Редирект контента от сервера на сервер
Включение редиректа от сервера к серверу позволяет пользователям получать доступ к информации посредством приложений, опубликованных н разных серверах MetaFrame XP. Пользователи, работающие с одним приложением на сервере MetaFrame могут открывать прикрепления с помощью другого приложения, опубликованного на другом сервере MetaFrame.
Для разрешения редиректа контента от сервера к серверу в должны установить Program Neighborhood Agent на все сервера MetaFrame XP, обслуживащие опубликованные приложения.
Для включения редиректа сервер-сервер
Установите ICA Win32 Program Neighborhood Agent на серверы MetaFrame XP, обслуживающие приложения.
Создайте скрипт в %WINDIR%\system32. Пример:
REM ----- begin -----
@echo off
start C:\PROGRA~1\Citrix\PNAgent\PNagent.exe
REM ----- end -------
Убедитесь, что используется короткая запись и отстутсвуют пробелы.
Добавьте этот скрипт в реестр:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Укажите в AppSetup имя файла. Типичные значения для AppSetup могут включать
“UsrLogon.Cmd,cmstart.exe,PNAgent.cmd.”
Добавьте PNAgent.exe к списку исполняемых файлов, которые должны завершаться при выходе пользователя:
HKLM\SYSTEM\CurrentControlSet\Control\Citrix\wfshell\TWI. Добавьте имя исполняемого файла в значение LogoffCheckSysModules.
Аспекты редиректа контента от сервера к серверу
Иногда диалог регистрации Program Neighborhood Agent может появиться на заднем плане.
Если скозная аутентификаця не разрешена, пользователю придется вводить свой логин всякий раз при запуске другого приложения.
Использование Word в качетсве редактора по умолчанию в Outlook может влиять на способ подключения Program Neighborhood Agent при запуске прикрепления Word из Outlook.
Редирект от клиента к серверу.
При использовании редиректа контента от клиента к серверу, пользователи ICA Win32 Program Neighborhood Agent открывают все файлы ассоциированного типа приложениями, находящимся на сервере MetaFrame XP server. Вы должны использовать NFuse Classic, чтобы позволить ползователям подключаться к приложениям через Агента.
Для очистки ассоциаций файлов, находящихся в реестре Windows, используйте утилиту ftacln, находящуюся на ЬetaFrame XP CD-ROM в каталоге Support\debug\i386.
Вы также можете использовать стандартную утилиту Microsoft ftype, перечисляющую все ассоциированные типы файлов.
Использование Windows Explorer
Если вы разрешили редирект контента, то команды контекстного меню в Windows Explorer работают иначе, чем в нормальной ситуации. Например, при щелчке правой кнопкой на файле команда Open открывает файл с помощью удаленного приложения на сервере MetaFrame XP.
Большинство команд контекстного меню Windows Explorer не затрагиваются, поскольку они не сконфигурированы в ключах, изменяемых MetaFrame XP Feature Release 2. MetaFrame переопределяет значения только в ...\Classes\<FileType>\shell.
Нижеприведенная таблица показывает поведение наиболее часто упоребляемых команд контекстного меню при включенном редиректе контента от клиента к серверу:
Команда меню | Поведение при включенном редиректе контента от клиента к серверу | |
Open | Открывает файл с помощью опубликованного приложения, ассоциированным с данным типом | |
Open with... [Set under HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\FileExts] | В некоторых случаях у вас может быть субменю с командой "PN Agent". При выборе этого элемента файл открывается опубликованным приложением, ассоциированным с этим типом файла. | |
Edit | Локально не доступно, пока вы не разрегистрируетесь или не перезапустите Program Neighborhood Agent | |
Локально не доступно, пока вы не разрегистрируетесь или не перезапустите Program Neighborhood Agent |
Редирект от сервера к клиенту
При включении редиректа от сервера к клиенту, встроенные ссылки (URL) перехватываются сервером MetaFrame и посылаются клиенту ICA по виртуальному каналу ICA Control. Для запуска URL используется локальный браузер пользователя. Пользователи не могут отменить эту особенность.
Например, пользователи могут часто использовать веб и мультимедийные URL. Если не включить редирект от сервера к клеинту, польователи будут открывать эти ссылки браузерами и медиа-плеерами, находящимися на сервере MetaFrame. Чтобы осовободить сервер от обработки такого рода запросов, вы можете переназначить запуск приложения, обрабатывающего поддерживаемые URL, с локального устройства клиента.
Аспекты редиректа контента от сервера к клиенту
Редирект от сервера к клиенту однонаправленный. Это означает, что щелчок на URL в почтовой программе, выполняемой в удаленном сеансе, запустит браузер с клиентского устройства. Однако, при использовании функции "mail to" из локального браузера, это не приведет к запуску удаленной почтовой программы. Вместо этого запустится почтовая программа, определенная по умолчанию для компьютера клиента.
Для работы редиректа необходим доступ к значениям “SHELL/open/command” для типов приложений.
Microsoft Word for Windows (Winword.exe) не перенаправляет гиперссылки HTTP или HTTPS на веб-браузер на устройстве клиента.
Ни Notepad, ни Write.exe не поддерживают гиперссылки
Редктирование реестра
Многие разделы этого документа ссылаются на значения реестра Windows. Всегда предпринимайте меры для защиты безопасности и целостности реестра на сервере MetaFrame XP.
Регистрация в Citrix Management Console с использованием учетной записи NDS
Запустите Citrix Management Console. Введите полное имя пользователя в поле User Name. Полное имя начинается с точки и имеет точки между каждыми объектами имени вплоть до корня дерева. Например, пользователь JoeX, находящийся в двух контейнерах (организация Admin внутри организации PNQ) должен ввести .JoeX.Admin.PNQ В поле Password введите пароль. В поле Domain введите имя дерева NDS. Щелкните OK.
Регистрация заданий на печать
По умолчанию каждое задание на печать оставляет два сообщения в системном журнале (System log) На сервере MetaFrame с множеством пользователей это быстро засорит журнал. Если эти сообщения нежелательны, запретите их, изменив значение реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers
Значение: EventLog (REG_DWORD): 0
Рекомендации к хранилищу данных
Приведенные ниже рекомендации содержатся также в руководстве администратора MetaFrame XP.
Небольшое | Среднее | Большое | Предприятие | |
Число серверов | 1-50 | 25-100 | 50-100 | более 100 |
Пользователей | < 150 | < 3000 | < 5000 | > 3000 |
Приложений | < 100 | < 100 | <500 | < 2000 |
Выбор СУБД для хранилища данных также заисит от типа вашей среды. При выборе хранилища вы должны учитывать:
Microsoft Access лучше всего подходит для небольших сред Microsoft SQL Server, Oracle, IBM DB2 подходят для больших сред.
Для выбора базы данных в качестве хранилища данных учитыайте следующие аспекты:
Microsoft Access лучше всего подходит для ферм, находящихся в одном месте Access поддерживает только непрямой режим для всех серверов, отличных от хост-сервера, и имеет меньшую производительность по сравнению с хранилищами, работающими в прямом режиме в больших фермах. В Access не поддерживается репликация базы данных При развертывании ферм в WAN используйте СУБД, поддерживающие репликации. Вы получите значительный прирост производительности, распределив нагрузку по нескольким серверам БД. Для ферм с числом серверов более 100 для поддержки приемлимого уровня производительности используйте Microsoft SQL Server или Oracle. Исследования выявили, что Microsoft SQL Server, Oracle и IBM DB2 показали почти одинаковую производительность.
Oracle Parallel Server включает дополнительные функции, такие как распределение нагрузки входящих запросов.
Хранилище данных следует расплагать на дисковых массивах RAID.
Рекомендации к операционной системе
Все разделы, особенно системный, должны располагаться на файловой системе NTFS из-за ее более высокой защищенности, лучшей производительности и отказоустойчивости.
По возможности устанавливайте на сервере только один протокол. Это осбождает системные ресурсы и снижает сетевой траффик. Если необходимо несколько протоколов, делайте их привязку так, чтобы наиболее часто используемый протокол был первым.
При работе с Terminal Services требуется больший размер реестра для хранения настроек пользователя и приложений. Для однопроцессорной системы вы должны зарезервировать минимум 40Мб под реестр, а в четырехпроцессорной системе и выше - не менее 100Мб.
Можно повысить призводительность правильной настройки файла подкачки. Более подробную информацию о файле подкачке ищите в Microsoft Knowledge Base статью Q197379.
Рекомендации к сети
Все рекомендации по настройки сети для MetaFrame XP Feature Release 2 полностью применяютя к Installation Manager. Чем более эффективна сеть, тем быстрее и легче инсталлируются приложения.
Рекомендации к WAN
Не устанавливайте приложения на целевые серверы через WAN. Объем передаваемых данных забъет все каналы. Для избежания этой ситуации следуйте следующим шагам:
Создайте новый инсталляционный пакет на удаленном сайте, где это приложение должо быть развернуто.
Если там есть не один целевой сервер, скопируйте пакет и ассоциированные инсталляционные файлы по WAN один раз, а потом разверните на том сегменте.
Рекомендации по развертыванию приложений
Сервер пакетов (Package Server)
Для записи установок используйте сервер пакетов, следуя рекомендациям:
Постарайтесь иметь сервер пакетов в той же конфигурации (аппаратное и программное обеспечение), что и целевой сервер.
Держите сервер пакетов "чистым". Откатывайте ранее установленные приложения перед записью. Подробнее смотрите документацию к Citrix Installation Manager.
Не запускайте другие приложения, пока записвается образ
Не создавайте пакеты через сеанс ICA.
Сервер развертывания (Deployment Server)
На сервере развертывания хранятся пакеты и инсталляционные файлы. Все целевые серверы связываются с этим сервером и получают с него файлы, необходимые для установки приложений. Следующие рекомендации помогут вам при развертывании пакетов:
Разместите сервер развертывания на компьютер класса сервер. Поскольку целевые серверы запрашивают с него файлы, нагрузка на него может быть высокой.
Разместите сервер развертывания в сети 100Mbps
Развертывание группы пакетов
Группы пакетов позволяют устанавливать по расписанию несколько пакетов на целевых серверах или группах серверов. Учитывайте следующие пожелания:
Для упрощения развертывания создавайте группы из сходных пакетов
После развертывания групп, не меняйте их путем добавления или удаления пакетов, иначе возможны ошибки при деинсталляции.
Если в развернутую группу внесены изменения, закладка Job status окна Job Properties не отображает состояния удавленного или добавленного пакета.
После указания расписания не вносите изменения в содержимое группы пакетов.
Развертывание по расписанию
Делайте развертывание пакетов во время наименьшей загрузки сети
Избегайте установок во время резервирования или восстановления серверов
Важно.Во время развертывания приложения на сервере, все соединения ICA завершаются вплоть до завершения установки.
Перезагрузка по требованию пользователя
Поведение сервера при перезагрузке при развертывании приложений определяется тремя опциями:
Не перезагружать сервер, если есть открытые сеансы пользователей. Если вы указали эту опцию до развертывания пакета, целевой сервер не перезагрузится, даже если инсталляция этого требует. Для завершения установки необходимо вручную перезагрузить север после выхода пользователя.
Отложить перезагрузку до завершения задания. Сервер перезагрузится только после установки всех пакетов из группы.
Принудительная перезагрузка после задания. Сервер перезагружается после установки пакета. В активных сеансах пользователи получат сообщение о необходимости выхода. Это сообщение посылается с интервалом 5 минут в течении 15 минут, после чего сервер перезагружается. Все активные сеансы завершаются
Запись приложений при установке
Installation Manager Packager следит за изменениями, происходящими на сервере пакетов при установке приложения, записывает сделанные изменения в виде скрипта, а затем собирает все файлы в пакет, чтобы его можно было развернуть на целевом сервере.
Installation Manager Packager не может возобновить запись пакета, если во время инсталляции сервер перезагрузился
При записи приложения, запрашивающего перезагрузку, отмените перезагрузку и остановите запись в Packager
Packager не может записывать приложения, вызывающие принудительную перезагрузку без вмешательства пользователя
Packager не может записывать приложения, требующие перезапуска нескольких серверов.
Если приложение содержит автоматическую инсталляционную программу, Packager создает пакет только для неавтоматической программы установки. Packager не запишет настоящую инсталляцию. При записи такого приложения выбрите опцию Add Unattended Program. Этот метод позволяет записать приложения, требующих несколько перезагрузок во время инсталляции.
Репликация драйвера принтера
Репликация драйвера принтера предназначена для копирования файлов драйвера и настроек реестра на серверах фермы. Вы можете установить все необходимые драйверы принтеров на одном из серверов MetaFrame XP, а затем реплицировать файлы и настройки реестра на всех остальных серверах фермы. Управление репликацией производится с помощью Citrix Management Console. Репликация драйвера не означает репликацию свойств принтера, таких как размер бумаги, качество печати и т.п.
Репликация драйвера загружает процессор исходного сервера. Для повышения производительности избегайте делать репликацию во время высокой загрузки сервера.
Ретранмиссия
Если на исходящий сегмент не было получено подтверждения, он передается повторно TcpMaxDataRetransmissions раз. По умолчанию значение этого параметра равно 15.
После установления соединения TCP/IP таймер ретрансмиссии инициилизируется на 3 секунды. Далее он динамически подстраивается под характеристики соединения на основе расчетов RFC793. Таймер для заданного сегмента удваивается после каждой ретрансмиссии этого сегмента. Используя этот алгоритм, TCP настраивает себя на обычную задержку. Из-за значений повторной передачи 5, задержка может удваиваться четыре раза, становясь в 16 раз медленнее, чем начальное значение. Затем происходит разрыв сеанса. Увеличив это значение до 10, мы позволяем времени задержки удваиваться девять раз. Например, если соединение начинается с задержки подтверждения 20 миллисекунд, она сможет увеличиться до 10240 мс перед разрывом соединения с сервером. Более подробную информацию можно найти в статьях Microsoft TechNet Q120642 и Q170359.
SCCONFIG
По умолчанию процессы, необходимые для правильного функционирования смарт-карт (Winlogon.exe и Lsass.exe) включены только в MetaFrame XP Feature Release 2. Утилита Scconfig.exe устанавливается во время инсталляции Feature Release 2 и может использоваться для разрешения/запрещения использования функциональности смарт-карт.
Синтаксис
scconfig [/?]
scconfig [/server:sss] [/q]
scconfig [/farm] [/q]
scconfig [/server:sss] [/query]
scconfig [/farm] [/query]
scconfig [/server:sss] [/logon:on|off]
scconfig [/farm] [/logon:on|off]
scconfig [/server:sss] [/enable_process:ppp]
scconfig [/farm] [/enable_process:ppp]
scconfig [/server:sss] [/disable_process:ppp]
scconfig [/farm] [/disable_process:ppp]
scconfig [/server:sss] [/inherit:on|off]
где sss - имя сервера, ppp - имя процесса (например, Outlook.exe).
Опции
/farm
Просмотр или модификация на уровне фермы
/q, /query
Запрос текущих установок
/logon:on|off
Включение/выключение регистрации с использованием смарт-карты на сервере в ферме
/enable_process:ppp
Разрешить поддержку смарт-карт для указанного процесса
/disable_process:ppp
Запретить поддержку самрт-карт для указанного процесса
/inherit:on|off
Унаследовать настройки из фермы
/server:sss
Имя сервера для просмотра или модификации. По умолчанию это локальный сервер.
Пример.
Чтобы использовать цифровую подпись и шифрование, используя смарт-карту, в Microsoft Outlook, вы должны разрешиь процесс Outlook.exe. На удаленном сервере подсистема MetaFrame перехватывает событие обновления хранилища данных и делает необходимые изменения в реестре для включения или выключения этой особенности.
Используйте опцию /farm для запроса или установки настроек во всей ферме.
Используйте опцию /inherit для определения, должен ли сервер унаслеовать настройки фермы.
Возврат
Сценарии развертывания ферм
Сокращения: DS означает (DataStore) (ХД - Хранилище данных); DC - Data Colletor (КД - коллектор данных).
Сервер MetaFrame не может подключиться к хранилищу данных
Эта ошибка может означать поврежденный локальный кеш. Перед следованием нижеуказанным советам в первую очередь проверьте работоспособность ODBC.
Сделайте резервную копию Imalhc.mdb, скопировав его в другой каталог
С комадной строки воссоздайте локальный кеш, используя команду dsmaint recreatelhc.
Перезагрузите сервер
Серверы не считают лицензии
Если MetaFrame XP Feature Release 2 не подсчитывает лицензии, попробуйте следующее:
Используя Citrix Management Console выберите сервер и выберите Actions >Server > Set MetaFrame Product Code. Проверьте, что установлен правильный код продукта.
С командной строки на требуемом сервере выполните clicense refresh .
Перезапустите службу IMA.
Важно. Если вы не ввели серийный номер лицензии во время установки MetaFrame XP, вы должны установить код продукта с сиспользованием Citrix Management Console.
Сетевые карты
Большинство сетевых карт 10/100 автоматически обнаруживают скорость сети. Ручная установка таких карт на конкретную скорость предотвращает процесс автоопределения.
Как уже указывалось ранее, убедитесь, что установлены только необходимые протоколы, а порядок привзки протоколов начинался с самого используемого протокола.
Сети хранения данных (SAN)
SAN - это выделенная высокоскоростная сеть. Она отделена и отличается от LAN, которая предоставляет совместный доступ к данным, расположенным на внешних дисковых носителях. SAN несет траффик только между серверами и дисковыми массивами, в то время как LAN несет остальной траффик - почту, файлы, печать, веб.
Fibre Channel Technology
Fibre Channel - это стандарт двунаправленных коммуникаций, включающий сериализацию SCSI через один кабель, соединяющий серверы, системы хранения данных, рабочие станции, коммутаторы и концентраторы. Fibre Channel имеет следующие ывозможности:
Двухстронняя скорость передачи данных до 200Mbps Поддержка до 126 устройств на одном адаптере Дальность до 20 километров
Технология Fibre channel может использовать одну из сетевых технологий:
Fibre channel Arbitrated Loop (FC-AL). Сети FC-AL используют технологию, сходную с FDDI или Token Ring. Каждый сетевой узел имеет одну или несколько точек для осуществления внешней связи. FC-AL создает логические соединения "точка к точке".
Fibre Channel Fabric (FC-SW). Эти используют переключаемые (switched) сети, аналогичные Ethernet. Свичи разбивают сообщения на пакеты, содержащие даные и адрес получателя, а затем передают пакеты индивидуально на принимающий узел, где пакеты собираются воедино. Свичи можно каскадировать, позволяя SAN обслуживать тысячи узлов.
SAN обычно включают в себя следующие аппаратные компоненты:
Шина ввода/вывода (Host I/O Bus). Текущим стандартом шины является PCI. Старые стандарты включали ISA и EISA.
Хост-адаптер (Host Bus Adapter - HBA). Это интерфейс между сервером и шиной ввода/вывода. Функционально HBA аналогичен сетевой карте, но более сложен. Функции HBA включают в себя:
Преобразование сигналов, проходящих между LAN и SAN
Инициализация сервера в сеть FC-AL или предоставление регистрации.
Сканирование сети FC-AL или Fabric, а затем попытка инициализации всех подключенных устройств, аналогично тому, как это делает SCSI.
Кабели. Кабели Fibre Channel включают каналы передачи и приема. Из-за их формы в не сможете их неправильно установить.
Сетевое оборудование SAN. Основные компоненты те же, что и в LAN: коммутаторы, концентраторы, мосты и маршрутизаторы.
Устройства хранения. Это набор устройств, совместно использующих подачу электропитания, пакетирование, системы упрвления, например, библиотеки магнитных лент или массивы RAID.
Системные ошибки
Ошибки, генерируемые системой (Hard Error Messages) появляются на консоли сервера. Если они остаются без ответа, то могут вызвать завсисание сеанса ICA. Вы можете настроить регистрацию системных ошибок в журнале вместо вывода их на консоль. Это уменьшит вероятность зависания сеансов ICA, но требует частой проверки журнала событий. Подробнее см. в Microsoft Knowledge Base статьи Q124873 и Q229012.
Следующее значение реестра запрещает вывод системных сообщений об ошибках на консоль: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows
Значение: ErrorMode (REG_DWORD): 00000002
Служба IMA не запускается
Если Service Control Manager сообщает, что невозможно запустить службу IMA, но служба все равно запускается, проигнорируйте это сообщение. Service Control Manager имеет тайм-аут 6 минут. Службе IMA может потребоватья больше 6 минут для запуска из-за высокой нагрузки на базу данных или оатентности сети.
Проверьте ключ регистра:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\IMA\Runtime\CurrentlyLoadingPlugin
Если значение пусто, служба IMA не может подключиться к хранилищу данных или поврежден или отсутствует локальный кеш.
Если значение существует, служба IMA установила соединение с хранилищем. Отображаемое значение является именем подсистемы, которую не удалось загрузить.
Если вы используете прямое подключение к хранилищу данных, убедитесь, что существует соединение ODBC (см. раздел "Невозможно установить соединение ODBC").
Если вы используете непрямое соединение, проверьте, что на прямом сервере запущена служба IMA
Проверьте журнал событий. Список кодов ошибок приведен в приложении.
Убедитесь, что служба Spooler запущена под учетной записью System, а не под пользователем.
Если при перезагрузке сервера вы видите сообщение “IMA Service Failed” (с кодом ошибки 2147483649), то в локальной системе может отсутствовать временный каталог.
Попробуйте создать временный каталог вручную %systemroot%\temp. Убедитесь, что обе переменные окружения TMP and TEMP указывали на этот каталог.
Служба Server
Настройте сервер так, чтобы он более эффективно выполнял своли функции. Оптимизация сервера зависит от того, какие функции он выполняет. Например, если на сервере есть много RAM, выберите Maximize Throughput for Network Applications. В противном случае выберите Minimize Memory Used.
Для настройки службы Server в Windows 2000:
Откройте панель Network and Dial-up Connections
Щелкните правой кнопкой на Local Area Connection и выберите из контекстного меню Properties
Выберите File and Printer Sharing for Microsoft Networks.
Щелкните кнопку Properties.
Подробнее см. статью в Microsoft Knowledge Base Q154075.
Службы RPC
При открытии удаленных RPC-приложений, например, Windows Explorer и Control Panel, задержки в несколько минут могут вызваны неверными настройками. Убедитесь, что тип запуска службы RPC установлен в Automatic, а служба RPC Locator - в тип Manual.
Снижении уровня обновления
При снижении уровня обновления (downgrading) учитывайте следующее:
После снижения уровня обновления база данных обновления клиентов полностью удаляется.
Вы можете выполнить снижение версии обновления вручную, выполнив команду:
msiexec /x {1E43A449-2D4E-48EA-A840-66111C015123} /l*v “C:\unismsi.log” /q CTX_DOWNGRADE=”Yes”
После снижения уровня обновления может пропасть ярлык Documents. Для просмотра документации MetaFrame XP, используйте Windows Explorer для выбора Program Files > Citrix > Documentation.
Приложение А. Настройка SQL Server
Введение Подготовка к установке Независимая архитектура управления (IMA)
Понятие зон Хранилище данных в Server Farm
Проектирование фермы
Проектирование фермы предприятия Проектирование зоны Требования к хранилищу данных Использование реплицируемых хранилищ Оптимизация хранилища данных в сети Реализация хранилища данных в SAN Оптимизация хранилища данных Сценарии развертывания фермы
Развертывание MetaFrame XP
Быстрое развертывание MetaFrame XP Установка Citrix Management Console Установка Citrix Web Console Развертывание клиентов Развертывание NFuse
Публикация приложений
Использование Installation Manager
Перенаправление контента
Интеграция с Novell Directory Services
Включение поддержки NDS в MetaFrame XP Советы
Вопросы безопасности
Защита серверов MetaFrame XP Конфигурация хранилища IMA Вопросы безопасности сети
Управление печатью
Репликация драйверов принтеров
Обслуживание фермы
Циклическая загрузка серверов MetaFrame Изменение принадлежности к ферме Переименование сервера
Управление фермой
Citrix Management Console
Citrix Installation Manager
Citrix Resource Manager
Citrix Network Manager
Политики пользователей
Подводные камни делегирования полномочий администратора
Оптимизация
Клиенты Диски Память Сервер Сеть Пользователи
Утилиты
DSVIEW IMAPORT MSGHOOK QPRINTER QUERYDC QUERYHR RMVICA
Поиск и устранение неполадок
Неполадки с IMA
Устранение проблем с NDS
Сбор информации для службы техподдержки
Часто встречающиеся проблемы
Приложение А. Настройка SQL Server 2000 для репликации Приложение B. Настройка SQL Server 7 для репликации Приложение С. Использование NFuse Classic 1.7
Приложение D. Использование беспроводных устройств
Приложение E. Проверенное оборудование Приложение F. Трассировка подсистем IMA Приложение G. Коды ошибок IMA Приложение H. Коды ошибок CMC Приложение I. Зарегистрированные порты Citrix
Советы по делегированию административных полномочий
Чтобы разрешить администратору Citrix shadow с использованием Citrix Management Console, включите как минимум следующие разрешения:
• Citrix Administrators
• Log on to the Citrix Management Console
•Servers
• View Server Information
• Sessions
• View Session Management
Возврат
TCP/IP и ICA KeepAlive
В нестабильной сети с большими интервалами ожидания клиенты ICA при подключении к серверу могут получить тайм-аут. При попытке пользователя вновь подключиться, он получает новый сеанс вместо возврата к предыдущему старому. Это происходит потому, что сервер не знает, что предыдущий сеанс был сброшен. Лекарством от этого является включение TCPKeepAlive для сеансов ICA, подключаемых по TCP. Изменение параметра TCPKeepAlive позволяет серверу распознавать рассоединения из-за проблем с сетью. Подробнее читайте в Microsoft Knowledge Base статью Q120642.
Сделайте следующие изменения в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Значение: KeepAliveTime (REG_DWORD): 0000ea60
Значение: KeepAliveInterval (REG_DWORD): 000003e8
Важное замечание. Агресивные параметры могут вызвать бесконечный тайм-аут. Для предотвращения этого, правильно настройте эти параметры. Дополнительная информация содержится в документе CTX708444: "THow to Configure TCP and ICAKeepAlive Values so TCP/IP Users Go to Disconnected State" в Citrix Knowledge Base.
Тихая установка Program Neighborhood
В настоящее время при установке этих пакетов с помощью службы Windows Installer пользователи должны указать сервер с установленной службой Citrix XML. Чтобы сделать развертывание полностью тихим, вы должны сделать некоторые изменения.
Требования.
• Program Neighborhood Agent (Version 6.20.985 и выше)
• Program Neighborhood Client (Version 6.20.985 и выше)
• Microsoft Windows Installer SDK (Version 1.5 или выше)
Существует два способа создания пакетов установки клиентов ICA Win32:
• Создать пакет установки с указанными изменениями или
• Создать файл транформы и применить его к оригинальному пакету Windows Installer
Для создания нового пакета Windows Installer.
Создайте временный каталог и скопируйте в него клиента ICA Win32. Например, создайте каталог C:\MST и скопируйте в него Ica32a.msi.
Запустите редактор Orca, идущий в комплекте с Windows Installer SDK.
В Orca откройте файл Ica32a.msi.
В панели Tables выберите Property.
Щелкните Property. Появится окно свойств:
Выберите столбец Property в правой панели для сортировки свойств в алфавитном порядке. Найдите строку с объектом SERVER_LOCATION:
По умолчанию, значением этого объекта является PNAgent. Измените это на имя или адрес IP сервера, запускающего службу Citrix XML Service. Имя сервера или адрес должны быть указаны с префиксом http://<server или FQDN> или https://<server или FQDN>.
Установите значение Accept в "Yes" .
Сохраните файл с новым именем, например, NewIca32a.msi.
Введите с командной строки:
MSIEXEC /I drive:\NewIca32a.msi /QN
Разверните новый файл MSI на одном сервере для проверки настроек.
Создание файла трансформы для существующего файла MSI
Создание файла трансформы является расширением процедуры создания нового инсталляционного пакета. В состав Windows Installer SDK входит утилита MSITRAN. MSITRAN сравнивает два файла Windows Installer и записывает различия в файл. Это файл используется в качестве трансформы.
Выполните шаги, описанные в разделе "Создание нового пакета Windows Installer”. Запустите с командной строки MSITRAN используя следующий синтаксис:
msitran -g {base db}{new db}{transform}{error/validation conditions}]
Например:
msitran –g ica32a.msi NewICA32A.msi ICA32A.MST X
При запуске утилиты вы увидите следующее:
C:\ >msitran -g c:\mst\ica32a.msi c:\mst\newica32a.msi
c:\mst\ica32a.mst x
Новый файл MST может использоваться в качестве трансформы для оригинального файла ICA32A.msi. Выполните из командной строки:
ica32a.msi transforms=ica32a.mst
Последние версии Windows Installer SDK доступны по ссылке:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/.
Трассировка ODBC
Включение трассировки для Microsoft SQL Server:
Запустите ODBC Data Source Administrator.
Щелкните закладку Tracing.
Введите путь к файлу протокола.
Щелкните Start Tracing Now для начала протоколирования. Щелкните Stop Tracing Now для завершения.
Включение трассировки для Oracle:
Запустите Net8 Assistant.
Щелкните Configuration > Local > Profile.
Выберите из списка в правой панели General
Используйте закладки Tracing и Logging для настройки трассировки.
Включение трассировки для Oracle:
Запустите DB2 Client Configuration Assistant.
Щелкните Client Settings… > Diagnostics.
Установите уровень диагностики 4
Требования к хранилищу данных
В этом разделе мы обсудим минимальные требования к четырем продуктам СУБД - Microsoft Access, Microsoft SQL Server, Oracle и IBM DB2. Хотя MetaFrame XP использует ODBC, остальные ODBC-совместимые СУБД не поддерживаются в MetaFrame XP.
В MetaFrame XP Feature Release 2 вы можете использовать следующие СУБД:
• Microsoft Access Jet Engine 4.x
• Microsoft SQL Server 7.0 with SP2 and SQL Server 2000
• Oracle Server 7 (7.3.4) for NT
• Oracle Server 8 (8.0.6) for NT
• Oracle Server 8i (8.1.5, 8.1.6) for NT and UNIX
• Oracle Server 9i (9.0.1) for NT
• IBM DB2 with FixPak 5 for NT
В следующей таблице приведены версии поддерживаемых клиентов
СУБД | Версия драйвера | |
SQL 7.0 Enterprise for NT MDAC 2.5 SP1 | 3.70.0820 | |
SQL 7.0 Enterprise for NT MDAC | 3.70.0821 | |
SQL 2000 Enterprise for NT MDAC 2.5 SP2 | 3.70.0961 | |
SQL 2000 Enterprise for NT MDAC 2.7 | 2000.81.7713.00 | |
SQL 2000 Enterprise for NT MDAC 2.6 SP1 | 2000.80.380.0 |
Важно. Oracle Client v.8.1.5 не поддерживается. Обновите его как минимум до 8.1.55
Кленты Oracle 8.1.7 и 8.1.7.2 нуждаются в изменении реестра до установки MetaFrame XP 1.0. Это не относится к MetaFrame XP Feature Release 2. См. статью CTX949726.
Microsoft Access
При выборе Use a local database as the data store
во время инсталляции приводит к выбору в качестве СУБД Microsoft Access. ODBC использует для доступа к Access использует Microsoft Jet Engine 4.x.
Минимальные требования
Около 50MB на диске для каждых 100 серверов. Этот объем может увеличиваться при использовании большого числа опубликованных приложений 32MB RAM дополнительно
Аутентификация
Имя пользователя и пароль для файла
Mf20.mdb по умолчанию citrix/citrix. Чтобы сменить пароль к базе данных, используйте команду dsmaint config /pwd:newpassword
при работающей службе IMA.
Автоматическое резервирование
При каждом успешном останове службы IMA существующий файл Mf20.mdb резервируется, упаковывается и копируется в Mf20.unk. При каждом успешном запуске службы IMA она проверяет существование Mf20.bak и переименовывает Mf20.unk в Mf20.bak. Таким образом Mf20.bak содержит правильную базу данных фермы. Этот файл используется при выполнении команды dsmaint recover. Файл Mf20.mdb и его резервные копии находятся в каталоге %ProgramFiles%\Citrix\Independent Management Architecture.
Важно.Всегда запускайте dsmaint backup перед выполнением dsmaint recover. Не запускайте dsmaint recover если не существует файл mf20.bak, поскольку эта команда удаляет mf20.mdb
Замечания
Все неявные серверы подключаются и поддерживают соединения с хост-сервером По умолчанию сервер, содержащий базу данных, является одновременно коллектором данных Настройка реестра для Jet Database Engine может повысить производительность в больших фермах. Для резервирования используйте команду dsmaint backup. Делайте резервную копию перед использованием Citrix Management Console для внесения изменений в хранилище данных.
Улучшение соединения по нестабильным каналам WAN
Если качество связи через WAN с сервером Citrix сильно ухудшается, соединение может быть потеряно. При этом пользователь получает следующее сообщение:
Error in Connection: the Citrix server is no longer available
Протокол TCP/IP использует задержку для подтверждения во время инициирования сеанса. Из-за этого лучше иметь постоянное медленное соединение WAN, чем соединение, которое быстро начинается, а потом замедляется. Эта проблема возникает при подключении через провайдеров Интернет, особенно когда соединение открывается утром и поддерживается в течении всего дня.
Чтобы приспособиться к такому размыванию скорости соединения, добавьте следующее значение в подключу TcpMaxDataRetransmissions в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Подключ: TcpMaxDataRetransmissions (REG_DWORD): 10
Чтобы добавить TcpMaxDataRetransmissions если его нет:
Подсветите PARAMETERS. Из меню Edit выберите Add Value. В поле Value Name введите TcpMaxDataRetransmissions
В списке Data Type выберите REG_DWORD. Щелкните OK. В опции Radix укажите Decimal. Введите в поле Data 10. Нажмите ОК.
Управление очередью репликации драйвера принтера
Каждая комбинация драйвер/сервер создает один элемент в очереди репликации. Эта очередь не должна содержать более 1500 элементов. Для расчета размера очереди воспользуйтесь следующей формулой:
Размер_очереди = Число_драйверов * Число_серверов
Таким образом, очередь может содержать 30 реплицируемых драйверов для 50 серверов (20*5=1500) или 3 драйвера для для 500 серверов (3*500=1500) без нарушения рекомендаций к размеру очереди.
Мониторинг состояния очереди репликации осуществляется командой QPRINTER /replica .
Результат установки принтера вы можете узнать из журнала событий для приложений на целевых серверах.
Управление печатью
MetaFrame XP включает функции централизованного управления принтерами в Citrix Management Console.
Установка необходимого ПО
В идеале, установите Novell Client и соответствующие пакеты обновлений перед установкой MetaFrame XP. Если сервер уже работает, смотрите раздел Установка Novell Client на сервер с MetaFrame XP.
Установка Novell Client на сервер без MetaFrame XP
Установите и настройте Novell Client for Windows NT/2000, Version 4.8 и примените последний пакет обновлений. При запуске программы установки выберите Custom Installation. Выберите только протокол IP. Выберите IPX только в том случае, если он необходим для связи клиента ICA с сервером MetaFrame. Все мультипроцессорные серверы должны иметь Service Pack 3. Перезагрузите сервер Проверьте, что вы можете зарегистрироваться в NDS. Если у вас не получилось, возможно, вам следует добавить в клиент размещение Directory Agent (DA). DA необходим, если сервер NDS находится в другой подсети. Если DA отсутствует, обеспечьте, чтобы сервер NDS и сервер MetaFrame были в одной подсети. Для оптимизации регистрации и время обзора сети измените порядок сетевых провайдеров:
Щелкните правой кнопкой мыши на иконке My Network Places и выберите Properties. Выберите из меню Advanced пункт Advanced Settings. Появится окно "Settings". На закладке Provider Order измените порядок провайдеров так, чтобы Microsoft Windows Network был выше NetWare Services. Щелкните OK для закрытия диалога.
Для оптимизации времени регистрации добавьте каталог шрифтов Windows, находящийся в %systemroot%, в системную переменную path. Для подавления сообщений о неверном параметре FileSysChange, сделайте следующее:
Откройте файл System.ini, нахдящийся в %systemroot%.
В разделе [386Enh] установите значение:
FileSysChange=off
Сохраните и закройте System.ini.
Иначе это сообщение об ошибке не даст сделать инсталляцию MetaFrame XP.
Установите MetaFrame XP и Feature Release 2.
Не забудьте активировать соответствующие лицензии на сервере и установите уровень функциональности Feature Release 2.
Если установка MetaFrame XP 1.0 закончилась неудачей, сделайте следующее:
Деинсталлируйте Novell Client Установите MetaFrame XP и следуйте инструкциям Установка Novell Client на сервер с установленным MetaFrame XP.
Если система работает правильно, перейдите к разделу "Настройка ZENworks for Desktops".
Установка Novell Client на сервер с установленным MetaFrame XP
Если MetaFrame XP уже установлен на сервере перед установкой Novell Client, вы должны внести изменения в реестр до и после установки Novell Client.
Запустите regedt32. Измените ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Дважды щелкните на GinaDLL в правой панели. В окне String Editor замените значение Ctxgina.dll на значение Msgina.dll. Установите и настройте Novell Client for Windows NT/2000, Version 4.8 и примените последний пакет обновлений. При запуске программы установки выберите Custom Installation. Выберите только протокол IP. Выберите IPX только в том случае, если он необходим для связи клиента ICA с сервером MetaFrame. Все ммультипроцессорные серверы должны иметь Service Pack 3. Не перезагружайте сервер, когда об этом предложит Novell Client. Отредактируйте реестр для GinaDLL, как было указано выше. Замените значение Msgina.dll значением Ctxgina.dll. Оставив выбранной ветвь Winlogon, выберите из меню Edit выберите Add Value Введите в диалоге "Add Value" значение CTXGINADLL. Тип данных укажите REG_SZ. В окне String Editor введите значение Nwgina.dll. CTXGINA необходим для автоматической регистрации в случае, когда имя пользователя превышает 20 символов.
На серверах MetaFrame XP, Ctxgina.dll вызывается из Winlogon.exe Ctxgina.dll может обрабатывать имена, превышающие 20 символов. Если Ctxgina.dll не загружен, имена пользователей свыше 20 символов усекаются до 20 символов. Когда Ctxgina.dll получает учетные данные пользователя, она передает их в файл Gina.dll для завершения аутентификации. В большинстве случаев GINA представляет собой Nwgina.dll.
Перезагрузите сервер Для оптимизации регистрации и время обзора сети измените порядок сетевых провайдеров:
Щелкните правой кнопкой мыши на иконке My Network Places и выберите Properties. Выберите из меню Advanced пункт Advanced Settings. Появится окно "Settings". На закладке Provider Order измените порядок провайдеров так, чтобы Microsoft Windows Network был выше NetWare Services. Щелкните OK для закрытия диалога.
Для оптимизации времени регистрации добавьте каталог шрифтов Windows, находящийся в %systemroot%, в системную переменную path.
Теперь система готова для конфигурации ZENworks for Desktops.
Установка утилит администрирования
Для управления фермой вы используете Citrix Management Console и Citrix Web Console. Следующая процедура объясняет, как установить эти утилиты.
Чтобы пропустить установку Citrix Management Console введите во время установки следующую команду:
msiexec /i mfxp001.msi addlocal=all reinstall=ctx_mf_cmc
Для установки или обновления Citrix Management Console на отдельных серверах:
Запустите Autorun с MetaFrame XP Feature Release 2 CD.
Выберите Other tools and components > Administrative tools > Citrix Management Console и следуйте подсказкам на экране
Для установки Citrix Web Console на отдельный сервер
Вам необходимо:
• Internet Information Server 5.0
• The Citrix MetaFrame XP Feature Release 2 MFCOM SDK
Установите MFCOM SDK, следуя инструкциям из комплекта SDK.
Введите имя сервера MetaFrame XP Feature Release 2/Service Pack 2, на котором вы хотите запускать MFCOM.
Вставьте CD Feature Release 2/Service Pack 2.
Закройте меню Autorun.
С командной строки из каталога \Administration\CWC введите:
msiexec /i cwc.msi CWC_MFCHECK=”N”
Следуйте подсказкам мастера для завершения установки
Для изменения сервера MetaFrame, на который указывает веб-консоль, выполните команду MFREG <servername>
Устранение проблем с Novell Directory Services
Советы
Если вы не можете зарегистрироваться или предоставить права к опубликованным приложениям и использованием учетной записи NDS, попробуйте следующие советы:
Убедитесь, что для фермы разрешен NDS. Для этого щелкните правой кнопки мыши на ферме в Citrix Management Console и выберите Properties. Щелкните закладку MetaFrame Settings и проверьте, что правильно настроено предпочтительное дерево Novell Directory Services
Убедитесь, что при регистрации вы используете правильное имя, пароль, контекст и дерево, зарегистрировавшись с другого компьютера
Проверьте настройки Novell Client, сделав браузинг дерева и зарегистрировавшись с консоли сервера
Если полтитки ZENworks Dynamic Local User (DLU) не применены к некоторым серверам MetaFrame XP, проверьте компонент клиента Novell Workstation Manager:
Щелкните правой кнопкой My Network Places на рабочем столе сервера и выберите Properties.
В окне Network and Dial-up Connections щелкните правой кнопкой Local Area Connections и выберите Properties.
Выберите Novell Workstation Manager из списка компонентов и щелкните Properties.
Проверьте следующие установки:
Workstation Manager разрешен
Имя дерева то, к которому применены политики DLU
Все остальные опции имеют значения по умолчанию
Если вы установили политику DLU удалять пользователей после разрегистрации, а учетная запись не удаляется, убедитесь, что запрещена опция Enable Volatile User Caching.
Если у вас возникают проблемы с авторегистрацией независимо от настроек DLU, попробуйте следующее:
Подключитесь к рабочему столу, используя соедиение ICA Custom Connection с включенной опцией
Autologon
Укажите следующие учетные данные пользователя:
Username – полное имя пользователя, напрмер, .SampleUser.company
Пароль - правильный пароль
Domain – домен, модержащий имя дерева NDS
Важно. Слово "если" ниже не обязательно будет истинно, если соединение было установлено не так, как описано выше.
Запустите соединение и, в зависимости от результата, следуйте следующим указаниям:
Novell Client выводит сообщение о неверном имени пользователя, сервере или дереве.
Действие: Зарегистрируйтесь на Citrix Management Console под этим же пользователем. Если не получилось, то неправильно настроен Novell Client.
Microsoft Client еще раз запрашивает учетные данные или выводит сообщение об ошибке.
Действие: Щелкните Cancel для возврата к окну регистрации Novell. На закладке NT/2000 посмотрите информацию о пользователе:
Если имя пользователя в поле NT/2000 содержит полное имя пользователя (.username.context.)
Действие: Обновите клиента до версии 4.81 или более подней
Если поле Domain пусто или содержит имя локальной машины, и используется ZENworks DLU
Действие: Неправильно работает политика Dynamic Local User policies (DLU).
Если поле Domain пусто или содержит имя локальной машины, а политика DLU не используется
Действие: Найдите или создайте в реестре ключ
HKEY_LOCAL_MACHINE\Software\Citrix\NDS\SyncedDomainName
и установите в этом ключе значение имени домена NT, синхронизированного с деревом NDS.
Если поле Domain name содержит имя дерева NDS
Действие: Разрешите интеграцию NDS.
Если поле Domain name содержит имя домна Windows NT и вы не используете DLU для аутентификации
Действие: Убедитесь, что сервер имеет правильные доверительные отношения между доменом сервера и доменом пользователя.
Утилиты
В этой главе описаны утилиты, включенные в MetaFrame XP, которые вы можете использовать для настройки, управления, выявления неисправностей.
В этой главе описаны следующие утилиты:
DRIVEREMAP
DSVIEW
IMAPORT
MSGHOOK
QPRINTER
QUERYDC
QUERYDS
QUERYHR
SCCONFIG
В Программном Окружении не видны папки
Папки, создаваемые для группировки приложений в Citrix Management Console, не связаны с папками, отображаемыми в in Program Neighborhood. Для указания папок для Program Neighborhood, используйте закладку Program Neighborhood Settings в окне свойств опубликованного приложения.
Включение поддержки NDS в MetaFrame XP
Теперь MetaFrame XP может публиковать приложения, рабочие столы и контент для пользователей, находящихся под управлением NDS или Directory Services в Windows 2000 и Windows NT. Однако, использование MetaFrame XP в среде, включающих несколько служб каталогов, требует тщательного планирования. Внимательно прочитайте следующие разделы перед установкой MetaFrame XP и Feature Release 1 в среду NDS.
По умолчанию MetaFrame XP поддерживает только пользователей Microsoft Windows. Следуйте нижеуказанной процедуре для указания предпочтительного дерева для фермы. Feature Release 1 поддерживает только одно дерево в каждой ферме.
Зарегистрируйтесь на Citrix Management Console и подключитесь к серверу MetaFrame XP Feature Release 1, настроенному на поддержку NDS. Щелкните правой кнопкой на узле фермы в левой панели и выбрите Properties. Щелкните закладку Settings Укажите имя дерева NDS и щелкните OK. Для запрещения поддержки NDS сотрите значение в поле NDS Preferred Tree и щелкните OK.
Восстановление неудачной инсталляции
Если инсталляция завершилась неудачно, коллектор может продолжать попытки соединиться с сервером, на котором вы пытались установитьMetaFrame.
После установки сравните список серверов в Citrix Management Console со списком, возвращаемым утилитой queryhr. Используйте команду queryhr -d hostID чтобы удалить серверы, присутствующие в выводе queryhr, но отсутствующие в Citrix Management Console.
Предупреждение. Не используйте ключ –d на правильно работающих серверах. Он удаляет сервер из фермы, и вам придется его переинсталлировать.
Восстановление сервера, который не отвечает
Если сервер-член больше не отвечает на запросы IMA и служба IMA не запускается, вы не можете использовать команду
chfarm, поскольку она требует связи с хранилищем данных.
Предупреждение. При выполнении следующей процедуры нельзя вернуть сервер в исходное состояние. Перед использованием попытайтесь пройти процедуры, описанные в разделе "Неполадки с IMA"
Для повторного присоединения неотвечающего серверка к ферме:
Деинсталлируйте на неотвечающем сервере MetaFrame XP.
Удалите неотвечающий сервер из фермы с помощью Citrix Management Console.
Переустановите MetaFrame XP на неотвечающем сервере и присоедините его к ферме во время инсталляции.
Время последнего доступа
Файловая система NTFS сохраняет время последнего доступа к файлу при каждом его просмотре в листинге каталога, поиске или открытии. В многопользовательской среде это вызывает некоторое снижение производительности. Для отключения записи времени последнего изменения внесите изменения в реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
Значение: NtfsDisableLastAccessUpdate (REG_DWORD): 1
В этой статье собраны советы
В этой статье собраны советы и пожелания по использованию MetaFrame XP с FR2 и SP2. Этот документ является дополнением к руководству администратора. Вы уже должны быть знакомы с концепциями и процедурами конфигурации MetaFrame XP. Информация в этой статье собрана из разных подразделений Citrix, включая департамент тестирования, разработки, консалтинга.
Не забудьте прочитать файл README к FR1 и FR2 и сопроводительные файлы к клиентам. Дополнительную информацию вы можете также получить на Citrix Web.
См. также "Что нового в Feature Release 2"
Выбор нестандартного пакета TCP
По умолчанию сеансы ICA соединяются через TCP с использованием максимального размера пакета TCP (до 1460 байт) для передачи большого объема данных. Однако, в небольших типах сетей, например, беспроводных, лучшую производительность можно получить при уменьшении размера пакета. Для MetaFrame XP FR2 вы можете изменить обычный размер пакета (1460) изменением ключа реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\icawd\MaxICAPacketLength
Если нужно, определите тип параметра DWORD и укажите нужное значение (например, 1000). После этого перезагрузите сервер.
Если это значение не указано, имеет значение 0 или выше 1460, то он не оказывает влияния.
Взаимодействие с Load Manager и Application Publishing
Для развертывания пакетов Installation Manager в ферме используйте мастер публикации приложений. Этот мастер позволяет устанавливать, публиковать приложения и применять к ним распределение нагрузки. Если вы используете Installation Manager без мастера, приложения не будут автоматически публиковаться.
Installation Manager преждевременно сообщает об
Installation Manager преждевременно сообщает об автоматической установке пакетов. Installation Manager порождает автоматичекие инсталляции на целевых серверах. После удаленной активации автоматической инсталляции работу на себя берет Installation Manager на удаленном сервере. Поскольку на исходном сервере работа закончена, Installation Manager сообщает об успешном завершении. Поэтому проверяйте каждый сервер, чтобы убедиться в успехе.
Installation Manager для развертывания пакетов не поддерживает общедоступные ресурсы Novell NetWare, хотя возможен их просмор. Поэтому копируйте предварительно файлы пакетов на сервер Windows NT
Зарегистрированные порты Citrix
Наименование | Номер | Описание |
ica | 1494 TCP | ICA |
ica | 1494 UDP | <not used> |
ica | 0x85BB IPX | ICA |
ica | 0x9010 SPX | ICA |
icabrowser | 1604 TCP | <not used> |
icabrowser | 1604 UDP | ICA Browser |
icabrowser | 0x85BA IPX | ICA Browser |
citrixima | 2512 TCP | IMA (server to server) |
citrixima | 2512 UDP | <not used> |
citrixadmin | 2513 TCP | IMA (CMC to server) |
citrixadmin | 2513 UDP | <not used> |
citriximaclient | 2598 TCP | <not used> |
citriximaclient | 2598 UDP | <not used> |
citrix-rtmp | 2897 TCP | rtmp (Control) |
citrix-rtmp | 2897 UDP | rtmp (Streaming Data) |
Citrix Systems | 3845 MIB | Private Enterprise Number |
Защита Citrix Management Console
Citrix Management Console является приложением Java, которое может выполняться на серверах MetaFrame XP и рабочих станциях. Однако, для избежания перехвата пакетов запускайте ее только на серверах MetaFrame XP или в окружении, где появление снифферов исключается.
Защита хранилища данных
Пользователям, не имеющим доступа к серверам MetaFrame XP, не должно даваться никакого доступа к хранилищу данных.
В режиме прямого доступа все сервера фермы разделяют один бюджет пользователя и пароль для доступа к хранилищу. Выбюирайте пароль, который сложно вычислить. Держите имя пользователя и пароль в тайне и сообщайте их администратору Citrix только с целью инсталляции MetaFrame XP.
Если в прямом режиме бюджет пользователя для доступа к хранилищу позже изменился, служба IMA не сможет запуститься. В этом случае используйтек команду dsmaint config на каждом затронутом сервере.
Microsoft Access
По умолчанию имя пользователя “citrix” и пароль “citrix.” Если пользователи имеют доступ к серверу хранилища данных, смените пароль командой dsmaint config .
Microsoft SQL Server
Пользователь, используемый для доступа к хранилищу имеет роли public и db_owner на сервере в в базе данных. Учетные данные системного администратора (sa) не требуются для доступа к хранилищу; не используйте их. Если MSSQL настроен на смешанный режим (вы можете использовать либо аутентификацию MSSQL, либо Windows NT), то можете создать отдельного пользователя MSSQL только для доступа к данным. По соображениям безопасности Citrix рекомендует использовать только аутентификацию Windows NT.
Для повышения безопасности после инсталляции с правами db_owner смените привилегии пользователя на db_reader и db_writer.
Важно. Изменение прав может вызвать проблемы при установке будущих пакетов обновлений MetaFrame XP. Не забудьте сменить права обратно на db_owner до установки MetaFrame XP service pack или feature release.
Oracle
Дайте привилегии пользователю только “connect” и “resource” . Для доступа к хранилищу привилегии системного администратора не нужны.
IBM DB2
Дайте следующие привилегии пользователю, используемому для доступа к хранилищу данных:
• Connect database
• Create tables
• Register functions to execute to database manager’s process
• Create schemas implicity
Защита NFuse Classic
Обучите пользователей работать с NFuse Classic чере HTTPS
Используйте функцию билетирования
Настройте NFuse Classic на использование SSL Relay.
Если вы настроили SSL Relay на сервере со статическим адресом IP, установите в следующем ключе полное доменное имя сервера MetaFrame XPr:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain
Чтобы обеспечить прохождение соединений ICA через SSL (порт 443), разрешите порт 443, но заблокируйте порт 1494.
Защита серверов MetaFrame XP Servers
Контроль физического доступа
Предоставьте физический доступ у серверам только тем лицам, кто занят администрированием серверов
Используйте разделы NTFS
Для наибольшей безопасности устанавливайте MetaFrame XP только на разделы NTFS
Установка MetaFrame XP на NTFS обеспечивает защиту локальных баз данных в каталоге %Program Files%\Citrix\Independent Management Architecture так, что только администраторы могут иметь к ним доступ. Не меняйте этот ACL.
Управление доступом
Для повышения безопасности удалите утилитой Mfcfg.exe группу Everyone из списка разрешений для каждого из слушателей, и укажите только группы пользователей, которым действительно необходим доступ.
Настройка службы SNMP
Служба SNMP в Windows по умолчанию имеет привилегии чтение/запись. Если вы используете Citrix Network Manager или другое ПО управления по SNMP только для мониторинга сервера (не для управления), установите привилегии только для чтения. Если SNMP не используется, вообще удалите эту службу с сервера.
Для администраирования необходимы права чтение/запись.
Блокируйте входящий траффик SNMP из Интернета используя защитные экраны, блокирующие порты UDP 161 и 162.
Настройка бюджетов администраторов
Давайте права администрирования только тем пользователям, которые являются членами группы администраторов Windows.
Защита сети
Серверы MetaFrame XP и хранилище данных должны находиться в сетях, защищенных от перехвата пакетов. В некоторых случаях межсерверные коммуникации производятся открытым текстом.
Коммуникация между Citrix Management Console и сервером MetaFrame XP производится через порт TCP 2513
Коммуникация между серверами-членами и коллекторами данных поизводится через порт TCP 2512
Вы можете использовать утилиту imaport для изменения номеров портов.
to decrease security risks.
Коммуникация между серверами-членами и хранилищем данных осуществляется через ODBC
Связь с Microsoft SQL Server использует опцию мультипротокольного шифрования.
Защита сети от DoS-атак
Атаки DoS насыщают сеть и серверы бесполезными запросами информации. Атакующие используют несколько сайтов для распределенной атаки на сети, черверы, веб-сайты. Серверы перестают откликаться на запросы из-за перегруженности.
Защищайте реестр серверов MetaFrame XP. Периодически делайте его резервные копии.
Microsoft сделала рекомендации по лечению реестра так, чтобы система была устойчива к атакам DoS. Подробнее см. на сайте http://www.microsoft.com/technet. Воспользуйтесь поиском по фразе “Security Considerations for Network Attacks”.
Microsoft рекомендует сделать изменения в следующих значениях ррестра:
network against DoS attacks:
• SynAttackProtect
• TcpMaxHalfOpen
• TcpMaxHalfRetried
• Enable PMTUDiscovery
• NoNameReleaseOnDemand
• EnableDeadGWDetect
• KeepAliveTime
• PerformRouterDiscovery
• EnableICMPRedirects
Защита соединений ICA
MetaFrame XP включает поддержку шифрования ICA между клиентом и сервером, использующее RSA RC5. Поддержка открытых стандартов реализована в MetaFrame XP, Feature Release 1. Feature Release 1 добавил Citrix SSL Relay, использующий для шифрования SSL.
MetaFrame XP Feature Release 2 включает Citrix Secure Gateway. Он предусматривает шлюз SSL/TLS между серверами MetaFrame XP и клиентами ICA, находящимися в Internet.