トピック検索
715 件のトピックが該当しました。
- カスタムICAコネクションのIPアドレスによるアクセス制限 - yama ( 2006/11/08 21:40:09 更新)
- IPアドレスによるアクセス制限 - yama ( 2006/11/07 12:01:07 更新)
- CPSのログイン画面が自動的に起動する - maru ( 2006/10/31 09:24:09 更新)
- 匿名ユーザーの接続を許可でエラー - ヒロ ( 2006/10/27 09:39:49 更新)
- 公開アプリケーションのセッションが切れる - あひる ( 2006/10/17 23:09:18 更新)
- 公開アプリケーションへの接続時間の規制について - あひる ( 2006/10/05 14:10:39 更新)
- シングルサインオンについて - U1 ( 2006/09/28 23:02:13 更新)
- Presentation Server4.0の環境でmetaがよく切断される。 - さふらん ( 2006/09/28 10:15:13 更新)
- CPS4.0公開アプリのインスタンス制限について - tomdog ( 2006/09/21 16:09:14 更新)
- CSP4.0 公開アプリケーションに接続できない - しげ ( 2006/09/20 15:03:22 更新)
カスタムICAコネクションのIPアドレスによるアクセス制限
いつもお世話になっております。
Program Neighborhoodにおいて、カスタムICAコネクションの接続を行う場合、クライアントのIPアドレスによるアクセス制限などは行うことはできますでしょうか?
現状ですと、Administratorのユーザー名とパスワードがわかってしまうと誰でも接続することができる状態です。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
以上、ご返答のほど、よろしくお願いいたします。
Program Neighborhoodにおいて、カスタムICAコネクションの接続を行う場合、クライアントのIPアドレスによるアクセス制限などは行うことはできますでしょうか?
現状ですと、Administratorのユーザー名とパスワードがわかってしまうと誰でも接続することができる状態です。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
以上、ご返答のほど、よろしくお願いいたします。
管理者権限のIDとパスワードが漏れてしまったら、Windows、及びWindows上で
動作するCPS上では基本的には何でもできてしまうわけで。
漏れた場合の対策をCPSに求めるのはちょっと違うと思いますが如何でしょうか?
動作するCPS上では基本的には何でもできてしまうわけで。
漏れた場合の対策をCPSに求めるのはちょっと違うと思いますが如何でしょうか?
ご返答ありがとうございます。
漏れた場合の対策ではなく、漏れないためにIPアドレスによる制限をかけたいと考えております。
一定のアドレスからのみカスタムICAコネクションの接続をさせるようにしてしまえば、ログイン画面にすらたどり着けなくなるためセキュリティが増すと考えております。
外部からのアクセスはファイアウォールにより一定IPしか通さないようにはなっていますが、その一定IPアドレスのかなでも、アプリケーションの公開のみで、ICAコネクションを使わせたくないIPなどが存在します。
このようなことを実現する方法などはないでしょうか?
以上、ご返答のほど、よろしくお願いいたします。
漏れた場合の対策ではなく、漏れないためにIPアドレスによる制限をかけたいと考えております。
一定のアドレスからのみカスタムICAコネクションの接続をさせるようにしてしまえば、ログイン画面にすらたどり着けなくなるためセキュリティが増すと考えております。
外部からのアクセスはファイアウォールにより一定IPしか通さないようにはなっていますが、その一定IPアドレスのかなでも、アプリケーションの公開のみで、ICAコネクションを使わせたくないIPなどが存在します。
このようなことを実現する方法などはないでしょうか?
以上、ご返答のほど、よろしくお願いいたします。
CPS4.0では、ポリシーについてはIPアドレスで適用先を指定できますが、
アクセス制限はかけられません。
そもそも、一般的なミドルウェアがレイヤー3レベルでのフィルタリングを普通行わないと思います。
それはL3スイッチやFWの仕事です。
一番簡単な方法としては、ソフトウェアFWをCPSにインストールし、
社内FWとの多段構成にすればよいと思います。
アクセス制限はかけられません。
そもそも、一般的なミドルウェアがレイヤー3レベルでのフィルタリングを普通行わないと思います。
それはL3スイッチやFWの仕事です。
一番簡単な方法としては、ソフトウェアFWをCPSにインストールし、
社内FWとの多段構成にすればよいと思います。
追記ですが、
該当IPに対して公開アプリケーションのみのアクセスを許したいのであれば、
インバウンドに80(XML)をaccept、アウトバウンドには1494(ICA)若しくは
2598(画面保持機能利用の場合)をacceptし、
例えばターミナルサービス(リモートデスクトップ)が使う3389はdenyにすればよろしいかと。
該当IPに対して公開アプリケーションのみのアクセスを許したいのであれば、
インバウンドに80(XML)をaccept、アウトバウンドには1494(ICA)若しくは
2598(画面保持機能利用の場合)をacceptし、
例えばターミナルサービス(リモートデスクトップ)が使う3389はdenyにすればよろしいかと。
すいません、内容をよく読まずに回答してしまいました。
カスタムICAコネクションでの接続に対して制限できないかってことですよね。
申し訳ありません。
普段の運用の中でAdministrator権限でICAセッションを利用する場合がありますか?
もしAdministratorがRDP接続のみの運用でよろしいのであれば、
コネクション構成ツールからICAセッションのアクセス権でAdministratorを拒否にすれば
カスタムICAコネクションでAdministrator権限でアクセスを試みても
接続できなくなります。
カスタムICAコネクションでの接続に対して制限できないかってことですよね。
申し訳ありません。
普段の運用の中でAdministrator権限でICAセッションを利用する場合がありますか?
もしAdministratorがRDP接続のみの運用でよろしいのであれば、
コネクション構成ツールからICAセッションのアクセス権でAdministratorを拒否にすれば
カスタムICAコネクションでAdministrator権限でアクセスを試みても
接続できなくなります。
出題者の意図は、
Administratorのユーザー名とパスワードがばれてしまう
↓
その結果
↓
誰でもカスタムICAコネクションにて接続することができる状態
↓
になるので、
↓
万が一漏れたとしても、カスタムICAコネクション接続を防ぎたい
なんじゃないのですか?
つまり漏れしまった後のリスクを回避したいと読み取れます・・・
AdministratorのID、パスワードが漏れないようにするために、
カスタムICAコネクションの接続制限をするというのは、
目的と対策がアンマッチしていると思いますが。
PNをインストールする際に、カスタムICAコネクションのコンポーネントを
インストールしなきゃいいのでは?端末を利用する方がローカル管理者権限
を持つアカウントでログオンしていると、PNの削除・インストールが可能なので、
防ぎようがないですけど。
もしくはコネクション構成ツールで「公開アプリケーションのみを実行する」に
チェックをしたらいかがでしょう?
それでもRDPで繋がれたらログオン画面は表示されますので、
コネクション構成ツールでRDPは無効にしないといけないですね。
Administratorのユーザー名とパスワードがばれてしまう
↓
その結果
↓
誰でもカスタムICAコネクションにて接続することができる状態
↓
になるので、
↓
万が一漏れたとしても、カスタムICAコネクション接続を防ぎたい
なんじゃないのですか?
つまり漏れしまった後のリスクを回避したいと読み取れます・・・
AdministratorのID、パスワードが漏れないようにするために、
カスタムICAコネクションの接続制限をするというのは、
目的と対策がアンマッチしていると思いますが。
PNをインストールする際に、カスタムICAコネクションのコンポーネントを
インストールしなきゃいいのでは?端末を利用する方がローカル管理者権限
を持つアカウントでログオンしていると、PNの削除・インストールが可能なので、
防ぎようがないですけど。
もしくはコネクション構成ツールで「公開アプリケーションのみを実行する」に
チェックをしたらいかがでしょう?
それでもRDPで繋がれたらログオン画面は表示されますので、
コネクション構成ツールでRDPは無効にしないといけないですね。
IPアドレスによるアクセス制限
いつもお世話になっております。
公開アプリケーションのアクセス制限をユーザーだけではなくIPアドレスも交えた形で公開することができますでしょうか?
現状ですと、公開アプリケーションのユーザーに登録されているユーザー名とパスワードがわかってしまうと誰でもアプリケーションを起動することができる状態です。
METAフレームのサーバーに複数社のアプリケーションを公開した場合、他社同士は公開アプリケーションを使用させないようにしたいと考えております。
各会社では固定IPアドレスが違いますので、このアプリケーションはこのユーザー名、パスワード、IPで使用させるといった形にできればと考えております。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
サーバーへは、各社固定IPを使用して接続しております。
ファイアウォールもしようしてIPの許可を行っております。
以上、ご返答のほど、よろしくお願いいたします。
公開アプリケーションのアクセス制限をユーザーだけではなくIPアドレスも交えた形で公開することができますでしょうか?
現状ですと、公開アプリケーションのユーザーに登録されているユーザー名とパスワードがわかってしまうと誰でもアプリケーションを起動することができる状態です。
METAフレームのサーバーに複数社のアプリケーションを公開した場合、他社同士は公開アプリケーションを使用させないようにしたいと考えております。
各会社では固定IPアドレスが違いますので、このアプリケーションはこのユーザー名、パスワード、IPで使用させるといった形にできればと考えております。
環境を下記に記します。
<サーバー環境>
Meta:MetaFrame Presentation Sever Ver.4.0
OS:Windows Server 2003
<クライアント環境>
Meta:Citrix Program Neighborhood Ver.9.1
OS:Windows XP SP2
サーバーへは、各社固定IPを使用して接続しております。
ファイアウォールもしようしてIPの許可を行っております。
以上、ご返答のほど、よろしくお願いいたします。
CMCの負荷評価基準でアプリケーションごとのIPアドレスの制限が可能かと思います。
範囲指定ですが、同じIPを指定すれば固定IPと同じ働きをするかと思います。
ご参考まで。
ご返答ありがとうございます。
試してみたところ、アプリケーションの公開をIPアドレスでコントロールすることができました。
同じようにカスタムICAコネクションなどもIPアドレスでアクセス制限を行うことはできますでしょうか?
以上、ご返答のほど、よろしくお願いいたします。
試してみたところ、アプリケーションの公開をIPアドレスでコントロールすることができました。
同じようにカスタムICAコネクションなどもIPアドレスでアクセス制限を行うことはできますでしょうか?
以上、ご返答のほど、よろしくお願いいたします。
CPSのログイン画面が自動的に起動する
いつも拝見しています。教えてください。
CPSのバージョン4.0でクライアントにはエージェントのみが入っています。
クライアントのWindows起動直後に自動的にCPSのログイン画面が起動してくるのですが
起動しないようにすることはできないのでしょうか?
スタートアップにエージェントがあるから起こるのかと調査したところスタートアップにエージェントがない端末でもWindows起動直後に表示されてしまいます。
それとある時刻?にCPSのログイン画面が自動的に起動することがあります。これはなぜでしょう?
時刻といっても全く同じではなく、Windowsを起動してから何時間とかで起こっているような
感じなのですがこのような設定するところがあるのでしょうか?
分かる方いらっしゃいましたらお願いします。
CPSのバージョン4.0でクライアントにはエージェントのみが入っています。
クライアントのWindows起動直後に自動的にCPSのログイン画面が起動してくるのですが
起動しないようにすることはできないのでしょうか?
スタートアップにエージェントがあるから起こるのかと調査したところスタートアップにエージェントがない端末でもWindows起動直後に表示されてしまいます。
それとある時刻?にCPSのログイン画面が自動的に起動することがあります。これはなぜでしょう?
時刻といっても全く同じではなく、Windowsを起動してから何時間とかで起こっているような
感じなのですがこのような設定するところがあるのでしょうか?
分かる方いらっしゃいましたらお願いします。
#Agentは触ったことがなくあまり詳しくはないので参考程度で聞いてください
1.PNAgentのPropatyでログオンモードはどうなっていますか?
起動時にサーバに接続し公開アプリケーションの一覧を更新する仕様だとするならば
「指定ユーザ」モードで認証がはいる気がします。
2.アプリケーションの一覧を更新する時間間隔をご確認ください。
一度Agentの設定をサーバ側でユーザ設定可能なようにするか、
管理者側で値を決めて、ユーザ側に設定させないようにする運用がよろしいかと思います。
1.PNAgentのPropatyでログオンモードはどうなっていますか?
起動時にサーバに接続し公開アプリケーションの一覧を更新する仕様だとするならば
「指定ユーザ」モードで認証がはいる気がします。
2.アプリケーションの一覧を更新する時間間隔をご確認ください。
一度Agentの設定をサーバ側でユーザ設定可能なようにするか、
管理者側で値を決めて、ユーザ側に設定させないようにする運用がよろしいかと思います。
匿名ユーザーの接続を許可でエラー
はじめましてヒロと申します。
<構成>
・MetaFrame XPe FR2(Windows2000Server SP4)
・公開アプリ VB6.0で開発した業務アプリ
・Citrix NFuse Classic Ver1.7
NFuseで公開アプリケーションでExeを実行します。
公開アプリケーションの登録で匿名ユーザーの接続を許可をチェックし
実行すると以下のエラーメッセージが表示されます。
-------------------------------------------------------------------
ログオン失敗:ユーザー名を認識できないか、またはパスワードが間違っています。
この作業ディレクトリは無効です。「☆☆☆」
クライアント構成の作業ディレクトリを確認してください
-------------------------------------------------------------------
※「☆☆☆」は作業ディレクトリのパスが表示されています。
ご存知の方が教えていただきたいのですが
よろしくお願いします。
<構成>
・MetaFrame XPe FR2(Windows2000Server SP4)
・公開アプリ VB6.0で開発した業務アプリ
・Citrix NFuse Classic Ver1.7
NFuseで公開アプリケーションでExeを実行します。
公開アプリケーションの登録で匿名ユーザーの接続を許可をチェックし
実行すると以下のエラーメッセージが表示されます。
-------------------------------------------------------------------
ログオン失敗:ユーザー名を認識できないか、またはパスワードが間違っています。
この作業ディレクトリは無効です。「☆☆☆」
クライアント構成の作業ディレクトリを確認してください
-------------------------------------------------------------------
※「☆☆☆」は作業ディレクトリのパスが表示されています。
ご存知の方が教えていただきたいのですが
よろしくお願いします。
公開アプリケーションの登録時に作業ディレクトリはどういう設定をされていますか?
デフォルトではアプリケーションが格納されているディレクトリになりますが、
そのディレクトリにユーザのアクセス権がないとエラーが表示されます。
アプリケーション格納ディレクトリにユーザに対してのアクセス権を付与できないのであれば、
パブリックなディレクトリ若しくはユーザプロファイル等を作業ディレクトリに指定してください。
デフォルトではアプリケーションが格納されているディレクトリになりますが、
そのディレクトリにユーザのアクセス権がないとエラーが表示されます。
アプリケーション格納ディレクトリにユーザに対してのアクセス権を付与できないのであれば、
パブリックなディレクトリ若しくはユーザプロファイル等を作業ディレクトリに指定してください。
きくりん さん
早速のレスありがとうございます。
作業ディレクトリはEXEが格納されている
ディレクトリになっています。
MetaFrameがインストールされているドメインと違うサーバーに
Exeが格納されています。
「匿名ユーザーの接続を許可」のチェックをはずして
アカウントを設定すれば、NFuseには表示されないが
Citrix Program Heighborhoodからの起動は可能になります。
MetaFrameに設定が必要ですか?
よろしくお願いします。
早速のレスありがとうございます。
作業ディレクトリはEXEが格納されている
ディレクトリになっています。
MetaFrameがインストールされているドメインと違うサーバーに
Exeが格納されています。
「匿名ユーザーの接続を許可」のチェックをはずして
アカウントを設定すれば、NFuseには表示されないが
Citrix Program Heighborhoodからの起動は可能になります。
MetaFrameに設定が必要ですか?
よろしくお願いします。
自己レス
EXEが格納されているサーバーのローカルユーザーの「Geust」が
無効で、そのためにサーバーにアクセスできずにエラーとなっていました。
お騒がせしました。
EXEが格納されているサーバーのローカルユーザーの「Geust」が
無効で、そのためにサーバーにアクセスできずにエラーとなっていました。
お騒がせしました。
公開アプリケーションのセッションが切れる
CPS4を使用しております。
Program Neighborhoodを使用しておりますが
なぜか、セッションが後2分で切れますといったメッセージが出力されます。
コネクション構成ツールのコネクションの構成設定上では
タイムアウトなしにしているのですが。。。
その他、クライアントの設定等あるのでしょうか?
どなたかご教授願います。
Program Neighborhoodを使用しておりますが
なぜか、セッションが後2分で切れますといったメッセージが出力されます。
コネクション構成ツールのコネクションの構成設定上では
タイムアウトなしにしているのですが。。。
その他、クライアントの設定等あるのでしょうか?
どなたかご教授願います。
公開アプリケーションへの接続時間の規制について
cps4を使用しております。
現在、公開しているアプリケーションに対して
時間での制約を行いたいと思っております。
MetaFrameのロードマネージャーという機能が該当するのでしょうか?
現在、公開しているアプリケーションに対して
時間での制約を行いたいと思っております。
MetaFrameのロードマネージャーという機能が該当するのでしょうか?
負荷評価基準のスケジュールの設定で可能ですね。
管理コンソール→負荷評価基準→デフォルト 右クリック 負荷評価基準の変更
→スケジュールの設定
です。
CPS4.5を使用しております。
現在、公開しているアプリケーションに対して
時間での制約を行いたいと思っております。
過去ログで、管理コンソールの負荷評価基準のスケジ
ュールの設定で接続時間を制限できることは理解致しました。
接続制限を接続クライアントのIPアドレス単位・
コンピュータ名単位で設定することは可能でしょうか。
宜しくお願いします。
シングルサインオンについて
シングルサインオンについて悩んでいます。
どなたか助言をお願いできませんでしょうか?
■環境(テスト用)
①Windows2003Server
・Presentation Server4.0
・ライセンスサーバー
・サーバーファーム有
②Windows2003Server(VirtualPC上)
・Presentation Server4.0
・サーバーファーム無
■設定
・WebInterfaceを使用する
・公開アプリケーションはドメインのグループ指定を行って画面表示を切り替える
・公開アプリケーションは2台のサーバーを使用して負荷調整を行う
・サイトの認証ではパススルー認証を使用する
■現象
クライアント(ドメインユーザーでログイン済み)からWEBを表示すると、グループ単位で許可
されている公開アプリケーションのみが表示されます。そこから、公開アプリケーションを実行
すると各アプリケーションごとに認証のダイアログが表示されます。
※表示されるダイアログは、各サーバのログイン時に表示される認証ダイアログと同じものです。
※一度認証したアプリケーションは一定時間過ぎるまでは再認証せずに実行できます。
■疑問点
公開アプリケーションの表示がログインユーザーによって切り替わるところまでは可能なのに、
実際の実行になってなぜ認証を求められるのか不思議に思います。
WebInterfaceの管理者ガイドには、最小機能版のMetaFrame win32 Webクライアントには対応
していないとあるのですが、WEBからインストールを行ったにも関わらず、何故か画面への
表示までは行えています。
また、本書に載っている方法を行うにしても、今回はクライアント台数も不特定多数の為、
各クライアントまで行ってインストール作業を行い、設定ファイルを変更することは現実的ではありません。
何かサーバー側での設定等で解決できる方法は無いでしょうか?
どなたか助言をお願いできませんでしょうか?
■環境(テスト用)
①Windows2003Server
・Presentation Server4.0
・ライセンスサーバー
・サーバーファーム有
②Windows2003Server(VirtualPC上)
・Presentation Server4.0
・サーバーファーム無
■設定
・WebInterfaceを使用する
・公開アプリケーションはドメインのグループ指定を行って画面表示を切り替える
・公開アプリケーションは2台のサーバーを使用して負荷調整を行う
・サイトの認証ではパススルー認証を使用する
■現象
クライアント(ドメインユーザーでログイン済み)からWEBを表示すると、グループ単位で許可
されている公開アプリケーションのみが表示されます。そこから、公開アプリケーションを実行
すると各アプリケーションごとに認証のダイアログが表示されます。
※表示されるダイアログは、各サーバのログイン時に表示される認証ダイアログと同じものです。
※一度認証したアプリケーションは一定時間過ぎるまでは再認証せずに実行できます。
■疑問点
公開アプリケーションの表示がログインユーザーによって切り替わるところまでは可能なのに、
実際の実行になってなぜ認証を求められるのか不思議に思います。
WebInterfaceの管理者ガイドには、最小機能版のMetaFrame win32 Webクライアントには対応
していないとあるのですが、WEBからインストールを行ったにも関わらず、何故か画面への
表示までは行えています。
また、本書に載っている方法を行うにしても、今回はクライアント台数も不特定多数の為、
各クライアントまで行ってインストール作業を行い、設定ファイルを変更することは現実的ではありません。
何かサーバー側での設定等で解決できる方法は無いでしょうか?
>WebInterfaceの管理者ガイドには、最小機能版のMetaFrame win32 Webクライアントには対応
>していないとあるのですが、WEBからインストールを行ったにも関わらず、何故か画面への
>表示までは行えています。
IE上でのログオンはクライアントPCのIE - WIのIIS間で統合Windows認証機能でログオンしていますが、
そこから先はクライアントPCのICAクライアント - CPS間の認証となり、
これはICAクライアントが提供する機能となります。
そして本機能はWIのログオン画面からのインストール媒体(ica32t.exe)には含まれていません。
必ずフル機能版(ica32pkg.msi)を使ってインストールしてください。
その際、インストールの途中にローカルで利用しているIDとパスワードを使うかどうか
質問されますので、そこで「はい」を選択します。
これでパススルー認証が有効となります。
また、クライアントの設置場所まで足を運べないのであれば、
ドメインに参加しているクライアントなのですから、
ActiveDirectoryでパッケージを配布すれば問題ないと思います。
上記を行い、それでもうまくいかない場合は以下を確認してください。
①WebInterfaceの設定で認証方法は「パススルー認証」になっていますか?
②CPSの「ターミナルサービス構成」のプロパティの「ログオン設定」で
「常にパスワードの入力を求める」にチェックが付いていませんか?
>していないとあるのですが、WEBからインストールを行ったにも関わらず、何故か画面への
>表示までは行えています。
IE上でのログオンはクライアントPCのIE - WIのIIS間で統合Windows認証機能でログオンしていますが、
そこから先はクライアントPCのICAクライアント - CPS間の認証となり、
これはICAクライアントが提供する機能となります。
そして本機能はWIのログオン画面からのインストール媒体(ica32t.exe)には含まれていません。
必ずフル機能版(ica32pkg.msi)を使ってインストールしてください。
その際、インストールの途中にローカルで利用しているIDとパスワードを使うかどうか
質問されますので、そこで「はい」を選択します。
これでパススルー認証が有効となります。
また、クライアントの設置場所まで足を運べないのであれば、
ドメインに参加しているクライアントなのですから、
ActiveDirectoryでパッケージを配布すれば問題ないと思います。
上記を行い、それでもうまくいかない場合は以下を確認してください。
①WebInterfaceの設定で認証方法は「パススルー認証」になっていますか?
②CPSの「ターミナルサービス構成」のプロパティの「ログオン設定」で
「常にパスワードの入力を求める」にチェックが付いていませんか?
ご返答ありがとうございます。
公開アプリケーションで指定したグループで判定されて表示されているので、
WIの機能で公開アプリケーションの実行可能/不可能のところまで判断されているけれども、
実際に実行する際には更にICAクライアントの認証後に実行されるということですね。
ActiveDirectoryでパッケージを配布については厳しいです。
メタサーバ自体をドメインに参加させるのも色々と申請を行わなければならず、大変な作業なため・・・。
フル機能版(ica32pkg.msi)とAPPSRV.INIの変更によって、シングルサインオンを確認できました。
また、付属のドキュメントとにらめっこをしてINIファイルの書き換えでインストール自体を簡略化
できることを知りました。
現在、この方法で作成したパッケージをIExpressで自己解凍形式にしてWEBで配布するように考えています。
やはり、セキュリティーが厳しくなっているからでしょうか?
個人的には設定したADのグループに応じて公開アプリの表示/非表示を認証入力なしで出来るのですから、
標準機能として公開アプリに実行までシングルサインオンを実現して欲しいとは思うのですが・・・。
公開アプリケーションで指定したグループで判定されて表示されているので、
WIの機能で公開アプリケーションの実行可能/不可能のところまで判断されているけれども、
実際に実行する際には更にICAクライアントの認証後に実行されるということですね。
ActiveDirectoryでパッケージを配布については厳しいです。
メタサーバ自体をドメインに参加させるのも色々と申請を行わなければならず、大変な作業なため・・・。
フル機能版(ica32pkg.msi)とAPPSRV.INIの変更によって、シングルサインオンを確認できました。
また、付属のドキュメントとにらめっこをしてINIファイルの書き換えでインストール自体を簡略化
できることを知りました。
現在、この方法で作成したパッケージをIExpressで自己解凍形式にしてWEBで配布するように考えています。
やはり、セキュリティーが厳しくなっているからでしょうか?
個人的には設定したADのグループに応じて公開アプリの表示/非表示を認証入力なしで出来るのですから、
標準機能として公開アプリに実行までシングルサインオンを実現して欲しいとは思うのですが・・・。
> フル機能版(ica32pkg.msi)とAPPSRV.INIの変更によって、シングルサインオンを確認できました。
割り込んですみません。当方も同じ現象で悩んでいます。
よろしければ、APPSRV.INIのどのパラメタを変更されたか
ご教授いただけないでしょうか。
よろしくお願い致します。
割り込んですみません。当方も同じ現象で悩んでいます。
よろしければ、APPSRV.INIのどのパラメタを変更されたか
ご教授いただけないでしょうか。
よろしくお願い致します。
申し訳ございません。自己解決しました。
まずはマニュアル(Web Interface管理者ガイド)
を読むべきでした。
APPSRV.INIに以下のパラメタを追加することで
解決しました。
---------------------------
EnableSSOnThruICAFile=On
SSOnUserSetting=On
---------------------------
P64~P66に記載されています。
お騒がせして申し訳ございませんでした。
まずはマニュアル(Web Interface管理者ガイド)
を読むべきでした。
APPSRV.INIに以下のパラメタを追加することで
解決しました。
---------------------------
EnableSSOnThruICAFile=On
SSOnUserSetting=On
---------------------------
P64~P66に記載されています。
お騒がせして申し訳ございませんでした。
私も横から失礼します。
パススルー認証をするためにMetaFrame Access Suite 管理コンソール
の[認証方法の設定]において、[パススルー認証]をすると、
・FQDNでURLを指定した場合(例:http://meta01.test.local/Citrix/MetaFrame)
を指定すると、IEからユーザ/パスワードの認証画面が出力されます。
・URLをFQDNではなく、NetBIOS名(例:http://meta01/Citrix/MetaFrame)で
指定すると、パススルー認証ができます。
・[指定ユーザーでログオン]を指定すると、FQDNでもアクセス可能です。
IIS設定の問題でしょうか、Web Interfaceの設定が悪いのでしょうか。
ご存知の方は、ご教授いただけないでしょうか。
よろしくお願い致します。
パススルー認証をするためにMetaFrame Access Suite 管理コンソール
の[認証方法の設定]において、[パススルー認証]をすると、
・FQDNでURLを指定した場合(例:http://meta01.test.local/Citrix/MetaFrame)
を指定すると、IEからユーザ/パスワードの認証画面が出力されます。
・URLをFQDNではなく、NetBIOS名(例:http://meta01/Citrix/MetaFrame)で
指定すると、パススルー認証ができます。
・[指定ユーザーでログオン]を指定すると、FQDNでもアクセス可能です。
IIS設定の問題でしょうか、Web Interfaceの設定が悪いのでしょうか。
ご存知の方は、ご教授いただけないでしょうか。
よろしくお願い致します。
Presentation Server4.0の環境でmetaがよく切断される。
宜しくお願いします。
過去ログを参照したのですが、それらしきものがなかったので、
投稿させて頂きます。
環境
Presentation Server4.01台
windows2003server
クライアントpc XPpro
LAN接続
メタ上でアプリケーションを実行していると1日に多い時に
10回metaが勝手に切断されます。
入力途中に急に画面が切れて、metaに再接続しようとして
もできず、しばらし再接続してみると先ほど急に画面がきれた
直前までの状態が表示され、引き続き入力できます。
対応方法がお分かりになる方がおられましたら、是非ご教授
頂けないでしょうか。宜しくお願い致します。
過去ログを参照したのですが、それらしきものがなかったので、
投稿させて頂きます。
環境
Presentation Server4.01台
windows2003server
クライアントpc XPpro
LAN接続
メタ上でアプリケーションを実行していると1日に多い時に
10回metaが勝手に切断されます。
入力途中に急に画面が切れて、metaに再接続しようとして
もできず、しばらし再接続してみると先ほど急に画面がきれた
直前までの状態が表示され、引き続き入力できます。
対応方法がお分かりになる方がおられましたら、是非ご教授
頂けないでしょうか。宜しくお願い致します。
Citrixコネクション構成ツールを開いてicaコネクションをダブルクリックし、
編集画面を開き、「詳細」を開いてください。
接続タイムアウト設定とアイドルタイムアウト設定の「アカウントの設定を使用」のチェックを外し、
「タイムアウトなし」にチェックが入っている状態にすれば、基本的にネットワーク障害等がない限り
切断されることはありません。
それでも切断が起こる場合は、CPS以外の外的要因が考えられます。
編集画面を開き、「詳細」を開いてください。
接続タイムアウト設定とアイドルタイムアウト設定の「アカウントの設定を使用」のチェックを外し、
「タイムアウトなし」にチェックが入っている状態にすれば、基本的にネットワーク障害等がない限り
切断されることはありません。
それでも切断が起こる場合は、CPS以外の外的要因が考えられます。
きくりんさんご回答有難うございます。
早速、設定をみたところ、現状では、「アカウントの設定を使用」にチェックが
ついていました。
ためしに一旦チェックを外してみようと思います。
しかし、少しわたしが言葉足らずだったのですが、アプリケーションの入力途中
で急に画面が切れてしまうのです。
やはり、こういう場合はネットワークの問題なのでしょうか・・・?
当初、ネットワークの障害だと思い、ネットワーク専門の業者に頼んで
見ていただいたのですが、問題ないということでしたので、てっきり
ICAの問題かと思いまして・・・。
早速、設定をみたところ、現状では、「アカウントの設定を使用」にチェックが
ついていました。
ためしに一旦チェックを外してみようと思います。
しかし、少しわたしが言葉足らずだったのですが、アプリケーションの入力途中
で急に画面が切れてしまうのです。
やはり、こういう場合はネットワークの問題なのでしょうか・・・?
当初、ネットワークの障害だと思い、ネットワーク専門の業者に頼んで
見ていただいたのですが、問題ないということでしたので、てっきり
ICAの問題かと思いまして・・・。
CPS側で考えられることとして以下の点が挙げられます。
①ファーム内で同時起動インスタンス数の制限をしている。
②同じアカウントを複数ユーザで使いまわしをしていて、且つセッション画面の保持機能が有効。
③Server 2003のターミナル・サーバでの動作保証のないアプリケーションを利用し、
なおかつターミナル・サーバの動作モードが「完全なセキュリティ」になっている。
上記のいずれかに該当したりしますか?
①ファーム内で同時起動インスタンス数の制限をしている。
②同じアカウントを複数ユーザで使いまわしをしていて、且つセッション画面の保持機能が有効。
③Server 2003のターミナル・サーバでの動作保証のないアプリケーションを利用し、
なおかつターミナル・サーバの動作モードが「完全なセキュリティ」になっている。
上記のいずれかに該当したりしますか?
きくりんさんご回答有難うございます。
①について
公開アプリケーションのプロパティで確認できるものと
思っていたのですが、Presentation Server4には
そのような項目がなかったのですが、見る場所を間違え
てますでしょうか。
②について
アカウントは、1クライアントにつき1つずつあります。
③について
全く違う環境ではありますが、metaを使わないクラサバ
環境であれば全く問題なく動きますので、2003Server
でも大丈夫です。
すみませんが、宜しくお願い致します。
①について
公開アプリケーションのプロパティで確認できるものと
思っていたのですが、Presentation Server4には
そのような項目がなかったのですが、見る場所を間違え
てますでしょうか。
②について
アカウントは、1クライアントにつき1つずつあります。
③について
全く違う環境ではありますが、metaを使わないクラサバ
環境であれば全く問題なく動きますので、2003Server
でも大丈夫です。
すみませんが、宜しくお願い致します。
①は、アプリケーションのプロパティを開き、「アプリケーションの制限」の中に
「サーバーファーム内で同時に起動できるインスタンス数を制限する」という項目があります。
確認できなかったということは恐らく設定はされていないものと思います。
で、あれば、CPS側に問題があるとは考えにくいと思います。
気休めだとは思いますが、ファームのプロパティから、ICA Keep-Aliveを有効にしてみた場合どうでしょう?
それでだめなら、ネットワークに強い業者にSnifferとかEthereal等でパケットキャプチャしてもらい、
キャプチャデータを解析してもらうのが近道かと。
キャプチャポイントはサーバのNICとクライアントのNIC、経路にルータ、F/Wが存在する場合は
そちらのポートも対象にした方がいいと思います。
以前私も設定は間違っていないのに公開アプリケーションが起動できず、パケットを解析して解決したことがあります。
セッション確立のシーケンスは、必ずクライアントからSYNパケットが飛び、サーバがSYN,ACKで応え、
ACKのやり取りがあった後、クライアントからACK,FINで終了通知、サーバがACKで応えて
サーバからFIN,ACKの通知、クライアントがACKで応えて終了です。
この一連のやり取りがロストせずに確立しているかどうかがポイントかと思います。
ちなみにMetaFrameが利用しているのは、icaが1494、画面保持有効であれば2598です。
「サーバーファーム内で同時に起動できるインスタンス数を制限する」という項目があります。
確認できなかったということは恐らく設定はされていないものと思います。
で、あれば、CPS側に問題があるとは考えにくいと思います。
気休めだとは思いますが、ファームのプロパティから、ICA Keep-Aliveを有効にしてみた場合どうでしょう?
それでだめなら、ネットワークに強い業者にSnifferとかEthereal等でパケットキャプチャしてもらい、
キャプチャデータを解析してもらうのが近道かと。
キャプチャポイントはサーバのNICとクライアントのNIC、経路にルータ、F/Wが存在する場合は
そちらのポートも対象にした方がいいと思います。
以前私も設定は間違っていないのに公開アプリケーションが起動できず、パケットを解析して解決したことがあります。
セッション確立のシーケンスは、必ずクライアントからSYNパケットが飛び、サーバがSYN,ACKで応え、
ACKのやり取りがあった後、クライアントからACK,FINで終了通知、サーバがACKで応えて
サーバからFIN,ACKの通知、クライアントがACKで応えて終了です。
この一連のやり取りがロストせずに確立しているかどうかがポイントかと思います。
ちなみにMetaFrameが利用しているのは、icaが1494、画面保持有効であれば2598です。
きくりんさんご回答有難うございます。
やはり、ネットワークの問題の可能性が大ですか・・・。
では、ネットワークを再度調査してみます。
ご紹介頂きましたEtherealがなかなかよさそうなので、
試してみたいと思います。
どうも有難うございました。
やはり、ネットワークの問題の可能性が大ですか・・・。
では、ネットワークを再度調査してみます。
ご紹介頂きましたEtherealがなかなかよさそうなので、
試してみたいと思います。
どうも有難うございました。
突然の書込み失礼します。
さふらんさんが書かれている現象と全く同じ現象が、私の環境でも起こっておりますので書込みさせて頂きます。
環境
Presentation Server4.01台
windows2003server
クライアントpc XPpro
WAN接続
私もきくりんさんが指摘されている内容とほぼ同様の対応してきましたが改善されませんでした。
(加えてWeb上で公開されている2006/08/25付Presentation Serverの修正パッチもあてました)
可能性としてですが、ハードウェアとの相性も考えられるのではないかと思っております。
私の場合は、サーバー・端末共にHP製を使用しています。
今回さふらんさんが使用しているハードウェアのメーカーを教えて頂けないでしょうか。
よろしくお願い致します。
さふらんさんが書かれている現象と全く同じ現象が、私の環境でも起こっておりますので書込みさせて頂きます。
環境
Presentation Server4.01台
windows2003server
クライアントpc XPpro
WAN接続
私もきくりんさんが指摘されている内容とほぼ同様の対応してきましたが改善されませんでした。
(加えてWeb上で公開されている2006/08/25付Presentation Serverの修正パッチもあてました)
可能性としてですが、ハードウェアとの相性も考えられるのではないかと思っております。
私の場合は、サーバー・端末共にHP製を使用しています。
今回さふらんさんが使用しているハードウェアのメーカーを教えて頂けないでしょうか。
よろしくお願い致します。
Metaサーバーとスイッチングハブとの間にリピートハブを接続しSnifferを導入した所、現象が止まりました。
報告までに。
報告までに。
通常の運用と平行して、現象が発生するPCからPing -t で流して、
TimeOutしているか否かを確認してみてはいかがでしょうか?
※その他Pingを打ちっぱなしにしてログを採取するフリーソフト等で
試すのもありかとおもいます。
ネットワークレベルの話なのか否かの切り分けも必要だと思います。
TimeOutしているか否かを確認してみてはいかがでしょうか?
※その他Pingを打ちっぱなしにしてログを採取するフリーソフト等で
試すのもありかとおもいます。
ネットワークレベルの話なのか否かの切り分けも必要だと思います。
グレートHGさん
Ping -t は試してみましたが現象発生してもTimeOutしませんでした。
Pingレベルで起こっている現象ではないようです。
Ping -t は試してみましたが現象発生してもTimeOutしませんでした。
Pingレベルで起こっている現象ではないようです。
CPS4.0公開アプリのインスタンス制限について
Windows Server 2003 + MetaframeXPa 2台で構成されていた環境を、先日
Windows Server 2003 R2 + Presentation Server4.0 2台へ移行しました。
このサーバーでは次のようなbatファイルを公開アプリに設定しています。
【C:¥test.bat】
------------------------------------
NET USE <<ドライブマッピング>>
START アプリケーション.EXE(メモ帳など)
------------------------------------
このアプリは「アプリケーションの制限」設定で、
「各ユーザーについて1インスタンスのみ許可する」ようにしています。
移行前の環境ではこの設定に基づいて
同じユーザーからの複数起動ができなくなっていたのですが、
移行後は同じ設定であるにも関わらず複数起動が可能な状態になって
しまっていました。
この設定の振る舞いが変更になったのか、
それともWindowsのバージョンが上がったことによる影響か…?
何か情報をお持ちの方、教えてください。
宜しくお願いします!
Windows Server 2003 R2 + Presentation Server4.0 2台へ移行しました。
このサーバーでは次のようなbatファイルを公開アプリに設定しています。
【C:¥test.bat】
------------------------------------
NET USE <<ドライブマッピング>>
START アプリケーション.EXE(メモ帳など)
------------------------------------
このアプリは「アプリケーションの制限」設定で、
「各ユーザーについて1インスタンスのみ許可する」ようにしています。
移行前の環境ではこの設定に基づいて
同じユーザーからの複数起動ができなくなっていたのですが、
移行後は同じ設定であるにも関わらず複数起動が可能な状態になって
しまっていました。
この設定の振る舞いが変更になったのか、
それともWindowsのバージョンが上がったことによる影響か…?
何か情報をお持ちの方、教えてください。
宜しくお願いします!
試しにnet useコマンドはログオンスクリプトで実行し、
公開アプリケーションは実際のアプリケーションを登録してみてはどうでしょうか?
ログオンスクリプトは、ドメイン環境であればActiveDirectoryのグループポリシーから設定し、
WORKGROUP環境であればMetaFrameサーバのローカルポリシーで設定します。
それで解決するようであれば、上記の方法で運用すればよいと思うのですが。
公開アプリケーションは実際のアプリケーションを登録してみてはどうでしょうか?
ログオンスクリプトは、ドメイン環境であればActiveDirectoryのグループポリシーから設定し、
WORKGROUP環境であればMetaFrameサーバのローカルポリシーで設定します。
それで解決するようであれば、上記の方法で運用すればよいと思うのですが。
きくりんさん
返信ありがとうございます。
> 試しにnet useコマンドはログオンスクリプトで実行し、
> 公開アプリケーションは実際のアプリケーションを登録してみてはどうでしょうか?
ログオンスクリプトということは、
他に稼動しているアプリケーションを起動した場合にもnet useが処理されますよね…?
他のアプリにも影響が及ぶのであれば、
せっかくご提案いただいたのに申し訳ありませんが、その対応は差し控えたいと思います…。
やはり気になっているのが、設定の変更が無いのに動作が変わっているところです。
これを確認するにはもうサポートへ問い合わせるしかないのでしょうか・・・。
返信ありがとうございます。
> 試しにnet useコマンドはログオンスクリプトで実行し、
> 公開アプリケーションは実際のアプリケーションを登録してみてはどうでしょうか?
ログオンスクリプトということは、
他に稼動しているアプリケーションを起動した場合にもnet useが処理されますよね…?
他のアプリにも影響が及ぶのであれば、
せっかくご提案いただいたのに申し訳ありませんが、その対応は差し控えたいと思います…。
やはり気になっているのが、設定の変更が無いのに動作が変わっているところです。
これを確認するにはもうサポートへ問い合わせるしかないのでしょうか・・・。
PS4.0 では、インスタンスの制限の設定が反映されないバグがあったと記憶しています。
Rollup Pack 1を適用してみてはいかがでしょう?
下記の修正内容が該当していると思うのですが。
↓
67. この修正により、同時に起動する公開アプリケーションのインスタンス数を制限する機能について、以下の問題が解決されます。
o 一部のアプリケーションで、起動するインスタンス数を制限しても、この設定が無視されることがありました。[#97994, 121849]
Rollup Pack 1を適用してみてはいかがでしょう?
下記の修正内容が該当していると思うのですが。
↓
67. この修正により、同時に起動する公開アプリケーションのインスタンス数を制限する機能について、以下の問題が解決されます。
o 一部のアプリケーションで、起動するインスタンス数を制限しても、この設定が無視されることがありました。[#97994, 121849]
CSP4.0 公開アプリケーションに接続できない
いつも、参照させていただいています。
午前中は正常に使用できていたのですが、ある時間より一部の拠点で
公開アプリケーションが利用できなくなりました。
ところが次第に復旧し始め、現在は数台を残すのみで利用できています。
その間は、何も設定等は変更していません。
また、管理コンソールでは全て接続中の状態でした。
1台セッションをリセットの後、接続を試みましたが、だめでした。
TCP/IPの接続も問題ありませんでした。
こちらの環境は
CPS4.0 Advance
Server OS:Windows2000 SP4(4台)
Client OS:Windows2000 SP4
接続:ICA Ver9.15
トラブル発生時、4台中の1台に、以下のイベントログがありました。
ソース:ESENT
分類:Logging/Recovery
イベントID:439
説明:services(388)ファイルC:\WINNT\security\templates\spsecupd.sdb
のシャドウヘッダーを書き込めません。
--続けて
ソース:ESENT
分類:Logging/Recovery
イベントID:434
説明:services(388)予期しないエラー-1811が発生したため、
データベースの回復または復元に失敗しました。
以上、調査すべきポイントがあれば、ご教授願います。
午前中は正常に使用できていたのですが、ある時間より一部の拠点で
公開アプリケーションが利用できなくなりました。
ところが次第に復旧し始め、現在は数台を残すのみで利用できています。
その間は、何も設定等は変更していません。
また、管理コンソールでは全て接続中の状態でした。
1台セッションをリセットの後、接続を試みましたが、だめでした。
TCP/IPの接続も問題ありませんでした。
こちらの環境は
CPS4.0 Advance
Server OS:Windows2000 SP4(4台)
Client OS:Windows2000 SP4
接続:ICA Ver9.15
トラブル発生時、4台中の1台に、以下のイベントログがありました。
ソース:ESENT
分類:Logging/Recovery
イベントID:439
説明:services(388)ファイルC:\WINNT\security\templates\spsecupd.sdb
のシャドウヘッダーを書き込めません。
--続けて
ソース:ESENT
分類:Logging/Recovery
イベントID:434
説明:services(388)予期しないエラー-1811が発生したため、
データベースの回復または復元に失敗しました。
以上、調査すべきポイントがあれば、ご教授願います。
もしかしてExchangeを利用していませんか?
返信ありがとうございます。
残念ながら、Exchangeは利用していません。
残念ながら、Exchangeは利用していません。
Powerful & Beautiful
力強く、美しいシステムを。