Login Seite des Citrix Web Interface 5.x langsam

Mit Sicherheit ist es dem ein oder anderen schon aufgefallen. Startet man den Browser und verbindet sich mit einem Citrix Webinterface dann kann es mit unter sehr lange dauern bis die Anmeldeseite angezeigt wird.

Allerdings ist es immer nur beim ersten Start. Schließt man die Seite und öffnet sie erneut dann geht es in einer annehmbaren Geschwindigkeit und die Anmeldeseite wird meist sofort dargestellt. Der Grund liegt in der Certification Revocation List (CRL) Überprüfung die an Verisign gesendet wird. Hat das Webinterface nun selbst keinen Zugriff ins Internet (was eben meist der Fall ist) dann dauert es bis zu einer Minute bis der Timeout abgelaufen ist und die CRL Überprüfung übergangen wird.

Durch eine kleine Änderung an der ASP.NET Konfiguration kann dies geändert und die CRL Prüfung übergangen werden. Hierzu wird die folgende rot markierte Zeile in der ASPNET.CONFIG Datei im vom IIS genutzten .NET Framework Verzeichnis eingefügt.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <runtime>
        <generatePublisherEvidence enabled="false"/>
    </runtime>
</configuration>

Die komplette Beschreibung befindet sich im Citrix Knowledgebase Artikel CTX117273.

Advertisements

Bye Bye Citrix Application Streaming

citrixEigentlich war es ja irgendwie zu erwarten. Citrix hat auf der Citrix Synergy 2013 in Anaheim das Application Streaming “beerdigt” und setzt auf die Integration von Microsoft App-V in XenApp und XenDesktop. Bereits im angekündigten XenDesktop 7 wird es die Möglichkeit geben App-V Applikationen über die Citrix Management Console (Citrix Studio) zu verwalten. Hierzu können der App-V Management und Publishing Server eingebunden werden. Die Verwaltung der Anwendungen (Publishing) erfolgt dann innerhalb des Citrix Studios.

Es scheint als lägen die Gründe in den Architekturunterschieden von Windows 8 / 2012 zu den vorherigen Versionen. Nachlesen kann man es Artikel bei TechTarget.

Drive Mappings mittels Group Policy Preferences

Mit den GPP (Group Policy Preferences) lassen sich hervorragend Login Scripts ablösen. Neben den inzwischen reichlich beschriebenen Möglichkeiten die Registry zu manipulieren und Dateien zu kopieren / aktualisieren ist ein weiterer Punkt die Möglichkeit Laufwerke zu verbergen oder Drive Mappings für den Benutzer aufzubauen.

Mit einer einfachen GPP lässt sich zum Beispiel das Laufwerk C: des XenApp Server ausblenden. Dies ging mit GPOs schon immer, allerdings greift dies seit Windows 2008R2 in einer Art und Weise die so nicht gewünscht ist. Verhindert man die Anzeige des Systemlaufwerks mittels der bekannten GPO Einstellungen dann bekommt der Windows Explorer Probleme.

Eine recht elegante und funktionierende Lösung ist daher die folgende GPP.

image

Mit dieser Einstellung kann ein am Server vorhandenes Laufwerk (z.B. Systemlaufwerk oder CD ROM) recht einfach “verborgen” werden. In dem nebenstehenden Beispiel wird das Laufwerk C: im Explorer ausgeblendet.

Sobald Laufwerke nicht für alle Benutzer verbunden werden kommt das “Item-level targeting” zum Einsatz. Die Möglichkeiten an “Item’s” ist vielfältig, aber für Laufwerke macht wahrscheinlich nur das “Security Group” Item Sinn. Diese Einstellung ermöglicht es Laufwerke auf Basis einer Benutzergruppe bzw. natürlich auch auf Basis eines Benutzers zu verbinden.

image

Bei der Erstellung eines “Item-Level’s” ist darauf zu achten die entsprechende Gruppe immer über den “Browse” Button im Aktiv Directory ausgewählt wird. Nur dann wird die entsprechende SID eingetragen und das Targeting funktioniert.

image

Weiterhin muss, vor allem bei Shares auf die nur ein eingeschränkter Benutzerkreis Zugriff hat, der Punkt “Run in logged-on user’s security context …” angewählt sein. Eine GPP wird immer im Kontext des SYSTEM Accounts ausgeführt. Dieser hat unter Umständen keinen Zugriff auf das gewünschte Netzwerk Share. Daher wird für die Ausführung der Drive Mapping GPP dann in den Kontext des sich anmeldenden Benutzers gewechselt. Nachzulesen in diesem TechNet Artikel.

image

Manchmal kann es zu sehr langen Anmeldezeiten bei Nutzung der Drive Mapping GPP kommen. Dies liegt ggfs.. daran dass der entsprechende Server zum Anmeldezeitpunkt nicht verfügbar ist. Dies kann mit einer besonderen GPP Konfiguration verhindert werden. Grund und Lösung zu diesem Problem findet man in diesem Artikel.

.