Comment migrer vers Citrix Access Suite 4

About This Presentation

Title:

Comment migrer vers Citrix Access Suite 4

Description:

Migrer vers Citrix Password Manager 4.1. Migrer vers Citrix Access Gateway et Advanced ... El ments consid rer lors de la migration. Comment Migrer vers Citrix ... – PowerPoint PPT presentation

Number of Views:118

Avg rating:3.0/5.0

Slides: 109

Provided by: citrixcons

Category:

more less

Transcript and Presenter's Notes

Title: Comment migrer vers Citrix Access Suite 4

1
Comment migrer vers Citrix Access Suite 4

Christophe Pecqueux
Citrix Consulting Services
christophe.pecqueux_at_citrix.com

2
Agenda
3
Migrer vers CitrixPresentation Server 4.0
Comment Migrer vers Citrix Access Suite 4.x

Préparer la migration
Stratégie de migration
Chemin de migration
Eléments à considérer lors de la migration

4
Préparer la Migration
Migrer vers Citrix Presentation Server 4.0

Planifier la migration
Pré requis à la migration
Gestion des licences au cours de la migration
Mise à jour depuis les versions 1.8 et XP

5
Planifier la Migration

Le choix du système dexploitation
Remarque la mise à jour du système
dexploitation nest pas supportée par Citrix.
Dans ce cas, il faut réinstaller Citrix
Presentation Server.
La définition de larchitecture de la batterie
cible
La méthode daccès aux applications pour les
utilisateurs
Laccès au serveur de licences durant la période
de migration
Le découpage en phases pour migrer
progressivement des lots dapplications

6
Pré requis à la migration

Windows 2000 Server SP4
Windows 2003 Server
Data Store
Access, SQL 2000 MSDE, Oracle, IBM DB2
(Cf. Guide de ladministrateur p.47 pour la
liste exacte)
Services dannuaire supportés
Windows NT, Active Directory, Novell Directory
Service

7
Gestion des licences 1/2

Le modèle de licence a changé depuis MetaFrame
Presentation Server 3.0
Les licences Citrix Presentation Server sont
disponibles pour les contrats Subscription
Advantage
Les licences peuvent être téléchargées
directement depuis le site www.citrix.com/mycitrix
Licences ? Livraison ? Livraison produits
éligibles
Les clients MetaFrame 1.8 doivent dabord
modifier leur clé de licences en clé MetaFrame
XP et ensuite modifier cette nouvelle clé en clé
Citrix Presentation Server

8
Gestion des licences 2/2

Serveur de licences
Il est recommandé davoir le serveur de licences
en version 4 disponible avec les licences
installées durant la migration
Il est techniquement possible deffectuer la
migration sans serveur de licences. Dans ce cas,
les utilisateurs ne pourront se connecter tant
que le serveur de licences na pas été installé
et configuré
Puis-je utiliser les licences XP migrées et les
licences XP lors de la migration ?
Techniquement, on peut utiliser les licences
migrées XP et les licences XP lors de la
migration. Cependant, du fait de lutilisation de
licences dupliquées, il est nécessaire dobtenir
un agrément temporaire auprès de Citrix pour
avoir contractuellement le droit de le faire
Puis-je utiliser un serveur de licences V3 avec
Citrix Presentation Server 4 ?
Techniquement, un serveur de licences V3 peut
gérer des licences Citrix Presentation Server 4
La console de management du serveur de licences
nest disponible quen version V4 pour Apache
Les autres produits de la suite notamment Citrix
Password Manager, Citrix Access Gateway et
Advanced Access Control nécessitent un serveur de
licences en V4

9
Pré-requis à linstallation dun serveur Citrix
Presentation Server
10
Mise à jour depuis MetaFrame 1.x, XP et
Presentation Server 3.0

La mise à jour vers Citrix Presentation Server
4.0 nest possible que depuis MetaFrame XP ou
Presentation Server 3.0
Si lon veut faire une mise à jour des serveurs
MetaFrame 1.0 ou MetaFrame 1.8, on doit dabord
mettre à jour vers MetaFrame Presentation Server
3.0.
Une stratégie de migration basée sur deux
batteries est recommandée
Le mode mixte nexiste plus

11
Stratégie de Migration
Migrer vers Citrix Presentation Server 4.0

Scenario I - Stratégie à deux Batteries en
répartition
Scenario II - Stratégie à deux Batteries en
agrégat
Scenario III - Batterie en mode partagé
(XP, MPS et CPS)
Scenario IV - Mise à jour depuis MetaFrame 1.8

12
Stratégies à deux Batteries

Les deux approches (recommandées)
Scenario I Deux Batteries en répartition de
charge avec Web Interface et/ou Advanced Access
Control
Mécanisme de répartition de charge partielle
Mécanisme de répartition de charge complète
Scenario II Deux Batteries en agrégation de
contenu avec Web Interface et/ou Advanced Access
Control

13
Scenario I Deux Batteries en répartition de
charge

La création de deux Batteries en répartition de
charge revient à créer deux Batteries distinctes
une ancienne MetaFrame 1.8 ou MetaFrame XP
une nouvelle Citrix Presentation Server 4.0
La charge entre les deux Batteries est répartie à
laide de
Web Interface (WI)
Advanced Access Control
Il existe deux mécanismes de répartition de
charge
Répartition de charge partielle
Répartition de charge complète

14
Scenario I Deux Batteries en répartition de
charge partielle

Par exemple Une Batterie avec 50 serveurs
MetaFrame 1.8
Créer une nouvelle Batterie avec uniquement des
serveurs Citrix Presentation Server, créer les
mêmes applications publiées que dans la ferme
existante
Déployer 10 serveurs dans la nouvelle Batterie
Mettre à jour la liste des serveurs sur le
serveur Web Interface afin que 20 des requêtes
soient redirigés vers la nouvelle Batterie
Répéter les étapes 2 et 3

15
Scenario I Deux Batteries en répartition de
charge partielle
16
Scenario I Deux Batteries en répartition de
charge complète

Deux Batteries séparées
Deux serveurs Web Interface
Utiliser un répartiteur de charge matériel, le
DNS round robin ou une autre solution permettant
de rediriger les connections
Définir un poids attaché aux serveurs Web
Interface pour distribuer les connexions
Lors de lauthentification les utilisateurs sont
redirigés vers un serveur web spécifique. Toutes
les actions des lutilisateurs seront alors
orientées vers la Batterie à laquelle le serveur
web est attaché

17
Scenario II Deux Batteries en agrégation de
contenu

La méthode recommandée pour migrer vers Citrix
Presentation Server consiste à utiliser deux
batteries en agrégation de contenu
Deux Batteries séparées
Lancienne Batterie gère la majorité des
applications
La nouvelle Batterie gère un faible nombre
dapplications
Migrer au fil de leau les applications de
lancienne batterie vers la nouvelle
Utiliser Web Interface ou Advanced Access Control
pour agréger les deux Batteries

18
Scenario II Deux Batteries en agrégation de
contenu
19
Stratégies à une Batterie

Les deux approches (non recommandées)
Scenario III Batterie en Mode Partagé (XP, MPS
et CPS)
Scenario IV Mise à jour vers MetaFrame
Presentation Server 3.0 puis vers Citrix
Presentation Server 4.0

20
Scenario III - Batterie en Mode Partagé (XP, MPS
3.0 et CPS 4.0)

MetaFrame XP, MetaFrame Presentation Server 3.0
and Citrix Presentation Server 4.0 peuvent
cohabiter dans une même Batterie
Le serveurs partagent le même bus de
communication (IMA)
Cette option est supportée. Cependant Citrix
recommande toujours davoir le même niveau de
version de Presentation Server et de Service Pack
sur lensemble des serveurs. De ce fait cette
situation transitoire ne peut perdurer dans le
temps.

21
Scenario IV - Mise à jour vers MPS3.0 puis vers
CPS 4.0

Cette option permet de conserver les paramètres
de la version antérieures MetaFrame 1.0 ou 1.8
Cette option est supportée. Cependant Citrix
recommande de considérer les contraintes
suivantes
Les administrateurs devront faire deux fois le
travail
Le mode de licence a changé depuis MetaFrame
Presentation Server 3.0. Ceci implique un
changement non négligeable pour la data store, il
est donc préférable davoir un data store non
migré
Cette migration peut nécessiter la mise à jour du
système dexploitation et/ou du type de serveur
ce qui implique une réinstallation des serveurs
de la Batterie

22
Migrer vers Citrix Presentation Server 4.0

Les étapes de la migration
Migration et retour arrière
Service Pack ou produit complet

23
Etapes de la Migration 1/2

Suivre la check-list dinstallation du Cd-Rom
dinstallation
Installer le serveur de licence
Si vous avez mis en place MetaFrame Conferencing
Manager, réaliser une migration vers la version
MetaFrame Presentation Server 3.0 ou Citrix
Presentation Server 4.0
Désactiver le mode dinteropérabilité
Réaliser la mise à jour du serveur de mesure de
votre Batterie

24
Etapes de la Migration 2/2

Mettre à jour la console Citrix Presentation
Server
Mettre à jour Web Interface
Si Microsoft Access ou MSDE est utilisé pour le
data store, Mettre à jour en premier le serveur
qui possède le data store
Ensuite mettre à jour les data collectors
Mettre à jour le reste des serveurs membres de la
batterie

25
Migration et Retour Arrière

Citrix Presentation Server autorise la migration
depuis les versions suivantes
MetaFrame XP FRx
MetaFrame Presentation Server 3.0
Le retour arrière dune installation en version
Citrix Presentation Server 4.0 est possible
uniquement si la mise à jour à été faite à partir
de la version MetaFrame Presentation Server 3.0
Attention il est impossible dinstaller
Presentation Server 4.0 ou Service Pack 2005.04
pour MetaFrame Presentation Server 3.0 sur un
contrôleur de domaine
Article de la base de connaissances - CTX106529

26
Service Pack ou Produit Complet
27
Version des Produits

La version CPS 4.0 peut être installée comme un
service pack pour les plates-formes MPS 3.0

28
Résumé des Scenarii de Migration
29
Eléments à considérer lors de la migration
Migrer vers Citrix Presentation Server 4.0

Délégation dadministration
Publication des applications
Définition des stratégies
Console Access Suite

Choix du Data Collector
Répartition de charge
Préférence de zone et reprise sur incident

30
Personnalisation du rôle des administrateurs

Il est préférable de gérer la délégation
dadministration à laide de la dernière version
de la console dadministration de Presentation
Server

CPS 4.0 offre plus doption de délégation que
dans les versions précédentes
31
Publication des applications

Les anciennes versions de la console
dadministration ne peuvent être utilisées pour
modifier les propriétés des applications publiées
(Article - CTX104134)

32
Définition des stratégies

Lors de la migration de stratégies existantes les
règles et les filtres sont conservés et les
nouvelles règles de Citrix Presentation Server ne
sont pas configurées
Après une migration, les nouvelles règles et
filtres peuvent être configurés
Les serveurs de version inférieure tel que
MetaFrame FR2, MetaFrame FR3 et MetaFrame
Presentation Server ne prennent en compte que les
règles et les filtres liés à leur version de
produit

33
Compatibilité des stratégies
FR2/FR3 présente les polices incompatibles comme
désactivées.
34
Règles de Compatibilité 1/2
35
Règles de Compatibilité 2/2
36
Console Access Suite 4.X

Permet dexplorer des Batteries MetaFrame XP FR3
Permet dexplorer des Batteries MetaFrame
Presentation Server 3.0
Permet dexplorer des Batteries Citrix
Presentation Server 4.0

37
Choix du Zone Data Collector

Lors de votre migration il faut élire un Zone
Data Collector (ZDC)
Après avoir mis à jour le serveur que vous
souhaitez élire comme ZDC principal et défini en
tant que "Most preferred" avant de migrer tout
autre serveur de cette zone
Cette action doit être reproduite sur lensemble
des zones que compte la Batterie

38
Répartition de Charge

Les ZDC qui utilisent les version MPS 3.0 et les
ZDC de version CPS 4.0 néchangent pas les
informations de leur zone
Cependant, dans une Batterie en mode mixte un ZDC
de version CPS 4.0 sera capable de répartir la
charge vers des serveurs de version antérieure

39
Préférence de zone et reprise sur incident

Web Interface 4.0 a besoin dutiliser le service
XML configuré sur des serveurs CPS 4.0.
Le serveur Data Collector doit être de niveau CPS
4.0
Toutes les versions de serveur précédent CPS 4.0
seront configurés en mode Sans Préférence et ne
pourront pas utiliser cette option.
Lordre daffectation nest pas paramétrable si
la console de gestion MetaFrame XP est utilisée
pour renommer, supprimer ou créer des zones dans
la Batterie

40
Migrer vers CitrixPassword Manager
Comment Migrer vers Citrix Access Suite 4.x

Préparer la migration
Stratégie de migration
Chemin de migration

41
Préparer la migration
Migrer vers Citrix Password Manager 4.1

Principe de fonctionnement
Évolutions de lArchitecture
Les Composantes Fonctionnelles

42
Principe sécurisation et simplification de
lauthentification
Citrix Password Manager
43
Principe Scénarii de déploiement
Uniquement Presentation Server SSO seulement
pour les Applications Presentation Server
LAgent est seulement installé sur CPS
Poste Utilisateur
MPS
Uniquement Client en local SSO pour les les
applications locales
LAgent est seulement installé sur la machine
locale
Poste Utilisateur
Déploiement Mixte SSO pour les applications
Presentation Server et locales
LAgent est installé sur CPS et la machine
cliente
MPS
Poste Utilisateur
Agent MPM
44
Evolutions de lArchitecture Citrix Password
Manager 4.1
45
Les Composantes Fonctionnelles La Console
Access Suite

La CONSOLE Access Suite permet de
Gérer les Mots de Passe de façon centralisée
Configurer les définitions dapplications
Mettre à jour le point de synchronisation avec
les nouvelles configurations

46
Les Composantes Fonctionnelles Le Point de
Synchronisation

Centralise toute la configuration faite à partir
de la Console Access Suite.
Active Directory ou partage réseau (Microsoft ou
Novell)
Lagent se met à jour à partir de ce point de
synchronisation
Tous les identifiants sont chiffrés avec les
Crypto API du marché

47
Les Composantes Fonctionnelles LAgent

Garde toutes les configurations faites par
ladministrateur
Une base locale didentifiants pour la mobilité
et le travail hors connexion
Détecte les fenêtres dauthentification
Se substitue à lutilisateur en fournissant les
identifiants secondaires et répond aux
changements de Mots de Passe.

48
Stratégie de Migration
Migrer vers Citrix Password Manager 4.1

Stratégies
Remarques

49
Stratégies de Migration

Scenario I Mise à niveau depuis Password
Manager 4.0
Pas de modification du point de stockage
Mise à niveau du service, de la console et des
agents Password Manager
Scenario II Migration depuis Password Manager
2.5
Mise à jour du point de synchronisation
impliquant un reformatage des paramétrages
Les paramètres de lagent sont mis à jour vers
des configurations utilisateurs
Les paramètres stratégies de mots de passes sont
regroupés et associés aux groupes dapplications
Les définitions dapplications sont mises à
niveau
Les groupes dapplication sont créés
automatiquement
Les questions de vérification didentité sont
migrées

50
Remarques

Tous les agents Citrix Password Manager 2.5 nont
pas besoin dêtre migrés en même temps
Les nouvelles fonctionnalités de Citrix Password
Manager 4.1 doivent faire lobjet dune étude
darchitecture avant leur implémentation

51
Chemin de Migration
Migrer vers Citrix Password Manager 4.1

Détail des Différentes Phases
Configuration du serveur de licences
Préparation du Point de Synchronisation
Installation et Configuration de la Console
Access Suite 4.1
Mise à niveau du point de synchronisation
Installation et Test de lAgent

52
Détail des Différentes Phases

1) Installation et configuration du serveur de
licence V4
2) Préparation du Point de Synchronisation
Partage de fichiers Windows NTFS ou Novell
Netware
Active Directory ou LDAP
3) Installation et Configuration de la Console
Access Suite
4) Mise à niveau du Point de Synchronisation
5) Installation et Tests de lAgent
Valider lauthentification unique avec les
applications
Valider que le paramétrage des agents est
disponible depuis le point de synchronisation

53
1) Installation et configuration du serveur de
licence Version 4

Vérifier les Prés-requis
Java Runtime Engine 1.4.2_06 (disponible sur le
CD)
Un serveur web IIS ou Apache
Importer les fichiers de License
Licences daccès concurrents
Licences nommées par utilisateur
Linstallation des licences est un pré-requis à
la migration vers Password Manager 4.1

54
2) Préparation du Point de
Synchronisation

La mise à jour est irréversible, une sauvegarde
préalable est conseillée.
Dans le répertoire Tools du CD-ROM entrez les
commandes
Partage de fichiers Windows NTFS
CtxFileSyncPrep /pathchemin_UNC /upgrade
Partage de fichiers Novell Netware
CtxNWFileSyncPrep /chemin_UNC /upgrade
Active Directory (AD)
CtxDomainPrep /upgrade

55
Console Password Manager 4.1

La console Citrix Password Manager 2.5 ne gère
pas les agents Password Manager 4.1
Linstallation de la console supprime la console
de gestion Password Manager 2.5
Elle permet deffectuer la mise à niveau du
magasin central

56
Mises à niveau du point de Synchronisation

Mise à niveau guidée par un assistant permettant
limportation
Des objets configuration utilisateurs
Des stratégies de mot de passe
Des définitions dapplications
Des Questions de vérification utilisateur
Exécution de la découverte dans la console
Sous le nud Password Manager de la console
demander lexécution de la mise à niveau
Rendre le questionnaire de sécurité rétro
compatible
Nom des configurations utilisateurs
Informations de licences

57
3) Installation de lAgent 1/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

58
3) Installation de lAgent 2/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

59
3) Installation de lAgent 3/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

60
3) Installation de lAgent 4/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

61
3) Installation de lAgent 5/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

62
3) Installation de lAgent 6/6

La mise à niveau depuis le client 2.0 nest pas
possible
Sélectionner les fonctionnalités et la langue à
installer
Spécifier le lieu de stockage du point de
synchronisation

63
4) Test de lAgent

Tester lagent Password Manager avec les
applications cibles
Vérifier que le paramétrage de lagent correspond
à celui défini dans la console

64
Migrer vers Citrix Access Gateway et Advanced
Access Control 4.2
Comment Migrer vers Citrix Access Suite 4.x

Préparer la migration
Stratégie de migration
Chemin de migration
Intégration avec Web Interface
Accès Virtual Private Network

65
Préparer la Migration
Migrer vers Access Gateway et Advanced Access
Control 4.2

Présentation des composants
SmartAccess
Exemples de scénarii daccès
Planifier la migration

66
Présentation des Composants

Access Gateway
Advanced Access Control

Destiné a être déployé dans un réseau sécurisé
Installation sur une plate-forme Windows Server
Centralise ladministration et la gestion des
stratégies daccès
Centralisation de laudit et du reporting
Gestion de lanalyse des points de terminaison et
du déploiement des clients
Extension des scénarii daccès

Access Gateway est un boîtier sécurisé destiné a
être déployé dans une zone démilitarisée
Sécurise les communications de bout en bout grâce
au protocole SSL
Héberge lauthentification
Applique les stratégies de sécurité définies par
Advanced Access Control

67
SmartAccess Analyse de scenarii daccès

Analyse des points de terminaison pour sassurer
que les connexions sont
Saines sassurer que les connections ne vont
pas nuire à linfrastructure de lentreprise
De confiance analyse de lutilisateur, de la
machine et de lidentité réseau pour sassurer
que la connexion correspond bien à ce qui est
proclamé
Sécurisés sassurer que les attaques
malicieuses ou autres ne pénètrent pas dans
linfrastructure de lentreprise par
lintermédiaire des postes connectés
La mise à disposition dun SDK permet aux clients
ou aux partenaires de créer des scans
personnalisés

Analyse des scénarii daccès

Identité du client
Nom NetBIOS
Appartenance à un domaine Windows
Adresse MAC
Configuration du client
Système dexploitation
Anti-Virus personnel
Pare-feu personnel
Navigateur
Zone réseau
Agent douverture de session
Méthode dauthentification
Scans personnalisés

68
SmartAccess Contrôle des accès

Contrôle des accès basé sur des polices
Contrôle des accès basé sur lappartenance à un
groupe, le type dauthentification (faible,
forte, etc), le type de poste client, le type de
connexion, pour sassurer que les ressources
informatiques de lentreprise ne sont pas
exposées à des risques non maitrisés

Analyse des scénarii daccès
Implémentation du contrôle des accès

Identité du client
Nom NetBIOS
Appartenance à un domaine Windows
Adresse MAC
Configuration du client
Système dexploitation
Anti-Virus personnel
Pare-feu personnel
Navigateur
Zone réseau
Agent douverture de session
Méthode dauthentification
Scans personnalisés

Applications publiées
Accès fichiers et réseaux
Accès Web aux email
Sites Web (URLs)
Applications Web
Synchronisation dapplication et dEmail
Ressources réseaux (VPN)

69
SmartAccess contrôle de la Propriété
intellectuelle

Gestion de linformation sensible
Contrôle le moyen daccès à linformation
sensible et son utilisation (Applications
publiées, HTML prévisualisation, LiveEdit etc.)
Contrôle les actions possibles concernant
linformation sensible (téléchargement,
impression, sauvegarde, copie, etc)
Sassurer quaucune donnée nest laissée sur le
poste local
Permet la journalisation de tous les accès

SSL-VPNs
Implémentation du contrôle de lutilisation des
ressources
Analyse des scénarii daccès
Implémentation du contrôle des accès

Téléchargement complet des documents
LiveEdit
Edition locale
Enregistrement à la source
Gestion en mémoire uniquementdurant lédition
Pas de données sur le poste client
Prévisualisation des documents en HTML
Accès depuis les PDAs
Visualisation sans application cliente
Fichier joins dans un email
Pas de données transmises au poste client
Applications publiées
Contrôle des applications disponibles
Limitation de limpression locale etdes disques
locaux

Identité du client
Nom NetBIOS
Appartenance à un domaine Windows
Adresse MAC
Configuration du client
Système dexploitation
Anti-Virus personnel
Pare-feu personnel
Navigateur
Zone réseau
Agent douverture de session
Méthode dauthentification
Scans personnalisés

Applications publiées
Accès fichiers et réseaux
Accès Web aux email
Sites Web (URLs)
Applications Web
Synchronisation dapplication et dEmail
Ressources réseaux (VPN)

70
Scenarii daccès Accès depuis un hôtel
Applications Citrix
Portable dentreprise
Access Gateway
Advanced Access Control
Serveurs dEmail
PDA
Pare-feu
Pare-feu
Serveurs Web et App
Internet

Téléchargement et accès à linformation
Téléchargement local
Téléchargement en mémoire
Accès depuis des applications publiées
Visualisation HTML
Édition et sauvegarde des changements
Sauvegarde local
Sauvegarde réseau
Sauvegarde interdite
Impression
Impression locale
Impression vers des imprimantes prédéfinies
Impression interdite
Applications publiées

Ordinateur de maison
Serveurs de fichiers
Ordinateurs et téléphones
Ordinateur du partenaire
71
Scenarii daccès Accès depuis la maison
Applications Citrix
Portable dentreprise
Access Gateway
Advanced Access Control
Serveurs dEmail
PDA
Pare-feu
Pare-feu
Serveurs Web et App
Internet

Téléchargement et accès à linformation
Téléchargement local
Téléchargement en mémoire
Accès depuis des applications publiées
Visualisation HTML
Édition et sauvegarde des changements
Sauvegarde local
Sauvegarde réseau
Sauvegarde interdite
Impression
Impression locale
Impression vers des imprimantes prédéfinies
Impression interdite
Applications publiées

Ordinateur de maison
Serveurs de fichiers
Ordinateurs et téléphones
Ordinateur du partenaire
72
Planifier la Migration

Les nouvelles fonctionnalités des produits Access
Gateway et Advanced Access Control doivent faire
lobjet dune étude darchitecture avant leur
implémentation
Architecture cible Access Gateway intégré à
Advanced Access Control
Architecture Access Gateway en tant que VPN
stand alone
Architecture SmartAccess
Laccès utilisateur peut être perturbé pendant la
migration, une gestion du changement doit être
mise en place
La migration doit être découpée en phases
autonomes

73
Stratégie de Migration
Migrer vers Access Gateway et Advanced Access
Control 4.2

Scenario I Mise à jour de MSAM vers AAC
Scenario II Acquisition de AG 4.2 sans AAC
Scenario III Acquisition de AG 4.2 avec AAC
Scenario IV Mise à jour de AG avec Secure
Gateway vers AG 4.2 avec AAC
Scenario V Mise à jour de AG (inclus dans
Access Suite) vers AG avec AAC 4.2
Scenario VI Mise à jour de AG 4.x vers AG 4.2
avec AAC

74
Scenario I Migration de MSAM 2.x vers AAC 4.0
Fichier de licence Access Suite ou mise à jour

Si le client possède les licences Access Suite,
il migre ses licences en 4.0sur le site
MyCitrixSi le client possède des licence MSAM,
il migre ses licences en Advanced Access Control

Si le client possède les licences Access Suite,
il migre ses licences en 4.0sur le site
MyCitrixSi le client possède des licence MSAM,
il migre ses licences en Advanced Access Control
Le client télécharge le fichier de licence sur le
serveur de licence Citrix

75
Scenario II Nouvelle acquisition AG 4.2 sans AAC
fichier de licence AG

Le client acquière le boîtier Access Gateway via
un revendeur et acquière les licences Access
Gateway. Le fichier de licences est disponible
sur le site myCitrix pour être installé sur les
boîtiers.

Le client acquière le boîtier Access Gateway via
un revendeur et acquière les licences Access
Gateway. Le fichier de licences est disponible
sur le site MyCitrix pour être installé sur les
boîtiers.
Le fichier de licences doit être généré pour le
FQDN du boîtier comme nom du serveur de licences.
Pas de serveur de licence requis. Loutil
dadministration du boîtier doit être utiliser
pour importer le fichier de licences.

Téléphones IP
76
Scenario III Nouvelle acquisition AG 4.2 avec
AAC
Fichier de licence AGAAC

Le client acquière le boîtier Access Gateway via
un revendeur et acquière les licences bundle
Access Gateway Advanced Access Control. Le
fichier de licences est disponible sur le site
myCitrix pour être installé sur le serveur de
licences Citrix.

Le client acquière le boîtier Access Gateway via
un revendeur et acquière les licences bundle
Access Gateway Advanced Access Control. Le
fichier de licences est disponible sur le site
MyCitrix pour être installé sur le serveur de
licences Citrix.
Le fichier de licences doit être généré pour le
FQDN du serveur de licence comme nom du serveur
de licences.

Téléphones IP
77
Scenario IV Migration AAC 4.0 avec Secure
Gateway vers AG 4.2 avec AAC
Fichier de licence AGE bundle

Le client acquière les licences bundle Access
Gateway Advanced Access Control ou les licences
Access Suite. Le fichier de licences bundle AGE
est disponible sur le site myCitrix pour être
installé sur le serveur de licences Citrix.

Le client acquière les licences bundle Access
Gateway Advanced Access Control ou les licences
Access Suite. Le fichier de licences bundle AGE
est disponible sur le site MyCitrix pour être
installé sur le serveur de licences Citrix.
Après la mise à jour vers AAC 4.2, Le client
acquière le boîtier Access Gateway via un
revendeur . Il suffit de remplacer Secure Gateway
par Access Gateway. Pas de changement de licences
requis.

78
Scenario V Migration de AG (avec Licence Access
Suite) vers AG AAC 4.2
Fichier de licence AGE
Fichier de licence AGE
Fichier de licence AGE

Initialement Le client possède les licences
Access Suite ou un bundle Access Gateway
Advanced Access Control mais utilise seulement AG
pour un accès VPN. Il a téléchargé le fichier de
licences sur lAG.

Initialement Le client possède les licences
Access Suite ou un bundle Access Gateway
Advanced Access Control mais utilise seulement AG
pour un accès VPN. Il a téléchargé le fichier de
licences sur lAG.
Par la suite le client décide de déployer AAC
4.2.

Initialement Le client possède les licences
Access Suite ou un bundle Access Gateway
Advanced Access Control mais utilise seulement AG
pour un accès VPN. Il a téléchargé le fichier de
licences sur lAG.
Par la suite le client décide de déployer AAC
4.2.
Le client doit modifier le fichier de licences
par rapport au nom du serveur de licences sur le
site Mycitrix et ensuite télécharger ce nouveau
fichier de licences sur le serveur de licences.

79
Scenario VI Migration dAG 4.x vers AG AAC 4.2
Fichier de licence mise à jour AAC
Fichier de licence AG
Fichier de licence AG
Fichier de licence AG

Le client acquière le boîtier Access Gateway et
les licences AG. Il obtient un fichier de
licences sur le site Mycitrix et linstalle sur
lAccess Gateway.

Le client acquière le boîtier Access Gateway et
les licences AG. Il obtient un fichier de
licences sur le site Mycitrix et linstalle sur
lAccess Gateway.
Le client acquière AAC 4.2 et met à jour les
licences pour AAC. Il obtient des licences de
mise à jour sur le site Mycitrix.

Le client acquière le boîtier Access Gateway et
les licences AG. Il obtient un fichier de
licences sur le site Mycitrix et linstalle sur
lAccess Gateway.
Le client acquière AAC 4.2 et met à jour les
licences pour AAC. Il obtient des licences de
mise à jour sur le site Mycitrix.
Le client doit demander un nouveau fichier de
licences correspondant au nom du serveur de
licences et télécharger ce fichier sur le serveur
de licences. Il doit aussi télécharger le fichier
de licences correspondant à la mise à jour sur le
serveur de licences

80
Chemin de Migration
Migrer vers Access Gateway et Advanced Access
Control 4.2

Migration de MSAM 2.x vers AAC 4.0
Migration depuis AAC 4.0
Migration vers Access Gateway
Migration depuis AG vers AAC 4.2

81
1) Migration de MSAM 2.x vers AAC 4.0

Migrer le serveur de licences en version 4.0
Type dinstallation AAC supporté
Nouvelle installation AAC 4.0
Mise à jour depuis MSAM 2.x avec perte de la
configuration
Mise à jour depuis MSAM 2.x avec migration des
données

82
2) Migration de MSAM 2.x vers AAC 4.0

Mise à jour depuis MSAM 2.x avec perte de la
configuration
Mettre à jour le state serveur en laissant les
options par défaut lors de linstallation
dAccess Gateway Enterprise
Mise à jour depuis MSAM 2.x avec migration des
données
Méthode manuelle non recommandée (Cf. document
Citrix_Access_Gateway_Enterprise_Upgrade_Guide.pdf
)
Méthode automatique

83
3) Migration de MSAM 2.x vers AAC 4.0

Mise à jour depuis MSAM 2.x avec migration des
données automatique
Sur le state serveur MSAM 2.x lancer lutilitaire
Msam2xmigration.exe. Ne pas renommer le fichier
résultat Msam2x.cab
Installer un serveur AAC 4.0
A la fin de linstallation dAAC 4.0,
lutilitaire de configuration du serveur se lance
automatiquement. Choisir Migrate 2.x Data to new
Access Server Farm
Mettre à jour les serveurs secondaires (Web,
Agent, etc)
Les Centres daccès MSAM 2.x en accès anonymes ne
sont plus supportés. On doit définir les
utilisateurs pour le rôle Guest.
Les personnalisations des CDA sont perdues lors
de la migration

84
4) Migration de AAC 4.0 vers AAC 4.2
Utilisateurs locaux
Applications Citrix
Portable dentreprise
Advanced Access Control
Serveurs dEmail
PDA et Smart Phone
Pare-feu
Pare-feu
Serveurs Web et App
Internet
Ordinateur à la maison

Mettre à jour les serveurs AAC 4.0 vers
4.2.Mettre à jour la console Access Suite

Mettre à jour les serveurs AAC 4.0 vers
4.2.Mettre à jour la console Access Suite
Configurer les nouveaux boîtiers Access Gateway
4.2.

Mettre à jour les serveurs AAC 4.0 vers
4.2.Mettre à jour la console Access Suite
Configurer les nouveaux boîtiers Access Gateway
4.2.
Remplacer les serveurs Secure Gateway par les
nouveaux boîtiers.Modifier la configuration

Serveurs de fichiers
Ordinateurs et téléphones
Ordinateur des partenaires
85
Migration vers Access Gateway 4.2 sans Advanced
Access Control

Planifier la migration.

Planifier la migration.
Configurer les nouveaux boîtiers en mode stand
alone .

Planifier la migration.
Configurer les nouveaux boîtiers en mode stand
alone .
Inclure les nouveaux boîtiers dans larchitecture.

Téléphones IP
86
Migration de AG 4.x vers AG avec Advanced Access
Control 4.2
Utilisateurs locaux
Applications Citrix
Portable dentreprise
Access Gateway
Advanced Access Control
Serveurs dEmail
PDA et Smart Phone
Pare-feu
Pare-feu
Serveurs Web et App
Internet
Management Console
Ordinateur à la maison
Serveurs de fichiers

Planifier la gestion du changement.

Planifier la gestion du changement.
Installer les serveurs AAC 4.2.configurer la
ferme AAC 4.2.

Planifier la gestion du changement.
Installer les serveurs AAC 4.2.configurer la
ferme AAC 4.2.
Mettre à jour les boîtiers Access Gateway en 4.2.

Planifier la gestion du changement.
Installer les serveurs AAC 4.2.configurer la
ferme AAC 4.2.
Mettre à jour les boîtiers Access Gateway en 4.2.
Configurer les boîtiers en mode AAC.

Ordinateurs et téléphones
Ordinateur des partenaires
87
Intégration avec Web Interface
Migrer vers Access Gateway et Advanced Access
Control 4.2

Fonctionnalités
Architecture
Intégration avec la page par défaut dAAC
Astuces de configuration dAAC

88
Intégration avec Web Interface fonctionnalités
Utilisateurs locaux
Web Interface 4.2
Advanced Access Control
Pare-feu
Pare-feu
Portable dentreprise
Internet
Batterie Citrix Presentation Server
Offre aux utilisateurs finaux un accès inégalé
aux applications publiées
Permet un control avancé de laccès aux
applications publiées
89
Intégration avec Web Interface Architecture

Web Interface 4.2 est nécessaire pour
lintégration avec Advanced Access Control
Permet de montrer un sous ensemble dapplications
publiées à lutilisateur suivant les filtres et
les polices
Permet lutilisation ou non les canaux virtuels
ICA suivant les filtres et les polices
Web Interface 4.0 ne prend pas en compte les
filtres AAC et les polices
Web Interface 4.2 nécessite linstallation dun
patch pour la console Access Suite
ASC400W004.msp
Intégration des applications publiées dans la
page de navigation dAAC
Les applications publiées peuvent être intégrées
dans une page séparée

90
Intégration avec NavUI dAAC
91
Astuces de Configuration dAAC

Une seule ressource Web Interface 4.2 doit être
configurée avec loption Publish this
resource pour un utilisateur donné
Par rapport aux autres types de ressources Web,
dans le cas de Web Interface 4.2, loption
Publish consiste à inclure le frame Web
Interface 4.2 dans la page de navigation par
défaut
Si plusieurs sites Web Interface 4.2 sont
nécessaires pour un utilisateur, on doit alors
utiliser des liens vers dautres pages pour
permettre cette intégration

92
Accès Virtual Private Network
Migrer vers Access Gateway et Advanced Access
Control 4.2

Client VPN
Ressources Réseaux
Gestion des Accès VPN
Scans Continus
Filtres Scans Continus
Retour à un Accès sans Client Secure Access

93
Client VPN

Les clients MSAM Gateway et Advanced Gateway ne
sont plus supportés
Le client Citrix Secure Access est déployé et
activé quand les conditions daccès VPN sont
satisfaites
Ressources Réseaux définies
Lutilisateur a accès à des ressources réseaux
Les polices de connexions sont définies
Lutilisateur répond aux critères des polices de
connexion
En mode AAC, licône du bureau lance Internet
Explorer et se connecte au point de logon (Logon
Point)

94
Ressources Réseaux

Une ressource réseau est définie par une ou
plusieurs adresses IP, sous réseau ou FQDNs
La ressource pré définie intitulée Entire
Network peut être utilisée pour donner accès à
lensemble des réseaux
Les accès sont contrôlés via les polices comme
nimporte quels autres types de ressources

95
Gestion des Accès VPN

Les technologies utilisées pour les ressources et
polices VPN en mode stand alone sont
utilisées pour les scans continus en mode AAC
Pas déquivalent des polices dapplication en
mode AAC

96
Scans Continus

Sapplique uniquement aux connexions via le
client Secure Access
La connexion VPN est suspendue dès que les
conditions de connexion sont interrompues
Lanalyse des points de terminaison par
comparaison est uniquement effectuée durant le
processus de logon

97
Filtre Scans Continus

Combinaisons de scans dans des expressions
logiques
Seuls les scans liés à des processus sont
continus

98
Retour à un Accès sans Client Secure Access

Au cours de linitialisation dune session
lAccess Gateway détermine la présence du client
Secure Access sur le poste qui tente de se
connecter
Si le client Secure Access est présent le client
se connecte en utilisant le FQDN interne dAAC
(connexion VPN, scans continus, etc)
Si le client Secure Access nest pas présent, le
mode sans client dAccess Gateway est activé.
Dans ce mode, lAccess Gateway agit comme un
reverse proxy pour les ressources AAC

Intéressant à connaître!A essayer!
99
Citrix Les services complémentaires

Citrix Consulting Services
Formation Citrix
Support Technique Citrix
Informations Supplémentaires

100
Citrix Consulting Services Objectifs

Maintenir un haut niveau dinteractivité avec les
grands intégrateurs du marché
Transmettre le savoir faire et les design
consideration auprès de nos clients et
partenaires en relation avec les architectes
Citrix du Corporate Consulting
Participer à une démarche proactive dans le cadre
de déploiements complexes
Répondre à la demande croissante des clients en
terme de projet Access Suite

101
Citrix Consulting Services Démarche

Citrix Consulting élabore des architectures à
partir dune démarche projet précise

102
Citrix Consulting Services Démarche

ENVIRONNEMENT de TESTS
Automated Build
Intégration d Applications
Accès sécurisé
Tests de montée en charge
DEPLOIEMENT
Pilote
Implémentation

ANALYSE
Infrastructure assessment
Access Strategy Assessment
Audit
Proof of concept
DESIGN
Architecture
Opération
Support

103
Formations Citrix Qualité et rentabilité

Les formations Citrix
vous apportent les connaissances techniques
approfondies et le savoir-faire pratique pour
concevoir, déployer, administrer et supporter les
solutions Citrix avec compétence, efficacité et
fiabilité.
Les supports de cours officiels
et les tests Prometric sont développés et mis à
jour en permanence par Citrix, en même temps que
les produits.
Les centres CALC (Citrix Authorized Learning
Centers)
Reconnus, supportés et régulièrement re-certifiés
par Citrix, seuls les CALC sont autorisés à
dispenser les cours officiels.
Les formateurs CCI (Citrix Certified
Instructors)
Formés et certifiés par Citrix, ils complètent la
plupart du temps leur expérience par des
activités de prestation sur le terrain.
En aidant les clients à tirer le meilleur parti
de leur architecture Citrix, la formation
contribue à améliorer le retour sur
investissement

104
Formation Citrix Cursus de formation
Analyse Conception Pilote / Test
Déploiement Maintenance
Administration (CCA Citrix Certified
Administrator) Préparation des ingénieurs
avant-vente/après-vente, des administrateurs
systèmes et réseaux aux tâches indispensables de
déploiement et configuration du serveur et des
postes clients Advanced Administration (CCEA
Citrix Certified Enterprise Administrator) Pour
les administrateurs système à léchelle de
lentreprise Lexploitation approfondie dun
projet Citrix avec le maquettage, le déploiement,
le support/troubleshooting avancés Architecture
(CCIA Citrix Certified Integration
Architect) Architectes, consultants, chefs
projets, intégrateurs, développeurs Etapes
préalables à la vente dans un projet Analyse,
design
105
Les Formations Citrix Access Suite
Formations Administration
Password Manager 4.0
Access Gateway 4.2
Presentation Server
Presentation Server 3.0 Administration
CTX-1223AI 5 jours
Presentation Server 4.0 màj. des compétences de
XP/3.0 vers 4.0 CTX-1256SUW 2/3 jours
Presentation Server 4.0 Administration CTX-1256
4 jours
Password Manager 4.0 administration CTX-1326 2
jours
Access Gateway Administration (Dispo. Novembre
2005) CTX-1306 - 2 jours
Formations avancées 4.0
Formations avancées 3.0
Formations Architecture
Presentation Server 3.0
Access Suite 4.0
Pres. Server 4.0
MetaFrame XP
Architecture - CTX-6100 - 3 jours
Troubleshooting P.S. 3.0 enterprise
environments CTX-1252AI 2 jours
P.S. 3.0 Management Maintenance CTX-1251AI 3
jours
Citrix Access Suite Build Test Workshop
(Dispo. Q1 2006) CTX-1456 (1 jour) o 1Y0-456
Citrix Presentation Server 4.0 Support (Dispo.
Q1 2006)CTX-1258 (3 jours) o 1Y0-258
Web security integration CTX-6102 2 jours
Application integration CTX-6101 3 jours
Methodology - CTX-6103 - 1 jour
106
Le Support Technique Citrix

Support technique 353 18 05 5000 si
Problème dactivation de licence (gratuit)
Problème technique (agrément nécessaire)
Tous nos partenaires officiels disposent dun
accès au support
Contrat de support technique (directement avec
Citrix)
Preferred 25
25 incidents/an, 1 région
Preferred Extend
50 incidents/an, 1 région 247
Preferred Plus standard
50 incidents/an, 1 région TRM nommé
Preferred Extend
75 incidents/an, 1 région 247 TRM nommé
Nota voir avec votre commercial pour un contrat
de support, condition de formation technique
minimum pour accès au support Citrix.