Crear docker en VMware

Volvemos al laboratorio de dockers en VMware, vamos a empezar a generarlos. Entramos en la gestión https://192.168.2.219:8282. Nuestro primer docker va a ser desde un repositorio público. Que viene a ser dockers base ya preparados que sólo tenemos que aprovisionar. Primero os diré las máquinas que intervendrán en la generación de nuestros containers:

• vSphere Integrated Containers: 192.168.2.219
• VCH: 192.168.2.228

Os explico como generar un docker rápido en modo BRIDGE:

Inicio –> Proyecto –> Biblioteca –> Repositorios públicos –> Voy a elegir library/httpd por ejemplo –> Pulsamos Aprovisionar

Vemos como se genera:

En la vista contenedores vemos que lo tenemos en ejecución:

Si pulsamos sobre él, veremos que está en ejecución, lo que consume y su IP:

Si vais a vuestro vCenter veréis la máquina generada:

Podéis lanzar también vuestro docker en una red con acceso a internet (pública), para ello en vez de pulsar Aprovisionar, desplegamos y pulsamos Introducir información adicional:

Se abrirá un asistente:

En el apartado RED, colocamos el puerto del host donde escuchará para el contenedor que vamos a generar y el puerto donde el contenedor escucha. Elegimos como red HOST:

Bueno y llegados a este punto, tenemos un docker generado de un repositorio público, corriendo en modo bridge o en una red pública en nuestra plataforma, sabemos su IP y que dispone por ejemplo del puerto 80 (HTTPD) publicado. ¿Cómo lo gestionamos entonces?

Aquí viene el kit de la cuestión en un docker, que voy a intentar explicar. Las acciones se realizan a través de SSH conectándonos a nuestro vSphere Integrated Containers (192.168.2.219)

Aunque, como veis, se pueden generar relativamente fácil sobre la interfaz web, tendréis que trabajar en cierta medida con la “pantalla negra”. Así que os explico brevemente como generar dockers con comando y en otra entrada vemos como manejarnos con ellos.

Primero vemos los datos de nuestros VCH
docker -H 192.168.2.228:2376 info

Descargamos la imagen:
docker -H 192.168.2.228:2376 pull wordpress

Revisamos que la tenemos en el listado;
docker -H 192.168.2.228:2376 images

Y creamos un docker a partir de la imagen:
docker -H 192.168.2.228:2376 run -name wordpress1 wordpress

Listamos el docker para ver su ID:
docker -H 192.168.2.228:2376 ps

Entradas laboratorio VMware Integrated Containers:

• Instalación VMware Integrated Containers Appliance
• Instalación plugins VIC en VMware vSphere Appliance
• Migrar en VMware los VMkernel a switch distribuido
• Configuracion VMware Virtual Container Host
• Crear docker VMware

La entrada Crear docker en VMware aparece primero en VMware Blog.

Dibujos VMware para Visio

Hoy una entrada corta, que intentaré alimentar. He recopilado unos cuantos iconos de VMWare para Microsoft Visio. Si os dedicáis a la informática, más tarde o más temprano necesitaréis echar mano de iconos para las presentaciones o la documentación que tengáis que realizar para vuestros clientes, por ejemplo.

Os dejo los enlaces:

ICONOS NSX

ICONOS VMW 1

ICONOS VMW 2

ICONOS VMW 3

ICONOS VISIO VEEAM 1

ICONOS VISIO VEEAM 2

La entrada Dibujos VMware para Visio se publicó primero en VMware Blog.

Publicar Chrome en Citrix XenApp

Hoy os mostramos como publicar el navegador Chrome en un servidor Citrix XenApp. La idea es publicarlo y luego securizarlo para que esté lo más limitado posible.

Descargaremos la versión empresarial: https://enterprise.google.com/chrome/chrome-browser/
Aprovechando el enlace descargamos también los ficheros para las GPOs (ADM/ADMX)

Lanzamos el fichero de instalación googlechromestandaloneenterprise64.exe

Abrimos Citrix Studio -> Aplicaciones -> Add Applications

Pulsamos Next:

Elegimos el Delivery Group:

Pulsamos Add -> Start Menu y elegimos Chrome

Pulsamos Next:

Pulsamos Finish

Nos conectamos a nuestro Storefront y comprobamos que funciona:

Vemos que se abre:

Ahora vamos a hacer que Chrome sea un poco más seguro. Lo vamos a publicar con Secure Browser.

Vamos al Delivery Controller -> Applications -> Google Chrome -> Properties:

Renombramos para identificarlo mejor dentro del LAB:

Ahora le pasaremos unos comandos para personalizarlo. Pulsamos en Location:

Command line argument:

–kiosk –no-default-browser-check –no-first-run https://www.maquinasvirtuales.eu

Working directory:

C:\Program Files (x86)\Google\Chrome\Application\

Explico un poco los comandos:

·        –kiosk : Abre el navegador en pantalla completa

·        –no-default-browser-check : no comprueba que es el navegador por defecto y no lanza el popup

·        –no-first-run : tampoco lanzará notificaciones de primera ejecución

Pulsamos OK.

Volvemos a entrar en el portal y veremos la aplicación renombrada. Pulsamos para abrirla:

Dispondremos de un navegador sin menús ni barra de navegación:

La entrada Publicar Chrome en Citrix XenApp se publicó primero en VMware Blog.

Requisitos Citrix WEM

Os mostramos todos los requisitos que son necesarios para implantar Citrix WEM en una infraestructura XenApp o XenDesktop.

WEM (Workspace Environment Management) es una herramienta de gestión de entorno de usuario que optimiza el rendimiento en entornos XenApp y XenDesktop.

Se compone de tres componentes:

• Optimización de recursos: aumenta hasta un 80% la densidad de usuario e incrementa el ROI Hardware
• Gestión de la experiencia de usuario (UEM)
• Transformador

A continuación, detallamos los requerimientos a nivel de cliente y servidor para implementar WEM.

Requerimientos generales

• SQL Server (soporta Always On)
• Microsoft Active Directory Server
• Consola de administración puede ser instalada en Windows Server o Windows Cliente
• Agente se puede instalar en VDA o Windows físicos
• A nivel de infraestructura existe una sincronización entre los diferentes componentes. Back-End (SQL Server y Active Directory) y Front-End (Consola de administración y Agente)
• .NET Framework 4.5.2 or later
• Microsoft SQL Server Compact 3.5 SP2
• Citrix License Server 11.14
• Citrix XenApp o XenDesktop

Versiones WEM

• Versión actual 4.5

Requerimientos Cliente (Agente WEM)

• Recomendado 20MB de RAM
• 40 MB de espacio en disco (100 durante la instalación)

Requerimientos Servidor

• Windows Server 2008 R2 o posterior

• ESTIMACION RECURSOS:

• 4vCPUs y 8 GB de RAM pueden soportar hasta 3000 usuarios conectados
• 80 MB de espacio en disco

Requerimientos SQL

• Microsoft SQL Server 2008 R2 o posterior
• 50 MB de espacio en disco para la BD
• ESTIMACION RECURSOS:
  • Reservar 1GB de RAM por cada 1,000 usuarios desplegados
  • RAM=1.5GB Sistema + (1.5GB SQL + 1 GB por 1000 usuarios) para la instancia SQL
  • Disco = 1GB de disco por cada 10.000 usuarios al año + 10 MB por Sites WEM configurados

Consola de administración

• Mínimo procesador dual core
• 2GB de RAM
• 40 MB de espacio en disco (100MB durante la instalación)

Exclusiones antivirus

Hay que tener en cuenta que para que funcione el antivirus corporativo tiene que realizar las siguientes exclusiones de directorios:

• C:\Program Files (x86)\Norskale\Norskale Agent Host (on 64-bit OS)
• C:\Program Files\Norskale\Norskale Agent Host (on 32-bit OS)
• C:\Program Files (x86)\Norskale\Norskale Infrastructure Services

O en su defecto, los siguientes ejecutables:

• Norskale Agent Host Service.exe
• VUEMUIAgent.exe
• Agent Log Parser.exe
• AgentCacheUtility.exe
• AppsMgmtUtil.exe
• PrnsMgmtUtil.exe
• VUEMAppCmd.exe
• VUEMAppCmdDbg.exe
• VUEMAppHide.exe
• VUEMCmdAgent.exe
• VUEMMaintMsg.exe
• VUEMRSAV.exe

Dependencias del servicio

• Por defecto, el agente se ejecuta como LocalSystem y no está soportado la modificación
• Si el servicio no está arrancado no se puede iniciar sesión (es un requisito)

Puertos Citrix WEM

La entrada Requisitos Citrix WEM se publicó primero en VMware Blog.

Logon en Citrix XenApp

Nos referimos a logon de usuario en Citrix XenApp, al tiempo que pasa el usuario esperando desde que pulsa una aplicación o escritorio en el portal web Citrix (Storefront) hasta que el objeto es utilizable.

¿Qué se entiende por un tiempo de logon dentro de lo normal?

Aunque dependerá del entorno, el usuario y la infraestructura, existe un debate sobre esto en el foro oficial donde coinciden diferentes expertos. Un logon de hasta 30 segundos está dentro de la normalidad.

https://www.citrix.com/blogs/2016/02/29/citrix-logon-times-rule-of-30/

Esto no quiere decir que sea perfecto, porque depende de muchos factores, ya que podemos fluctuar entre mínimos de 6 segundos hasta minutos.

Desde mi experiencia, esto tiene que ser la base para no tener unas expectativas demasiado altas que luego es posible que no podemos cumplir.

FASES DEL LOGON EN CITRIX

Para revisar las fases del logon en un entorno citrix podemos utilizar el script de ControlUp que está disponible de forma abierta y que explicaremos brevemente en esta entrada.

A continuación, explicamos dichas fases:

• FASE 1 – HDX Connection:

Basado en el protocolo ICA, en esta fase el cliente, a través del citrix receiver, se descarga las tareas que tiene que realizar el servidor, revisa los requisitos de la aplicación (audio, video, códecs necesarios, etc…) y haciendo una compresión de video y gráficos utilizando el códec H.264. Esta fase puede ralentizarse si existen cámaras web u otros dispositivos nativos configurados (USB, etc..)

• FASE 2 – Session Init:

Al iniciar un usuario sesión en el sistema (nos referimos al VDA porque el usuario abre la aplicación en el servidor), se crea un nuevo proceso de subsistema SMSS.exe y un proceso Winlogon.exe para la nueva sesión. En resumen, arranca la sesión en el servidor. ID INICIO 4688 (smss.exe) e INICIO FIN 4689 (smss.exe)

• FASE 3 – Network Providers:

En este proceso Winlogon llama a un proveedor de red (Citrix PnSson en XenApp/XenDesktop) para recopilar las credenciales y autenticar al usuario. Procesos ID INICIO 4688 (mpnotify.exe) e ID INICIO 4689 (mpnotify.exe)

• FASE 4 – Citrix Profile Management:

Citrix UPM copia las entradas de registro y los ficheros del usuario (datos aplicaciones,…) en el perfil local. Posteriormente, se sincronizan si existe una caché local del perfil, de tal forma que la última “escritura” es la buena. Se utiliza principalmente para inicios simultáneos del mismo usuario y evitar inconsistencia en el perfil. ID EVENTO 10 y 1

• FASE 5 – User Profile:

En esta fase se carga el perfil de usuario, donde se configura el entorno del usuario de acuerdo a la información que reside en el perfil. ID INICIO 1 e ID FIN 2

• FASE 6 – Group Policy:

Directorio activo lanza GPOs sobre el usuario y el VDI, y hasta que no termina su carga el usuario no puede ver el escritorio o la aplicación. ID INICIO 4001 e ID FIN 8001

• FASE 7 – GP Scripts:

Se lanzan los scripts de inicio de sesión configurados en las GPOs de Directorio Activo. ID INICIO 4018 e ID FIN 5018

• FASE 8 – Pre-Shell

Winlogon.exe ejecuta Userinit.exe que ejecuta la interfaz de usuario de Windows (Explorer.exe). Adicionalmente, en sesiones XenApp se ejecuta cmstart.exe (Citrix Client Manager Starting Utility) que llama a su vez a wfshell.exe que lanza la aplicación (en nuestro ejemplo SapLogon.exe) y las dependencias Citrix. ID INICIO 4688 (userinit.exe) e ID FIN 4688 (icast.exe)

• FASE 9 – Shell:

Sólo en la versión de pago de Control Up. Tiempo entre el inicio del escritorio (cuando se han completado el resto de fases) y entre que está realmente disponible al usuario.

HERRAMIENTA ANALISIS LOGON (SCRIPT CONTROL UP)

Control Up es una empresa que dispone de una herramienta de pago que analiza el logon de usuario. Entre otras cosas, dispone de un script que ha liberado para el público y que nos puede servir de mucha utilidad. Para su ejecución hay que revisar los requerimientos que vienen en su descarga. Probado en W2012R2 y W7 (en W10 no hemos podido hacerlo funcionar)

https://gallery.technet.microsoft.com/scriptcenter/Analyze-Session-Logon-63e02691

PRE-REQUISITOS

Lo pasaremos a través de GPO, ya que sino no se lanza. Cambiar a Success el valor Audit process tracking (he necesitado habilitar todas las auditorías para que funcione por completo):

https://technet.microsoft.com/en-us/library/cc976411.aspx

Adicionalmente hay que modificar la clave de registro SCENoApplyLegacyAuditPolicy a 0 (HKLM -> SYSTEM -> CurrentControlSet -> Control -> Lsa) y también la pasamos por GPO a nuestros XenApp:

EJECUCION SCRIPT

• Abrimos powershell como administrador y colocamos el script en el VDA
• IMPORTAMOS MODULO: Import-Module -Name .\LogonDurationAnalysis_Signed.ps1
• Abrimos sesión en XenApp y lanzamos uno de los siguientes comandos. Veremos donde se nos va el tiempo:
  • Get-LogonDurationAnalysis -Username NombreUsuario -UserDomain Dominio
  • Get-LogonDurationAnalysis -Username NombreUsuario -HDXSessionId 8

Para saber los IDS de las sesiones podéis lanzar “query session”:

El resultado del script:

• ** Interim Delay **: Tiempo que transcurre entre la fase anterior y la actual
• -UserName: <El nombre del usuario que queremos examinar>
• -UserDomain: <El nombre del dominio del que el usuario es miembro>
• -HDXSessionId: <El ID de sesión de la sesión HDX de destino>
• -CUDesktopLoadTime: <Duración en segundos del “Tiempo de carga del escritorio” desde ControlUp> [opcional]
• TODOS LOS USUARIOS: $AllUser | %{Get-LogonDurationAnalysis -Username $_}

Control Up también dispone de una aplicación visual para realizar simulaciones de logon que se llama ControlUp Logon Simulator. La tenemos que instalar en un equipo que tenga acceso al portal web de Storefront donde se pueda simular la apertura de una aplicación o escritorio (no en los servidores o VDI):

La entrada Logon en Citrix XenApp se publicó primero en VMware Blog.

Otro año más tenemos la suerte de recibir el premio VMware vExpert 2018.

Éste año se ha hecho de rogar…pero ya está aquí.

Gracias a tod@s, enhorabuena al resto de vExperts y a por nuevos retos

La entrada VMWare vExpert 2018 se publicó primero en VMware Blog.

Hardening Citrix XenApp

Hay veces que instalas una infraestructura, colocas los diferentes filtros, llámense Firewalls en “sus diferentes capas de la cebolla” que existe en el modelo OSI y TCP/IP, y te sientes a salvo. Cuando desgranas un poco en las técnicas de hacking, te das cuenta que igual no estás tan a salvo como deberías o pensabas.

¿Te preocupas en parchear tus servidores periódicamente?¿Tienes un SCCM o WSUS que te ayude a la tarea?¿Eres de los que quitas todos los filtros a nivel de sistema operativo para facilitarte la administración?

Hoy os quiero mostrar cuales son los hacks más comunes dentro de una infraestructura Citrix XenApp, lo sencillo que es hacer un hack si alguien consigue credenciales de cualquier usuario de tu corporación (o está dentro y tiene mucho tiempo libre) y como no podía ser de otra forma, intentaremos combatirlos securizando la infraestructura.

Así que, manos a la obra…qué hacks más comunes existen, que hasta un tipo como yo puede hacer sin meterme mucho en el barro

HACKS COMUNES EN INFRAESTRUCTURAS CITRIX XENAPP

Sticky Keys hack en Citrix XenApp

Las StickyKeys forman parte de las opciones de accesibilidad de Windows. Son uno de los puntos más comunes de entrada de los hacks para XenApp. Así que hay que deshabilitarlas o limitar su acceso ante un posible ataque.
Combinaciones que se suelen utilizar cuando lanzas un Explorador de Windows, un Internet Explorer u otra aplicación:

• Shift (mayúsculas) cinco veces: Esta acción carga StickyKeys
• Dejar pulsado Shift durante 8 segundos: Carga FilterKeys
• Pulsar Bloqueo numérico durante 5 segundos: Carga ToggleKeys
• Alt + Shift izquierdo + Imprimir Pantalla: Cambia el tema de Windows por uno de alto contraste
• Alt izquierdo + Shift izquierdo + Bloqueo numérico: Carga MouseKeys

Abrimos una aplicación desde XenApp y si están habilitadas las sticky keys, pulsamos SHIFT 5 veces:

Pulsamos en el enlace y se abrirá esta ventana:

Podemos acceder al panel de control:

O abrir una consola de comandos entre otras cosas:

Y podemos realizar varias acciones sin problema (de aquí a hacer más el “mal” hay pocos pasos):

La idea después de aplicar todas las soluciones aportadas en este artículo, es que un usuario con malas intenciones debería recibir algo así como esto, pero para eso explicamos el resto:

Notepad hack en Citrix XenApp

Si disponemos de un Notepad publicado en XenApp o alguien puede lanzarlo por otros medios de los explicados, pulsamos Archivo → Abrir:

Seleccionamos All files y navegamos por las unidades si no están bloqueadas hasta c:\Windows\system32\cmd.exe:

Botón derecho sobre el CMD.exe. Un usuario sin privilegios podría lanzar directamente un CMD.EXE

Si el usuario que queda expuesto es un administrador, podría lanzar como administrador la consola:

Nos deja lanzar la consola:

Calculadora hack en Citrix XenApp

Si, por ejemplo, disponemos una aplicación común como Calculadora también podemos sufrir ciertos ataques. Abrimos la aplicación y pulsamos Help -> View Help

Buscamos cualquier palabra:

Pulsamos sobre Windows:

Se abre un Internet Explorer, escribimos C:\Windows\system32\cmd.exe

Pulsamos RUN:

Volvemos a hacerlo:

Y tenemos acceso a la consola nuevamente. Una vez aquí podemos abrir un notepad y hacer el anterior hack:

O abrir un explorador de Windows (explorer.exe) y darnos permisos completos:

Wordpad

Wordpad es otra aplicación susceptible a ataques. Abrimos un Wordpad mediante XenApp:

Pulsamos sobre Insert Object:

Pulsamos sobre Create from file → Escribimos c:\Windows\system32\cmd.exe → pulsamos OK:

Pulsamos doble clic sobre el objeto insertado:

Y veremos cómo lanzamos una consola de comando:

Microsoft Word hack en Citrix XenApp

Una de las aplicaciones más comunes en un entorno XenApp es Microsoft Word. Si no impedimos lanzar macros, podemos llegar a tener un agujero en nuestros sistemas. Abrimos Microsoft Word y vamos a Vista → Macros:

Le damos un nombre a la macro:

Escribimos Shell (“cmd.exe”) y pulsamos RUN:

Y se abrirá un CMD

Exploit hack Citrix XenApp
Podemos usar un exploit para acceder, os dejo el enlace de una entrada interesante. Lo primero que tenemos que hacer es descubrir las aplicaciones publicadas. Existen dos métodos con nmap o perl:

http://resources.infosecinstitute.com/penetration-testing-of-a-citrix-server/#gref
Si dispones de las credenciales habría que manipular el fichero ICA. Pulsamos sobre la aplicación, pero impedimos que se abra automáticamente:

Editamos el fichero con un notepad, el parámetro InitialProgram:

Modificamos el valor por InitialProgram=c:\Windows\explorer.exe (esto no he logrado que funcione) si queremos lanzar una aplicación directa, ó InitialProgram=#Calculator para una publicada diferente a la original:

Salvamos y hacemos doble clic sobre el fichero. Aunque con errores se abrirá:

SOLUCIONES A HACKS MAS COMUNES EN XENAPP

Para las soluciones me he basado, entre otros, en el blog de http://carlstalhood.com/ que es de obligada lectura para todo administrador de Citrix.

Bloquear Sticky Keys

Para poder deshabilitar las StickyKeys habrá que modificar ciertos parámetros del sistema, básicamente claves de registro, que podemos lanzar vía GPO (a nivel de usuario) o incorporar directamente en la plantilla.

• [HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys] : Cambiar valor Flags de 510 a 506
• [HKEY_CURRENT_USER\Control Panel\Accessibility\Keyboard Response] : Cambiar valor Flags de 126 a 122
• [HKEY_CURRENT_USER\Control Panel\Accessibility\HighContrast] : Cambiar valor Flags de 126 a 122
• [HKEY_CURRENT_USER\Control Panel\Accessibility\ToggleKeys] : Cambiar valor Flags de 62 a 58
• [HKEY_CURRENT_USER\Control Panel\Accessibility\MouseKeys] : Cambiar valor Flags de 62 a 58

User LockDown

La mayoría del malware intenta utilizar los usuarios que hackean con permisos de administrador. Si un usuario llega a tener permisos de administración sobre un servidor XenApp, tendremos la infraestructura expuesta.
http://www.carlstalhood.com/group-policy-objects-vda-computer-settings/#create
http://www.carlstalhood.com/group-policy-objects-vda-computer-settings/#admtemp
https://www.microsoft.com/en-gb/download/details.aspx?id=56121

Control Panel GPO Settings

Si un usuario es capaz de acceder al sistema, tendremos que limitar sus pasos dentro del servidor. Una buena práctica es limitar el Panel de Control para que sólo sea accesible para los usuarios administradores.
Deberemos pasar los siguientes parámetros por GPO:

• User Configuration | Policies | Administrative Templates | Control Panel
  • Always open All Control Panel Items when opening Control Panel = enabled
  • Prohibit Access to Control Panel and PC Settings = enabled ** LIMITAMOS POR COMPLETO (Recomendado) **
  • Show only specified Control Panel items = enabled, canonical names = **LIMITAR SOLO PARCIALMENTE (Ponemos en la lista lo que nos interesa que sea accesible)**
    • Microsoft.RegionAndLanguage
    • Microsoft.NotificationAreaIcons
    • MLCFG32.CPL
    • Microsoft.Personalization
    • Microsoft.Mouse
    • Microsoft.DevicesAndPrinters
    • Microsoft.System (lets users see the computer name)

• User Configuration | Policies | Administrative Templates | Control Panel | Add or Remove Programs
  • Remove Add or Remove Programs = enabled
• User Configuration | Policies | Administrative Templates | Control Panel | Programs
  • Hide the Programs Control Panel = enabled

Desktop GPO Settings

Limitaremos el acceso desde el escritorio del perfil del usuario a determinados iconos que pueden provocar accesos indebidos.

• User Configuration | Policies | Administrative Templates | Desktop
  • Hide Network Locations icon on desktop = enabled
  • Prohibit user from manually redirecting Profile Folders = enabled ** NO FUNCIONA FOLDER REDIRECTION **
  • Remove Properties from the Computer icon context menu = enabled
  • Remove Properties from the Recycle Bin icon context menu = enabled

Start Menu & Taskbar GPO Settings

Lo mismo haremos con menú inicio y la barra de herramientas:

• User Configuration | Policies | Administrative Templates | Start Menu & Taskbar
  • Clear the recent programs list for new users = enabled
  • Do not allow pinning Store app to the taskbar = enabled
  • Remove and prevent access to Shut Down, Restart, Sleep, and Hibernate commands = enabled
  • Remove common program groups from Start Menu = enabled (only if you have some other means for putting shortcuts back on the user’s Start Menu/Desktop. Also, enabling this setting might prevent Outlook 2013 desktop alerts. Microsoft 3014833)
  • Remove Help menu from Start Menu = enabled
  • Remove links and access to Windows Update = enabled
  • Remove Network Connections from Start Menu = enabled
  • Remove Network icon from Start Menu = enabled
  • Remove Run menu from Start Menu = enabled
  • Remove the Action Center icon = enabled (not in Windows 10 ni W2012)
  • Remove the networking icon = enabled
  • Remove the Security and Maintenance icon = enabled (Windows 10)
  • Remove user folder link from Start Menu = enabled

System GPO Settings

Evitaremos que tengan acceso a la edición del registro y al prompt del sistema:

• User Configuration | Policies | Administrative Templates | System
  • Prevent access to registry editing tools = enabled, Disable regedit from running silently = No
  • Prevent access to the command prompt = enabled, Disable command prompt script processing = No

Explorer GPO Settings

Uno de los puntos más importantes es limitar el acceso desde el Explorador de Windows e Internet Explorer a las unidades del sistema, así como a menús de seguridad

• • User Configuration | Policies | Administrative Templates | Windows Components | File Explorer (Windows 8+) or Windows Explorer (Windows 7)
    • Hide these specified drives in My Computer = enabled, Restrict A, B, C, and D drives only
    • Hides the Manage item on the File Explorer context menu = enabled
    • Prevent access to drives from My Computer = enabled, Restrict A, B, C, and D drives only. If this setting is enabled, you can’t use Start Menu’s search to find programs.
    • Prevent users from adding files to the root of their Users Files folder = enabled
    • Remove “Map Network Drive” and “Disconnect Network Drive” = enabled
    • Remove Hardware tab = enabled
    • Remove Security Tab = enabled
    • Turn off caching of thumbnail pictures = enabled

• Esto sólo para Windows 10. Previene que a un usuario no le aparezcan ciertos mensajes al lanzar un explorador de Windows:
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Value = ShowSyncProviderNotifications (DWORD) = 0

Windows Update GPO Settings

Evitamos que a los usuarios les aparezcan notificaciones de Windows update. Un usuario podría lanzar un Internet Explorer al hacer clic, y utilizarlo como explorador de Windows para tener acceso a las unidades si no están bloqueadas:

• User Configuration | Policies | Administrative Templates | Windows Components | Windows Update
  • Remove access to use all Windows Update features = enabled, 0 – Do not show any notifications

Hide Favorites, Libraries, Network and Redirected local drivers

Una manera de evitar problemas, es que los usuarios directamente accesos directos, ya sabéis “ojos que no ven…”
Necesitaremos darnos permisos previamente sobre cada una de las claves a modificar de éste apartado (repetir esto en cada clave a modificar). En la ruta, carpeta ShellFolder, botón derecho –> Permisos:

Pulsamos Opciones avanzadas:

Pulsamos Cambiar en Propietario. Una vez que tenga permisos el grupo o usuario que nos interese, le damos Control total a nivel de Permisos:

Clave de Registro para ocultar Menú Favoritos

Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection > Do not allow drive redirection > Enable

• Para 32 Bits:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder] : Cambiar valor DWord Attributes de a0900100 a a9400100
• Para 64 Bits:
  • [HKEY_CLASSES_ROOT\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder] : Cambiar valor DWord Attributes de a0900100 a a9400100

Clave de Registro para ocultar Libraries

• Para 32 Bits:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder] : Cambiar valor DWord Attributes de b080010d a b090010d
• Para 64 Bits:
  • [HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder] : Cambiar valor DWord Attributes de b080010d a b090010d

Clave de Registro para ocultar Menú Network

• Para 32 Bits:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder] : Cambiar valor DWord Attributes a b0940064
• Para 64 Bits:
  • [HKEY_CLASSES_ROOT\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder] : Cambiar valor DWord Attributes de b080010d a b090010d

La entrada Hardening Citrix XenApp se publicó primero en VMware Blog.

Instalar Citrix VDA vía Powershell

Os mostramos como instalar el cliente de Citrix VDA desde Powershell para vuestros servidores XenApp o plantillas VDI.

Existen varias situaciones en las que te puede interesar instalar el cliente de Citrix VDA en vuestros servidores XenApp o plantillas VDI desde Powershell. Entre muchas de las razones, el control sobre las configuraciones, o una simple manía de administrador de sistemas. Así que, fuese por lo que fuese, os explicamos como hacerlo.

La instalación varía si es para un Server o para una WorkStation.

Bajamos el fichero de instalación si no lo tenemos a mano:

https://www.citrix.es/downloads/xenapp-and-xendesktop/

Una vez tenemos los ficheros ya podemos lanzar vía comando la instalación. Abrimos una consola de powershell como administrador y lanzamos la instalación que nos interesa:

Instalar Citrix VDA Powershell en Server

VDAServerSetup.exe /components VDA /controllers "dclab01.elblogdenegu.local dclab02.elblogdenegu.local" /exclude "Personal vDisk","Citrix User Profile Manager","Citrix Telemetry Service","Citrix Personalization for App-V - VDA" /masterimage /quiet

Instalar Citrix VDA Powershell en Workstation

VDAWorkstationSetup.exe /components VDA /controllers "dclab01.elblogdenegu.local dclab02.elblogdenegu.local" /exclude "Personal vDisk","Citrix User Profile Manager","Citrix Telemetry Service","Citrix Personalization for App-V - VDA" /masterimage /quiet

Instalar Citrix VDA Powershell en Workstation

VDAWorkstationCoreSetup.exe /components VDA /controllers "dclab01.elblogdenegu.local dclab02.elblogdenegu.local" /exclude "Personal vDisk","Citrix User Profile Manager","Citrix Telemetry Service","Citrix Personalization for App-V - VDA" /masterimage /quiet

Aplicación Citrix VDA Commandline Helper Tool

Si sois de los que queréis personalizar hasta el último parámetro de la instalación pero de forma gráfica, os recomiendo usar Citrix VDA Commandline Helper Tool. Es una herramienta que deriva de la Citrix Receiver Commandline Helper Tool. Alguien pensó, en este caso Frederic Serriere, que si se podía hacer con Citrix Receiver, por qué no hacerlo con la VDA.

La entrada Instalar Citrix VDA vía Powershell se publicó primero en VMware Blog.

Crear VMware ESX en Ravello

Ravello Systems es un servicio Cloud de gran calidad, que hace un tiempo fue comprado por toda una compañía como Oracle. Los VMware vExperts lo conocemos, porque llevan varios años regalándonos acceso a su plataforma para poder generar laboratorios.

Este año nos han regalado 1000 horas mensuales, así que intentaré sacarle provecho todo lo que pueda.

Hoy os quiero enseñar como crear un servidor ESX en modo Nested en la plataforma, por si os animáis a contratarlo, ya que si buscáis un servicio cloud de calidad, con servicio internacional, a buen precio, es una gran alternativa.

Lo primero que debemos hacer es entrar en la URL: https://cloud.ravellosystems.com e introducir nuestras credenciales:

Una vez que entramos, pulsamos en Library:

Subiremos una iso de VMware ESX en la sección Disk Images:

Pulsamos en Import Disk Image:

Descargamos la aplicación Ravello VM Import Tool:

Instalamos la aplicación en nuestro ordenador:

Automáticamente se lanza un navegador que nos pedirá nuestras credenciales de Ravello:

Pulsamos Upload New Item:

Queremos cargar una ISO, así que seleccionamos la opción y así que pulsamos Start:

Elegimos y pulsamos Upload:

Esperamos que cargue:

Ya tendremos la ISO para poder utilizarla en nuestro ESX:

También generamos una Elastic IP Address desde el menú Library:

Elegimos la location que nos interese y pulsamos Create:

Tendremos la IP preparada en segundos:

Adicionalmente, creamos una Key Pairs desde también el menú Library. Nos generará un fichero PEM que se descargará automáticamente y nos permitirá conectarnos a las máquinas virtuales:

Generamos una Key de forma automática:

Ahora vamos a crear una aplicación desde el menú Applications -> Create Applications:

Le damos un nombre:

Vamos a la pestaña Canvas. Ravello ya tiene generada unas plantillas que utilizar. Arrastramos directamente la que se llama Empty ESX al centro:

Lo primero que hay que hacer es ir a Disks –> Y mapeamos la imagen que hemos cargado en el DVD:

Seleccionamos la imagen del ESX:

Pulsamos Save:

Pulsamos Publish:

Pulsamos Publish:

Esto si le llevará unos minutos, no muchos, tenéis que esperar a que desaparezca el reloj. Daros cuenta lo que tarda un proveedor de Internet en gestionar esto. Aquí no son más de 5 minutos, y genera automáticamente servidor DHCP, DNS, REDES, ROUTER,…muy impresionante:

Veremos en la máquina la IP/Nombre para acceder desde fuera en la sección VM a Started:

Para realizar la instalación una arrancada, pulsamos Console:

Aquí no tiene mucho misterio, hacer una instalación común de ESX:

Disponéis de un mega teclado virtual para ayudaros con la instalación:

Desmapeamos la ISO una vez terminada la instalación. Acordaros en hacer Save e Upload y esperar a que termine:

En la sección Network podéis ver el detalle de todas las redes, así como se ha generado también automáticamente una regla NAT en el FW para tener acceso externo:

Para poder gestionar el esx, a parte de SSH habilitamos el puerto 80. Vamos a Network –> VM –> Supplied Services:

Añadimos los puertos 80 y 443:

Y pulsamos Update para ejecutar los cambios:

Y así ya tenemos acceso a la gestión desde fuera:

Veremos qué cosas adicionales podemos hacer en próximas entradas.

La entrada Ravello VMware ESX se publicó primero en VMware Blog.

Analizar logon Citrix con Procmon

Hace unos días hablamos sobre el proceso de logon en Citrix XenApp y explicamos como analizar todas las fases que intervienen en el logon de un usuario. Hoy quiero explicar cómo analizar un logon desde una herramienta diferente como es Procmon.

Process Monitor (Procmon) es una herramienta de Microsoft que nos permitirá saber en tiempo real todos los procesos que existen en el sistema. Si existe un proceso que interfiere en la sesión de citrix nos dará pistas, si existen problemas con claves de registro, fuentes de sistema o todo lo que esté pasando en el servidor cuando alguien hace login. La aplicación no se instala, en una sesión Xenapp debe estar recogiendo datos previamente para poder analizar el logon y en un VDI habrá que lanzarlo mediante un script en el arranque.

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

PROCEDIMIENTO DE CAPTURA:

• Copiamos el ejecutable en una carpeta que podamos localizar fácilmente (no se instala) y abrimos Procmon en el VDA previamente a lanzar la ejecución de la aplicación desde el Storefront. La lupa debe estar sin la marca X para que esté capturando:

• Lanzamos la aplicación en Xenapp (dado el volumen de datos que recoge en pocos segundos, este proceso debe ser rápido). Revisar la hora para tener un punto de referencia claro.
• Una vez terminada la carga de la aplicación paramos Procmon pulsando sobre la lupa.

• Para hacerse una idea del tiempo y los procesos involucrados, pulsamos el siguiente botón que nos acotará las trazas y los tiempos:

• Se ve la secuencia en estas gráficas:

• Con esa secuencia de tiempo y procesos, procedemos a realizar filtros:

Ejemplo Logon con Procmon

Análisis de un logon con PROCMON.exe para Saplogon y Sharefile. En este ejemplo extraemos los procesos que intervienen en este tipo de sesiones:

UserProfileManager.exe (UPM -- logon -- logoff)

smss.exe (Administrador de sesiones Windows)

                        csrss.exe (Proceso en tiempo ejecución Cliente-Servidor)

                                               %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

                        winlogon.exe (Aplicación inicio de sesión)

                                               LogonUI.exe (Windows Logon User)

                                               dwm.exe (Administrador de ventanas del escritorio)

                                               ctxgfx.exe (Gráficos Citrix)

                                               mpnotify.exe (Windows NT Notification App)

                                               icak2meng.exe (Citrix K2M Engine Process)                                      

                                               userinit.exe (Aplicación inicio de sesión)

                                                                       cmd.exe

                                                                                              conhost.exe (Host de ventana de consola)

                                                                                              acregl.exe (App Compat Registry Lookup)

                                                                       cmstart.exe  (Citrix Client Manager Starting Utility)

                                                                                              wfshell.exe (wfshell shell)

                                                                                                                      ctfmon.exe (Cargador de CTF)

                                                                                                                      Citrix.Authentication.VirtualSmartcard.Launcher.exe (Citrix Smart Card)

                                                                                                                      MultimediaRedirector.exe (Citrix Multimedia Redirector)

                                                                                                                      CtxMtHost.exe (Citrix Multi-Touch Host)

                                                                                                                      saplogon.exe (App Saplogon)

                                                                                                                      lcalmeUtil.exe (Citrix IME Utility)

                                                                                                                      MultimediaRedirector.exe (Citrix Multimedia Redirector)

                                                                                                                      MultimediaRedirector.exe (Citrix Multimedia Redirector diferente PID)

                                                                       ShareFileDriveMapper.exe

                                                                                              ShareFileDriveMapper.exe (App ShareFile)

                                                                       cmd.exe (Procesador comandos)

                                                                                              conhost.exe (Host de ventana de consola)

                                                                       icast.exe (Citrix ICA Start helper)

                                               LogonUI.exe (Windows Logon User)

sapsprint.exe

lsass.exe

ImaAdvanceSrv64.exe

cmstart.exe (Citrix Post-Logon, unidades de red e impresoras por ejemplo)

La entrada Analizar logon Citrix con Procmon se publicó primero en VMware Blog.

Instalar VMware ESXi Nested en ESXi Virtual

Hoy quiero hacer un pequeño experimento en VMware, que según para quien puede tener una cierta utilidad o algo absurdo jeje!!.

Vamos a utilizar VMware Workstation 14 Pro, un portátil potente con mucha memoria (mi MSI 48GB de RAM) y la última versión del hypervisor 6.5 U1. Lo que pretendemos realizar es virtualizar lo virtualizado.

Oficialmente VMware, como indica en este KB que no soporta oficialmente en entornos productivos lo que quiero hacer:

https://kb.vmware.com/s/article/2009916

Que no lo soporte en entornos productivos, no significa que en un LAB no lo podamos hacer. :))

Lo primero que haremos es generar nuestro host ESXi en versión 6.5U1 en VMWare Workstation. Esto es muy sencillo, ya que es uno de los sistemas operativos elegibles y no hay configuraciones raras:

Montamos la ISO y dejamos la red en modo NAT si queremos aprovechar el interfaz del portátil y utilizar el DHCP de las interfaces virtuales que genera VMware Workstation para las máquinas virtuales que virtualicemos sobre nuestro ESXi Nested:

Yo he hecho otro “apaño”, he generado un interfaz en modo Bridge, así también el ESXi nested lo puedo gestionar en mi red y en otros laboratorios que utilizan ese rango:

Una vez instalado tendremos la URL de acceso:

Abrimos un navegador e introducimos el usuario root que hemos configurado en la instalación:

Ahora generaremos una máquina virtual ESXi Nested dentro de nuestro ESXi Nested que reside en nuestro VMWare Workstation:

Veréis que nuestros nuevos ESXi Re-Nested tienen Ips del rango de VMware Workstation:

Podéis comprobar y realizar nuevos interfaces y rangos DHCP desde Edit –> Virtual Network Edition de nuestro VMWare Workstation 14 Pro:

Y con esto, podéis instalar otro vCenter, sistemas operativo de pruebas…todo en el nuevo laboratorio que llamaremos “Nested”. Espero haya sido interesante.

La entrada Instalar VMware ESXi Nested en ESXi Virtual se publicó primero en VMware Blog.

Common Criteria para Citrix

Hace poco os enseñé varias técnicas de Hacks y como limitarlos haciendo un hardening de vuestra infraestructura Citrix XenApp. Lamentablemente no hay nada seguro al 100% en informática, pero sí existen criterios que toda empresa debería seguir para estar cerca de lo que marca un fabricante como Citrix.

Para ello existe un estándar global de seguridad en la industria del software. Ese estándar es la ISO/IEC 15408, que mide la seguridad de productos de software.

Citrix tiene una web donde te proporciona mucha ayuda sobre ello de forma pública, con enlaces a GPOs que aplicar o documentación suficiente para explicar todo lo que tenemos que revisar:

https://www.citrix.com/about/legal/security-compliance/common-criteria.html

Estos criterios han sido aceptados y consensuados en 22 países de todo el mundo, por lo que creemos que son la base para realizar el hardening de cualquier plataforma.

Así prácticamente garantizamos que los productos que instalamos cumplen con los requisitos establecidos por medio de los parámetros considerados estándares apropiados por el propio fabricante.

• Los requisitos del producto, en este caso Citrix, están definidos correctamente.
• Los requisitos están implementados correctamente.
• El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos.

La inmensa mayoría de configuraciones que Citrix pone a nuestro alcance para sus diferentes productos están basadas en GPOs que podéis descargar desde el enlace anterior. Os dejo el enlace directo:

• Common Criteria para Citrix XenDesktop 7.15 LTRS
• Common Criteria para Netscaler 10.5
• Common Criteria para Citrix XenDesktop / XenApp 7.6
• Common Criteria para Citrix XenApp 6

Os dejo un trabajo propio, que os puede facilitar la aplicación de estas GPOs públicas. Es una excel con los sistemas operativos que se aplican a cada GPO por User o Computer:

gpos-common-criteria

La entrada Common Criteria para Citrix se publicó primero en VMware Blog.

Instalar Citrix WEM

Citrix Workspace Environment Management (WEM) es un software cliente-servidor que ayuda a la gestión de perfiles en una infraestructura Citrix XenDesktop/XenApp. Con esto destacamos que podemos utilizarlo para la gestión de Aplicaciones como de Escritorios.

Optimiza los tiempos de respuesta gestionando la CPU o RAM de los clientes, lo que puede llegar a implicar que mejoremos los tiempos de logon y el rendimiento de las máquinas que tengan el cliente.

Citrix WEM deriva de otro software que compró Citrix, que se llama Norskale, y que como veréis sigue dando nombre a los servicios y carpetas que se generan en la instalación.

Una de las características más interesantes de Citrix WEM es la optimización de recursos que os explicamos brevemente hace unos días, donde explicábamos sus requisitos.

Citrix WEM requisitos

Requisitos Citrix WEM

Lanzamos el registro de ServicePrincipalNames sobre el servidor de Citrix WEM, con el siguiente comando:

Instalación servidor Citrix WEM

Utilizaremos una plataforma VMware para instalar el servidor, con un Windows Server 2016 virtualizado con SQL Express con cliente VDA en Windows Server 2016 también. Pero como siempre, nos tenemos que hacer con el software, que podéis descargar directamente desde Citrix si tenéis cuenta de Partner. Descomprimimos y veremos varios ficheros y carpetas:

Preparar SQL Express para Citrix WEM

El primer paso es instalar SQL Express y preparar para que trabaje Citrix WEM. Vamos a los usuarios administradores del servidor de Citrix WEM y le damos permisos al grupo o usuario que lanzará la instalación de todos los componentes. Adicionalmente, generaremos una cuenta de servicio en Directorio Activo, sólo para Citrix WEM.

Posteriormente, en SQL Express generamos una nueva base de datos:

Vamos a dar permisos de sysadmin a dicha base de datos:

Y db_owner:

Damos permisos a la cuenta de servicio sobre grupo de SQL Server:

Instalación Infraestructure Services para Citrix WEM

Lanzamos el primer instalador sobre el servidor, deberemos cumplir los prerequisitos. Pulsamos Install:

Pulsamos Next:

Aceptamos la licencia y pulsamos Next:

Introducimos nuestros datos:

Pulsamos custom:

Pulsamos Next:

Pulsamos Install:

Esperamos a que termine, y marcamos el check y pulsamos Finish:

Veremos esta pantalla que luego utilizaremos, primero instalaremos la consola:

Instalación Console de Citrix WEM

Lanzamos el ejecutable de la consola:

Aceptamos la licencia:

Datos de usuario:

Pulsamos Custom:

Pulsamos Next:

Pulsamos Install:

Pulsamos Finish

Create Database para Citrix WEM

Ahora generaremos la configuración de la base de datos. Volvemos a la utilidad y pulsamos Create Database:

Pulsamos Next en el Wizard:

Introducimos el nombre del servidor. Al tratarse de un SQL Express, la instancia por defecto es SQLExpress:

Ahora desmarcamos la casilla e introducimos los datos de la cuenta de servicio creada en directorio activo:

Ahora configuramos el grupo de administradores que hemos configurado y usamos las credenciales del usuario de servicio:

Pulsamos Next y create Database:

Ahora tenemos las configuraciones, así que introducimos para terminar nuestro servidor de licencias para que Citrix WEM quede activo:

Pulsamos Save Configuration y reiniciamos:

Nos conectamos a la consola una vez reiniciado. El puerto por defecto es el 8284:

Instalación Agente de Citrix WEM

Una vez que tenemos acceso a la consola y la infraestructura está bien montada, lo que haremos es añadir clientes a la misma. Por defecto, la forma más común, es instalar un cliente a nuestro VDA. Así que lanzamos el tercer instalador sobre nuestro, por ejemplo, XenApp:

Pulsamos Next:

Aceptamos la licencia:

Nombre de usuario y organización, pulsamos Next:

Pulsamos Custom:

Pulsamos Next:

Pulsamos Install:

Pulsamos Finish:

Se habrá generado un servicio, que por cierto, se llama Norskale Agent Host Service. A partir de ahora, servicios como NetLogon tienen dependencias de él:

Una vez que tenemos el agente instalado en el servidor deberemos indicarle donde guardar la caché dentro del servidor. Para ello crearemos una carpeta, por ejemplo, c:\cachewem. Una vez generada la carpeta, modificamos la clave de registro HKLM\System\CurrentControlSet\Control\Norskale\Agent Host\AgentCacheAlternateLocation con ese valor de la ruta:

Alta de clientes en Citrix WEM

Una vez todo instalado y funcionando, abrimos la consola y vamos al apartado Active Directory Objects y agregamos en Machines e Users los servidores cliente y los usuarios (normalmente todo el directorio activo) que vamos a gestionar:

Para forzar que los clientes lleguen, vais al cliente, abrís una consola de comandos como administrador y lanzáis estos comandos:

cd `c:\Program Files (x86)\Norskale\Norskale Agent Host`

.\AgentCacheUtility.exe -refreshcache -brokername:nombre_servidor_wem.dominio.local

En próximas entradas os explico como gestionar las Actions y otros argumentos de Citrix WEM.

La entrada Instalar Citrix WEM se publicó primero en VMware Blog.

Prelaunch en Citrix

Hoy os explicamos como se puede utilizar Prelaunch para acelerar un logon de determinados usuarios, como configurarlo y qué requisitos tiene el prelaunch en una infraestructura Citrix.

Cuando la sesión de un usuario está en PreLaunch, la aplicación ya está precargada, con lo que acelera el proceso de logon, porque no tiene que ejecutar todas las fases del proceso de logon.

Por defecto, las sesiones en prelaunch se desconectan a los 15 minutos y sólo consumen licencia cuando están conectadas.

Inconvenientes:

• Como hemos dicho, consume una licencia por sesión en PreLaunch al estar conectada la sesión. Bajaría la capacidad de lanzar sesiones concurrentes si el número de licencias es limitado.
• Esa sesión consume recursos de ram y cpu en el servidor
• Sólo soportado en Citrix Receiver para Windows

Configuración:

• Se configura por Delivery Group para aplicaciones
• Single Sign-on (SSON) habilita Pre-Launch por defecto
• Si se necesita habilitar en escritorios sólo disponible a partir de versión 7.6

¿Cómo sabemos si hay sesiones lanzadas en Citrix Prelaunch?

Existen varias formas de revisarlo. Una es desde Citrix Studio –> Grupo de entrega:

Cuando esté activado el Prelaunch aparecerá de este modo:

La forma más rápida es lanzar el siguiente comando por Powershell:

Add-PSSnapin Citrix.*.Admin.V*

Get-BrokerSessionPreLaunch

ó si queréis tener más datos de todas las sesiones podéis usar

Get-BrokerSession

La entrada Prelaunch en Citrix se publicó primero en VMware Citrix Blog.

Crear Linked Clone con VMware Workstation 14 Pro

Llevo varios meses trabajando en un cliente que dispone de una conexión remota con VPN, pero que me limita la conexión una vez estoy en su red conectado. Así que utilizo de forma continua una máquina virtual Windows 10 en VMware Workstation 14 Pro. Como para mí es un preciada, quiero crear un clon para evitar daños mayores.

Como un clon completo me ocupa mucho espacio y trabajo con un portátil, hoy quiero enseñaros como hacer de esa máquina un Linked-Clone, pero no a través de Horizon, sino directamente desde vuestro VMware Workstation 14 Pro.

¿Qué es un Linked-Clone?

Un Linked Clone es una copia de la máquina virtual original, pero que comparte los discos virtuales con la máquina virtual original o Master. Como ya he comentado, la ventaja fundamental es que ahorra espacio en disco y permite la creación muy rápida de varios clones desde el Master. Por ejemplo, un clon completo, sería una máquina independiente y ocuparía lo mismo que la original.

Tener claro que el Master no se podrá mover si no queréis problemas.

Así que nos ponemos manos a la obra. Como ya tengo la máquina la voy a apagar.

El primer paso es ir al menú VM –> Snapshot –> Take Snapshot…

Le ponemos un nombre al snapshot:

Ahora pulsamos VM –> Settings:

Vamos a la pestaña Options –> Advanced –> Y marcamos Enable Template mode (to be used for cloning)

Vamos al menú VM –> Snapshot –> Snapshot Manager

Pulsamos Clone

Se abre un asistente y pulsamos Siguiente:

Elegimos An existing snapshot (power off only) –> Elegimos el snapshot creado:

Elegimos Create a linked clone:

Le damos un nombre:

Y pulsamos Close:

Se ha generado y pulsamos Start para arrancarla:

Y ya tendréis un Linked Clone funcional:

Si vais a los ficheros veréis que el tamaño no es como el original:

La entrada Crear Linked Clone con VMware Workstation 14 Pro se publicó primero en VMware Citrix Blog.

Extraer ClientAddress y ClientName en Citrix XenApp

Es posible, que cuando realizas un desarrollo o por necesidad del negocio, te exijan disponer de un dato como la IP desde la que se conecta un usuario o el nombre del equipo desde donde se conecta. Un ejemplo de esto, es por ejemplo, un perfil móvil que lanza una sesión en un equipo fijo y a los pocos minutos tiene que lanzarlo en otro lugar (por ejemplo, un dispositivo móvil).

Pues bien, llevo un tiempo analizando los procesos que intervienen en el logon de una sesión Citrix, así que hoy os quiero contar donde podéis encontrar un dato como el ClientName o la ClientAddress. Antes de nada os dejo un par de enlaces oficiales para las versiones 6.5 y 7.x de XenApp:

• IDs Eventos XenApp 6.5
• IDs Eventos XenApp 7.x

Aunque en los foros oficiales existen formas de extraer esos datos, yo quiero mostrarlos otras. Os dejo también el enlace:

How to get the Client IP address or hostname of a Citrix session or Terminal Services Session?

¿Entonces en qué vamos a fijarnos para extraer esos datos? Utilizaremos SessionState monitor (claves de registro) y los eventos del sistema.

• Session Monitor

En los eventos del sistema de los servidores de XenApp, se generan varios eventos que pueden ayudar en el desarrollo de una aplicación. En Registro de Windows –> Sistema –> Eventos 1004 y 1007

• EVENTO 1004: Muestra el arranque de la sesión y con la IP del equipo desde donde se conecta. Este evento se genera tantas veces como el usuario lance sesiones en diferentes equipos.
• EVENTO 1007: Muestra el closed, del evento anterior y la IP que se cierra.

Si vais al Studio podéis observar la IP de la sesión:

Cuando un usuario se loguea desde otro equipo, puede que el ID no cambie, pero sí el nombre y la ip del equipo, porque en principio es diferente:

Se genera otro evento 1004 con la nueva IP:

Y a su vez, seguido, se cierra la anterior conexión con un 1007:

Para relacionar las sesiones podéis optar por revisar los eventos Microsoft –> Windows –> Group Policy –> Operativo, donde podéis ver prácticamente toda la secuencia de logon y poder relacionar datos.

El registro de eventos sirve para la versión 7.x de Citrix XenApp. En las versiones 6.x, aparentemente no se registran de esa forma salvo que de error o warning.

Otro método que pueden utilizar los desarrolladores es mirar las claves de registro:

​HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Ica\Session\1\Connection

Claves:
ClientName y <span style="background-color: #cce4f5; font-family: 'Courier 10 Pitch', Courier, monospace; font-size: 12.8px;">ClientAddress</span>

Cuando una sesión se crea con el cliente ICA, se registran todos los datos en la anterior clave. Estos datos son volátiles, así que hay que tenerlo en cuenta. Desaparecen al cerrar la sesión:

La entrada Extraer ClientAddress y ClientName en Citrix XenApp se publicó primero en VMware Citrix Blog.

Instalar XenServer 7.4 en VMware Workstation 14 Pro

Hoy os queremos mostrar como configurar Citrix XenServer 7.4 sobre VMware Workstation 14 Pro. Antes de empezar deberemos revisar los requerimientos mínimos de Citrix XenServer y que debemos cumplir en nuestro portátil, como la RAM, el espacio en disco o la CPU:

Os dejo esos requerimientos:

Pulsamos Crear una nueva máquina virtual y lo hacemos en modo Custom:

Elegiremos compatibilidad con Workstation 14:

Elegimos la ISO que previamente habremos descargado:

Para sistema, XenServer no está en el listado, así que elegiremos VMware ESXi 6.5 and later:

Le damos un nombre:

Colocamos las cpus:

Un mínimo de memoria:

Lo dejamos en NAT o Bridge según nos interese:

Este paso es importante, elegimos LSI Logic SAS para que funcione:

Lo dejamos en SCSI:

Le creamos un nuevo disco:

Y le damos como mínimo 40GB, sino no nos dejará instalarlo:

Pulsamos Next:

Y Finish

Una vez generada, la arrancamos y comenzamos el proceso de instalación de XenServer:

Elegimos idioma:

Pulsamos OK

Aceptamos licencia

Habilitamos thin provisioning:

Local media:

Skip verification:

Escribimos una contraseña:

Yo dejaré todo por DHCP:

Lo mismo:

Elegimos Europe:

Ciudad:

Usaremos NTP:

Dejamos la configuración para el DHCP:

Pulsamos Install XenServer:

Podéis instalar los complementos si queréis:

Una vez termine y se arranque veremos la configuración. Por cierto, bastante más completa que la de un ESXi:

Y con esto ya tenemos la gestión, ejemplo si vas a la IP desde el navegador del portátil:

Podéis gestionarlo desde consola del XenCenter:

A disfrutarlo…

La entrada Instalar XenServer 7.4 en VMware Workstation 14 Pro se publicó primero en VMware Citrix Blog.

Monitorización infraestructura VMware con EasyVirt

Hoy os quiero mostrar una herramienta poco conocida de momento en España para monitorización de infraestructuras VMware que quiere hacer competencia a VMware Orchestrator, se llama DC Scope de la empresa francesa EasyVirt.

Hace unos días tuve la suerte de que me dejaran acceso a la herramienta, así que vamos a instalarla y vemos qué nos puede ofrecer.

Descargamos el fichero OVA desde la propia página http://www.easyvirt.com/:

Importamos el fichero OVA a nuestra infraestructura:

Veréis que no es un appliance no muy grande:

Entramos en la consola y pulsamos intro:

Pulsamos en Configuration réseau:

Y lanzamos un ifconfig para ver la IP que he colocado por DHCP:

Una vez tenemos la IP, podemos gestionar el appliance de DC Scope:

Si vamos al navegador e introducimos la IP comienza el asistente de configuración:

Aceptamos la licencia:

Introducimos los datos de nuestro vCenter:

Esperamos a que termine:

Una vez finalizado el proceso:

En la última fase se generará un código que nos servirá para licenciar la herramienta:

Una vez tenemos el código, la empresa EasyVirt nos genera una key para validarla, lo hacemos y nos redirecciona a otra web:

Las credenciales por defecto son admin / easyvirt:

Entramos en el panel:

Si quisiéramos cambiar el vCenter o ESX a monitorizar. Pulsamos arriba a la derecha en el menú de usuario –> VCenter / ESX Settings

Pulsamos Añadir vCenter:

La herramienta tarda unas 48 horas en recoger todas las estadísticas, así que os mostraremos qué descubre cuando pase ese tiempo.

La entrada Monitorización infraestructura VMware con EasyVirt se publicó primero en VMware Citrix Blog.

Comandos powershell administración Citrix

Hoy os queremos mostrar varios comandos de powershell que pueden ser muy útiles para gestionar vuestra granja Citrix.

Cargar powershell snapins de Citrix

Cargamos los módulos necesarios para Citrix XenDesktop 7.x

Add-PSSnapin Citrix*

Si nuestra infraestructura está en Citrix XenApp 6.5 podemos cargarlos de la siguiente forma:

Add-PSSnapIn citrix.xenapp.commands
Add-PSSnapIn citrix.common.Commands
Add-PSSnapIn citrix.common.groupPolicy

Una vez cargados los módulos relacionados con Citrix podemos listar los comandos que tenemos cargados:

Get-Command -Module Citrix*

Powershell para Citrix Logon

Si queremos saber todos los IDs del sistema:

query session

Una vez tenemos los ids podemos usar el script de Control Up y lanzarlo de la siguiente manera:

Get-LogonDurationAnalysis -Username NombreUsuario -HDXSessionId 8

Si queremos saber qué GPOs se aplican o a qué controlador de domino nos logueamos podemos lanzar:

gpresult /R

Comandos básicos de powershell para Citrix

A continuación, detallamos algunos comandos útiles para la administración de Citrix XenDesktop 7:

VERSIONES

Saber la versión de XenDesktop, lanzamos desde el Delivery Controler:

Get-BrokerController  |  select DNSName, ControllerVersion

Ver versiones de Productos:

Get-ConfigProduct

Saber las ediciones de los productos:

Get-ConfigProductVersion –ProductCode XDT
Get-ConfigProductVersion –ProductCode MPS

Saber las versiones de los productos:

Get-ConfigProductEdition –ProductCode XDT

Get-ConfigProductEdition –ProductCode MPS

SITE

Saber el nombre del Site:

Get-XDSite | select Name

También se puede usar:

Get-ConfigSite | select SiteName

LICENCIAS

Saber el nombre del servidor de Licencias y otros datos sobre él:

Get-ConfigSite | select LicenseServerName, LicenseServerPort, LicenseServerUri, LicensingBurnIn, LicensingBurnInDate, LicensingModel

Configurar nuevas opciones de la licencia:

Set-ConfigSite -LicensingModel Concurrent -ProductCode MPS -ProductEdition ENT

Configurar puerto y nombre servidor de licencias:

Set-XDLicensing -LicenseServerAddress CTXLYC01 -LicenseServerPort 27001

Comprobar el servidor de licencias  en el puerto por defecto (se puede cambiar el puerto). Si está todo OK nos devolverá un “Compatible”:

Test-BrokerLicenseServer –ComputerName ServidorLicencias 27000

DELIVERY CONTROLLER

Listar delivery controller para la zona:

Get-ConfigZone | select Name, ControllerNames

APLICACIONES

Saber el nombre de las aplicaciones publicadas y sus argumentos:

Get-BrokerApplication | select ApplicationName, CommandLineExecutable, CommandLineArguments, UUID

Obtener datos de la aplicación publicada:

Get-BrokerApplication –BrowserName “Notepad”

Borrar aplicación por nombre de todos los Delivery Groups:

$aplicacion = Get-BrokerApplication -BrowserName "Notepad"

$grupo = Get-BrokerDesktopGroup -Name "DesktopGroup" 

Remove-BrokerApplication -InputObject $aplicacion -DesktopGroup $grupo

PERMISOS

Saber los grupos o usuarios que se han configurado sobre los escritorios y aplicaciones:

Get-BrokerAccessPolicyRule | select Name, IncludedUsers

Listar todas las políticas:

Get-BrokerAccessPolicyRule

Todas las políticas TRUE para un usuario concreto:

Get-BrokerAccessPolicyRule -Enabled $true -IncludedUser domain\usuario

SESIONES

Si queremos ver todas las propiedades disponibles para Get-BrokenSession:

(Get-BrokerSession | Get-Member | ? { $_.MemberType -eq "Property" }).Name

Una vez que tenemos los filtros, los utilizamos.

Filtramos por número de uid:

Get-BrokerSession | ?{$_.uid –eq 4}

Filtrado por usuario:

Get-BrokerSession | ? { $_.username -ieq "Domain\usuario" }

Si queremos saber en qué máquinas está conectado y qué ha lanzado:

Get-BrokerSession | ?{$_.username -ieq "ctxsflab\runzue"} | select MachineName, LaunchedViaPublishedName, Uid

Get-BrokerSession | ?{$_.username -ieq "ctxsflab\runzue"} | select MachineName, LaunchedViaPublishedName, Uid, UserSID, Protocol

Matar todas las sesiones de un usuario:

Get-BrokerSession -UserName Dominio\Cuenta | Stop-BrokerSession

Matar una sesión de una máquina concreta:

$terminar = Get-BrokerDesktop -DNSName maquina.dominio.com 
Stop-BrokerSession $terminar.SessionUid

Desconectar todas las sesiones que lleven más de dos días Disconnected:

Get-BrokerSession -Filter { SessionState -eq 'Disconnected' -and SessionStateChangeTime -lt '-2' } | Stop-BrokerSession

SERVICIOS

Revisar el estado de los servicios:

Get-BrokerServiceStatus

PRELAUNCH

Listar las sesiones prelaunchs dentro de un Delivery Group:

Get-BrokerSessionPreLaunch -DesktopGroupName "DG01"

CAMBIAR ICONO

Podemos descargar desde aquí: http://www.iconarchive.com/

Cargamos el fichero ICO, se generará un EncodedIconData con un

Get-CtxIcon -FileName C:\SOFTWARE\Console.ico | New-BrokerIcon

Listar UIds ICON para Citrix:

Get-BrokerIcon | select EncodedIconData*, Uid

PUBLICACION APLICACIÓN XENAPP DESDE POWERSHELL

Para terminar vamos a publicar una aplicación mediante Powershell:

Primero lanzamos el comando de ayuda sobre el comando que nos permitirá publicarla:

Get-Help New-BrokerApplication

Recordar que hemos cargado un fichero ICO y sabemos su UID:

PS C:\Users> New-BrokerApplication –Name "CMD" -BrowserName "CMD" -ApplicationType "HostedOnDesktop" -PublishedName "CMD" -ClientFolder "Applications" -Enabled $true -CommandLineExecutable "C:\Windows\System32\cmd.exe" -WorkingDirectory "C:\Windows\System32\" -MaxPerUserInstances "1" -DesktopGroup "DGCTXW1201" –IconFromClient "C:\Windows\System32\cmd.exe -IconUid "15"

La entrada Comandos powershell administración Citrix se publicó primero en VMware Citrix Blog.

Personalizar portal Citrix Storefront

Hoy quiero mostraros como personalizar vuestro portal web Citrix, modificando directamente Storefront. Así que detallamos qué ficheros necesitaréis modificar y como podéis jugar con vuestra personalización logo, colores corporativos,…

Así que nos ponemos manos a la obra, partiendo de un portal estándar:

Si nos decidimos a hacerlo mediante consola, tendremos que abrir Citrix Studio (yo tengo todo en el mismo servidor) –> Sección Citrix Storefront –> Administrar sitios de Receiver para web:

Pulsamos Configurar:

Vamos al menú Personalizar apariencia y podremos cargar nuestro logo y cambiar los colores:

Adaptar los tamaños de las imágenes a las recomendaciones para que no quede “feo”. Eso se hace fácilmente con Photoshop:

Guardar la imagen para Web y en formato PNG:

Y una vez tenemos las imágenes vamos probando las combinaciones de colores:

Ahora tenemos que modificar el portal, porque sólo hemos subido el logo, y no queda muy bien:

Os explico como encontrar lo que hay que modificar, utilizaré Firefox Developer:

Lo que hay que hacer es ir a la vista de desarrollador (F12) y ver las imágenes que hay en la web marcando IMG. Te vas poniendo en cada una y así podréis localizar las carpetas en el servidor:

Los ficheros los encontraréis aquí:

• Imagen de fondo: C:\inetpub\wwwroot\Citrix\StoreWeb\receiver\images\common\ReceiverFullScreenBackground_XXXXX.jpg (esta imagen es de 2560×1600)

• Color de los botones: C:\inetpub\wwwroot\Citrix\StoreWeb\receiver\css\ctxs.large-ui.min_XXXXXXXXXX.css

• Línea central: También está en el mismo fichero, C:\inetpub\wwwroot\Citrix\StoreWeb\receiver\css\ctxs.large-ui.min_XXXXXXXXXX.css. Al ser un CSS podéis jugar con las tranparencias o cambiar el color fácilmente en la sección background-color…

Estos CSS los podéis modificar con una aplicación tipo Notepad++. Conforme hacéis el cambio pulsáis F5 en el navegador y los cambios serán reflejados de forma instantánea. Primero cambio la imagen y la miro en varios navegadores y móviles.

Luego ya todo es tener un cierto gusto, yo he extraído casi todas las imágenes de mi página web El Blog de Negu, y estos son los parámetros utilizados y el resultado, espero os guste:

La entrada Personalizar portal Citrix Storefront se publicó primero en VMware Citrix Blog.