CITRIX: Configuraciones adicionales

En este procedimiento se explican diversos temas, los pongo todos en el mismo documento, pero serían los siguientes temas:

Configuraciones del protocolo ICA - AKI Conectarse a una sesión de un usuario - AKI Crear administradores de Citrix adicionales - AKI Mejora de rendimiento del servidor/aplicaciones y conectividad - AKI Entornos de aislamiento para aplicaciones (AIE - Aplication Isolation Enviroments) - AKI Temás de impresión: Impresoras y controladores - AKI Zonas - AKIAsegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado - AKI

 

 

Configuraciones sobre el protocolo ICA,

Todas estas configuraciones adicionales que podemos hacer serían sólo por servidor, tenemos que hacerlo tantas veces servidores tengamos ya que se realizan sobre el protocolo ICA de cada servidor.

 

Primero, vamos a "Inicio" > "Programas" > "Citrix" > "Administration Tools" > "Configuración de la conexión Citrix"

 

Sobre el protocolo ICA de Citrix, damos doble click para entrar en sus propiedades.

 

En "Adaptador LAN" decimos para que adaptador/tarjeta de red va a aceptar conexiones ICA en el 1494, podemos limitar el número máximo de conexiones ICA, por defecto son ilimitadas. Si pulsamos sobre "Avanzados..." tenemos más opciones para configurar.

 

Arriba en "Inicio de sesión" si lo desactivamos estamos prohibiendo que nadie se pueda conectar al servidor por ICA (lo normal para cualquier tarea de mantenimiento). Aquí podemos configurar diferentes tiempos de conexión, igual que en el RDP, cuanto tiempo pueden estar las sesiones desconectadas ("Parametros de tiempo de desconexión"), o cuanto tiempo de inactividad en una sesión ("Parametros de tiempo de inactividad"); además podemos requerir un nivel de seguridad que nos interese para este servidor en concreto. En la parte de la derecha, en "Inicio de sesión automático" podemos decir con que usuario se van a loguear los que quieran iniciar sesión, podemos forzar a que todos inicien sesión con un mismo usuario, por defecto cada usuario trae el suyo propio. Si queremos podemos poner un "Programa inicial" a todos los que inicien sesión en este servidor, que se les ejecute un script... y por supuesto, el papel tapiz queda desactivado por defecto para que la sesión sera más ligera en el caso que sea una conexión al escritorio por ICA. Además de varias opciones del remedo, o desde donde se pueden reconectar en el caso que hayan perdido la sesión, si desde donde la perdieron o desde cualquier otro PC.

 

Si volvemos a esta pantalla, y vamos a los "Parametros de cliente..." podemos personalizar un poco más las conexiones de los clientes.

 

Podemos forzar a que se conecten o no las unidades de disco de los clientes desde aquí, aunque esto, lo normal serían con directivas. Que se conecten las impresoras del cliente de forma automática cuando inicia sesión en el servidor y por supuesto que la predeterminada sea la que tiene en su PC. Además podemos desactivar diferentes opciones como que no se le mapeé el puerto serie COM o el paralelo LPT...

 

Conectarnos a una sesión de un usuario,

Si un usuario tiene algún tipo de problemas con alguna aplicación, podemos conectarnos a su sesión y ayudarle. Esto está pensado para evitarnos levantarnos del sitio o para empresas que tienen públicas aplicaciones y el usuario final necesita que nos conectemos a su sesión.

 

Vamos a "Inicio" > "Programas" > "Citrix" > "Management Consoles" > "Presentation Server Console", podemos hacerlo de diferentes formas, si sabemos que aplicación es, podemos ir a la aplicación y desde ahí localizaremos los usuarios que hay conectados. En este ejemplo, lo hago desde los servidores, así que vamos hasta ellos, seleccionamos el servidor donde está conectado nuestro usuario, pinchamos en la parte de la derecha en la pestaña "Usuarios" y sobre el usuario que nos interesa y su aplicación, botón derecho > "Remedar".

 

Nos indica una combinación de teclas para salir de este control remoto, por defecto suele ser "CTR + *", aceptamos,

 

Nos pide unos credenciales de un administrador de Citrix con permisos de remedar, los suministramos...

 

Y ya en la parte del cliente, le indicará que el administrador XXX está intentando conectarse a su sesión, pide una confirmación para evitar temas espia, de que ningún administrador espie el trabajo de ningún usuario, por supuesto esto por directivas/politicas se puede hacer de forma automática. El usuario aquí seleccionaría "Sí".

 

Le saldría está pantalla que le indica que hay alguien conectado en su sesión. El administrador trabajará sobre está sesión de forma remota hasta que solucione el problema del usuario, para finalizar el remedo, "CTR + *" o pulsar sobre "Terminar el remedo".

 

Crear administradores de Citrix adicionales,

Esta parte está pensada para tener más de un usuario que sea administrador de Citrix, para no tener que pasar los credenciales de Administrador del dominio a cualquier usuario, además podemos personalizar la consola con los privilegios que nos interese dar a los usuarios, podemos que acceda sólo a ciertas partes y pon permisos totales o de lectura.

 

Para ello, abrimos la consola de PS: "Inicio" > "Programas" > "Citrix" > "Management Consoles" > "Presentation Server Console". Vamos a la parte de "Administradores de Metaframe" > botón derecho > "Agregar administrador Metaframe",

 

Selecionamos el/los usuario(s) o grupo(s) que nos interesen que sean administradores, por ejemplo, escojo a un usuario en concreto, lo buscamos en el directorio activo y vamos hasta su unidad organizativa, marcamos el check de "Mostrar usuarios" y cuando lo encontremos, lo seleccionamos y lo agregamos, continuamos, "Siguiente",

 

Si configuramos el "Resource Manager" podemos hacer que nos envie alertas por mail o SMS al usuario, indicamos la forma de contacto que nos interese y continuamos "Siguiente",

 

Tenemos tres opciones, la primera es "Sólo ver", si marcamos esta el usuario puede acceder a todas las partes de la consola pero no podría hacer nada, nada más que ver cómo funciona (ideal para becarios), podemos indicar "Administración completa" y sería una copia del administrador de dominio, podría hacer lo que necesite en Citrix; y la tercera opción "Personalizado" para darle acceso a partes que nos interesen, selecciono esta para mostrar el ejemplo, "Siguiente",

 

En esta de "Permisos" puedo establecer que tipo de permisos le voy a dar a mi usuario, en mi caso, sólo quiero que este usuario sea un usuario que pueda Publicar aplicaciones en Citrix y si alguna sesión de algún usuario se queda colgada que la cierre de forma correcta. Podríamos darle tantos accesos como nos interese, pulsando en las opciones de la izquierda. Finalizamos.

 

Ahora para probarlo, cuando se abre la consola de "Presentation Server Console" pedirá credenciales o si se la instala en su puesto, debe loguearse como su usuario, pone sus credenciales y entra,

 

Y esto es lo que él vería en la consola, sólo a lo que le hemos dado permiso, no tiene por que realizar más tareas.

 

Mejora de rendimiento del servidor/aplicaciones y conectividad,

En esta parte del documento se explica cómo mejorar el rendimiento de la conectividad entre el usuario final y los servidores Citrix, para ello usaremos las opciones de SpeedScreen tanto para el Explorador, cómo Multimedia, Flash, latencia del teclado/ratón y compresión de imagenes, claro está que podemos hacer algo más con las directivas, pero para eso está el apartado de Directivas más abajo.

 

Abrimos la consola de PS: "Inicio" > "Programas" > "Citrix" > "Management Consoles" > "Presentation Server Console" y directamente veremos las opciones que podremos aplicar a los servidores o directamente a la granja o comunidad y se lo aplique a todos los servidores. Así que sobre la comunidad > botón derecho > "Propiedades",

 

La primera opción "Aceleración de explorador SpeedScreen", sirve para comprimir las imagenes que vienen por el canuto del ICA, ya que ICA no es más que un protocolo que es seguro y rápido que envía imágenes, podemos comprimir estas imagenes para obtener peor calidad de imagen pero más velocidad, indicamos el nivel de compresión que nos interese.

 

La "Aceleración de Flash SpeedScreen" nos permite bajar la calidad de las animaciones Macromedia Flash, de su calidad óptima a baja, para cuando alguien navega con Internet Explorer, si optimizamos esto, la imagen será más rápida pero de peor calidad.

 

La "Aceleración Multimedia SpeedScreen" optimiza las aplicaciones multimedia, por si alguien publica un video/sonido que se vea/oiga con peor calidad pero sin interrupciones, esta configuración afectaría al "Windows Media Player", al "RealOne Player" y al "Escritorio Remoto".

 

Podemos además optimizar tanto el uso de la memoria como de la CPU desde "Administración de memoria y uso de CPU", habilitando ambas.

 

Además, podemos hacer que estos retardos (en caso de una WAN son más comunes) sean más disimulados. Por ejemplo si se pierde la conectividad durante unos segundos el icono del mouse se pone el reloj de arena... o si escribimos algo con el teclado no se pierda todo lo escrito y lo escriba cuando se reconecte de nuevo esta conexión, para ello, tenemos que ir a: "Inicio" > "Programas" > "Citrix" > "Administration Tools" > "Administrador de reducción de retardo de SpeedScreen"

 

Podemos habilitar esto, directamente por servidor (esto se aplicaría a todas las aplicaciones que tengamos en él) o podemos agregar a mano las aplicaciones que nos interese pulsando el botón de "Nueva...", buscaríamos el ejecutable que nos interese. Si queremos hacerlo sobre todas las aplicaciones del servidor, damos doble click al servidor y marcamos las opciones que nos interesen.

 

Más, además de esto, podemos crear una directiva que se aplique a ciertas conexiones, por ejemplo a todos los que vienen de una WAN con una conexión mucho más lenta que en la LAN, Citrix tiene una plantilla ya preconfigurada que la prodríamos aplicar a quien nos interese. Por ejemplo, vamos a las Directivas en la consola "Management Console de PS), botón derecho > "Crear directiva",

 

Le indicamos un nombre, por ejemplo ComprimirJPG, por que es lo que voy a hacer, a parte de decirle que es una plantilla para optimizar las conexiones tipo WAN. Aceptamos,

 

En "Ancho de banda" > "SpeedScreen" > tenemos "Aceleración de imágenes", esta regla la podemos habilitar para que comprima todas las imagenes JPG, es otra forma de usar el SpeedScreen de Explorador, si comprobamos las políticas tenemos cosas interesantes que ya nos ha marcado para que todo funcione de forma más óptima. Aceptamos cuando finalicemos de configurar lo que nos interesa.

 

Y ahora sólo nos falta aplicar la directiva esta a quien nos interese, para ello, sobre la directiva > botón derecho > "Aplicar a..."

 

Y yo por ejemplo se la aplico a todos los servidores de mi granja, así se aplicará a todo el mundo, podemos aplicarla de diferentes formas, ya sea por rengo IP, por los nombres de los clientes, por usuarios/grupos... Aceptamos y ya estaría todo lo referente a mejoras de rendimiento.

 

Entornos de aislamiento para aplicaciones (AIE - Aplication Isolation Enviroments),

Los entornos de aislamiento sirven para aplicaciones que pueden ser problemáticas por que tienen diferentes versiones de DLL que otras aplicaciones instaladas o publicadas, o por que simplemente queremos saber cuando instalamos una aplicación que modificaría en el servidor.

 

Abrimos la consola de admin de PS: "Inicio" > "Programas" > "Citrix" > "Management Consoles" > "Presentation Server Console" y nos vamos hasta "Entornos de aislamiento", lo primero es crear un entorno donde instalaremos las aplicaciones para separarlas de las demás o para ver simplemente que nos genera, botón derecho > "Nuevo entorno de aislamiento",

 

Le indicamos un nombre, "Pruebas con APPs", aceptar,

 

Y ahora, lo que queda es instalar la aplicación que nos interese en este entorno, para ello, desde linea de comandos, escribimos: "aiesetup NOMBRE_DEL_ENTORNO_DEL_AISLAMIENTO INSTALADOR_DE_LA_APP_A_INSTALAR". En este ejemplo aislaremos el WinRAR.

 

Nos cargará el asistente de la instalación del programa que estamos instalando, lo instalamos de forma normal y cuando finalice esta instalación pulsamos ENTER en la pantalla de DOS para que realice el descubrimiento de está aplicación.

 

Ok, vemos que ha realizado el descubrimiento de forma correcta, cerramos ya esta pantalla.

 

Y podemos ver, cómo en el directorio de Citrix, nos ha generado un subdirectorio AIE donde nos generá toda la ruta para que funcione esta aplicación de forma aislada y no corrompa/sustituya DLL's, todo quedaría separado.

 

Si vamos, a la consola de nuevo, vemos que en "Entornos de aislamiento" tenemos lógicamente el que hemos creado y si entramos con botón derecho en sus propiedades, veremos las aplicaciones que tenemos aisladas,

 

En mi caso, tengo sólo esta aplicación, ahora tendríamos que publicarla de forma normal como cualquier otra aplicación, sólo que a la hora de escoger el ejecutable, lo tendríamos en esa ruta dentro del directorio Citrix.

 

Temas de impresión: Impresoras y controladores,

En esta parte se explíca cómo tratar las impresoras en Citrix y cómo solucionar posibles problemas, tenemos varias formas de configurar temas de impresión. Una característica nueva que trae Presentation Server 4.0 es el Driver Universal, que se usará en el caso que el servidor no tenga los drivers de la impresora con la que imprime el cliente. Pero lo primero es ver que opciones tenemos y podemos configurar mediante políticas. Por ejemplo, si nuestros clientes tienen Windows CE los drivers estos no son compatibles con el S.O. donde está instalado el Presentation Server, así que se podría usar el driver universal, si aún así no se corrige el problema, lo que se suele hacer es instalar los drivers/controladores de la impresora especificada en un Presentation Server y después replicarlos a los demás PS.

 

Lo primero vamos a crear una política para ver temás de impresión. Sobre la "Management Console" en "Directivas" > botón derecho > "Crear directiva",

 

Le indicamos un nombre y aceptamos,

 

Estas son las opciones que tenemos para el tema de impresión mediante políticas, en "Impresión" > "Impresoras cliente" > "Creación automática". Tenemos la opción de crear todas las impresoras del cliente en el servidor, o sólo las de red, o sólo su predeterminada, o directamente ninguna impresora, y así sólo puede imprimir por las que tenga el servidor instaladas.

 

En "Impresión" > "Impresoras cliente" > "Desactivar la asignación de impresoras de cliente", podemos quitar acceso a las impresoras cuando alguien se conecte.

 

En "Impresión" > "Impresoras cliente" > "Enrutamiento de la tarea de impresión", esta regla es simplemente, si cuando el cliente se le conecta una impresora (de red, no una local), si cuando mande a imprimir un trabajo, este va a ir directamente a la impresora del cliente sin pasar por el servidor, o el servidor hará también de cola de impresión (sería como un paso más).

 

En "Impresión" > "Impresoras cliente" > "Impresoras cliente antiguas". A la hora de crear las impresoras en los clientes, si usará la forma antigua o la actual de PS4.0. La forma antigua se refiere a un nombre de impresora corto para mejoras de compatibilidad con aplicaciones, o la forma de PS4, que sería un nombre de impresora largo, tal y como: NOMBRE_IMPRESORA_EN_CLIENTE_EN_IDSESION.

 

En "Impresión" > "Impresoras cliente" > "Retención de las propiedades de la impresora" En el caso que se modifiquen propiedades de las impresoras cuando un usuario está conectado, donde guardaría estas configuraciones, si en la sesión del usuario o directamente sobre la impresora del cliente en su PC/Thinclient.

 

En "Impresión" > "Controladores" > "Controlador univesal" es donde se configura que hacer cuando el servidor no tenga los drivers/controladores de la impresora del cliente, se puede configurar el driver universal para que imprima sin ningún problema.

 

En "Impresión" > "Controladores" > "Instalación automática del controlador original" indicaremos al servidor PS si se instalará de forma automática los controladores de impresora de los clientes en el caso que los necesite (los cogería del cliente en tal caso, si es que son compatibles), o podemos prohibir esto.

 

Podemos habilitar esta regla para indicar si queremos forzar a los clientes que tengan las siguientes impresoras instaladas de forma obligatoria. Y además podemos decir cual es la impresora que tendrá por defecto el cliente, si la suya propia o la que tenga el servidor.

 

A parte de las configuraciones que se pueden hacer en las directivas, podemos ver que drivers o controladores tienen nuestros servidores instalados. Además, podemos copiar estos controladores a otros servidores, que sería lo más normal, que todos los servidores tengan todos los controladores de impresoras, para evitar problemas de cuando alguien se loguea en un servidor si le funcione una impresora, y si se loguea en otro servidor no. Podemos copiar estos controladores en los otros servidores PS, seleccionando el driver > botón derecho > "Duplicar controladores...", en la parte de la derecha nos indica este controlador en que servidores está instalado.

 

Para evitar la mayor parte de los problemas, si se puede, lo mejor es instalarse las impresoras en local en los servidores PS, y si necesitamos meter algún controlador, se haría de la misma forma, instalando una impresora desde "Impresoras y faxes" agregandola, una vez instalada, podemos borrarla sin eliminar los controladores, se quedarían en el servidor y los replicaríamos a los demás servidores desde la cónsola "Presentation Server Console" desde la parte de Controladores.

 

Zonas,

Las zonas son importantes para organizaciones grandes con miles de usuarios o separadas geográficamente, en cada zona tendremos nuestros servidores llamados "Data Collectors" o "recolectores", son simplemente los servidores que tienen la información de la granja y se la suminitran a los usuarios en el caso que hagan una petición de una directiva o consultar las aplicaciones publicadas a las que tiene acceso. Para que este tráfico no vaya siempre a un mismo DataCollector, se crean las

zonas y se distribuyen los servidores por zona, por rango IP ya que están en subredes diferentes, y así se reparten esta carga de peticiones.

Para configurar las zonas y sus asignaciones, se hace desde la consola de "Presentation Server Console" sobre las propiedades de la granja/comunidad. En la parte final del menú de la izquierda en "Zonas". Ahí tendremos todas las zonas disponibles o las crearemos desde "Nueva zona...", en cada zona tenemos que tener un Data Collector y los organizaremos por orden de preferencia, por si este Data Collector se cae que le responda el siguiente de preferencia. Así con las diferentes zonas, cada Data Collector responderá a los clientes de sus zonas.

 

Asegurar conectividad habilitando el traspaso SSL de Citrix y elevando el nivel de cifrado,

Hay dos formas de asegurar la conectividad en temas de Citrix, una es cifrar la conexión entre los Presentation Server y el Web Interface o clientes, asegurando XML, para ello usaremos el traspaso de SSL de Citrix. Y otra forma es subiendo el nivel de cifrado del protocolo ICA, que por defecto trae una encriptación básica y podemos subirla hasta 128bits.

 

Lo primero que necesitamos para habilitar el traspaso SSL de Citrix es generar un certificado, o nos lo generamos con nuestra CA o en el CD de Citrix, hay una herramienta llamada SSLAUTOCONFIG.EXE en la carpeta Support, habría que copiarse el ejecutable y el fichero de texto SETTINGS.INI y editarlo a nuestro antojo, lo ejecutamos con los parametros correctos y nos generaría el certificado. O si no, podemos con nuestra CA de Microsoft y después habría que instalarlo en IIS (AKI).

 

Una vez instalado este certificado, ya podemos abrir la consola, para ello: "Inicio" > "Programas" > "Citrix" > "Administration Tools" > "Aplicación de Configuración de Traspaso SSL Citrix".

 

Habilitamos el traspaso de SSL marcando el check y abajo seleccionamos el certificado.

 

En la pestaña de "Conexión" tenemos los servidores metaframe con los que se puede conectar, usando qué puerto SSL y a que puertos conectarnos de los Presentation Server, el puerto ICA (1494) y el puerto XML (81 en mi caso).

 

Al aceptar nos indica que hasta que no aceptemos esto no empezaría a funcionar.

 

Otra forma que hay es aumentando el nivel de cifrado, lo podemos hacer de múltiples formas, en este caso por ejemplo con una directiva, desde la consola de "Presentation Server console" creamos una directiva y nos vamos hasta "Seguridad" > "Cifrado" > "CifradoSecureICA", habilitamos la regla y seleccionamos el cifrado que nos interese. Ahora esta directiva recordamos que se puede aplicar a lo que nos interese, a toda la comunidad, a un servidor específico, a los que vengan por un tipo de conexión, rangos IP...

 

Otra forma de hacerlo es directamente sobre la aplicación que nos interese, por si queremos asegurar una en concreto, vamos a la aplicación publicada, y entramos en sus propiedades, en la parte de "Opciones del Cliente ICA" podemos indicar que nivel de cifrado asignarle. OJO! si tenemos unas aplicaciones con un nivel de cifrado X y otras aplicaciones con diferente nivel de cifrado, cuando el cliente se conecte a ambas consumirá más de una licencia, tantás por diferencias de nivel de cifrado (así como profuncidad de bits o la resolución de la app).

 

O directamente en "Inicio" > "Programas" > "Citrix" > "Administration Tools" > "Configuración de la conexión Citrix" > Propiedades del protocolo "TCP-ICA" > "Avanzados...", en la parte de "Cifrado necesario" indicamos que nivel de cifrado será el mínimo para entrar en este servidor, OJO! que va por servidor.

 

Y en la parte del cliente, podemos comprobar con que nivel de cifrado se está conectando a los servidores (tanto en la LAN, como en la WAN y da igual con que cliente, sea web, w32, linux...), sobre el icono de la "Central de conexiones de Program Neighborhood" > Si pulsamos sobre el servidor al que estamos conectados en el botón de "Propiedades", nos saldrá una pantalla que nos dará diversos datos, entre ellos el "Nivel de cifrado".

Ocultar unidades locales en servidores Citrix

 

Cómo ocultar los discos del servidor Citrix ,

En este procedimiento se explica cómo ocultar las unidades locales de un servidor Citrix para que los usuarios cuando trabajen contra las aplicaciones publicadas no puedan almacenar nada en los discos del servidor. Simplemente se trata de editar una plantilla de políticas que luego la aplicaremos mediante una política a los usuarios que nos interesen que no vean las unidades del servidor. Esta política NO se puede aplicar sólo sobre el servidor, sino que se trata de una política de usuario, así que se debe aplicar sobre una UO de usuarios. Lo normal es que el servidor Citrix tenga unas letras asignadas que no sean C y D, lo normal sería M, N... y así respectivamente, entonces, nos encontraremos con un problema al aplicar la política por que no vienen nuestras unidades de disco. En este documento se explica cómo personalizar esta política con nuestras unidades de disco.

 

Lo primero de todo es editar con el Bloc de notas el fichero "system.adm" de "C:\Windows\inf" de un controlador de dominio, a ser posible del principal. Abrimos el fichero.

 

Cómo es un fichero que no tiene una extensión asociada a ningún programa, lo abrimos seleccionando un programa para abrirlo, con "Seleccionar el programa de una lista" y "Aceptar",

 

Marcamos "Bloc de notas" y "Aceptar",

 

Buscamos la política de "!!NoDrives" y en este ejemplo voy a enseñar cómo ocultar las letras M y N; y las letras: A, B, M, N, O y P. Para ello agregamos la/las siguientes líneas:

NAME   !!ABMNOP (o lo que querramos para identificarlo)       VALUE NUMERIC 61443 (valor en decimal que nos interese) NAME   !!MNOnly (o lo que querramos para identificarlo)          VALUE NUMERIC 12288 (valor en decimal que nos interese)

 

Y abajo buscamos la cadena de texto [strings] y agregamos el mismo nombre que hemos usado para identificarlo (en mi ejemplo ABMNOP y MNOnly). E indicamos qué es lo que hace, que letras prohíbe en la descripción de la derecha.

 

Una vez modificados esos puntos guardamos el fichero,

 

Bien, si lo que nos interesa es ocultar otras letras de disco, y no son las de este ejemplo. ¿Cómo se calcula? Sencillo, lo primero es saber que letras ocultar, en mi ejemplo MN tiene el valor 12288, o ABMNOP tiene el valor 61443, cómo se consigue? se basa en estos valores:

00000000000000000000000000ZYXWVUTSRQPONMLKJIHGFEDCBA

Se debe poner un bit (1) a la letra que querramos ocultar, por ejemplo para ocultar MN:

00000000000011000000000000ZYXWVUTSRQPONMLKJIHGFEDCBA

Para ocultar ABMNOP:

00000000001111000000000011ZYXWVUTSRQPONMLKJIHGFEDCBA

Como vemos, esto son valores BINARIOS, y hay que pasarlos a DECIMALES, es tan simple que con la calculadora de Windows se puede, abrimos la calculadora y la ponemos de forma científica: "Ver" > "Científica".

 

Pulsamos sobre "Bin" y ponemos el valor de MN que erá 00000000000011000000000000, como los primeros 0's no se pueden poner comenzamos desde el primer bit 1 y continuamos con el resto de 0's que quedan que son 12 en mí caso, para pasar a decimal es tan simple como después de meter los números pulsar en "Dec", ahí obtendremos el valor que debemos meter en "C:\Windows\inf\system.adm"

 

Ahora con el ejemplo de las letras A, B, M, N, O y P, escribimos esto en Binario: 1111000000000011 y pulsamos sobre "Dec" para convertirlo a decimal, nos da el valor de 61443, que será el valor a introducir de nuevo en el system.adm

 

Una vez eso claro y modificado el fichero, debemos crear una política para aplicarlo a los USUARIOS, sobre la unidad organizativa donde están los usuarios de Citrix (o sobre cualquier OU, o directamente sobre el dominio - más peligroso) > botón derecho "Propiedades".

 

En la pestaña de "Directiva de grupo", pulsamos sobre "Nuevo" para crear una política (GPO), le indicamos un nombre, por ejemplo "GPO Ocultar unidades locales" y la vamos a modificar, para ello, la seleccionamos y pulsamos sobre "Editar".

 

Vamos a "Configuración de usuario" > "Plantillas administrativas" > botón derecho "Agregar o quitar plantillas..."

 

Pulsamos sobre el botón "Agregar..." y buscamos el "system.adm" de "C:\Windows\inf\", lo abrimos con "Abrir",

 

Comprobamos que es el que acabamos de modificar, y pulsamos "Sí",

 

Comprobamos la fecha del "system" y si está bien, vamos a "Cerrar",

 

Bien, ahora vamos a editar por fin la política: Vamos a "Configuración de usuario" > "Plantillas administrativas" > "Explorador de Windows" y buscamos la de "Ocultar estas unidades especificadas en Mi PC", damos botón derecho y "Propiedades".

 

Tenemos que habilitarla pulsando "Habilitar" y ya nos saldrá lo que hemos agregado al fichero, elegimos la que más nos interese y aceptamos.

 

Recordar que para que una política comience a aplicarse inmediatamente, tenemos que usar el comando GPUPDATE.

Citrix Desktop Server

 

Citrix Desktop Server,

En este documento se muestra cómo podemos usar este servidor de Citrix, que a diferencia del Presentation Server que publica aplicaciones, con este publicamos equipos. Se supone que tenemos que tener un pool de equipos, normalmente virtuales (ver VMware - AKI) y a los que nos conectaremos mediante el cliente de Citrix a ellos. El ejemplo que realizaremos en este documento, tenemos un departamento en nuestra organización llamado Desarrollo, donde tenemos varios usuarios que usan ThinClients y accederan a estos equipos cómo si son suyos, todos los equipos de este departamento tienen las mismas aplicaciones y configuraciones.

Instalación de Citrix Desktop Server - AKIConfiguración de los escritorios con Desktop Broker - AKIPublicación de un escritorio - AKI

 

Instalación de Citrix Desktop Server,

La instalación variará dependiendo de nuestra organización, en mi caso sólo haré una instalación en un único servidor, con todos los componentes, pero lógicamente el peso de cada componente se puede distribuir en diferentes servidores.

Lo primero de todo es instalar un servidor donde se almacene la comunidad para "Citrix Desktop Server", necesitaremos una base de datos SQL, en el autorun del CD pulsamos en "Install Server",

 

Aceptamos el acuerdo de licencia desde "I accept the license agreement" & "Next",

 

Si es la primera instalación, debemos crear un servidor llamado "Master server", y si son los adicionales serían "Support server", si es la primera instalación se deberá indicar el nombre de la granja o comunidad, en mi caso será BUJARRA, "Next",

 

Podemos si queremos prohibir el remedo desde aquí (Disable shadowing) o usar un servidor SQL existente (Use an existing SQL Server), si no, nos instalará el SQL Server 2005 Express, y si queremos que no nos instale el componente de licencias marcaremos "Use an exisiting license server". Marcamos lo que nos interese y seguimos "Next"

 

Si pulsamos "Next" comenzará ya con la instalación,

 

... tras varios minutos de instalación de los prerequisitos y componentes de instalación...

 

Nos pedirá reiniciar, hay que indicarle que "Sí" ya que la instalación continuará una vez hayamos reiniciado el servidor.

 

... finalizando la instalación...

 

Ok, ya acabada, pulsamos en "Finish", y nos abrirá la consola "Access Management Console"

 

Configuración de los escritorios con Desktop Broker,

Desde esta consola será donde organicemos todos los escritorios que tengámos, el pool de equipos, lo normal es que tengamos uno o varios servidores con un software de virtualización donde se alojen estas máquinas virtuales, en mi caso supongamos que uso un servidor ESX con 10 máquinas, 5 para el Dpto. de desarrollo y otras tantas para los técnicos. Desde está consola lo organizaremos.

 

Abrimos la consola de "Desktop Broker Console" desde "Inicio" > "Programas" > "Citrix" > "Management Consoles". Lo primero que tenemos que hacer es organizar los escritorios por grupos, así que creamos uno desde "Add..."

 

Le indicamos un nombre y si está habilitado o no. Pulsamos en "Add" para crearlo.

 

Dentro de cada grupo debemos crear un "Desktop Revision" que será finalmente donde guardemos los equipos reales,

 

Le indicamos un nombre, una descripción (opcional) y si queremos que contenga equipos asignados o un pool directamente. La diferencia es, que en un pool de equipos tenemos una cantidad de equipos, la que sea, y un usuario cuando se conecte se conectará a uno cualquiera, a veces a uno y otras a otro. Y si habilitamos "Contains Assigned Desktops" el usuario que se loguee primero en un equipo será para él, tendrán los usuarios equipos asignados, esto es si ciertos PC's son diferentes a otros. Dependerá de nuestra organización, lo que nos interese.

 

Y ya finalmente, podremos agregar equipos con botón derecho y "Add Desktops..."

 

Metemos el nombre de los equipos que queremos que estén y si queremos que estén habilitados o no (marcando "Enable Desktops"), podemos meterlos todos en conjunto. Pulsamos en "Add".

 

Ahí veremos los equipos agregados cómo quedarían, en el campo de "Enabled" veremos si están habilitados/disponibles para los usuarios o no; en la pestaña de "User" si está asignado ese PC o no y en el "State" si hay alguien conectado o no.

 

Este sería un ejemplo de un escritorio asignado a un equipo, la primera vez que un usuario se logee en un PC el campo de "User" cambiará y mostrará a quien pertenece ese PC, lógicamente el contenedor lo tiene que permitir (en las propiedades del Desktop Revision).

 

 

Publicación de un escritorio,

Mostraremos resumidamente cómo se publica un escritorio, es cómo en Citrix Presentation Server, en vez de aplicaciones serán escritorios. La forma que un cliente usará a conectarse es igual que a Presentation Server, lo harán con el Program Neighborhood o con el Program Neighborhood Agent (una vez hayamos creado el sitio del Program Neighborhood Agent). Por lo tanto en este documento no se tratará de cómo usar el cliente, para ello está este documento - AKI.

 

Vamos a la comunidad nuestra y sobre "Desktops" con botón derecho "Nueva" > "Publish desktop"

 

"Siguiente",

 

Indicamos el nombre del equipo, ya que tenemos pools de equipos no se pone el nombre del PC concretamente, si no el común, por ejemplo para los equipos del Dpto. de Desarrollo pues "PCs Desarrollo", "Siguiente",

 

El tipo de escritorio que vamos a publicar si el de un servidor Desktop Server ("Server Desktop") o el de un equipo remoto "Workstation Desktop", "Siguiente",

 

En "Desktop group name", desplegamos el combo y seleccionamos el grupo de escritorios que habremos creado anteriormente en la consola de "Desktop Broker Console". Configuramos el método de autenticación contra dichos hosts en "Logon Dialog Options", lo normal es que se use el mismo usuario que se está usando para iniciar el cliente de Citrix, ahí se especifica un usuario, lo ideal es que se use este usuario para logearse en el escritorio publicado; si no, tenemos diferentes tipos de configuración para el inicio de sesión. Seleccionamos el puerto de conexión en "Remote Desktop Connection Options", "Siguiente",

 

Seleccionamos los servidores donde se ejecutará dicha conexión, desde "Add..."

 

Seleccionamos los servidores que nos interesen, normalmente todos, "OK",

 

"Siguiente",

 

Y ahora diremos qué usuarios tienen permisos para acceder a este pool de equipos, desde "Agregar..." y seleccionamos el tipo de directorio, normalmente "Operating System User Selector",

 

Ponemos los nombres de usuarios del Directorio Activo que nos interesen que ejecuten estás máquinas y "Aceptar",

 

"Siguiente",

 

El icono que tendrá y en la carpeta cliente que la meteremos, lo normal es organizar las aplicaciones en carpetas, podríamos meterla en una carpeta llamada "PCs de desarrollo" por ejemplo, para que no tengan todos los escritorios juntos, si no organizadas. Si queremos ponerle un icono en el escritorio de acceso directo, o organizarlo y que salgan iconos en el Menú Inicio del cliente de forma automática, y así no saben si son aplicaciones locales o de Citrix. "Siguiente",

 

Marcamos "Configure advanced desktop settings now" para poder configurar un poco más. Podemos desactivar el escritorio si no queremos que lo usen por ahora. "Siguiente",

 

Desde donde permitiremos conexiones, por defecto "Allow all other connections",

 

"Limir instances allowed to run in server farm" es cuantas veces queremos que esté abierto este escritorio simultáneamente, por ejemplo, si sólo tenemos licencias para que la usen 10 usuarios concurrentemente, deberíamos de marcarla e indicar 10. O una por usuario para que no abran 25 escritorios a la vez y los dejen desconectados por ahí. E incluso si es un PC que requiere mucho rendimiento podríamos darle más o menos prioridad desde "CPU priority level". "Siguiente",

 

Lo normal es que no tenga sonido el PC/escritorio, así que lo pordemos deshabilitar para que no chupe ancho de banda, desmarcando "Enable legacy audio". Modificamos lo que nos interese, SSL no lo habilitaremos ahora desde aquí, está explicado en otros tutoriales, también es importante dejar marcado el check de "Start this desktop without waiting for printers to be created" para que todo vaya más rápido y la primera vez mientras se copian los drivers al servidor y se crean en el servidor el usuario pueda trabajar, incluso tenemos el nivel de cifrado del protocolo ICA para está aplicación, podemos dejar el que trae por defecto o elevarlo si tenemos alguna razón. "Siguiente",

 

Es importante aquí poner en el tamaño de la ventana que sea "Full screen" para que no tenga bordes el escritorio y ya que es cómo si fuera su PC que ocupe toda la pantalla, para parecer que está más real. El color dependiendo de la conexión, lo normal es a 16bits. "Finish", y tendremos el escritorio ya publicado.

 

Si queremos crear un sitio Web Interface, podemos mirar este documento - AKISi queremos crear un sitio Program Neighborhood Agent, podemos mirar este documento - AKI

CITRIX - Configurando los Sitios en 4.5

 

En esta parte crearemos dos sitios uno será el sitio web para que los usuarios se puedan conectar a las aplicaciones sin necesidad de un cliente y otro el sitio del Agente del Program Neighborhood que servirá para minimizar las incidencias de los usuarios a nosotros los administradores, ya que todo será automático, simplemente les saldrá un icono en la barra de herramientas y desde ahí pueden acceder a las aplicaciones o si no, se configura para que sea desde el Menú Inicio o desde iconos en el escritorio. Requisito tener IIS instalado.

Sitio web para que se conecten los usuarios por web - AKI Sitio para el Agente del Program Neighborhood para los agentes - AKI

 

Web Interface de la 4.5,

Bueno, primero crearemos el sitio web para que puedan conectarse si fuera necesario por web, para ello abrimos la consola "Access Management Console",

 

Vamos a "Recursos Citrix" > "Herramientas de configuración" > "Crear sitio"

 

Y en este caso lo que vamos a crear es un sitio para que se conecten los usuarios por web, así que seleccionamos la primera opción "Sitio de Access Plataform" > "Siguiente"

 

Nos muestra los sitios de IIS donde nos creará el sitio de CTX, por defecto "Sitio Web predeterminado" y en la ruta "/Citrix/AccessPlatform/", podemos hacer que sea la web predeterminada del sitio marcando el check de "Definir como página predeterminada para el sitio IIS" > "Siguiente"

 

Si es el primer servidor con el sitio web marcaremos "Archivos locales", pero si tenemos un servidor con la configuración del sitio, con un diseño corporativo, podemos indicar que nos lo traiga desde la segunda opción "Siguiente"

 

"Usar autenticación integrada o Advanced Access Control" > "Siguiente",

 

Comprobamos que todo está ok para que nos cree el sitio... "Siguiente"

 

...

 

Pulsamos en "Finalizar" y comprobamos que el check que "Configurar este sitio ahora" esté marcado,

 

"Siguiente"

 

Indicamos el nombre de la comunidad, y abajo agregamos todos los servidores con Presentation Server que queremos que se acceda desde este Werb Interface. Indicamos en "Puerto del servidor" el puerto XML del servidor y su transporte "Siguiente",

 

Cuando nos crea este WI, nos pregunta si queremos que de acceso sólo a aplicaciones publicadas (1ª opción) o sólo a las aplicaciones distribuidas/Streaming (2ª opción) o a todas las aplicaciones que hayan, sean publicadas o de Streaming, esta opción parece la más interesante, marcamos "Streaming dual" y "Siguiente"

 

Comprobamos que todo está ok & "Finalizar",

 

Bien, el sitio ya está creado, ahora probamos a poner http://nombre_del_servidor_web_interface/citrix/accessplatform y perfecto, ahora nos logeamos con un usuario que tenga permisos para acceder y cargaríamos las aplicaciones,. En este documento está explicado cómo asegurar este Web Interface por si queremos usarlo por internet - AKI

 

Sitio para el Agente del Program Neighborhood,

Para crear este sitio se hace desde la misma consola, la abrimos "Access Managemient Console",

 

Vamos a "Recursos Citrix" > "Herramientas de configuración" > "Crear sitio"

 

En este caso es un sitio para el Agente del Program Neighborhood así que escogemos la segunda opción "Sitio de servicios del Agente de Program Neighborhood" > "Siguiente",

 

Indicamos en que sitio de IIS nos lo creará, nos creará el sitio "/Citrix/PNAgent" > "Siguiente",

 

"Archivos locales" > "Siguiente",

 

Comprobamos que todo esta bien y seguimos "Siguiente" para que nos genere este sitio,

 

...

 

Pulsamos en "Finalizar" y comprobamos que el check que "Configurar este sitio ahora" esté marcado,

 

"Siguiente"

 

Indicamos el nombre de la comunidad, y abajo agregamos todos los servidores con Presentation Server que queremos que se acceda desde este Werb Interface. Indicamos en "Puerto del servidor" el puerto XML del servidor y su transporte "Siguiente",

 

Para que tipo de aplicaciones servirá este sitio; nos pregunta si queremos que de acceso sólo a aplicaciones publicadas (1ª opción) o sólo a las aplicaciones distribuidas/Streaming (2ª opción) o a todas las aplicaciones que hayan, sean publicadas o de Streaming, esta opción parece la más interesante, marcamos "Streaming dual" y "Siguiente"

 

Ok, todo está bien, finalizamos y el sitio ya estará creado. Ahora sólo hay que tener en cuenta que cuando instalemos el cliente en algún PC marquemos el "Agente del Program Neighborhood" y así no habrá que configurar muchas cosas, si estamos en un dominio, sólo con los credenciales del usuario se verían las aplicaciones a las que tiene acceso en el Menú Inicio, o en el Escritorio o en la barra de herramientas.