Monthly archives: september, 2016

Citrix StoreFront 3.X – Varning för .NET 4.6.2!

n4emv4ar-dotnet-logo1-300x229-s-1
För inte så länge sedan kom en ny version av .NET som ersätter nuvarande versioner av .NET 4.6 och .NET 4.5 (närmare bestämt 4.6.1 och 4.5.2). Jag skulle vilja varna alla som driftar Citrix-miljöer från att installera denna nya version av .NET på era StoreFront-servrar som kör Windows Server 2008R2. De versioner av StoreFront som är drabbade är 3.0 eller högre, det vill säga 3.0, 3.5, 3.6 eller 3.7. Märk väl att denna varning ej gäller för Windows Server 2012(R2) eller Windows Server 2016.

Citrix har gått ut med en så kallad Fast Publish-notis som säger att om man installerar den senaste versionen av .NET (4.6.2) på sina StoreFront-servrar så slutar autentiseringen att fungera i både webbgränssnitt och legacy services-sidor (som t.ex. används av Legacy PNA) helt att fungera. Dessvärre finns det i dagsläget ingen lösning utan rekommendationen från Citrix sida är att man installerar de ”senaste” äldre versionerna av .NET – 4.6.1 och/eller 4.5.2.

Min rekommendation till er är att hålla ett extra öga på WSUS och Windows Update för att se till att några uppdateringar inte trycks ut den vägen. Jag har inte sett denna uppdatering tryckas ut den vägen ännu, utan det är manuell nedladdning som gäller, men det bör inte vara långt kvar då versionen som sådan ser ut att fungera bra generellt sett.

tl;dr Installera inte .NET 4.6.2 på en StoreFront-server som kör Windows Server 2008R2!

Det här inlägget blev inte så tekniskt utan snarare ett Public Service Announcement, AKA PSA! Hoppas att det hjälper er att undvika onödiga driftstopp!

Källor:
https://blogs.msdn.microsoft.com/dotnet/2016/08/02/announcing-net-framework-4-6-2/
http://support.citrix.com/article/CTX216204



XenApp och XenDesktop 7.11

Citrix har äntligen släppt den version av Citrix XenApp och XenDesktop som kommer supportera Windows Server 2016 från dag ett (även kallat zero-day support).

Som många redan känner till så blev det sedan i somras officiellt från Microsofts håll att Windows Server 2016 kommer bli släppt under årets upplaga av Microsoft Ignite som pågår just nu – så nu är hög tid att börja planera för labbmiljöer och produktionssättningar!

Tech Preview 5 har varit ute sedan april i år har jag hunnit testa en hel del i det nya operativsystemet och jag måste säga att det ser riktigt bra ut! Att vi Citrix-entusiaster nu kommer kunna leverera ett fleranvändarskrivbord med samma gränssnitt som Windows 10 är något som, i alla fall jag, sett fram emot att kunna göra sedan Windows 10 släpptes!

2016-09-27-16_55_20-windows-2016-tp5-persistent-desktop-viewer

Funktionsmässigt i XenApp och XenDesktop 7.11 så har det kommit flera intressanta nyheter, några av dem är:

  • Self-Service Password Reset (nu även för 7.X och inte endast 6.X)
  • Publicera annat än applikationer och skrivbord (t.ex. dokument, URLs och media)
  • Uppdateringar i Citrix Director (bland annat ny rapporteringsfunktion och bättre övervakning)
  • Förbättringar i de olika video codec’s som finns tillgängliga på VDAer
  • Publicering av Universal Windows Platform (UWP)-applikationer
  • Windows Server 2016 Hyper-V Discrete Device Assignment (DDA)

Som tidigare nämnt så är nu hela Citrix-sviten (XA/XD) supporterad och förberedd för Windows Server 2016. Det kommer bli riktigt spännande att se vad ni alla kommer att hitta på!



Oregelbunden loggning av inloggningar i Citrix Director

Här om dagen upptäckte vi att Citrix Director inte loggade/visade alla inloggningar i en kunds XenApp 7.6-miljö. Utav en miljö som består av ca 250 inloggningar per dag, kunde vi motsvarande se ungefär 40 stycken inloggningar mellan 07:00-09:00.

 

Vid närmare utredning så såg vi att registervärdet i ”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” för nyckel ”Citrix UPM UserMsg” såg lite märkligt ut. Det första är att det ser ut som att värdet på ”Citrix UPM UserMsg” försöker gå mot en mapp, när den egentligen skall gå mot en .exe-fil. Värdet i ”HKLM\…\Run” för nyckel ”Citrix UPM UserMsg” skiljer sig mellan olika VDA-versioner.

Citrix UPM UserMsg

För att Director skall logga korrekta inloggningstider för samtliga användare så behöver man sätta inställningen Run These Programs At User Logon i en GPO med värdet:

”C:\Program Files\Citrix\User Profile Manager\UpmUserMsg.exe” wait

 

I VDA 7.7 och högre fungerade inte det utan behöver bytas ut till:

”C:\Program Files\Citrix\Virtual Desktop Agent\upmEvent.exe” wait

 

Detta kan vara unik för våra miljöer. Lösningen borde snarare vara att byta ut registervärdet.

 



Felmeddelande IcaTS_X64.msi vid avinstallation av VDA 7

En kund fick problem vid en avinstallation av Citrix Virtual Delivery Agent 7.9 (VDA 7.9) med felmeddelande

 

Vid närmare utredning så försökte vi att avinstallera IcaTS_X64.msi manuellt med MSIEXEC. Vi undersökte vilken GUID vi skulle behöva för att avinstallera detta manuellt och hittade ganska snart applikationen under ”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\2638CDCB-F4B7-4889-B278-571427FD7664”.

Ica_tsx64 regiternyckel

Vi använde oss av MSIEXEC och körde kommandot nedan i en eleverad kommandotolk.

 

Vid manuell avinstallation av IcaTS_X64.msi fick vi ytterligare ett felmeddelande gällande rättigheter på registernyckeln ”HKLM\Software\wow6432node\Citrix\EUEM\LoggedEvents”. Vi gick till registernyckel ”HKLM\Software\wow6432node\Citrix\EUEM” och lade till min specifika användare och bockade för ”Replace all child object permissions with inheritable permissions from this object”

LoggedEvents rights

Efter att vi tagit över rättigheterna av registernyckeln ”HKLM\Software\wow6432node\Citrix\EUEM\LoggedEvents” avinstallerade vi IcaTS_X64.msi med samma MSIEXEC-kommando. Efter lyckad avinstallation via MSIEXEC gick vi in under program och avinstallerade VDA-agenten precis som vanligt.

 



ADFS – Test av autentisering

Efter en installation och konfiguration av ADFS vill man säkerställa att autentisering fungerar, ett enkelt sätt att testa detta är att besöka:

https://fqdn.contoso.com/adfs/ls/idpinitiatedsignon

Sitter man internt, får man möjligheten att klicka på Sign In och därefter är man inloggad:
adfs-test-page-sign-out

 
Sitter man externt får man istället möjligheten att ange användarnamn och lösenord:
adfs-test-page-external-sign-in

 



Ninite <3 SCCM

Ninite Pro

Har man inte använt sig av Ninite hemma har man definitivt gått miste om en fantastisk produkt. I korta drag är det till för alla som ej vill besvära sig med att lägga tid på konstant paketering och uppdatering av de vanligaste applikationer. I skrivande stund supporterar Ninite Pro 112 applikationer. Allt från ramverk som .NET, Java och Flash till mediaverktyg som VLC och Spotify till avancerade utvecklingsverktyg som Eclipse.

Ninite Pro används ofta som ett stand-alone verktyg och kan installera applikationer mot klienter i en domän via det interna administrations interface Ninite Pro erbjuder. Dock kan det lätt bli mycket då varje applikation i infrastrukturen har ett eget verktyg och det är av intresse för IT avdelningar att konsolidera alla verktyg in i ett.

Ninite Pro fungerar som en dröm tillsammans med SCCM och underlättar hanteringen av applikationer samt säkerställer att de alltid håller sig uppdaterade.

SCCM integration

Något som bör tänkas igenom innan implementationen av Ninite Pro är att det har ett eget system för cachning av data vilket innebär att standard cache (och BranchCache) för SCCM inte kan användas. Detta är inget problem och en lösning tas upp i bloggposten.

Först skapas ett SCCM paket med källfiler. Källan är endast NinitePro.exe som används för all installation och konfigurering.

1
Efter detta kan ett program skapas med /updateonly samt /cachepath parametrar sättas upp. Själv föredrar jag att använda en DFS till en NinitePro cache mapp som jag delegerar rättigheter åt datorkonton att modifiera innehåll.
Ninite Pro använder sig av protokollen http/https för nedladdning av data så endast internetåtkomst krävs för installation.
2

Likvärt skapas installationspaket enkelt via /select parametrar. Full lista med applikationer finns i slutet av bloggposten.

Ninite Pro kan också användas för avinstallation av listade applikationer.
3

När alla applikationer är valda är det så enkelt som att deploya ett program till en kollektion precis som vanligt.
4

Efter detta skapas en deployment av ”NinitePro Update” programmet med ett schema. Detta avgör hur ofta applikationerna skall uppdateras. Detta kan konfigureras till ett servicefönster eller varje dag.
5

Vill organisationen istället ”certifiera” programversioner kan initial cache data laddas ner, installeras och verifieras och därefter kan Ninite använda /freeze parametern för att skapa ett paket (.exe fil) med just de versioner som används.

https://ninite.com/help/how-ninite-works/
https://ninite.com/applist/pro.html
https://ninite.com/help/features/offline.html



ADFS Single Sign-on med Google Chrome

Många använder Google Chrome istället för Internet Explorer i arbetet. Har man en domänjoinad dator och fungerande Single Sign-on med Internet Explorer finns det ett enkelt sätt att aktivera det för Google Chrome i ADFS, det enda som behöver göras är att lägga till en ytterligare UserAgent i paramtern för Windows Integrated Authentication (WIA) på ADFS.

Enkelt gjort via powershell:

För att det ska fungera är det ett krav att ExtendedProtectionTokenCheck är satt till ”None”:

 



bounSky – perfekt för dig som sköter Skype for Business / Lync miljöer

Om du arbetar som admin eller utvecklare för flera Skype for Business / Lync miljöer så känner du säkert igen att logga in och ut ur olika miljöer och tiden det tar att logga ut/in och skriva in lösenord hela tiden.

Här kan bounSky hjälpa dig. Det är ett litet verktyg som gör det snabbt och enkelt för dig att switcha mellan olika klientprofiler i Skype for Business / Lync klienten. Förutom med GUI så kan du styra klienten programmatiskt eller via shortcuts vilket gör att du kan switcha profiler väldigt snabbt.

bounsky-main2



Microsoft kommer med ett nytt sätt att hantera patchar

Ni har säkert märkt att Windows 10 och Windows Server 2016 fungerar annorlunda kring patchning. Där släpper Microsft 1 st uppdatering som innehåller samtliga fixar och de är även kumultativa, det vill säga, installerar du en ny maskin, kör Windows Update så laddar den bara ner den senaste uppdateringen och då inkluderar den alla tidigare patchar. Med andra ord, slut på att efter deployat en maskin behöva installera 100+ patchar.

Fördelen är såklart att det går snabbare att deploya maskiner. Du behöver inte spendera lika mycket tid att verifiera vissa patchar är installerade (och kanske ha samma på flera servrar som man gärna vill ha i farmar/kluster) och Microsoft slipper testa alla oändliga kombinationer när de släpper nya patchar. Så tanken är säkert också att kvalitén ska bli bättre då Microsoft kommer ha färre kombinationer att testa innan de släpper en uppdatering.

Nackdeldelen är att det inte går att styra exakt vilken KB som installeras. Med andra ord ”Kan man backa tillbaka en enskild patch (KB) om just den orsakar problem?” Korta svaret – Nej. Men vill du veta mer, läs denna blog post.

Nu kanske ni tänker att det är bara något man behöver tänka på i Windows 10 och Windows Server 2016?

FEL! Från och med Oktober i år så gäller detta även Windows 7/8/8.1/2008 R2/2012 och 2012 R2.

Vi inser att det kommer ställa en hel del krav på organisationer och den process de har idag för att patcha sina miljöer. Tiden kommer också utvisa om detta är rätt drag av Microsoft för att förenkla och även minimera risken för felande patchar.

Ställs ni inför utmaningar hur ni ska hantera patchar framöver? Eller behöver ni förstå Microsofts olika begrepp kring Upgrade, Update, Branch och Ring? Kontakta oss så hjälper vi dig!