Citrix Provisioning Serverの制限について

CitrixProvisioningServer(以下PVS)には、あまり知られていない制限があります。起動するデバイスにvDiskを割り当てるためにvDiskプールやストアへディスクイメージを追加します。追加されたvDiskは、データベース内の「DiskLocator」テーブルに追加され、[DiskLocator].[id]の値が自動で加算されるテーブル構造になっています。ターゲットデバイスが起動するとStreamDbがデータベースの値を読み取りStreamProcessがターゲットデバイスに配信を行います。この処理中にあまり知られていない制限があるようです。StreamDbは[DiskLocator].[id]の値を正しく読みだすのですが、StreamProcessは[DiskLocator].[id...CitrixProvisioningServerの制限について

Windows Server 2016のタイルについて その後

タイル情報を移動ユーザープロファイル内に保持するだけではダメなことが判明しました。Hotfixの違いによるのかは定かではないのですが、アイコンキャッシュの再作成を実施しないとタイルにピン止めしたショートカットの情報は保存されたのですが、アイコンが消えてしまいました。アイコンキャッシュも合わせて移動ユーザープロファイル内に保存する必要があるのかは検証中なのですが、現在は次のような処理をログインスクリプトに組み込んで検証しています。ResetCacheに[1]をセットするとログイン時にキャッシュが再作成され、[0]に値が戻ってしまいます。キャッシュが再作成されるとResetCacheCountの値が増えていき上限があるのかを調べるのが面倒なので毎回[0]に設定しています。CitrixのUPMを利用する場合には、HK...WindowsServer2016のタイルについてその後

Windows Server 2016のタイルについて

CitrixVirtualApps(CVA)でWindowsServer2016を公開デスクトップとして利用している場合、フォルダリダイレクトや移動ユーザープロファイルを組み合わせて利用していることが一般的だと思います。これらとセットで設定するのが「一時記憶された移動プロファイルのコピーを削除する」のポリシーです。移動ユーザープロファイルの大前提として環境変数%APPDATA%のデータは残りますが%LOCALAPPDATA%のデータは残りません。スタートメニューに表示されているアイコンを右クリックし「スタート画面にピン止めする」で好きなアイコンをピン止めし、アイコンをグループ化したりとWindows10と同様の操作感で利用したいと誰しもが思うことです。初回ログインして自分の好きなようにスタートメニューのアイコン...WindowsServer2016のタイルについて

わかりそうでわかりにくいCitrix Virtual Apps and Desktopsのライセンスモデル

CitrixVirtualAppsandDesktops(通称CVAD)には、異なる2つのライセンスモデルがあります。一つはユーザー／デバイスライセンス(UD)で、もう一つは同時接続ライセンス(CCU)です。価格も異なっており、CCUとUDの間には2倍ほどの差があります。CCUは、その名の通り同時に利用できるライセンス形態で100人が同時で利用したい場合には、CCUライセンスが100必要になります。一方、よく意味の分からないのがUDライセンスです。「ユーザー？デバイス？…。なんのこと？？？」どのような仕組みでライセンスが計算されるのかを見ていきましょう。まず、登場人物から(明治安田生命名前ランキング2021より)。利用者：ハルト、ミナト、リク、ソラ、ソウタ端末：PC01、PC02、PC03①ハルトがPC01より...わかりそうでわかりにくいCitrixVirtualAppsandDesktopsのライセンスモデル

XenApp(Citrix Virtual Apps)と拡張子の関連付けについて

久々のブログ更新です。CitrixVirtualApps(旧XenApp)には、公開アプリケーション事に拡張子の関連付け(FTA)の設定項目があります。クライアント端末にOffice製品をインストールしていなくてもpptxやdocx、xlsxファイルをダブルクリックするとサーバーへリダイレクトされ公開アプリケーションが起動できます。このFTAに関して少し問題が。Outlookを公開アプリケーションに設定し、Mailtoの関連付けをします。クライアントよりmailto:abc123@test.com のリンクをクリックしてもOutlookが起動しません。これは由々しき事態です！！端末側で既定のアプリを見ても公開アプリケーションのOutlookも表示されていませんし、一覧にも表示されてきません。これは由々しき事態で...XenApp(CitrixVirtualApps)と拡張子の関連付けについて

Citrix環境下でのプリントサーバーの冗長化について

少し前のWindowsServerでは、PrintSpoolServiceのCluster化がサポートされており、Clusterによりプリントサーバーの冗長化を採っているケースがいくつかあるようです。Windows2012R2以降よりCluster化をサポートしなくなってしまい、そのころ構築されていたXenAppやXenDesktopを最新のOSやバージョンへ刷新する際、プリントサーバーをどうするのかが問題になります。CitrixVirtualAppsandDesktop(CVAD)の7.9以降のバージョンでは、プリンタサーバーの負荷分散、冗長化をサポートしており、その機能が「UniversalPrintServer(UPS)」です。構築方法もすごく簡単で、プリントサーバーへUPSのコンポーネントを追加し、ポリ...Citrix環境下でのプリントサーバーの冗長化について

BMAX B1 PlusとHDMIダミープラグ

広告を取り除いてくれるPrivoxyを利用したかったのでBMAXB1PlusをAmazonでポチっとしました。OPNsenseをインストールし追加のパッケージとしてPrivoxyをインストールし、ブラウザのProxyへPrivoxy用に割り当てたVIPを登録しました。無事、広告が取り除かれ快適に利用できたので本来の設置場所へ移動させました。キーボードもモニターも接続していない状態で電源を入れると全く応答しません。モニターをつないで画面を確認しても何も映っていない状態です。どうもモニターを接続していないと全く起動してこないようです。RouterやHUBを置いているところに設置するのでそもそもモニターなんて用意していません。ダメもとでHDMIダミープラグを追加でポチっとし、BMAXに接続しました。「おーーー。OSが...BMAXB1PlusとHDMIダミープラグ

セッションタイムアウト2分前に表示されるメッセージの制御(Windows Server 2016)

XenAppやXenDesktopの製品名がCVADに変更されていました。WinFrame、MetaFrameXP、MPS、CPS、XenApp&XenDesktopと製品名称が変更になり、AppとDesktopが1つの製品ラインに変更されCVADとなったのでしょうか。個人的にはXenApp、XenDesktopが好きなのでここではXenAppと表記します。さて、無操作状態(アイドル)のタイムアウトの設定ですが、XenDesktopではCitrix側のポリシーで設定できるのですが、XenAppの場合は、グループポリシーで設定する必要があります。元々XenAppがMicrosoftRDSのアドオンとして開発された経緯があるのでその制限を受けているのかと思います。アイドルタイムアウトの設定ですが、残り2分を切るとポ...セッションタイムアウト2分前に表示されるメッセージの制御(WindowsServer2016)

StoreFrontとCsrfトークン

クロスサイトリクエストフォージェリ(CSTRF)対策のため、StoreFrontではCsrfTokenを利用する機能が実装されています。SDKを確認すると、HTTP、HTTPSの両通信で必須となっており、GUIから無効にすることはできないのですが、極稀にですが、Csrf-Tokenの利用を無効化したい場合があります。NetScaler等の機器でこのCookieを削除するルール(Rewrite)を作成してStoreFrontのLB用VIPに適用するとエラーが発生して利用できません。やはりCsrf-TokenのCookieは必須のようです。Wiresharkでキャプチャしたパケットを眺めていると、ブラウザを経由せずにReceiverへサイトを登録して接続するとCsrf-Tokenを利用していないことが判明しました。...StoreFrontとCsrfトークン

Let's Encryptによるサーバ証明書の発行について

Let'sEncryptから発行された証明書を利用する場合、証明書を導入する機器より専用のツールを実行して証明書を受け取ります。その際、httpによるコンテンツの確認を実施するため、利用する構成次第では少々厄介です。WindowsやLinuxで利用するWebサーバであればツールをダウンロードして実行することが比較的容易にできるのですが、仮想アプライアンスやハードウェアで証明書を利用するには専用のツールを利用できないばかりか、そもそもコンソールが利用できないケースもあります。そこで考えるのが「別環境で作成した証明書をインポートして使いたい」と。とりあえずうまく発行できたので少し手順をまとめてみることにします。1.インターネットから接続できるセグメント(DMZかな)にIISを用意する。一番お手軽で誰でも比較的容易に...Let'sEncryptによるサーバ証明書の発行について

ClickOnceアプリケーションの展開について

以前、移動ユーザプロファイル環境でClickOnceアプリケーションを利用する方法を考えてみましたが、今回は展開する方法を考えてみます。アプリケーションは、「http://100.100.100.100/test.application」より展開するものとします。ClickOnceアプリケーションは、IEの引数としてURLを指定するとダウンロードとインストールが開始されるのですが、検証していたXenApp7.15LTSRCU5ではうまく動作しません。公開アプリケーションにはIEを設定し、引数には先ほどのURLを設定しています。Windows2016を利用しているため、環境に左右される可能性があることは否めないのですが、謎です。プロセスとしては起動するのですがすぐに終了してしまいます。通常、ClickOnceアプ...ClickOnceアプリケーションの展開について

iDRAC からAlertメールの送信について

ハードウェアの障害監視として、iDRACのライセンスがExpressかEnterpriseであれば、iDRACからAlertメールが送信できます。昨年末に公開されたiDRACのファームウェア(4.00.00.00)は、SMTPの通信方式が変更されているようです。以前のファームまで通信は暗号化されていなかったのですが、このバージョンからはSTARTTLSでの暗号通信がデフォルトで有効になっています。クラウドサービスとして外部のSMTPサーバを利用しているのであればそのまま利用できるのですが、社内に設置されているSMTPサーバでは、この設定が有効になっている環境は、さほど多くありません。従来の通信方式に変更する場合、次のコマンドで設定を変更してください。1.iDRACへSSHで接続します。2.「getidrac.R...iDRACからAlertメールの送信について

Zabbixからの情報取得について

ZabbixよりWindowsサーバでのページファイル使用率を取得する方法を考えてみました。標準で用意されているテンプレートでは取得できないため、Zabbixのsystem.runを使用して取得する方法を採ることにしました。ページファイルのサイズや現在利用されているサイズは、WMIコマンドのWin32_PageFileUsageを参照すると取得できます。コマンドの実行にはバッチファイルやPowerShellが利用でき、それぞれのパターで作成しました。◆バッチファイル版@ECHOOFFfor/f"usebackqdelims==tokens=2"%%ain(`WMICPAGEFILEgetAllocatedBaseSize/value^ find"AllocatedBaseSize"`)dosetAllocate...Zabbixからの情報取得について

Citrix Directorの認証について

公開アプリケーション、デスクトップ、ポリシー等々の設定には、CitrixStudioを利用します。CitrixDirectorを現在の細かな情報が確認できたり、リモートアシスタントで画面を共有したりといろいろ便利な機能があります。CitrixDirectorは、Webベースのアプリケーションですが、起動時には必ず認証画面が表示され、ブラウザに認証情報を保存している場合でも毎回ログオンボタンを押す必要があります。毎日のように利用する方にとっては、面倒に感じている方も多くいると思います。そこで、認証情報を入力せずに利用できる方法を考えてみました。では、「インターネットインフォメーションサービス(IIS)マネージャー」を起動してみましょう。[サイト]->[DefaultWebSite]->[Director]の順に選...CitrixDirectorの認証について

リモートデスクトップクライアント(MSTSC.EXE)とクライアントリソースのリダイレクト

サーバメンテナンス用として一般的にリモートデスクトップで接続し作業を行うと思います。公開アプリケーションとしてMSTSC.EXEを設定する方法について考えてみましょう。クライアントドライブなどのクライアントリソースをリダイレクトさせたくない場合には、接続先のサーバで次のポリシーを設定します。[コンピュータの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[リモートデスクトップサービス]-[リモートデスクトップセッションホスト]-[デバイスとリソースのリダイレクト]-ドライブのリダイレクトを許可しない->有効このポリシーが適用されていればクライアントドライブのリダイレクトは無効になります。RDPで接続してサーバのメンテナンスを行うユーザアカウントは、通常ある程度の管理者権限を付与されているため、...リモートデスクトップクライアント(MSTSC.EXE)とクライアントリソースのリダイレクト

StoreFrontのデフォルト認証をSSOに変更する

シングルサインオンが有効に設定されているStoreFrontへ初回接続すると、認証方式を選択する画面が表示されます。通常のクライアント端末(FATクライアント)であれば設定した内容をCookieに保存できるので次回ログイン時にも設定を記憶しているのですが、再起動すると初期化されてしまうシンクライアントでは接続するたびに認証情報を選択する画面が表示されてしまいます。クライアントがブラウザよりアクセスすると、StoreFrontは保存されているCookieの情報を確認します。Cookieの値「CtxsAuthMethod」を確認し、この値が「IntegratedWindows」に設定されているとSSOが有効になり、「ExplicitForms」が設定されていたり、CtxsAuthMethodのCookieが見つから...StoreFrontのデフォルト認証をSSOに変更する

ADに承認されていない未承認DHCPサーバを用意する

Windows2012R2等でDHCPサーバを構築する場合、「承認」が必要になります。承認には「EnterpriseAdmins」以上の権限が必要になり、お気軽に構築することができません。「ドメインに参加しないサーバを用意してDHCPにすれば良いんじゃないの」と思いサーバを用意して設定しても数分後には利用できません。ドメインに参加していないサーバでDHCPを構築しても同一セグメント内にADサーバやメンバサーバを検出すると機能を停止します。Windowsは安全のために承認されていないDHCPサーバを検出すると機能を停止する仕組みが備わっています。DHCPサービス起動直後は機能しており、しばらくすると停止することから、何かしらの仕組みで制御されているのはなんとなく想像できます。ProcessMonitorでDHCP...ADに承認されていない未承認DHCPサーバを用意する

STAの死活監視

NetScalerをICAProxyとして利用する際、STAサーバとしてDeliveryControllerを指定します。ある程度の規模になるとDeliveryControllerも2台以上となるのでNetScaler側に登録するSTAの情報も複数台になります。STAの死活監視については設定項目がなく、パケットキャプチャを確認すると2分間隔で監視していることがわかりました。監視の方法は、SNIPよりSTAサーバの/Scripts/CtxSTA.dllに対してPOST処理を行っており、STAがダウンしても最大で2分間は検知できないことになります。STAの死活関しですが、[TraficManagement]->[Monitors]にある「sta」を利用しており、この設定を見るとIntervalが2分で、Retrie...STAの死活監視

VDI環境で利用する際のGoogle Chromeについて

移動ユーザプロファイルやフォルダリダイレクトを利用する環境でChromeを利用する際に必要となりそうな設定をまとめました。移動ユーザプロファイルやフォルダリダイレクトを伴うVDI環境でChromeを利用する場合、必要と思われる設定がいくつかあります。Chromeは、Googleよりグループポリシーのテンプレートが公開されているのでそれを利用すると設定しやすいのですが、ActiveDirectoryへテンプレートの導入が制限されている環境ではレジストリでの設定が必要になります。なんとなく設定しておいたほうがいい項目をまとめてみました。1.ディスクキャッシュサイズ初期設定ではどれだけのサイズが設定されているのかよくわからないのですが、次のポリシーを設定します。「デスクサイズをバイト単位で設定する」このポリシーにバイ...VDI環境で利用する際のGoogleChromeについて

ClickOnceアプリケーションを移動ユーザプロファイル環境で利用する その3

インストール先は変更できたと思いますが、1つ問題が発生します。再ログインするとアプリケーションが利用できません。アプリケーションは目的のフォルダにインストール出来ているので他に問題がありそうです。ClickOnceアプリケーションに関する情報を確認すると、このアプリケーションは、次のレジストリに情報を保存しています「HKCUSoftware\Classes\Software\Microsoft\Windows\CurrentVersion\Deployment\SideBySide\2.0」通常レジストリの情報は、NTUSER.DATとして移動ユーザプロファイル領域に含まれているのですが、Classesのキーは別の場所に保存されています。Classesのデータは、「%LOCALAPPDATA%\Microsof...ClickOnceアプリケーションを移動ユーザプロファイル環境で利用するその3

ClickOnceアプリケーションを移動ユーザプロファイル環境で利用する その2

まずは、インストール先を変更することから始めます。インストール先の変更には、一般的にシンボリックリンクやジャンクションリンクで対応します。MKLINKコマンドは、UNCパスも設定できるのですが、利用には管理者権限が必要となり、通常ではあまり利用できません。一般権限で利用できるジャンクションリンクを利用して移動ユーザプロファイル先に保存先を変更します。【例】MKDIR%USERPROFILE%\AppData\Roaming\AppsMKLINK/J%USERPROFILE%\AppData\Local\Apps%USERPROFILE%\AppData\Roaming\Appsこの例では、移動ユーザプロファイル領域に「Apps」ディレクトリを作成し、その場所を\Local\Appsへリンクしています。%USER...ClickOnceアプリケーションを移動ユーザプロファイル環境で利用するその2

ClickOnceアプリケーションを移動ユーザプロファイル環境で利用する その1

ClickOnceアプリケーションの対応状況は、CTX126004の技術情報としてCitrixでは公開しています。ClickOnceアプリケーションは、「%LOCALAPPDATA%\Apps\2.0」にインストールされXenApp等のマルチユーザー環境では利用できません。XenDesktop等のVDI環境は、構築形態にもよるのですが1ユーザ1ゲストOSが割り当てられるのでユーザーが個々にインストールすれば問題なく利用できるのですが、ある程度の規模でVDIやRDSを展開するには、CitrixのMCSやPVS、VMwareのリンククローン等の技術を利用して展開する事になります。これらの技術に共通して言えることは、「再起動すると初期状態に戻る」ことです。それを補うために移動ユーザプロファイルや、フォルダリダイレクト...ClickOnceアプリケーションを移動ユーザプロファイル環境で利用するその1

クライアント証明書の配布

i-Filter等のProxy製品では、代理証明書を利用するためにグループポリシーを利用して配布している環境は多いと思いますが、グループポリシーで配布できる証明書は、ルート証明書や中間証明書など、一部の証明書に限られています。セキュリティーを高めるために接続元クライアントに証明書を導入する「クライアント証明書」を利用するケースがあると思いますが、端末個々やユーザ個々に証明書を導入する必要があり、利用する側からすると少々面倒です。クライアント証明書を利用するには、秘密鍵付きの証明書(pfx形式かな)を個人の証明書としてインポートする必要があり、先程のグループポリシーでは実装できません。秘密鍵付きの証明書をインポートした場合ですが、ファイルやレジストリに保存されることは確かです。保存されている場所が分かるとポリシー...クライアント証明書の配布

Thunderbirdと移動ユーザプロファイル

ThunderbirdやFirefoxのMozilla製品は、グループポリシーで制御するためのポリシーテンプレートは用意されていません。グループポリシー(レジストリ)に情報を保存するのではなく今でも設定ファイルに情報を保存しているようです。※無償で公開されているAdd-Inを組み込めばポリシーテンプレートが利用できるのですが・・・。Thunderbirdのデータは、デフォルトで「%APPDATA%」に保存されています。%APPDATA%なので「C:\Users\ユーザ名\AppData\Roaming」です。起動時にThunderbirdは「%APPDATA%\Thunderbird\profiles.ini」の情報を元にデータ領域にアクセスしますが、profiles.iniにファイルが存在しないと自動で作成さ...Thunderbirdと移動ユーザプロファイル

XenServerのHAとPool Master

ご存知の通り、PoolMasterが停止してしまうと悲しいことになります。vGPUやGPUを利用している仮想OSが可動するXenServerでは、高可用性(HA)を有効にしてもサーバ障害時に仮想OSは保護されません(最新のバージョンでは出来るようですが、そもそもその分GPUが必要かと)。HAを構成する場合にはNFSやiSCSI接続可能なストレージ(最近ではSMB3.0が利用できるとか)が必要になるのですが、手始めに検証目的で共有ストレージを利用しない小規模な構成で導入するケースが多々あります。CitrixStudioでXenServerを登録するには、PoolMasterのサーバを指定するのですが、HAが有効でない環境ではPoolMasterサーバが停止してしまうとゲスト起動等の操作が一切できなくなってしまいま...XenServerのHAとPoolMaster

XenDesktopとMCS(Machine Creation Services)とSMB3.0

Hyper-V+XenDesktop+MCS(MachineCreationServices)を組み合わせる際には、いくつかの注意点があります。XenDesktopでHyper-Vを利用するにはSCVMM(SystemCenterVirtualMachineManger)のコンソールをDeliveryControllerのサーバへ導入する必要があります。マシンカタログを作成する際にSCVMMを経由してHyper-Vにアクセスして仮想OSの作成や電源等を管理するのですが、DeliveryControllerからSCVMMを経由してHyper-Vへアクセスすることになります。DeliveryControllerからSCVMMへのアクセスには問題ないのですが、その次へのアクセスは「CredSSP認証プロトコル」を有効...XenDesktopとMCS(MachineCreationServices)とSMB3.0