Spraakverwarring rondom het moderne werken? Nu niet meer

Spraakverwarring rondom het moderne werken? Nu niet meer

Citrix Managed Desktop (CMD), wat is de meerwaarde? 

Al jaren biedt Microsoft de mogelijkheid om een windows server als Remote Desktop Session Host aan te bieden. Daarmee kan je met meer dan 2 sessies tegelijk op een Windows server werken. Dat kan via een volledige remote desktop of via Remote apps. In de praktijk wordt deze “native” oplossing weinig gebruikt. Deze oplossing heeft wel beperkingen. Zo worden de sessies niet optimaal verdeeld over de server met de minste belasting en wordt   slechts een beperkte set van cliënt devices ondersteund. Het RDP Protocol is in de jaren steeds beter geworden maar kent nog wat beperkingen. Daarom zijn er andere producten op de markt die deze “gap” proberen te dichten. Producten als Citrix, VMwareParallels en Frame zijn hier voorbeelden van. 

Microsoft Windows 10 Enterprise Multi Session 

Vorig jaar heeft Microsoft Windows 10 Enterprise Multi Session, voorheen Windows 10 EVD, op de markt gebracht. Windows 10 Enterprise Multi Session is vergelijkbaar met een Remote DesktoSession Host, alleen is het besturingssysteem nu niet Windows Server maar een Windows Client Os. Het Client Os is Windows 10. Met Windows 10 Enterprise Multi Session is het mogelijk om gebruikers de bekende Windows 10-ervaring te geven, terwijl het bedrijf kan profiteren van de kostenvoordelen van meerdere sessies op 1 systeemDaarnaast is er volledige ondersteuning voor Office 365 inclusief OneDrive. Dit is een grote verandering en eigenlijk veel meer voor de hand liggend. In het verleden moesten er allerlei trucken toegepast worden om standaard desktopapplicaties te laten draaien op een multi session server Os. Denk maar aan het grijs verleden waar Microsoft Office geïnstalleerd moest worden met speciale transform files. Microsoft Windows 10 Enterprise Multi Session is echter alleen beschikbaar op Azure. 

Wat is Windows Virtual Desktop (WVD) 

Vaak wordt Windows Virtual Desktop (WVD) verward met Microsoft Windows 10 Enterprise Multi Session. WVD bestaat eigenlijk uit alle achterliggende services  om Windows 10 Enterprise Multi Session te kunnen laten draaien. WVD omvat de benodigde infrastructuur onderdelen zoals broker, gateway, webaccess en load balancing geleverd als Services uit Azure. WVD is eigenlijk de nieuwe naam voor Remote Desktop Modern Infrastructure (RDmi). Het voordeel van deze Services in Azure is dat het beheerd wordt door Microsoft. Je neemt een service af en hoeft zelf niets meer te installeren of te onderhouden. Deze Service mag je “gratis” gebruiken als je in het bezit bent van RDS CAL’s, Microsoft 365 of Windows 10 E3/E5. Je betaalt echter wel voor de WVD Hosts waarop de gebruikers werken. Tevens ondersteunt WVD niet alleen Windows 10 Enterprise Multi Session, maar ook Windows 10 Enterprise (Single Session), Windows Server 2012 R2, 2016, 2019 en Windows 7 Enterprise. Bij Windows 7 Enterprise krijg je tevens een verlengde ondersteuning voor maintenance. Deze is voor Windows 7 on premises al verlopen. 

Citrix Managed Desktop (CMD) 

Bij Citrix was het al mogelijk om al het beheer van de infrastructuur uit te besteden aan Citrix via Citrix Cloud. Je hoeft dan zelf de gehele backend van de Citrix omgeving niet meer te bouwen en te onderhouden. Van dezelfde Citrix Cloud Services maakt  Citrix Managed Desktop gebruik.

Citrix Managed Desktop wordt vaak vergeleken met Windows Virtual desktop maar maakt dus geen gebruik van de Microsoft Services en heeft een geheel eigen set van Services. Wel ondersteund Citrix Managed Desktop ook Windows 10 Enterprise Multi Session. En dit is een unieke samenwerking tussen Citrix en Microsoft. Met Citrix Managed Desktop is het mogelijk om alles uit te besteden aan Citrix. Dus niet alleen de Intrastructure via Citrix Cloud, maar zelfs de Azure Subscriptions die nodig zijn voor de WorkersJe kunt er echter ook voor kiezen je eigen Azure Subscription te gebruiken. CMD en WVD zijn momenteel de enige mogelijkheden voor het gebruik van Windows 10 Enterprise Multi Session. 

Verschillen 

De verschillen tussen WVD en CMD zitten vooral in de features, en dat is eigenlijk niet anders ten opzichte van Remote Desktop Sessionhost (Remote Apps) en Citrix Virtual Apps and Desktops. De toegevoegde waarde die Citrix geeft heeft wel een prijskaartje. Iedereen zal zelf een kosten – batenanalyse moeten maken. Veel grote Enterprise bedrijven met complexe eisen en wensen zullen beter uit zijn met Citrix Managed Desktops. De mogelijkheden zijn legio met een zeer goede ondersteuning. Zijn je wensen echter niet zo groot en wil je gebruik maken van een simpele Desktop As a Service (Daas) oplossing, dan kun je prima uit de voeten met WVD. 

Features die CMD aanbiedt t.o.v. WVD zijn o.a. : 

  •  Auto scaling 
  • HDX User Experience 
  • Intelligent Workspace 
  • Secure access 
  • Image management 
  • Bredere cliënt support 
  • Extra Policy set 
  • Monitoring 
  • Analytics 
  • Teams en Skype Optimizations 

*Deze laatste Teams Optimization is een niet te verwaarlozen optie als je er gebruik van maakt. Het voert te ver om daar in deze blog verder op in te gaan. 

 

Meer informatie over CMD en WVD is te vinden bij onderstaande links. 

Citrix Managed Desktop (CMD) 

Windows Virtual Desktop (WVD) 

Windows 10 Enterprise Multi Session 

 

Wil je meer weten over CMD of WVD neem dan contact met ons op via sales.support@loginconsultants.nl

De voordelen van Windows Virtual Desktop in een VMware-omgeving

De voordelen van Windows Virtual Desktop in een VMware Horizon Cloud-omgeving

Citrix Netscaler overzetten van LDAP naar sLDAP?

Wat is LDAP en waarom moet je over naar signed LDAP?

Microsoft heeft enige tijd geleden aangekondigd om de LDAP-ondersteuning standaard uit te zetten in verband met de hedendaagse securityeisen. LDAP staat voor “Lightweight Directory Access Protocol” en vraagt directories uit in “clear tekst”. LDAP wordt gebruikt om de Active Directory uit te lezen en op basis van die gegevens toegang te geven tot Applicaties, tools of bestanden. Ook maakt Microsoft zelf in een aantal Management Tools gebruik van LDAP. Het mag duidelijk zijn dat uitzetten van LDAP-ondersteuning grote gevolgen heeft omdat er nogal wat producten gebruik van maken.

Volgens onderstaande stappen voert Microsoft dit door:

Stap 1

Je kan zelf bepalen of je de policies voor LDAP-ondersteuning uit of aan zet. Deze zijn al aanwezig in alle ondersteunde besturingssystemen. Hiermee kun je LDAP-ondersteuning dus gewoon weer aanzetten en blijven gebruiken. Je negeert dan het beveiliging advies, maar je hoeft niets aan te passen.

Stap 2

Na het installeren van de Windows updates van maart 2020 komen er events in de eventlog die aangeven dat de security kan worden verbeterd door LDAP-server signing aan te zetten.

Stap 3

In de tweede helft van 2020 wordt LDAP-ondersteuning standaard uitgezet. Dus zorg dat je voor die tijd overstapt op secure LDAP of de policy aan zet die LDAP enabled, zodat je niet voor een verassing komt te staan. Een exacte datum is nog niet bekend.

Gebruikt de netscaler LDAP?

De kans dat de netscaler LDAP gebruikt is redelijk groot, zeker configuraties die al een poosje bestaan. Nieuwe installatie worden ook vaak ingericht met SAML. Om van LDAP af te komen kun je overschakelen naar LDAPs of SAML. Overschakelen naar LDAPs is op de netscaler een eenvoudigere stap dan naar SAML. De stappen om over te schakelen naar sLDAP staan hieronder omschreven.

Certificaat op domein controllers

Om gebruik te maken van Secure LDAP moet er op de domeincontrollers een certificaat geplaatst worden in de persoonlijke store van het computeraccount. Dit certificaat moet de onderwerpnaam hebben van de Domeincontroller als volledige domeinnaam. Het certificaat moet uitgegeven zijn als Server authenticatie en Client authenticatie. Als je in het bezit bent van een eigen PKI-infrastructuur is dit geen probleem. Als je geen PKI-infrastructuur tot je beschikking hebt, val je meestal terug op “self signed” certificaten met veel beheer tot gevolg. Publieke certificaten zijn vaak niet te gebruiken omdat de interne domein naam vaak eindigt op “.local” of “.intern”. Dus als je geen PKI infrastructuur tot je beschikking hebt moet je overwegen deze te implementeren.

Controleren of LDAPs werkt en LDAP niet meer

Om te controleren of alles goed geconfigureerd is, kan je het hulpmiddel ldp.exe gebruiken.

Connect eerst naar de domein controller met LDAP en vervolgens met een account die rechten heeft in de AD. Onder view lukt het om door de AD te bladeren.

Firewall aanpassingen door port aanpassingen van 389 naar 636

Het aanpassen van LDAP naar LDAPs betekent ook een ander port nummer. Dit houdt in het aanpassen van firewall rules. Of er tussen de netscaler een firewall zit hangt een beetje van de configuratie van de netscaler af. Het kan zijn dat de netscaler zit aangesloten op een switch en vervolgens router en dus door een firewall heen moet, maar soms heeft de netscaler direct een netwerklink in het subnet waar de domeincontrollers in zitten.

Netscaler overzetten naar LDAPs

Als bovenstaande allemaal geregeld is, is de netscaler ADC overzetten niet meer zo ingewikkeld. Log in op de netscaler en ga naar Netscaler Gateway – Policies – LDAP. Edit hierna de LDAP-server.

Pas het security type aan naar SSL en kies onderaan OK

Handige links

Meer weten?

Wil je meer weten over LDAP neem dan gerust contact met ons op via sales.support@loginconsultants.nl.

Door Ruud Zwanenburg

Het belang van een mobiele strategie

Het belang van een mobiele strategie

Medewerkers werken steeds flexibeler, en dat betekent nogal wat voor hun werkplek. In deze blog vertelt Erwin Klaver, senior consultant bij Login Consultants, waarom het belangrijk is een mobiele strategie te hanteren en wat de vijf belangrijkste aandachtspunten zijn.

Minder zorgen door standaardisering

Remote werken wordt steeds belangijker, zeker voor een mobiele werplek. Anytime, anyplace, anywhere is de nieuwe standaard en het belang daarvan is op dit moment duidelijker dan ooit. Door te werken met een gestandaardiseerde werkplek – dus ook een gestandaardiseerde mobiele werkplek – ontzorg je je IT-afdeling, maak je minder kosten en kun je je als bedrijf focussen op waar je goed in bent: je corebusiness.

1 Kies voor managed of unmanaged

Als je gaat voor een mobiele werkplek vanuit de cloud, kunnen medewerkers zowel met een persoonlijk apparaat (BYOD) als met een apparaat van de organisatie (CYOD) op een veilige manier werken. Dit kan op een managed of een unmanaged werkplek. Bij een unmanaged werkplek kies je voor databeveiliging: de applicaties en de data achter de applicaties zijn beveiligd op basis van App Protection. Daarnaast kun je bijvoorbeeld forceren dat medewerkers, ongeacht hun device, Microsoft Outlook moeten gebruiken in plaats van de mail-app van Apple of Google Mail van Android. Dit wordt geregeld met Conditional Access. Kies je voor een managed werkplek – of dat nu gaat om een Windows-, iOS- of Android-device – dan ga je voor werkplekbeveiliging. Hiermee kun je zowel beleid als verregaande instellingen afdwingen, net zoals dit ingesteld werd op de traditionele manier.

2 Zorg voor een platformonafhankelijke werkplek

Natuurlijk is onafhankelijkheid van het platform heel belangrijk. Ongeacht of je gebruikers werken met Windows 10, iOS of Android, de look en feel van de mobiele werkplek moet hetzelfde zijn.

3 Dwing een goede beveiliging af

Beveiliging van de identiteit van je medewerkers wordt steeds belangrijker. Inloggen met alleen een gebruikersnaam en wachtwoord is niet meer voldoende vandaag de dag. Met een mobiele werkplekstrategie kun je zorgen dat multifactorauthenticatie wordt afgedwongen. Inloggen met pincode of gezichtsherkenning zijn nieuwe vormen van inloggen waarbij je geen gebruik hoeft te maken van een gebruikersnaam of wachtwoord. Ook inloggen met een Yubikey of de Microsoft Authenicator-app op een telefoon is een veilige, wachtwoordloze, mogelijkheid.

4 Beheer de werkplek met Microsoft Intune

Een goede cloudwerkplek is gebouwd op basis van best practices van Microsoft. Dat wil zeggen dat het beheer plaatsvindt vanuit Microsoft Intune, Microsofts platform voor geïntegreerd beheer van al je apparaten, zakelijk en persoonlijk. Daarmee ondersteun je diverse mobiele ecosystemen, van iOS en Android tot Windows en MacOS, blijf je up-to-date met een schaalbare en wereldwijd geaccepteerde cloudservicearchitectuur en bescherm je je gegevens optimaal.

5 Zorg voor gemak met selfservice

Als je medewerkers zelf hun apparaat kunnen installeren, scheelt dat de IT-afdeling weer werk. Met Microsoft Windows Autopilot, eventueel in combinatie met whiteglove, stel je je gebruikers daartoe in staat zonder tussenkomst van de eigen IT-afdeling. Dat kan ook voor Apple – met Apple Business Manager – en Android – met Android Enterprise. Denk ook aan selfservice passwordreset, zodat gebruikers zonder tussenkomt van IT hun wachtwoord kunnen resetten of hun multifactorauthenticatie instellen.

Hoe werkt zo’n transitie?

Is je organisatie klaar voor de transitie naar een mobiele werkplek? Wij helpen je graag. We starten het traject met een workshop, waarin we de eisen en wensen van jouw organisatie vastleggen. Aan de hand daarvan bouwen we een ontwerp. Is dat het juiste ontwerp waar jouw organisatie zich in herkent? Dan gaan we aan de slag met de technische implementatie, de testfase en een pilotfase, voor de hele omgeving in productie gaat. Natuurlijk moet zo’n omgeving op de juiste manier worden geïntroduceerd en moet de toegevoegde waarde helder zijn voor de medewerkers. We besteden dan ook voldoende aandacht aan adoptie.

Meer weten?

Nieuwsgierig wat wij in dit traject voor je kunnen betekenen? Neem gerust vrijblijvend contact met ons op. We leren je graag kennen.

Door: Erwin Klaver, senior consultant

Als de tijd beperkt is: hoe schaal je thuiswerken snel en veilig op?

“Soms komt een organisatie in een situatie terecht waar geen ‘disaster recovery plan’ in voorziet. De ondersteuning van je Windows versie waar de IT van je organisatie op draait, wordt sneller afgebouwd dan voorzien. Of, actueler: een crisis dwingt veel meer mensen tot thuiswerken dan ooit voor mogelijk werd gehouden. Hoe kan je de capaciteitsbehoefte in virtuele werkplekken razendsnel maar veilig en snel opschalen? Ik deel graag mijn visie – en concrete antwoorden – op deze uitdaging.

De uitdagingen waarover we hier spreken, zijn echt. Dat waren ze al voordat het Coronavirus van zich deed spreken. Het roer bij een organisatie moet om, en vooral heel snel. Als het ‘uitsupport lopen’ van een OS wordt aangekondigd, dan kan je nog redelijkerwijs plannen en actie nemen. Sommige organisaties hebben dat voor zich uit geschoven en dreigen zo in de problemen te komen. Maar kijk ook naar de actualiteit van vandaag: opeens werkt bijna het complete bedrijf vanuit huis – hoe schaal je zo snel op dat het qua capaciteit en security ook kán?

‘Hoe schalen we onze virtuele werkplekken op en welke rol kan de cloud hierin spelen?’ Ik heb deze vraag in de afgelopen weken verschillende keren gekregen, vanuit verschillende organisaties en uitgangssituaties. De rode draad door de verhalen is telkens dezelfde.

Bij de ontwikkeling van de werkplekken houden organisaties rekening met een bepaalde intensiteit van gebruik. Als dat gebruik exponentieel toeneemt – bijvoorbeeld doordat alle medewerkers thuis werken – schiet de voorziene capaciteit in het datacenter te kort. Je kunt het aantal werkplekken niet zonder meer verdubbelen of verdrievoudigen zonder dat de omgeving compleet tot stilstand komt.

Om snel de vraag naar verwerkingscapaciteit te honoreren is het aanhaken van extra servers een oplossing zoals bijvoorbeeld een grote bank en die in eigen serverparken capaciteit kan vrijmaken. Voor andere grote organisatie is levering van al die hardware op korte termijn een uitdaging. Bovendien: voor hoe lang kan en wil een organisatie zo’n drastische oplossing met zo’n fikse investering optuigen? Wie kan zeggen hoe lang de behoefte aan extra capaciteit van VDI virtuele werkplekken gaat duren? Het huren of kopen van servers is bovendien net als met mondkapjes: er is schaarste.

Laat ik duidelijk zijn: ik ben ervan overtuigd dat met de cloud een snelle, veilige en goed schaalbare oplossing mogelijk is voor de groeiende capaciteitsbehoefte van virtuele werkplekken. Een oplossing die, bijvoorbeeld met Azure, bovendien kan worden afgerekend naar gebruik per uur. Dat het vlot, secure en verantwoord kan gebeuren, zijn onze medewerkers ‘as we speak’ aan het bewijzen voor een Britste overheidsorganisatie met 15.000 werkplekken.

Snel en goed door andere projectaanpak

Hoe? Door een andere projectaanpak te kiezen, ervan uitgaande dat de klantorganisatie al een Azure- of Microsoft-contract heeft, waarbinnen de opschaling te regelen is. Ik leg graag uit hoe de nieuwe projectaanpak werkt, in twee stappen van elk enkele weken: eerst ‘minimal viable’ en daarna extra bedrijfsapps toevoegen in korte sprints.

Stap 1: ‘Minimal viable’ 

We starten met het stellen van een belangrijke vraag: wat is het ‘minimal viable product’ voor de betrokken organisatie. Met deze minimale definitie van de werkplek kan een aanzienlijk deel van de medewerkers hun belangrijkste taken uitvoeren en productief zijn. Dat is de basisfunctionaliteit, bijvoorbeeld mét vijf kernapplicaties, maar zonder de tientallen speciale apps die in de organisatie worden gebruikt.

Dat bepalen en opzetten voor een organisatie van – zeg – 1.000 medewerkers, dat lukt alleen als we met de klant aan twee randvoorwaarden voldoen. Eén: goede gesprekken en afstemming met de business rond de vraag met welke functionaliteit medewerkers productief kunnen zijn. Twee: afstemming van security. Er is een versnelde procedure nodig om een praktische, naar de omstandigheden optimale security te bieden.

Wat is dan het resultaat? 

De werkplek die wij organisaties volgens onze nieuwe werkwijze bieden, is standaard CIS-1 compliant. We passen een soort bypass-oplossing toe om de reguliere en langdurige change-processen te vermijden – om echt in korte tijd meters te maken. Noem dat een praktische, daadkrachtige ‘nood-breekt-wetten-oplossing’ waarmee we snel vooruit kunnen. Ik ben ervan overtuigd dat het een verantwoorde aanpak is, met controls voor optimale security op een basisniveau – met een mandaat van de klant en diens Change Control Board.

Ik weet het, één tot twee weken voor zo’n eerste fase is kras. Hoe kan dat? Dat lukt onder meer doordat we de bouw versnellen met de inzet van standaard bouwblokken. Denk daarbij met name aan bewezen elementen, zoals imagerecepten voor Windows 10, 2016-server en 2019-server met tuning componenten en best practices waarbij we de gevoeligheid op fouten verkleinen.

Verder gebruiken onze experts diverse tooling uit de software suite van Login VSI, waarmee automation en monitoring in één keer worden ingebracht. Ik zie dat het niet alleen grote mogelijkheden biedt voor versnelling van het proces, maar ook om het snel in beheer te nemen. Zo kan de nieuwe omgeving ook snel operationeel zijn, met goed geregelde patching en monitoring.

Stap 2: met snelle, korte stappen apps toevoegen

Ook de volgende weken worden goed besteed. Met snelle scrum-sprints voegt het projectteam bijna dagelijks nieuwe applicaties toe aan de virtuele werkplek. Waar normaal eerst 100 procent van alle applicaties getest en gevalideerd worden, gaat het nu met app-bundels in korte sprints. De ervaring leert dat zo de virtuele werkplek een periode van drie weken tot 80 of zelfs 90 procent wordt uitgebreid met de functionaliteit waarmee de medewerkers al hun taken thuis kunnen uitvoeren.

Ik wijs je graag op een belangrijke succesvoorwaarde. Dat is de bouw van een goede test- & acceptatie omgeving, waar de opdrachtgever snel en goed de werking van een app kan valideren. Vele test- en acceptatie-omgevingen die ik heb gezien zijn gebaseerd op het principe van ‘dezelfde wijziging in meerdere geïsoleerde omgevingen doen’. Het nadeel van deze aanpak is dat de omgevingen per definitie verschillend zijn waardoor de testresultaten niet compleet te vertrouwen zijn. De aanpak die wij kiezen is dat de test- en acceptatie-omgeving een integraal onderdeel van de omgeving is, waarbij het image middels ‘staging’ in productie wordt gebracht. Deze methodologie maakt standaard onderdeel uit van onze aanpak.

Eén ding wil u graag nog meegeven: investeer tijd en aandacht in het ‘breder trekken’ van de disaster recovery plannen. Denk daarbij niet alleen in branden of ander onheil, maar hou rekeningen met verstoringen van de business, voor langere perioden. Want ook dan moet zo’n plan voorzien in een snel alternatief voor de IT, met een Azure-omgeving als uitwijk en met een praktisch plan voor snelle opschaling. Houd de werkelijke behoefte aan virtuele werkplekken tegen het licht van een crisis zoals we die nu met het Coronavirus meemaken. Die brede blik houdt een organisatie agile en klaar voor de toekomst, hoe die er ook uit mag zien. En weet: de cloud kan, met de juiste ondersteuning, je bondgenoot zijn.”

Chris van Werkhoven, CTO Login Consultants