NetScaler 11 RDP Proxy

Microsoft Forefront Unified Access Gateway werd bij ons gebruikt als o.a. Remote Desktop portal, zodat gebruikers vanaf bijvoorbeeld een kiosk ook konden inloggen. Voor UAG is geen mainstream support meer beschikbaar en daarom zijn wij opzoek gegaan naar alternatieven, zodat gebruikers toch Remote Desktop konden blijven gebruiken naast onze DirectAccess of Citrix oplossingen. Uiteindelijk zijn we bij RDP Proxy op NetScaler 11 uitgekomen.

RDP Proxy op NetScaler 11

In NetScaler 10.5 en 11 is een nieuwe feature geïntroduceerd namelijk RDP Proxy. Met RDP proxy is het mogelijk om Remote Desktop aan te bieden waarbij de NetScaler als proxy functioneert. Het grote voordeel voor ons was dat door het gebruik van NetScaler ook minder VM’s nodig waren, omdat naast RDP Proxy ook Citrix aangeboden wordt via de NetScalers. De NetScalers zijn daarnaast nu ook High Available uitgevoerd.

Bookmarks

Gebruikers willen graag makkelijk te gebruiken oplossingen waarbij ze snel hun doel bereiken. Om ervoor te zorgen dat gebruikers snel een Remote Desktop kunnen starten worden Bookmarks gebruikt. Bookmarks zijn snelkoppelingen in de webportal. RDP-Proxy-bookmarks
Per bookmark kan zelf bepaald worden wat de naam moet worden, welke logo erbij hoort en natuurlijk naar welke server de snelkoppeling verwijst.

Als de Bookmarks aan een Virtual Server in de NetScaler gekoppeld worden, dan betekent dit dat iedereen die op de Virtual Server mag, deze bookmarks te zien krijgt. Dit kan ongewenst zijn en wellicht voor verwarring zorgen. Daarom is het mogelijk om door middel van AAA Groups of users specifieke bookmarks beschikbaar te stellen aan Active Directory groepen of users.

AAA Groups

Om gebruik te maken van AAA Groepen moet NetScaler AD groepen kunnen uitlezen van gebruikers. Wij gebruiken hiervoor LDAPs authenticatie policies, die ook genestelde groepen kunnen uitlezen, zodat we een algemene groep toegang kunnen geven waar vervolgens weer allerlei andere groepen inzitten. Om vervolgens in NetScaler deze groepen te gebruiken moet de naam van de AAA groep precies overeenkomen met de naam van de AD Groep.
RDP-Proxy-aaa-group

Autorisatie

Zoals eerder aangegeven is een bookmark een snelkoppeling. Als je met je muis op zo’n snelkoppeling gaat staan dan zal je de specifieke URL zien. Dit zal altijd beginnen met /rdpproxy/ gevolgd door of een IP-adres of hostname

/rdpproxy/terminal-server.domain.com

Nu betekent dit dat gebruikers ook zelf de URL kunnen aanpassen en intypen waarna ze vervolgens een Remote Desktop bestand naar die server krijgen. Waarschijnlijk zullen er nog wel security maatregelen op de servers geregeld zijn, maar gebruikers zouden het eigenlijk niet moeten kunnen.

Om dit te voorkomen maken we gebruik van Autorisatie policies. Met autorisatie policies is het mogelijk om groepen/gebruikers alleen toegang te geven tot een bepaald subnet, IP-adressen of namen die in de URL mogen staan. Als alle servers met dezelfde applicatie een computernaam hebben, waarbij het eerste gedeelte hetzelfde is(AppICT-01, AppICT-02, etc.), dan kan er voor gekozen worden om autorisatie op basis van URL/naam te gaan doen. Elke naam begint namelijk met AppICT.
RDP-Proxy-autorisatie

Gebruikers kunnen dan naar /rdpproxy/appICT-01.domein.com maar niet naar /rdpproxy/appIT.domein.com. Het is ook mogelijk om specifieke servers te definiëren.  Dit zorgt wel voor meer beheer.

Traffic Policy

Met RDP proxy is het mogelijk om Single-Sign-On te gebruiken. De gebruiker logt dan eenmalig in op de website, waarna de remote desktop gestart kan worden, zonder dat hier nogmaals om een wachtwoord gevraagd wordt. Hiermee ontstaan echter wel problemen als er verbinding gemaakt wordt met een server die niet in het domein zit. Voor deze servers moet SSO daarom uitgezet worden. Door het uitzetten van SSO krijg je wel een login prompt, zodat je met een niet domein account kan inloggen. Het is mogelijk om dit per server uit te zetten, hiervoor maken we gebruik van Traffic policies en één traffic actie.

De Traffic action is heel eenvoudig in te stellen voor het uitzetten van SSO.RDP-Proxy-traffic-action

In de Traffic Policy geef je aan wanneer de action toegepast moet worden. Als er een groot aantal servers is, dan kan er gekozen worden voor een subnet of als het maar één server is dan kan er gekozen worden voor een specifiek IP-adres of naam. De Traffic Policy kan vervolgens ook weer aan een AAA Group gekoppeld worden, waardoor deze alleen toegepast wordt bij specifieke groepen, zoals in bovenstaande afbeelding van een AAA Group te zien is.



Wilt u graag een afspraak maken? Dat kan!

Wij ontvangen u met plezier of komen graag bij u op locatie.

[contact-form-7 id="605" title="Contactformulier 1"]
Heeft u een vraag?

Vul onderstaand formulier in en wij nemen zo snel mogelijk contact op!

[contact-form-7 id="606" title="Mail icoon popup"]
X