4-1 : Mes missions et Projet

4.a) Technologiques : travaux techniques, mise en pratique

4.a.1) Projet : CITRIX, XenApp & XenDesktop :

En 2015, mon projet principal consistait mettre en place une solution de distribution de VDI
et d'applications, et ce en utilisant XenDesktop & XenApp de CITRIX.
En rapport avec une demande faite par un laboratoire en interne, ce projet correspond parfaitement
l'tape suivante de ma dernire mission effectue lors de mon stage en 2014 : Comparer les diteurs
de logiciels de VDI et commencer crer les modles de machines virtuelles.
J'ai par consquent retrouv certaines VM (Virtual Machine, soit Machine virtuelle) ralises l'anne
prcdente pour ce mme projet, sur le cluster Vsphere2 de l'Ensiacet qui m'est familier.
Cependant, Citrix et VMware ayant tout deux amliors leurs versions logicielles, il a donc fallu rtudier les 2 solutions proposes :

Comparer Horizon 6,0 avec XenApp & XenDesktop 7,6, vrifier la compatibilit avec
l'hyperviseur actuel de l'Ensiacet, analyser globalement le cot de ces solutions et analyser
laquelle permet d'obtenir le meilleur environnement de travail pour la demande reue.

A la suite de cette tude j'ai pu me relancer dans le projet, et c'est finalement CITRIX qui a t choisie
pour diverses raisons : Le laboratoire avait dj fais la demande pour des licences et en possdait
quelques-unes, les responsables du services souhaitent faire voluer le parc au niveau Enseignement
et Recherche via cette solution de VDI.
Afin d'avoir une installation la plus optimale possible : rpondant au mieux au cahier des charges pour
le laboratoire en question, j'ai collabor avec mon ancien matre de stage Mr. ALLOULA pour crer,
configur, install certaines application scientifique et dfinir les ressources ncessaire pour les
modles de machines qui devaient tres dployes a la fin de ce projet.
La solution XenApp fut adopte :
C'est donc avec un licence d'essai des produits CITRIX que je relance le projet.
En commenant par la lecture de nombreux guides sur XenApp, XenDesktop et des diffrents produits
compatibles Citrix j'ai commenc par me faire une ide plus claire du fonctionnement de cette
solution en rel, ces guides disponible en format .pdf sur le site internet de support Citrix, en voici
l'adresse ci-dessous :

https://www.citrix.com/content/dam/citrix/en_us/documents/oth/xenapp-reviewers-guide.pdf?
accessmode=direct
Voici un schma reprsentant le fonctionnement sur le rseau des diffrents lments
pour cette solution :

Les utilisateurs, se connectent soit en interne sur le StoreFront, soit s'ils sont l'extrieur du rseau
via le NetScaler Gateway qui permet une connexion scurise via un Micro VPN SSL (composante du
Citrix Receiver qui doit tre prsent sur chaque poste afin daccder aux Catalogues de machines ou
applications proposes).
Une fois sur le StoreFront, les utilisateurs doivent s'identifier avec leurs paramtres de compte AD,
afin d'obtenir un accs aux catalogues mis dispositions. Le Delivery Controller analyse tout ce qui
passe par le StoreFront et fait la jonction avec l'AD, selon le groupe AD de l'utilisateur et les
paramtres du catalogue, il affiche ce qui est disponible pour l'utilisateur de faire.
Voici les lments majeurs installs et mettre en place :

Le delivery controller : Installation en plusieurs tapes, chaque tape requiert de rentr des
informations sur le rseau existants, l'hyperviseur, l'AD, DNS, DHCP, VLAN, la baie de disque,
licence, .

XenApp & XenDesktop : Installation sur la golden-image permettant de la faire reconnatre

par le delivery controller en tant que tel. C'est sur la golden-image que seront ensuite installs
les Applications qui devront tres dploys. Le Delivery controller crera grce elle des
catalogue de machines et des groupes de mises dispositions.

NetScaler VPX : Une machine virtuelle ayant pour rle de controller les accs au StoreFront et
en amliorer les performances depuis l'extrieur grce une fonction de Vswitch au sein de la
DMZ. Ce NetScaler est optionnel mais c'est un des souhait de la DSI A7 d'optimis le rseau et
le service CITRIX.

Certain prrequis ncessaire l'installation taient de :

1. Comprendre comment marche la solution propose par CITRIX : architecture physique &
logicielle, interaction entre les diffrents services et les diffrents composants ncessaire,
intgration dans le rseau, risques associs, etc... :
2. Avoir ses machines virtuelles de prtes (configures) : celles qui vont servir de serveurs
(Delivery Controller, Vcenter, AD, Director, Studio, ), celles qui seront les modles pour le
dploiement (Golden-Image ou Master-Image). Un accs en administrateur sur toute ces
machines est requis, on m'as donc r-attribu les droits d'administrateur de l'anne prcdente
sur mon compte.
3. Disposer d'un hyperviseur compatible avec la version 7,6 de de XenApp & XenDesktop (ici
Vsphere ESXi 6,0, jour et oprationnel). Sur le cluster Vsphere2 on trouve la machine virtuelle
Vcenter2 qui permet d'administrer via un client web tout le systme VMware en place.

4. Prparer la mise en place de la machine directrice qui disposera du Delivery Controller,

cette machine doit tre mise au pralable dans l'Active Directory de l'Ensiacet (AD commun
toutes les INP de France), et cela en lui donnant les droits administrateurs de l'AD. De plus il a
fallu crer un groupe dans l'AD pour permettre ses membres daccder au futur serveur
XenApp et en dfinir les GPO.
Une fois tout cela mis en place, la premire tape est de dfinir le rle prcis de chacune de ces
machines, dfinir le plan et l'ordre des diffrentes installation et paramtrages. Puis d'installer les
composantes de XenApp en fonction.

On commence l'installation par le delivery controller :

L'une des machines Windows Serveur 2012 R2 servira de gestionnaire en y installant les outils de
gestion et d'administration : Studio et Director, elle disposera aussi du StoreFront (interface web pour
se connecter au serveur Xenapp via un navigateur) et aura donc une base de donnes qui par dfaut
est crer avec SQL Express 2012.
Cette machine sera celle relie l'AD et dfinissant les droits des personnes qui auront accs au
serveur XenApp, c'est par elle que toutes les information transiterons, elle sera administratrice de son
groupe au sein de celui-ci.
C'est aussi le delivery controller qui interagis directement avec l'hyperviseur pour crer, copier,
supprimer et attribuer les VM, il faut par consquent bien configur tout les accs avec l'hyperviseur.
Dans le cas de XenApp on se trouvent donc avec une (ou plusieurs) machine dote de nombreux
curs, donnant ainsi accs un nombre X de bureau ou d'applications (on as dans cette solution un
rapport de 1 n, contrario de XenDesktop 1 pour 1).

En

m'aidant du guide de Citrix sur l'installation des composantes de XenApp et en l'adaptant notre
propre infrastructure, le projet avance de faon rgulire.
Cependant, le XenApp Delivery Controller requiert toutes les permissions et doit tre dans un
environnement sr, ce qui nous as confronter un problme : le certificat auto-sign du Vcenter2 ne
convenait pas pour l'installation, j'ai collaborer avec Mr Karim Alloula et le Responsable scurit du
rseau INP afin de palier ce problme :

Certificat :
En effet , la DSI de l'A7 utilise majoritairement des certificat auto-signs propre leur
systme de rseau intranet Ensiacet, hors le delivery controller de Xenapp besoin d'un
certificat officiel afin d'accder l'hyperviseur de VMware, via la machine virtuelle qui en
permet la gestion centralise : Vcenter2 .
Une machine virtuelle nomme Vcenter2 possde tous les droits et abrite l'interface
permettant de grer les machines prsentes sur les clusters VMware, cette machine se
trouve dans le cas de L'Ensiacet sur le cluster Vsphere1 .
Notre machine W2012 R2 avec le delivery controller doit donc tre paramtre pour avoir
les droits de gestion de VMware, et pour cela : il faut donc faire le ncessaire afin de
gnr et mettre en place un nouveau certificat officiel sur Vcenter2.
Avant toute modification sur le certificat de Vcenter2 nous en avons fais un Snapshot
pour tre sr qu'en cas de problme nous pourrions remettre en place rapidement cette
machine servant administrer avec une interface graphique sur le web.
Des clients lourds existent sur chaque Vsphere, mais ne donnent seulement accs qu'aux
machines prsentes dessus, il est donc bien plus pratique de garder un accs sur le
Vcenter2 .
En effectuant des vrifications, nous avons remarqus que l'heure sur Vcenter2 et
l'heure de Vsphere1 n'taient pas les mmes (2h de dcalages), ce qui pourrait tre
la cause d'une erreur. Le Vcenter2 tait sens utiliser le serveur NTP de l'Ensiacet,
hors les paramtres taient bien rentrs, le port 123 ouvert (NTP) cependant il ne prenais
pas les paramtres. Nous avons donc fais le ncessaire pour reconfigur proprement les
paramtres NTP sur le Vcenter2 et le cluster Vsphere1 .
Il a ensuite fallu gnrer via le certificate-manager de Vcenter2 (Outil de VMware,
accessible via des lignes de commandes) certains fichiers ncessaire pour la certification
afin de pouvoir les donner l'administrateur scurit du rseau INP, pour que lui puisse
nous donner un certificat officiel avec les donnes INP.

Une fois ce certificat gnrer, l'erreur sur le delivery controller ne s'est plus reproduite et
j'ai pu reprendre l'installation du delivery controller sur la VM W2012 R2.
Une fois l'installation du delivery controller finie j'ai donc redmarrer la machine pour
passer la prochaine tape : Installer les composante de XenApp sur la Golden-Image

La Golden-Image & Catalogues de machines :

Aprs le Delivery Controller viens directement la Golden-Image : C'est une Machine paramtre qui
sera ensuite copier par le DC grce l'hyperviseur. Ces copies pourront tres fournies en bureaux, de
plus les applications installs dessus qui seront slectionne dans le catalogue seront accessibles sur
le StoreFront.
La Golden-Image t faite via un modle de machine OVH sur VMware, elle ensuite t
personnalis et configur selon notre besoin.
Ici nous avons opt pour une machine ayant pour base Windows Server 2012 R2 comme systme
d'exploitation, ce choix t fais car une machine de ce type pourra tre fournie en tant que serveur
fournissant des bureaux ET serveur fournissant des Applications.

Une fois XenApp installer sur celle-ci, le Delivery Controller la reconnat en temps que GI sur
l'hyperviseur. Il faut ensuite retourner sur le DC afin de cre les Catalogues de machines puis les
Groupes de mises disposition .
Crer un catalogue de machine permet de grer la copie de la Golden-Image (coeurs, nombres de
serveur et bureaux, RAM, ...) et de cre diffrente copie de celle-ci qui serviront ensuite de serveurs
ou de bureaux.
Il faut ensuite cre et dfinir le groupes de mise disposition, en effet il est possible partir d'un
mme catalogue de machines de fournir diffrents services selon le groupe auquel l'utilisateur
appartient.
Il faut donc installer sur la Golden-Image les applications que l'ont souhaitent mettre disposition au
pralable de la la crations de ces catalogues, il sera ensuite possible de choisir celles que l'on
souhaites dployer.
Cette phase doit se droule avec une grande attention car c'est ici que ce que l'UI de l'utilisateur
commence se dfinir. Il lui sera ensuite bien sur possible de personnalis son bureau, cependant
plus les catalogues de machines seront propres plus les performance de LOGON et de distribution
seront leves.La mise disposition :
C'est durant cette tape que l'on peut dfinir grce un catalogue de machines :

Bureaux ou Applications, ou Bureaux et Applications,

Par rapport toutes les applications disponibles sur le catalogues, lesquelles souhaitent-ont

fournir,

Faire la liaison avec l'AD et dcider qui aura accs ou non telle ou telle applications ou
bureaux,

Le nom et la caractristique du futur groupe de mises disposition,

C'est la mises disposition qui concrtisent le projet, c'est en effet aprs cette tape que j'ai
pu valid mon projet et le tester auprs des utilisateurs peu avant de le mettre en production (ce qui
est arriv relativement vite pour palier rapidement un problme rencontr par 2 chercheurs sur
COMSOL et ASPEN).
Avec mon matre de stage nous leur avons donc mis disposition la solution XenApp, sommes alls
les former globalement sur le sujet, expliquer le fonctionnement et comment il pouvaient y avoir
accs, et quels en taient les avantages pour eux.
En surveillant rgulirement sur le Citrix Studio do je peux administrer et voir toutes les sessions
actives et activits en cours, mais surtout grce au retour des utilisateurs (Lutilisatrice de COMSOL
est pleinement satisfaite alors que celui de ASPEN rencontre un problme de lenteur lors de la lecture
de gros projet), avec ces retours sur la solution nous avons pu choisir des solutions d'optimisation et
corrig certains problmes mineurs.

C'est ainsi que la solution XenApp est dsormais utilis en production par le laboratoire
demandeur, dans le futur les responsables souhaitent l'appliquer l'Enseignement afin de centraliser
la gestion de ce ple.

Images de l'interface d'administration :

Le menu :

Le StoreFront :

C'est sur ce site que les utilisateurs rentrent leurs

identifiants AD pour se connecter ensuite un bureau ou
des applications sur XenApp.
Ici l'URL de connexion au sein du rseau est :

http://xendesktop.ad.inp-toulouse.fr/Citrix/StoreWeb

Description et liste des catalogues de machines :

Images de l'interface utilisateur :

Liste des applications :

Un bureau personnel :

Un bureau W8,1 classique

se prsente ensuite
l'utilisateur, hors ce bureau
sexcute sur le serveur
XenApp auquel il est
rattach.

4.a.2) Projet : CITRIX, NETSCALER VPX 10,5 :

Xenapp tant totalement oprationnel, il tait dsormais possible pour nous d'optimiser
cette solution de services.

Citrix
propose de nombreuses solution pour amliorer ses produits, mais les systmes de pointes tel que le
NetScaler sortent du lot et c'est pourquoi les responsables du services me proposrent ce nouveaux
projet.
Citrix NetScaler est disponible sous la forme dappliances physiques haute performance, ainsi que
dappliances virtuelles bases sur des logiciels prenant en charge les principaux hyperviseurs et
sexcutant sur des serveurs du commerce.
Dans notre cas nous avons choisis une solution Virtuelle, par consquent le NetScaler VPX avec sa
dernire version : 10,5.
Le NetScaler fournis diffrentes fonctionnalits :

Fonctionnalits de pointe de scurit applicative,

Acclration des applications,

Rpartition de charges,

Scurit applicative de dernire gnration,

Exprience mobile scurise,

Exprience XenDesktop & XenApp scurise et optimise,

Facilite la connexion depuis l'extrieur via un micro VPN,

Tous ces avantages permettent d'obtenir une meilleure exprience pour l'utilisateur tout en
augmentant la scurit, et facilitant la gestion.
Avant de commencer il est important de savoir comment et ou se place le NetScaler sur le
rseau, il peut tre soit sous une forme virtuelle ou bien un botier physique.

Le NetScaler dans notre cas se situera dans la DMZ puis redirigera les informations vers l'interface
Web (StoreFront), qui lui est en communication avec le Delivery Controller. Il sera en liaison direct
avec le LDAP pour autoriser ou non une connexion extrieur, il aura donc besoin d'un compte de
lecture LDAP.
De plus le NetScaler aura 3interfaces rseau, voici un exemple de topologie (notre cas l'A7) :

Une interface administration (NSIP),

cette interface se trouvera sur le
VLAN administration et ne sera
accessible que par les postes
administrateurs.
Une interface relie au rseau interne
(SNIP), le mme rseau ou se trouve
le Delivery Controller et les Serveurs.
Une interface sur la DMZ (VIP) qui
fournira une adresse virtuelle pour se
connecter depuis l'extrieur.

Dornavant, avant de transiter par le DC, les

informations venant de l'extrieur passerons par le NetScaler, qui contrlera l'accs, puis redirigera
ou non vers l'intrieur du rseau. Il faudra donc ouvrir certains ports dans le pare-feu pour mettre en
place cette solution.
Pour ce qui est des communication en interne afin d'optimiser les performances, nous ferons aussi
transit les informations via le NetScaler, hors il n'y aura pas besoin d'une double authentification.

Grce un modle de NetScaler fournis par Citrix en .ovh, il est possible sur l'hyperviseur de cre
cette machine virtuelle.
Cette machine ne faisant que 256mo en format .ovh n'est en fait que compose d'une console en
FreeBSD adapte pour le NetScaler, ainsi que d'un site web accessible via l'adresse d'administration
qui permet de configur et administr le NetScaler. La console en revanche n'est accessible que
depuis l'hyperviseur :

Une
fois
les
paramtres
de
base rentrs (interfaces rseaux), il est possible de se connecter sur le site de la machine NetScaler,
ce qui permet d'accder aux paramtres plus pousss ncessaire au NetScaler pour fonctionner.
Le

site

d'administration requiert d'y inscrire des informations sur le rseau o se trouve le NetScaler VPX, tel
que les configurations et adresses IP des rseaux auquel il doit avoir accs, les htes et DNS avec qui
il doit communiquer, mais aussi la licence dont il doit se servir pour activer des fonctions ou non.
J'ai collabor avec Mr Karim Alloula qui connais le rseau de l'Ensiacet parfaitement, il m'aurais t
impossible de paramtr une telle solutions seul sans connatre totalement le rseau Ensiacet et les
liaisons avec le rseau INP.
De plus rapidement dans la configuration du NetScaler, nous avons de nouveau rencontrs un
problme sur le certificat, ce coup-ci nous avons pu rgler le problme de faon efficace et rapide, en
contact avec l'administrateur scurit du rseau INP qui a pu rpondre notre demande rapidement.

La machine certifie, il est ncessaire de continuer de la paramtre, afin que le NetScaler puisse
remplir son objectif.

4.b) Actions courtes :

Assistance utilisateur :
A tout instant un utilisateur peut mettre un ticket, se prsenter en permanence, voir mme
directement au service informatique.
Il est ncessaire d'analyser la demande, et la rsoudre au plus vite pour lui permettre de reprendre le
travail.
Permanence :
Avec un systme de relais, tous les membres de la DSI A7 participent au moins une fois par semaine
la salle de permanence pour en assurer la continuit de service.
Cette salle est importante pour les utilisateurs : ce qui leur permet de faire des demandes en
direct avec la DSI.
Remplacement de pile de switch dans les baies de brassages :
Souhaitant amliorer le rseau, le responsable d'exploitation et la DSI ont choisis d'optimiser la
gestion et d'harmoniser le matrielle rseau : Passer toutes l'infrastructure en JUNIPER.
Il a donc fallu charger les configuration ncessaire dans les nouveaux switch puis les install dans les
baies de brassages en enlevant les anciens switch : NORTEL. Puis il a fallu remettre en place certains
postes mal enregistr dans les serveurs RADIUS ou dans les VLANS associs.
Tout les mercredi, une pile de switch est remplac. Il faut donc prvenir au pralable les utilisateurs
concerns puis changer rapidement le matriel afin que linterruption de service dure le moins de
temps possible.
Runions de service informatique :
Avec au minimum une runion par semaine, c'est l'occasion pour les membres du service de faire un
point plus complet sur un projet en cour, un objectif, une requte, ...
Ces runions pouvant tre avec un objectif principale diffrent de l'une l'autre, elles m'ont permis
de voir comment les collaborateurs font un bilan de leurs activit sur parc.
Dploiement de poste :
Il arrive quelques fois par semaine de devoir dployer des postes de travail sur le rseau, j'ai donc pu
assister au dploiement de certains postes.