StoreFront 2 - Citrix Docs...HTML5-kompatiblen Webbrowser auf ihre Desktops und Anwendungen...

StoreFront 2.1

2015-03-18 10:43:36 UTC

© 2015 Citrix Systems, Inc. All rights reserved. Terms of Use | Trademarks | Privacy Statement

http://www.citrix.com/about/legal/legal-notice.html

http://www.citrix.com/about/legal/brand-guidelines.html

http://www.citrix.com/about/legal/privacy.html

Inhalt

StoreFront 2.1................................................................................................. 5

Info zu diesem Release.......................................................................... 6

Bekannte Probleme......................................................................... 11

Systemanforderungen ........................................................................... 14

Anforderungen an die Infrastruktur...................................................... 16

Anforderungen für Benutzergeräte ...................................................... 20

Anforderungen für Smartcards ...................................................... 27

Planen.............................................................................................. 29

Benutzerzugriffsoptionen.................................................................. 32

Citrix Receiver ......................................................................... 34

Konfigurieren der e-mail-basierten Kontenermittlung..................... 36

Receiver für Web-Sites ............................................................... 38

Desktopgerätesites.................................................................... 42

XenApp Services-URLs ................................................................ 44

Benutzerauthentifizierung ................................................................ 46

Verwenden von Smartcards mit StoreFront ....................................... 49

Optimieren der Benutzererfahrung ...................................................... 54

Hohe Verfügbarkeit und Multisitekonfiguration für StoreFront...................... 58

Installation und Einrichtung .................................................................... 63

So installieren Sie StoreFront ............................................................. 66

So installieren Sie StoreFront über eine Eingabeaufforderung ...................... 68

Konfigurieren von StoreFront ............................................................. 69

So erstellen Sie eine neue Bereitstellung ......................................... 70

So fügen Sie dem Store XenDesktop-, XenApp- undVDI-in-a-Box-Ressourcen hinzu ................................................ 73

So fügen Sie einem Store App Controller-Anwendungen hinzu ........... 75

So konfigurieren Sie Remotezugriff auf den Store über ein NetScalerGateway-Gerät ................................................................... 76

So stellen Sie Remotezugriff auf den Store über einen Access Gateway5.0-Cluster bereit................................................................ 79

So fügen Sie einer vorhandenen Servergruppe einen Server hinzu ............ 81

2

So deinstallieren Sie StoreFront .......................................................... 82

Upgrade............................................................................................ 83

Verwaltung ........................................................................................ 87

Konfigurieren von Servergruppen ........................................................ 88

So erstellen Sie den Authentifizierungsdienst.......................................... 90

Konfigurieren des Authentifizierungsdiensts ........................................... 92

Erstellen eines Stores ...................................................................... 96

Konfigurieren von Stores .................................................................. 103

So exportieren Sie Store-Provisioningdateien für Benutzer .................... 104

Ausblenden und Ankündigen von Stores für Benutzer ........................... 105

So verwalten Sie die durch Stores zur Verfügung gestellten Ressourcen 106

So verwalten Sie den Remotezugriff auf Stores über NetScaler Gateway 108

So verwalten Sie Citrix Receiver-Updates ......................................... 112

So integrieren Sie Citrix Online-Anwendungen in Stores........................ 114

So konfigurieren Sie Unterstützung für Verbindungen über XenAppServices-URLs .......................................................................... 115

Generieren von Sicherheitsschlüsseln für Stores ................................. 116

Entfernen von Stores ................................................................. 117

So erstellen Sie eine Receiver für Web-Site ............................................ 118

Konfigurieren von Receiver für Web-Sites .............................................. 119

So fügen Sie eine NetScaler Gateway-Verbindung hinzu ............................. 122

Konfigurieren von NetScaler Gateway-Verbindungseinstellungen .................. 126

So konfigurieren Sie Beacons ............................................................. 130

Konfigurieren der Smartcardauthentifizierung......................................... 132

So aktivieren Sie Passthrough mit Smartcardauthentifizierung für alleReceiver für Windows ................................................................ 138

Einrichten hoch verfügbarer Stores mit mehreren Sites.............................. 139

So konfigurieren Sie den Lastausgleich, das Failover, dieNotfallwiederherstellung und die Benutzerzuordnung für einen Store ....... 140

So konfigurieren Sie die Abonnementsynchronisierung ......................... 143

So konfigurieren Sie das optimale NetScaler Gateway-Routing für einenStore..................................................................................... 146

So konfigurieren Sie einen Store für den globalen Serverlastausgleich fürNetScaler Gateway.................................................................... 149

Beispiel für Konfigurationen hoch verfügbarer Stores mit mehreren Sites 150

Beispiel für Lastausgleich und Failover....................................... 152

Beispiel für die Benutzerzuordnung........................................... 155

Beispiel für die Abonnementsynchronisierung .............................. 158

Beispiel für optimales NetScaler Gateway-Routing......................... 160

Konfigurieren von StoreFront mit Konfigurationsdateien ............................ 162

3

So aktivieren Sie die ICA-Dateisignierung ......................................... 163

So konfigurieren Sie Kommunikationstimeoutdauer undWiederholungsversuche .............................................................. 165

So konfigurieren Sie den Zeitraum für den Kennwortablauf.................... 166

So deaktivieren Sie die Dateitypzuordnung ....................................... 167

So aktivieren Sie Socketpooling ..................................................... 168

So passen Sie das Citrix Receiver-Anmeldedialogfeld an ....................... 169

So verhindern Sie, dass Receiver für Windows Kennwörterzwischenspeichert..................................................................... 171

Konfigurieren von Receiver für Web-Sites mit Konfigurationsdateien.............. 172

So konfigurieren Sie die Anzeige von Ressourcen für die Benutzer ........... 173

So stellen Sie Citrix Receiver-Installationsdateien auf dem Server zurVerfügung............................................................................... 175

So deaktivieren Sie die Erkennung und Bereitstellung von Citrix Receiver 177

So konfigurieren Sie Workspace Control ........................................... 178

So beenden Sie die Bereitstellung von Provisioningdateien für Benutzer 180

So konfigurieren Sie die Verwendung der Browserregisterkarten fürReceiver für HTML5 ................................................................... 181

So konfigurieren Sie Timeoutdauer und Wiederholungsversuche für denStore..................................................................................... 182

So konfigurieren Sie die Sitzungsdauer ............................................ 183

Konfigurieren von Desktopgerätesites................................................... 184

So konfigurieren Sie die Authentifizierung für XenApp Services-URLs.............. 187

Sicherung .......................................................................................... 189

Problembehandlung.............................................................................. 192

4

5

StoreFront 2.1

Citrix StoreFront 2.1 ermöglicht das Erstellen von Unternehmens-App-Stores, in denenRessourcen von XenDesktop, XenApp XenMobile App Controller und VDI-in-a-Boxzusammengefasst sind. Die von Ihnen erstellen Stores ermöglichen Benutzern denSelf-Service-Zugriff auf Windows-Desktops und -Anwendungen, mobile Anwendungen,externe Software-as-a-Service (SaaS)-Anwendungen und interne Webanwendungen von allenGeräten aus über ein einziges Portal. Als Administrator können Sie Desktops undAnwendungen im Unternehmen über einen zentralen Punkt bereitstellen und verwalten. DieKonsolidierung der Bereitstellung von Ressourcen über StoreFront bedeutet, dass fürunterschiedliche Anwendungen nun nicht mehr mehrere Bereitstellungsmechanismenerforderlich sind und keine manuellen Installationen und Updates mehr unterstützt werdenmüssen.

Die Themen in diesem Abschnitt enthalten Informationen zum Bereitstellen, Konfigurierenund Verwalten von StoreFront 2.1. Es wird davon ausgegangen, dass Leser mit CitrixReceiver, XenDesktop, XenApp, XenMobile App Controller und VDI-in-a-Box vertraut sind.

Info zu StoreFront Systemanforderungen

In StoreFront behobene Probleme Planen der StoreFront-Bereitstellung

Bekannte Probleme Installieren und Einrichten von StoreFront

http://support.citrix.com/article/CTX138215

6

Info zu StoreFront

Aktualisiert: 2013-10-30

StoreFront ist eine zentrale Komponente jeder XenDesktop-, XenApp-, XenMobile- undVDI-in-a-Box-Implementierung. StoreFront dient der Authentifizierung von Benutzern inMicrosoft Active Directory und verwaltet die Bereitstellung von Desktops und Anwendungenvon den Servern im Datenzentrum auf den Geräten der Benutzer. Benutzer greifen aufStoreFront-Stores über Citrix Receiver zu oder über eine Receiver für Web- oder DesktopAppliance-Site, über die Benutzer über eine Webseite auf Stores zugreifen können. Wennkeine dieser Zugriffsmethoden verwendet werden kann (z. B. bei Geräten mit älteren CitrixClients, die nicht aktualisiert werden können) können Benutzer eine Verbindung mit Storesüber XenApp Services-URLs herstellen. StoreFront speichert einen Datensatz zu deneinzelnen Anwendungen jedes Benutzers und aktualisiert automatisch deren Geräte, sodassBenutzern auf Smartphones, Tablets, Laptops und Desktopcomputern eine konsistenteBenutzererfahrung geboten wird.

Neue FunktionenStoreFront 2.1 unterstützt Windows Server 2012 R2, Windows 8.1 und Internet Explorer 11.Darüber hinaus wurden verschiedene Verbesserungen vorgenommen, die in In StoreFront 2.1behobene Probleme erläutert werden.

StoreFront 2.0 bietet die folgenden neuen Features und Verbesserungen.

Separate Datenbank nicht mehr erforderlich: Es ist nicht mehr notwendig, eine separateDatenbank zu haben. Anwendungsabonnementdaten werden lokal gespeichert undautomatisch zwischen StoreFront-Servern repliziert.

Hohe Verfügbarkeit und Multisite-Konfiguration: Für den Lastausgleich und Failoverzwischen den Bereitstellungen von Desktops und Anwendungen können Sie Gruppierungenund Hierarchien definieren, einschließlich spezifischen Backupbereitstellungen. Sie könnenden Zugriff der Benutzer auf bestimmte Ressourcen beschränken, indem SieBereitstellungen Microsoft Active Directory-Benutzergruppen zuordnen.

http://support.citrix.com/proddocs/topic/dws-storefront-21/nl/de/dws-fixed-issues.html

http://support.citrix.com/proddocs/topic/dws-storefront-21/nl/de/dws-fixed-issues.html

Smartcardauthentifizierung: StoreFront unterstützt die Smartcardauthentifizierung überReceiver für Windows und NetScaler Gateway. Die Smartcardauthentifizierung vonDesktopgeräten und umfunktionierten PCs über Desktop Appliance-Sites und XenAppServices-URLs wird auch unterstützt.

Integration von Receiver für HTML5: Receiver für HTML5 war früher ein separates Produktund ist nun in StoreFront Receiver für Web-Sites integriert. Mit Receiver für HTML5 könnenBenutzer, die Citrix Receiver nicht installieren können, direkt über einenHTML5-kompatiblen Webbrowser auf ihre Desktops und Anwendungen zugreifen.

Desktopgeräte-Sites: Sie können Benutzern Zugriff auf ihre Desktops von nichtdomänengebundenen Desktopgeräten aus erteilen. Der Webbrowser auf solchen Geräten istfür den Zugriff auf die Desktop Appliance-Site für einen Store im Vollbildmodus beim Startkonfiguriert.

Verknüpfungen für Receiver für Web-Sites: Sie können auf Ihren Websites Links zuDesktops und Anwendungen, die über Receiver für Web-Sites verfügbar sind, einbetten.

XenMobile App Controller-Workflowintegration: Benutzer von Receiver für Web-Siteskönnen Anwendungen abonnieren, für die Sie den Zugriff über die AppController-Benutzerkontenverwaltung verwalten.

Ändern des Kennworts für Receiver für Web-Sites: Sie können Benutzern von Receiver fürWeb-Sites ermöglichen, ihr Active Directory-Domänenkennwort zu ändern undBenachrichtigungen für Benutzer konfigurieren, deren Kennwort bald abläuft.

Info zu diesem Release

7

Basis-URL ändern Sie können jederzeit die Basis-URL für eine Bereitstellung ändern,einschließlich von HTTP in HTTPS, ohne dass StoreFront neu installiert werden muss.

Unterstützung für Fast Connect: StoreFront unterstützt die Passthrough-Authentifizierungfür XenApp Services-URLs mit Proximitykarten über Fast Connect-kompatible Produkte vonDrittanbietern.

Unterstützung für IPv6: StoreFront unterstützt die Kommunikation mit Servern und Clientsin IPv6-Netzwerken und in Hybridnetzwerken mit dualem Stapel (IPv4-/IPv6).

Andere FeaturesCitrix Receiver-Integration: Citrix Receiver bietet Benutzern einen intuitiven Zugriff aufStoreFront-Stores von jedem Gerät und Standort aus.

E-Mail-basierte Kontenermittlung: Sie können Benutzern, die Citrix Receiver auf einemGerät zum ersten Mal installieren, ermöglichen, ihr Konto durch Eingabe ihrerE-Mail-Adresse einzurichten.

Konfiguration von Citrix Receiver mit einem Klick: Sie können Citrix Receiver für IhreBenutzer konfigurieren, indem Sie Provisioningdateien verfügbar machen.

Automatisch bereitgestellte Anwendungen: Sie können die wichtigsten Anwendungenautomatisch für alle Benutzer abonnieren.


8

Anwendungssynchronisierung: Abonnierte Anwendungen folgen Benutzern von Gerät zuGerät. Benutzer müssen ihre Anwendungen nicht jedes Mal, wenn sie ein anderes Gerätverwenden, neu abonnieren. Auf diese Weise ist eine konsistente Benutzererfahrung aufallen Geräten gewährleistet.

Receiver für Web-Sites: Benutzer können nicht nur über Citrix Receiver aufStorefront-Stores zugreifen, sondern auch über Webseiten.

Citrix Receiver-Erkennung und Bereitstellung: Unter Windows bzw. Mac OS X werdenBenutzer, die Citrix Receiver nicht installiert haben, von Receiver für Web-Sitesaufgefordert, die geeignete Version von der Citrix Website herunterzuladen.

Unterstützung für NetScaler Gateway: StoreFront kann in NetScaler Gateway integriertwerden, um sichere Verbindungen von Remotebenutzern über öffentliche Netzwerke zugewährleisten. Es werden Verbindungen über das NetScaler Gateway-Plug-In und clientloserZugriff unterstützt. Sie können SmartAccess verwenden, um den Zugriff auf Ressourcen aufder Grundlage von Sitzungsrichtlinien zu steuern.

Passthrough-Authentifizierung: StoreFront unterstützt Passthrough von Domänen- undSmartcardanmeldeinformationen von Benutzergeräten und diePassthrough-Authentifizierung von NetScaler Gateway.

Sichere Benutzerverbindungen: Sie können StoreFront so konfigurieren, dass HTTPS zumSichern der Kommunikation mit Benutzergeräten verwendet wird.


9

ICA-Dateisignierung: StoreFront kann ICA-Dateien digital signieren, damit die Versionen vonCitrix Receiver, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einervertrauenswürdigen Quelle stammt.

Workspace Control: Sie können Anwendungen so konfigurieren, dass sie Benutzern vonGerät zu Gerät folgen und die Benutzer Anwendungen nicht auf jedem Gerät neu startenmüssen.

Unterstützung für ältere Clients: Wenn Sie einen neuen Store erstellen, ist Zugriff fürältere Clients, die Webinterface-XenApp Services-Sites unterstützen, standardmäßigaktiviert.

Zentrale Serververwaltung: Sie können eine Gruppe von StoreFront-Servern über die CitrixStoreFront-Verwaltungskonsole auf einem beliebigen Server verwalten.


10

11

Bekannte Probleme in StoreFront 2.1


In diesem Release bestehen die folgenden Probleme.

Receiver für Windows kann keine Ressourcen auf Receiver für Web-Sites starten, wennder Zugriff über Google Chrome im Windows 8-Modus erfolgt

Benutzer von Windows 8, die Google Chrome im Windows 8-Modus ausführen und aufReceiver für Web-Sites zugreifen, für die Receiver für HTML5 entweder deaktiviert oder dieFallbackoption ist, können keine Desktops und Anwendungen starten, selbst wenn Receiverfür Windows installiert ist. Um dieses Problem zu umgehen müssen Benutzer Google Chromeauf dem Desktop ausführen, wenn sie auf Receiver für Web-Sites zugreifen. [#425740]

Verwendung von Zertifikaten mit Platzhalterzeichen verursacht Probleme in derVerwaltungskonsole

Die Citrix StoreFront-Verwaltungskonsole kann Zertifikate mit teilweisen Platzhalterzeichenin der Form name*.domain, wobei name ein konstanter Wert ist, in IIS nicht identifizieren.Daher können Sie die Erstkonfiguration mit der Verwaltungskonsole nicht abschließen, wennSie Microsoft-Internetinformationsdienste (IIS) für HTTPS mit einem solchen Zertifikatkonfigurieren, bevor Sie StoreFront installieren. Wenn Sie ein Zertifikat mit teilweisenPlatzhalterzeichen zum Konfigurieren von IIS und StoreFront für HTTPS nach der Installationverwenden, können Probleme bei der Verwendung der Verwaltungskonsole für bestimmteAufgaben auftreten. [#424708]

StoreFront kann nicht aktualisiert werden, wenn eine Miniaturansicht-Cachedateivorhanden ist

Die Aktualisierung von StoreFront kann nicht abgeschlossen werden, wenn eines derStoreFront-Verzeichnisse die Windows Miniaturbild-Cachedatei Thumbs.db enthält. Sievermeiden dieses Problem, indem Sie die StoreFront-Installation nach allen Instanzen dieserverborgenen Datei durchsuchen und sie löschen, bevor Sie das Upgrade durchführen.[#421623]

Benutzer von Smartcards können sich nicht bei Desktopgerätesites anmelden

Wenn Benutzer versuchen, sich bei Desktopgerätesites über Smartcardauthentifizierunganzumelden, kann die Anmeldung fehlschlagen, obwohl Smartcardauthentifizierung oderPassthrough mit Smartcardauthentifizierung für die Site aktiviert sind. Sie lösen diesesProblem, indem Sie die Clientzertifikatzuordnung-Authentifizierung über Microsoft ActiveDirectory (nicht Clientzertifikatzuordnung-Authentifizierung für IIS) für das Verzeichnis\SmartcardAuth der Desktopgerätesite in Microsoft Internet Information Services (IIS)aktivieren. [#406945]

Upgrade von StoreFront 1.2-Einzelserverbereitstellungen, die SQL Server 2012 Expressverwenden, nicht möglich

Bei StoreFront 1.2-Einzelserverbereitstellungen, die Microsoft SQL Server 2012 Express fürdie Anwendungsabonnementdatenbank verwenden und deren Komponenten, einschließlich

der Datenbank, alle auf einem einzelnen Server installiert sind, kann kein Upgrade aufStoreFront 2.0 durchgeführt werden.

Ausstehende Updates werden bei Upgrades auf Receiver für Windows 3.4 von citrix.commöglicherweise nicht abgeschlossen

Bei Upgrades von Receiver für Windows 3.4 von der Citrix Website werden ausstehendeUpdates, z. B. für Plug-Ins, möglicherweise nicht abgeschlossen. Zum Beheben diesesProblems muss das Upgrade von Receiver für Windows 3.4 manuell durchgeführt werden.[#396558]

Beim Upgrade von Receiver StoreFront 1.1 wird die bestehende Konfiguration entfernt

Das direkte Upgrade von Receiver StoreFront 1.1 auf StoreFront 2.0 wird nicht unterstützt.Bei einem Versuch wird die bestehende Receiver StoreFront-Konfigurationunwiederbringlich entfernt. Stattdessen müssen Sie zunächst ein Upgrade von ReceiverStoreFront 1.1 auf StoreFront 1.2 und dann das Upgrade auf StoreFront 2.0 durchführen.[#395810]

Upgrades auf Receiver für Windows 3.3 von citrix.com werden nicht abgeschlossen

Beim Upgrade von Receiver für Windows 3.3 von der Citrix Website erhalten Benutzer dieFehlermeldung "Cannot complete setup". Zum Beheben dieses Problems muss das Upgradevon Receiver für Windows 3.3 manuell durchgeführt werden. [#393294]

Benutzer können nicht auf Ressourcen zugreifen, nachdem diePassthrough-Authentifizierung über Citrix NetScaler Gateway deaktiviert wurde

Wenn Sie die Passthrough-Authentifizierungsmethode über Citrix NetScaler Gatewaydeaktiviert haben, können Benutzer nicht über NetScaler Gateway auf ihre Ressourcenzugreifen, selbst wenn für den Store Remotezugriff konfiguriert wurde. Stattdessen wirdBenutzern die folgende Fehlermeldung angezeigt: "Anwendung kann nicht gestartet werden.Wenden Sie sich an den Helpdesk und stellen Sie folgende Informationen bereit: Verbindungmit Citrix XenApp-Server ist nicht möglich. Fehler im Protokolltreiber." Um dieses Problemzu beheben, legen Sie in der Storekonfigurationsdatei für das AttributrequireTokenConsistency den Wert false fest, wenn Sie die Passthrough-Authentifizierungüber Citrix Access Gateway deaktivieren. [#320650]

Receiver für Web-Sites reagiert bei Internet Explorer 8 möglicherweise langsam

Benutzer mit Internet Explorer 8 werden möglicherweise feststellen, dass Receiver fürWeb-Sites mit einer großen Zahl von Desktops und Anwendungen langsam reagiert, wenn siedurch den Store navigieren oder Suchbegriffe eingeben. [#274126]

Bei einigen Benutzern ist der Anmeldebildschirm von Receiver für Web-Sitesmöglicherweise nicht lokalisiert

Beim Zugriff auf Receiver für Web-Sites über Access Gateway 5.0.4 wird der BildschirmAnmeldung Benutzern mit den Sprachen Chinesisch (traditionell), Koreanisch und Russischauf Englisch angezeigt. Beim Zugriff auf Receiver für Web-Sites über Access Gateway 9.3Enterprise Edition wird der Bildschirm Anmeldung Benutzern mit den Sprachen Chinesisch(vereinfacht), Chinesisch (traditionell), Koreanisch und Russisch auf Englisch angezeigt.[#267899]

Bekannte Probleme

12

Behobene ProblemeIn diesem Release behobene Probleme finden Sie unterhttp://support.citrix.com/article/CTX138215.

Bekannte Probleme

13


14

Systemanforderungen für StoreFront 2.1


Beim Planen der Installation empfiehlt Citrix, mindestens 2 GB zusätzlichen RAM fürStoreFront über die Anforderungen aller anderen, auf dem Server installierten Produktehinaus zu veranschlagen. Der Abonnementstoredienst erfordert mindestens 5 MBSpeicherplatz und pro 1000 Anwendungsabonnements sind zusätzlich ca. 8 MB Speicherplatzerforderlich. Alle anderen Hardwareelemente müssen die Mindestanforderungen an dieHardware für das installierte Betriebssystem erfüllen.

Nach entsprechenden Tests bietet Citrix bietet Unterstützung für StoreFront auf folgendenPlattformen.

• Windows Server 2012 R2 Datacenter- und Standard-Editionen

• Windows Server 2012 (Standard- und Datacenter-Editionen)

• Windows Server 2008 R2 mit Service Pack 1, Enterprise- und Standard-Editionen

Das Aktualisieren des Betriebssystems eines Servers, auf dem StoreFront ausgeführt wird,wird nicht unterstützt. Citrix empfiehlt die Installation von StoreFront auf einer neuenInstallation des Betriebssystems. Auf allen Servern in einer Multiserverbereitstellung mussdie gleiche Betriebssystemversion mit den gleichen Gebietsschemaeinstellungen ausgeführtwerden. StoreFront-Servergruppen mit unterschiedlichen Betriebssystemversionen undGebietsschemas werden nicht unterstützt.

Microsoft Internetinformationsdienste (IIS) und Microsoft .NET Framework sind auf demServer erforderlich. Wenn eine dieser beiden erforderlichen Komponenten installiert, abernicht aktiviert ist, aktiviert das StoreFront-Installationsprogramm die Komponente, bevordas Produkt installiert wird. Windows PowerShell und Microsoft Management Console,beides Standardkomponenten von Windows Server, müssen auf dem Webserver installiertwerden, bevor Sie StoreFront installieren können. Der relative Pfad zu StoreFront in IISmuss auf allen Servern in einer Gruppe identisch sein.

StoreFront verwendet die folgenden Ports für die Kommunikation. Stellen Sie sicher, dassFirewalls und andere Netzwerkgeräte den Zugriff auf diese Ports zulassen.

• Die TCP-Ports 80 und 443 werden für die Kommunikation über HTTP bzw. HTTPSverwendet und müssen von innerhalb und außerhalb des Unternehmensnetzwerkszugänglich sein.

• TCP-Port 808 wird für die Kommunikation zwischen StoreFront-Servern verwendet undmuss von innerhalb des Unternehmensnetzwerks zugänglich sein.

• Ein nach dem Zufallsprinzip unter allen nicht reservierten Ports ausgewählter TCP-Portwird für die Kommunikation zwischen den StoreFront-Servern in eine Servergruppeverwendet. Wenn Sie StoreFront installieren, wird eine Windows-Firewallregelkonfiguriert, die den Zugriff auf die ausführbare StoreFront-Datei gestattet. Da der Portjedoch nach dem Zufallsprinzip zugewiesen wird, müssen Sie sicherstellen, dassFirewalls oder andere Geräte im internen Netzwerk keinen Datenverkehr an einen der

nicht zugewiesenen TCP-Ports blockieren.

• Wenn er aktiviert ist, wird TCP-Port 8008 von Receiver für HTML5 für dieKommunikation zwischen lokalen Benutzern auf dem internen Netzwerk und denServern, die die Desktops und Anwendungen bereitstellen, verwendet.

StoreFront unterstützt reine IPv6-Netzwerke und Umgebungen mit dualem Stapel (IPv4 undIPv6).

Systemanforderungen

15

16

Anforderungen an die Infrastruktur


Citrix hat StoreFront mit den folgenden Citrix Produktversionen getestet und unterstüzt sie.

Anforderungen für den Citrix ServerIn StoreFront-Stores aggregierte Desktops und Anwendungen von den folgenden Produkten.

• XenDesktop

• XenDesktop 7.1

• XenDesktop 7

• XenDesktop 5.6 Feature Pack 1

• XenDesktop 5.6

• XenDesktop 5.5• XenApp

• XenApp 6.5 Feature Pack 2

• XenApp 6.5 Feature Pack 1 für Windows Server 2008 R2

• XenApp 6.5 für Windows Server 2008 R2


• XenApp 5.0 Feature Pack 3 für Windows Server 2008, 64-Bit-Edition

• XenApp 5.0 Feature Pack 3 für Windows Server 2008









• XenApp 5.0 für Windows Server 2008, 64-Bit-Edition

• XenApp 5.0 für Windows Server 2008



• XenMobile App Controller

• App Controller 2.9

• App Controller 2.8

• AppController 2.6

• AppController 2.5 (in Englisch)

• AppController 2.0

• AppController 1.1 (in Englisch)

• AppController 1.0 (in Englisch)• VDI-in-a-Box

• VDI-in-a-Box 5.3

• VDI-in-a-Box 5.2Weitere Informationen über die Anforderungen und Einschränkungen finden Sie unterVerwenden von StoreFront mit VDI-in-a-Box.

Anforderungen für NetScaler GatewayDie folgenden Versionen von NetScaler Gateway können verwendet werden, um Benutzernin öffentlichen Netzwerken Zugriff auf StoreFront zu geben.

• NetScaler Gateway 10.1

• Access Gateway 10, Build 69.4 (die Versionsnummer wird oben imKonfigurationsprogramm angezeigt)

• Access Gateway 9.3, Enterprise Edition

• Access Gateway 5.0.4

Anforderungen für Receiver für HTML5Wenn Sie beabsichtigen, Benutzern den Zugriff auf Desktops und Anwendungen mit Receiverfür HTML5 auf Receiver für Web-Sites zu ermöglichen, gelten die folgenden zusätzlichenAnforderungen.


17

http://support.citrix.com/proddocs/topic/vdi-53/nl/de/vdi-manage-storefront.html

Bei internen Netzwerkverbindungen bietet Receiver für HTML5 den Zugriff auf Desktops undAnwendungen von den folgenden Produkten.

• XenDesktop 7.1

• XenDesktop 7


• XenApp 6.5 Feature Pack 1 für Windows Server 2008 R2 (erfordert HotfixXA650R01W2K8R2X64051, verfügbar unterhttp://support.citrix.com/article/CTX136293)

Remotebenutzern außerhalb des Unternehmensnetzwerks ermöglicht Receiver für HTML5den Zugriff auf Desktops und Anwendungen über die folgenden NetScalerGateway-Versionen.



Bei Verbindungen über NetScaler Gateway bietet Receiver für HTML5 den Zugriff aufDesktops und Anwendungen von den folgenden Produkten.

• XenDesktop

• XenDesktop 7.1

• XenDesktop 7

• XenDesktop 5.6

• XenDesktop 5.5• XenApp


• XenApp 6.5 Feature Pack 1 für Windows Server 2008 R2










18

http://support.citrix.com/article/ctx135757









• VDI-in-a-Box



Anforderungen für Merchandising ServerWenn Sie planen, Merchandising Server zu konfigurieren, um bei der Bereitstellung vonCitrix Receiver-Konfigurationen den Authentifizierungsdienst zum Identifizieren vonBenutzern zu verwenden, kann StoreFront mit den folgenden Versionen von MerchandisingServer verwendet werden.

• Merchandising Server 2.2 (in Englisch)

• Merchandising Server 2.1 (in Englisch)

Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung.


19

http://support.citrix.com/proddocs/topic/merchandising-22/nl/de/mer-config-client-token.html

20

Anforderungen für Benutzergeräte


StoreFront bietet Benutzern verschiedene Optionen für den Zugriff auf Desktops undAnwendungen. Citrix Receiver-Benutzer können entweder über Citrix Receiver auf Storeszugreifen oder einen Webbrowser verwenden, um sich bei einer Receiver für Web-Site fürden Store anzumelden. Benutzern, die Citrix Receiver nicht installieren können, jedocheinen HTML5-kompatiblen Webbrowser haben, können Sie direkten Zugriff auf Desktops undAnwendungen im Webbrowser ermöglichen, indem Sie Receiver für HTML5 für Ihre Receiverfür Web-Site aktivieren.

Benutzer mit nicht domänengebundenen Desktopgeräten können auf ihre Desktops überihren Webbrowser zugreifen, der für den Zugriff auf Desktopgerätesites konfiguriert ist.Benutzer von domänengebundenen Desktopgeräten und umfunktionierten PCs, auf denenCitrix Desktop Lock ausgeführt wird, sowie Benutzer mit älteren Citrix Clients, die nichtaktualisiert werden können, können über die XenApp-Services-URL direkt auf Storeszugreifen.

Wenn Sie Offlineanwendungen bereitstellen möchten, ist neben Citrix Receiver für Windowsauch das Citrix Offline Plug-In erforderlich. Wenn Sie Microsoft Application Virtualization(App-V)-Sequenzen für Benutzer bereitstellen möchten, wird außerdem eine unterstützteVersion von Microsoft Application Virtualization Desktop Client benötigt. WeitereInformationen finden Sie unter Veröffentlichen von Anwendungen für Streaming undVeröffentlichen von App-V-Sequenzen in XenApp. Benutzer können nicht über Receiver fürWeb-Sites auf Offlineanwendungen oder App-V-Sequenzen zugreifen.

Es wird vorausgesetzt, dass alle Benutzergeräte die Mindestanforderungen an die Hardwarefür das installierte Betriebssystem erfüllen.

Anforderungen für den Zugriff auf Stores in CitrixReceiver

Die folgenden Citrix Receiver-Versionen können für den Zugriff auf StoreFront-Stores überinterne Netzwerkverbindungen und über NetScaler Gateway verwendet werden.Verbindungen über NetScaler Gateway können mit dem NetScaler Gateway Plug-In oderüber clientlosen Zugriff hergestellt werden.

• Citrix Receiver für Windows 8/RT 1.4

• Citrix Receiver für Windows 4.1



• Citrix Receiver für Mac 11.8

• Citrix Receiver für Mac 11.7

http://support.citrix.com/proddocs/topic/xenapp65-publishing/nl/de/ps-stream-apps-managing-wrapper.html

http://support.citrix.com/proddocs/topic/xenapp65-publishing/nl/de/ps-pub-app-v.html

• Citrix Receiver für iOS 5.8

• Citrix Receiver für iOS 5.7

• Citrix Receiver für Android 3.4

• Citrix Receiver für Android 3.3

• Citrix Receiver für Linux 12.1

Anforderungen für den Zugriff auf Stores überReceiver für Web-Sites

Die folgenden Kombinationen aus Citrix Receiver, Betriebssystem und Webbrowser werdenfür den Zugriff auf Receiver für Web-Sites über interne Netzwerkverbindungen undNetScaler Gateway empfohlen. Verbindungen über NetScaler Gateway können mit demNetScaler Gateway Plug-In oder über clientlosen Zugriff hergestellt werden.


• Windows 8.1 (32-Bit- und 64-Bit-Edition)

• Internet Explorer 11 (32-Bit-Modus)

• Google Chrome 30

• Mozilla Firefox 24• Windows 8 (32-Bit- und 64-Bit-Edition)




• Mozilla Firefox 24

• Mozilla Firefox 23• Windows 7 mit Service Pack 1 (32-Bit- und 64-Bit-Editionen)









21

• Windows Embedded Standard 7 Service Pack 1 oder Windows Thin PC



• Internet Explorer 8 (32-Bit-Modus)• Windows Vista Service Pack 2 (32-Bit- und 64-Bit-Edition), Windows XP Professional

x64 Edition Service Pack 2 oder Windows XP Professional Service Pack 3






• Mozilla Firefox 23• Windows Embedded Standard 2009

• Internet Explorer 8 (32-Bit-Modus)• Citrix Receiver für Windows 4.0 oder Citrix Receiver für Windows 3.4

• Windows 8 (32-Bit- und 64-Bit-Edition)





• Mozilla Firefox 23• Windows 7 mit Service Pack 1 (32-Bit- und 64-Bit-Editionen)







• Mozilla Firefox 23• Windows Embedded Standard 7 Service Pack 1 oder Windows Thin PC



22



• Windows Vista Service Pack 2 (32-Bit- und 64-Bit-Edition), Windows XP Professionalx64 Edition Service Pack 2 oder Windows XP Professional Service Pack 3






• Mozilla Firefox 23• Windows Embedded Standard 2009

• Internet Explorer 8 (32-Bit-Modus)• Citrix Receiver für Mac 11.8 oder Citrix Receiver für Mac 11.7

• Mac OS X 10.8 Mountain Lion

• Safari 6


• Mozilla Firefox 24• Mac OS X 10.7 Lion

• Safari 5.1


• Mozilla Firefox 24• Mac OS X 10.6 Snow Leopard

• Safari 5.0


• Mozilla Firefox 24• Citrix Receiver für Linux 12.1




23

Anforderungen für den Zugriff auf Desktops undAnwendungen über Receiver für HTML5

Die folgenden Betriebssysteme und Webbrowser werden für den Zugriff auf Desktops undAnwendungen mit Receiver für HTML5 auf Receiver für Web-Sites empfohlen. Es werdensowohl interne Netzwerkverbindungen als auch Verbindungen über NetScaler Gatewayunterstützt. Bei Verbindungen über das interne Netzwerk unterstützt Receiver für HTML5allerdings nur den Zugriff auf Ressourcen, die von bestimmten Produkten bereitgestelltwerden. Außerdem sind bestimmte Versionen von NetScaler Gateway erforderlich, umVerbindungen von außerhalb des Unternehmensnetzwerks zu ermöglichen. WeitereInformationen finden Sie unter Anforderungen an die Infrastruktur.

• Browser

• Internet Explorer 11 (nur HTTP-Verbindungen)

• Internet Explorer 10 (nur HTTP-Verbindungen)

• Safari 6


• Mozilla Firefox 24• Betriebssysteme

• Windows RT



• Windows 7 mit Service Pack 1 (32-Bit- und 64-Bit-Editionen)

• Windows Vista mit Service Pack 2 (32-Bit- und 64-Bit-Editionen)

• Windows XP Professional x64 Edition mit Service Pack 2

• Windows XP Professional mit Service Pack 3

• Mac OS X 10.8 Mountain Lion

• Mac OS X 10.7 Lion

• Mac OS X 10.6 Snow Leopard

• Google Chrome OS 30

• Ubuntu 12.04 (32 Bit)


24

Anforderungen für den Zugriff auf Stores überDesktopgerätesites

Die folgenden Kombinationen aus Citrix Receiver, Betriebssystem und Webbrowser werdenfür den Zugriff auf Desktopgerätesites über interne Netzwerkverbindungen empfohlen.Verbindungen über NetScaler Gateway werden nicht unterstützt.



• Internet Explorer 11 (32-Bit-Modus)• Windows 8 (32-Bit- und 64-Bit-Edition)

• Internet Explorer 10 (32-Bit-Modus)• Windows 7 Service Pack 1 (32-Bit- und 64-Bit-Edition), Windows Embedded

Standard 7 Service Pack 1 oder Windows Thin PC


• Internet Explorer 8 (32-Bit-Modus)• Windows XP Professional x64 Edition Service Pack 2 oder Windows XP Professional

Service Pack 3

• Internet Explorer 8 (32-Bit-Modus)• Citrix Receiver für Windows 4.0 oder Citrix Receiver für Windows 3.4


• Internet Explorer 10 (32-Bit-Modus)• Windows 7 Service Pack 1 (32-Bit- und 64-Bit-Edition), Windows Embedded

Standard 7 Service Pack 1 oder Windows Thin PC



Service Pack 3

• Internet Explorer 8 (32-Bit-Modus)• Citrix Receiver für Windows Enterprise 3.4

• Windows 7 Service Pack 1 (32-Bit- und 64-Bit-Edition), Windows EmbeddedStandard 7 Service Pack 1 oder Windows Thin PC



Service Pack 3

• Internet Explorer 8 (32-Bit-Modus)• Citrix Receiver für Linux 12.1


25

• Ubuntu 12.04 (32 Bit)


Anforderungen für den Zugriff auf Stores überXenApp Services-URLs

Alle o. g. Versionen von Citrix Receiver können für den Zugriff auf StoreFront-Stores mitreduziertem Funktionsumfang über XenApp Services-URLs verwendet werden. Zudemkönnen die folgenden älteren Clients, die keine anderen Zugriffsmethoden unterstützen, fürden Zugriff auf Stores über XenApp Services-URLs verwendet werden. Verbindungen überNetScaler Gateway, sofern unterstützt, können mit dem NetScaler Gateway Plug-In oderüber clientlosen Zugriff hergestellt werden.

• Online Plug-in für Windows 12.3

• Online Plug-in für Macintosh 11.2 (in Englisch)

• Citrix Receiver für Linux 12.0 (nur für interne Netzwerkverbindungen)


26

27

Anforderungen für Smartcards


Citrix testet die Kompatibilität mit folgenden Smartcards: CAC (Common Access Card,US-Behörden), NIST PIV (National Institute of Standards and Technology Personal IdentityVerification, USA) und USB-Smartcardtoken. Sie können Kontaktkartenleser verwenden, diemit der Spezifikation "USB Chip/Smart Card Interface Devices" (CCID) übereinstimmen undvom deutschen Zentralen Kreditausschuss (ZKA) als Klasse 1-Smartcardleser klassifiziertwurden. Bei ZKA Klasse 1-Kontaktkartenlesern müssen Benutzer die Smartcards in den Lesereinlegen. Andere Smartcardleser, einschließlich Klasse 2-Leser (mit Tastatur für diePIN-Eingabe), kontaktlose Leser und virtuelle TPM-Chip-basierte (Trusted Platform Module)Smartcards werden nicht unterstützt.

Für Windows-Geräte basiert die Smartcard-Unterstützung auf dem PC/SC-Standard(Personal Computer/Smart Card) von Microsoft. Als Mindestanforderung müssen Smartcardsund Smartcardleser vom Betriebssystem unterstützt werden und über dieWindows-Hardwarezertifizierung verfügen.

Die folgenden Kombinationen aus Smartcard und Middleware wurden von Citrix alsrepräsentatives Beispiel ihres Typs getestet. Es können jedoch auch andere Smartcards undMiddleware verwendet werden. Weitere Informationen über Citrix-kompatible Smartcardsund Middleware finden Sie unter http://www.citrix.com/ready.

Middleware-Implementierung Smartcard

HID Global ActivClient 7.0 im Modus GSC-ISoder NIST PIV

CAC

HID Global ActivClient 6.2 CAC Edition imModus GSC-IS

CAC

NIST PIV

Gemalto Minidriver 8.3 für .NET-Smartcard Gemalto IDPrime .NET 510

SafeNet Authentication Client 8.0 fürWindows

SafeNet eToken 5100

GSC-IS (USA) Government Smart Card Interoperability Specifications

Anforderungen für Citrix ReceiverFür Benutzer mit Desktopgeräten und umfunktionierten PCs, auf denen Citrix Desktop Lockausgeführt wird, ist Citrix Receiver für Windows Enterprise 3.4 für dieSmartcardauthentifizierung erforderlich. Auf allen anderen Windows-Geräten kann CitrixReceiver für Windows 4.1 verwendet werden.

http://www.citrix.com/ready

Anforderungen für die Authentifizierung überNetScaler Gateway

Die folgenden Versionen von NetScaler Gateway können verwendet werden, um Benutzernin öffentlichen Netzwerken den Zugriff auf StoreFront mit Smartcardauthentifizierung zuermöglichen.



• Access Gateway 9.3, Enterprise Edition

Anforderungen für Smartcards

28

29

Planen der StoreFront-Bereitstellung


StoreFront nutzt Microsoft .NET-Technologie, die auf Microsoft Internetinformationsdienste(IIS) ausgeführt wird, zur Bereitstellung von Unternehmens-App-Stores, in denen Ressourcenzusammengefasst und Benutzern zur Verfügung gestellt werden. StoreFront kann in IhreXenDesktop-, XenApp-, XenMobile App Controller- und VDI-in-a-Box-Bereitstellungenintegriert werden und bietet Benutzern einen zentralen Self-Service-Zugriffspunkt für ihreDesktops und Anwendungen.

StoreFront umfasst die folgenden Kernkomponenten.

• Der Authentifizierungsdienst authentifiziert Benutzer mit Microsoft Active Directory undstellt auf diese Weise sicher, dass Benutzer sich nicht erneut anmelden müssen, um aufihre Desktops und Anwendungen zuzugreifen. Weitere Informationen finden Sie unterBenutzerauthentifizierung.

• In Stores werden Desktops und Anwendungen von XenDesktop, XenApp, App Controllerund VDI-in-a-Box aufgelistet und zusammengefasst. Benutzer greifen auf Stores überCitrix Receiver, Receiver für Web-Sites, Desktopgerätesites und XenApp Services-URLszu. Weitere Informationen finden Sie unter Benutzerzugriffsoptionen.

• Vom Abonnementstoredienst werden Informationen zu Anwendungsabonnements vonBenutzern aufgezeichnet und deren Geräte aktualisiert, damit eine konsistenteRoamingerfahrung gewährleistet ist. Weitere Informationen zum Optimieren derBenutzererfahrung finden Sie unter Optimieren der Benutzererfahrung.

StoreFront kann auf einem einzelnen Server oder als Multiserverbereitstellung konfiguriertwerden. Multiserverbereitstellungen bieten nicht nur zusätzliche Kapazität, sondern auchhöhere Verfügbarkeit. Die modulare Architektur von StoreFront stellt sicher, dass dieKonfigurationsinformationen und Details zu den Anwendungsabonnements der Benutzer aufallen Servern in einer Servergruppe gespeichert und synchronisiert werden. Wenn einStoreFront-Server aus irgendeinem Grund nicht verfügbar ist, können Benutzer weiter aufihre Stores auf den übrigen Servern zugreifen. Die Konfigurations- und Abonnementsdatenauf dem ausgefallenen Server werden automatisch aktualisiert, wenn er wieder mit derServergruppe verbunden wird. Falls aufgrund eines Hardwarefehlers der Server ersetztwerden muss, installieren Sie StoreFront auf einem neuen Server und fügen ihn dervorhandenen Servergruppe hinzu. Der neue Server wird automatisch konfiguriert und mitden Anwendungsabonnements der Benutzer aktualisiert, wenn er der Servergruppe beitritt.

Die Abbildung zeigt eine typische StoreFront-Bereitstellung.

None

Load BalancingBei Multiserverbereitstellungen ist ein externer Lastausgleich, z. B. über NetScaler oderWindows-Netzwerklastenausgleich erforderlich. Konfigurieren Sie dieLastausgleichsumgebung für Failover zwischen den Servern, um eine fehlertoleranteBereitstellung zu ermöglichen. Weitere Informationen über den Lastausgleich mit NetScalerfinden Sie unter Lastausgleich. Weitere Informationen über denWindows-Netzwerklastenausgleich finden Sie unterhttp://technet.microsoft.com/de-de/library/hh831698.aspx.

Aktiver Lastausgleich von Anfragen, die von StoreFront an XenDesktop-Sites undXenApp-Farmen gesendet werden, ist für Bereitstellungen mit Tausenden von Benutzernempfehlenswert oder wenn hohe Lasten auftreten, z. B. wenn eine große Anzahl vonBenutzern sich in kurzer Zeit anmeldet. Verwenden Sie einen Load Balancer mitintegrierten XML-Monitoren und Sitzungspersistenz, wie z. B. NetScaler.

Überlegungen zu Active DirectoryStoreFront-Server müssen in der Active Directory-Domäne mit den Benutzerkontenresidieren oder in einer Domäne, die mit dieser eine Vertrauensstellung hat. AlleStoreFront-Server einer Gruppe müssen in der gleichen Domäne sein.

Planen

30

http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-1-map/nl/de/ns-lb-wrapper-con-10.html

http://technet.microsoft.com/de-de/library/hh831698.aspx

BenutzerverbindungenIn einer Produktionsumgebung empfiehlt Citrix die Verwendung von HTTPS, um denDatenverkehr zwischen StoreFront und Benutzergeräten sicher zu gestalten. Damit HTTPSverwendet werden kann, müssen die IIS-Instanz, auf der der Authentifizierungsdienstgehostet wird, und zugeordnete Stores für HTTPS konfiguriert sein. Wenn dieentsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für dieKommunikation. Sie können jederzeit von HTTP zu HTTPS wechseln, vorausgesetzt, dieentsprechende IIS-Konfiguration ist vorhanden.

Wenn Sie beabsichtigen, Zugriff auf StoreFront von außerhalb des Unternehmensnetzwerkszu ermöglichen, ist NetScaler Gateway erforderlich, um sichere Verbindungen fürRemotebenutzer zu gewährleisten. Stellen Sie NetScaler Gateway außerhalb desUnternehmensnetzwerks bereit und trennen Sie NetScaler Gateway vom öffentlichen undinternen Netzwerk durch Firewalls. Stellen Sie sicher, dass NetScaler Gateway auf dieActive Directory-Gesamtstruktur mit den StoreFront-Servern zugreifen kann.

SkalierbarkeitDie Anzahl der Citrix Receiver-Benutzer, die von einem einzelnen StoreFront-Serverunterstützt werden, hängt von den Hardwarespezifikationen und dem Grad derBenutzeraktivität ab. In Citrix Tests unterstützte ein einzelner StoreFront-Server mit zwei 2GHz Quadcore CPUs und 8 GB RAM bis zu 25.000 Benutzerverbindungen pro Stunde in einemSzenario mit einfacher Verwendung (Benutzer melden sich an, enumerieren ihre Ressourcenund greifen auf bereits abonnierte Ressourcen zu) oder bis zu 6000 Benutzerverbindungenpro Stunde in einem Szenario mit intensiver Verwendung (Benutzer melden sich an,enumerieren ihre Ressourcen und abonnieren dann eine Ressource bzw. kündigen dasAbonnement).

Für eine optimale Benutzererfahrung empfiehlt Citrix, dass Sie insgesamt nicht mehr als 10XenDesktop-, XenApp-, App Controller- und VDI-in-a-Box-Bereitstellungen in einemeinzelnen Store zusammenführen.

Planen

31

32

Benutzerzugriffsoptionen


Es gibt vier verschiedene Methoden, wie Benutzer auf StoreFront-Stores zugreifen können.

• Citrix Receiver: Benutzer mit kompatiblen Versionen von Citrix Receiver können direktvon der Citrix Receiver-Benutzeroberfläche auf StoreFront-Stores zugreifen. DirekterZugriff auf Stores innerhalb von Citrix Receiver bietet die beste Benutzererfahrung undden größten Funktionsumfang.

• Receiver für Web-Sites: Benutzer mit kompatiblen Webbrowsern können aufStoreFront-Stores zugreifen, indem sie zu Receiver für Web-Sites navigieren. Benutzerbenötigen standardmäßig auch eine kompatible Version von Citrix Receiver, um auf ihreDesktops und Anwendungen zuzugreifen. Sie können Receiver für Web-Sites jedoch sokonfigurieren, dass Benutzer mit HTML5-kompatiblen Browsern auf ihre Ressourcenzugreifen können, ohne Citrix Receiver zu installieren. Bei der Erstellung eines neuenStores wird standardmäßig eine Receiver für Web-Site für den Store erstellt.

• Desktopgerätesites: Benutzer mit nicht domänengebundenen Desktopgeräten könnenauf ihre Desktops über Webbrowser auf ihren Geräten zugreifen, die so konfiguriertsind, dass sie Desktopgerätesites im Vollbildmodus anzeigen. Wenn Sie mit Citrix Studioeinen neuen Store für eine XenDesktop-Bereitstellung erstellen, wird standardmäßigeine Desktopgerätesite für den Store erstellt.

• XenApp Services-URLs: Benutzer domänengebundener Desktopgeräte undumfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sowie Benutzermit älteren Citrix Clients, die nicht aktualisiert werden können, können über dieXenApp Services-URL auf Stores zugreifen. Wenn Sie einen neuen Store erstellen, wirddie XenApp Services-URL standardmäßig aktiviert.

Die Abbildung zeigt die Optionen für den Zugriff auf StoreFront-Stores.

None

Benutzerzugriffsoptionen

33

34

Citrix Receiver


Zugriff auf Stores von innerhalb der Citrix Receiver-Benutzeroberfläche aus bietet die besteBenutzererfahrung und den größten Funktionsumfang. Informationen dazu, mit welchenCitrix Receiver-Versionen Sie so auf Stores zugreifen können, finden Sie unterSystemanforderungen für StoreFront 2.1.

Citrix Receiver verwendet interne und externe URLs als Beacons. Anhand des Versuchs,diese Beacons zu kontaktieren, kann Citrix Receiver ermitteln, ob ein Benutzer mit demlokalen oder einem öffentlichen Netzwerk verbunden ist. Wenn ein Benutzer auf einenDesktop oder eine Anwendung zugreift, werden die Standortinformationen an den Servermit der Ressource weitergegeben, sodass die entsprechenden Verbindungsinformationen anCitrix Receiver zurückgegeben werden können. Dadurch kann Citrix Receiver sicherstellen,dass Benutzer nicht aufgefordert werden, sich neu anmelden, wenn sie auf einen Desktopoder eine Anwendung zugreifen. Weitere Informationen finden Sie unter So konfigurierenSie Beacons.

Nach der Installation müssen in Citrix Receiver die Verbindungsinformationen für die Storeskonfiguriert werden, über die Benutzern Desktops und Anwendungen bereitgestellt werden.Sie können Benutzern die Konfiguration erleichtern, indem Sie die erforderlichenInformationen über eine der folgenden Methoden bereitstellen.

Wichtig: Standardmäßig erfordert Citrix Receiver HTTPS-Verbindungen zu Stores. WennStoreFront nicht für HTTPS konfiguriert ist, müssen Benutzer zusätzlicheKonfigurationsschritte ausführen, um HTTP-Verbindungen zu verwenden. Citrix empfiehltdringend, keine ungeschützten Benutzerverbindungen mit StoreFront in einerProduktionsumgebung zu aktivieren. Weitere Informationen finden Sie unterKonfigurieren und Installieren von Receiver für Windows mit Befehlszeilenparametern.

E-Mail-basierte Kontenermittlung:Wenn Benutzer Citrix Receiver auf einem Gerät zum ersten Mal installieren, können sie ihrKonto durch Eingabe ihrer E-Mail-Adresse einrichten, sofern sie Citrix Receiver von derCitrix Website oder einer im internen Netzwerk gehosteten Citrix Receiver-Downloadseiteherunterladen. Sie konfigurieren die Locator-Ressourceneinträge der Dienstidentifizierung(SRV) für NetScaler Gateway oder StoreFront auf dem Microsoft Active Directory-DNS-Server(Domain Name System). Benutzer müssen die Zugriffsinformationen für ihre Stores nichtkennen. Stattdessen geben sie während der Citrix Receiver-Erstkonfiguration ihreE-Mail-Adresse an. Citrix Receiver kontaktiert den DNS-Server der Domäne, die in derE-Mail-Adresse angegeben ist, und ruft die Details ab, die Sie dem Ressourceneintrag fürDienste (SRV) hinzugefügt haben. Daraufhin wird den Benutzern eine Liste der Storesangezeigt, auf die sie über Citrix Receiver zugreifen können. Weitere Informationen findenSie unter Konfigurieren der e-mail-basierten Kontenermittlung.

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/receiver-windows-cfg-command-line-40.html

ProvisioningdateienSie können Provisioningdateien mit den Verbindungsinformationen für die Stores derBenutzer bereitstellen. Nach der Installation von Citrix Receiver öffnen Benutzer dieCR-Datei, um Konten für die Stores automatisch zu konfigurieren. Receiver für Web-Sitesbieten Benutzern standardmäßig eine Provisioningdatei für den einen Store, für den die Sitekonfiguriert ist. Sie könnten die Benutzer auffordern, die Receiver für Web-Sites für dieStores zu besuchen, auf die sie zugreifen möchten, und von dort Provisioningdateienherunterzuladen. Für eine größere Kontrolle können Sie alternativ die CitrixStoreFront-Verwaltungskonsole zum Generieren von Provisioningdateien verwenden, dieVerbindungsdetails für einen oder mehrere Stores enthalten. Sie können dann diese Dateienan die entsprechenden Benutzer verteilen. Weitere Informationen finden Sie unter Soexportieren Sie Store-Provisioningdateien für Benutzer.

Automatisch generierte Setup-URLsFür Mac OS-Benutzer können Sie mit dem Citrix Receiver für Mac Setup URL Generator eineURL mit den Verbindungsinformationen für einen Store erstellen. Nach der Installation vonCitrix Receiver klicken Benutzer auf die URL, um ein Konto für den Store automatisch zukonfigurieren. Geben Sie die Bereitstellungsinformationen in das Tool ein und generierenSie eine URL, die Sie an die Benutzer senden können. Weitere Informationen finden Sieunter So erstellen und konfigurieren Sie eine Setup-URL.

Manuelle KonfigurationFortgeschrittene Benutzer können neue Konten erstellen, indem sie Store-URLs in CitrixReceiver eingeben. Remotebenutzer, die auf StoreFront über NetScaler Gateway 10.1 undAccess Gateway 10 zugreifen, geben die Geräte-URL ein. Citrix Receiver erhält dieerforderlichen Konfigurationsinformationen für das Konto, wenn die Verbindung das ersteMal hergestellt wird. Bei einer Verbindung über Access Gateway 9.3 oder Access Gateway5.0 können Benutzer die Konten nicht manuell einrichten und müssen eine der obenbeschriebenen Alternativmethoden verwenden. Weitere Informationen finden Sie in derCitrix Receiver-Dokumentation.

Citrix Receiver

35

http://support.citrix.com/proddocs/topic/rec-mac-11-8/nl/de/mac-config-auto-setup.html

36

Konfigurieren der e-mail-basiertenKontenermittlung


Konfigurieren Sie die e-mail-basierte Kontenermittlung, sodass Benutzer, die Citrix Receiverauf einem Gerät zum ersten Mal installieren, ihr Konto durch Eingabe ihrer E-Mail-Adresseeinrichten können. Sofern sie Citrix Receiver von der Citrix Website oder einer im internenNetzwerk gehosteten Citrix Receiver-Downloadseite herunterladen, müssen Benutzer beider Installation und Konfiguration von Citrix Receiver die Details für den Zugriff auf Storesnicht kennen. Die e-mail-basierte Kontenermittlung ist nicht verfügbar, wenn CitrixReceiver von einem anderen Speicherort heruntergeladen wird (z. B. einer Receiver fürWeb-Site), auch eine Verwendung mit Citrix Receiver Updater ist dann nicht möglich.Weitere Informationen zum Erstellen einer eigenen Citrix Receiver-Downloadseite findenSie unter http://www.citrix.com/downloads/citrix-receiver/administration/citrix-receiver-download-page-template.html.

Während der Erstkonfiguration fordert Citrix Receiver Benutzer auf, eine E-Mail-Adresseoder eine Store-URL einzugeben. Wenn ein Benutzer eine E-Mail-Adresse eingibt, ruft CitrixReceiver vom Microsoft Active Directory-DNS-Server (Domain Name System) für die Domäne,die in der E-Mail-Adresse angegeben ist, eine Liste der verfügbaren Stores ab, aus der derBenutzer auswählen kann.

Damit Citrix Receiver verfügbare Stores auf Grundlage der E-Mail-Adressen von Benutzernfinden kann, konfigurieren Sie die Ressourceneinträge für den Dienstidentifizierungslocator(SRV) für NetScaler Gateway oder StoreFront auf dem DNS-Server. Als Fallback können SieStoreFront auch auf einem Server namens "discoverReceiver.domain" bereitstellen, wobeidomain der Name der Domäne mit den E-Mail-Konten der Benutzer ist. Wenn keinSRV-Eintrag in der angegebene Domäne gefunden wird, sucht Citrix Receiver nach einerMaschine mit dem Namen "discoverReceiver", um einen StoreFront-Server zu finden.

Sie müssen ein gültiges Serverzertifikat auf dem NetScaler Gateway-Gerät oder demStoreFront-Server installieren, um die e-mail-basierte Kontenermittlung zu aktivieren. DesWeiteren muss die vollständige Kette zum Stammzertifikat gültig sein. Um optimaleBenutzerfreundlichkeit zu erzielen, installieren Sie ein Zertifikat mit dem EintragdiscoverReceiver.domain für Antragsteller oder Alternativer Antragstellername, wobeidomain die Domäne ist, die die E-Mail-Konten der Benutzer enthält. Obwohl Sie einZertifikat mit Platzhalterzeichen für die Domäne verwenden können, die die E-Mail-Kontender Benutzer enthält, müssen Sie zunächst sicherstellen, dass die Bereitstellung solcherZertifikate von die Sicherheitsrichtlinien Ihres Unternehmens zugelassen wird. Sie könnenandere Zertifikate für die Domäne mit den Benutzer-E-Mail-Konten verwenden, denBenutzern wird jedoch bei der ersten Verbindungsherstellung von Citrix Receiver mit demStoreFront-Server eine Warnung bezüglich des Zertifikats angezeigt. Die e-mail-basierteKontenermittlung kann nicht mit anderen Zertifikatidentitäten verwendet werden.

Um die e-mail-basierte Kontenermittlung für Benutzer zu aktivieren, die sich von außerhalbdes lokalen Netzwerks anmelden, müssen Sie außerdem dieStoreFront-Verbindungsinformationen auf dem NetScaler Gateway konfigurieren. WeitereInformationen finden Sie unter Verbinden mit StoreFront über die e-mail-basierteKontoermittlung.

http://www.citrix.com/downloads/citrix-receiver/administration/citrix-receiver-download-page-template.html

http://www.citrix.com/downloads/citrix-receiver/administration/citrix-receiver-download-page-template.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-clg-storefront-email-discovery-tsk.html


So fügen Sie dem DNS-Server einen SRV-Eintraghinzu

1. Klicken Sie auf der Windows-Startseite auf Verwaltungstools und klicken Sie dann imOrdner Verwaltungstools auf DNS.

2. Wählen Sie im linken Bereich des DNS-Managers Ihre Domäne in den Zonen für dieVorwärts- oder Rückwärtssuche aus. Klicken Sie mit der rechten Maustaste auf dieDomäne und wählen Sie Weitere neue Einträge aus.

3. Wählen Sie im Dialogfeld Ressourceneintragstyp die Option Dienstidentifizierung (SRV)aus und klicken Sie dann auf Eintrag erstellen.

4. Klicken Sie im Dialogfeld Neuen Eintrag erstellen in das Feld Dienst und geben Sie denHostwert _citrixreceiver ein.

5. Geben Sie in das Feld Protokoll den Wert _tcp ein.

6. Geben Sie im Feld Host, der diesen Dienst anbietet den vollqualifiziertenDomänennamen (FQDN) und den Port für das NetScaler Gateway-Gerät (Unterstützunglokaler und Remotebenutzer) oder den StoreFront-Server (nur Unterstützung vonBenutzern im lokalen Netzwerk) im Format servername.domain:port an.

Wenn es in der Umgebung interne und externe DNS-Server gibt, können Sie einenSRV-Eintrag mit Angaben zum FQDN des StoreFront-Servers auf dem internenDNS-Server und einen weiteren Eintrag zum externen Server unter Angabe des NetScalerGateway-FQDNs hinzufügen. Mit dieser Konfiguration erhalten lokale Benutzer dieStoreFront-Details, Remotebenutzer dagegen NetScalerGateway-Verbindungsinformationen.

Hinweis: Der FQDN für die StoreFront-Bereitstellung muss eindeutig sein und sich vondem des virtuellen Servers für NetScaler Gateway unterscheiden. Das Verwenden desselben vollqualifizierten Domänennamens für StoreFront und den virtuellen NetScalerGateway-Server wird nicht unterstützt. Um die e-mail-basierte Kontenermittlung zuverwenden, erfordert Citrix Receiver, dass der FQDN von StoreFront eine eindeutigeAdresse ist, die nur von Benutzergeräten, die in Verbindung mit dem internenNetzwerk stehen, aufgelöst werden kann.

7. Wenn Sie einen SRV-Eintrag für das NetScaler Gateway-Gerät konfiguriert haben, fügenSie die StoreFront-Verbindungsinformationen zu NetScaler Gateway in einemSitzungsprofil oder einer globalen Einstellung hinzu.

Konfigurieren der e-mail-basierten Kontenermittlung

37



38

Receiver für Web-Sites


Benutzer mit kompatiblen Webbrowsern können auf StoreFront-Stores zugreifen, indem siezu Receiver für Web-Sites navigieren. Bei der Erstellung eines neuen Stores wirdstandardmäßig eine Receiver für Web-Site für den Store erstellt. Die Standardkonfigurationfür Receiver für Web-Sites erfordert, dass Benutzer eine kompatible Version von CitrixReceiver installieren, um auf ihre Desktops und Anwendungen zuzugreifen. WeitereInformationen über die Kombinationen von Citrix Receiver und Webbrowsern, mit denen aufReceiver für Web-Sites zugegriffen werden kann, finden Sie unter Anforderungen fürBenutzergeräte.

Standardmäßig versucht die Site zu ermitteln, ob Citrix Receiver auf dem Benutzergerätinstalliert ist, wenn ein Benutzer über einen Computer unter Windows oder Mac OS X aufReceiver für Web-Sites zugreift. Wenn Citrix Receiver nicht erkannt wird, wird der Benutzeraufgefordert, die entsprechende Citrix Receiver-Version für seine Plattformherunterzuladen und zu installieren. Der Standardspeicherort für den Download ist dieCitrix Website, Sie können jedoch auch die Installationsdateien auf den StoreFront-Serverkopieren und Benutzern diese lokalen Dateien anbieten. Bei lokaler Speicherung der CitrixReceiver-Installationsdateien können Sie die Site auch so konfigurieren, dass Benutzerälterer Clients ein Upgrade auf die Version auf dem Server durchführen können. WeitereInformationen zum Konfigurieren der Bereitstellung von Citrix Receiver für Windows undReceiver für Mac finden Sie unter Konfigurieren von Receiver für Web-Sites.

Receiver für HTML5Receiver für HTML5 ist eine StoreFront-Komponente, die standardmäßig in Receiver fürWeb-Sites integriert ist. Sie können Receiver für HTML5 auf den Receiver für Web-Sitesaktivieren, sodass Benutzer, die Citrix Receiver nicht installieren können, weiterhin Zugriffauf ihre Ressourcen haben. Mit Receiver für HTML5 können Benutzer auf Desktops undAnwendungen direkt über einen HTML5-kompatiblen Webbrowser zugreifen, ohne dassCitrix Receiver installiert werden muss. Wenn Sie eine Site erstellen, ist Receiver für HTML5standardmäßig deaktiviert. Weitere Informationen zum Aktivieren von Receiver für HTML5finden Sie unter Konfigurieren von Receiver für Web-Sites.

Für den Zugriff auf Desktops und Anwendungen mit Receiver für HTML5 müssen dieBenutzer auf die Receiver für Web-Site mit einem HTML5-kompatiblen Browser zugreifen.Weitere Informationen über die Betriebssysteme und Webbrowser, die mit Receiver fürHTML5 verwendet werden können, finden Sie unter Anforderungen für Benutzergeräte.

Receiver für HTML5 kann von Benutzern im internen Netzwerk und von Remotebenutzern,die eine Verbindung über NetScaler Gateway herstellen, verwendet werden. FürVerbindungen über das interne Netzwerk unterstützt Receiver für HTML5 den Zugriff aufDesktops und Anwendungen nur von einer Teilmenge der Produkte, die von Receiver fürWeb-Sites unterstützt werden. Benutzer, die eine Verbindung über NetScaler Gatewayherstellen, können auf eine breitere Produktpalette von Ressourcen zugreifen, es sindjedoch bestimmte Versionen von NetScaler Gateway für die Verwendung mit Receiver fürHTML5 erforderlich. Weitere Informationen finden Sie unter Anforderungen an dieInfrastruktur.

Für lokale Benutzer im internen Netzwerk ist der Zugriff über Receiver für HTML5 aufRessourcen, die von XenDesktop und XenApp bereitgestellt werden, standardmäßigdeaktiviert. Sie aktivieren den lokalen Zugriff auf Desktops und Anwendungen über Receiverfür HTML5, indem Sie die ICA-Richtlinie WebSockets-Verbindungen auf den XenDesktop- undXenApp-Servern aktivieren. Stellen Sie sicher, dass die Firewalls und anderenNetzwerkgeräte den Zugriff auf den in der Richtlinie festgelegten Port für Receiver fürHTML5 zulassen. Weitere Informationen finden Sie unter Einstellungen der Richtlinie"WebSockets".

Standardmäßig werden Desktops und Anwendungen in Receiver für HTML5 in einer neuenBrowserregisterkarte gestartet. Beim Start von Ressourcen über Verknüpfungen mitReceiver für HTML5 ersetzt der Desktop bzw. die Anwendung jedoch die Receiver fürWeb-Site in der geöffneten Browserregisterkarte anstatt eine neue Registerkarteanzuzeigen. Sie können Receiver für HTML5 so konfigurieren, dass Ressourcen immer aufder gleichen Registerkarte wie die Receiver für Web-Site gestartet werden. WeitereInformationen finden Sie unter So konfigurieren Sie die Verwendung derBrowserregisterkarten für Receiver für HTML5.

RessourcenverknüpfungenSie können URLs für den Zugriff auf Desktops und Anwendungen, die über Receiver fürWeb-Sites verfügbar sind, generieren. Betten Sie diese Links in Websites ein, die iminternen Netzwerk gehostet werden, damit Benutzer schnell auf Ressourcen zugreifenkönnen. Die Benutzer klicken auf einen Link und werden an die Receiver für Web-Siteweitergeleitet, wo sie sich anmelden, wenn sie dies nicht bereits getan haben. Die Receiverfür Web-Site startet automatisch die Ressource. Im Fall von Anwendungen wird zudem einAbonnement für die Benutzer erstellt, wenn diese eine Anwendung noch nicht abonnierthaben. Weitere Informationen über das Erstellen von Ressourcenverknüpfungen finden Sieunter Konfigurieren von Receiver für Web-Sites.

Wie bei allen Desktops und Anwendungen, auf die über Receiver für Web-Sites zugegriffenwird, müssen Benutzer entweder Citrix Receiver installiert haben oder Receiver für HTML5für den Zugriff auf Ressourcen über Verknüpfungen verwenden können. Die für eineReceiver für Web-Site verwendete Methode hängt von der Sitekonfiguration ab, d. h. davon,ob Citrix Receiver auf Benutzergeräten erkannt werden kann und ob ein HTML5-kompatiblerBrowser verwendet wird. Aus Sicherheitsgründen werden Benutzer von Internet Explorermöglicherweise aufgefordert, zu bestätigen, dass sie Ressourcen über Verknüpfungenstarten möchten. Weisen Sie die Benutzer an, die Receiver für Web-Site in die Zone"Lokales Intranet" oder "Vertrauenswürdige Sites" in Internet Explorer einzufügen, um diesenzusätzlichen Schritt zu vermeiden. Standardmäßig sind beim Zugriff auf Receiver fürWeb-Sites über Verknüpfungen Workspace Control und der automatische Start von Desktopsdeaktiviert.

Wenn Sie eine Anwendungsverknüpfung erstellen, stellen Sie sicher, dass keine andere überdie Receiver für Web-Site verfügbare Anwendung denselben Namen hat. Verknüpfungenkönnen nicht zwischen mehreren Instanzen einer Anwendung mit dem gleichen Namenunterscheiden. Gleichermaßen können Sie, wenn Sie mehrere Instanzen eines Desktops ineiner Desktopgruppe über eine Receiver für Web-Site verfügbar machen, keine separateVerknüpfung für jede Instanz erstellen. Verknüpfungen können keineBefehlszeilenparameter an Anwendungen weitergeben.

Zum Erstellen von Anwendungsverknüpfungen konfigurieren Sie StoreFront mit den URLs der internen Websites, von denen die Verknüpfungen gehostet werden. Wenn ein Benutzer auf eine Anwendungsverknüpfung auf einer Website klickt, prüft StoreFront diese Website


39

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/ps-ref-policies-websockets.html


anhand der von Ihnen eingegebenen Liste der URLs, um sicherzustellen, dass dieAnforderung von einer vertrauenswürdigen Website stammt. Für Benutzer, die eineVerbindung über NetScaler Gateway herstellen, werden Websites, die Verknüpfungenhosten, jedoch nicht validiert, da die URLs nicht an StoreFront übergeben werden. Umsicherzustellen, dass Benutzer nur Zugriff auf Anwendungsverknüpfungen vonvertrauenswürdigen internen Websites haben, konfigurieren Sie NetScaler Gateway so, dassder Zugriff auf diese Websites beschränkt wird. Weitere Informationen finden Sie unterhttp://support.citrix.com/article/CTX123610.

Anpassen der SitesReceiver für Web-Sites bieten einen Mechanismus, die Benutzeroberfläche anzupassen. Siekönnen Zeichenfolgen anpassen, das Cascading Stylesheet und die JavaScript-Dateien. Siekönnen außerdem einen benutzerdefinierten Bildschirm vor oder nach der Anmeldunghinzufügen, ebenso wie Sprachpakete. Weitere Informationen über das Anpassen derDarstellung von Receiver für Web-Sites finden Sie unterhttp://support.citrix.com/article/CTX134791.

Wichtige HinweiseBenutzer, die über eine Receiver für Web-Site auf Stores zugreifen, profitieren von vielender Features, die bei Storezugriff in Citrix Receiver verfügbar sind, z. B.Anwendungssynchronisierung. Bei der Entscheidung, ob Sie Benutzern Zugriff auf Storesüber Receiver für Web-Sites gewähren möchten, berücksichtigen Sie die folgendenEinschränkungen.

• Über jede Receiver für Web-Site kann nur auf jeweils einen einzigen Store zugegriffenwerden.

• Receiver für Web-Sites unterstützen keine Domänen-Passthrough- oderSmartcard-Authentifizierung.

• Receiver für Web-Sites können keine SSL-VPN-Verbindungen (Secure Sockets Layer,virtuelles privates Netzwerk) initiieren. Benutzer, die sich ohne VPN-Verbindung überNetScaler Gateway anmelden, können nicht auf Webanwendungen zugreifen, für dieApp Controller eine solche Verbindung erfordert.

• Abonnierte Anwendungen sind nicht auf der Windows-Startseite verfügbar, wenn übereine Receiver für Web-Site auf einen Store zugegriffen wird.

• Es ist keine Dateitypzuordnung zwischen lokalen Dokumenten und gehostetenAnwendungen verfügbar, die über Receiver für Web-Sites aufgerufen werden.

• Auf Offlineanwendungen kann über Receiver für Web-Sites nicht zugegriffen werden.

• Receiver für Web-Sites unterstützen keine in Stores integrierten Citrix Online-Produkte.Citrix Online-Produkte müssen mit App Controller bereitgestellt oder als gehosteteAnwendungen verfügbar gemacht werden, um den Zugriff über Receiver für Web-Siteszu ermöglichen.

• Bei Verwendung von Internet Explorer kann Receiver für HTML5 nur überHTTP-Verbindungen verwendet werden.


40



• Wenn Benutzer Receiver für HTML5 mit Mozilla Firefox über HTTPS-Verbindungenverwenden möchten, müssen sie about:config in die Adressleiste von Firefox eingebenund die Einstellung network.websocket.allowInsecureFromHTTPS auf true setzen.


41

42

Desktopgerätesites


Benutzer nicht domänengebundener Desktopgeräte können auf ihre Desktops überDesktopgerätesites zugreifen. In diesem Zusammenhang ist die Nichteinbindung der Gerätein eine Domäne in der Active Directory-Gesamtstruktur gemeint, die die StoreFront-Serverenthält.

Wenn Sie mit Citrix Studio einen neuen Store für eine XenDesktop-Bereitstellung erstellen,wird standardmäßig eine Desktopgerätesite für den Store erstellt. Desktopgerätesiteswerden nur standardmäßig erstellt, wenn StoreFront installiert und als Teil derXenDesktop-Installation konfiguriert ist. Sie können Desktopgerätesites manuell überWindows PowerShell erstellen. Weitere Informationen finden Sie unter Konfigurieren vonDesktopgerätesites.

Desktopgerätesites bieten eine ähnliche Benutzererfahrung wie bei der Anmeldung beieinem lokalen Desktop. Die Webbrowser auf Desktopgeräten sind so konfiguriert, dass sie imVollbildmodus starten und den Anmeldebildschirm für eine Desktopgerätesite anzeigen.Wenn ein Benutzer sich bei einer Site anmeldet, wird standardmäßig automatisch derDesktop in dem für die Site konfigurierten Store gestartet, der dem Benutzer als erster (inalphabetischer Reihenfolge) zur Verfügung steht. Wenn Sie Benutzern Zugriff auf mehrereDesktops in einem Store erteilen, können Sie die Desktopgerätesite so konfigurieren, dassdie verfügbaren Desktops für die Auswahl durch die Benutzer angezeigt werden. WeitereInformationen finden Sie unter Konfigurieren von Desktopgerätesites.

Wenn der Desktop eines Benutzers gestartet wird, wird er im Vollbildmodus angezeigt undverdeckt den Webbrowser. Der Benutzer wird automatisch von der Desktopgerätesiteabgemeldet. Wenn sich der Benutzer vom Desktop abmeldet, wird der Webbrowser, der denAnmeldebildschirm der Desktopgerätesite anzeigt, wieder sichtbar. Eine Meldung wirdangezeigt, wenn ein Desktop gestartet wird, die einen Link für den Benutzer enthält, mitdem er den Desktop neu starten kann, wenn der Zugriff darauf nicht möglich ist. ZumAktivieren dieser Funktion müssen Sie die Bereitstellungsgruppe so konfigurieren, dassBenutzer ihre Desktops neu starten können. Weitere Informationen finden Sie unter Manageapplication and desktop delivery.

Damit Zugriff auf Desktops möglich ist, ist eine kompatible Version von Citrix Receiver aufdem Desktopgerät erforderlich. Normalerweise integrieren HerstellerXenDesktop-kompatibler Geräte Citrix Receiver in ihren Produkten. Bei Windows-Gerätenmuss außerdem Citrix Desktop Lock installiert und mit der URL für die Desktopgerätesitekonfiguriert sein. Wird Internet Explorer verwendet, muss die Desktopgerätesite der Zone"Lokales Intranet" oder "Vertrauenswürdige Sites" hinzugefügt werden. WeitereInformationen zu Citrix Desktop Lock finden Sie unter Verhindern des Benutzerzugriffs aufden lokalen Desktop.

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-manage-delivery-groups-wrapper.html

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-manage-delivery-groups-wrapper.html

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-desktop-lock-about.html

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-desktop-lock-about.html

Wichtige HinweiseDesktopgerätesites sind für lokale Benutzer im internen Netzwerk vorgesehen, die aufDesktops von nicht domänengebundenen Desktopgeräten aus zugreifen. Bei derEntscheidung, ob Sie Benutzern Zugriff auf Stores über Desktopgerätesites gewährenmöchten, sollten Sie die folgenden Einschränkungen berücksichtigen.

• Wenn Sie domänengebundene Desktopgeräte und umfunktionierte PCs bereitstellenmöchten, konfigurieren Sie diese nicht für den Zugriff auf Stores überDesktopgerätesites. Konfigurieren Sie stattdessen Receiver für Windows mit der XenAppServices-URL für den entsprechenden Store. Weitere Informationen finden Sie unterXenApp Services-URLs.

• Desktopgerätesites unterstützen keine Verbindungen von Remotebenutzern außerhalbdes Unternehmensnetzwerks. Benutzer, die sich an NetScaler Gateway anmelden,können nicht auf Desktopgerätesites zugreifen.

Desktopgerätesites

43

44

XenApp Services-URLs


Benutzer älterer Citrix Clients, die nicht aktualisiert werden können, können auf Storeszugreifen, indem sie ihren Client mit der XenApp Services-URL für den Store konfigurieren.Sie können auch Zugriff auf Stores über XenApp Services-URLs von domänengebundenenDesktopgeräten und umfunktionierten PCs, auf denen Citrix Desktop Lock ausgeführt wird,aktivieren. In diesem Zusammenhang ist die Einbindung der Geräte in eine Domäne in derActive Directory-Gesamtstruktur gemeint, die die StoreFront-Server enthält.

StoreFront unterstützt die Passthrough-Authentifizierung mit Proximitykarten über CitrixReceiver bei XenApp Services-URLs. Citrix Ready-Partnerprodukte verwenden die Citrix FastConnect-API zur Leitung von Benutzeranmeldungen über Receiver für Windows für dieVerbindung mit Stores mit der XenApp Services-URL. Die Benutzer authentifizieren sich beiArbeitsstationen mit Proximitykarten und werden schnell mit per XenDesktop und XenAppbereitgestellten Desktops und Anwendungen verbunden. Weitere Informationen finden Sieunter Receiver für Windows 4.0.

Wenn Sie einen neuen Store erstellen, wird die XenApp Services-URL für den Storestandardmäßig aktiviert. Die XenApp Services-URL für den Store hat das Formathttp[s]://serveraddress/Citrix/storename/PNAgent/config.xml, wobei serveraddress dervollqualifizierte Domänenname des Servers oder der Lastausgleichsumgebung für dieStoreFront-Bereitstellung ist und storename der für den Store bei der Erstellungangegebene Name. Eine Liste der Clients, mit denen Sie über XenApp Services-URLs aufStores zugreifen können, finden Sie unter Anforderungen für Benutzergeräte.

Wichtige HinweiseXenApp Services-URLs dienen zur Unterstützung von Benutzern, die nicht auf Citrix Receiveraktualisieren können, und für Szenarien, in denen alternative Zugriffsmethoden nichtverfügbar sind. Bei der Entscheidung, ob Sie Benutzern Zugriff auf Stores über XenAppServices-URLs gewähren möchten, sollten Sie die folgenden Einschränkungenberücksichtigen.

• Die XenApp Services-URL für einen Store kann nicht geändert werden.

• Sie können die Einstellungen einer XenApp Services-URL nicht durch Bearbeiten derKonfigurationsdatei config.xml ändern.

• XenApp Services-URLs unterstützen die explizite, Domänen-Passthrough- undPassthrough-Authentifizierung mit Smartcards. Die explizite Authentifizierung iststandardmäßig aktiviert. Nur eine Authentifizierungsmethode kann für jede XenAppServices-URL konfiguriert werden und pro Store ist nur eine URL verfügbar. Wenn Siemehrere Authentifizierungsmethoden benötigen, müssen Sie separate Stores mit einerXenApp Services-URL für jede Authentifizierungsmethode erstellen. Die Benutzermüssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeignetenStore herstellen. Weitere Informationen zum Konfigurieren derBenutzerauthentifizierung für XenApp Services-URLs finden Sie unter So konfigurierenSie die Authentifizierung für XenApp Services-URLs.

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/receiver-windows-40-wrapper.html

• Workspace Control ist standardmäßig für XenApp Services-URLs aktiviert und kann nichtkonfiguriert oder deaktiviert werden.

• Benutzeranforderungen zum Ändern von Kennwörtern werden direkt über dieXenDesktop-, XenApp- und VDI-in-a-Box-Server, die Desktops und Anwendungen für denStore bereitstellen, an den Domänencontroller geleitet. DerStoreFront-Authentifizierungsdienst wird dabei umgangen.

XenApp Services-URLs

45

46

Benutzerauthentifizierung


StoreFront unterstützt verschiedene Authentifizierungsmethoden für den Zugriff auf Storesdurch Benutzer, die jedoch, abhängig von der Zugriffsmethode und dem Netzwerkstandortdes Benutzers, nicht alle verfügbar sind. Aus Sicherheitsgründen werdenAuthentifizierungsmethoden standardmäßig deaktiviert, wenn Sie den ersten Storeerstellen. Weitere Informationen zum Aktivieren und Deaktivieren vonAuthentifizierungsmethoden für Benutzer finden Sie unter Konfigurieren desAuthentifizierungsdiensts.

Benutzername und KennwortBenutzer geben ihre Anmeldeinformationen ein und werden authentifiziert, wenn sie aufihre Stores zugreifen. Die explizite Authentifizierung ist standardmäßig aktiviert, wenn Sieden ersten Store erstellen. Alle Benutzerzugriffsmethoden unterstützen die expliziteAuthentifizierung.

Domänen-PassthroughBenutzer authentifizieren sich bei ihrem domänengebundenen Computer und ihreAnmeldeinformationen werden für eine automatische Anmeldung beim Zugriff auf ihreStores verwendet. Wenn Sie StoreFront installieren und den ersten Store erstellen, wird dieDomänen-Passthrough-Authentifizierung standardmäßig deaktiviert. DieDomänen-Passthrough-Authentifizierung kann für Benutzer aktiviert werden, die über CitrixReceiver und XenApp Services-URLs eine Verbindung mit Stores herstellen. Receiver fürWeb-Sites und Desktopgerätesites unterstützen keineDomänen-Passthrough-Authentifizierung. Zur Verwendung derDomänen-Passthrough-Authentifizierung benötigen Benutzer Receiver für Windows oder dasOnline Plug-In für Windows. Die Passthrough-Authentifizierung muss aktiviert werden, wennReceiver für Windows oder das Online Plug-In für Windows auf den Benutzergeräteninstalliert ist.

SmartcardBenutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores. WennSie StoreFront installieren und den ersten Store erstellen, wird dieSmartcardauthentifizierung standardmäßig deaktiviert. Die Smartcardauthentifizierung kannfür Benutzer aktiviert werden, die über Citrix Receiver, Desktopgerätesites und XenAppServices-URLs eine Verbindung mit Stores herstellen. Receiver für Web-Sites unterstützenkeine Smartcardauthentifizierung. Weitere Informationen zum Konfigurieren von StoreFrontfür die Verwendung von Smartcards finden Sie unter Verwenden von Smartcards mitStoreFront.

Passthrough-Authentifizierung von NetScalerGateway

Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihreStores automatisch angemeldet. Die Passthrough-Authentifizierung von NetScaler Gatewayist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf denStore durchführen. Benutzer können mit Citrix Receiver oder Receiver für Web-Sites überNetScaler Gateway eine Verbindung mit Stores herstellen. Desktopgerätesites unterstützenkeine Verbindungen über NetScaler Gateway. Weitere Informationen zum Konfigurieren vonStoreFront für NetScaler Gateway finden Sie unter So fügen Sie eine NetScalerGateway-Verbindung hinzu. Weitere Informationen zum Einrichten von NetScaler Gatewayfür die Verbindung mit StoreFront finden Sie unter Integrating NetScaler Gateway withXenMobile App Edition.

StoreFront unterstützt Passthrough mit den folgenden NetScalerGateway-Authentifizierungsmethoden.

• Sicherheitstoken: Benutzer melden sich bei NetScaler Gateway mit Passcodes an, dievon durch Sicherheitstoken generierten Tokencodes abgeleitet sind und in manchenFällen mit einer PIN kombiniert werden. Wenn Sie zur Passthrough-Authentifizierungausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnenbereitgestellten Ressourcen keine zusätzlichen oder alternativenAuthentifizierungsformen erfordern, wie Microsoft ActiveDirectory-Domänenanmeldeinformationen.

• Domäne und Sicherheitstoken: Benutzer, die sich an NetScaler Gateway anmelden,müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodeseingeben.

• Clientzertifikat: Benutzer melden sich bei NetScaler Gateway an und werden aufGrundlage der Attributen im Clientzertifikat, das NetScaler Gateway übergeben wird,authentifiziert. Konfigurieren Sie die Clientzertifikat-Authentifizierung, damit Benutzersich an NetScaler Gateway mit Smartcards anmelden können. DieClientzertifikat-Authentifizierung kann zusammen mit anderen Authentifizierungstypenverwendet werden, um Zweiquellenauthentifizierung bereitzustellen.

StoreFront bietet Passthrough-Authentifizierung für Remotebenutzer über den NetScalerGateway-Authentifizierungsdienst, damit diese Benutzer ihre Anmeldeinformationen nureinmal eingeben müssen. Standardmäßig ist die Passthrough-Authentifizierung jedoch nurfür Benutzer aktiviert, die sich an NetScaler Gateway mit einem Kennwort anmelden. ZumKonfigurieren der Passthrough-Authentifizierung von NetScaler Gateway bei StoreFront fürSmartcardbenutzer delegieren Sie die Validierung der Anmeldeinformationen an NetScalerGateway. Weitere Informationen finden Sie unter Konfigurieren desAuthentifizierungsdiensts.

Benutzer können eine Verbindung mit Stores in Citrix Receiver mitPassthrough-Authentifizierung über einen SSL-VPN-Tunnel (Secure Sockets Layer, virtuellesprivates Netzwerk) mit dem NetScaler Gateway Plug-In herstellen. Remotebenutzer, die dasNetScaler Gateway Plug-In nicht installieren können, können über den clientlosen Zugriffeine Verbindung mit Stores in Citrix Receiver mit Passthrough-Authentifizierung herstellen.Zur Verwendung des clientlosen Zugriffs für eine Verbindung mit Stores benötigen Benutzereine Version von Citrix Receiver, die den clientlosen Zugriff unterstützt.


47

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-clg-integration-wrapper-con.html


Darüber hinaus können Sie clientlosen Zugriff mit Passthrough-Authentifizierung zu Receiverfür Web-Sites aktivieren. Konfigurieren Sie dazu NetScaler Gateway als sicherenRemoteproxy. Benutzer melden sich direkt bei NetScaler Gateway an und verwenden dieReceiver für Web-Site, um auf ihre Anwendungen zuzugreifen, ohne sich neuauthentifizieren zu müssen. Weitere Informationen zum Konfigurieren von NetScalerGateway als Remoteproxy finden Sie unter Creating and Applying Web and File Share Links.

Benutzer, die über den clientlosen Zugriff eine Verbindung zu App Controller-Ressourcenherstellen, können nur auf externe SaaS-Anwendungen (Software-as-a-Service) zugreifen.Für den Zugriff auf interne Webanwendungen müssen Remotebenutzer das NetScalerGateway Plug-In verwenden.

Wenn Sie die Zweiquellenauthentifizierung bei NetScaler Gateway für Remotebenutzerkonfigurieren, die von Citrix Receiver aus auf Stores zugreifen, müssen Sie zweiAuthentifizierungsrichtlinien für NetScaler Gateway erstellen. Konfigurieren Sie RADIUS(Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode undLDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie denAnmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode imSitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. BeimHinzufügen des NetScaler Gateway-Geräts in der StoreFront-Konfiguration legen Sie fürLogon type die Einstellung Domain and security token fest. Weitere Informationen findenSie unter http://support.citrix.com/article/CTX125364.

Zum Aktivieren der Multidomänenauthentifizierung über NetScaler Gateway bei StoreFrontsetzen Sie in der NetScaler Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne SSOName Attribute auf userPrincipalName. Sie können festlegen, dass die Benutzer auf derNetScaler Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zuverwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren derNetScaler Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine SingleSign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänenkonfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFrontanmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänenbeschränken.

Wenn die NetScaler Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zurSteuerung des Benutzerzugriffs auf XenDesktop- und XenApp-Ressourcen auf der Basis vonNetScaler Gateway-Sitzungsrichtlinien verwenden. Weitere Informationen zu SmartAccessfinden Sie unter Configuring SmartAccess on NetScaler Gateway.


48

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-access-interface-web-file-share-links-tsk.html


http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-smartaccess-wrapper-con.html

49

Verwenden von Smartcards mitStoreFront


Verwenden Sie die Smartcardauthentifizierung zur Vereinfachung der Anmeldung für IhreBenutzer und zur gleichzeitigen Erhöhung der Sicherheit von deren Zugriff auf IhreInfrastruktur. Der Zugriff auf das interne Unternehmensnetzwerk ist durch diezertifikatbasierte Zweifaktorauthentifizierung mit der Public Key-Infrastruktur geschützt.Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. DieBenutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten desUnternehmens aus bequem mit Smartcard und PIN zugreifen.

Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei vonXenDesktop und XenApp bereitgestellten Desktops und Anwendungen verwenden. Benutzervon Smartcard, die sich bei StoreFront anmelden, können auch auf von App Controllerbereitgestellte Anwendungen zugreifen. Für den Zugriff auf AppController-Webanwendungen, für die Clientzertifikatauthentifizierung verwendet wird,müssen sich Benutzer jedoch neu authentifizieren.

Zum Aktivieren der Smartcard-Authentifizierung müssen Benutzerkonten entweder in derMicrosoft Active Directory-Domäne der StoreFront-Server konfiguriert werden oder in einerDomäne, die über eine direkte bidirektionale Vertrauensstellung mit derStoreFront-Serverdomäne verfügt. Bereitstellungen mit mehreren Gesamtstrukturen mitunidirektionalen Vertrauensstellungen oder Vertrauensstellungen anderen Typs werdennicht unterstützt.

Die Konfiguration der Smartcardauthentifizierung bei StoreFront hängt von denBenutzergeräten, den installierten Clients und davon ab, ob die Geräte in die Domäneeingebunden sind. In diesem Zusammenhang bedeutet in die Domäne eingebunden, das dieGeräte in eine Domäne in der Active Directory-Gesamtstruktur eingebunden sind, die dieStoreFront-Server enthält.

Verwenden von Smartcards mit Receiver für WindowsBenutzer mit Geräten, die Receiver für Windows ausführen, können sich mit Smartcardsdirekt oder über NetScaler Gateway authentifizieren. Es können domänengebundene undnicht domänengebundene Geräte verwendet werden, allerdings bei einer geringfügiganderen Benutzererfahrung.

Die Abbildung zeigt die Optionen für die Smartcardauthentifizierung über Receiver fürWindows.

Sie können Smartcardauthentifizierung für lokale Benutzer mit in Domänen eingebundenenGeräten konfigurieren, sodass Benutzer nur einmal zur Eingabe ihrer Anmeldeinformationenaufgefordert werden. Benutzer melden sich bei ihren Geräten mit ihrer Smartcard und PINan und werden bei entsprechender Konfiguration nicht noch einmal zur Eingabe ihrer PINaufgefordert. Benutzer werden automatisch bei StoreFront authentifiziert und auch, wennsie auf ihre Desktops und Anwendungen zugreifen. Hierzu konfigurieren Sie Receiver fürWindows für Passthrough-Authentifizierung und aktivierenDomänen-Passthrough-Authentifizierung für StoreFront.

Bei nicht in Domänen eingebundenen Geräten im lokalen Netzwerk werden Benutzermindestens zwei Mal zum Eingeben ihrer Anmeldeinformationen aufgefordert. Benutzermelden sich beim Gerät an und authentifizieren sich dann bei Citrix Receiver für Windowsmit ihrer Smartcard und PIN. Bei entsprechender Konfiguration werden Benutzer nur dannnoch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops undAnwendungen zugreifen. Aktivieren Sie hierzu die Smartcardauthentifizierung beiStoreFront.

Da Benutzer nicht domänengebundener Geräte sich direkt an Receiver für Windowsanmelden, können Sie für diese Benutzer ein Fallback auf die explizite Authentifizierungaktivieren. Wenn Sie Smartcard- und explizite Authentifizierung konfigurieren, werdenBenutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aberbei Problemen mit der Smartcard die explizite Authentifizierung auswählen.

Benutzer, die eine Verbindung über NetScaler Gateway herstellen, müssen sich mindestenszwei Mal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen

Verwenden von Smartcards mit StoreFront

50

zugreifen zu können. Dies gilt sowohl für in Domänen eingebundene Geräte als auch fürGeräte, die nicht in Domänen eingebunden sind. Benutzer authentifizieren sich mit ihrerSmartcard und PIN und werden bei entsprechender Konfiguration nur dann noch einmal zurEingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen.Dazu aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway bei StoreFrontund delegieren die Anmeldeinformationenvalidierung an NetScaler Gateway. Erstellen Siedann einen weiteren virtuellen NetScaler Gateway-Server und leiten Sie über ihn dieBenutzerverbindungen zu Ressourcen. Für in Domänen eingebundene Geräte müssen Siezudem Receiver für Windows für Passthrough-Authentifizierung konfigurieren.

Benutzer können sich bei NetScaler Gateway mit Smartcard und PIN oder mit explizitenAnmeldeinformationen anmelden. Sie erhalten so die Möglichkeit, für die Anmeldung beiNetScaler Gateway auf die explizite Authentifizierung zurückzugreifen. Konfigurieren Siedie Passthrough-Authentifizierung von NetScaler Gateway an StoreFront und delegieren Siedie Validierung der Anmeldeinformationen für Smartcardbenutzer an NetScaler Gateway,sodass Benutzer automatisch bei StoreFront authentifiziert werden.

Verwenden von Smartcards mit DesktopgerätesitesNicht domänengebundene Windows-Desktopgeräte können so konfiguriert werden, dassBenutzer sich mit einer Smartcard an ihren Desktops anmelden können. Citrix Desktop Lockist auf dem Gerät erforderlich und Internet Explorer muss für den Zugriff auf dieDesktopgerätesite verwendet werden.

Die Abbildung zeigt die Smartcardauthentifizierung von einem nicht domänengebundenenDesktopgerät aus.

Wenn Benutzer auf Desktopgeräte zugreifen, startet Internet Explorer im Vollbildmodus undzeigt den Anmeldebildschirm für eine Desktopgerätesite an. Die Benutzer authentifizierensich bei der Site mit ihrer Smartcard und PIN. Wenn die Desktopgerätesite für diePassthrough-Authentifizierung konfiguriert ist, werden die Benutzer automatischauthentifiziert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Benutzer werdennicht aufgefordert, die PIN neu einzugeben. Ohne Passthrough-Authentifizierung müssenBenutzer ihre PIN ein zweites Mal eingeben, wenn sie einen Desktop oder eine Anwendungstarten.

Sie können Benutzern Fallback auf die explizite Authentifizierung ermöglichen, wenn dieseProbleme mit ihren Smartcards haben. Hierfür konfigurieren Sie die Desktopgerätesite fürdie Smartcard- und die explizite Authentifizierung. In dieser Konfiguration gilt dieSmartcardauthentifizierung als primäre Zugriffsmethode, Benutzer werden daher zunächstzur Eingabe ihrer PIN aufgefordert. Die Site enthält aber auch einen Link zur Anmeldung mitexpliziten Anmeldeinformationen.


51

Verwenden von Smartcards mit XenAppServices-URLs

Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, die Citrix DesktopLock ausführen, können sich mit Smartcards authentifizieren. Im Gegensatz zu anderenZugriffsmethoden wird Passthrough von Smartcardanmeldeinformationen automatischaktiviert, wenn die Smartcardauthentifizierung für eine XenApp Services-URL konfiguriertwird.

Die Abbildung zeigt die Smartcardauthentifizierung von einem domänengebundenen Gerätaus auf dem Citrix Desktop Lock ausgeführt wird.

Die Benutzer melden sich bei ihren Geräten mit Smartcard und PIN an. Citrix Desktop Lockauthentifiziert dann die Benutzer automatisch bei StoreFront über die XenAppServices-URL. Benutzer werden automatisch authentifiziert, wenn sie auf ihre Desktops undAnwendungen zugreifen, und müssen ihre PIN nicht neu eingeben. DieSmartcardauthentifizierung ohne Passthrough von Smartcardanmeldeinformationen ist fürXenApp Services-URLs nicht verfügbar.

Wichtige HinweiseDie Verwendung von Smartcards für die Benutzerauthentifizierung bei StoreFront unterliegtden folgenden Anforderungen und Einschränkungen.

• Zur Verwendung eines VPN-Tunnels (virtuelles privates Netzwerk) mitSmartcardauthentifizierung müssen Benutzer das NetScaler Gateway Plug-In installierenund sich über eine Webseite anmelden, wobei sie sich für jeden Schritt mit Smartcardund PIN authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit demNetScaler Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.

• Auf einem Benutzergerät können mehrere Smartcards und mehrere Smartcardleserverwendet werden. Wenn Sie jedoch die Passthrough-Authentifizierung mit Smartcardaktivieren, müssen Benutzer darauf achten, dass beim Zugriff auf einen Desktop odereine Anwendung nur eine Smartcard eingeführt ist.

• Wird eine Smartcard innerhalb einer Anwendung verwendet (z. B. zur digitalenSignierung oder zur Verschlüsselung), werden möglicherweise zusätzliche


52

Aufforderungen zum Einführen einer Smartcard oder zur Eingabe einer PIN angezeigt.Dieser Fall kann eintreten, wenn mehrere Smartcards gleichzeitig eingelegt wurden.Benutzer, die zum Einführen einer Smartcard aufgefordert werden, obwohl bereits eineSmartcard einliegt, müssen auf Abbrechen klicken. Wenn Benutzer aufgefordertwerden, ein PIN einzugeben, müssen sie die PIN neu eingeben.

• Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenAppfür Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräteverwenden und nicht über NetScaler Gateway auf Stores zugreifen, gilt dieseEinstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung fürDomänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Siefür jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssendann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Storeherstellen.

• Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenAppfür Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräteverwenden und über NetScaler Gateway auf Stores zugreifen, gilt diese Einstellung füralle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmteBenutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungenerzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen.Leiten Sie dann die Benutzer zu dem für ihre Authentifizierungsmethode geeignetenStore.

• Nur eine Authentifizierungsmethode kann für jede XenApp Services-URL konfiguriertwerden und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zurSmartcardauthentifizierung weitere Authentifizierungsmethoden aktivieren möchten,müssen Sie für jede Authentifizierungsmethode einen eigenen Store mit einer XenAppServices-URL erstellen. Leiten Sie dann die Benutzer zu dem für ihreAuthentifizierungsmethode geeigneten Store.

• Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in MicrosoftInternetinformationsdienste (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen mitder URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdienstspräsentiert werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an.Dank dieser Konfiguration können Sie Smartcardbenutzern die Option des Fallbacks aufdie explizite Authentifizierung gewähren, wenn diese Probleme mit ihren Smartcardshaben. Abhängig von den entsprechenden Windows-Richtlinieneinstellungen könnenBenutzer auch ihre Smartcard entfernen, ohne sich neu authentifizieren zu müssen.

Wenn Sie IIS für die Anforderung von Clientzertifikaten für alle HTTPS-Verbindungen mitallen StoreFront-URLs konfigurieren, müssen sich Authentifizierungsdienst und Storesauf demselben Server befinden. Sie müssen ein Clientzertifikat verwenden, das für alleStores gültig ist. Innerhalb dieser IIS-Sitekonfiguration können Smartcardbenutzer keineVerbindung über NetScaler Gateway herstellen und nicht auf die expliziteAuthentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihreSmartcards aus Geräten entfernen.


53

54

Optimieren der Benutzererfahrung


StoreFront hat Features zur Verbesserung der Benutzererfahrung. Diese sind standardmäßigkonfiguriert, wenn Sie neue Stores und die zugehörigen Receiver für Web-Sites,Desktopgerätesites und XenApp Services-URLs erstellen.

Workspace ControlWenn Benutzer zwischen Geräten wechseln, wird von Workspace Control sichergestellt,dass die benutzten Anwendungen ihnen folgen. Benutzer können mit den gleichenAnwendungsinstanzen über mehrere Geräte hinweg arbeiten anstatt alle Anwendungen neustarten zu müssen, wenn sie sich an einem neuen Gerät anmelden. So können etwaKrankenhausärzte Zeit sparen, wenn sie sich von Arbeitsstation zu Arbeitsstation bewegenund auf Patientendaten zugreifen.

Workspace Control ist standardmäßig für Receiver für Web-Sites und Verbindungen zu Storesüber XenApp Services-URLs aktiviert. Wenn Benutzer sich anmelden, werden sieautomatisch mit allen Anwendungen wiederverbunden, die sie nicht beendet haben.Beispiel: Ein Benutzer meldet sich über die Receiver für Web-Site oder die XenAppServices-URL bei einem Store an und startet einige Anwendungen. Wenn der Benutzer sichanschließend bei dem gleichen Store mit der gleichen Zugriffsmethode aber auf einemanderen Gerät anmeldet, werden die ausgeführten Anwendungen automatisch auf das neueGerät übertragen. Alle Anwendungen, die ein Benutzer über einen bestimmten Storestartet, werden bei Abmeldung des Benutzers von dem Store automatisch getrennt, jedochnicht heruntergefahren. Bei Receiver für Web-Sites muss für Anmeldung, Anwendungsstartund Abmeldung der gleiche Browser verwendet werden.

Workspace Control für XenApp Services-URLs kann nicht konfiguriert oder deaktiviertwerden. Weitere Informationen zum Konfigurieren von Workspace Control für Receiver fürWeb-Sites finden Sie unter So konfigurieren Sie Workspace Control.

Die Verwendung von Workspace Control auf Receiver für Web-Sites unterliegt den folgendenAnforderungen und Einschränkungen.

• Workspace Control ist nicht verfügbar, wenn Receiver für Web-Sites über gehosteteDesktops und Anwendungen aufgerufen werden.

• Bei Benutzern, die über Windows-Geräte auf Receiver für Web-Sites zugreifen, istWorkspace Control nur dann aktiviert, wenn die Site feststellen kann, dass CitrixReceiver auf den Geräten der Benutzer installiert ist oder wenn Receiver für HTML5 fürden Zugriff auf Ressourcen verwendet wird.

• Um eine Verbindung zu getrennten Anwendungen wiederherzustellen, müssen Benutzer,die über Internet Explorer auf Receiver für Web-Sites zugreifen, die Site den Zonen"Lokales Intranet" oder "Vertrauenswürdige Sites" hinzufügen.

• Wenn nur ein Desktop für einen Benutzer auf einer Receiver für Web-Site verfügbar ist,die so konfiguriert ist, dass einzelne Desktops bei Anmeldung automatisch gestartet

werden, erfolgt unabhängig von der Workspace Control-Konfiguration keineWiederverbindung der Anwendungen des Benutzers.

• Benutzer müssen die Verbindung zu ihren Anwendungen mit demselben Browsertrennen, den sie ursprünglich zum Starten der Anwendungen verwendet haben.Verbindungen zu Ressourcen, die mit einem anderen Browser oder lokal vom Desktopbzw. über das Menü Start mit Citrix Receiver gestartet wurden, können nicht mitReceiver für Web-Sites getrennt oder heruntergefahren werden.

InhaltsumleitungWenn Benutzer die entsprechende Anwendung abonniert haben, ermöglicht dieInhaltsumleitung, dass Benutzer Dateien auf ihren lokalen Geräten mit den abonniertenAnwendungen öffnen können. Um die Umleitung lokaler Dateien zu aktivieren, verknüpfenSie die Anwendung in XenDesktop oder XenApp mit den erforderlichen Dateitypen. DieDateitypzuordnung ist für neue Stores standardmäßig aktiviert. Weitere Informationenfinden Sie unter So deaktivieren Sie die Dateitypzuordnung.

Benutzerseitige KennwortänderungSie können Benutzern von Receiver für Web-Sites, die sich mit Microsoft ActiveDirectory-Domänenanmeldeinformationen anmelden, gestatten, ihre Kennwörter jederzeitzu ändern. Alternativ können Sie die Kennwortänderung auf Benutzer beschränken, derenKennwort abgelaufen ist. So können Sie sicherstellen, dass Benutzern nie der Zugriff aufihre Desktops und Anwendungen verweigert wird, weil ein Kennwort abgelaufen ist.

Wenn Sie zulassen, dass Benutzer von Receiver für Web-Sites ihre Kennwörter jederzeitändern können, wird lokalen Benutzern, deren Kennwörter bald ablaufen, beim Anmeldeneine Warnung angezeigt. Standardmäßig hängt der Benachrichtigungszeitraum von derentsprechenden Windows-Richtlinieneinstellung ab. Warnungen über den Ablauf vonKennwörtern werden nur für Benutzer angezeigt, die eine Verbindung über das interneNetzwerk herstellen. Weitere Informationen zum Aktivieren der Kennwortänderung durchBenutzer finden Sie unter Konfigurieren des Authentifizierungsdiensts.

Benutzer, die sich an Desktopgerätesites anmelden, können nur abgelaufene Kennwörterändern, selbst wenn Sie zulassen, dass Benutzer ihr Kennwort jederzeit ändern können.Desktopgerätesites bieten keine Steuerelemente zur Kennwortänderung, nachdem sichBenutzer angemeldet haben.

Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dassBenutzer von Receiver für Web-Sites ihre Kennwörter ändern, selbst wenn die Kennwörterabgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass dieRichtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihreKennwörter zu ändern. Stellen Sie sicher, dass auf den StoreFront-Servern ausreichendSpeicherplatz für die Profile aller Benutzer ist, wenn Sie Benachrichtigungen über denAblauf von Kennwörtern aktivieren. Um zu prüfen, ob das Kennwort eines Benutzers baldabläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf dem Server. StoreFrontmuss eine Verbindung mit dem Domänencontroller herstellen können, um die Kennwörterder Benutzer zu ändern.

Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen füralle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst


55

verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, dieFunktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Siesicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffenwerden kann.

Ansichten für Desktops und Anwendungen beiReceiver für Web-Sites

Wenn sowohl Desktops als auch Anwendungen über eine Receiver für Web-Site verfügbarsind, werden standardmäßig separate Ansichten für Desktops und Anwendungen angezeigt.Benutzern wird nach der Anmeldung an der Site zuerst die Desktopansicht angezeigt. Wennnur ein einziger Desktop für einen Benutzer auf einer Receiver für Web-Site verfügbar ist,startet die Site diesen Desktop automatisch, wenn sich der Benutzer anmeldet, unabhängigdavon, ob auch Anwendungen verfügbar sind. Sie können angeben, welche Ansichten für dieSites angezeigt werden, und verhindern, dass Receiver für Web-Sites Desktops für Benutzerautomatisch starten. Weitere Informationen finden Sie unter So konfigurieren Sie dieAnzeige von Ressourcen für die Benutzer.

Das Verhalten der Ansichten bei Receiver für Web-Sites hängt davon ab, welcheRessourcentypen bereitgestellt werden. Beispielsweise müssen Benutzer Anwendungenabonnieren, bevor sie in der Anwendungsansicht angezeigt werden. Dagegen werden alle füreinen Benutzer verfügbaren Desktops automatisch in der Desktopansicht angezeigt. Ausdiesem Grund können Benutzer keine Desktops aus der Desktopansicht entfernen oder dieDesktops durch Ziehen und Ablegen der Symbole neu anordnen. Wenn derXenDesktop-Administrator Desktopneustarts aktiviert hat, werden in der DesktopansichtSteuerelemente angezeigt, mit denen Benutzer ihre Desktops neu starten können. WennBenutzer über eine einzelne Desktopgruppe auf mehrere Instanzen eines Desktops zugreifenkönnen, kennzeichnen Receiver für Web-Sites die Desktops für die Benutzer, indem eineZiffer an den Desktopnamen angehängt wird.

Für Benutzer, die eine Verbindung mit Stores in Citrix Receiver oder über XenAppServices-URLs herstellen, wird die Art und Weise, in der Desktops und Anwendungenangezeigt werden, sowie deren Verhalten von dem verwendeten Citrix Client bestimmt.

Zusätzliche EmpfehlungenBei der Bereitstellung von Anwendungen mit XenDesktop und XenApp sollten Sie diefolgenden Optionen in Betracht ziehen, um die Benutzererfahrung beim Zugriff aufAnwendungen über Stores zu verbessern. Weitere Informationen zur Bereitstellung vonAnwendungen finden Sie unter Erstellen einer Bereitstellungsgruppenanwendung.

• Gruppieren Sie Anwendungen in Ordnern, damit Benutzer die benötigten Anwendungenleichter finden, wenn sie durch die verfügbaren Ressourcen navigieren. Ordner, die Siein XenDesktop und XenApp erstellen, werden als Kategorien in Citrix Receiverangezeigt. Sie können beispielsweise Anwendungen nach Typ gruppieren oder alternativOrdner für verschiedene Benutzerrollen in der Organisation erstellen.

• Verwenden Sie aussagekräftige Beschreibungen für veröffentlichte Anwendungen, dadiese Beschreibungen in Citrix Receiver angezeigt werden.

• Sie können eine Anwendung automatisch für alle Benutzer eines Stores abonnieren,indem Sie die Zeichenfolge KEYWORDS:Auto an die Beschreibung anhängen, die Sie


56

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-create-deliv-group-application.html

beim Veröffentlichen der Anwendung angeben. Wenn Benutzer sich am Store anmelden,wird die Anwendung automatisch bereitgestellt, ohne dass die Benutzer sie manuellabonnieren müssen.

• Aktivieren Sie bei der Konfiguration der Anwendungseinstellungen das KontrollkästchenApp is available in Receiver to all users automatically, wenn eine Web- oder SaaS(Software-as-a-Service)-Anwendung, die von App Controller verwaltet wird, für alleBenutzer im Abonnement bereitgestellt werden soll.

• Kündigen Sie die XenDesktop-Anwendungen den Benutzern an oder sorgen Sie dafür,dass häufig verwendete Anwendungen leichter gefunden werden, indem Sie sie in derListe Highlights in Citrix Receiver aufführen. Hängen Sie dazu die ZeichenfolgeKEYWORDS:Featured an die Anwendungsbeschreibung an.

Hinweis: Mehrere Schlüsselwörter müssen ausschließlich durch Leerzeichenvoneinander getrennt werden, z. B. KEYWORDS:Auto Featured.

• Standardmäßig werden freigegebene, von XenDesktop und XenApp gehostete Desktopsvon Receiver für Web-Sites wie andere Desktops behandelt. Hängen Sie dieZeichenfolge KEYWORDS:TreatAsApp an die Desktopbeschreibung an, um diesesVerhalten zu ändern. Der Desktop wird dann in den Anwendungsansichten von Receiverfür Web-Sites statt den Desktopansichten angezeigt und Benutzer müssen ihnabonnieren, um darauf zugreifen zu können. Außerdem wird der Desktop nichtautomatisch gestartet, wenn sich der Benutzer an der Receiver für Web-Site anmeldet,und er wird nicht mit Desktop Viewer aufgerufen, selbst wenn die Site so konfiguriertwurde, dass dies bei anderen Desktops der Fall ist.

• Für Windows-Benutzer können Sie festlegen, dass die lokal installierte Version einerAnwendung bevorzugt vor einer übermittelten Instanz verwendet wird, wenn beideverfügbar sind. Fügen Sie hierfür die Zeichenfolge KEYWORDS:prefer="application" andie Anwendungsbeschreibung an. application ist hierbei mindestens ein vollständigesWort aus dem Namen der lokalen Anwendung, und zwar gemäß dem Dateinamen derVerknüpfungsdatei oder dem absoluten Pfad (einschließlich dem Namen derausführbaren Datei) der lokalen Anwendung aus dem Ordner "\Startmenü". Wenn einBenutzer eine Anwendung mit diesem Schlüsselwort abonniert, sucht Citrix Receivernach dem angegebenen Namen oder Pfad auf dem Gerät des Benutzers, um zuermitteln, ob die Anwendung bereits lokal installiert ist. Wird die Anwendung gefunden,abonniert Citrix Receiver die übermittelte Anwendung für den Benutzer, erstellt jedochkeine Verknüpfung. Wenn der Benutzer die übermittelte Anwendung mit Citrix Receiverstartet, wird stattdessen die lokal installierte Instanz ausgeführt. WeitereInformationen finden Sie unter Konfigurieren der Anwendungsbereitstellung.


57

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/receiver-windows-config-app-delivery.html

58

Hohe Verfügbarkeit undMultisitekonfiguration für StoreFront


StoreFront enthält eine Reihe von Features, die zusammen Lastausgleich und Failoverzwischen den Bereitstellungen von Ressourcen für Stores bieten. Sie können auch zurErhöhung der Systemstabilität dedizierte Bereitstellungen für die Notfallwiederherstellungspezifizieren. Mit diesen Features können Sie StoreFront-Bereitstellungen, die über mehrereSites verteilt sind, für hohe Verfügbarkeit für die Stores konfigurieren. Hohe Verfügbarkeitund Multisitekonfiguration für StoreFront werden durch Bearbeiten derStorekonfigurationsdateien eingerichtet. Hoch verfügbare Multisitekonfigurationen könnennicht über die Citrix StoreFront-Managementkonsole eingerichtet oder verwaltet werden.Weitere Informationen finden Sie unter Einrichten hoch verfügbarer Stores mit mehrerenSites.

RessourcenaggregationStandardmäßig werden in StoreFront alle Bereitstellungen, die Desktops und Anwendungenfür einen Store bieten, aufgelistet und alle entsprechenden Ressourcen als separatbehandelt. Wenn die gleiche Ressource aus mehreren Bereitstellungen verfügbar ist, sehenBenutzer daher ein Symbol für jede Ressource, was verwirrend sein kann, wenn dieRessourcen den gleichen Namen haben. Wenn Sie hoch verfügbare Multisitekonfigurationeneinrichten, können Sie XenDesktop-, XenApp- und VDI-in-a-Box-Bereitstellungen, die dengleichen Desktop oder die gleiche Anwendung bieten, so gruppieren, dass identischeRessourcen für Benutzer aggregiert werden können. Gruppierte Bereitstellungen müssennicht identisch sein, aber Ressourcen müssen für die Aggregation den gleichen Namen undPfad auf jedem Server haben.

Wenn ein Desktop oder eine Anwendung aus mehreren, für einen bestimmten Storekonfigurierten XenDesktop-, XenApp- oder VDI-in-a-Box Bereitstellungen verfügbar ist,werden alle Instanzen der Ressource in StoreFront aggregiert und den Benutzern eineinzelnes Symbol angezeigt. App Controller-Anwendungen können nicht aggregiert werden.Wenn ein Benutzer eine aggregierte Ressource startet, bestimmt StoreFront die für denBenutzer am besten geeignete Instanz der Ressource auf der Grundlage derSerververfügbarkeit, der Tatsache, ob der Benutzer bereits eine aktive Sitzung hat, und derReihenfolge, die Sie in der Konfiguration angegeben haben.

StoreFront überwacht dynamisch Server, die nicht auf Anforderungen reagieren, auf derBasis, dass solche Server entweder überlastet oder vorübergehend nicht verfügbar sind.Benutzer werden zu Ressourceninstanzen auf anderen Servern umgeleitet, bis dieKommunikation wiederhergestellt ist. Wenn die Server, auf denen die Ressourcenbereitgestellt werden, dies unterstützen, versucht StoreFront eine Wiederverwendungvorhandener Sitzungen, um zusätzliche Ressourcen zu liefern. Wenn ein Benutzer bereitseine aktive Sitzung auf einer Bereitstellung hat, die auch die angeforderte Ressourceumfasst, verwendet StoreFront diese Sitzung, wenn sie mit der Ressource kompatibel ist.Durch Minimieren der Anzahl Sitzungen für jeden Benutzer wird die Zeit zum Startenzusätzlicher Desktops oder Anwendungen reduziert und ggf. eine effizientere Verwendung

von Produktlizenzen ermöglicht.

Nach der Überprüfung auf Verfügbarkeit und vorhandene Benutzersitzungen verwendetStoreFront die in der Konfiguration angegebene Reihenfolge zur Bestimmung derBereitstellung, mit der der Benutzer verbunden wird. Wenn dem Benutzer mehrereäquivalente Bereitstellungen zur Verfügung stehen, können Sie festlegen, dass eineVerbindung mit der ersten verfügbaren Bereitstellung oder per Zufallsprinzip mit einerbeliebigen Bereitstellung in der Liste erfolgt. Die Verbindung von Benutzern mit der erstenverfügbaren Bereitstellung ermöglicht eine Minimierung der Anzahl der von den aktuellenBenutzern verwendeten Bereitstellungen. Die Verbindung per Zufallsprinzip erzielt einegleichmäßigere Verteilung der Benutzer über alle verfügbaren Bereitstellungen.

Sie können die angegebene Reihenfolge der Bereitstellungen für einzelne XenDesktop- undXenApp-Ressourcen außer Kraft setzen und bevorzugte Bereitstellungen definieren, mitdenen Benutzer bei Zugriff auf einen bestimmten Desktop oder eine bestimmte Anwendungverbunden werden. Damit können Sie z. B. festlegen, dass Benutzer bevorzugt mit einerspeziell für einen bestimmten Desktop oder eine bestimmte Anwendung angepasstenBereitstellung verbunden werden, für andere Ressourcen jedoch andere Bereitstellungenverwenden. Fügen Sie zu diesem Zweck die Zeichenfolge KEYWORDS:Primary an dieBeschreibung des Desktops oder der Anwendung in der bevorzugten Bereitstellung an undKEYWORDS:Secondary an die Ressource in anderen Bereitstellungen. Soweit möglich,werden Benutzer unabhängig von der Reihenfolge der Bereitstellungen in der Konfigurationmit der Bereitstellung mit der primären Ressource verbunden. Benutzer werden mitBereitstellungen mit sekundären Ressourcen verbunden, wenn die bevorzugte Bereitstellungnicht verfügbar ist oder wenn bereits eine aktive Sitzung mit einer nicht bevorzugtenBereitstellung besteht.

Zuordnen von Benutzern zu RessourcenStandardmäßig wird Benutzern beim Zugriff auf einen Store ein Aggregat aller verfügbarenRessourcen aus allen für den Store konfigurierten Bereitstellungen angezeigt. Umunterschiedlichen Benutzern eigene Ressourcen bereitzustellen, können Sie separate Storesoder sogar separate StoreFront-Bereitstellungen konfigurieren. Wenn Sie jedoch eineMultisitekonfiguration mit hoher Verfügbarkeit einrichten, können Sie den Zugriff aufbestimmte Bereitstellungen auf der Basis der Mitgliedschaft der Benutzer bei MicrosoftActive Directory-Gruppen konfigurieren. So können Sie für verschiedene Benutzergruppenverschiedene Benutzererfahrungen über einen einzelnen Store konfigurieren.

Sie können z. B. allgemeine Ressourcen für alle Benutzer in einer Bereitstellung gruppierenund Finanzanwendungen für die Buchhaltungsabteilung in einer anderen. In einer solchenKonfiguration sieht ein Benutzer, der kein Mitglied der Benutzergruppe "Buchhaltung" ist,nur die allgemeinen Ressourcen, wenn er auf den Store zugreift. Ein Mitglied der Gruppe"Buchhaltung" sieht neben den allgemeinen Ressourcen auch die Finanzanwendungen.

Für Poweruser können Sie auch eine Bereitstellung erstellen, die dieselben Ressourcen wiedie anderen Bereitstellungen enthält, jedoch auf schnellerer und leistungsfähigererHardware beruht. So können Sie eine verbesserte Benutzererfahrung für wichtige Benutzer,wie etwa Führungskräfte, bereitstellen. Alle Benutzer sehen bei der Anmeldung bei einemStore die gleichen Desktops und Anwendungen, die Mitglieder der Gruppe "Führungskräfte"werden jedoch bevorzugt mit den Ressourcen der Bereitstellung für Poweruser verbunden.

Hohe Verfügbarkeit und Multisitekonfiguration für StoreFront

59

AbonnementsynchronisierungWenn Sie Benutzern den Zugriff auf dieselben Anwendungen aus ähnlichen Stores inunterschiedlichen StoreFront-Bereitstellungen ermöglichen, müssen dieAnwendungsabonnements der Benutzer zwischen den Servergruppen synchronisiert werden.Andernfalls müssen Benutzer, die eine Anwendung in einem Store in einerStoreFront-Bereitstellung abonniert haben, beim Anmelden bei einer anderen Servergruppediese möglicherweise neu abonnieren. Zur Gewährleistung einer nahtlosenBenutzererfahrung beim Wechsel zwischen StoreFront Bereitstellungen können Sie eineregelmäßige Synchronisierung der Anwendungsabonnements zwischen den Stores inverschiedenen Servergruppen konfigurieren. Wählen Sie zwischen einer regelmäßigenSynchronisierung nach bestimmten Intervallen oder einer für bestimmte Tageszeitengeplanten Synchronisierung.

Dedizierte Ressourcen für dieNotfallwiederherstellung

Sie können spezifische Bereitstellungen für die Notfallwiederherstellung konfigurieren, dienur verwendet werden, wenn alle anderen Bereitstellungen nicht verfügbar sind. In derRegel befinden sich Bereitstellungen für die Notfallwiederherstellung nicht am gleichenStandort wie Hauptbereitstellungen, sie enthalten nur eine Teilmenge der normalerweiseverfügbaren Ressourcen und sie bieten ggf. eine beeinträchtigte Benutzererfahrung. WennSie festlegen, dass eine Bereitstellung für die Notfallwiederherstellung verwendet werdensoll, wird sie für Lastausgleich oder Failover nicht verwendet. Benutzer können nur dannauf die Desktops und Anwendungen der Bereitstellung für die Notfallwiederherstellungzugreifen, wenn alle anderen Bereitstellungen, für die letztere eingerichtet wurde, nichtmehr verfügbar sind.

Ist der Zugriff auf eine andere Bereitstellung wieder möglich, können Benutzer keineweitere Ressourcen der Notfallwiederherstellung starten, selbst wenn sie bereits einedieser Ressourcen verwenden. Benutzer, die Ressourcen der Notfallwiederherstellungverwenden, werden nicht von diesen Ressourcen getrennt, wenn der Zugriff auf andereBereitstellungen wieder möglich wird. Sobald sie eine der Ressourcen für dieNotfallwiederherstellung beendet haben, können sie diese jedoch nicht wieder starten.Genauso gilt, dass StoreFront keine Wiederverwendung vorhandener Sitzungen mitBereitstellungen für die Notfallwiederherstellung versucht, wenn zwischenzeitlich andereBereitstellungen wieder verfügbar geworden sind.

Optimales NetScaler Gateway-RoutingWenn Sie konfigurierte separate NetScaler Gateway-Geräte für die Bereitstellungen haben,können Sie mit StoreFront das optimale Gerät für den Zugriff auf die Bereitstellungen mitden Ressourcen für einen Store definieren. Beispiel: Wenn Sie einen Store mit aggregiertenRessourcen aus zwei geografischen Standorten erstellen, von denen jeder ein NetScalerGateway-Gerät hat, können Benutzer, die eine Verbindung über das Gerät an einemStandort herstellen, einen Desktop oder eine Anwendung am anderen Standort starten.Standardmäßig wird die Verbindung jedoch über das Gerät geleitet, mit dem der Benutzerursprünglich eine Verbindung hergestellt hat, sodass das Unternehmens-WAN durchquertwerden muss.


60

Zur Verbesserung der Benutzererfahrung und zur Reduzierung des Netzwerkdatenverkehrsim WAN können Sie das optimale NetScaler Gateway-Gerät für jede Bereitstellungfestlegen. Mit dieser Konfiguration werden Benutzerverbindungen automatisch über daslokal zur Bereitstellung mit den Ressourcen vorliegende Gerät geleitet, unabhängig von demStandort des Geräts, über das der Benutzer auf den Store zugreift.

Das optimale NetScaler Gateway-Routing können Sie auch in dem Spezialfall verwenden, wolokale Benutzer im internen Netzwerk sich für die Endpunktanalyse an NetScaler Gatewayanmelden müssen. Mit dieser Konfiguration stellen Benutzer eine Verbindung mit dem Storeüber das NetScaler Gateway-Gerät her, allerdings muss die Verbindung nicht über das Gerätzu der Ressource geleitet werden, weil die Benutzer im internen Netzwerk sind. In diesemFall aktivieren Sie das optimale Routing, geben aber kein Gerät für die Bereitstellung an,sodass Benutzerverbindungen mit Desktops und Anwendungen direkt und nicht überNetScaler Gateway geleitet werden. Sie müssen auch eine spezifische interne virtuelleServer-IP-Adresse für das NetScaler Gateway-Gerät konfigurieren. Außerdem müssen Sieeinen nicht zugänglichen internen Beacon festlegen, damit Citrix Receiver unabhängig vomNetzwerkstandort des Benutzers immer angefordert wird, eine Verbindung zu NetScalerGateway herzustellen.

Globaler Serverlastausgleich mit NetScaler GatewayStoreFront unterstützt für den globalen Serverlastausgleich konfigurierte NetScalerGateway-Bereitstellungen mit mehreren Geräten, die mit einem einzelnen vollqualifiziertenDomänennamen (FQDN) konfiguriert sind. Für die Benutzerauthentifizierung und dasRouting der Verbindungen über das richtige Gerät muss StoreFront zwischen den Gerätenunterscheiden können. Da der Geräte-FQDN in einer Konfiguration mit globalemServerlastausgleich nicht als eindeutige ID verwendet werden kann, müssen Sie StoreFrontmit eindeutigen IP-Adressen für alle Geräte konfigurieren. Normalerweise ist dies dieIP-Adresse des virtuellen Servers für NetScaler Gateway.

Wichtige HinweiseBei der Entscheidung, ob Sie hoch verfügbare Multisitekonfigurationen für Ihre Storeseinrichten, sollten Sie die folgenden Anforderungen und Einschränkungen in Betrachtziehen.

• Desktops und Anwendungen müssen für eine Aggregation auf jedem Server denselbenNamen und Pfad haben. Außerdem müssen die Eigenschaften der aggregiertenRessourcen, wie Namen und Symbole, identisch sein. Ist dies nicht der Fall, sehenBenutzer evtl. eine Änderung der Eigenschaften ihrer Ressourcen, wenn Citrix Receiverdie verfügbaren Ressourcen auflistet.

• Zugewiesene Desktops, sowohl vorab zugewiesene und solche, die bei der erstenVerwendung zugewiesen werden, sollten nicht aggregiert werden. Stellen Sie sicher,das Bereitstellungsgruppen, die solche Desktops enthalten, nicht den gleichen Namenund Pfad in Sites haben, die Sie für die Aggregation konfigurieren.

• App Controller-Anwendungen können nicht aggregiert werden.

• Primäre Bereitstellungen im gleichen, äquivalenten Bereitsstellungssatz müssenidentisch sein. In StoreFront werden nur die Ressourcen aus der ersten verfügbarenprimären Bereitstellung in einem Satz aufgelistet und angezeigt, da vorausgesetzt wird,


61

dass jede Bereitstellung genau dieselben Ressourcen bietet. Konfigurieren Sie fürBereitstellungen, deren Ressourcen sich geringfügig unterscheiden, separate Sätzeäquivalenter Bereitstellungen.

• Wenn Sie die Synchronisierung der Anwendungsabonnements von Benutzern zwischenStores in separaten StoreFront-Bereitstellungen konfigurieren, müssen die Stores injeder Servergruppe denselben Namen haben. Außerdem müssen beide Servergruppen inder Active Directory-Domäne mit den Benutzerkonten residieren oder aber in einerDomäne die mit dieser eine Vertrauensstellung hat.

• StoreFront bietet nur Zugriff auf Backupbereitstellungen für dieNotfallwiederherstellung, wenn alle primären Sites im äquivalenten Bereitstellungssatznicht verfügbar sind. Wird eine Backupbereitstellung von mehreren äquivalentenBereitstellungssätzen verwendet, können Benutzer erst dann auf die Ressourcen für dieNotfallwiederherstellung zugreifen, wenn alle primären Sites in jedemBereitstellungssatz nicht verfügbar sind.


62

63

Installieren und Einrichten von StoreFront


Führen Sie die nachfolgend beschriebenen Schritte aus, um StoreFront zu installieren undzu konfigurieren.

1. Wenn Sie mit StoreFront XenDesktop-, XenApp- oder VDI-in-a-Box-Ressourcen fürBenutzer bereitstellen möchten, muss der StoreFront-Server Mitglied der MicrosoftActive Directory-Domäne sein, in der Konten der Benutzer sind oder in einer Domäne,die eine Vertrauensstellung mit der Domäne mit den Benutzerkonten hat.

Hinweis: StoreFront kann nicht auf einem Domänencontroller installiert werden.

2. Wenn Sie eine Multiserverbereitstellung konfigurieren möchten, können Sie optionalauch eine Lastausgleichsumgebung für Ihre StoreFront-Server einrichten.

Um NetScaler zum Lastausgleich zu verwenden, müssen Sie einen virtuellen Server alsProxyserver für die StoreFront-Server definieren. Weitere Informationen zumKonfigurieren von NetScaler für den Lastausgleich finden Sie unter Load BalancingTraffic on a NetScaler Appliance.

a. Stellen Sie sicher, dass der Lastausgleich auf dem NetScaler-Gerät aktiviert ist.

b. Erstellen Sie für jeden StoreFront-Server nach Bedarf individuelle HTTP- oderSSL-Lastausgleichsdienste. Verwenden Sie dazu den Monitortyp "StoreFront".

Weitere Informationen finden Sie unter Monitoring Citrix StoreFront Stores.

c. Konfigurieren Sie den Dienst so, dass die Client-IP-Adresse in den X-Forwarded-ForHTTP-Header von an StoreFront weitergeleitete Anfragen eingefügt wird und alleglobalen Richtlinien außer Kraft gesetzt werden.

Für StoreFront müssen die IP-Adressen von Benutzern mit ihren Ressourcenverbunden sein. Weitere Informationen finden Sie unter Inserting the IP Address ofthe Client in the Request Header.

d. Erstellen Sie einen virtuellen Server und binden Sie die Dienste an den virtuellenServer.

e. Konfigurieren Sie auf dem virtuellen Server die Persistenz auf Basis derQuell-IP-Adresse.

Durch Persistenz wird sichergestellt, dass nur für die anfänglicheBenutzerverbindung ein Lastausgleich stattfindet und nachfolgende Anfragen diesesBenutzers an denselben StoreFront-Server weitergeleitet werden. WeitereInformationen finden Sie unter Persistence Based on Source IP Address.

3. Nach Wunsch können Sie die folgenden Rollen und ihre Abhängigkeiten auf demStoreFront-Server aktivieren.

• Webserver (IIS) > Webserver > Allgemeine HTTP-Features > Standarddokument,HTTP-Fehler, Statischer Inhalt, HTTP-Umleitung

http://support.citrix.com/proddocs/topic/netscaler-getting-started-map-10-1/nl/de/ns-lb-wrapper.html

http://support.citrix.com/proddocs/topic/netscaler-getting-started-map-10-1/nl/de/ns-lb-wrapper.html

http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-1-map/nl/de/ns-lb-monitors-builtin-ctx-storefront-stores-tsk.html

http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-1-map/nl/de/ns-lb-advancedsettings-cip-tsk.html

http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-1-map/nl/de/ns-lb-advancedsettings-cip-tsk.html

http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-1-map/nl/de/ns-lb-persistence-configuring-source-ip-tsk.html

• Webserver (IIS) > Webserver > Integrität und Diagnose > HTTP-Protokollierung

• Webserver (IIS) > Webserver > Sicherheit > Anforderungsfilterung,Windows-Authentifizierung

• Auf Windows Server 2012-Servern:

Webserver (IIS) > Webserver > Anwendungsentwicklung > .NET-Erweiterbarkeit 4.5,Anwendungsinitialisierung, ASP.NET 4.5, ISAPI-Erweiterungen, ISAPI-Filter

Auf Windows Server 2008 R2-Servern:

Webserver (IIS) > Webserver > Anwendungsentwicklung > .NET-Erweiterbarkeit,Anwendungsinitialisierung, ASP.NET, ISAPI-Erweiterungen, ISAPI-Filter

• Webserver (IIS) > Verwaltungstools > IIS-Verwaltungskonsole, IIS-Verwaltungsskriptsund -tools

Aktivieren Sie optional auf Servern mit Windows Server 2012 die folgenden Features.

• .NET Framework 3.5-Features > .NET Framework 3.5

• .NET Framework 4.5-Features > .NET Framework 4.5, ASP.NET 4.5Aktivieren Sie optional auf Servern mit Windows Server 2008 R2 die folgenden Features.

• .NET Framework 3.5.1-Features > .NET Framework 3.5.1Das StoreFront-Installationsprogramm überprüft, ob alle oben genannten Rollen undFeatures aktiviert sind, und installiert diejenigen, die fehlen.

4. Installieren Sie StoreFront.

5. Wenn Sie die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPSsichern möchten, müssen Sie Microsoft-Internetinformationsdienste (IIS) für HTTPSkonfigurieren.

HTTPS ist für die Smartcardauthentifizierung erforderlich. Standardmäßig erfordertCitrix Receiver HTTPS-Verbindungen zu Stores. Sie können jederzeit nach derInstallation von StoreFront von HTTP zu HTTPS wechseln, vorausgesetzt, dieentsprechende IIS-Konfiguration ist vorhanden.

Zum Konfigurieren von IIS für HTTPS erstellen Sie mit der IIS-Verwaltungskonsole aufdem StoreFront-Server ein Serverzertifikat, das von Ihrer Domänenzertifizierungsstellesigniert wurde. Fügen Sie anschließend eine HTTPS-Bindung zur Standardwebsite hinzu.Weitere Informationen zum Erstellen eines Serverzertifikats in IIS finden Sie unterhttp://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. WeitereInformationen über das Hinzufügen von HTTPS Bindung zu einer IIS-Website finden Sieunter http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.

6. Stellen Sie sicher, dass Firewalls und andere Netzwerkgeräte Zugriff auf den TCP-Port80 oder 443 von innerhalb und außerhalb des Unternehmensnetzwerks gestatten.Stellen Sie außerdem sicher, dass Firewalls oder andere Geräte im internen Netzwerkkeinen Datenverkehr an nicht zugewiesene TCP-Ports blockieren.

Wenn Sie StoreFront installieren, wird eine Windows-Firewallregel konfiguriert, die denZugriff auf die ausführbare StoreFront-Datei über einen zufällig unter allen nichtreservierten Ports ausgewählten TCP-Port ermöglicht. Dieser Port wird für die

Installation und Einrichtung

64

http://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate

http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding

Kommunikation zwischen den StoreFront-Servern in einer Servergruppe verwendet.

7. Konfigurieren Sie den Server mit der Citrix StoreFront-Verwaltungskonsole.

Installation und Einrichtung

65

66

So installieren Sie StoreFront


1. Melden Sie sich mit einem Konto mit lokalen Administratorberechtigungen beiStoreFront an.

2. Navigieren Sie zum Installationsmedium oder Downloadpaket, suchen Sie die DateiCitrixStoreFront-x64.exe und führen Sie die Datei als Administrator aus.

Hinweis: Auf Servern mit Windows Server 2008 R2 wird möglicherweise eine Meldungangezeigt, die angibt, dass .NET 3.5.1 aktiviert wird. Wenn diese Meldung angezeigtwird, klicken Sie auf Ja.

3. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.

4. Wenn die Seite Voraussetzungen prüfen angezeigt wird, klicken Sie auf Weiter.

5. Prüfen Sie auf der Seite Bereit zur Installation die Voraussetzungen undStoreFront-Komponenten für die Installation und klicken Sie auf Installieren.

Vor der Installation der Komponenten werden die folgenden Rollen aktiviert, sofern sienicht bereits auf dem Server konfiguriert sind.

• Webserver (IIS) > Webserver > Allgemeine HTTP-Features > Standarddokument,HTTP-Fehler, Statischer Inhalt, HTTP-Umleitung

• Webserver (IIS) > Webserver > Integrität und Diagnose > HTTP-Protokollierung

• Webserver (IIS) > Webserver > Sicherheit > Anforderungsfilterung,Windows-Authentifizierung

• Auf Servern mit Windows Server 2012 und 2012 R2:

Webserver (IIS) > Webserver > Anwendungsentwicklung > .NET-Erweiterbarkeit 4.5,Anwendungsinitialisierung, ASP.NET 4.5, ISAPI-Erweiterungen, ISAPI-Filter

Auf Windows Server 2008 R2-Servern:

Webserver (IIS) > Webserver > Anwendungsentwicklung >.NET-Erweiterbarkeit 3.5.1, Anwendungsinitialisierung, ASP.NET 3.5.1,ISAPI-Erweiterungen, ISAPI-Filter

• Webserver (IIS) > Verwaltungstools > IIS-Verwaltungskonsole, IIS-Verwaltungsskriptsund -tools

Auf Servern mit Windows Server 2012 und Windows Server 2012 R2 werden zudem diefolgenden Features aktiviert, sofern sie nicht bereits konfiguriert sind.

• .NET Framework 4.5-Features > .NET Framework 4.5, ASP.NET 4.5Auf Servern mit Windows Server 2008 R2 werden zudem die folgenden Featuresaktiviert, sofern sie nicht bereits konfiguriert sind.

• .NET Framework 3.5.1-Features > .NET Framework 3.5.1

6. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen.

Die Citrix StoreFront-Verwaltungskonsole wird automatisch gestartet, damit Sie denServer konfigurieren können.

So installieren Sie StoreFront

67

68

So installieren Sie StoreFront über eineEingabeaufforderung



2. Navigieren Sie zum Installationsmedium oder Downloadpaket, suchen Sie die DateiCitrixStoreFront-x64.exe und kopieren Sie die Datei zu einem temporären Speicherortauf dem Server.

3. Navigieren Sie in der Befehlszeile zu dem Ordner mit der Installationsdatei und gebenSie den folgenden Befehl ein.

CitrixStoreFront-x64.exe [-silent] [-INSTALLDIR installationlocation] [-WINDOWS_CLIENT filelocation\filename.exe] [-MAC_CLIENT filelocation\filename.dmg]

Verwenden Sie das Argument -silent, um StoreFront und alle erforderlichenKomponenten ohne Benutzereingriff zu installieren. Standardmäßig wird StoreFrontunter C:\Program Files\Citrix\Receiver StoreFront\ installiert. Sie können einen anderenSpeicherort für die Installation mit dem Argument -INSTALLDIR und installationlocationals Verzeichnis, in dem StoreFront installiert wird, angeben.

Wenn eine Receiver für Web-Site Citrix Receiver auf einem Windows- oder Mac OSX-Gerät nicht erkennt, wird der Benutzer standardmäßig aufgefordert, die für seinePlattform geeignete Citrix Receiver-Version von der Citrix Website herunterzuladen undzu installieren. Sie können dieses Verhalten insofern ändern, dass Benutzer die CitrixReceiver-Installationsdateien von dem StoreFront-Server herunterladen. WeitereInformationen finden Sie unter So stellen Sie Citrix Receiver-Installationsdateien aufdem Server zur Verfügung.

Wenn Sie eine solche Konfigurationsänderung beabsichtigen, geben Sie die Argumente-WINDOWS_CLIENT und -MAC_CLIENT an, um die Installationsdateien für Receiver fürWindows und Receiver für Mac an den entsprechenden Speicherort in derStoreFront-Bereitstellung zu kopieren. Ersetzen Sie filelocation durch das Verzeichnis,das die zu kopierende Installationsdatei enthält, und filename durch den Namen derCitrix Receiver-Installationsdatei. Installationsdateien für Receiver für Windows undReceiver für Mac befinden sich auf dem StoreFront-Installationsmedium bzw. imDownloadpaket.

69

Konfigurieren von StoreFront


Beim ersten Start der Citrix StoreFront-Managementkonsole sind drei Optionen verfügbar.

• Neue Bereitstellung erstellen: Konfigurieren Sie den ersten StoreFront-Server in einerneuen StoreFront-Bereitstellung. Bereitstellungen mit einem Server sind ideal für dieEvaluierung von StoreFront oder für kleine Produktionsbereitstellungen. Nachdem Sieden ersten StoreFront-Server konfiguriert haben, können Sie jederzeit weitere Serverzur Gruppe hinzufügen, um die Kapazität der Bereitstellung zu erhöhen.

• Vorhandener Servergruppe beitreten: Fügen Sie einer vorhandenenStoreFront-Bereitstellung einen Server hinzu. Wählen Sie diese Option aus, um dieKapazität der StoreFront-Bereitstellung schnell zu erhöhen. Für Bereitstellungen mitmehreren Servern ist ein externer Lastausgleich erforderlich. Sie müssen auf einenvorhandenen Server in der Bereitstellung zugreifen, um einen neuen Serverhinzuzufügen.

70

So erstellen Sie eine neue Bereitstellung


1. Wenn die Citrix StoreFront-Verwaltungskonsole nach der Installation von StoreFrontnicht bereits geöffnet ist, klicken Sie auf der Windows-Startseite oder auf derApps-Seite auf die Kachel Citrix StoreFront.

2. Klicken Sie im Ergebnisbereich der Citrix StoreFront-Verwaltungskonsole auf NeueBereitstellung erstellen.

3. Geben Sie die URL des StoreFront-Servers oder der Lastausgleichsumgebung bei einerMultiserverbereitstellung in das Feld Basis-URL ein.

Wenn Sie noch keine Lastausgleichsumgebung eingerichtet haben, geben Sie dieServer-URL an. Sie können die URL für Ihre Bereitstellung später jederzeit ändern.Weitere Informationen finden Sie unter Konfigurieren von Servergruppen.

4. Klicken Sie auf Weiter, um den Authentifizierungsdienst einzurichten, über denBenutzer bei Microsoft Active Directory authentifiziert werden.

Wenn Sie die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPSsichern möchten, müssen Sie Microsoft Internetinformationsdienste (IIS) für HTTPSkonfigurieren. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendetStoreFront HTTP für die Kommunikation.

Standardmäßig erfordert Citrix Receiver HTTPS-Verbindungen zu Stores. WennStoreFront nicht für HTTPS konfiguriert ist, müssen Benutzer zusätzlicheKonfigurationsschritte ausführen, um HTTP-Verbindungen zu verwenden. HTTPS ist fürdie Smartcardauthentifizierung erforderlich. Sie können jederzeit nach demKonfigurieren von StoreFront von HTTP zu HTTPS wechseln, vorausgesetzt, dieentsprechende IIS-Konfiguration ist vorhanden. Weitere Informationen finden Sie unterKonfigurieren von Servergruppen.

5. Geben Sie auf der Seite Storename einen Namen für den Store an und klicken Sie aufWeiter.

In StoreFront-Stores werden Desktops und Anwendungen aggregiert und so denBenutzern zur Verfügung gestellt. Storenamen erscheinen in Citrix Receiver unter denKonten der Benutzer. Wählen Sie daher einen Namen, anhand dessen Benutzer denInhalt des Stores erkennen können.

6. Listen Sie auf der Seite Delivery Controller die Infrastruktur und die Ressourcen auf, dieSie im Store zur Verfügung stellen möchten. Zum Hinzufügen von Desktops undAnwendungen zu dem Store befolgen Sie das entsprechende Verfahren unten. Siekönnen Stores konfigurieren, die Ressourcen aus einer beliebigen Zusammenstellung vonXenDesktop-, XenApp- App Controller- und VDI-in-a-Box-Bereitstellungen bieten.Wiederholen Sie die Verfahren bei Bedarf, um alle Bereitstellungen, von Ressourcen fürden Store hinzuzufügen.

• So fügen Sie dem Store XenDesktop-, XenApp- und VDI-in-a-Box-Ressourcen hinzu

• So fügen Sie einem Store App Controller-Anwendungen hinzu

7. Wenn Sie dem Store alle erforderlichen Ressourcen hinzugefügt haben, klicken Sie aufder Seite Delivery Controller auf Weiter.

8. Geben Sie auf der Seite Remotezugriff an, ob und wie Benutzer, die eine Verbindungaus einem öffentlichen Netzwerk herstellen, über NetScaler Gateway auf den Storezugreifen können.

• Wählen Sie Kein aus, wenn der Store nicht für Benutzer in öffentlichen Netzwerkenverfügbar sein soll. Nur lokale Benutzer im internen Netzwerk können dann auf denStore zugreifen.

• Wenn Sie nur Ressourcen, die über den Store angeboten werden, über NetScalerGateway verfügbar machen möchten, wählen Sie Kein VPN-Tunnel aus. Benutzermelden sich direkt bei NetScaler Gateway an und müssen das NetScalerGateway-Plug-In nicht verwenden.

• Wählen Sie Vollständiger VPN-Tunnel aus, um den Store und alle andere Ressourcenim internen Netzwerk über einen SSL-VPN-Tunnel (SSL = Secure Sockets Layer, VPN= virtuelles privates Netzwerk) verfügbar zu machen. Benutzer benötigen dasNetScaler Gateway-Plug-In für das Erstellen des VPN-Tunnels.

Wenn Sie Remotezugriff auf den Store über NetScaler Gateway konfigurieren, wird diePassthrough-Authentifizierung von NetScaler Gateway automatisch aktiviert. Benutzerauthentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihre Storesautomatisch angemeldet.

9. Listen Sie die NetScaler Gateway-Bereitstellungen auf, durch die Benutzer auf denStore zugreifen können, wenn Sie Remotezugriff aktiviert haben. Zum Hinzufügen einerNetScaler Gateway-Bereitstellung folgen Sie dem entsprechenden Verfahren unten.Wiederholen Sie die Schritte bei Bedarf, um weitere Bereitstellungen hinzuzufügen.

• So konfigurieren Sie Remotezugriff auf den Store über ein NetScaler Gateway-Gerät

• So stellen Sie Remotezugriff auf den Store über einen Access Gateway 5.0-Clusterbereit

10. Wenn alle NetScaler Gateway-Bereitstellungen hinzugefügt sind, wählen Sie in der ListeNetScaler Gateway-Geräte die Bereitstellungen aus, über die Benutzer auf den Storezugreifen können. Wenn Sie Zugriff über mehrere Bereitstellungen aktivieren, geben Siedie Standardbereitstellung für den Zugriff auf den Store an.

11. Klicken Sie auf der Seite Remotezugriff auf Erstellen. Nach dem Erstellen des Storesklicken Sie auf Fertig stellen.

Nach dem Erstellen des Stores sind weitere Optionen in der CitrixStoreFront-Verwaltungskonsole verfügbar. Weitere Informationen finden Sie unterVerwalten der StoreFront-Bereitstellung.

Der Store steht jetzt für den Zugriff durch Benutzer über Citrix Receiver zur Verfügung.Citrix Receiver muss mit den Zugriffsinformationen für den Store konfiguriert werden. Esgibt eine Reihe von Methoden der Bekanntgabe dieser Informationen an die Benutzer,sodass Sie diesen die Konfiguration erleichtern können. Weitere Informationen finden Sieunter Benutzerzugriffsoptionen.

Alternativ können Benutzer auf den Store über Receiver für Web-Site zugreifen und somitüber eine Webseite auf ihre Desktops und Anwendungen zugreifen. Die URL, über die


71

Benutzer auf die Receiver für Web-Site für den Store zugreifen, wird angezeigt, wenn Sieden Store erstellen.

Wenn Sie einen neuen Store erstellen, wird die XenApp Services-URL standardmäßigaktiviert. Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, aufdenen Citrix Desktop Lock ausgeführt wird, sowie Benutzer mit älteren Citrix Clients, dienicht aktualisiert werden können, können über die XenApp-Services-URL direkt auf Storeszugreifen. Die XenApp Services-URL für den Store hat das Formathttp[s]://serveraddress/Citrix/storename/PNAgent/config.xml, wobei serveraddress dervollqualifizierte Domänenname des Servers oder der Lastausgleichsumgebung für dieStoreFront-Bereitstellung ist und storename der für den Store in Schritt 5 angegebeneName.

Sie können sekundäre Server hinzufügen, indem Sie die Option zum Beitreten bei einervorhandenen Servergruppe auswählen, wenn Sie weitere Instanzen von StoreFrontinstallieren.


72

73

So fügen Sie dem Store XenDesktop-,XenApp- und VDI-in-a-Box-Ressourcenhinzu


Führen Sie die folgenden Schritte aus, um von XenDesktop-, XenApp- und VDI-in-a-Boxbereitgestellte Desktops und Anwendungen in dem Store verfügbar zu machen, den Sie alsTeil der Erstkonfiguration des StoreFront-Servers erstellen. Es wird davon ausgegangen,dass Sie die Schritte 1 bis 6 in So erstellen Sie eine neue Bereitstellungdurchgeführt haben.

1. Klicken Sie auf der Seite Delivery Controller des Assistenten zum Erstellen von Storesauf Hinzufügen.

2. Geben Sie im Dialogfeld Delivery Controller hinzufügen einen Namen an, über den Siedie Bereitstellung identifizieren können, und geben Sie an, ob die Ressourcen, die Sieüber den Store verfügbar machen möchten, von XenDesktop, XenApp oder VDI-in-a-Boxbereitgestellt werden.

3. Fügen Sie der Liste Server die Namen oder IP-Adressen der Server hinzu. Geben Sie ausGründen der Fehlertoleranz mehrere Server an und führen Sie die Server dabei in derReihenfolge ihrer Priorität auf, um die Failover-Reihenfolge festzulegen. Geben Sie fürXenDesktop-Sites die Details der Delivery Controller an. Listen Sie für XenApp-FarmenServer auf, auf denen der Citrix XML-Dienst ausgeführt wird. Zum Hinzufügen vonVDI-in-a-Box-Rastern geben Sie entweder die rasterweite virtuelle IP-Adresse, sofernkonfiguriert, oder die Liste der IP-Adressen der Server an.

4. Wählen Sie aus der Liste Transporttyp die Verbindungstypen für StoreFront aus, die fürdie Kommunikation mit den Servern verwendet werden sollen.

• Wählen Sie HTTP aus, wenn Daten über unverschlüsselte Verbindungen gesendetwerden sollen. Bei Auswahl dieser Option müssen Sie eigene Maßnahmen treffen,um die Verbindungen zwischen StoreFront und den Servern zu sichern.

• Wählen Sie HTTPS aus, um Daten über sichere HTTP-Verbindungen mit SSL (SecureSockets Layer) oder TLS (Transport Layer Security) zu senden. Wenn Sie dieseOption für XenDesktop- oder XenApp-Server auswählen, vergewissern Sie sich, dassder Citrix XML-Dienst so konfiguriert ist, dass der Port gemeinsam mitInternetinformationsdienste (IIS) verwendet wird und in der IIS-KonfigurationHTTPS-Unterstützung festgelegt wurde.

• Wählen Sie SSL-Relay aus, um Daten über sichere Verbindungen an XenApp-Serverzu senden. SSL-Relay übernimmt die Hostauthentifizierung undDatenverschlüsselung.

Hinweis: Wenn Sie die Verbindungen zwischen StoreFront und den Servern mit HTTPS oder SSL-Relay sichern, achten Sie darauf, dass die in der Liste Server eingegebenen Servernamen genau mit den Namen in den Zertifikaten für die Server

übereinstimmen. Dies gilt auch für die Groß- und Kleinschreibung.

5. Geben Sie den Port an, den StoreFront für Verbindungen mit den Servern verwendensoll. Der Standardport ist 80 für Verbindungen über HTTP und SSL-Relay bzw. 443 fürHTTPS-Verbindungen. Bei XenDesktop- und XenApp-Servern muss der angegebene Portdem vom Citrix XML-Dienst verwendeten Port entsprechen.

6. Wenn Sie SSL-Relay verwenden, um Verbindungen zwischen StoreFront undXenApp-Servern zu sichern, geben Sie den TCP-Port für SSL-Relay im FeldSSL-Relay-Port an. Der Standardwert ist 443. Stellen Sie sicher, dass alle Server, aufdenen SSL-Relay ausgeführt wird, denselben Port überwachen.

Sie können Stores konfigurieren, die Ressourcen aus einer beliebigen Zusammenstellung vonXenDesktop-, XenApp- App Controller- und VDI-in-a-Box-Bereitstellungen bieten. ZumHinzufügen weiterer XenDesktop-Sites, XenApp-Farmen oder VDI-in-a-Box-Rasterwiederholen Sie das o. g. Verfahren. Wenn Sie Anwendungen, die von App Controllerverwaltet werden, im Store verfügbar machen möchten, befolgen Sie die Schritte unter Sofügen Sie einem Store App Controller-Anwendungen hinzu. Wenn Sie alle erforderlichenRessourcen hinzugefügt haben, fahren Sie mit Schritt 7 unter So erstellen Sie eine neueBereitstellung fort.

So fügen Sie dem Store XenDesktop-, XenApp- und VDI-in-a-Box-Ressourcen hinzu

74

75

So fügen Sie einem Store AppController-Anwendungen hinzu


Führen Sie die folgenden Schritte aus, um mit App Controller verwaltete Anwendungen indem Store verfügbar zu machen, den Sie als Teil der Erstkonfiguration desStoreFront-Servers erstellen. Es wird davon ausgegangen, dass Sie die Schritte 1 bis 6 in Soerstellen Sie eine neue Bereitstellungdurchgeführt haben.

1. Klicken Sie auf der Seite Delivery Controller des Assistenten zum Erstellen von Storesauf Hinzufügen.

2. Geben Sie im Dialogfeld Delivery Controller hinzufügen einen Namen zum Identifizierendes virtuellen App Controller-Geräts an, das die Anwendungen, die Sie im Store zurVerfügung stellen möchten, verwaltet. Stellen Sie sicher, dass der Name keineLeerzeichen enthält. Aktivieren Sie die Option AppController.

3. Geben Sie den Namen oder die IP-Adresse eines virtuellen App Controller-Geräts imFeld Server ein und geben Sie den Port an, der von StoreFront für Verbindungen mit AppController verwendet werden soll. Der Standardwert ist 443.

Sie können Stores konfigurieren, die Ressourcen aus einer beliebigen Zusammenstellung vonXenDesktop-, XenApp- App Controller- und VDI-in-a-Box-Bereitstellungen bieten. ZumHinzufügen von Anwendungen, die von anderen virtuellen App Controller-Geräten verwaltetwerden, wiederholen Sie das Verfahren oben. Wenn Sie Desktops und Anwendungen, die vonXenDesktop, XenApp oder VDI-in-a-Box bereitgestellt werden, im Store verfügbar machenmöchten, befolgen Sie die Schritte unter So fügen Sie dem Store XenDesktop-, XenApp- undVDI-in-a-Box-Ressourcen hinzu. Wenn Sie alle erforderlichen Ressourcen hinzugefügt haben,fahren Sie mit Schritt 7 unter So erstellen Sie eine neue Bereitstellung fort.

76

So konfigurieren Sie Remotezugriff aufden Store über ein NetScalerGateway-Gerät


Führen Sie die folgenden Schritte aus, um Remotezugriff über ein NetScaler Gateway-Gerätauf den Store zu konfigurieren, den Sie als Teil der Erstkonfiguration des StoreFront-Serverserstellt haben. Es wird davon ausgegangen, dass Sie die Schritte 1 bis 9 unter So erstellenSie eine neue Bereitstellungdurchgeführt haben.

1. Klicken Sie auf der Seite Remotezugriff des Assistenten zum Erstellen von Stores aufHinzufügen.

2. Geben im Dialogfeld NetScaler Gateway-Gerät hinzufügen einen Namen für das Gerätan, über den die Benutzer dieses identifizieren können.

Benutzern wird der Anzeigename angezeigt, den Sie in Citrix Receiver angegebenhaben. Nehmen Sie deshalb relevante Informationen in den Namen auf, damit Benutzerleichter entscheiden können, ob sie das Gerät verwenden möchten. Beispielsweisekönnen Sie den geographischen Standort in die Anzeigenamen der NetScalerGateway-Bereitstellungen einfügen, damit Benutzer problemlos das beste Gateway fürihren Standort identifizieren können.

3. Geben Sie die URL des virtuellen Servers oder Benutzeranmeldepunkts (für AccessGateway 5.0) für das Gerät an. Geben Sie die Produktversion in Ihrer Bereitstellung an.

Der vollqualifizierte Domänenname (FQDN) für die StoreFront-Bereitstellung musseindeutig sein und darf nicht dem vollqualifizierten Domänennamen des virtuellenNetScaler Gateway-Servers entsprechen. Das Verwenden des selben vollqualifiziertenDomänennamens für StoreFront und den virtuellen NetScaler Gateway-Server wird nichtunterstützt.

4. Wenn Sie ein Access Gateway 5.0-Gerät hinzuzufügen, wählen Sie aus der ListeBereitstellungsmodus die Option Gerät aus. Andernfalls und geben Sie ggf. dieSubnetz-IP-Adresse des NetScaler Gateway-Geräts an. Eine Subnetz IP-Adresse ist fürAccess Gateway 9.3-Geräte erforderlich, aber für neuere Produktversionen optional.

Die Subnetzadresse ist die IP-Adresse, durch die NetScaler Gateway für dieKommunikation mit Servern im internen Netzwerk das Benutzergerät darstellt. Dieskann es sich auch die zugeordnete IP-Adresse des NetScaler Gateway-Geräts sein. Wennangegeben, verwendet StoreFront die Subnetz-IP-Adresse, um zu überprüfen, obeingehende Anfragen von einem vertrauenswürdigen Gerät stammen.

5. Wenn Sie ein Gerät mit NetScaler Gateway 10.1, Access Gateway 10 oder AccessGateway 9.3 hinzufügen, wählen Sie aus der Liste Anmeldetyp dieAuthentifizierungsmethode aus, die Sie auf dem Gerät für Benutzer von Citrix Receiverkonfiguriert haben.

Die von Ihnen angegebenen Informationen über die Konfiguration des NetScalerGateway-Geräts wird der Provisioningdatei für den Store hinzugefügt. Dies ermöglicht,dass Citrix Receiver die entsprechende Verbindungsanforderung schickt, wenn das Gerätzum ersten Mal kontaktiert wird.

• Wenn Benutzer die Domänenanmeldeinformationen für Microsoft Active Directoryeingeben müssen, wählen Sie Domäne.

• Wählen Sie Sicherheitstoken aus, wenn Benutzer einen Tokencode von einemSicherheitstoken eingeben müssen.

• Wählen Sie Domäne und Sicherheitstoken aus, wenn Benutzer ihreDomänenanmeldeinformationen und einen Tokencode von einem Sicherheitstokeneingeben müssen.

• Wählen Sie SMS-Authentifizierung aus, wenn Benutzer ein in einer Textnachrichtgesendetes, einmaliges Kennwort eingeben müssen.

• Wenn Benutzer eine Smartcard vorlegen und eine PIN eingeben müssen, wählen SieSmartcard.

Wenn Sie die Smartcardauthentifizierung mit einer sekundärenAuthentifizierungsmethode konfigurieren, auf die Benutzer zurückgreifen können, wennes Probleme mit den Smartcards gibt, wählen Sie die sekundäreAuthentifizierungsmethode aus der Liste Smartcard-Fallback.

6. Geben Sie die URL des NetScaler Gateway-Authentifizierungsdiensts in das FeldCallback-URL ein. StoreFront hängt automatisch den Standardteil der URL an. KlickenSie auf Weiter.

Geben Sie die intern zugängliche URL des Geräts ein. StoreFront kontaktiert denNetScaler Gateway-Authentifizierungsdienst, um zu überprüfen, ob von NetScalerGateway empfangene Anforderungen auch tatsächlich von diesem Gerät ausgehen.

7. Wenn Sie Ressourcen von XenDesktop, XenApp oder VDI-in-a-Box im Store verfügbarmachen, listen Sie auf der Seite Secure Ticket Authority (STA) URLs für Server auf, aufdenen die STA ausgeführt wird. Geben Sie aus Gründen der Fehlertoleranz URLs fürmehrere STAs ein und führen Sie die Server dabei in der Reihenfolge ihrer Priorität auf,um die Failoversequenz festzulegen. Wenn Sie eine rasterweite virtuelle IP-Adresse fürdie VDI-in-a-Box-Bereitstellung konfiguriert haben, müssen Sie nur diese Adresseangeben, um die Fehlertoleranz zu ermöglichen.

Wichtig: STA-URLs für VDI-in-a-Box müssen im Dialogfeld Secure Ticket Authority-URLhinzufügen im Format https://serveraddress/dt/sta eingegeben werden, dabei istserveraddress ist der FQDN oder die IP-Adresse des VDI-in-a-Box-Servers oder dierasterweite virtuelle IP-Adresse.

Die STA wird auf XenDesktop-, XenApp- und VDI-in-a-Box-Servern gehostet und gibtSitzungstickets als Reaktion auf Verbindungsanforderungen aus. Auf diesenSitzungstickets basiert die Authentifizierung und Autorisierung für den Zugriff aufRessource von XenDesktop, XenApp und VDI-in-a-Box.

8. Aktivieren Sie das Kontrollkästchen Sitzungszuverlässigkeit aktivieren, wennXenDesktop, XenApp und VDI-in-a-Box getrennte Sitzungen aufrechterhalten sollen,während Citrix Receiver eine automatische Wiederverbindung versucht. Aktivieren Siedas Kontrollkästchen Tickets von zwei Secure Ticket Authoritys anfordern (fallsverfügbar), wenn Sie mehrere STAs konfiguriert haben und sicherstellen möchten, dass

So konfigurieren Sie Remotezugriff auf den Store über ein NetScaler Gateway-Gerät

77

Sitzungszuverlässigkeit immer gegeben ist.

Wenn das Kontrollkästchen Tickets von zwei Secure Ticket Authoritys anfordern (fallsverfügbar) aktiviert ist, ruft StoreFront Tickets von zwei verschiedenen Secure TicketAuthoritys ab, damit Benutzersitzungen nicht unterbrochen werden, wenn eine SecureTicket Authority während der Sitzung ausfällt. Wenn StoreFront aus irgendeinem Grundkeine Verbindung zu zwei Secure Ticket Authoritys herstellen kann, wird automatischnur eine Secure Ticket Authority verwendet.

9. Klicken Sie auf Erstellen, um die NetScaler Gateway-Bereitstellung der Liste auf derSeite Remotezugriff hinzuzufügen.

Zum Hinzufügen weiterer Bereitstellungen wiederholen Sie das o. g. Verfahren. ZumKonfigurieren von Remotezugriff auf den Store über Access Gateway 5.0-Cluster folgen Sieden Schritten unter So stellen Sie Remotezugriff auf den Store über einen Access Gateway5.0-Cluster bereit. Wenn Sie alle NetScaler Gateway-Bereitstellungen hinzugefügt haben,kehren Sie zu Schritt 10 unter So erstellen Sie eine neue Bereitstellung zurück.

So konfigurieren Sie Remotezugriff auf den Store über ein NetScaler Gateway-Gerät

78

79

So stellen Sie Remotezugriff auf denStore über einen Access Gateway5.0-Cluster bereit


Führen Sie die folgenden Schritte aus, um Remotezugriff über einen Access Gateway5.0-Cluster auf den Store zu konfigurieren, den Sie als Teil der Erstkonfiguration desStoreFront-Servers erstellt haben. Es wird davon ausgegangen, dass Sie die Schritte 1 bis 9unter So erstellen Sie eine neue Bereitstellungdurchgeführt haben.

1. Klicken Sie auf der Seite Remotezugriff des Assistenten zum Erstellen von Stores aufHinzufügen.

2. Geben im Dialogfeld NetScaler Gateway-Gerät hinzufügen einen Namen für den Clusteran, über den die Benutzer diesen identifizieren können.

Benutzern wird der Anzeigename angezeigt, den Sie in Citrix Receiver angegebenhaben. Nehmen Sie deshalb relevante Informationen in den Namen auf, damit Benutzerleichter entscheiden können, ob sie den Cluster verwenden möchten. Beispielsweisekönnen Sie den geographischen Standort in die Anzeigenamen der NetScalerGateway-Bereitstellungen einfügen, damit Benutzer problemlos das beste Gateway fürihren Standort identifizieren können.

3. Geben Sie die URL des Benutzeranmeldepunkts für den Cluster ein, und wählen Sie ausder Liste Version die Option 5.x aus.

4. Wählen Sie in der Liste Bereitstellungsmodus die Option Access Controller und klickenSie auf Weiter.

5. Listen Sie auf der Seite Geräte die IP-Adressen oder vollqualifizierten Domänennamen(FQDNs) der Geräte im Cluster auf und klicken Sie auf Weiter.

6. Listen Sie auf der Seite Authentifizierung ohne Benutzereingriff aktivieren die URLs fürden Authentifizierungsdienst, der auf den Access Controller-Servern ausgeführt wird,auf. Geben zur Aktivierung der Fehlertoleranz URLs mehrerer Server ein und führen Siedie Server dabei in der Reihenfolge ihrer Priorität auf, um die Failoversequenzfestzulegen. Klicken Sie auf Weiter.

StoreFront authentifiziert Remotebenutzer über den Authentifizierungsdienst, damit sieihre Anmeldeinformationen nicht neu eingeben müssen, wenn sie auf Stores zugreifen.

7. Wenn Sie Ressourcen von XenDesktop, XenApp oder VDI-in-a-Box im Store verfügbarmachen, listen Sie auf der Seite Secure Ticket Authority (STA) URLs für Server auf, aufdenen die STA ausgeführt wird. Geben Sie aus Gründen der Fehlertoleranz URLs fürmehrere STAs ein und führen Sie die Server dabei in der Reihenfolge ihrer Priorität auf,um die Failoversequenz festzulegen. Wenn Sie eine rasterweite virtuelle IP-Adresse fürdie VDI-in-a-Box-Bereitstellung konfiguriert haben, müssen Sie nur diese Adresse

angeben, um die Fehlertoleranz zu ermöglichen.

Wichtig: Secure Ticket Authority-URLs für VDI-in-a-Box müssen im Formathttps://serveraddress/dt/sta im Dialogfeld Secure Ticket Authority-URL hinzufügeneingegeben werden, wobei serveraddress der vollqualifizierte Domänenname (FQDN)oder die IP-Adresse des VDI-in-a-Box-Servers oder die rasterweite virtuelle IP-Adresseist.

Die STA wird auf XenDesktop-, XenApp- und VDI-in-a-Box-Servern gehostet und gibtSitzungstickets als Reaktion auf Verbindungsanforderungen aus. Auf diesenSitzungstickets basiert die Authentifizierung und Autorisierung für den Zugriff aufRessource von XenDesktop, XenApp und VDI-in-a-Box.

8. Aktivieren Sie das Kontrollkästchen Sitzungszuverlässigkeit aktivieren, wennXenDesktop, XenApp und VDI-in-a-Box getrennte Sitzungen aufrechterhalten sollen,während Citrix Receiver eine automatische Wiederverbindung versucht. Aktivieren Siedas Kontrollkästchen Tickets von zwei Secure Ticket Authoritys anfordern (fallsverfügbar), wenn Sie mehrere STAs konfiguriert haben und sicherstellen möchten, dassSitzungszuverlässigkeit immer gegeben ist.



Zum Hinzufügen weiterer Cluster wiederholen Sie das o. g. Verfahren. Zum Konfigurierenvon Remotezugriff auf den Store über NetScaler Gateway 10.1, Access Gateway 10, AccessGateway 9.3 oder ein einzelnes Access Gateway 5.0-Gerät folgen Sie den Schritten unter Sokonfigurieren Sie Remotezugriff auf den Store über ein NetScaler Gateway-Gerät. Wenn Siealle NetScaler Gateway-Bereitstellungen hinzugefügt haben, kehren Sie zu Schritt 10 unterSo erstellen Sie eine neue Bereitstellung zurück.

So stellen Sie Remotezugriff auf den Store über einen Access Gateway 5.0-Cluster bereit

80

81

So fügen Sie einer vorhandenenServergruppe einen Server hinzu


Vor der Installation von StoreFront stellen Sie sicher, dass auf dem Server, den Sie derGruppe hinzufügen, die gleiche Betriebssystemversion mit dem gleichen Gebietsschemaausgeführt wird, wie auf den anderen Servern in der Gruppe. StoreFront-Servergruppen mitunterschiedlichen Betriebssystemversionen und Gebietsschemas werden nicht unterstützt.Außerdem müssen Sie sicherstellen, dass der relative Pfad zu StoreFront in IIS auf demServer, den Sie hinzufügen, mit dem auf den anderen Servern in der Gruppe identisch ist.

Wichtig: Wenn Sie einer Servergruppe einen neuen Server hinzufügen, werdenStoreFront-Dienstkonten als Mitglieder der lokalen Administratorgruppe auf dem neuenServer hinzugefügt. Für diese Dienste sind lokalen Administratorberechtigungenerforderlich, um der Servergruppe beizutreten und für die Synchronisierung. Wenn Sieeine Gruppenrichtlinie verwenden, die verhindert, dass der lokalenAdminstratorengruppe neue Mitglieder hinzugefügt werden können, bzw. wenn Sie dieBerechtigungen der lokalen Adminstratorengruppe auf den Servern einschränken, kannStoreFront nicht der Servergruppe beitreten.

1. Wenn die Citrix StoreFront-Verwaltungskonsole nach der Installation von StoreFrontnicht bereits geöffnet ist, klicken Sie auf der Windows-Startseite oder auf derApps-Seite auf die Kachel Citrix StoreFront.

2. Klicken Sie im Ergebnisbereich der Citrix StoreFront-Verwaltungskonsole aufVorhandener Servergruppe beitreten.

3. Melden Sie sich bei einem Server in der StoreFront-Bereitstellung an, der Sie den Serverhinzufügen möchten, und öffnen Sie die Citrix StoreFront-Verwaltungskonsole. WählenSie im linken Bereich der Konsole den Knoten Servergruppe aus und klicken Sie imBereich Aktionen auf Server hinzufügen. Notieren Sie sich den angezeigtenAutorisierungscode.

4. Kehren Sie zum neuen Server zurück und geben Sie im Dialogfeld Servergruppebeitreten den Namen des vorhandenen Servers im Feld Autorisierungsserver an. GebenSie den vom primären Server erhaltenen Autorisierungscode ein und klicken Sie aufBeitreten.

Nach dem Beitritt zu der Gruppe wird die Konfiguration des neuen Servers aktualisiert,damit sie mit der des vorhandenen Servers identisch ist. Alle anderen Server in derGruppe werden mit den Informationen des neuen Servers aktualisiert.

Verwenden Sie zur Verwaltung einer Multiserverbereitstellung jeweils nur einen Server, umÄnderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dassdie Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellungausgeführt wird. Alle vorgenommenen Konfigurationsänderungen müssen an die anderenServer der Gruppe weitergegeben werden, damit eine konsistente Konfiguration dergesamten Bereitstellung gewährleistet ist.

82

So deinstallieren Sie StoreFront


Neben dem Produkt selbst werden bei der Deinstallation von StoreFront derAuthentifizierungsdienst, die Stores, Receiver für Web-Sites, Desktopgerätesites sowieXenApp Services-URLs und die zugeordneten Konfigurationen entfernt. DerAbonnementstoredienst, der die Anwendungsabonnementdaten der Benutzer enthält, wirdebenfalls gelöscht. Bei Einzelserverbereitstellungen bedeutet dies, dass die Details zu denAnwendungsabonnements der Benutzer verloren gehen. Bei Multiserverbereitstellungenwerden diese Daten jedoch auf den anderen Servern der Gruppe beibehalten. ErforderlicheKomponenten, die vom StoreFront-Installationsprogramm aktiviert werden, z. B. .NETFramework-Features und die Webserver (IIS)-Rollendienste, werden nicht vom Serverentfernt, wenn StoreFront deinstalliert wird.


2. Navigieren Sie auf der Windows-Startseite oder auf der Apps-Seite zur Kachel CitrixStoreFront. Klicken Sie mit der rechten Maustaste auf die Kachel und klicken Sie aufDeinstallieren.

3. Wählen Sie im Dialogfeld Programme und Funktionen Citrix StoreFront aus und klickenSie auf Deinstallieren, um alle StoreFront-Komponenten vom Server zu entfernen.

4. Klicken Sie im Dialogfeld Citrix StoreFront deinstallieren auf Ja. Wenn die Deinstallationabgeschlossen ist, klicken Sie auf OK.

83

Aktualisieren von StoreFront


Zum Durchführen eines Upgrades einer StoreFront 2.0-Bereitstellung auf StoreFront 2.1führen Sie die StoreFront 2.1-Installationsdatei aus. Sie können kein direktes Upgrade vonStoreFront 1.2 auf StoreFront 2.1 durchführen. Stattdessen müssen Sie zunächst einUpgrade von StoreFront 1.2 auf StoreFront 2.0 und dann das Upgrade auf StoreFront 2.1durchführen. Ebenso können Sie kein direktes Upgrade von Receiver StoreFront 1.1 aufStoreFront 2.0 oder StoreFront 2.1 durchführen. Sie müssen zunächst ein Upgrade vonReceiver StoreFront 1.1 auf StoreFront 1.2 durchführen, dann ein Upgrade aufStoreFront 2.0 und schließlich auf StoreFront 2.1.

Weitere Informationen zum Upgrade von StoreFront 1.2 auf StoreFront 2.0 erhalten Sie inden folgenden Videos, in denen Lead Readiness Specialist Allen Furmanski Sie durch denUpgradeprozess führt.

None

None

Der Upgradeprozess kann nach dem Start nicht mehr rückgängig gemacht werden. Wenn dasUpgrade unterbrochen wird oder nicht abgeschlossen werden kann, wird die vorhandeneKonfiguration entfernt, StoreFront jedoch nicht installiert. Bevor Sie mit dem Upgradebeginnen, müssen Sie alle Benutzerverbindungen mit der StoreFront-Bereitstellung trennenund verhindern, dass neue Benutzer sich an den Servern anmelden, während das Upgradedurchgeführt wird. So wird sichergestellt, dass das Installationsprogramm während desUpgrades auf alle StoreFront-Dateien zugreifen kann. Kann das Installationsprogramm aufeine Datei nicht zugreifen, dann kann sie nicht ersetzt werden und das Upgrade schlägtfehl, wodurch die vorhandene StoreFront-Konfiguration entfernt wird. StoreFront bietetkeine Unterstützung für Multiserverbereitstellungen mit mehreren Produktversionen. Dahermüssen alle Server einer Gruppe gleichzeitig aktualisiert werden. Citrix empfiehlt, dass Sievor dem Upgrade eine Sicherungskopie des Datenspeichers anlegen.

Bei der Deinstallation von StoreFront werden Authentifizierungsdienst, Stores, dieAnwendungsabonnements der Benutzer, Receiver für Web-Sites, Desktopgerätesites undXenApp Services-URLs entfernt. Wenn Sie also StoreFront deinstallieren, müssen Sie denDienst, die Stores und Sites manuell neu erstellen, wenn Sie StoreFront neu installieren.Durch ein Upgrade können Sie die StoreFront-Konfiguration beibehalten. Darüber hinausbleiben die Anwendungsabonnementdaten erhalten, sodass Benutzer nicht alle ihreAnwendungen neu abonnieren müssen.

Das Aktualisieren des Betriebssystems eines Servers, auf dem StoreFront ausgeführt wird,wird nicht unterstützt. Citrix empfiehlt die Installation von StoreFront auf einer neuenInstallation des Betriebssystems.

So führen Sie ein Upgrade von StoreFront 2.0 aufStoreFront 2.1 durch

1. Wenn Sie ein Upgrade einer Multiserverbereitstellung durchführen, deaktivieren Sie denZugriff auf die StoreFront-Bereitstellung über die Lastausgleichsumgebung.

Durch Deaktivieren der Lastausgleichs-URL wird verhindert, dass Benutzer während desUpgrades eine Verbindung zu der Bereitstellung herstellen. Alle Server einerMultiserverbereitstellung müssen gleichzeitig aktualisiert werden.

2. Starten Sie den StoreFront-Server neu.

Das Neustarten des Servers stellt sicher, dass alle Dateisperren aufgehoben werden undkeine Windows-Updates ausstehen.

3. Führen Sie die StoreFront-Installationsdatei als Administrator aus.

4. Starten Sie den StoreFront-Server neu und überprüfen Sie, ob alle StoreFront-Diensteausgeführt werden.

Das Neustarten des Servers stellt sicher, dass alle Caches geleert werden und dieStoreFront-Dienste neu gestartet werden.

5. Wenn Sie ein Upgrade einer StoreFront-Multiserverbereitstellung durchführen,wiederholen Sie die Schritte 2, 3 und 4 für alle übrigen Server in der Bereitstellung.

Wichtig: Stellen Sie sicher, dass das Upgrade des aktuellen Servers beendet ist, bevorSie mit dem Upgrade des nächsten Servers beginnen. InStoreFront-Multiserverbereitstellungen müssen die Server nacheinander aktualisiertwerden. Das parallele Upgrade von mehreren Servern wird nicht unterstützt und kannzu Konfigurationskonflikten führen, die Stores, Sites und Dienste außer Betriebsetzen.

Wenn das Upgrade des letzten Servers in der Bereitstellung abgeschlossen ist, wird vonStoreFront automatisch die Konfiguration aller anderen Server in der Bereitstellung aufdie des letzten Servers aktualisiert.

6. Öffnen Sie bei StoreFront-Multiserverbereitstellungen auf jedem Server in derBereitstellung die Ereignisanzeige und navigieren Sie im linken Bereich zu Anwendungs-und Dienstprotokolle > Citrix Delivery Services. Suchen Sie Ereignisse, die vom CitrixAbonnementstoredienst mit einer Ereignis-ID von 3 und einer Aufgabenkategorie von2901 protokolliert wurde. Stellen Sie bevor Sie fortfahren sicher, dass für jeden Storeauf jedem Server in der Bereitstellung ein Eintrag protokolliert wurde.

7. Wenn Sie ein Upgrade einer StoreFront-Multiserverbereitstellung durchführen, stellenSie den Zugriff auf die Bereitstellung über die Lastausgleichs-URL wieder her.

Upgrade

84

So führen Sie ein Upgrade von StoreFront 1.2 aufStoreFront 2.0 durch

1. Wenn Sie ein Upgrade einer Multiserverbereitstellung durchführen, deaktivieren Sie denZugriff auf die StoreFront-Bereitstellung über die Lastausgleichsumgebung.

Durch Deaktivieren der Lastausgleichs-URL wird verhindert, dass Benutzer während desUpgrades eine Verbindung zu der Bereitstellung herstellen. Alle Server einerMultiserverbereitstellung müssen gleichzeitig aktualisiert werden.

2. Starten Sie den StoreFront-Server neu.

Das Neustarten des Servers stellt sicher, dass alle Dateisperren aufgehoben werden undkeine Windows-Updates ausstehen.

3. Ist Receiver für HTML5 auf dem StoreFront-Server installiert, verwenden Sie das ToolCitrix HTML5 HDX Engine Configuration zum Entfernen von Receiver für HTML5 von allenReceiver für Web-Sites, für die Receiver für HTML5 konfiguriert ist. Deinstallieren SieReceiver für HTML5 über das Windows-Dialogfeld Programme und Funktionen, bevor Siefortfahren.

Receiver für HTML5 unterstützt keine direkten Upgrades. Mit derStoreFront-Installationsdatei kann daher kein Upgrade auf Servern mit Receiver fürHTML5 durchgeführt werden. Weitere Informationen finden Sie unter Receiver fürHTML5.

Nachdem Sie die StoreFront-Bereitstellung aktualisiert haben, müssen Sie die Receiverfür HTML5-Konfiguration für die Receiver für Web-Sites mit der CitrixStoreFront-Managementkonsole manuell neu erstellen. Weitere Informationen zumKonfigurieren von Receiver für HTML5 finden Sie unter Konfigurieren von Receiver fürWeb-Sites.

4. Stellen Sie sicher, dass die Windows-Firewall auf dem StoreFront-Server ausgeführt wirdund führen Sie dann die StoreFront-Installationsdatei als Administrator aus.

Für das Upgrade von StoreFront muss die Windows-Firewall ausgeführt werden. DieWindows-Firewall kann aktiviert oder deaktiviert sein, solange der Dienst ausgeführtwird. Wenn die Erstkonfiguration abgeschlossen ist, kann der Windows-Firewalldienstbei Bedarf deaktiviert werden. Weitere Informationen zur Installation von StoreFrontfinden Sie unter Installieren und Einrichten von StoreFront.

5. Nur Bereitstellungen mit einem einzelnen StoreFront-Server: Geben Sie in dem nachAbschließen der Installation angezeigten Dialogfeld an, wann Sie dieAnwendungsabonnementdaten der Benutzer aus der alten Datenbank in denAbonnementstoredienst migrieren möchten.

• Klicken Sie auf Jetzt migrieren, um die Migration der Anwendungsabonnementdatender Benutzer sofort zu beginnen. StoreFront startet eine WindowsPowerShell-Sitzung und migriert die Anwendungsabonnementdaten der Benutzer füralle aktualisierten Stores.

• Klicken Sie auf Später migrieren, um diese Aufgabe zu verschieben, z. B. wenn Sienicht die Anwendungsabonnementdaten für alle aktualisierten Stores migrierenmöchten.

Upgrade

85

http://support.citrix.com/proddocs/topic/receiver/nl/de/receivers-html5.html

http://support.citrix.com/proddocs/topic/receiver/nl/de/receivers-html5.html

6. Starten Sie den StoreFront-Server neu und überprüfen Sie, ob alle StoreFront-Diensteausgeführt werden.

Das Neustarten des Servers stellt sicher, dass alle Caches geleert werden und dieStoreFront-Dienste neu gestartet werden.

7. Wenn Sie ein Upgrade einer StoreFront-Multiserverbereitstellung durchführen,wiederholen Sie die Schritte 2, 3, 4 und 6 für alle übrigen Server in der Bereitstellung.

Wichtig: Stellen Sie sicher, dass das Upgrade des aktuellen Servers beendet ist, bevorSie mit dem Upgrade des nächsten Servers beginnen. InStoreFront-Multiserverbereitstellungen müssen die Server nacheinander aktualisiertwerden. Das parallele Upgrade von mehreren Servern wird nicht unterstützt und kannzu Konfigurationskonflikten führen, die Stores, Sites und Dienste außer Betriebsetzen.

Wenn das Upgrade des letzten Servers in der Bereitstellung abgeschlossen ist, wird vonStoreFront automatisch die Konfiguration aller anderen Server in der Bereitstellung aufdie des letzten Servers aktualisiert.

8. Öffnen Sie bei StoreFront-Multiserverbereitstellungen auf jedem Server in derBereitstellung die Ereignisanzeige und navigieren Sie im linken Bereich zu Anwendungs-und Dienstprotokolle > Citrix Delivery Services. Suchen Sie Ereignisse, die vom CitrixAbonnementstoredienst mit einer Ereignis-ID von 3 und einer Aufgabenkategorie von2901 protokolliert wurde. Stellen Sie bevor Sie fortfahren sicher, dass für jeden Storeauf jedem Server in der Bereitstellung ein Eintrag protokolliert wurde.

9. Wenn Sie ein Upgrade einer StoreFront-Multiserverbereitstellung durchführen oder dieMigration der Anwendungsabonnementdaten nach dem Upgrade einerEinzelserverbereitstellung verschoben haben, klicken Sie auf der Windows-Startseitedes Servers auf Citrix StoreFront.

• Zum Migrieren der Anwendungsabonnementdaten der Benutzer für alle Stores ineiner Bereitstellung wählen Sie den Knoten Stores im linken Bereich der CitrixStoreFront-Managementkonsole aus und klicken Sie im Bereich Aktionen auf MigrateAll Subscriptions.

• Zum Migrieren der Anwendungsabonnementdaten der Benutzer für einen einzelnenStore wählen Sie den Knoten Stores im linken Bereich der CitrixStoreFront-Managementkonsole und dann im Ergebnisbereich den Store. Klicken Sieim Bereich Aktionen auf Abonnements migrieren.

StoreFront startet eine Windows PowerShell-Sitzung und migriert dieAnwendungsabonnementdaten der Benutzer aus der alten Datenbank in denAbonnementstoredienst auf dem aktualisierten Server.

10. Bei StoreFront-Multiserverbereitstellungen stellen Sie den Zugriff auf die Bereitstellungüber die Lastausgleichs-URL wieder her.

Upgrade

86

87

Verwalten der StoreFront-Bereitstellung


Nach der Erstkonfiguration von StoreFront stehen in der CitrixStoreFront-Verwaltungskonsole weitere Aufgaben zur Verfügung, mit denen Sie dieBereitstellung verwalten können. Für bestimmte erweiterte Verwaltungsaufgaben müssenSie die StoreFront-Konfigurationsdateien bearbeiten.

Dieser Abschnitt enthält folgende Themen.

• Konfigurieren von Servergruppen

• So erstellen Sie den Authentifizierungsdienst

• Konfigurieren des Authentifizierungsdiensts

• Erstellen eines Stores

• Konfigurieren von Stores

• So erstellen Sie eine Receiver für Web-Site

• Konfigurieren von Receiver für Web-Sites

• So fügen Sie eine NetScaler Gateway-Verbindung hinzu

• Konfigurieren von NetScaler Gateway-Verbindungseinstellungen

• So konfigurieren Sie Beacons

• Konfigurieren der Smartcardauthentifizierung

• Einrichten hoch verfügbarer Stores mit mehreren Sites

• Konfigurieren von StoreFront mit Konfigurationsdateien

• Konfigurieren von Receiver für Web-Sites mit Konfigurationsdateien

• Konfigurieren von Desktopgerätesites

• So konfigurieren Sie die Authentifizierung für XenApp Services-URLs

88

Konfigurieren von Servergruppen


Mit den folgenden Anleitungen können Sie die Einstellungen vonStoreFront-Multiserverbereitstellungen ändern. Verwenden Sie zur Verwaltung einerMultiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration derServergruppe vorzunehmen. Stellen Sie sicher, dass die CitrixStoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführtwird. Alle vorgenommenen Konfigurationsänderungen müssen an die anderen Server derGruppe weitergegeben werden, damit eine konsistente Konfiguration der gesamtenBereitstellung gewährleistet ist.

Hinzufügen eines Servers zu einer ServergruppeMit der Aufgabe Server hinzufügen können Sie einen Autorisierungscode abrufen, der esIhnen ermöglicht, der vorhandenen Bereitstellung einen neu installierten StoreFront-Serverhinzuzufügen. Weitere Informationen zum Hinzufügen neuer Server zu vorhandenenStoreFront-Bereitstellungen finden Sie unter So fügen Sie einer vorhandenen Servergruppeeinen Server hinzu.

Entfernen von Servern aus einer ServergruppeMit der Aufgabe Server entfernen können Sie Server aus einerStoreFront-Multiserverbereitstellung löschen. Sie können jeden Server in der Gruppe mitAusnahme des Servers, auf dem Sie die Aufgabe ausführen, entfernen. Entfernen Sie denServer zuerst aus der Lastausgleichsumgebung und dann aus der Multiserverbereitstellung.

Weitergeben lokaler Änderungen an eineServergruppe

Mit der Aufgabe Änderungen verteilen können Sie die Konfiguration aller anderen Server ineiner StoreFront-Multiserverbereitstellung aktualisieren, damit sie mit der Konfigurationdes aktuellen Servers übereinstimmt. Alle Änderungen, die auf anderen Servern in derGruppe vorgenommen wurden, werden verworfen. Beachten Sie bei dieser Aufgabe, dassSie erst dann weitere Änderungen machen, wenn alle Server in der Gruppe aktualisiertwurden.

Wichtig: Wenn Sie die Konfiguration eines Servers aktualisieren, ohne die Änderungen aufden anderen Servern in der Gruppe zu übernehmen, können die Aktualisierungen verlorengehen, falls Sie nach dem Vorgang Änderungen von einem anderen Server in derBereitstellung übernehmen.

Ändern der Basis-URL für eine BereitstellungVerwenden Sie die Aufgabe Basis-URL ändern, um die Basis-URL zu ändern, die als Stammfür die URLs der Stores und andere StoreFront-Dienste dient, die in der Bereitstellunggehostet werden. Geben Sie bei Bereitstellungen mit mehreren Servern dieLastausgleichs-URL an. Sie können mit dieser Option jederzeit von HTTP zu HTTPSwechseln, vorausgesetzt, dass die Microsoft-Internetinformationsdienste (IIS) für HTTPSkonfiguriert sind.

Zum Konfigurieren von IIS für HTTPS erstellen Sie mit der IIS-Verwaltungskonsole auf demStoreFront-Server ein Serverzertifikat, das von der Microsoft ActiveDirectory-Domänenzertifizierungsstelle signiert wurde. Fügen Sie anschließend eineHTTPS-Bindung zur Standardwebsite hinzu. Weitere Informationen zum Erstellen einesServerzertifikats in IIS finden Sie unterhttp://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. WeitereInformationen über das Hinzufügen von HTTPS Bindung zu einer IIS-Website finden Sie unterhttp://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.

Konfigurieren von Servergruppen

89



90

So erstellen Sie denAuthentifizierungsdienst


Sie können den StoreFront-Authentifizierungsdienst mit der AufgabeAuthentifizierungsdienst erstellen konfigurieren. Der Authentifizierungsdienstauthentifiziert Benutzer mit Microsoft Active Directory und stellt auf diese Weise sicher,dass Benutzer sich nicht erneut anmelden müssen, um auf ihre Desktops und Anwendungenzuzugreifen.

Sie können für jede StoreFront-Bereitstellung nur einen Authentifizierungsdienstkonfigurieren. Diese Aufgabe ist nur verfügbar, wenn der Authentifizierungsdienst nochnicht konfiguriert wurde.

Wenn Sie die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPS sichernmöchten, müssen Sie Microsoft Internetinformationsdienste (IIS) für HTTPS konfigurieren.Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTPfür die Kommunikation.

Standardmäßig erfordert Citrix Receiver HTTPS-Verbindungen zu Stores. Wenn StoreFrontnicht für HTTPS konfiguriert ist, müssen Benutzer zusätzliche Konfigurationsschritteausführen, um HTTP-Verbindungen zu verwenden. HTTPS ist für dieSmartcardauthentifizierung erforderlich. Sie können jederzeit von HTTP zu HTTPSwechseln, vorausgesetzt, die entsprechende IIS-Konfiguration ist vorhanden. WeitereInformationen finden Sie unter Konfigurieren von Servergruppen.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, umÄnderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dassdie Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern derBereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben,übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderenServer der Bereitstellung aktualisiert werden.

1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel CitrixStoreFront.

2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenAuthentifizierung aus und klicken Sie im Bereich Aktionen auf Authentifizierungsdiensterstellen.

3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen, undklicken Sie auf Erstellen.

• Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die expliziteAuthentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihreAnmeldeinformationen ein.

• Aktivieren Sie das Kontrollkästchen Domänen-Passthrough, um Passthrough fürActive Directory-Domänenanmeldeinformationen von Benutzergeräten zu

aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die derDomäne angehören, und werden beim Zugriff auf ihre Stores automatischangemeldet. Um diese Option verwenden zu können, mussPassthrough-Authentifizierung aktiviert sein, wenn Receiver für Windows auf denBenutzergeräten installiert ist.

• Aktivieren Sie das Kontrollkästchen Smartcard, um die Smartcardauthentifizierungzu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriffauf ihre Stores.

• Aktivieren Sie das Kontrollkästchen Passthrough-Authentifizierung von NetScalerGateway zum Aktivieren der Passthrough-Authentifizierung von NetScaler Gateway.Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff aufihre Stores automatisch angemeldet.

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Storesüber NetScaler Gateway zugreifen, verwenden Sie die Aufgabe DelegierteAuthentifizierung konfigurieren. Weitere Informationen finden Sie unter Konfigurierendes Authentifizierungsdiensts.

4. Klicken Sie nach dem Erstellen des Authentifizierungsdienstes auf Fertig stellen.

Weitere Informationen zum Ändern der Einstellungen für den Authentifizierungsdienstfinden Sie unter Konfigurieren des Authentifizierungsdiensts.

So erstellen Sie den Authentifizierungsdienst

91

92

Konfigurieren desAuthentifizierungsdiensts


Der Authentifizierungsdienst authentifiziert Benutzer mit Microsoft Active Directory undstellt auf diese Weise sicher, dass Benutzer sich nicht erneut anmelden müssen, um auf ihreDesktops und Anwendungen zuzugreifen. Sie können für jede StoreFront-Bereitstellung nureinen Authentifizierungsdienst konfigurieren.

Die nachfolgenden Aufgaben ermöglichen es Ihnen, die Einstellungen für denStoreFront-Authentifizierungsdienst zu ändern. Einige erweiterte Einstellungen können nurdurch Bearbeitung der Authentifizierungsdienst-Konfigurationsdateien geändert werden.Weitere Informationen finden Sie unter Konfigurieren von StoreFront mitKonfigurationsdateien.


So verwalten Sie AuthentifizierungsmethodenSie können Benutzerauthentifizierungsmethoden, die beim Erstellen desAuthentifizierungsdiensts eingestellt wurden, aktivieren oder deaktivieren, indem Sie imErgebnisbereich der Citrix StoreFront-Managementkonsole eine Authentifizierungsmethodeauswählen und im Bereich Aktionen auf Methode aktivieren bzw. Methode deaktivierenklicken. Verwenden Sie die Aufgabe Methoden hinzufügen/entfernen, um eineAuthentifizierungsmethode aus dem Authentifizierungsdienst zu entfernen oder um einenneuen Authentifizierungsdienst hinzuzufügen.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenAuthentifizierung aus und klicken Sie im Bereich Aktionen auf Methodenhinzufügen/entfernen.

3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen.

• Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die expliziteAuthentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihreAnmeldeinformationen ein.

• Aktivieren Sie das Kontrollkästchen Domänen-Passthrough, um Passthrough fürActive Directory-Domänenanmeldeinformationen von Benutzergeräten zu

aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die derDomäne angehören, und werden beim Zugriff auf ihre Stores automatischangemeldet. Um diese Option verwenden zu können, mussPassthrough-Authentifizierung aktiviert sein, wenn Receiver für Windows auf denBenutzergeräten installiert ist.

• Aktivieren Sie das Kontrollkästchen Smartcard, um die Smartcardauthentifizierungzu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriffauf ihre Stores.

• Aktivieren Sie das Kontrollkästchen Passthrough-Authentifizierung von NetScalerGateway zum Aktivieren der Passthrough-Authentifizierung von NetScaler Gateway.Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff aufihre Stores automatisch angemeldet.

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Storesüber NetScaler Gateway zugreifen, verwenden Sie die Aufgabe DelegierteAuthentifizierung konfigurieren.

Generieren von Sicherheitsschlüsseln für denAuthentifizierungsdienst

Mit der Aufgabe Sicherheitsschlüssel erstellen können Sie neue Sicherheitsschlüssel fürselbstsignierte Zertifikate, die vom Authentifizierungsdienst verwendet werden,generieren. Als bewährte Methode empfiehlt Citrix, aus Sicherheitsgründen regelmäßigneue Sicherheitscodes für selbstsignierte Zertifikate zu generieren, die von StoreFronterzeugt wurden. Wenn Sie neue Sicherheitsschlüssel generieren, müssen sich alle Benutzer,die derzeit angemeldet sind, neu bei den Stores authentifizieren. Diese Aufgabe wird daheram besten zu Zeiten mit niedriger Benutzeraktivität durchgeführt.

So konfigurieren Sie vertrauenswürdigeBenutzerdomänen

Mit der Aufgabe Vertrauenswürdige Domänen konfigurieren schränken Sie den Zugriff aufStores für Benutzer ein, die sich mit expliziten Domänenanmeldeinformationen entwederdirekt oder über die Passthrough-Authentifizierung von NetScaler Gateway anmelden.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenAuthentifizierung aus und wählen Sie im Ergebnisbereich die gewünschteAuthentifizierungsmethode aus. Klicken Sie im Bereich Aktionen auf VertrauenswürdigeDomänen konfigurieren.

3. Wählen Sie Nur vertrauenswürdige Domänen aus. Klicken Sie auf Hinzufügen, um denNamen einer vertrauenswürdigen Domäne hinzuzufügen. Benutzer mit Konten in derDomäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienstverwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der ListeVertrauenswürdige Domänen aus und klicken Sie auf Bearbeiten. Wählen Sie eineDomäne in der Liste aus und klicken Sie auf Entfernen, um den Zugriff auf Stores für

Konfigurieren des Authentifizierungsdiensts

93

Benutzerkonten in der Domäne zu entfernen.

Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzerihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihreAnmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügenSie der Liste den NetBIOS-Namen hinzu. Sollen Benutzer ihre Anmeldeinformationen imFormat des Benutzerprinzipalnamens eingeben, fügen Sie der Liste denvollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihreAnmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch imFormat des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste denNetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.

4. Wählen Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der ListeStandarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzersich anmelden.

So lassen Sie die Kennwortänderung durch Benutzerzu

Mit der Aufgabe Kennwortoptionen verwalten können Sie zulassen, dass Benutzer vonReceiver für Web-Sites, die sich mit Domänenanmeldeinformationen anmelden, ihreKennwörter ändern. Beim Erstellen des Authentifizierungsdiensts verhindert dieStandardkonfiguration, dass Benutzer von Receiver für Web-Sites ihre Kennwörter ändern,selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren,vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht dieBenutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändernkönnen, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die aufeinen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. WennIhr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennwortsnur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores vonaußerhalb des Unternehmensnetzwerks zugegriffen werden kann.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Managementkonsole den KnotenAuthentifizierung und im Ergebnisbereich Benutzername und Kennwort aus. Klicken Sieim Bereich Aktionen auf Kennwortoptionen verwalten.

3. Legen Sie die Bedingungen fest, unter denen Benutzer von Receiver für Web-Sites, diesich mit Domänenanmeldeinformationen anmelden, ihr Kennwort ändern können.

• Damit Benutzer ihre Kennwörter jederzeit auf Wunsch ändern können, wählen SieJederzeit. Lokalen Benutzern, deren Kennwort bald abläuft, wird bei derAnmeldung eine Warnung angezeigt. Warnungen über den Ablauf von Kennwörternwerden nur für Benutzer angezeigt, die eine Verbindung über das interne Netzwerkherstellen. Standardmäßig hängt der Benachrichtigungszeitraum von derentsprechenden Windows-Richtlinieneinstellung ab. Weitere Informationen zumFestlegen benutzerdefinierter Benachrichtigungszeiträumen finden Sie unter Sokonfigurieren Sie den Zeitraum für den Kennwortablauf.

• Sollen Benutzer ihr Kennwort nur ändern können, wenn es abgelaufen ist, wählenSie Wenn abgelaufen. Benutzer, die sich nicht anmelden können, weil das Kennwort


94

abgelaufen ist, werden an das Dialogfeld Kennwort ändern weitergeleitet.

• Wenn Sie verhindern möchten, dass Benutzer ihr Kennwort ändern, wählen Sie Nie.Bei dieser Option müssen Sie selbst Benutzern unterstützen, die keinen Zugriff aufihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.

Wenn Sie zulassen, dass Benutzer von Receiver für Web-Sites jederzeit ihre Kennwörterändern können, muss auf den StoreFront-Servern ausreichend Speicherplatz zumSpeichern aller Benutzerprofile vorhanden sein. Um zu prüfen, ob das Kennwort einesBenutzers bald abläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf demServer. StoreFront muss eine Verbindung mit dem Domänencontroller herstellenkönnen, um die Kennwörter der Benutzer zu ändern.

Delegieren der Anmeldeinformationenvalidierung anNetScaler Gateway

Verwenden Sie die Aufgabe Delegierte Authentifizierung konfigurieren, um diePassthrough-Authentifizierung für Smartcardbenutzer zu aktivieren, die auf Stores überNetScaler Gateway zugreifen. Diese Aufgabe ist nur verfügbar, wennPassthrough-Authentifizierung von NetScaler Gateway aktiviert und im Ergebnisbereichausgewählt ist.

Wenn die Validierung der Anmeldeinformationen an NetScaler Gateway delegiert wird,authentifizieren sich Benutzer bei NetScaler Gateway mit Smartcards und werden beimZugriff auf ihre Stores automatisch angemeldet. Diese Einstellung ist standardmäßigdeaktiviert, wenn Sie die Passthrough-Authentifizierung von NetScaler Gateway aktivieren,sodass die Passthrough-Authentifizierung nur erfolgt, wenn Benutzer sich bei NetScalerGateway mit einem Kennwort anmelden.


95

96

Erstellen eines Stores


Verwenden Sie die Aufgabe Store erstellen zum Konfigurieren zusätzlicher Stores. Siekönnen beliebig viele Stores erstellen. Beispielsweise kann es empfehlenswert sein, einenStore für eine bestimmte Benutzergruppe zu erstellen oder bestimmte Ressourcenzusammenzufassen.

Zum Erstellen eines Stores identifizieren und konfigurieren Sie die Kommunikation mit denServern, auf denen die Ressourcen, die Sie im Store zur Verfügung stellen möchten,bereitgestellt werden. Anschließend konfigurieren Sie optional Remotezugriff auf den Storeüber NetScaler Gateway.


So fügen Sie einem Store Desktops undAnwendungen hinzu


2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und klicken Sie im Bereich Aktionen auf Store erstellen.

3. Geben Sie auf der Seite Store Name einen Namen für den Store an und klicken Sie aufNext.

Storenamen erscheinen in Citrix Receiver unter den Konten der Benutzer. Wählen Siedaher einen Namen, anhand dessen Benutzer den Inhalt des Stores erkennen können.

4. Listen Sie auf der Seite Delivery Controller die Infrastruktur und die Ressourcen auf, dieSie im Store zur Verfügung stellen möchten. Klicken Sie auf Add.

5. Geben Sie im Dialogfeld Delivery Controller hinzufügen einen Namen an, über den Siedie Bereitstellung identifizieren können, und geben Sie an, ob die Ressourcen, die Sieüber den Store verfügbar machen möchten, von XenDesktop, XenApp, AppControlleroder VDI-in-a-Box bereitgestellt werden. Für App Controller-Bereitstellungen stellen Siesicher, dass der Name keine Leerzeichen enthält.

6. Wenn Sie Details für XenDesktop-, XenApp- oder VDI-in-a-Box-Server hinzufügen, fahrenSie mit Schritt 7 fort. Geben Sie den Namen oder die IP-Adresse eines virtuellen AppController-Geräts im Feld Server ein und geben Sie den Port an, der von StoreFront fürVerbindungen mit App Controller verwendet werden soll, um von App Controllerverwaltete Anwendungen im Store verfügbar zu machen. Der Standardwert ist 443.Gehen Sie zu Schritt 11.

7. Um Desktops und Anwendungen, die von XenDesktop, XenApp oder VDI-in-a-Boxbereitgestellt werden, im Store verfügbar zu machen, fügen Sie die Namen oderIP-Adressen der Server der Liste Server hinzu. Geben Sie aus Gründen derFehlertoleranz mehrere Server an und führen Sie die Server dabei in der Reihenfolgeihrer Priorität auf, um die Failover-Reihenfolge festzulegen. Geben Sie fürXenDesktop-Sites die Details der Delivery Controller an. Listen Sie für XenApp-FarmenServer auf, auf denen der Citrix XML-Dienst ausgeführt wird. Zum Hinzufügen vonVDI-in-a-Box-Rastern geben Sie entweder die rasterweite virtuelle IP-Adresse, sofernkonfiguriert, oder die Liste der IP-Adressen der Server an.





97


Hinweis: Wenn Sie die Verbindungen zwischen StoreFront und den Servern mit HTTPSoder SSL-Relay sichern, achten Sie darauf, dass die in der Liste Server eingegebenenServernamen genau mit den Namen in den Zertifikaten für die Serverübereinstimmen. Dies gilt auch für die Groß- und Kleinschreibung.



11. Klicken Sie auf OK. Sie können Stores konfigurieren, die Ressourcen aus einer beliebigenZusammenstellung von XenDesktop-, XenApp- App Controller- undVDI-in-a-Box-Bereitstellungen bieten. Wiederholen Sie erforderlichenfalls die Schritte 4bis 11, um weitere Bereitstellungen von Ressourcen für den Store aufzulisten. Wenn Siealle erforderlichen Ressourcen hinzugefügt haben, klicken Sie auf Weiter.

12. Geben Sie auf der Seite Remotezugriff an, ob und wie Benutzer, die eine Verbindungaus einem öffentlichen Netzwerk herstellen, über NetScaler Gateway auf den Storezugreifen können.

• Wählen Sie None aus, wenn der Store nicht für Benutzer in öffentlichen Netzwerkenverfügbar sein soll. Nur lokale Benutzer im internen Netzwerk können dann auf denStore zugreifen.


• Wählen Sie Vollständiger VPN-Tunnel aus, um den Store und alle andere Ressourcenim internen Netzwerk über einen SSL-VPN-Tunnel (VPN = virtuelles privatesNetzwerk) verfügbar zu machen. Benutzer benötigen das NetScaler Gateway-Plug-Infür das Erstellen des VPN-Tunnels.

Falls noch nicht geschehen, wird automatisch die Passthrough-Authentifizierung vonNetScaler Gateway aktiviert, wenn Sie Remotezugriff auf den Store konfigurieren.Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihreStores automatisch angemeldet.

13. Wenn Sie Remotezugriff aktiviert haben, fahren Sie mit dem nächsten Verfahren fort,um die NetScaler Gateway-Bereitstellungen, über die Benutzer auf den Store zugreifenkönnen, anzugeben. Andernfalls klicken Sie auf der Seite Remotezugriff auf Erstellen.Nach dem Erstellen des Stores klicken Sie auf Fertig stellen.


98

So konfigurieren Sie Remotezugriff auf den Store überNetScaler Gateway

Führen Sie die folgenden Schritte zum Konfigurieren von Remotezugriff über NetScalerGateway auf den Store, den Sie im vorherigen Verfahren erstellt haben, durch. Es wirddavon ausgegangen, dass Sie alle oben beschriebenen Schritte durchgeführt haben.

1. Wählen Sie auf der Seite Remotezugriff des Assistenten zum Erstellen von Stores in derListe NetScaler Gateway-Geräte die Bereitstellungen aus, über die Benutzer auf denStore zugreifen können. Die Liste enthält alle Bereitstellungen, die zuvor für andereStores konfiguriert wurden. Wenn Sie eine weitere Bereitstellung hinzufügen möchten,klicken Sie auf Hinzufügen. Fahren Sie andernfalls mit Schritt 13 fort.

2. Geben im Dialogfeld NetScaler Gateway-Gerät hinzufügen einen Namen für dieNetScaler Gateway-Bereitstellung an, über den die Benutzer diese identifizierenkönnen.

Benutzern wird der Anzeigename angezeigt, den Sie in Citrix Receiver angegebenhaben. Nehmen Sie deshalb relevante Informationen in den Namen auf, damit Benutzerleichter entscheiden können, ob sie die Bereitstellung verwenden möchten.Beispielsweise können Sie den geographischen Standort in die Anzeigenamen derNetScaler Gateway-Bereitstellungen einfügen, damit Benutzer problemlos das besteGateway für ihren Standort identifizieren können.

3. Geben Sie die URL des virtuellen Servers oder Benutzeranmeldepunkts (für AccessGateway 5.0) für die Bereitstellung an. Geben Sie die Produktversion IhrerBereitstellung an.


4. Wenn Sie eine Access Gateway 5.0-Bereitstellung hinzufügen, fahren Sie mit Schritt 6fort. Andernfalls und geben Sie ggf. die Subnetz-IP-Adresse des NetScalerGateway-Geräts an. Eine Subnetz IP-Adresse ist für Access Gateway 9.3-Geräteerforderlich, aber für neuere Produktversionen optional.





99


• Wählen Sie Sicherheitstoken, wenn Benutzer einen Tokencode von einemSicherheitstoken eingeben müssen.

• Wählen Sie Domain and security token aus, wenn Benutzer ihreDomänenanmeldeinformationen und einen Tokencode von einem Sicherheitstokeneingeben müssen.

• Wählen Sie SMS authentication aus, wenn Benutzer ein in einer Textnachrichtgesendetes, einmaliges Kennwort eingeben müssen.


Wenn Sie die Smartcardauthentifizierung mit einer sekundärenAuthentifizierungsmethode konfigurieren, auf die Benutzer zurückgreifen können, wennes Probleme mit den Smartcards gibt, wählen Sie die sekundäreAuthentifizierungsmethode aus der Liste Smartcard-Fallback. Fahren Sie mit Schritt 7fort.

6. Zum Hinzufügen einer Access Gateway 5.0-Bereitstellung geben Sie an, ob derAnmeldepunkt auf einem eigenständigen Gerät oder auf einem AccessController-Server, der Teil eines Clusters ist, gehostet wird. Wenn Sie ein Clusterhinzufügen, klicken Sie auf Weiter und fahren Sie mit Schritt 8 fort.

7. Wenn Sie StoreFront für NetScaler Gateway 10.1, Access Gateway 10, Access Gateway9.3 oder ein einzelnes Access Gateway 5.0-Gerät konfigurieren, geben Sie in das FeldCallback-URL die URL des NetScaler Gateway-Authentifizierungsdiensts ein. StoreFrontfügt automatisch den Standardteil der URL an. Klicken Sie auf Weiter und gehen Sie zuSchritt 10.


8. Zum Konfigurieren von StoreFront für ein Access Gateway 5.0-Cluster listen Sie auf derSeite Geräte die IP-Adressen oder vollqualifizierten Domänennamen der Geräte imCluster auf und klicken Sie auf Weiter.



10. Alle Bereitstellungen: Wenn Sie Ressourcen von XenDesktop, XenApp oder VDI-in-a-Boxim Store verfügbar machen, listen Sie auf der Seite Secure Ticket Authority (STA) URLsfür Server auf, auf denen die STA ausgeführt wird. Geben Sie aus Gründen derFehlertoleranz URLs für mehrere STAs ein und führen Sie die Server dabei in derReihenfolge ihrer Priorität auf, um die Failoversequenz festzulegen. Wenn Sie einerasterweite virtuelle IP-Adresse für die VDI-in-a-Box-Bereitstellung konfiguriert haben,


100

müssen Sie nur diese Adresse angeben, um die Fehlertoleranz zu aktivieren.


Die STA wird auf XenDesktop-, XenApp- und VDI-in-a-Box-Servern gehostet und gibtSitzungstickets als Reaktion auf Verbindungsanforderungen aus. Auf diesenSitzungstickets basiert die Authentifizierung und Autorisierung für den Zugriff aufXenDesktop-, XenApp- und VDI-in-a-Box-Ressourcen.

11. Aktivieren Sie das Kontrollkästchen Sitzungszuverlässigkeit aktivieren, wennXenDesktop, XenApp und VDI-in-a-Box getrennte Sitzungen aufrechterhalten sollen,während Citrix Receiver eine automatische Wiederverbindung versucht. Aktivieren Siedas Kontrollkästchen Request tickets from two STAs, where available, wenn Siemehrere STAs konfiguriert haben und sicherstellen möchten, dassSitzungszuverlässigkeit immer gegeben ist.

Wenn das Kontrollkästchen Request tickets from two STAs, where available aktiviert ist,ruft StoreFront Tickets von zwei verschiedenen Secure Ticket Authoritys ab, damitBenutzersitzungen nicht unterbrochen werden, wenn eine Secure Ticket Authoritywährend der Sitzung ausfällt. Wenn StoreFront aus irgendeinem Grund keineVerbindung zu zwei Secure Ticket Authoritys herstellen kann, wird automatisch nur eineSecure Ticket Authority verwendet.


13. Wiederholen Sie erforderlichenfalls die Schritte 1 bis 12 zum Hinzufügen weitererNetScaler Gateway-Bereitstellungen zur Liste NetScaler Gateway-Geräte. Wenn SieZugriff über mehrere Bereitstellungen aktivieren, indem Sie mehr als einen Eintrag inder Liste auswählen, geben Sie die Standardbereitstellung für den Zugriff auf den Storean.

14. Klicken Sie auf der Seite Remotezugriff auf Erstellen. Nach dem Erstellen des Storesklicken Sie auf Fertig stellen.

Weitere Informationen zum Ändern der Einstellungen für Stores finden Sie unterKonfigurieren von Stores.

Der Store steht jetzt für den Zugriff durch Benutzer über Citrix Receiver zur Verfügung.Citrix Receiver muss mit den Zugriffsinformationen für den Store konfiguriert werden. Esgibt eine Reihe von Methoden der Bekanntgabe dieser Informationen an die Benutzer,sodass Sie diesen die Konfiguration erleichtern können. Weitere Informationen finden Sieunter Benutzerzugriffsoptionen.

Alternativ können Benutzer auf den Store über Receiver für Web-Site zugreifen und somitüber eine Webseite auf ihre Desktops und Anwendungen zugreifen. Die URL, über dieBenutzer auf die Receiver für Web-Site für den Store zugreifen, wird angezeigt, wenn Sieden Store erstellen.

Wenn Sie einen neuen Store erstellen, wird die XenApp Services-URL standardmäßig aktiviert. Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sowie Benutzer mit älteren Citrix Clients, die nicht aktualisiert werden können, können über die XenApp-Services-URL direkt auf Stores


101

zugreifen. Die XenApp Services-URL für den Store hat das Formathttp[s]://serveraddress/Citrix/storename/PNAgent/config.xml, wobei serveraddress dervollqualifizierte Domänenname des Servers oder der Lastausgleichsumgebung für dieStoreFront-Bereitstellung ist und storename der für den Store in Schritt 3 angegebeneName.


102

103

Konfigurieren von Stores


In StoreFront-Stores werden Desktops und Anwendungen von XenDesktop, XenApp,XenMobile App Controller und VDI-in-a-Box aufgelistet und aggregiert, wodurch dieseRessourcen den Benutzern zur Verfügung stehen. Die Aufgaben in diesem Abschnittbeschreiben, wie Sie die Einstellungen von Stores mit der CitrixStoreFront-Managementkonsole ändern. Einige erweiterte Einstellungen können nur durchBearbeitung der Storekonfigurationsdateien geändert werden. Weitere Informationen findenSie unter Konfigurieren von StoreFront mit Konfigurationsdateien.


• So exportieren Sie Store-Provisioningdateien für Benutzer

• Ausblenden und Ankündigen von Stores für Benutzer

• So verwalten Sie die durch Stores zur Verfügung gestellten Ressourcen

• So verwalten Sie den Remotezugriff auf Stores über NetScaler Gateway

• So verwalten Sie Citrix Receiver-Updates

• So integrieren Sie Citrix Online-Anwendungen in Stores

• So konfigurieren Sie Unterstützung für Verbindungen über XenApp Services-URLs

• Generieren von Sicherheitsschlüsseln für Stores

• Entfernen von Stores

104

So exportieren SieStore-Provisioningdateien für Benutzer


Mit den Aufgaben Multistore-Provisioningdatei exportieren und Provisioningdateiexportieren können Sie Dateien mit Verbindungsinformationen für Stores generieren, z. B.für NetScaler Gateway-Bereitstellungen und Beacons, die für Stores konfiguriert wurden.Stellen Sie diese Dateien Benutzern zur Verfügung, damit diese Citrix Receiver automatischmit den Details der Stores konfigurieren können. Benutzer können auch CitrixReceiver-Provisioningdateien von Receiver für Web-Sites erhalten.


1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel CitrixStoreFront. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole denKnoten Stores aus.

2. Um eine Provisioningdatei mit Details für mehrere Stores zu generieren, klicken Sie imBereich Aktionen auf Multistore-Provisioningdatei exportieren und wählen Sie die Storesaus, die der Datei hinzugefügt werden sollen. Wählen Sie einen Store imErgebnisbereich aus und klicken Sie im Bereich Aktionen auf Provisioningdateiexportieren, um nur eine Datei für den ausgewählten Store zu generieren.

3. Klicken Sie auf Exportieren und speichern Sie die Provisioningdatei mit der Erweiterung.cr an einem geeigneten Speicherort im Netzwerk.

105

Ausblenden und Ankündigen von Storesfür Benutzer


Mit der Aufgabe Store ausblenden können Sie verhindern, dass Stores den Benutzern zumHinzufügen zu ihrem Konto angezeigt werden, wenn diese Citrix Receiver über diee-mail-basierte Kontenermittlung oder den vollqualifizierten Domänennamen (FQDN)konfigurieren. Wenn Benutzer die StoreFront-Bereitstellung, die einen Store hostet,ermitteln, werden erstellte Stores standardmäßig als Option zum Hinzufügen in CitrixReceiver angezeigt. Wenn Sie einen Store ausblenden, wird dieser dadurch nichtunzugänglich, doch Benutzer müssen Citrix Receiver mit den Verbindungsinformationen fürden Store konfigurieren, und zwar entweder manuell mit einer Setup-URL oder mit einerProvisioningdatei. Soll ein ausgeblendeter Store wieder angezeigt werden, verwenden Siedie Aufgabe Store anbieten.


106

So verwalten Sie die durch Stores zurVerfügung gestellten Ressourcen


Mit der Aufgabe Delivery Controller verwalten können Sie Ressourcen, die durchXenDesktop, XenApp, App Controller und VDI-in-a-Box bereitgestellt werden, zu Storeshinzufügen bzw. daraus entfernen und die Informationen zu den Servern ändern, mit denendie Ressourcen bereitgestellt werden.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im BereichAktionen auf Delivery Controller verwalten.

3. Klicken Sie im Dialogfeld Delivery Controller verwalten auf Hinzufügen, um die Desktopsund Anwendungen von einer anderen XenDesktop-, XenApp- App Controller- oderVDI-in-a-Box-Bereitstellung in den Store einzuschließen. Wenn Sie die Einstellungen füreine Bereitstellung ändern möchten, wählen Sie den Eintrag in der Liste DeliveryController und klicken Sie auf Bearbeiten. Wählen Sie einen Eintrag in der Liste aus undklicken Sie auf Entfernen, um die Verfügbarkeit der Ressourcen der Bereitstellung imStore zu beenden.

4. Geben Sie im Dialogfeld Delivery Controller hinzufügen oder Delivery Controllerbearbeiten einen Namen ein, über den Sie die Bereitstellung identifizieren können, undgeben Sie an, ob die Ressourcen, die Sie im Store verfügbar machen möchten, vonXenDesktop, XenApp, AppController oder VDI-in-a-Box bereitgestellt werden. Für AppController-Bereitstellungen stellen Sie sicher, dass der Name keine Leerzeichen enthält.

5. Wenn Sie Details für XenDesktop-, XenApp- oder VDI-in-a-Box-Server hinzufügen, fahrenSie mit Schritt 6 fort. Geben Sie den Namen oder die IP-Adresse eines virtuellen AppController-Geräts im Feld Server ein und geben Sie den Port an, der von StoreFront fürVerbindungen mit App Controller verwendet werden soll, um von App Controllerverwaltete Anwendungen im Store verfügbar zu machen. Der Standardwert ist 443.Fahren Sie mit Schritt 10 fort.

6. Um Desktops und Anwendungen, die von XenDesktop, XenApp oder VDI-in-a-Boxbereitgestellt werden, im Store verfügbar zu machen, klicken Sie auf Hinzufügen, umden Namen oder die IP-Adresse eines Servers einzugeben. Geben Sie aus Gründen derFehlertoleranz mehrere Server an und führen Sie die Server dabei in der Reihenfolgeihrer Priorität auf, um die Failover-Reihenfolge festzulegen. Geben Sie für

XenDesktop-Sites die Details der Delivery Controller an. Listen Sie für XenApp-FarmenServer auf, auf denen der Citrix XML-Dienst ausgeführt wird. Zum Hinzufügen vonVDI-in-a-Box-Rastern geben Sie entweder die rasterweite virtuelle IP-Adresse, sofernkonfiguriert, oder die Liste der IP-Adressen der Server an. Um den Namen oder dieIP-Adresse eines Servers zu ändern, wählen Sie den Eintrag in der Liste Server aus undklicken Sie auf Bearbeiten. Wählen Sie einen Eintrag in der Liste aus und klicken Sie aufEntfernen, damit StoreFront den Server nicht mehr kontaktiert, um die verfügbarenRessourcen aufzulisten.





Hinweis: Wenn Sie die Verbindungen zwischen StoreFront und den Servern mit HTTPSoder SSL-Relay sichern, achten Sie darauf, dass die in der Liste Server eingegebenenServernamen genau mit den Namen in den Zertifikaten für die Serverübereinstimmen. Dies gilt auch für die Groß- und Kleinschreibung.



10. Klicken Sie auf OK. Sie können Stores konfigurieren, die Ressourcen aus einer beliebigenZusammenstellung von XenDesktop-, XenApp- App Controller- undVDI-in-a-Box-Bereitstellungen bieten. Wiederholen Sie erforderlichenfalls die Schritte 3bis 10 zum Hinzufügen oder Ändern weiterer Bereitstellungen unter Delivery Controller.

So verwalten Sie die durch Stores zur Verfügung gestellten Ressourcen

107

108

So verwalten Sie den Remotezugriff aufStores über NetScaler Gateway


Mit der Aufgabe Remotezugriff aktivieren können Sie den Zugriff auf Stores über NetScalerGateway für Benutzer in öffentlichen Netzwerken konfigurieren.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im BereichAktionen auf Remotezugriff aktivieren.

3. Geben Sie im Dialogfeld Remotezugriff aktivieren an, ob und wie Benutzer, die eineVerbindung von öffentlichen Netzwerken aus herstellen, über NetScaler Gateway aufden Store zugreifen können.

• Wählen Sie Kein aus, wenn der Store nicht für Benutzer in öffentlichen Netzwerkenverfügbar sein soll. Nur lokale Benutzer im internen Netzwerk können dann auf denStore zugreifen.


• Wählen Sie Vollständiger VPN-Tunnel aus, um den Store und andere Ressourcen iminternen Netzwerk über einen SSL-VPN-Tunnel (SSL = Secure Sockets Layer, VPN =virtuelles privates Netzwerk) verfügbar zu machen. Benutzer benötigen dasNetScaler Gateway-Plug-In für das Erstellen des VPN-Tunnels.

Falls noch nicht geschehen, wird automatisch die Passthrough-Authentifizierung vonNetScaler Gateway aktiviert, wenn Sie Remotezugriff auf den Store konfigurieren.Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihreStores automatisch angemeldet.

4. Wenn Sie Remotezugriff aktiviert haben, wählen Sie in der Liste NetScalerGateway-Geräte die Bereitstellungen aus, über die Benutzer auf den Store zugreifenkönnen. Die Liste enthält alle Bereitstellungen, die zuvor für diesen und andere Storeskonfiguriert wurden. Wenn Sie eine weitere Bereitstellung hinzufügen möchten, klickenSie auf Hinzufügen. Fahren Sie andernfalls mit Schritt 16 fort.

5. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die NetScalerGateway-Bereitstellung an, über den die Benutzer sie erkennen können.










• Wählen Sie Domäne und Sicherheitstoken aus, wenn Benutzer ihreDomänenanmeldeinformationen und einen Tokencode von einem Sicherheitstokeneingeben müssen.

• Wählen Sie SMS-Authentifizierung aus, wenn Benutzer ein in einer Textnachrichtgesendetes Einmalkennwort eingeben müssen.


So verwalten Sie den Remotezugriff auf Stores über NetScaler Gateway

109








13. Alle Bereitstellungen: Wenn Sie Ressourcen von XenDesktop, XenApp oder VDI-in-a-Boxim Store verfügbar machen, listen Sie auf der Seite Secure Ticket Authority (STA) URLsfür Server auf, auf denen die STA ausgeführt wird. Geben Sie aus Gründen derFehlertoleranz URLs für mehrere STAs ein und führen Sie die Server dabei in derReihenfolge ihrer Priorität auf, um die Failoversequenz festzulegen. Wenn Sie einerasterweite virtuelle IP-Adresse für die VDI-in-a-Box-Bereitstellung konfiguriert haben,müssen Sie nur diese Adresse angeben, um die Fehlertoleranz zu aktivieren.



14. Aktivieren Sie das Kontrollkästchen Sitzungszuverlässigkeit aktivieren, wennXenDesktop, XenApp und VDI-in-a-Box getrennte Sitzungen aufrechterhalten sollen,während Citrix Receiver eine automatische Wiederverbindung versucht. Aktivieren Siedas Kontrollkästchen Tickets von zwei Secure Ticket Authoritys anfordern (falls


110

verfügbar), wenn Sie mehrere STAs konfiguriert haben und sicherstellen möchten, dassSitzungszuverlässigkeit immer gegeben ist.


15. Klicken Sie auf Erstellen, um die NetScaler Gateway-Bereitstellung der Liste imDialogfeld Remotezugriff aktivieren hinzuzufügen.

16. Wiederholen Sie erforderlichenfalls die Schritte 4 bis 15 zum Hinzufügen weitererNetScaler Gateway-Bereitstellungen zur Liste NetScaler Gateway-Geräte. Wenn SieZugriff über mehrere Bereitstellungen aktivieren, indem Sie mehr als einen Eintrag inder Liste auswählen, geben Sie die Standardbereitstellung für den Zugriff auf den Storean.


111

112

So verwalten Sie Citrix Receiver-Updates


Mit der Aufgabe Citrix Receiver-Updates verwalten können Sie angeben, wie UpdatesBenutzern, die Receiver für Windows auf einem Gerät installieren und zum ersten Mal aufden Store zugreifen, bereitgestellt werden sollen. Wenn Sie automatische Updates von derCitrix Website aktivieren, können Sie auch zusätzliche Plug-Ins für die Installation aufBenutzergeräten bereitstellen, sodass Benutzer sofort auf alle Funktionen des Storeszugreifen können, wenn sie Receiver für Windows konfiguriert haben.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im BereichAktionen auf Citrix Receiver-Updates verwalten.

3. Geben Sie an, wie Benutzer, die Receiver für Windows zum ersten Mal verwenden, beimZugriff auf den Store Updates erhalten sollen.

• Wenn Sie möchten, dass Benutzer Updates automatisch von Citrix erhalten, wählenSie Citrix (citrix.com) aus. Benutzer erhalten automatisch die neuesten Updates fürReceiver für Windows und ihre Plug-Ins von der Citrix Website, wenn sie mit demInternet verbunden sind.

• Wenn Sie Merchandising Server zum Verwalten von Updates für Receiver fürWindows verwenden, wählen Sie Merchandising Server und geben denvollqualifizierten Domänennamen des Merchandising Server-Geräts an. Wenn SieHTTPS für die Kommunikation mit dem Authentifizierungsdienst verwenden, stellenSie sicher, dass Sie SSL (Secure Sockets Layer)-Zertifikate auf dem MerchandisingServer-Gerät installieren. Weitere Informationen zum Verwenden desStoreFront-Authentifizierungsdiensts, damit Merchandising Server Benutzeridentifizieren kann, finden Sie unter Konfigurieren der Authentifizierung.

• Wenn Sie eine alternative Strategie für die Verwaltung von Updates haben, z. B. einelektronisches Softwareverteilungstool eines Drittanbieters, wählen Sie die OptionNicht nach Updates suchen. Benutzer können weiterhin manuell über die Receiverfür Windows-Benutzeroberfläche nach Updates suchen.

4. Wenn Sie automatische Updates von der Citrix Website konfiguriert haben, geben Siedie Plug-Ins an, die auf Benutzergeräten installiert werden sollen.

• Wählen Sie Offline Plug-In aus, damit Citrix Receiver für Windows-Benutzer aufOfflineanwendungen zugreifen können.

http://support.citrix.com/proddocs/topic/merchandising-22/nl/de/mer-config-client-token.html

• Wählen Sie Secure Access Plug-In aus, damit Benutzer in öffentlichen NetzwerkenVPN-Verbindungen (virtuelles privates Netzwerk) mit dem Store und anderenRessourcen im internen Netzwerk herstellen können. Wenn Sie den Store fürVPN-Vollzugriff für Benutzer konfiguriert haben, ist das NetScaler Gateway-Plug-Instandardmäßig enthalten und kann nicht entfernt werden.

• Wählen Sie HDX RealTime Media Engine aus, damit Receiver für Windows-Benutzerauf über XenDesktop-Ressourcen bereitgestellte Audio- und Videokommunikationenzugreifen können.

So verwalten Sie Citrix Receiver-Updates

113

114

So integrieren Sie CitrixOnline-Anwendungen in Stores


Mit der Aufgabe Integration mit Citrix Online können Sie die Citrix Online-Anwendungenauswählen, die Sie in einen Store einfügen möchten, und die Aktion festlegen, die CitrixReceiver ausführt, wenn Benutzer eine Citrix Online-Anwendung abonnieren.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im BereichAktionen auf Integration mit Citrix Online.

3. Wählen Sie die Citrix Online-Anwendungen aus, die Sie dem Store hinzufügen möchten,und legen Sie die Aktion fest, die Citrix Receiver ausführt, wenn Benutzer eine CitrixOnline-Anwendung abonnieren.

• Wenn es auch für Benutzer ohne Konto für die ausgewählten Anwendungen möglichsein soll, die Citrix Website aufzurufen und ein persönliches Testkonto einzurichten,wählen Sie Benutzern beim Erstellen eines Probeabokontos helfen (fallserforderlich) aus.

• Wenn Benutzer sich an den Systemadministrator wenden sollen, um ein Konto fürdie ausgewählten Anwendungen zu erhalten, wählen Sie Benutzer auffordern, denHelpdesk bezüglich der Kontoerstellung zu kontaktieren.

• Wenn bereits Konten für alle Benutzer für die ausgewählten Anwendungenvorhanden sind, wählen Sie Anwendung sofort hinzufügen aus.

115

So konfigurieren Sie Unterstützung fürVerbindungen über XenAppServices-URLs


Mit der Aufgabe Legacyunterstützung konfigurieren konfigurieren Sie Zugriff auf Ihre Storesüber XenApp Services-URLs. Benutzer domänengebundener Desktopgeräte undumfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sowie Benutzer mitälteren Citrix Clients, die nicht aktualisiert werden können, können über dieXenApp-Services-URL direkt auf Stores zugreifen. Wenn Sie einen neuen Store erstellen,wird die XenApp Services-URL standardmäßig aktiviert.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenStores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im BereichAktionen auf Configure Legacy Support.

3. Aktivieren oder deaktivieren Sie das Kontrollkästchen Legacyunterstützung aktivieren,um den Benutzerzugriff auf den Store über die angezeigte XenApp Services-URL zuaktivieren oder zu deaktivieren.

Die XenApp Services-URL für den Store hat das Formathttp[s]://serveraddress/Citrix/storename/PNAgent/config.xml, wobei serveraddressder vollqualifizierte Domänenname des Servers oder der Lastausgleichsumgebung fürdie StoreFront-Bereitstellung ist und storename der für den Store bei der Erstellungangegebene Name.

4. Wenn Sie die Legacyunterstützung aktivieren, geben Sie optional einen Standardstore inder StoreFront-Bereitstellung für Benutzer mit dem Citrix Online Plug-In an.

Geben Sie einen Standardstore an, sodass die Benutzer das Citrix Online Plug-In stattmit der XenApp Services-URL für einen bestimmten Store mit der Server-URL oder derLastausgleichs-URL der StoreFront-Bereitstellung konfigurieren können.

116

Generieren von Sicherheitsschlüsseln fürStores


Mit der Aufgabe Sicherheitsschlüssel erstellen können Sie neue Sicherheitsschlüssel fürselbstsignierte Zertifikate generieren, die von einem Store verwendet werden. Als bewährteMethode empfiehlt Citrix, aus Sicherheitsgründen regelmäßig neue Sicherheitscodes fürselbstsignierte Zertifikate zu generieren, die von StoreFront erzeugt wurden. Wenn Sieneue Sicherheitsschlüssel generieren, müssen sich alle Benutzer, die derzeit angemeldetsind, neu bei den Stores authentifizieren. Diese Aufgabe wird daher am besten zu Zeitenmit niedriger Benutzeraktivität durchgeführt.


117

Entfernen von Stores


Mit der Aufgabe Store entfernen können Sie einen Store löschen. Wenn Sie einen Store zuentfernen, werden alle diesem zugeordneten Receiver für Web-Sites, Desktopgerätesitesund XenApp Services-URLs ebenfalls gelöscht.


118

So erstellen Sie eine Receiver fürWeb-Site


Mit der Aufgabe Website erstellen können Sie Receiver für Web-Sites hinzufügen, sodassBenutzer über eine Webseite auf Stores zugreifen können.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenReceiver für Web aus und klicken Sie im Bereich Aktionen auf Website erstellen.

3. Wählen Sie den Store aus, für den Sie die Receiver für Web-Site erstellen möchten. Umeine Site für einen auf einem anderen Server gehosteten Store zu erstellen, wählen SieRemotestore aus und geben Sie die URL des Remotestores an.

4. Wenn Sie die URL ändern möchten, über die Benutzer auf die Receiver für Web-Sitezugreifen, nehmen Sie die erforderlichen Änderungen im Feld Websitepfad vor. KlickenSie auf Erstellen und anschließend auf Fertig stellen, nachdem die Site erstellt wurde.

Die URL, über die Benutzer auf die Receiver für Web-Site zugreifen, wird angezeigt.Weitere Informationen zum Ändern der Einstellungen für Receiver für Web-Sites findenSie unter Konfigurieren von Receiver für Web-Sites.

Standardmäßig versucht die Site zu ermitteln, ob Citrix Receiver auf dem Benutzergerätinstalliert ist, wenn ein Benutzer über einen Computer unter Windows oder Mac OS X aufReceiver für Web-Sites zugreift. Wenn Citrix Receiver nicht erkannt wird, wird der Benutzeraufgefordert, die entsprechende Citrix Receiver-Version für seine Plattform von der CitrixWebsite herunterzuladen und zu installieren. Weitere Informationen über das Ändern dieserFunktionsweise finden Sie in unter So deaktivieren Sie die Erkennung und Bereitstellung vonCitrix Receiver.

Die Standardkonfiguration für Receiver für Web-Sites erfordert, dass Benutzer einekompatible Version von Citrix Receiver installieren, um auf ihre Desktops und Anwendungenzuzugreifen. Sie können jedoch Receiver für HTML5 auf den Receiver für Web-Sitesaktivieren, sodass Benutzer, die Citrix Receiver nicht installieren können, weiterhin Zugriffauf Ressourcen haben. Weitere Informationen finden Sie unter Konfigurieren von Receiverfür Web-Sites.

119

Konfigurieren von Receiver für Web-Sites


Mit Receiver für Web-Sites können Benutzer über eine Webseite auf Stores zugreifen. Mitden folgenden Anleitungen können Sie die Einstellungen für Receiver für Web-Sites ändern.Einige erweiterte Einstellungen können nur durch Bearbeitung der Sitekonfigurationsdateiengeändert werden. Weitere Informationen finden Sie unter Konfigurieren von Receiver fürWeb-Sites mit Konfigurationsdateien.


So fügen Sie Ressourcenverknüpfungen anderenWebsites hinzu

Verwenden Sie die Aufgabe Websites Verknüpfungen hinzufügen, um Benutzern schnellenZugriff auf Desktops und Anwendungen über Websites, die im internen Netzwerk gehostetwerden, zu gestatten. Dafür generieren Sie URLs für Ressourcen, die über eine Receiver fürWeb-Site verfügbar sind, und betten diese Links in die Websites ein. Die Benutzer klickenauf einen Link und werden an die Receiver für Web-Site weitergeleitet, wo sie sichanmelden, wenn sie dies nicht bereits getan haben. Die Receiver für Web-Site startetautomatisch die Ressource. Im Fall von Anwendungen wird zudem ein Abonnement für dieBenutzer erstellt, wenn diese eine Anwendung noch nicht abonniert haben.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenReceiver für Web aus und wählen Sie im Ergebnisbereich eine Site aus. Klicken Sie imBereich Aktionen auf Websites Verknüpfungen hinzufügen.

3. Klicken Sie auf Hinzufügen, um die URL für eine Website hinzuzufügen, auf der SieVerknüpfungen hosten möchten. URLs müssen in dem Format http[s]://hostname[:port]angegeben werden, wobei hostname der vollqualifizierte Domänenname desWebsitehosts und port der Port für die Kommunikation mit dem Host ist, der verwendetwird, wenn der Standardport für das Protokoll nicht verfügbar ist. Pfade zu spezifischenSeiten auf der Website sind nicht erforderlich. Wenn Sie eine URL ändern möchten,wählen Sie den Eintrag in der Liste Websites aus und klicken Sie auf Bearbeiten. WählenSie einen Eintrag in der Liste aus und klicken Sie auf Entfernen, wenn Sie die URL einerWebsite löschen möchten, auf der Sie keine Verknüpfungen zu über Receiver fürWeb-Site verfügbaren Ressourcen mehr hosten möchten.

4. Klicken Sie auf Anwendungsverknüpfungen von der Receiver für Web-Site abrufen undklicken Sie dann auf Speichern, wenn Sie dazu aufgefordert werden, die

Konfigurationsänderungen zu speichern.

5. Melden Sie sich bei der Receiver für Web-Site an und kopieren Sie die erforderlichenURLs in Ihre Website.

Ändern des Stores für eine Receiver für Web-SiteMit der Aufgabe Store ändern ändern Sie den Store, auf den Benutzer über eine Receiver fürWeb-Site zugreifen. Über jede Site kann nur auf jeweils einen einzigen Store zugegriffenwerden. Um zu einem auf einem anderen Server gehosteten Store zu wechseln, wählen SieRemotestore aus und geben Sie die URL des Remotestores an.

So konfigurieren Sie die Funktionsweise der Site fürBenutzer ohne Citrix Receiver

Verwenden Sie die Aufgabe Citrix Receiver bereitstellen zum Konfigurieren derFunktionsweise einer Receiver für Web-Site, wenn ein Windows- oder Mac OS X-Benutzerohne Citrix Receiver auf die Site zugreift. Standardmäßig wird bei einem Zugriff von einemComputer mit Windows oder mit Mac OS X von Receiver für Web-Sites automatisch versucht,zu ermitteln, ob Citrix Receiver installiert ist. Weitere Informationen über das Änderndieser Funktionsweise finden Sie in unter So deaktivieren Sie die Erkennung undBereitstellung von Citrix Receiver.

Wenn Citrix Receiver nicht erkannt wird, wird der Benutzer aufgefordert, dieentsprechende Citrix Receiver-Version für seine Plattform herunterzuladen und zuinstallieren. Der Standardort für den Download ist die Citrix Website; Sie können jedochauch die Installationsdateien auf den StoreFront-Server kopieren und Benutzern dieselokalen Dateien anbieten. Weitere Informationen finden Sie unter So stellen Sie CitrixReceiver-Installationsdateien auf dem Server zur Verfügung.

Für Benutzer, die Citrix Receiver nicht installieren können, können Sie Receiver für HTML5auf Ihren Receiver für Web-Sites aktivieren. Mit Receiver für HTML5 können Benutzer aufDesktops und Anwendungen direkt über einen HTML5-kompatiblen Webbrowser zugreifen,ohne dass Citrix Receiver installiert werden muss. Es werden sowohl interneNetzwerkverbindungen als auch Verbindungen über NetScaler Gateway unterstützt. BeiVerbindungen über das interne Netzwerk unterstützt Receiver für HTML5 allerdings nur denZugriff auf Ressourcen, die von bestimmten Produkten bereitgestellt werden. Außerdemsind bestimmte Versionen von NetScaler Gateway erforderlich, um Verbindungen vonaußerhalb des Unternehmensnetzwerks zu ermöglichen. Weitere Informationen finden Sieunter Anforderungen an die Infrastruktur.

Für lokale Benutzer im internen Netzwerk ist der Zugriff über Receiver für HTML5 aufRessourcen, die von XenDesktop und XenApp bereitgestellt werden, standardmäßigdeaktiviert. Sie aktivieren den lokalen Zugriff auf Desktops und Anwendungen über Receiverfür HTML5, indem Sie die ICA-Richtlinie WebSockets-Verbindungen auf den XenDesktop- undXenApp-Servern aktivieren. Port 8008 wird sowohl von XenDesktop als auch von XenApp fürVerbindungen über Receiver für HTML5 verwendet. Stellen Sie sicher, dass Firewalls undandere Netzwerkgeräte den Zugriff auf diesen Port zulassen. Weitere Informationen findenSie unter Einstellungen der Richtlinie "WebSockets".

Receiver für HTML5 kann nur mit Internet Explorer über HTTP-Verbindungen verwendetwerden. Wenn Benutzer Receiver für HTML5 mit Mozilla Firefox über HTTPS-Verbindungen


120


verwenden möchten, müssen sie about:config in die Adressleiste von Firefox eingeben unddie Einstellung network.websocket.allowInsecureFromHTTPS auf true setzen.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenReceiver für Web aus und wählen Sie im Ergebnisbereich eine Site aus. Klicken Sie imBereich Aktionen auf Citrix Receiver bereitstellen.

3. Geben Sie die Antwort der Receiver für Web-Site ein, wenn Citrix Receiver nicht aufeinem Gerät des Benutzers erkannt werden kann.

• Sollen die Benutzer aufgefordert werden, die für ihre Plattform geeignete CitrixReceiver-Version herunterzuladen und zu installieren, wählen Lokal installieren.Benutzer müssen dann Citrix Receiver installieren, um Zugriff auf Desktops undAnwendungen über die Site zu erhalten.

• Sollen die Benutzer aufgefordert werden, Citrix Receiver herunterzuladen und zuinstallieren, wobei die Verwendung von Receiver für HTML5 möglich ist, wenn CitrixReceiver nicht installiert werden kann, wählen Sie Receiver für HTML5 verwenden,falls lokale Installation fehlschlägt. Benutzer ohne Citrix Receiver werden dann beijeder Anmeldung bei der Site aufgefordert, Citrix Receiver herunterzuladen und zuinstallieren.

• Wenn Sie möchten, dass der Zugriff auf Ressourcen über Receiver für HTML5möglich ist, ohne den Benutzer aufzufordern, Citrix Receiver herunterzuladen undzu installieren, wählen Sie Immer Receiver für _HTML5 verwenden aus. Benutzerohne Citrix Receiver greifen dann immer auf Desktops und Anwendungen auf derSite über Receiver für HTML5 zu, sofern sie einen HTML5-kompatiblen Browserhaben.

Entfernen von Receiver für Web-SitesMit der Aufgabe Website entfernen können Sie eine Receiver für Web-Site löschen. WennSie eine Site entfernen, können Benutzer diese nicht mehr für den Zugriff auf den Storeverwenden.


121

122

So fügen Sie eine NetScalerGateway-Verbindung hinzu


Verwenden Sie die Aufgabe NetScaler Gateway-Gerät hinzufügen zum Hinzufügen vonNetScaler Gateway-Bereitstellungen, über die Benutzer auf Ihre Stores zugreifen können.Sie müssen die Passthrough-Authentifizierungsmethode von Access Gateway aktivieren, umRemotezugriff auf die Stores über NetScaler Gateway konfigurieren zu können. WeitereInformationen über die Konfiguration von NetScaler Gateway für StoreFront finden Sie unterIntegrating NetScaler Gateway with XenMobile.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenNetScaler Gateway aus und klicken Sie im Bereich Aktionen auf NetScalerGateway-Gerät hinzufügen.

3. Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die NetScalerGateway-Bereitstellung an, über den die Benutzer sie erkennen können.



















So fügen Sie eine NetScaler Gateway-Verbindung hinzu

123



11. Alle Bereitstellungen: Wenn Sie Ressourcen von XenDesktop, XenApp oder VDI-in-a-Boxim Store verfügbar machen, listen Sie auf der Seite Secure Ticket Authority (STA) URLsfür Server auf, auf denen die STA ausgeführt wird. Geben Sie aus Gründen derFehlertoleranz URLs für mehrere STAs ein und führen Sie die Server dabei in derReihenfolge ihrer Priorität auf, um die Failoversequenz festzulegen. Wenn Sie einerasterweite virtuelle IP-Adresse für die VDI-in-a-Box-Bereitstellung konfiguriert haben,müssen Sie nur diese Adresse angeben, um die Fehlertoleranz zu aktivieren.





13. Klicken Sie auf Erstellen, um Details der NetScaler Gateway-Bereitstellunghinzuzufügen. Nach der Bereitstellung hinzugefügt wurde, klicken Sie auf Fertig stellen.

Weitere Informationen zum Aktualisieren der Details der Bereitstellungen finden Sieunter Konfigurieren von NetScaler Gateway-Verbindungseinstellungen.

Für den Zugriff auf Stores über NetScaler Gateway sind ein interner und mindestens zweiexterne Beacons erforderlich. Citrix Receiver verwendet Beacons, um zu ermitteln, obBenutzer mit einem lokalen oder öffentlichen Netzwerk verbunden sind, und wähltdaraufhin die richtige Zugriffsmethode aus. Standardmäßig verwendet StoreFront dieServer-URL oder die Lastausgleichs-URL der Bereitstellung als internen Beacon. Die URLs derCitrix Website und des virtuellen Servers oder Benutzeranmeldepunkts (Access Gateway5.0) der zuerst hinzugefügten NetScaler Gateway-Bereitstellung werden standardmäßig alsexterne Beacons verwendet. Weitere Informationen zum Ändern der Beacons finden Sieunter So konfigurieren Sie Beacons.


124

Damit Benutzer auf Stores über NetScaler Gateway zugreifen können, stellen Sie sicher,dass Sie den Remotebenutzerzugriff für diese Stores konfigurieren.


125

126

Konfigurieren von NetScalerGateway-Verbindungseinstellungen


Anhand der folgenden Anleitungen können Sie die Details von NetScalerGateway-Bereitstellungen aktualisieren, über die Benutzer auf Stores zugreifen. WeitereInformationen über die Konfiguration von NetScaler Gateway für StoreFront finden Sie unterIntegrating NetScaler Gateway with XenMobile.

Wenn Sie ihre NetScaler Gateway-Bereitstellungen ändern, müssen Benutzer, die durchdiese Bereitstellungen auf Stores zugreifen, Citrix Receiver mit den geändertenVerbindungsinformationen aktualisieren. Bei der Konfiguration einer Receiver für Web-Sitefür einen Store können Benutzer eine aktualisierte Citrix Receiver-Provisioningdatei von derSite beziehen. Andernfalls können Sie eine Provisioningdatei für den Store exportieren unddiese Datei für die Benutzer verfügbar machen.


So ändern Sie allgemeine NetScalerGateway-Einstellungen

Mit Allgemeine Einstellungen ändern bearbeiten Sie die Namen der NetScalerGateway-Bereitstellungen, die Benutzern angezeigt werden, und aktualisieren dieStoreFront-Konfiguration, wenn sich die URL des virtuellen Servers oder des Anmeldepunktsund der Bereitstellungsmodus der NetScaler Gateway-Infrastruktur ändert.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Managementkonsole den KnotenNetScaler Gateway und im Ergebnisbereich eine NetScaler Gateway-Bereitstellung aus.Klicken Sie im Bereich Aktionen auf Allgemeine Einstellungen ändern.

3. Geben Sie einen Namen für die NetScaler Gateway-Bereitstellung an, mit dem dieBenutzer sie leicht identifizieren können.

Benutzern wird der Anzeigename angezeigt, den Sie in Citrix Receiver angegebenhaben. Nehmen Sie deshalb relevante Informationen in den Namen auf, damit Benutzerleichter entscheiden können, ob sie die Bereitstellung verwenden möchten.Beispielsweise können Sie den geographischen Standort in die Anzeigenamen derNetScaler Gateway-Bereitstellungen einfügen, damit Benutzer problemlos das beste


Gateway für ihren Standort identifizieren können.



5. Wenn in der Bereitstellung Access Gateway 5.0 ausgeführt wird, fahren Sie mit Schritt 7fort. Andernfalls und geben Sie ggf. die Subnetz-IP-Adresse des NetScalerGateway-Geräts an. Eine Subnetz IP-Adresse ist für Access Gateway 9.3-Geräteerforderlich, aber für neuere Produktversionen optional.


6. Wenn Ihr Gerät NetScaler Gateway 10.1, Access Gateway 10 oder Access Gateway 9.3ausgeführt, wählen Sie unter den Anmeldetypen die Authentifizierungsmethode aus, dieSie auf dem Gerät für Benutzer von Citrix Receiver konfiguriert haben.







Wenn Sie die Smartcardauthentifizierung mit einer sekundärenAuthentifizierungsmethode konfigurieren, auf die Benutzer zurückgreifen können, wennes Probleme mit den Smartcards gibt, wählen Sie die sekundäreAuthentifizierungsmethode aus der Liste Smartcard-Fallback.

7. Wenn Ihre Bereitstellung aus NetScaler Gateway 10.1, Access Gateway 10, AccessGateway 9.3 oder einem einzelnen Access Gateway 5.0-Gerät besteht, geben Sie dieURL für den NetScaler Gateway-Authentifizierungsdienst in das Feld Callback-URL ein.StoreFront fügt automatisch den Standardteil der URL an.

Konfigurieren von NetScaler Gateway-Verbindungseinstellungen

127


Verwalten von Access Gateway 5.0-GerätenMit Geräte verwalten können Sie die IP-Adressen oder FQDNs der Geräte im Access Gateway5.0-Cluster StoreFront hinzufügen, sie bearbeiten oder entfernen.

Aktivieren der Authentifizierung ohne Benutzereingriffdurch Access Controller

Mit Authentifizierung ohne Benutzereingriff aktivieren können Sie URLs für denAuthentifizierungsdienst, der auf den Access Controller-Servern für das Access Gateway5.0-Cluster ausgeführt wird, hinzufügen, bearbeiten oder entfernen. Geben Sie aus Gründender Fehlertoleranz URLs für mehrere Server ein und führen Sie die Server dabei in derReihenfolge ihrer Priorität auf, um die Failoversequenz festzulegen. StoreFrontauthentifiziert Remotebenutzer über den Authentifizierungsdienst, damit sie ihreAnmeldeinformationen nicht neu eingeben müssen, wenn sie auf Stores zugreifen.

So verwalten Sie Secure Ticket AuthoritiesMit Secure Ticket Authority können Sie die Liste der Secure Ticket Authorities (STAs), ausder StoreFront Sitzungstickets für Benutzer abruft, aktualisieren und Sitzungszuverlässigkeitkonfigurieren. Die STA wird auf XenDesktop-, XenApp- und VDI-in-a-Box-Servern gehostetund gibt Sitzungstickets als Reaktion auf Verbindungsanforderungen aus. Auf diesenSitzungstickets basiert die Authentifizierung und Autorisierung für den Zugriff aufXenDesktop-, XenApp- und VDI-in-a-Box-Ressourcen.


2. Wählen Sie im linken Bereich der Citrix StoreFront-Managementkonsole den KnotenNetScaler Gateway und im Ergebnisbereich eine NetScaler Gateway-Bereitstellung aus.Klicken Sie im Bereich Aktionen auf Secure Ticket Authority.

3. Klicken Sie auf Hinzufügen, um die URL eines Servers, auf dem die STA ausgeführt wird,einzugeben. Geben zur Aktivierung der Fehlertoleranz die URLs mehrerer Secure TicketAuthority-Server an und führen Sie die Server dabei in der Reihenfolge ihrer Prioritätauf, um die Failoversequenz festzulegen. Wenn Sie eine rasterweite virtuelle IP-Adressefür die VDI-in-a-Box-Bereitstellung konfiguriert haben, müssen Sie nur diese Adresseangeben, um die Fehlertoleranz zu aktivieren. Wenn Sie eine URL ändern möchten,wählen Sie den Eintrag in der Liste Secure Ticket Authority-URLs und klicken Sie aufBearbeiten. Wählen Sie eine URL in der Liste und klicken Sie auf Entfernen, damitStoreFront zukünftig keine Sitzungstickets von dieser STA bezieht.



128



Entfernen von NetScaler Gateway-BereitstellungenVerwenden Sie NetScaler Gateway-Gerät entfernen, um die Details einer NetScalerGateway-Bereitstellung aus StoreFront zu löschen. Nach dem Entfernen eines NetScalerGateway-Geräts können Benutzer nicht mehr über diese Bereitstellung auf Stores zugreifen.


129

130

So konfigurieren Sie Beacons


Mit der Aufgabe Beacons verwalten können Sie URLs innerhalb und außerhalb des internenNetzwerks angeben, die als Beacons verwendet werden sollen. Citrix Receiver versucht eineKontaktaufnahme mit den Beacons und ermittelt anhand der Antworten, ob Benutzer mitlokalen oder öffentlichen Netzwerken verbunden sind. Wenn ein Benutzer auf einenDesktop oder eine Anwendung zugreift, werden die Standortinformationen an den Servermit der Ressource weitergegeben, sodass die entsprechenden Verbindungsinformationen anCitrix Receiver zurückgegeben werden können. Dadurch wird sichergestellt, dass Benutzernicht aufgefordert werden, sich neu anmelden, wenn sie auf einen Desktop oder eineAnwendung zugreifen.

Beispiel: Wenn der interne Beacon zugänglich ist, ist der Benutzer mit dem lokalenNetzwerk verbunden. Wenn Citrix Receiver den internen Beacon nicht kontaktieren kannund Antworten von beiden externen Beacons empfängt, hat der Benutzer eineInternetverbindung, ist jedoch außerhalb des Unternehmensnetzwerks. Daher muss derBenutzer eine Verbindung mit Desktops und Anwendungen über NetScaler Gatewayherstellen. Wenn ein Benutzer auf einen Desktop oder eine Anwendung zugreift, wird derServer mit der Ressource benachrichtigt, um Details zum NetScaler Gateway-Gerät, überdas die Verbindung geleitet werden muss, bereitzustellen. Dies bedeutet, dass der Benutzersich beim Zugriff auf den Desktop oder die Anwendung nicht am Gerät anmelden muss.

Standardmäßig verwendet StoreFront die Server-URL oder die Lastausgleichs-URL derBereitstellung als internen Beacon. Die URLs der Citrix Website und des virtuellen Serversoder Benutzeranmeldepunkts (Access Gateway 5.0) der zuerst hinzugefügten NetScalerGateway-Bereitstellung werden standardmäßig als externe Beacons verwendet.

Wenn Sie Beacons ändern, müssen Sie sicherstellen, dass Benutzer Citrix Receiver mit dengeänderten Beaconinformationen aktualisieren. Bei der Konfiguration einer Receiver fürWeb-Site für einen Store können Benutzer eine aktualisierte CitrixReceiver-Provisioningdatei von der Site beziehen. Andernfalls können Sie eineProvisioningdatei für den Store exportieren und diese Datei für die Benutzer verfügbarmachen.



2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den KnotenBeacons aus und klicken Sie im Bereich Aktionen auf Beacons verwalten.

3. Geben Sie die URL für die Verwendung als interner Beacon an.

• Zum Verwenden der Server-URL oder der Lastausgleichs-URL derStoreFront-Bereitstellung, wählen Sie Dienst-URL verwenden.

• Zum Verwenden einer anderen URL wählen Sie Beaconadresse angeben und gebenSie eine hoch verfügbare URL im internen Netzwerk an.

4. Klicken Sie auf Hinzufügen, um die URL eines externen Beacons hinzuzufügen. ZumÄndern eines Beacons wählen Sie die URL in der Liste Externe Beacons aus und klickenSie auf Bearbeiten. Wählen Sie eine URL in der Liste aus und klicken Sie auf Entfernen,um die Verwendung der Adresse als Beacon zu beenden.

Sie müssen mindestens zwei hoch verfügbare externe Beacons, die von öffentlichenNetzwerken aus aufgelöst werden können, angeben. So kann Citrix Receiver ermitteln,ob Benutzer hinter einer Internetpaywall sind, z. B. in einem Hotel oder Internetcafé.In solchen Fällen stellen alle externen Beacons eine Verbindung mit demselben Proxyher.

So konfigurieren Sie Beacons

131

132

Konfigurieren derSmartcardauthentifizierung


Dieser Abschnitt bietet einen Überblick über die Aufgaben zum Einrichten derSmartcardauthentifizierung für alle Komponenten in einer typischenStoreFront-Bereitstellung. Weitere Informationen und schrittweise Anweisungen zurKonfiguration finden Sie in der Dokumentation für die einzelnen Produkte.

Voraussetzungen• Stellen Sie sicher, dass die Konten für alle Benutzer entweder in der Microsoft Active

Directory-Domäne konfiguriert werden, in der Sie die StoreFront-Server bereitstellen,oder in einer Domäne, die eine direkte bidirektionale Vertrauensstellung mit derStoreFront-Serverdomäne hat.

• Wenn Sie die Passthrough-Authentifizierung mit Smartcards aktivieren möchten, müssenSie sicherstellen, dass die Smartcardleser, die Art und Konfiguration der Middlewareund die Richtlinie für das Zwischenspeichern von Middleware-PINs dies gestatten.

• Installieren Sie die Smartcard-Middleware des Herstellers auf den virtuellen oderphysischen Maschinen, auf denen Virtual Delivery Agent zur Bereitstellung von Desktopsund Anwendungen ausgeführt wird. Weitere Informationen zur Verwendung vonSmartcards mit XenDesktop finden Sie unter Sicheres Authentifizieren mit Smartcards.

• Bevor Sie fortfahren, vergewissern Sie sich, dass die Public Key-Infrastruktur richtigkonfiguriert ist. Prüfen Sie die ordnungsgemäße Konfiguration derZertifikat-/Kontenzuordnung für die Active Directory-Umgebung und ob dieZertifikatüberprüfung erfolgreich ausgeführt werden kann.

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-smart-cards-wrapper.html

Konfigurieren von NetScaler Gateway• Installieren Sie auf dem NetScaler Gateway-Gerät ein signiertes Serverzertifikat von

einer Zertifizierungsstelle. Weitere Informationen finden Sie unter Installieren undVerwalten von Zertifikaten.

• Installieren Sie auf dem Gerät das Stammzertifikat der Zertifizierungsstelle, die dieSmartcardbenutzerzertifikate ausstellt. Weitere Informationen finden Sie unter Toinstall a root certificate on NetScaler Gateway.

• Erstellen und konfigurieren Sie einen virtuellen Server für dieClientzertifikatauthentifizierung. Erstellen Sie eine Richtlinie für dieZertifikatauthentifizierung mit SubjectAltName:PrincipalName alsBenutzernamenextrahierung aus dem Zertifikat. Binden Sie dann die Richtlinie an denvirtuellen Server und konfigurieren Sie den virtuellen Server zum Anfordern vonClientzertifikaten. Weitere Informationen finden Sie unter Configuring and Binding aClient Certificate Authentication Policy.

• Binden Sie das Zertifizierungsstellen-Stammzertifikat an den virtuellen Server. WeitereInformationen finden Sie unter To add a root certificate to a virtual server.

• Sie können sicherstellen, dass Benutzer beim Herstellen einer Verbindung zu ihrenRessourcen nicht ein weiteres Mal vom virtuellen Server aufgefordert werden, ihreAnmeldeinformationen einzugeben, indem Sie einen zweiten virtuellen Server erstellen.Wenn Sie den virtuellen Server erstellen, deaktivieren Sie die Clientauthentifizierung inden SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unterKonfigurieren der Smartcardauthentifizierung.

Sie müssen auch StoreFront so konfigurieren, dass Benutzerverbindungen zu Ressourcenüber diesen zusätzlichen virtuellen Server geleitet werden. Benutzer melden sich beimersten virtuellen Server an und der zweite virtuelle Server wird für Verbindungen zuihren Ressourcen verwendet. Wenn die Verbindung hergestellt ist, brauchen Benutzersich nicht bei NetScaler Gateway zu authentifizieren. Sie müssen bei der Anmeldung anihren Desktops und Anwendungen jedoch ihre PIN eingeben. Das Konfigurieren eineszweiten virtuellen Servers für Verbindungen zu Ressourcen ist optional, sofern Sie nichtplanen, allen Benutzern bei Problemen mit der Smartcard den Rückgriff auf dieexplizite Authentifizierung zu gestatten.

• Erstellen Sie Sitzungsrichtlinien und Profile für Verbindungen von NetScaler Gateway zuStoreFront und binden Sie diese an den geeigneten virtuellen Server. WeitereInformationen finden Sie unter Access to StoreFront Through NetScaler Gateway.

• Wenn Sie den virtuellen Server für Verbindungen mit StoreFront so konfiguriert haben,dass eine Clientzertifikat-Authentifizierung für die gesamte Kommunikation erforderlichist, müssen Sie einen weiteren virtuellen Server zum Bereitstellen der Callback-URL fürStoreFront erstellen. Dieser virtuelle Server wird nur von StoreFront verwendet, umAnforderungen vom NetScaler Gateway-Gerät zu überprüfen. Daher muss er nichtöffentlich zugänglich sein. Ein eigener virtueller Server ist erforderlich, wenn dieClientzertifikat-Authentifizierung obligatorisch ist, da StoreFront kein Zertifikat für dieAuthentifizierung vorlegen kann. Weitere Informationen finden Sie unter CreatingAdditional Virtual Servers.

Konfigurieren der Smartcardauthentifizierung

133

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-certificate-wrapper-con.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-certificate-wrapper-con.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-multifactor-auth-client-certs-with-ldap-tsk.html


http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-client-cert-vserver-and-bind-tsk.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-client-cert-vserver-and-bind-tsk.html


http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-client-cert-smart-card-tsk.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-clg-storefront-policies-con.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-configure-vservers-wrapper-con.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/nl/de/ng-configure-vservers-wrapper-con.html

Konfigurieren von StoreFront• Sie müssen HTTPS für die Kommunikation zwischen StoreFront und Benutzergeräten

verwenden, um die Smartcardauthentifizierung zu aktivieren. Konfigurieren SieMicrosoft-Internetinformationsdienste (IIS) für HTTPS, indem Sie ein SSL-Zertifikat in IISbeziehen und dann die HTTPS-Bindung zu der Standardwebsite hinzufügen. WeitereInformationen zum Erstellen eines Serverzertifikats in IIS finden Sie unterhttp://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. WeitereInformationen über das Hinzufügen von HTTPS Bindung zu einer IIS-Website finden Sieunter http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.

• Wenn Sie möchten, dass Clientzertifikate für HTTPS-Verbindungen zu allenStoreFront-URLs präsentiert werden, konfigurieren Sie IIS auf dem StoreFront-Server.

Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in IIS nur, dassClientzertifikate für HTTPS-Verbindungen mit der URL für dieZertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiertwerden. Diese Konfiguration ist erforderlich, damit Smartcardbenutzer auf die expliziteAuthentifizierung zurückgreifen können und, mit den entsprechendenWindows-Richtlinieneinstellungen, damit Benutzer ihre Smartcard entfernen können,ohne sich neu authentifizieren zu müssen.

Wenn IIS so konfiguriert ist, dass Clientzertifikate für HTTPS-Verbindungen zu allenStoreFront-URLs erforderlich sind, können Benutzer von Smartcards keine Verbindungüber NetScaler Gateway herstellen und nicht auf die explizite Authentifizierungzurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards ausGeräten entfernen. Zum Aktivieren dieser IIS-Sitekonfiguration müssenAuthentifizierungsdienst und Stores auf demselben Server sein und es muss einClientzertifikat verwendet werden, das für alle Stores gilt.

Wenn Sie StoreFront auf Windows Server 2012 installieren, wird nicht selbstsigniertenZertifikaten, die im Zertifikatspeicher der vertrauenswürdigen Zertifizierungsstellen aufdem Server installiert sind, nicht vertraut, wenn IIS für die Verwendung von SSL undClientzertifikatauthentifizierung konfiguriert ist. Weitere Informationen finden hierzuSie unter http://support.microsoft.com/kb/2802568.

• Installieren und konfigurieren Sie StoreFront. Erstellen Sie den Authentifizierungsdienstund fügen Sie Ihre Stores wie erforderlich hinzu. Wenn Sie Remotezugriff überNetScaler Gateway konfigurieren, aktivieren Sie nicht die VPN-Integration (virtuellesprivates Netzwerk). Weitere Informationen finden Sie unter Installieren und Einrichtenvon StoreFront.

• Aktivieren Sie die Smartcardauthentifizierung bei StoreFront für lokale Benutzer iminternen Netzwerk. Für Smartcardbenutzer, die auf Stores über NetScaler Gatewayzugreifen, aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway undstellen Sie sicher, dass StoreFront so konfiguriert ist, dass die Überprüfung derAnmeldeinformationen an NetScaler Gateway delegiert wird. Wenn Sie beabsichtigen,die Passthrough-Authentifizierung zu aktivieren, wenn Sie Receiver für Windows auf inDomänen eingebundenen Benutzergeräten installieren, aktivieren Sie dieDomänen-Passthrough-Authentifizierung. Weitere Informationen finden Sie unterKonfigurieren des Authentifizierungsdiensts.

Wenn Sie Smartcardbenutzern gestatten möchten, bei Problemen mit der Smartcard auf die explizite Authentifizierung zurückzugreifen, deaktivieren Sie die Authentifizierung über Benutzernamen und Kennwort nicht. Weitere Informationen zu Benutzergeräten,


134



http://support.microsoft.com/kb/2802568

bei denen ein Rückgriff auf die explizite Authentifizierung verfügbar ist, finden Sieunter Verwenden von Smartcards mit StoreFront.

• Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn SieReceiver für Windows auf domänengebundenen Benutzergeräten installieren,bearbeiten Sie die Datei default.ica für den Store, um den Passthrough derSmartcardanmeldeinformationen bei Zugriff auf Desktops und Anwendungen zuermöglichen. Weitere Informationen finden Sie unter So aktivieren Sie Passthrough mitSmartcardauthentifizierung für alle Receiver für Windows.

• Wenn Sie einen zusätzlichen virtuellen Server für NetScaler Gateway erstellt haben, derausschließlich für Verbindungen zu Ressourcen verwendet werden soll, konfigurieren Siedas optimale NetScaler Gateway-Routing über diesen virtuellen Server für Verbindungenmit den Bereitstellungen von Desktops und Anwendungen für den Store. WeitereInformationen finden Sie unter So konfigurieren Sie das optimale NetScalerGateway-Routing für einen Store.

• Damit Benutzer nicht domänengebundener Windows-Desktopgeräte sich bei ihrenDesktops mit Smartcards anmelden können, aktivieren Sie dieSmartcardauthentifizierung bei den Desktopgerätesites. Weitere Informationen findenSie unter Konfigurieren von Desktopgerätesites.

Konfigurieren Sie die Desktopgerätesite für Smartcard- und explizite Authentifizierung,damit sich Benutzer bei einem Problem mit der Smartcard mit explizitenAnmeldeinformationen anmelden können.

• Damit Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, aufdenen Citrix Desktop Lock ausgeführt wird, sich mit Smartcards authentifizierenkönnen, aktivieren Sie die Passthrough-Authentifizierung mit Smartcards für die XenAppServices-URLs. Weitere Informationen finden Sie unter So konfigurieren Sie dieAuthentifizierung für XenApp Services-URLs.


135

Konfigurieren von Benutzergeräten• Stellen Sie sicher, dass die Smartcard-Middleware des Herstellers auf allen

Benutzergeräten installiert ist.

• Installieren Sie für Benutzer nicht domänengebundener Windows-Desktopgeräte CitrixReceiver für Windows Enterprise mit einem Konto mit Administratorrechten.Konfigurieren Sie Internet Explorer so, dass die Anwendung im Vollbildmodus gestartetund die Desktopgerätesite angezeigt wird, wenn das Gerät eingeschaltet ist. BeachtenSie, dass bei Desktopgerätesite-URLs zwischen Groß- und Kleinschreibung unterschiedenwird. Fügen Sie die Desktopgerätesite der Zone "Lokales Intranet" oder"Vertrauenswürdige Sites" in Internet Explorer hinzu. Nachdem Sie geprüft haben, dassSie sich bei der Desktopgerätesite mit einer Smartcard anmelden und auf Ressourcenaus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. WeitereInformationen finden Sie unter So installieren Sie Desktop Lock.

• Installieren Sie für Benutzer domänengebundener Desktopgeräte und für Benutzerumfunktionierter PCs Citrix Receiver für Windows Enterprise mit einem Konto mitAdministratorrechten. Konfigurieren Sie Receiver für Windows mit der XenAppServices-URL für den entsprechenden Store. Nachdem Sie geprüft haben, dass Sie sichbei dem Gerät mit einer Smartcard anmelden und auf Ressourcen aus dem Storezugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sieunter So installieren Sie Desktop Lock.

• Für alle anderen Benutzer installieren Sie die entsprechende Version von Citrix Receiverauf dem Benutzergerät. Zum Aktivieren des Passthrough vonSmartcardanmeldeinformationen zu XenDesktop und XenApp für Benutzerdomänengebundener Geräte verwenden Sie ein Konto mit Administratorrechten für dieInstallation von Receiver für Windows an einer Eingabeaufforderung mit der Option/includeSSON. Weitere Informationen finden Sie unter Konfigurieren und Installierenvon Receiver für Windows mit Befehlszeilenparametern.

Stellen Sie sicher, dass Receiver für Windows für die Smartcardauthentifizierung übereine Domänenrichtlinie oder eine lokale Computerrichtlinie konfiguriert wurde. Für eineDomänenrichtlinie importieren Sie mit der Gruppenrichtlinien-Verwaltungskonsole dieGruppenrichtlinienobjektvorlage icaclient.adm für Receiver für Windows auf denController der Domäne, in der die Benutzerkonten sind. Zum Konfigurieren eineseinzelnen Geräts konfigurieren Sie mit dem Gruppenrichtlinienobjekt-Editor auf demGerät die Vorlage. Weitere Informationen finden Sie unter Konfigurieren von Receivermit der Gruppenrichtlinienobjektvorlage.

Aktivieren Sie die Richtlinie Smartcardauthentifizierung. Zum Gestatten vonPassthrough der Smartcardanmeldeinformationen wählen Sie Use pass-throughauthentication for PIN. Damit die Smartcardanmeldeinformationen an XenDesktop undXenApp weitergeleitet werden, aktivieren Sie dann die Richtlinie Local user name andpassword und wählen Sie die Option Allow pass-through authentication for all ICAconnections. Weitere Informationen finden Sie in der Referenz zu ICA-Einstellungen.

Wenn Sie Passthrough von Smartcardanmeldeinformationen an XenDesktop und XenAppfür Benutzer domänengebundener Geräte aktiviert haben, fügen Sie die Store-URL derZone "Lokales Intranet" oder "Vertrauenswürdige Sites" in Internet Explorer hinzu.Stellen Sie sicher, dass Automatische Anmeldung mit aktuellem Benutzernamen undKennwort in den Sicherheitseinstellungen der Zone ausgewählt ist.


136

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-desktop-lock-install.html

http://support.citrix.com/proddocs/topic/xendesktop-71/nl/de/cds-desktop-lock-install.html



http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/ica-import-icaclient-template-v2.html

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/ica-import-icaclient-template-v2.html

http://support.citrix.com/proddocs/topic/ica-settings/nl/de/ica-settings-wrapper.html

• Wo nötig, stellen Sie Benutzern die Verbindungsinformationen für den Store (Benutzerim internen Netzwerk) oder das NetScaler Gateway-Gerät (für Remotebenutzer) miteiner entsprechenden Methode zur Verfügung. Weitere Informationen über dieBereitstellung von Konfigurationsinformationen für die Benutzer finden Sie unter CitrixReceiver.


137

138

So aktivieren Sie Passthrough mitSmartcardauthentifizierung für alleReceiver für Windows


Sie können die Passthrough-Authentifizierung aktivieren, wenn Sie Receiver für Windows aufBenutzergeräten installieren, die in der Domäne sind. Bearbeiten Sie die Datei default.icafür den Store, um Passthrough der Smartcardanmeldeinformationen des Benutzers beimZugriff auf Desktops und Anwendungen zu aktivieren, die von XenDesktop und XenAppgehostet werden.


1. Öffnen Sie die Datei default.ica für den Store mit einem Text-Editor. Die Datei istnormalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\App_Data\, wobeistorename für den Namen steht, der beim Erstellen des Stores angegeben wurde.

2. Um Passthrough der Smartcardanmeldeinformationen für Benutzer zu aktivieren, dieohne NetScaler Gateway auf Stores zugreifen, fügen Sie dem Abschnitt [Application] diefolgenden Einstellung hinzu.

DisableCtrlAltDel=Off

Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierungfür Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssenSie für jede Authentifizierungsmethode separate Stores erstellen. Dann verweisen Siedie Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

3. Um Passthrough der Smartcardanmeldeinformationen für Benutzer zu aktivieren, dieüber NetScaler Gateway auf Stores zugreifen, fügen Sie dem Abschnitt [Application] diefolgenden Einstellung hinzu.

UseLocalUserAndPassword=On

Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierungfür bestimmte Benutzer zu aktivieren, während andere sich anmelden müssen, um aufihre Desktops und Anwendungen zuzugreifen, müssen Sie für jede Gruppe vonBenutzern verschiedenen Stores erstellen. Dann verweisen Sie die Benutzer auf denentsprechenden Store für die Authentifizierungsmethode.

139

Einrichten hoch verfügbarer Stores mitmehreren Sites


Für Stores mit Ressourcen aus mehreren Bereitstellungen, insbesondere wenn dieBereitstellungen sich an verschiedenen geografischen Standorten befinden, können SieLastausgleich und Failover zwischen Bereitstellungen konfigurieren, den BereitstellungenBenutzer zuordnen und spezifische Bereitstellungen für die Notfallwiederherstellung mithoch verfügbaren Ressourcen konfigurieren. Wenn Sie konfigurierte separate NetScalerGateway-Geräte für die Bereitstellungen haben, können Sie das optimale Gerät für denZugriff auf die Bereitstellungen definieren. Wenn Sie NetScaler Gateway in einerKonfiguration mit globalem Serverlastausgleich bereitstellen, müssen Sie dieStorekonfiguration mit Details zu jedem der Geräte aktualisieren.


• So konfigurieren Sie den Lastausgleich, das Failover, die Notfallwiederherstellung unddie Benutzerzuordnung für einen Store

• So konfigurieren Sie die Abonnementsynchronisierung

• So konfigurieren Sie das optimale NetScaler Gateway-Routing für einen Store

• So konfigurieren Sie einen Store für den globalen Serverlastausgleich für NetScalerGateway

• Beispiel für Konfigurationen hoch verfügbarer Stores mit mehreren Sites

140

So konfigurieren Sie den Lastausgleich,das Failover, die Notfallwiederherstellungund die Benutzerzuordnung für einenStore


Zur Einrichtung von Lastausgleich, Failover, Notfallwiederherstellung undBenutzerzuordnung müssen Sie die Konfigurationsdateien des Stores bearbeiten. Nach demKonfigurieren von Lastausgleich, Failover, Notfallwiederherstellung und Benutzerzuordnungfür einen Store stehen einige Aufgaben nicht mehr in der CitrixStoreFront-Verwaltungskonsole zur Verfügung, um Konfigurationsfehler zu verhindern.


1. Stellen Sie sicher, dass Sie den Store mit Details aller XenDesktop-, XenApp- undVDI-in-a-Box-Bereitstellungen, die Sie in der Konfiguration verwenden möchten(einschließlich der Notfallwiederherstellung) konfiguriert haben. Weitere Informationenüber das Hinzufügen von Bereitstellungen zu Stores finden Sie unter So verwalten Siedie durch Stores zur Verfügung gestellten Ressourcen.

2. Öffnen Sie die Datei web.config für den Store mit einem Text-Editor. Die Datei istnormalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei storenamefür den Namen steht, der beim Erstellen des Stores angegeben wurde.

3. Suchen Sie den folgenden Abschnitt in der Datei.

<resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default" /></resourcesWingConfigurations>

4. Geben Sie Ihre Konfiguration wie unten gezeigt an.

<resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="user_mapping"> <groups> <group name="domain\usergroup" sid="securityidentifier" /> <group ... /> ...

</groups> <equivalentFarmSets> <equivalentFarmSet name="setname" loadBalanceMode="{LoadBalanced | Failover}" aggregationGroup="aggregationgroupname"> <primaryFarmRefs> <farm name="primaryfarmname" /> <farm ... /> ... </primaryFarmRefs> <backupFarmRefs> <farm name="backupfarmname" /> <farm ... /> ... </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet ... > ... </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping> ... </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration></resourcesWingConfigurations>

Verwenden Sie die folgenden Elemente zum Definieren der Konfiguration.

userFarmMapping

Dient zum Angeben von Bereitstellungsgruppen und zum Festlegen derFunktionsweise von Lastausgleich und Failover zwischen diesen Bereitstellungen.Dient zum Identifizieren der für die Notfallwiederherstellung zu verwendendenBereitstellungen. Steuert den Zugriff auf Ressourcen durch Zuordnen von MicrosoftActive Directory-Benutzergruppen zu den angegebenen Bereitstellungsgruppen.

groups

Namen und Sicherheits-IDs (SIDs) der Active Directory-Benutzergruppen, auf die dieZuordnung angewendet wird. Benutzergruppennamen müssen im FormatDomäne\Benutzergruppe eingegeben werden. Werden mehrere Gruppen aufgeführt,gilt die Zuordnung nur für Benutzer, die Mitglieder aller angegebenen Gruppen sind.Zum Zuweisen von Zugriff für alle Active Directory-Benutzerkonten legen Sie alsGruppennamen Jeder fest.

equivalentFarmSet

Dient zum Angeben einer Gruppe äquivalenter Bereitstellungen, deren aggregierteRessourcen für Lastausgleich bzw. Failover verwendet werden, sowie einerzugeordneten Gruppe von Bereitstellungen für die Notfallwiederherstellung. DasAttribut loadBalanceMode bestimmt die Zuweisung von Benutzern zuBereitstellungen. Legen Sie den Wert des Attributs loadBalanceMode aufLoadBalanced fest, um Benutzer per Zufallsprinzip Bereitstellungen in dem Satz deräquivalenten Bereitstellungen zuzuweisen, sodass alle Benutzer gleichmäßig auf alleverfügbaren Bereitstellungen verteilt werden. Wenn Sie den Wert des Attributs

So konfigurieren Sie den Lastausgleich, das Failover, die Notfallwiederherstellung und die Benutzerzuordnung für einen Store

141

loadBalanceMode auf Failover festlegen, werden die Benutzer mit der erstenverfügbaren Bereitstellung verbunden, und zwar in der Reihenfolge, in der diese inder Konfiguration aufgelistet sind. Auf diese Weise wird die Anzahl gleichzeitigverwendeter Bereitstellungen minimiert. Geben Sie Namen für Aggregationsgruppenan, um äquivalente Bereitstellungssätze mit zu aggregierenden Ressourcen zuidentifizieren. Ressourcen aus äquivalenten Bereitstellungssätzen, die zur gleichenAggregationsgruppe gehören, werden aggregiert. Bereitstellungen innerhalb einesäquivalenten Bereitstellungssatzes müssen identisch sein. Aus anderen Sätzenaggregierte Bereitstellungen müssen nicht genau dieselben Ressourcen umfassen. Umanzugeben, dass die Bereitstellungen eines bestimmten äquivalentenBereitstellungssatzes nicht mit anderen aggregiert werden sollen, legen Sie denNamen der Aggregationsgruppe auf Kein fest.

primaryFarmRefs

Dient zum Angeben eines Satzes äquivalenter XenDesktop-, XenApp- oderVDI-in-a-Box-Bereitstellungen mit identischen Ressourcen. Geben Sie Namen vonBereitstellungen an, die Sie dem Store bereits hinzugefügt haben. Die hiereingegebenen Namen müssen genau mit denen übereinstimmen, die Sie beimHinzufügen der Bereitstellungen zum Store angegeben haben.

optimalGatewayForFarms

Dient zum Angeben von Bereitstellungsgruppen und zum Definieren der optimalenNetScaler Gateway-Geräte, über die Benutzer auf die Ressourcen dieserBereitstellungen zugreifen können. Normalerweise ist das optimale Gerät für eineBereitstellung an demselben geografischen Standort wie die Bereitstellung. Siemüssen optimale NetScaler Gateway-Geräte für Bereitstellungen nur definieren,wenn das Gerät, über das Benutzer auf StoreFront zugreifen, nicht das optimaleGerät ist.

So konfigurieren Sie den Lastausgleich, das Failover, die Notfallwiederherstellung und die Benutzerzuordnung für einen Store

142

143

So konfigurieren Sie dieAbonnementsynchronisierung


Zum Konfigurieren der regelmäßigen Synchronisierung von Anwendungsabonnementszwischen Stores in unterschiedlichen StoreFront-Bereitstellungen führen Sie WindowsPowerShell-Befehle aus.


Für die Abonnementsynchronisierung müssen die konfigurierten Delivery Controller dersynchronisierten Stores identische Namen haben. Beachten Sie bei den Namen der DeliveryController die Groß-/Kleinschreibung. Wenn die Namen der Delivery Controller nichtidentisch sind, haben Benutzer in den synchronisierten Stores möglicherweiseunterschiedliche Abonnements.

1. Starten Sie Windows PowerShell von einem Konto mit lokalen Administratorrechten undgeben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit dieStoreFront-Module importiert werden.

Import-Module "installationlocation\Management\Cmdlets\UtilsModule.psm1"Import-Module "installationlocation\Management\Cmdlets\ SubscriptionSyncModule.psm1"

installationlocation ist das Verzeichnis, in dem StoreFront installiert ist (in der RegelC:\Programme\Citrix Receiver StoreFront\).

2. Zum Angeben der Remote-StoreFront-Bereitstellung, deren Store synchronisiert werdensoll, geben Sie den folgenden Befehl ein.

Add-DSSubscriptionsRemoteSyncCluster –clusterName deploymentname –clusterAddress deploymentaddress

deploymentname ist ein Name zum Identifizieren der Remote-Bereitstellung unddeploymentaddress ist die extern zugängliche Adresse des StoreFront-Servers oder derLastausgleichsservergruppe für die Remotebereitstellung.

3. Zum Angeben des Remotestores, mit dem die Anwendungsabonnements der Benutzersynchronisiert werden sollen, geben Sie den folgenden Befehl ein.

Add-DSSubscriptionsRemoteSyncStore –clusterName deploymentname –storeName storename

deploymentname ist der Name, den Sie für die Bereitstellung im vorherigen Schrittangegeben haben und storename der bei der Erstellung des lokalen und des remotenStores verwendete Name. Anwendungsabonnements zwischen Stores können nursynchronisiert werden, wenn die Namen beider Stores in der jeweiligenStoreFront-Bereitstellung identisch sind.

4. Zum Konfigurieren eines bestimmten Zeitpunkts für die Synchronisierung geben Sie denfolgenden Befehl ein.

Add-DSSubscriptionsSyncSchedule –scheduleName synchronizationname –startTime hh:mm

synchronizationname ist ein Name zur Identifizierung des Zeitplans, der erstellt werdensoll. Legen Sie mit der Einstellung -startTime den Zeitpunkt fest, zu dem Abonnementszwischen Stores synchronisiert werden sollen. Konfigurieren Sie weitere Zeitpläne zumFestlegen zusätzlicher Synchronisierungszeiten.

5. Alternativ können Sie regelmäßige Synchronisierung in bestimmten Intervallenkonfigurieren, indem Sie folgenden Befehl eingeben.

Add-DSSubscriptionsSyncReoccuringSchedule –scheduleName synchronizationname –startTime hh:mm:ss -repeatMinutes interval

synchronizationname ist ein Name zur Identifizierung des Zeitplans, der erstellt werdensoll. Verwenden Sie die Einstellung -startTime, um die Verzögerung ab Erstellung inStunden, Minuten und Sekunden festzulegen, nach der der neue Zeitplan aktiviert wird.Geben Sie für interval das Zeitintervall in Minuten zwischen den einzelnenSynchronisierungen an.

6. Fügen Sie dann die Microsoft Active Directory-Domänenmaschinenkonten jedesStoreFront-Servers der Remote-Bereitstellungsgruppe der lokalenWindows-Benutzergruppe "CitrixSubscriptionSyncUsers" auf dem aktuellen Server hinzu.

Dadurch können die Server in der Remote-Bereitstellung auf denAbonnementstoredienst der lokalen Bereitstellung zugreifen, nachdem Sie einenSynchronisierungszeitplan für die Remote-Bereitstellung konfiguriert haben. Die Gruppe"CitrixSubscriptionSyncUsers" wird automatisch erstellt, wenn Sie dasAbonnementsynchronisierungsmodul gemäß Schritt 1 importieren. WeitereInformationen zum Ändern der lokalen Benutzergruppen finden Sie unterhttp://technet.microsoft.com/en-us/library/cc772524.aspx.

7. Wenn die lokale StoreFront-Bereitstellung aus mehreren Servern besteht, verwendenSie die Citrix StoreFront-Managementkonsole, um die Konfigurationsänderungen auf dieanderen Server in der Gruppe zu übertragen.

Weitere Informationen über die Übertragung von Änderungen in einerStoreFront-Multiserverbereitstellung finden Sie unter Konfigurieren von Servergruppen.

8. Wiederholen Sie die Schritte 1 bis 7 für die Remotebereitstellung von StoreFront, umeinen Zeitplan für die Abonnementsynchronisierung von der Remotebereitstellung zurlokalen Bereitstellung zu konfigurieren.

Achten Sie bei der Konfiguration von Zeitplänen für die Synchronisierung vonStoreFront-Bereitstellungen darauf, dass es nicht zu einer gleichzeitigenSynchronisierung kommen kann.

So konfigurieren Sie die Abonnementsynchronisierung

144

http://technet.microsoft.com/en-us/library/cc772524.aspx

9. Zum Starten der Synchronisierung der Anwendungsabonnements zwischen den Storesstarten Sie den Abonnementstoredienst für die lokale und die remote Bereitstellungneu. Geben Sie an einer Windows PowerShell-Eingabeaufforderung auf einem Server injeder Bereitstellung folgenden Befehl ein.

Restart-DSSubscriptionsStoreSubscriptionService

10. Geben Sie zum Entfernen eines Abonnements aus dem Synchronisierungszeitplanfolgenden Befehl ein. Verteilen Sie dann die Konfigurationsänderungen auf die anderenStoreFront-Server in der Bereitstellung und starten Sie den Abonnementstoredienst neu.

Remove-DSSubscriptionsSchedule –scheduleName synchronizationname

synchronizationname ist der Name für den Zeitplan, den Sie bei dessen Erstellungangegeben haben.

11. Um die derzeit für die StoreFront-Bereitstellung konfigurierten Zeitpläne derAbonnementsynchronisierung aufzulisten, geben Sie den folgenden Befehl ein.

Get-DSSubscriptionsSyncScheduleSummary

So konfigurieren Sie die Abonnementsynchronisierung

145

146

So konfigurieren Sie das optimaleNetScaler Gateway-Routing für einenStore


Zum Konfigurieren der optimalen NetScaler Gateway-Geräte für Bereitstellungenbearbeiten Sie die Store-Konfigurationsdateien.



2. Suchen Sie das folgende Element in der Datei.

<optimalGatewayForFarmsCollection />

3. Geben Sie das optimale NetScaler Gateway-Routing für die Bereitstellungen wie untengezeigt an.

<optimalGatewayForFarmsCollection> <optimalGatewayForFarms enabledOnDirectAccess="{true | false}"> <farms> <farm name="farmname" /> ... </farms> <optimalGateway key="_" name="deploymentname" stasUseLoadBalancing="{true | false}" stasBypassDuration="hh:mm:ss" enableSessionReliability="{true | false}" useTwoTickets="{true | false}"> <hostnames> <add hostname="appliancefqdn:port" /> </hostnames> <staUrls> <add staUrl="https://stapath/scripts/ctxsta.dll" /> ... </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms> ... </optimalGatewayForFarms>

</optimalGatewayForFarmsCollection>

Verwenden Sie die folgenden Elemente zum Definieren der Konfiguration.

optimalGatewayForFarms

Dient zum Angeben von Bereitstellungsgruppen und zum Definieren der optimalenNetScaler Gateway-Geräte, über die Benutzer auf die Ressourcen dieserBereitstellungen zugreifen können. Normalerweise ist das optimale Gerät für eineBereitstellung an demselben geografischen Standort wie die Bereitstellung. Siemüssen optimale NetScaler Gateway-Geräte für Bereitstellungen nur definieren,wenn das Gerät, über das Benutzer auf StoreFront zugreifen, nicht das optimaleGerät ist. Stellen Sie den Wert des Attributs enabledOnDirectAccess auf true ein,damit die Verbindungen zu Ressourcen weiterhin durch das optimale, für dieBereitstellung festgelegte Gerät geleitet werden, wenn lokale Benutzer im internenNetzwerk sich direkt bei StoreFront anmelden. Wenn der Wert des AttributsenabledOnDirectAccess auf false eingestellt wird, werden die Verbindungen zuRessourcen nicht durch das optimale, für die Bereitstellung festgelegte Gerätgeleitet, es sei denn, Benutzer greifen auf StoreFront über NetScaler Gateway zu.

farms

Gibt einen Satz normalerweise am selben Standort befindlicher XenDesktop-,XenApp- App Controller- und VDI-in-a-Box-Bereitstellungen an, die ein optimalesNetScaler Gateway-Gerät gemeinsam verwenden. Geben Sie Namen vonBereitstellungen an, die Sie dem Store bereits hinzugefügt haben. Die hiereingegebenen Namen müssen genau mit denen übereinstimmen, die Sie beimHinzufügen der Bereitstellungen zum Store angegeben haben.

optimalGateway

Dient zum Angeben des optimalen NetScaler Gateway-Geräts, über das Benutzer aufdie Ressourcen der aufgeführten Bereitstellungen zugreifen können. Geben Sie einenNamen für das NetScaler Gateway-Gerät ein, anhand dessen Sie es identifizierenkönnen. Legen Sie den Wert des Attributs stasUseLoadBalancing auf true fest, umnach dem Zufallsprinzip Sitzungstickets aus allen STAs zu erhalten, sodass alleAnforderungen gleichmäßig über alle STAs verteilt werden. Wenn Sie den Wert desAttributs stasUseLoadBalancing auf false festlegen, werden die Benutzer mit derersten verfügbaren STA verbunden, und zwar in der Reihenfolge, in der diese in derKonfiguration aufgelistet sind. Auf diese Weise wird die Anzahl gleichzeitigverwendeter STAs minimiert. Verwenden Sie das Attribut stasBypassDuration, um denZeitraum in Stunden, Minuten und Sekunden festzulegen, für den eine STA imAnschluss an eine fehlgeschlagene Anforderung als nicht verfügbar gilt. Um getrennteSitzungen aufrechterhalten, während Citrix Receiver eine automatischeWiederverbindung versucht, legen Sie den Wert des Attributs enableSessionReliabilityauf true fest. Wenn Sie mehrere STAs konfiguriert haben und sicherstellen möchten,dass Sitzungszuverlässigkeit immer verfügbar ist, setzen Sie den Wert des AttributsuseTwoTickets auf true fest, um Tickets von zwei verschiedenen STAs zu erhalten,falls eine STA während der Sitzung ausfällt.

hostnames

Dient zur Angabe des vollqualifizierten Domänennamens (FQDN) und des Ports desoptimalen NetScaler Gateway-Geräts.

staUrls

So konfigurieren Sie das optimale NetScaler Gateway-Routing für einen Store

147

Dient zur Angabe der URLs für XenDesktop-, XenApp- und VDI-in-a-Box- Server, aufdenen die Secure Ticket Authority (STA) ausgeführt wird. Bei XenDesktop- undXenApp-Servern ist der FQDN stapath bzw. die IP-Adresse des Servers. BeiVDI-in-a-Box-Servern ist der FQDN stapath bzw. die IP-Adresse des VDI-in-a-BoxServers, oder aber die rasterweite virtuelle IP-Adresse, gefolgt von /dt/sta.

So konfigurieren Sie das optimale NetScaler Gateway-Routing für einen Store

148

149

So konfigurieren Sie einen Store für denglobalen Serverlastausgleich fürNetScaler Gateway



1. Mit der Aufgabe Remotezugriff aktivieren konfigurieren Sie den Store mit den Detailsder NetScaler Gateway-Bereitstellung mit Lastausgleich. Weitere Informationen findenSie unter So verwalten Sie den Remotezugriff auf Stores über NetScaler Gateway.

2. Wenn Sie zur Eingabe der NetScaler Gateway-URL aufgefordert werden, geben Sie dieURL mit Lastausgleich für die Bereitstellung an. Als Subnetz-IP-Adresse geben Sie dieIP-Adresse des virtuellen Servers für eines der Geräte in Ihrer Bereitstellung an.

3. Wiederholen Sie den Vorgang mit genau denselben Einstellungen mit Ausnahme vonAnzeigenamen und Subnetz-IP-Adresse. Als Subnetz-IP-Adresse geben Sie die IP-Adressedes virtuellen Servers eines anderen Geräts in Ihrer Bereitstellung an.

4. Fügen Sie auf diese Weise Einträge für alle Geräte in Ihrer NetScalerGateway-Bereitstellung mit Lastausgleich an. Alle Einträge müssen bis auf denAnzeigenamen und die Subnetz-IP-Adresse identisch sein.

150

Beispiel für Konfigurationen hochverfügbarer Stores mit mehreren Sites


StoreFront ermöglicht die Konfiguration von Lastausgleich und Failover zwischen denBereitstellungen von Ressourcen für Stores, die Zuweisung von Benutzern zuBereitstellungen und die Bestimmung spezifischer Bereitstellungen für dieNotfallwiederherstellung zur Erhöhung der Systemstabilität. Das Konfigurationsbeispielunten zeigt, wie Sie StoreFront-Bereitstellungen über mehrere Sites verteilen können, umeine hohe Verfügbarkeit der Stores zu gewährleisten.

Die Abbildung zeigt ein Beispiel für eine hoch verfügbare Konfiguration mit mehreren Sites.

Das Beispiel umfasst zwei Hauptstandorte mit eigenen Gruppen von StoreFront-Servern mitLastausgleich, über die Desktops und Anwendungen für Benutzer bereitgestellt werden. Eindritter Standort bietet die Ressourcen für die Notfallwiederherstellung, die nur verwendetwerden sollen, wenn alle Ressourcen der beiden anderen Standorte nicht verfügbar sind.Standort 1 hat eine Gruppe von identischen Bereitstellungen (XenDesktop-Sites,XenApp-Farmen oder VDI-in-a-Box-Raster), die genau dieselben Desktops und Anwendungenbereitstellen. Standort 2 hat eine ähnliche Gruppe identischer Bereitstellungen, die imWesentlichen dieselben Ressourcen wie bei Standort 1 umfassen. Es gibt aber einigeUnterschiede. Einige Ressourcen, die nicht an Standort 2 zur Verfügung stehen, werdenseparat über eine eindeutige Bereitstellung an Standort 1 bereitgestellt.


• Beispiel für Lastausgleich und Failover

• Beispiel für die Benutzerzuordnung

• Beispiel für die Abonnementsynchronisierung

• Beispiel für optimales NetScaler Gateway-Routing

Beispiel für Konfigurationen hoch verfügbarer Stores mit mehreren Sites

151

152

Beispiel für Lastausgleich und Failover


In diesem Beispiel sollen Benutzer an beiden Standorten sich, wenn möglich, an lokalenStoreFront-Servern anmelden und auf lokale Desktops und Anwendungen zugreifen. Falls dielokalen Ressourcen nicht verfügbar sind, aufgrund eines Fehlers oder aufgrund vonKapazitätsproblemen, müssen Benutzer automatisch und ohne Benutzereingriffe anRessourcen von einem anderen Standort umgeleitet werden. Wenn alle von beidenStandorten bereitgestellten Ressourcen nicht verfügbar sind, müssen Benutzer mit einerTeilmenge der allerwichtigsten Desktops und Anwendungen weiter arbeiten können.

Um diese Benutzererfahrung zu erzielen, konfigurieren Sie den Store in Standort 1 wieunten dargestellt.

<resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="user_mapping"> <groups> <group name="Everyone" sid="S-1-1-0" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1" loadBalanceMode="LoadBalanced" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet name="Location2" loadBalanceMode="Failover" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location2Deployment1" /> <farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> <equivalentFarmSet name="Location1Unique" loadBalanceMode="LoadBalanced" aggregationGroup=""> <primaryFarmRefs> <farm name="Location1UniqueDeployment" />

</primaryFarmRefs> <backupFarmRefs> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration></resourcesWingConfigurations>

Es gibt eine einzelne für alle Benutzer verfügbare Zuordnung, die Bereitstellungen anStandort 1 zuerst aufführt und anschließend die an Standort 2. In beiden Fällen ist eineBereitstellung für die Notfallwiederherstellung als Backup konfiguriert und alleBereitstellungen sind der gleichen Aggregationsgruppe zugewiesen. Die Konfiguration desStores an Standort 2 ist fast identisch, außer dass die Bereitstellungen in umgekehrterReihenfolge aufgelistet werden, sodass Bereitstellungen an Standort 2 zuerst kommen. Inbeiden Fällen wird die Bereitstellung als letztes aufgelistet, die Ressourcen enthält, die nuran Standort 1 vorkommen, und es ist keine Backupbereitstellung oder Aggregationsgruppedefiniert.

Wenn Benutzer an Standort 1 sich an ihrem lokalen Store anmelden, kontaktiert StoreFronteine Bereitstellung an Standort 1, um die verfügbaren Desktops und Anwendungen zuenumerieren. Wenn das Attribut loadBalanceMode auf LoadBalanced gesetzt ist, wird diekontaktierte Bereitstellung zufällig unter den verfügbaren Bereitstellungen ausgewählt, umAnforderungen gleichmäßig zu verteilen. Wenn die ausgewählte Bereitstellung an Standort 1nicht verfügbar ist, wählt StoreFront zufällig eine andere Bereitstellung an Standort 1.

Für den Bereitstellungen an Standort 2 ist das Attribut loadBalanceMode auf Failovergesetzt. Dies bedeutet, dass StoreFront die Bereitstellungen immer in der angegebenenReihenfolge kontaktiert. Ressourcen werden daher für jede Benutzeranfrage von Standort2, Bereitstellung 1 enumeriert, bis die Bereitstellung 1 nicht mehr reagiert. WeitereAnfragen werden dann an Bereitstellung 2 geleitet, bis Bereitstellung 1 wieder verfügbarist. So wird die Anzahl der Bereitstellungen minimiert, die zu einem beliebigen Zeitpunkt anStandort 2 verwendet werden.

Wenn eine Bereitstellung an Standort 1 antwortet, kontaktiert StoreFront keine weiterenBereitstellungen an Standort 1. Wenn Sie alle Bereitstellungen an Standort 1 in ein einziges<equivalentFarmSet>-Element einschließen, bedeutet dies, dass die Bereitstellungen genaudieselben Ressourcen enthalten. Ein ähnliches Verhalten liegt auch bei der Enumeration derRessourcen an Standort 2 vor. Zuletzt wird eine Bereitstellung kontaktiert, die nur anStandort 1 vorkommt. Da es in diesem Fall keine Alternative gibt, werden die einzigartigenRessourcen nicht enumeriert, wenn die Bereitstellung nicht verfügbar ist.

Wenn ein Desktop oder eine Anwendung mit dem gleichen Namen und Pfad auf dem Serveran Standort 1 und Standort 2 verfügbar ist, aggregiert StoreFront diese Ressourcen undzeigt Benutzern ein einzelnes Symbol. Dieses Verhalten wird durch Setzen des AttributsaggregationGroup auf AggregationGroup1 für die Bereitstellungen an Standort 1 undStandort 2 erzielt. Benutzer, die auf ein aggregiertes Symbol klicken, werdennormalerweise mit der Ressource an ihrem Standort verbunden, soweit verfügbar. Wenn einBenutzer aber bereits eine aktive Sitzung in einer anderen Bereitstellung hat, die dieSitzungsfreigabe unterstützt, wird der Benutzer bevorzugt mit der Ressource in dieserBereitstellung verbunden, um die Anzahl der verwendeten Sitzungen zu minimieren.

Da für Ressourcen, die nur an Standort 1 vorkommen, keine Aggregationsgruppe angegebenwird, sehen Benutzer für jede der einzigartigen Ressourcen separate Symbole. In diesem


153

Beispiel ist keine der einzigartigen Ressourcen in anderen Bereitstellungen verfügbar. Wennaber ein Desktop oder eine Anwendung mit dem gleichen Namen und Pfad auf dem Server ineiner anderen Bereitstellung verfügbar wäre, würden Benutzer zwei Symbole mit demgleichen Namen sehen.

Nur wenn Ressourcen von keiner der Bereitstellungen an Standort 1 oder Standort 2enumeriert werden können, kontaktiert StoreFront die Bereitstellung für dieNotfallwiederherstellung. Da die gleiche Bereitstellung für die Notfallwiederherstellung vonStandort 1 und Standort 2 konfiguriert ist, müssen alle diese Bereitstellungen nichtverfügbar sein, bevor StoreFront die Ressourcen aus der Notfallwiederherstellungenumeriert. In diesem Beispiel ist keine Alternative zur Notfallwiederherstellung für dieBereitstellung konfiguriert, die nur an Standort 1 vorkommt, sodass die Verfügbarkeit dereinzigartigen Bereitstellung nicht von diese Bestimmung betroffen ist.


154

155

Beispiel für die Benutzerzuordnung


In diesem Beispiel möchten Sie unterschiedlichen Benutzern auf der Grundlage ihrerGruppenmitgliedschaft von Microsoft Active Directory verschiedene Ressourcensätzebereitstellen. Standardbenutzer an Standort 1 und 2 benötigen nur Zugriff auf Desktops undAnwendungen, die lokal bereitgestellt werden. Diese Benutzer brauchen keinen Zugriff aufRessourcen an anderen Speicherorten. Sie haben auch eine Gruppe Poweruser, denen SieZugriff auf alle verfügbaren Ressourcen gewähren möchten, einschließlich eindeutigerRessourcen für Standort 1 mit hoher Verfügbarkeit und Notfallwiederherstellung. In diesemBeispiel wird angenommen, dass Standort 1 und 2 eine gemeinsame ActiveDirectory-Domäne haben.

Um diese Benutzererfahrung zu erzielen, konfigurieren Sie die Stores in beiden Standortenwie unten dargestellt.

<resourcesWingConfigurations> <resourcesWingConfiguration name="Default" wingName="Default"> <userFarmMappings> <clear /> <userFarmMapping name="UserMapping1"> <groups> <group name="Location1Users" sid="S-1-5-21-1004336348-1177238915-682003330-1001" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1" loadBalanceMode="LoadBalanced" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping name="UserMapping2"> <groups> <group name="Location2Users" sid="S-1-5-21-1004336348-1177238915-682003330-1002" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location2" loadBalanceMode="Failover" aggregationGroup="AggregationGroup1"> <primaryFarmRefs> <farm name="Location2Deployment1" />

<farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> </primaryFarmRefs> <backupFarmRefs> <farm name="DisasterRecoveryDeployment" /> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> <userFarmMapping name="UserMapping3"> <groups> <group name="Location1Users" sid="S-1-5-21-1004336348-1177238915-682003330-1001" /> <group name="Location2Users" sid="S-1-5-21-1004336348-1177238915-682003330-1002" /> </groups> <equivalentFarmSets> <equivalentFarmSet name="Location1Unique" loadBalanceMode="LoadBalanced" aggregationGroup=""> <primaryFarmRefs> <farm name="Location1UniqueDeployment" /> </primaryFarmRefs> <backupFarmRefs> </backupFarmRefs> </equivalentFarmSet> </equivalentFarmSets> </userFarmMapping> </userFarmMappings> </resourcesWingConfiguration></resourcesWingConfigurations>

Statt der Erstellung einer Zuordnung für alle Benutzer wie im Beispiel zu Lastausgleich undFailover, erstellen Sie Zuordnungen für bestimmte Benutzergruppen. DieHauptbereitstellungen für Standort 1 werden für Benutzer des Standorts 1 derDomänenbenutzergruppe zugeordnet. Analog dazu werden die Hauptbereitstellungen fürStandort 2 der Benutzergruppe von Standort 2 zugeordnet. Die Zuordnung eindeutigerRessourcen von Standort 1 spezifiziert beide Benutzergruppen. Benutzer müssen daherMitglied beider Gruppen sein, um auf eindeutige Ressourcen zugreifen zu können.

Mitglieder der Benutzergruppe von Standort 1 sehen beim Anmelden an einem Store nurRessourcen von Standort 1, selbst wenn der Store an Standort 2 ist. Analog dazu sehenMitglieder der Benutzergruppe 2 nur Ressourcen von Standort 2. Keine der beiden Gruppenhat Zugriff auf eindeutige Ressourcen von Standort 1. Domänenbenutzer, die nicht Mitgliedeiner der beiden Gruppen sind, können sich am Store anmelden, sehen aber keine Desktopsoder Anwendungen.

Um Powerusern Zugriff auf alle Ressourcen, einschließlich der eindeutigen Ressourcen, zugeben, fügen Sie sie beiden Benutzergruppen hinzu. Wenn Benutzer, die Mitglied derBenutzergruppen von Standort 1 und 2 sind, sich am Store anmelden, sehen sie dieverfügbaren Ressourcen aus beiden Standorten sowie die eindeutigen Ressourcen vonStandort 1. Wie in den Beispielen zu Lastausgleich und Failover werden die Bereitstellungenfür Standort 1 und 2 derselben Aggregationsgruppe zugewiesen. Die Aggregation vonRessourcen funktioniert genauso wie die bei Lastausgleich und Failover.


156

Die Notfallwiederherstellung erfolgt auch so wie im Beispiel für Lastausgleich und Failoverbeschrieben. Benutzer sehen nur Ressourcen für die Notfallwiederherstellung, wenn alleBereitstellungen von Standort 1 und Standort 2 nicht verfügbar sind. Leider folgt daraus,dass in bestimmten Szenarios die Standardbenutzer nicht auf Desktops oder Anwendungenzugreifen können. Beispiel: Wenn alle Bereitstellungen von Standort 1 nicht verfügbar sind,Bereitstellungen von Standort 2 jedoch weiterhin zur Verfügung stehen, listet StoreFrontdie Ressourcen für die Notfallwiederherstellung nicht auf. Benutzer, die nicht Mitgliederder Benutzergruppe von Standort 2 sind sehen keine Ressourcen dieses Stores.

Um dieses Problem zu lösen, müssten Sie separate Bereitstellungen für dieNotfallwiederherstellung für Standort 1 und Standort 2 konfigurieren. Sie würden danndiese Bereitstellungen derselben Aggregationsgruppe hinzufügen, damit die Ressourcen fürdie Notfallwiederherstellung für Poweruser aggregiert werden.


157

158

Beispiel für dieAbonnementsynchronisierung


In den Beispielen zu Lastausgleich, Failover und Benutzerzuordnung wäre es für Benutzer,die sich zwischen Standort 1 und Standort 2 bewegen, von Nutzen, wenn ihreAnwendungsabonnements zwischen den beiden Bereitstellungen synchronisiert würden.Beispiel: Ein Benutzer von Standort 1 meldet sich bei der zugehörigenStoreFront-Bereitstellung an, greift auf den Store zu und abonniert einige Anwendungen.Wenn der gleiche Benutzer dann zu Standort 2 wechselt und auf einen ähnlichen Store inder StoreFront-Bereitstellung von Standort 2 zugreift, muss er alle Anwendungen neuabonnieren, um von Standort 2 aus Zugriff auf sie zu haben. Grund dafür ist, dass dieStoreFront-Bereitstellungen an jedem Ort die Informationen zu Anwendungsabonnementsvon Benutzern standardmäßig separat enthalten.

Um sicherzustellen, dass Benutzer nur an einem Standort Anwendungen abonnieren müssen,konfigurieren Sie die Synchronisierung von Abonnements zwischen den Stores der beidenStoreFront-Bereitstellungen. Zunächst stellen Sie sicher, dass beide Stores den gleichenNamen haben (Standort1und2Store"). Importieren Sie dann die StoreFront-Module"UtilsModule.psm1" und "SubscriptionSyncModule.psm1" auf einem Server an Standort 1.Fügen Sie dann die Microsoft Active Directory-Domänenmaschinenkonten für jedenStoreFront-Server an Standort 2 der lokalen Benutzergruppe "CitrixSubscriptionSyncUsers"auf dem Server von Standort 1 hinzu. Anschließend konfigurieren Sie die Synchronisierungder Anwendungsabonnements von Standort 1 zu Standort 2 durch Ausführen der folgendenWindows PowerShell-Befehle.

Add-DSSubscriptionsRemoteSyncCluster –clusterName "Location2" –clusterAddress "location2storefront.example.com"Add-DSSubscriptionsRemoteSyncStore –clusterName "Location2" –storeName "Location1and2Store"Add-DSSubscriptionsSyncSchedule –scheduleName "Location1Sync2Daily1" –startTime 06:00:00Add-DSSubscriptionsSyncSchedule –scheduleName "Location1Sync2Daily2" -startTime 18:00:00

Mit der Citrix StoreFront-Managementkonsole übertragen Sie die Konfigurationsänderungenauf die anderen Server der Bereitstellung an Standort 1. Wiederholen Sie den Vorgang aufeinem StoreFront-Server an Standort 2 einschließlich dem Importieren der Module undHinzufügen der StoreFront-Server-Maschinenkonten von Standort 1 zur Benutzergruppe desSynchronisierungsdiensts. Führen Sie die folgenden Windows PowerShell-Befehle aus undverteilen Sie die Änderungen auf die anderen Server an Standort 2.

Add-DSSubscriptionsRemoteSyncCluster –clusterName "Location1" –clusterAddress "location1storefront.example.com"Add-DSSubscriptionsRemoteSyncStore –clusterName "Location1" –storeName "Location1and2Store"Add-DSSubscriptionsSyncSchedule –scheduleName "Location2Sync1Daily1"

–startTime 06:30:00Add-DSSubscriptionsSyncSchedule –scheduleName "Location2Sync1Daily2" -startTime 18:30:00

Zum Starten der Synchronisierung der Anwendungsabonnements zwischen den Stores startenSie den Abonnementstoredienst auf den StoreFront-Servern an Standort 1 und Standort 2neu. Mit dieser Konfiguration werden die Anwendungsabonnements der Benutzer täglichmorgens um 06:00 Uhr und abends um 18:00 Uhr von Standort 1 zu Standort 2synchronisiert. Die Synchronisierung von Standort 2 zu Standort 1 erfolgt auch zweimaltäglich, jedoch in einem Abstand von 30 Minuten zur umgekehrten Synchronisierung, umsicherzustellen, dass kein Konflikt auftreten kann. Nur Abonnements von Ressourcen derStores "Standort1und2Store" werden zwischen den beiden Bereitstellungen synchronisiert.Abonnements von Desktops und Anwendungen, die über andere Stores bereitgestelltwerden, werden nicht synchronisiert.

Beispiel für die Abonnementsynchronisierung

159

160

Beispiel für optimales NetScalerGateway-Routing


In diesem Beispiel konfigurieren Sie separate NetScaler Gateway-Geräte für Standort 1 undStandort 2. Da Standort 1-Ressourcen Benutzern in Standort 2 zur Verfügung stehen, solltenSie sicherstellen, dass Benutzerverbindungen zu Standort 1-Ressourcen immer durch dasNetScaler Gateway-Gerät an Standort 1 geleitet werden, egal welches Gerät für den Zugriffauf den Store verwendet wird. Eine ähnliche Konfiguration ist für Standort 2 erforderlich.

Für Ressourcen, die es nur an Standort 1 gibt, haben Sie diese Desktops und Anwendungenausschließlich für lokale Benutzer im internen Netzwerk verfügbar gemacht. Dennoch sollenBenutzer sich bei NetScaler Gateway authentifizieren, um auf den Store zuzugreifen. Siewollen also sicherstellen, dass Benutzerverbindungen zu Ressourcen, die es nur an Standort1 gibt, nicht durch NetScaler Gateway geleitet werden, obwohl Benutzer sich überNetScaler Gateway mit den Stores verbinden.

Um diese Benutzererfahrung zu erzielen, konfigurieren Sie die Stores in beiden Standortenwie unten dargestellt.

<optimalGatewayForFarmsCollection> <optimalGatewayForFarms enabledOnDirectAccess="true"> <farms> <farm name="Location1Deployment1" /> <farm name="Location1Deployment2" /> <farm name="Location1Deployment3" /> </farms> <optimalGateway key="_" name="Location1Appliance" stasUseLoadBalancing="false" stasBypassDuration="02:00:00" enableSessionReliability="true" useTwoTickets="false"> <hostnames> <add hostname="location1appliance.example.com" /> </hostnames> <staUrls> <add staUrl="https://location1appliance.example.com/scripts/ctxsta.dll" /> </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms enabledOnDirectAccess="true"> <farms> <farm name="Location2Deployment1" /> <farm name="Location2Deployment2" /> <farm name="Location2Deployment3" /> </farms> <optimalGateway key="_" name="Location2Appliance" stasUseLoadBalancing="false" stasBypassDuration="02:00:00" enableSessionReliability="true" useTwoTickets="false"> <hostnames>

<add hostname="location2appliance.example.com" /> </hostnames> <staUrls> <add staUrl="https://location2appliance.example.com/scripts/ctxsta.dll" /> </staUrls> </optimalGateway> </optimalGatewayForFarms> <optimalGatewayForFarms enabledOnDirectAccess="false"> <farms> <farm name="Location1UniqueDeployment" /> </farms> </optimalGatewayForFarms></optimalGatewayForFarmsCollection>

Sie ordnen die Hauptbereitstellungen an Standort 1 dem NetScaler Gateway-Gerät anStandort 1 zu. Mit dieser Konfiguration wird sichergestellt, dass Benutzer sich immer überdas NetScaler Gateway-Gerät an Standort 1 mit den Ressourcen an diesem Ort verbinden,einschließlich Benutzer, die sich über das Gerät an Standort 2 am Store angemeldet haben.Eine ähnliche Zuordnung wird für Standort 2 konfiguriert. Stellen Sie für beideBereitstellungen den Wert des Attributs enabledOnDirectAccess auf true ein, damit alleVerbindungen zu Ressourcen durch das optimale, für die Bereitstellung festgelegte Gerätgeleitet werden, einschließlich lokale Benutzer im internen Netzwerk, die sich direkt beiStoreFront anmelden. So wird die Reaktionszeit von Desktops und Anwendungen für lokaleBenutzer verbessert, da Daten nicht das Unternehmens-WAN durchlaufen müssen.

Für Ressourcen, die es nur an Standort 1 gibt, konfigurieren Sie eine Zuordnung für dieBereitstellung, geben jedoch nicht ein NetScaler Gateway-Geräts an. Diese Konfigurationstellt sicher, dass Benutzerverbindungen zu Ressourcen, die es nur an Standort 1 gibt, nichtdurch NetScaler Gateway geleitet werden, auch für Benutzer, die sich über NetScalerGateway am Store angemeldet haben. Daher werden nur lokale Benutzer im internenNetzwerk auf diese Desktops und Anwendungen zugreifen können.

Sie müssen auch eine spezifischen interne virtuelle IP-Adresse für das Gerät konfigurierensowie einen unzugänglichen internen Beacon. Dadurch das der interne Beacon für lokaleBenutzer nicht zugänglich ist, erfordert Citrix Receiver für Geräte, die mit dem internenNetzwerk verbunden sind, den Zugriff auf Stores über NetScaler Gateway. So können Siebeispielsweise die NetScaler Gateway-Endpunktanalyse auf lokale Benutzer im internenNetzwerk anwenden, ohne den Mehraufwand zu haben, der durch das Routing von allenBenutzerverbindungen zu Ressourcen über das Gerät entsteht.

Beispiel für optimales NetScaler Gateway-Routing

161

162

Konfigurieren von StoreFront mitKonfigurationsdateien


In diesem Abschnitt werden zusätzliche Konfigurationsaufgaben beschrieben, die nicht mitder Citrix StoreFront-Verwaltungskonsole ausgeführt werden können.

• So aktivieren Sie die ICA-Dateisignierung

• So konfigurieren Sie Kommunikationstimeoutdauer und Wiederholungsversuche

• So konfigurieren Sie den Zeitraum für den Kennwortablauf

• So deaktivieren Sie die Dateitypzuordnung

• So aktivieren Sie Socketpooling

• So passen Sie das Citrix Receiver-Anmeldedialogfeld an

• So verhindern Sie, dass Receiver für Windows Kennwörter zwischenspeichert

163

So aktivieren Sie die ICA-Dateisignierung


StoreFront bietet die Option, ICA-Dateien digital zu signieren, damit die Versionen vonCitrix Receiver, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einervertrauenswürdigen Quelle stammt. Wenn die Dateisignierung in StoreFront aktiviert ist,wird die beim Starten einer Anwendung durch einen Benutzer generierte ICA-Datei miteinem Zertifikat aus dem persönlichen Zertifikatspeicher des StoreFront-Servers signiert.ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf demStoreFront-Server ausgeführten Betriebssystem unterstützt wird. Die digitale Signatur wirdvon Clients, die dieses Feature nicht unterstützen oder nicht für die ICA-Dateisignierungkonfiguriert sind, ignoriert. Wenn die Signierung fehlschlägt, wird die ICA-Datei ohnedigitale Signatur generiert und an Citrix Receiver gesendet. Anhand der Konfiguration wirddaraufhin bestimmt, ob die unsignierte Datei akzeptiert wird.

Damit die ICA-Dateisignierung im Zusammenhang mit StoreFront verwendet werden kann,müssen die Zertifikate den privaten Schlüssel enthalten und im zulässigenGültigkeitszeitraum liegen. Wenn das Zertifikat eine Schlüsselnutzungserweiterung enthält,muss diese die Verwendung des Schlüssels für digitale Signaturen gestatten. Falls eineerweiterte Schlüsselnutzungserweiterung enthalten ist, muss dafür Codesignierung oderServerauthentifizierung festgelegt worden sein.

Citrix empfiehlt bei ICA-Dateisignierung, ein Codesignierungs- oder SSL-Signierungszertifikatvon einer öffentlichen Zertifizierungsstelle oder von der privaten Zertifizierungsstelle IhrerOrganisation zu verwenden. Wenn es Ihnen nicht möglich ist, ein geeignetes Zertifikat voneiner Zertifizierungsstelle zu beziehen, können Sie entweder ein vorhandenes SSL-Zertifikat(z. B. ein Serverzertifikat) verwenden oder ein neues Zertifikat von derStammzertifizierungsstelle erstellen und an die Benutzergeräte verteilen.

ICA-Dateisignierung ist in Stores standardmäßig deaktiviert. Zum Aktivieren derICA-Dateisignierung bearbeiten Sie die Storekonfigurationsdatei und führen WindowsPowerShell-Befehle aus. Weitere Informationen zum Aktivieren der ICA-Dateisignierung inCitrix Receiver finden Sie unter ICA-Dateisignierung: Schutz vor dem Starten vonAnwendungen oder Desktops von nicht vertrauenswürdigen Servern.


1. Vergewissern Sie sich, dass das Zertifikat, mit dem Sie die ICA-Dateien signierenmöchten, im Citrix Delivery Services-Zertifikatspeicher auf dem StoreFront-Serververfügbar ist und nicht im aktuellen Zertifikatspeicher des Benutzers.


3. Suchen Sie den folgenden Abschnitt in der Datei.

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/ica-ica-file-signing.html

http://support.citrix.com/proddocs/topic/receiver-windows-40/nl/de/ica-ica-file-signing.html

<certificateManager> <certificates> <clear /> <add ... /> ... </certificates></certificateManager>

4. Fügen Sie Details des Zertifikats, das für die Signierung verwendet werden soll, wieunten dargestellt hinzu.

<certificateManager> <certificates> <clear /> <add id="certificateid" thumb="certificatethumbprint" /> <add ... /> ... </certificates></certificateManager>

certificateid ist ein Wert, anhand dessen Sie das Zertifikat in derStorekonfigurationsdatei identifizieren können, und certificatethumbprint ist dieÜbersicht (oder der Fingerabdruck) der vom Hashalgorithmus erzeugten Zertifikatdaten.


<icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" />

6. Ändern Sie den Wert des Attributs enabled zu True, um die ICA-Dateisignierung für denStore zu aktivieren. Legen Sie als Wert des Attributs certificateId auf die ID fest,anhand derer Sie das Zertifikat identifizieren möchten, d. h. certificateid in Schritt 4.

7. Wenn Sie einen anderen Hashalgorithmus als SHA-1 verwenden möchten, legen Sie alsWert für das Attribut hashAgorithm nach Bedarf entweder sha256, sha384 oder sha512fest.

8. Starten Sie von einem Konto mit lokalen Administratorrechten Windows PowerShell undgeben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit der Store aufden privaten Schlüssel zugreifen kann.

Add-PSSnapin Citrix.DeliveryServices.Framework.Commands $certificate = Get-DSCertificate "certificatethumbprint"

Add-DSCertificateKeyReadAccess $certificate "IIS APPPOOL\Citrix Delivery Services Resources"

Dabei ist certificatethumbprint das Digest der vom Hashalgorithmus generiertenZertifikatdaten.

So aktivieren Sie die ICA-Dateisignierung

164

165

So konfigurieren SieKommunikationstimeoutdauer undWiederholungsversuche


Standardmäßig ist das Timeout für Anforderungen von StoreFront an den Server, der dieRessourcen für einen Store bereitstellt, 30 Sekunden. Der Server gilt als nicht verfügbar,wenn zwei Kommunikationsversuche gescheitert sind. Bearbeiten Sie dieKonfigurationsdatei für den Authentifizierungsdienst und den Store, um diese Einstellungenzu ändern.


1. Öffnen Sie die Datei web.config sowohl für den Authentifizierungsdienst als auch denStore mit einem Text-Editor. Die Dateien sind normalerweise in den VerzeichnissenC:\inetpub\wwwroot\Citrix\Authentication\ und C:\inetpub\wwwroot\Citrix\storename\,wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.

2. Suchen Sie das folgende Element in den Dateien.

<farmset ... serverCommunicationAttempts="2" communicationTimeout="30" connectionTimeout="6" ... >

3. Ändern Sie in beiden Dateien den Wert des Attributs serverCommunicationAttempts, umdie Anzahl der erfolglosen Kommunikationsversuche einzustellen, bevor der Store alsnicht verfügbar gilt. Legen Sie mit dem Attribut communicationTimeout das Zeitlimitfür eine Antwort des Servers in Sekunden fest. Legen Sie das Zeitlimit in Sekunden fest,in dem StoreFront die Serveradresse auflösen muss, indem Sie den Wert des AttributsconnectionTimeout ändern.

166

So konfigurieren Sie den Zeitraum für denKennwortablauf


Wenn Sie zulassen, dass Benutzer von Receiver für Web-Sites ihre Kennwörter jederzeitändern können, wird lokalen Benutzern, deren Kennwörter bald ablaufen, beim Anmeldeneine Warnung angezeigt. Standardmäßig hängt der Benachrichtigungszeitraum von derentsprechenden Windows-Richtlinieneinstellung ab. Um einen benutzerdefiniertenBenachrichtigungszeitraum für alle Benutzer einzustellen, bearbeiten Sie dieKonfigurationsdatei für den Authentifizierungsdienst.


1. Öffnen Sie die Datei web.config für den Authentifizierungsdienst mit einem Text-Editor.Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\.


<explicitBL ... allowUserPasswordChange="Always" showPasswordExpiryWarning="Windows" passwordExpiryWarningPeriod="10" ... >

3. Stellen Sie sicher, dass das Attribut allowUserPasswordChange auf Always eingestelltist, um Benachrichtigungen für den Kennwortablauf zu aktivieren. Ändern Sie den Wertdes Attributs showPasswordExpiryWarning in Custom, um einen bestimmtenBenachrichtigungszeitraum für den Kennwortablauf für alle Benutzer anzuwenden.Verwenden Sie das Attribut passwordExpiryWarningPeriod, um denBenachrichtigungszeitraum für den Kennwortablauf in Tagen anzugeben. Benutzern vonReceiver für Web-Sites, die sich über das lokale Netzwerk verbinden und derenKennwort innerhalb des angegebenen Zeitraums abläuft, wird beim Anmelden eineWarnung angezeigt.

167

So deaktivieren Sie dieDateitypzuordnung


Standardmäßig ist die Dateitypzuordnung in Stores aktiviert, damit Inhalte nahtlos an dieabonnierten Anwendungen der Benutzer umgeleitet werden, wenn sie lokale Dateien derentsprechenden Typen öffnen. Bearbeiten Sie die Storekonfigurationsdatei, um dieDateitypzuordnung zu deaktivieren.




<farmset ... enableFileTypeAssociation="on" ... >

3. Ändern Sie den Wert des Attributs enableFileTypeAssociation in off, um dieDateitypzuordnung für den Store zu deaktivieren.

168

So aktivieren Sie Socketpooling


Socketpooling ist in Stores standardmäßig deaktiviert. Ist Socketpooling aktiviert, verwaltetStoreFront einen Socketpool, anstatt Sockets jedes Mal neu zu erstellen und die Socketsbeim Trennen der Verbindung an das Betriebssystem zurückzugeben. Das Aktivieren vonSocketpooling verbessert die Leistung, besonders für SSL-Verbindungen (Secure SocketsLayer). Bearbeiten Sie die Storekonfigurationsdatei, um Socketpooling zu aktivieren.




<farmset ... pooledSockets="off" ... >

3. Ändern Sie den Wert des Attributs pooledSockets zu on, um Socketpooling für den Storezu aktivieren.

169

So passen Sie das CitrixReceiver-Anmeldedialogfeld an


Wenn sich Citrix Receiver-Benutzer an einem Store anmelden, wird standardmäßig keinTiteltext im Anmeldedialogfeld angezeigt. Sie können den Standardtext "Melden Sie sich an"anzeigen oder eine eigene benutzerdefinierte Meldung. Bearbeiten Sie die Dateien für denAuthentifizierungsdienst, um den Titeltext im Citrix Receiver-Anmeldedialogfeld anzuzeigenund anzupassen.


1. Öffnen Sie die Datei Authenticate.aspx für den Authentifizierungsdienst mit einemText-Editor. Die Datei ist normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\Authentication\Views\ExplicitForms\.

2. Suchen Sie die folgenden Zeilen in der Datei.

<%-- Html.RenderPartial("LabelRequirement", new FormsViewLabel{Text = Localise(ExplicitMessages.AuthenticateHeadingKey), Type = FormsElements.LabelTypeHeading}); --%>

3. Kommentieren Sie die Anweisung aus, indem Sie die doppelten Bindestriche zu Beginnund am Ende entfernen (siehe unten).

<% Html.RenderPartial("LabelRequirement", new FormsViewLabel{Text = Localise(ExplicitMessages.AuthenticateHeadingKey), Type = FormsElements.LabelTypeHeading}); %>

Benutzern von Citrix Receiver wird der Titeltext "Melden Sie sich an" oder dieentsprechende lokalisierte Version dieses Texts angezeigt, wenn sie sich an Storesanmelden, die diesen Authentifizierungsdienst verwenden.

4. Um den Titeltext zu ändern, öffnen Sie die Datei ExplicitAuth.resx für denAuthentifizierungsdienst (normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\) mit einem Text-Editor.

5. Suchen Sie die folgenden Elemente in der Datei.

<data name="AuthenticateHeadingText" xml:space="preserve"> <value>Please log on</value></data>

6. Bearbeiten Sie den vom <value>-Element umschlossenen Text, um den Titeltext zuändern, der Benutzern im Citrix Receiver-Anmeldedialogfeld angezeigt wird, wenn sieauf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.

Um den Titeltext des Citrix Receiver-Anmeldedialogfelds für Benutzer mit einemanderen Gebietsschema zu ändern, bearbeiten Sie die lokalisierten DateienExplicitAuth.Sprachcode.resx, wobei Sprachcode die Gebietsschema-ID ist.

So passen Sie das Citrix Receiver-Anmeldedialogfeld an

170

171

So verhindern Sie, dass Receiver fürWindows Kennwörter zwischenspeichert


Standardmäßig speichert Receiver für Windows die Kennwörter von Benutzern, wenn siesich bei StoreFront-Stores anmelden. Sie können verhindern, dass Receiver für Windows,jedoch nicht Receiver für Windows Enterprise, die Kennwörter von Benutzernzwischenspeichert, indem Sie die Dateien für den Authentifizierungsdienst ändern.


1. Öffnen Sie die Datei Authenticate.aspx für den Authentifizierungsdienst mit einemText-Editor. Die Datei ist normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\Authentication\Views\ExplicitForms\.

2. Suchen Sie die folgende Zeile in der Datei.

<% Html.RenderPartial("SaveCredentialsRequirement", SaveCredentials); %>

3. Kommentieren Sie die Anweisung, indem Sie doppelte Bindestriche zu Beginn und amEnde hinzufügen (siehe unten).

<%-- Html.RenderPartial("SaveCredentialsRequirement", SaveCredentials); --%>

Benutzer von Receiver für Windows müssen ihre Kennwörter jedes Mal eingeben, wennsie sich bei einem Store mit diesem Authentifizierungsdienst anmelden. DieseEinstellung gilt nicht für Receiver für Windows Enterprise.

172

Konfigurieren von Receiver für Web-Sitesmit Konfigurationsdateien


In diesem Abschnitt werden zusätzliche Konfigurationsaufgaben für Receiver für Web-Sitesbeschrieben, die nicht mit der Citrix StoreFront-Managementkonsole ausgeführt werdenkönnen.

• So konfigurieren Sie die Anzeige von Ressourcen für die Benutzer

• So stellen Sie Citrix Receiver-Installationsdateien auf dem Server zur Verfügung

• So deaktivieren Sie die Erkennung und Bereitstellung von Citrix Receiver

• So konfigurieren Sie Workspace Control

• So beenden Sie die Bereitstellung von Provisioningdateien für Benutzer

• So konfigurieren Sie die Verwendung der Browserregisterkarten für Receiver für HTML5

• So konfigurieren Sie Timeoutdauer und Wiederholungsversuche für den Store

• So konfigurieren Sie die Sitzungsdauer

173

So konfigurieren Sie die Anzeige vonRessourcen für die Benutzer


Wenn sowohl Desktops als auch Anwendungen über eine Receiver für Web-Site verfügbarsind, werden standardmäßig separate Ansichten für Desktops und Anwendungen angezeigt.Benutzern wird nach der Anmeldung an der Site zuerst die Desktopansicht angezeigt. Wennnur ein einziger Desktop für einen Benutzer verfügbar ist (unabhängig davon, ob auchAnwendungen von einer Site zur Verfügung stehen) wird dieser Desktop automatischgestartet, wenn sich der Benutzer anmeldet. Bearbeiten Sie die Sitekonfigurationsdatei, umdiese Einstellungen zu ändern.


1. Öffnen Sie die Datei web.config für die Receiver für Web-Site mit einem Text-Editor.Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storenameWeb\,wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.


<uiViews showDesktopsView="true" showAppsView="true" defaultView="desktops" />

3. Ändern Sie den Wert der Attribute showDesktopsView und showAppsView zu false,damit den Benutzern weder Desktops noch Anwendungen angezeigt werden, selbstwenn sie über die Site verfügbar sind. Wenn die Desktop- und die Anwendungsansichtaktiviert ist, legen Sie für das Attribut defaultView den Wert apps fest, damit dieAnwendungsansicht zuerst angezeigt wird, wenn Benutzer sich an der Site anmelden.


<userInterface ... autoLaunchDesktop="true">

5. Ändern Sie den Wert des Attributs autoLaunchDesktop in false, damit Receiver fürWeb-Sites nicht automatisch einen Desktop starten, wenn sich ein Benutzer an der Siteanmeldet und nur ein einziger Desktop für den Benutzer verfügbar ist.

Wenn das Attribut autoLaunchDesktop auf true festgelegt ist und ein Benutzer, für denes nur einen Desktop gibt, sich anmeldet, wird keine Verbindung zu den Anwendungendes Benutzers wiederhergestellt, unabhängig von der Workspace Control-Konfiguration.

Hinweis: Damit Receiver für Web-Sites Desktops automatisch starten können, müssen Benutzer, die über Internet Explorer auf die Site zugreifen, die Site den Zonen "Lokales

Intranet" oder "Vertrauenswürdige Sites" hinzufügen.

So konfigurieren Sie die Anzeige von Ressourcen für die Benutzer

174

175

So stellen Sie CitrixReceiver-Installationsdateien auf demServer zur Verfügung


Standardmäßig versucht die Site zu ermitteln, ob Citrix Receiver auf dem Benutzergerätinstalliert ist, wenn ein Benutzer über einen Computer unter Windows oder Mac OS X aufReceiver für Web-Sites zugreift. Wenn Citrix Receiver nicht erkannt wird, wird der Benutzeraufgefordert, die entsprechende Citrix Receiver-Version für seine Plattform von der CitrixWebsite herunterzuladen und zu installieren.

Wenn Sie Installationsdateien für Receiver für Windows und Receiver für Mac auf denStoreFront-Server kopieren, können Sie die Site so konfigurieren, dass Benutzern anstelleeiner Umleitung auf die Citrix Website diese lokalen Dateien zur Verfügung gestellt werden.Wenn Citrix Receiver-Installationsdateien auf dem StoreFront-Server verfügbar sind, könnenSie die Site auch so konfigurieren, dass Benutzern mit älteren Clients die Möglichkeitgegeben wird, ein Upgrade auf die Version auf dem Server durchzuführen. ZumKonfigurieren der Bereitstellung von Receiver für Windows und Receiver für Mac führen SieWindows PowerShell-Skripts aus und bearbeiten die Konfigurationsdatei.


1. Kopieren Sie die Installationsdateien für Receiver für Windows und Receiver für Mac indie Verzeichnisse "\Receiver Clients\Windows\" bzw. "\Receiver Clients\Mac\" derStoreFront-Installation. Diese ist normalerweise unter "C:\Programme\Citrix\ReceiverStoreFront\".

Sie können die Installationsdateien auch auf den Server kopieren, wenn Sie StoreFrontüber eine Eingabeaufforderung installieren. Weitere Informationen finden Sie unter Soinstallieren Sie StoreFront über eine Eingabeaufforderung.

2. Starten Sie mit einem Konto mit lokalen Administratorberechtigungen WindowsPowerShell und geben Sie an der Eingabeaufforderung die folgenden Befehle zumAktualisieren von StoreFront mit Citrix Receiver-Installationsdateinamen ein.

& "installationlocation\Scripts\UpdateWindowsReceiverLocation.ps1" -ClientLocation "Windows\filename.exe"

& "installationlocation\Scripts\UpdateMacOSReceiverLocation.ps1" -ClientLocation "Mac\filename.dmg"

installationlocation ist das Verzeichnis, in dem StoreFront installiert ist, üblicherweiseC:\Programme\Citrix\Receiver StoreFront\ und filename ist der Name der CitrixReceiver-Installationsdatei.

3. Öffnen Sie auf dem StoreFront-Server die Datei web.config für die Receiver fürWeb-Site mit einem Text-Editor. Die Datei ist normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\storenameWeb\, wobei storename für den Namen steht, derbeim Erstellen des Stores angegeben wurde.


<pluginAssistant ... upgradeAtLogin="false">

5. Legen Sie für das Attribut upgradeAtLogin den Wert true fest, um Benutzern mit älterenClients die Möglichkeit zu geben, ein Upgrade auf die Version auf dem Serverdurchzuführen.

So stellen Sie Citrix Receiver-Installationsdateien auf dem Server zur Verfügung

176

177

So deaktivieren Sie die Erkennung undBereitstellung von Citrix Receiver


Standardmäßig versucht die Site zu ermitteln, ob Citrix Receiver auf dem Benutzergerätinstalliert ist, wenn ein Benutzer über einen Computer unter Windows oder Mac OS X aufReceiver für Web-Sites zugreift. Wenn Citrix Receiver nicht erkannt wird, wird der Benutzeraufgefordert, die entsprechende Citrix Receiver-Version für seine Plattform von der CitrixWebsite herunterzuladen und zu installieren. Zum Deaktivieren der Erkennung undBereitstellung von Citrix Receiver für Windows und für Mac für die Receiver für Web-Site,bearbeiten Sie die Konfigurationsdatei der Site.




<pluginAssistant enabled="true" ... >

3. Ändern Sie den Wert des Attributs enabled in false, um die Erkennung undBereitstellung von Citrix Receiver für die Site zu deaktivieren.

178

So konfigurieren Sie Workspace Control


Mit Workspace Control folgen Anwendungen dem Benutzer, wenn er das Gerät wechselt. Sokönnen etwa Krankenhausärzte von einer Arbeitsstation zu einer anderen wechseln, ohneihre Anwendungen auf jedem einzelnen Gerät neu starten zu müssen. Workspace Control istfür Receiver für Web-Sites standardmäßig aktiviert. Bearbeiten Sie dieSitekonfigurationsdatei, um Workspace Control zu deaktivieren oder zu konfigurieren.




<workspaceControl enabled="true" autoReconnectAtLogon="true" logoffAction="disconnect" showReconnectButton="false" showDisconnectButton="false" />

3. Ändern Sie den Wert des Attributs enabled in false, um Workspace Control für die Sitezu deaktivieren. Legen Sie für das Attribut autoReconnectAtLogon den Wert false fest,um zu verhindern, dass Benutzer automatisch mit Anwendungen wiederverbundenwerden, die sie nicht beendet haben. Um die Anwendungen von Benutzern automatischzu schließen, wenn sie sich von der Site abmelden, legen Sie für das AttributlogoffAction den Wert terminate fest. Legen Sie für logoffAction den Wert none fest,um die Anwendungen von Benutzern weiter auszuführen, wenn sie sich von der Siteabmelden.

Standardmäßig ist für autoReconnectAtLogon der Wert true und für logoffAction derWert disconnect festgelegt. Bei dieser Konfiguration können Benutzer sich an einer Siteanmelden, Anwendungen starten und sich dann über ein anderes Gerät an derselbenSite anmelden. Die Ressourcen werden automatisch auf das neue Gerät übertragen. AlleAnwendungen, die ein Benutzer über eine bestimmte Site startet, werden weiterausgeführt, jedoch automatisch getrennt, wenn der Benutzer sich von der Siteabmeldet, sofern er denselben Browser verwendet, um sich anzumelden, dieRessourcen zu starten und sich abzumelden. Wenn nur ein Desktop für einen Benutzerauf einer Receiver für Web-Site verfügbar ist, die so konfiguriert ist, dass einzelneDesktops beim Anmelden automatisch gestartet werden, erfolgt keineWiederverbindung der Anwendungen des Benutzers, selbst wenn das AttributautoReconnectAtLogon auf true gesetzt ist.

Deaktivieren Sie die automatische Wiederverbindung von Anwendungen bei derAnmeldung, damit Benutzer selbst wählen können, ob ihre Anwendungen ihnen von

einem Gerät zum anderen folgen sollen. Wenn Sie die automatische Wiederverbindungvon Anwendungen bei der Anmeldung deaktivieren, vergewissern Sie sich, dass der LinkVerbinden aktiviert ist, damit Benutzer sich manuell mit den Anwendungen wiederverbinden können, die noch ausgeführt werden.

4. Ändern Sie den Wert des Attributs showReconnectButton in true, um den LinkVerbinden auf der Site anzuzeigen, damit Benutzer manuell eine neue Verbindung mitnoch ausgeführten Anwendungen herstellen können. Legen Sie für das AttributshowDisconnectButton den Wert true fest, um den Link Trennen auf der Siteanzuzeigen, damit Benutzer die Verbindung mit Anwendungen manuell trennen können,ohne diese zu schließen.

Die Links Verbinden und Trennen werden standardmäßig nicht auf Sites angezeigt.Aktivieren Sie die Links und deaktivieren Sie die automatische Wiederverbindung vonAnwendungen bei der Anmeldung, damit Benutzer selbst wählen können, ob ihreAnwendungen ihnen von einem Gerät zum anderen folgen sollen.

So konfigurieren Sie Workspace Control

179

180

So beenden Sie die Bereitstellung vonProvisioningdateien für Benutzer


Standardmäßig werden von Receiver für Web-Sites Provisioningdateien angeboten, damitBenutzer Citrix Receiver automatisch für den zugeordneten Store konfigurieren können. DieProvisioningdateien enthalten Verbindungsinformationen für den Store, über den dieRessourcen auf der Website bereitgestellt werden, einschließlich Details jeglicher für denStore konfigurierter NetScaler Gateway-Bereitstellungen und Beacons. Bearbeiten Sie dieSitekonfigurationsdatei, damit die Citrix Receiver-Provisioningdateien nicht mehr fürBenutzer bereitgestellt werden.




<receiverConfiguration enabled="true" ... />

3. Ändern Sie den Wert des Attributs enabled in false zum Entfernen der Option zumHerunterladen einer Provisioningdatei.

181

So konfigurieren Sie die Verwendung derBrowserregisterkarten für Receiver fürHTML5


Standardmäßig werden Desktops und Anwendungen in Receiver für HTML5 in einer neuenBrowserregisterkarte gestartet. Beim Start von Ressourcen über Verknüpfungen mitReceiver für HTML5 ersetzt der Desktop bzw. die Anwendung jedoch die Receiver fürWeb-Site in der geöffneten Browserregisterkarte anstatt eine neue Registerkarteanzuzeigen. Zum Konfigurieren von Receiver für HTML5, sodass Ressourcen immer auf dergleichen Registerkarte wie die Receiver für Web-Site gestartet werden, bearbeiten Sie dieKonfigurationsdatei der Site.




<html5 ... singleTabLaunch="false" />

3. Ändern Sie den Wert des Attributs singleTabLaunch auf true, damit Desktops undAnwendungen über Receiver für HTML5 in der gleichen Browserregisterkarte wie dieReceiver für Web-Site statt in einer neuen Registerkarte gestartet werden.

182

So konfigurieren Sie Timeoutdauer undWiederholungsversuche für den Store


Standardmäßig erfolgt bei Anforderungen von einer Receiver für Web-Site an denzugeordneten Store nach einer Minute ein Timeout. Nach zwei gescheitertenKommunikationsversuchen gilt der Store als nicht verfügbar. Bearbeiten Sie dieSitekonfigurationsdatei, um diese Einstellungen zu ändern.




<communication attempts="2" timeout="00:01:00">

3. Ändern Sie den Wert des Attributs attempts zur Anzahl der erfolglosenKommunikationsversuche, die unternommen werden, bevor der Store als nichtverfügbar angesehen wird. Legen Sie mit dem Attribut timeout die zeitliche Begrenzungfür eine Antwort vom Store in Stunden, Minuten und Sekunden fest.

183

So konfigurieren Sie die Sitzungsdauer


Nach der Authentifizierung können Benutzer standardmäßig auf Ressourcen vonXenDesktop, XenApp, App Controller oder VDI-in-a-Box bis zu acht Stunden lang zugreifen,ohne sich neu anmelden zu müssen. Standardmäßig werden Benutzersitzungen auf Receiverfür Web-Sites nach 20 Minuten Inaktivität beendet. Wenn eine Sitzung beendet wird,können Benutzer weiterhin bereits ausgeführte Desktops oder Anwendungen verwenden. Siemüssen sich jedoch neu anmelden, um auf Funktionen von Receiver für Web-Sites zugreifenzu können, z. B. das Abonnieren von Anwendungen. Bearbeiten Sie dieSitekonfigurationsdatei, um diese Einstellungen zu ändern.




<authentication tokenLifeTime="08:00:00" ... />

3. Ändern Sie den Wert des Attributs tokenLifeTime auf die Zeit (in Stunden, Minuten undSekunden), für die Benutzer nach der Authentifizierung bei XenDesktop, XenApp, AppController oder VDI-in-a-Box weiter die Ressourcen der Bereitstellung nutzen könnensollen.


<sessionState timeout="20" />

5. Legen Sie mit dem Attribut timeout die Zeit (in Minuten) fest, die eine Sitzung vonReceiver für Web-Sites inaktiv sein kann, bis der Benutzer sich neu anmelden muss, umdie Site aufzurufen.

184

Konfigurieren von Desktopgerätesites


Die folgenden Anleitungen beschreiben, wie Sie Desktopgerätesites erstellen, löschen undändern. Sie führen Windows PowerShell-Befehle aus, um Sites zu erstellen und zuentfernen. Sie ändern die Einstellungen für die Desktopgerätesite, indem Sie dieSitekonfigurationsdateien bearbeiten.


So erstellen oder entfernen Sie DesktopgerätesitesÜber jede Desktopgerätesite kann nur auf einen einzelnen Store zugegriffen werden. Siekönnen einen Store mit allen Ressourcen für Benutzer mit Desktopgeräten erstellen, dienicht in der Domäne sind. Alternativ, erstellen Sie separate Stores mit jeweils einerDesktopgerätesite und konfigurieren Sie die Desktopgeräte des Benutzers für die Verbindungmit der entsprechenden Site.

1. Starten Sie Windows PowerShell von einem Konto mit lokalen Administratorrechten undgeben Sie an der Eingabeaufforderung den folgenden Befehl ein, damit dieStoreFront-Module importiert werden.

& "installationlocation\Scripts\ImportModules.ps1"

installationlocation ist das Verzeichnis, in dem StoreFront installiert ist (in der RegelC:\Programme\Citrix Receiver StoreFront\).

2. Um eine neue Desktopgerätesite zu erstellen, geben Sie den folgenden Befehl ein.

Install-DSDesktopAppliance -FriendlyName sitename -SiteId iisid -VirtualPath sitepath -HostBaseUrl baseurl -UseHttps {$False | $True} -StoreUrl storeaddress [-EnableMultiDesktop {$False | $True}] [-EnableExplicit {$True | $False}] [-EnableSmartCard {$False | $True}] [-EnableEmbeddedSmartCardSSO {$False | $True}]

Dabei ist sitename ist ein Name, mit dem Sie die Desktopgerätesite leichtenidentifizieren können. Geben Sie für iisid die numerische ID der MicrosoftInternetinformationsdienste-Website (IIS) ein, von der StoreFront gehostet wird. DieseID ist der IIS-Verwaltungskonsole zu entnehmen. Ersetzen Sie sitepath durch denrelativen Pfad, unter dem die Site in IIS erstellt werden soll, z. B./Citrix/DesktopAppliance. Beachten Sie, dass bei Desktopgerätesite-URLs zwischenGroß- und Kleinschreibung unterschieden wird. Die Variable baseurl gibt die URL desStoreFront-Servers an oder die der Lastausgleichsumgebung für eineMultiserverbereitstellung.

Geben Sie an, ob StoreFront für HTTPS konfiguriert ist, indem Sie für -UseHttps denentsprechenden Wert einstellen. Die Einstellung für -UseHttps muss konsistent mit demProtokoll in der URL sein, die mit -HostBaseURL angegeben wurde. Verwenden Siestoreaddress, um die absolute URL für den Store anzugeben, der die Ressourcen für dieSite bereitstellt.

Standardmäßig wird automatisch der erste dem Benutzer verfügbare Desktop gestartet,wenn ein Benutzer sich an einer Desktopgerätesite anmeldet. Um die neueDesktopgerätesite so konfigurieren, dass Benutzer ggf. zwischen mehreren Desktopswählen können, setzen Sie -EnableMultiDesktop auf $True ein.

Die explizite Authentifizierung ist standardmäßig für neue Sites aktiviert. Sie könnendie explizite Authentifizierung deaktivieren, indem Sie das Argument -EnableExplicitauf $False setzen. Aktivieren Sie die Smartcardauthentifizierung, indem Sie-EnableSmartCard auf $True setzen. Um die Passthrough-Authentifizierung mitSmartcards zu aktivieren, müssen Sie -EnableSmartCard und-EnableEmbeddedSmartCardSSO auf $True setzen. Wenn Sie die expliziteAuthentifizierung und entweder Smartcard- oder Passthrough mit Smartcard aktivieren,werden Benutzer erst aufgefordert, sich mit einer Smartcard anzumelden, können aberauf die explizite Authentifizierung zurückgreifen, wenn es mit den Smartcards Problemegibt.

Die optionalen Argumente konfigurieren Einstellungen, die auch nach dem Erstellen derDesktopgerätesite geändert werden können, indem Sie die Sitekonfigurationsdateibearbeiten.

3. Um eine vorhandene Desktopgerätesite zu entfernen, geben Sie den folgenden Befehlein.

Remove-DSDesktopAppliance -SiteId iisid -VirtualPath sitepath

Dabei ist iisid die numerische ID der IIS-Site, die StoreFront hostet, und sitepath ist derrelative Pfad der Desktopgerätesite in IIS, z. B. /Citrix/DesktopAppliance.

4. Um die Desktopgerätesites aufzulisten, die derzeit in der StoreFront-Bereitstellungverfügbar sind, geben Sie den folgenden Befehl ein.

Get-DSDesktopAppliancesSummary

So konfigurieren Sie die BenutzerauthentifizierungDesktopgerätesites unterstützen explizite, Smartcard- oder Passthrough-Authentifizierungmit Smartcards. Die explizite Authentifizierung ist standardmäßig aktiviert. Wenn Sie dieexplizite Authentifizierung und entweder Smartcard oder Passthrough mit Smartcardaktivieren, werden Benutzer standardmäßig zunächst aufgefordert, sich mit einerSmartcard anzumelden. Wenn Benutzer Probleme mit ihren Smartcards haben, können siedie Anmeldeinformationen explizit eingeben. Wenn Sie IIS so konfigurieren, dassClientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind,können Benutzer nicht auf die explizite Authentifizierung zurückgreifen, wenn ihreSmartcards nicht verfügbar sind. Um die Authentifizierungsmethoden für eineDesktopgerätesite zu konfigurieren, bearbeiten Sie die Sitekonfigurationsdatei.


185

1. Öffnen Sie die Datei web.config für die Desktopgerätesite mit einem Text-Editor. DieDatei ist normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\storename\DesktopAppliance, wobei storename für denNamen steht, der beim Erstellen des Stores angegeben wurde.


<explicitForms enabled="true" />

3. Ändern Sie den Wert des Attributs enabled zu false, um die explizite Authentifizierungfür die Site zu deaktivieren.


<certificate enabled="false" useEmbeddedSmartcardSso="false" embeddedSmartcardSsoPinTimeout="00:00:20" />

5. Setzen Sie den Wert des Attributs enabled auf true, um die Smartcardauthentifizierungzu aktivieren. Um die Passthrough-Authentifizierung mit Smartcard zu aktivieren,müssen Sie auch den Wert des Attributs useEmbeddedSmartcardSso auf true setzen.Verwenden Sie das Attribut embeddedSmartcardSsoPinTimeout, um festzulegen, wielange (in Stunden, Minuten und Sekunden) der PIN-Eingabebildschirm angezeigt wird.Kommt es zu einem Timeout des PIN-Eingabebildschirms, wird Benutzern dieAnmeldeseite angezeigt und sie müssen ihre Smartcard entfernen und neu einlegen, umwieder zum PIN-Eingabebildschirm zurückzukehren. Standardeinstellung für denTimeoutwert ist 20 Sekunden.

So lassen Sie Benutzer zwischen mehreren Desktopswählen

Standardmäßig wird beim Anmelden an einer Desktopgerätesite der erste (in alphabetischerReihenfolge) Desktop automatisch gestartet, der für den Benutzer in dem Store zurVerfügung steht, für den die Site konfiguriert ist. Wenn Sie Benutzern Zugriff auf mehrereDesktops in einem Store geben, können Sie die Desktopgerätesite so konfigurieren, dass dieverfügbaren Desktops angezeigt werden und Benutzer einen wählen können. Bearbeiten Siedie Sitekonfigurationsdatei, um diese Einstellungen zu ändern.

1. Öffnen Sie die Datei web.config für die Desktopgerätesite mit einem Text-Editor. DieDatei ist normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\storename\DesktopAppliance, wobei storename für denNamen steht, der beim Erstellen des Stores angegeben wurde.


<resources showMultiDesktop="false" />

3. Ändern Sie den Wert des Attributs showMultiDesktop zu true, damit Benutzer beimAnmelden an der Desktopgerätesite alle Desktops sehen und unter den verfügbarenDesktops im Store einen wählen können.


186

187

So konfigurieren Sie die Authentifizierungfür XenApp Services-URLs


XenApp Services-URLs ermöglicht Benutzern domänengebundener Desktopgeräte undumfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, neben Benutzern mitälteren Citrix Clients, die nicht aktualisiert werden können, den Zugriff auf Stores. WennSie einen neuen Store erstellen, wird die XenApp Services-URL standardmäßig aktiviert. DieXenApp Services-URL für den Store hat das Formathttp[s]://serveraddress/Citrix/storename/PNAgent/config.xml, wobei serveraddress dervollqualifizierte Domänenname des Servers oder der Lastausgleichsumgebung für dieStoreFront-Bereitstellung ist und storename der für den Store bei der Erstellungangegebene Name.

XenApp Services-URLs unterstützen die explizite, Domänen-Passthrough- undPassthrough-Authentifizierung mit Smartcards. Die explizite Authentifizierung iststandardmäßig aktiviert. Sie können die Authentifizierungsmethode wechseln, aber nur eineAuthentifizierungsmethode kann für jede XenApp Services-URL konfiguriert werden. ZumAktivieren mehrerer Authentifizierungsmethoden erstellen Sie separate Stores mit einerXenApp Services-URL für jede Authentifizierungsmethode. Zum Ändern derAuthentifizierungsmethode für eine XenApp Services-URL führen Sie ein WindowsPowerShell-Skript aus.


1. Verwenden Sie ein Konto mit lokalen Administratorrechten, um Windows PowerShell zustarten. Geben Sie an einer Eingabeaufforderung einen der folgenden Befehle ein, umdie Authentifizierungsmethode für Benutzer zu konfigurieren, die auf den Store überdie XenApp Services-URL zugreifen.

Geben Sie für das Feature "smartcard_prompt" Folgendes ein:

& "installationlocation\Scripts\EnablePnaForStore.ps1" –SiteId iisid –ResourcesVirtualPath storepath –LogonMethod {prompt | sson | smartcard_prompt}

Geben Sie für das Feature "smartcard_sson" Folgendes ein:

& "installationlocation\Scripts\EnablePnaForStore.ps1" –SiteId iisid –ResourcesVirtualPath storepath –LogonMethod {prompt | sson | smartcard_sson}

installationlocation ist das Verzeichnis, in dem StoreFront installiert ist (in der Regel C:\Programme\Citrix Receiver StoreFront\). Geben Sie für iisid die numerische ID der

Microsoft Internetinformationsdienste-Website (IIS) ein, von der StoreFront gehostetwird. Diese ID ist der IIS-Verwaltungskonsole zu entnehmen. Ersetzen Sie storepathdurch den relativen Pfad zu dem Store in IIS, z. B. /Citrix/Store. Zum Aktivieren derexpliziten Authentifizierung legen Sie das -LogonMethods-Argument auf prompt fest.Verwenden Sie für Domänen-Passthrough sson und für Passthrough mitSmartcardauthentifizierung Smartcard_sson.

So konfigurieren Sie die Authentifizierung für XenApp Services-URLs

188

189

Sichern der StoreFront-Bereitstellung


In diesem Abschnitt werden Bereiche behandelt, die sich bei der Bereitstellung undKonfiguration von StoreFront auf die Systemsicherheit auswirken können.

Zertifikate in StoreFrontServerzertifikate werden verwendet, um Maschinen zu identifizieren und um dieÜbertragungssicherheit in StoreFront zu gewährleisten. Wenn Sie die ICA-Dateisignierungaktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zusignieren.

Sowohl die Authentifizierungsdienste als auch Stores benötigen Zertifikate für dieTokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn einAuthentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte, selbstsignierteZertifikate sollten für keinen anderen Zweck verwendet werden.

Zum Aktivieren der e-mail-basierten Kontenermittlung für Benutzer, die Citrix Receiver aufeinem Gerät zum ersten Mal installieren, müssen Sie ein gültiges Serverzertifikat auf demStoreFront-Server installieren. Des Weiteren muss die vollständige Kette zumStammzertifikat gültig sein. Um optimale Benutzerfreundlichkeit zu erzielen, installierenSie ein Zertifikat mit dem Eintrag discoverReceiver.domain für Antragsteller oderAlternativer Antragstellername, wobei domain die Microsoft Active Directory-Domäne ist,die die E-Mail-Konten der Benutzer enthält. Obwohl Sie ein Zertifikat mitPlatzhalterzeichen für die Domäne verwenden können, die die E-Mail-Konten der Benutzerenthält, müssen Sie zunächst sicherstellen, dass die Bereitstellung solcher Zertifikate vondie Sicherheitsrichtlinien Ihres Unternehmens zugelassen wird. Sie können andereZertifikate für die Domäne mit den Benutzer-E-Mail-Konten verwenden, den Benutzern wirdjedoch bei der ersten Verbindungsherstellung von Citrix Receiver mit dem StoreFront-Servereine Warnung bezüglich des Zertifikats angezeigt. Die e-mail-basierte Kontenermittlungkann nicht mit anderen Zertifikatidentitäten verwendet werden. Weitere Informationenfinden Sie unter Konfigurieren der e-mail-basierten Kontenermittlung.

Wenn Benutzer ihre Konten selbst durch Eingeben der Store-URLs in Citrix Receiverkonfigurieren, statt über die e-mail-basierte Kontenermittlung, muss das Zertifikat auf demStoreFront-Server nur für diesen Server gültig sein und eine gültige Kette zumStammzertifikat haben.

StoreFront-KommunikationCitrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet ProtocolSecurity) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischenStoreFront und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen desInternetprotokolls, die authentifizierte und verschlüsselte Kommunikation mitDatenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz derVermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden.HTTPS verwendet Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für einestarke Datenverschlüsselung.

SSL-Relay kann verwendet werden, um den Datenverkehr zwischen StoreFront undXenApp-Servern zu schützen. SSL-Relay ist eine Standardkomponente von XenApp, die dieHostauthentifizierung und Datenverschlüsselung übernimmt.

Citrix empfiehlt, die Kommunikation zwischen StoreFront und Benutzergeräten mitNetScaler Gateway und HTTPS zu schützen. Damit HTTPS verwendet werden kann, müssendie Microsoft Internet Information Services (IIS)-Instanz, auf der derAuthentifizierungsdienst gehostet wird, und damit verknüpfte Stores für HTTPS konfiguriertsein. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFrontHTTP für die Kommunikation. Citrix empfiehlt dringend, keine ungeschütztenBenutzerverbindungen mit StoreFront in einer Produktionsumgebung zu aktivieren.

Hinweis: SSL 2.0 ist in IIS standardmäßig aktiviert. Da dieses Protokoll inzwischenveraltet ist, empfiehlt Citrix, SSL 2.0 auf StoreFront-Servern zu deaktivieren. WeitereInformationen zum Deaktivieren von Protokollen in IIS finden Sie unterhttp://support.microsoft.com/kb/187498.

Isolierung der StoreFront-SicherheitFalls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wieStoreFront bereitstellen, können die mit diesen Webanwendungen verbundenenSicherheitsrisiken eventuell auch die Sicherheit der StoreFront-Bereitstellung negativbeeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung vonStoreFront in einer getrennten Webdomäne.

ICA-DateisignierungIn StoreFront können ICA-Dateien digital mit einem auf dem Server angegebenen Zertifikatsigniert werden, damit Citrix Receiver-Versionen, die dieses Feature unterstützen,sicherstellen können, dass die Datei aus einer vertrauenswürdigen Quelle stammt.ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf demStoreFront-Server ausgeführten Betriebssystem unterstützt wird, z. B. SHA-1 und SHA-256.Weitere Informationen finden Sie unter So aktivieren Sie die ICA-Dateisignierung.

Sicherung

190

http://support.microsoft.com/kb/187498

Benutzerseitige KennwortänderungSie können Benutzern von Receiver für Web-Sites, die sich mit ActiveDirectory-Domänenanmeldeinformationen anmelden, gestatten, ihre Kennwörter zu ändern,und zwar entweder jederzeit oder nur, wenn sie abgelaufen sind. Dadurch werden jedochvertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores,die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmeneine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internenVerwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb desUnternehmensnetzwerks zugegriffen werden kann. Beim Erstellen desAuthentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer von Receiverfür Web-Sites ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind.Weitere Informationen finden Sie unter Optimieren der Benutzererfahrung.

Sicherung

191

192

Problembehandlung bei StoreFront


Bei der Installation oder Deinstallation von StoreFront werden vomStoreFront-Installationsprogramm die folgenden Protokolldateien unter C:\Windows\Temp\erstellt. Die Dateinamen lassen die Komponenten erkennen, die sie erstellt haben, undenthalten einen Zeitstempel.

• Citrix-DeliveryServicesRoleManager-*.log: wird bei der interaktiven Installation vonStoreFront erstellt.

• Citrix-DeliveryServicesSetupConsole-*.log: wird bei der Installation von StoreFront ohneBenutzereingriffe und bei Deinstallation mit oder ohne Benutzereingriffe erstellt.

• CitrixMsi-CitrixStoreFront-x64-*.log: wird bei der Installation und Deinstallation vonStoreFront mit oder ohne Benutzereingriffe erstellt.

StoreFront unterstützt die Windows-Ereignisprotokollierung für denAuthentifizierungsdienst, Stores und Receiver für Web-Sites. Alle generierten Ereignissewerden in das StoreFront-Anwendungsprotokoll geschrieben, das über die Ereignisanzeigeunter Anwendungs- und Dienstprotokolle > Citrix Delivery Services oder Windows-Protokolle> Anwendung angezeigt werden kann. Sie können die Anzahl der doppeltenProtokolleinträge für ein einzelnes Ereignis steuern, indem Sie die Konfigurationsdateien fürden Authentifizierungsdienst, die Stores und Receiver für Web-Sites bearbeiten.

Die Citrix StoreFront-Managementkonsole speichert automatischAblaufverfolgungsinformationen. Standardmäßig ist die Ablaufverfolgung für andereVorgänge deaktiviert und muss manuell aktiviert werden. Von Windows PowerShell-Befehlenerstellte Protokolle werden im Verzeichnis \Admin\logs\ der StoreFront-Installation, dienormalerweise in C:\Programme\Citrix\Receiver StoreFront\ ist, gespeichert. DieProtokolldateinamen enthalten Befehlsaktionen und Themen sowie einen Zeitstempel,anhand derer zwischen den Befehlssequenzen unterschieden werden kann.


So konfigurieren Sie die Protokolldrosselung1. Öffnen Sie die Datei web.config für den Authentifizierungsdienst, Store oder die

Receiver für Web-Site mit einem Text-Editor. Die Dateien sind normalerweise imVerzeichnis C:\inetpub\wwwroot\Citrix\Authentication\,C:\inetpub\wwwroot\Citrix\storename\ oderC:\inetpub\wwwroot\Citrix\storenameWeb\, wobei storename für den Namen steht, derbeim Erstellen des Stores angegeben wurde.


<logger duplicateInterval="00:01:00" duplicateLimit="10">

Standardmäßig wird in der Konfiguration von StoreFront die Anzahl der doppeltenProtokolleinträge auf 10 pro Minute beschränkt.

3. Ändern Sie den Wert des Attributs duplicateInterval, um den Zeitraum, in dem doppelteProtokolleinträge überwacht werden, in Stunden, Minuten und Sekunden festzulegen.Legen Sie mit dem Attribut duplicateLimit fest, wie viele doppelte Einträge imangegebenen Zeitraum protokolliert werden müssen, um die Protokolldrosselungauszulösen.

Wenn die Protokolldrosselung ausgelöst wird, wird eine Warnmeldung aufgezeichnet, umanzugeben, dass weitere identische Protokolleinträge unterdrückt werden. Nach Ablauf desZeitraums wird die normale Protokollierung fortgesetzt und es wird eineInformationsmeldung aufgezeichnet, die angibt, dass doppelte Protokolleinträge nicht mehrunterdrückt werden.

So aktivieren Sie die Ablaufverfolgung1. Starten Sie Windows PowerShell von einem Konto mit lokalen Administratorrechten und

geben Sie an der Eingabeaufforderung die folgenden Befehle ein. Starten Sie den Serverneu, damit die Ablaufverfolgung aktiviert wird.

Add-PSSnapin Citrix.DeliveryServices.Framework.Commands

Set-DSTraceLevel -modulename -TraceLevel Verbose

modulename ist der Name des Moduls, für das Sie die Ablaufverfolgung aktivierenmöchten. Wenn Sie die Ablaufverfolgung für alle Module aktivieren möchten, ersetzenSie den Parameter -servicename durch die Einstellung -All.

2. Um die Ablaufverfolgung zu deaktivieren, geben Sie folgende Befehle ein und startenden Server neu.

Add-PSSnapin Citrix.DeliveryServices.Framework.Commands

Set-DSTraceLevel -modulename -TraceLevel Off

modulename ist der Name des Moduls, für das Sie die Ablaufverfolgung deaktivierenmöchten. Wenn Sie die Ablaufverfolgung für alle Module deaktivieren möchten,ersetzen Sie den Parameter -servicename durch die Einstellung -All.

Problembehandlung

193

Bei aktivierter Ablaufverfolgung werden die Ablaufverfolgungsinformationen in Dateien imVerzeichnis \Admin\Trace\ der StoreFront-Installation geschrieben. Dieses Verzeichnis istnormalerweise unter C:\Programme\Citrix\Receiver StoreFront\.

Aufgrund der großen Datenmenge, die möglicherweise erstellt wird, kann dieAblaufverfolgung erhebliche Auswirkungen auf die StoreFront-Leistung haben. Daherempfiehlt Citrix, die Ablaufverfolgung nur zu aktivieren, wenn dies ausdrücklich für dieProblembehandlung erforderlich ist.

Problembehandlung

194

StoreFront 2 - Citrix Docs...HTML5-kompatiblen Webbrowser auf ihre Desktops und Anwendungen...

Documents

Transcript of StoreFront 2 - Citrix Docs...HTML5-kompatiblen Webbrowser auf ihre Desktops und Anwendungen...