Citrix, NetScaler, XenDesktop

Howto: Webinterface on NetScaler 11

Obwohl schon längst in die Jahre gekommen gibt es immer wieder Szenarien, in denen ein Citrix Webinterface 5.4 implementiert werden muss. In einem aktuellen Kundenprojekt begründet durch die Inkompatibilität einer Hand voll älterer ThinClients zu Citrix Storefront. Nachdem das Webinterface nur noch bis Server 2008 R2 lauffähig und supported ist blieben somit zwei Möglichkeiten:

  1. Installation eines Standalone-Webserver für das Hosting des Webinterfaces
  2. Implementierung des Webinterface on NetScaler mit der vorhandenen NetScaler VPX

Die Vorteile der NetScaler-Lösung liegen auf der Hand: HA durch zwei Appliances, kein patchen der Komponenten, weniger Ressourcen im Vergleich zum Windows-Server.

Ich möchte die Konfiguration hier gerne aufzeigen:

Umgebung

Webinterface_on_NS2

Die verwendete Umgebung basiert auf den bereits veröffentlichten Beiträgen:

NetScaler Loadbalancing – Storefront
NetScaler Loadbalancing – Desktop Delivery Controller

Das Webinterface für NetScaler ist in allen NetScaler-Editionen (Express/Standard/Enterprise/Platinum) verfügbar – in der Gateway-Edition ist es nicht enthalten. Eine kostenlose Express-Lizenz lässt sich hier beantragen:

Citrix NetScaler Express – Kostenlose Lizenz beantragen

Download

Folgende Sourcen werden zur Installation benötigt:

citrix.com – Downloads: Webinterface on NetScaler
sharefile.com – OpenJDK 1.17.92_2

Implementierung

Für die Implementierung benötigen wir:

  • IP für LB vServer (hier: 10.0.1.225)
  • DNS-Eintrag für LB vServer (hier: webinterface.domain.local)
  • Entsprechende Sourcen (WI + Java, siehe Download)

Installation Webinterface

Für die Installation des Webinterfaces kopieren wir die heruntergeladenen Sourcen nswi-1.8.tgz und openjdk-7.17.02_2.tbz nach /var/tmp/.

Danach Starten wir die Installation mit folgendem Parameter:

install wi package -wi "file:///var/tmp/nswi-1.8.tgz" -jre "file:///var/tmp/openjdk-7.17.02_2.tbz" -maxSites 3

Wichtig hierbei ist hier die Option -maxSites:

Web Interface Sites Memory Required (MB)
3 192
25 768
50 1280

vServer erstellen

Nach Installation der WI-Erweiterung benötigen wir einen neuen LB-vServer:

add lb vserver vserver-80-WEBINTERFACE HTTP 10.0.1.225 80 -persistenceType NONE -cltTimeout 180

Service

… sowie einen neuen Service:

add service service-WEBINTERFACE 127.0.0.1 HTTP 8080 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

Der Service wird an den neu erstellten vServer gebunden:

bind lb vserver vserver-80-WEBINTERFACE service-WEBINTERFACE

 

WebSite erstellen

Nun folgt die eigentliche Konfiguration der Webinterface-Site:

 add wi site "/Citrix/XenApp/" -defaultAccessMethod Direct -domainSelection domain.local -hideDomainField ON

Sowie die Farm-Konfiguration

bind wi site "/Citrix/XenApp/" XD-SITE xddc.domain.local -xmlPort 443 -transport HTTPS

Webinterface_on_NS
Dies führt in den meisten Umgebungen bereits zum Erfolg: Ein Login ist möglich und die Anwendungen können gestartet werden.
Webinterface_on_NS_2

Die weitere Anpassung der Site kann über die webinterface.conf erfolgen. Diese befindet sich unter  /var/wi/tomcat/webapps/Citrix/XenApp/WEB-INF/

Zusätzliche SSL-Zertifikate

Ist nach obiger Konfiguration kein Login möglich liegt dies sehr wahrscheinlich an einem nicht-getrusteten SSL-Zertifikat. Hierzu muss die (evtl. auf dem NetScaler bereits installierte) CA in die Java-eigene cacerts importiert werden.

Vorab ein Backup der aktuellen cacerts durchführen..

cp /var/wi/java_home/jre/lib/security/cacerts /var/wi/java_home/jre/lib/security/cacerts.bak

.. die CA RootCA.cer nach /flash/nsconfig/ssl/ kopieren und importieren:

 /var/wi/java_home/jre/bin/keytool -import -trustcacerts -file /flash/nsconfig/ssl/RootCA.cer -alias RootCA -keystore /var/wi/java_home/jre/lib/security/cacerts

Das Passwort zum Import lautet changeit

Die Vorgehensweise ist auch in CTX127615 (siehe Quelle) dokumentiert – hier wurden jedoch teilweise veraltete Pfade verwendet (NS9.x).

Wie immer gilt:
Für Vollständigkeit, Fehler redaktioneller und technischer Art, Auslassungen usw. sowie die Richtigkeit der Inhalte wird keine Haftung übernommen. Umsetzung auf eigene Gefahr.

Quelle:

http://support.citrix.com/article/CTX130153
http://support.citrix.com/article/CTX127615