新規トピック作成
- シームレスでの画面表示について - びーふしちゅぅ ( 2006/11/18 00:23:52 更新)
- カスタムICAコネクションのIPアドレスによるアクセス制限 - yama ( 2006/11/18 00:12:59 更新)
- Web Interface画面の最小化 - Hiroo ( 2006/11/17 18:39:41 更新)
- クライアントプログラムの実行について - Tommy ( 2006/11/17 17:27:26 更新)
- Web Interface でのパスワードの変更 - NOVE ( 2006/11/17 16:37:59 更新)
- ターミナルサーバーの利用について - tat_bull ( 2006/11/17 15:52:15 更新)
- 印刷時にメタサーバーリブート - kato ( 2006/11/15 17:27:25 更新)
- WEBクライアントからの公開アプリケーション使用時の、ログオン認証のタイミングについて - meta美 ( 2006/11/14 10:26:10 更新)
- 公開アプリと公開ディスクトップが使用するプロファイルについて - やまよし ( 2006/11/10 13:20:58 更新)
- IPアドレスによるアクセス制限 - yama ( 2006/11/07 15:10:36 更新)
シームレスでの画面表示について
びーふしちゅぅ 2006/11/14 14:25:26
[問題]
・シームレスウィンドウで画面表示している際、
表示している画面の一部が消えてしまう。
[そのときの状況]
・VB.NETで作成したアプリをメタフレームで公開。
・クライアント(以下,CLと記述)WebInterFaceで、公開されたアプリを起動。
・日々の業務として使用するエクスプローラ、メーラー、Excelなども起動して使用する
・色々ウィンドウを切替たりして、時間が経つと公開アプリの画面の
一部が切れて表示されている。
具体的には、ウィンドウのタイトル部分とフッターあたりの部分)
画面は、Windowsの解像度をXGA(1024*768)で、画面一杯に近い大きさの画面です。
[環境]
SV: Win 2003Server Standard Edition SP1
CL: WinXP / WebInterFaceを使用して接続
※シームレスウィンドウをやめ、セッション設定で、ウィンドウ設定を
※1024*768にてやることで、上記現象は、今のところおきていませんが、
シームレスウィンドウで、発生する原因、回避策などご存知の方が
いっらしゃいましたら、ご教授お願い致します。
以上です。
グレートオオニタ 2006/11/18 00:23:52
Metaにはあまり優しくないアプリになってしますが。
上記へのレスはこちらにどうぞ
カスタムICAコネクションのIPアドレスによるアクセス制限
yama 2006/11/08 21:40:09
Program Neighborhoodにおいて、カスタムICAコネクションの接続を行う場合、クライアントのIPアドレスによるアクセス制限などは行うことはできますでしょうか?
現状ですと、Administratorのユーザー名とパスワードがわかってしまうと誰でも接続することができる状態です。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
以上、ご返答のほど、よろしくお願いいたします。
グレートムタ 2006/11/10 10:01:32
動作するCPS上では基本的には何でもできてしまうわけで。
漏れた場合の対策をCPSに求めるのはちょっと違うと思いますが如何でしょうか?
yama 2006/11/10 15:22:46
漏れた場合の対策ではなく、漏れないためにIPアドレスによる制限をかけたいと考えております。
一定のアドレスからのみカスタムICAコネクションの接続をさせるようにしてしまえば、ログイン画面にすらたどり着けなくなるためセキュリティが増すと考えております。
外部からのアクセスはファイアウォールにより一定IPしか通さないようにはなっていますが、その一定IPアドレスのかなでも、アプリケーションの公開のみで、ICAコネクションを使わせたくないIPなどが存在します。
このようなことを実現する方法などはないでしょうか?
以上、ご返答のほど、よろしくお願いいたします。
きくりん 2006/11/15 15:34:03
アクセス制限はかけられません。
そもそも、一般的なミドルウェアがレイヤー3レベルでのフィルタリングを普通行わないと思います。
それはL3スイッチやFWの仕事です。
一番簡単な方法としては、ソフトウェアFWをCPSにインストールし、
社内FWとの多段構成にすればよいと思います。
きくりん 2006/11/15 16:00:11
該当IPに対して公開アプリケーションのみのアクセスを許したいのであれば、
インバウンドに80(XML)をaccept、アウトバウンドには1494(ICA)若しくは
2598(画面保持機能利用の場合)をacceptし、
例えばターミナルサービス(リモートデスクトップ)が使う3389はdenyにすればよろしいかと。
きくりん 2006/11/15 16:34:28
カスタムICAコネクションでの接続に対して制限できないかってことですよね。
申し訳ありません。
普段の運用の中でAdministrator権限でICAセッションを利用する場合がありますか?
もしAdministratorがRDP接続のみの運用でよろしいのであれば、
コネクション構成ツールからICAセッションのアクセス権でAdministratorを拒否にすれば
カスタムICAコネクションでAdministrator権限でアクセスを試みても
接続できなくなります。
グレート大牟田 2006/11/18 00:12:59
Administratorのユーザー名とパスワードがばれてしまう
↓
その結果
↓
誰でもカスタムICAコネクションにて接続することができる状態
↓
になるので、
↓
万が一漏れたとしても、カスタムICAコネクション接続を防ぎたい
なんじゃないのですか?
つまり漏れしまった後のリスクを回避したいと読み取れます・・・
AdministratorのID、パスワードが漏れないようにするために、
カスタムICAコネクションの接続制限をするというのは、
目的と対策がアンマッチしていると思いますが。
PNをインストールする際に、カスタムICAコネクションのコンポーネントを
インストールしなきゃいいのでは?端末を利用する方がローカル管理者権限
を持つアカウントでログオンしていると、PNの削除・インストールが可能なので、
防ぎようがないですけど。
もしくはコネクション構成ツールで「公開アプリケーションのみを実行する」に
チェックをしたらいかがでしょう?
それでもRDPで繋がれたらログオン画面は表示されますので、
コネクション構成ツールでRDPは無効にしないといけないですね。
上記へのレスはこちらにどうぞ
Web Interface画面の最小化
Hiroo 2006/11/17 17:31:11
ログオンすると、[アプリケーション]ページに使用できるアプリケーションの一覧が表示され、
「アプリケーション」を実施した際、Web Interfaceの画面を最小化したいのですが、
このような機能はありますでしょうか?
ご存知の方、いらっしゃいましたら、レス願います。
Asterisk 2006/11/17 17:55:11
>このような機能はありますでしょうか?
WebInterfaceの機能にはないと思います。
#考えるとするならばログオンスクリプトでしょうか。。。
#シームレスな運用が難しいかもしれませんが。
Hiroo 2006/11/17 18:39:41
レス、どうもありがとうございます。
やはり、WebInterfaceの機能にはないようですね。
>#考えるとするならばログオンスクリプトでしょうか。。。
>#シームレスな運用が難しいかもしれませんが。
確かに運用面を考えると、難しいのかもしれませんね。
もう少し、検討してみます。
ありがとうございました。
上記へのレスはこちらにどうぞ
クライアントプログラムの実行について
Tommy 2006/11/17 17:27:26
現在、.netアプリケーション(C/S)を構築しておりますが、
これをメタフレームサーバに配置・公開し、
各クライアントで実行させる構成をとっております。
この公開した.netアプリケーションから、
各クライアントのプログラム(EXE形式、ディレクトリは各クライアントで固定)を
呼び出し、実行させることは可能でしょうか?
.netアプリケーションにボタンを追加し、
そのボタンをクリックしたら、各クライアントのプログラムが起動される、
というのが理想です。
メタフレーム初心者なりにいろいろと調べましたが、
解決方法がわからず困っています。
ご存知な方がいらっしゃいましたら、ご教示頂きたく
宜しくお願い申し上げます。
上記へのレスはこちらにどうぞ
Web Interface でのパスワードの変更
NOVE 2006/11/17 15:48:59
初歩的なことで申し訳ありませんが。。。
ログオンした後、[アプリケーション]ページに[パスワードの変更]
アイコンが表示されないのですが、何処で設定したらいいのか分からない
で困っております。
ご存知の方がいらっしゃいましたら、教えてください。
よろしくお願いします。
Asterisk 2006/11/17 16:21:58
認証方法の設定で「指定ユーザ」にチェック後、
したの方にユーザによるパスワード変更の許可があると思いますので
そこを「常時」にすれば鍵マークがでるのでそこで変更できると思います。
NOVE 2006/11/17 16:37:59
レス、どうもありがとうございます。
「無効」が「常駐」にした所、鍵マークがでるようになりました。
大変助かりました、ありがとうございました。
上記へのレスはこちらにどうぞ
ターミナルサーバーの利用について
tat_bull 2006/11/13 13:47:42
今回の開発は「シングルサーバ」で運用し、基本機能のみの活用であるため、標準の
「Citrix Presentation Server 4.0 Standard Edition」を採用します。
そのため、Active Directoryドメイン設定をせず、WORKGROUPを使用します。
このような時、サーバをターミナルサーバにする必要があるのでしょうか?
現在、ターミナルサーバにしましたところ、リモートで入りますと、**日後に有効期限が切れます、
と言うメッセージが表示されています。
お手数ですが、どなたかご教授いただけますと助かります。
宜しくお願い致します。
sh 2006/11/13 19:08:05
メッセージについては、
http://download.microsoft.com/download/6/6/8/668b964f-f126-4a96-88db-25d842a7113f/termservlicensing.doc
を読まれるとよいと思います。
tat_bull 2006/11/13 21:19:40
早速、「http://download.microsoft.com/download/6/6/8/668b964f-f126-4a96-88db-25d842a7113f/termservlicensing.doc」
を読んでみます。
windows server2003をターミナルサーバにするには、ターミナルサーバ用のライセンス
を購入する必要があったような気がするんですが、必須なことなんでしょうね。
すみません、初心者もんで、全然分からない為、なかなか適格に質問できずすみません。
きくりん 2006/11/15 16:06:37
購入しなかった場合、TSライセンスサーバをアクティブ化していた場合は90日間、
非アクティブの場合は120日間でターミナルサービスを利用できなくなります。
また、2003からはTSCALがユーザCALとデバイスCALの2種類になったので、
運用に合わせてどちらを購入すべきか慎重に検討してください。
tat_bull 2006/11/17 15:52:15
レスありがとうございます。
ユーザCAL,デバイスCALはまだ購入していませんでした。
どちらがいいのかまた検討してから購入してみます。
ありがとうございました。
上記へのレスはこちらにどうぞ
印刷時にメタサーバーリブート
kato 2006/09/22 13:56:54
いつも参考にさせていただいております。
メタフレームで原因のわかないエラーに苦しんでいます。
初歩的な事かも知れませんが是非アドバイスを頂ければ有り難いです。
環境:OS:Windows2000Server Sp1
MetaFramePresentation Server3.0
現象:FinePrintで印刷時に突然MetaFrameCom Server が再起動してしまいます。
発生イベント:1003 System Error エラーコード 000000ab
印刷でしか発生しないので、クラインアトにあるバージョンが異なる
危ないプリンタドライバーを使わずに、(いつ変更されるか分からないので)
サーバーのプリンタドライバーを強制的に使わせるといった方法で対応できないか
と考えています。
プリンタドライバーのマッピングを制限するなどの対応で
解決できないのでしょうか?
ヒントをご存知の方がいらしたら、アドバイス宜しくお願い致します。
きくりん 2006/09/28 14:45:48
>危ないプリンタドライバーを使わずに、(いつ変更されるか分からないので)
>サーバーのプリンタドライバーを強制的に使わせるといった方法で対応できないか
>と考えています。
ひとつ勘違いをされているようですが、MetaFrame上での印刷ジョブはMetaFrameサーバ上の
ドライバを利用して生成されます。クライアントのドライバは利用しません。
ですから、この場合サーバ側に問題がある可能性が高いです。
ドライバはMetaFrame対応のものを利用していますか?
また、想定しているドライバがちゃんと利用されていますか?
クライアントの持つドライバの名称とサーバ上のドライバの名称が違う場合、
ユニバーサルドライバを用いるか、若しくはMetaFrameが判断したドライバを利用します。
イベントログでその辺りも確認してください。
また、Mfcom.exeが再起動するということですので、プリンタドライバ関係に何の問題もないようでしたら、
一度MetaFrame Presentation Server 3.0のインストールメディアから修復インストールを行うことで解決するかも知れません。
kato 2006/10/02 18:56:18
>クライアントの持つドライバの名称とサーバ上のドライバの名称が違う場合、
>ユニバーサルドライバを用いるか、若しくはMetaFrameが判断したドライバを利用します。
以前、サーバーがリブートした時に、クライアントのドライバーのバージョンを
サーバーと一致させたら、復旧した場合があったので、クライアント側のドライバーを
使っていると思っていました。
そうではなくて、ドライバーのバージョンが違うために、別のドライバーと認識されて
違うドライバーで印刷されてしまったということでしょうか。
いずれにしても、クライアント1台がエラーになるならいいのですが、全部のクライアントに
影響がでるのは困った障害です。(再現性が無く、リブートすると正常に印刷できます。)
シラノ 2006/11/01 01:25:43
>ひとつ勘違いをされているようですが、MetaFrame上での印刷ジョブはMetaFrameサーバ上の
>ドライバを利用して生成されます。クライアントのドライバは利用しません。
前提としてメーカー提供のプリンタドライバの利用を考えておりますが、以下3点質問です。
①プリンタの接続形式として、クライアントPCにドライバをインストール(含むPoint&Print)し、Meta Frame Serverログオン時に作成されるAuto Created Printerを使用して印刷する場合、印刷ジョブの生成がサーバ上のドライバであれば、クライアントへドライバをインストールする目的は何でしょうか?
②一方、Meta Frame Serverに直接インストールされたドライバ(含むPoint&Print)を使用する接続形式がありますが、この方法ではクライアントへのドライバインストールは一切不要でしょうか?
③また、サーバ、ネットワーク負荷軽減および印刷時間の短縮化を考慮した場合、どちらの接続形式のほうが望ましいのでしょうか?(勝手な予想ですが、①でクライアントがRAWデータを生成しないなら、②のPoint&Printかつプリントサーバ側で最終的にRAWデータを生成する方法が最適かなとおもっています)
きくりん 2006/11/15 17:27:25
MetaFrame上でジョブは生成しますが、印刷ジョブをプリンタへ引き渡すのはクライアント側の仕事です。
ただし、プリントサーバ経由での印刷で運用している場合には、MetaFrameからクライアントを通さずに
直接プリントサーバにジョブを送ることができます。
①につきましては、上記の通りでクライアントがプリンタにジョブを渡す役目をします。
また、ジョブ生成の際にクライアントドライバのパラメータを参照して生成します。
②につきましては、MetaFrameのローカルプリンタを利用する場合、プリントサーバ経由で
印刷する場合はクライアントへのドライバインストールは不要です
③については、運用によるかと思います。クライアントが全てローカルエリア内にある場合は
MetaFrameのローカルまたはプリントサーバでの印刷でもよろしいかと思いますが、
WANで利用しているクライアントが存在する場合は難しいです。
まぁ、ポリシーでユーザを分ければよろしいかと思いますが。
上記へのレスはこちらにどうぞ
WEBクライアントからの公開アプリケーション使用時の、ログオン認証のタイミングについて
meta美 2006/11/11 00:47:34
公開アプリケーションの使用時に、認証を問われるタイミングについて質問で
す。
WEBページからダウンロードしたICAWEBクライアント(ica32t)を使用した場合、
パススルー認証を設定しても、アプリ使用前にログオン認証を要求されるのは、過去ログ等を見て理解しました。
そのログオン認証のタイミングは、CPS4.0と3.0で違うのでしょうか?
環境や設定は以下のようにして、3.0→4.0へのバージョンアップのための検証を行っています。
■環境
環境①
・OS:Windows 2000 Server(VirtualPC上)
・CPSのバージョン:Presentation Server4.0(Advanced Edition)
環境②(現在運用中)
・OS:Windows 2000 Server
・CPSのバージョン:Presentation Server3.0(Advanced Edition)
■設定(両サーバとも)
・公開アプリケーション(メモ帳)の使用許可者はドメインユーザグループを指定している
・WebInterfaceを使用する
・サイトの認証ではパススルー認証を使用する
■現象
環境①(CPS4.0)
・ドメインユーザーでログオンしたクライアントPCで、ブラウザからWebInterfaceにアクセスすると、ログオン済みになっていてメモ帳アイコンが表示されている
・メモ帳アイコンをクリックすると、しばらくして認証画面のダイアログボックスが現れる
・メモ帳を一度終了し、再度使用するためにWEBページ上のメモ帳をクリックすると、再度認証が求められる
環境②(CPS3.0)
・ドメインユーザーでログオンしたクライアントPCで、ブラウザからWebInterfaceにアクセスすると、WEBブラウザ上でログオンを求められる。
・メモ帳を一度終了して、再度実行してもログオンは求められない。(セッションが切れるまで)
(両環境ともにドメインユーザーでログオンしたクライアントPCで、Program Neighborhoodを用いた場合は、アプリ使用前にログオン認証を求められることはありません)
■疑問
どうして4.0と3.0でログオン認証を問われるタイミングが違うのでしょうか?
ただバージョンの違いから起こることなのでしょうか?
こういった現象に関する情報をお持ちの方いらっしゃいましたら、教えていただけませんでしょうか。
よろしくお願いします。
はや 2006/11/13 08:44:25
悩んだ覚えがあります。
結論としては、appsrv.ini(C:\Documents and Settings
\<user>\Application Data\ICAClient内)に
以下の変数を、[WFClient]セクションに追加することで
認証画面のダイアログは出なくなりました。
---------------------------
EnableSSOnThruICAFile=On
SSOnUserSetting=On
---------------------------
(Web Interface管理者ガイドP61もご参照ください)
> ■疑問
> どうして4.0と3.0でログオン認証を問われるタイミングが違うのでしょうか?
> ただバージョンの違いから起こることなのでしょうか?
の疑問の回答にはなっていませんが、ご参考まで。
「そんなの知ってるわい」の場合は申し訳ありません。
meta美 2006/11/14 10:26:10
はやさんも同様の現象で悩まれたということは、
やはり4.0では同じタイミングで問題が発生するのでしょうね・・・
ご回答ありがとうございました。
上記へのレスはこちらにどうぞ
公開アプリと公開ディスクトップが使用するプロファイルについて
やまよし 2006/11/08 13:08:16
ドメインAへログオンしてドメインBのメータサーバーを利用しています。
1.メタを使用する場合、使用されるプロファイルはドメインBの
ターミナルプロファイルでしょうか?
2.公開アプリはと公開ディスクトップでは使用するプロファイルが
異なるのでしょうか?
例えば、公開アプリはメタプロファイル、公開ディスクトップは移動プロファイルとか
ご教授の程、宜しくお願い致します
*---- 環境 ----*
ドメインA:Active Directory 1台 (プロファイルサーバー兼用)
※移動プロファイル、ターミナルプロファイルを指定
ドメインB:Active Directory 1台 (プロファイルサーバー兼用)
※ターミナルプロファイルを指定のみを指定
ログオン情報は指定ユーザでドメインBのドメインを指定
Citrix Presentation Server 5台 (Ver4.0)
(OSは全てWindows Server 2003です。)
グレートムタ 2006/11/10 10:04:26
ドメインAとドメインBが信頼関係を結んでおり、
ドメインAの端末からドメインB上のCPSに対して、
ドメインA上のアカウントでログオンするならば、
ドメインA上のアカウントで設定したプロファイルが
使用されます。
ドメインB上のアカウントでCPSを利用するのであれば、
ドメインB上のアカウントで設定したプロファイルが使用されます。
2について
プロファイルは同じものを使用します。
やまよし 2006/11/10 13:20:58
>ドメインB上のアカウントでCPSを利用するのであれば、
>ドメインB上のアカウントで設定したプロファイルが使用されます。
なるぼど、そうするとドメインAのターミナルプロファイルは何の
役にも立っていないと言う事ですね。
ありがとうごうざいました。
上記へのレスはこちらにどうぞ
IPアドレスによるアクセス制限
yama 2006/11/07 12:01:07
公開アプリケーションのアクセス制限をユーザーだけではなくIPアドレスも交えた形で公開することができますでしょうか?
現状ですと、公開アプリケーションのユーザーに登録されているユーザー名とパスワードがわかってしまうと誰でもアプリケーションを起動することができる状態です。
METAフレームのサーバーに複数社のアプリケーションを公開した場合、他社同士は公開アプリケーションを使用させないようにしたいと考えております。
各会社では固定IPアドレスが違いますので、このアプリケーションはこのユーザー名、パスワード、IPで使用させるといった形にできればと考えております。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
サーバーへは、各社固定IPを使用して接続しております。
ファイアウォールもしようしてIPの許可を行っております。
以上、ご返答のほど、よろしくお願いいたします。
Asterisk 2006/11/07 12:30:20
CMCの負荷評価基準でアプリケーションごとのIPアドレスの制限が可能かと思います。
範囲指定ですが、同じIPを指定すれば固定IPと同じ働きをするかと思います。
ご参考まで。
yama 2006/11/07 15:10:36
試してみたところ、アプリケーションの公開をIPアドレスでコントロールすることができました。
同じようにカスタムICAコネクションなどもIPアドレスでアクセス制限を行うことはできますでしょうか?
以上、ご返答のほど、よろしくお願いいたします。