トピック検索
- XenApp7.6 冗長構成について - frisk ( 2016/10/21 12:44:00 更新)
- NetScalerの管理画面アクセスについて - aotoken ( 2016/06/13 18:13:41 更新)
- Management Portsについて - aotoken ( 2016/05/17 19:34:41 更新)
- NetScaler経由のStoreFrontログオンについて - aotoken ( 2016/04/27 17:48:38 更新)
- 特定のグローバルIPアドレスかつユーザのみを許可する方法 - nasca ( 2016/02/23 16:41:27 更新)
- xenapp7.6で代替アドレス変換を行う方法 - LEDX32 ( 2015/11/24 20:43:29 更新)
- NetScalerからWebInterfaceに接続させたい - whitesonic ( 2015/06/15 13:25:45 更新)
- Netscalerからログインさせたくない - whitesonic ( 2015/06/04 12:55:35 更新)
- iPadからNetscallerVPX経由XenDesktopサーバーに接続できなくなった - whitesonic ( 2015/04/28 21:00:36 更新)
- TSライセンスサーバの冗長化について - config ( 2013/09/12 10:33:46 更新)
XenApp7.6 冗長構成について
frisk 2016/10/21 12:44:00
下記構成での冗長化についてご教授下さい。
物理サーバ2台構成
Windows Server 2012 R2
XenApp7.6 FP3
・1台目
StoreFront、DeliveryController、VDA、ライセンスサーバ
・2台目
StoreFront、DeliveryController、VDA
この構成でVDAへのアクセスをロードバランスしたいと考えていますが、
実現可能でしょうか。
双方のDeliveryControllerに双方のVDAを登録することは出来ないので、
単純に冗長化は出来ないかと想定しておりますが、正しいでしょうか。
またこの方法以外に2台の物理サーバでVDAへのアクセスロードバランス方法があれば、
ご教授頂ければと思います。
Reppa 2016/10/21 16:39:05
StoreFrontの前にnetscalerとかロードバランサーを置いてラウンドロビンで振るとかじゃ駄目ですか?
S 2016/10/24 11:54:26
の意味が分かりません。
もしかして、2台のDeliveryController(以下 DDC)は
それぞれ別ファームとして、それぞれがSQL DBを持つ
独立した環境2つを構成しようとしていますか?
それなら分からんでもないのですが、VDAへの接続をロードバランスするためだけに、
なんでそんな面倒な構成にするんや……って感じです。
「VDAへのアクセスをアクセスロードバランスしたい」という要件だけを
そのまま読み取ると、構成は著しくシンプルに
以下の構成でよいことになります。
・1台目
StoreFront(SF)、DDC(+SQL DB)、VDA、ライセンスサーバ
・2台目
VDA
この構成で、1台目と2台目を同じデリバリーグループに登録して余計なことをしなければ
ユーザーはSFにアクセスした後、DDCがロードバランスして1台目か2台目に
接続仲介されるので、要件を満たします。
実際には「どちらの物理サーバーがダウンしても使える状態にしたい」って要件
なんじゃないですか?
もしそうなら、全く同じ構成のオールインワンサーバーを1台ずつそれぞれ別ファームとして構成し、
Reppa氏が仰るようにSFの手前にロードバランサ―を置けば一応、要件は満たされます。
が、ロードバランサ―が単一障害点になるのでここも冗長化しないといけません。
また、普通は冗長化したいからといって同じ内容のファームを2つ作るようなことはしません。
維持運用管理が面倒臭いことになるからです。
通常は、単一のファームで、SQL DBを上手く冗長化しつつ構成します。
上記へのレスはこちらにどうぞ
NetScalerの管理画面アクセスについて
aotoken 2016/06/13 18:13:41
許可されていると思います。セキュリティ観点でHTTPアクセスを禁止したいと
考えているのですが、NetScaler自身の設定で上記要件を満たすことは出来るの
でしょうか。
Reppa 2016/06/14 09:18:07
http://support.citrix.com/article/CTX205264
aotoken 2016/06/17 19:18:46
Reppaさん、ありがとうございました!
上記へのレスはこちらにどうぞ
Management Portsについて
aotoken 2016/05/17 19:34:41
私の認識ではEthernet PortsはNSIP、VIP、SNIPなどで利用するポートという認識で、
Management Portsの利用シーンが分かりませんでした。
S 2016/05/18 11:37:52
Ethernet Portsはいわば「サービス用」のNetwork Portですが
Management Portsは「NetScalerの(物理)管理用」のNetwork Portです。
NetScaler自身に対して、直接接続して諸般の運用操作をする際に用います。
サービス用のネットワークに問題が起きた際も、この物理管理用のネットワークが
切り離されており、利用が可能であれば色々障害対応などで有益です。
ブラウザ経由でこのNetwork PortにアクセスするとGUIの管理画面が利用できて
例えば、ネットワークの設定だったり、ヘルスステータスを確認したり
電源をオンオフしたり、工場出荷時にリセットしたりできます。
こちらのページが詳しいです。
http://docs.citrix.com/en-us/netscaler/11/netscaler-hardware-installation/netscaler-mpx-lights-out-management-port-lom.html
aotoken 2016/05/19 12:15:01
頂いた回答やページ情報を閲覧し、Management Portsについての理解が深まりました。
ご回答ありがとうございました。
頂いた回答から考えるに、普段はEthernet PortsのみにLANケーブルを接続して運用するのが
一般的なのでしょうか。というのも、Management Portsは管理用の通信、Ethernet Portsは
サービス用通信というようにポートごとに用途を持たせようと思っていました。
ちなみに、可用性を考慮し、Ethernet Portsの方はLAGを組もうと思っています。
NetScaler MPXの管理画面を確認したのですが、NSIP、VIP、SNIPなどのIPアドレスと
ポート(Interface)をBindする設定が見当たりませんでした。そうすると、Management Ports
とEthernet Portsの使い分けができず、上記要件が満たせないのではと考えております。
Management PortsとEthernet PortsにIPアドレスをBindさせることは可能なのでしょうか。
S 2016/05/19 15:51:37
いいえ、普通はEthPortにもMgmtPortの両方にLANを接続した状態で運用します。
必要な時だけMgmtPortにLANケーブルを挿すなんて運用は普通しません。
どうも根本的な誤解がありそうな気がします。
機種によって違うかもしれませんが、NetScaler MPXのNICコネクタ部分をみれば分かるはずです。
MgmtPortsとEthPortは物理的に別のNICで、根本的に用途が違います。
http://docs.citrix.com/content/dam/docs/en-us/legacy-edocs/netscaler-hrdwre-installation-111/Rome-1Gfrontpanel.png
MgmtPortsにはサービス用のIP(SNIPやVIP)を振って利用することはできません。
振れるのはNS(NetScaler)IPだけです。
EthPortsの内のどのポートにどのIPを振る(Bind)するかはちゃんと設定箇所がありますし、
LAGを設定する箇所もあります。詳細はマニュアルやらをお調べください。
aotoken 2016/05/19 17:24:08
恥を忍んでお聞きしますが、EthPortsにIPをBindする方法を教えていただけますでしょうか。
また、「このマニュアルのここに書いてある」という情報だけでも構いません。
S 2016/05/23 11:51:35
確か
System-Network-IPs
System-Network-Interfaces
System-Network-VLANs
辺りだったと思いますが。
マニュアルはNetworkの所読み込んでいただくしかないでしょう。
日本語版が用意されてなくてアレですが。
http://docs.citrix.com/ja-ja/netscaler/11/networking.html
aotoken 2016/05/26 11:02:27
上記へのレスはこちらにどうぞ
NetScaler経由のStoreFrontログオンについて
aotoken 2016/04/27 17:48:38
NetScaler経由のアクセスだとStoreFrontにログオンできないという事象が発生しております。
具体的には、
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③①と同様のドメインユーザーのパスワードを入力し「ログオン」をクリック
④「ログオンの有効期限が切れました。続行するには、もう一度ログオンしてください。」という
メッセージが表示
となり、StoreFrontにログオンすることが出来ません。
接続ツールとしてはCitrix ReceiverではなくIE 11を用いています。
なお、NetScalerを経由しない(StoreFrontのページを直接開く)と
正常にログオンすることが可能です。
今の状況を打開したく、皆様のお知恵をお借りできますでしょうか。
aotoken 2016/04/27 18:00:20
・NetScaler上でシングルサインオンを設定しているにも関わらず、
StoreFrontのログオン画面が表示されてしまう原因として、
何が考えられるのでしょうか。
・「ログオンの有効期限が切れました。続行するには、もう一度ログオン
してください。」というメッセージ表示を回避し、StoreFrontに
ログオンするためには、どのような設定が必要なのでしょうか。
aotoken 2016/04/27 20:42:09
色々と調査を進めたところ、状況が以下の通り変わりました。
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③ログオンをクリック
④「要求を完了できません。」というメッセージが表示
さらに、StoreFrontサーバのイベントログにて、上記④を実施したタイミングで
以下エラーイベントが出力されることを確認しました。
ログの名前:Citrix Delivery Services
ソース:Citrix Authentication Service
イベントID:3
レベル:エラー
説明:
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の AG Web Service で以下のエラーが発生しました。このエンドポイントは、2016/04/27 11:22:14 まで無視されます。
Citrix.DeliveryServices.Authentication.CitrixAGBasic.Exceptions.AGCommunicationException, Citrix.DeliveryServices.Authentication.CitrixAGBasic, Version=3.5.0.0, Culture=neutral, PublicKeyToken=null
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の NetScaler Gateway 認証サービスへの通信でエラーが発生しました。認証サービスが実行されていることを確認してください。
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.CitrixAGBasicWebService.GetAccessInfo(String sessionId, String username, String domain)
System.Net.WebException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
基礎になる接続が閉じられました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした
場所 System.Web.Services.Protocols.WebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.HttpWebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.AGAuthService.AuthenticationServiceSoap.GetAccessInformation(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
System.Security.Authentication.AuthenticationException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
検証プロシージャによると、リモート証明書は無効です。
場所 System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
場所 System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
場所 System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
場所 System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
場所 System.Net.ConnectStream.WriteHeaders(Boolean async)
S 2016/04/28 12:23:12
StoreFrontの方でひとまず「認証」とか「ストア」とか「Receiver for Web」とか
「NetScaler Gateway」の設定を色々再確認してください。
以下サンプル。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
・「ストア」でリモートアクセスを有効にしていますか
・同様に、適切な方式・アプライアンスが指定されていますか
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
辺り。
aotoken 2016/05/17 19:29:07
以下の通り「NetScaler Gateway」の設定を色々と確認しましたが、
事象の解決には至りませんでした。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
→有効にしています
・「ストア」でリモートアクセスを有効にしていますか
→有効にしています
・同様に、適切な方式・アプライアンスが指定されていますか
→「VPNトンネルなし」方式で適切なアプライアンスをしています。
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
→有効にしています
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
→サブネットIPはNetScalerがStoreFrontサーバと通信するためのIPを、
コールバックURLはNetScaler Gateway URLを指定しています。
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
→STAはStoreFrontサーバを指定しています。
S 2016/05/18 11:27:02
現象を単純に見ますと、NSGからSFに対して認証情報が
パススルーする処理がコケてるように見えるわけです。
レス内容を拝見する限り、StoreFront側での設定は概ね適切なようですし
NSG側で何か設定が間違っている/不足しているのだと思います。
で、前レスでも書いたんですが、私はNSGについてはそこまで詳しくなくてですね。
エラー見る限りAuthenticationかCertification Authorityという単語周りな
気はするのですが、これ以上のアドバイスはちょっと難しいです。
可能なら正式なヘルプサポートを受けるなどご検討ください。
しげっち 2016/05/18 17:25:24
1つはNetScalerの認証画面よりログインしてアプリケーションを利用する方法と、NetScalerの認証画面
ではなくStoreFront側の認証画面で認証した後アプリケーションを利用する方法の2通りあります。
NetScalerの認証画面を利用する場合、ADサーバとLDAPによる認証が必要となり、SNIPよりtcp:389
の通信等が発生します。
エラー発生フローを見る限り、NetScalerにLDAPの設定がされていないように見受けられるのですが、
こちらの設定は大丈夫でしょうか。
NetScalerの認証画面を利用せずに直接StoreFrontでの認証を利用する場合にはLDAPの設定は必要なく
代わりに次の設定が必要です。
1.Virtual ServersのVIPで「Enable Authentication」を無効化
2.StoreFrontでStoreWebの認証設定で「NetScaler Gatewayからのパススルー」を無効化
3.C:\inetpub\wwwroot\Citrix\Store\web.configをメモ帳で開き編集する。
<resourcesGateways requireTokenConsistency="true">
を
<resourcesGateways requireTokenConsistency="false">
に変更。
NetScaler Gatewayとして利用する場合ですが、色々と癖があるので設定が少しややこしいかと。
aotoken 2016/05/25 16:24:34
今回は「NetScalerの認証画面よりログインしてアプリケーションを利用する方法」を
利用したいと考えております。アドバイスいただいたLDAP連携の件ですが、
実はすでに設定済みです。NetScalerのns.logを確認するにLDAP連携関連の
エラーは見当たらないため、設定としては問題ないように思えます。
追加情報となりますが、私の方で調査を進めた結果、StoreFront側で設定する
「コールバックURL」を設定しない(空欄にする)ことでNetScaler経由の
StoreFrontログオンが成功することを確認しました。ただし、社内アクセスと
社外アクセスで適用するCitrixポリシーを分けたいという要件があるため、
「コールバックURL」の指定は必須という認識です。
というのも、上記要件は「SmartAccess」により実現可能と考えており、
「SmartAccess」を利用するためには「コールバックURL」の指定が
必要という認識があります。
上記の考察は間違っておりますでしょうか。また、「SmartAccess」を
利用しない場合、別の方法で上記要件を満たすことは可能でしょうか。
しげっち 2016/05/26 17:14:16
コールバックURLを登録する場合、2点注意が必要です。
コールバックURLに登録するFQDNですが、NetScalerに割り当てているVIPのIPアドレスを解決する必要が
ありますが、こちらの名前解決はHosts等で既に実施済みでしょうか。
あと、サーバ証明書をプライベート認証局より発行している場合、ルート証明書をStoreFrontサーバに
登録する必要があります。
サーバのログに一部証明書関係のエラーが出ているのでこの2点を確認してください。
SmartAccessですが、ポリシーで指定するファーム名やアクセス条件に「*」以外を利用して細かく制限
する場合には別途ライセンスが必要になった記憶があります。
aotoken 2016/06/13 18:09:41
しげっちさんからのご回答を元に色々と検証を進めたところ、サーバ証明書の箇所でエラーが
発生していたらしく、再度サーバ証明書をNetScalerにバインドし直したところ、
今回の要件を満たす動作を確認しました。しげっちさん、Sさん、ご支援ありがとうございました。
上記へのレスはこちらにどうぞ
特定のグローバルIPアドレスかつユーザのみを許可する方法
nasca 2016/02/23 16:41:27
WebInterfaceのページで入力されたユーザ名と
アクセス元のグローバルIPアドレスを判断してアクセス制御できるような仕組みがXenAppにあるでしょうか。
(もしくは、IISやWebInterfaceの仕組みで)
例)xa_user01は10.0.0.1/24のみログイン可能
Sig 2016/03/03 20:38:45
StoreFrontを直接WANに晒す事を良しとするかどうか…って話もありますね。
上記へのレスはこちらにどうぞ
xenapp7.6で代替アドレス変換を行う方法
LEDX32 2015/11/24 20:43:29
VPNでアクセスする際にF/WでNATを行っているのですが、
WebInterfaceの場合は”セキュアなアクセス”の定義で代替を登録出来ましたが、
StoreFronteの場合はどこに定義すればいいかご教示頂ければと思います。
チャル 2015/12/02 17:30:29
Storefrontに代替アドレスの機能はないので、現時点ではWebInterfaceかNetScalarなどを
利用するしか方法が無いと思います。
上記へのレスはこちらにどうぞ
NetScalerからWebInterfaceに接続させたい
whitesonic 2015/06/15 13:25:45
NetScaler vpx10.1がStoreFrontに接続される環境が併設されています。
SecureGatewayを廃止してWebInterfaceと連携をとって一本化したいのですが
うまくいきません。
NetScaler側でWebinterfaceを組み込むライセンスを持っていないため、外付けWebInterfaceを
活用しますが、初期設定でWebInterfaceのアドレスを定義し、WebInterface側でもAccessgatewayのサイトを用意しますが、ログインすると
アクセス権がありません。とでます。
そもそもNetScalerVPX10.1とWebInterface5.3とでは繋げないのでしょうか。
どなたかご教示をお願い致します。
whitesonic 2015/06/16 08:59:02
WebInterfaceのサイト構築の際、認証ポイントの設定で、WebInterface又はAccessGatewayの
選択で、AccessGatewayにして手続きを行うと、ログオンの際にアクセス権が無いと言われる。
しかし、WebInterfaceで手続きを行うとワンタイムパスワード設定でWebInterface画面で
アカウントを入力しなくても、ログオンボタンを押すだけで貸与アプリケーションが表示
される。
解決しなければならない事項は、AccessGatewayの認証ポイントで、アクセス権がないという
事象をクリアにすることなのか。
そもそも、それはしなくてWebInterfaceの認証ポイントで進めていくのか解らなくなって
しまいました。
どなたかご教示をお願い致します。
whitesonic 2015/06/18 12:26:17
STA URLの記述が間違っていたことが原因でした。
WebInterfaceのサーバー(トラスト内)にSTAが無かったことも。
以上でした。
上記へのレスはこちらにどうぞ
Netscalerからログインさせたくない
whitesonic 2015/06/04 12:55:35
社外からNetscaler経由で接続させたくない。
このような設定が、そもそも存在するのかわかりませんが
もしご存知の方がおられましたらご教示頂きたく思います。
環境
Netscaler vpx 10.1
XenDesktop7.1
Reppa 2015/06/04 15:45:05
Netscaler→Storefront→XenDesktopでリダイレクトしますよね。
単純にNetscalerでStorefrontへのリダイレクトを設定しなければ接続されないんじゃないですかね。
旧AccessGatewayの考え方なので間違ってたらすみません。
whitesonic 2015/06/04 18:10:11
ご指摘の通りなのですが、AさんはNetscaler経由接続可。BさんはNetscaler経由で接続不可。
社内からは、AさんBさん共にstorefrontに接続可の設定なのですが。
舌足らずで申し訳ありません。
Reppa 2015/06/05 14:45:54
今のNetScalerがバージョン5のAccessGatewayと仕様が変わってなければ
ユーザーによってNetScalerのログインの可否というのは制御できないと思います。
NetScalerはLDAP認証等を使用してADサーバーに認証しに行くので、
NetScaler自体はユーザー制御というものはしてません(多分
要はADのユーザーとパスワードが合ってれば通します。
立ち位置としてはStorefrontと同じような感じですね。
whitesonic 2015/06/05 16:01:09
やっぱりそうでしたか。
うー残念です。
wahoo 2015/06/06 10:10:43
AccessGatewayで指定するポリシーは、空にしておいて、グループの設定で、ポリシーを指定することになります。
moumou 2015/06/06 12:02:01
こちらが参考になると思います。
whitesonic 2015/06/08 14:05:11
moumou様
一生懸命?やっていますが未だ制限かけられず、やろうとすると全員が資格情報がない
と言われています。
NSのSystem-Authentication-LDAP-ServersをOpenして
Other Settings内の
Server Logon Name Attribute:sAMAccountName
Serch Filter:memberOf=CN=Users,ou=nsmember,dc=**,dc=co,dc=jp
Group Attribute:memberOf
Sub Attribute Name:CN
この定義で、nsmemberに接続させたいユーザーを参加させました。
ちなみにADの木構造のドメイン配下のUsersの下にセキュリティグループ名nsmemberを
作っています。
汝をお助け下さいませ。
whitesonic 2015/06/09 15:44:52
ADの木構造OUが会社組織別に編成されている関係で、Base DN(location of users)の内容を
dc=*****,dc=co,dc=jpと単にドメインだけの構成でした。
この値の頭にOU=netscalerなるダミーの組織を入れて、AD側に接続させたいuser名を入れて
試したところ、OUに入れたuserはログオンに成功し他のuserは拒否されました。
moumou 2015/06/11 13:19:51
>ちなみにADの木構造のドメイン配下のUsersの下にセキュリティグループ名nsmemberを
>作っています。
その場合、
memberOf=CN=Users,ou=nsmember,dc=**,dc=co,dc=jp
ではなくて、
memberOf=cn=nsmember,cn=Users,dc=**,dc=co,dc=jp
が正しいと思います。
Base DNがユーザーが存在している場所に正しく設定されていれば問題無く動作すると思います。
whitesonic 2015/06/11 19:08:52
Reppa様
wahoo様
感謝感激です。一発で成功しました。
ありがとうございました。
moumou 2015/06/12 13:14:06
上記へのレスはこちらにどうぞ
iPadからNetscallerVPX経由XenDesktopサーバーに接続できなくなった
whitesonic 2015/04/28 21:00:36
外部からインターネット経由で接続するケースがあります。
パソコンで接続は可能で仮想デスクトップは表示可能です。しかし
iPadやAndoroidなどの端末からは接続できなくなりました。(突然)
netscallerやデリバリコントローラは変更していません。
(iPadの場合)
接続のためログインをし、アプリの一覧は表示されますが
起動をかけると、認証中→接続の要求→アプリケーションの起動中で
サーバーに接続できません。とでます。
(Andoroidの場合)
無効なサーバー証明書、信頼されていません。
この証明書を許可してこのままサーバーに接続しますか?とでます。
(パソコンの場合)
普通にSSLで繋がり起動がされます。
(やったこと)
すべてのサーバーの再起動
これぐらいです。
どなたかお知恵を頂きたく宜しくお願い致します。
whitesonic 2015/04/30 09:00:18
whitesonic 2015/04/30 22:34:57
ネットスケーラーの定義を直しても改善されない。
Reppa 2015/05/07 14:09:28
WindowsPCのブラウザとかで見れるハズです。
Citrixにおける証明書の種類
ルート証明書→Windowsの証明機関 or 有料証明書
サーバー証明書→Netscallerの証明書(IISの証明書ではなかった気がします)
中間証明書→忘れた(多分、2要素とかで使うRSAとかの証明書?)
whitesonic 2015/05/07 16:50:17
確認しましたことを下記します。
1.プラウザからNetscalerに接続した場合
(1)サーバー証明書の有効期限は十分ありました。
(2)しかしこのウェブサイトの識別情報は、Cybertrust Japan Public CA G3により
確認済ですが、公開監査記録がありまん。
(3)Cybertrust社のHPでサイトの検証を確認すると中間証明書がありません。
よくよく見るとGoogleVhromeの仕様であることは理解しました。
今度からSHA-1ではなくSHA-2にすることを促しているようでした。
(4)ただ、仮想アプリは問題なく起動できます。
2.iOSでプラウザを起動してNetscalerに接続した場合
(1)認証はしてくれます。
(2)貸与されたアプリのアイコンは表示されます。
(3)起動を掛けると、サーバーに接続できません。とでます。
(4)CitrixDirectorで見たエラーメッセージは
クライアント接続エラー、接続タイムアウトと記録されていました。
3.iOSに搭載のCitrixReceiver(最新バージョンX1マウス対応)で接続した場合
(1)アカウント作成のプロセスでhttps://?????を入力後
(2)ユーザー名、パスワード、ドメインをセット
(3)アカウントの追加エラー(ゲートウエイ設定が無効です)
結果として証明書が原因か?タイムアウトのしないよう長さを調整すればこと足りるのか
まったくわかりませんでした。
何卒、ご教示の程宜しくお願い致します。
Reppa 2015/05/07 17:26:31
下記を参照して設定してみてください。
http://support.citrix.com/proddocs/topic/netscaler-getting-started-map-10/nl/ja/ns-lb-config-per-cook-tsk.html?locale=ja
http://support.citrix.com/search?searchQuery=%E3%82%BF%E3%82%A4%E3%83%A0%E3%82%A2%E3%82%A6%E3%83%88%E5%80%A4&lang=ja&sort=relevance&prod=&pver=&ct=Technotes
whitesonic 2015/05/07 18:59:42
ありがとうございます。
XD側のレジストリには値がありませんでしたので追加してみましたが変化はありませんでした。
NS側が頂いた資料と実際のWEBコンソールとではメニュー体系が違うみたいで設定変更が
できませんでした。
結果変わっておりません。
別の角度で調べていく方法はありませんでしょうか。
Reppa 2015/05/08 10:15:39
ブラウザからの接続はPCからの物が成功しているのでNetscalerの設定の問題は薄そうですね
(PCとモバイルで同じNetscalerの設定(接続サイト?)を使用してるのであれば)。
ただ、PCとモバイル端末で全く挙動が同じかは微妙ですが、
モバイル端末側の証明書を疑った方がよさそうですね。
///////////////////////////////////////////////////////////////////
注: 接続時にリモートゲートウェイの証明書を検証できない場合
(ローカルのキーストアにルート証明書が含まれていないため)、
信頼されていない証明書の警告が表示されます。
ユーザーが警告に対してそのまま続行することを選択した場合は、
アプリケーションの一覧が表示されますがアプリケーションが起動しません。
///////////////////////////////////////////////////////////////////
http://support.citrix.com/proddocs/topic/receiver-android-36/nl/ja/android-receiver-admin-requirements.html?locale=ja
選択肢としては下記があると思います。
まぁ、下手にイジってPC側も繋がらなくなるのも怖いので、
Citrixに問い合わせた方が安牌かもしれませんね。
1.端末のルート証明書(SHA-1)を更新してみる
https://www.cybertrust.ne.jp/sureserver/support/download_ca.html
2.要件漏れが無いかNetscaler・StoreFront・XDの設定を見直してみる。
http://support.citrix.com/proddocs/topic/receiver-ios-59/nl/ja/mobile-receiver-admin-config-client-cert.html?locale=ja
3.Citrixの既知のバグを確認して製品にパッチを当ててみる。
http://www.citrix.co.jp/support.html
4.SHA-2の証明書に移行してみる。
https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html#chrome
5.Citrixの有料サポートに問い合わせしてみる。
sig 2015/05/20 09:58:48
NetScalerで中間証明書(Cybertrust Japan Public CA G3)の更新と
証明書間のリンクの再設定でうまくいかないでしょうか。
すでにご確認済の際はご容赦ください。
whitesonic 2015/05/20 13:41:25
未解決のままで、意気消沈しておりました。
中間証明書のインストールはできていましたが、証明書間のリンクの再設定は
どのようにすればよいでしょうか。
Netscalerのバージョンは、NS10.1-124.13です。
whitesonic 2015/05/20 18:19:17
Reppa様
中間証明書とサーバー証明書のLinkをやり直したところ
成功し解決できました。
ありがとうございました。
sig 2015/05/27 19:38:34
よかったよかった\(^o^)/
上記へのレスはこちらにどうぞ
TSライセンスサーバの冗長化について
config 2013/09/12 10:33:46
また検証環境もない為、困っています。
ご存知の方がおられましたら、以下ご教授いただけますでしょうか。
【環境】
・Windows2008(32bit)SP2 × 2台 ※ターミナルサーバ
・Windows2008(32bit)SP2 × 2台 ※TSライセンスサーバ
・TSCAL(デバイスCAL) 30CAL購入
※ライセンスサーバの冗長化として、各ライセンスサーバに15CALずつ登録
【内容】
① 既に恒久ライセンスが30台のPCに発行されている状況で、1つのライセンスサーバダウンが発生した場合、
そのダウンしたサーバより発行された15台のPCからの接続はできなくなるという認識でよろしいのでしょうか。
(それともその15台に関しては、一時ライセンスが発行され接続可能?)
② そもそも「各ライセンスサーバに15CALずつ登録」という構成は、冗長化という点で有効なのでしょうか。
クラスタのように、CAL情報をライセンスサーバ間で引き継ぐことはできるのでしょうか。
宜しくお願い致します。
Reppa 2013/09/12 14:04:27
> そのダウンしたサーバより発行された15台のPCからの接続はできなくなるという認識でよろしいのでしょうか。
有効期限が切れてない限りそれはありません。
> ② そもそも「各ライセンスサーバに15CALずつ登録」という構成は、冗長化という点で有効なのでしょうか。
CALが発行できるサーバーが存在するという点では有効じゃないですかね。
Citrix関係無さそうなので、詳細はMicrosoftの掲示板までお願いします。
http://social.technet.microsoft.com/Forums/ja-JP/home