Webinterface mit RADIUS konfigurieren

Hi Folks

Das Webinterface bietet ja die Möglichkeit der Zwei-Faktor Authentifizierung mittels SafeWord, RSA und RADIUS. Wer schon mit RADIUS gearbeitet hat weiss, dass zur Sicherheit ein „Shared-Key“ benötigt wird. Wo nun aber diesen definieren? Die Konsole bietet hierzu keine Möglichkeit…

Für die entsprechende Website müssen in der web.config zwei Parameter geprüft bzw. angepasst werden:

WI-RADIUS-Param
Im RADIUS_SECRET_PATH wird auf eine txt verwiesen, in welcher sich der RADIUS Schlüssel (Shared-Key) befindet.
Zusätzlich muss entweder im RADIUS_NAS_IDENTIFIER eine RADIUS Client-Identifikation (min. 3 Zeichen) oder unter RADIUS_NAS_IP_ADDRES die RADIUS Client-IP hinterlegt werden.
Dies ist die IP, mit welcher sich das Webinterface beim RADIUS Server meldet.

Unter ..\\conf muss die genannte radius_secret.txt angelegt werden. In dieser Textdatei wird der Schlüssel für den RADIUS Server hinterlegt
HINWEIS: aus Security-Sicht müssen die Berechtigungen auf diese Datei restriktiv gehalten werden.

Nun muss im Webinterface in der Authentifizierung der RADIUS aktiviert und konfiguriert werden:

WI-RADIUS-Config
In dem Beispiel ist der SAS Demo-RADIUS konfiguriert

Auf die Serverseitige Dokumentation wurde in diesem Beitrag verzichtet, da es zig Lösungen gibt, welche unterschiedlicher nicht sein könnten ;-)

Citrix Webinterface 5.4



Provisioning Services mit SQL Mirror installieren

Seit Citrix XenDesktop 7.x ist SQL Mirroring ein generelles Thema. Warum also in einer bestehenden Umgebung die vergrösserte SQL Umgebung nicht gleich für Provisioning Services (PVS) nutzen? In dem Beitrag beschreibe ich euch den zumal mit kleinen Steinen gespickten Weg zu diesem Ziel.

Reminder: was brauchen wir als Minimum für einen SQL Spiegel mit automatischem Failover?
– 2x SQL Server Standard Edition (für Mirror benötigt man noch keine Enterprise)
– 1x SQL Express in der gleichen Version

Den ersten Fehler den man nun machen kann ist eine leere Datenbank mit Spiegel einzurichten. Der Configuration Wizard von PVS zeigt einem da nämlich die kalte Schulter und meinte, dass er die DB selbst anlegen will.

Na gut… die mit Liebe bereits angelegte DB wieder löschen und den Configuration Wizard nochmals ausführen.

Nebst den bekannten Schritten ein wichtiger Punkt:
bei der Angabe des SQL Servers muss man auch den Mirror SQL Server mit angeben:
PVS-SQL-MirrorPartner

Anschliessend den Wizard gewohnt durchführen und ihn die DB selbst anlegen lassen.

Um nun Transactionen auf der DB zu vermeiden am besten die PVS Dienste stoppen oder den Server herunterfahren.

Nun wollen wir auf dem SQL Server den Spiegel einrichten…

Der Wizard erstellt zwar die DB, diese müssen wir aber für den Spiegel erst in den Full Recovery Mode setzen.
PVS-DB-RecoveryModel

Als weiteren Schritt erstellen wir nun erst ein Full Backup der DB und im nächsten Schritt ein Transaction Log Backup in die gleiche Datei.

Aus dieser Datei stellen wir die DB auf dem zweiten SQL Server wieder her:
Wichtig: die Option RESTORE WITH NORECOVERY muss gesetzt sein!
SQL-Mirror-RestoreNoRecovery

Anschliessend kann ein Spiegel wie gewohnt eingerichtet werden.

Nun das der PVS bzw. dessen Dienste wieder gestartet werden und weitere PVS bei Bedarf hinzugefügt werden. Beim Hinzufügen auch wieder darauf achten, dass der Mirror SQL Server mit angegeben wird. ;-)

Microsoft SQL 2012 / Citrix Provisioning Services 7.x

 



Win8/Win2012 Metro Design – Anordnung der Kacheln wird nicht ins Profil geschrieben

Hallo zusammen

Wer sich schon mal mit Benutzerprofilen und dem seit Windows 8/Windows Server 2012 vorhandenen Metro Design beschäftigt hat, hat sich sicherlich auch schon darüber geärgert, dass nach dem Abmelden die Anordnungen der Kacheln verloren waren.

Der Grund ist so einfach und ärgerlich zugleich:

Die Anordnung der Kacheln wird per Design in AppData\Local statt AppData\Roaming gespeichert.

Mit reinen Microsoft Bordmitteln fehlt mir gerade der notwendige Geistesblitz um das Problem zu lösen. Machbar ist dies jedoch mit dem Profile Management von Citrix.

In der gesamten Konfiguration muss ich eine einzelne Datei in den Profilpfad mit aufnehmen, und zwar…. tadaaa:
!ctx_localsettings!\Microsoft\Windows\appsFolder.itemdata-ms

Anschliessend sollten sich die Benutzer darüber „freuen“, dass sie ihre mühevoll angeordneten und sortierten Kacheln so vorfinden, wie sie diese am Abend zuvor verlassen haben ;-)



PVS Bootmenü ausblenden bei Versionen

Hey Technikwelt

Seit der Einführung der vDisk Versionierung in Provisioning Services wurden einige vor eine Herausforderung gestellt. Sobald man ein Target Device als Test oder Maintenance definiert hat, erscheint im PXE Boot ein Auswahlmenü der Disks. Im Installationsfall stellt dies nicht so ein Problem dar, aber wenn man z.B. im XenDesktop einen Testkatalog für eine ausgewählte Benutzergruppe zur Verfügung stellen will, stellt man fest, dass die VMs der Benutzer ohne Eingriff innerhalb des Hypervisors nicht starten.

PVS-BootMenu

Gerade für das genannte Szenario mit den Testbenutzern ist dies ein wenig, sagen wir mal bescheiden.

Das Boot Menü kann seitens PVS in der Registry deaktiviert werden, in dem man den StreamService das Boot Menü unterdrückt.

HKLM\Software\Citrix\ProvisioningServices\StreamProcess\
SkipBootMenu (DWORD) = 1

Die Details findet ihr auch in CTX135299

Zu beachten gilt nun einfach, dass so sämtliche Boot Menüs deaktiviert werden, auch bei Systemen, bei welchen man das als System Engineer mal bewusst eingerichtet hatte ;-)

Recherchiert durch Tobias Geilinger

Citrix Provisioning Services 7.x



PVS Stream Service kann via PVS Konsole nicht neu gestartet werden

Hallo Welt :-)

In den XenDesktop Kursen stiess ich immer wieder auf ein Phänomen, welches mich stutzig machte. Jedesmal wenn ich aus der PVS Konsole versuchte den Streaming Dienst neu zu starten endete dies in einer Fehlermeldung. In der Microsoft Dienstekonsole funktionierte es jedoch einwandfrei.

Die Ursache war mal wieder richtig einfach. Microsoft erhöht ja immer mehr die Sicherheit ihrer Betriebssysteme und nun fehlen dem PVS Servicebenutzer die Berechtigungen den Dienst zu starten/stoppen.

Microsoft bietet mit subinacl ein kleines Tool, mit welchem man für solche Fälle die Berechtigungen gezielt für einen Benutzer auf einen Dienst setzen kann. Die weniger sichere Variante wäre es, den Servicebenutzer den lokalen Administratoren hinzuzufügen, aber darüber sprechen wir jetzt nicht ;-)

Schritt 1 – ihr ladet SubInAcl gleich hier oder über den offiziellen Download Link unten im Artikel herunter.

Schritt 2 – ihr entpackt es bis es im entsprechenden %ProgramFiles(x86)% Ordner des Toolkits liegt

Schritt 3 – ihr benötigt die CMD oder Powershell im Adminmodus und wechselt da in das Verzeichnis des Tools, idR unter %ProgramFiles(x86)%\Windows Resource Kits\Tools“

Schritt 4 – ihr müsst das Tool mit folgendem Syntax ausführen um dem Servicebenutzer die notwendigen Berechtigungen für den Dienst zuzuweisen:

.\subinacl.exe /service Dienst /grant=Domain\ServiceUser =top

Beispiel in unserem Fall (PVS Stream Service und CCH\svc-pvs als Servicebenutzer):

.\subinacl.exe /service StreamService /grant=CCH\svc-pvs =top

Schritt 5 – nun solltet ihr den Streaming Dienst aus der PVS Konsole heraus neu starten können:

PVS-Restart-StreamService

Recherchiert durch Tobias Geilinger

Offizeller Downloadpfad: http://www.microsoft.com/en-gb/download/confirmation.aspx?id=23510

Microsoft Windows Server 2012 / Citrix Provisioning Services 7.x