Руководство администратора клиента Citrix ICA Win32 (v.7.0)
Содержание
Набор клиентов ICA Win32
MetaFrame предлагает выбор из нескольких клиентов ICA Win32 Clients для использования на 32-битных системах Windows:
Выбор клиента
Каждый из клиентов ICA Win32 Client имеет свои преимущества и недостатки. Перед тем, как выбрать тот или иной клиент, вы должны определиться со способом доставки приложений пользователям.
Доступ к приложениям через рабочий стол
Агент ICA Win32 Program Neighborhood Agent предоставляет доступ к опубликованным приложениям через привычный интефейс рабочего стола Windows.
ICA Win32 Program Neighborhood Agent
Пользователи работают с опубликованными ресурсами так же, как с локальными приложениями и файлами. Опубликованные ресурсы видны в виде иконок на рабочих столах пользователей, включая меню "Пуск" и панель задач Windows. Пользователи могут щелкать, перемещать, копировать иконки, создавать на них ссылки. Агент Program Neighborhood работает в фоновом режиме. Кроме контекстного меню, вызываемого из системного трея, он не имеет пользовательского интефейса.
Все пользователи, запускающие у себя Program Neighborhood Agent, подключаются к центральному файлу конфигурации. После своего запуска этот клиент периодически загружает свои настройки из файла конфигурации, находящегося на сервере NFuse Classic (или Web Interface). Вы может изменить настройки в любое время.
Для Program Neighborhood Agent требуется NFuse Classic или Web Interface, а также веб-браузер на устройстве клиента (поддерживаются Microsoft Internet Explorer 5.0 и выше, или Netscape Navigator 4.78, 6.2 и выше). Поскольку соединение осуществляется по стандартным протоколам HTTP или HTTPS, вы можете использовать Program Neighborhood Agent с межсетевыми экранами, на которых открыты порты 80 или 443.
В зависимости от метода развертывания размер инсталляции этого клиента может варьировать от 1.9MB до 2.8MB.
Доступ к приложениям через Web-Браузер
ICA Win32 Web Client
Пользователи получают доступ к опубликованным ресурсам из своего веб-браузера, щелкнув по соответствующей ссылке на странице HTML. Веб-клиент не требует настройки от пользователя. Он работает в фоновом режиме и не имеет пользовательского интерфейса.
Вы можете использовать ICA Win32 Web Client для предоставления доступа к ресурсам, опубликованным с помощью NFuse Classic (или Web Interface), а также традиционного Application Launching and Embedding (ALE).
Для работы этого клиента требуется наличие на устройстве клиента Microsoft Internet Explorer >5.0 или Netscape Navigator 4.78, 6.2 и выше. ICA Web Client не содержит пользовательского интефейса и файлов помощи. Его размер около 1.8Мб; его можно быстро загрузить и инсталлировать. Его также можно упаковать в файл .Cab.
ICA Win32 Web Client (минимальная инсталляция)
Минимальная инсталляция клиента очень удобна в тех случаях, когда многие особенности не нужны - например, отображение портов COM, унивесальный драйвер печати, аудио и пр.
Доступ через интерфейс пользователя
ICA Win32 Program Neighborhood Client
С помощью ICA Program Neighborhood Client пользователи могут получать список наборов приложений, создавать собственные соединения с сервеами MetaFrame или индивидуальными опубликованными ресурсами. Вы можете выбирать собственные иконки.
Выбирайте этого клиента, если вы не хотите публиковать ресурсы с помощью NFuse Classic или Web Interface. Хотя этот клиент не требует наличия NFuse Classic или Web Interface, вы можете использовать его в том числе для доступа к приложениям, опубликованных с помощью NFuse Classic, Web Interface или ALE.
Размер инсталляции варьируется от 2.2Mб до 3.2Mб.
Что нового в версии 7.0
Помимо новых возможностей, в версии 7 клиентов ICA Win32 улучшена производительность в следующих областях:
Program Neighborhood Agent Admin Tool. Это инструмент, управляемый через веб, используется для настройки Program Neighborhood Agent для пользователей. В нем вы можете определить настройки по умолчанию для ярлыков, размер и количество цветов экрана, аудио, метод регистрации и многое другое. Вы также можете разрешить или запретить пользователям менять многие из этих параметров. Admin Tool располагается на серверах Web Interface for MetaFrame XP. В предыдущих выпусках Program Neighborhood Agent файл конфигурации приходилось редактировать вручную. Program Neighborhood Agent Admin позволяет теперь быстро и легко менять файл конфигурации.
Program Neighborhood Agent Admin поддерживает несколько файлов конфигурации, может делать резервные копии, позволяет ограничивать к себе доступ .
Поддержка динамических имен клиентов. Клиенты ICA Win32 теперь поддерживают динамические имена клиентов. При инсталляции имя клиента берется из имени машины и меняется при ее изменении.
SpeedScreen browser acceleration. Технология SpeedScreen для браузеров повышает производительность при использовании Internet Explorer для подключения к серверу MetaFrame XP. SpeedScreen доступна только для Internet Explorer Version 5.5 и выше. Преимущества:
Универсальный драйвер печати. Теперь с универсальным драйвером можно печатать в цвете на принтерах высокого разрешения (600 dpi). Драйверы принтеров могут автоматически инсталлироваться для сетевых принтеров, причем принудительно проводится проверка совместимости.
Поддержка NTLM. В версии 7.0 включена поддержка NTLM. На клиентах Windows 95, 98, Me вы должны вручную включить аутентифиацию NTLM.
Поддержка проверки списка отозванных сертификатов. При подключении к серверу MetaFrame XP, клиенты ICA Win32 теперь могут проверять, не был ли отозван сертификат севера. Эта возможность улучшает криптографическую аутентификацию сервера и улучшает общую защищенность соединения SSL/TLS между клиентом ICA Win32 и сервером MetaFrame XP.
Подготовка клиентов к распространению
Вы можете раздавать клиентов пользвателям следующими способами:
Подробнее о каждом из методов см. "Руководство администратора"
Использование Microsoft Systems Management Server или Active Directory Services
ICA Win32 Program Neighborhood Client и Program Neighborhood Agent поставляются в виде пакетов Windows Installer (.msi). Они находятся на CD в каталоге Icaweb\language\ica32, где language может принимать значение En, Fr, De, Ja, Es. Аналогичные файлы для Program Neighborhood Agent располагаются в каталоге Icainst\language\ica32\pnagent.
Для установки ПО клиента на устройстве клиента должен быть установлен Windows Installer. По умолчанию он присуствует в Windows 2000. Для более ранних версий Windows вам необходимо загрузить Windows Installer 2.0 с сайта Microsoft.
Про создание веб-сайта загрузки клиентов или сетевую папку и так понятно...
Создание инсталляционных дискетт
Для создания инсталляционных дискетт вы можете использовать ICA Client Creator. Вам потребуется 3 дискетты 3.5 дюйма, 1.44Мб.
Создание дискетт на сервере Windows 2000
Создание дискетт на сервере Windows 2003
ICA Client Creator не работает на Windows Server 2003. Вы должны создать дискетты вручную:
Установка и настройка ICA Win32 Program Neighborhood Agent
Обзор
ICA Win32 Program Neighborhood Agent включает следующие особенности:
Системные требования
Установка ICA Win32 Program Neighborhood Agent
Вы можете установить Агента используя один из следующих пакетов:
Установка ICA Win32 Program Neighborhood Agent с пакетом Windows Installer
Пакет находится в следующих каталогах:
Icaweb\En\ica32
Icainst\En\ica32\pnagent
Для установки вам необходим уже установленная служба Windows Installer. она по умолчанию присутствует в Windows 2000; для более старых версий Windows вам следует загрузить Windows Installer с сайта Microsoft.
Для удаления Агента с компьютера клиента воспользуйтесь пунктом "Установка/удаление программ" в панели управления
Настройка пакета для тихой инсталляции
Вы можете настроить пакет Program Neighborhood Agent для "тихой" инсталялции. Windows Installer сообщит пользователю лишь то, что клиент успешно установлен. Пользователю нужно будет толлько закрыть окно сообщения.
Установка самораспаковывающегося архива
Для настройки "тихой" установки:
Для установки Program Neighborhood Agent из самораспаковывающегося архива на машине клиента:
Централизованная настройка ICA Win32 Program Neighborhood Agent
Метод регистрации пользователя, ярлыки, доступ к интерфейсу пользователя определяются опциями, настраиваемые инструментом Program Neighborhood Agent Admin.
Настройки сохраняются в файле конфигурации, расположенном на сервере Web Interface. После запуска Агента клиенты считывают конфигурационные данные с этого файла с заданным интервалом времени. Это позволяет клиенту динамически отображать опции пользователям.
Program Neighborhood Agent Admin Tool
Файл конфигурации, Config.xml, устанавливается с настройками по умолчанию. В большинстве случаев он готов к использованию без модификации. Однако, при необходимости вы можете отредактировать его или создать несколько файлов конфигурации. Для этого используется инструмент Program Neighborhood Agent Admin.
Для доступа к Program Neighborhood Agent Admin откройте страницу http://servername/Citrix/PNAgentAdmin/ на сервере Web Interface.
Файлы конфигурации
Файл конфигурации Config.xml при установке помещается в каталог \Inetpub\wwwroot\Citrix\PNAgent на сервере Web Interface. Новый файл, создаваемый Program Neighborhood Agent Admin, а также его резервная копия, находятся в том же каталоге. Файлы конфигурации служат для следующего:
Файл конфигурации содержит несколько параметров, которые появляются в виде опций в диалоговом окне свойств. Пользователи могут выбирать доступные опции для настройки своих сеансов ICA, включая режим регистрации, размер экрана, качество звука и размещение ссылок на опубликованные ресурсы.
Вы можете создать несколько файлов конфигурации. После создания нового файла на сервере Web Interface сообщите пользователям новый URL сервера, содержащего новый файл.
Замечание. По умолчанию использование SSL/TLS, а также использование смарт-карт, отключено. Вы должны активировать эти функции в свойствах сервера с помощью Program Neighborhood Agent Admin. Кроме того, вы должны включить SSL на сервере MetaFrame server.
Перед развертыванием в своей сети Program Neighborhood Agent, вы должны протестировать вашу конфигурацию, установив копию клиента на выделенной машине. Затем выясните, нужны ли дополнительные настройки.
Внимание. Настройки в файле конфигурации являются глобальнымии затрагивают всех пользователей, подключающихся к этому файлу.
Настройка для фермы
Program Neighborhood Agent Admin разбит на несколько разделов: Client Tab Control, Server Settings, Logon Methods, Application Display, Application Refresh и Session Options. Вы можете определить, какие закладки будут видны в диалоге Properties в Агенте, а также какие опции пользователям разрешено менять.
Диалог свойств Агента открывается из панели задач. Вы можете выбрать спрятать или показать закладки в разделе Client Tab Control, включая закладки Server, Application Display, Application Refresh и Session Options.
Показ и скрытие закладок в диалоге свойств
Диалог свойств отображает до четырех закладок: Server, Application Display, Application Refresh и Session Options. Вы можете запретить пользователям менять отдельные опции. Для этого вы можете спрятать закладку, используя Program Neighborhood Agent Admin.
Разрешение и запрещение изменения отдельных опций
Server. Здесь вы можете настроить соединение с сервером и параметры обновления конфигурации, а также перенаправление пользователей на сервер Web Interface используя FQDN или пользовальский URL. Здесь также включается SSL/TLS.
Logon Methods. Предоставляет выбор методов регистрации. Методы регистрации включают в себя анонимный, смарт-карта, смарт-карта со сквозной аутентифиацией, запрос пользователя, сквозная аутентификация. Если выбрано несколько методов, пользователи могут выбирать из списка предпочтительный.
По умолчанию пользователи, у которых запрашиваются учетные данные, могут сохранять свои пароли. Для запрещения этого сбросьте флажок "Allow user to save password".
Если вы не хотите предоставить пользователям доступ ко всем этим опциям, вы можете использовать закладку Client Tab Control чтобы вообще спрятать закладку Server.
Application Display. Опции на закладке Application Display позволяют пользователям размещать ссылки на опубликованные ресурсы на своем рабочем столе, включая меню "Пуск", панель задач. Здесь вы можете указать, какие опции пользователи могут изменять.
Session Options. На этой закладке вы можете установить для сеансов ICA размер экрана, глубину цвета, качество звука. Эти настройки влияют на пропускную способность сети.
Application Refresh. Опции на закладке Application Refresh позволяют настроить частоту, с которой клиент ICA запрашивает у сервера Web Interface обновленный список опубликованных ресурсов. Эта закладка по умолчанию скрыта в окне свойств. Если вы хотите, чтобы пользователи сами могли менять частоту обновления, вам надо включить эту возможность.
Установка и настройка веб-клиента
ICA Win32 Web Client используется для предоставления доступа к опубликованным ресурсам посредством обычного веб-браузера. Для его использования необходим сервер Web Interface for MetaFrame XP, NFuse Classic или ALE (Application Launching and Embedding).
Полный веб-клиент доступен в виде самораспаковывающегося архива и в виде файла .cab. Его размер около 1.8Мб - значительно меньше, чем у других клиентов. Это позволяет его быстро загружать и инсталлировать. Также можно настроить "тихую" инсталляцию.
Версия ICA Win32 Web Client (Minimal Installation) является уменьшенной версией веб-клиента, предназначенной для поддержки лишь основных функций MetaFrame XP для пользователей Internet Explorer. Его размер около 1Мб. Используйте его в том случае, когда загрузка больших объемов данных нежелательно.
Особенности веб-клиента
Особенность
ICA Win32 Web Client
ICA Win32 Web Client
(минимальная инсталляция)
User-to-user shadowing
+
Поддержка смарт-карт
+
+
Редирект контента
+
Поддержка расширенной публикации контента
+
+
Восстановление соединений перемещаемых пользователей
+
Поддержка SSL/TLS для данных ICA
+
+
Поддержка Secure Gateway
+
+
Поддержка прокси
+
Автовосстановление соединения
+
+
Поддержка NDS
+
Расширенная передача параметров
+
Цельные окна
+
Отображение дисков
+
+
Отображений устройств
+
Отображение принтеров
+
+
Звук
Поиск сервера по TCP/IP+HTTP
+
+
Мышь с колесиком
+
Несколько мониторов
+
Панорамирование и масштабирование
+
Временные зоны клиента
+
Буфер обмена
+
Низкие требования к пропускной способности
+
+
SpeedScreen latency reduction
+
кеширование и компрессия данных
+
Системные требования
Настройка веб-клиента для тихой инсталялции
Обычно при установке клиента пользователю приходится щелкать мышью по кнопкам в окнах приветсвия, лицензионного соглашения и при завершении установки. Вы можете свести к минимуму вмешательсво пользователя в процесс установки, подготовив специальный дистрибутив.
Установка
Обычный веб-клиент
Запустите на исполнение файл Ica32t.exe из каталога Icaweb\en\ica32.
Минимальный веб-клиент
Файл Wficac.cab находится в каталоге Icaweb\en\ica32.
Вы можете для загрузки этого файла вставить в веб-страницу следующий код:
<OBJECT classid="clsid:238f6f83-b8b4-11cf-8771-00a024541ee3" data="np.ica" CODEBASE="http://веб-сервер/путь_к_файлу/wficac.cab" width='640' height='480' hspace='2' vspace='2'><param name="Start" value="Auto"><param name="Border" value="On"></OBJECT>
Чтобы файл загрузился, небходимо добавить указанный сервер в список доверенных сайтов.
Установка и настройка ICA Win32 Program Neighborhood Client
С помощью Citrix ICA Win32 Program Neighborhood Client пользователи могут подключаться к серверу MetaFrame следующими сопособами:
Замечание. Удаленные пользователи могут подключаться к серверу MetaFrame XP на платформе Windows Server 2003 только через TCP/IP. Terminal Services в Windows Server 2003 не поддерживают удаленные соединения по протоколам IPX/SPX, NetBIOS, а также асинхронный транспорт.
Вы также можете использовать Remote Access Service (RAS) или "Удаленное соединение" (Dial-Up Networking, DUN) в комбинации с клиентом ICA. Для этого типа сединения клиент должен удовлетворять следующим требованиям:
Выбор протокола для ICA Browsing
Настройки сетевых протоколов позволяют выбрать способ, которым клиент ICA будет призводить поиск серверов MetaFrame и способ связи с ним.
Если вы выбрали сетевой протокол TCP/IP+HTTP, клиент ICA для поиска серверов использует протокол HTTP. Выберите этот протокол при использовании клиента через интернет или через межсетевые экраны и прокси-серверы. Выберите SSL/TLS+HTTPS для использования защищенной связи.
Использование протокола TCP/IP+HTTP дает следующие преимущества:
Если вы выбрали TCP/IP+HTTP, то укажите в Клиенте серверы, к которым следует обращаться за браузингом, введя в поле Address List адреса IP или имна DNS серверов MetaFrame. В этом случае клиент ICA будет связываться со службой XML указанного сервера.
По умолчанию, если сервер не указан, клиент пытается разрешить имя "ica" в адрес IP. В списке адресов это обозначается виртуальным именем "ica". Эта особенность дает вам возможность настроить DNS или WINS так, чтобы имя "ica" соответствовало адресу IP сервера, обслуживающего запросы XML от клиентов ICA.
Для поиска службы XML, клиент ICA делает соединение на порт 80 сервера MetaFrame. Если, например, пользователь запускает опубликованное приложение, служба XML передает клиенту адрес IP сервера MetaFrame, на котором это приложение опубликовано.
В случае протокола TCP/IP+HTTP коммуникация между клиентом и службой XML состоит в передаче данных в формате XML в пакетах HTTP. Широковещательная рассылка сетевых пакетов не производится.
Коммуникация со службой Citrix XML Service
Citrix XML Service по умолчнию утанавливается на все серверы MetaFrame XP. Она также устанавливается вместе с Feature Release 1 for MetaFrame 1.8.
Если вы выбрали протокол TCP/IP+HTTP, служба XML Service передает клиентам информацию об опубликованных приложениях используя протокол HTTP и данные в формате XML. Служба XML также сообщает информацию об опубликованных приложениях серверам NFuse Classic и Web Interface. Например, когда пользователь запускает опубликованное приложение из клиента Program Neighborhood Client, клиент посылает запрос приложения. Служба XML отвечает адресом сервера MetaFrame, на котором опубликовано это приложение. В сслучае NFuse Classic или Web Interface, пользователь открывает веб-страницу своим веб-браузером. Служба XML предоставляет список опубликованных приложений серверу NFuse (или Web Interface). Затем сервер отображает доступные приложения на персонализированной веб-странице.
Если вы выбрали протокол SSL/TLS+HTTPS, клиент для поиска серверов использует протокол HTTPS. Коммуникация между клиентом и сервером осуществляется по протоколу SSL/TLS. SSL/TLS+HTTPS предоставляет сильное шифрование траффика ICA и аутентификацию на сервере MetaFrame. Используйте его в случае подключения через интернет или через межсетевыце экраны и прокси-серверы.
Если вы используете SSL/TLS+HTTPS, то должны указать полностью квалифицированное доменное имя сервера, содержащего цифровой сертификат.
Протоколы TCP/IP+HTTP и SSL/TLS+HTTPS должны использоваться только с совместимыми версиями MetaFrame. Более подробная информация о настройке серверов для использования SSL/TLS содерджится в "Руководстве администратора сервера MetaFrame XP"
Если вы выбрали в качестве сетевого протокола TCP/IP и в списке адресов содержится (Auto-Locate) (автопоиск), то клиенты ICA для поиска сервера MetaFrame рассылают широковещательные пакеты UDP службе ICA browser на порт 1604. Выберите эту опцию, если сервер и клиенты находятся в одной сети.
По умолчанию фермы серверов MetaFrame XP не отвечают клиентам ICA, использующих протокол UDP для поиска серверов. Поэтому если клиент настроен на протокол TCP/IP и автопоиск, он не сможет найти сервер или опубликванные приложения в ферме. Поскольку широковещательные пакеты UDP не переходят в другие подсети, их использование взможно только в том случае, если клиент находится в одной подсети с сервером. После того, как клиент обнаружил сервер, он общается с ним напрямую (не широковещательно) через порт 1604/UDP.
Из-за ограничений широковещания вы можете в список адресов в Клиенте добавить один или несколько адресов IP или имен DNS серверов MetaFrame. Это необходимо сделать, если клиент ICA находится в другой подсети, чем коллектор данных.
Настройка соединений к серверам MetaFrame и опубликованным приложениям
Program Neighborhood Client предлагает два способа соединения:
Настройка адреса сервера при использовании TCP/IP+HTTP
Важно. Поиск TCP/IP+HTTP осуществляется только в пределах одной фермы. Для получения информации из других ферм, вы должны указать адрес сервера для каждого из наборов приложений, а для пользовательских соединений - для каждого соединения ICA. Не указывайте адреса серверов разных ферм в одном списке.
Настройка адреса сервера при использовании SSL/TLS+HTTPS
Важно. Поиск SSL/TLS+HTTPS осуществляется только в пределах одной фермы. Для получения информации из других ферм, вы должны указать адрес сервера для каждого из наборов приложений, а для пользовательских соединений - для каждого соединения ICA. Не указывайте адреса серверов разных ферм в одном списке.
Поиск сервера и отказоустойчивость
Поиск сервера (браузинг) предоставляет пользователю сетевого клиента ICA способ увидеть список серверов MetaFrame и список опубликованных приложений. Для каждого сетевого протокола вы можете указать другое размещение сервера. При выборе протокола TCP/IP, по умолчанию в списке адресов серверов стоит (Auto-Locate) (автопоиск). Автопоиск работает следующим образом:
Для избежания широковещательной рассылки, или если ваша сеть использует шлюзы и маршрутизаторы, вы можете указать явный адрес IP сервера MetaFrame, который функционирует в качестве главного браузера.
Отказоустойчивость состоит в постоянном предоставлении доступа к опубликованным ресурсам даже в случае выхода главного браузера из строя. Вы можете попределить до трех групп серверов MetaFrame, к которым хотите подключаться - одна первичная и две дублирующие. Каждая группа может содержать от 1 до 5 серверов. Если вы указываете группу серверов для клиента, то клиент пытается одновременно связаться со всеми серверами группы и затем подключается к первому ответившему.
Использование наборов приложений и пользовательских соединений ICA
Набор приложений - это взгляд со стороны пользователя на ресурсы, опубликованные на некотором сервере и к которым ему разрешен доступ. Приложения, опубликованные в наборе, имеют предустановленные значения размера окна, глубины цвета, уровня шифрования, качества звука. Если какие-то параметры не нужны для запуска приложения (например, звук), вы можете отключить их для всего набора приложений.
Наборы недоступны для приложений, опубликованных на MetaFrame Server for UNIX. Для доступа к ним вы должны использовать соединения ICA.
Пользовательское соединение ICA - это ярлык на опубликованное приложение или сервер MetaFrame. Хотя вы можете создать пользовательское соединение ICA для подключения к любому серверу MetaFrame, вы должны использовать его в следующих случаях:
Добавление наборов приложений и соединений ICA
Для поиска дополнительных наборов приложений или для добавления нового соединения ICA используйте мастеры соответственно Find New Application Set или Add New ICA Connection. Для этого щелкните соответствующую иконку в окне Program Neighborhood.
Настройка наборов приложений и соединений ICA
Для настройки свойств соединения запустите Клиента. Если вы настраиваете набор приложений, выберите набор приложений и щелкните в меню Settings. Если вы настраиваете соединение ICA, то выберите соединение и щелкните кнопку Properties.
На закладке Connections доступно несколько опций.
Connection Type. Тип соединения. Если вы подключаетесь через локальную сеть, выберите Local Area Network. Если вы подключаетесь через сеть, покрывающие географически отдаленные регионы, выберите Wide Area Network.
При настройке соединений вы можете выбрать подключение либо к серверу (Server), либо к опубликованым приложениям (Published Application).
Настройка опций по умолчанию
Для настройки свойств соединения запустите Клиента. Если вы настраиваете набор приложений, выберите набор приложений и щелкните в меню Settings. Если вы настраиваете соединение ICA, то выберите соединение, щелкние правой кнопкой мыши и выберите Custom Connection Settings.
Use data compression (использовать сжатие данных). Сжатие данных уменьшает количество передаваемых данных, но потребляет больше ресурсов процессора. Если вы используете низкоскоростные соединения, включение сжатия данных повышает производительность.
Use disk cache for bitmaps (использовать кеширование изображений). Кеширование сохраняет наиболее часто используемые графические объекты в локальном кеше на жестком диске клиента. Это повышает производительность в низкоскоростных соединениях. Если ваш клиент находится в высокоскоростной локальной сети, кеширование не нужно. Для модемных соединений кеширование по умолчанию включено.
Queue mouse movements and keystrokes. Буферизация событий мыши и клавиатуры позволяют реже передавать информацию на сервер. При включении этой опции уменьшается число сетевых пакетов, передаваемых от клиента ICA на сервер MetaFrame. Это повышает производительность, если вы сначала звоните на RAS, а затем подключаетесь через сеть. Выключение этой опции улучшает реакцию мыши и клавиатуры.
Turn off desktop integration for this application set (отключить интеграцию этого набора приложений на рабочий стол пользователя). Вы можете настроить Program Neighborhood Client создать для опубликованных приложений ярлыки и элементы в меню "Пуск". Если вы не хотите, чтобы опубликованные приложения были видны на рабочем столе пользователя, то включите эту опцию.
Enable sound (разрешить звук). Включение этой опции разрешает поддержку звука. Устройство клиента для этого должно иметь совместимую звуковую карту. Это позволяет приложеиям проигрывать звуки на устройстве клиента.
Вы можете выбрать качество звука:
Encryption Level (уровень шифрования). По умолчанию Basic. Вы можете выбрать 128-bit for Login Only для использования шифрования только на этапе аутентификации. Для поддержки уровня шифрования выше Basic, сервер MetaFrame должен поддерживать шифрование RC5. Его поддержка включена в SecureICA Services, MetaFrame 1.8 FR1 и MetaFrame XP.
Выбор уровня шифрования выше Basic запрещает автоматическую регистрацию на сервере MetaFrame.
SpeedScreen latency reduction. Уменьшение задержек - это собирательный термин для обозначения функциональности, позволяющей пользователям более комфортно работать на низкоскоростных соединениях. Эта опция работает только на серверах, которые настроены и лицензированы на использование уменьшения задержек. Для медленных соединений (через WAN или модем) вы можете включить эту опцию для уменьшения задержки между вводом и показом на экране.
Если вы не уверены, стоит ли вам включать эту опцию, оставьте Auto - тогда будет активирована горячая клавиша включения/выключения алгоритма уменьшения задержек.
Window Properties (свойства окна). Укажите здесь число цветов
Use Server Default (использовать настройки сервера, для наборов приложений). Если эта опция включена, настройки будут взяты с сервера. Для указания собсьвенных настроек снимите флажок и выберите новые значения.
Use Custom Default (использовать собственные настройки, для соединений ICA). Чтобы установить свои настройки, сбросьте флажок.
Если вы подключаетесь к опубликованному приложению, вы можете выбрать Seamless Windows для запуска приложения в отдельном цельном окне на вашем рабочем столе.
Настройка режима регистрации
На закладке Logon Information выберите режим регистрации:
Для подключения к серверу MetaFrame или опубликованному приложению, настроенному на использование Novell NDS, в поле "user name" вводите отличительное имя пользователя NDS, а поле домен оставьте пустым.
Уменьшение количества регистраций
По умолчанию при каждом запуске опубликованного приложения пользователям требуется вводить свое имя и пароль. Вы можете настроить Program Neighborhood Client передавать учетные данные пользователей одним из следующих методов:
Вы можете включить сквозную аутентификацию для передачи учетных данных пользователя локальной Windows на сервер MetaFrame. Тогда пользователю не нужно будет второй раз вводить пароль.
Если вы включили сквозную аутентификацию, все существующие наборы приложений автоматически конфигурируются на ее использование. Однако, существующие пользовательские соединения ICA автоматически настроены не использовать сквозную аутентификацию. Тем не менее вы можете ее включить для каждого соединения ICA. Для этого необходимо сначала включить ее на уровне машины, а потом на уровне пользователя.
Включение сквозной аутентификации
Теперь после включения этой функции на машинном уровне, каждый пользователь может включить ее на своем уровне
Для разрешения скозной аутентифкации для новых пользовательских соединений ICA в мастере добавления соединения ICA включите опцию Use local User name and Password.
Для настройки сквозной аутентификации уже существующих соединений ICA выберите соединение, а зтем из меню - Properties, на закладке Logon Information установите требуемые опции.
Предотвращение сохранения паролей пользователями
Вы можете снять флажок Save Password на экране логина набора приложений или на закладке Logon Information. Это предотвратит сохранение пользователями своих паролей. Вы можете запретить сохранение паролей для всех наборов или для выбранных. Для определения того, какие файлы нужно править, воспльзуйтесь следующей таблицей:
Запрет сохранения паролей для всех наборов приложений
Запрет сохранения паролей для отдельных наборов приложений
%User Profile%\Application Data\ICAClient\Appsrv.ini
%User Profile%\Application Data\ICAClient\Pn.ini
После этих операций перезапустите Клиента.
Настройка общих параметров
Запустите клиента, из меню Tools выберите ICA Settings и далее закладку General. На этой закладке вы можете изменить следующие опции:
Настройка кеширования изображений
Для настройки кеширвоания из меню Tools выберие ICA Settings и откройте закладку Bitmap Cache.
Настройка горячих клавиш
Горячие клавиши используются для управления поведением Клиента и заменяют стандартные горячие клавиши Windows для опубликованных приложений.
На закладке имеются следующие поля:
Настройка журнала событий
На странице Event Logging вы можете настроить регистрацию разнообразных событий, которые могут возникать при запуске опубликованных приложений.
На этой закладке вы можете настроить следующие параметры:
Улучшение производительности на низкоскоростных соединениях
Если вы используете ICA по низкоскоростным каналам связи, например, через модем, вы можете внести некоторые изменения в настройку клиента и в способ использования клиента.
Изменение настройки клиента ICA
На устройствах с ограниченной вычислительной мощностью или при ограничении пропускной способности следует достигнуть компромисса между производительностью и функциональностью. Вот несклько советов, которые могут повысить производительность работы на медленных линиях:
Изменение способа использования клиента
Технология ICA хорошо опимизирована и, как правило, не предъявляет высоких требований к процессору и пропускной способности. Тем не менее если вы используете совсем медленные каналы связи, следуйте нашим советам:
Настройка общих функций клиентов ICA Win32
Настройка следующих особенностей одинакова для всех клиентов ICA Win32:
Настройка существующих параметров, общих для всех клиентов ICA Win32
На стороне клиента настройка не требуется. Вы можете следить за сеансами других пользователей, опубликовав Shadow Taskbar.
Поддержка смарт-карт со стороны MetaFrame осуществляется на основе спецификаций Microsoft PC/SC. MetaFrame поддерживает только те смарт-карты и устройства для их считывания, которые поддерживаются операционной системой Windows.
Для включения регистрации с использованием смарт-карт (Program Neighborhood Agent):
Microsoft настоятельно рекомендует использовать только совместимые с Windows считыватели карт, находящиеся в списке совместимого оборуования. Подробнее см. на сайте Microsoft.
MetaFrame XP не поддерживает управление пин-кодами смарт-карт. Это управление осуществляется криптонрафической службой поставщика ваших карт.
Пользователи могут отключаться от сервера по причине разрыва связи, из-за больших задержек в сети, из-за огранчиений беспроводных устройств и т.п. С помощью функции автовосстановления связи клиент ICA может определить неожиданное отключение сеанса и попытаться его автоматически восстановить.
Если эта функция включена на сервере MetaFrame, пользователям для продолжения работы не требуется вновь подключаться вручную. Клиент будет пытаться автоматически восстановить сеанс до тех пор, пока не установится соединение или пользователь не прервет попытки. Если в Консоли Управления на сервере в свойствах ICA Settings стоит Require user authentication, то во время восстановления связи появится диалог, приглашающий ввести логин и пароль. Автовосстановление не срабатывает, если пользователь вышел из приложения, не разрегистрировавшись. Автовосстанолвление подключает только к отключенным сеансам.
Изменение настроек автовосстановления
В клиенте ICA Win32 автовосстановление включено по умолчанию. В случае обнаружения потери соединения он ждет 30 секунд до начала операции восстановления связи. По умолчанию он делает три попыткаи соединиться, а затем останавливается.
Если вы хотите изменить эти настройки для отдельного пользователя, добавьте следующие строки в файл appsrv.ini, в секцию [WFClient] (файл находится в каталоге %User Profile%\Application Data\ICA Client).
TransportReconnectEnabled=0 для запрета автовосстановления
TransportReconnectDelay=n число секунд ожидания до начала автовосстановления
TransportReconnectRetries=n число попыток автовосстановления
При запуске клиента пользователь может при аутентификации ввести свои учетные данные NDS. Под учетными данными здесь подразумевается имя пользователя (иил его отличительное имя), пароль, дерево и контекст.
Поддержка NDS интегрирована в следующие компоненты:
Для старых версий клиента Win32 в поле имени домена надо было вводить имя дерева NDS.
Использование учетной записи Windows с клиентом Novell и сквозной аутентификацией
Если Program Neighborhood Client настроен на использование сквозной аутентификации, а на устройстве клиента установлен Novell Client, то Program Neighborhood Client при аутентификации на сервере MetaFrame по умолчанию использует учетные данные NDS. Если вы хотите, чтобы клиент ICA использовал вместо них учетные данные Windows NT, то вы должны добавить в файл appsrv.ini один параметр:
SSOnCredentialType=NT
Вы можете настроить клиенты ICA Win32 Clients, использующие службу XML для подключения к ферме серверов MetaFrame, запрашивать имя DNS вместо IP-адреса сервера.
Важно. Если ваш DNS не настроен специально для использования этой функции, Citrix рекомендует не включать разрешение имен DNS в ферме.
Program Neighborhood Client по умолчанию настроен на использование браузинг по протоколу TCP/IP+HTTP. Клиенты ICA, подключающиеся к опубликованнм приложениям через NFuse Classic или Web Interface for MetaFrame XP используют службу XML. для этих клиентов веб-сервер разрешает имена DNS.
По умолчанию разрешение имен в ферме отключено. В этом случае на запрос клиента возвращается адрес IP.
Для запрещения использования DNS откройте пользовательский appsrv.ini и измените строку
xmlAddressResolutionType=DNS-Port
на
xmlAddressResolutionType=IPv4-Port.
С помощью расширенной передачи параметров вы можете ассоциировать типы файлов на устройстве клиента, с приложениями, опубликованными на сервере MetaFrame. Например, если вы ассоциировали все текстовые файлы на устройстве клиента с приложением "Notepad", опубликованном на сервере MetaFrame XP, то при открытии локального текстового файла он откроется в опубликованном Notepd'е.
Замечание Версия 7.0 агента Program Neighborhood Agent поддерживает редирект контента, эта функциональность включена в Feature Release 2. Хотя редирект функционально эквивалентен расширенной передаче параметров, он позволяет автоматически ассоциировать типы файлов с опубликованными приложениями без необходимости настройки ассоциации на индивидуальных устройствах клиентов.
Настройка расширенной передачи параметров делается как на сервере, так и на клиенте. На сервере добавьте к опубликованному приложению символы %* - они будут вместилищем для переданных пользователем параметров.
На клиенте вы должны заменить командную строку для нужного типа файла в команде open так, чтобы она передавала имя файла на сервер MetaFrame.
Ассоциации файлов хранятся в реестре Windows.
MetaFrame XP поддерживает кодировку ISO8859-1 для европейских языков, включая English, и кодировку ShiftJIS японского языка. Вы должны при установке ассоциации использовать только одну из этих кодировок.
Командная строка должна включать в себя следующие элементы:
Пользователи могут подключаться к опубликованным приложениям следующими способами:
Каждый из этих методов использует свой исполняемый файл:
Метод соединения
Исполняемый файл
Custom ICA connections (using Program Neighborhood Client)
Wfcrun32.exe
Приложения, определяемые файлами ICA
Wfica32.exe
Наборы приложений (при использовании Program Neighborhood Client)
Pn.exe
Идентификация опубликованных приложений
Каждый исполняемый файл клиента ICA Win32 имеет свой синтакиси командной строки. Для получения подсказки по параметрам комадной строки, запустите клиента с опцией /?.
Синтаксис для Wfcrun32.exe для запуска соединения ICA:
C:\Program Files\Citrix\ICA Client\wfcrun32.exe "<application name>"
Синтаксис для Wfica32.exe для запуска приложения:
C:\Program Files\Citrix\ICA Client\wfica32.exe <file_name>.ica
Синтаксис для Pn.exe для запуска пользовательского соединения ICA:
C:\Program Files\Citrix\ICA Client\pn.exe /app:"<application name>"
Синтакис для pn.exe для запуске приложения, опубликованного в наборе приложений:
C:\Program Files\Citrix\ICA Client\pn.exe /pn:"<application set name>" /app:"<application name>"
Включение параметров для передачи аргументов
При указании аргументов добавьте к командной строке /param:"%1".
Вот пример командной строки, которая ассоциирует текстовые файлы с приложением "Notepad Text Editor" в наборе с именем "Production Farm":
C:\Program Files\Citrix\ICA Client\pn.exe /pn:"Production Farm" /app:"Notepad Text Editor" /param:"%1"
Передача параметров через реестр Windows
При сборке необходимых элементов новой командной строки вы должны указать новую команду в реестре Windows. Ее нужно указать в команде open для типа файлов, открыв в панели управления диалог "Свойства папки". Подробнее см. подсказку по Windows.
Приведем пример.
Для ассоциирования текстового файла с опубликованным приложением "Notepad Text Editor", запускаемого с помощью Pn.exe, укажите:
C:\Program Files\Citrix\ICA Client\pn.exe /app:"Notepad Text Editor" /param:"%1"
Важно. В этом примере подразумевается, что устройства клиента подключаются к серверу, имеющему переназначенные драйвы сервера. Если драйвы сервера не переназначены, то вы должны добавить к аргументу \\client\, например, /param:"\\client\%1"
Citrix ICA Client поддерживает отображение устройств, чтобы они были доступны в сеансах ICA. Пользователь может иметь доступ к локальным дискам, принетрам, портам COM; он может использовать буфер обмена для выделения/вставки между локальным и удаленным приложениями; слушать аудио (системные звуки и файлы WAV), воспроизводимые в сеансе ICA. Во время регистрации клиент ICA информирует сервер MetaFrame о доступных драйвах клиента, портах COM и LPT. По умолчанию на сервере MetaFrame драйвам клиента присваиваются буквы, а для принтеров клиента создаются очереди печати. Эти отображения доступны только в текущем сеансе. При выходе пользователя они удаляются. Вы можете использовать команду net use и change user для отображения драйвов, которые автоматически не прицепились при регистрации.
Выключение переназначения драйвов
На сервере MetaFrame опции отображения устройств настраиваются в Citrix Connection Configuration, в разделе Client Settings
Блок опций Connection options определяют, следует ли переназначать драйвыи принтеры клиента. Если опции здесь не установлены, утсройства все равно можно потом подключать вручную.
Блок опций Client Mapping Overrides позволяет запретить подключения устройств клиента.
Опция
Описание
Connect Client Drives at Logon
Если включено, то устройства клиента автоматически отображаются при регистрации пользователя
Connect Client Printers at Logon
Ели включено, то принтеры клиента автоматически отображаются при регистрации пользователя. Эта опция доступна только для клиентов Windows и отображает принтеры, определенные в Print Manager на устройстве клиента.
Default to Main Client Printer
Если включено, то принтер по умолчанию на устройстве клиента становится принтером по умолчанию в сеансе ICA.
(inherit user config)
Если включено, то берутся настройки из User Manager
Отображение портов COM
Для ручного отображения портов используйте команду net use, например:
net use comx \\client\\comz,
где x - номер COM-порта сервера, z - номер COM-порта клиента.
Замечание. Отображение портов COM не совместимо с TAPI. Устройства TAPI не могут быть отображены на порты COM клиента.
Чтобы использовать несколько мониторов, ваша система должна иметь следующее:
При тестировании использовалась следующая конфигурация:
Использование ALE
Если вы не планируете использовать NFuse Classic или Web Interface for MetaFrame XP, но хотите предоставить возможность доступа к приложениям через Web, вы можете совместно с веб-клиентом ICA использовать технологию запуска и внедрения приложений (Application Launching and Embedding - ALE). Для ALE могут использоваться ICA Win32 Program Neighborhood и веб-клиенты. ICA Win32 Web Client заменяет элемент управления ActiveX и плагин к Netscape Plug-In. Он представляет собой самораспаковывающийся архив размером около 1.8Мб.
С использованием ALE вы можете предоставить доступ к полнофункциональным приложениям Windows из страницы HTML через интернет и интранет. Приложение выглядит так, словно запущено локально, хотя выполняется на сервере MetaFrame. Существует два способа доступа к приложениям из веб-страницы: запуск и внедрение.
Запуск приложений
Management Console for MetaFrame XP и Published Application Manager (MetaFrame 1.8) включает себя мастера создания файлов ICA и страниц HTML. Страницы HTML сохраняются на вашем веб-сервере, который посещают пользователи для запуска приложений. Страницы HTML, запускающие приложения, содержат гиперссылки на файл ICA, который размещается в публичном каталоге HTML. При щелчке по гиперссылке файл ICA загружается на компьютер клиента. Затем клиент ICA использует параметры из этого файла для запуска опубликованного приложеия. Если клиента ICA не обнаружено, будет предложено его установить.
Для подготовки веб-страницы для запуска приложений:
Внедрение приложений
Citrix ICA Win32 Program Neighborhood и веб-клиенты позволяют внедрять приложения в Internet Explorer и Netscape Navigator. Вместо создания отдельных страниц для пользователей Microsoft Internet Explorer и Netscape Navigator, вы можете создать одну страницу, содержащую два типа тегов HTML.
Подробные инструкции для этапов 2,3,4 приведены ниже:
Для создания страницы HTML:
Настройка для Internet Explorer:
Настройка для Netscape Navigator
Использование приложений, опубликованных на серверах MetaFrame for UNIX
Для подключения к приложениям, опубликованных на сервере MetaFrame Server for UNIX, предусмотрены две дополнительных утилиты - для настройки отображения сеанса и вырезки/вставки объектов между сеансом ICA и устройством клиента.
Использование Window Manager
Если вы подключаетесь к приложению, опубликованному на сервере MetaFrame for UNIX, используйте менеджер окон Citrix для сворачивания, изменения размера, положения, закрытия окна, а также для доступа к "полноэкранному" режиму.
О цельных (seamless) окнах
В режиме цельного окна опубликованные приложения и рабочий стол располагаются не в окне сеанса ICA, а в своем окне, как будто они были физически инсталлированы на устройстве клиента. Пользователи могут переключаться между опубликованными приложениями и локальным рабочим столом. Вы также можете настроить цельные окна в "полноэкранном" режиме, т.е. разместить приложение на весь размер экрана рабочего стола. В этом режиме вы можете использовать меню ctxwm.
Для переключения между цельным окном и цельным "полноэкранным" окном используйте клавиши SHIFT+F2.
При подключении к опубликованному приложения на сервере MetaFrame, кнопки сворачивания окна, изменения его размера и положения, рисуются оконным менеджером ctxwm.
Для вызова меню ctxwm в полноэкранных сеансах нажмите и удерживайте левую кнопку мыши на свободном месте окна.
Копирование и вставка
Если вы подключаетесь к приложению, опубликованному на сервере MetaFrame for UNIX, то для копирования и вставки графических объектов между удаленным сеансом и локальным рабочим столом используйте ctxgrab или ctxcapture. Эти утилиты входят в состав MetaFrame for UNIX server.
Использование ctxgrab
ctxgrab - это простая утилита, позволяющая копировать и вставлять графику из опубликованных приложений в локальные приложения. Ее можно запустить с комадной строки или через ctxwm:
использование ctxcapture
ctxcapture имеет более богатый набор функций для копирования/вставки графики. С помощью ctxcapture вы можете:
Если вы подключились к рабочему столу, ctxcapture доступен с командной строки. Если вы подключились к приложению, и администратор разрешил использовать ctxcapture, он доступен через ctxwm:
Безопасность в клиентах ICA Win32
Реализация безопасности в клиентах ICA Win32
Вы можете интегрировать клиентов ICA Win32 с широким спектром технологий безопасности, включая прокси-серверы, межсетевые экраны, системы SSL/TLS.
Подключение через прокси-сервер
Прокси-серверы используются для ограничения доступа в и из вашей сети, а также для обработки соединений между клиентами ICA и серверами MetaFrame. Клиенты ICA Win32 поддерживают протоколы SOCKS и secure proxy. ICA Win32 Program Neighborhood Agent и веб-клиент используют настройки прокси-сервера, которые настраиваются удаленно на сервере NFuse Classic или Web Interface. Подробнее см. документацию к NFuse Classic.
При коммуникации с веб-сервером, ICA Win32 Program Neighborhood Agent и клиент ICA Win32 Web Client используют настройки прокси-сервера из настроек браузера по умолчанию. Вы должны соответствующим образом сделать настройки подключения к интернет в вашем веб-браузере.
The Win32 Program Neighborhood Client использует настройки прокси, которые вы делаете в панели инструментов клиента ICA. Вы можете настроить использование прокси сервера двумя способами:
Если в вашей организации эксплуатируются несколько прокси-серверов, желательно использовать автоматическое обнаружение прокси. При автообнаружении клиент обращается к локальному веб-браузеру за настройками прокси-сервера. Это также полезно в том случае, когда вы не знаете, какой прокси-сервер будет использоваться при настройке клиента.
Автообнаружение прокси требует наличия Internet Explorer 5.0 или выше, или Netscape for Windows 4.78, 6.2 и выше.
Для включения автоматического определения прокси-сервера:
Ручная настройка прокси-сервера
Настройка имени и пароля
Некоторые прокси-серверы требуют аутентификации, предлагая ввести имя пользователя и пароль, когда вы пытаетесь получить список ресурсов или установить соединение ICA. Вы можете избежать появления этого приглашения, предоставив клиенту ICA автоматически передать эти данные без вмешательства пользователя.
Для существующих соединений откройте пользовательский файл Appsrv.ini file (находится в каталоге: %User Profile%\Application Data\ICAClient), найдите секцию [ServerLocation], где ServerLocation - имя соединения. Найдите в этой секции параметр DoNotUseDefaultCSL. Если значение этого параметра On, то добавьте в секцию следующие строки:
ProxyUsername=<user name>
ProxyPassword=<password>
Если значение DoNotUseDefaultCSL = Off, или параметр вооще не присутствует, добавьте в секцию [WFClient] строки:
ProxyUsername=<user name>
ProxyPassword=<password>
Использование клиентов ICA Win32 Clients с Secure Gateway или SSL Relay
Клиенты поддерживают протоколы SSL и TLS:
Secure Gateway
Вы можете использовать Secure Gateway for MetaFrame либо в обычном режиме, либо в режиме релея. Настройки клиентов при использовании Secure Gateway в обычном режиме не требуется.
Если вы используете Secure Gateway в режиме релея, то сервер Secure Gateway функционирует в качестве прокси-сервера, и вы должны настроить на клиентах использование FQDN сервера и указать номер порта сервера Secure Gateway.
Замечание. Режим релея не используется в Secure Gateway 2.0
Откройте свойства набора приложений или соединения ICA и в поле Network Protocol укажите SSL/TLS+HTTPS. На закладке Firewalls укажите полностью квалифицированное доменное имя (FQDN) сервера Secure Gateway и укажите номер порта.
Citrix SSL Relay
По умолчанию Citrix SSL Relay использует порт TCP 443. Когда SSL Relay получает соединение SSL/TLS, он расшифровывает данные перед дальнейшей передачей их серверу MetaFrame, или, если пользователь выбрал браузинг по протоколу SSL/TLS+HTTPS, службе Citrix XML Service. Вы можете использовать SSL Relay для защиты следующих коммуникаций:
Подробнее о настройке SSL Relay см. в Руководстве администратора сервера MetaFrame.
Если у вас установлен Internet Explorer, вы можете проверить уровень шифрования следующим образом: запустите Internet Explorer, из меню Help выберите About Internet Explorer. Посмотрите на значение Cipher Strength (Стойкость шифра). Если оно ниже 128 бит, вам необходимо установить обновление с сайта Microsoft
Клиенты ICA поддерживают длины ключей сертификатов до 4096 бит. Убедитесь, что все сертификаты не превышают это значение.
Использование Citrix SSL Relay с нестандартными портами TCP
По умолчанию Citrix SSL Relay использует порт TCP 443. Если вы настроили SSL Relay слушать другой порт, то вы должны настроить клиентов. Для этого откройте в текстовом редакторе пользовательский файл Appsrv.ini, найдите секцию [WFClient]. Установите значение параметра SSLProxyHost следующим образом:
SSLProxyHost=*:<SSL relay port number>
где <SSL relay port number> - номер порта.
Настройка клиентов ICA на использование SSL и TLS
SSL и TLS настраивается таким же способом, используют те же сертификаты и включаются одновременно. Если включено использование SSL иTLS, то при каждом инициировании соединения клиент сначала пытается использовать TLS, а потом в случае неудачи пробует SSL. Если он не может подключиться через SSL, появляется сообщение об ошибке.
Для настройки ICA Win32 Program Neighborhood Client на использование SSL/TLS:
Для настройки ICA Win32 Program Neighborhood Agent на использование SSL/TLS:
Настройка appsrv.ini на использование TLS:
Установка корневых сертификатов
Для использования SSL/TLS, на устройстве клиента необходимо наличие корневого сертификата, который может проверить подпись удостоверяющего центра (Certificate Authority). Клиенты ICA Win32 поддерживают те удостоверяющие центры, которые поддерживает Windows. Сертификаты таких центров инсталлируются вместе с Windows и управляются утилитами Windows. Эти же сертификаты использует Microsoft Internet Explorer.
Если вы выбрали другой удостоверяющий центр, вам необходимо установить его корневой сертификат (root certificate) на каждом устройстве клиента. Впоследствии этот сертификат будет использоваться как клиентом Citrix ICA Win32, так и Microsoft Internet Explorer. В зависимости от политики вашей организации вы можете сами установить корневой сертификат на каждом устройстве клиента, не заставляя это делать пользователей. Если вы используете Windows 2000 и Active Directory, вы можете установить сертификаты используя групповые профили. В качестве альтернативы вы можете использовать для этого другие средства, например, Microsoft Internet Explorer Administration Kit (IEAK) или продукты третьих производителей.
Для установки корневого сертификата на устройстве Win32:
Обновление клиентов ICA Win32
Об автообновлении
ICA Win32 Program Neighborhood Agent и ICA Win32 Program Neighborhood Client поставляются в виде пакетов Windows Installer (.msi). Если ваша сеть основана на Windows 2000, вы можете воспользоваться преимуществами сервера Microsoft Systems Management Server или Active Directory для развертывания обновленных версий клиента. Для развертывания веб-клиента, а также если вы не используете SMS или AD, вы можете воспользоваться функцией автообновления клиента (Client Auto Update) для распространения exe-файлов.
Обычно вы используете Client Auto Update для распространения последних версий клиентов ICA Win32. Вы также можете использовать эту функцию для отката на предыдущую версию клиента. Почаще посещайте сервер Citrix http://www.citrix.com/download за свежими версиями клиентов. По мере появления новых версий, добавляйте их в бауз данных обновлений. При подключении клиента к серверу MetaFrame, сервер запрашивает у клиента номер версии. Если версия соответствует имеющейся в базе данных, регистрация идет дальше. В противном случае клиент информируется о наличии доступной к загрузке обновленной версии. Далее обновление идет в зависимости от опций, установленных вами в базе данных.
Вы не можете обновлять ранние версии клиентов, установленные через пакеты msi. Вы можете только распространять новые пакеты msi.
Автоматическое обновление работает со всеми протоколами, поддерживаемыми ICA (TCP/IP, IPX, NetBIOS, асинхронные соединения).
Автобновление:
Процесс автообновления
Клиенты ICA идентифицируются номером продукта и модели. Номер версии назначается при выпуске нового клиента ICA. Процесс автообновления использует стандартный протокол ICA:
О настройке базы данных обновлений клиентов см. Руководство администратора сервера MetaFrame