Access

CTX-Blog

powered by Ecki's Place

March 31st, 2007

Zweisprachiges Blog Bilingual Blog

Nach einigen Anpassungen am Theme und weiteren WordPress Dateien ist es nun endlich vollbracht. Das CTX-Blog ist zweisprachig. Die meisten Beträge sind mittlerweile übersetzt und sowohl auf Deutsch, als auch auf Englisch zu lesen.

Da sich Fehler nie ausschliessen lassen, bitte ich alle Leser, mir Fehler in der Ãœbersetzung in einem Kommentar zu diesem Beitrag zu melden.

Gruss
Ecki

After a couple of modifications to the used theme and some WordPress files i can now proudly present CTX-Blog in two languages. Most of the posts are translated in the meantime and are available in German and English.

Since no one is perfect, i ask every visitor to tell me about errors in the translations in a comment to this post.

Regards
Ecki

March 28th, 2007

Outlook Express aus dem Starmenü verbannen Remove Outlook Express from the start menu

Wer schon ein Mal einen Desktop gepublished hat, kennt sich dieses Phänomen. Ein User meldet sich zum ersten Mal am Terminal Server an und obwohl weder im Default User, noch im All Users Profil ein Outlook Express Icon vorhanden ist, erscheint es im Startmenü des Users.

Wo kommt es her? Und noch viel wichtiger, wie bekomme ich es weg?

Das Icon manuell aus jedem Userprofil zu löschen kann keine Lösung sein, daher ist die Suche nach dem “Woher” der bessere Weg. Die Lösung findet sich, wie so oft, in der Registry

Unter dem Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\

findet sich ein REG_SZ Eintrag mit dem Namen “StubPath“. Wenn dieser Eintrag gelöscht wird, erzeugt der Terminal Server keine neuen Outlook Express Icons mehr bei der Useranmeldung. Bestehende Icons werden dadurch jedoch nicht mehr entfernt.

Ein Beitrag aus der DCUG beschreibt das blosse Umbenennen des Eintrags in “HideStubPath“, welches den gleichen Effekt erzielt und sich leichter rückgängig machen lässt.

Gruss
Ecki

If you have ever published a terminal server desktop, you have seen this happening almost for sure. Even if there is no Outlook Express icon in the All Users or Default Users folder, the icon appears in the start menu after a user logs on for the first time.

Why is this happening? And much more interesting, how can you avoid this?

To delete the icon from every users profile is not a viable option. So it’s best to look for the root cause of this problem. As often, the solution can be found in the registry.

Below the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\

you can find a REG_SZ entry with the name “StubPath“. If you delete this entry, the terminal server will never again create this icon at user logon. Existing icons however will not be deleted.

A post in the DCUG describes a similar procedure but simply renames the entry to “HideStubPath“. The effect is the same, but it is much easier to revert back.

Regards
Ecki

March 14th, 2007

Registry Scan (Watermark) mit CAG 4.5.x Advanced Registry Scan (Watermark) for CAG 4.5.x Advanced

Wer das Citrix Access Gateway (CAG) mit Advanced Access Control (AAC) schon eine Weile kennt, speziell die Version 4.2, kennt sicher auch den “Citrix Watermark” End Point Analysis Scan (EPA Scan). Eine Möglichkeit, über einen Registry Key die Zugehörigkeit zu einer bestimmten Sicherheitsgruppe zu definieren. Im Gegensatz zu MAC oder Domain Filtern war dieser Scan eine einfache Möglichkeit, schnell den Sicherheitskontext zu wechseln, um z. B. bei Produktdemonstrationen unterschiedliche Zugriffsszenarien vorführen zu können.

Das Update auf die AAC Version 4.2.5, bzw. auf die Version 4.5 brachte hier massive Änderungen im Bereich EPA Scans mit sich. Als einschneidendste Änderung kann die Verpflichtung zum Signieren aller EPA Scans gelten. Neu sind alle EPA Scans von Citrix bereits signiert. Selbst erstellt EPA Scans funktionieren nun ebenfalls nur noch, wenn sie signiert und damit als vertrauenswürdig gekennzeichnet sind. Diesen Aufwand und die damit verbundenen Kosten scheuen viele Kunden. Für Citrix Partner, die nur eine Demo Site aufbauen wollen, lohnt sich der Aufwand in der Regel ebenfalls nicht. Wer daher kein Geld in Custom Scans z. B. von EPAFactory stecken wollte, musste sich zwangsläufig mit den mitgelieferten EPA Scans arrangieren:-(

Hier möchte ich daher einen Weg aufzeigen, wie mit den vorhandenen Möglichkeiten trotzdem ein funktionierender Registry Scan zu erstellen ist. Die meisten EPA Scans machen tatsächlich nichts anderes, als in der Registry des Clients an vorkonfigurierten Stellen vorhandene Werte auszulesen. Daher kann prinzipiell fast jeder EPA Scan als Registry Scan verwendet werden. Als Beispiel verwende ich hier den mitgelieferten “Citrix Scans for Windows Update”. Dieser Scan liest auf dem Clientrechner rekursiv alle Keys unterhalb von:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

aus und liefert die darin gefundenen KB-Nummern zurück. Zu beachten ist hier, dass Keys direkt unter dem o. g. Key NICHT zurückgeliefert werden. Man sollte sich daher einen vorhandenen Unterordner auswählen um den Key dort zu erstellen. Mit diesem Wissen lässt sich nun recht einfach ein Registry Scan erstellen. Wem diese Kurzanleitung nicht genügt, findet hier eine detaillierte Beschreibung mit Screenshots.

Gruss
Ecki

Most people who know Citrix Access Gateway (CAG) with Advanced Access Control (AAC) for a while, especially version 4.2, know the “Citrix Watermark” End Point Analysis Scan (EPA Scan). A possibility to configure the security group membership of a PC withe a simple registry key. In contrast to MAC or Domain filters, this scan made it very easy to change the security context of a PC, very handy for product demonstrations, where you want to visualize different access scenarios.

The update to AAC version 4.2.5, eg. version 4.5 introduced a massive change for EPA Scans. Since then, every EPA Scan has to be signed, which renders the unsigned “Watermark” scan worthless. Every EPA Scan delivered with AAC 4.5 is now already signed by Citrix and if you try to create your own EPA Scans, you have to sign them too and build your own specific EPA Scan MSI package. Lots of customers try to avoid this effort and the costs associated with signing certificates. For Citrix partners, trying to build just a demo site, the effort and the costs are too high as well. If you do not intend to spend money on Custom Scans for example from EPAFactory, you are stuck with the scans provided by Citrix:-(

I will therefore show a way, how you can accomplish a working registry scan with the means provided by a standard setup of AAC. Most EPA Scans do in fact nothing else than reading predefined keys in the registry of the client PC. Therefore almost any EPA Scan can be used as registry scan. As an example i will use the “Citrix Scans for Windows Update” shipped with AAC. This scan reads on a client PC recursively all keys beneath:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

and reports back the KB-numbers found. It must be pointed out, that keys directly below the “Updates”-key are NOT delivered back to the AAC server. You should therefore use an existing key like “SP2” to create your own KB-number key. Knowing that, it is fairly simple to create your own registry scan. A detailed description with screen shots of this process can be found here (german only).

Regards
Ecki

March 13th, 2007

PNAgent Filter für Web Interface 4.5 PNAgent Filter for Web Interface 4.5

Viele von Euch kennen die Web Interface Erweiterungen und Modifikationen von Thomas Kötzing. Ich selbst verwende einige von ihnen regelmässig in Kundenprojekten. Bisher gab es leider eine häufig von mir verwendete Erweiterung nur für die Web Interface Versionen bis 4.2. Die Rede ist vom

Program Neigborhood Agent Filter

Diese Modifikation des Web Interfaces ermöglicht es, Published Applications von der Anzeige im PNAgent auszuschliessen, indem der Description der Published Application ein “#” Zeichen vorangestellt wird. Nützlich, wenn der PNAgent z. B. zum Bestücken des Desktops und des Startmenüs verwendet wird, und man nicht möchte, dass der gepublishte Desktop dort, oder in den Eigenschaften des PNAgent Symbols in der Startleiste erscheint.

Da ich diese Erweiterung für ein Kundenprojekt benötigte, habe ich den Code der bestehenden Erweiterung für die Version 4.5 angepasst und stelle sie nun hier allen interessierten Usern zur Verfügung.

Download FilterApps4.5

Gruss
Ecki

Most of you will know the Web Interface addons and modifications from Thomas Kötzing. I use them myself quite often in customer projects. Until now, a badly needed modification was available only for WI 4.2. I am talking about the

Program Neigborhood Agent Filter

This modification gives an administrator the power to hide Published Applications from the user. The only thing he has to do is adding a “#” sign in front of the application description. Very handy, if you use PNAgent to populate the Desktop and Start Menu and do not want the published Desktop to appear in the context menu of the PNAgent in the taskbar.

Because i needed this modification for a customer, i adapted the code of the existing modification for WI 4.5 and invite everyone interested in this modification to download it.

Download FilterApps4.5

Regards
Ecki

March 4th, 2007

Höhere Verfügbarkeit für PS 4.5 High availability with PS 4.5

In diesem Bereich gibt es einige Verbesserungen, Namentlich die Punkte:

  • Health Assistant
  • Load Throtteling
  • Configuration Logging
  • Thread Sandboxing (IMA)

Health Assistant steht für das Monitoring von wichtigen Systemdiensten und Prozessen. Dazu gehören die Terminal Services (Auflisten von laufenden Usersessions und deren Sessioninformationen), der Citrix XML Dienst (Abruf/Überprüfung eines XML Tickets), der IMA Dienst (Auflisten von Applikationen über den IMA Dienst) und ein Logon Monitor (Logons/Logoffs innerhalb eines bestimmten Zeitraums, um Überlastungen festzustellen).

Auf einen gefundenen Fehlerzustand kann dann auf verschiedene Art reagiert werden. Entweder können nur Eventlog Einträge erstellt werden (Standardeinstellung), der Server aus dem Loadbalancing genommen werden, oder auch Dienste neu gestartet werden. Als letzter Ausweg kann ein Server sogar gebootet werden. Eigene Tests können mit Hilfe des Health Monitoring & Recovery SDK selbst entwickelt werden.

Load Throtteling verhindert die Überlastung eines Servers durch zu viele gleichzeitige Anmeldeversuche. Hierbei werden einem Server, der neu in einer gut frequentierten Farm gestartet wird, nicht alle neuen Anmeldungen zugewiesen, sondern nur so viele, wie er problemlos bewältigen kann.

Configuration Logging erlaubt die Überwachung aller Konfigurationsänderungen in der Access Management Console (AMC) und das Logging dieser Aktivitäten in einer SQL Datenbank. Die Frage, wer Gestern die Published Application XYZ gelöscht hat, kann so recht einfach beantwortet werden.

Thread Sandboxing betrifft in erster Linie den IMA Dienst. Um eine optimale Performance auch unter höchster Last garantieren zu können, werden hier die einzelnen Threads in unterschiedliche Klassen eingeteilt. Diese Klassen bekommen nun jeweils ihr Quantum an Ressourcen zugeteilt, so dass ein hängender Thread nicht andere Threads blockieren kann, wie es bisher möglich war. Das Loadbalancing als Kernfunktion des IMA Dienstes steht so immer mit optimaler Performance zur Verfügung.

All diese Technologien könne zu einer stabileren und verlässlicheren Umgebung führen und stehen, mit Ausnahme des “Health Assistant” in allen Versionen zur Verfügung. Der “Health Assistant” wird leider nur in der Enterprise, oder Platinum Version freigeschaltet.

Gruss
Ecki

Sorry, this post is not available in English

Regards
Ecki

March 3rd, 2007

Presentation Server 4.5 freigegeben Presentation Server 4.5 released

Dies ist mein erster Beitrag in einer losen Reihe von Artikeln über das Themengebiet Citrix, mit all seinen Facetten.

Mein erstes Thema ist der brandneue Presentation Server 4.5
(Download seit 01.03.2007 mit einem gültigen My Citrix Account)

Soeben verfügbar und mit einer Reihe interessanter Features versehen, ist der neue Presentation Server sicher mehr als nur einen kurzen Blick wert. Die wichtigsten Features hier im Überblick:

  • Application Streaming, eine Technologie, mit der sich ganze Applikationen virtualisieren lassen
  • Speed Screen Progressive Display, eine Technologie, mit der animierte Bilder auf einem Citrix Desktop ihren Schrecken verlieren
  • Health Assitant, eine Technologie, mit der zentrale Komponenten eines Servers permanent überwacht werden können
  • Load Throtteling, eine Technologie, mit der eine Ãœberlastung von Servern verhindert werden kann
  • Configuration Logging, eine Technologie, mit der Konfigurationsänderungen zentral geloggt werden können
  • MUI Client, ein Setup für alle unterstützten Sprachen
  • Clientinstallation ohne Admin Rechte, ermöglicht es normalen Usern, den Citrix Client zu installieren
  • ADFS Support, eine Technologie, mit der sichere Domänen-/Forestübergreifende Authentifizierung möglich wird, ohne Trusts einrichten zu müssen.
  • Client Backup URL, eine Technologie, die höhere Verfügbarkeit für das Web Interfaces verspricht, ohne die Komplexität eines NLB-Cluster, oder die Kosten eines Loadbalancers

Eine Feature-Matrix zum Vergleich mit älteren Versionen gibt es hier.

Einige diese Features werde ich in den kommenden Beiträgen näher beleuchten und den ein oder anderen Tipp dazu geben.

Gruss
Ecki

Sorry, but this post is not available in English

Regards
Ecki

|