Alors, pour cette anne, Citrix or not Citrix ?

Par : Pierre-Antoine Blondel

(http://www.devoteamblog.com/all-categories)

Sil y a des choses dont on ne se lasse jamais en informatique, cest de ces grands dbats sans fin, relancs gnralement chaque nouvelle gnration de Windows Server. Une de ces fameuses discussions concerne les services terminaux de Windows Server, et de savoir si finalement ils vont pouvoir remplacer nos infrastructures Citrix. Ce dbat est motiv par le cot supplmentaire que ncessite Citrix pour tre dploy, toutefois largement compens par lconomie ralise sur la gestion du poste de travail. Mais comme un cot est un cot, si on pouvait faire du Citrix sans Citrix, que le monde serait idal. Je me souviens dune prsentation faite par Microsoft aux US, lors de la sortie de Windows Server 2003, o le speaker (pur produit de Microsoft Corp.) avait gliss ce slide la fin de sa prsentation, ce qui est trs honorable de sa part.

A la question Que fait de mieux Citrix par rapport Terminal Server , la rponse est sans appel et ne mrite gnralement pas un dbat approfondi : Tout ! . Pour analyser simplement la situation, il suffit de vrifier les fonctionnalits apportes par les services terminaux de Windows Server 2008 pour savoir si elles seules elles conviennent votre environnement. Cest ce que vous propose la premire partie de cet article. Mais quant vouloir comparer les solutions de client lger (ou pour les amateurs danglicisme, les Server Based Computing (SBC) solutions), autant le faire totalement. En dehors de Citrix et de Microsoft, il existe un grand nombre de comptiteurs de talents, gnralement moins sous les feux de la rampe, car le marketing des deux socits multimilliardaires laisse peu de place pour crier son droit lexistence. Peut-tre que pour certains dentres-vous (comme moi, nous nous reconnaissons grce nos cheveux blancs) se rappelleront-ils du nom de Tarantella ou reconnatront avoir pass de longues heures essayer de le configurer ? Ces alternatives sont nombreuses et mritent dtre prsentes dans une deuxime partie de cet article. 1re partie : Nouveauts des services terminaux dans Windows Server 2008 Tout dabord, cest une ralit : la dernire version du systme dexploitation serveur apporte de nombreuses nouveauts pour les services terminaux. Microsoft a cherch la fois amliorer les fonctionnalits de base mais aussi apporter des solutions concrtes ce que les utilisateurs peuvent attendre de ce type de service. Ce message sadresse toi, lecteur Citrix. Ne soit pas vex, mais je crois quune partie des fonctionnalits qui faisaient ta joie et ta diffrence est dsormais intgre dans la base du produit. Toutefois, reconnaissons que si Microsoft progresse dans les fonctions apportes par TS, cest grce Presentation Server et aux quipes de R&D de Citrix. Ceci explique pourquoi Microsoft ne rechigne pas (aprs rengociation svre) autoriser Citrix dvelopper sur les volutions du noyau de Windows Server, chaque gnration produit.

Parmi les nouveauts des Terminal Services, on peut principalement lister les amliorations suivantes : - Terminal Services Gateway, une mthode dencapsulation SSL du flux RDP permettant un accs unique lensemble des serveurs et machines en RDP depuis une seule adresse de manire scuris vitant ainsi lutilisation dun VPN ; - Terminal Services RemoteApp, qui permet de dployer sur le poste client laffichage dapplications et non pas du bureau complet de lutilisateur ; - Terminal Services EasyPrint, une mthode qui permet de rsoudre les nombreux problmes de drivers dimpression lors des connexions clients grce lutilisation dun driver unifi ; - Terminal Services Web Access, qui permet de dployer les RemoteApp sur une page Web avec un WebPart ; - Terminal Services Session Broker, qui amliore la reconnexion des utilisateurs connects une ferme de serveurs TS. Nous en profiterons pour aborder trois autres lments essentiels des services TS de Windows Server 2008 : la gestion des licences Terminal Services, lutilisation avec Windows System Ressource Manager et PowerShell. Les fonctionnalits de base Grce au client RDP 6.x, de nombreuses fonctionnalits sont dsormais disponibles. Mme si elles permettent daugmenter les options de connexion avec Terminal Services sur Windows 2003, elles prennent tout leur sens avec lutilisation du bureau distance de Vista ou des services TS de Windows Server 2008. Ainsi, le nouveau client RDP permet : - Le multi cran : on peut maintenant avoir une session TS qui stend sur plusieurs crans. La seule contrainte est que les crans doivent tre aligns lhorizontal et avoir la mme rsolution ; - La gestion de rsolutions plus importantes (jusqu 19201200) ainsi que la gestion des crans larges 16/10me ; - La composition du bureau pour permettre lutilisation dAro dans la session Terminal Services. Lensemble des oprations de rendu se fait intgralement sur le client, dchargeant ainsi un maximum de ressources rseaux et systme au serveur ; - Le lissage des polices ; - La priorisation des flux : lensemble des informations transmis est encapsul dans des flux virtuels puis multiplex pour transiter sur le rseau. On trouvera un flux pour le clavier, un flux pour lcran, un flux pour les transferts de fichiers, un pour limpression, etc. Les flux

correspondant au clavier, la souris et laffichage sont maintenant prioritaires sur les transferts de fichiers et les travaux dimpression pour permettre une meilleure ractivit ; -La rediction des priphriques : un certain nombre de priphriques spcialiss (utilisant .NET) sont maintenant redirigeables. Une des faiblesses de Windows Terminal Services est quil tait impossible dauthentifier le serveur avant dy accder jusqualors. Dsormais, pour augmenter la scurit, le serveur peut sauthentifier auprs du client avant que celui-ci ne sauthentifie sur le serveur. Cet ajout de scurit se fait par Kerberos lorsque cest possible ou par un certificat. Ainsi, lauthentification mutuelle du client et du serveur se fait avant la connexion. On peut bien entendu stocker ses identifiants de connexion avec RDP 6.x, ce qui vite davoir les ressaisir chaque connexion, et bnficier ainsi dun mcanisme de SSO (Single Sign On). Terminal Services Gateway Publier un serveur Terminal Services directement sur Internet nest pas forcment une excellente ide. Jusqu prsent il tait conseill dutiliser une connexion VPN pour laccs aux serveurs TS pour rendre la connexion scurise et permettre laccs lensemble des ressources. Cette mthode a le dsavantage dtre plus lourde mettre en uvre puisquil faut lancer la fois le VPN puis le client RDP. Windows 2008 introduit la passerelle Terminal Services (Terminal Services Gateway) qui permet de scuriser laccs aux serveurs TS ou aux machines avec le bureau distance activ. La passerelle Terminal Services joue le rle de terminaison SSL au flux RDP. Ainsi le client se connecte au Terminal Services Gateway de manire scuris pour accder lensemble des ressources Terminal Services de lentreprise. Le flux RDP est encapsul dans le protocole HTTPS puis arrive sur la passerelle, celle-ci faisant transiter le flux RDP directement au serveur joindre. La passerelle Terminal Services permet aussi le contrle daccs aux ressources. On dfinit qui a le droit daccder la passerelle et par quelle mthode (mot de passe ou carte puce) et qui a le droit daccder tel groupe de machines. Ces stratgies sont appeles TS CAP pour Connection Authorization Policies. Les groupes de machines sont quant eux appels TS RAP pour Ressource Authorization Policies. En dehors des stratgies daccs, on peut aussi contrler dans les TS CAP la dsactivation des redirections (lecteurs, son, presse-papier, etc.).

La passerelle Terminal Services Windows 2008 est compatible NAP. NAP (Network Access Protection) est un ensemble de composants pour la protection du rseau, intgr Windows XP SP3 et Windows Vista. Il permet de contrler laccs au rseau en fonction de ltat de sant du client. Par exemple on peut interdire laccs la passerelle dans le cas o le client na pas activ les mises jour automatiques ou nest pas jour, quil na pas dantivirus ou de firewall ou dantispyware etc. Microsoft NAP est extensible avec les solutions que des diteurs tiers pourront fournir (par exemple un logiciel de pare-feu non Microsoft pourra

vrifier quune rgle est applique). Ceci peut tre trs utile pour viter les propagations virales sur des postes quon ne contrle pas. Voici les tapes de connexion dun client : - Ouverture du client RDP - Saisie de ladresse interne du serveur TS ou de la machine joindre - Saisie de ladresse de la passerelle TS - Configuration des options ventuelles - Saisie du login et mot de passe pour la passerelle - Saisie du login et mot de passe pour le serveur TS (dans Vista SP1 ces 2 tapes peuvent tre faites en une seule fois si les logins sont identiques) - Connexion => Envoi des informations dauthentification de la passerelle => Vrification des informations (les TS CAP) => Si besoin, envoi de ltat de sant du client => Vrification des informations => Vrification de la demande daccs la ressource (TS RAP) => Connexion au serveur TS (avec vrification auprs du client de lidentit du serveur) Les avantages de TS Gateway sont : - Plus besoin de VPN pour laccs scuris aux serveurs TS - Encapsulation dans un protocole largement utilis (HTTPS) - Point dentre unique (sauf en cas de ferme de TS Gateway) lensemble des ressources TS de lentreprise (utile dans le cas de NAT o on veut publier plusieurs serveurs TS). - Un meilleur contrle des sessions TS - Rduction des cots de management RemoteApp Une des fonctionnalits qui manquait aux services terminaux de Windows Server jusqu prsent tait le Seamless Windows . Cette fonction utile permet de dporter sur le client TS uniquement la fentre dune application plutt que la totalit du bureau. Cette proprit est dsormais intgre sous le nom de RemoteApp avec les services TS Windows 2008. Il suffit de configurer les applications publier, crer les fichiers .rdp qui serviront lancer le programme sur le poste client et diffuser ceux-ci aux personnes concernes. On peut galement publier des packages au format .msi. Lavantage est de permettre linstallation des applications TS par le biais de GPO (Group Policies Object) ou au travers de tout autre logiciel de tldistribution. Les fichiers .msi permettent aussi la cration dentres dans le Menu Dmarrer ou directement sur le Bureau de lutilisateur ainsi que permettre louverture des documents directement sur le poste client partir du moment o lapplication a t publie. Par exemple, si on publie Microsoft Word 2007 par le biais dun fichier .msi, il suffira de douvrir le document sur le poste client pour que lapplication Word 2007 soit lance sur le serveur TS Windows 2008. RemoteApp prsente nanmoins un problme potentiel de scurit : puisque seule lapplication est dporte, on peut imaginer lutilisation de fausses applications avec la mme interface qui serviraient recueillir les mots de passe de lutilisateur (faux Live Messenger,

faux logiciel mtier). Pour faire face cette menace, il est possible de signer numriquement ses applications RemoteApp. Lutilisateur est ainsi au courant de la validit de lapplication (mme mcanisme que lUAC lors de lexcution dapplications signes ou non). Terminal Services Web Access En plus de la publication des RemoteApp par les fichiers .rdp ou les packages .msi, il est possible de publier les raccourcis dans un WebPart depuis un site Sharepoint ou sur un serveur IIS 7. Les utilisateurs peuvent ainsi lancer lapplication distante depuis un simple navigateur Internet quelque soit lendroit et la nature du poste de travail. Il faut noter que le WebPart affiche tous les raccourcis quun serveur ou quune ferme de serveurs TS publie. Il faudra donc crer plusieurs WebParts pour isoler des applications publier. Les versions intermdiaires ont intgr cette fonction, mais celle-ci a t juge trop complexe pour tre retenue dans la version finale. De mme, dans la version RC0, seuls les clients Windows Vista SP1 Beta et Windows Server 2008 (excutant RDP 6.1 Remote Desktop Protocol) pouvaient utiliser le service TS Web Access.

EasyPrint Une des plus gros problmes avec les services TS Windows tait la gestion des impressions. En effet, pour disposer du meilleur rendu, il est ncessaire que les imprimantes soient reconnues par le serveur et le client. Les drivers doivent tre installs sur les 2 postes, ce qui pose des problmes avec les migrations en 64 bits, la multiplicit des imprimantes des clients, etc. Citrix avait aussi un avantage considrable sur ce point, mais Microsoft intgre dornavant une solution pour une impression facilite, au travers de lutilisation du format de fichier .xps (XML Paper Specification). Ce format, dj utilis par Word 2007 est une forme particulire du langage XML (Extensible Markup Language) adapte aux spcifications dimpression. Pour prendre un exemple, lors de limpression dun document, le document est transform en fichier .xps puis transite sur le rseau pour tre ensuite converti sur le poste client en impression sur limprimante. De cette manire, on dispose dune mthode universelle dimpression, quelque soit limprimante, quelque soit le pilote (x86 ou x64). Limpression avec Easy Print reste toutefois optionnelle, et rien nempche de continuer utiliser lancienne mthode dimpression. Terminal Services Session Broker Prcdemment dans Windows 2003, si vous dsiriez faire une ferme de serveurs de services terminaux, vous deviez utiliser le service NLB (Network Load Balancing) de Windows Server 2003. Pour conserver les sessions lors dune dconnexion, un service appel Terminal Service Directory permettait de rorienter le client vers un serveur qui hbergeait sa session. Windows Server 2008 propose une nouvelle solution. La diffrence majeure est quil nest plus obligatoire dutiliser NLB. La solution repose sur un round robin DNS (ou lutilisation dun quipement de partage de charge matriel). Il suffit denregistrer sous un mme nom dhte DNS (A) lensemble des adresses IP des serveurs TS. Si un client se connecte sur un

serveur offline la connexion fera un timeout puis le client ira se connecter sur une autre adresse. Le timeout prend un certain temps que le client devra subir. Il est cependant obligatoire avec cette mthode. Lors de la connexion un serveur, celui-ci va vrifier lexistence dune session existante sur un autre serveur mais aussi si aucune session na t ouverte et si cest ncessaire, demander au client de se connecter sur un serveur moins charg. On peut en effet attribuer des poids aux diffrents serveurs. Cependant on natteint pas la granularit de Citrix o le partage de charge se fait en fonction de la charge CPU/RAM/IO des sessions. Ici juste le nombre de sessions et le poids du serveur est pris en compte. Un mcanisme est prsent sur les serveurs TS pour interdire les nouvelles sessions TS tout en gardant les sessions actuelles actives. Ainsi si on veut faire une maintenance sur un serveur il suffit dactiver ce mode et attendre quelques heures la dconnexion des clients pour avoir un serveur libre. En jouant sur les poids, ce mode dvacuation et un monitoring des ressources il est possible de concevoir une application pour grer dynamiquement et quitablement les ressources de la ferme. Licences Terminal Services Le service de licences Terminal Services permet de dlivrer des CAL TSE aux clients. Cellesci sont de deux types : Per-Device ou Per-User (par priphrique ou par utilisateur). Avec Windows Server 2003 on navait aucun moyen de connaitre la dlivrance des licences PerUser. Dsormais, Windows Server 2008 permet de grer ces licences, si le serveur gre le domaine. On dispose galement de rapport sur lutilisation des licences et de fonction de rvocation des licences mises. Le serveur de licences Windows Server 2008 permet de donner des licences aux serveurs TS Windows Server 2003 si vous tes dans un environnement mixte. Par contre, un serveur de licences Windows Server 2003 ne peut pas dlivrer de licences pour un serveur TS 2008. Windows System Ressource Manager Conu la base pour les versions Windows Data Center, et finalement intgr Windows Server 2008, le composant Windows System Ressource Manager permet dimposer un usage quilibr des ressources systmes (CPU et mmoire principalement). On peut rgler le partage des ressources par session utilisateur ou par utilisateur. Ainsi un utilisateur ne sera pas dsavantag si un utilisateur gourmand en ressources se connecte sur le mme serveur. Il est cependant dommage que le contrle naille pas plus loin (gestion des I/O), fixer lavance une limite, etc. PowerShell pour Windows 2008 Windows PowerShell, le nouveau langage de scripts intgr Windows Server 2008 va galement tre trs utile pour lutilisation des services terminaux. Etant donn que les services terminaux stockent une quantit dinformation accessible via WMI, les administrateurs TS vont pouvoir automatiser des changements de configuration au moyen de scripts PowerShell. Un autre usage trs intressant dutiliser PowerShell pour examiner les similitudes ou les diffrences de configuration de plusieurs serveurs dune ferme TS.

Remake : Est-ce la mort de Citrix ? Mais non. Deux raisons principales cela. La premire est que si lon exclut les usages de services terminaux pour de la prise de contrle distance, 70% des entreprises utilisant les Terminal Services de Windows Server 2003 utilisent galement les solutions Citrix. La dernire version du systme dexploitation de Microsoft permet simplement de remonter le niveau des fonctionnalits de base des solutions de type SBC pour Windows. Le tableau ciaprs vous permettra de comprendre les apports de Citrix vis--vis des amliorations apportes par Windows Server 2008 (en gras dans le tableau).

2me partie : Comparaison des solutions du march Server Based Computing Les SBC sur Windows Server ont dsormais un peu plus que 10 ans (12 Mai 1997). Qui se souvient de Hydra et du protocole T.Share/T.120, de Citrix Picasso , devenu WinFrame, ou de limplication de Prologue Software avec WinTime ? Lien : http://msdn.microsoft.com/archive/default.asp?url=/archive/enus/dnarwts/html/msdn_hydrawp.asp Lun des avantages de larrive de Windows Server 2008 sur le march est quil sera sans doute pour vous le moment de vous rinterroger sur le march des solutions de type client lger. Comme nous lavons dit, si Citrix reste le leader incontest et souvent synonyme de ce domaine avec Presentation Server, il conviendra de vrifier si dautres comptiteurs pourraient vous apporter une solution alternative, ne serait-ce que lors de la rengociation de vos contrats. Parmi ces socits se trouve bien entendu Microsoft, mais galement dautres fournisseurs que je vous propose de dcouvrir ou dapprcier :