Produktdokumentation
Linux Virtual Delivery Agent 2407
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
PDF anzeigen

Sitzungsschatten

April 13, 2026
Beitrag von: 
C C

Das Shadowing von Sitzungen ermöglicht Domänenadministratoren, die ICA®-Sitzungen von Benutzern in einem Intranet anzuzeigen. Die Funktion verwendet noVNC, um eine Verbindung zu den ICA-Sitzungen herzustellen.

Hinweis:

Um die Funktion zu nutzen, verwenden Sie Citrix Director 7.16 oder höher.

Installation und Konfiguration

Abhängigkeiten

Zwei neue Abhängigkeiten, python-websockify und x11vnc, sind für das Sitzungsschatten erforderlich. Installieren Sie python-websockify und x11vnc manuell, nachdem Sie den Linux VDA installiert haben.

Für Amazon Linux2:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren:

sudo pip3 install websockify
sudo yum install x11vnc
<!--NeedCopy-->

Für RHEL 9.x/8.x und Rocky Linux 9.x/8.x:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren.

sudo pip3 install websockify
sudo yum install x11vnc
<!--NeedCopy-->

Beheben Sie x11vnc, indem Sie die EPEL- und CodeReady Linux Builder-Repositorys aktivieren:

dnf install -y --nogpgcheck https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

subscription-manager repos --enable "codeready-builder  -for-rhel-8-x86_64-rpms"
<!--NeedCopy-->

Für Ubuntu:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren:

sudo pip3 install websockify
sudo apt-get install x11vnc
<!--NeedCopy-->

Für SUSE:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren:

sudo pip3 install websockify
sudo zypper install x11vnc
<!--NeedCopy-->

Für Debian 12:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren:

apt install python3-websockify
sudo apt-get install x11vnc
<!--NeedCopy-->

Für Debian 11:

Führen Sie die folgenden Befehle aus, um python-websockify und x11vnc (Version 0.9.13 oder höher) zu installieren:

-  sudo pip3 install websockify
-  sudo apt-get install x11vnc
<!--NeedCopy-->

Port

Die Sitzungsschattenfunktion wählt automatisch verfügbare Ports aus dem Bereich 6001-6099 aus, um Verbindungen vom Linux VDA zu Citrix Director aufzubauen. Daher ist die Anzahl der ICA-Sitzungen, die Sie gleichzeitig schatten können, auf 99 begrenzt. Stellen Sie sicher, dass genügend Ports verfügbar sind, um Ihre Anforderungen zu erfüllen, insbesondere für das Schatten von Mehrfachsitzungen.

Registrierung

Die folgende Tabelle listet die zugehörigen Registrierungseinträge auf:

Registrierung Beschreibung Standardwert
EnableSessionShadowing Aktiviert oder deaktiviert die Sitzungsschattenfunktion 1 (Aktiviert)
ShadowingUseSSL Legt fest, ob die Verbindung zwischen dem Linux VDA und Citrix Director verschlüsselt werden soll 0 (Deaktiviert)

Führen Sie den Befehl ctxreg auf dem Linux VDA aus, um die Registrierungswerte zu ändern. Um beispielsweise das Sitzungsschatten zu deaktivieren, führen Sie den folgenden Befehl aus:

/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "EnableSessionShadowing" -d "0x00000000"
<!--NeedCopy-->

SSL

Die noVNC-Verbindung zwischen dem Linux VDA und Citrix Director verwendet das WebSocket-Protokoll. Für das Sitzungsschatten hängt die Wahl zwischen ws:// und wss:// vom zuvor erwähnten Registrierungseintrag “ShadowingUseSSL” ab. Standardmäßig wird ws:// gewählt. Aus Sicherheitsgründen empfehlen wir jedoch, wss:// zu verwenden und Zertifikate auf jedem Citrix Director-Client und auf jedem Linux VDA-Server zu installieren. Citrix lehnt jegliche Sicherheitsverantwortung für das Linux VDA-Sitzungsschatten bei Verwendung von ws:// ab.

  • Um SSL zu aktivieren, führen Sie den folgenden Befehl aus:
-  /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ShadowingUseSSL" -d "0x00000001"
<!--NeedCopy-->

  • Server- und Root-SSL-Zertifikate abrufen

Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein.

Für jeden Linux VDA-Server, auf dem Sie SSL konfigurieren möchten, ist ein separates Serverzertifikat (einschließlich des Schlüssels) erforderlich. Ein Serverzertifikat identifiziert einen bestimmten Computer, daher müssen Sie den vollqualifizierten Domänennamen (FQDN) jedes Servers kennen. Der Einfachheit halber sollten Sie ein Wildcard-Zertifikat für die gesamte Domäne in Betracht ziehen.

Für jeden Citrix Director-Client, der mit dem Linux VDA kommuniziert, ist auch ein Stammzertifikat erforderlich. Stammzertifikate sind von denselben Zertifizierungsstellen (CAs) erhältlich, die auch die Serverzertifikate ausstellen.

Sie können Server- und Clientzertifikate von den folgenden Zertifizierungsstellen (CAs) installieren:

  • Eine CA, die mit Ihrem Betriebssystem gebündelt ist
  • Eine Unternehmens-CA (eine CA, die Ihnen von Ihrer Organisation zugänglich gemacht wird)
  • Eine CA, die nicht mit Ihrem Betriebssystem gebündelt ist

Wenden Sie sich an das Sicherheitsteam Ihrer Organisation, um herauszufinden, welche der Methoden sie für den Bezug von Zertifikaten vorschreiben.

Wichtig:

  • Der allgemeine Name (Common Name) für ein Serverzertifikat muss der exakte FQDN des Linux VDA oder zumindest der korrekte Wildcard-Eintrag plus Domänenzeichen sein. Zum Beispiel vda1.basedomain.com oder *.basedomain.com.
  • Hashing-Algorithmen wie SHA1 und MD5 sind für Signaturen in digitalen Zertifikaten zu schwach, um von einigen Browsern unterstützt zu werden. Daher ist SHA-256 als Mindeststandard festgelegt.
  • Chrome akzeptiert keine selbstsignierten SSL-Zertifikate mehr, da diese als unsicher gelten. Der Fehler NET::ERR_CERT_COMMON_NAME_INVALID tritt auf, weil dem generierten Zertifikat das SAN-Feld (subjectAltName) fehlt. Um dieses Problem zu beheben, stellen Sie ein Zertifikat mit erweiterten Attributen (X509 v3-Erweiterungen) bereit, das das SAN-Feld enthält.

Installieren eines Stammzertifikats auf jedem Citrix Director-Client

Die Sitzungsschattenfunktion verwendet denselben registrierungsbasierten Zertifikatsspeicher wie IIS, sodass Sie Stammzertifikate mithilfe von IIS oder dem MMC-Snap-In (Microsoft Management Console) “Zertifikate” installieren können. Wenn Sie ein Zertifikat von einer CA erhalten, können Sie den Webserver-Zertifikat-Assistenten in IIS neu starten, und der Assistent installiert das Zertifikat. Alternativ können Sie Zertifikate auf dem Computer mithilfe der MMC anzeigen und importieren und das Zertifikat als eigenständiges Snap-In hinzufügen. Internet Explorer und Google Chrome importieren standardmäßig die auf Ihrem Betriebssystem installierten Zertifikate. Für Mozilla Firefox müssen Sie Ihre Stamm-CA-Zertifikate auf der Registerkarte Zertifizierungsstellen des Zertifikat-Managers importieren.

Installieren eines Serverzertifikats und seines Schlüssels auf jedem Linux VDA-Server

Benennen Sie die Serverzertifikate “shadowingcert.*” und die Schlüsseldatei “shadowingkey.*” (* gibt das Format an, z. B. shadowingcert.pem und shadowingkey.key). Legen Sie Serverzertifikate und Schlüsseldateien unter dem Pfad /etc/xdl/shadowingssl ab und schützen Sie sie ordnungsgemäß mit eingeschränkten Berechtigungen, sodass nur ctxsrvr Lesezugriff hat. Ein falscher Name oder Pfad führt dazu, dass der Linux VDA ein bestimmtes Zertifikat oder eine Schlüsseldatei nicht finden kann und somit eine Verbindungsunterbrechung mit Citrix Director verursacht. Die Befehle lauten wie folgt:

cp <vda's-public-key> /etc/xdl/shadowingssl/shadowingcert.pem
cp <vda's-server-private-key> /etc/xdl/shadowingssl/shadowingkey.key
sudo chown ctxsrvr:ctxadm  /etc/xdl/shadowingssl/shadowingcert.pem
sudo chown ctxsrvr:ctxadm  /etc/xdl/shadowingssl/shadowingkey.key
<!--NeedCopy-->

Verwendung

Suchen Sie in Citrix Director die Zielsession und klicken Sie in der Ansicht Sitzungsdetails auf Schatten, um eine Shadowing-Anfrage an den Linux VDA zu senden.

Die Registerkarte "Schatten"

Nachdem die Verbindung initialisiert wurde, erscheint auf dem ICA-Sitzungsclient (nicht dem Citrix Director-Client) eine Bestätigung, die den Benutzer um Erlaubnis bittet, die Sitzung zu überwachen (shadowing).

Ob einem Administrator erlaubt werden soll, diese Sitzung zu überwachen

Wenn der Benutzer auf Ja klickt, erscheint auf der Citrix Director-Seite ein Fenster, das anzeigt, dass die ICA-Sitzung überwacht wird.

Weitere Informationen zur Verwendung finden Sie in der Citrix Director-Dokumentation.

Einschränkungen

  • Wenn Ihre VDAs einer Domäne beigetreten sind und auf Microsoft Azure gehostet werden, wobei Azure Active Directory (AAD) zur Authentifizierung verwendet wird, funktioniert die Sitzungsschattenfunktion nicht.
  • Die Sitzungsschattenfunktion ist nur für die Verwendung in einem Intranet konzipiert. Sie funktioniert nicht in externen Netzwerken, selbst wenn die Verbindung über Citrix Gateway hergestellt wird. Citrix lehnt jede Verantwortung für die Linux VDA-Sitzungsschattenfunktion in einem externen Netzwerk ab.
  • Wenn die Sitzungsschattenfunktion aktiviert ist, kann ein Domänenadministrator die ICA-Sitzungen nur anzeigen, hat aber keine Berechtigung, diese zu schreiben oder zu steuern.
  • Nachdem ein Administrator in Citrix Director auf Schatten geklickt hat, erscheint eine Bestätigung, die den Benutzer um Erlaubnis bittet, die Sitzung zu überwachen. Eine Sitzung kann nur überwacht werden, wenn der Sitzungsbenutzer die Erlaubnis erteilt.
  • Die zuvor erwähnte Bestätigung hat eine Zeitüberschreitungsbegrenzung von 20 Sekunden. Eine Shadowing-Anfrage schlägt fehl, wenn die Zeit abläuft.
  • Eine Sitzung kann nur von einem Administrator überwacht werden. Wenn beispielsweise Administrator B eine Shadowing-Anfrage für eine Sitzung sendet, die Administrator A überwacht, erscheint die Bestätigung zur Einholung der Benutzererlaubnis erneut auf dem Benutzergerät. Wenn der Benutzer zustimmt, wird die Shadowing-Verbindung für Administrator A beendet und eine neue Shadowing-Verbindung für Administrator B aufgebaut. Wenn ein Administrator eine weitere Shadowing-Anfrage für dieselbe Sitzung sendet, kann ebenfalls eine neue Shadowing-Verbindung aufgebaut werden.
  • Um die Sitzungsschattenfunktion zu verwenden, installieren Sie Citrix Director 7.16 oder höher.
  • Ein Citrix Director-Client verwendet einen FQDN anstelle einer IP-Adresse, um eine Verbindung zum Ziel-Linux VDA-Server herzustellen. Daher muss der Citrix Director-Client den FQDN des Linux VDA-Servers auflösen können.

Fehlerbehebung

Wenn die Sitzungsschattenfunktion fehlschlägt, führen Sie das Debugging sowohl auf dem Citrix Director-Client als auch auf dem Linux VDA durch.

Auf dem Citrix Director-Client

Über die Entwicklertools des Browsers überprüfen Sie die Ausgabeprotokolle auf der Registerkarte Konsole. Oder überprüfen Sie die Antwort der ShadowLinuxSession-API auf der Registerkarte Netzwerk. Wenn die Bestätigung zur Einholung der Benutzererlaubnis erscheint, der Verbindungsaufbau jedoch fehlschlägt, pingen Sie den FQDN des VDA manuell an, um zu überprüfen, ob Citrix Director den FQDN auflösen kann. Wenn es ein Problem mit der wss://-Verbindung gibt, überprüfen Sie Ihre Zertifikate.

Auf dem Linux VDA

  1. Überprüfen Sie die Datei /var/log/xdl/vda.log auf Hinweise.

  2. Bearbeiten Sie die Datei /var/xdl/sessionshadowing.sh und ändern Sie die Variable ‘logFile’, um eine Protokolldatei anzugeben, die während des Session Shadowing vom Director aus auf Hinweise überwacht werden kann.

  3. Sie können auch manuell überprüfen, ob Ihre Zertifikate mit der noVNC-Verbindung korrekt funktionieren:

    1. Führen Sie ps aux | grep xorg aus, um die Xorg-Anzeigenummer der aktuellen Sitzung, $display-num, zu finden, z. B. :3.

    2. Führen Sie den folgenden Befehl aus, um einen x11vnc-Server zu starten und auf eine eingehende Verbindung zu warten.

      Hinweis:

      Bevor Sie den folgenden Befehl ausführen, legen Sie die Variablen $passwd, $port, $display-num fest.

      runuser -l "ctxsrvr" -s /bin/bash -c "websockify <port> -v --cert  /etc/xdl/shadowingssl/shadowingcert.pem --key  /etc/xdl/shadowingssl/shadowingkey.key -- x11vnc  -viewonly  -shared -passwd $passwd -rfbport $port -display $display-num -many -o /var/log/xdl/x11vnc.log"
<!--NeedCopy-->

    3. Versuchen Sie, sich über noVNC zu verbinden, um den SSL-Modus wie folgt zu überprüfen. Geben Sie den FQDN Ihres VDA und die Portnummer ein. In diesem Beispiel ist die Portnummer 6009.

      Verbindung über noVNC herstellen

    4. Beheben Sie alle Fehler, die von Websockify auf dem VDA ausgegeben oder vom Browser auf dem Client gemeldet werden.

      Wichtige Prüfpunkte während des Verbindungsaufbaus:

      1. Überprüfen Sie, ob eine Firewall-Einschränkung das Öffnen des Ports durch die Sitzungsschattenfunktion verhindert.
      2. Stellen Sie sicher, dass Sie Zertifikate und Schlüsseldateien korrekt benannt und im richtigen Pfad abgelegt haben, falls es sich um ein SSL-Szenario handelt.
      3. Überprüfen Sie, ob zwischen 6001 und 6099 genügend Ports für neue Shadowing-Anfragen verfügbar sind.
      4. Überprüfen Sie, ob ‘netstat’ installiert ist, da es von /var/xdl/sessionshadowing.sh benötigt wird.
      5. Führen Sie openssl x509 -in shadowingcert.pem -text -noout aus, um zu überprüfen, ob die Zertifikate korrekt konfiguriert sind, und achten Sie dabei besonders auf die Felder CN und SAN.

  4. Unter RHEL 8 kann es zu einem Problem kommen, bei dem rebind.so nicht gefunden werden kann. Um dieses Problem zu beheben, führen Sie den folgenden Befehl aus:

        ```
    ln -s /usr/bin/rebind.so /usr/local/bin/rebind.so
    <!--NeedCopy--> ```
Sitzungsschatten
April 13, 2026
Beitrag von: 
C C
April 13, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.