– Jan's Cloud – online Gedankenstütze ;)

22. Juni 2017

Citrix Receiver Protokollfehler mit dem Authentifizierungsdienst

Ein Protokollfehler mit dem Authentifizierungsdienst bei der Citrix Receiver Einrichtung (Windows / iOS / Android)

Anfang des Jahres „wollte“ ein Kunde seine in die Jahre gekommene XenApp 6.5 Umgebung ablösen und auf modernere Betriebssysteme updaten. In diesem Zug musste natürlich auch die Citrix Umgebung aktualisiert werden. Das verlief auch alles sehr harmonisch und nach Schema-F ab bis es zur Einrichtung an einem iPad sowie einem externen Arbeitsplatz kam. Am Arbeitsplatz (nicht in der Domäne des Kunden) begrüßte mich nach Eingabe der Server Adresse und Benutzer / Passwort folgende Meldung:

Citrix Receiver Protokollfehler Authentifizierungsdienst

Citrix Receiver Protokollfehler Authentifizierungsdienst

 

 

 

 

 

Das Arbeiten im Receiver for Web und auch HTML5 Receiver war vollkommen problemlos möglich. Ebenfalls konnte im Receiver for Web der Citrix Receiver for Windows über die Schaltfläche „Aktivieren…“ in Betrieb genommen werden. Ebenso konnten am iPad / iPhone in einem Browser die Anwendungen gestartet werden.

Citrix Receiver Aktivieren

Citrix Receiver Aktivieren

 

 

 

 

Nach mehrtägiger / wöchiger / monatiger Fehlersuche (mit dem Citrix Support) konnte ich im Citrix Support Forum eine weitere Lösung neben der Citrix Lösung finden.

Die Citrix Lösung: Storefront deinstallieren und nicht von der ISO neu installieren, sondern das Storefront Setup seperat herunterladen und ausführen. Danach den automatisch generierten Store umbenennen oder benutzen. Wichtig: Den „Default Store“ nach der Installation nicht löschen und einen neuen anlegen! Genau dann bekommt man das oben genannte Problem…

Die Support Forum Lösung: In der web.config (im Ordner C:\inetpub\wwwroot\Citrix\Roaming) die Zeile mit „https://<FQDN>/Citrix/Authentication/auth/v1“ im Abschnitt „<tokenManager>“ suchen

Storefront Roaming web.config

Storefront Roaming web.config (vorher)

 

 

 

 

und die im Screenshot rot markierte Zeile löschen.

Storefront Roaming web.config

Storefront Roaming web.config (nachher)

 

 

 

 

Nach einem „iisreset“ am StoreFront Server ist die Einrichung des Citrix Receivers unter iOS (iPad / iPhone) oder auch im Citrix Receiver for Windows wieder möglich.

Hier noch der Link zur Diskussion im Citrix Support Forum: https://discussions.citrix.com/topic/376304-a-protocol-error-occured-while-communicating-with-the-authentication-service/ bzw. der entsprechende Post https://discussions.citrix.com/topic/376304-a-protocol-error-occured-while-communicating-with-the-authentication-service/page-2#entry1946776

 

18. August 2014

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 4

Filed under: Lancom — Schlagwörter: , , , , , , — Jan Mischo @ 20:37

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

Teil 2: Anpassung des VPN Profils an iOS

Teil 3: Einrichtung der mobileConfig mit dem iPhone Konfigurationsprogramm

*** UPDATE iOS8 VPN on Demand ***

Sollte das Profil bereits unter iOS7 auf das Gerät provisionert worden sein, so muss nach dem Update auf iOS8 das Profil gelöscht und neu auf dem Gerät installiert werden!

*** UPDATE iOS8 VPN on Demand ***

Die in Teil 3 erstellte mobileConfig Datei muss jetzt auf das iPhone / iPad übertragen werden. Dazu lässt sich diese z.B. auf einem geschützten (internen) Webserver ablegen oder per Mail auf das Gerät übertragen (Nach der Übertragung die (E-Mail mit der) mobileConfig am besten wieder löschen und an einem sicheren Ort aufbewahren.

 

mobileConfig auf Gerät übertragen

mobileConfig auf Gerät übertragen

 

 

Ich habe mir in diesem Fall die mobileConfig einfach per Mail auf mein iPhone gesendet und installiert. Durch einfaches antippen des Anhangs wird dieser geöffnet und die Konfigration des Profils auf dem iPad / iPhone kann gestartet werden.

 

 

 

 

 

 

Installieren antippen

Installieren antippen

 

 

Auf „Installieren“ tippen.

 

 

 

 

 

 

Profil Installieren

Profil Installieren

 

 

 

Hier befinden sich jetzt die Bemerkungen und Hinweise die im iPhone Konfigurationstool im Abschnitt „Allgemein“ eingegeben wurden.

 

 

 

 

 

Sperrcode eingeben

Sperrcode eingeben

 

 

Den Sperrcode des Gerätes eingeben, damit das Profil installiert werden kann. Sollte das Gerät nicht mit einem Sperrcode versehen sein, wird dieser Schritt übersprungen.

 

 

 

 

 

 

Neue VPN Verbindung

Neue VPN Verbindung

 

 

Wechselt man jetzt im Menü des iPhones zu den VPN Verbindungen sieht man die soeben eingerichtete Verbindung.

 

 

 

 

 

 

Erweiterte VPN on Demand Optionen

Erweiterte VPN on Demand Optionen

 

 

In den weiteren Informationen der Verbindung sieht man jetzt nur den Schalter „Bei bedarf verbinden“. Ist dieser aktiviert baut das Device bei jeder Anfrage zu einer on Demand Domain den VPN Tunnel auf. Durch deaktivieren dieser Option wird VPN on Demand deaktiviert.

 

 

 

 

 

 

VPN testen

VPN testen

 

 

Im VPN Hauptmenü des Gerätes kann jetzt durch umlegen des VPN Schalter die Verbindung getestet werden.

 

 

 

 

 

 

VPN on Demand Test

VPN on Demand Test

 

Der eigentliche Test des VPN on Demand erfolgt aber in der Safari App. Hier starte ich einfach die Web Konfiguration meines Lancom Routers (https://router.intern). Sobald ich die Seite öffne, triggert das Gerät den Aufbau der VPN Verbindung und nach wenigen Sekunden ist der Tunnel und somit auch die Konfiguration des Routers verfügbar.

17. August 2014

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 3

Filed under: Lancom — Schlagwörter: , , , , , , — Jan Mischo @ 12:20

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

Teil 2: Anpassung des VPN Profils an iOS

Im ersten Schritt muss das iPhone Konfigurationsprogramm heruntergeladen und installiert werden.

Zertifikat(e) am PC mit dem iPhone Konfigurationsprogramm installieren.

  • Über „Start“ -> „Ausführen“ -> „certmgr.msc“ die Zertifikatsverwaltung öffnen
  • „Eigene Zertifikate“ -> „Zertifikate“ -> rechte Maustaste -> „Alle Aufgaben“ -> „Importieren…“
  • „Weiter“ -> Zertifikat „iPhone.pfx“ wählen -> „Weiter“ -> Passwort (im Fall das die Zertifikate aus dem Lancom KB Artikel stammen) „test“ eingeben -> „Privaten Schlüssel als exportierbar markieren“ sowie „Alle erweiterten Eigenschaften einbeziehen“ anhaken -> „Weiter“ -> „Weiter“ -> „Fertigstellen“
  • Das Root Zertifikat „test“ auf „Vertrauenswürdige Stammzertifizierungsstellen“ ziehen und mit „Ja“ bestätigen
iOS Konfigurationsprofil erstellen

iOS Konfigurationsprofil erstellen

 

Zur Konfiguration eines neuen Profils für ein iPhone / iPad das iPhone Konfigurationsprogramm starten und Konfigurationsprofile wählen sowie auf das „Neu-Ribbon“ klicken.

 

 

 

 

 

Allgemeine Einstellungen

Allgemeine Einstellungen

Unter dem Punkt „Allgemein“ wird die Grundkonfiguration des Profils festgelegt.

  • Name (Anzeigename des Profils): „IPHONE-TEST-Profil“
  • Kennung (Eindeutige Kennung des Profils): „iphonetest.dertest.profile“
  • Organisation: „derTest“
  • Beschreibung (Eine kurze Beschreibung, was diese Profil beinhaltet): „VPN on Demand Profil“
  • Nachricht (Meldung die dem Nutzer angezeigt wird): „Durch Installation dieses Profils wird VPN on Demand auf dem Device aktiviert.“
  • Sicherheit (Entfernen des Profils erlauben): Immer (jeder darf das Profil entfernen) / Mit Authentifizierung (Passwort muss zum Entfernen eingegeben werden) / Nie (Nur ein Zurücksetzen des Gerätes entfernt das Profil)
  • Profil automatisch entfernen (Automatisches Entfernen des Profils): Nie (Profil bleibt bis zur manuellen Löschung auf dem Device) /  Am (Profil wird zum angegebenen Datum entfernt) / Nach Interval (Profil bleibt X Tage auf dem Gerät bevor es entfernt wird)

 

Root Zertifikat "Der-Test-RootCA" importieren

Root Zertifikat „Der-Test-RootCA“ importieren

 

Den Punkt „Zertifikate“ wählen und das Root Zertifikat sowie das zwischen Zertifikat importieren. Auf „Konfigurieren“ klicken und in diesem Fall das zwischen Zertifikat markieren und hinzufügen.

 

 

 

 

 

 

iPhone Zertifikat einbinden

iPhone Zertifikat einbinden

 

 

Auf „+“ klicken und das iPhone Zertifikat „iPhone“ auswählen und durch einen Klicke auf „Ok“ hinzufügen.

 

 

 

 

 

Kennwort für private Key vergeben

Kennwort für private Key vergeben

 

Privaten Schlüssel des Zertifikats durch Passwort (hier: „k3Y-5ecret!“) schützen, damit das Zertifikat samt Schlüssel im nächsten Schritt auf dem iPhone / iPad installiert werden kann.

 

 

 

 

 

 

Import Passwort für private Key eingeben

Import Passwort für private Key eingeben

 

Wird das Passwort (hier: „k3Y-5ecret!“) zum Import des Zertifikates an dieser Stelle hinterlegt, installiert sich das Profil auf dem Device selbstständig. Ohne Passwort muss der User während der Installation von Hand eingeben.

 

 

 

 

 

 

VPN Payload konfigurieren

VPN Payload konfigurieren

 

 

Als nächstes wird das VPN on Demand Profil zur Konfiguration hinzugefügt. Dazu einfach „VPN“ wählen und „Konfigurieren“ an klicken.

 

 

 

 

 

Konfiguration der VPN Payload

Konfiguration der VPN Payload

VPN mit folgenden Parametern einrichten

  • Verbindungsname (Anzeigename auf dem Gerät): „derTest VPN“
  • Verbindungstyp: „IPSec Cisco“
  • Server (öffentliche IP/FQDN des Routers): „<IP_oder_FQDN_des_Routers>“
  • Account (Gegenstelle auf Lancom Router): „IPHONE-TEST“
  • Kennwort (Passwort aus PPP-Liste am Lancom Router): „iPhone-t0p-s3cret!“
  • Geräteauthentifizerung: „Zertifikat“
  • Identitätszertifikat: „iPhone“
  • VPN on Demand: aktivieren
    Domänen: <Domäne>.<tld> (hier: „dertest.intern“ sowie „intern“)
    Aktion: „Immer herstellen“

 

Profil exportieren

Profil exportieren

 

Generell lassen sich jetzt noch weitere Payloads konfigurieren wie z.B. eine Exchange Anbindung oder WLAN Profile. Für VPN on Demand wird allerdings nichts weiter benötigt, sodass das Profil im nächsten Schritt exportiert werden kann.

 

 

 

 

 

Profil signieren

Profil signieren

 

 

Als Export-Option das „Konfigurationsprofil signieren“ wählen und auf dem PC speichern.

16. August 2014

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 2

Filed under: Lancom — Schlagwörter: , , , , , , , — Jan Mischo @ 10:45

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

 

IP-Adress-Pool einrichten

IP-Adress-Pool einrichten

 

 

Die Router Konfiguration aufrufen und unter „IPv4“ -> „Adressen“ den IP-Adress-Pool bereitstellen, der zur Einwahl genutzt werden soll.

 

 

 

 

 

 

XAUTH auf Server einrichten

XAUTH auf Server einrichten

 

Unter „VPN“ -> „Allgemein“ -> „Verbindungsliste“ -> „IPHONE-TEST“ bearbeiten und „XAUTH“ auf „Server“ konfigurieren.

 

 

 

 

 

PFS ausschalten

PFS ausschalten

 

PFS deaktivieren, da der iPhone- / iPad-VPN-Client PFS nicht unterstützt. „VPN“ -> „Allgemein“ -> „Verbindungsparameter“ -> „IPHONE-TEST“ bearbeiten bei „PFS-Gruppe“ „kein PFS“ wählen.

 

 

 

 

 

PPP Parameter konfigurieren

PPP Parameter konfigurieren

„Kommunikation“ -> „Protokolle“ -> „PPP-Liste“ -> „Hinzufügen“:

  • Gegenstelle: „IPHONE-TEST“
  • Benutzername: <Leer lassen>
  • Passwort vergeben oder generieren lassen: „iPhone-t0p-s3cret!“

 

 

 

Konfiguration speichern

Konfiguration speichern

 

 

Durch einen Klick auf „OK“ die Konfiguration in den Router übertragen.

Older Posts »

Powered by WordPress