トピック検索
- WebInterfaceからStoreFrontへの移行 - M ( 2017/01/13 16:56:57 更新)
- 「ユーザー プロファイルを読み込めません。」というエラーが発生し、アプリケーションをが起動不可 - QQ ( 2017/01/10 17:07:29 更新)
- 運用系への接続ができない際に待機系への切替が行われない - REE ( 2016/12/12 16:24:24 更新)
- XenApp 7.11のポリシーが反映されない? - J ( 2016/11/18 07:38:30 更新)
- SecureGateway3.1 SHA-2サーバ証明書への移行について - QQ ( 2016/09/22 14:50:33 更新)
- ライセンスサーバーのVerup後、「Citrix XenAppがライセンスサーバー"サーバー名"に接続できません」と表示される - ST ( 2016/09/21 18:20:58 更新)
- ZenApp6.5 公開アプリケーションが起動しない - chappy ( 2016/07/21 10:37:09 更新)
- StoreWebに接続後のデスクトップで詳細の再起動リンクを非表示にしたい - whitesonic ( 2016/07/11 13:42:26 更新)
- Delivery ControllerとStoreFront の互換性について - yamadat ( 2016/05/10 10:35:36 更新)
- NetScaler経由のStoreFrontログオンについて - aotoken ( 2016/04/27 17:48:38 更新)
WebInterfaceからStoreFrontへの移行
M 2017/01/13 16:56:57
今回、XenDesktop5.6から7.6へアップグレード予定です。
eDockを見る限りはDDCはインプレースアップグレードできるようですが、
WebInterfaceに関しては記載がなくどうすればよいのか困っております...
以下質問させていただけますでしょうか。
①WebInterfaceからStoreFrontへのアップグレードはできるのでしょうか。
コンポーネントが別の為無理な気はしますが...
②WebInterfaceからStoreFrontへ移行した際、クライアント側からの設定変更は特に必要ないのでしょうか。
クライアントは、シンクライアント端末(Wyse)を使用しています。
以上、何卒よろしくお願いいたします。
しげっち 2017/01/14 16:20:20
可能ですが、それ以外の製品からのアップグレードに関してはMさんも確認されているように
記載がありません。
XenApp7.xに含まれている2.6のドキュメントには
「StoreFront 2.0よりも古いバージョンを直接StoreFront 2.6にアップグレードすることはできません」
と記載があることから、WebInterfaceからのアップグレードはサポートしていないようです。
StoreFrontですが、新規でインストールした場合でもさほど難しくなく楽にインストール
できます。
どのバージョンのStoreFrontを導入されるのかにもよりますが、2.6等初期に近いバージョンは、一部設定はWeb.confを直接編集する必要があるので3.xシリーズをお勧めします。
M 2017/01/16 12:48:00
ご返信ありがとうございます!
やはりコンポーネント自体違うのでアップグレードサポートしていないのですね…
WebInterfaceは新規インストールする方針としたいと思います。
ありがとうございました!
上記へのレスはこちらにどうぞ
「ユーザー プロファイルを読み込めません。」というエラーが発生し、アプリケーションをが起動不可
QQ 2017/01/10 17:07:29
Windows Server2008(32bit)
SecureGateway3.3.4
WebInterface5.4
XenApp5.0fp3
最近、Citrixでアプリケーションを起動しようとした際に、
"User Profile Service サービスいよるログオンの処理に失敗しました。"
"ユーザープロファイルを読み込めません。"
というメッセージが出力し、起動に失敗することがあります。
一度起動に失敗すると、ログオンで使おうとしていたユーザ(例:Anon003)でログオンができなくなってしまい、
以降はCitrix同時接続数が4人目以降で必ずログオンに失敗してしまいます。
(Anon000~Anon002は使用可能)
発生時の対処としては、ログオンで失敗したユーザのProfileフォルダを削除すると、ログオンが可能となります。
ただ、削除しようとすると、「”NTUSER.dat”が開いているため削除できない。」という旨のメッセージが表示されるため、
一度サーバを再起動した後に削除しております。
現状の対処では場当たり的であるため、問題の発生原因および解決方法をご存知でしたら、
ご教示頂けると助かります。
Reppa 2017/01/11 14:05:29
念の為の確認ですが、対象のユーザーのセッション切ってからプロファイル削除してますか?
セッション残っているのにプロファイル削除したら当然そうなる気がします。
QQ 2017/01/12 13:11:21
アクセス管理コンソール上およびレジストリからは接続ユーザ情報が削除されていたため、
セッションが切れていると判断してプロファイルを削除しておりました。
もし他にもセッションが切れているか確認すべき点がございましたら、教えて頂けると助かります。
上記へのレスはこちらにどうぞ
運用系への接続ができない際に待機系への切替が行われない
REE 2016/12/12 16:24:24
ただいま、下記環境にて
Citrix XenApp 6.0
WebInterface 5.3.0.34
のセットアップを行っております。
【運用系】
ホストOS:Windows Server 2012 R2
ゲストOS:Windwos Server 2008 R2
・ゲストOSにライセンスサーバー、
XenApp 6.0、
WebInterface 5.3.0.34
をインストールしました。
【待機系】
ホストOS:Windows Server 2012 R2
ゲストOS:Windwos Server 2008 R2
・ゲストOSにXenApp 6.0、
WebInterface 5.3.0.34
をインストールしました。
【作業過程】
1.運用系の設定と動作確認
・運用系にライセンスサーバー、
WebInterface、
XenApp
をインストールしました。
・XenAppのHotfixであるXA600W2K8R2X64R02.mspを
適用しました。
・http://運用系/Citrix/XenAppから
公開アプリが動作する事を確認しました。
・Citrix Receiverから公開アプリが
動作する事を確認しました。
2.待機系との負荷分散設定と動作確認
・待機系にXenAppをインストールして、
HotfixであるXA600W2K8R2X64R02.mspを
適用しました。
・Citrix Receiverで運用系に接続して、
負荷分散が行われている事を確認しました。
3.バックアップURLの設定
・待機系にWebInterface
をインストールしました。
・運用系のXenApp Serviceサイト→サーバーの設定
→[バックアップ]にて、
http://待機系/Citrix/PNAgent
を指定しました。
・待機系にも同様に
http://待機系/Citrix/PNAgent
を指定しました。
※ただし、Citrix Reciverでhttp//待機系
を指定してもアプリが立ち上がらない事、
http://待機系/Citrix/XenApp
からも公開アプリが起動しない事を確認しました。
この状態で運用系の仮想OSを
シャットダウンしてCitrix Receiverを起動しても
「アプリケーションを開始できません
ヘルプデスクに連絡してください」
と表示され接続できません。
どうしても原因が特定できずに
困っています。
チェックポイントや解決方法や
解決事例がありましたら
お教え頂けないでしょうか?
S 2016/12/13 10:20:53
多分普通の最新版やらではなく、EnterpriseやOnline Plug-inを使わないと
駄目です。
バックアップURLの機能は最新のReceiverでは殺されてるはずですので。
最新のReceiverを使う場合、WebInterfaceをロードバランサーで冗長化しろ
(NetScalerを買ってね!)とCitrixは言っています。
実際、6.0はEOLなのでよっぽどのことがない限り
万障繰り合わせてでも新設なんてしない方がいいと思いますが……。
Reppa 2016/12/13 10:51:24
> ・待機系にも同様に
> http://待機系/Citrix/PNAgent
これは待機で http://運用系/Citrix/PNAgent にしないと
運用系が落ちる前に間違って待機系に繋がった人達は無限ループしませんか?
基本、バックアップURLは全台で一周するか、自分以外全部を指定するかどっちかにするものですよ。
REE 2016/12/13 12:03:16
Citrix Receiver 4.3.100.10
を使用しています。
これはCitrix HPよりダウンロードした最新版なので、
Online Plug-in 12.0.0.6410
をインストールしてみました。
この方法でもバックアップURLの
設定が有効に機能しませんでした。。。。。
バックアップURLの設定を
有効にするには、
別途設定が必要なのでしょうか?
REE 2016/12/13 12:24:52
ご指摘ありがとうございます。
CitrixのバックアップURLの設定例などが
見つからなかったため、
推定で設定していました。
ご指摘の通り
運用系.バックアップURL を http://待機系/Citrix/PNAgent
待機系.バックアップURL を http://運用系/Citrix/PNAgent
に設定しなおしました。
この状態で
Online Plug-in 12.0.0.6410
を使って接続確認してみましたが、
バックアップURLへの
切替わりませんでした。
よろしくお願い致します。
S 2016/12/13 14:50:43
>※ただし、Citrix Reciverでhttp//待機系
> を指定してもアプリが立ち上がらない事、
> http://待機系/Citrix/XenApp
> からも公開アプリが起動しない事を確認しました。
って書いてある。これ本当ですか?
このWIのバックアップURLの設定は
普段使用している方のWIが使えなくなったら
バックアップURLの方のWIを使うというだけの設定なので、
最初から
http://運用系/Citrix/PNAgent
を使った場合にも、利用できないとダメです。
待機系のWIの方がいろいろ設定足りてないんじゃないですかね?
S 2016/12/13 14:51:43
>最初から
>http://運用系/Citrix/PNAgent
>を使った場合にも、利用できないとダメです。
正しい
>最初から
>http://待機系/Citrix/PNAgent
>を使った場合にも、利用できないとダメです。
REE 2016/12/13 16:27:37
返信ありがとうございます。
待機系の方の設定を見直そうと思います。
ところで、この際に何か
チェックポイントのようなものは
あるでしょうか?
なぜなら、
同じCDでインストールして
同じHotFixを適用しました。
更にWebInterfaceに対して、
同じ設定をしている事を
相互比較して確認したためです。
以上、よろしくお願いします。
S 2016/12/13 16:54:33
運用系で動いてるならごく初歩的などこかで何か漏れがあるだけだと思いますが…。
WIを構築する際に肝になりそうなのって
サービスサイトに紐づくファーム/サーバーを指定するときに両方のサーバー指定しましょうとか
全体的にホスト名/FQDN使って設定してるなら名前解決大丈夫ですかとか
WindowsFWおよびネットワークFWでポート閉じてないですかとか
万一SSL使うんだったらSTA正しく設定してますかとか
そんなもんです。
REE 2016/12/13 17:10:21
返信ありがとうございます。
もう一度設定手順書を見直して
設定確認してみます。
ありがとうございました。
REE 2016/12/26 17:35:40
原因は特定できませんでした。
ただし、
バックアップ機能が古いバージョンでないと有効でない事、
今後、Windows 10に置き換わるので
最新バージョン対応でないと無意味である事から
対応不要との結論に至りました。
上記へのレスはこちらにどうぞ
XenApp 7.11のポリシーが反映されない?
J 2016/11/18 07:38:30
サーバ1台構成
- Windows Server 2012 R2
- XenApp7.11
- StoreFront、DeliveryController、VDA、ライセンスサーバ
ADサーバは別途構築
クライアントPCがStoreFrontにログインしてReceiver for HTML5 を利用して、
サーバ上のアプリケーションを起動するように設定しています。
起動したアプリケーションで出力したファイルの保存先として
クライアントPCのドライブをマッピングしたいのですが出来ません。
クライアントPCのドライブが何もマッピングされていない状態です。
StudioからDefaultのポリシーにドライブマッピングのポリシー許可を登録しました。
その後、サーバやクライアントPCを再起動させて見ましたが、クライアントPCのドライブが何もマッピングされていない状態です。
MMCでサーバ上のローカルグループポリシーを確認しましたが、Citrix Studioで登録したポリシーは登録されていませんでした。
このような状況下でポリシーを反映させるにはどのようにすれば宜しいのでしょうか。
ご教授願います。
S 2016/11/22 10:47:26
自動的にリダイレクトされるようになっています。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-11/policies/policies-default-settings.html
ゆえに、貴方のポリシーの設定の仕方がおかしい、ということは考えにくく
(わざわざ無効にしたりはしてないでしょう?)他に原因があります。
原因の切り分けを行ってください。
1.ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか?
2.Receiver for Windowsではどうか?
3.StoreFrontへのアクセスで用いているブラウザを変えるとどうか?
などです。
J 2016/11/23 12:39:27
>1.ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか?
クライアントのプリンタをマッピングしてみましたが反映されませんでした。
>2.Receiver for Windowsではどうか?
Receiver for Windowsではドライバ、プリンタ共にマッピングされました。
>3.StoreFrontへのアクセスで用いているブラウザを変えるとどうか?
Chrome, IE, FirefoxのいずれでアクセスしてもReceiver for HTML5ではポリシーが反映されていないようです。
そもそもReceiver for HTML5を使った場合もCitrix Sutdioで設定したポリシーは反映されるのでしょうか?
以下も試しましたが効果はありませんでした。
https://support.citrix.com/article/CTX134961
key 2016/11/24 14:17:44
それが原因ではないでしょうか?
S 2016/11/25 17:30:07
であれば、HTML5を利用した際の制限事項に引っかかっていそうです。
前回も軽くお調べしたのですが、少々読み違いがあったようで申し訳ないですが
どうもkevさんがおっしゃるように、CitrixはHTML5版でローカルドライブの
リダイレクト機能を提供することは諦めたようで、
代わりにファイル転送機能を使ってくれ、と言っているようです。
ポリシーの「ICA/ファイルリダイレクト」の項目辺りに該当ポリシーがあるはずで、
デフォルトではファイル転送機能は有効なはずです。
公式のオンラインドキュメントがどうも不正確でよろしくなく、
プリンターなどの挙動についても同様かもしれません。
ファイル転送機能が利用可能か、代替手段として妥当かをご確認くださいませ。
J 2016/11/30 03:58:15
ご返信有難うございます。
最終的にはHTML5での運用は行わなくなりました。
クライアントPCにProgram Neighborhoodがインストールされ、別のプログラムを利用しているためHTML5を利用しようとしました。
(Windows for ReceiverがProgram Neighborhoodを上書きしてしまうため)
ただHTML5は機能的に不十分なため、最終的にProgram Neighborhoodを利用することになりました。
有難うございました。
しげっち 2017/01/14 16:39:32
ドライブのリダイレクト等は利用できません。
クライアントへファイルを持ってくる場合には、Web上でのダウンロード操作が
必要で、この制限はポリシーで設定ができ、アップロードとダウンロードのそれぞれで
有効/無効の制御ができます。
クライアントモジュールを入れなくても公開アプリケーションが利用できる反面、
制限も多くなります。
上記へのレスはこちらにどうぞ
SecureGateway3.1 SHA-2サーバ証明書への移行について
QQ 2016/09/22 14:50:33
Windows Server2008(32bit)
SecureGateway3.1
WebInterface5.4
XenApp5.0fp3
この度、SecureGatewayで使用しているサーバ証明書について、
SHA-1からSHA-2に移行したいと考えておりますが、
SHA-2証明書に移行した際に、ユーザのログオン等、各種動作は問題なく実施できるのでしょうか。
また問題がある場合、SHA-2証明書を使用するために、どのような対策を実施すればよろしいでしょうか。
ご教示頂けると助かります。
Sig 2016/10/19 10:11:26
評価環境で試してみるのが一番かもですけど。
QQ 2017/01/10 16:49:54
ご返信くださり、ありがとうございます。
ご報告ですが、SecureGateway3.1を3.3.4にアップデートし、
クライアントにCitrix Reciever3.4をインストールしたところ、
うまく接続できました。
Reppa 2017/01/11 13:56:31
開発終わって以降のバージョンは出てないみたいですが。
https://support.citrix.com/article/CTX212325
上記へのレスはこちらにどうぞ
ライセンスサーバーのVerup後、「Citrix XenAppがライセンスサーバー"サーバー名"に接続できません」と表示される
ST 2016/09/21 18:20:58
猶予期間中のライセンスが割当たっている状態となりました。
--事象-----------------------------------------------------------------------
■メッセージ
「Citrix XenAppがライセンスサーバー"サーバー名"に接続できません」
■ライセンスサーバー
11.6.1から11.13.1.2にバージョンアップ
※Citrixからダウンロードした「CTX_Licensing.msi」を実行。
完了後、レジストリからバージョンが11.13.1.2になっていることを確認。
■PC構成
・Windows Server 2008 R2
・XenApp 6.5
■イベントログ表示
・警告 イベントID:9015
Citrix XenAppのライセンスが猶予期間に入りました。このサーバーはxxx時間後に
クライアントからの接続を受け入れられなくなります。
・警告 イベントID:9026
Citrix XenApp クライアント接続のライセンスを取得するときに
エラー0を受信しました。
猶予期間用のライセンスを取得しました。
■既に行った対処法
・サービス「Citrix Licensing」「Citrix Licensing Support Service」
「Citrix Web Services for Licensing」が停止していたため、
種類を「自動」に変更し、サーバーを再起動。
⇒改善せず。
・C:\Program Files(x86)\Citrix\Licenseing\LS\confの以下2ファイルを削除し、
サーバーを再起動。
○activation_state.xml
○concurrent_state.xml
⇒改善せず。
------------------------------------------------------------------------------
質問 1
初歩の質問で申し訳ございませんが、ライセンスサーバーのバージョンアップには
msiファイルの実行以外の処置が必要でしょうか。
質問2
似たような事象や解決策をご存じの方はいらっしゃいますでしょうか。
※下記のURLで紹介されているレジストリ変更を行おうと考えていますが、
その他の対処法がわかる方がいらっしゃればご教授頂けると助かります。
http://support.citrix.com/article/CTX127354
よろしくお願いします。
S 2016/09/26 11:54:18
通常・本来はそれだけでOKです。
質問2に対する回答としては、License Serverはバージョンアップ時に
問題が出るケースがたまーにはあるのよね……という具合です。
大きくLicense Serverのバージョンが変わる場合には
XD/XA側の不具合(新しいLicense Serverに対応してない)でHotfix充てたりで
直ることが多い印象です。
同様に、使用するネットワークポート番号の設定が変わっちゃってたりとか。
最悪でもライセンスサーバーを綺麗にアンインストールして
入れ直せば直せるのでそこまで困りません。
ライセンスファイルをインポートしなおしたりで面倒ですが。
ST 2016/09/28 09:23:45
参考になりました。
HOTFIX、レジストリ変更で修正されない場合は
ライセンスサーバーの再インストールで対応しようと思います。
ありがとうございました。
上記へのレスはこちらにどうぞ
ZenApp6.5 公開アプリケーションが起動しない
chappy 2016/07/21 10:37:09
(起動出来るクライアントもあります。)
現象
・ICAファイルダウンロードのメッセージ
「xxx.xxx.xxx.xxxからlaunch.icaを開くか、または保存しますか?」が表示され、ファイルを開く]ボタンをクリックしても公開アプリケーションを起動できない
上記の対応方法
1.Citrix Recieverを最新にする。
2.信頼済みサイトに登録する。
3.互換性の設定にする
4.SmartScreenフィルターを無効にする
5.管理者権限でIEを実行する。
等は行っています。
サーバのWebInterfaceは、5.4.0です。
アプリケーションが一瞬起動しようとしますが、すぐに消えて
何も反応しなくなります。
他に何の原因が考えられるか、お教え頂けないでしょうか?
サーバはWindwosServer2008R2です。
(ウイルスソフトを切った状態でも同じです。)
Reppa 2016/07/21 14:17:06
XenAppから見れば「edge?何それブラウザ?」ですからね。
http://docs.citrix.com/content/dam/docs/ja-ja/archive/web-interface/ja.web-interface-5-4.pdf
chappy 2016/07/21 20:25:09
回答ありがとうございます。
記述不足でした。申し訳ございません。
クライアントはWindows10ですが、IE11を使用しております。
IE11に対する対応策を講じているにもかかわらず、状況が改善しないので困っています。
feature packをインストールすれば良いのでしょうか?
feature packは更新プログラムのような物で
既存の環境を壊すことなくプログラムが更新されるという認識で宜しいのでしょうか?
お教え頂けないでしょうか?
サダ 2016/07/23 00:17:26
https://www.obcnet.jp/index.php?module=MyPage&action=OmssContentsDetail&OmssContentsID=5281
Reppa 2016/07/25 09:37:44
FP3はHotfixの詰め合わせみたいなもので更新になりますが、一部はアップデートになります。
何が更新されるかは下記と今の環境をにらめっこして自分で調べてください。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/xenapp-6-5/feature-pack-3html.html
chappy 2016/07/26 17:08:10
OBCさんの対処方法は既に実行済みなので、feature Pack3を適用してみます。
他のクライアントはWindows10でも動作しているので、あまり変更を加えたくないのですが、
背に腹はかえられません。
ありがとうございました。
上記へのレスはこちらにどうぞ
StoreWebに接続後のデスクトップで詳細の再起動リンクを非表示にしたい
whitesonic 2016/07/11 13:42:26
StoreFront(http://xxxx/Citrix/StoreWeb/)にログイン後
デスクトップのアイコンの横にある詳細の中にある再起動ボタンを
非表示にしたいのですが、方法をご存知の方がおいででしたら
ご教示ください。
チャル 2016/07/13 10:55:04
デリバリーグループの設定になると思います。
以下を参考に「AllowRestart」の値をFalesに変更していただければ再起動が
非表示になるかと思います。
コマンドの詳細については画面キャプチャ内に記載されているので、
参考にしてください。
https://www.citrix.com/blogs/2014/05/12/storefront-power-management-desktop-restart/
whitesonic 2016/07/13 13:12:17
ご指南ありがとうございます。
デリバリーコントローラのWindows PowerShellにて
asnp citrix*でSDKを追加してから
Set-BrokerAccessPolicyRule -Name "XXXX_AG" -AllowRestart $false
を入れてみましたら
できました。ありがとうございました。
チャル 2016/07/14 10:32:29
チコ 2017/03/01 16:49:16
ご教授ください。
"XXXX_AG"とはなんの名称を指すのでしょうか。
S 2017/03/01 17:24:01
Set-BrokerAccessPolicyRule -Name デリバリーグループ名 -AllowRestart $false
という構文になります。
チコ 2017/03/01 18:37:56
ご教授頂き、ありがとうございます。
試してみます!!
上記へのレスはこちらにどうぞ
Delivery ControllerとStoreFront の互換性について
yamadat 2016/05/10 10:35:36
XenDesktop7.6 環境で、FP3適用を検討しています。
FP3ではStoreFrontについても集中管理コンソールに変更されたようなのですが、
StoreFront/Receiver だけは、既存のインターフェイスを変えたくありません。
以下の組み合わせでも動作に問題がないか、情報がありましたら教えてください。
・Delivery Controller 7.6.300 (FP3)
・Store Front 2.6 (FPなし)
yamadat 2016/05/10 10:41:31
Windows10の仮想デスクトップを使うことが目的です。
S 2016/05/10 11:10:57
実際表面上は問題なく動きはします。
ただし、LTSRに準拠しておらず、推奨される構成ではないため、
将来的にCitrixのヘルプサポートを受けられなくなることが想定されます。
例えば、SF2.6 + クライアント(Receiver)側ブラウザがIE11 という組み合わせは
非サポートです。(多分Edgeもダメ)
何か問題があった場合、Citrixは「3.0.1を使ってください」と言ってきます。
そういった運用上のリスクも勘案した上で、SFのバージョンをどうするか判断してください。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-6/xad-whats-new/long-term-service-release.html
なお、StoreFront3.0.1にはReceiver for Webサイトについて、クラシック表示機能があります。
2.x系からアップデートする場合を想定した機能なので、
この機能を有効にすると、2.X時代のUIで使えるので(完全に一致では無いかもしれない)
Receiver for Webサイトの外観が変わる事を問題視しているのであれば
そちらもご参考されると良いでしょう。
https://docs.citrix.com/ja-ja/storefront/3/manage-citrix-receiver-for-web-site/sf-receiver.html
yamadat 2016/05/10 18:20:58
とてもわかりやすくて助かりました。
URLの情報も参考に検討させていただきます。
上記へのレスはこちらにどうぞ
NetScaler経由のStoreFrontログオンについて
aotoken 2016/04/27 17:48:38
NetScaler経由のアクセスだとStoreFrontにログオンできないという事象が発生しております。
具体的には、
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③①と同様のドメインユーザーのパスワードを入力し「ログオン」をクリック
④「ログオンの有効期限が切れました。続行するには、もう一度ログオンしてください。」という
メッセージが表示
となり、StoreFrontにログオンすることが出来ません。
接続ツールとしてはCitrix ReceiverではなくIE 11を用いています。
なお、NetScalerを経由しない(StoreFrontのページを直接開く)と
正常にログオンすることが可能です。
今の状況を打開したく、皆様のお知恵をお借りできますでしょうか。
aotoken 2016/04/27 18:00:20
・NetScaler上でシングルサインオンを設定しているにも関わらず、
StoreFrontのログオン画面が表示されてしまう原因として、
何が考えられるのでしょうか。
・「ログオンの有効期限が切れました。続行するには、もう一度ログオン
してください。」というメッセージ表示を回避し、StoreFrontに
ログオンするためには、どのような設定が必要なのでしょうか。
aotoken 2016/04/27 20:42:09
色々と調査を進めたところ、状況が以下の通り変わりました。
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③ログオンをクリック
④「要求を完了できません。」というメッセージが表示
さらに、StoreFrontサーバのイベントログにて、上記④を実施したタイミングで
以下エラーイベントが出力されることを確認しました。
ログの名前:Citrix Delivery Services
ソース:Citrix Authentication Service
イベントID:3
レベル:エラー
説明:
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の AG Web Service で以下のエラーが発生しました。このエンドポイントは、2016/04/27 11:22:14 まで無視されます。
Citrix.DeliveryServices.Authentication.CitrixAGBasic.Exceptions.AGCommunicationException, Citrix.DeliveryServices.Authentication.CitrixAGBasic, Version=3.5.0.0, Culture=neutral, PublicKeyToken=null
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の NetScaler Gateway 認証サービスへの通信でエラーが発生しました。認証サービスが実行されていることを確認してください。
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.CitrixAGBasicWebService.GetAccessInfo(String sessionId, String username, String domain)
System.Net.WebException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
基礎になる接続が閉じられました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした
場所 System.Web.Services.Protocols.WebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.HttpWebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.AGAuthService.AuthenticationServiceSoap.GetAccessInformation(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
System.Security.Authentication.AuthenticationException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
検証プロシージャによると、リモート証明書は無効です。
場所 System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
場所 System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
場所 System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
場所 System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
場所 System.Net.ConnectStream.WriteHeaders(Boolean async)
S 2016/04/28 12:23:12
StoreFrontの方でひとまず「認証」とか「ストア」とか「Receiver for Web」とか
「NetScaler Gateway」の設定を色々再確認してください。
以下サンプル。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
・「ストア」でリモートアクセスを有効にしていますか
・同様に、適切な方式・アプライアンスが指定されていますか
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
辺り。
aotoken 2016/05/17 19:29:07
以下の通り「NetScaler Gateway」の設定を色々と確認しましたが、
事象の解決には至りませんでした。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
→有効にしています
・「ストア」でリモートアクセスを有効にしていますか
→有効にしています
・同様に、適切な方式・アプライアンスが指定されていますか
→「VPNトンネルなし」方式で適切なアプライアンスをしています。
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
→有効にしています
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
→サブネットIPはNetScalerがStoreFrontサーバと通信するためのIPを、
コールバックURLはNetScaler Gateway URLを指定しています。
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
→STAはStoreFrontサーバを指定しています。
S 2016/05/18 11:27:02
現象を単純に見ますと、NSGからSFに対して認証情報が
パススルーする処理がコケてるように見えるわけです。
レス内容を拝見する限り、StoreFront側での設定は概ね適切なようですし
NSG側で何か設定が間違っている/不足しているのだと思います。
で、前レスでも書いたんですが、私はNSGについてはそこまで詳しくなくてですね。
エラー見る限りAuthenticationかCertification Authorityという単語周りな
気はするのですが、これ以上のアドバイスはちょっと難しいです。
可能なら正式なヘルプサポートを受けるなどご検討ください。
しげっち 2016/05/18 17:25:24
1つはNetScalerの認証画面よりログインしてアプリケーションを利用する方法と、NetScalerの認証画面
ではなくStoreFront側の認証画面で認証した後アプリケーションを利用する方法の2通りあります。
NetScalerの認証画面を利用する場合、ADサーバとLDAPによる認証が必要となり、SNIPよりtcp:389
の通信等が発生します。
エラー発生フローを見る限り、NetScalerにLDAPの設定がされていないように見受けられるのですが、
こちらの設定は大丈夫でしょうか。
NetScalerの認証画面を利用せずに直接StoreFrontでの認証を利用する場合にはLDAPの設定は必要なく
代わりに次の設定が必要です。
1.Virtual ServersのVIPで「Enable Authentication」を無効化
2.StoreFrontでStoreWebの認証設定で「NetScaler Gatewayからのパススルー」を無効化
3.C:\inetpub\wwwroot\Citrix\Store\web.configをメモ帳で開き編集する。
<resourcesGateways requireTokenConsistency="true">
を
<resourcesGateways requireTokenConsistency="false">
に変更。
NetScaler Gatewayとして利用する場合ですが、色々と癖があるので設定が少しややこしいかと。
aotoken 2016/05/25 16:24:34
今回は「NetScalerの認証画面よりログインしてアプリケーションを利用する方法」を
利用したいと考えております。アドバイスいただいたLDAP連携の件ですが、
実はすでに設定済みです。NetScalerのns.logを確認するにLDAP連携関連の
エラーは見当たらないため、設定としては問題ないように思えます。
追加情報となりますが、私の方で調査を進めた結果、StoreFront側で設定する
「コールバックURL」を設定しない(空欄にする)ことでNetScaler経由の
StoreFrontログオンが成功することを確認しました。ただし、社内アクセスと
社外アクセスで適用するCitrixポリシーを分けたいという要件があるため、
「コールバックURL」の指定は必須という認識です。
というのも、上記要件は「SmartAccess」により実現可能と考えており、
「SmartAccess」を利用するためには「コールバックURL」の指定が
必要という認識があります。
上記の考察は間違っておりますでしょうか。また、「SmartAccess」を
利用しない場合、別の方法で上記要件を満たすことは可能でしょうか。
しげっち 2016/05/26 17:14:16
コールバックURLを登録する場合、2点注意が必要です。
コールバックURLに登録するFQDNですが、NetScalerに割り当てているVIPのIPアドレスを解決する必要が
ありますが、こちらの名前解決はHosts等で既に実施済みでしょうか。
あと、サーバ証明書をプライベート認証局より発行している場合、ルート証明書をStoreFrontサーバに
登録する必要があります。
サーバのログに一部証明書関係のエラーが出ているのでこの2点を確認してください。
SmartAccessですが、ポリシーで指定するファーム名やアクセス条件に「*」以外を利用して細かく制限
する場合には別途ライセンスが必要になった記憶があります。
aotoken 2016/06/13 18:09:41
しげっちさんからのご回答を元に色々と検証を進めたところ、サーバ証明書の箇所でエラーが
発生していたらしく、再度サーバ証明書をNetScalerにバインドし直したところ、
今回の要件を満たす動作を確認しました。しげっちさん、Sさん、ご支援ありがとうございました。