以下の手順でクライアント証明書を作成した。
https://support.citrix.com/article/CTX214874/how-to-create-and-use-client-certificates-on-netscaler-appliance-with-firmware-101-and-above
証明書とキーのペアの追加
証明書とキーのペアを仮想サーバーにバインドする
クライアント証明書の作成とインストール　1～8まで

次に、CWAにてクライアント証明書のインストールを試した。
https://docs.citrix.com/ja-jp/citrix-workspace-app-for-ios/authenticate.html
モバイルデバイスを構成するには

しかし、「２．ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、Citrix Workspaceアプリのみから証明書をダウンロードしてインストールします。」でエラーになった。

原因は、証明書をダウンロードするために指定したURLが間違っていると思われる。

Citrixサポートからの回答は以下の通りだが、やり方がわからない。
作成したクライアント証明書ファイルをダウンロードできるURLにアップロードする。
ADC側にこのようなダウンロードURLがないため、例として下記のようなpfxファイルをダウンロードできるURLを自分で作る。
http://v.yichirecords.com/client.pfx

NettattestEPS 4.10
Netscaler NS12.1
Xendesktop 7.15LTSR
クライアント Windows10
CitrixReceiver4.7
VDA 7.15

Netscaler mpxにログイン後、CitrixReceiverの画面が表示され、
接続するデスクトップを選択すると、以下のエラーが表示されます。

サーバーに接続できません。次のエラーについて、システム管理者に連絡してください
SSLエラー 76：セキュリティ証明書”mpxのホスト名”（シリアル番号XXX）は”Netattestのホスト名”によって取り消しされました。（理由：UNSPECIFIED）

なにか原因はわかりますでしょうか。

NetScaler VPXを利用して、ホストベースでのルーティングを設定したいのですが
設定方法がわからず、ご教授頂けませんでしょうか？

実施したいことはシンプルで、
ホスト名がwww1の場合、WEBサーバ1にルーティング
ホスト名がwww2の場合、WEBサーバ2にルーティング

www1.xxx.com →webserver1
www2.xxx.com →webserver2

こんにちは。
連投になってしまいますがアドバイスいただきたく書き込みさせていただきました。


■現在の問題■

・Netscalerへの接続が急に遅くなる

■環境
Windows Server 2012 R2
Netscaler ADC 13.0（Hype-V）


■状況■
・Netscalerのログイン画面が表示されるまで時間がかかることがある(5分くらい)
・上記の状況になっていると、NSIPへの接続でWebコンソールにもアクセスが難しくなる
・Netscalerを再起動すると現象が改善する
・発生頻度が高い(ほぼ毎日出ている)
・問題がない時にログイン画面を表示させると、数秒でログイン画面が表示される
・アクセス過多が原因ではないと考えられる(まだテストでしか接続していないので、１台程度しか繋いでいない)

■現在の改善案■
・毎日Netscalerを再起動する


何が原因なのか判らないので上記以外改善の方法がないのですが、
改善案は検証を始めたところなので、これで改善されるかは正直微妙なところです。

問題が判るようなところや、どこか設定を見るとよいところなど、些細なことでもかまいません。
何か思い当たるところがありましたら、アドバイスいただければ幸いです。

こんにちは。
Netscalerの通信設定についてなのですが、これ以上先に進まなくなったのでアドバイスいただけないでしょうか。



■現在の問題■

・ネットワークセグメントが異なるNetscalerとADサーバの通信が取れない


■環境
Windows Server 2012 R2　(全てのサーバ)
Netscaler ADC 13.0（Hype-V）
　※認証はADサーバで行う
　※XenAppは7.18で、StoreFrontはスキップする

------------------------------------------------------------------------
インターネット
↑
↓
-------------------
SW、FW
　(グローバルIPと内部IPの変換はSWで実施)
-------------------
↑
↓
・Hyper-V構築サーバ　内部向きIP：10.10.10.10
　　　　　　　　　　　　　　 GW：10.10.20.254

・Netscaler ADC　　　　　　NSIP：10.10.10.100
　　　　　　　　　　　　　 SNIP：10.10.10.200
↑　　　※NICは4本中、1本はHyper-V構築サーバ用に「10.10.20.254」へ接続
↓　　　　残り3本はHyper-V占有に割り当てており、1本は外部(VIP割当用)、2本は「10.10.20.254」へ接続(NSIP、SNIP割当用)
-------------------
SW、FW　　　　　　　　　　　　GW：10.10.10.254
　　　　　　　　　　　　　　　GW：10.10.20.254
-------------------
・XenAppサーバ(StoreFront含)　IP：10.10.20.1
・ActiveDirectoryサーバ　　　 IP：10.10.20.2
------------------------------------------------------------------------

・Hyper-V構築サーバは、routeコマンドでGWを指定し、ADサーバの配下に入っている
・Netscalerの認証設定でLDAPをADで指定してテスト認証を行ったところ、
　　ADサーバと通信が取れない、ポート389が許可されていない可能性がある旨が表示
・ポート(389)はFWで許可済み
------------------------------------------------------------------------

Windowsと同様、ルートを指定することで対応が出来るのではと考え、ルートを追加設定しています。
現在、Routes→Basicの中にあるのは、以下の内容です。

System→Network→Routes→Basic
　NW　　　　　　MASK　　　　　　GW
127.0.0.0　　255.0.0.0　　　127.0.0.1　　　　　　←初期値
10.10.10.0　 255.255.255.0　10.10.10.100　　　　←初期値
10.10.20.0　 255.255.255.0　10.10.10.254　　　　←追加分(設定時、他の値は初期値)


ルーティングの設定が足りないのではと思うのですが、何を直せばよいのか判断ができません。
他に何か追加設定があるのでしょうか。
どなたかアドバイスいただけれ幸いです。


■補足■
まだ外部での接続テストなどの段階までいっていないため、現在まだ内部用のNICを1本しか繋いでいない状態です。
内部の設定が問題なければ、同様の手段で外部用のルートを設定を考えています(外部のGWのセグメントも異なるため)。

外部と内部で繋がっているSWやFWも違いますので、Windowsのように、各NICにIPアドレスを割り当てる必要もあるのではないかと思っていますが、現在本件の調査中で分かっていません。
もしこのあたりが影響していましたらご指摘ください。

こんにちは。

過去に同様のスレッドがあったのですが、改善しなかったため何か思い当たる部分があればアドバイスいただきたく書き込ませていただきました。

過去スレッド：https://www.pbsystems.co.jp/bbs/citrix/?id=17683

表題の通り、Netscaler経由でStoreFrontへログオンができません。
流れとしては以下の通りです。
　1.NetscalerのURLでアクセスし、ユーザ名・パスワードを入力し、「ログオン」(この画面はNetscalerのログオン画面ではありません)
　2.「ログオンの有効期限が切れました。続行するには、もう一度ログオンしてください」と表示される
　3.再度ログオンしようとしても同じ画面が表示される

・アクセスのテストを行っているのはIE11で、Citrix Receiverをインストール済みです。
・StoreFrontのURLに直接アクセスした場合はログオンとアプリケーションの起動が行えます。
・テスト環境下のため、Netscalerでルート証明書とサーバ証明書を発行しており、それぞれ接続テストをしている端末にインストール済みです(動作に問題なければ、実際の運用では購入した証明書を利用します)

StoreFrontサーバのイベントログには以下のようなイベントが記録されていました。
-----------------
ゲートウェイを経由するサービス'Store Service'に要求が送信されましたが、このサービスにはゲートウェイが構成されていません。要求の詳細:
X-Citrix-Gateway:
X-Citrix-Via: netscaler.test.jp
X-Citrix-Via-VIP: 192.168.1.80
リモートアドレス：127.0.0.1
X-Forwarded-For: 192.168.1.200,192.168.1.70
-----------------

気になるのは、StoreFrontを再起動すると、詳細タブで表示される「リモートアクセス：有効(VPNトンネルなし)」に設定していたものが「リモートアクセス：無効」に表示が切り替わってしまうことです。
ただ、いくら直しても再起動すると表示だけ変わってしまいます。


過去スレッドで挙げられておりました設定の中では、
・NetscalerにはLDAPの設定済み
・NetscalerのVirtual ServersのVIPで「Enable Authentication」を無効化設定
・StoreFrontの認証設定で「NetScaler Gatewayからのパススルー」を無効化
…として設定しています。

インストール時に参考にしていたサイトは以下です。
https://www.kenta-virtualization.com/entry/2018/09/11/091907
この設定を行ったところ、Netscalerへログインしても再度同じ画面が表示されてしまったため、StoreFrontの設定を変更しました。




うまく説明できず申し訳ないのですが、最終的には、「1回ユーザーとパスワードで認証すればアプリケーションを利用できる」というところなので、ログイン画面がNetscalerでもStoreFrontでも構わないと思っています。
どちらの認証方法でも構いません。
解消のため何かアドバイスをいただけないでしょうか。
よろしくお願いします。

スレッド違いなのは、理解しておりますが、現在のベンダーさんの見積もりが法外な気がして、どうか助けてください。

現在、弊社ではcitrixでの利用をしており、今回、netscalerの更新を予定しております。
ネットスケーラー　MPX5901 standard Edition
ファイアウォール　FortiGate-60E x２台
L2SW 　　　　　 CenterCom GS920-24
に更新するの予定ですが、現状の機器からパラメータを確認頂き、更新できるベンダーさんはいらっしゃらないでしょうか？

NetScaler VPXを2台構築し、HA設定をして運用している環境があります。

わけあってHA構成を解除したいのですが、SecondaryサーバをDeleteしたところ既存セッションがすべて切断され、新規ログインもできない状態となってしまいました。

あわててHA設定を再設定したところ、ログインが可能な状態に戻りました。

そこで質問させていただきたいのですが、HA構成している状態からセッションを切断せずにシングル構成にする方法はあるのでしょうか。
（構成方法は見つかりますが、設定を解除する方法が見つかりません。）

だれか情報をお持ちであればお助けください。よろしくお願いします。

とてもシンプルなCitrix Gatewayを介したICA接続によるXenDesktop環境へアクセスする構成を構築中ですが、掲題の内容でエラーとなっています。
手詰まり状態で、どなたか助言頂けないでしょうか。

■製品概要
Citrix XenApp and XenDesktop 7.15 LTSR CU3（VDA含む）
Citrix ADC VPX 12.1 build 50.28
Citrix Workspace app 1812 for Windows

■環境概要
Microsoft Azure IaaS環境にて、XenDesktopとCitirx ADCを構築しています。
Citrix Workspace appがインストールされ、自己署名ルート証明書がインポートされたクライアント端末からインターネットを介して、Microsoft Azure環境に構築されたCitrix ADCへアクセスし、同環境に構築されたXenDesktop環境のVDIにICA Proxy接続をする構成です。認証方式はLDAP認証のみ。

■事象内容
VDIリソースが一覧表示されているストア画面（Citrix ADCへのログオン、StoreFrontへのパススルー成功後のStoreFront画面）にて、ログオンしたユーザーアカウントに紐づけれられたVDIリソースのアイコンをクリックし、起動要求をかけた後、ICAファイルを使用して、VDIへ接続する。
OSログオン画面が表示される前のVDI接続中の画面（Citrixが提供している画面）にて、エラーメッセージが2つ表示され、接続は中止される。
エラーメッセージ①
「サーバーに接続できません。次のエラーについて、システム管理者に連絡してください: SSLエラー61:サーバーのセキュリティ証明書の発行者である"<接続URLのFQDN>"をまだ信頼していません。」
エラーメッセージ②
「"<リソース名>"への接続に失敗しました。状態:不明なクライアント エラー0」

■切り分け/対応内容と結果
・接続方法
社外接続でのICA接続：本事象内容と同事象
社内接続でのICA接続：VDIが正常起動

・Citrix Workspace appのバージョンの最新化
製品概要に記載したバージョンをインストールして実施：本事象内容と同事象

・接続端末の変更（アンチウイルスソフトの影響確認）
4台の端末で実施（業務PC2台とプライベートPC1台と同ネットワーク上の仮想マシン1台のため、ソフトや環境が全く違います）：本事象内容と同事象

・自己署名証明書の再発行
ルート証明書、サーバー証明書の再発行、チェーン更新、端末へのルート証明書のインポート：本障害内容と同事象
※RSA、鍵長2048bit、FQDN、証明書情報

・STAの設定確認、ステータス確認
STAサーバーはIPアドレス指定（名前解決の確認不要）、Auth IDは正常取得、STA StatusはUP

・ブラウザの変更
IE,Chrome：本事象内容と同事象

・Citrix ADCの再構築
同じバージョン、VM構成、ネットワーク構成、ADC設定で2度再構築：本事象内容と同事象

・VDA端末の再起動
2回実施：本事象内容と同事象

・Citrix Studio上のVDA登録状況
登録済み、電源状態もパワーオンのため正常と見える

・イベントログ
Windows-システムで「エラーID：10016」が出力される。

[要件]
　・外出時に自宅PCまたは持出しPCを使って、センター内のリソースにアクセスします。
　・センター内のリソースへのアクセスの入口は、NetscalerのSSL-VPNを使用します。
　・接続元となる媒体は、Windows to Goを格納したUSB(Win10)で、
　　それを対象の職員に渡し、外で使ってもらいます。
　・接続元のWindowsにはクライアント証明書を格納しておき、SSL-VPNの認証の際に使用します。
　・接続元のWindowsはセンター内のドメインに参加します。
　・OSログイン前までにSSL-VPNを張ります。(必須要件)

上記を踏まえ、以下のログインフローを考えています。

1.USB接続
　↓
2.Windows to GoでOS起動
　↓
3.起動スクリプトを使い、クライアント証明書でSSL-VPNを張る。
　↓
4.OSログインは、センター内のADを使ったWindows認証でログイン


こんな動きって、実現可能でしょうか？

Full VPNでもGateWayでもICA Proxyでもなんでもいいので、
実現できるかどうか、またどんな起動スクリプトを使えばよいかご教示願います。

[自分で調べてこれならいけるかもと思っていること。]
　・起動スクリプトはタスクスケジューラを使用して
　　「コンピュータの起動時」に仕込んでおいたバッチを実行させる。
　・バッチの内容は「rasdial.exe <VPN接続名>」を実行させる。
　　(または「rasphone.exe -h ＜VPN接続名＞」でショートカット作成して起動時に実行でいけるか？)
　・クライアント証明書は格納しておく。

これで実現可能か、よろしくお願いします。