Citrix Receiver Protokollfehler mit dem Authentifizierungsdienst

Ein Protokollfehler mit dem Authentifizierungsdienst bei der Citrix Receiver Einrichtung (Windows / iOS / Android).

Anfang des Jahres „wollte“ ein Kunde seine in die Jahre gekommene XenApp 6.5 Umgebung ablösen und auf modernere Betriebssysteme updaten. In diesem Zug musste natürlich auch die Citrix Umgebung aktualisiert werden. Das verlief auch alles sehr harmonisch und nach Schema-F ab bis es zur Einrichtung an einem iPad sowie einem externen Arbeitsplatz kam. Am Arbeitsplatz (nicht in der Domäne des Kunden) begrüßte mich nach Eingabe der Server Adresse und Benutzer / Passwort folgende Meldung:

Citrix Receiver Protokollfehler Authentifizierungsdienst
Citrix Receiver Protokollfehler Authentifizierungsdienst

Das Arbeiten im Receiver for Web und auch HTML5 Receiver war vollkommen problemlos möglich. Ebenfalls konnte im Receiver for Web der Citrix Receiver for Windows über die Schaltfläche „Aktivieren…“ in Betrieb genommen werden. Ebenso konnten am iPad / iPhone in einem Browser die Anwendungen gestartet werden.

Citrix Receiver Aktivieren
Citrix Receiver Aktiviere

Nach mehrtägiger / wöchiger / monatiger Fehlersuche (mit dem Citrix Support) konnte ich im Citrix Support Forum eine weitere Lösung neben der Citrix Lösung finden.

Die Citrix Lösung: Storefront deinstallieren und nicht von der ISO neu installieren, sondern das Storefront Setup seperat herunterladen und ausführen. Danach den automatisch generierten Store umbenennen oder benutzen. Wichtig: Den „Default Store“ nach der Installation nicht löschen und einen neuen anlegen! Genau dann bekommt man das oben genannte Problem…

Die Support Forum Lösung: In der web.config (im Ordner C:\inetpub\wwwroot\Citrix\Roaming) die Zeile mit „https://<FQDN>/Citrix/Authentication/auth/v1“ im Abschnitt „<tokenManager>“ suchen und die im Screenshot rot markierte Zeile löschen.

Nach einem „iisreset“ am StoreFront Server ist die Einrichung des Citrix Receivers unter iOS (iPad / iPhone) oder auch im Citrix Receiver for Windows wieder möglich.

Hier noch der Link zur Diskussion im Citrix Support Forum: https://discussions.citrix.com/topic/376304-a-protocol-error-occured-while-communicating-with-the-authentication-service/ bzw. der entsprechende Post https://discussions.citrix.com/topic/376304-a-protocol-error-occured-while-communicating-with-the-authentication-service/page-2#entry1946776

Citrix Receiver 4.3 ADMX Templates Fehler im deutschen ADML File

Ein nerviger kleiner Fehler in den deutschen Gruppenrichtlinienvorlagen des Citrix Receivers 4.3.

Nach Einspielung der ADMX und ADML Templates des Citrix Receivers in der Version 4.3 in die PolicyDefinitions meldet die GPMC beim Bearbeiten der Policies „Bei der Analyse ist ein Fehler aufgetreten.

Schaut man sich jetzt das entsprechende deutsche HdxFlash-Client.adml (Im Ordner de-DE) in Zeile 23 an und vergleicht es mit dem englischen (Im Ordner en-US) sieht man im deutschen File „</string>“ und „<string id=“Vom Server abgerufene Inhalte können auch auf dem Client gecacht werden, abhängig von der gewählten Einstellung. \“>“ zu viel.

Löscht man die beiden falschen „Tags“ raus und speichert das ADML File ab, so ist man den nervigen Fehler in der GPMC los.

XenApp / XenDesktop Single Sign On Citrix Receiver (for Web) – Konfiguration per Gruppenrichtlinien

Zur Konfiguration für XenApp / XenDesktop Single Sign On wird ein aktueller Citrix Receiver (http://www.citrix.com/go/receiver.html?posit=glnav) sowie eine konfigurierte XenApp 7.x Farm benötigt.

CitrixReceiver /silent /includeSSON
CitrixReceiver /silent /includeSSON

Den Receiver nach dem Download mit den Parametern „CitrixReceiver.exe /silent /includeSSON“ (Als Administrator) installieren und den Client neu starten.

Citrix ssonsvr.exe*32
Citrix ssonsvr.exe*32

Nach erfolgten Reboot im Taskmanager prüfen, ob der Prozess „ssonsvr.exe*32“ gestartet wurde (http://support.citrix.com/article/CTX118628)

Ggfs. NetworkProviderOrder prüfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

Im REG_SZ Wert „ProviderOrder“ PnSson an erster Stelle auflisten.

*UPDATE 16.07.2015*

Ab der Receiver Version 4.3 befinden sich unter „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ admx Templates sowie die dazu gehörigen Language Files adml. Diese einfach in den Policy Definitions Ordner kopieren und mit der gpmc.msc (Gruppenrichtlinienverwaltung) sowie der Konfiguration von XenApp / XenDesktop Single Sign On weitermachen.

*UPDATE 16.07.2015*

*UPDATE 25.08.2015*

Im deutschen ADML File für den HdxFlash-Client gibt es einen Fehler: https://jans.cloud/2015/08/citrix-receiver-4-3-admx-templates-fehler-im-deutschen-adml-file/

*UPDATE 25.08.2015*

An einem Arbeitsplatz / Server die Gruppenrichtlinienverwaltung (gpmc.msc) starten und von einem Arbeitsplatz, auf dem der Citrix Receiver bereits installiert ist, das „icaclient.adm“ Template aus „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ zu einem GPO hinzufügen, welches auf Computer Objekte wirkt. Dadurch ergibt sich die Möglichkeit den Receiver per GPO zu konfigurieren (Computerkonfigurartion -> Richtlinien -> Administrative Vorlagen -> Klassische administrative Vorlagen (ADM) -> Citrix Components).

Citrix Storefront Konfiguration per GPO
Citrix Storefront Konfiguration per GPO
  • <KONTO> -> Kontoname
  • <URL-ZUM-STORE> -> https://storefront.domain.tld/Citrix/Store/discovery
  • <BESCHREIBUNG> -> Beschreibung
Citrix ICA SSO erlauben
Citrix ICA SSO erlauben

Alle Einstellungen außer „Smart Card Authentication“ entsprechen konfigurieren (Smart Card Auth aktivieren, sofern Smart Cards genutzt werden).

„Local user name and password“ -> „Enable pass-through authentication“ und „Allow pass-through authentication for all ICA connections“ anhaken.

Citrix ICA SSO erlauben2
Citrix ICA SSO erlauben2

„Web Interface authentication ticket“ -> Beide Optionen aktivieren.

Internet Explorer Intranet Sites
Internet Explorer Intranet Sites

Damit sich der Internet Explorer und / oder der Citrix Receiver erfolgreich per SSO anmelden kann, muss der Internet Explorer noch entsprechen konfiguriert werden. Dazu entweder händisch die URL des Storefront Servers „https://storefront.domain.tld“ in die „Lokalen Intranet Seiten“ packen. Oder komfortabler per GPO verwalten.

Internet Explorer Liste der Site zu Zonenzuweisung
Internet Explorer Liste der Site zu Zonenzuweisung

Die passenden GPOs dazu finden sich unter Computerkonfiguration / Benutzerkonfigration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite

  • Wertname -> Die URL (* wird als Wildcard akzeptiert)
  • Wert -> 1: Intranet Site; 2: Vertrauenswürdige Seite
Storefront SSO Passthrough
Storefront SSO Passthrough

Zum Schluss muss am Storefront noch „Domain Passthrough“ als Authentifizierungsmöglichkeit aktiviert werden und dem Single Sign On steht nichts mehr im Weg.

Storefront SSO Passthrough2
Storefront SSO Passthrough2