Tutorial | Citrix XenApp 6.0 / Webinterface / Secure Gateway

Zuletzt aktualisiert am 25. Dezember 2023 von Lars

In diesem Artikel lernst du die Grundlagen zu Citrix XenApp 6.0 / Webinterface / Secure Gateway und kannst einen Citrix-Server samt Webinterface via Secure Gateway bereitstellen...

Ziel

Auf einem Server soll ein Citrix-Server samt Webinterface via Secure Gateway bereitgestellt werden. Der Zugriff erfolgt über das Access Gateway. Dies ist eine Text-Doku einer Labor-Session.

Allgemeines

Auch Citrix funktioniert rollenbasiert. Über den XenApp Server Role Manager fügt man eine Rolle hinzu und konfiguriert diese anschließend. Die Deinstallation funktioniert aber nur über Systemsteuerung-Software, was die Umsetzung für mich sehr unvollkommen erscheinen lässt.

Vorbereitende Maßnahmen

Der Server wird installiert und domainjoined.

Über den Servermanager wird zunächst die Webinterface-Rolle hinzugefügt, da bei der automatischen Installation via Citrix einige wichtige Komponenten fehlen.

• Server Manager
• Rollen
• Rollen hinzufügen
• Weiter
• Webserver (IIS)
• Weiter
• Folgende Komponenten auswählen:
  • Allgemeine HTTP Features
    • Alles ausser WebDAV-Veröffentlichung
  • Anwendungsentwicklung
    • Alles
  • Integrität und Diagnose
    • Alles
  • Sicherheit
    • Alles
  • Leistung
    • Alles
  • Verwaltunsprogramme
    • Alles ausser IIS6 Verwaltungskompatibilität)
  • FTP Server
    • Nichts
  • Hostfähiger IIS-Webkern
    • Nichts
• Weiter
• Installieren

Wer das ganze in einer VM nachbaut, kann (sollte?) jetzt einen Snapshot ziehen

Lizenz-Server installieren

• Citrix-CD einlegen
• Add server roles
• .NET 3.5 wird erst einmal nachinstalliert
• Add server roles
• Edition auswählen
• I accept the terms of this license agreement
• License Server auswählen
• Weiter
• Weiter
• Install
• Warten bis License Server Installed successfully
• Fertig Stellen

Lizenz-Server konfigurieren

• Start
• Alle Programme
• Citrix
• XenApp Server Role Manager
• XenApp Server Role Manager
• Beim LicenseServer steht jetzt ein Link Configure
• Diesen anklicken
• Es empfiehlt sich die Standardwerte zu lassen und ein Kennwort zu vergeben
• Bei einem Versuch kam es zu dem Fehler, dass alle Portnummern schon vergeben waren -> Neustart versucht -> danach stand der License Server auf Configured -> Zur Sicherheit habe ich dann den kompletten Vorgang "Lizenz-Server konfigurieren" wiederholt

Lizenz-Server nachträglich konfigurieren

Bis jetzt kenne ich nur die Möglichkeit:

• Lizenzserver deinstallieren
• Lizenzserver neu installierten
• Konfigurieren

XenApp installieren

Hat man mehrere Terminalserver / Remotedesktopserver, die später später in die Citrix-Farm kommen, so sollte man zuerste die Remotedesktoprolle aktivieren. Bei einem kann man das auch von Citrix automatisch erstellen lassen.

• Via Role Manager XenApp auswählen
• XML Service IIS Integration nicht ausgewählt
• Weiter
• Meldung ersheint A preequisite will require a reboot and resume of the installation
• Weiter
• Install
• Einige Komponenten konnten nicht installiert werden
• Fertig stellen
• Server neu starten
• Es erscheint nach dem Neustart automatisch wieder der Role Manager und bietet den Link an Resume Install
• Install
• Die Installation der zuvor fehlgeschlagenen Komponenten läuft jetzt durch
• Die letzte Komponente braucht ungewöhnlich lange
• Fertig stellen
• Der Manager bietet jetzt an Install Roles ans subcomponents
• Install
• Danach scheinen zunächst nochmals die gleichen Funktionen durchzulaufen (???)
• Fertig stellen

XenApp konfigurieren

• Configure im Server Role Manager anklicken
• Neue Serverfarm erstellen
• Name der Serverfarm eingeben (z.B. test und Citrix-Administrator eingeben - bei kleineren Installationen kann man sicherlich den normalen Administrator nehmen)
• Weiter
• Lizenzserver eingeben
• Weiter
• Neue Datenbank
• Weiter
• Datenbankanmeldeinformationen eingeben und Datenbankverbindung testen bei kleineren Installationen kann man sicherlich den normalen Administrator nehmen
• Weiter
• Spiegelungseinstellungen nach Wunsch konfigurieren
• Weiter
• Bei Bedarf erweiterte Servereinstellungen angeben - es können Zone, XML-Dienst, Online Plug-in und Remotedesktopbenutzer konfiguriert werden. Lässt man alles unkonfiguriert, werden Standardwerte verwendet.
• Weiter
• Übernehmen
• Die Konfiguration dauert etwas länger
• Fertig stellen
• Reboot

Citrix Delivery Service Console das erste mal starten

• Start
• Alle Programme
• Citrix
• Mangementkonsolen
• Citrix Delivery Service Console
• Prüfen der Autenticode-Signatursperrliste deaktivieren (Empfehlung)
• Das auch von älteren Versionen bekannte Discovery startet
• Weiter
• Single Sign-On herausnehmen
• Lokalen Computer hinzufügen
• Weiter
• Weiter
• Fertig stellen
• Jetzt kann z.B. testhalber ein Wordpad veröffentlicht werden
• Citrix Ressourcen
• XenApp
• test (bzw. Farm-Namen)
• Anwendungen
• Anwendungen veröffentlichen
• Assistent durcharbeiten

Installation Web Interface

• Über den Role Manager Web Interface anwählen
• Weiter
• Weiter
• Install
• Fertig stellen

Konfiguration Web Interface

• Configure
• Citrix Webinterface
• XenApp Web-Sites
• Site erstellen
• Als Standardseite IIS definieren
• Weiter
• Autentifizierungspunkt festlegen auf Webinterface lassen
• Weiter
• Weiter
• Site wird erstellt
• Kreuz bei "Diese Seite jetzt konfigurieren" lassen
• Weiter
• Farmname korrekt angeben (hier wird i. d. R. ein falscher vorgegeben)
• Server hinzufügen
• XML-Port 8080 (Da keine XML-IIS-Integration installiert wurde!)
• Weiter
• Authentifizierungsmethoden auf Explizit lassen
• Weiter
• Domänen sinnvollerweise einschränken
• Weiter
• Gewünschte Darstellungsart festlegen
• Typ der veröffentlichen Ressourcen festlegen
• Weiter
• Fertig stellen
• Über Sitevorschau testen (Seite im IE in die vertrauensürdigen Seiten nehmen)

Secure Gateway installieren

Firewall für Secure Gateway konfigurieren

• 443

Secure Gateway konfigurieren

• Advanced als Option wählen
• Zertifikat auswählen
• Weiter
• Configure Secure Protocol Settings auf SSLv3 lassen
• Select cipher suite auf all lassen
• Next
• Monitor all IP v4 Adresses, Port 443 lassen
• Next
• No outbound traffic restrictions
• Next
• STA
• Add
• FQDN - interner FQDN (z.B. dc.testpartner.local) angeben (bei mehreren Servern ist dies typischerweise der erste Citrix-Server, nicht der mit dem Web-Interface)
• Port 8080 - nicht 80 lassen (bei erfolgreicher Eingabe wird kryptische ID generiert)
• Next
• Standardwerte für Timeout und connection limits lassen
• Next
• Next
• Access Option indirect
• Port 80
• Next
• Next
• Finish

Jetzt muss noch der sichere Zugriff konfiguriert werden. Hierzu im Webinterface

• Untere Hälfte - Lasche Sicherer Zugriff
• Link Einstellungen für sicheren Zugriff bearbeiten
• Hinzufügen
• Gateway, alternative Adresse auswählen - Interne IP des Gateway angeben
• OK
• Weiter
• Gateway-Einstellungen angeben - Adresse FQDN (hier gibt man die externe Adresse des Gateways an sowie Port 443
• Sitzungszuverlässigkeit wurde hier aktiviert
• Weiter
• Als Secure Ticket Authority URL gibt man hier an:

  http://DC.testpartner.local:8080/scripts/ctxsta.dll">
  

• Fertig Stellen

Die grössten gedanklichen Hürden hatten wir hierbei. Es hilft wohl folgende Vereinfachung. Der direkte Zugriff ist für den Zugriff vom eigenen Subnetz aus auf das Webinterface. Die Gateway-Zugriffes sind die via Secure Gateway. Dabei hilft es sich vorzustellen, dass das Gateway der Client des Webinterface sei.

Als Standard-Zugriff bleibt der direkte Zugriff (fürs Web-Interface intern nötig).

Beim Testen von extern unbedingt darauf achten, dass die externe Adresse im IE unter den vertrauenswürdigen Sites steht.

Umleitung für das Web-Interface einrichten

Damit das Web-Interface automatisch auf https:... umleitet, muss die Startseite noch editiert werden

• C:inetpubwwwroot
• WebInterface.htm editieren

Möglichkeit 1:

<!-- WebInterface.htm Copyright (c) 2000 - 2010 Citrix Systems, Inc. All Rights 
Reserved. [NFuseVersionAndBuildString] --> 
<script type="text/javascript"> 
<!-- window.location="https://externedomain/Citrix/XenApp"; // --> 
</script>

Möglichkeit 2:

<html>
<head>
<meta http-equiv="expires" content="0">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<meta http-equiv="refresh" content="0;URL=https://externedomain/Citrix/XenApp">

<title>Citrix Webinterface wird geladen....</title> </head>
<body> Citrix Webinterface wird geladen...<p>
Klicken Sie <a href="https://externedomain/Citrix/XenApp">hier</a>,
wenn Sie nicht automatisch weitergeleitet werden.</p>
</body> </html>

Troubleshooting

Umgang mit Zertifikaten

Im IIS erscheinen die Zertifikate nicht / Beim Zufügen von "Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden"

In der Regel müssen noch die Root-Zertifikate des Anbieters mit eingebunden werden. Beispiel cacert.org.

• www.cacert.org
• Root Certificate
• Root Certificate (Text Format)
• Speichern als root.txt
• Start
• mmc
• Datei
• Snap-In hinzufügen/entfernen
• Zertifikate
• Hinzufügen
• Computerkonto (auf keinen Fall Eigenes Benutzerkonto)
• Lokalen Computer
• OK
• Rechte Maustaste auf vertrauenswürdige Stammzertifikate
• Alle Aufgaben
• Importieren
• Weiter
• root.txt auswählen (Endung ändern)
• Weiter
• Weiter
• Fertig stellen

Eigentliches Zertifikat erstellen

Man muss einen Account bei cacert.org haben und seine Domäne registriert haben. Hierzu muss man in der Lage sein, auf

• root@domainname
• hostmaster@domainname
• postmaster@domainname
• admin@domainname

oder

• webmaster@domainname eine Mail zu empfangen. Dorthin erhält man eine Mail mit einem Registrierungslink.

Rubrik Domains.

Unter Internetinformationsdienste (IIS)-Manager

• Zertifikatsanforderung erstellen
• CAcert - Server Certificates - New
• Den Inhalt der Textdatei bei CaCert eingeben
• Man erhält dort eine Zertifikatsantwort
• Dies in eine Textdatei mit dem Namen cert.cer speichern
• Im IIS Manager Zertifikatsanforderung abschliessen wählen
• cert.cer als Quelle auswählen

The server certificate specified is unusable

I. d. R. fehlt der Private Key, z.B. weil die Zertifikatsanforderung und die Antwort auf einem anderen Rechner passiert ist. Beim Doppelklick auf das Zertifikat muss unbedingt unten stehen: Sie besitzen einen privaten Schlüssel für dieses Zertifikat.

Certificate is a partial chain

Auch hier fehlen die Root-Zertifikate. s. o.

Anwendung kann nicht gestartet werden - Fehlermeldung SSL Citrix Server

Überprüfen Sie, ob in der Secure Gateway Konfiguration beim STA der richtige Port (bei unserer Anleitung 8080) verwendet wird.

Anwendung kann nicht gestartet werden - in der launch.ica steht die falsche Adresse oder Anwendung kann nicht gestartet werden - statt einer launch.ica wird etwas anderes zum Download angeboten

Die Einstellungen für den sicheren Zugriff im Webinterface stimmen nicht.

Discovery schlägt fehl, IMA-Service startet nicht

Die Ereignisanzeige meldet, dass keine Verbindung auf den Datenspeicher möglich ist. Lösung:

• IMA-Dienst stoppen
• dsmaint recreaterade
• dsmaint recreatelhc
• IMA-Dienst starten

Siehe auch:

http://support.citrix.com/proddocs/topic/xenapp5fp-w2k3/ps-maintain-recr-loc-host-cache-v2.html

Fehlermeldung:  Ein unerwarteter Fehler ist aufgetreten. Stellen Sie sicher, dass der Servername richtig ist, dass der Server eingeschaltet ist, dass Citrix XenApp auf diesem Server installiert ist, und dass der Citrix MFCOM-Dienst ausgeführt wird.

Englisch: An unexpected error occurred. Check that the server name is correct, that the server is on, that Citrix XenApp is installed on this server, and that the Citrix MFCOM Service is running.

• Distributed .NET-Kompontenen müssen als Rollendienste installiert sein
• Der User, der das Discovery durchführt, muss  Mitglied der Gruppe Distributed COM User sein
• COM+ Netzwerkzugriff muss als Rollendienst installiert sein
• Eine ganz schlechte Idee ist die Reparaturinstallation von Citrix - Danach ging gar nichts mehr
• Ein Knowledgebaseeintrag berichtet, dass der Fehler nach der Deinstallation des Migration-Tools hervortritt. Die Testhalber Installation brachte ebenfalls nichts
• Es gibt auch eine lokale Gruppe "Distributed COM-Benutzer". Ein Hinzufügen in diese Gruppe brachte ebenfalls nichts
• Trivial, aber unter Umständen hat der User keine Administratorrechte für Citrix. Abhilfe
  • Der User, bei dem es noch funktioniert, öffnet die Citrix Delivery Console
  • Browst zu Administratoren
  • Fügt den Benutzer hinzu, der auch Administrieren soll

STA wird nicht gefunden im Secure Gateway

Hier hat man den FQDN (intern, nicht extern) des falschen Servers eingegeben. Zum einen darauf achten, Port 8080 zu wählen, zum anderen bei mehreren Servern den ersten Server unter XML-Dienst - Webinterface nehmen. http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/install-configure-citrix-web-interface-secure-gateway-part2.html schreibt hierzu: On the “Secure Ticket Authority (STA) details” pop-up, enter the FQDN of a  Citrix Server. This is typically a Zone Data Connector, and the same server that is listed in the Farm XML Servers in the Web Interface Configuration...

Weiterführende Literatur

Als Nachschlagewerk empfehle ich das folgende Buch:

Citrix XenApp 6 und XenDesktop 5: Das Praxishandbuch für Administratoren...

• Lüdemann, Nico (Autor)

49,90 EUR

Zum Produkt

Lars

Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!