Die in diesem Blog erwähnten Lizenztypen beziehen sich auf das Access Gateway, das auf NetScaler basiert und in der Vergangenheit als Enterprise Edition bekannt war. Wie bereits angekündigt ist am 31. März 2012 das EOS (End of Sale), also das offizielle Verkaufsende für die Access Gateway 2010 Appliance. Citrix führt die drei Produktlinien zusammen und wird zukünftig nur eine Edition, Access Gateway MPX (die als Enterprise bekannt ist) auf Basis NetScaler, weiter entwickeln.

In diesem Artikel möchte ich noch mal die beiden Lizenztypen, die Platform License und die Universal License, vorstellen und ein Einsatzszenario darstellen.

Platform Lizenz
Jede Access Gateway Appliance (MPX/VPX) enthält die Platform License, die alle Basis Funktionalitäten von Access Gateway ermöglicht.
Mit Platform Licenses können Benutzer auf XenApp oder XenDesktop Ressourcen zugreifen, ohne dass dazu für jede einzelne Verbindung eine (kostenpflichtige) Access Gateway Universal License benötigt wird. Jede Access Gateway und NetScaler Appliance (physisch und virtuell) umfasst eine Access Gateway Platform License, die zum Aufbau von Benutzerverbindungen bis zur maximalen Kapazität der Appliance berechtigt.Nach dem Kauf der Appliance kann die Lizenz über den MyCitrix Account runtergeladen und auf der Appliance installiert werden. Über die Platform License wird:

  • ICAProxy-Zugriff auf XenApp-gehosteten Anwendungen oder zu XenDesktop-gehostete Desktops über WebInterface
  • ICAProxy-Zugriff auf XenApp/XenDesktop über Storefront (CloudGateway Express) ermöglicht.

Universal Lizenz
Die Universal License ermöglicht es, zusätzliche, erweiterte Funktionaliäten auf Access Gateway Appliances frei zu schalten. Lizenziert wird nach dem Concurrend User (CCU) Modell. Die Lizenezen müssen zusätzlich zu der Hardware oder Software Appliance gekauft werden, die Installation erfolgt wie oben beschrieben genauso wie bei der Platform Lizenz.  Access Gateway Universal License unterstützt folgende Funktionen:

  • Vollständiges VPN-Tunneling auf Netzwerkebene (SSL VPN)
  • Endpunktanalyse (EPA) von Client Endgeräten
  • Adaptive SmartAccess-Richtlinien für XenApp/XenDesktop
  • Clientless Zugang zu E-Mail, Websites und File Shares (CVPN)
  • MDX Micro VPN

Die Universal License wird in den folgenden Citrix Umgebungen benötigt:

  • Verbindung zu XenApp/XenDesktop mit SmartAccess Funktionalität (über WebInterface und Storefront)
  • CloudGateway Enterprise Mobility (AppController)
  • CloudGateway Enterprise (AppController und Storefront)

Virtuelle Server – vServer
Access Gateway macht es möglich, vServer (virtuelle Server) als Zugangspunkte zu konfigurieren, so dass die Appliance als zentraler Login Punkt für alle remote Verbindungen fungiert. Dafür gibt es zwei Modi für den vServer: Basic Mode und SmartAccess Mode.

Basic Mode vServer
Der Basic Mode vServer ist ein Server der nur die Platform Lizenz benötigt und der ICAProxy-Zugriff auf XenApp und XenDesktop sowohl über WebInterface als auch Storefront bietet. Hiefür werden keine zusätzlichen Universal Lizenzen benötigt.

SmartAccess Mode vServer
Der vServer im SmartAccess Mode benötigt Universal Lizenzen und kann für den Zugriff auf XenApp, XenDesktop und CloudGateway benutzt werden. Hierbei sollte beachtet werden, dass ein SmartAccess Mode vServer zwingend Universal Licenses benötigt, die in ausreichender Anzahl für alle Benutzer vorhanden sein müssen. Sind die CCU-Lizenzen “aufgebraucht”, also die max. Anzahl der Benutzer angemeldet, können keine weiteren Verbindungen aufgebaut werden. Es ist daher sinnvoll, die Anzahl der CCU Universal Lizenzen im Vorfeld richtig zu kalkulieren, damit alle Benutzer Zugriff auf die Ressourcen haben.

Beide vServer können über den neuen Wizard, der in dem aktuellen Access Gateway Release eingebaut wurde, konfiguriert werden. Dieser Wizard macht es erheblich einfacher, alle benötigen Authentifizierungs-Richtlinien zu konfigurieren und den vServer in eine bestehende Citrix Infrastruktur einzubinden. Mehr dazu: http://blogs.citrix.com/2012/08/06/whats-new-with-citrix-access-gateway-10-0-69-6/

Im Folgenenden ein Lizensierungsbeispiel anhand eines Praxis-Szenarios:

Bei einem Kunden sollten folgende Parameter gelten:
1. 3000 Benutzer brauchen Zugriff auf wichtige Anwendungen
2. 1000 Benutzer benötigen Zugriff auf einen vollständigen Desktop
3. 1000 Benutzer benötigen Zugriff auf Web-, SaaS-, native mobile Apps von unterwegs

Der Kunde hat folgende Lizenzen:
1. 3000 XenApp Enterprise Lizenzen
2. 1000 XenDesktop Platinum Lizenzen
3. 1000 CloudGateway Enterprise Lizenzen

Daher benötigt er die folgende Anzahl Universal Lizenzen (CCUs):
1. 0 AG CCUs
1. 1000 AG CCUs
1. 1000 AG CCUs

In diesem Beispiel muss die Access Gateway Konfiguration wie folgt aufgebaut werden:

  • Aufbau von zwei AG MPX Appliances in HA Modus, die 5000 Benutzer unterstützen können
  • Download der Platform Lizenz für beide Appliances. Download der 2000 AG CCUs, die in XenDesktop Platinum und CloudGateway Enterprise enthalten sind – einspielen der Lizenzen auf der MPX Appliance.
  • Konfiguration des vServers im Basic Mode um 3000 Benutzern Zugriff auf deren Anwendungen zu ermöglichen
  • Konfiguration des zweiten vServers im SmartAccess Mode – dieser wird genutzt, um 1000 Benutzern Zugriff auf XenDesktop und CloudGateway zu ermöglichen. Hierbei kann die Endpunktanalyse (EPA – End Point Analysis) konfiguriert werden. Somit wird sichergestellt, dass die Endgeräte der Benutzer gescannt werden, wenn sie zugreifen. Das ist sinnvoll, weil die Benutzer Zugriff auf einen vollständigen virtuellen Desktop mit allen Anwendungen haben. Meldet sich ein Benutzer mit den User-Credentials an, wird sein Endgerät gescannt. Bereits vor der Anmeldung kann per Scan entschieden werden, ob das Endgerät und die Konfiguration den definierten Richtlinien entsprechen. Gegebenenfalls können aufgrund der Beschaffenheit des Endgeräts der Zugriff auf Anwendungen oder auf einzelne Funktionen innerhalb der Applikationen unterdrückt werden (Copy/Paste, Speichern, Drucken etc.).
  • Wenn EPA am zweiten vServer konfiguriert ist, sollte ein dritter vServer im SmartAccess Mode aufgesetzt werden, um Zugriff für die CloudGateway Benutzer zu ermöglichen. Der Grund ist, dass die mobilen Receiver für iOS und Androitd noch keine Endpunktanalyse unterstützen und somit sich nicht mit dem zweiten vServer mit EPA verbinden können.

Wer heute als Citrix Access Gateway Kunde die “kleine” 2010 Appliance einsetzt, der kann jetzt von einer Promotion profitieren: Beim Erwerb einer neuen Access Gateway MPX Appliance oder einer neuen NetScaler MPX Appliance bis 31. Dezember 2012 gewähren wir einen Preisvorteil von $3000 auf den empfohlenen Verkaufspreis. Mehr zu der Promtion erfahren Sie hier.

 

Die Konfiguration im Schaubild: