Citrix Web App Firewall op Application Delivery Controller (Netscaler)

Vanaf 1 oktober bij Citrix geen ‘perpetual licensing’ meer

Een terugkerende uitdaging bij het uitvoeren van IT-projecten, maar ook bij het dagelijks beheer, is het zorgen voor voldoende licenties. Dat kan hoofdbrekens opleveren, omdat verschillende vendoren, verschillende licentiemodellen voeren en zelfs per vendor zijn vaak talloze scenario’s mogelijk. Producten worden in standard en enterprise verkocht – Citrix stond natuurlijk bekend om de Platinum variant.

Naast de eenmalige aanschaf van een licentie is er meestal sprake van een jaarlijkse toeslag in de vorm van een software assurance, customer success of subscription advantage. Daar komt dus wel wat rekenwerk aan te pas. Noodzakelijk rekenwerk om de kosten per werkplek goed in te kunnen schatten.

Welke licentie-vorm kies je?

Welk type/model licentie aan te schaffen in een bepaalde situatie hangt mede af van de gewenste functionaliteit. In de bekende feature matrix valt snel op te zoeken wat een Premium CVAD license biedt ten opzichte van een Advanced of Standard license. Voor Citrix NetScaler is deze feature matrix hier te vinden.

De kosten per werkplek vormen een belangrijk aspect (maar niet het enige hoop ik) van de business case. De vraag welke werkplekoplossing het meest geschikt is in een specifiek scenario of bij/voor een specifieke organisatie. Een tweede, minstens zo belangrijk aspect van de business case is de vraag of de organisatie zelf verantwoordelijk wil zijn/blijven voor het design, bouw en beheer van de werkplek – of dat één of meer taakgebieden wordt ondergebracht bij een serviceprovider. Waar totale controle over de infrastructuur (en de toegang tot de infra) voor de ene organisatie als essentieel wordt gezien zal de andere organisatie, soms gedwongen, door bijvoorbeeld het bezettingsvraagstuk, sneller kiezen voor een (cloud) hosted en/of managed werkplek.

 

Of de werkplek nu hosted en/of managed is of niet, de licentiekosten worden uiteraard verdisconteerd en doorberekend (soms ook naar de diverse interne afdelingen). En in dit soort rekenmodellen is het subscription model makkelijker te hanteren als de perpetual (de eenmalige aanschafskosten) license.
Waar een subscription-model het “nadeel” heeft dat er nooit te weinig betaald wordt aan de softwareleverancier, is het net zo waar dat er veel minder vaak “te veel” wordt betaald als het aantal gebruikers/sessies afneemt. Het subscription model beweegt beter mee met het werkelijke verbruik aan licenties.

Geen perpetual licence meer

Citrix biedt vanaf heden subscription licensing voor al haar producten, of je ze nu hosted afneemt of zelf installeert/configureert en beheert (al dan niet ‘on-premises’). En vanaf 1 oktober aanstaande, dat is dus al snel, vervalt de mogelijkheid om een perpetual license aan te schaffen.

Je kan dit zien als een verslechtering in het licentie-aanbod. Maar goedbeschouwd is dit een logisch gevolg van de noodzaak om het productportfolio voortdurend te moeten ontwikkelen en patchen (continuous delivery). Kwaadwillenden zoeken dag en nacht naar potentiële kwetsbaarheden in de software en het is dus een constante wedloop om updates aan te bieden en ze voor te blijven. Hieruit zijn ook de Current Branch (Windows) en Current Release (Citrix) versies ontstaan.

Afgezien hiervan is het ook reëel om te betalen naar gebruik, zoals we inmiddels ook hebben geleerd van de ‘Netflixen’ en ‘Spotifys’ van deze wereld. Zolang je betaalt, krijg je functionaliteit en zo kun je dus zelf controle houden over budget en wat je daarmee kunt doen. Dit kennen we inmiddels allemaal als het ‘as-a-service’ principe. Citrix sluit hierbij aan door geen eenmalige licenties meer aan te bieden maar enkel nog ‘subscription licenties’, nog steeds met een ‘onderhoudsbijdrage’ (Customer Success Service’) voor de patches en updates.

Wat moet je nu doen als je ‘perpetual licenses’ hebt aangekocht?

Het antwoord op deze vraag hangt af van de vervolgvraag; ‘Ga je in de toekomst meer (perpetual) licenses aanschaffen? In dat geval, moet je die aanschaf versnellen, je kunt nog tot 1 oktober de ‘gewone’ licenties bijkopen. Als je dit niet doet en je wilt na 1 oktober (extra) licenties aanschaffen, dan koop je dus subscription licenses die hun geldigheid na een bepaalde tijd (meestal een jaar) verliezen (je kunt in cloud/hosted scenarios werken met nog kortere – en dus goedkopere – licentieperiodes).

De bestaande perpetual licenties blijven geldig. Updates blijven mogelijk via het ‘Customer Success Service’ model, dus ook voor de eerder aangekochte perpetual licenties. En daar waar het werkelijke verbruik is afgenomen ten opzichte van het aantal aangekochte perpetual licenties is het een prima idee om een ‘trade-up’ te overwegen (het ‘omruilen’ van perpetual licenties naar cloud workspace licenties). Immers, het afscheid nemen van perpetual maakt het toekomstige opschalen, maar zeker ook het afschalen van licenties veel makkelijker.

Organisaties met zowel perpetual licenses als cloud/subscription licenses houden de keuze om een omgeving af te nemen als dienst, of in te richten in het eigen (al dan niet ‘on-premises’) datacenter. En na 1 oktober kun je nog steeds kiezen voor een on-premises oplossing, zij het dat je het gebruiksrecht van de software dan steeds moet verlengen. Vermoedelijk is het dus logischer om na 1 oktober voor een cloud/hosted scenario te kiezen.

Meer weten?

Uiteindelijk is de licentievorm niet bepalend voor de oplossing. Het blijft altijd zaak om eerst te inventariseren welke functionaliteit wordt verlangd, aan de hand daarvan enkele mogelijke oplossingen te beschrijven en pas daarna de bijbehorende kosten te calculeren. Die calculatie wordtmet het subscription model wel een stukje simpeler. Uiteraard helpen wij graag met zowel de inventarisatie als het identificeren van mogelijke oplossingen en met het calculeren van de kosten per werkplek. Je kunt contact met ons opnemen via sales.support@loginconsultants.nl

Citrix en Microsoft, ’better together’

Door René Lindeboom

Citrix en Microsoft zijn twee bekende namen in de wereld van virtualisatie en clouddiensten. Citrix ontwikkelde begin jaren negentig al oplossingen om Windowssessies remote beschikbaar te maken voor ‘thin clients’. En al vanaf de begintijd (wie herinnert zich nog ‘WinFrame’ uit 1995…) sloten Citrix en Microsoft een samenwerkingsovereenkomst. Hierdoor kon Microsoft een ‘Terminal Server’ edition op de markt brengen en kon Citrix het ‘ICA-protocol’ verder ontwikkelen.

De wereld staat niet stil

In 2008 werd de overeenkomst tussen Citrix en Microsoft uitgebreid tot een ‘strategic partnership’. Dit maakte het bijvoorbeeld mogelijk om ‘XenApp’ te hosten op Microsoft Hyper-V, de Citrix XenServer hypervisor te managen met Microsofts System Center oplossing en gemeenschappelijk te kiezen voor het ‘vhd’ bestandstype voor virtual machines.

2008, het lijkt nog kortgeleden, maar inmiddels leven we echt in een andere wereld. Niet alleen financieel-economisch, maar ook als we kijken naar virtualisatie en de ontwikkeling van ‘de cloud’. Citrix nam ‘cloud.com’ over en host daar de Citrix-diensten op, Microsoft ontwikkelde Azure tot een volwassen cloudplatform en ook de concurrentie (Amazon Web Services, Google Cloud Platform) vecht voor het behalen en behouden van marktaandeel. De wereld staat bepaald niet stil. Er wordt een harde strijd geleverd tussen aanbieders van clouddiensten en virtualizatie oplossingen, waarbij soms niet wordt nagelaten elkaars producten zo slecht mogelijk af te schilderen. Helaas is het bijkomend effect dat de klant uiteindelijk het vertrouwen verliest in alle software-gigant.

Profiteren van elkaars kennis

De wereld staat bepaald niet stil. Er wordt een harde strijd geleverd tussen aanbieders van clouddiensten en virtualizatie oplossingen, waarbij soms niet wordt nagelaten elkaars producten zo slecht mogelijk af te schilderen. Helaas is het bijkomend effect dat de klant uiteindelijk het vertrouwen verliest in alle software-gigant. Het partnership tussen Microsoft en Citrix is daarom belangrijk. In technisch opzicht stelt het beide partijen in staat toegevoegde waarde te leveren, waarbij de klant zelf kan kiezen welke componenten worden ingezet. Producten van beide vendoren worden onderling compatibel gemaakt of zelfs geoptimaliseerd (denk aan de optimization-packs voor Skype en Teams). Ontwikkelaars profiteren van elkaars kennis. Citrix en Microsoft stellen een gezamenlijke roadmap op. Er is sprake van integratie op alle vlakken en dat gaat verder dan het integreren van wat softwarecomponenten.

Zekerheid bij ondersteuning en support

Maar het partnership stelt klanten en organisaties niet alleen in staat om hun eigen selectie te maken uit technische componenten uit beide portfolio’s, het geeft vooral zekerheid op het gebied van ondersteuning en support op de langere termijn. Ook op (hoger) managementniveau is tussen beide bedrijven verdergaande samenwerking mogelijk (zo was de vorige CEO van Citrix, Kirill Tatarinov, daarvoor vice-president van Microsoft). Het strategisch partnership stelt partners (zoals Login Consultants) en consultants in staat hun carrière te bouwen op basis van technologie die deze twee vendoren ontwikkelen.

‘Better together’, deze term gaat dus zondermeer op voor de samenwerking tussen Microsoft en Citrix. En onlangs kondigden beide bedrijven aan de samenwerking verder te intensiveren.

De belangrijkste afspraken tussen Microsoft en Citrix zijn:

  • Citrix Workspace is het ‘preferred’ digital workspace platform voor Microsoft (en Citrix) afnemers.
  • Microsoft Azure is de ‘preferred’ cloud oplossing voor Citrix (en Microsoft) afnemers.
  • WVD (Windows Virtual Desktop) wordt de basis voor zowel Citrix Virtual Apps and Desktops (voorheen XenApp) service als ook de Citrix Managed Desktops Service (lees hier meer over Citrix Managed Desktops).

Voor bedrijven en organisaties uit de hele wereld betekent het dat beide softwaregiganten gezamenlijk blijven werken aan verbetering, gezamenlijk hun afnemers blijven ondersteunen en daarbij hun productportfolio voortdurend op elkaar blijven afstemmen.

Login Consultants werkt al jaren nauw samen met Citrix en Microsoft. Wil je meer weten of ben je op zoek naar een partij die je van a tot z kan helpen met het inrichten en beheren van je digital workplace, Space en Desktop? Neem dan gerust contact met ons op, we helpen je graag verder.

Lees meer over het partnership

  • https://www.citrix.com/global-partners/microsoft/
  • https://news.microsoft.com/2020/07/14/citrix-and-microsoft-partner-to-accelerate-the-future-of-work/

Citrix Intelligent Workspace: This is how the future works

Door René Lindeboom

We kennen Citrix allemaal als een oplossing voor het publiceren van applicaties en van volledige Windows Desktops. Daar is nog veel meer over te vertellen maar dat gaat niet in dit artikel passen. Al die applicaties. Men heeft uitgerekend dat een kantoormedewerker gemiddeld tientallen applicaties nodig heeft om zijn of haar taken af te kunnen werken.

Wat gebeurt er zoal op een dag? Denk bijvoorbeeld aan:

  • Het registreren van verkopen, inkopen en afspraken.
  • Het vastleggen van klantcontacten in een “CRM”.
  • Het indienen van een verlofaanvraag of een declaratie en het goedkeuren (of afkeuren) daarvan.
  • Een overleg met één of meer collega’s of aan een interne mededeling (nieuwe collega’s bijvoorbeeld of iets als het weekmenu in de kantine).

We gebruiken daar applicaties voor. Veel applicaties. Dat kunnen Windows-applicaties zijn, geïnstalleerd op de desktop of laptop maar ook gepubliceerde applicaties die centraal worden aangeboden en beheerd. De laatste jaren gebruiken we steeds meer ‘SaaS’ applicaties die vaak simpelweg gebruikt kunnen worden vanuit de internetbrowser.

We ervaren dit als ‘gewoon’. We melden ons aan het begin van de werkdag aan, om te beginnen op de eigen werkplek. Dan begint het pas goed. Voor al die applicaties moet apart worden ingelogd. Gelukkig kunnen we een ‘save password’ vinkje aanklikken. Al die gebruikersnamen, al die wachtwoorden, het is voor ons allemaal herkenbaar en het kost ons allemaal ook kostbare tijd (zeker als er een wachtwoord ge-reset moet worden).

Dit kan beter

En dan die taken die uitgevoerd moeten worden. Bij het ene programma zit de ‘save’ knop rechts, bij de andere links, bij weer een ander programma zit de knop verstopt in een afrolmenu. Bij het ene programma ben je in vier, vijf klikken klaar en bij een ander programma moet je vele schermen door om een enkele registratie vast te leggen. Er worden werkinstructies gemaakt of zelfs trainingen gevolgd om met sommige programma’s (zoals SAP bijvoorbeeld) om te leren gaan.
We denken er niet over na, maar het kost ons allemaal tijd, elke dag opnieuw. Dit kan beter.

Citrix publiceert al tientallen jaren applicaties (en desktops). Wat als je nu ook ‘taken’ zou kunnen publiceren? Wat als de meest gebruikte taken met één of twee klikken gedaan kunnen worden? Wat als je taken gepushed zou krijgen naar je werkplek zodat je niet hoeft te switchen tussen vijf, tien of vijftien verschillende programma’s?

Eigen feed

That is how the future works. Citrix heeft de ‘Intelligent Workspace’ ontwikkeld . Deze digitale werkplek bestaat uit een ‘Facebook-achtige’ feed waar meldingen, taken en registraties automatisch voorbijkomen. Voor ‘Facebook’ heb je geen training of opleiding nodig en het is dus de bedoeling dat je digitale werkplek net zo eenvoudig is te gebruiken. Vanaf een internetbrowser, dus geschikt voor elk type apparaat (of daar nu Windows op draait of niet).

Daar komt achter de schermen wel het één en ander bij kijken. Als gebruiker zie je jouw eigen ‘feed’ maar achter de schermen bestaat deze uit een verzameling ‘microapps’. Deze ‘microapps’ maken gebruik van koppelingen (Integrations) die worden gelegd tussen de Microapp Service en de databases van applicaties zoals SAP, JIRA, Microsoft Dynamics, ServiceNow en anderen.

Er zijn dus al een aantal ‘out of the box’ Integrations beschikbaar, maar in feite kan elk ERP (of EPD) systeem worden gekoppeld, mits er maar RESTful API’s beschikbaar zijn voor dat systeem. Citrix Workspace ondersteunt onder andere OAuth 2.0 als authenticatie mechanisme. Hiermee worden de gekoppelde microapps dus uitgevoerd vanuit de gebruikerscontext (‘uit naam’ van de gebruiker) zonder dat die gebruiker zelf hoeft in te loggen in een specifieke applicatie.

Behalve de directe koppelingen met ERP, EPD, CRM en/of HRM systemen zijn de bestaande ‘App Delivery’ technieken natuurlijk ook nog beschikbaar. Vanuit de nieuwe ‘Intelligent Workspace’ zijn de published apps en desktops met één klik te starten, of ze nu ‘on-premises’ draaien of in de cloud. Behalve met ‘Apps en Desktops’ integreert de Workspace ook met ‘ShareFile’ – de nieuwe naam is ‘Content Collaboration’. Hiermee zijn ook persoonlijke of gezamenlijke bestanden direct beschikbaar in de workspace (mits men de Content Collabration Service afneemt).

Login Consultants is klaar voor de toekomst

Citrix Workspace gaat ook ondersteuning voor Microsoft Teams bieden nu in ‘tech-preview’ en er wordt hard gewerkt aan het ondersteunen van Outlook. Met deze twee componenten ontstaat er een zeer veelbelovend concept voor de digitale werkplek van de toekomst. Login Consultants is klaar voor de toekomst en heeft ‘Citrix Certified Microapps Service’ consultants beschikbaar om mee te denken en te ontwikkelen. Om met Citrix te spreken; ‘this is how the future works.

Interesse?

Wil je meer weten over de Intelligent Workspace van Citrix, neem dan contact met op met r.lindeboom@loginconsultants.nl

 

Citrix Managed Desktop (CMD), wat is de meerwaarde? 

Al jaren biedt Microsoft de mogelijkheid om een windows server als Remote Desktop Session Host aan te bieden. Daarmee kan je met meer dan 2 sessies tegelijk op een Windows server werken. Dat kan via een volledige remote desktop of via Remote apps. In de praktijk wordt deze “native” oplossing weinig gebruikt. Deze oplossing heeft wel beperkingen. Zo worden de sessies niet optimaal verdeeld over de server met de minste belasting en wordt   slechts een beperkte set van cliënt devices ondersteund. Het RDP Protocol is in de jaren steeds beter geworden maar kent nog wat beperkingen. Daarom zijn er andere producten op de markt die deze “gap” proberen te dichten. Producten als Citrix, VMwareParallels en Frame zijn hier voorbeelden van. 

Microsoft Windows 10 Enterprise Multi Session 

Vorig jaar heeft Microsoft Windows 10 Enterprise Multi Session, voorheen Windows 10 EVD, op de markt gebracht. Windows 10 Enterprise Multi Session is vergelijkbaar met een Remote DesktoSession Host, alleen is het besturingssysteem nu niet Windows Server maar een Windows Client Os. Het Client Os is Windows 10. Met Windows 10 Enterprise Multi Session is het mogelijk om gebruikers de bekende Windows 10-ervaring te geven, terwijl het bedrijf kan profiteren van de kostenvoordelen van meerdere sessies op 1 systeemDaarnaast is er volledige ondersteuning voor Office 365 inclusief OneDrive. Dit is een grote verandering en eigenlijk veel meer voor de hand liggend. In het verleden moesten er allerlei trucken toegepast worden om standaard desktopapplicaties te laten draaien op een multi session server Os. Denk maar aan het grijs verleden waar Microsoft Office geïnstalleerd moest worden met speciale transform files. Microsoft Windows 10 Enterprise Multi Session is echter alleen beschikbaar op Azure. 

Wat is Windows Virtual Desktop (WVD) 

Vaak wordt Windows Virtual Desktop (WVD) verward met Microsoft Windows 10 Enterprise Multi Session. WVD bestaat eigenlijk uit alle achterliggende services  om Windows 10 Enterprise Multi Session te kunnen laten draaien. WVD omvat de benodigde infrastructuur onderdelen zoals broker, gateway, webaccess en load balancing geleverd als Services uit Azure. WVD is eigenlijk de nieuwe naam voor Remote Desktop Modern Infrastructure (RDmi). Het voordeel van deze Services in Azure is dat het beheerd wordt door Microsoft. Je neemt een service af en hoeft zelf niets meer te installeren of te onderhouden. Deze Service mag je “gratis” gebruiken als je in het bezit bent van RDS CAL’s, Microsoft 365 of Windows 10 E3/E5. Je betaalt echter wel voor de WVD Hosts waarop de gebruikers werken. Tevens ondersteunt WVD niet alleen Windows 10 Enterprise Multi Session, maar ook Windows 10 Enterprise (Single Session), Windows Server 2012 R2, 2016, 2019 en Windows 7 Enterprise. Bij Windows 7 Enterprise krijg je tevens een verlengde ondersteuning voor maintenance. Deze is voor Windows 7 on premises al verlopen. 

Citrix Managed Desktop (CMD) 

Bij Citrix was het al mogelijk om al het beheer van de infrastructuur uit te besteden aan Citrix via Citrix Cloud. Je hoeft dan zelf de gehele backend van de Citrix omgeving niet meer te bouwen en te onderhouden. Van dezelfde Citrix Cloud Services maakt  Citrix Managed Desktop gebruik.

Citrix Managed Desktop wordt vaak vergeleken met Windows Virtual desktop maar maakt dus geen gebruik van de Microsoft Services en heeft een geheel eigen set van Services. Wel ondersteund Citrix Managed Desktop ook Windows 10 Enterprise Multi Session. En dit is een unieke samenwerking tussen Citrix en Microsoft. Met Citrix Managed Desktop is het mogelijk om alles uit te besteden aan Citrix. Dus niet alleen de Intrastructure via Citrix Cloud, maar zelfs de Azure Subscriptions die nodig zijn voor de WorkersJe kunt er echter ook voor kiezen je eigen Azure Subscription te gebruiken. CMD en WVD zijn momenteel de enige mogelijkheden voor het gebruik van Windows 10 Enterprise Multi Session. 

Verschillen 

De verschillen tussen WVD en CMD zitten vooral in de features, en dat is eigenlijk niet anders ten opzichte van Remote Desktop Sessionhost (Remote Apps) en Citrix Virtual Apps and Desktops. De toegevoegde waarde die Citrix geeft heeft wel een prijskaartje. Iedereen zal zelf een kosten – batenanalyse moeten maken. Veel grote Enterprise bedrijven met complexe eisen en wensen zullen beter uit zijn met Citrix Managed Desktops. De mogelijkheden zijn legio met een zeer goede ondersteuning. Zijn je wensen echter niet zo groot en wil je gebruik maken van een simpele Desktop As a Service (Daas) oplossing, dan kun je prima uit de voeten met WVD. 

Features die CMD aanbiedt t.o.v. WVD zijn o.a. : 

  •  Auto scaling 
  • HDX User Experience 
  • Intelligent Workspace 
  • Secure access 
  • Image management 
  • Bredere cliënt support 
  • Extra Policy set 
  • Monitoring 
  • Analytics 
  • Teams en Skype Optimizations 

*Deze laatste Teams Optimization is een niet te verwaarlozen optie als je er gebruik van maakt. Het voert te ver om daar in deze blog verder op in te gaan. 

 

Meer informatie over CMD en WVD is te vinden bij onderstaande links. 

Citrix Managed Desktop (CMD) 

Windows Virtual Desktop (WVD) 

Windows 10 Enterprise Multi Session 

 

Wil je meer weten over CMD of WVD neem dan contact met ons op via sales.support@loginconsultants.nl

Citrix Netscaler overzetten van LDAP naar sLDAP?

Wat is LDAP en waarom moet je over naar signed LDAP?

Microsoft heeft enige tijd geleden aangekondigd om de LDAP-ondersteuning standaard uit te zetten in verband met de hedendaagse securityeisen. LDAP staat voor “Lightweight Directory Access Protocol” en vraagt directories uit in “clear tekst”. LDAP wordt gebruikt om de Active Directory uit te lezen en op basis van die gegevens toegang te geven tot Applicaties, tools of bestanden. Ook maakt Microsoft zelf in een aantal Management Tools gebruik van LDAP. Het mag duidelijk zijn dat uitzetten van LDAP-ondersteuning grote gevolgen heeft omdat er nogal wat producten gebruik van maken.

Volgens onderstaande stappen voert Microsoft dit door:

Stap 1

Je kan zelf bepalen of je de policies voor LDAP-ondersteuning uit of aan zet. Deze zijn al aanwezig in alle ondersteunde besturingssystemen. Hiermee kun je LDAP-ondersteuning dus gewoon weer aanzetten en blijven gebruiken. Je negeert dan het beveiliging advies, maar je hoeft niets aan te passen.

Stap 2

Na het installeren van de Windows updates van maart 2020 komen er events in de eventlog die aangeven dat de security kan worden verbeterd door LDAP-server signing aan te zetten.

Stap 3

In de tweede helft van 2020 wordt LDAP-ondersteuning standaard uitgezet. Dus zorg dat je voor die tijd overstapt op secure LDAP of de policy aan zet die LDAP enabled, zodat je niet voor een verassing komt te staan. Een exacte datum is nog niet bekend.

Gebruikt de netscaler LDAP?

De kans dat de netscaler LDAP gebruikt is redelijk groot, zeker configuraties die al een poosje bestaan. Nieuwe installatie worden ook vaak ingericht met SAML. Om van LDAP af te komen kun je overschakelen naar LDAPs of SAML. Overschakelen naar LDAPs is op de netscaler een eenvoudigere stap dan naar SAML. De stappen om over te schakelen naar sLDAP staan hieronder omschreven.

Certificaat op domein controllers

Om gebruik te maken van Secure LDAP moet er op de domeincontrollers een certificaat geplaatst worden in de persoonlijke store van het computeraccount. Dit certificaat moet de onderwerpnaam hebben van de Domeincontroller als volledige domeinnaam. Het certificaat moet uitgegeven zijn als Server authenticatie en Client authenticatie. Als je in het bezit bent van een eigen PKI-infrastructuur is dit geen probleem. Als je geen PKI-infrastructuur tot je beschikking hebt, val je meestal terug op “self signed” certificaten met veel beheer tot gevolg. Publieke certificaten zijn vaak niet te gebruiken omdat de interne domein naam vaak eindigt op “.local” of “.intern”. Dus als je geen PKI infrastructuur tot je beschikking hebt moet je overwegen deze te implementeren.

Controleren of LDAPs werkt en LDAP niet meer

Om te controleren of alles goed geconfigureerd is, kan je het hulpmiddel ldp.exe gebruiken.

Connect eerst naar de domein controller met LDAP en vervolgens met een account die rechten heeft in de AD. Onder view lukt het om door de AD te bladeren.

Firewall aanpassingen door port aanpassingen van 389 naar 636

Het aanpassen van LDAP naar LDAPs betekent ook een ander port nummer. Dit houdt in het aanpassen van firewall rules. Of er tussen de netscaler een firewall zit hangt een beetje van de configuratie van de netscaler af. Het kan zijn dat de netscaler zit aangesloten op een switch en vervolgens router en dus door een firewall heen moet, maar soms heeft de netscaler direct een netwerklink in het subnet waar de domeincontrollers in zitten.

Netscaler overzetten naar LDAPs

Als bovenstaande allemaal geregeld is, is de netscaler ADC overzetten niet meer zo ingewikkeld. Log in op de netscaler en ga naar Netscaler Gateway – Policies – LDAP. Edit hierna de LDAP-server.

Pas het security type aan naar SSL en kies onderaan OK

Handige links

Meer weten?

Wil je meer weten over LDAP neem dan gerust contact met ons op via sales.support@loginconsultants.nl.

Door Ruud Zwanenburg

4 Cloudtrends om in de gaten te houden

Bedrijven als Gartner en CIO.com doen uitgebreid onderzoek naar belangrijke ontwikkelingen in de wereld van de cloud. Als we deze onderzoeken samenvatten zien we drie belangrijke trends waar bedrijven rekening mee moeten houden.

1 MULTICLOUD

De eerste golf van bedrijven die de overstap naar de cloud hebben gemaakt, komen langzamerhand in de volwassenheidsfase terecht. Deze bedrijven, vaak de wat grotere organisaties, gaan zich realiseren dat ze niet meer afhankelijk willen zijn van één cloudleverancier. Het risico is simpelweg te groot. Om vendor lock-in te voorkomen omarmen steeds meer organisaties meerdere cloudomgevingen.

Hyperscalers

Elke hyperscaler heeft zo zijn eigen karakteristieken. Zo is het Google Cloud Platform heel goed in big data en data-analyses. Veel start-ups kiezen voor Amazon Web Services omdat het heel sterk is als ontwikkelplatform. Microsoft Azure biedt vergelijkbare functies als AWS en Google, maar die geniet toch meer populariteit onder corporates, simpelweg omdat die vaak al jaren met Microsoft werken en de stap naar Azure dan een heel logische is voor hun Infrastructure-as-a-Service.

Nichespelers

Naast deze hyperscalers, zien we dat organisaties voor bepaalde oplossingen de voorkeur geven aan meer nicheachtige cloudpartijen. Deze nichepartijen specialiseren zich in specifieke diensten of proberen zich op andere gebieden te onderscheiden. Zo is Orange Flexible Engine bijvoorbeeld heel erg gericht op co-innovatie. Als een van onze klanten een specifieke behoefte heeft, kunnen we daar op basis van co-innovatie een oplossing voor ontwikkelen. Die oplossing stellen we vervolgens ook beschikbaar aan andere klanten. Op die manier helpen we elkaar.

Van lift-and-shift naar managed applicaties

De eerste cloudmigraties waren vaak lift-and-shift-migraties, waarbij applicaties en infrastructuur in een datacenter werden opgepakt en een-op-een naar de cloud werden verplaatst. Hierbij is weinig aandacht geweest voor het optimaliseren van deze applicaties voor cloudomgevingen. Omdat niet alle applicaties even geschikt zijn om in de cloud te draaien, zorgt dat niet altijd voor de meest optimale oplossing. Tegenwoordig zien we dat bedrijven ervoor kiezen om hun legacy-applicaties als dienst af te nemen bij een managedserviceprovider. Ook dit werkt de multi-cloudtrend in de hand.

2 CLOUDAUTOMATISERING

De mogelijkheid om veel zaken te automatiseren is een van de grote voordelen van cloud. Automatiseren kun je vanuit verschillende hoeken benaderen, maar met name het uitvoeren van standaard beheersactiviteiten doormiddel van infrastructure as code is vaak onderbelicht. Het automatiseren van deze standaard beheerstaken heeft verschillende voordelen. Door gebruik te maken van code en daarmee een gestandaardiseerd proces neemt de kans op fouten en inconsistenties af. Daarnaast kan door middel van automatisering efficiëntie worden behaald. Moest je vroeger een week wachten voor een machine werd opgeleverd, tegenwoordig draait je omgeving in een paar minuten. Er zijn diverse oplossingen beschikbaar die bedrijven kunnen helpen bij het automatiseren van een multi-cloudomgeving.

3 CONTAINERS

Bedrijven die zelf softwareoplossingen ontwikkelen verdelen de applicaties die zij maken in verschillende processen de zogenaamde micro-services. Deze softwarecode van processen en de afhankelijkheden worden ondergebracht in een container zodat het uniform en consistent kan draaien op elke infrastructuur. De processen in containers zijn geïsoleerd van de rest van het systeem waardoor ze makkelijk verplaats kunnen worden. Ook in multi-cloudomgevingen zorgt dit voor de nodige flexibiliteit.

4 OPTIMALISATIE VAN KOSTEN

Voor veel organisaties is het kostenaspect een belangrijke reden geweest om hun omgeving te migreren naar de cloud. Doordat je geen hardware meer in je bezit hebt, zien we een verschuiving van kapitaalsinvesteringen (CAPEX) naar operationele kosten (OPEX). Daarmee zou je een duidelijk inzicht moeten hebben wat je per maand kwijt bent aan IT-kosten. Hierbij wil ik twee aandachtspunten noemen.

Elasticiteit en rightsizing

Een van de voordelen van cloud is elasticiteit. Heb je ooit gekozen voor een zogenaamde lift-and-shift-migratie, zonder te kijken naar optimalisatie, is het goed mogelijk dat je cloudomgeving 24 uur per dag voor je aan het werk is, net als je oude vertrouwde server vroeger. Dat betekent dat je kosten behoorlijk kunnen oplopen, terwijl dat lang niet altijd nodig is. Stel dat je werkt met maandelijkse rapportagediensten, dan is het overbodig om die 24/7 te laten draaien. Eenmaal per maand is voldoende. Zo kun je meerdere applicaties gedurende bepaalde tijdsintervallen uitzetten. Door die optimalisatie kun je kosten besparen. Ook het tunen van de resources die echt nodig zijn om een omgeving goed te laten draaien, rightsizing, heeft de nodige aandacht van bedrijven om de kosten van cloud binnen de perken te houden.

Inzicht

Als je gebruik maakt van verschillende cloudomgevingen is het lastig een goed beeld te blijven houden van wat waar draait. Om je kosten te kunnen beheersen, is dat inzicht wel nodig. Onze finops diensten helpen bedrijven bij het optimaliseren van het cloudbudget. Wij helpen onder andere bij het opstellen van kostenrapportages en het optimaliseren van terugkerende kosten.

Benieuwd?

Benieuwd welke Cloudoplossing het beste aansluit bij jouw behoeftes of hoe je je kosten inzichtelijk kunt maken? Neem vrijblijvend contact met ons op. We denken graag met je mee.

Updates, fixes en controle-script voor beveiligingsprobleem Citrix Netscaler

Resterende Citrix fixes beschikbaar

De resterende permanente fixes voor de eerder geïdentificeerde kwetsbaarheid bij Citrix, zijn nu beschikbaar voor alle klanten.

Citrix-script beschikbaar voor controle op misbruik

Citrix heeft een script beschikbaar gesteld, waarmee je kunt controleren op misbruik of het compromitteren van de NetScaler

Meer informatie hierover kun je lezen in dit blog: Citrix and FireEye Mandiant share forensic tool for CVE-2019-19781

Updates: Beveiligingsprobleem Citrix NetScaler – fixes en controle-script

Citrix heeft een fix uitgebracht voor de problemen met de NetScaler versies 11.1 en 12.0

https://www.citrix.com/downloads/citrix-adc/

In december heeft Citrix een ernstige kwetsbaarheid in NetScaler bekend gemaakt. Door dit beveiligingsprobleem kunnen kwaadwillende toegang krijgen tot het bestandssysteem van de NetScaler om zo gebruikers te besmetten met malware, ransomware aanvallen uit te voeren of botnet functionaliteiten toe te voegen.

Citrix heeft direct mitigatie maatregelen aangeboden. Nu blijkt dat deze niet effectief zijn voor alle release versies van NetScaler. Zit je op release 12.1 van NetScaler en is de buildversie 12.1 51.19 of lager dan is het mogelijk dat deze maatregelen niet of niet goed werken.

Ons advies:

  • Implementeer de mitigerende maatregelen zoals aangegeven door Citrix: https://support.citrix.com/article/CTX267679
  • Als je gebruik maakt van NetScaler release 12.1 en de build is 51.19 of lager, voer een upgrade uit naar de laatste versie van release 12.1

Als je vermoedt dat de omgeving al is aangevallen? Onderneem dan de volgende stappen

uit /var/log

  • log kijk naar commando’s die misbruikt kunnen worden zoals curl, hostname, uname, whoami of commando’s die gerund worden onder nobody
  • log, kijk hier naar verdachte activiteiten
  • log, httperror.log, hier staan de IP adressen van de aanvallers ingelogd, aangezien de aanval geschiedt over de web interface, zoek naar http log berichten waar /vpn in de directory traversal aanval staan

Zoek naar aangepaste bestanden in

  • /netscaler/portal/templates
  • /var/tmp/netscaler/portal/templates

Kijk naar de draaiende processen, specifiek of er niet verdachte “child” processen zijn, vooral draaiend onder nobody

Kijk of er cronjobs zijn met de eigenaar nobody

 

Citrix LTSR Upgrade, wel of niet?

Citrix biedt ‘XenApp/XenDesktop/Virtual Apps and Desktops’ niet alleen aan onder verschillende namen maar ook met verschillende ‘service offerings’. Net als bij Microsoft kun je kiezen om elke product-update door te voeren en zo te profiteren van de laatste nieuwe patches en verbeteringen of je kiest voor een ‘long term service release’ (LTSR). Daarmee staat er minder druk op het testen en doorvoeren van updates. Je moet dan wel langer wachten op de verbeteringen/uitbreidingen van het product.

Een overzicht van de verschillen tussen ‘CR’ (current release) en ‘LTSR’ is weergegeven in deze tabel:

De verschillende namen en offerings maken het Citrix-programma er niet echt inzichtelijker op (dat is overigens voor de verschillende Windows versies ook het geval). Zeker niet omdat Citrix besloten heeft om af te stappen van de 7.xx versie-nummering en nu werkt met <jaar><maand> (dus 1912 is december 2019) benamingen.

De ‘current release’ wordt elke 6 maanden vernieuwd en blijft 18 maanden na de release-datum ‘supported’;

De ‘LTSR’ wordt constant bijgewerkt met de bekende ‘cumulatieve updates’ (CU) tot de ‘End of Life’ datum. Hierdoor zijn er minder tussentijdse changes nodig en blijft de omgeving statischer.

De ondersteuning voor de verschillende LTSR en CR versies met EOL data is te vinden in deze tabel;

De uitbreidingen en verbeteringen in de verschillende CR versies en de LTSR-versies zijn in dit PDF-bestand terug te vinden.

Hoe beslis je welke versie voor jou geschikt is?

Als je nog geen XenApp of XenDesktop gebruikt moet je dus gaan kiezen tussen de CR of de LTSR variant. In deze blog-post wordt goed uitgelegd dat het enerzijds belangrijk is om vast te stellen wat de beschikbare kennis en capaciteit aan de beheerkant is en anderzijds of de gebruikers daadwerkelijk gebruik maken van de verbeteringen en uitbreidingen in nieuwere releases.

Voor ‘nieuwe’ Citrix gebruikers is er echter nog een optie: je kunt er namelijk ook voor kiezen om Citrix Cloud services af te nemen. Deze worden door Citrix bijgewerkt naar de laatste versie, zodat jij daar geen omkijken meer naar hebt. Jij (en jouw medewerkers) profiteert dan direct van de verbeteringen en uitbreidingen zonder dat dit extra beheerlast veroorzaakt.

De nieuwste LTSR-versie bevat alle verbeteringen en uitbreidingen uit eerdere ‘CR’-releases (voor een compleet overzicht kunt u eerder genoemd PDF-bestand raadplegen). We lichten er de volgende tien ‘features’ even uit:

  1. Thin Provisioning van Block Storage (GFS2)
    In de nieuwste Citrix XenServer hypervisor versie kan gebruik gemaakt worden van ‘GFS2’ storage (naast LVM, EXT3 en NFS) waardoor ‘eindelijk’ echte ‘thin provisioned’ VDI-images kunnen worden gebruikt. Dit scheelt in storage-kosten (als je de Citrix Hypervisor gebruikt).
  2. Verbeteringen Linux VDA
    Bijvoorbeeld ‘fast smart card’ support (zie voor de complete lijst verbeteringen zie ook het PDF-bestand).
  3. Verbeteringen in Citrix Director
    De ‘Director’ beheerconsole is verder uitgebreid en er kan in meer detail worden gekeken naar sessie-eigenschappen (zoals logon performance). Zie bijgaand screenshot voor een kleine indruk:

  1. User Personalization (Layering)
    Naast de ‘App Layering’ kan nu ook een extra virtual disk gekoppeld worden waarop User data en applicaties kunnen worden opgeslagen. Collega Vincent van Zeijlheeft deze feature bekeken en beschreven in dit blog-artikel.
  2. MCS I/O (verbeterde Write Cache)
    Ook bij de ‘Machine Creation Services’ techniek wordt de ‘Write Cache’ opgeslagen in snel RAM-geheugen met een overloop naar disk waar nodig. Dit wordt ‘MCSIO’ genoemd. In de nieuwste LTSR is de ‘MCSIO’ verder verbeterd (dit is voor ‘PVS’ gebruikers minder interessant).
  3. PVS asynchrone I/O (betere performance)
    De ‘Cache in RAM’ feature is verder verbeterd doordat de ‘disk overflow’ nu gelijktijdig plaatsvindt met de ‘cache in RAM’ en het ‘on-demand’ streamen van disk data. Deze asynchrone I/O zorgt voor nog betere performance.
  4. HDX Insight 2.0
    In grote Citrix omgevingen kan het zinvol zijn om met behulp van NetScaler Insight (nu ‘ADM’ oftewel Application Delivery Management) gebruik te maken van uitgebreide data monitoring. Wat wel en wat niet gemonitord wordt hangt af van welke ADM-licenties je aanschaft. De verwerking van deze monitoring data loopt in de nieuwste LTSR-versie over een ‘eigen’ HDX virtual channel wat resulteert in een betere schaalbaarheid,
  5. Ondersteuning voor Outlook Search, Skype en Teams
    Naast de ‘User Personalization Layer’ kan nu ook gebruik gemaakt worden van een geïntegreerde ‘profile disk’ waar bijvoorbeeld Outlook Search data op weggeschreven wordt. Als je gebruik maakt van Citrix Profile Management zorgt deze verbetering voor een aanmerkelijk betere logon performance (vergelijkbaar met bijv. FSLogix Profile containers). Daarnaast is de Microsoft Skype en Microsoft Teams Optimization ook onderdeel van de nieuwste LTSR.
  6. HDX protocol verbeteringen (EDT, Adaptive Throughput, Local Text echo)
    Enhanced Data Transport, Adaptive Throughput en bijv. ‘Local Tekst Echo’ zijn drie voorbeelden van verbeteringen/uitbreidingen in het ‘HDX-protocol (voorheen bekend als ‘ICA’). Om deze verbeteringen te kunnen gebruiken moet je naast de laatste LTSR-versie (en dus de ‘Virtual Delivery Agent’) ook de nieuwste Citrix Receiver gebruiken.
  7. Betere integratie met Citrix Cloud
    Hieronder verstaan we diverse kleine verbeteringen in de integratie met Microsoft Azure, AWS en Google Cloud Platform. Als je Citrix inzet of in wilt gaan zetten in (hybride) cloud scenarios is het zaak om te zorgen dat je over de laatste LTSR-versie beschikt.

Moet je nu onmiddellijk je huidige Citrix omgeving upgraden?

Het antwoord op die vraag hangt af van een paar aspecten.

  • Welke versie gebruik je. Je kunt in de tabel met ‘End of Life’ en ‘End of Support’ data vinden hoelang de omgeving nog ‘supported’ is.
  • Beschikt je over geldige ‘maintenance subscription’. Mocht je twijfelen dan kunnen wij dit voor je uitzoeken.
  • Beschikt je over voldoende capaciteit op je beheer-afdeling.
  • Wat betekenen de tien door ons uitgelichte ‘features’ in de praktijk voor jouw omgeving.

Op het eerste gezicht is de nieuwste LTSR-versie niet voor iedereen van even groot belang (bijvoorbeeld als je de Citrix Hypervisor niet gebruikt, of geen gebruik maakt van Linux VDA). Toch is er wel performance-winst te behalen. Deze performance verbeteringen zitten onder meer in een betere write cache I/O bij zowel MCS en PVS, maar ook in Citrix Profile Management en de Microsoft Teams ondersteuning. Bovendien bevat de nieuwste LTSR-versie naast de tien genoemde punten ook de (vele) kleine verbeteringen en vernieuwingen uit eerdere CR-releases.

Als je hier eens verder over wilt praten, neem dan contact met ons op. Wij zijn je graag tot dienst met advies en/of uitvoering.

Door Réne Lindeboom