トピック検索
- CWAにてクライアント証明書のインストールエラー - K ( 2022/09/22 14:01:14 更新)
- Netscaler経由でVDIに接続すると、DesktopViewer起動時に、SSLエラー76が表示される - ななし ( 2022/09/02 17:22:24 更新)
- ホストベースのルーティング - 高橋 ( 2022/07/22 15:35:21 更新)
- Netscalerへの接続が急に遅くなる - いず ( 2020/05/25 17:41:39 更新)
- ネットワークセグメントが異なるNetscalerとADサーバの通信が取れない - いず ( 2020/05/11 13:54:53 更新)
- NetScaler経由のStoreFrontログオンができない - いず ( 2020/04/24 20:32:20 更新)
- ネットスケーラー更新の費用について - kazu ( 2019/09/05 11:10:11 更新)
- NetScaler GatewayのHA設定を解除する方法 - キョシー ( 2019/05/21 18:48:40 更新)
- Citrix Gatewayを介したICA Proxy接続でのVDI起動要求時エラー - S ( 2019/01/24 11:39:24 更新)
- OSログイン前までにSSL-VPNを張り、インターネット経由でセンター内のリソースにアクセスする方法。 - pee ( 2018/12/13 17:39:55 更新)
CWAにてクライアント証明書のインストールエラー
K 2022/09/22 14:01:14
https://support.citrix.com/article/CTX214874/how-to-create-and-use-client-certificates-on-netscaler-appliance-with-firmware-101-and-above
証明書とキーのペアの追加
証明書とキーのペアを仮想サーバーにバインドする
クライアント証明書の作成とインストール 1~8まで
次に、CWAにてクライアント証明書のインストールを試した。
https://docs.citrix.com/ja-jp/citrix-workspace-app-for-ios/authenticate.html
モバイルデバイスを構成するには
しかし、「2.ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、Citrix Workspaceアプリのみから証明書をダウンロードしてインストールします。」でエラーになった。
原因は、証明書をダウンロードするために指定したURLが間違っていると思われる。
Citrixサポートからの回答は以下の通りだが、やり方がわからない。
作成したクライアント証明書ファイルをダウンロードできるURLにアップロードする。
ADC側にこのようなダウンロードURLがないため、例として下記のようなpfxファイルをダウンロードできるURLを自分で作る。
http://v.yichirecords.com/client.pfx
上記へのレスはこちらにどうぞ
Netscaler経由でVDIに接続すると、DesktopViewer起動時に、SSLエラー76が表示される
ななし 2022/09/02 17:22:24
Netscaler NS12.1
Xendesktop 7.15LTSR
クライアント Windows10
CitrixReceiver4.7
VDA 7.15
Netscaler mpxにログイン後、CitrixReceiverの画面が表示され、
接続するデスクトップを選択すると、以下のエラーが表示されます。
サーバーに接続できません。次のエラーについて、システム管理者に連絡してください
SSLエラー 76:セキュリティ証明書”mpxのホスト名”(シリアル番号XXX)は”Netattestのホスト名”によって取り消しされました。(理由:UNSPECIFIED)
なにか原因はわかりますでしょうか。
とある訪問者 2022/09/04 02:44:56
https://support.citrix.com/article/CTX120608/ssl-error-76-the-security-certificate-was-revoked-when-launching-an-application-using-netscaler-gateway
ななし 2022/09/05 06:47:19
こちらの情報は私もみておりまして、revokedとなっていたので、すこし原因が異なるのかと思っておりました。
またmpxにはADサーバのユーザー認証でログインをしており、クライアント証明書によるログインはしていない認識でして、何で証明書のことを言ってくるのだろうと思っておりました…
とある訪問者 2022/09/05 16:09:47
お困りなら独自に古いバージョンなどでも保守をしてくれそうな
ベンダーさんにお声がけするなどご検討ください。
上記へのレスはこちらにどうぞ
ホストベースのルーティング
高橋 2022/07/22 15:35:21
設定方法がわからず、ご教授頂けませんでしょうか?
実施したいことはシンプルで、
ホスト名がwww1の場合、WEBサーバ1にルーティング
ホスト名がwww2の場合、WEBサーバ2にルーティング
www1.xxx.com →webserver1
www2.xxx.com →webserver2
上記へのレスはこちらにどうぞ
Netscalerへの接続が急に遅くなる
いず 2020/05/25 17:41:39
連投になってしまいますがアドバイスいただきたく書き込みさせていただきました。
■現在の問題■
・Netscalerへの接続が急に遅くなる
■環境
Windows Server 2012 R2
Netscaler ADC 13.0(Hype-V)
■状況■
・Netscalerのログイン画面が表示されるまで時間がかかることがある(5分くらい)
・上記の状況になっていると、NSIPへの接続でWebコンソールにもアクセスが難しくなる
・Netscalerを再起動すると現象が改善する
・発生頻度が高い(ほぼ毎日出ている)
・問題がない時にログイン画面を表示させると、数秒でログイン画面が表示される
・アクセス過多が原因ではないと考えられる(まだテストでしか接続していないので、1台程度しか繋いでいない)
■現在の改善案■
・毎日Netscalerを再起動する
何が原因なのか判らないので上記以外改善の方法がないのですが、
改善案は検証を始めたところなので、これで改善されるかは正直微妙なところです。
問題が判るようなところや、どこか設定を見るとよいところなど、些細なことでもかまいません。
何か思い当たるところがありましたら、アドバイスいただければ幸いです。
上記へのレスはこちらにどうぞ
ネットワークセグメントが異なるNetscalerとADサーバの通信が取れない
いず 2020/05/11 13:54:53
Netscalerの通信設定についてなのですが、これ以上先に進まなくなったのでアドバイスいただけないでしょうか。
■現在の問題■
・ネットワークセグメントが異なるNetscalerとADサーバの通信が取れない
■環境
Windows Server 2012 R2 (全てのサーバ)
Netscaler ADC 13.0(Hype-V)
※認証はADサーバで行う
※XenAppは7.18で、StoreFrontはスキップする
------------------------------------------------------------------------
インターネット
↑
↓
-------------------
SW、FW
(グローバルIPと内部IPの変換はSWで実施)
-------------------
↑
↓
・Hyper-V構築サーバ 内部向きIP:10.10.10.10
GW:10.10.20.254
・Netscaler ADC NSIP:10.10.10.100
SNIP:10.10.10.200
↑ ※NICは4本中、1本はHyper-V構築サーバ用に「10.10.20.254」へ接続
↓ 残り3本はHyper-V占有に割り当てており、1本は外部(VIP割当用)、2本は「10.10.20.254」へ接続(NSIP、SNIP割当用)
-------------------
SW、FW GW:10.10.10.254
GW:10.10.20.254
-------------------
・XenAppサーバ(StoreFront含) IP:10.10.20.1
・ActiveDirectoryサーバ IP:10.10.20.2
------------------------------------------------------------------------
・Hyper-V構築サーバは、routeコマンドでGWを指定し、ADサーバの配下に入っている
・Netscalerの認証設定でLDAPをADで指定してテスト認証を行ったところ、
ADサーバと通信が取れない、ポート389が許可されていない可能性がある旨が表示
・ポート(389)はFWで許可済み
------------------------------------------------------------------------
Windowsと同様、ルートを指定することで対応が出来るのではと考え、ルートを追加設定しています。
現在、Routes→Basicの中にあるのは、以下の内容です。
System→Network→Routes→Basic
NW MASK GW
127.0.0.0 255.0.0.0 127.0.0.1 ←初期値
10.10.10.0 255.255.255.0 10.10.10.100 ←初期値
10.10.20.0 255.255.255.0 10.10.10.254 ←追加分(設定時、他の値は初期値)
ルーティングの設定が足りないのではと思うのですが、何を直せばよいのか判断ができません。
他に何か追加設定があるのでしょうか。
どなたかアドバイスいただけれ幸いです。
■補足■
まだ外部での接続テストなどの段階までいっていないため、現在まだ内部用のNICを1本しか繋いでいない状態です。
内部の設定が問題なければ、同様の手段で外部用のルートを設定を考えています(外部のGWのセグメントも異なるため)。
外部と内部で繋がっているSWやFWも違いますので、Windowsのように、各NICにIPアドレスを割り当てる必要もあるのではないかと思っていますが、現在本件の調査中で分かっていません。
もしこのあたりが影響していましたらご指摘ください。
いず 2020/05/14 19:22:16
原因が判りました。
ルートの設定は問題ありませんでした。
今回、FWで内部ネットワークとの通信を許可しているIPアドレスに
Hyper-V構築サーバのIPとSNIPを登録して他は通さない設定にしていたのですが、
FWのログを見るとLDAPの登録時のテスト認証の際に使われるIPアドレスがNSIPで
送信されていたため、FWで通信が遮断されている状態でした。
NSIPも許可するようにしましたら、問題なく通信できるようになりました。
通信のログを見ていればもっと早く判明したことを考えると、説明に書かれている通りの
IPを使うわけではなく、あまり盲目的になってはいけないと痛感しました。
お騒がせいたしました。
上記へのレスはこちらにどうぞ
NetScaler経由のStoreFrontログオンができない
いず 2020/04/24 20:32:20
過去に同様のスレッドがあったのですが、改善しなかったため何か思い当たる部分があればアドバイスいただきたく書き込ませていただきました。
過去スレッド:https://www.pbsystems.co.jp/bbs/citrix/?id=17683
表題の通り、Netscaler経由でStoreFrontへログオンができません。
流れとしては以下の通りです。
1.NetscalerのURLでアクセスし、ユーザ名・パスワードを入力し、「ログオン」(この画面はNetscalerのログオン画面ではありません)
2.「ログオンの有効期限が切れました。続行するには、もう一度ログオンしてください」と表示される
3.再度ログオンしようとしても同じ画面が表示される
・アクセスのテストを行っているのはIE11で、Citrix Receiverをインストール済みです。
・StoreFrontのURLに直接アクセスした場合はログオンとアプリケーションの起動が行えます。
・テスト環境下のため、Netscalerでルート証明書とサーバ証明書を発行しており、それぞれ接続テストをしている端末にインストール済みです(動作に問題なければ、実際の運用では購入した証明書を利用します)
StoreFrontサーバのイベントログには以下のようなイベントが記録されていました。
-----------------
ゲートウェイを経由するサービス'Store Service'に要求が送信されましたが、このサービスにはゲートウェイが構成されていません。要求の詳細:
X-Citrix-Gateway:
X-Citrix-Via: netscaler.test.jp
X-Citrix-Via-VIP: 192.168.1.80
リモートアドレス:127.0.0.1
X-Forwarded-For: 192.168.1.200,192.168.1.70
-----------------
気になるのは、StoreFrontを再起動すると、詳細タブで表示される「リモートアクセス:有効(VPNトンネルなし)」に設定していたものが「リモートアクセス:無効」に表示が切り替わってしまうことです。
ただ、いくら直しても再起動すると表示だけ変わってしまいます。
過去スレッドで挙げられておりました設定の中では、
・NetscalerにはLDAPの設定済み
・NetscalerのVirtual ServersのVIPで「Enable Authentication」を無効化設定
・StoreFrontの認証設定で「NetScaler Gatewayからのパススルー」を無効化
…として設定しています。
インストール時に参考にしていたサイトは以下です。
https://www.kenta-virtualization.com/entry/2018/09/11/091907
この設定を行ったところ、Netscalerへログインしても再度同じ画面が表示されてしまったため、StoreFrontの設定を変更しました。
うまく説明できず申し訳ないのですが、最終的には、「1回ユーザーとパスワードで認証すればアプリケーションを利用できる」というところなので、ログイン画面がNetscalerでもStoreFrontでも構わないと思っています。
どちらの認証方法でも構いません。
解消のため何かアドバイスをいただけないでしょうか。
よろしくお願いします。
いづ 2020/04/27 14:25:07
親ツリーに記載していたサイトの設定でうまくいかなかった原因としては以下のことが原因ではないかなと考えられます。
・Netscalerで設定したシングルサインオンのドメインがStoreFrontとずれがあった
例 Netscaler :aaa.local
StoreFront:aaa
・NetscalerでDNSレコードにNetscalerとStoreFrontの両方のレコード追加
※Netscalerのセッションプロファイルのうち、Client Experienceの設定をStoreFrontの画面で認証させるために追加設定したところもあるので、そのあたりも影響しているかもしれません
当初の問題の解消にはなっていないので疑問は残るのですが、今回はNetscalerの認証画面で対応を進めようと思います。
もし親スレッドの内容で何か問題点や思い当たるところがあるようでしたら、ご意見いただければ幸いです。
上記へのレスはこちらにどうぞ
ネットスケーラー更新の費用について
kazu 2019/09/05 11:10:11
現在、弊社ではcitrixでの利用をしており、今回、netscalerの更新を予定しております。
ネットスケーラー MPX5901 standard Edition
ファイアウォール FortiGate-60E x2台
L2SW CenterCom GS920-24
に更新するの予定ですが、現状の機器からパラメータを確認頂き、更新できるベンダーさんはいらっしゃらないでしょうか?
Reppa 2019/09/06 11:54:48
関東だったら伊藤忠とか大塚商会がデカいとこじゃないですかね。
シトリックス認定販売パートナー
http://partner.citrix.co.jp/csn.html
ネットワークパートナー
http://partner.citrix.co.jp/network_partner.html
kazu 2019/09/06 15:27:34
アドバイス、ありがとうございました。
上記へのレスはこちらにどうぞ
NetScaler GatewayのHA設定を解除する方法
キョシー 2019/05/21 18:48:40
わけあってHA構成を解除したいのですが、SecondaryサーバをDeleteしたところ既存セッションがすべて切断され、新規ログインもできない状態となってしまいました。
あわててHA設定を再設定したところ、ログインが可能な状態に戻りました。
そこで質問させていただきたいのですが、HA構成している状態からセッションを切断せずにシングル構成にする方法はあるのでしょうか。
(構成方法は見つかりますが、設定を解除する方法が見つかりません。)
だれか情報をお持ちであればお助けください。よろしくお願いします。
通りすがり 2019/05/22 12:29:10
以下のKBの「Remove an Active NetScaler Secondary Pair Member
」だけ実行してみるのはどうでしょうか?
https://support.citrix.com/article/CTX218966%C2%A0
キョシー 2019/05/23 11:55:50
内容を確認して試してみたいと思います。
上記へのレスはこちらにどうぞ
Citrix Gatewayを介したICA Proxy接続でのVDI起動要求時エラー
S 2019/01/24 11:39:24
手詰まり状態で、どなたか助言頂けないでしょうか。
■製品概要
Citrix XenApp and XenDesktop 7.15 LTSR CU3(VDA含む)
Citrix ADC VPX 12.1 build 50.28
Citrix Workspace app 1812 for Windows
■環境概要
Microsoft Azure IaaS環境にて、XenDesktopとCitirx ADCを構築しています。
Citrix Workspace appがインストールされ、自己署名ルート証明書がインポートされたクライアント端末からインターネットを介して、Microsoft Azure環境に構築されたCitrix ADCへアクセスし、同環境に構築されたXenDesktop環境のVDIにICA Proxy接続をする構成です。認証方式はLDAP認証のみ。
■事象内容
VDIリソースが一覧表示されているストア画面(Citrix ADCへのログオン、StoreFrontへのパススルー成功後のStoreFront画面)にて、ログオンしたユーザーアカウントに紐づけれられたVDIリソースのアイコンをクリックし、起動要求をかけた後、ICAファイルを使用して、VDIへ接続する。
OSログオン画面が表示される前のVDI接続中の画面(Citrixが提供している画面)にて、エラーメッセージが2つ表示され、接続は中止される。
エラーメッセージ①
「サーバーに接続できません。次のエラーについて、システム管理者に連絡してください: SSLエラー61:サーバーのセキュリティ証明書の発行者である"<接続URLのFQDN>"をまだ信頼していません。」
エラーメッセージ②
「"<リソース名>"への接続に失敗しました。状態:不明なクライアント エラー0」
■切り分け/対応内容と結果
・接続方法
社外接続でのICA接続:本事象内容と同事象
社内接続でのICA接続:VDIが正常起動
・Citrix Workspace appのバージョンの最新化
製品概要に記載したバージョンをインストールして実施:本事象内容と同事象
・接続端末の変更(アンチウイルスソフトの影響確認)
4台の端末で実施(業務PC2台とプライベートPC1台と同ネットワーク上の仮想マシン1台のため、ソフトや環境が全く違います):本事象内容と同事象
・自己署名証明書の再発行
ルート証明書、サーバー証明書の再発行、チェーン更新、端末へのルート証明書のインポート:本障害内容と同事象
※RSA、鍵長2048bit、FQDN、証明書情報
・STAの設定確認、ステータス確認
STAサーバーはIPアドレス指定(名前解決の確認不要)、Auth IDは正常取得、STA StatusはUP
・ブラウザの変更
IE,Chrome:本事象内容と同事象
・Citrix ADCの再構築
同じバージョン、VM構成、ネットワーク構成、ADC設定で2度再構築:本事象内容と同事象
・VDA端末の再起動
2回実施:本事象内容と同事象
・Citrix Studio上のVDA登録状況
登録済み、電源状態もパワーオンのため正常と見える
・イベントログ
Windows-システムで「エラーID:10016」が出力される。
s 2019/01/30 15:18:24
基本的に、下のナレッジに記載のある通りで
必要/適切なCAルート証明書がクライアント側に入ってないことであったり
ADC VPXのDNSによる名前解決に問題がある場合などが殆どという印象です。
https://support.citrix.com/article/CTX105254
あまり参考になる回答でもないと思いますがご参考まで……。
しげっち 2019/02/01 11:45:15
それともプライベート認証局より発行された証明書でしょうか。
後者の証明書であればプライベート認証局のルート証明書を接続元のクライアントで「信頼されたルート証明機関」へ
登録する必要があります。前者の場合でも、中間証明書が必要なサーバ証明書であればNetScaler側への登録と、
中間証明書へのリンクを設定する必要があります。
Citrixでは、証明書に関するエラーの技術情報が公開されていますので合わせてご確認ください。
Error: "SSL Error 61: You have not chosen to trust 'Certificate Authority'..." on Receiver for Windows
https://support.citrix.com/article/CTX101990
Sig 2019/04/01 08:59:41
NetScalerでオレオレ証明書作ってるなら、XenAppにもオレオレ証明書食わせないと提示のエラーになったような気がします。
上記へのレスはこちらにどうぞ
OSログイン前までにSSL-VPNを張り、インターネット経由でセンター内のリソースにアクセスする方法。
pee 2018/12/13 17:39:55
・外出時に自宅PCまたは持出しPCを使って、センター内のリソースにアクセスします。
・センター内のリソースへのアクセスの入口は、NetscalerのSSL-VPNを使用します。
・接続元となる媒体は、Windows to Goを格納したUSB(Win10)で、
それを対象の職員に渡し、外で使ってもらいます。
・接続元のWindowsにはクライアント証明書を格納しておき、SSL-VPNの認証の際に使用します。
・接続元のWindowsはセンター内のドメインに参加します。
・OSログイン前までにSSL-VPNを張ります。(必須要件)
上記を踏まえ、以下のログインフローを考えています。
1.USB接続
↓
2.Windows to GoでOS起動
↓
3.起動スクリプトを使い、クライアント証明書でSSL-VPNを張る。
↓
4.OSログインは、センター内のADを使ったWindows認証でログイン
こんな動きって、実現可能でしょうか?
Full VPNでもGateWayでもICA Proxyでもなんでもいいので、
実現できるかどうか、またどんな起動スクリプトを使えばよいかご教示願います。
[自分で調べてこれならいけるかもと思っていること。]
・起動スクリプトはタスクスケジューラを使用して
「コンピュータの起動時」に仕込んでおいたバッチを実行させる。
・バッチの内容は「rasdial.exe <VPN接続名>」を実行させる。
(または「rasphone.exe -h <VPN接続名>」でショートカット作成して起動時に実行でいけるか?)
・クライアント証明書は格納しておく。
これで実現可能か、よろしくお願いします。
とみっち 2019/01/16 18:26:55
端末起動とVPN確立のタイミングによっては、ローカルキャッシュで端末ログオンされその後VPNが確立することでドメインコントローラと通信することになります。一般的なドメイン認証が必要なシステムは(ファイルサーバとか)は問題ないかと推測されます。