra,

Y esto es lo que él vería en la consola, sólo a lo que le hemos dado permiso, no tiene por que realizar más tareas.

Mejora de rendimiento del servidor/aplicaciones y conectividad,

En esta parte del documento se explica cómo mejorar el rendimiento de la conectividad entre el usuario final y los servidores Citrix, para ello usaremos las opciones de SpeedScreen tanto para el Explorador, cómo Multimedia, Flash, latencia del teclado/ratón y compresión de imagenes, claro está que podemos hacer algo más con las directivas, pero para eso está el apartado de Directivas más abajo.

Abrimos la consola de PS: “Inicio” > “Programas” > “Citrix” > “Management Consoles” > “Presentation Server Console” y directamente veremos las opciones que podremos aplicar a los servidores o directamente a la granja o comunidad y se lo aplique a todos los servidores. Así que sobre la comunidad > botón derecho > “Propiedades”,

La primera opción “Aceleración de explorador SpeedScreen”, sirve para comprimir las imagenes que vienen por el canuto del ICA, ya que ICA no es más que un protocolo que es seguro y rápido que envía imágenes, podemos comprimir estas imagenes para obtener peor calidad de imagen pero más velocidad, indicamos el nivel de compresión que nos interese.

La “Aceleración de Flash SpeedScreen” nos permite bajar la calidad de las animaciones Macromedia Flash, de su calidad óptima a baja, para cuando alguien navega con Internet Explorer, si optimizamos esto, la imagen será más rápida pero de peor calidad.

La “Aceleración Multimedia SpeedScreen” optimiza las aplicaciones multimedia, por si alguien publica un video/sonido que se vea/oiga con peor calidad pero sin interrupciones, esta configuración afectaría al “Windows Media Player”, al “RealOne Player” y al “Escritorio Remoto”.

Podemos además optimizar tanto el uso de la memoria como de la CPU desde “Administración de memoria y uso de CPU”, habilitando ambas.

Además, podemos hacer que estos retardos (en caso de una WAN son más comunes) sean más disimulados. Por ejemplo si se pierde la conectividad durante unos segundos el icono del mouse se pone el reloj de arena… o si escribimos algo con el teclado no se pierda todo lo escrito y lo escriba cuando se reconecte de nuevo esta conexión, para ello, tenemos que ir a: “Inicio” > “Programas” > “Citrix” > “Administration Tools” > “Administrador de reducción de retardo de SpeedScreen”

Podemos habilitar esto, directamente por servidor (esto se aplicaría a todas las aplicaciones que tengamos en él) o podemos agregar a mano las aplicaciones que nos interese pulsando el botón de “Nueva…”, buscaríamos el ejecutable que nos interese. Si queremos hacerlo sobre todas las aplicaciones del servidor, damos doble click al servidor y marcamos las opciones que nos interesen.

Más, además de esto, podemos crear una directiva que se aplique a ciertas conexiones, por ejemplo a todos los que vienen de una WAN con una conexión mucho más lenta que en la LAN, Citrix tiene una plantilla ya preconfigurada que la prodríamos aplicar a quien nos interese. Por ejemplo, vamos a las Directivas en la consola “Management Console de PS), botón derecho > “Crear directiva”,

Le indicamos un nombre, por ejemplo ComprimirJPG, por que es lo que voy a hacer, a parte de decirle que es una plantilla para optimizar las conexiones tipo WAN. Aceptamos,

En “Ancho de banda” > “SpeedScreen” > tenemos “Aceleración de imágenes”, esta regla la podemos habilitar para que comprima todas las imagenes JPG, es otra forma de usar el SpeedScreen de Explorador, si comprobamos las políticas tenemos cosas interesantes que ya nos ha marcado para que todo funcione de forma más óptima. Aceptamos cuando finalicemos de configurar lo que nos interesa.

Y ahora sólo nos falta aplicar la directiva esta a quien nos interese, para ello, sobre la directiva > botón derecho > “Aplicar a…”

Y yo por ejemplo se la aplico a todos los servidores de mi granja, así se aplicará a todo el mundo, podemos aplicarla de diferentes formas, ya sea por rengo IP, por los nombres de los clientes, por usuarios/grupos… Aceptamos y ya estaría todo lo referente a mejoras de rendimiento.

Entornos de aislamiento para aplicaciones (AIE – Aplication Isolation Enviroments),

Los entornos de aislamiento sirven para aplicaciones que pueden ser problemáticas por que tienen diferentes versiones de DLL que otras aplicaciones instaladas o publicadas, o por que simplemente queremos saber cuando instalamos una aplicación que modificaría en el servidor.

Abrimos la consola de admin de PS: “Inicio” > “Programas” > “Citrix” > “Management Consoles” > “Presentation Server Console” y nos vamos hasta “Entornos de aislamiento”, lo primero es crear un entorno donde instalaremos las aplicaciones para separarlas de las demás o para ver simplemente que nos genera, botón derecho > “Nuevo entorno de aislamiento”,

Le indicamos un nombre, “Pruebas con APPs”, aceptar,

Y ahora, lo que queda es instalar la aplicación que nos interese en este entorno, para ello, desde linea de comandos, escribimos: “aiesetup NOMBRE_DEL_ENTORNO_DEL_AISLAMIENTO INSTALADOR_DE_LA_APP_A_INSTALAR”. En este ejemplo aislaremos el WinRAR.

Nos cargará el asistente de la instalación del programa que estamos instalando, lo instalamos de forma normal y cuando finalice esta instalación pulsamos ENTER en la pantalla de DOS para que realice el descubrimiento de está aplicación.

Ok, vemos que ha realizado el descubrimiento de forma correcta, cerramos ya esta pantalla.

Y podemos ver, cómo en el directorio de Citrix, nos ha generado un subdirectorio AIE donde nos generá toda la ruta para que funcione esta aplicación de forma aislada y no corrompa/sustituya DLL’s, todo quedaría separado.

Si vamos, a la consola de nuevo, vemos que en “Entornos de aislamiento” tenemos lógicamente el que hemos creado y si entramos con botón derecho en sus propiedades, veremos las aplicaciones que tenemos aisladas,

En mi caso, tengo sólo esta aplicación, ahora tendríamos que publicarla de forma normal como cualquier otra aplicación, sólo que a la hora de escoger el ejecutable, lo tendríamos en esa ruta dentro del directorio Citrix.

Temas de impresión: Impresoras y controladores,

En esta parte se explíca cómo tratar las impresoras en Citrix y cómo solucionar posibles problemas, tenemos varias formas de configurar temas de impresión. Una característica nueva que trae Presentation Server 4.0 es el Driver Universal, que se usará en el caso que el servidor no tenga los drivers de la impresora con la que imprime el cliente. Pero lo primero es ver que opciones tenemos y podemos configurar mediante políticas. Por ejemplo, si nuestros clientes tienen Windows CE los drivers estos no son compatibles con el S.O. donde está instalado el Presentation Server, así que se podría usar el driver universal, si aún así no se corrige el problema, lo que se suele hacer es instalar los drivers/controladores de la impresora especificada en un Presentation Server y después replicarlos a los demás PS.

Lo primero vamos a crear una política para ver temás de impresión. Sobre la “Management Console” en “Directivas” > botón derecho > “Crear directiva”,

Le indicamos un nombre y aceptamos,

Estas son las opciones que tenemos para el tema de impresión mediante políticas, en “Impresión” > “Impresoras cliente” > “Creación automática”. Tenemos la opción de crear todas las impresoras del cliente en el servidor, o sólo las de red, o sólo su predeterminada, o directamente ninguna impresora, y así sólo puede imprimir por las que tenga el servidor instaladas.

En “Impresión” > “Impresoras cliente” > “Desactivar la asignación de impresoras de cliente”, podemos quitar acceso a las impresoras cuando alguien se conecte.

En “Impresión” > “Impresoras cliente” > “Enrutamiento de la tarea de impresión”, esta regla es simplemente, si cuando el cliente se le conecta una impresora (de red, no una local), si cuando mande a imprimir un trabajo, este va a ir directamente a la impresora del cliente sin pasar por el servidor, o el servidor hará también de cola de impresión (sería como un paso más).

En “Impresión” > “Impresoras cliente” > “Impresoras cliente antiguas”. A la hora de crear las impresoras en los clientes, si usará la forma antigua o la actual de PS4.0. La forma antigua se refiere a un nombre de impresora corto para mejoras de compatibilidad con aplicaciones, o la forma de PS4, que sería un nombre de impresora largo, tal y como: NOMBRE_IMPRESORA_EN_CLIENTE_EN_IDSESION.

En “Impresión” > “Impresoras cliente” > “Retención de las propiedades de la impresora” En el caso que se modifiquen propiedades de las impresoras cuando un usuario está conectado, donde guardaría estas configuraciones, si en la sesión del usuario o directamente sobre la impresora del cliente en su PC/Thinclient.

En “Impresión” > “Controladores” > “Controlador univesal” es donde se configura que hacer cuando el servidor no tenga los drivers/controladores de la impresora del cliente, se puede configurar el driver universal para que imprima sin ningún problema.

En “Impresión” > “Controladores” > “Instalación automática del controlador original” indicaremos al servidor PS si se instalará de forma automática los controladores de impresora de los clientes en el caso que los necesite (los cogería del cliente en tal caso, si es que son compatibles), o podemos prohibir esto.

Podemos habilitar esta regla para indicar si queremos forzar a los clientes que tengan las siguientes impresoras instaladas de forma obligatoria. Y además podemos decir cual es la impresora que tendrá por defecto el cliente, si la suya propia o la que tenga el servidor.

A parte de las configuraciones que se pueden hacer en las directivas, podemos ver que drivers o controladores tienen nuestros servidores instalados. Además, podemos copiar estos controladores a otros servidores, que sería lo más normal, que todos los servidores tengan todos los controladores de impresoras, para evitar problemas de cuando alguien se loguea en un servidor si le funcione una impresora, y si se loguea en otro servidor no. Podemos copiar estos controladores en los otros servidores PS, seleccionando el driver > botón derecho > “Duplicar controladores…”, en la parte de la derecha nos indica este controlador en que servidores está instalado.

Para evitar la mayor parte de los problemas, si se puede, lo mejor es instalarse las impresoras en local en los servidores PS, y si necesitamos meter algún controlador, se haría de la misma forma, instalando una impresora desde “Impresoras y faxes” agregandola, una vez instalada, podemos borrarla sin eliminar los controladores, se quedarían en el servidor y los replicaríamos a los demás servidores desde la cónsola “Presentation Server Console” desde la parte de Controladores.

Zonas,

Las zonas son importantes para organizaciones grandes con miles de usuarios o separadas geográficamente, en cada zona tendremos nuestros servidores llamados “Data Collectors” o “recolectores”, son simplemente los servidores que tienen la información de la granja y se la suminitran a los usuarios en el caso que hagan una petición de una directiva o consultar las aplicaciones publicadas a las que tiene acceso. Para que este tráfico no vaya siempre a un mismo DataCollector, se crean las zonas y se distribuyen los servidores por zona, por rango IP ya que están en subredes diferentes, y así se reparten esta carga de peticiones.

Para configurar las zonas y sus asignaciones, se hace desde la consola de “Presentation Server Console” sobre las propiedades de la granja/comunidad. En la parte final del menú de la izquierda en “Zonas”. Ahí tendremos todas las zonas disponibles o las crearemos desde “Nueva zona…”, en cada zona tenemos que tener un Data Collector y los organizaremos por orden de preferencia, por si este Data Collector se cae que le responda el siguiente de preferencia. Así con las diferentes zonas, cada Data Collector responderá a los clientes de sus zonas.

Asegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado,

Hay dos formas de asegurar la conectividad en temas de Citrix, una es cifrar la conexión entre los Presentation Server y el Web Interface o clientes, asegurando XML, para ello usaremos el traspaso de SSL de Citrix. Y otra forma es subiendo el nivel de cifrado del protocolo ICA, que por defecto trae una encriptación básica y podemos subirla hasta 128bits.

Lo primero que necesitamos para habilitar el traspaso SSL de Citrix es generar un certificado, o nos lo generamos con nuestra CA o en el CD de Citrix, hay una herramienta llamada SSLAUTOCONFIG.EXE en la carpeta Support, habría que copiarse el ejecutable y el fichero de texto SETTINGS.INI y editarlo a nuestro antojo, lo ejecutamos con los parametros correctos y nos generaría el certificado. O si no, podemos con nuestra CA de Microsoft y después habría que instalarlo en IIS (AKI).

Una vez instalado este certificado, ya podemos abrir la consola, para ello: “Inicio” > “Programas” > “Citrix” > “Administration Tools” > “Aplicación de Configuración de Traspaso SSL Citrix”.

Habilitamos el traspaso de SSL marcando el check y abajo seleccionamos el certificado.

En la pestaña de “Conexión” tenemos los servidores metaframe con los que se puede conectar, usando qué puerto SSL y a que puertos conectarnos de los Presentation Server, el puerto ICA (1494) y el puerto XML (81 en mi caso).

Al aceptar nos indica que hasta que no aceptemos esto no empezaría a funcionar.

Otra forma que hay es aumentando el nivel de cifrado, lo podemos hacer de múltiples formas, en este caso por ejemplo con una directiva, desde la consola de “Presentation Server console” creamos una directiva y nos vamos hasta “Seguridad” > “Cifrado” > “CifradoSecureICA”, habilitamos la regla y seleccionamos el cifrado que nos interese. Ahora esta directiva recordamos que se puede aplicar a lo que nos interese, a toda la comunidad, a un servidor específico, a los que vengan por un tipo de conexión, rangos IP…

Otra forma de hacerlo es directamente sobre la aplicación que nos interese, por si queremos asegurar una en concreto, vamos a la aplicación publicada, y entramos en sus propiedades, en la parte de “Opciones del Cliente ICA” podemos indicar que nivel de cifrado asignarle. OJO! si tenemos unas aplicaciones con un nivel de cifrado X y otras aplicaciones con diferente nivel de cifrado, cuando el cliente se conecte a ambas consumirá más de una licencia, tantás por diferencias de nivel de cifrado (así como profuncidad de bits o la resolución de la app).

O directamente en “Inicio” > “Programas” > “Citrix” > “Administration Tools” > “Configuración de la conexión Citrix” > Propiedades del protocolo “TCP-ICA” > “Avanzados…”, en la parte de “Cifrado necesario” indicamos que nivel de cifrado será el mínimo para entrar en este servidor, OJO! que va por servidor.

Y en la parte del cliente, podemos comprobar con que nivel de cifrado se está conectando a los servidores (tanto en la LAN, como en la WAN y da igual con que cliente, sea web, w32, linux…), sobre el icono de la “Central de conexiones de Program Neighborhood” > Si pulsamos sobre el servidor al que estamos conectados en el botón de “Propiedades”, nos saldrá una pantalla que nos dará diversos datos, entre ellos el “Nivel de cifrado”.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)