Access

CTX-Blog

powered by Ecki's Place

24. March, 2009

AAC und IE 8.0

Vor wenigen Tagen wurde der IE 8.0 offiziell zum Download freigegeben. Da er demnächst auch als Windows Update verfügbar sein wird, werden schnell viele User mit diesem Browser auf bestehende AAC Deployments zugreifen wollen. Dies gestaltet sich in der Defaulteinstellung jedoch leider als problematisch. So sieht eine AAC Portalseite mit dem IE 8.0 aus:

Portal
OWA

Das Layout ist in der Höhe gestaucht, es fehlen daher viele Links und OWA ist praktisch nicht bedienbar 🙁

Eine kleine Anpassung der Datei C:\Inetpub\wwwroot\CitrixSessionInit\NUI.aspx löst die Darstellungsprobleme, indem es den IE 8.0 in den IE 7.0 Kompatibilitätsmodus zwingt.

Es genügt, im Header der Datei NUI.aspx folgende Zeile hinzuzufügen:

<meta http-equiv=”X-UA-Compatible” content=”IE=EmulateIE7″ />

Das könnte dann z. B. so aussehen:

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Citrix Access Gateway</title>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
<meta name="GENERATOR" content="Microsoft Visual Studio .NET 7.1" />
<meta name="CODE_LANGUAGE" content="C#" />
<meta name="vs_defaultClientScript" content="JavaScript" />
<meta name="vs_targetSchema" content="http://schemas.microsoft.com/intellisense/ie5" />
<link rel="SHORTCUT ICON" href="themes/default/images/favicon.ico" type="image/vnd.microsoft.icon" />
<base id="baseElement" href="" runat="server" />
<link id="cssElement" rel="stylesheet" href="" runat="server" />
<!--[if IE]>
<style type="text/css">

Und schon erscheint das Portal wieder in voller Pracht 🙂

Portal
OWA

Diese Anpassung stellt keine finale Lösung dar, sollte aber genügen, bis Citrix irgendwann einen Fix bereitstellt…

Gruss
Ecki

29. July, 2008

Update – AAC Tuning, Teil 4

Das Dokument wurde ein wenig erweitert, nachdem ein Kunde einen sehr dunklen Blauton für den farbigen Querbalken verwenden wollte. Die Beschriftung des Balkens war daraufhin nicht mehr lesbar. Daher musste die Schriftfarbe innerhalb des Balkens auf Weiss gesetzt werden, um wieder für den nötigen Kontrast zu sorgen. Wie das geht wurde nun dem Dokument hinzugefügt.

Das HowTo steht wieder, der besseren Lesbarkeit wegen, als PDF zum Download zur Verfügung. Es kann hier heruntergeladen werden: AAC4_5_CustomizeLogonPoint_Rev1.1_DE.pdf

Gruss
Ecki

12. July, 2008

AAC Tuning, Teil 4

Die Optik eines AAC Logon Points ist leider nicht so leicht an die CI einer Firma anpassbar, wie die des Citrix Web Interfaces. Wie es trotz fehlender Assistenten geht, möchte ich in dem folgenden PDF zeigen.

Das HowTo steht, der besseren Lesbarkeit wegen, als PDF zum Download zur Verfügung. Es kann hier heruntergeladen werden: AAC4_5_CustomizeLogonPoint_Rev1.1_DE.pdf

Das PDF beschreibt in detaillierten und bebilderten Einzelschritten den Weg zu einem individuellen AAC LogonPoint. Dieser könnte dann z. B. so aussehen:
Angepasster LogonPoint - LoginAngepasster LogonPoint - Portal

Weitere lesenswerte Dokumentationen zur Anpassung eines AAC LogonPoints finden sich hier:

  • Basic Customization of the Advanced Access Control 4.x Logon Point
  • How to Customize the Default View for Web Interface 4.6 When it is Embedded in Access Gateway Advanced Edition
  • Und hier noch ein aktuell interessanter Artikel zu FireFox 3.0:

  • Access Interface Appears Incorrectly with Firefox 3.0
  • Gruss
    Ecki

    07. May, 2008

    AAC HotFix AAC450W003 und CAG HotFix 4.5.7 verfügbar

    Seit wenigen Tagen stehen die Hotfixes AAC450W003 und Hotfix AG2000_v457 bei Citrix zum Download bereit. Neben einigen kleineren Bugfixes gibt es in diesen Releases weitere wirklich interessante Neuerungen:

    Durch den AAC HotFix wird mein letzter Beitragt “AAC Tuning, Teil 3” teilweise entwertet. Genauer gesagt ist durch die Intervention, welche ich für einen Kunden durchgeführt habe, nun eine einfache Möglichkeit entstanden, den Beschreibungstext für das RADIUS-Eingabefeld nicht nur bei einem RSA, bzw. SafeWord Deployment einfach zu wechseln, sondern neu auch bei einer beliebigen RADIUS Implementation. Das Vorgehen aus dem ersten Abschnitt des Beitrags “AAC Tuning, Teil 3” behält daher seinen Gültigkeit, gilt aber nach der Installation des HotFixes AAC450W003 auch für alle RADIUS Lösungen.

    Vista wird nun endlich, wenn auch nur im Beta Stadium, von AAC 4.5 unterstützt. Das heisst, es lassen sich nun auch Vista Clients via EPA-Scan überprüfen und klassifizieren. Erste Tests verliefen bereits positiv. ACHTUNG: Wenn EPA-Scans von EPAFactory/Accario eingesetzt werden, darf dieser Hotfix noch nicht eingespielt werden. Accario plant die Unterstützung von AAC 4.5 HF03 für voraussichtlich den 20. Mai.

    Die Liste der unterstützten Virenscanner und Personal Firewalls wurde ergänzt. So sind nun endlich u. a. auch McAfee 8.5i, Symantec AVE 10.0, Symantec Endpoint Protection 11.0 und Trend Micro 8.0 offiziell von Citrix unterstützt.

    Der Download und das ReadMe für AAC 4.5 sind hier zu finden: CTX117123, AAC45W003

    Der Download und das ReadMe für das CAG 4.5.7 sind hier zu finden: CTX117123, Hotfix AG2000_v457

    Gruss
    Ecki

    15. December, 2007

    AAC Tuning, Teil 3

    Two Factor Authentication mit RSA, SafeWord oder einer beliebigen RADIUS Lösung ist eine gängige Methode zur sicheren Authentifizierung an einem AAC Deployment. AAC beschriftet das Eingabefeld für das RSA/SafeWord/RADIUS One Time Passwort bei einem deutschen Client jedoch starr mit dem Text “SecurID-PASSCODE”, “SafeWord CODE:” oder generisch mit “RADIUS-Passwort”.

    Endbenutzer kennen ihre One Time Passwort Lösung jedoch meist unter einem anderem Namen, meist dem Namen des Herstellers. Dies kann dann zu Verwirrung und Problemen bei der Eingabe führen.

    Dieses Problem lässt sich für RSA und SafeWord recht einfach lösen. Eine Lösung für RADIUS ist weiter unten beschrieben. Wie schon im ersten und zweiten Beitrag zu dieser Reihe, befindet sich der Schlüssel in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

    Auf einem Standard AAC Server vermutlich unter:

    C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

    Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

    Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch die Anzeige für das Eingabefeld des One Time Passwords manipulieren, so dass ein beliebiger Text angezeigt werden kann. Dazu genügt es, folgende Zeilen im <appSettings> Block einzufügen:

    <add key=”SecondaryAuthenticationPromptOverride” value=”Password:” />
    und
    <add key=”SecondaryAuthenticationToolTipOverride” value=”Enter Password” />

    Wobei “Password:” für den anzuzeigenden Text steht und “Enter Password” den Text für den Tool Tip festlegt.

    Der Abschnitt sollte dann z. B. so aussehen:

    <appSettings>
    <add key="DebugConsoleTrace" value="False" />
    <add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
    <add key="AdvancedGatewayClientActivationDelay" value="10" />
    <add key="MaxConnectionsToAuthenticationService" value="20" />
    <add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
    <add key="DeployedBy" value="LACONFIG" />
    <add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
    <add key="SecondaryAuthenticationPromptOverride" value="SafeWord PIN + Zahlencode:" />
    <add key="SecondaryAuthenticationToolTipOverride" value="PIN und Zahlencode eingeben" />
    <!- -

    Nach dem Speichern der Datei und einem Refresh des LogonPoints sollte der neue Text erscheinen 🙂

    Dieses Vorgehen funktioniert leider nur bei RSA SecureID und SafeWord. Der Text, welcher bei einer RADIUS Lösung angezeigt wird, ist leider hart codiert und kann nicht so einfach geändert werden. Es gibt zwar bereits einen Feature Request bei Citrix, aber wann eine Lösung effektiv verfügbar sein wird, ist momentan noch nicht abzusehen.

    Joel Donaldson hat im Citrix AAC Forum jedoch auch für diesen Fall eine tolle Umgehungs- / Übergangslösung veröffentlicht. Eine einfache Manipulation der Datei BasePage.aspx aus dem jeweiligen LogonPoint Verzeichnis löst das Problem auf elegante Art und Weise.

    Es genügt, bei einem deutschen LogonPoint, folgenden Abschnitt vor dem </body> Tag einzufügen:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS-Kennwort:","Kobil Einmalpasswort:");
    </script>

    Das Ergbnis sieht dann so aus:
    Loginprompt nach der Manipulation

    Sollen auch englische LogonPoints unterstützt werden, hilft ein weiterer Code Block, der die englische Schreibweise berücksichtigt:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS Password:","Kobil OTP:");
    </script>

    Weitere Sprachen können so leicht hinzugefügt werden.

    Wer sich nun fragt, warum das funktioniert, dem kann evtl. diese Erklärung weiterhelfen. Der Script Code sucht im Text der ausgelieferten Webseite nach dem String “RADIUS-Kennwort:” und ersetzt ihn dann durch den zweiten Parameter der Funktion “document.body.innerHTML.replace”, also in unserem Beispiel durch “Kobil Einmalpasswort:”.

    Achtung, dies funktioniert nur, solange JavaScript im Browser aktiviert und erlaubt ist. Ist JavaScript abgeschaltet, erscheint wieder der ursprüngliche Text “RADIUS-Kennwort:”! Weitere Nebenwirkungen sind bei dieser Anpassung nicht zu befürchten.

    < < AAC Tuning, Teil 2

    !!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

    Gruss
    Ecki

    21. July, 2007

    Web Interface 4.6 für Windows verfügbar

    Seit Gestern steht bei Citrix das neue Web Interface 4.6 zum Download bereit. Diese Version ist Voraussetzung für einige neue Features und Verbesserungen, die mit dem Rollup Pack 01 für Presentation Server 4.5 eingeführt wurden.

    Vor der Installation des Web Interfaces 4.6 muss zwingend die AMC (Access Management Console für Presentation Server 4.5) aktualisiert werden, da das Update sonst fehl schlägt. Die aktuelle AMC kann hier heruntergeladen werden.

    Der Download des Web Interface 4.6 und weitere Informationen sind hier zu finden.

    Gruss
    Ecki

    Erstes Hotfix Rollup Pack für Presentation Server 4.5 verfügbar

    Seit dem 19.07. steht bei Citrix das erste Hotfix Rollup Pack für Presentation Server 4.5 zur Verfügung. Neben einer ganzen Reihe von Fehlerbehebungen wurde vor allem die Office 2007 Integration verbessert. Weitere Neuigkeiten sind:

    • Microsoft Windows Vista/Office 2007 Compatibility Updates
    • Verbesserte Unterstützung für High Color (16-, 32-, and 48-bit) Icons
    • Microsoft Office Live Preview Support

    Einige der Verbesserungen setzen mindestens den aktuellen Client 10.100 voraus. Ein Update der Client Installation ist daher ebenfalls anzuraten.

    Der Download und weitere Informationen sind hier zu finden.

    Gruss
    Ecki

    23. April, 2007

    Citrix Application Streaming FAQ

    Citrix Support hat hier eine interessante FAQ zum Thema Application Streaming zusammengestellt. Dieser Artikel ist nicht statisch, sonder wird in der kommenden Zeit mit neuen Themen ergänzt werden. Es lohnt sich also, hier regelmässig vorbeizuschauen.

    Gruss
    Ecki

    13. March, 2007

    PNAgent Filter für Web Interface 4.5

    Viele von Euch kennen die Web Interface Erweiterungen und Modifikationen von Thomas Kötzing. Ich selbst verwende einige von ihnen regelmässig in Kundenprojekten. Bisher gab es leider eine häufig von mir verwendete Erweiterung nur für die Web Interface Versionen bis 4.2. Die Rede ist vom

    Program Neigborhood Agent Filter

    Diese Modifikation des Web Interfaces ermöglicht es, Published Applications von der Anzeige im PNAgent auszuschliessen, indem der Description der Published Application ein “#” Zeichen vorangestellt wird. Nützlich, wenn der PNAgent z. B. zum Bestücken des Desktops und des Startmenüs verwendet wird, und man nicht möchte, dass der gepublishte Desktop dort, oder in den Eigenschaften des PNAgent Symbols in der Startleiste erscheint.

    Da ich diese Erweiterung für ein Kundenprojekt benötigte, habe ich den Code der bestehenden Erweiterung für die Version 4.5 angepasst und stelle sie nun hier allen interessierten Usern zur Verfügung.

    Download FilterApps4.5

    Gruss
    Ecki

    04. March, 2007

    Höhere Verfügbarkeit für PS 4.5

    In diesem Bereich gibt es einige Verbesserungen, Namentlich die Punkte:

    • Health Assistant
    • Load Throtteling
    • Configuration Logging
    • Thread Sandboxing (IMA)

    Health Assistant steht für das Monitoring von wichtigen Systemdiensten und Prozessen. Dazu gehören die Terminal Services (Auflisten von laufenden Usersessions und deren Sessioninformationen), der Citrix XML Dienst (Abruf/Überprüfung eines XML Tickets), der IMA Dienst (Auflisten von Applikationen über den IMA Dienst) und ein Logon Monitor (Logons/Logoffs innerhalb eines bestimmten Zeitraums, um Überlastungen festzustellen).

    Auf einen gefundenen Fehlerzustand kann dann auf verschiedene Art reagiert werden. Entweder können nur Eventlog Einträge erstellt werden (Standardeinstellung), der Server aus dem Loadbalancing genommen werden, oder auch Dienste neu gestartet werden. Als letzter Ausweg kann ein Server sogar gebootet werden. Eigene Tests können mit Hilfe des Health Monitoring & Recovery SDK selbst entwickelt werden.

    Load Throtteling verhindert die Überlastung eines Servers durch zu viele gleichzeitige Anmeldeversuche. Hierbei werden einem Server, der neu in einer gut frequentierten Farm gestartet wird, nicht alle neuen Anmeldungen zugewiesen, sondern nur so viele, wie er problemlos bewältigen kann.

    Configuration Logging erlaubt die Überwachung aller Konfigurationsänderungen in der Access Management Console (AMC) und das Logging dieser Aktivitäten in einer SQL Datenbank. Die Frage, wer Gestern die Published Application XYZ gelöscht hat, kann so recht einfach beantwortet werden.

    Thread Sandboxing betrifft in erster Linie den IMA Dienst. Um eine optimale Performance auch unter höchster Last garantieren zu können, werden hier die einzelnen Threads in unterschiedliche Klassen eingeteilt. Diese Klassen bekommen nun jeweils ihr Quantum an Ressourcen zugeteilt, so dass ein hängender Thread nicht andere Threads blockieren kann, wie es bisher möglich war. Das Loadbalancing als Kernfunktion des IMA Dienstes steht so immer mit optimaler Performance zur Verfügung.

    All diese Technologien könne zu einer stabileren und verlässlicheren Umgebung führen und stehen, mit Ausnahme des “Health Assistant” in allen Versionen zur Verfügung. Der “Health Assistant” wird leider nur in der Enterprise, oder Platinum Version freigeschaltet.

    Gruss
    Ecki