CAG Advanced Edition: kaputter Logon-Screen

sollte ihr CAGAA Logon-Screen mal so oder so ähnlich aussehen,

dann schauen Sie mal im AAC-Server nach, ob Sie nicht zwei oder mehr Logon-Points für die externe Bereitstellung aktiviert haben...?! Einfach nur noch einen für die externe Bereitstellung aktivieren, CAG Appliance durchbooten und schon sieht alles wieder schick aus:

Generell gilt für alle Konfigurationsänderungen bei der CAGAA:

• Änderungen an Funktionen, die auf der Appliance ausgeführt werden, erfordern einen Neustart der Appliance (Bsp. Logon-Screen-Cache oder Split-Tunnel-Networks)
• Änderungen an Funktionen, die auf dem AAC-Server ausgeführt werden, erfordern einen Neustart der AAC-Dienste (Bsp. Änderungen an den Session-Policies)

[http://support.citrix.com/article/CTX116947]

SmartAccess in der Praxis...

[For an english version of this article - please click here.]

Weil sich so viele Kunden so wenig unter SmartAccess von Citrix vorstellen können, beschreibe ich hier mal einige Anwendungsfälle aus der Praxis:

Citrix SmartAccess besteht hauptsächlich aus drei Komponenten:

• Citrix Access Gateway Advanced oder Enterprise Edition
• Citrix Webinterface 5.x als Portal und ICA-Client-Verteiler
• Citrix XenApp 4.x oder größer

Citrix SmartAccess bietet die folgenden Funktionen:

• Einschränken des published Applications Angebot durch Endpoint Analyse
• Einschränken von ICA-Funktionalitäten (z.B. Printing, File-Transfer oder Clipboard) durch Endpoint Analyse
• Einschränken von SSL-VPN Zugriffsrichtlinien durch Endpoint Analyse

Damit erhält man die Möglichkeit den Zugriff aus ungesicherten Netzen (z.B. dem Internet) maßgeschneidert und äußerst sicher anzubieten. Das gibt den mobilen Mitarbeitern mehr Flexibilität + Produktivität ohne die Datensicherheit zu gefährden. Die folgende Abbildung zeigt einen beispielhaften Use-Case mit dem CAG als ICA-Proxy und Endpoint Analyse.

In diesem Szenario wird auf dem Client überprüft, ob der AntiViren-Client läuft und aktuell ist sowie die Client-Firewall aktiviert ist. Citrix liefert hierzu vorgefertigte Expressions für ein paar AntiVir-Clients und ein paar Client-Firewalls mit aber in der Regel muss man sich diese Expressions selbst zusammen bauen. Hierzu kann man den Timestamp von beliebigen Dateien, Registry-Keys, den Status von Diensten und Prozessen sowie einige Netzwerk-Parameter (z.B. MAC-Adressen) verwenden.

Das zweite Szenario verwendet die selben Expressions, entscheidet aber anhand des Zustands des zugreifenden Clients, ob der Nutzer "nur" ICA-Proxy oder den umfangreicheren SSL-VPN-Zugang nutzen darf.

Hierbei wird das Ergebnis der Endpoint Analyse nur auf der CAG selbst (bzw. auf dem AAC-Server) interpretiert und nicht auf dem XenApp-Server (wie bei dem vorherigen Szenario, bei dem ICA-Features blockiert wurden). Die CAG (bzw. der AAC-Server) entscheidet diesmal, ob der Nutzer den SSL-VPN-Zugang mit all seinen Vorteilen (lokale Outlook-Verbindung etc.) oder "nur" published Applications/Desktops nutzen kann, die ihm vom Webinterface angeboten werden. Im letzteren Fall wird er schlichtweg auf das Webinterface weitergeleitet (ohne dabei die SSL-Verschlüsselung des CAG aufzugeben).

Die Kombination der ersten beiden Fälle könnte dann z.B. in dem folgenden Szenario münden:

Weiterhin bleibt zu erwähnen, dass sich SmartAccess auch mit dem Produkt XenDesktop kombiniert werden kann.

Sollten Sie nun Gefallen an SmartAccess gefunden haben - Sprechen Sie uns an!

CAG ich unterstrich Dich nicht!

Wer über ein CAG, gerne in der Kombination als Advanced mit einer AAC versucht eine XenApp Farm erreichbar zu machen hat im allgemeinen kaum größere Probleme damit. Es werden nur wenige Zuaten für einen ersten Erfolg benötigt:
"Man nehme die Appliance, installiere einen AAC Server und spicke das Ganze mit ein paar Farm, STA, Portinformationen und einem Zertifikat. Um das Ganze dann noch korrekt miteinander zu verbinden ein paar Ports in der Firewall geöffnet und im großen und Ganze war es das dann. Sehr grob allerdings ;-)"

Aber was tun wenn ich einen SSL Fehler 29 und oder folgend 38 erhalte und der Citrix Artikel CTX108792 mir nicht weiter geholfen hat?

Ja dann ist guter Rat teuer, aber möglicherweise auch nur noch wenige Zeilen entfernt.
Es besteht eine gute Chance das, wenn wir davon ausgehen das die DNS Auflösung klappt und keine geblockte Kommunikation auf der Firewall zu erkennen ist, die Server auf welchen die STA läuft einen Unterstrich im Namen haben.

Wenn dies tatsächlich der Fall ist einfach mal die STA auf der CAG appliance als IP angeben und nach erfolglosem Startversuch einer XenApp hosted Anwendung ins CAG Log geschaut. Vermutlich kann man hier nun sehen das dass CAG zwar die IP wieder korrekt in den Namen auflöst, sich jedoch trotzdem beschwert diese nicht erreichen zu können.

Nun gibt es zwei Möglichkeiten. Entweder verwende ich einen STA Server ohne Unterstrich im Namen oder ich trage die STA Server zusätzlich als Hosteintrag auf der CAG appliance manuell ein.

Ist dies vollbracht klappts auch wieder mit der STA. Nun wird das Ticket nicht nur vom WebInterface abgeholt, sondern auch von der appliance geprüft und der Weg ist frei für eine unbeschwerte sichere Citrix XenApp Verbindung!

Das ganze passiert wenn sich Systeme sehr genau an festgelegte Standards halten. Ein Unterstrich ist in Computernamen eigentlich nicht vorgesehen.

Update AAC mit AAC450W004

Wenn man das schöne neue schwarze Look & Feel im AAC haben möchte, muss das Hotfix (eher Servicepack) AAC450W004 installiert werden.

Wenn man das getan hat - setup.exe, 3 Minuten warten, fertig - stellt man fest, dass seine Anmeldepunkte (LogonPoints) in eine Active Service Page Exeception rein rennen. Super.

Alles nicht so wild: einfach in der Access Gateway Server Konfiguration die konfigurierten Anmeldepunkte deaktivieren und wieder aktivieren. Schon geht alles wieder (und sieht auch noch gut aus!).

That's all.