Citrix Archive – Seite 5 von 9

Upgrade von Citrix Virtual Apps and Desktops Current Release

Am 29. September ist Citrix Virtual Apps and Desktops (CVAD) Version 2009 erschienen. Folgend eine kleine Anleitung zum Update auf die neuste Version.

Link zur Citrix Virtual Apps and Desktops Dokumentation

Aktivierung von Azure AD Seamless Single Sign-On

Seit geraumer Zeit (Anfang 2017) ist es nun möglich SSO Szenarien mit Azure auch ohne ADFS Infrastruktur zu lösen. Dennoch setzt es sich erst die letzte Zeit durch, das Unternehmen nicht mehr auf ADFS pochen. Nun darf man endlich auch die alternativen Lösungen von Microsoft aufzeigen.

Die möglichen Szenarien für Seamless SSO sind:

Pass-through authentication (PTA)
Password Hash Sync (PHS)

Pass-through authentication (PTA)

Nachteile

Keine automatische Erkennung von gestohlenen Zugangsdaten
Azure AD DS benötigt aktiviertes Password Hash Sync Feature im Tenant um zu funktionieren (Nachteil bei reinen PTA ohne PHS)
Ist nicht Bestandteil der Azure AD Connect Health

Password Hash Sync (PHS)

„Nachteil„

Passwort wird in die Cloud synchronisiert (Als Hash Wert)

SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP (Citrix FAS)

Seit Citrix XenApp / XenDesktop 7.9 ist der Federated Authentication Service (FAS) verfügbar. Über Citrix FAS ist es möglich einen Benutzer über SAML zu authentifizieren und somit Citrix als Service Provider, an bestehende Identity Provider, wie zum Beispiel Azure-AD, anzubinden.

Ablauf der SAML Authentifizierung

Der Benutzer ruft die FQDN (z.B. citrix.deyda.net) des Citrix Gateway vServer (Service Provider) auf, um seine VA/VD Ressourcen starten zu können
Der Citrix Gateway vServer leitet den nicht authentifizierten Benutzer direkt weiter an den Identity Provider (Azure AD) um sich dort zu authentifizieren (saml:authnRequest)
Der Identity Provider verweist auf seine SingleSignOnService URL (z.B. login.microsoftonline.com) und der User muss sich authentifizieren.
Der Benutzer gibt seine AD Zugangsdaten ein und diese werden vom Identity Provider gegenüber der User Database geprüft
Bei erfolgreicher Überprüfung in der User Database wird der IdP informiert
Der IdP stellt einen Token (SAML Assertion) aus und übermittelt diesen an das Citrix Gateway (saml:response)
Citrix Gateway prüft den Token (Assertion Signature) und extrahiert den UPN aus dem Assertion Token. Dies erlaubt den Zugriff per SSO auf die VA/VD Farm über FAS (Der SP hat keinen Zugriff auf die Zugangsdaten des Benutzers)

SAML Auth Azure AD & Citrix Gateway with FAS

Kopieren einer Citrix ADC Konfiguration auf eine neue Maschine

In einem meiner letzten Projekte musste ich in einem neuen Rechenzentrum verschiedene Citrix ADCs aufbauen. Nach Rücksprache mit dem Kunden sollten die gleichen Dienste und Funktionen wie im alten Rechenzentrum konfiguriert werden. Der einzige Unterschied war das im neuen Rechenzentrum andere IP-Ranges genutzt worden sollten und daher alle Netzwerkeinstellungen der Citrix ADCs und der angeschlossenen Services daran angepasst werden mussten.

Voraussetzungen

Gleiche Version und Build auf allen Citrix ADC
Gleiche Citrix ADC Lizenz Version auf allen Citrix ADC
IP Adressen des neuen Citrix ADC sollten definiert und frei sein (NSIP, SNIP & VIP).
IP Adressen der angebundenen Maschinen sollten bekannt sein (Server oder Server Groups)
Grund Konfiguration des neuen Citrix ADC sollte durchgeführt sein (NSIP, SNIP, DNS, Zeitzone & Lizenz)

NVIDIA vGPU Lizensierung

Durch verschiedene Projekte in letzter Zeit, musste ich mich durch das Wirrwarr an Informationen bezüglich der NVIDIA vGPU Lizenzierung durcharbeiten.

Hier nun ein kleiner Abriss dieser Informationen.

NVIDIA vGPU-Architektur

Unter der Kontrolle des im Hypervisor laufenden NVIDIA Virtual GPU Manager können physische NVIDIA-GPUs mehrere virtuelle GPU-Geräte (vGPUs) unterstützen, die Gast-VMs direkt zugewiesen werden können .

Diagram showing the high-level architecture of NVIDIA vGPU

Die Gast-VMs verwenden die virtuellen NVIDIA vGPUs auf dieselbe Weise wie eine physische GPU, die per direktem passed through vom Hypervisor kommen würde. Der in die Gast-VM geladene NVIDIA-Treiber bietet direkten Zugriff auf die GPU und sorgt so für einen hochperformanten Zugriff. Über die Paravirtualisierte Schnittstelle des NVIDIA Virtual GPU Manager werden die nicht performanten Verwaltungsvorgänge vom NVIDIA Treiber durchgeführt.