Nieuw in VMware 5.0 en XenApp 6.5

Tijdelijke opname wat ik nieuw vond op 04-03-2012

VMware Vsphere: Install, Configure, Manage

syslog server van vmware op de vc is nu mogelijk
vCLI rechtstreeks of via de vcenter server zie http://www.vmware.com/go/powercli
vMA --> voor de cli op de esx-host zelf

na installatie van esx 5i is de login root en default geen ww.

virtuele netwerkkaarten
default is en blijft de vmxnet3

de e1000 is de default 64bit driver netwerkkaart, ondersteund vlan guest tagging

esx 5 = virtual machine version 8

Er is een vcenter server appliance, gebaseerd op max 5 esx5i servers met max 50 vm's als je op de interne database draait. Anders is een oracle of db2 datbase extern nodig.
default website draait op https://applicance:5480
beaconing om te kijken of er wel netwerkverkeer mogelijk is. Gaat verder dan link detection.

nfs storage gebruikt geen NLM (netwerk lock manager, standaard van nfs) maar een eigen lock mechanisme. knowledgebase artikel: 1008909

iscsi naamgevingsstandaard
iqn.jaar-maand(van domein registratie).com.mycompany:teststorage
iSCSI alias: teststorage
vmware iscsi port association
esxcli swiscsi vmnic list -d vmhba#
Bij gebruik van nfs - gebruik de "no_root_squash" bij het exporteren van het nfs volume --> root gebruiker blijft root gebruiker, wordt niet onderhuids een guest gebruiker.
vmware moet dus toegang hebben via de root user

Vsphere Storage Appliance
Lokale storage te gebruiken als centrale storage met automatische replicatie van data e.d. oftewel raid 1 over twee esxi hosts met local storage (via nfs).

Storage API / Backup
CBT (Change Block Tracking) als je dat aanzet op een vm en een powercycle geeft, houdt vmware bij welke datablokken wijzigen en welke gebackupt moeten worden. Dit is natuurlijk makkelijk voor incrimentele backups zonder backup client op de guest.
bij de .vmdk bestanden komt dan een <vmname>-ctk.vmdk bestand erbij.
Data recovery appliance
Dit is voor kleine en middel omgevingen.
per virtual center 10 data appliances, per data appliance 100 virtual machines.

Backup esxi host
vicfg-cfgbackup

Backup Virtual Center
stop vmware virtualcenter server
stop vmware vcmsds (adam database)
stop databases
backup ssl
backuip de vpxd.cfg file
knowlegdebase artikel 1023985 voor restore van de vcenter

Module 10 - kopieren voor performance issues
478 en verder.....

Citrix XenApp 6.5 Administration

Xenapp Servers: Session host only en Controllers

De eerste XenApp server die een farm bouwt, wordt automatisch controller (data collector en hosting van de xml broker)
Deze rol is te configureren met de XenApp server Configuration Tool (SCT).
Om deze rollen te verwijderen of toe te voegen, moet de server removed en rejoined worden aan de farm.
Best practice is om twee controllers te hebben in een farm, waarvan er dan eentje "preferred" datacollector wordt. Valt deze om, dan wordt er een nieuwe gekozen en deze is operationeel binnen 30 seconden.
Data collector election proces is te vinden in knowledgebase artikel ctx112525 op http://support.citrix.com.
Voor het electionprocess is een hostid belangrijk. Dit wordt randon gegenereerd, maar is te vinden via queryhr

De eerste server met de controller role binnen een zone wordt automatisch de zone collector
Na het verplaatsen van een server naar een andere zone is een reboot noodzakelijk voor hij applicaties accepteerd.

AppCenter is de neieuwe administrative tool voor XenApp. Appcenter doet alleen maar zijn werk als hij kan connecten naar een controller server tijdens het discovery process.

Licensing

De XenApp server mag, nadat hij een keer verbinding heeft gehad met de license server, maximaal 30 dagen verder draaien voordat hij weer een nieuwe licentie op moet halen.
Een gebruiker kost een licentie als hij connect naar de farm. Ook al opent hij meerdere applicaties, op meerdere servers.
Connect hij met dezelfde account vanaf een ander werkstation, is er weer een nieuwe licentie nodig. Dit geldt ook als de gebruiker connect naar verschillende XenApp servers die een andere editie draaien. (enterprise versus platinum e.d.)
License server voor XenApp 6.5 > 11.9
Op Microsoft nivo is er natuurlijk nog een client access license (CAL) en een Remote desktop services (RDS CAL) licentie nodig voor elk systeem dat connect.
Grace period Microsoft = 120 dagen
Citrix license server beheer site draait default op 8082, deze draait op apache en gelet moet worden op de eventuele windows firewall
De license server zelf op 27000 en 7279.
Om historisch te kijken wat he verbruik is, heb je een extra tool nodig
Citrix downloads website: Licensing > License Server 11.9 for windows, onder Applicaties zie de Citrix License Server Monitoring powered by Citrix EdgseSight. (free download)
installeren van de license server kan via de commandline via msiexec. Voor de commando's zie http://edocs.citrix.com
License files staan op %programfiles%\citrix\licensing\myfiles

Installatie XenApp

Installeren via de mps.msi
Op de cd/dvd staat een server role manager, deze moet gebruikt worden om de rollen te installeren op een XenApp server.
Rollen zijn:

Citrix License server
XenApp server
Webinterface Server
Single Signon server
Power and Capacaty management Administration
Edgesight Server
Provisioning Services

Tijdens installatie van een XenApp server worden op de "remote desktop users" groep rechten verleend om in te loggen. Het is dus zo dat een administrator, die geen lid is van "remote desktop users" niet kan inloggen.
Citrix Datastore en logging database encrytion is mogelijk, maar alleen via de CTXKEYtool command nadat alles geinstalleerd is.

Nieuw zijn de worker groups waar servers lid van kunnen worden. Dit zijn groepen van servers met een bepaalde taak. Als je de groep een andere naam geeft, valt alles wat er naar verwijst om. De groepsnaam heeft geen UID of iets dergelijks.

Webinterface 5.4

Settings voor de webinterface staan in webinterface.conf en de confg.xml. Als je deze backupt heb je voldoende.
Webinterface.conf staat in \inetpub\wwwroot\citrix\xenapp\conf\webinterface.conf
Na editen, is een restart van de webinterface niet nodig. Alles is gelijk aktief.
Redundancy: als je meerdere webinterfaces gemaakt hebt, kun je deze in de (elke) Citrix reciever ingeven. Load balancers e.d. zijn dan overbodig.
http://webinterface/m of /mobile voor de mobiele versie van de webinterface.

Citrix Pass-trough authentication
Dit "vinkje" moet natuurlijk aan staan op de webinterface, maar nog belangrijker, in de ica client oftewel de reciever moet dit ook aanstaan. Zie ICAclient.adm voor configuratie via de Group Policy Management console op http://edocs.citrix.com
De webinterface en de CenApp server communiceren via xml, als de authenticatie op de webinterface gebeurd, moet dit verkeer wel trusted zijn.
Hiervoor moet je de "Trust XML Requests" op enabled zetten in de (Citrix) Group Policy Management console.
Als je binnen de Web Interface Management Console kijkt, zie je daar alle servers staan waar de webinterface een xml connectie mee heeft. Deze moeten dan allemaal "trusted" worden gemaakt.
In de Citrix XenApp Security module gaan ze dieper in op de gateway alternate, gateway direct of gateway translated methodes.

Publishing Applications

Als een gebruiker een gepubliceerde applicatie open heeft, en er een andere bij opent, start deze applicatie binnen zijn reeds aanwezige sessie.
Dit heeft als voorwaarde dat alle settings van de applicatie hetzelfde moeten zijn. (Beeldscherm, kleuren, encryption level)
Heeft de server het te druk, (hoge load) dan wordt de applicatie automagisch opgestart op een andere server waar nog wel load vrij is. Dit heeft voorrang op de bovenstaande regel van twee applicaties binnen een sessie.
Sessions prelaunchen
Appcenter, Applications, selecteer een applicatie, other tasks, create pre-launch application from the actions pane. Hij start dan ctxprelaunch.exe

Citrix Streaming Profiler

Dit is de App-V (applicatie virtualisatie) van Cirix. Kan ook gebruikt worden voor niet-XenApp servers.
Eventuele offline plugin: %programfiles%\citrix\streaming client\
Offline cache: %programfiles%\citrix\radecache (Default cache size = 1G oftewel 5% van de diskspace als de disk groter is dan 20Gb.
Applicaties worden gemaakt via .profile bestanden. Als je een update maakt van een applicatie, moet je op de webserver waar de applicatie gepubiceert staat, de oude applicatie met de hand weggooien. Dit gebeurd niet automatisch.
Voor het koppelen van bijvoorbeeld outlook en acrobat reader, moet je de applicaties aan elkaar linken. Dit heet linked-profile, oftewel inter-isolation
Limieten voor Citrix Profiling: Citrix Knowledgebase 113304

Citrix Policies

Deze kunnen bewerkt worden met de GPMC - Group Policy Object Editor.
Deze staan op de volgende locatie: \\domain\SYSVOL\domain\policies\guid\machine of user\Citrix\GroupPolicy\policies.gpf
Policy refresh staat default op 90 minuten en kan versneld worden met een GPUpdate /force
Uitzonderingen op de RSOP (Resulting set of policy) zijn shadowing en encryption settings. Als je op GPO op de hele AD voor encryption minimaal op 128 bits, dan kun je deze in een adere GPO niet meer verlagen.
Er zijn wat voorbeelden vanuit Citrix meegeleverd, zoals een HighDefinition, High server load, Optimized for WAN en security. Deze worden verder beschreven op http://edocs.citrix.com.

Configuration Load Management

Calculating load with Load Manager zie citrix knowledgebase artikels ctx103653 en ctx105449 at http://support.citrix.com
Default load: (default setting staat tussen haakjes)
Contact switches:    hoeveelheid wisselingen van processen
Disk Data I/O:         32.767 kb/s default setting (0)
Disk Operations:      read and write cycles per second (100)
Load Throttling:      Impact van iemand die inlogt
Page Fault:            Memory to disk -> en daarna opvragen van deze data (2000)
Page Swap:             Memory to Page File --> en daarna opvragen van deze data (100)

Troubleshooting Load Management:
Load Balancing Diagnostic tool (lbdiag.zip) op citrix ctx124446 op http://support.citrix.com

Profile Management

Enable profile mangement door op citrix.com de profile management package te downloaden.

Install profile management on all XenApp servers
Create GPO for enable/disable profile management and link it to the OU that contains the XenApp Servers
Apply the .adm file included to the GPO
Configure ADM template for the .ini files. included in the profile management package using group policy en configureer de locatie van de store
Enable profile managemt using the group pol

Wat citrix eigenlijk doet is een eigen datastore maken met profielen, deze kopieren en bij het uitloggen de fingerprint controleren en kijken wat er gewijzigd is, en alleen dit wegschrijven.

Printing

Citrix printing is op verschillende manieren mogelijk.
Als de gebruiker een thin client heeft, maar toch wil printen, moet de ICA Client Printer Configuration tool (printcfg.exe) gepubliceert worden naar de gebruiker.
zie voor meer documentatie op http://edoc.citrix.com
Disable network printing door in de user policy de Printing > Client Printing > Direct connection to print servers op disabled te zetten.
Daarna gaat het printverkeer ook over het ica protocol, inclusief alle voordelen zoals compression en qos.
Gebruik de print managemt console (PMC) om de drivers van de printers te managen. Dit is een MMC snap in, die alleen geisntalleerd wordt als de Print and document services Role geinstalleerd is.
Download de WFAPI SDK als je meer wil weten over de bandbreedte van de printopdrachten:
http://community.citrix.com/display/xa/WinFrame+Application+Programming+Interface+SDK+%28WFAPI+SDK%29+4.5+Readme
Hiermee kun je ook voorrang van de virtuele kanalen instellen binnen het ica protocol.
Troubleshooting autocreation printerdrivers via ctx117008 op http://support.citrix.com
Mogelijkerwijs is het herstarten van de "Citrix Print Management Service" buiten kantooruren ook een oplossing. Dit wist namelijk alle "pending" jobs. Ook de hangende.

Securing XenApp

To configure SSL relay (beveiligd xml verkeer)

obtain ssl server certificat for each XenApp Server
Install root certificate from CA on each other device and webserver running webinterface.
configure the relau credentials connections and ciphersuites using ssl relay configuration tool
restart xenApp servers for the configurations to complete
Configure the webservers running webinterface to verify the signature of the CA on the server certificate
configure user devices so they can support 128 bit encryption, verify the signature of the CA in the server certificate, access netwerk traffic on the TCP listening port used by the Citrix XTE service. The default port is 443

Powershell

>Add-PSSnapin Citrix.XenApp.commands
>get-XAServer xa01

>get-help XA

Dos commando's

altaddr         specifies alternate address
app               runs application execution shell
auditlog         generates server logon/logoff reports
changeclient   change user device mappings
ctxkeytool      generates farm key for ima encryption
ctxxmls         changes the xml service port number
dscheck         validates the integrity of the farm data store
enablelb         enable the load balancing for servers that fail the load balancing tests
icaport         configures the tcp portnumber ised by the ica protocol on the server
imaport         changes the ima ports
query            display info about farms, processes and users
dsmaint         local host cache refresh

For more info on these commands see http://support.citrix.com/productdocs/.

Smartauditor

Soort van opname ding om alles wat de gebruikers doen, op te nemen.