2
Citrix - mal gates und mal nicht
Moin,
seit der Migration auf Citrix 2203.0.3000 haben wir ein komisches Problem: Wenn man per VPN verbunden ist, geht es manchmal und manchmal auch nicht.
Die Umgebung:
Ein Store-Server in house (Server 2019)
Acht RDP-Server in der Farm zur Bereitstellung des Desktops (Server 2019)
Notebooks mit Windows 10
Aktueller Citrix-Client (frisch heruntergeladen)
VPN: IPsec mit Sophos Connect auf Sophos XG (funktioniert ohne Probleme)
Im Haus haben wir keine Probleme. Die User können sich anmelden und werden sofort mit ihrem Desktop verbunden. Sind sie aber im Home-Office, gibt es massive Probleme:
Manchmal kann man sich gar nicht anmelden,
manchmal kann man sich nach ca. 20 Minuten anmelden,
manchmal geht es auch sofort.
Diese drei Möglichkeiten beziehen sich auf dieselben User in denselben Netzen. Ich konnte das heute reproduzieren. Ich habe mir eins unserer Notebooks, das gerade von einem User, der uns verlassen hat, zurückgegeben wurde, geschnappt, mit meinem SmartPhone einen heißen Punkt aufgemacht und fleißig getestet. Alle drei Möglichkeiten waren auf demselben Gerät mit meinem User vorhanden. Was meistens (aber eben auch nicht immer) hilft, ist, den Client im System Tray zu beenden und neu zu starten.
Im Laufe der Tests habe ich Wireshark laufen lassen. Damit habe ich festgestellt, dass, wenn der Fehler auftritt, auf keiner Netzwerkkarte - also weder auf der physisch vorhandenen noch auf der virtuellen des VPN-Tunnels - irgendwas passiert. Die Server-IP taucht in den Protokollen nicht auf. Das hat mich dann doch gewundert. Es scheint so, dass der Client es gar nicht erst versucht, den Server zu erreichen. Wenn es funktioniert, wird die Verbindung schon vor der eigentlichen Anforderung vorbereitet.
Wenn der Fehler auftritt, wird der Name des Servers korrekt aufgelöst und der Server antwortet auf ping.
Es gibt drei verschiedene Fehlermeldungen. Die häufigste ist "Die Apps stehen zur Zeit nicht zur Verfügung. Versuchen Sie es später noch einmal oder wenden Sie sich an das Helpdesk: Server nicht erreichbar." Seltener kommt "Anforderung konnte nicht vollendet werden." Noch seltener ist eine, bei der eine Transaktions-ID angezeigt wird, die man kopieren kann. In der Ereignisanzeige findet sich ... nichts. Ich zitiere die Meldungen jetzt aus dem Kopf.
Was schon getan wurde:
Client neu installiert.
Hardware getauscht.
Citrix-Verzeichnisse in %AppData% gelöscht (local und remote).
In der Registry den AutoStart gelöscht.
Firewalls überprüft (kann es eigentlich nicht sein, wenn es mal geht und mal nicht).
LAN statt WLAN.
Indianische Tänze und kubanische Zaubertränke
Nichts hat geholfen. Der Fehler bleibt und nervt. Kennt jemand dieses Verhalten und weiß vielleicht auch, was man tun kann?
Liebe Grüße
Erik
seit der Migration auf Citrix 2203.0.3000 haben wir ein komisches Problem: Wenn man per VPN verbunden ist, geht es manchmal und manchmal auch nicht.
Die Umgebung:
Ein Store-Server in house (Server 2019)
Acht RDP-Server in der Farm zur Bereitstellung des Desktops (Server 2019)
Notebooks mit Windows 10
Aktueller Citrix-Client (frisch heruntergeladen)
VPN: IPsec mit Sophos Connect auf Sophos XG (funktioniert ohne Probleme)
Im Haus haben wir keine Probleme. Die User können sich anmelden und werden sofort mit ihrem Desktop verbunden. Sind sie aber im Home-Office, gibt es massive Probleme:
Manchmal kann man sich gar nicht anmelden,
manchmal kann man sich nach ca. 20 Minuten anmelden,
manchmal geht es auch sofort.
Diese drei Möglichkeiten beziehen sich auf dieselben User in denselben Netzen. Ich konnte das heute reproduzieren. Ich habe mir eins unserer Notebooks, das gerade von einem User, der uns verlassen hat, zurückgegeben wurde, geschnappt, mit meinem SmartPhone einen heißen Punkt aufgemacht und fleißig getestet. Alle drei Möglichkeiten waren auf demselben Gerät mit meinem User vorhanden. Was meistens (aber eben auch nicht immer) hilft, ist, den Client im System Tray zu beenden und neu zu starten.
Im Laufe der Tests habe ich Wireshark laufen lassen. Damit habe ich festgestellt, dass, wenn der Fehler auftritt, auf keiner Netzwerkkarte - also weder auf der physisch vorhandenen noch auf der virtuellen des VPN-Tunnels - irgendwas passiert. Die Server-IP taucht in den Protokollen nicht auf. Das hat mich dann doch gewundert. Es scheint so, dass der Client es gar nicht erst versucht, den Server zu erreichen. Wenn es funktioniert, wird die Verbindung schon vor der eigentlichen Anforderung vorbereitet.
Wenn der Fehler auftritt, wird der Name des Servers korrekt aufgelöst und der Server antwortet auf ping.
Es gibt drei verschiedene Fehlermeldungen. Die häufigste ist "Die Apps stehen zur Zeit nicht zur Verfügung. Versuchen Sie es später noch einmal oder wenden Sie sich an das Helpdesk: Server nicht erreichbar." Seltener kommt "Anforderung konnte nicht vollendet werden." Noch seltener ist eine, bei der eine Transaktions-ID angezeigt wird, die man kopieren kann. In der Ereignisanzeige findet sich ... nichts. Ich zitiere die Meldungen jetzt aus dem Kopf.
Was schon getan wurde:
Client neu installiert.
Hardware getauscht.
Citrix-Verzeichnisse in %AppData% gelöscht (local und remote).
In der Registry den AutoStart gelöscht.
Firewalls überprüft (kann es eigentlich nicht sein, wenn es mal geht und mal nicht).
LAN statt WLAN.
Indianische Tänze und kubanische Zaubertränke
Nichts hat geholfen. Der Fehler bleibt und nervt. Kennt jemand dieses Verhalten und weiß vielleicht auch, was man tun kann?
Liebe Grüße
Erik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4561315257
Url: https://administrator.de/contentid/4561315257
Printed on: April 28, 2024 at 13:04 o'clock
2 Comments
Latest comment
Indianische Tänze und kubanische Zaubertränke face-wink
Voodoo soll ja auch manchmal helfen, besonders am Vorabend zu Freitag 
.Vielleicht mal mit Process Monitor auf die Lauer legen.
Gruß sid.
Die Lösung ist vollkommen bescheuert:
Wie ich feststellen musste, hat unsere Marketing-Abteilung für unsere Domain einen Catch-All-DNS-Eintrag im öffentlichen DNS erstellt. Jetzt passiert folgendes: Der Citrix-Client startet mit der Benutzeranmeldung. Da ist der Tunnel und damit unser internes DNS noch nicht vorhanden. Also bekommt Citrix als IP die IP unseres öffentlichen Webservers und nicht die unseres Citrix-Servers. Das merkt sich der Client offensichtlich. Dann bauen wir den Tunnel auf. Dennoch will der Citrix-Client sich weiterhin mit dem Webserver verbinden. Das schlägt natürlich fehl. Erst wenn der Client erneut im DNS nachschaut, bekommt er jetzt die korrekte Adresse und es funktioniert.
Workaround: Die gute alte Datei hosts. Endgültige Lösung (hoffentlich): Der Catch-All wird gelöscht.
Liebe Grüße
Erik
Wie ich feststellen musste, hat unsere Marketing-Abteilung für unsere Domain einen Catch-All-DNS-Eintrag im öffentlichen DNS erstellt. Jetzt passiert folgendes: Der Citrix-Client startet mit der Benutzeranmeldung. Da ist der Tunnel und damit unser internes DNS noch nicht vorhanden. Also bekommt Citrix als IP die IP unseres öffentlichen Webservers und nicht die unseres Citrix-Servers. Das merkt sich der Client offensichtlich. Dann bauen wir den Tunnel auf. Dennoch will der Citrix-Client sich weiterhin mit dem Webserver verbinden. Das schlägt natürlich fehl. Erst wenn der Client erneut im DNS nachschaut, bekommt er jetzt die korrekte Adresse und es funktioniert.
Workaround: Die gute alte Datei hosts. Endgültige Lösung (hoffentlich): Der Catch-All wird gelöscht.
Liebe Grüße
Erik
