StoreFrontですが、2.xから2.6へのアップグレードや2.6から3.xへのアップグレードは
可能ですが、それ以外の製品からのアップグレードに関してはMさんも確認されているように
記載がありません。
XenApp7.xに含まれている2.6のドキュメントには
「StoreFront 2.0よりも古いバージョンを直接StoreFront 2.6にアップグレードすることはできません」
と記載があることから、WebInterfaceからのアップグレードはサポートしていないようです。
StoreFrontですが、新規でインストールした場合でもさほど難しくなく楽にインストール
できます。

どのバージョンのStoreFrontを導入されるのかにもよりますが、2.6等初期に近いバージョンは、一部設定はWeb.confを直接編集する必要があるので3.xシリーズをお勧めします。

しげっちさん

ご返信ありがとうございます！
やはりコンポーネント自体違うのでアップグレードサポートしていないのですね…

WebInterfaceは新規インストールする方針としたいと思います。

ありがとうございました！

発生原因はアプリの問題も考えられますので何とも言えませんが、対処方法について気になる点があります。
念の為の確認ですが、対象のユーザーのセッション切ってからプロファイル削除してますか？
セッション残っているのにプロファイル削除したら当然そうなる気がします。

ご返信下さり、ありがとうございます。
アクセス管理コンソール上およびレジストリからは接続ユーザ情報が削除されていたため、
セッションが切れていると判断してプロファイルを削除しておりました。
もし他にもセッションが切れているか確認すべき点がございましたら、教えて頂けると助かります。

Receiverのバージョンを教えてください。
多分普通の最新版やらではなく、EnterpriseやOnline Plug-inを使わないと
駄目です。

バックアップURLの機能は最新のReceiverでは殺されてるはずですので。
最新のReceiverを使う場合、WebInterfaceをロードバランサーで冗長化しろ
（NetScalerを買ってね！）とCitrixは言っています。

実際、6.0はEOLなのでよっぽどのことがない限り
万障繰り合わせてでも新設なんてしない方がいいと思いますが……。

＞３．バックアップURLの設定。
＞　・待機系にも同様に
＞　　http://待機系/Citrix/PNAgent
これは待機で　http://運用系/Citrix/PNAgent　にしないと
運用系が落ちる前に間違って待機系に繋がった人達は無限ループしませんか？
基本、バックアップURLは全台で一周するか、自分以外全部を指定するかどっちかにするものですよ。

S 殿

Citrix Receiver 4.3.100.10
を使用しています。

これはCitrix HPよりダウンロードした最新版なので、
Online Plug-in 12.0.0.6410
をインストールしてみました。

この方法でもバックアップURLの
設定が有効に機能しませんでした。。。。。

バックアップURLの設定を
有効にするには、
別途設定が必要なのでしょうか？

Reppa　殿

ご指摘ありがとうございます。
CitrixのバックアップURLの設定例などが
見つからなかったため、

推定で設定していました。

ご指摘の通り
運用系.バックアップURL　を　http://待機系/Citrix/PNAgent
待機系.バックアップURL　を　http://運用系/Citrix/PNAgent
に設定しなおしました。

この状態で
Online Plug-in 12.0.0.6410
を使って接続確認してみましたが、
バックアップURLへの
切替わりませんでした。

よろしくお願い致します。

あ、よく見たら
>※ただし、Citrix Reciverでhttp//待機系
>　を指定してもアプリが立ち上がらない事、
>　http://待機系/Citrix/XenApp
>　からも公開アプリが起動しない事を確認しました。
って書いてある。これ本当ですか？

このWIのバックアップURLの設定は
普段使用している方のWIが使えなくなったら
バックアップURLの方のWIを使うというだけの設定なので、
最初から
http://運用系/Citrix/PNAgent
を使った場合にも、利用できないとダメです。

待機系のWIの方がいろいろ設定足りてないんじゃないですかね？

間違い
>最初から
>http://運用系/Citrix/PNAgent
>を使った場合にも、利用できないとダメです。

正しい
>最初から
>http://待機系/Citrix/PNAgent
>を使った場合にも、利用できないとダメです。

S殿

返信ありがとうございます。

待機系の方の設定を見直そうと思います。

ところで、この際に何か
チェックポイントのようなものは
あるでしょうか？

なぜなら、
同じCDでインストールして
同じHotFixを適用しました。
更にWebInterfaceに対して、
同じ設定をしている事を
相互比較して確認したためです。

以上、よろしくお願いします。

待機系単体でやっぱり動いてなかったってことなんでしょうかね？
運用系で動いてるならごく初歩的などこかで何か漏れがあるだけだと思いますが…。

WIを構築する際に肝になりそうなのって
サービスサイトに紐づくファーム/サーバーを指定するときに両方のサーバー指定しましょうとか
全体的にホスト名/FQDN使って設定してるなら名前解決大丈夫ですかとか
WindowsFWおよびネットワークFWでポート閉じてないですかとか
万一SSL使うんだったらSTA正しく設定してますかとか
そんなもんです。

S殿

返信ありがとうございます。

もう一度設定手順書を見直して
設定確認してみます。

ありがとうございました。

設定手順書の見直しと再セットアップも実施しましたが、
原因は特定できませんでした。

ただし、
バックアップ機能が古いバージョンでないと有効でない事、
今後、Windows 10に置き換わるので
最新バージョン対応でないと無意味である事から
対応不要との結論に至りました。

まず、7.11では、ポリシーのデフォルト設定で、クライアント側のドライブが
自動的にリダイレクトされるようになっています。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-11/policies/policies-default-settings.html

ゆえに、貴方のポリシーの設定の仕方がおかしい、ということは考えにくく
（わざわざ無効にしたりはしてないでしょう？）他に原因があります。
原因の切り分けを行ってください。

1．ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか？
2．Receiver for Windowsではどうか？
3．StoreFrontへのアクセスで用いているブラウザを変えるとどうか？

などです。

返信ありがとうございます。

>1．ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか？
クライアントのプリンタをマッピングしてみましたが反映されませんでした。

>2．Receiver for Windowsではどうか？
Receiver for Windowsではドライバ、プリンタ共にマッピングされました。

>3．StoreFrontへのアクセスで用いているブラウザを変えるとどうか？
Chrome, IE, FirefoxのいずれでアクセスしてもReceiver for HTML5ではポリシーが反映されていないようです。

そもそもReceiver for HTML5を使った場合もCitrix Sutdioで設定したポリシーは反映されるのでしょうか？

以下も試しましたが効果はありませんでした。
https://support.citrix.com/article/CTX134961

そもそもCTX104182でHTML5ではclient drive mappingサポートしてないと記載があるかと思います。
それが原因ではないでしょうか？

なるほど。
であれば、HTML5を利用した際の制限事項に引っかかっていそうです。

前回も軽くお調べしたのですが、少々読み違いがあったようで申し訳ないですが
どうもkevさんがおっしゃるように、CitrixはHTML5版でローカルドライブの
リダイレクト機能を提供することは諦めたようで、
代わりにファイル転送機能を使ってくれ、と言っているようです。

ポリシーの「ICA/ファイルリダイレクト」の項目辺りに該当ポリシーがあるはずで、
デフォルトではファイル転送機能は有効なはずです。

公式のオンラインドキュメントがどうも不正確でよろしくなく、
プリンターなどの挙動についても同様かもしれません。
ファイル転送機能が利用可能か、代替手段として妥当かをご確認くださいませ。

keyさん、Sさん

ご返信有難うございます。
最終的にはHTML5での運用は行わなくなりました。

クライアントPCにProgram Neighborhoodがインストールされ、別のプログラムを利用しているためHTML5を利用しようとしました。
（Windows for ReceiverがProgram Neighborhoodを上書きしてしまうため）

ただHTML5は機能的に不十分なため、最終的にProgram Neighborhoodを利用することになりました。

有難うございました。

HTML5のReceiverを利用する場合、USBのリダイレクト、プリンタのリダイレクト、
ドライブのリダイレクト等は利用できません。
クライアントへファイルを持ってくる場合には、Web上でのダウンロード操作が
必要で、この制限はポリシーで設定ができ、アップロードとダウンロードのそれぞれで
有効／無効の制御ができます。

クライアントモジュールを入れなくても公開アプリケーションが利用できる反面、
制限も多くなります。

単純にWindowsの仕組みなので、特に問題ないんじゃないかと思いますよ。
評価環境で試してみるのが一番かもですけど。

返事が遅くなり、すみません。
ご返信くださり、ありがとうございます。
ご報告ですが、SecureGateway3.1を3.3.4にアップデートし、
クライアントにCitrix Reciever3.4をインストールしたところ、
うまく接続できました。

3.3.4が対応してたみたいですね。
開発終わって以降のバージョンは出てないみたいですが。

https://support.citrix.com/article/CTX212325

質問1に対する回答は「Yes」
通常・本来はそれだけでOKです。

質問2に対する回答としては、License Serverはバージョンアップ時に
問題が出るケースがたまーにはあるのよね……という具合です。

大きくLicense Serverのバージョンが変わる場合には
XD/XA側の不具合(新しいLicense Serverに対応してない)でHotfix充てたりで
直ることが多い印象です。
同様に、使用するネットワークポート番号の設定が変わっちゃってたりとか。

最悪でもライセンスサーバーを綺麗にアンインストールして
入れ直せば直せるのでそこまで困りません。
ライセンスファイルをインポートしなおしたりで面倒ですが。

ご教示頂きありがとうございます。
参考になりました。

HOTFIX、レジストリ変更で修正されない場合は
ライセンスサーバーの再インストールで対応しようと思います。

ありがとうございました。

単純にWin8までしか対応してないからだと思います。
XenAppから見れば「edge？何それブラウザ？」ですからね。
http://docs.citrix.com/content/dam/docs/ja-ja/archive/web-interface/ja.web-interface-5-4.pdf

表題が間違っていました。XenApp6.5です。
回答ありがとうございます。
記述不足でした。申し訳ございません。
クライアントはWindows10ですが、IE11を使用しております。
IE11に対する対応策を講じているにもかかわらず、状況が改善しないので困っています。
feature packをインストールすれば良いのでしょうか？
feature packは更新プログラムのような物で
既存の環境を壊すことなくプログラムが更新されるという認識で宜しいのでしょうか？

お教え頂けないでしょうか？

obcさんのページに以下の様な記述がありますが、この辺りを確認されてはいかがでしょうか。

https://www.obcnet.jp/index.php?module=MyPage&action=OmssContentsDetail&OmssContentsID=5281

IE11に対応しててもWindows10に対応していないのでfeature pack3を適用でいいと思います。
FP3はHotfixの詰め合わせみたいなもので更新になりますが、一部はアップデートになります。
何が更新されるかは下記と今の環境をにらめっこして自分で調べてください。

http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/xenapp-6-5/feature-pack-3html.html

サダ様、Reppa様、回答ありがとうございます。
OBCさんの対処方法は既に実行済みなので、feature Pack3を適用してみます。
他のクライアントはWindows10でも動作しているので、あまり変更を加えたくないのですが、
背に腹はかえられません。

ありがとうございました。

デリバリーグループの設定になると思います。

以下を参考に「AllowRestart」の値をFalesに変更していただければ再起動が
非表示になるかと思います。

コマンドの詳細については画面キャプチャ内に記載されているので、
参考にしてください。

https://www.citrix.com/blogs/2014/05/12/storefront-power-management-desktop-restart/

チァル様
ご指南ありがとうございます。

デリバリーコントローラのWindows PowerShellにて
asnp citrix*でSDKを追加してから
Set-BrokerAccessPolicyRule -Name "XXXX_AG" -AllowRestart $false
を入れてみましたら
できました。ありがとうございました。

お役に立って良かったです。

チャル様

ご教授ください。

"XXXX_AG"とはなんの名称を指すのでしょうか。

横ですが、デリバリーグループ名です

Set-BrokerAccessPolicyRule -Name デリバリーグループ名 -AllowRestart $false

という構文になります。

S様

ご教授頂き、ありがとうございます。
試してみます！！

上記の補足ですが、FP3にてWindows10に対応したため、
Windows10の仮想デスクトップを使うことが目的です。

DDC7.6.300 + SF2.6は利用可能な構成とされていますし、
実際表面上は問題なく動きはします。

ただし、LTSRに準拠しておらず、推奨される構成ではないため、
将来的にCitrixのヘルプサポートを受けられなくなることが想定されます。
例えば、SF2.6 + クライアント(Receiver)側ブラウザがIE11　という組み合わせは
非サポートです。（多分Edgeもダメ）

何か問題があった場合、Citrixは「3.0.1を使ってください」と言ってきます。
そういった運用上のリスクも勘案した上で、SFのバージョンをどうするか判断してください。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-6/xad-whats-new/long-term-service-release.html


なお、StoreFront3.0.1にはReceiver for Webサイトについて、クラシック表示機能があります。
2.x系からアップデートする場合を想定した機能なので、
この機能を有効にすると、2.X時代のUIで使えるので(完全に一致では無いかもしれない)
Receiver for Webサイトの外観が変わる事を問題視しているのであれば
そちらもご参考されると良いでしょう。
https://docs.citrix.com/ja-ja/storefront/3/manage-citrix-receiver-for-web-site/sf-receiver.html

ご回答ありがとうございます！！！
とてもわかりやすくて助かりました。
URLの情報も参考に検討させていただきます。

連投すいません。具体的なご質問事項を記載しておりませんでした。

・NetScaler上でシングルサインオンを設定しているにも関わらず、
　StoreFrontのログオン画面が表示されてしまう原因として、
　何が考えられるのでしょうか。

・「ログオンの有効期限が切れました。続行するには、もう一度ログオン
　してください。」というメッセージ表示を回避し、StoreFrontに
　ログオンするためには、どのような設定が必要なのでしょうか。

再びの連投すいません。また、長文すいません。

色々と調査を進めたところ、状況が以下の通り変わりました。

　①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
　②StoreFrontのログオン画面が表示
　③ログオンをクリック
　④「要求を完了できません。」というメッセージが表示

さらに、StoreFrontサーバのイベントログにて、上記④を実施したタイミングで
以下エラーイベントが出力されることを確認しました。

ログの名前：Citrix Delivery Services
ソース：Citrix Authentication Service
イベントID：3
レベル：エラー
説明：

[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の AG Web Service で以下のエラーが発生しました。このエンドポイントは、2016/04/27 11:22:14 まで無視されます。
Citrix.DeliveryServices.Authentication.CitrixAGBasic.Exceptions.AGCommunicationException, Citrix.DeliveryServices.Authentication.CitrixAGBasic, Version=3.5.0.0, Culture=neutral, PublicKeyToken=null
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の NetScaler Gateway 認証サービスへの通信でエラーが発生しました。認証サービスが実行されていることを確認してください。
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.CitrixAGBasicWebService.GetAccessInfo(String sessionId, String username, String domain)

System.Net.WebException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
基礎になる接続が閉じられました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした
場所 System.Web.Services.Protocols.WebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.HttpWebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.AGAuthService.AuthenticationServiceSoap.GetAccessInformation(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)

System.Security.Authentication.AuthenticationException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
検証プロシージャによると、リモート証明書は無効です。
場所 System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
場所 System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
場所 System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
場所 System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
場所 System.Net.ConnectStream.WriteHeaders(Boolean async)

NetScalerの方は切り分けのハードル高いので一旦無視しますが
StoreFrontの方でひとまず「認証」とか「ストア」とか「Receiver for Web」とか
「NetScaler Gateway」の設定を色々再確認してください。

以下サンプル。

・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
・「ストア」でリモートアクセスを有効にしていますか
・同様に、適切な方式・アプライアンスが指定されていますか
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
　有効にしていますか
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
　コールバックURLが適切に設定されていますか
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか

辺り。

Sさん、ご連絡が遅くなりましたが、ご回答ありがとうございました。
以下の通り「NetScaler Gateway」の設定を色々と確認しましたが、
事象の解決には至りませんでした。

・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
　→有効にしています
・「ストア」でリモートアクセスを有効にしていますか
　→有効にしています
・同様に、適切な方式・アプライアンスが指定されていますか
　→「VPNトンネルなし」方式で適切なアプライアンスをしています。
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
　有効にしていますか
　→有効にしています
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
　コールバックURLが適切に設定されていますか
　→サブネットIPはNetScalerがStoreFrontサーバと通信するためのIPを、
　 コールバックURLはNetScaler Gateway URLを指定しています。
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
　→STAはStoreFrontサーバを指定しています。

なるほど。

現象を単純に見ますと、NSGからSFに対して認証情報が
パススルーする処理がコケてるように見えるわけです。
レス内容を拝見する限り、StoreFront側での設定は概ね適切なようですし
NSG側で何か設定が間違っている/不足しているのだと思います。

で、前レスでも書いたんですが、私はNSGについてはそこまで詳しくなくてですね。
エラー見る限りAuthenticationかCertification Authorityという単語周りな
気はするのですが、これ以上のアドバイスはちょっと難しいです。

可能なら正式なヘルプサポートを受けるなどご検討ください。

NetScakerを利用する場合の認証には2通りあります。
1つはNetScalerの認証画面よりログインしてアプリケーションを利用する方法と、NetScalerの認証画面
ではなくStoreFront側の認証画面で認証した後アプリケーションを利用する方法の2通りあります。
NetScalerの認証画面を利用する場合、ADサーバとLDAPによる認証が必要となり、SNIPよりtcp:389
の通信等が発生します。
エラー発生フローを見る限り、NetScalerにLDAPの設定がされていないように見受けられるのですが、
こちらの設定は大丈夫でしょうか。
NetScalerの認証画面を利用せずに直接StoreFrontでの認証を利用する場合にはLDAPの設定は必要なく
代わりに次の設定が必要です。
1.Virtual ServersのVIPで「Enable Authentication」を無効化
2.StoreFrontでStoreWebの認証設定で「NetScaler Gatewayからのパススルー」を無効化
3.C:\inetpub\wwwroot\Citrix\Store\web.configをメモ帳で開き編集する。
　<resourcesGateways requireTokenConsistency="true">
　を
　<resourcesGateways requireTokenConsistency="false">
　に変更。
　
NetScaler Gatewayとして利用する場合ですが、色々と癖があるので設定が少しややこしいかと。

しげっちさん、コメントありがとうございます。

今回は「NetScalerの認証画面よりログインしてアプリケーションを利用する方法」を
利用したいと考えております。アドバイスいただいたLDAP連携の件ですが、
実はすでに設定済みです。NetScalerのns.logを確認するにLDAP連携関連の
エラーは見当たらないため、設定としては問題ないように思えます。

追加情報となりますが、私の方で調査を進めた結果、StoreFront側で設定する
「コールバックURL」を設定しない（空欄にする）ことでNetScaler経由の
StoreFrontログオンが成功することを確認しました。ただし、社内アクセスと
社外アクセスで適用するCitrixポリシーを分けたいという要件があるため、
「コールバックURL」の指定は必須という認識です。

というのも、上記要件は「SmartAccess」により実現可能と考えており、
「SmartAccess」を利用するためには「コールバックURL」の指定が
必要という認識があります。

上記の考察は間違っておりますでしょうか。また、「SmartAccess」を
利用しない場合、別の方法で上記要件を満たすことは可能でしょうか。

NetScaler経由で制限する場合にはSmartAccessで設定する必要があります（SNIPでも制限できそうですが）。

コールバックURLを登録する場合、2点注意が必要です。

コールバックURLに登録するFQDNですが、NetScalerに割り当てているVIPのIPアドレスを解決する必要が
ありますが、こちらの名前解決はHosts等で既に実施済みでしょうか。
あと、サーバ証明書をプライベート認証局より発行している場合、ルート証明書をStoreFrontサーバに
登録する必要があります。

サーバのログに一部証明書関係のエラーが出ているのでこの2点を確認してください。
SmartAccessですが、ポリシーで指定するファーム名やアクセス条件に「*」以外を利用して細かく制限
する場合には別途ライセンスが必要になった記憶があります。

しげっちさん、返信が遅くなり申し訳ありません。

しげっちさんからのご回答を元に色々と検証を進めたところ、サーバ証明書の箇所でエラーが
発生していたらしく、再度サーバ証明書をNetScalerにバインドし直したところ、
今回の要件を満たす動作を確認しました。しげっちさん、Sさん、ご支援ありがとうございました。