In meinem letzten Post (http://community.citrix.com/display/ocb/2011/01/24/Was+ist+neu+in+Access+Gateway+5.0+-+Part+1) habe ich die neuen Funktionen von Access Gateway 5.0 in einer kurzen Übersicht dargestellt, hier nun eine detaillierte Beschreibung der Neuerungen:

Neue Benutzeroberfläche für einfachers Manangement
Das Management Interface von Access Gateway wurde im Release 5 komplett überarbeitet. Dazu wurde eine Flash-basierende Oberfläche entwickelt, die sich nun wesentlich intuitiver im Browser bedienen lässt. Die neue Oberfläche ist so konzipiert, dass auch XenApp- und XenDesktop-Administratoren ohne spezielle Netzwerkkenntnisse die Lösung aufsetzen und verwalten können. In dem Dashboard sind alle wichtigen Informationen auf einen Blick zusammengefasst: die Anzahl der Benutzer, die auf dem System angemeldet sind, die verfügbaren Lizenzen und die Gesamt System-Performance.

Integrierte Hochverfügbarkeit durch HA und Clustering
Eine der wichtigsten Neuerungen von Access Gateway 5.0 ist der integrierte Appliance Failover. Ab sofort ist es möchlich, zwei Appliances im Active-Passive Verbund zu betreiben. Dabei sind alle Kombination möglich: zwei physische Appliances, zwei virtuelle Appliances (VPX) oder jeweils eine physische und virtuelle Appliance im Verbund. Am Access Gateway müssen dazu interne und externe virtuelle IP-Adressen definiert werden, so dass der Benutzer beim Ausfall einer Appliance direkt zu der verfügbaren Appliance weitergeleitet wird. Auf Endbenutzerseite wird keine weitere Software benötigt, die Benutzer-Sitzungen werden zwischen der primären und sekundären Appliance synchronisiert.

Access Controller als Windwos Policy Server
Innerhalb des Deployment-Modes kann ein optionaler Access Controller definiert werden, der (als Windows Policy Server) als zentraler Punkt für Richtlinien fungiert. Konfigurationen von verteilten Access Gateway Appliances können nun kombiniert werden. Darüber hinaus lassen sich Appliance-Cluster bilden, die die gleichen Konfigurationen nutzen und für einen Lastausgleich sorgen, indem sie die Benutzer-Sitzungen auf unterschiedliche Systeme verteilen.

Access Controls
Ein Highlight der Version 5.0 sind die integrierten Access Controls, mit denen unterschiedliche Endgeräte-Profile definiert werden. So können Endgeräte-Typen einschränkt werden. Access Controls überprüfen beispielsweise, ob der Benutzer sich mit einem Mac, Windows XP- oder Windows 7-Rechner anmeldet und ob er Mitglied der Domäne ist. Auf Basis dieser Information werden die Rechte nach der Anmeldung festglegt (z.B. Einschränkungen für den Benutzer mit einem nicht-vertrauenswürdigen Endgerät). Die Konfiguration der Access Controls ist denkbar einfach: so wird das Authentifizierungs-Profil (LDAP, RADIUS oder RSA Secure ID) festgelegt und abhängig von der Anmeldung und dem Endgeräte-Typ definiert, auf welche Netzwerk-Ressourcen zugegriffen werden kann.

Smart Groups: Variable Logon-Zugänge für unterschiedliche Zugriffsszenarien
Neu ist ebenfalls die Definition von verschiedenen Anmeldezugängen auf einer Appliance: so z.B. Basis-Zugänge und erweitere Anmeldepunkte (SmartAccess Logons). Jedem Logon-Zugang können dann eigene Authentifizierungs-Methoden oder Zugriffsrichtlinien zugeordnet werden. Die daraus resultierenden Zugriffsszenarien werden in Smart Groups zusammengefasst. Die Smart Group ist eine dynamische Gruppe, der ein Benutzer während der Laufzeit zugeordnet ist, wenn er die Kriterien dieser Gruppe erfüllt. Beispielsweise: ein User muss ein vorgegebenes Endgerät benutzen und der Gruppe „Mitarbeiter” im Active Directory angehören, um bestimmte Zugriffsrechte zu erhalten. Dann kann per Richtlinie durchgesetzt werden, dass er Zugang zum LAN erhält oder aber nur zu bestimmten Netzwerk-Ressourcen oder File-Shares. Benutzer können auch mehreren Smart Groups zugeordnet sein, die ihnen abhängig von ihrer Anmeldung  zugeordnet werden. Im Falle eines Richtlinien-Konflikts kann eine Prioritäts-Liste definiert werden, die die Benutzerrechte regelt.

Der SmartAccess Logon Point bietet die Möglichkeit, das Endgerät per Endpunkt-Analyse (Scan beim Anmelden) zu überprüfen. Bereits vor der Anmeldung kann so entschieden werden, ob das Endgerät und die Konfiguration den definierten Richtlinien entsprechen und ob der User die Anmeldung angeboten bekommt. Erst dann ist die zweite Anmeldung am System möglich. Über SmartAccess Logon Points kann der Adminstrator dem Benutzer mehr als den reinen Zugriff auf XenApp und XenDesktop anbieten: Über einen SSL VPN-Tunnel lässt sich auch der Zugriff auf eine Auswahl an Webseiten und File-Shares freigeben. Neu in Version 5 ist der Zugriff auf File Shares über einen Browser via http. Weitere, granulare Einstellungen am Access Gateway verhindern Datenmissbrauch bzw. das Kopieren von Daten auf Endgeräte.

Lizenzierungsänderungen
Auch im neuen Release ist die bereits in der Version 4.6.x integrierte Plattform-Lizenz enthalten: Diese ermöglicht den Zugriff auf XenApp- oder XenDesktop-Ressourcen, ohne dass dafür eine Universal License benötigt wird.

Download Access Gateway Version 5.0.1