Jump to content

Netzwerklaufwerke vom Client verbinden - CITRIX


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Standardmäßig werden die Lokale Laufwerke vom Client auf dem CITRIX-Server verbunden ... das funktioniert auch gut !

 

Die Daten laufen meines Wissens über die ICA-Verbindung.

 

Ist es auch möglich ein lokales Netzwerklaufwerk auf dem CITRIX-Server darzustellen??

 

 

Zusatz Infos:

Der CITRIX-Server auf dem das lokale Netzwerklaufwerk erscheinen soll ist in der DMZ.

 

Natürlich könnte ich ein normales Mapping mit z.B. „net use“ erzeugen aber ... dazu müsste ich auf meiner Firewall weitere Filter-Löcher bohren, damit währe die Sicherheit von meinem Internen Netz zusätzlich gefährdet und der Sinn und Zweck einen Server in die DMZ zu stellen währe auch dahin.

 

Ziel ist es den CITRIX-Server (der sehr offen ist) in der DMZ so weit wie möglich gegen das Interne Netz (Privat) abzuschotten ... am liebsten möchte ich nur das ICA-Protokoll durchlassen. Über diese ICA-Protkoll soll auf die Netzwerkdaten zugegriffen werden wie es auch bei den Lokalen Laufwerke (Clientlaufwerke verbinden) möglich ist

 

Primäre Clients sind AIX/ Unix Maschinen die sich über Novell auf dem CITRIX-Anmelde-Server (Intern) über Novell anmelden. Dort bekommen die User auch die gewünschten Netzwerklaufwerke auf dem sich auch die sensiblen Projektspezifischen PC-Daten befinden.

Von diesem Internen CITRIX-Server wird ein ICA-Client mit einem fest vorgegebenen Benutzer gestartet, der die Applikationen auf dem CITRIX-Server, im Unsicheren-DMZ-Netz startet. ... das funktioniert wirklich gut !

 

 

Danke

SideKick (Lothar Schmidberger)

 

 

 

Was habe ich:

 

Drei Citrix-Server im Internen Netz (Farm1)

Load balance

Novell Benutzerverwaltung

 

Ein Citrix-Server in der DMZ (Farm2)

Ohne Benutzerverwaltung (ein lokaler Benutzer für alle)

 

90 Unix-User

80 PC-User

 

CITRIX Presentation Server 3.0

OS = Windows 2000 Server

Link zu diesem Kommentar

Hi !

Das kommt jetzt sicher auf die Citrix-Client-Implemention der einzelnen Betriebssysteme an.

 

Bei einem Windows-Client geht das definitiv, sich ein am Client gemapptes Laufwerk über ICA in die Sitzung zu holen - ist ja auch relativ einfach, da mit Laufwerksbuchstaben operiert werden kann.

 

Mit dem net use l: \\client\n$ würdest Du über das ICA-Protokoll das N:-Laufwerk des Clients als L:-Laufwerk in der Sitzung holen. Wie das bei Unix -Systemen gelöst ist, weiß ich nicht mangels Unix. Schau doch einfach mal in der Netzwerkumgebung->Clientnetzwerk, was Dir da angezeigt wird !

Link zu diesem Kommentar

Wenn ich Dich richtig verstehe, möchtest Du auf dem Citrix-Server in der DMZ ein Netzlaufwerk einrichten, daß sich auf einem Server im LAN befindet.

 

Dies ist IMHO nur über die von Dir ausgeschlossene Option des "net use" bzw. über "Netzlaufwerk verbinden" (= buntes net use) am gewünschten Server möglich. Der Port 1494 dient zur Kommunikation zwischen Client und Server.

 

Eine Möglichkeit wäre jedoch, alle CS in das Lan zu stellen und über einen Webserver in der DMZ, SecureGateway f. MetaFrame und das Webinterface die Anwendungen verfügbar zu machen.

 

Damit steht kein Anwendungsserver mehr in der DMZ und der Zugang ist nur mehr über einen von Dir definierten Port möglich.

 

Du müsstest Dich jedoch schlau machen, ob dieses Szenario unter einer früheren Version als Metaframe XPx FR3 realisierbar ist.

 

Gruss

Alfred

Link zu diesem Kommentar

Hallo,

 

Antwort zu Beitrag 2 ...

 

Bei einem Windows-Client geht das definitiv, sich ein am Client gemapptes Laufwerk über ICA in die Sitzung zu holen - ist ja auch relativ einfach, da mit Laufwerksbuchstaben periert werden kann.

 

Ich bekomme, ohne dass ich etwas mache, alle lokalen Laufwerke über das ICA-Protokoll verbunden ....

 

Aus der CITRIX - DOKU:

Der Citrix ICA-Client unterstützt das Zuordnen von Geräten auf Client-Computern, so daß sie dem Benutzer in einer ICA-Sitzung zur Verfügung stehen.

Es wird keine Netzwerk- oder RAS-Verbindung für die ICA-Client-Gerätezuordnung benötigt.

 

... nicht aber die vom Client gemäppten Netzwerklaufwerke ?? .... auch nicht wenn ich (nur zum Test) mich mit einem W2K-Client auf einem W2K-Server mit Terminal Services über ICA anmelde.

 

Mit dem net use l: \\client\n$ würdest Du über das ICA-Protokoll das N:-Laufwerk des Clients als L:-Laufwerk in der Sitzung holen. Wie das bei Unix -Systemen gelöst ist, weiß ich nicht mangels Unix. Schau doch einfach mal in der Netzwerkumgebung->Clientnetzwerk, was Dir da angezeigt wird !

 

In einem homegenen Netzwerk ohne FireWall stimmt das .....

  • Jedoch ist der CITRIX-Server in der DMZ

  • Jedoch habe ich eine FireWall

 

  • In einem homegenen Samba / MS-Netz würde ein Filterloch reichen, das das CIFS-Protokoll (glaube ich) duchlässt.

  • Die Daten sind aber auf einem Novell-Server, dort bräuchte ich ein Filterloch für die Benutzeranmeldung und noch mal eins für das verbinden der Laufwerke. Somit hätte ich das Tor von dem unsicheren DMZ-Netz in das Interne-Netz (mit unseren Sensiblen Daten) weit geöffnet. Ich habe die Aufgabe von unserem Netzwerk-Spezialisten bekommen diese dringlichst zu vermeiden

 

Mit dem net use l: \\client\n$ würdest Du über das ICA-Protokoll das N:-Laufwerk des Clients als L:-Laufwerk in der Sitzung holen. Wie das bei Unix -Systemen gelöst ist, weiß ich nicht mangels Unix. Schau doch einfach mal in der Netzwerkumgebung->Clientnetzwerk, was Dir da angezeigt wird !

 

Ich habe in der Netzwerkumgebung nachgeschaut ... dort bekomme ich nur die Computer in dem gleichen Subnetz (DMZ)

Wenn ich net use verwende kann ich wenn ich die Firewall aufmache einen Server im Internen Netz Mappen. Dieser net use verwendet "microsoft-ds / CIFS" und benötigt den Port 445.

Selbst dies würde mich nicht weiterhelfen da ich meine Daten auf einem Novell Server habe.

Zudem habe ich die Aufgabenstellung bekommen nur das ICA-Protokoll (Port 1494) durch die FireWall (Novel -Bordermanager) durchzulassen.

 

mfg. SideKick (Lothar Schmidberger)

Link zu diesem Kommentar

Hallo,

 

Wenn ich Dich richtig verstehe, möchtest Du auf dem Citrix-Server in der DMZ ein Netzlaufwerk einrichten, daß sich auf einem Server im LAN befindet.

 

J a, richtig :)

 

Dies ist IMHO nur über die von Dir ausgeschlossene Option des "net use" bzw. über "Netzlaufwerk verbinden" (= buntes net use) am gewünschten Server möglich. Der Port 1494 dient zur Kommunikation zwischen Client und Server.

 

geht also nicht ... schade :(

 

Eine Möglichkeit wäre jedoch, alle CS in das Lan zu stellen und über einen Webserver in der DMZ, SecureGateway f. MetaFrame und das Webinterface die Anwendungen verfügbar zu machen.

 

Damit steht kein Anwendungsserver mehr in der DMZ und der Zugang ist nur mehr über einen von Dir definierten Port möglich.

 

Die Applikationen die ich auf den CITRIX-Server betreibe sind Clients die auf PDM-Systeme von unseren Kunden (Automobielindustrie) zugreift. Diese PDM-Systeme benötigen eine ganze Menge an offene Ports und diversen Protokolle, so das ich diese unmögliich in das Interne Netz nehmen kann.

 

OK, ein SecureGateway (ohne das ich ihn richtig kenne) währe mit sicherheit eine Option ...

Mit welchem Aufwand und Kosten ist die verwirklichung des SecureGateway verbunden ?

Gibt es keine einfachere Lösung ?

 

Du müsstest Dich jedoch schlau machen, ob dieses Szenario unter einer früheren Version als Metaframe XPx FR3 realisierbar ist.

 

Ich habe auf auf alle Server "CITRIX Presentation Server 3.0"

 

mfg. SideKick (Lothar Schmidberger)

Link zu diesem Kommentar

Ich habe in der Netzwerkumgebung nachgeschaut ... dort bekomme ich nur die Computer in dem gleichen Subnetz (DMZ)

 

Mmh, den PresentationServer haben wir noch nicht, mit MF XP hab ich unter "Gesamtes Netzwerk" MS-Netzwerk, Novell-Netzwerk (wenn ein NW-Client eingebunden ist) und Clientnetzwerk.

In diesem Clientnetzwerk befindet sich nur meine Client-WS mit den gemappten Laufwerken, die ich auch in der Sitzung erreichen kann. Das können MS-Shares oder NW-Shares sein.

 

Da der gesamte Zugriff über das ICA-Protokoll ( !! ;) ) läuft, wird mit den Userrechten des lokal am Client angemeldeten User auf die Shares zugegriffen. Deshalb ist auch keine erneute Authorisierung nötig.

 

Das ist ein SuperFeature - ich kann mir nicht vorstellen, daß es gerade dieses Feature beim Nachfolger nicht mehr geben soll.

 

Es kann natürlch sein, daß dies auf Deinem Server oder Client verboten ist, dann gibt es diesen Punkt "Clientnetzwerk" nicht.

Link zu diesem Kommentar

Hallo zuschauer,

ja hab ihn auch so gefunden - hab schon etwas länger zugeschaut ;) :D

 

@SideKick

Vergiß das mit den Client-Laufwerken. Was Du willst soll ja mit Clients im I-NET funktionieren und die dürften keine internen Netzlaufwerke verbunden haben - also können auch keine passenden Netzlaufwerke verbunden werden :rolleyes: . Mach die Lösung mit dem Citrix Web Interface und dem Citrix Secure Gateway wie von Wurzel vorgeschlagen. Technisch brauchst Du dazu 2 Server mit W2k3 Server (Web Edition reicht), zwei offizielle IP-Adressen und zwei offizielle Web-Server-Zertifikate (1*WebInterface, 1* CSG) und natürlich die Citrix-Software. Die Secure Ticket Authority (STA) kann auch auf einen existierenden Server im LAN gepackt werden. Für die Konfiguration kannst Du 1-2 Tage einplanen, wenn keine Vorkenntnisse vorhanden sind +1 Tag ;)

Link zu diesem Kommentar

Hallo,

 

erstmal vielen dank für die Hilfe.

 

Mmh, den PresentationServer haben wir noch nicht, mit MF XP hab ich unter "Gesamtes Netzwerk" MS-Netzwerk, Novell-Netzwerk (wenn ein NW-Client eingebunden ist) und Clientnetzwerk.

In diesem Clientnetzwerk befindet sich nur meine Client-WS mit den gemappten Laufwerken, die ich auch in der Sitzung erreichen kann. Das können MS-Shares oder NW-Shares sein.

 

Da der gesamte Zugriff über das ICA-Protokoll ( !! ) läuft, wird mit den Userrechten des lokal am Client angemeldeten User auf die Shares zugegriffen. Deshalb ist auch keine erneute Authorisierung nötig.

 

Das ist ein SuperFeature - ich kann mir nicht vorstellen, daß es gerade dieses Feature beim Nachfolger nicht mehr geben soll.

 

Es kann natürlch sein, daß dies auf Deinem Server oder Client verboten ist, dann gibt es diesen Punkt "Clientnetzwerk" nicht.

Wenn ich in der Managementkonsole für MetaFram die Richlinien „Remotelaufwerk deaktivieren“ aktiviere sehe ich tatsächlich alle MS-Shares und NW-Shares im Clientnetzwerk :)

Mit z.B. CHANGE CLIENT E: E: kann ich tatsächlich ein Netzwerklaufwerk vom Client einem Laufwerk vom Server zuordnen.

 

 

Wie ist denn das Clientlaufwerksmapping eigestellt (ICA-Listener, Citrix- und AD-Policies)?

Eine AD-Policies habe ich nicht! Ich verwalte die Policies an jedem Server einzeln.

 

In der Citrix-Policies habe ich schon einen kleinen Fehler gefunden und korrigiert (siehe oben)

 

ICA-Listener für UDP, IPX, NetBios und Broadcast habe ich Testweise eingeschaltet, hat aber leider nichts gebracht

 

Hier meine Ursprüngliche Idee :)

 

Meine Unix-User logen sich mit Novell auf eine Citrix-Farm im internen Netz ein und bekommen somit alles was sie benötigen (eMail, Dateizugriff, Drucken usw.) dies funktioniert auch super :).

 

Wie weiter oben schon erwähnt, haben wir auch Unternehmenskritische Software, bei der man die FireWall extrem weit öffnen muß ... somit bekam ich die Anweisung diese Software auf einen seperaten Citrix-Server in der DMZ zu installieren. Ich soll auch nur so viel wie nötig an Filter ins Interne Netz für die FireWall verwenden.

 

Das ICA-Protokoll kann Lokale und wie ich mittlerweile mit Hilfe von Zuschauer und KlausK weis, auch gemäppte Netzlaufwerke mit einem ICA-Port (1494) perfekt ansprechen.

 

Nun dachte ich mir ich konfiguriere eine Citrix-Verbindung vom Internen Server mit dem Citrix-Client (Port 1494) zu dem Citrix-Server in der DMZ (Client im Client). Die funktioniert bis auf einem Punkt perfekt. Die Applicationen laufen super schnell und stabil. Ich benötige nur ein Port :). Die Lokale Laufwerke werden auch performant durch beide Clients verbunden.

 

Die Lokal gemäpten Netzlaufwerke bekomme ich jedoch nicht wenn ich einen Client im Client mache. Wenn ich den Server vom Internen Netz mit einem Client direkt anspreche funktioniert alles perfekt.

 

Wenn ich auf einem Citrix-Server (intern) wiederum mit einem Citrix-Client auf einem anderen Citrix-Server (DMZ) zugreife werden die Lokale Lauferke von der Wokstation verbund. Ich muss auch UNIX-Clients (90) mit Office-Produkte versorgen , die widerum nur über den Citrix-Server im Internen Netz auf die Novell-Verzeichnisse zugreifen können.

 

Super währe (Ziel): Auf dem Citrix-Server in der DMZ sollen die gemäppten Netzwerklaufwerke vom Citrix-Server aus dem Internen Netz erscheinen. Genau so wie es sich mit einer mormalen Client-Server-Verbindung verhält.

 

mfg. SideKick (Lothar Schmidberger)

Link zu diesem Kommentar
@SideKick

Vergiß das mit den Client-Laufwerken. Was Du willst soll ja mit Clients im I-NET funktionieren und die dürften keine internen Netzlaufwerke verbunden haben - also können auch keine passenden Netzlaufwerke verbunden werden.

 

Mach die Lösung mit dem Citrix Web Interface und dem Citrix Secure Gateway wie von Wurzel vorgeschlagen. Technisch brauchst Du dazu 2 Server mit W2k3 Server (Web Edition reicht), zwei offizielle IP-Adressen und zwei offizielle Web-Server-Zertifikate (1*WebInterface, 1* CSG) und natürlich die Citrix-Software. Die Secure Ticket Authority (STA) kann auch auf einen existierenden Server im LAN gepackt werden. Für die Konfiguration kannst Du 1-2 Tage einplanen, wenn keine Vorkenntnisse vorhanden sind +1 Tag

 

Vielen Dank für die Infos, ich werde die Option auf jeden Fall (parallel) im Auge behalten .... und wie es derzeit ausschaut auch durchzien müssen.... !

 

mfg. SideKick (Lothar Schmidberger)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...