1 Comment

Als Freiberufler treffe ich häufig auf Citrix "Fallen" in die Kunden gerne tappen. Da ich sie oft gesehen habe kann ich diese zum Erstaunen des zuständigen Administrators schnell beheben. z.B: für Punkt 7 wurde fast zwei Tage vom Kunden verschwendet und von mir in wenigen Minuten behoben.

Hier jetzt eine Liste mit typischen Citrix Fallen:

  1. Nach dem Setup von StoreFront kann sich keiner Anmelden. Die StoreFont Delivery Controller sind gesetzt und alles sieht gut aus.
    Typischer Fehler: Als Standard sind die StoreFront Delivery Controller auf HTTPS und TCP Port 443 und nicht HTTP und Port 80 gesetzt! XenDesktop Delivery Controller oder XenApp verwenden aber nicht HTTPS/443 als Standard und reagieren daher auf keine Anfragen.
    Schnell behoben: In den Einstellungen für Delivery Controller den Typ auf HTTP und Port auf TCP 80 umstellen.
    Beste Variante: Besonders wenn StoreFront auch auf dem Delivery Controller betrieben wird - SSL/443 mit einem privaten oder öffentlichen Zertifikat aktivieren.



  2. Ab- und an Probleme beim Start von Anwendungen über Netscaler Gateway mit StoreFront oder Webinterface. 
    Typischer Fehler: Die Secure Ticket Authority (STA) Server sind nicht gleich in Netscaler Gateway und StoreFront/Webinterface
    Schnell behoben: Verwendung der EXAKT gleichen STA Server in Gateway und SF/WI
    Hinweis: Ich empfehle den FQDN für STA Servers zu verwenden und nicht den Standard Port 80 für den XML Dienst zu ändern.

  3. Nach der Authentifizierung am Netscaler Gateway kommt die berühmte StoreFront Fehlermeldung "Anforderung kann nicht abgeschlossen werden". Der hervorragende Citrix Artikel CTX207162 wurde durchgearbeitet aber keine Änderung.
    Typischer Fehler: In StoreFront wurden die Trusted Domains z.B: mit MyDomain.com gesetzt, damit Benutzer nur ihren Anmeldenamen angeben müssen. Im Netscaler Gateways Session Profile wurde aber die Singe Sign-On (sso) Domäne auf MyDomain gesetzt und darum kann die gesendete SSO Anfrage nicht abgeschlossen werden, da diese abgelehnt wird.
    Schnell behoben: Hinzufügen von MyDomain- oder Ändern der Trusted Domains in StoreFront zu MyDomain.com
    Hinweis: Prüfen des Citrix Delivery Services Eventlog unter Anwendungen- und Dienste Logs

     

  4. Verwendung des Netscaler VPX zum Lastenausgleich von Backend SSL Systemen wie Outlook Webaccess ohne SSL Offload. Der Loadbalancer wird als Offline angezeigt.
    Typischer Fehler: Virtuelle Netscaler Appliances (VPX) unterstützen nur bis 2048 Key Size auf backend Systemen und wenn höher kommt es zum Fehler!
    Schnell behoben: Auf SSL Offload wechseln und kann mit einigen backend Systemen recht einfach sein.
    Beste Variante: Ändern des backend Zertifikat mit nur 2048 Key Size um die Sicherheit der Verschlüsselung zu erhalten.
    Hinweis: Prüfen Sie den Netscaler Monitor, dieser sollte eine Meldung zeigen mit einem Sync Problem.

  5. Sie bemerken, dass die Netscaler (Gateway) Zeit ist nicht mehr Synchron und haben daher einige Probleme. Der NTP Server wurde gesetzt.
    Typischer Fehler: Die NTP Synchronisierung ist nicht aktiv. Nachdem der NTP Server gesetzt wurde MUSS die Synchronisierung noch aktiviert werden
    Schnell behoben:  Unter NTP Service Aktionen aktivieren sie die Synchronisierung
    Hinweis: Sollte die Zeit noch immer nicht passen, dann prüfen Sie auf der Netscaler CLI das der NTP Deamon tatsächlich gestartet wurde.
    Link: Lesen sie mehr zu dem Thema Die Wichtigkeit der Zeit in einem Netscaler HA Setup

  6. Beim Verwenden des XenMobile Wizard in Citrix Netscaler wählen Sie SSL offload zu dem XenMobile Server. Nach Fertigstellung funktioniert nichts.
    Typischer Fehler: SSL offload ist als Standard NICHT aktiv auf dem XenMobile Server und der Wizard weist nicht darauf hin
    Schnell behoben: In der XenMobile Server CLI aktivieren Sie SSL offload
    Beste Variante: Verwenden Sie SSL für XenMobile
    Hinweis: Für eine höhere Sicherheit sollten Sie SSL verwenden und der Grund warm Citrix SSL offload als Standard deaktiviert hat.

  7. Sie haben Probleme das richtige VMWare vCenter Root Zertifikat zu finden damit XenDesktop Hosting funktioniert?
    Typischer Fehler: Nicht genau hingeschaut ;-)
    Schnell behoben: Auf der vCenter Anmeldeseite finden Sie das Root Zertifikat auf der rechten Seite. Nach dem Download benennen Sie es um in ZIP. Entpacken sie die Zip Datei und benennen sie die 01 Datei in cer. Das ist das notwendige Root Zertifikat
    Hinweis: Prüfen Sie das Zertifikat für den FQDN, neuere Versionen haben meist zudem den Server FQDN enthalten.

  8. Sie nutzen SecureHub um HDX Sitzungen zu starten können aber nicht die HDX Einstellungen für Anzeige etc. finden
    Typischer Fehler: Auch, wenn Receiver (notwendig für HDX) mit SecureHub nicht konfiguriert werden so müssen sie doch einen Account in Receiver erstellen um an die HDX Einstellungen zu kommen! 
    Schnell behoben: So weit ich weiß gibt es hier keine andere Möglichkeit als einen Account zu erstellen.
    Hinweis: Nicht wirklich eine Falle aber ehr etwas das Citrix nun schon seit Jahren übersehen hat. 

  9. Single Sing-On funktioniert nicht
    Typischer Fehler: Der XML Trust wurde nicht aktiviert
    Schnell behoben: Mit XenDesktop 7.x muss der Trust via Powershell aktiviert werden
    Hinweis: Bis XenApp 6.5 konnte der Trust einfach in der Konsole aktiviert werden.
    PoSh: Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true 

  10. Mehrfachsitzungen Starten mit dem gleichen Active Directory Benutzerkonto
    Typischer Fehler: Mehrfachsitzungen müssen erst aktiviert werden
    Schnell behoben: Mit XenDesktop 7.x muss dies wie schon beim Trust per Powershell aktiviert werden
    Hinweis: Bis XenApp 6.5 konnte dies einfach in der Konsole gemacht werden.
    PoSh: Set-BrokerEntitlementPolicyRule <Delivery Group Name> -SessionReconnection DisconnectedOnly

  11. Der Start von Citrix Sitzungen via Web Interface oder StoreFront dauert lange oder gar nicht.
    Typischer Fehler: Es wird ein Proxy-Server verwendet und der Citrix Client nutzt die Browser Einstellungen
    Schnell behoben: In der default.ica für rein interne Verbindungen den Proxy Eintrag auf NONE setzen.
    Hinweis: Wer intern Proxy-Server verwendet sollte ein besonderes Augenmerk in Bezug auf Citrix haben.
    CTXKB: StoreFront Client Proxy Configuration - https://support.citrix.com/article/CTX136516 

 

Sie möchten was ergänzen? Kommentare Bitte unten schreiben!

Gib hier deinen Kommentar ein...
oder als Gast kommentieren
Bisherige Kommentare:
Lade Kommentar... Der Kommentar wird aktualisiert nach 00:00.
  • Dieser Kommentar ist unveröffentlicht.
    Jürgen · vor 1 Monaten
    Hallo,
    ich hab die Woche auf Windows 11 umstellen müssen, nun zickt CItrix mit 1000004.SSL-Fehler 4 rum.
    Im Deskopfenster kommt der Hinweis
    "Aufgrund eines SSL-Fehlers konnte keine Verbindung zum (tsr.seva.$$$$.de:443 ) Server hergestellt werden.   $$$$ = Firmendomaine
    Es wird auch folgende Transaktions-id ausgegeben  d52ab70b-ca09-4d6a-84fb-dd3f7bf0b2d6

    Habe mir im Netz schon die Augen wund gesucht und aus lauter Verzweiflung TLS 1.0 / 1.1 aktiviert, was mit Windows 11 wohl standardmäßg ausgechaltet wird,

    Hast Du hier vielleicht einen hilfreichen Tipp ??

    LG Jürgen
    • Dieser Kommentar ist unveröffentlicht.
      Thomas Kötzing · vor 1 Monaten
      @Jürgen Ich habe nur kurz google befragt mit "1000004.SSL-Fehler 4" und bekomme als erstes:
      Citrix Workspace App 2402 LTSR CU1 Hotfix 3 – behobene Probleme
      Wenn Sie eine Smartcard für die Authentifizierung verwenden, tritt möglicherweise ein Fehler beim Öffnen einer Sitzung auf und es wird möglicherweise die folgende Fehlermeldung angezeigt:

      “konnte aufgrund eines SSL-Fehlers keine Verbindung zum Server herstellen: 1000004.SSL-Fehler 4

      Dieses Problem tritt in der Citrix Workspace-App für Windows, Versionen 2311 und 2402 LTSR, auf. [CVADHELP-25115]
Copyright © 2025 koetzingI it - Thomas Kötzing -- Freiberufler, Analyst - Former Microsoft MVP , Former Citrix CTP 2006-2017