Information zur Installation des Citrix Receivers


Inhaltsverzeichnis


Welches Betriebssystem wird empfohlen?

Das krz unterstützt alle aktuellen Versionen von Microsoft Windows.

Das krz stellt seine Verfahren – sofern es keine Web-Applikationen sind – über das Produkt XenApp der Firma Citrix zur Verfügung, betrieben auf Windows Servern. Zur Verbindung mit unseren Servern benötigen unsere Kunden auf ihren Client-PCs den Citrix Receiver, der die Verbindung zu unseren Systemen aufbaut und die Applikation darstellt.

Diese Software wird vom Hersteller Citrix auch für andere Betriebssysteme als Windows angeboten, etwa für Mac OS X 10.8 oder neuer, für aktuelle Linux-Distributionen und Mobilbetriebssysteme. Die Nutzbarkeit unserer Verfahren unter Mac OS X oder Linux ist noch voll gegeben, während Mobilbetriebssysteme durch das vollkommen andere Bedienkonzept nicht sinnvoll nutzbar sind.

Das muss bei 64-Bit-Versionen von Windows beachtet werden:

Den Internet Explorer gibt es unter 64-Bit-Betriebssystemen zweimal: Einmal in der gewohnten 32-Bit-Ausgabe und einmal in einer 64-Bit-Version. Es kann passieren, dass die 64-Bit-Version als Standardbrowser eingestellt ist, so dass alle HTML-Verknüpfungen und Favoriten damit geöffnet werden – leider kann es dabei Probleme mit dem grundsätzlich 32-bittigen Citrix Receiver geben! Sie müssen bei Verwendung des Internet Explorer also darauf achten, dass entweder der 32-Bit-IE ihr Standardbrowser ist, oder zumindest den Link zu unserem Webinterface explizit mit dem 32-Bit-IE aufrufen!


Welche Version ist installiert?

Wenn schon ein Citrix Receiver installiert ist, können Sie folgendermaßen die Version bestimmen.

Sie finden im SysTray (der Bereich mit kleinen Icons auf der rechten Seite der Startleiste, links neben der Uhrzeit) bei bestehender Verbindung ein Symbol, das sich beim Darüberhalten der Maus als Citrix Receiver zu erkennen gibt. Dieses Symbol sollte folgendermaßen aussehen:
Icon des Citrix Receiver
Sollten Sie dieses Symbol sehen, klicken Sie bitte mit der rechten Maustaste darauf und wählen aus dem Menü »Erweiterte Einstellungen«. Im erscheinenden Dialog sehen Sie unten unter »Info« die Versionsnummer. Sie benötigen mindestens die Version 4.7!

Derselbe Weg funktioniert bei diesem Symbol:
Icon der Citrix Workspace App
Hierbei handelt es sich um die neue Citrix Workspace App, deren Versionsnummer auf demselben Weg ermittelbar ist, sich aber an Jahres- und Monatsangaben orientiert. Diese Client-Version ist auf jeden Fall neu genug und geeignet für den Zugang zu unseren Anwendungen.

Falls Sie ein anderes Symbol sehen, können Sie sicher sein, dass Ihre Version zu alt ist, um noch weiterbenutzt werden zu können.

Sie benötigen auf jeden Fall einen Citrix Receiver ab Version 4.7 oder die Workspace App!


Welche Version sollte installiert werden?

Für OK.EWO mit Fingerabdruckscanner bzw. Verschlüsselungskomponente:

Befolgen Sie bitte unbedingt die Anleitung des OK.EWO-Teams!

Für alle anderen Applikationen:

Für alle Installationen gilt:


Welche Client-Pakete sind in unserem Downloadbereich?

Folgende Citrix Receiver für Windows liegen für Sie unter https://aspsupport.krz.de/ica-client/ bereit und sind sowohl für 32-Bit- als auch für 64-Bit-Systeme geeignet:

Weitere Parameter für eine automatisierte Installation des Citrix Receiver sind in den Citrix eDocs dokumentiert.

WICHTIG:

Installieren Sie den Citrix Receiver bitte NICHT von einer Netzwerkfreigabe, egal ob per Laufwerksbuchstabe oder UNC-Pfad angebunden. Da die Installation mit Administrativen Rechten durchgeführt werden muss, steht die Netzwerkverbindung dann meist nicht zur Verfügung!

Ausnahmslos alle Versionen vor 4.9.6001 sollten, alle Versionen vor 4.7 müssen baldmöglichst durch diese Versionen ersetzt werden, da wir nur noch für diese einen reibungslosen Betrieb gewährleisten können.

Dabei sollten Sie beachten, dass bei allen aktuellen Receivern auf manchen Rechnern Verbindungsprobleme auftreten, die sich auf Probleme in den Proxy-Einstellungen des Arbeitsplatzes oder der Konfiguration des lokalen Proxy-Servers zurückführen lassen. Siehe auch »Was ist beim Einsatz eines Proxy-Servers zu beachten?«.

Wir selbst sind an die Vorgaben unserer Softwarehersteller gebunden. Anwender unserer OK-Verfahren halten sich bitte unbedingt 100%ig an die Vorgaben der Verfahrensbetreuer!

Falls Sie selbst eine Citrix XenApp- oder XenDesktop-Site betreiben, oder noch von anderen Dienstleistern Anwendungen über Citrix XenApp / XenDesktop zur Verfügung gestellt bekommen, sollten Sie sich mit uns in Verbindung setzen und die Möglichkeiten mit uns durchsprechen, insbesondere wenn ein anderer Dienstleister andere Anforderungen an den Citrix Receiver stellt!


Wie muss installiert werden?

Vor der Installation:

Falls Sie von einem Citrix Receiver 4.1 oder höher (!) auf einen Version 4.4 oder höher aktualisieren: Gehen Sie bitte direkt zum Abschnitt »Installation«

Bitte deinstallieren Sie den alten Citrix ICA-Client.

Ein Upgrade auf einen aktuellen Receiver beinhaltet immer auch die Deinstallation der alten Client-Software. Insofern ist dieser Abschnitt für alle wichtig, die eine Upgrade-Installation vorhaben und sichergehen wollen, dass keine Reste des alten Clients übrig bleiben, die den Betrieb stören. Citrix hat im Knowledge-Center den Artikel CTX135933Upgrading to Citrix Receiver for Windows«) veröffentlicht, das darstellt, welche Versionen sich problemlos aktualisieren lassen. Alle älteren, als die darin dargestellten machen tendenziell eher mehr als weniger Probleme:

Die Deinstallation älterer Citrix Clients bzw. das rückstandsfreie Entfernen derselben ist nicht immer problemlos. An dieser Stelle hat sich der Hersteller nicht wirklich mit Ruhm bekleckert. Daher stellt Citrix zum Deinstallieren von Versionen ab Online Plug-In 11.x ein Clean-Up Utility (Artikel CTX137494: »Receiver Clean-Up Utility«) zur Verfügung, welches wir ebenfalls hier für Sie bereithalten.

Das Receiver CleanUp Utility muss unbedingt zuerst mit administrativen Rechten unter dem Benutzeraccount ausgeführt werden, der üblicherweise Installationen durchführt. Führen Sie jetzt bitte unbedingt einen Neustart durch!
Anschließend muss das CleanUp Utility erneut im Benutzerkontext aller eigentlichen Anwender ausgeführt werden!

Manuelle Deinstallation

Manchmal ist es nicht ausreichend, das CleanUp Utility auszuführen. Insbesondere beim Wechsel von einer älteren Version muss manuell aufgeräumt werden. Manuelles Aufräumen bedeutet, auf jeden Fall zuerst den Client über die vorgesehene Routine zu deinstallieren und das CleanUp Utility laufen zu lassen. Danach ist es ganz wichtig, den Rechner neu zu starten, denn sonst bleiben einige Dateien im Zugriff und sind nicht löschbar! Jetzt müssen mit administrativen Rechten verschiedene Verzeichnisse und Registry-Einträge gelöscht werden. Alle Angaben hier beziehen sich auf Windows-Betriebssysteme ab Vista / Server 2008, für ältere Systeme müssen die Verzeichnisnamen entsprechend angepasst werden:

Vorsicht, falls Sie noch andere Citrix-Produkte im Einsatz haben: Entweder sollten diese vorher deinstalliert und anschließend neu installiert werden, oder Sie müssen die dafür zuständigen Verzeichnisse in sämtlichen oben genannten Pfaden am Leben lassen!

Die Registry-Zweige im Folgenden tauchen auch ggf. in mehreren Benutzerprofilen auf:

Auch nach diesem Schritt sollten Sie noch einmal einen Neustart durchführen.

Installation:

ACHTUNG: Installieren Sie bitte den Citrix Receiver UNBEDINGT in einer Befehlszeile mit administrativen Rechten! Ansonsten wird der Receiver möglicherweise im Benutzerkontext installiert und kann nur unter dem Benutzerkonto benutzt werden, unter dem er installiert wurde! Abgesehen davon bekommen Sie spätestens bei einem Update oder einer anschließenden Installation mit einem Admin-Account massive Probleme durch diese Doppel-Installation (System + User-Profil)!

WICHTIG: Verwenden Sie für die Installation des Citrix Receivers immer die oben angegebenen Befehlszeilen! Lassen Sie sich nicht davon irritieren, dass Sie keine Bildschirmausgabe bekommen, die Installation wird mit dem Schalter »/Silent« im Hintergrund ausgeführt und ist nach wenigen Minuten betriebsbereit. Ansonsten wird jeder User bei der nächsten Anmeldung nach Konfigurationsdaten gefragt, die er nicht benötigt und auch nicht wissen kann! Ausnahme: Sie beziehen noch von anderen Dienstleistern Applikationen über eine Citrix-Plattform oder betreiben selbst eine XenApp- oder XenDesktop-Site. In diesem Falle setzen Sie sich bitte mit uns und/oder Ihrem anderen Dienstleister in Verbindung.

Wenn Sie dies berücksichtigt haben, können Sie die oben genannten bzw. von Ihnen modifizierten Befehlszeilen für die Installation des Citrix Receiver kopieren und in Ihre Befehlszeile einfügen, um den Receiver zu installieren.


Wie nutzt man den Web-Client?

Nachdem der Citrix Receiver installiert ist, können sich die Anwender mit ihrem Web-Browser über die folgende Adresse an unserem ASP Webinterface anmelden:

https://cloud.krz.de/

Diese Adresse leitet Sie automatisch zur Anmeldeseite weiter.

WICHTIG:

Bitte speichern Sie in Ihren Favoriten bzw. Lesezeichen NICHT die endgültig angezeigte Adresse der Anmeldeseite, sondern nur den oben genannten Link!

Das Webinterface benötigt keine besonderen Zugriffsberechtigungen, da es lediglich eine SSL-Verbindung zu einem Webserver aufbaut, der die Anmeldung entgegennimmt und die Links für die jeweiligen Anwendungen bereitstellt.

Sobald der Anwender eine der Anwendungen anklickt, wird der Citrix Receiver gestartet (es wird eine Datei »launch.ica« übertragen, die an den Client zum Start übergeben wird) und baut über den SSL-Port 443 eine verschlüsselte ICA-Verbindung zu unserem Gateway auf.

Wichtig ist an dieser Stelle, dass der Citrix Receiver die Internet-Verbindungseinstellungen des Betriebssystems nutzt (also die des Internet-Explorers), auch wenn das Webinterface mit dem Firefox oder anderen Browsern angesurft wurde. Dabei sind die Proxy-Einstellungen von entscheidender Bedeutung, da innerhalb des Verbandsgebietes die krz.de-Adressen als Proxy-Ausnahme eingetragen werden müssen und via HTTP und HTTPS erreichbar sein (siehe auch unten).

Browser-Besonderheiten

Firefox: Anwender des Mozilla Firefox müssen unbedingt in den Add-Ons des Browsers die Plugins »Citrix Receiver« und »Citrix URL-Redirection Helper Plugin« umstellen von »Nachfragen, ob aktiviert werden soll« auf »Immer aktivieren«. Beide Plugins stellen keinerlei Informationen am Bildschirm dar, über die ein Anwender nach einer Aktivierung gefragt werden könnte, daher funktioniert der Anwendungsstart über Firefox sonst nicht. In diesem Dokument haben wir die notwendigen Schritte dargestellt.

Internet Explorer 11: Bei Verwendung des Internet Explorer ist es oftmals so, dass der Citrix Receiver nicht automatisch gestartet wird, sondern dem Anwender eine Datei »launch.ica« heruntergeladen wird. Der Anwender muss die Datei dann manuell öffnen, um die Anwendung zu starten.

Damit der Citrix Receiver die übertragene Datei automatisch übergeben bekommt und die Anwendung ohne Benutzereingriff startet, müssen die Adressen des krz in den Internetoptionen unter Sicherhet eingetragen werden: Tragen Sie die unten stehenden Adressen bitte zuerst bei den »Vertrauenswürdigen Sites« ein, falls das nicht zum Erfolg führt, müssen die Adressen stattdessen unter »Lokales Intranet« abgelegt werden. Wann sich der Internet Explorer wie verhält, ist schwer vorherzusagen. Bitte probieren Sie deshalb erst »Vertrauenswürdige Sites«, da diese Einstellung weniger Rechte für die Website bereitstellen muss.

Die Adressen lauten:

URL      IPv4-Adresse
https://asp.krz.de/ 62.153.231.15
https://asp2.krz.de/ 62.153.231.3
https://cloud.krz.de/ 62.153.231.17


Was ist beim Einsatz eines Proxy-Servers/einer Firewall zu beachten?

Vorbemerkung

In einigen Fällen haben wir erfahren, dass alle aktuellen Versionen des Citrix Receiver kleine Fehler in den Autokonfigurationsskripten »persönlich« nehmen. Falls Sie auf einem Rechner, der mit dem alten Client einwandfrei Verbindungen aufbauen konnte, plötzlich mit dem neuen Receiver z.B. eine Meldung bekommen, für die angegebene Adresse sei kein Citrix XenApp-Server konfiguriert oder mit anderen fadenscheinigen Begründungen (z.B. irgendwelche SSL-Fehler) die Verbindung verweigert wird, prüfen Sie bitte sowohl die Proxy-Einstellungen des Internet-Explorers, als auch die Konfiguration Ihres Proxy-Servers, der im Zweifelsfall ein fehlerhaftes PAC-Skript (oder gar keins) ausliefert.

Die Konfiguration der Client-Rechner

Der Citrix Receiver verwendet immer die Internet-Verbindungseinstellungen des Betriebssystems (also die des Internet-Explorers), auch wenn das Webinterface mit dem Mozilla Firefox, Google Chrome, Apple Safari oder anderen Browsern angesurft wurde.

Innerhalb des Verbandsgebietes muss die krz-Adresse als Proxy-Ausnahme eingetragen werden, da das Webinterface innerhalb des Verbandsnetzes liegt und somit ohne den Umweg »Internet« angesprochen werden muss.
Außerhalb des Verbandsgebietes müssen der Proxy und die Firewall eine SSL-Verbindung zwischen Client-PCs und unserem Webinterface erlauben.
In allen Fällen muss darauf geachtet werden, wie die Proxy-Einstellungen vorgenommen werden: Wenn in den Internet-Verbindungseinstellungen eine Autokonfiguration aktiviert ist, muss der Proxy auch eine korrekte Autokonfiguration liefern, da der Citrix Receiver diese dann auch erwartet. Wird die Internet-Verbindungseinstellung manuell, Skriptgesteuert oder per Gruppenrichtlinienobjekt vorgenommen, achten Sie folglich bitte darauf, dass die Haken für die Suche nach den Automatischen Einstellungen und das automatische Konfigurationsskript deaktiviert werden. Der Internet Explorer funktioniert mit den bereits vorhandenen Einstellungen auch, wenn die Suche nach neuen Einstellungen erfolglos war - der Citrix Receiver ist da nicht so flexibel.

Der Proxy-Server bzw. die Firewall

Voraussetzung ist natürlich, dass die Anwender die Berechtigung bekommen, eine HTTP- und HTTPS-Verbindung zu unseren Systemen aufzubauen, wenn ein Proxy und/oder eine Firewall dazwischen stehen.

Für eine einwandfreie Verbindung muss der uneingeschränkte Zugriff auf folgende Adressen des krz von Seiten der Clients gewährleistet werden:

URL      IPv4-Adresse
https://asp.krz.de/ 62.153.231.15
https://asp2.krz.de/ 62.153.231.3
https://cloud.krz.de/ 62.153.231.17

Zusätzlich zu diesen Adressen müssen alle wichtigen Zertifizierungsstellen und deren Certificate Revocation Lists (CRLs) zugänglich sein.

Andererseits sollte eine eventuelle Autokonfiguration des Proxy-Servers keine Fehler enthalten. Laut Citrix Knowledge Center sind in den PAC-Skripten des Proxys oftmals kleine Fehler, die den Citrix Receiver stolpern lassen. Sollte Ihr Proxy also mit diesen ProxyAutoConfig-Skripten arbeiten, müssen sie einwandfrei sein. Wenn Sie keine Autokonfiguration nutzen, also der Server keine PAC-Skripte zur Verfügung stellt, darf auch die Internet-Verbindungseinstellung der Client-Rechner den entsprechenden Haken nicht gesetzt haben.

In jedem Falle sollten Sie darauf achten, dass ein eventueller Proxy wirklich sauber konfiguriert ist, falls wie oben beschrieben SSL-Fehler auftreten.


Wie bekommt ein Anwender Zugriff auf seine lokalen Laufwerke?

Einige unserer Verfahren bieten einen Downloadmanager. Was ist das?

Wer Daten verarbeitet, möchte sie möglicherweise auch irgendwo weiterverarbeiten oder abspeichern. Für einige Verfahren haben wir daher in unserem Netzwerk Laufwerke oder Pfade für die Dateiablage eingerichtet, auf denen z.B. Vorlagen, Abrechnungen, Seriendruckdaten etc. abgelegt werden können. Diese Daten stehen meist in direktem Zusammenhang mit den Verfahren und sollten daher auch in räumlicher Nähe dazu in unserem Rechenzentrum gelagert werden, um eine möglichst hohe Verarbeitungsgeschwindigkeit zu gewährleisten.

Den Downloadmanager haben wir für diese Verfahren zur Verfügung gestellt, damit Sie Daten von Ihrem Verzeichnis auf unseren Fileservern auf Ihre persönlichen lokalen oder Netzlaufwerke übertragen können (und teilweise auch zurück). Sie bekommen eine Auswahl unserer Laufwerke und alle Laufwerke Ihres Client-PCs zur Auswahl und können Dateien hin- und herkopieren.

Und was macht man in anderen Verfahren?

Ferner verbinden wir auf Wunsch für einige Verfahren einen Ihrer eigenen Laufwerksbuchstaben ins Verfahren, so dass Sie Ihr Laufwerk unter dem Gewohnten Laufwerksbuchstaben zur Verfügung haben – oder falls der bei uns belegt war, als Laufwerk F:. Aus dem Verfahren heraus können Sie auf dieses Laufwerk ganz normal zugreifen. Sie sollten sich nur darüber bewusst sein, dass die Daten jedes Mal über die Fernleitung hin- oder herübertragen werden.

Und wenn das nicht funktioniert?

Damit Sie sich selbst Zugriff auf Ihre Daten gewähren können, fragt der Citrix Receiver bei der ersten Verbindung, ob eine Onlineanwendung auf Ihren Computer zugreifen darf. Was im ersten Moment bedrohlich klingt, ist aber für das Funktonieren notwendig.

ACHTUNG: Sollte diese Frage immer wieder gestellt werden, tragen Sie bitte die URLs des krz (siehe vorheriger Abschnitt) in Ihrem Browser bzw. in Windows als vertrauenswürdige Sites ein!

Sie können die Einstellung jederzeit ändern und die Auswirkungen selbst testen, indem Sie das Connection Center Ihres Citrix Receivers öffnen: Mit einem Rechtsklick auf das Receiver-Icon öffnet sich ein Menü. Bei den vom krz empfohlenen Versionen finden Sie hier sofort das Connection Center. Bei einigen älteren Versionen müssen Sie hier erst »Info« auswählen, im erscheinenden Dialog klicken Sie bitte auf den Text »Erweitert« und das daraufhin eingeblendete »Connection Center«. Nun können Sie im rechten Bereich mittig die Sicherheitseinstellungen für die Dateisicherheit verändern. Ist dort »Kein Zugriff« ausgewählt, können Sie auf die evtl. verbundenen Laufwerke gar nicht zugreifen (Meldung: »Auf X:\ kann nicht zugegriffen werden. Zugriff verweigert«. Wählen Sie »Nur Leserechte«, können Sie lokale Dateien aus dem Verfahren heraus zwar öffnen, aber nicht ändern oder neu speichern. Nur bei »Vollzugriff« funktionieren unsere Verfahren wie gewohnt. Mit »Genehmigung einholen« werden Sie für jede Sitzung erneut gefragt, bis Sie das Häkchen »Für diese Site nicht mehr fragen« setzen.

Ab Citrix Receiver 4.3 finden Sie diese Einstellungen nicht mehr direkt im Fenster des Connection Center, sondern hinter dem darin rechts mittig angezeigten Knopf »Einstellungen«. Dieser führt in ein neues Fenster mit den drei Reitern »Dateizugriff«, »Verbindungen« und »Flash«. Unter »Dateizugriff« muss »Lese-/Schreibrechte« ausgewählt sein. Unter »Verbindungen« muss bei »Digitale Kameras und Scanner« der Punkt »Automatisch verbinden« aktiviert bleiben, falls Ihr Verfahren Scanner ansteuert.

Eine Änderung dieser Einstellung von unserer Seite ist nicht möglich, Sie müssen die Berechtigung selbst einstellen!

Diese Einstellung kann ein Domänen-Administrator mittels des Artikels CTX133565How to Configure Default Device Access Behavior of Receiver, XenDesktop and XenApp«) auch über Gruppenrichtlinien für alle Ihre PCs erledigen.


Was tun, wenn die Verbindung nicht aufgebaut wird?

Fehlermeldungen »SSL-Fehler 4: Es wurde versucht, eine Verbindung mit dem/den Protokoll(en)(TLS V1.2) herzustellen.«
oder »SSL-Fehler 63« oder »SSL-Fehler 81«

Sie benutzen eine veraltete Client-Software. Wir verwenden für die Absicherung der Verbindung ein SHA-256-Zertifikat, das der alte Client noch nicht verwenden kann. Wenn Sie unser Anbebot nutzen möchten, benötigen Sie dazu zwingend einen aktuellen Citrix Receiver in einer der oben beschriebenen Versionen.

Fehlermeldung »SSL-Fehler 61: Sie stufen den Aussteller des Sicherheitszertifikates des Servers [...] nicht als vertrauenswürdig ein.«

ACHTUNG: Auch diese Fehlermeldung kann darauf hinweisen, dass noch kein aktueller Citrix Receiver auf dem Rechner installiert ist (siehe Fehlermeldungen »SSL-Fehler 63« oder »SSL-Fehler 81«)! Sie weist dann darauf hin, dass zwar die benötigten SHA-256-Rootzertifikate installiert sind, aber der alte Client nur SHA1-Zertifikate sucht. Und nicht findet.

Wenn der Receiver jedoch aktuell ist, bitte hier weiterlesen:

Einige Zertifikate des krz sind von einem Anbieter herausgegeben, dessen Stammzertifikat zu neu ist, um von einem Windows ohne Aktualisierungen erkannt zu werden. Diese Meldung erscheint unter allen Windows-Versionen, wenn das Stammzertifikat unserer Certification Authority (CA) »COMODO« noch nicht bekannt ist. Früher hat Microsoft die Stammzertifikate über Windows Update aktualisiert, was aber aufgrund der Masse und damit einhergehender Probleme irgendwann eingestellt wurde. Die Updates sind inzwischen nicht mehr für aktuelle Betriebssysteme zu bekommen.

Stattdessen müssen Sie das Stammzertifikat »COMODO RSA Certification Authority« (gültig bis 19.01.2038) der CA herunterladen und in die Trusted Root CAs (vertrauenswürdigen Stammzertifizierungsstellen) des Zertifikatsspeichers von Windows importieren. Das lässt sich auch per Gruppenrichtlinie erledigen, so dass man dafür nicht an jeden Arbeitsplatz gehen muss. Die Downloadadresse des Zertifikats der COMODO-CA lautet:

https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/108/root-comodo-rsa-certification-authority-sha-2
Der SHA1 Fingerprint des Zertifikats lautet: af e5 d2 44 a8 d1 19 42 30 ff 47 9f e2 f8 97 bb cd 7a 8c b4

Beachten Sie bitte, dass es sich hierbei um eine .pem-Datei handelt, während von Windows .crt-Dateien gesucht werden! Sie müssen das Zertifikat also vor dem Import nach Windows umbenennen. WICHTIG: Denken Sie bei Verwendung des Firefox-Browsers unbedingt daran, das Zertifikat zusätzlich in den Zertifikatsspeicher von Firefox zu importieren! Im Windows-Zertifikatsspeicher wird es in jedem Fall benötigt, da der Citrix Receiver es dort erwartet. Denken Sie bitte auch daran, dass die Certificate Revocation Lists (CRLs) von den Arbeitsplätzen erreichbar sein müssen.

Alle Zertifizierungsstellen müssen von Zeit zu Zeit ihre Stammzertifikate ersetzen, da Zertifikate mit Laufzeiten versehen sind und mit den Jahren ablaufen. Das krz setzt grundsätzlich möglichst langlebige Zertifikate ein, um diese Fehlerquelle so gering wie möglich zu halten.

Andere Fehlermeldungen mit »SSL-Fehler« im Text

Die meisten Probleme, die auftreten können, lassen sich auf die Proxy-Einstellungen am Arbeitsplatzrechner zurückführen. Dort sollte ein fester Proxy eingetragen sein, die Auto-Konfiguration und die automatische Suche der Konfiguration sollten deaktiviert sein. Wenn die Autokonfiguration benutzt wird und SSL-Fehler auftreten, sind diese oftmals auf Fehler im PAC-Script des Proxy-Servers zurückzuführen; diese müssen dort korrigiert werden.

Fehlermeldungen im Zusammenhang mit »Virtuellen Treibern«

Bei Verweigerung des Verbindungsaufbaus (z.B. bei Fehler 1056: »Name des virtuellen Treibers in MODULE.INI nicht auffindbar«) prüfen Sie bitte in der Registry folgenden Pfad:

hklm\software\citrix\ica client\engine\configuration\advanced\modules\ica 3.0
oder
hklm\software\wow6432node\citrix\ica client\engine\configuration\advanced\modules\ica 3.0

Dort unter »ica 3.0« finden Sie den Wert »VirtualDriver«. In diesem Wert dürfen keine Einträge mit Inhalt »Blank« bzw. direkt aufeinanderfolgende Kommata oder gar doppelte Inhalte vorkommen.

Fehlermeldung »Die Remotesitzung wurde getrennt, da keine Lizenzserver für den Terminalserver vorhanden sind, die eine Lizenz bereitstellen können. Wenden Sie sich an den Systemadministrator.«

Alternativ: es wird versucht, eine Verbindung aufzubauen, diese wird aber ohne jeglichen Kommentar sofort wieder getrennt.

Entgegen des ersten Impulses beim Lesen dieser Meldung brauchen Sie uns nicht anrufen! Dieser Fehler ist von Microsoft in TechNet-Artikeln beschrieben, dort ist auch die Lösung dokumentiert. Kurz gesagt müssen in der Registry alle Keys unterhalb von hklm\software\microsoft\mslicensing\store gelöscht werden.

Fehlermeldung »Wfcrun32 Fehler: Ereignisprotokollierung konnte nicht eingestellt werden.«

Es sind noch Überreste einer alten ICA-Client-Installation übrig, die nicht entfernt wurden. Bitte prüfen Sie auf der lokalen Festplatte, auf jeden Fall aber im benutzten Benutzerprofil, im Profil »Default User« und unter »All Users«, ob Sie ein Verzeichnis »Anwendungsdaten\ICAClient« oder Dateien mit Namen »appsrv.ini« oder »module.ini« finden. In letzteren Dateien ist ein Eintrag »LogFile=« und/oder »LogFileWin32=«, der nicht auf den tatsächlichen Pfad zeigt, in dem der ICA-Client installiert ist. Löschen Sie das Verzeichnis »ICAClient«. Wenn das nicht hilft, gehen Sie bitte nach der unter Wie muss installiert werden? dargestellten Anleitung vor, den Citrix Receiver rückstandsfrei zu entfernen und neu zu installieren.

Fehlermeldung »WCitrix HDX Engine funktioniert nicht mehr«

Wenn Sie diese Meldung erhalten, ist die Installation und/oder Konfiguration Ihres Citrix Receiver bzw. der Worspace App defekt. Sie können als 1. Versuch die Benutzerkonfiguration zurücksetzen: Klicken Sie mit der rechten Maustaste im SysTray neben der Uhr auf das Icon des Citrix Receiver. Im aufklappenden Menü wählen Sie »Erweiterte Einstellungen« und dort klicken Sie auf den Link »Receiver zurücksetzen« und bestätigen die Rückfrage.

Wenn die Meldung danach wiederkommt, deinstallieren Sie den Receiver bitte nach unserer oben stehenden Anleitung (bitte unbedingt an die Neustarts zwischen allen Schritten denken!!). Anschließend bereinigen Sie in allen Benutzerprofilen die eventuell vorhandenen Überreste, siehe ebenfalls Deinstallationsanleitung oben, bitte wieder neustarten und installieren anschließend den Receiver neu.

Die Überreste älterer Clients sind immer wieder ein Problem und müssen sauber entfernt werden. Ab diesem Zeitpunkt können aktuelle Citrix Receiver oder Workspace Apps mit unseren oben angegebenen Befehlszeilen schmerzfrei darüberinstalliert werden, ohne dass solche Probleme wieder zu erwarten sind.

VORAUSSETZUNG:
Sie haben tatsächlich an alle Benutzerprofile gedacht, die jemals eine Clientsoftware von Citrix genutzt haben. Bei serverbasierten Profilen gehen Sie am Besten auf Nummer Sicher und löschen diese lokal und auf dem Server. Falls Sie das nicht möchten, muss zumindest sichergestellt sein, dass die oben beschriebenen Dateien und Registry-Einträge gelöscht wurden!


Welche Probleme tauchen bei kaskadierten Verbindungen auf?

Was sind kaskadierte (oder Pass-Through-) Verbindungen?

Im Normalfall wird eine Verbindung zu unseren Systemen direkt von einem Arbeitsplatz-PC aus aufgebaut. Dann können Daten direkt zwischen den lokalen Laufwerken (Festplatten und Netzwerk) der Arbeitsplatz-PCs und den zur Verfügung gestellten Laufwerken unserer XenApp-Server ausgetauscht werden.

Dies funktioniert jedoch nicht mehr, wenn die lokalen Arbeitsplätze nicht als vollwertige PCs, sondern als Thin Clients via XenDesktop- oder XenApp Desktop-Sessions zur Verfügung gestellt werden. Das bedeutet: Der Client baut zuerst eine Sitzung zur eigenen XenDesktop- oder XenApp-Site auf und verbindet sich von dort »kaskadiert« weiter auf die XenApp-Anwendungen im krz. Bis hierhin ist das technisch eigentlich kein Problem, sogar das Drucken funktioniert schon einwandfrei. Aber die Laufwerksverbindungen gibt es stumpf nicht!

Wie sieht die Lösung aus?

Das Verhalten des Citrix Receivers ist vom Hersteller so designt worden, dass er seine Laufwerksverbindungen immer zum Endgerät des Anwenders aufbauen möchte: Ein Thin Client hat allerdings nur selten eigene Laufwerksverbindungen – die werden erst vom XenDesktop oder XenApp-Desktop aufgebaut. Um dieses Verhalten anzupassen, sind einige Einstellungen auf Seiten der »ersten« XenApp- oder XenDesktop-Site vorzunehmen, die ihrerseits die Verbindung zu unseren Systemen aufbaut. Die Vorgehensweise hat der Hersteller Citrix im Artikel CTX127872How to Map Client Drives in Pass-Through Sessions«) im Detail beschrieben.


Woran können Druckprobleme liegen?

Technische Anbindung der Drucker

Im Normalfall verbindet der Citrix Receiver die lokalen Drucker des Client-Rechners automatisch nach dem Aufbau der Verbindung. Im Normalfall wird dazu auf dem XenApp-Server im krz der »Citrix Universal Printer Driver« (siehe auch Artikel CTX106812: »How to Auto-Create the Generic Citrix Universal Printer in User Sessions«) verwendet, der die praktische Eigenschaft hat, einen beliebigen Drucker des Clients anbinden zu können, ohne dazu den Druckertyp kennen zu müssen. Die Einstellungen und Eigenschaften des lokalen Druckers werden dazu im Augenblick der Anmeldung gelesen und für die Dauer der Sitzung verwendet; ebenfalls stehen alle Fähigkeiten des lokalen Druckers für die Applikationen auf unseren Servern bereit.
Wie funktioniert das? Nun, der Druckertreiber auf dem Citrix XenApp-Server tut nichts anderes, als den Druckdatenstrom der Applikation (im EMF, »Enhanced Meta Format«; Drucke im RAW-Format funktionieren nicht) entgegen zu nehmen, komprimiert in den ICA-Datenstrom zum Receiver zu verpacken und dem lokalen Druckertreiber des Client-Rechners zur Aufbereitung anzureichen.

Nebenkriegsschauplatz Seitenbeschreibungssprache:
Bitte achten Sie UNBEDINGT darauf, dass der Druckertreiber die Seitenbeschreibungssprache PCL spricht, nach Möglickeit in der Variante PCL5e! Falls Sie keinen PCL5e-Treiber für Ihren Drucker finden, kann PCL6 auch funktionieren.
Auf gar keinen Fall sollten Sie exotische Seitenbeschreibungssprachen verwenden, wie z.B. Kyoceras KPDL bzw. KX. Solche Treiber erzeugen nach unseren Erfahrungen variantenreiche Störungen ohne jegliche Vorhersehbarkeit. Selbst wenn auf den ersten Blick alles funktioniert, muss das nach dem nächsten Update einer beliebigen Komponente nicht so bleiben! Fehler in diesem Umfeld sind sehr schwer zu diagnostizieren!
PostScript ist zwar nicht unter »exotisch« einzusortieren, ist aber bei den Treibern einiger Hersteller regelmäßig schlechter implementiert, als PCL5/6, so dass wir bei Problemfällen mit PostScript-Treibern ebenfalls raten, alternativ dazu PCL5e zu testen.

Es werden keine, falsche oder fremde Drucker verbunden

Die Drucker in der XenApp-Sitzung sind nicht übereinstimmend mit den Druckern am lokalen Arbeitsplatz. Dabei kann es sein, dass überhaupt keine Drucker verbunden werden (siehe auch nächster Abschnitt!), dass sich Drucker finden, die an anderen Arbeitsplätzen vorhanden sind, oder dass Drucker von völlig fremden Anwendern verbunden werden. Letztere erkennen Sie daran, dass z.B. ein anderer Benutzername vorangestellt ist, während normalerweise Ihr eigener Benutzername vorn steht.

In allen diesen Fällen hilft es, aus der Registry des lokal angemeldeten Anwenders die Registry-Einträge zu entfernen, die für die Druckersteuerung des Citrix Receiver zuständig sind. Einige dieser Arbeiten sollten von einem erfahrenen IT-Administrator durchgeführt werden!

Gehen Sie dazu bitte wie folgt vor:

Folgende Schritte kann am Besten Ihr lokaler IT-Administrator durchführen:

Jetzt ist der Endanwender wieder gefragt:

ACHTUNG: In einigen seltenen Fällen finden sich auch nach dieser Operation wieder dieselben oder andere falsche Drucker in der Liste wieder. Bitte wenden Sie sich in solchen Fällen direkt an unseren Service Desk! Sie müssen diese Aktion denn noch einmal wiederholen, nachdem auf unserer Seite das Benutzerprofil gelöscht wurde. Spätestens dann sollten wieder die richtigen Drucker angebunden werden.

Falls dann immer noch der gesuchte Drucker (und möglicherweise noch ein paar andere) in der Liste fehlen:

Der gesuchte Drucker wird nicht verbunden

Vielleicht nutzen Sie einen Druckertyp (bzw. Druckertreibertyp), der sich nicht an alle Vorgaben seitens Microsoft hält. Ein Druckertreiber, der »kreativ« mit den Vorgaben umgeht, lässt sich vom XenApp-Server möglicherweise nicht nur nicht erkennen, er kann sogar den Printspooler des XenApp-Servers zum Absturz bringen! Das äußert sich darin, dass nur ein paar oder gar keine Drucker verbunden werden und somit der »schuldige« Drucker nicht nutzbar ist.

In solchen Fällen hilft leider nur die radikale Methode, den Treiber a) aufzuspüren und b) durch einen WHQL-zertifizierten Treiber zu ersetzen, den der Hersteller im Optimalfall als kompatibel für die Verwendung mit dem Citrix Universal Printer Driver einstuft. Sollte kein aktueller von Microsoft abgesegneter Treiber verfügbar sein, muss ein anderer Treiber (älter oder neuer) für dasselbe Modell oder ein anderes Modell, in ganz harten Fällen sogar für ein Modell eines völlig anderen Druckerhersteller (z.B. für HP LaserJet 5si) versucht werden. Auch in diesem Zusammenhang möchten wir noch einmal darauf hinweisen, dass als Seitenbeschreibungssprache PCL5e genutzt werden sollte, notfalls PCL6, aber auf keinen Fall Sonderlösungen wie Kyocera KPDL bzw. KX.

Das Aufspüren des Problem-Treibers ist nicht immer ganz einfach, aber es hat sich bewährt, ALLE Drucker des Arbeitsplatzes zu entfernen und sie einzeln wieder hinzuzufügen, bis das Problem wieder auftritt. Das dauert sicherlich seine Zeit, ist aber die zuverlässigste Methode.

Vertrauliches Drucken / Drucken mit PIN-Eingabe

Aktuelle Multifunktionsgeräte von Sharp, Ricoh, Xerox, Toshiba, Canon, KonicaMinolta und anderen Anbietern bieten oftmals eine Funktion zum vertraulichen Drucken an: Bei der gibt ein Anwender das Dokument oder gar ein ganzes Postfach voller Dokumente erst durch PIN-Eingabe am Drucker oder Authentifizierung mittels SmartCard aus. So etwas ist natürlich sehr nützlich, um Wege zum Drucker zu sparen oder auch zu verhindern, dass Ausdrucke am Drucker vergessen werden oder in falsche Hände geraten.

Leider haben diese Funktionen eine Schattenseite bei der Benutzung über eine Citrix HDX-Verbindung (früher hieß sie ICA-Verbindung). Durch die Methode der Druckdatenübertragung vom XenApp-Server zum Client-PC und dort das Injizieren der Druckmetadaten in den lokalen Druckertreiber haben wir leider mit vielen dieser Geräte Probleme beobachten müssen: Einerseits ist es oft so, dass diese Funktion stumpf ignoriert wird (also die Dokumente sofort gedruckt werden), andererseits kann es auch passieren, dass die Dokumente gar nicht beim Drucker ankommen. In allen Fällen ist das Problem, dass diese Funktion im Windows Drucksystem ursprünglich nicht vorgesehen war und daher von den Herstellern in Eigenregie an irgend einer Stelle im Aufbereitungsvorgang in den Treiber integriert wurde (der Begriff »hineingefrickelt« würde die an sich sehr gute Idee abwerten...), aber der Druckmechanismus beim Druck von XenApp-Servern auf eine »geregelte« Funktionsweise des Treibers angewiesen ist.

Sollten Sie von diesem Problem betroffen sein, können wir leider nur Tipps geben, wie Sie vorgehen können, um das Feature möglicherweise nutzbar zu machen:

Dass der Workaround im letzten Punkt keine wirkliche Lösung ist, sollte selbstredend sein, zumal der Anwender ständig daran denken müsste. Aber zumindest kann damit eine Wartezeit überbrückt werden, bis neue Treiber getestet und an die Arbeitsplätze ausgerollt sind.

Druck-Nirvana

Es gibt ein seltenes Phänomen, bei welchem die Ausdrucke zwar einwandfrei vom XenApp-Server empfangen und weitergereicht, auf dem Client-Rechner aber nicht gedruckt werden, sondern im digitalen Nirvana verschwinden. Das ist bisher z.B. bei McAffee-Virenscannern der Versionen 8 und 8.5 zu beobachten gewesen, denn für die existierte ein Update beim Hersteller, das dieses »Feature« abschaltete und den Ausdruck wieder möglich machte. Wer seinen Virenscanner bzw. seine Internet Security Suite diesbezüglich in Verdacht hat kann das testen, indem auf dem Client-Rechner der Virenscanner (bzw. die gesamte Suite) temporär deaktiviert wird: Wenn dann gedruckt werden kann, sollte die Sicherheitssoftware dringend aktualisiert werden...

Einige seltene und vor allem sehr alte Druckertreiber kommen mit der »neuen« Druckausgabebehandlung der Clients ab Version 10 (siehe auch Artikel CTX115553: »How to Print Documents From the Advanced Universal Print Driver«) nicht klar und müssen daher wieder auf den alten Ausgabepfad zurückgestellt werden. Im eben genannten Artikel wird beschrieben, wie das für diese Druckermodelle funktioniert und dass es sich nur um wenige Treiber handelt, die z.B. FAX- oder PDF-Ausgaben erzeugen. Normale Drucker sind nach unseren Erfahrungen bisher nicht betroffen. Verwenden Sie in solchen Fällen lieber aktuelle Treiber, vermutlich sind die bisher verwendeten für Ihr Betriebssystem gar nicht mehr geeignet...

Eine neue Variante des Druck-Nirvana tritt bei Clients mit 64-Bit-Windows auf, wenn sie einen Printserver mit 32-Bit-Windows verwenden. Die Drucker werden korrekt angebunden, es wird aber nicht gedruckt. Einzige Abhilfe: Den Printserver mit einem 64-Bit-Windows versorgen und alle Treiber sowohl in 64 Bit, als auch in 32 Bit installieren.


Welche Ursache können Trennungen von Verbindungen haben?

Eine Anmerkung vorweg

Vom Webinterface wird der Anwender automatisch nach einer gewissen Zeit abgemeldet. Da es sich bei dem Webinterface lediglich um eine generierte Webseite handelt, wirkt sich dies in keinster Weise auf die Verbindungen zu den Applikationen/Verfahren aus, im Gegenteil kann der Web-Browser auch sofort nach dem Öffnen der Anwendung geschlossen werden.

Gemeint ist dieses Verhalten

Ein Sachbearbeiter hat eine geöffnete Sitzung mit einer Applikation des krz geöffnet und diese wird mit einem nichtssagenden Hinweis wie »Ihre Verbindung wurde getrennt« einfach unterbrochen. Wenn die Applikation über das Webinterface wieder aufgerufen wird, erscheint sie sofort wieder exakt an der unterbrochenen Stelle und kann weiterverwendet werden. Das ist gemeint mit einer getrennten Verbindung. Wenn die Applikation mit einer Fehlermeldung aussteigt und bei Neustart wieder neu angemeldet werden muss, liegt ein Fehler in der Software oder deren Konfiguration vor – das kann aber hier nicht behandelt werden, sondern sollte mit dem Verfahrensbetreuer besprochen werden.

Diagnosetipps

Bitte berücksichtigen Sie vor dem Weiterlesen unbedingt das Kapitel Was ist beim Einsatz eines Proxy-Servers zu beachten? weiter oben im Dokument!

Leitungsprobleme

Für die Applikationen auf unseren XenApp-Servern sind keinerlei automatische Verbindungstrennungen konfiguriert, das heißt, dass eine Anwendung morgens um sieben gestartet und den ganzen Tag ignoriert werden kann, ohne dass die Verbindung geschlossen wird. Sollte trotzdem die Verbindung getrennt werden und eine diesbezügliche Fehlermeldung erscheinen, sind davon entweder alle unsere Kunden betroffen (was entsprechend unserer redundanten Anbindung sehr unwahrscheinlich ist und sofort in hektischer Betriebsamkeit unsererseits resultieren würde), oder die Ursache ist in der Internetverbindung auf Kundenseite zu finden.
Oftmals sind DSL-Anbindungen betroffen, die am Limit der Leitungslängen zwischen Vermittlungsstelle und Hausanschluss betrieben werden oder die für einen stabilen Betrieb mit zu hoher Bandbreite konfiguriert sind. Ebenso kommt es häufig vor, dass die 24stündliche Verbindungstrennung nicht nachts erfolgt, sondern irgendwann mitten während der Arbeitszeit. Beim Surfen oder Mailverkehr stellt man diese Probleme im Normalfall nicht fest, da nur immer kurzfristig ein paar Dateien übertragen werden, die teils automatisch wiederholt angefordert werden und die man auch jederzeit nochmal anfordern kann (F5). Bei einer Verbindung des Citrix Receivers zum XenApp-Server hingegen wird diese einmal pro Minute überprüft (wenn sie gerade im Leerlauf läuft und keine Änderungen in der Bildschirmausgabe erfolgen) oder es werden ständig Daten hin- und herübertragen. Da die Toleranzen aber recht großzügig sind, weisen regelmäßige Verbindungsabbrüche auf eine sehr schlechte Leitungsqualität oder die tägliche DSL-Trennung mit einhergehender neuer IPv4-Adresse hin.

Wenn die Leitungsqualität selbst nicht beanstandet werden kann, besteht noch eine andere Möglichkeit. Wir haben in besonders hartnäckigen Problemfällen beobachten können, dass die Leitung stark ausgelastet war. Eine starke Leitungsauslastung, insbesondere im Upstream, führt ebenfalls mit hoher Sicherheit zu Verbindungsabbrüchen. Bedenken Sie bitte, dass eine DSL-Verbindung im Upstream normalerweise nur einen Bruchteil der Kapazität hat, wie sie im Downstream zur Verfügung stellt. Eine länger laufende Datenübertragung, die den Upstream vollständig auslastet, lässt kaum noch Pakete für andere Zwecke durch. Ergebnis: Die Keep-Alive-Pakete und Antwortpakete der XenApp-Verbindung gehen verloren, die Verbindung bricht ab.

Proxys, (Application-) Firewalls, Personal Firewalls, Internet-»Security«-Software

Ein weiterer, extrem häufig auftretender Grund für getrennte Verbindungen lässt sich vielfach in der Konfiguration des lokalen Proxy-Servers oder der Firewall finden: z.B. können sie Timeout-Werte für eine Dauerverbindung aufweisen, auf Port 443 (SSL / HTTPS) keine Dauerverbindung zulassen, eine SSL-Verbindung aufzubrechen und zu überprüfen versuchen, etc. Leider gibt es zu viele verschiedene Produkte mit zu vielen individuellen Konfigurationsmöglichkeiten, um dieses Thema in diesem Rahmen umfassender zu behandeln. Dennoch sollte das Abklopfen dieses Abschnitts der wichtigste zu prüfende Punkt sein!!

Es gab auch schon Fälle, in denen eine Client-Firewall (nicht die beim Betriebssystem mitgelieferte) oder ein Internet-»Security«-Paket die erfolgreiche Kommunikation des Browsers mit dem Server gestört hat. Meist ist solche Software allerdings dafür verantwortlich, dass gar keine Verbindung aufgebaut werden kann: Der Citrix Receiver muss in der Software korrekt berechtigt werden.

Sollte eine Verbindung abbrechen, kann man sie innerhalb einer halben Stunde einfach neu aufbauen und wird wieder mit der noch vorhandenen, getrennten Sitzung verbunden, das heißt, dass die letzten Eingaben noch vorhanden sind und nichts verloren gegangen ist. Nach Ablauf dieser halben Stunde werden getrennte Sitzungen abgemeldet.


Wir bitten um Verständnis dafür, dass wir in diesem Dokument nicht alle möglichen Problemfälle abdecken können, denn das würde niemand mehr lesen wollen und behalten können. Sie haben aber die Möglichkeit, selbst im Citrix Knowledge Center nach weiteren Proflemfällen und Fehlerbeschreibungen zu suchen. Der Haken: Wenn Sie nach einer Fehlermeldung suchen, sollten Sie diese grob ins Englische übersetzen...


Urheberrechtshinweis / Copyrighthinweis

Alle auf dieser Internetpräsenz verwendeten Texte, Fotos und grafischen Gestaltungen unterliegen urheberrechtlichem Schutz. Wer Werke oder Werkteile dieser Seite nutzen möchte, hat sich an den Betreiber zu wenden. Das unerlaubte Kopieren/Speichern der auf diesen Webseiten bereitgestellten Informationen ist nicht gestattet und strafbar.