This procedure explains a variety of topics, I put them all in the same document, but they would be the following topics:

ICA Protocol Configurations – HERE
Conectarse a una sesión de un usuario – HERE
Crear administradores de Citrix adicionales – HERE
Mejora de rendimiento del servidor/aplicaciones y conectividad – HERE
Entornos de aislamiento para aplicaciones (IEA – Aplication Isolation Enviroments) – HERE
Temás de impresión: Printers and drivers – HERE
Zonas – HERE
Asegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado – HERE

Configuraciones sobre el protocolo ICA,

Todas estas configuraciones adicionales que podemos hacer serían sólo por servidor, tenemos que hacerlo tantas veces servidores tengamos ya que se realizan sobre el protocolo ICA de cada servidor.

First, We're going to “Beginning” > “Programmes” > “Citrix” > “Administration Tools” > “Configuración de la conexión Citrix”

Sobre el protocolo ICA de Citrix, damos doble click para entrar en sus propiedades.

In “Adaptador LAN” decimos para que adaptador/tarjeta de red va a aceptar conexiones ICA en el 1494, we can limit the maximum number of ICA connections, by default they are unlimited. If we click on “Advanced…” we have more options to configure.

Up at “Login” if we disable it we are preventing anyone from connecting to the server via ICA (the usual for any maintenance task). Here we can configure different connection times, just like in RDP, how long sessions can stay disconnected (“Disconnection time settings”), or how long inactivity is allowed in a session (“Inactivity time settings”); we can also require a level of security that we want for this specific server. On the right side, in “Automatic login” we can specify which user will be logged in for those who want to start a session, we can force everyone to log in with the same user, by default each user has their own. If we want we can set an “initial program” for everyone who logs into this server, so that a script runs for them… and of course, the wallpaper is disabled by default so that the session is lighter in case it is a desktop connection via ICA. In addition to several options for reconnection, or from where they can reconnect in case they lost the session, whether from where they lost it or from any other PC.

If we go back to this screen, and go to the “Client parameters…” we can customize client connections a bit more.

We can force whether or not the client disk drives are connected from here, aunque esto, lo normal serían con directivas. Que se conecten las impresoras del cliente de forma automática cuando inicia sesión en el servidor y por supuesto que la predeterminada sea la que tiene en su PC. Además podemos desactivar diferentes opciones como que no se le mapeé el puerto serie COM o el paralelo LPT…

Conectarnos a una sesión de un usuario,

Si un usuario tiene algún tipo de problemas con alguna aplicación, podemos conectarnos a su sesión y ayudarle. Esto está pensado para evitarnos levantarnos del sitio o para empresas que tienen públicas aplicaciones y el usuario final necesita que nos conectemos a su sesión.

We're going to “Beginning” > “Programmes” > “Citrix” > “Management Consoles.” > “Presentation Server Console”, podemos hacerlo de diferentes formas, si sabemos que aplicación es, podemos ir a la aplicación y desde ahí localizaremos los usuarios que hay conectados. In this example, lo hago desde los servidores, así que vamos hasta ellos, seleccionamos el servidor donde está conectado nuestro usuario, pinchamos en la parte de la derecha en la pestaña “Users” y sobre el usuario que nos interesa y su aplicación, Right Button > “Remedar”.

Nos indica una combinación de teclas para salir de este control remoto, por defecto suele ser “CTR + *”, Accept,

Nos pide unos credenciales de un administrador de Citrix con permisos de remedar, los suministramos…

Y ya en la parte del cliente, le indicará que el administrador XXX está intentando conectarse a su sesión, pide una confirmación para evitar temas espia, de que ningún administrador espie el trabajo de ningún usuario, por supuesto esto por directivas/politicas se puede hacer de forma automática. El usuario aquí seleccionaría “Yes”.

Le saldría está pantalla que le indica que hay alguien conectado en su sesión. El administrador trabajará sobre está sesión de forma remota hasta que solucione el problema del usuario, para finalizar el remedo, “CTR + *” o pulsar sobre “Terminar el remedo”.

Crear administradores de Citrix adicionales,

Esta parte está pensada para tener más de un usuario que sea administrador de Citrix, para no tener que pasar los credenciales de Administrador del dominio a cualquier usuario, además podemos personalizar la consola con los privilegios que nos interese dar a los usuarios, podemos que acceda sólo a ciertas partes y pon permisos totales o de lectura.

To do this,, abrimos la consola de PS: “Beginning” > “Programmes” > “Citrix” > “Management Consoles.” > “Presentation Server Console”. Vamos a la parte de “Metaframe Administrators” > Right Button > “Add Metaframe Administrator”,

We select the user(s)(s) or group(s) that we want to be administrators, For example, I choose a specific user, we search for them in the Active Directory and go to their organizational unit, we mark the check of “Show users” and when we find them, we select them and add them, Continue, “Following”,

If we configure it “Resource Manager” we can have it send alerts by email or SMS to the user, we indicate the preferred method of contact and continue “Following”,

We have three options, the first is “View Only”, if we check this, the user can access all parts of the console but cannot do anything, other than see how it works (ideal for interns), we can select “Full Administration” and it would be a copy of the domain administrator, they could do whatever is needed in Citrix; And the third option “Custom” to give access to parts that interest us, I select this one to show the example, “Following”,

In this one “Permissions” I can set what type of permissions I am going to give my user, in my case, I only want this user to be a user who can Publish applications in Citrix and if any user's session gets stuck, close it properly. We could give as many accesses as we want, by clicking on the options on the left. Finalized.

Now to test it, when the console is opened “Presentation Server Console” it will ask for credentials or if it is installed on their workstation, they must log in as their user, enter their credentials and access,

And this is what they would see in the console, only what we have given them permission for, they do not have to perform other tasks.

Mejora de rendimiento del servidor/aplicaciones y conectividad,

En esta parte del documento se explica cómo mejorar el rendimiento de la conectividad entre el usuario final y los servidores Citrix, para ello usaremos las opciones de SpeedScreen tanto para el Explorador, cómo Multimedia, Flash, latencia del teclado/ratón y compresión de imagenes, claro está que podemos hacer algo más con las directivas, pero para eso está el apartado de Directivas más abajo.

Abrimos la consola de PS: “Beginning” > “Programmes” > “Citrix” > “Management Consoles.” > “Presentation Server Console” y directamente veremos las opciones que podremos aplicar a los servidores o directamente a la granja o comunidad y se lo aplique a todos los servidores. Así que sobre la comunidad > Right Button > “Properties”,

The first option “Aceleración de explorador SpeedScreen”, sirve para comprimir las imagenes que vienen por el canuto del ICA, ya que ICA no es más que un protocolo que es seguro y rápido que envía imágenes, podemos comprimir estas imagenes para obtener peor calidad de imagen pero más velocidad, indicamos el nivel de compresión que nos interese.

The “Aceleración de Flash SpeedScreen” nos permite bajar la calidad de las animaciones Macromedia Flash, de su calidad óptima a baja, para cuando alguien navega con Internet Explorer, si optimizamos esto, la imagen será más rápida pero de peor calidad.

The “Aceleración Multimedia SpeedScreen” optimiza las aplicaciones multimedia, por si alguien publica un video/sonido que se vea/oiga con peor calidad pero sin interrupciones, esta configuración afectaría al “Windows Media Player”, to the “RealOne Player” y al “Remote Desktop”.

Podemos además optimizar tanto el uso de la memoria como de la CPU desde “Administración de memoria y uso de CPU”, habilitando ambas.

In addition, podemos hacer que estos retardos (en caso de una WAN son más comunes) sean más disimulados. Por ejemplo si se pierde la conectividad durante unos segundos el icono del mouse se pone el reloj de arena… o si escribimos algo con el teclado no se pierda todo lo escrito y lo escriba cuando se reconecte de nuevo esta conexión, for this, We have to go to: “Beginning” > “Programmes” > “Citrix” > “Administration Tools” > “Administrador de reducción de retardo de SpeedScreen”

Podemos habilitar esto, directamente por servidor (esto se aplicaría a todas las aplicaciones que tengamos en él) o podemos agregar a mano las aplicaciones que nos interese pulsando el botón de “New…”, buscaríamos el ejecutable que nos interese. Si queremos hacerlo sobre todas las aplicaciones del servidor, damos doble click al servidor y marcamos las opciones que nos interesen.

More, además de esto, podemos crear una directiva que se aplique a ciertas conexiones, por ejemplo a todos los que vienen de una WAN con una conexión mucho más lenta que en la LAN, Citrix tiene una plantilla ya preconfigurada que la prodríamos aplicar a quien nos interese. For example, vamos a las Directivas en la consola “Management Console de PS), Right Button > “Crear directiva”,

We give you a name, por ejemplo ComprimirJPG, por que es lo que voy a hacer, a parte de decirle que es una plantilla para optimizar las conexiones tipo WAN. Accept,

In “Bandwidth” > “SpeedScreen” > we have “Aceleración de imágenes”, esta regla la podemos habilitar para que comprima todas las imagenes JPG, es otra forma de usar el SpeedScreen de Explorador, si comprobamos las políticas tenemos cosas interesantes que ya nos ha marcado para que todo funcione de forma más óptima. Aceptamos cuando finalicemos de configurar lo que nos interesa.

Y ahora sólo nos falta aplicar la directiva esta a quien nos interese, for this, sobre la directiva > Right Button > “Apply to…”

Y yo por ejemplo se la aplico a todos los servidores de mi granja, así se aplicará a todo el mundo, podemos aplicarla de diferentes formas, ya sea por rengo IP, por los nombres de los clientes, por usuarios/grupos… Aceptamos y ya estaría todo lo referente a mejoras de rendimiento.

Entornos de aislamiento para aplicaciones (IEA – Aplication Isolation Enviroments),

Los entornos de aislamiento sirven para aplicaciones que pueden ser problemáticas por que tienen diferentes versiones de DLL que otras aplicaciones instaladas o publicadas, o por que simplemente queremos saber cuando instalamos una aplicación que modificaría en el servidor.

Abrimos la consola de admin de PS: “Beginning” > “Programmes” > “Citrix” > “Management Consoles.” > “Presentation Server Console” y nos vamos hasta “Entornos de aislamiento”, lo primero es crear un entorno donde instalaremos las aplicaciones para separarlas de las demás o para ver simplemente que nos genera, Right Button > “Nuevo entorno de aislamiento”,

We give you a name, “Pruebas con APPs”, aceptar,

And now, lo que queda es instalar la aplicación que nos interese en este entorno, for this, From the command line, Write: “aiesetup NOMBRE_DEL_ENTORNO_DEL_AISLAMIENTO INSTALADOR_DE_LA_APP_A_INSTALAR”. En este ejemplo aislaremos el WinRAR.

Nos cargará el asistente de la instalación del programa que estamos instalando, lo instalamos de forma normal y cuando finalice esta instalación pulsamos ENTER en la pantalla de DOS para que realice el descubrimiento de está aplicación.

Ok, vemos que ha realizado el descubrimiento de forma correcta, cerramos ya esta pantalla.

Y podemos ver, cómo en el directorio de Citrix, nos ha generado un subdirectorio AIE donde nos generá toda la ruta para que funcione esta aplicación de forma aislada y no corrompa/sustituya DLL’s, todo quedaría separado.

Si vamos, a la consola de nuevo, we see that in “Entornos de aislamiento” tenemos lógicamente el que hemos creado y si entramos con botón derecho en sus propiedades, veremos las aplicaciones que tenemos aisladas,

In my case, tengo sólo esta aplicación, ahora tendríamos que publicarla de forma normal como cualquier otra aplicación, sólo que a la hora de escoger el ejecutable, lo tendríamos en esa ruta dentro del directorio Citrix.

Temas de impresión: Printers and drivers,

En esta parte se explíca cómo tratar las impresoras en Citrix y cómo solucionar posibles problemas, tenemos varias formas de configurar temas de impresión. Una característica nueva que trae Presentation Server 4.0 es el Driver Universal, que se usará en el caso que el servidor no tenga los drivers de la impresora con la que imprime el cliente. Pero lo primero es ver que opciones tenemos y podemos configurar mediante políticas. For example, si nuestros clientes tienen Windows CE los drivers estos no son compatibles con el S.O. donde está instalado el Presentation Server, así que se podría usar el driver universal, si aún así no se corrige el problema, lo que se suele hacer es instalar los drivers/controladores de la impresora especificada en un Presentation Server y después replicarlos a los demás PS.

Lo primero vamos a crear una política para ver temás de impresión. Sobre la “Management Console” in “Policies” > Right Button > “Crear directiva”,

Le indicamos un nombre y aceptamos,

Estas son las opciones que tenemos para el tema de impresión mediante políticas, in “Impression” > “Impresoras cliente” > “Creación automática”. Tenemos la opción de crear todas las impresoras del cliente en el servidor, o sólo las de red, o sólo su predeterminada, o directamente ninguna impresora, y así sólo puede imprimir por las que tenga el servidor instaladas.

In “Impression” > “Impresoras cliente” > “Desactivar la asignación de impresoras de cliente”, we can remove access to printers when someone logs in.

In “Impression” > “Impresoras cliente” > “Routing the print job”, this rule is simply, if when the client connects a printer (network, not a local one), if when sending a print job, it will go directly to the client's printer without passing through the server, or the server will also act as a print queue (it would be like an extra step).

In “Impression” > “Impresoras cliente” > “Old client printers”. When creating printers on clients, whether to use the old or the current PS4.0 method. The old method refers to a short printer name for compatibility improvements with applications, or the PS4 method, which would be a long printer name, such as: PRINTER_NAME_ON_CLIENT_IN_SESSION.

In “Impression” > “Impresoras cliente” > “Retention of printer properties” In case printer properties are modified when a user is logged in, Where would these settings be saved, In the user's session or directly on the client's printer on their PC/Thin client.

In “Impression” > “Drivers” > “Universal driver” This is where it is configured what to do when the server does not have the client's printer drivers, The universal driver can be configured to print without any issues.

In “Impression” > “Drivers” > “Automatic installation of the original driver” We will indicate to the PS server whether the clients' printer drivers will be installed automatically if needed (It would get them from the client in that case, If they are compatible), Or we can prohibit this.

Podemos habilitar esta regla para indicar si queremos forzar a los clientes que tengan las siguientes impresoras instaladas de forma obligatoria. Y además podemos decir cual es la impresora que tendrá por defecto el cliente, si la suya propia o la que tenga el servidor.

A parte de las configuraciones que se pueden hacer en las directivas, podemos ver que drivers o controladores tienen nuestros servidores instalados. In addition, podemos copiar estos controladores a otros servidores, que sería lo más normal, que todos los servidores tengan todos los controladores de impresoras, para evitar problemas de cuando alguien se loguea en un servidor si le funcione una impresora, y si se loguea en otro servidor no. Podemos copiar estos controladores en los otros servidores PS, seleccionando el driver > Right Button > “Duplicate drivers…”, on the right side it shows us which servers this driver is installed on.

to avoid most problems, if possible, the best is to install the printers locally on the PS servers, and if we need to add any driver, it would be done in the same way, installing a printer by “Printers and faxes” adding it, once installed, we can delete it without removing the drivers, they would remain on the server and we would replicate them to the other servers from the console “Presentation Server Console” from the Drivers section.

Zonas,

Zones are important for large organizations with thousands of users or that are geographically separated, in each zone we will have our servers called “Data Collectors” or “collectors”, son simplemente los servidores que tienen la información de la granja y se la suminitran a los usuarios en el caso que hagan una petición de una directiva o consultar las aplicaciones publicadas a las que tiene acceso. Para que este tráfico no vaya siempre a un mismo DataCollector, se crean las zonas y se distribuyen los servidores por zona, por rango IP ya que están en subredes diferentes, y así se reparten esta carga de peticiones.

Para configurar las zonas y sus asignaciones, se hace desde la consola de “Presentation Server Console” sobre las propiedades de la granja/comunidad. En la parte final del menú de la izquierda en “Zonas”. Ahí tendremos todas las zonas disponibles o las crearemos desde “Nueva zona…”, en cada zona tenemos que tener un Data Collector y los organizaremos por orden de preferencia, por si este Data Collector se cae que le responda el siguiente de preferencia. Así con las diferentes zonas, cada Data Collector responderá a los clientes de sus zonas.

Asegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado,

Hay dos formas de asegurar la conectividad en temas de Citrix, una es cifrar la conexión entre los Presentation Server y el Web Interface o clientes, asegurando XML, para ello usaremos el traspaso de SSL de Citrix. Y otra forma es subiendo el nivel de cifrado del protocolo ICA, que por defecto trae una encriptación básica y podemos subirla hasta 128bits.

Lo primero que necesitamos para habilitar el traspaso SSL de Citrix es generar un certificado, o nos lo generamos con nuestra CA o en el CD de Citrix, There is a tool called SSLAUTOCONFIG.EXE in the Support folder, We would need to copy the executable and the SETTINGS.INI text file and edit it as we wish, We run it with the correct parameters and it would generate the certificate for us. Otherwise, We can use our Microsoft CA and afterwards we would need to install it in IIS (HERE).

Once this certificate is installed, We can open the console, for this: “Beginning” > “Programmes” > “Citrix” > “Administration Tools” > “Citrix SSL Relay Configuration Application”.

We enable SSL relay by checking the box and then select the certificate below.

On the “Connection” We have the Metaframe servers to which it can connect, Specifying which SSL port and which ports to connect to on the Presentation Server, The ICA port (1494) And the XML port (81 in my case).

Upon accepting, it tells us that until we accept this, it wouldn’t start working.

Otra forma que hay es aumentando el nivel de cifrado, lo podemos hacer de múltiples formas, en este caso por ejemplo con una directiva, from the “Presentation Server console” creamos una directiva y nos vamos hasta “Safety” > “Encryption” > “CifradoSecureICA”, habilitamos la regla y seleccionamos el cifrado que nos interese. Ahora esta directiva recordamos que se puede aplicar a lo que nos interese, a toda la comunidad, a un servidor específico, a los que vengan por un tipo de conexión, rangos IP…

Otra forma de hacerlo es directamente sobre la aplicación que nos interese, por si queremos asegurar una en concreto, vamos a la aplicación publicada, y entramos en sus propiedades, in the part of “Opciones del Cliente ICA” podemos indicar que nivel de cifrado asignarle. EYE! si tenemos unas aplicaciones con un nivel de cifrado X y otras aplicaciones con diferente nivel de cifrado, cuando el cliente se conecte a ambas consumirá más de una licencia, tantás por diferencias de nivel de cifrado (así como profuncidad de bits o la resolución de la app).

O directamente en “Beginning” > “Programmes” > “Citrix” > “Administration Tools” > “Configuración de la conexión Citrix” > Propiedades del protocolo “TCP-ICA” > “Advanced…”, in the part of “Cifrado necesario” indicamos que nivel de cifrado será el mínimo para entrar en este servidor, EYE! que va por servidor.

Y en la parte del cliente, podemos comprobar con que nivel de cifrado se está conectando a los servidores (tanto en la LAN, como en la WAN y da igual con que cliente, sea web, w32, Linux…), sobre el icono de la “Central de conexiones de Program Neighborhood” > Si pulsamos sobre el servidor al que estamos conectados en el botón de “Properties”, nos saldrá una pantalla que nos dará diversos datos, among them the “Encryption level”.