vendredi 12 novembre 2010

[UAG] Configurer DirectAccess pour supporter les connexions Citrix

Je tiens tout d'abord à remercier Tom Shinder qui m'autorise à traduire son article avec des apports suite à un déploiement que j'ai effectué récemment.

Lors de déploiement de DirectAccess je me suis aperçue que le client Citrix faisait partie des applications qui ne fonctionnait pas trés bien au travers de ce type de connexion. Vous trouverez dans cet article un complément d'information afin que l'accès client à Citrix fonctionne au travers de DirectAccess.


Il faut savoir que le client Citrix peut dialoguer en IPv6 uniquement vers le rôle serveur Citrix Secure Gateway (CSG). Pour mettre en place une architecture fonctionnelle vous devrez :
  1. Installer une CSG sur le réseau interne (normal vue que DirectAccess permet "d'être sur le LAN") avec les pré requis suivants :
    • La CSG doit être installée sur un Windows 2008
    • La carte réseau doit posséder une IPv4 et une IPv6.
  2. Configurer la Citrix Web Interface pour qu'elle utilise la CSG
  3. Créer une règle NRPT afin de pointer sur un serveur DNS interne au lieu de passer par UAG DNS64
Il faut savoir que les clients Citrix ne supportent pas par défaut l'IPv6, sauf si ces derniers se connectent au travers d'une Citrix Secure Gateway (CSG). Ce serveur peut être publié sur Internet, mais il est dans ce cas précis d'utilisation conseillée de le positionner dans le LAN, avec une adresse IPv4 et IPv6 (cette dernière peut être attribué nativement ou via ISATAP). Voici le fonctionnement de base :
  1. Le client monte une connexion DA.
  2. L'utilisateur utilise son navigateur pour se rendre sur la Citrix Web Interface et s'y authentifier.
  3. La Web Interface compile une liste des applications auxquelles l'utilisateur a accès et les affiches à l'utilisateur.
  4. L'utilisateur lance une application et la Web Interface initialise sur le client le plug-in Citrix.
  5. Le plug-in Citrix ouvre une session au serveur au travers de la CSG en accord avec les informations de connexion fournis par la Web Interface. Dans le cas présent les informations tel que le SSLProxy (CSG) et le Secure ticket authority sont aussi fournies.
Afin de configurer la CSG, citrix a publié à l'adresse suivante http://support.citrix.com/proddocs/index.jsp?lang=en&topic=/xenapp5fp-w2k8/sg-features-v2.html une méthode pour le support de l'IPv6.



Note : Le plug-in client doit être 11 ou plus. De plus le certificat de la CSG doit être de confiance et valide.


Enfin, même si il semblerait que le client Citrix puisse se connecter en IPv6 au travers de la CSG, ce dernier requière le FQDN afin de résoudre l'adresse IPv4 et IPv6. Afin d'y parvenir, il faut ajouter une exception pour la CSG dans la table NRPT présente dans la configuration DirectAccess d'UAG afin d'utiliser un serveur DNS interne au lieu d'UAG DNS64.

Il faudra alors s'assurer que sur le service DNS en interne que le FQDN de la CSG possède une entrée A et AAAA.

Sans ces actions le service UAG DirectAccess DNS64, ne renverra jamais l'adresse IPv4 (seul l'adresse NAT64 sera renvoyée), posant certains problèmes au niveau du client Citrix.

Voici un exemple de configuration de la NRPT :

Attention : spécifiez qu'une adresse IP en tant que serveur DNS, plus d'information ici.

Aucun commentaire:

Publier un commentaire