トピック検索
- XenAPPの登録ライセンス数以上のユーザがアクセスした時にユーザにアラートは出せますか。 - 羊子@U―U@ ( 2016/12/08 20:37:42 更新)
- XenApp 7.11のポリシーが反映されない? - J ( 2016/11/18 07:38:30 更新)
- XenDesktop の性能評価について - test ( 2016/11/03 19:11:00 更新)
- Citrix XenApp 6.5 - 某素人 ( 2016/10/28 16:18:58 更新)
- XwnDesktop 7.9でのcontroller冗長化失敗 - k ( 2016/10/26 22:29:46 更新)
- 仮想デスクトップへのログオン情報について - 菱菱 ( 2016/08/25 16:07:47 更新)
- 同時接続数の上限について - ずんだ太郎丸 ( 2016/08/04 13:13:51 更新)
- StoreWebに接続後のデスクトップで詳細の再起動リンクを非表示にしたい - whitesonic ( 2016/07/11 13:42:26 更新)
- リモートデスクトップ接続でアクセス拒否される - ハムスター ( 2016/06/01 11:31:57 更新)
- NetScaler経由のStoreFrontログオンについて - aotoken ( 2016/04/27 17:48:38 更新)
XenAPPの登録ライセンス数以上のユーザがアクセスした時にユーザにアラートは出せますか。
羊子@U―U@ 2016/12/08 20:37:42
■構築環境
:XenAPP7.9
:Windows Server 2012R2
XenAPPの同時接続ライセンス数を50で運用しています。
ただ、ユーザが180人程いる為、同時接続50人を超える場合があります。
その時に51人目の接続者に何かしらエラー表示を出せたらと思いますが、
可能でしょうか。
ポリシーの設定等見ていますが見当たらなくて困っています。
■現在の状態
51人目のユーザはXenAPPにログインは出来るものの、
共有アプリを起動して一定時間タイムアウトするまで待つという状態です。
接続の空きがあるまで待っている状態だと考えていますが、
エンドユーザからするとフリーズしているようにしか見えずクレームになっています。
何かエラーメッセージをポップアップで出すことは可能でしょうか。
ご教授宜しくお願い致します。
S 2016/12/09 13:52:11
使って、1サーバーに張れるセッションの数を50にしてしまうことです。
51セッション目を張ろうとするとエラーになるはずです。
(管理者に問い合わせろ、とか出るはず)
あくまでセッション数であって、ユーザー数でないことに一応注意してください。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-9/policies/policies-settings-reference/xad-policies-settings-load-mgmt.html
羊子@U―U@ 2016/12/09 14:40:21
ご返信誠に有難う御座います!
検証の上、設定導入の検討を致します。
リスクを含め参考情報のお気遣いも大変有難いです。
助かります。
上記へのレスはこちらにどうぞ
XenApp 7.11のポリシーが反映されない?
J 2016/11/18 07:38:30
サーバ1台構成
- Windows Server 2012 R2
- XenApp7.11
- StoreFront、DeliveryController、VDA、ライセンスサーバ
ADサーバは別途構築
クライアントPCがStoreFrontにログインしてReceiver for HTML5 を利用して、
サーバ上のアプリケーションを起動するように設定しています。
起動したアプリケーションで出力したファイルの保存先として
クライアントPCのドライブをマッピングしたいのですが出来ません。
クライアントPCのドライブが何もマッピングされていない状態です。
StudioからDefaultのポリシーにドライブマッピングのポリシー許可を登録しました。
その後、サーバやクライアントPCを再起動させて見ましたが、クライアントPCのドライブが何もマッピングされていない状態です。
MMCでサーバ上のローカルグループポリシーを確認しましたが、Citrix Studioで登録したポリシーは登録されていませんでした。
このような状況下でポリシーを反映させるにはどのようにすれば宜しいのでしょうか。
ご教授願います。
S 2016/11/22 10:47:26
自動的にリダイレクトされるようになっています。
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-11/policies/policies-default-settings.html
ゆえに、貴方のポリシーの設定の仕方がおかしい、ということは考えにくく
(わざわざ無効にしたりはしてないでしょう?)他に原因があります。
原因の切り分けを行ってください。
1.ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか?
2.Receiver for Windowsではどうか?
3.StoreFrontへのアクセスで用いているブラウザを変えるとどうか?
などです。
J 2016/11/23 12:39:27
>1.ドライブマッピング以外のポリシー(クリップボードリダイレクト等)は反映されているか?
クライアントのプリンタをマッピングしてみましたが反映されませんでした。
>2.Receiver for Windowsではどうか?
Receiver for Windowsではドライバ、プリンタ共にマッピングされました。
>3.StoreFrontへのアクセスで用いているブラウザを変えるとどうか?
Chrome, IE, FirefoxのいずれでアクセスしてもReceiver for HTML5ではポリシーが反映されていないようです。
そもそもReceiver for HTML5を使った場合もCitrix Sutdioで設定したポリシーは反映されるのでしょうか?
以下も試しましたが効果はありませんでした。
https://support.citrix.com/article/CTX134961
key 2016/11/24 14:17:44
それが原因ではないでしょうか?
S 2016/11/25 17:30:07
であれば、HTML5を利用した際の制限事項に引っかかっていそうです。
前回も軽くお調べしたのですが、少々読み違いがあったようで申し訳ないですが
どうもkevさんがおっしゃるように、CitrixはHTML5版でローカルドライブの
リダイレクト機能を提供することは諦めたようで、
代わりにファイル転送機能を使ってくれ、と言っているようです。
ポリシーの「ICA/ファイルリダイレクト」の項目辺りに該当ポリシーがあるはずで、
デフォルトではファイル転送機能は有効なはずです。
公式のオンラインドキュメントがどうも不正確でよろしくなく、
プリンターなどの挙動についても同様かもしれません。
ファイル転送機能が利用可能か、代替手段として妥当かをご確認くださいませ。
J 2016/11/30 03:58:15
ご返信有難うございます。
最終的にはHTML5での運用は行わなくなりました。
クライアントPCにProgram Neighborhoodがインストールされ、別のプログラムを利用しているためHTML5を利用しようとしました。
(Windows for ReceiverがProgram Neighborhoodを上書きしてしまうため)
ただHTML5は機能的に不十分なため、最終的にProgram Neighborhoodを利用することになりました。
有難うございました。
しげっち 2017/01/14 16:39:32
ドライブのリダイレクト等は利用できません。
クライアントへファイルを持ってくる場合には、Web上でのダウンロード操作が
必要で、この制限はポリシーで設定ができ、アップロードとダウンロードのそれぞれで
有効/無効の制御ができます。
クライアントモジュールを入れなくても公開アプリケーションが利用できる反面、
制限も多くなります。
上記へのレスはこちらにどうぞ
XenDesktop の性能評価について
test 2016/11/03 19:11:00
その他どういったツールを利用し、どのような観点で評価をすればよいのか、
実績があればご教示いただけないでしょうか。
一斉ログイン等の自動化ツールがあればよいのですが。。。。。。
チャル 2016/11/03 21:33:59
Loginvsiのようなソフトを利用できるベンダーへ相談して進めるしかないと思います。
S 2016/11/04 17:58:50
1) 操作性
エンドユーザーの視点に立って、ファットクライアントでの操作感との差異を見ます。
接続できるまでにかかる時間、
アプリケーションの起動/処理にかかる時間、とかを見ます。
が、重要なのは実際には「体感」です。
2) 一斉多数接続(ログオン)
ほぼ問題になることはないですが、業務開始時間に集中して
多くのユーザーが使用を始める傾向があるなどから、
多数のユーザーが一斉にログオンする際の接続できるまでにかかる時間や
負荷量を見ます。
やり方とかかんとかは後述。
3) 一斉多数利用
普通に多数のユーザーが接続している状態でのセッション操作負荷です。
DDCとかは概ねどうでもいいので、主にVDA側のパフォーマンスを見ます。
(CPUとかメモリとかICA Session Band Width 云々とか)
やり方とかかんとかは後述。
やり方とかかんとかですが、一斉に多数のセッションを発生させる上手い(無償の)方法が
現実にはあまり無いのが事実です。
有償で良いなら某社のロードランなんちゃらとかを一応挙げておきます。
擬似的な方法としては、何とかしてクライアント5~10台程度は用意して、
無風状態から5台同時アクセスさせて、負荷の上昇を測定。
で、それを掛け算して50台とか100台時の負荷を推測。
さらに、それぐらいの負荷をCPUSTRES、Testlimit、SQLIOで擬似的に
発生させて、さらに人力でそこにアクセスを試みる、とか。そんな具合。
上記へのレスはこちらにどうぞ
Citrix XenApp 6.5
某素人 2016/10/28 16:18:58
application:flex(merapi),java
※複数ユーザ同時に利用あり
不具合現象:
①たまに、
フロント側(flex)から裏側(Java)に登録しないとの指示を出した後、裏側(Java)から登録完了の返事がフロント側(flex)に届かない
のようなフロント側と裏側(Java)との交互がうまくできない。
②たまに、ユーザAのセッションは、後ログインしたユーザBに上書きされることがある。
質問:
XenApp上の設定問題?それともapplicationの問題?
某素人 2016/10/28 16:20:27
フロント側(flex)から裏側(Java)に登録しないとの指示を出した後、
↓
フロント側(flex)から裏側(Java)に登録しなさいとの指示を出した後、
S 2016/11/04 18:09:23
ご自身の投稿内容が「客観的に見て」赤の他人に理解できる内容であると思いますか?
(「application:flex(merapi),java」ってなんですか?登録?交叉?)
独自開発のアプリケーションか何かをXenAppで公開しているのでは推測されますが
アプリケーションの仕様を詳しくご説明いただけない/理解が困難
なので、こういったBBSでは解決できる内容ではないでしょう。
XenAppを使わない、例えばリモートデスクトップ接続で
同様のことを行ってみて、現象が発生しないか確認するか、
「たまに」というのを何とかしてもっと絞り込むか、
メーカーに問いあわせるかなりお試しください。
上記へのレスはこちらにどうぞ
XwnDesktop 7.9でのcontroller冗長化失敗
k 2016/10/26 22:29:46
失敗します。
Aサーバのみ稼働状態(Bサーバをシャットダウン状態)では、引き続き
新規ログインユーザは仮想デスクトップにログインできますが、Bサーバ
のみ稼働状態(Aサーバをシャットダウン)は新規ユーザはログオンできない
状態になります。
■構成状態は以下の通りです。
合計6台のサーバ(Win2012 R2)にてXenDesktop環境を構築しております。
※仮想デスクトップは下記構成とは別にVM上に構築しております。
(1)StoreFront 2台構成
※NLBにより冗長化
(2)Controller 2台構成
※1台新規サイトを作成後、もう1台を既存サイトにControllerを追加
(3)DB(MSSQL) 2台構成(インスタンスは1つ)
※クラスタ構成により冗長化
ControllerそれぞれにStudioはインストールされているのですが、
Aサーバのみ稼働時にAサーバのStudioから構成設定情報を確認した場合は
通常通りですが、Bサーバのみ稼働時にBサーバのStudioから構成情報を確認
した場合、DB接続エラーにはなりませんが、かなり表示が遅くなり、表示に
数分かかります。
Aサーバ、Bサーバ両方とも稼働時は、両サーバのStudioでも通常通り数秒で
構成情報が表示されます。
※その他、StoreFront/クラスタの冗長化については問題ありません。
Bサーバは既存サイトに後から追加したcontrollerとなります。
設定がたりないとか、そもそも構成が間違っているということはございます
でしょうか?
S 2016/10/27 11:22:05
Bサーバーを後から追加した、ということだそうですので、
StoreFrontのサイト設定で、DDCとの連携を設定する箇所において、
Bサーバーを追加し忘れている、というのが初歩的なミスとして疑われる箇所です。
細かい所ではBサーバーとSQLDBとの間で何か問題がある、という可能性ですが
詳細な切り分けはここ(BBS)では難しいですね。
なお、DDCが片肺状態になった際、Studioでサイトの情報を閲覧するのに
著しく時間がかかるようになる、というのはStudioの修正済みの既知の不具合です。
(以下のページに記載のLC4481が該当)
http://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-9/whats-new/fixed-issues.html
Studioのバージョンが古かったりはしませんか?
上記へのレスはこちらにどうぞ
仮想デスクトップへのログオン情報について
菱菱 2016/08/25 16:07:47
ユーザの情報(ユーザ名、物理端末ホスト名)を確認出来るイベントログなどはございますでしょうか
以上、宜しくお願い致します。
whitesonic 2016/08/25 16:33:07
http://サーバー名/director/
サーバー名は、デリバリコントローラの役割を持つサーバー名
ログインが必要で、デリバリコントローラで管理者権限を持つドメインユーザーで。
S 2016/08/26 11:24:37
プログラムの一覧の中に「Citrix Director」が居るのでそれを起動すればよいでしょう。
ログオンについては既出の通りです。
上の「フィルター」から「すべての接続」を選んで、
表示:接続
期間:任意
フィルター基準:対象の2012R2サーバーを含むデリバリーグループ名を指定
と条件付けすると良いです。
デフォルトだと、物理端末ホスト名が表示されないと思うので
「列の選択」で「エンドポイント名」を追加する必要があると思う。
菱菱 2016/08/26 15:08:51
Directorで確認することができました。
上記へのレスはこちらにどうぞ
同時接続数の上限について
ずんだ太郎丸 2016/08/04 13:13:51
同時接続数の上限についてご教示いただけると助かります。
過去のスレッドではライセンス数の110%分は緊急時でアクセス可能とことですが、
同時接続数に関する参考資料がなかったため、併せてご教示いただけると助かります。
■具体的な現象
ZenApp 7.6にて、25ライセンス購入しサーバーにライセンスファイルを登録しました。
(試用期間の期限は過ぎています)
ライセンス数の同時接続数の確認をしようと思い、
異なるセッションIEを起動して各ユーザーでアクセスし、
25ユーザー分のアクセスを試みたのですが25を超えてもユーザーがログインできました。
Reppa 2016/08/04 16:38:47
昔はXenAppとかXendesktopから10%の余剰分は見えなかったのですが、
現在は見えるようになったのかは不明です(見えても見えなくても動作には影響無いですが)。
詳細は下記を確認してください。
XenApp/XenDesktopライセンス解説
https://www.citrix.com/blogs/2015/06/02/xenappxendesktop%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%A7%A3%E8%AA%AC/
XenDesktopライセンス:FAQ
http://support.citrix.com/article/CTX138813
S 2016/08/09 16:38:28
同時接続数がライセンス数をオーバーして
実際にオーバードラフトライセンスが発行された状態になると
Studioやライセンス管理コンソールから確認できるようになりますぞ。
shimo (I love Fukuoka) 2016/08/17 14:41:54
機能名:追加猶予期間(Supplemental Grace Period) XenApp 7.6からの新機能
オーバー分は15日間は無制限利用。
http://docs.citrix.com/ja-ja/licensing/11-12-1/lic-architecture.html
同時使用ライセンスにはオーバードラフトはないです。
上記へのレスはこちらにどうぞ
StoreWebに接続後のデスクトップで詳細の再起動リンクを非表示にしたい
whitesonic 2016/07/11 13:42:26
StoreFront(http://xxxx/Citrix/StoreWeb/)にログイン後
デスクトップのアイコンの横にある詳細の中にある再起動ボタンを
非表示にしたいのですが、方法をご存知の方がおいででしたら
ご教示ください。
チャル 2016/07/13 10:55:04
デリバリーグループの設定になると思います。
以下を参考に「AllowRestart」の値をFalesに変更していただければ再起動が
非表示になるかと思います。
コマンドの詳細については画面キャプチャ内に記載されているので、
参考にしてください。
https://www.citrix.com/blogs/2014/05/12/storefront-power-management-desktop-restart/
whitesonic 2016/07/13 13:12:17
ご指南ありがとうございます。
デリバリーコントローラのWindows PowerShellにて
asnp citrix*でSDKを追加してから
Set-BrokerAccessPolicyRule -Name "XXXX_AG" -AllowRestart $false
を入れてみましたら
できました。ありがとうございました。
チャル 2016/07/14 10:32:29
チコ 2017/03/01 16:49:16
ご教授ください。
"XXXX_AG"とはなんの名称を指すのでしょうか。
S 2017/03/01 17:24:01
Set-BrokerAccessPolicyRule -Name デリバリーグループ名 -AllowRestart $false
という構文になります。
チコ 2017/03/01 18:37:56
ご教授頂き、ありがとうございます。
試してみます!!
上記へのレスはこちらにどうぞ
リモートデスクトップ接続でアクセス拒否される
ハムスター 2016/06/01 11:31:57
最初にXenAppサーバの管理ID「administrator」で接続すると、「Studioの詳細表示はドメイン管理ユーザでログインしなければならない」と表示されたので、
ドメイン管理ID「ドメイン名\administrator」で接続をおこないましたが、「アクセス拒否」でログオンできません。
ドメインコントローラには接続できます。
サーバが離れているため何とか接続させたいのですが、事例がありましたら教えてください。
サーバOS:Windows2012R2
クライアント:Windows7 Pro(32bit)
S 2016/06/03 11:20:53
XenAppサーバーにRDS使ってDomainAdminsでログオンできないって話であれば板違いでしょう。
サーバーOSにVDA入れただけでRDS接続できなくなるなんてことは普通ありません。
単にRDS接続の権限がないだけじゃないですか?
システム管理者であればそのぐらいはご自分でお調べの上、ご相談ください。
チャル 2016/06/04 09:10:38
しげっち 2016/06/04 11:38:27
Administratorでログインできないとなると、ポリシーでドメインのAdministratorを
拒否しているとか。一度管理者の方に問い合わせてみてはいかがでしょうか。
Studioを利用したいのであればRDPで接続しなくても公開アプリとしてStudioを登録
したり、RDPで接続しなくても公開デスクトップで接続するとか色々と方法があると
思います。
後はVNCをローカルのAdministratorで導入してクライアントから接続するとか。
これだと直接コンソールへログインできますから。
ハムスター 2016/06/08 10:19:38
確かにCitrixに直接関係ないトラブルでした。
要はStudioの操作が出来ればよいので、
ご意見を参考にさせて頂きます。
上記へのレスはこちらにどうぞ
NetScaler経由のStoreFrontログオンについて
aotoken 2016/04/27 17:48:38
NetScaler経由のアクセスだとStoreFrontにログオンできないという事象が発生しております。
具体的には、
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③①と同様のドメインユーザーのパスワードを入力し「ログオン」をクリック
④「ログオンの有効期限が切れました。続行するには、もう一度ログオンしてください。」という
メッセージが表示
となり、StoreFrontにログオンすることが出来ません。
接続ツールとしてはCitrix ReceiverではなくIE 11を用いています。
なお、NetScalerを経由しない(StoreFrontのページを直接開く)と
正常にログオンすることが可能です。
今の状況を打開したく、皆様のお知恵をお借りできますでしょうか。
aotoken 2016/04/27 18:00:20
・NetScaler上でシングルサインオンを設定しているにも関わらず、
StoreFrontのログオン画面が表示されてしまう原因として、
何が考えられるのでしょうか。
・「ログオンの有効期限が切れました。続行するには、もう一度ログオン
してください。」というメッセージ表示を回避し、StoreFrontに
ログオンするためには、どのような設定が必要なのでしょうか。
aotoken 2016/04/27 20:42:09
色々と調査を進めたところ、状況が以下の通り変わりました。
①NetScalerにドメインのユーザー名とパスワードを入力し「ログオン」をクリック
②StoreFrontのログオン画面が表示
③ログオンをクリック
④「要求を完了できません。」というメッセージが表示
さらに、StoreFrontサーバのイベントログにて、上記④を実施したタイミングで
以下エラーイベントが出力されることを確認しました。
ログの名前:Citrix Delivery Services
ソース:Citrix Authentication Service
イベントID:3
レベル:エラー
説明:
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の AG Web Service で以下のエラーが発生しました。このエンドポイントは、2016/04/27 11:22:14 まで無視されます。
Citrix.DeliveryServices.Authentication.CitrixAGBasic.Exceptions.AGCommunicationException, Citrix.DeliveryServices.Authentication.CitrixAGBasic, Version=3.5.0.0, Culture=neutral, PublicKeyToken=null
[NetScaler Gateway URL]/CitrixAuthService/AuthService.asmx の NetScaler Gateway 認証サービスへの通信でエラーが発生しました。認証サービスが実行されていることを確認してください。
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.CitrixAGBasicWebService.GetAccessInfo(String sessionId, String username, String domain)
System.Net.WebException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
基礎になる接続が閉じられました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした
場所 System.Web.Services.Protocols.WebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.HttpWebClientProtocol.GetWebResponse(WebRequest request)
場所 System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.AGAuthService.AuthenticationServiceSoap.GetAccessInformation(String sessionId, String username, String domain)
場所 Citrix.DeliveryServices.Authentication.CitrixAGBasic.Client.AGClient.GetAccessInfo(String sessionId, String username, String domain)
System.Security.Authentication.AuthenticationException, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
検証プロシージャによると、リモート証明書は無効です。
場所 System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
場所 System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
場所 System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
場所 System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
場所 System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
場所 System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
場所 System.Net.ConnectStream.WriteHeaders(Boolean async)
S 2016/04/28 12:23:12
StoreFrontの方でひとまず「認証」とか「ストア」とか「Receiver for Web」とか
「NetScaler Gateway」の設定を色々再確認してください。
以下サンプル。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
・「ストア」でリモートアクセスを有効にしていますか
・同様に、適切な方式・アプライアンスが指定されていますか
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
辺り。
aotoken 2016/05/17 19:29:07
以下の通り「NetScaler Gateway」の設定を色々と確認しましたが、
事象の解決には至りませんでした。
・「認証」で認証方式「NSGからのパススルー」を有効にしていますか
→有効にしています
・「ストア」でリモートアクセスを有効にしていますか
→有効にしています
・同様に、適切な方式・アプライアンスが指定されていますか
→「VPNトンネルなし」方式で適切なアプライアンスをしています。
・「Receiver for Web」で認証方式「NetScaler Gateway からのパススルー」を
有効にしていますか
→有効にしています
・「NetScaler Gateway」で、NSGのURLやサブネットIPアドレスや
コールバックURLが適切に設定されていますか
→サブネットIPはNetScalerがStoreFrontサーバと通信するためのIPを、
コールバックURLはNetScaler Gateway URLを指定しています。
・同様に、SSLを使っているならSTAの設定は適切に設定されていますか
→STAはStoreFrontサーバを指定しています。
S 2016/05/18 11:27:02
現象を単純に見ますと、NSGからSFに対して認証情報が
パススルーする処理がコケてるように見えるわけです。
レス内容を拝見する限り、StoreFront側での設定は概ね適切なようですし
NSG側で何か設定が間違っている/不足しているのだと思います。
で、前レスでも書いたんですが、私はNSGについてはそこまで詳しくなくてですね。
エラー見る限りAuthenticationかCertification Authorityという単語周りな
気はするのですが、これ以上のアドバイスはちょっと難しいです。
可能なら正式なヘルプサポートを受けるなどご検討ください。
しげっち 2016/05/18 17:25:24
1つはNetScalerの認証画面よりログインしてアプリケーションを利用する方法と、NetScalerの認証画面
ではなくStoreFront側の認証画面で認証した後アプリケーションを利用する方法の2通りあります。
NetScalerの認証画面を利用する場合、ADサーバとLDAPによる認証が必要となり、SNIPよりtcp:389
の通信等が発生します。
エラー発生フローを見る限り、NetScalerにLDAPの設定がされていないように見受けられるのですが、
こちらの設定は大丈夫でしょうか。
NetScalerの認証画面を利用せずに直接StoreFrontでの認証を利用する場合にはLDAPの設定は必要なく
代わりに次の設定が必要です。
1.Virtual ServersのVIPで「Enable Authentication」を無効化
2.StoreFrontでStoreWebの認証設定で「NetScaler Gatewayからのパススルー」を無効化
3.C:\inetpub\wwwroot\Citrix\Store\web.configをメモ帳で開き編集する。
<resourcesGateways requireTokenConsistency="true">
を
<resourcesGateways requireTokenConsistency="false">
に変更。
NetScaler Gatewayとして利用する場合ですが、色々と癖があるので設定が少しややこしいかと。
aotoken 2016/05/25 16:24:34
今回は「NetScalerの認証画面よりログインしてアプリケーションを利用する方法」を
利用したいと考えております。アドバイスいただいたLDAP連携の件ですが、
実はすでに設定済みです。NetScalerのns.logを確認するにLDAP連携関連の
エラーは見当たらないため、設定としては問題ないように思えます。
追加情報となりますが、私の方で調査を進めた結果、StoreFront側で設定する
「コールバックURL」を設定しない(空欄にする)ことでNetScaler経由の
StoreFrontログオンが成功することを確認しました。ただし、社内アクセスと
社外アクセスで適用するCitrixポリシーを分けたいという要件があるため、
「コールバックURL」の指定は必須という認識です。
というのも、上記要件は「SmartAccess」により実現可能と考えており、
「SmartAccess」を利用するためには「コールバックURL」の指定が
必要という認識があります。
上記の考察は間違っておりますでしょうか。また、「SmartAccess」を
利用しない場合、別の方法で上記要件を満たすことは可能でしょうか。
しげっち 2016/05/26 17:14:16
コールバックURLを登録する場合、2点注意が必要です。
コールバックURLに登録するFQDNですが、NetScalerに割り当てているVIPのIPアドレスを解決する必要が
ありますが、こちらの名前解決はHosts等で既に実施済みでしょうか。
あと、サーバ証明書をプライベート認証局より発行している場合、ルート証明書をStoreFrontサーバに
登録する必要があります。
サーバのログに一部証明書関係のエラーが出ているのでこの2点を確認してください。
SmartAccessですが、ポリシーで指定するファーム名やアクセス条件に「*」以外を利用して細かく制限
する場合には別途ライセンスが必要になった記憶があります。
aotoken 2016/06/13 18:09:41
しげっちさんからのご回答を元に色々と検証を進めたところ、サーバ証明書の箇所でエラーが
発生していたらしく、再度サーバ証明書をNetScalerにバインドし直したところ、
今回の要件を満たす動作を確認しました。しげっちさん、Sさん、ご支援ありがとうございました。