Windows NT Terminal Server Edition

Kapitel 11: Citrix ICA - Erweiterte WTS-Funktionalitäten

Letzte Änderung: 18.10.98 von B. Tritsch

Die Idee des WTS ist, Windows-Programme auf einem Server zentral auszuführen. Von Terminal-Emulationen oder spezialisierten Clients kann dann auf diese Anwendungen zugegriffen werden. Als Clients werden gemeinsam mit WTS-Emulationsprogramme für Windows NT Workstation, Windows 95/98 und Windows für Workgroups ausgeliefert. Zudem können spezielle Windows-Terminals eingesetzt werden, wie sie beispielsweise von Herstellern wie NCD, Tektronix oder Wyse angeboten werden.

Das Microsoft-Protokoll RDP ist nicht immer die optimale Lösung, besonders wenn die Anwendungen stark graphikorientiert sind oder die Server als komplette Cluster konfiguriert werden sollen. Für die Kommunikation mit verschiedenen Clients entwickelte Citrix schon sehr früh das ICA-Protokoll (Independent Computing Architecture), das seine Stärken klar im Bereich schmalbandiger Netzwerke (z.B. über Modemverbindungen) hat. ICA ist jedoch nicht Gegenstand der Lizenzvereinbarungen mit Microsoft und bleibt daher zentraler Bestandteil der Citrix-Produktpalette. Die ICA-Client-Software kann auf DOS, 16-Bit-Windows, NetPCs, Terminals, Macintoshs, OS/2-Rechner, UNIX-Workstations und auf drahtlosen Stationen installiert werden. Besonders interessant ist die Möglichkeit einen ICA-Client als Java- oder ActiveX-Plug-in in einen WWW-Browser zu integrieren und darin die Windows-Applikationen ablaufen zu lassen. Damit sind ICA-Clients sehr viel flexibler einsetzbar als die entsprechende Microsoft-Lösung.

Installation der ICA-Unterstützung

Um die ICA-Unterstützung zu installieren, muß man sich zunächst als Administrator auf einer bestehenden Windows NT Terminal Server Edition anmelden. Danach kann das ICA-Setup durchgeführt werden.

Nach Einlegen der ICA-CD wird der Startbildschirm entweder automatisch geladen oder muß durch die Eingabe der Befehlszeile "v:\i386\autorun.exe" initiiert werden. Hierbei ist v der dem CD-Laufwerk zugeordnete Buchstabe.

Nach der Auswahl des Punktes "ICA-Setup" gelangt man zum Begrüßungsbildschirm.
Nach der Überprüfung, daß keine anderen Programme ablaufen, kann mit der Installation begonnen werden.
Zunächst werden Daten auf die Festplatte kopiert und einige Systemänderungen durch den Installationsprozeß durchgeführt.
Nun folgt die Eingabe der Lizenznummer in ein zugehöriges Dialogfenster. Diese Aktivität wird durch Informationen bezüglich der Lizenzbestimmungen beendet.
Zusätzliche Lizenzen (z.B. für das Load Balancing) können nun eingegeben werden.
Ein weiteres Dialogfenster erscheint, über das die Protokolle für die ICA-Verbindungen bestimmt werden können (TCP/IP, IPX oder NetBIOS). Als Standardeinstellung werden alle Protokolle ausgewählt, die auf dem WTS schon konfiguriert sind.
Soll ein Modem zur Verbindungsaufnahme unterstützt werden, besteht nun die Möglichkeit zur Auswahl eines zugehörigen Treibers. An dieser Stelle können dann einige Zwischenschritte zu Installation erscheinen, die weiter unten detaillierter beschrieben werden.
Ein weiteres Dialogfenster erlaubt die Konfiguration der Zuordnung von logischen Laufwerksbuchstaben. Dies ist erforderlich, da sonst Laufwerksbezeichnungen für den Client und den Server doppelt vergeben werden können.
Wurden alle Angaben korrekt gemacht, ist die Installation vollständig. Ein Dialogfenster fordert zum Abschluß den Neustart des Systems an.

An dieser Stelle soll noch einmal gesondert auf die Konfiguration der Laufwerkszuordnung eingegangen werden. Als Standardeinstellung werden während der Installation folgende Zuordnungen angeboten:

Laufwerksbuchstabe	Wird von der ICA-Session über folgenden Buchstaben angesprochen
Client-Laufwerke
A	A
B	B
C	V
D	U
Server-Laufwerke
C	C
D	D
E	E

Sollen die Buchstaben des ICA-Servers nicht mit den Buchstaben des ICA-Clients kollidieren, können sie auch zu höheren Buchstaben gesetzt werden. Eine andere Zuordnung kann daher folgendes Aussehen haben:

Laufwerksbuchstabe	Wird von der ICA-Session über folgenden Buchstaben angesprochen
Client-Laufwerke
A	A
B	B
C	C
D	D
Server-Laufwerke
C	M
D	N
E	O

Die zur Konfiguration gehörigen Dialogfenster werden in der untenstehenden Abbildung aufgezeigt.

Wurde bei der ICA-Installation das Hinzufügen von Modems ausgewählt, so werden folgende Zwischenschritte durchgeführt:

Ist bisher kein Modem auf dem System konfiguriert, so kann nun eines installiert werden. Existiert schon eine Modemkonfiguration, werden die nächsten Schritte übersprungen.
Bei einem neuen Modem werden die serielle Schnittstelle, das Modem-Modell, die Länderkennung, das Telefonsystem und die Standardnummern konfiguriert.
Abschließend werden die Modemeinstellungen bestätigt und damit die Installation abgeschlossen.

Die ICA-Server-Komponenten

Ein WTS ist durch das Citrix-Modul MetaFrame (Codename: pICAsso) aufrüstbar und unterstützt dadurch neben dem ICA-Protokoll zudem auch eine ganze Palette an Erweiterungen.

System-Management mit Möglichkeiten zur dynamischen Lastverteilung auf Server-Farmen.
Zusätzliche Mechanismen und Werkzeuge zur Benutzer- und Systemadministration.
Unterstützung von mehreren Protokollen für den Einsatz im LAN und im WAN.
Einsatz von anonymen Benutzern für standardisierte Aufgaben und Anwendungen.
Erweiterte Sicherheitsfunktionalitäten.
Verwaltung der Applikationen mit Möglichkeiten zur Freigabe einzelner Anwendungen.
Benutzerverwaltung mit der Möglichkeit Benutzersitzungen auf andere Rechner zu spiegeln.
Automatische Aktualisierung von Client-Software.
Application Launching and Embedding: Möglichkeit zur Generierung von HTML-Code für die Integration von Web-Seiten und Windows-Applikationen über Java oder AcitveX.

ICA-WinStations benutzen die Schnittstelle einer Applikation zwischen dem WTS und der Client-Plattform bzw. dem Desktop-Fenster. Die ICA-Clients erweitern die Funktionalitäten im Vergleich zu RDP-Clients um:

Erweiterte Nutzung von Applikationen durch die Ausdehnung der Verfügbarkeit von Windows-Anwendungen auf beinahe jedes Endgerät.
Abbildung der lokalen Laufwerke, Drucker und COM-Ports auf die entfernten Resourcen.
Integration der lokalen und der entfernten Zwischenablage.
Unterstützung von Audio.
Optimierung auf Netzwerke mit geringer Bandbreite durch Kompressionsverfahren.

Die WinStations können mit dem WTS über folgende Mechanismen verbunden sein:

NetWare IPX/SPX
TCP/IP
Microsoft RDP
NetBEUI
Asynchrones Dialin
Asynchrone Direktverbindung

Um einen Client über Modem oder langsame LANs an einen WTS anzubinden gibt es grundsätzlich zwei Methoden: RAS oder ICA. Remote Access Service (RAS) erlaubt den Zugriff auf netzbasierte Ressourcen über serielle Leitungen, z.B. über Modems an einer Telefonanlage. Ein WTS-Client über ICA stellt eine netzbasierte Session bereit, als wäre der entfernte Benutzer interaktiv angemeldet. Für den Benutzer ist dies, als ob er direkt an der Konsole arbeitet.

ICA-Pakete bestehen aus einem Kommando und optional darauffolgende Daten. Die Daten können zudem komprimiert oder auch verschlüsselt (DES, RSA) werden. Das ICA-Protokoll ist durch die direkte Unterstützung von GDI-Aufrufen hoch optimiert für seinen Einsatz auf relativ langsamen Netzwerkverbindungen.

Zur Konfiguration der ICA-Funktionalitäten auf einem WTS stehen eine Reihe von speziellen Administrationswerkzeuge zur Verfügung. Diese werden über die Startleiste und eine darin enthaltene MetaFrame-Gruppe aufgerufen.

Activation Wizard
Application Configuration
ICA Client Creator
ICA Client Update Configuration
Load Balancing Administration
MetaFrame Books Online
MetaFrame Licensing
MetaFrame Readme

ICA-Lizenzierung

Das Programm zur ICA-Lizenzierung ähnelt seinem Gegenpart für den Windows Terminal Server. Jedoch sind diese beiden Konfigurationsprogramme völlig unabhängig voneinander. Dies hat zur Konsequenz, daß die Lizensierungsmodelle der beiden Hersteller Microsoft und Citrix vollkommen unterschiedlich sein können.

Das ICA-Lizenzierungsprogramm erlaubt das Hinzufügen, das Entfernen, das Aktivieren und das Betrachten von Lizenzen über entsprechende Menüpunkte oder Icons.

Eine ICA-Lizenz wird erst dann gültig, wenn sie durch einen zugehörigen Code aktiviert wird. Dieser ist über verschiedene Methoden erhältlich, wobei die einfachste eine Internet-Verbindung zu Citrix ist. Weitere Möglichkeiten sind Modem, Fax oder Telefon. Eine automatisierte Art dem Aktivierungscode zu erhalten, wird über den Activation Wizard bereitgestellt.

ICA-Verbindungskonfiguration

Citrix ICA integriert sich nahtlos in den Microsoft Windows Terminal Server. Daher werden die zugehörigen Einstellungen in verschiedenen Standardwerkzeugen durchgeführt. Durch seine Natur als unternehmensweite Lösung kann die ICA-Konfiguration bezogen auf eine Verbindung, einen Benutzer oder einen Client erfolgen. Verbindungen beziehen sich auf alle Benutzer, die auf eine spezifische Art mit dem Server kommunizieren, z.B. über ein bestimmtes Protokoll. Benutzereinstellungen betreffen einen individuellen Benutzer oder eine Benutzergruppe, wobei die Verbindungsart keine Rolle spielt. Die Client-Konfiguration kann durch das spezielle Werkzeug "Remote Application Manager" eingestellt werden und betrifft zusätzliche Sicherheitsoptionen oder Kompressionsmethoden.

Die untenstehende Tabelle zeigt die Konfigurationsmöglichkeiten über verschiedene Werkzeuge an.

	Pro Verbindung	Pro Benutzer	Pro Client
Werkzeug	Terminal Server Connection Configuration	Benutzer-Manager für Domänen	Remote Client Manager
Einstellungen der Verbindungsart
Logins verbieten	x	x
AutoLogon	x		x
Initiales Programm	x	x	x
Modem-Rückruf	x	x
Überschreiben des Benutzerprofils	x
Sicherheit (Verschlüsselung)	x		x
Beschränkung der Audiobandbreite	x		x
Einstellung der Sessions
Zugriffsberechtigungen	x
Timeout-Einstellungen	x	x
Zuordnung der Client-Geräte	x	x

Nach der Installation und während des Betriebs erfolgt die Konfiguration des ICA-Protokolls adäquat zu RDP hauptsächlich mit der Terminal Server Verbindungskonfiguration (engl.: Terminal Server Connection Configuration).

Wird das ICA-Protokoll ausgewählt, so kann es wie schon weiter oben für das RDP-Protokoll beschrieben angepaßt werden. Weiterhin können durch Auswahl des Menüpunkts "Security" für einzelne Benutzer oder Gruppen bestimmt Zugriffsberechtigungen für die ausgewählten Verbindungsart bestimmt werden. Dies umfaßt die Abfrage von Informationen, das Eintragen neuer Informationen, den Reset von Benutzer-Sessions, die Shadowing-Option, Logon, Logoff, das Verschicken von Nachrichten, Verbindungsabbruch und die Wiederaufnahme einer Verbindung.

Werden die Client-Settings zur Konfiguration ausgewählt, so können in dem dazugehörigen Dialogfenster eine Reihe von Optionen eingestellt werden. Diese betreffen die lokalen Laufwerke, Drucker und seriellen Schnittstellen. Ebenso lassen sich hier Einstellungen bezüglich Cut-and-Paste, der lokalen Zwischenablage und den Systemklängen durchführen. Die Einstellmöglichkeiten sind speziell im Bezug auf Netzwerkbandbreite, COM-Port-Mapping, Integration der Zwischenablage, Caching und Audiounterstützung deutlich stärker als unter einem Standard-WTS.

Alle Client-Geräte werden unter dem Icon "Client Network" im Explorer abgelegt, wo sie wie jedes andere Netzwerkgerät angesprochen werden können.

Die Optionen der "Advanced Connection Settings" erlauben zusätzliche Einstellungen für die Sicherheit und die Leitungsfähigkeit von ICA-Verbindungen. Die erweiterten Verbindungseinstellungen bieten für RDP und ICA völlig identische Möglicheiten.

Logon: Wird eine Verbindungsart deaktiviert, kann sich kein Benutzer anmelden. Weiterhin können Berechtigungen so gesetzt werden, daß nur bestimmte Benutzer oder Gruppen ausgeschlossen werden.

AutoLogon: Spezifiziert ein Benutzerkonto, das automatisch für alle Benutzer-Sessions verwendet wird.

Initiales Programm: Spezifiziert ein Programm, das Alternativ zum Windows-Desktop ausgeführt wird, sobald sich ein Benutzer anmeldet. Treten hierbei Probleme beim Programmstart über Netzwerkressourcen auf, so kann dies ein falsches Timing bedeuten. Der WTS versucht das Programm zu starten, bevor das Netzwerklaufwerk angebunden ist. Abhilfe schafft der Aufruf des Programms aus einer Skriptdatei mit vorangestelltem Sleep-Befehl aus dem NT Resource Kit. An dieser Stelle kann jedoch für stark abgesicherte Systeme eingestellt werden, daß ausschließlich explizit freigegebene Programme startbar sind.

Überschreiben des Benutzerprofils: Standardwerte des Benutzerprofils werden überschrieben. Die bisher einzig hierzu gehörende Option ist das Deaktivieren von Hintergrundbildern des Desktops.

Sicherheit: Spezifiziert die minimale Verschlüsselungsmethode für die Datenübertragung zwischen Server und Client.
Beschränkungen der Audiobandbreite: Komprimiert Audiodatenströme, die zum Client geschickt werden. Hierdurch wird die Netzwerklast reduziert.

Die Timeout-Settings erlauben die Konfiguration von drei Zählern. Der erste bestimmt die maximale Zeit, die eine Benutzer-Session dauern darf. Der zweite betrifft die maximale Zeit, die eine unterbrochene Verbindung zum Client aufbewahrt wird. Dies ist insbesondere für Modem-Benutzern mit instabileren Verbindungen von größerer Bedeutung. Nach dem spezifizierten Intervall wird die Benutzer-Session endgültig beendet. Der letzte Zähler erlaubt die Einstellung einer Zeit, die ein Benutzer inaktiv sein darf, bevor er automatisch vom System abgemeldet wird.

Die Option "Inherit User Config" übernimmt die vom Benutzer bzw. vom Client übertragene Parameter zur Session-Konfiguration, z.B. bei entsprechend eingestelltem ICA-Client. Eine vom Administrator durchgeführte anders lautende Konfiguration überschreibt jedoch die Client-Wünsche auf dem Server und setzt dadurch die individuelle Benutzeranforderung in ein allgemein verbindliches Systemverhalten um.

ICA-Konfiguration mit WTS-Werkzeugen

Einige der ICA-Einstellungen werden über Standardwerkzeuge des Windows Terminal Servers konfiguriert. Dies gilt insbesondere für das Programm "Terminal Server Administration".

Die Installation der ICA-Unterstützung fügt folgende Funktionalitäten hinzu:

Informationen zum Load Balancing werden in der Registerkarte "Information" auf dem betreffenden Server angezeigt. Die Last kann dabei zwischen 0 (= Idle) und 10.000 (maximale Last) betragen.
Die ICA-Lizenzen werden in der Registerkarte "Licences" aufgeführt.
Die Server-Registerkarte zeigt TCP/IP-Adressen, IPX-Adressen und die Anzahl der verbundenen Benutzer an.
Der verfügbare Cache-Speicher und die Einstellung für das Bitmap-Caching von Rasterbildern wird in der Registerkarte "Cache" aufgelistet.
Die Registerkarte "Modules" zeigt Name, Größe und Version der aktuell installierten Citrix-Module.
Die Option "Shadowing" betrifft alle WinStations, jedoch nicht die Systemkonsole. Sie erlaubt einem Benutzer alle Operationen einer entfernten Session auf seinen eigenen Bildschirm zu spiegeln.
Auch über die publizierten Applikationen können eine Reihe von Informationen abgerufen werden.

Die Session eines anderen Benutzers kann überwacht oder gespiegelt werden, indem die Shadowing-Funktionalität genutzt wird. Der entfernte Benutzer wird dabei in der Regel gefragt, ob er diese Übernahme der Kontrolle zulassen möchte. Weiterer Optionen für den Zugriff auf Maus und Tastatur werden hier ebenfalls eingestellt. Die Shadowing-Funktionalität läßt sich in der Regel durch die Tastenkombination "Strg" und "*" abbrechen.

Zum nächsten Kapitel