Wat als jij de helft van je projecten zou stopzetten?

3 redenen om gebruik te maken van managed services

IT is niet meer weg te denken uit het moderne bedrijfsleven. Des te belangrijker dat de continuïteit van je IT-processen worden gewaarborgd en dat je medewerkers altijd en overal kunnen werken. Dat kun je in-house regelen, maar je kunt er ook voor kiezen het – deels – uit te besteden. In deze blog geeft Arno Diefenbach, manager operations bij Login Consultants, drie redenen om gebruik te maken van managed services.

1 Alle aandacht naar de corebusiness

Je kunt voor een managedservices-constructie kiezen om strategische redenen. Vind je dat de werkplekken, inclusief de onderliggende infrastructuur, er gewoon moeten zijn? Beschouw je IT als water uit de kraan of stroom uit de muur, en besteed je je energie liever aan je corebusiness? Door te kiezen voor een goede managedservices-partner, kies je voor een flexibele IT-infrastructuur waarbij kwaliteit, prestatie en beschikbaarheid gewaarborgd zijn.

2 Inhuren van expertise of extra handjes

Heb je een eigen IT-afdeling, met een mooie club mannen en vrouwen die goed hun werk doen, maar mis je een paar extra handen of een stukje expertise op specifieke gebieden? Ook dan kun je kiezen voor managed services. Stel: je eigen IT-club heeft niet voldoende kennis van Citrix in huis, maar die kennis heb je wel nodig. Dan kun je dat deel uitbesteden terwijl je voor de rest gewoon je eigen IT-afdeling hanteert. Zeker in deze tijden waarin de arbeidsmarkt heel krap is, een goede oplossing. Ook als je – tijdelijk – wat extra capaciteit nodig hebt of op zoek bent naar wat flexibiliteit en snelheid.

3 24/7 beschikbaar

Voor bepaalde bedrijven is het belangrijk dat de IT-omgeving 24/7 operationeel is en dat je gebruikers dag en nacht aan het werk kunnen, zonder problemen of uitdagingen. Als je in zee gaat met een ervaren managedservices-partner heb je 24/7 toegang tot specialistische kennis op het gebied van de IT-werkplek en kun je erop vertrouwen dat je medewerkers ongestoord hun werk kunnen doen. Op elk moment van de dag.

Nieuwsgierig?

Onze engineers zijn gespecialiseerd op gebied van Citrix, VMWare en Microsoft. Wij houden onze kennis voortdurend up-to-date. Met onze managed services stellen ze je in staat om de verantwoordelijkheid voor de werkplek- en applicatie-infrastructuur – geheel of gedeeltelijk – uit handen te geven. Zo kun jij je volledig richten op je corebusiness. Benieuwd welke oplossing het beste aansluit bij jouw behoeftes? Neem vrijblijvend contact met ons op. We denken graag met je mee.

 

ADOPTION OR TRANSITION? EQUALLY IMPORTANT, EACH WITH A RADICALLY DIFFERENT IMPACT

Adoption of new technologies is crucial, but without attention to administration, it’s only part of the solution. In this blog post, Cyril Roosenboom, IT Business Consultant at Login Consultants, explains why transitioning to the cloud involves more than adoption alone.

 

MANEAGEABLE DIGITAL CHANGES

Before the introduction of the cloud (yes, there was life before the cloud), the biggest workplace change was the transition from Microsoft Windows XP to Windows 7 or from Windows 7 to Windows 10. A new taskbar, a new start menu, and a new version of Microsoft Office were pretty much the biggest changes you could expect. While this may have taken some getting used to, It didn’t take too long to get is all back under control.

CONFUSION WITH THE CLOUD

It wasn’t until companies began transitioning to the cloud that things really started to change with respect to the way we work. Creating a digital workplace that was available any time and anywhere was the starting point, not the end goal. Objectively, this was considered a positive change: suddenly you could access your desktop applications and files regardless of where or on which device you worked. While this was extremely useful, it was also highly confusing for users. Whereas before, files used to be saved on the G, H, or Y drives and were assigned their own version number, they now are floating in the cloud and version management is taken care of for you.

 

THE ADVENT OF ADOPTION

There was a huge gap between the old situation (meaning today’s new version can do a heck of allot more than yesterday’s old version) and the new one since the introduction of the cloud. It soon became clear that this new situation demanded a different approach. Change is hard, and human behaviour is an important aspect in this process and needs to be considered. If people are forced to change behaviours and habits that have become instinctive, they will be less inclined to adopt and embrace even the most ingenious solution that is beneficial to them. Microsoft recognized the importance of providing more onboarding user-support when introducing new products and therefore launched the term ‘adoption’.

 

ATTENTION TO BOTH ADOPTION AND TRANSITION

In our view, switching to a digital workplace requires more than extra just support during the change process; it also calls for specific support with the management role changes. The adoption process supports employees during the change process in the exact way Microsoft intended. But a new digital workplace infrastructure also calls for a new management style approach. This is known as transition: supporting the administrators in the change process.

 

WHOLE DIFFERENT BALL GAME

It is very important to understand the distinction between these two concepts, as they require a whole different ball game and equally have a radically different impact. Adoption involves introducing new features to a large group of users in the right way and order and making them understand the added value, ease of use and benefits to them, so they no longer want to use anything else. Transition involves a much smaller group; the system administrators, but the potential impact for them is much higher. Their work method will change completely, which often means transitioning from an administration type organization to a management style organization. On their own, adoption and transition are just part of the solution. Both require close attention and care to achieve the best possible results for the organization.

 

WANT TO LEARN MORE?

The primary goal of any digital workspace is to create an environment that meets the needs of all employees. This means for the administrators as well; one cannot function without the other. If you would like to learn more about what we can do to help streamline your change process, feel free to contact us. We look forward to getting to know both your users and administrators.

 

Adoptie of transitie? Even essentieel, totaal andere impact

Adoptie is cruciaal, maar zonder aandacht voor de beheerkant is het maar een deel van de oplossing. Cyril Roosenboom, IT Business Consultant bij Login Consultants, vertelt in deze blog waarom er bij de overstap naar de cloud meer komt kijken dan alleen adoptie.

Digitale veranderingen lang behapbaar

Voor de komst van de cloud – ja, er was een leven voor de cloud – bestond de grootste verandering op een werkplek uit de overstap van Microsoft Windows XP naar Windows 7 of van Windows 7 naar Windows 10. Een nieuwe taakbalk, een nieuw startmenu of een nieuwe versie van Microsoft Office waren ongeveer de meest spannende wijzigingen. Daar konden mensen ook moeite mee hebben, maar dat was allemaal redelijk te behappen.

Verwarring met de komst van de cloud

Pas toen bedrijven de overstap gingen maken naar de cloud werd het werken echt anders. Een digitale werkplek die altijd en overal beschikbaar is, is geen doel meer maar een vertrekpunt. Objectief gezien een positieve verandering: ineens maakt het niet meer uit waar je werkt en vanaf welk apparaat, je kan altijd bij je desktop en bij je bestanden. Handig, maar voor gebruikers soms ook heel verwarrend. Stonden vroeger bestanden op de G:-, H:- of Y:-schijf en gaf je ze een versienummer, nu ‘hangen’ je bestanden ergens in de lucht en wordt het versiebeheer voor je geregeld.

Ontstaan van het begrip adoptie

Er ontstond dus een groot verschil tussen zoals het eerst was – we hebben een nieuwe versie en die kan meer dan de versie van gister – en zoals het werd sinds de introductie van de cloud, waarbij de nieuwe versie ook een wezenlijk andere manier van werken ging vereisen. Verandering is moeilijk en het menselijk gedrag is daarbij een aandachtspunt. Als je dat gedrag en aangeleerde gewoontes moet gaan veranderen, dan kan je nog zoiets moois hebben verzonnen, maar mensen gaan het niet vanzelf gebruiken om van de voordelen te profiteren. Microsoft zag de noodzaak om meer begeleiding te geven bij de introductie van hun nieuwe producten en lanceerde daarvoor het begrip ‘adoptie’.

Behalve adoptie ook aandacht voor transitie

In onze optiek komt er bij de overstap naar de digitale werkplek nog iets anders om de hoek kijken. Het gaat namelijk niet ‘alleen’ over begeleiding bij de verandering in gebruik, maar ook over begeleiding bij de verandering in beheer. Adoptie gaat over het begeleiden van medewerkers bij het verandertraject, precies zoals ook Microsoft dat bedoelt. Maar met het veranderen van de werkplekinfrastructuren verandert ook de manier waarop je dat moet beheren. Dat noemen wij transitie: de begeleiding van de verandering voor beheerders.

Totaal ander spel

Het is essentieel om verschil te maken tussen deze twee begrippen. Niet alleen is het ‘spel’ heel anders, ook de impact is totaal verschillend. Bij adoptie hebben we het over een grote groep gebruikers, bij wie nieuwe functionaliteiten op de juiste manier moeten worden geïntroduceerd en de toegevoegde waarde zo helder moet worden gemaakt dat de medewerker niet meer anders wil. Bij transitie hebben we het over een veel kleinere groep van beheerders, maar de impact is mogelijk veel groter. Hun manier van werken verandert totaal en vaak betekent het dat ze overgaan van een beheer- naar een regieorganisatie. Los van elkaar zijn adoptie en transitie slechts een deel van de oplossing. Beide hebben specifieke aandacht nodig om het best mogelijke resultaat voor de organisatie te bereiken.

Nieuwsgierig?

Hoe je digitale werkplek er ook uitziet, het primaire doel is dat de werkplek zo goed mogelijk aansluit bij de wensen van je medewerkers. En daar heb je weer je beheerders voor nodig. De een bestaat niet zonder de ander. Benieuwd wat wij in het verandertraject kunnen betekenen? Neem gerust vrijblijvend contactContact met ons op. We leren je gebruikers én beheerders graag kennen.

THE SEVEN ADVANTAGES OF DESKTOP-AS-A-SERVICE

When it comes to DaaS workplaces, the possibilities seem endless. What’s the right cloud solution for your organization? Do you go for a big player or a small one? A public cloud or a private cloud? Despite the wide range of options to choose from, the advantages of a DaaS workspace are more or less the same. Dennis Sigmond, End User Computing Architect & Managing Consultant, explains the advantages in this blog post.

1 FROM A CAPEX TO AN OPEX MODEL

Many companies struggle with their investment budgets. When you switch to a DaaS workspace, you are transitioning from a CapEx expenditure model (which calls for a large one-time payment) to an OpEx model (in which you pay a monthly fee for your service).

2 FLEXIBILITY

Another major advantage of a DaaS workspace is that it’s easy to scale up and scale down the number of workspaces as needed. We recently implemented a DaaS workspace for a major retailer that allowed them to adjust their capacity based on their peak seasons. Having workspaces in the cloud makes things much easier and more dynamic.

3 COST SAVINGS

Typically, VDI or RDSH environments within the client’s datacenter are scaled for the maximum number of employees who can work simultaneously. Using the example of the retailer above, this peak is only necessary a few times a year. For the majority of the year, they’re dealing with overcapacity. A DaaS workspace makes it easy to scale up and scale down and pay for the actual usage, thereby leading to potential cost savings.

4 MORE-AS-A-SERVICE

In comparison to on-premises VDI workspaces or workspaces hosted on an Infrastructure-as-a-Service (IaaS), a larger part of the solution is offered ‘as a service’. This unburdens your own IT employees, allowing them to focus on more important issues, such as creating a client-specific workspace with custom applications and a specific look and feel.

5 SECURITY

Security is a top priority from the onset of a new DaaS workspace (security by default). On-site workspaces, on the other hand, must be manually secured (security by design).

6 ACCESSIBLE ANY TIME AND ANYWHERE

The cloud is always accessible. If you have an internet connection, you can always access the cloud network and get to work, regardless of the device or location.

 

This approach, especially in the time when we are dealing with the COVID-19 virus, also provides the flexibility to allow some business units to work from home, or facilitate the on-boarding of consultant workers securely.

7 INNOVATION

Innovation is an important part of a DaaS service. Innovations are implemented automatically throughout the subscription period, meaning you don’t have to do a thing. New functionalities are added all the time.

 

TRADITIONAL APPLICATIONS IN A DIGITAL WORKSPACE

 

My colleague Christiaan de Vin recently wrote about working with a portal workspace. These types of workspaces allow companies to grant central access to various applications, such as SaaS and provide their employees with secure single sign-on access from any location.

 

Unfortunately, many organizations still use traditional applications for various reasons, one of which is that some older apps simply cannot be replaced. Despite not being in the cloud, these apps have to remain accessible to employees in the portal workspace. DaaS could be a good solution to help ‘cloudify’ these traditional applications in the form of a published app or published desktop. In this way, organizations can continue to offer these apps to their employees without them worrying about where the application or the information came from.

WANT TO LEARN MORE?

If you’d like to learn more about the benefits of a DaaS workspace and which DaaS solution would best suit your needs, feel free to contact us. We would be happy to discuss the possibilities with you.

 

De zeven voordelen van Desktop-as-a-Service

Er zijn heel veel verschillende mogelijkheden als we het hebben over DaaS-werkplekken. Wat is de juiste cloud-oplossing voor jouw organisatie? Kies je voor een grote speler of een kleine, een public of een private cloud? Er zijn veel mogelijkheden, maar de voordelen van DaaS-werkplekken blijven over het algemeen dezelfde. Dennis Sigmond, End User Computing Architect & Managing Consultant, vertelt in deze blog wat die voordelen zijn.

1 Van een Capex- naar een Opex-uitgavemodel

Veel bedrijven stoeien met hun investeringsbudgetten. Als je overstapt naar een DaaS-werkplek, ga je van een Capex-uitgavemodel – een grote investering ineens – naar een Opex-uitgavemodel, waarbij je slechts een maandelijkse fee betaalt voor je service.

2 Flexibiliteit

Een ander groot voordeel van een DaaS-werkplek is dat je heel eenvoudig het aantal werkplekken kunt op- en afschalen. Zo hebben we onlangs voor een grote retailer een DaaS-werkplek geïmplementeerd waarbij de retailer op basis van piekseizoenen eenvoudig de benodigde capaciteit kon aanpassen. Met werkplekken in de cloud ben je dus een stuk dynamischer.

3 Mogelijke kostenbesparing

In VDI- of RDSH-omgevingen in het datacenter van de klant wordt altijd geschaald voor het maximum aantal medewerkers dat gelijktijdig moet kunnen werken. In het voorbeeld van de retailer is deze piek slechts enkele periodes in het jaar nodig. Een groot deel van het jaar heb je dan te maken met overcapaciteit. Omdat er bij een DaaS-werkplek eenvoudig op- en afgeschaald kan worden, kan je slim omgaan met verschillende contractvormen en looptijden om zodoende kosten te besparen.

4 More-As-A-Service

In tegenstelling tot VDI-werkplekken on-premises of VDI-diensten gehost op een Infrastructure-As-A-Service (IaaS), wordt er een groter deel van de oplossing ‘as-a-service’ afgenomen. Je eigen IT-organisatie heeft er dus minder omkijken naar en kan zich focussen op andere zaken, zoals de werkplek klantspecifiek maken. Denk hierbij aan de geïnstalleerde applicaties, maar ook de look & feel van de dienst.

5 Security

Bij het inrichten van een DaaS-werkplek staat security vanaf het eerste moment voorop: security by default. On-premises werkplekken moeten daarentegen veilig gemaakt worden: security by design.

6 Altijd en overal beschikbaar

De cloud is altijd benaderbaar. Het maakt niet uit vanaf welk type apparaat of welke locatie iemand werkt, heb je een internetverbinding dan kan je altijd verbinding maken met de cloudwerkplek en aan de slag.

7 Innovatie

Bij een DaaS-dienst hoort ook een stuk innovatie. De cloud innoveert gedurende je abonnement zonder dat je daar iets voor hoeft te doen. Steeds nieuwe functionaliteit is vanzelfsprekend.

Aanbieden van traditionele applicaties in een digitale werkplek

Onlangs heeft mijn collega Christiaan de Vin geschreven over het werken met een portaalwerkplek. Met behulp van deze portaalwerkplek kunnen bedrijven allerlei verschillende toepassingen, zoals bijvoorbeeld SaaS-applicaties, centraal aanbieden en de medewerker met een Single Sign-on overal en veilig laten inloggen.

Helaas hebben veel bedrijven, om tal van redenen, nog te maken met traditionele applicaties. Wat oudere applicaties die niet zomaar vervangen kunnen worden. Deze applicaties staan niet in de cloud, maar moeten wel aan de medewerker aangeboden kunnen worden in de portaalwerkplek. Voor deze traditionele applicaties, kan een DaaS-oplossing een gewenste aanvulling zijn om deze applicaties te kunnen ‘cloudificeren’ in de vorm van een Published App of Published Desktop. Je kunt op die manier de applicaties gewoon aanbieden aan je medewerkers, zonder dat hij of zij zich hoeft te bekommeren waar de applicatie of informatie vandaan komt.

Benieuwd?

Ook nieuwsgierig geworden naar de mogelijkheden van een DaaS-werkplek? Benieuwd welke DaaS-oplossing het beste aansluit bij jouw behoeftes? Neem vrijblijvend contact met ons op. We denken graag met je mee.

Citrix’s new user personalization layer

In the past Citrix released a feature that was called Personal vDisk. This was an extra disk attached to a Citrix Virtual Desktop. On this vDisk users could install applications that were not in the default image. This sounds as a nice solution for many developers, who had to work on virtual workstations and using many complex development tools. But this Personal vDisk could not be used in a pooled environment. In my opinion the name was not as it should be. It’s not a user’s personal vDisk, but a Machine bound vDisk. If you added this disk for a user, that machine became dedicated for that unique user. When the machine would crash, it was not so easy to attach the vDisk to another virtual desktop.

User personalization layer

From Citrix virtual apps and desktops version 1909 and later it is possible to use a real Personal vDisk. It is called “User personalization layer” and can only be used on a single session VDA (Virtual Delivery Agent). So, it can only be used in a VDI environment and not in a multi session SBC environment.

The user personalization layer feature is based on Citrix App Layering technology,but does not need the whole App Layering infrastructure with a Citrix App Layering appliance. The user personalization layer can also be used with pooled desktops. This is the first Citrix product that can be used with non-persistent machines. It does not matter if these non-persistent machines are created with Citrix Provisioning (PVS) or Machine Creation Service (MCS).

Applications

  • Users can install almost all applications on their VDI with this feature. The installed applications will be stored on the user personalization layer virtual hard drive. But there are some exceptions. Applications that modify the network stack or hardware are not supported . For example VPN client software. Applications that have boot level drivers are also not supported. Virus scanners are an example of this type of applications. Also, applications that install a driver like printer drivers. And the last are enterprise applications such as Microsoft Office and Visual Studio. Most of the time this kind of applications are already installed into the master image. So, this exceptions are not really an issue. The last exception are applications that install a local user or group on the machine. That user or group change will not be persistent. This seems logical as we want that this user layer can be used on non-persistent/pooled machines.

 

Requirements

If you want to implement the user personalization layer feature there are some requirements.
The required components versions are:
• Citrix Virtual Apps and Desktops 7 version 1909 or later
• Virtual Delivery agent (VDA) version 1912 or later
• Citrix Provisioning version 1909 or later (optional)
• Windows 10 Enterprise x64 version 1607 or later

 

Citrix is also advising to use a good profile management solution, to keep and roam the user settings. If you decide to use Citrix Profile management, turn off the deletion of user information at logoff. Applications installed by the users can have settings who need to roam with the user to the next session.

Maximize the layer size

There is an option to maximize the user layer. De default size is 10 GB but you can change the size as you like with a Citrix GPO in Citrix Studio. It is also possible to set a hard quota on the VHD’s by using Microsoft’s quota manager on the file server.

With the Citrix GPO in studio you must also set the User Layer Repository Path. This is the path to a file share close to your VDI’s on fast storage. You need to set some special file permissions on this UNC path. See the table below:

Special notes

User personalization layer has still some limitations. You cannot update the machine catalog with a master image running a new OS installed. Even the same version of Windows 10. Best practice is to apply updates to the OS within the same master image used when creating the machine catalog. This statement from Citrix is a big disappointment. We know that Citrix App layering had also no support to add existing layers to a new OS. But for Windows 10 Images you will need this. We hope support for this will be on the roadmap. Secure boot is also not supported yet. User layer settings override settings applied in the Master image and Computer GPO’s loaded during a boot. So, it is best practice to create a User Logon Script to run gpupdate /force at user login. This will have impact on your login performance.

More information?

If you would like to know more about this subject, feel free to contact us via marketing@loginconsultants.nl

 

Door Vincent van Zeijl

 

Zo wordt de lancering van een nieuw systeem wel een succes

Als verantwoordelijke voor een IT-project is het moment van in gebruik name van een systeem altijd een spannend moment. Manfred Rothfusz, Technisch Consultant bij Login Consultants, vertelt in deze blog hoe je vooraf performance en continuïteit van je nieuwe systeem kunt waarborgen.

Wachten op het oordeel

Als je een nieuw systeem in gebruik neemt, is het altijd maar de vraag hoe je gebruikers de verandering gaan ervaren en of de performance aan hun verwachtingen voldoet. Natuurlijk heb je het systeem getest, maar hoeveel functioneel beheerders en keyusers je ook bij de test betrekt, het is altijd afwachten wat het oordeel gaat zijn van de uiteindelijke, veel grotere, gebruikersgroep op het moment dat ze de nieuwe omgeving gaan gebruiken. Misstappen kunnen leiden tot veel kritiek en gezichtsverlies, zelfs tot in de media.

Pijnpunten blootleggen en verhelpen

Door gebruik te maken van grote groepen gesimuleerde medewerkers die gescripte werkzaamheden uitvoeren, kun je inzicht krijgen in de responsetijden die zij ervaren. Door die responsetijden te analyseren, kunnen pijnpunten in je ICT-infrastructuur worden blootgelegd en kan aan een oplossing worden gewerkt.

Geen gezichtsverlies

Zo hebben we bijvoorbeeld een grote overheidsinstelling behoed voor gezichtsverlies. Voordat de ingebruikname van haar nieuwe omgeving hebben we deze belast met duizenden gesimuleerde medewerkers. Tijdens de eerste test bleek dat bij zo’n dertig procent van die gesimuleerde medewerkers de omgeving zo traag reageerde dat werken onmogelijk werd. Als de medewerkers, zoals gepland, in kleine groepen gemigreerd zouden zijn, was er uiteindelijk een performanceprobleem ontstaan. Dan had men de migratie moeten stoppen en het probleem gaan onderzoeken, wat naar alle waarschijnlijkheid maanden had geduurd. Doordat er vooraf met gesimuleerde medewerkers getest is, kon het probleem aangepakt worden voor de lancering. Nadat de hardwarecapaciteit met zo’n vijftig procent was uitgebreid, werkte de test met de duizenden gesimuleerde medewerkers wel goed en kon de nieuwe omgeving zonder problemen in gebruik worden genomen.

Nieuw Elektronisch Patiënten Dossier

Een ander voorbeeld is de ingebruikname van één nieuw Elektronisch Patiënten Dossier (EPD) door twee universitaire ziekenhuizen. Het is onmogelijk om een nieuw EPD te gebruiken naast een bestaande, dus een bigbang-migratie was onvermijdelijk. Door duizend artsen, tweeduizend polimedewerkers, tweeduizend verpleegkundigen te simuleren en deze in twee uur tijd 25 duizend denkbeeldige patiënten te laten raadplegen – veel meer dan in de praktijk ooit voorkomt – werd duidelijk dat de performance en continuïteit gewaarborgd was. Dat gaf zoveel vertrouwen, dat het zorgde voor een Go vanuit de ICT-organisatie voor de migratie van het EPD.

Gokken is dokken

Mijn stokpaardje is ‘meten is weten, gissen is missen en gokken is dokken’. In de praktijk blijkt dit maar al te vaak te kloppen. Door vooraf met gesimuleerde medewerkers te testen kan de performance en continuïteit nauwkeurig in kaart gebracht worden. Deze aanpak bewijst zich niet alleen bij het in gebruik nemen van een nieuwe omgeving, maar ook bij bijvoorbeeld Microsoft updates, nieuwe versies van een transactiesysteem of van een bedrijfskritieke applicatie. Door te voorspellen laat de ICT-organisatie aan de gebruikersorganisatie zien dat ze in control zijn en wordt de kans op calamiteiten geminimaliseerd.

Benieuwd?

Nieuwsgierig geworden naar de kansen en mogelijkheden van dergelijke simulaties? Neem vrijblijvend contact met ons op. We denken graag met je mee.

 

Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler

Resterende Citrix fixes beschikbaar

De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.

Citrix-script beschikbaar voor controle op misbruik

Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler

Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0

https://www.citrix.com/downloads/citrix-adc/

In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.

Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.

Ons advies:

  • Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
  • Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1

Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen

uit /var/log

  • log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
  • log, kijk hier naar verdachte activiteiten
  • log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan

Zoek naar aangepaste bestanden in

  • /netscaler/portal/templates
  • /var/tmp/netscaler/portal/templates

Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody

Kijk of er cronjobs zijn met de eigenaar nobody

 

Citrix LTSR Upgrade, wel of niet?

Citrix biedt ‘XenApp/XenDesktop/Virtual Apps and Desktops’ niet alleen aan onder verschillende namen maar ook met verschillende ‘service offerings’. Net als bij Microsoft kun je kiezen om elke product-update door te voeren en zo te profiteren van de laatste nieuwe patches en verbeteringen of je kiest voor een ‘long term service release’ (LTSR). Daarmee staat er minder druk op het testen en doorvoeren van updates. Je moet dan wel langer wachten op de verbeteringen/uitbreidingen van het product.

Een overzicht van de verschillen tussen ‘CR’ (current release) en ‘LTSR’ is weergegeven in deze tabel:

De verschillende namen en offerings maken het Citrix-programma er niet echt inzichtelijker op (dat is overigens voor de verschillende Windows versies ook het geval). Zeker niet omdat Citrix besloten heeft om af te stappen van de 7.xx versie-nummering en nu werkt met <jaar><maand> (dus 1912 is december 2019) benamingen.

De ‘current release’ wordt elke 6 maanden vernieuwd en blijft 18 maanden na de release-datum ‘supported’;

De ‘LTSR’ wordt constant bijgewerkt met de bekende ‘cumulatieve updates’ (CU) tot de ‘End of Life’ datum. Hierdoor zijn er minder tussentijdse changes nodig en blijft de omgeving statischer.

De ondersteuning voor de verschillende LTSR en CR versies met EOL data is te vinden in deze tabel;

De uitbreidingen en verbeteringen in de verschillende CR versies en de LTSR-versies zijn in dit PDF-bestand terug te vinden.

Hoe beslis je welke versie voor jou geschikt is?

Als je nog geen XenApp of XenDesktop gebruikt moet je dus gaan kiezen tussen de CR of de LTSR variant. In deze blog-post wordt goed uitgelegd dat het enerzijds belangrijk is om vast te stellen wat de beschikbare kennis en capaciteit aan de beheerkant is en anderzijds of de gebruikers daadwerkelijk gebruik maken van de verbeteringen en uitbreidingen in nieuwere releases.

Voor ‘nieuwe’ Citrix gebruikers is er echter nog een optie: je kunt er namelijk ook voor kiezen om Citrix Cloud services af te nemen. Deze worden door Citrix bijgewerkt naar de laatste versie, zodat jij daar geen omkijken meer naar hebt. Jij (en jouw medewerkers) profiteert dan direct van de verbeteringen en uitbreidingen zonder dat dit extra beheerlast veroorzaakt.

De nieuwste LTSR-versie bevat alle verbeteringen en uitbreidingen uit eerdere ‘CR’-releases (voor een compleet overzicht kunt u eerder genoemd PDF-bestand raadplegen). We lichten er de volgende tien ‘features’ even uit:

  1. Thin Provisioning van Block Storage (GFS2)
    In de nieuwste Citrix XenServer hypervisor versie kan gebruik gemaakt worden van ‘GFS2’ storage (naast LVM, EXT3 en NFS) waardoor ‘eindelijk’ echte ‘thin provisioned’ VDI-images kunnen worden gebruikt. Dit scheelt in storage-kosten (als je de Citrix Hypervisor gebruikt).
  2. Verbeteringen Linux VDA
    Bijvoorbeeld ‘fast smart card’ support (zie voor de complete lijst verbeteringen zie ook het PDF-bestand).
  3. Verbeteringen in Citrix Director
    De ‘Director’ beheerconsole is verder uitgebreid en er kan in meer detail worden gekeken naar sessie-eigenschappen (zoals logon performance). Zie bijgaand screenshot voor een kleine indruk:

  1. User Personalization (Layering)
    Naast de ‘App Layering’ kan nu ook een extra virtual disk gekoppeld worden waarop User data en applicaties kunnen worden opgeslagen. Collega Vincent van Zeijlheeft deze feature bekeken en beschreven in dit blog-artikel.
  2. MCS I/O (verbeterde Write Cache)
    Ook bij de ‘Machine Creation Services’ techniek wordt de ‘Write Cache’ opgeslagen in snel RAM-geheugen met een overloop naar disk waar nodig. Dit wordt ‘MCSIO’ genoemd. In de nieuwste LTSR is de ‘MCSIO’ verder verbeterd (dit is voor ‘PVS’ gebruikers minder interessant).
  3. PVS asynchrone I/O (betere performance)
    De ‘Cache in RAM’ feature is verder verbeterd doordat de ‘disk overflow’ nu gelijktijdig plaatsvindt met de ‘cache in RAM’ en het ‘on-demand’ streamen van disk data. Deze asynchrone I/O zorgt voor nog betere performance.
  4. HDX Insight 2.0
    In grote Citrix omgevingen kan het zinvol zijn om met behulp van NetScaler Insight (nu ‘ADM’ oftewel Application Delivery Management) gebruik te maken van uitgebreide data monitoring. Wat wel en wat niet gemonitord wordt hangt af van welke ADM-licenties je aanschaft. De verwerking van deze monitoring data loopt in de nieuwste LTSR-versie over een ‘eigen’ HDX virtual channel wat resulteert in een betere schaalbaarheid,
  5. Ondersteuning voor Outlook Search, Skype en Teams
    Naast de ‘User Personalization Layer’ kan nu ook gebruik gemaakt worden van een geïntegreerde ‘profile disk’ waar bijvoorbeeld Outlook Search data op weggeschreven wordt. Als je gebruik maakt van Citrix Profile Management zorgt deze verbetering voor een aanmerkelijk betere logon performance (vergelijkbaar met bijv. FSLogix Profile containers). Daarnaast is de Microsoft Skype en Microsoft Teams Optimization ook onderdeel van de nieuwste LTSR.
  6. HDX protocol verbeteringen (EDT, Adaptive Throughput, Local Text echo)
    Enhanced Data Transport, Adaptive Throughput en bijv. ‘Local Tekst Echo’ zijn drie voorbeelden van verbeteringen/uitbreidingen in het ‘HDX-protocol (voorheen bekend als ‘ICA’). Om deze verbeteringen te kunnen gebruiken moet je naast de laatste LTSR-versie (en dus de ‘Virtual Delivery Agent’) ook de nieuwste Citrix Receiver gebruiken.
  7. Betere integratie met Citrix Cloud
    Hieronder verstaan we diverse kleine verbeteringen in de integratie met Microsoft Azure, AWS en Google Cloud Platform. Als je Citrix inzet of in wilt gaan zetten in (hybride) cloud scenarios is het zaak om te zorgen dat je over de laatste LTSR-versie beschikt.

Moet je nu onmiddellijk je huidige Citrix omgeving upgraden?

Het antwoord op die vraag hangt af van een paar aspecten.

  • Welke versie gebruik je. Je kunt in de tabel met ‘End of Life’ en ‘End of Support’ data vinden hoelang de omgeving nog ‘supported’ is.
  • Beschikt je over geldige ‘maintenance subscription’. Mocht je twijfelen dan kunnen wij dit voor je uitzoeken.
  • Beschikt je over voldoende capaciteit op je beheer-afdeling.
  • Wat betekenen de tien door ons uitgelichte ‘features’ in de praktijk voor jouw omgeving.

Op het eerste gezicht is de nieuwste LTSR-versie niet voor iedereen van even groot belang (bijvoorbeeld als je de Citrix Hypervisor niet gebruikt, of geen gebruik maakt van Linux VDA). Toch is er wel performance-winst te behalen. Deze performance verbeteringen zitten onder meer in een betere write cache I/O bij zowel MCS en PVS, maar ook in Citrix Profile Management en de Microsoft Teams ondersteuning. Bovendien bevat de nieuwste LTSR-versie naast de tien genoemde punten ook de (vele) kleine verbeteringen en vernieuwingen uit eerdere CR-releases.

Als je hier eens verder over wilt praten, neem dan contact met ons op. Wij zijn je graag tot dienst met advies en/of uitvoering.

Door Réne Lindeboom

Social intranet, workspace portal of cloud collaboration?

Is het onderbrengen van applicaties, documenten en informatiestromen in verschillende systemen nog wel van deze tijd of is het tijd voor een nieuwe logische drie-eenheid? In deze blog geeft Leen Mulckhuyse zijn visie.
Drie blokjes, één kubus

In de zomer van 2007 introduceerde Steve Jobs de eerste iPhone. De boodschap sloeg in als een bom: waarom hebben we dit niet eerder bedacht? Hele massa’s mensen liepen in die tijd met een Personal Digital Assistent (PDA), een MP3 -speler en een mobiele telefoon rond. Drie apparaten met drie verschillende besturingssystemen, drie accu’s, drie schermen, drie processoren, drie geheugenmodules, drie alles. Toen de drie blokjes op het scherm achter Steve Jobs samensmolten tot één kubus wist iedereen het direct: dat moeten we hebben!

Volop beweging in de wereld van werkplekportalen, social intranet en collaboratieplatformen

Bij de actuele discussie rondom werkplekportalen, social intranet en collaboratieplatformen zoals Microsoft Teams, gebeurt er eigenlijk hetzelfde. Het social intranet is al jaren aan een opmars bezig ten faveure van het ‘klassieke’ interactieloze intranet, dat vaak op initiatief van de HR-afdeling in het leven werd geroepen. Tegelijkertijd zien we dat IT-afdelingen documenten verplaatsen van klassieke fileshares en documentmanagementsystemen naar cloudgebaseerde collaboratieplatformen zoals Microsoft Teams of Google G-Suite. De workspaceportaltrend is nog lang niet op zijn hoogtepunt, maar inmiddels zijn we het er wel met z’n allen over eens dat het centraal beheren van (Windows) startmenu’s zijn langste tijd heeft gehad. Bedrijven vervangen massaal hun Windows-applicaties door SaaS- en andere webgebaseerde varianten.

Ga je mee in de beweging of hou je halsstarrig vast?

Organisaties die toegang tot hun applicatielandschap, hun documenten en de onderlinge informatiestromen in verschillende systemen onderbrengen, zijn gedoemd hetzelfde lot te ondergaan als de tegendraadse ICT-gebruikers die in 2007 vasthielden aan hun Palm Pilot, Nokia 6500 en iPod: te veel beheer, te veel bugs, te veel gedoe en te weinig functionaliteit en te weinig gemak.
Van verschillende systemen naar een logische drie-eenheid
Overigens is een gecombineerd portaal niet alleen een hele logische samensmelting van functionaliteit, het is ook een drijvende kracht voor gebruikersadoptie. Dat blijft immers de grote uitdaging, met name bij implementaties van een social Intranet. Niet zelden hoor ik één van de initiatiefnemers voor de introductie van een social Intranet een paar maanden na de lancering nog zeggen dat hij vandaag toch nog zelf maar een berichtje op het social Intranet heeft gezet om het goede voorbeeld te geven. Wanneer het portaal niet alleen de plek is waar je informatie met elkaar kan delen, maar ook toegang krijgt tot je applicaties en bestanden, is het automatisch ook een plek waar je graag komt om je werk te doen. Een plek waarvan je denkt: waarom hebben we dit niet eerder bedacht?

Benieuwd?

Ook nieuwsgierig geworden naar de kansen en mogelijkheden van gecombineerde portaaloplossingen? Neem vrijblijvend contact met ons op. We denken graag met je mee.