» Citrix

Посоветуйте
Сервер 2008 р2 все обновы, брэндмауэр отключен.
Xenapp 6.5 Ent. без обнов.
Режим подключения к xenapp - Direct.
На самом сервере ресивер версия 13,0,0,6685 подключается, приложения запускаются.
На клиентах XP, W7 ресивер версия 3,3,0,17207 не подключается, пишет всё время:
1 - xenapp или xenapp.domain.tld - Не удаётся подключиться к серверу. Повторите попытку через несколько минут.
2 - http://xenapp или http://xenapp.domain.tld - Введите свой действительный адрес электронной почты или адрес сервера.
Вэб браузер на клиентах заходит на http://xenapp.domain.tld/citrix/xenapp/, приложения запускаются нормально, ресивер при этом запускается и подключается судо по всему нормально.
Подключаюсь telnet-ом на xenapp.domain.tld:1494, вижу ICA как с сервера так и с клиента.
Собственно почему ресивер сам по себе может не работать?

Доброго времени суток всем!
У меня такой вопрос: для меня настроен доступ на один удаленный сервер через веб интерфейс. Для меня он жутко неудобен. Системный администратор к диалогу не расположен. Могу ли я настроить доступ, допустим, из десктопного клиента (зная айпи, логин, пароль и домен)?
Спасибо

Добрый день, подскажите пожалуйста, как-то давно ставил себе metaframeXP на win2003, пользователь заходил через браузер, запускался java-апплет и даже за прокси с натом все работало, трафик шел по https:443. Потом экспериментировал с Win2008R2, ekt-ts10 и т.п., может из-за днс или еще чего, вобщем не заработало, но почему-то отложилось, что явы в клиенте не было, надо было качать и устанавливать что-то. Т.е. иметь права. Вопрос- можно в новом XenServer (2008 просто или R2) настроить чтобы было как раньше- никакого клиента, только ява апплет и трафик идет по https на стандартный порт? Или лафа кончилась в 2003/XP и начались "инновационные технологии"? ))

Pycckuu
ekt-ts10 - для для 4.5=5 XenApp - максимум под 2008(без Р2).
Для 6-ого цитрикса (2008р2) вроде тока на 20 пользователей есть открывашка в свободномдоступе.

Для заворачивания трафика (по карней мере в 5-6 цитриксах) по https ставят Secure Gateway. Сам вот все никак не заверну . На 5ом уперся в сертификат - не хочет принимать самодельный Secure Gateway.

Java клиент есть в 5-6-ом точно - но если без Secure Gateway - то надо оставлять открытыми кроме https еще и стандартные порты, веб сервер сам их не завернет в https.

Road Runner J
я бы попробовал 12-ый клиент - как-то он проще в настройке, есть куда адрес ввести хотя-бы. А эти ресиверы какие-то загадочные - то сам залогиниться, то иконка появится вторая в таске, то нет (имхо под доменную политику больше подходят). (12.1 вполне себе работает под вин 8 без проблем).

SuperSW

Цитата:

Добрый день. Очень нужна ваша помощь.
Раз через раз, при перезагрузке сервера появляется ошибка 1014 "Не удалось загрузить недействительный
Citrix XenApp 5, Hotfix Rollup Pack 7, Windows 2003 x64 (все обновления установлены).

Может уже решили - сам сталкиваюсь с этой штукой не раз на XP-2003 64 битных:
http://support.citrix.com/article/CTX116901 - только значение 32 надо - 16 мне мало оказалось.

Crazy2
Да, теперь вспомнил, именно так с Secure Gateway все и работало и самописный сертификат в 5-ке не подошел. Т.е. 4.5 последний выбор для реалиста?

Pycckuu
4.5 и 5 - это один продукт (по версии цитрикса от так) - качаешь с сайта XenApp 5 - а в консоли пишет что движок 4.5.1.
Т.е. Xenapp 4.5, он же 5-ый - идут на винды от 2003 (32-64 бит) до 2008 (без Р2). На Р2 - уже шестой.

Crazy2А что тогда последнее с самоподписными сертификатами работает? Или это еще и от клиента зависит?

Pycckuu
Я только на 5ке сижу - не подскажу, а вот с сертификатами надоб разобраться, толи не приснилось, толи сертификат надо по другому говоить - вроде в виртуалке на 2008 как-то проходил этап сертификата...

Они все работают, просто издатель должен быть в списке доверенных корневых ЦС учетной записи компьютера ка кна самом SG так и на клиенте.

Pycckuu
Таки можно сгенерить самоподписной сертификат чтобы Secure Gateway принял - получилось с помошью службы Sertificat Services - что в 2003 сервере. Вкратце - в ИИС сформировал запрос - текстовый файл, а в службе через консоль опубликовал (сгенерировал? - путаюсь в этих терминах) и в ней же експортнул в *.cer. В ИИС опять - подтвердил уже этим *.cer, порт 444 указал.
Секьюр гейтвей признал его. Щас нету времени подробно описывать - постараюсь попозжее если не получится. Но уперся в аутентификацию на странице входа в цитрикс на веб сервере - не пускает гаденыш.
Подсматривал по настройкам цитрикса от тут:
http://www.dabcc.com/article.aspx?id=10264
http://www.dabcc.com/article.aspx?id=10172
http://www.dabcc.com/article.aspx?id=10264
Но они там честный генерировали.

abgluck
Как бы не вопрос клиенту и серверу добавить в папку доверенных самоподписной - вопрос как это настроит - Secure Gateway.

Crazy2
Кажется я все так и делал, и вроде пришел к выводу, что неважно как сертификат генерить, он и так и так в хранилище сертификатов появляется и делается доступен, только вот работало все лишь на metaframeXP, на новом он почему-то тыкался в RDP порт, а не https, и разумеется отваливался. Могу в чем-то ошибаться, но помню не заработало. Сейчас попробую на 2003r2 citrix 4 развернуть.

Crazy2
Логин с доменом указываешь? Какую ошибку вообще пишет?
Pycckuu
Как настроишь в веб-морде, туда тыкаться и будет.

abgluck У вас работает citrix 4 или 5 c secure gateway и самоподписным сертификатом по https? У меня вот работал в версии XP, в новых версиях перестал, совет "настроить в вебморде" хорош, но я даже несколько версий веба перебрал, а не работало, не говоря про генерацию сертификатов и прочее.

Pycckuu
У меня уже вообще цитрикса не осталось нигде.=)
Но лично настраивал знакомому подключение к базе 1с одного из поставщиков (вся настройка собственно свелась к установке клиента и импорту сертификата ЦС этого поставщика).
Настройками WI можно заставить клиента пытаться подключиться через SG даже не имея такового, т.ч. если клиент у вас лез куда-то кроме 443 порта - значит был неправильно настроен WI. Тем более если сам WI через SG открывался - значит SG работал.

Pycckuu
У меня работает SG с самоподписаными сертификатами и не в одной конторе.
Вход везде через https
abgluck
если не секрет - на что перешел?

Для моих мелких конторок хватает родного терминала 2008r2

Pycckuu
Получилось таки тоже через Secure Gateway завести, с самоподписным - через веб-морду работает - в Secure Gateway Management вижу себя

BigBear
А у Вас PnaAgent тоже работает через Secure Gateway?

А то у меня клиент, который Online plug-in, кричит что не может проверить сертификат, хотя оба сертификата, корневой, и ним же выданный - добаблены, веб браузером заходит нормально на той же машине...

Pycckuu
Если еще актуально - попробую вечером выложить с картинками что делал.

нет, все работают через вебморду

Crazy2Да, актуально, если не очень затруднит. Какие версии сервер-цирикс-веб-sg?

Ну начнем тада
Есть: 2003r2 x64 (не домен, домена нет вообще), XenApp 5 FP2, IIS, Secure Gateway 3.2.
Название сервера: Хидроген; в ДНС записях машина видиться извне как хидроген.мойсайт.ком.
Первым делом в Hosts прописываем на сервере: 127.0.0.1-хидроген.мойсайт.ком (ну или во внутреннем ДНС сервере интрасети), главное чтоб на сервере по nslookup хидроген.мойсайт.ком попадало на сервер не через внешний интерфейс.
Устанавливаем Certificate Services родной, который в сервере, как stand alone (отдельно стоящий), в мастере при конфигурировании Common name ... CA: хидроген.мойсайт.ком (это опять же если нет домена, если домен там уже суффиксы прописаны, нужно только назв. сервера вроде). Примерно так:

Тут же этот рут сертификат сохраняем в файл: root.cer
Далее в IIS Default Web Site - Properties - Directory Security - Server Cert - Create Serve Sertificate - создаем - запрос на создание хидроген.мойсайт.ком - это и пишем в Name, я и дальше тоже самое - т.е. наш адрес хидроген.мойсайт.ком попросиывал, получили текстовый файл.
Возвращаемся в консоль Certificate Authority - на названии сервера - All tasks - submit New request - выбираем наш c:\certreq.txt.

Он появится в подменю: Pending Requests - делаем Issuу (выдать):

Теперь он у нас в Issued Cert. появился - смотрим свойства - сохраняем в хидроген.cer.
Идем опять в IIS - там же уже надпись: Proccess the pending... - выбираем наш хидроген.cer, мастер уточнит порт, ставим 444.
Теперь Secure Gateway наш должен его уже видеть и принять.
Причем выглядеть он будет уже - примерно в таком виде:

Т.е. уже как бы подчиненный - выданный рутовым, если проинсталисть эти оба сертификата потом у клиента в Trusted root Sertificat - и в браузере адрес будет совпадать с адресом в сертификате - никаких вопросов к сертификату IE вообще не будет задавать.

Сделать чтобы работал агент просто - достаточно экспортировать настроенную конфигурацию с рабочего сайта вебморды и импортировать в сайт агента. По крайней мере раз возможность работы через altaddr к агенту прикручивается именно так, то есть немаленький шанс, что и через sg заработает.

Добавлено:
Импортировать достаточно один - сертификат CA.
Чтобы и клиент вопросов не задавал - импортировать надо не в юзерское хранилище а в хранилище уч.записи компьютера. Единственное - не уверен, проверяет ли оно при этом список отзыва или нет. Если проверяет - то этот список тоже должен быть соответствующим образом опубликован и доступен с клиента.

abgluck
Да просто клиентская машина с On-line клиентом 12.1 не хочет конектиться через Secure Gateway - пишет что не может проверить сертификат. При этом через Web доступ все работает.
Вот смотрю на нового клиента: CitrixReceiver 3.3 - он теперь только через Веб и https работает, нашел правда Legacy версию его - для PnAgent спрятана на сайте - сразу и не найдешь.
Кстати может падскежете - в версии PnAgent есть фича сохранить пароль, т.е. раз ввел на клиенте - пользуешься, и есть шорткаты автоматом в меню и на десктоп.
А в веб получается надо каждый раз заходить на старничку чтобы запустить опубликованное, вроде не удобно... Может есть какието преимущества в веб версии по удобству - а я их не вижу?

И вот еще про Pass-throught (прозрачную) аутентификацию БЕЗ ДОМЕННОЙ организации: она работает - т.е. захожу на Веб Морду цитрикса - само заходит, но при запуске приложения вылазит окно уже от самой виндоус (введите логин пароль) - возможно ли его убрать - перебирал варианты - всеравно вылазит... или это только при залогиненных в домен компутеров реально полностью прозрачная? При обычной аутентификации паролем - не вылазит же окно от винды а тут...

abgluck

Цитата:

Импортировать достаточно один - сертификат CA.

Ага - спасибо, тоже заподозил что только корневой или как его надо, но лень перепроверять - т.е. тот что сервер себе сгенерил при установке - в моем примере получается root.cer.

привет! подскажите, как скачать iso образ для последнего xenapp?

Можно ли цитриксом опубликовать несколько копий одной программы (прога запускается из папки, размножается копированием папки вместе со всем содержимым и, наконец, каждый экземпляр снабжается уникальными настройками в ini файлах внутри папки).

Надо, чтобы копии не только стартовали из разных путей, но и получали каждая доступ к своему виртуальному диску subst I: (буква должна быть одинаковой, а содержимое диска разным).

Если можно - то как?
Просьба при ответе принять во внимание аудиторию: админ я довольно опытный, но в цитриксе новичок.

Crazy2

Цитата:

Название сервера: Хидроген; в ДНС записях машина видиться извне как хидроген.мойсайт.ком.

А может ли внешнее имя быть другим? (не хидроген, а что-то ещё)

LevT
Можно, но надо учитывать, что subst вешается на всю сессию пользователя, т.е. разные папки на один диск из под одного юзера на одном сервере одновременно не замапишь.
Есть еще Isolation Environment, которая предназначена для подобных выкрутасов без копирования по десятку папок и маппинга разных дисков, возможно получится решить твою задачу через этот механизм. Или через стриминг.

Внешнее имя пофик какое, главное чтоб резолвилось в правильный адрес и соответствовало сертификату.

LevT

Цитата:

А может ли внешнее имя быть другим? (не хидроген, а что-то ещё)

Цитата:

Внешнее имя пофик какое, главное чтоб резолвилось в правильный адрес и соответствовало сертификату.

Ну да, тоже вот не вижу подковырок, т.е. в Hosts прописать другое имя, ну и при настройке сертификат сервера указать его-же. Сертификат должен соответствовать имени.

Нашел кстати, чего не работает веб-фейс сертификата и цитрикса вместе на одном IIS под 2003 сервером x64.
Цитрикс Веб-фейс при установке переводит IIS в 32 бит мод, с установкой 32 битной версии нетфрейма2, зачем не понятно, но факт (по умолчанию IIS ставится 64 битный), а сертификат сервер (файлы сайта) лежат в windows\system32 (как известно у микрософт на 64 битных осях папка system32 - это 64 битная на самом деле а SysWow64 - это для 32 битных драйверов и т.д.) и IIS просто не видит файлы там (т.к. в 32 битном режиме).
Т.е. просто переносим папку от сертификат сервера в тот же InetPub - и перенастраиваем ее как корневую для Сертификат сайта.

Еще получилось прозрачную аутентификацию заработать (2003 без домена), без повторной аутентификации на сервере.

Здравствуйте! Program Neighborhood, поменяли монитор, поменяли разрешение на более высокое, пропало бесшовное окно. Вернули старое разрешение, бесшовное окно вернулось на место. Пробовали переставлять клиента, удалять набор приложений и заново устанавливать, не помогает. В чем причина?

Скорее всего на сервере не хватает памяти, выделяемой под экран пользовательской сессии при увеличенном разрешении.
http://support.citrix.com/article/CTX781561
Если там стоит максимум и его все равно не хватает - то либо уменьшать количество цветов, чтоб влезало, либо
http://support.citrix.com/article/CTX114497

Здравствуйте. Появилась проблема удаленного клиента в виде ошибки "there is no citrix server configured on the specified address". Стоит серваер Win2003+1C+Hamach(IP200.200.200.100) скрытый от внешнего Интернета ещё одним сервером(IP200.200.200.1(внутренний)IP88.88.88.88(внешний)) просто раздающим интернет под winXP. Интернет Срвер подключен к интернету напрямую, т.е между ним и интернетом нет роутера/маршрутизатора. Локальные клиенты работают без проблем. А вот удаленный комп выдает ошибку. В настройках клиента Цитрикс стоит соединяца по WAN TCP/IP+HTTP и галка Use alternate address for firewall connection. На клиенте так же установлен Hamachi. На сервере Цитрикс забита команда
altaddr /set 88.88.88.88 200.200.200.100 /v
Выглядит это примерно так:
Сервер Цитрикс - Win2003+1C+Hamach (IP200.200.200.100 - к инету цепляется через шлюз 200.200.200.1)
Сервер Инета WinXPSP2 2 сетевые карты(IP200.200.200.1(внутренний)IP88.88.88.88(внешний)
Клиент WinXP+Клиент Citrix+Hamachi(IP77.77.77.77)

Вопрос: Необходимо на сервере Инета WinXPSP2 поставить прогу, которая будет пробрасывать порт 1494 на Сервер Цитрикса IP200.200.200.100? Или в этом нет необходимости..т.к. связь идет через Хамачи(хамачи назначает обоим компам статические ИП вида 25.210.67.45 и 25.210.65.87)?

Добавлено:
Вот ещё что выяснил, если ставить галку "Use alternate address for firewall connection"

то выходит ошибка "Cannot connect to the Citrix MetaFrame server.
Unable to locate the requested MetaFrame server name. The server may be unavailable or you may have entered the server name incorrectly."

если галку не ставить, то
"Cannot connect to the Citrix MetaFrame server. There is no Citrix MetaFrame server configured on the specified address."

web в Program Neighborhood - неиспользую.

Добавлено:
С клиента команда telnet dns 1494 отвечает ICA.....а telnet 88.88.88.88 1494 Не удалось открыть подключение......и т.д.