21.09.2016

NetScaler 11.1 – What's new?

Nachdem uns das NetScaler-Team von Citrix vor gar nicht allzu langer Zeit mit der 11.0-Version ein neues Major Release unseres heißgeliebten Netzwerkallrounders beschert hat, wurde nun direkt nachgelegt. Mit der 11.1-Firmware (aktueller Build: 48.10) bleibt sich Citrix seiner Versionsstaffelung treu (10.0, 10.1, 10.5, 11.0, 11.1). Diese bringt einige interessante Änderungen sowie kleinere Gadgets mit sich, über die ich mir einen Überblick verschafft habe und die ich nachfolgend etwas auseinandernehmen werde.

Grundinstallation

Hier hat sich, wie auch zu erwarten war, eigentlich nichts geändert. Wie schon seit einer gefühlten Ewigkeit vergibt man über die Hypervisor-Konsole IP, Maske und Gateway und klickt sich dann durch den Ersteinrichtungswizard. Hier ist mir jedoch gleich eine zwar kleine, aber feine Sache aufgefallen, die ich in der 11.0-Version sehr positiv aufgenommen habe, die nun aber scheinbar wieder rückgängig gemacht wurde: das Anzeigen der HostID für das Herunterladen der Lizenz. Auch wenn es natürlich kein Weltuntergang ist, muss man sich nun wieder damit begnügen, das Einspielen der Lizenz auf „Do It Later“ zu verschieben, um dann im Systemoverview die HostID zu kopieren und sich via Citrix-Portal eine entsprechende Lizenz ausstellen zu lassen, während in der Vorgängerversion eben jene HostID schon beim Einrichtungswizard angezeigt wurde. Vielleicht kommt’s ja wieder, ich habe es jedenfalls damals mit dem Release der Version 11.0 sehr wohlwollend aufgenommen.

GUI

Die erste (optische) Veränderung, die sofort ins Auge sticht, ist die Überarbeitung der GUI. Diese sieht nicht nur erfrischend schick aus, sondern arbeitet auch gefühlt um einiges schneller als die manchmal doch recht lahmen Oberflächen, die man noch von der Version 11.0 oder 10.5 gewohnt war. Das aber nur als persönlicher Eindruck, da ich auch schon Gegenteiliges gehört habe.

Suche

Ebenfalls neu ist die Suchfunktion. Zwar gewöhnt man sich mit der Zeit an die einzelnen Menüpunkte und kann auch relativ zielsicher zu diesen navigieren, allerdings gibt es immer mal wieder Punkte, die man eben weniger häufig benutzt, und somit stellt diese Suche doch ein wirklich nettes Feature dar.

Speicherdiskette

Auch die nächste auffallende Änderung dient eher der Nutzerfreundlichkeit – die geliebte Speicherdiskette. Jeder, der schon ein paar Mal mit dem NetScaler gearbeitet hat, kennt das Szenario: Man konfiguriert, richtet ein und vergisst zu speichern – spätestens beim nächsten Firmwareupdate der Appliance muss man selbige rebooten und schon ist alles an Konfiguration verloren, was vorher nicht durch den einfachen Klick auf die Diskette gespeichert wurde. Damit dies nicht mehr (so einfach) passiert, weist NetScaler einen nun dezent darauf hin, wenn Änderungen an der Konfiguration vorliegen, die gespeichert werden müssen, damit sie den nächsten Reboot überleben.

Themes

Zu guter Letzt, zumindest was die optischen Neuerungen angeht, gibt es auch ein neues Portal Theme für das NetScaler Gateway, welches dem Feeling des Unified Gateway entspricht und sich RfWebUI nennt. Selbstverständlich kann man nach wie vor die üblichen Customizations vornehmen und auch seine eigenen Themes erstellen. Somit ändert sich hier lediglich die Anzahl der Templates und diese Neuerung reiht sich eher in die Kategorie „icing on the cake“ ein – nett, aber nicht unbedingt notwendig.

Bevor ich aber zu viele Worte (und Bilder) über die neuen Klicki-bunti-Features verliere, gehe ich auf die technischen Neuerungen ein, denn da gibt es ebenfalls ein paar, die (im Gegensatz zur damals groß vermarkteten Unified-Gateway-Innovation) wirklich nützlich und gut sind.

LoadBalancing

Mit der 11.1-Version kommt nun auch eine integrierte Möglichkeit, Anfragen auf den virtuellen LoadBalancing-Server auf HTTPS umzuleiten. War dies bisher nur über eine Policy oder einen toten Virtual Server, der über Port 80 lief, möglich, kann man nun direkt in den virtuellen Server eine Redirect-URL eintragen. Dafür muss der virtuelle Server natürlich mit dem SSL-Protokoll konfiguriert sein.

PAT ist übrigens im gleichen Atemzug verfügbar.

HTTP/2-Support

Ebenfalls erstmals mit dabei ist HTTP/2-Support für HTTP-Profile. Während man mit Microsoft-Mitteln mit IIS2016 arbeiten muss, um dort gehostete Webseiten mit einem anständigen HTTP/2-Support zu versehen, liefert NetScaler in seiner aktuellen Version diese Möglichkeit per einfacher Checkbox. Dies war zwar auch schon in der Version 11.0 verfügbar, allerdings nur für die physischen Ausführungen (MPX/SDX) – mit 11.1 wird HTTP/2 auch für die VPX unterstützt.

SAML-Metadata

Mit der immer größer werdenden Bedeutung von Microsoft Azure lassen sich über NetScaler nun auch SAML-Metadata erzeugen. Diese kann man dann im Zusammenhang mit Microsoft Azure oder auch ADFS verwenden, um sich einige unschöne und nicht ganz triviale Konfigurationsschritte zu sparen.

AlwaysOn

Das Beste kommt erfahrungsgemäß zum Schluss und hier hat Citrix sich wirklich etwas Feines überlegt. Das NetScaler Gateway kommt in seiner aktuellen Version mit dem Feature „AlwaysOn“ und bietet eine direkte Alternative zu Direct Access.

Je nach Konfiguration kann man in der Session Policy mitgeben, ob der VPN-Client eines Users direkt beim Booten versucht, sich mit dem Virtual Server des NetScaler Gateway zu verbinden und einzuloggen. Außerdem lässt sich auch die sogenannte „Client Control“ konfigurieren – man kann also dem Nutzer vorschreiben, ob er selbstständig in der Lage sein darf, die VPN-Verbindung zu trennen oder eben nicht. Dies ist in puncto Sicherheit und auch Client Experience ein großer Schritt nach vorne – einziges Manko: Citrix lässt sich diese Neuerung bezahlen. Wie schon bei ähnlich sinnvollen Features, wie z.B. EPA-Checks, müssen auch für „AlwaysOn“ Concurrent User Licences verwendet werden, welche man einzeln zukaufen kann. Wer allerdings schon Geld für oben genannte Pre-Authentication-Checks ausgibt, der sollte definitiv auch darüber nachdenken, dies für das „AlwaysOn“-Feature zu tun. 

So viel zu einem groben Überblick über die Änderungen des neuen Major Release von Citrix NetScaler, über dessen Implementierung mit damit verbundenem Upgrade auf das entsprechende Release man sich Gedanken machen könnte.

Allerdings gilt wie auch schon zum 11.0-Release: Es lohnt sich, fürs Erste abzuwarten, ob und was für Probleme mit der neuen Version auftreten könnten und wie schnell diese behoben werden. Auch wir testen das neue Major Release ausgiebig und sind noch nicht so weit, sagen zu können, dass man ein Update bedenkenlos empfehlen kann. Auf alle Fälle lohnt es sich, die Entwicklung und Popularität im Auge zu behalten – viele der Features sind zu vielversprechend als dass man sie einfach an sich vorbeiziehen lassen könnte.

Abschließend noch ein kleiner Überblick über ein paar Neuerungen, die es nicht in diesen Blogeintrag geschafft haben, über die man sich aber bei Interesse natürlich gern weiter informieren kann:

  • einfacheres Zertifikatsmanagement durch getrennte Menüpunkte von Keyfiles (SSL Files), Server Certificates, CA Certificates und Client Certificates
  • VLAN to VXLAN Bridge (eher für physische NetScaler interessant): bietet die Möglichkeit, VNIs auf VLANs im physischen Netzwerk zu mappen, und bringt somit auch vTEP-Support mit sich
  • NetScaler Gateway ICA Policies und Profiles: hauptsächlich sogenannte Latency Profiles, über die sich konfigurieren lässt, ob bei einer Latenz von z.B. mehr als 40 ms noch Drive Mapping über ICA stattfinden soll

Jens Ostkamp
Consultant

Unsere Blogs