Als Freiberufler treffe ich häufig auf Citrix "Fallen" in die Kunden gerne tappen. Da ich sie oft gesehen habe kann ich diese zum Erstaunen des zuständigen Administrators schnell beheben. z.B: für Punkt 7 wurde fast zwei Tage vom Kunden verschwendet und von mir in wenigen Minuten behoben.

Hier jetzt eine Liste mit typischen Citrix Fallen:

  1. Nach dem Setup von StoreFront kann sich keiner Anmelden. Die StoreFont Delivery Controller sind gesetzt und alles sieht gut aus.
    Typischer Fehler: Als Standard sind die StoreFront Delivery Controller auf HTTPS und TCP Port 443 und nicht HTTP und Port 80 gesetzt! XenDesktop Delivery Controller oder XenApp verwenden aber nicht HTTPS/443 als Standard und reagieren daher auf keine Anfragen.
    Schnell behoben: In den Einstellungen für Delivery Controller den Typ auf HTTP und Port auf TCP 80 umstellen.
    Beste Variante: Besonders wenn StoreFront auch auf dem Delivery Controller betrieben wird - SSL/443 mit einem privaten oder öffentlichen Zertifikat aktivieren.



  2. Ab- und an Probleme beim Start von Anwendungen über Netscaler Gateway mit StoreFront oder Webinterface. 
    Typischer Fehler: Die Secure Ticket Authority (STA) Server sind nicht gleich in Netscaler Gateway und StoreFront/Webinterface
    Schnell behoben: Verwendung der EXAKT gleichen STA Server in Gateway und SF/WI
    Hinweis: Ich empfehle den FQDN für STA Servers zu verwenden und nicht den Standard Port 80 für den XML Dienst zu ändern.

  3. Nach der Authentifizierung am Netscaler Gateway kommt die berühmte StoreFront Fehlermeldung "Anforderung kann nicht abgeschlossen werden". Der hervorragende Citrix Artikel CTX207162 wurde durchgearbeitet aber keine Änderung.
    Typischer Fehler: In StoreFront wurden die Trusted Domains z.B: mit MyDomain.com gesetzt, damit Benutzer nur ihren Anmeldenamen angeben müssen. Im Netscaler Gateways Session Profile wurde aber die Singe Sign-On (sso) Domäne auf MyDomain gesetzt und darum kann die gesendete SSO Anfrage nicht abgeschlossen werden, da diese abgelehnt wird.
    Schnell behoben: Hinzufügen von MyDomain- oder Ändern der Trusted Domains in StoreFront zu MyDomain.com
    Hinweis: Prüfen des Citrix Delivery Services Eventlog unter Anwendungen- und Dienste Logs

     

  4. Verwendung des Netscaler VPX zum Lastenausgleich von Backend SSL Systemen wie Outlook Webaccess ohne SSL Offload. Der Loadbalancer wird als Offline angezeigt.
    Typischer Fehler: Virtuelle Netscaler Appliances (VPX) unterstützen nur bis 2048 Key Size auf backend Systemen und wenn höher kommt es zum Fehler!
    Schnell behoben: Auf SSL Offload wechseln und kann mit einigen backend Systemen recht einfach sein.
    Beste Variante: Ändern des backend Zertifikat mit nur 2048 Key Size um die Sicherheit der Verschlüsselung zu erhalten.
    Hinweis: Prüfen Sie den Netscaler Monitor, dieser sollte eine Meldung zeigen mit einem Sync Problem.

  5. Sie bemerken, dass die Netscaler (Gateway) Zeit ist nicht mehr Synchron und haben daher einige Probleme. Der NTP Server wurde gesetzt.
    Typischer Fehler: Die NTP Synchronisierung ist nicht aktiv. Nachdem der NTP Server gesetzt wurde MUSS die Synchronisierung noch aktiviert werden
    Schnell behoben:  Unter NTP Service Aktionen aktivieren sie die Synchronisierung
    Hinweis: Sollte die Zeit noch immer nicht passen, dann prüfen Sie auf der Netscaler CLI das der NTP Deamon tatsächlich gestartet wurde.
    Link: Lesen sie mehr zu dem Thema Die Wichtigkeit der Zeit in einem Netscaler HA Setup

  6. Beim Verwenden des XenMobile Wizard in Citrix Netscaler wählen Sie SSL offload zu dem XenMobile Server. Nach Fertigstellung funktioniert nichts.
    Typischer Fehler: SSL offload ist als Standard NICHT aktiv auf dem XenMobile Server und der Wizard weist nicht darauf hin
    Schnell behoben: In der XenMobile Server CLI aktivieren Sie SSL offload
    Beste Variante: Verwenden Sie SSL für XenMobile
    Hinweis: Für eine höhere Sicherheit sollten Sie SSL verwenden und der Grund warm Citrix SSL offload als Standard deaktiviert hat.

  7. Sie haben Probleme das richtige VMWare vCenter Root Zertifikat zu finden damit XenDesktop Hosting funktioniert?
    Typischer Fehler: Nicht genau hingeschaut ;-)
    Schnell behoben: Auf der vCenter Anmeldeseite finden Sie das Root Zertifikat auf der rechten Seite. Nach dem Download benennen Sie es um in ZIP. Entpacken sie die Zip Datei und benennen sie die 01 Datei in cer. Das ist das notwendige Root Zertifikat
    Hinweis: Prüfen Sie das Zertifikat für den FQDN, neuere Versionen haben meist zudem den Server FQDN enthalten.

  8. Sie nutzen SecureHub um HDX Sitzungen zu starten können aber nicht die HDX Einstellungen für Anzeige etc. finden
    Typischer Fehler: Auch, wenn Receiver (notwendig für HDX) mit SecureHub nicht konfiguriert werden so müssen sie doch einen Account in Receiver erstellen um an die HDX Einstellungen zu kommen! 
    Schnell behoben: So weit ich weiß gibt es hier keine andere Möglichkeit als einen Account zu erstellen.
    Hinweis: Nicht wirklich eine Falle aber ehr etwas das Citrix nun schon seit Jahren übersehen hat. 

  9. Single Sing-On funktioniert nicht
    Typischer Fehler: Der XML Trust wurde nicht aktiviert
    Schnell behoben: Mit XenDesktop 7.x muss der Trust via Powershell aktiviert werden
    Hinweis: Bis XenApp 6.5 konnte der Trust einfach in der Konsole aktiviert werden.
    PoSh: Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true 

  10. Mehrfachsitzungen Starten mit dem gleichen Active Directory Benutzerkonto
    Typischer Fehler: Mehrfachsitzungen müssen erst aktiviert werden
    Schnell behoben: Mit XenDesktop 7.x muss dies wie schon beim Trust per Powershell aktiviert werden
    Hinweis: Bis XenApp 6.5 konnte dies einfach in der Konsole gemacht werden.
    PoSh: Set-BrokerEntitlementPolicyRule <Delivery Group Name> -SessionReconnection DisconnectedOnly

  11. Der Start von Citrix Sitzungen via Web Interface oder StoreFront dauert lange oder gar nicht.
    Typischer Fehler: Es wird ein Proxy-Server verwendet und der Citrix Client nutzt die Browser Einstellungen
    Schnell behoben: In der default.ica für rein interne Verbindungen den Proxy Eintrag auf NONE setzen.
    Hinweis: Wer intern Proxy-Server verwendet sollte ein besonderes Augenmerk in Bezug auf Citrix haben.
    CTXKB: StoreFront Client Proxy Configuration - https://support.citrix.com/article/CTX136516 

 

Sie möchten was ergänzen? Kommentare Bitte unten schreiben!


Kommentar schreiben