08.10.2015

Citrix Unified Gateway – neues altes Feature des Citrix NetScaler Major Release

Der NetScaler von Citrix dient als Application Delivery Controller und ist das Herzstück aller eingehenden Verbindungen einer Citrix-Umgebung. Zwar fungiert der NetScaler in seiner Grundfunktion als einfacher Reverse-Proxy, kann jedoch mit richtiger Konfiguration und entsprechender Lizenzierung von einfachem Load Balancing und Content Switching bis hin zu komplexen Securityoptimierungen und Authentifizierungskonstrukten das tägliche IT-Leben um ein Vielfaches erleichtern.

Da seit dem neuesten Major Release (11.0) schon einige Wochen vergangen sind, ist es nun Zeit, ein erstes kleines Fazit zu ziehen, bei dem ich mich vor allem auf das groß angekündigte Unified Gateway (ehemals NetScaler Gateway/Citrix Access Gateway) beziehen möchte, da dieses neu eingeführte bzw. neu vermarktete Feature eine in Zukunft maßgebliche Veränderung der momentanen NetScaler-Architektur darstellen könnte.

Citrix verspricht, mit dem Unified Gateway über eine einheitliche URL, einen virtuellen Server und somit nur eine zu vergebende IP sämtlichen Traffic umzusetzen, welcher innerhalb des NetScalers weitergeleitet und verarbeitet wird. Das allein klingt schon deshalb interessant, da der NetScaler bisher doch eher als sehr IP-intensive Appliance galt.

Ein zusätzliches Nice-to-have-Feature kommt mit einem leicht bitteren Beigeschmack: optische Customizations. Wie vermutlich den meisten bekannt ist, war es bisher nicht so ohne Weiteres möglich, grafische und gestalterische Anpassungen an der Anmeldeseite des NetScaler Gateway vorzunehmen. Man konnte zwar die .css- und .html-Dateien verändern und selbige in den NetScaler importieren, allerdings wurden diese nicht synchronisiert, waren nicht persistent und man musste, abgesehen vom aufwändigen Herumdoktern, noch das eine oder andere Skript schreiben, um ein halbwegs akzeptables Ergebnis zu erreichen. Mit dem neuesten Release hat Citrix dieses Problem zwar einerseits abgeschafft, indem man nun relativ komfortabel per GUI und einfachem Upload von Bildern (bei dem allerdings im Vorfeld die Bilder pixelgenau angepasst und bearbeitet werden müssen) individuelle Themes erstellen kann, andererseits wird nun sämtliches Editieren von .css- und .html-Dateien herstellerseitig nicht mehr unterstützt und somit gibt es keine Garantie für die volle Funktionalität über diesen Weg. Das bedeutet, dass beispielsweise ein Bild (oder ein komplett erstelltes Theme), welches nicht über die GUI eingepflegt wird, nicht zwangsläufig bei einer Hochverfügbarkeitslösung auf allen angebundenen Appliances zur Verfügung steht. Auch wenn einem nun umfangreiche Bordmittel mitgegeben werden (es lassen sich beispielsweise auch die Watermarks und Citrix-Schriftzüge ein-/ausblenden), bietet das Editieren in der Datei selber natürlich viel mehr Möglichkeiten.

Die wohl interessanteste Änderung aus technischer Sicht ist, dass das Content Switching, mit dem das UG arbeitet, erstmals als oberste Instanz gilt, also noch vor dem virtuellen Server des NetScaler Gateway (bzw. des Unified Gateway) steht und somit jegliche Kommunikation vom virtuellen Server des Content Switching ausgeht, welches den Traffic innerhalb des NetScalers entsprechend weiterleitet. Das bietet den entscheidenden Vorteil, dass eine Vielzahl von Diensten hinter ein und derselben IP-Adresse angebunden werden können und diese dann durch in Policies festgelegte Einstellungen (z.B. Hostname) separiert werden. Somit ist es von jetzt an ebenfalls möglich, mehrere Dienste hinter einer IP zu verstecken, ohne eine endlose Anzahl an verschiedenen Ressourcen aufbringen zu müssen. Bei der restlichen Funktionalität hinsichtlich des Veröffentlichens von Diensten über das Load Balancing gibt es natürlich keine Einschränkungen, lediglich die Anfragenverarbeitung hat sich von der Abfolge her geändert.

Ansonsten ist das Unified Gateway vor allem eine Art Zusammenfassung vieler schon vorhandener Features, die durch ein paar gut implementierte Ideen und Änderungen aufgepeppt wurden.

Ein weiterer Punkt ist die nun entstandene Möglichkeit, das Unified Gateway als Vorauthentifizierung für sämtliche Dienste zu verwenden. Allerdings sind die unterstützten Anmeldemethoden noch nicht komplett mit denen der AAA-Dienste abgestimmt – zum Beispiel fehlt bisher noch die Möglichkeit, eine Negotiation-Authentifizierung (wie Kerberos/NTLM) über das Unified Gateway zu konfigurieren. Sollte man also schon konfigurierte Dienste haben, welche zwingend Kerberos bzw. NTLM erfordern, ist es momentan noch nicht möglich, diese in Verbindung mit dem Unified Gateway abzudecken.

Um das Unified Gateway nutzen zu können, muss jedoch der NetScaler mindestens auf Version 11.0 aktualisiert werden und nach unseren bisherigen Tests kann die Appliance aufgrund von Fehlern und Funktionsstörungen in verschiedenen Bereichen noch nicht als Stable Release angesehen werden, weshalb wir von einem zeitnahen Update abraten würden.

Das Fazit fällt also eher gemischt aus. Zwar bietet das Unified Gateway in der Theorie einen wirklich guten Ansatz und trägt auch zur organisatorischen Verschlankung der Infrastruktur bei: Das Veröffentlichen sämtlicher Services über eine IP-Adresse (Zugriff auf Web-Apps, Enterprise-Apps, sämtliche XenApp/Desktop-Sessions etc.) sowie die Einführung eines rudimentären RDP-Proxys sind nur ein paar der Features, die das UG mit sich bringt – vor allem das Visualisieren der verschieden eingerichteten Authentifizierungswege ist eine wirklich nette und sinnvolle Idee. Allerdings scheinen viele Neuerungen der 11.0-Version - und somit auch das UG in seinem vollen Funktionsumfang - noch unausgereift zu sein, so dass man einen produktiven Einsatz nicht guten Gewissens riskieren sollte. Daher die klare Empfehlung, auf das Update der Version 11.0 und die damit verbundene Funktion des Unified Gateway derzeit zu verzichten und auf den stabil laufenden 10.5-Build zu vertrauen.

Jens Ostkamp
Consultant

Unsere Blogs