Das Parallels-Nutzerportal ist in RAS Secure Gateway integriert. Es erlaubt dem Benutzer, eine Verbindung zu Parallels RAS herzustellen und veröffentlichte Ressourcen über einen Webbrowser zu öffnen.
Hinweis: Um das Nutzerportal zu verwenden, muss SSL auf einem RAS Secure Gateway aktiviert sein. Wenn Sie den Client aktivieren, achten Sie darauf, dass SSL in der Kategorie SLL/TLS oder auf Ihrem Netzwerklastausgleich aktiviert ist. Beachten Sie auch: Die Kategorie Nutzerportal ist nur verfügbar, wenn der Gateway-Modus auf Normal eingestellt ist.
Informationen zur Konfiguration der Nutzerportal-URL und zum Zugriff auf den Client über einen Webbrowser finden Sie im Abschnitt Web.
Um die Standardeinstellungen der Site auf der Registerkarte Nutzerportal zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option.
Um das RAS-Nutzerportal zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie die Option Nutzerportal aktivieren.
Im Abschnitt Client können Sie Methoden zum Starten von Anwendungen und andere Nutzerportal-Einstellungen festlegen.
Sitzungen starten mit: Diese Option gibt an, welcher Parallels Client verwendet wird, um eine veröffentlichte Ressource zu öffnen. Dies kann das Nutzerportal oder ein plattformspezifischer Parallels Client sein. Im Vergleich zum Web Client enthält der plattformspezifische Parallels Client eine größere Anzahl an Funktionen und bietet Endanwendern eine bessere allgemeine Benutzererfahrung. Wählen Sie eine der folgenden Optionen:
Nur Browser: Benutzer können Remote-Anwendungen und -Desktops nur mit Web Client ausführen. Verwenden Sie diese Option, wenn Sie nicht möchten, dass Ihre Benutzer einen plattformspezifischen Parallels Client installieren.
Nur Parallels Client: Benutzer können Remote-Anwendungen und -Desktops nur in Parallels Client ausführen. Wenn sich ein Benutzer über Parallels Web Client mit Parallels RAS verbindet, wird er aufgefordert, den plattformspezifischen Parallels Client zu installieren, bevor er Remote-Anwendungen und -Desktops starten kann. Dem Benutzer wird eine Meldung für den Parallels Client-Download anzeigt. Nachdem der Benutzer Parallels Client installiert hat, kann er immer noch eine Remote-Anwendung oder einen Desktop in Parallels Web Client starten, diese bzw. dieser wird dann aber stattdessen in Parallels Client geöffnet.
Parallels Client mit Failback zum Browser: Remote-Anwendungen und Desktops können sowohl in Parallels Client als auch in einem Browser (HTML5) gestartet werden. Parallels Client ist die primäre Methode; Parallels Web Client wird als Backup verwendet, wenn eine veröffentlichte Ressource aus irgendeinem Grund nicht in Parallels Client gestartet werden kann. Der Benutzer wird informiert, wenn Parallels Client nicht verwendet werden kann. Er hat dann stattdessen die Möglichkeit, ihn im Browser zu öffnen.
Den Benutzern erlauben, eine Startmethode auszuwählen: Wenn diese Option ausgewählt ist, können die Benutzer entscheiden, ob sie Remote-Anwendungen in einem Browser oder in Parallels Client öffnen. Sie können diese Option aktivieren, wenn die Option Sitzung starten mit (oben) auf Parallels Client und Failback zum Browser (d. h. beide Methoden sind erlaubt) gesetzt wurde.
Öffnen von Anwendungen in einer neuen Registerkarte erlauben: Wenn diese Option ausgewählt ist, können Benutzer Remote-Anwendungen in einer neuen Registerkarte in ihrem Web-Browser öffnen.
(Parallels Client mit Fallback zum Browser und nur Parallels Cient) Außerdem können Sie die Erkennung von Parallels Client konfigurieren, indem Sie auf die Schaltfläche Konfigurieren klicken:
Client erkennen: Wählen Sie aus, wann Parallels RAS versucht, den plattformspezifischen Parallels Client zu erkennen.
Automatisch bei Anmeldung: Parallels RAS versucht, den plattformspezifischen Parallels Client sofort zu erkennen.
Manuell bei Eingabeaufforderung: Parallels RAS zeigt Benutzern eine Eingabeaufforderung, in der sie auswählen können, ob sie den plattformspezifischen Parallels Client erkennen möchten.
Zeitüberschreitung bei der Client-Erkennung: Zeitspanne, in der Parallels RAS versucht, den plattformspezifischen Parallels Client zu erkennen.
Client-IP-Erkennungsdienst verwenden: Wenn diese Option ausgewählt ist, können Sie einen IP-Erkennungsdienst konfigurieren, der IP-Adressen von verbundenen Parallels Web Client-Anwendungen meldet. Um einen Client-IP-Erkennungsdienst zu aktivieren, klicken Sie auf die Schaltfläche Konfigurieren. Geben Sie in dem sich öffnenden Dialogfeld die URL des IP-Erkennungsdienstes an, den Sie verwenden möchten. Sie können auf die Schaltfläche Test klicken, um sicherzustellen, dass die API wie erwartet funktioniert. Wenn Sie auf die Schaltfläche Test klicken, übernimmt der Connection Broker die Rolle des Clients und ruft die API auf. Wenn Sie erfolgreich sind, wird ein Fenster mit der IP-Adresse des Connection Brokers angezeigt.
Der Abschnitt Zugriff auf Netzwerklastausgleich ist für Bereitstellungsszenarien vorgesehen, bei denen Frontend-Lastausgleiche von Drittanbietern wie Amazon Web Services (AWS) Elastic Load Balancers (ELBs) verwendet werden. Es ermöglicht Ihnen, einen alternativen Hostnamen und eine alternative Portnummer zu konfigurieren, die vom Network Load Balancer (NLB) verwendet werden. Dies ist notwendig, um Hostnamen und Ports zu trennen, auf denen TCP- und HTTPS-Kommunikation durchgeführt wird, da der AWS Load Balancer nicht beide spezifischen Protokolle über den gleichen Port unterstützt.
Folgende Optionen stehen zur Verfügung:
Anderen Hostnamen verwenden: Wählen Sie diese Option und geben Sie einen alternativen Hostnamen an. Wenn der alternative Hostname aktiviert ist, verwenden alle plattformspezifischen Parallels Clients diesen Hostnamen, um sich mit der RAS-Serverfarm oder der Site zu verbinden.
Anderen Port verwenden: Wählen Sie diese Option und geben Sie eine alternative Portnummer an. Der Port darf nicht von anderen Komponenten der RAS-Serverfarm oder der Site verwendet werden. Um die Portnummer auf den Standardwert zurückzusetzen, klicken Sie auf Standard. Wenn der alternative Port aktiviert ist, verwenden alle plattformspezifischen Parallels Clients diesen Port, um sich mit der RAS-Serverfarm oder der Site zu verbinden. Beachten Sie, dass RDP-Sitzungen im Web Client weiterhin eine Verbindung zum Standard-SSL-Port (443) herstellen.
Hinweis: Bitte beachten Sie, dass die Verwendung eines alternativen Hosts oder Ports in einer mandantenfähigen Umgebung nicht geeignet ist, da der Mandantenmakler RAS Secure Gateways zwischen den Mandanten gemeinsam genutzt werden, was unterschiedliche Konfigurationen erfordern würde.
Darüber hinaus unterstützt der AWS Application Load Balancer (ALB), der den vom Parallels Web Client benötigten HTTP/s-Verkehr verarbeitet, nur bestimmte Cookies, die normalerweise automatisch generiert werden. Wenn ein Load Balancer zum ersten Mal eine Anforderung von einem Client erhält, leitet er die Anforderung an ein Ziel weiter und erzeugt ein Cookie namens „AWSALB“, das Informationen über das ausgewählte Ziel kodiert. Der Load Balancer verschlüsselt dann das Cookie und nimmt es in die Antwort an den Client auf. Wenn Sticky Sessions aktiviert sind, verwendet der Load Balancer das vom Client empfangene Cookie, um den Datenverkehr an das gleiche Ziel weiterzuleiten, vorausgesetzt, das Ziel ist erfolgreich registriert und gilt als gesund. Standardmäßig verwendet Parallels RAS sein eigenes ASP.NET-Cookie mit dem Namen „_SessionId“. In diesem Fall müssen Sie das Cookie jedoch anpassen und das erwähnte AWS-Cookie für Sticky-Sitzungen angeben. Dies kann über das Feld Web-Cookie im Nutzerportal > Unterkategorie Web konfiguriert werden.
Der Abschnitt Beschränkungen wird verwendet, um die folgenden Nutzerportal-Funktionen zuzulassen oder einzuschränken:
Anmeldeformat von Prä-Windows 2000 verwenden: Aktiviert das Legacy-Anmeldeformat (vor Windows 2000).
Einbettung des Parallels-Nutzerportals in andere Webseiten zulassen: Wenn diese Option ausgewählt ist, kann die Parallels-Nutzerportal-Webseite in andere Webseiten eingebettet werden. Beachten Sie, dass sich daraus ein potenzielles Sicherheitsrisiko durch Clickjacking ergibt.
Dateiübertragungsbefehl: Aktiviert die Dateiübertragung in einer Remotesitzung. Wählen Sie die gewünschte Option aus der Dropdownliste aus. Weitere Informationen finden Sie unter Konfigurieren der Remote-Dateiübertragung weiter unten.
Zwischenablage-Umleitung: Wählen Sie eine Zwischenablage-Option aus, die in einer Remotesitzung erlaubt werden soll. Wählen Sie aus: Nur Client zu Server (kopieren und einfügen nur vom Client zum Server), Nur Server zu Client (kopieren und einfügen nur vom Server zum Client), Bidirektional (kopieren und einfügen in beide Richtungen).
Ursprungsübergreifende Ressourcenfreigabe (CORS) erlauben: Aktiviert ursprungsübergreifende Ressourcenfreigabe (CORS = cross-origin resource sharing). Um CORS zu aktivieren, wählen Sie diese Option aus und geben dann in dem sich öffnenden Dialogfeld eine oder mehrere Domänen an, für die der Zugriff auf Ressourcen erlaubt werden soll. Wenn Sie keine Domänen angeben, wird die Option automatisch deaktiviert. Geben Sie im Feld Browser-Cache-Zeit an, wie lange der Browser des Endbenutzers eine Ressource zwischenspeichern soll.
Parallels RAS bietet Endbenutzern die Möglichkeit, Dateien remote von und zu einem Remoteserver zu übertragen.
Hinweis: Bei Redaktionsschluss dieses Handbuchs wurde die Dateiübertragung nur im Parallels Web Client und im Parallels Client für Chrome unterstützt. Hinweis: Bidirektionale Dateiübertragung wird nur in Parallels Web Client unterstützt.
Um die Remote-Dateiübertragung so flexibel wie möglich zu gestalten, ermöglicht Parallels RAS Ihnen, die Dateiübertragung auf den drei folgenden drei Ebenen zu konfigurieren.
RD-Sitzungshost; Anbieter oder Remote PC
Nutzerportal
Clientrichtlinie
Einstellungen für die Dateiübertragung, die Sie auf jeder Ebene festlegen, gelten in der oben angegebenen Reihenfolge. Wenn Sie die Dateiübertragung beispielsweise auf einem Nutzerportal aktivieren, aber auf einem RD-Sitzungshost deaktivieren, wird die Dateiübertragung für alle Benutzer deaktiviert, die sich über das angegebene Nutzerportal mit dem angegebenen RD-Sitzungshost verbinden. Als weiteres Beispiel können Sie die Dateiübertragung auf einem RD-Sitzungshost aktivieren und dann für eine bestimmte Client-Richtlinie (oder ein Nutzerportal) deaktivieren. Auf diese Weise können Sie steuern, welche Clients die Dateiübertragung verwenden können und welche nicht.
Um die Remote-Dateiübertragung für ein Nutzerportal zu konfigurieren, wählen Sie eine der folgenden Optionen in der Dropdownliste Dateiübertragungsbefehl aus:
Deaktiviert: Die Remote-Dateiübertragung ist deaktiviert.
Client zu Server: Überträgt Dateien nur von Client zu Server.
Server zu Client: Überträgt Dateien nur von Server zu Client.
Bidirektional: Überträgt Dateien in beiden Richtungen.
Hinweis: Die Unterkategorie Web ist nur verfügbar, wenn der Gateway-Modus auf normal eingestellt ist.
In der Kategorie Web können Sie Einstellungen vornehmen, die für die Lastverteilung in bestimmten Szenarien erforderlich sind. Hier können Sie eine Umleitungs-URL für Webanforderungen und einen Sitzungs-Cookie-Namen angeben, um die Persistenz zwischen einem Client und einem Server zu erhalten.
Umleitungs-URL
Die ursprüngliche Webanfrage kann das Gateway auf eine der beiden folgenden Arten erreichen:
Die Anforderung wird über das lokale Netzwerk unter Verwendung der IP-Adresse oder des FQDN direkt an das Gateway gesendet. Zum Beispiel https://192.168.10.10.
Die Anfrage wird an ein HALB-Gerät gesendet, das dieses und andere Gateways in der Serverfarm ausgleicht. Das HALB-Gerät ist häufig dem Internet zugewandt (d. h. in der DMZ), sodass sein DNS-Name in der ursprünglichen Anforderungs-URL verwendet werden kann. Zum Beispiel: https://ras.msp.com. Das HALB-Gerät verteilt dann die Anforderung an ein Gateway.
Wenn das Gateway die Webanforderung empfängt, nimmt es die in der Kategorie Web angegebene URL und sendet sie zur Weiterleitung an den Webbrowser zurück.
Technisch gesehen können Sie hier eine beliebige URL eingeben, und die ursprüngliche Webanfrage wird auf diese URL umgeleitet. Der Hauptzweck dieses Feldes besteht jedoch darin, den Endbenutzern einen einfachen Zugang zum Nutzerportal von ihren Webbrowsern aus zu ermöglichen. Funktionsweise:
Ein Benutzer gibt den Load Balancer-DNS-Namen in einem Webbrowser ein. Zum Beispiel: https://ras.msp.com.
Der Load Balancer empfängt die Anforderung und verteilt sie zur Verarbeitung an das am wenigsten ausgelastete RAS Secure Gateway.
Das Gateway empfängt die Original-URL und ersetzt sie durch die im Feld Standard-URL angegebene URL. Siehe folgenden Unterabschnitt Standard-URL-Format.
Die ersetzte URL wird dann an den Webbrowser zurückgeschickt, der sie zum Öffnen der Nutzerportal-Anmeldeseite verwendet.
Standard-URL-Format
Das Standard-URL-Format ist das folgende:
https://%hostname%/userportal
Die Variable %hostname%
wird automatisch durch den Namen des Servers ersetzt, der die ursprüngliche Anfrage erhalten hat, in unserem Beispiel der Load Balancer-DNS-Name. Wenn Sie möchten, können Sie die Variable durch einen bestimmten Hostnamen oder eine IP-Adresse (z. B. dieses oder ein anderes Gateway) ersetzen. Zum Beispiel https://192.168.5.5/userportal
. Wenn Sie dies tun, werden die Webanforderungen immer an den angegebenen Host weitergeleitet und dort wird das Nutzerportal geöffnet. Die Hardcodierung eines Hosts mag nicht sehr praktisch sein, aber Sie können dies dennoch tun.
Das Nutzerportal
ist eine Konstante und ist der Pfad zur Nutzerportal-Anmeldeseite.
In unserem Beispiel lautet die resultierende URL, die der Webbrowser für den Zugriff auf das Nutzerportal verwenden wird, wie folgt:
https://ras.msp.com/userportal
Tatsache ist, dass ein Benutzer von Anfang an einfach die obige URL verwenden könnte, aber dank der Umleitungsfunktion brauchen Benutzer nur den DNS-Namen des Servers (oder den FQDN bzw. die IP-Adresse im lokalen Netzwerk) anstelle der gesamten URL einzugeben.
Öffnen eines bestimmten Nutzerportal-Schemas
Nutzerportal-Schemas“ ist eine Funktion, mit der Sie das Aussehen des Nutzerportals für verschiedene Benutzergruppen individuell gestalten können.
Die Standard-URL der Webanfrage öffnet das Standardschema. Um ein bestimmtes Schema zu öffnen, fügen Sie den Namen des Schemas am Ende der URL wie folgt hinzu:
https://%hostname%/userportal/?theme=<theme-name>
wobei <Schemaname>
der Name eines Schemas ohne Klammern oder Anführungszeichen ist.
Damit Benutzer ein bestimmtes Thema öffnen können, muss die URL, die sie in einem Webbrowser eingeben, den Namen des Themas enthalten, aber in diesem Fall ist das Format so einfach wie das folgende:
https://<Servername>/<Schemaname>
Wenn Sie unser Load-Balancer-DNS-Namensbeispiel von oben verwenden, kann die URL wie folgt aussehen:
https://ras.msp.com/Theme-E1
Weitere Informationen finden Sie unter Nutzerportal-Schemaeinstellung > URLs.
Nutzerportal öffnen
Die Schaltfläche Nutzerportal öffnen verwendet die angegebene Gateway-Adresse und öffnet das Nutzerportal auf diesem Gateway in einer neuen Registerkarte. Sie können diese Schaltfläche verwenden, um Ihre Bereitstellung zu testen.
Web-Cookie
Das Feld Web-Cookie“ wird zur Angabe eines Sitzungs-Cookie-Namens verwendet. Die RAS-HTML5-Sitzungspersistenz wird normalerweise durch die IP-Adresse des Benutzers festgelegt (Quelladressierung). Wenn Sie die Quelladressierung in Ihrer Umgebung nicht verwenden können (z. B. weil Ihre Sicherheitsrichtlinien dies nicht erlauben), können Sie das Sitzungs-Cookie verwenden, um die Persistenz zwischen einem Client und einem Server aufrechtzuerhalten. Dazu müssen Sie einen Load Balancer einrichten, der ein Sitzungs-Cookie für die Persistenz verwenden kann. Der Standard-Cookie-Name ist ASP.NET_SessionId.
Wenn Sie einen Drittanbieter-Lastenausgleich, wie z. B. Amazon Web Services (AWS) verwenden, müssen Sie einen eigenen Cookie-Namen angeben. Im Falle von AWS gilt: Wenn ein Load Balancer zum ersten Mal eine Anforderung von einem Client erhält, leitet er die Anforderung an ein Ziel weiter und erzeugt ein Cookie namens AWSALB
, das Informationen über das ausgewählte Ziel kodiert. Der Load Balancer verschlüsselt dann das Cookie und nimmt es in die Antwort an den Client auf. Wenn Sticky Sessions aktiviert sind, verwendet der Load Balancer das vom Client empfangene Cookie, um den Datenverkehr an das gleiche Ziel weiterzuleiten, vorausgesetzt, das Ziel ist erfolgreich registriert und gilt als gesund.