Product Documentation

Konfigurieren von StoreFront mit Konfigurationsdateien

Jul 07, 2016

Aktivieren der ICA-Dateisignierung

StoreFront bietet die Option, ICA-Dateien digital zu signieren, damit die Versionen von Citrix Receiver, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einer vertrauenswürdigen Quelle stammt. Wenn die Dateisignierung in StoreFront aktiviert ist, wird die beim Starten einer Anwendung durch einen Benutzer generierte ICA-Datei mit einem Zertifikat aus dem persönlichen Zertifikatspeicher des StoreFront-Servers signiert. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird. Die digitale Signatur wird von Clients, die dieses Feature nicht unterstützen oder nicht für die ICA-Dateisignierung konfiguriert sind, ignoriert. Wenn die Signierung fehlschlägt, wird die ICA-Datei ohne digitale Signatur generiert und an Citrix Receiver gesendet. Anhand der Konfiguration wird daraufhin bestimmt, ob die unsignierte Datei akzeptiert wird.

Damit die ICA-Dateisignierung im Zusammenhang mit StoreFront verwendet werden kann, müssen die Zertifikate den privaten Schlüssel enthalten und im zulässigen Gültigkeitszeitraum liegen. Wenn das Zertifikat eine Schlüsselnutzungserweiterung enthält, muss diese die Verwendung des Schlüssels für digitale Signaturen gestatten. Falls eine erweiterte Schlüsselnutzungserweiterung enthalten ist, muss dafür Codesignierung oder Serverauthentifizierung festgelegt worden sein.

Citrix empfiehlt bei ICA-Dateisignierung, ein Codesignierungs- oder SSL-Signierungszertifikat von einer öffentlichen Zertifizierungsstelle oder von der privaten Zertifizierungsstelle Ihrer Organisation zu verwenden. Wenn es Ihnen nicht möglich ist, ein geeignetes Zertifikat von einer Zertifizierungsstelle zu beziehen, können Sie entweder ein vorhandenes SSL-Zertifikat (z. B. ein Serverzertifikat) verwenden oder ein neues Zertifikat von der Stammzertifizierungsstelle erstellen und an die Benutzergeräte verteilen.

ICA-Dateisignierung ist in Stores standardmäßig deaktiviert. Zum Aktivieren der ICA-Dateisignierung bearbeiten Sie die Storekonfigurationsdatei und führen Windows PowerShell-Befehle aus. Weitere Informationen zum Aktivieren der ICA-Dateisignierung in Citrix Receiver finden Sie unter ICA-Dateisignierung: Schutz vor dem Starten von Anwendungen oder Desktops von nicht vertrauenswürdigen Servern.

Hinweis: Die StoreFront- und PowerShell-Konsolen können nicht gleichzeitig geöffnet sein. Schließen Sie immer zuerst die StoreFront-Verwaltungskonsole, bevor Sie die PowerShell-Konsole zum Verwalten der StoreFront-Konfiguration öffnen. Schließen Sie gleichermaßen immer alle Instanzen von PowerShell, bevor Sie die StoreFront-Konsole öffnen.
Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Vergewissern Sie sich, dass das Zertifikat, mit dem Sie die ICA-Dateien signieren möchten, im Citrix Delivery Services-Zertifikatspeicher auf dem StoreFront-Server verfügbar ist und nicht im aktuellen Zertifikatspeicher des Benutzers.
  2. Öffnen Sie die Datei web.config für den Store mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  3. Suchen Sie den folgenden Abschnitt in der Datei.
                      ...     
  4. Fügen Sie Details des Zertifikats, das für die Signierung verwendet werden soll, wie unten dargestellt hinzu.
                 certificateid" thumb="certificatethumbprint" />          ...     

    certificateid ist ein Wert, anhand dessen Sie das Zertifikat in der Storekonfigurationsdatei identifizieren können, und certificatethumbprint ist die Übersicht (oder der Fingerabdruck) der vom Hashalgorithmus erzeugten Zertifikatdaten.

  5. Suchen Sie das folgende Element in der Datei.
     
  6. Ändern Sie den Wert des Attributs enabled zu True, um die ICA-Dateisignierung für den Store zu aktivieren. Legen Sie als Wert des Attributs certificateId auf die ID fest, anhand derer Sie das Zertifikat identifizieren möchten, d. h. certificateid in Schritt 4.
  7. Wenn Sie einen anderen Hashalgorithmus als SHA-1 verwenden möchten, legen Sie als Wert für das Attribut hashAgorithm nach Bedarf entweder sha256, sha384 oder sha512 fest.
  8. Starten Sie von einem Konto mit lokalen Administratorrechten Windows PowerShell und geben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit der Store auf den privaten Schlüssel zugreifen kann.
    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands   $certificate = Get-DSCertificate "certificatethumbprint"  Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” 

    Dabei ist certificatethumbprint das Digest der vom Hashalgorithmus generierten Zertifikatdaten.

Konfigurieren von Kommunikationstimeoutdauer und Wiederholungsversuchen

Standardmäßig ist das Timeout für Anforderungen von StoreFront an den Server, der die Ressourcen für einen Store bereitstellt, 30 Sekunden. Der Server gilt als nicht verfügbar, wenn zwei Kommunikationsversuche gescheitert sind. Bearbeiten Sie die Konfigurationsdatei für den Store, um diese Einstellungen zu ändern.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei web.config für den Store mit einem Texteditor. Die Datei ist normalerweise in den Verzeichnissen C:\inetpub\wwwroot\Citrix\Authentication\ und C:\inetpub\wwwroot\Citrix\storename\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  2. Suchen Sie das folgende Element in der Datei.
  3. Ändern Sie den Wert des Attributs serverCommunicationAttempts, um die Anzahl der erfolglosen Kommunikationsversuche festzulegen, bevor der Server als nicht verfügbar angesehen wird. Legen Sie mit dem Attribut communicationTimeout das Zeitlimit für eine Antwort des Servers in Sekunden fest. Legen Sie das Zeitlimit in Sekunden fest, in dem StoreFront die Serveradresse auflösen muss, indem Sie den Wert des Attributs connectionTimeout ändern.

Konfigurieren des Zeitraums für den Kennwortablauf

Wenn Sie zulassen, dass Benutzer von Citrix Receiver für Web-Sites ihre Kennwörter jederzeit ändern können, wird lokalen Benutzern, deren Kennwörter bald ablaufen, beim Anmelden eine Warnung angezeigt. Standardmäßig hängt der Benachrichtigungszeitraum von der entsprechenden Windows-Richtlinieneinstellung ab. Um einen benutzerdefinierten Benachrichtigungszeitraum für alle Benutzer einzustellen, bearbeiten Sie die Konfigurationsdatei für den Authentifizierungsdienst.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei web.config für den Authentifizierungsdienst mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\.
  2. Suchen Sie das folgende Element in der Datei.
  3. Stellen Sie sicher, dass das Attribut allowUserPasswordChange auf Always eingestellt ist, um Benachrichtigungen für den Kennwortablauf zu aktivieren. Ändern Sie den Wert des Attributs showPasswordExpiryWarning in Custom, um einen bestimmten Benachrichtigungszeitraum für den Kennwortablauf für alle Benutzer anzuwenden. Verwenden Sie das Attribut passwordExpiryWarningPeriod, um den Benachrichtigungszeitraum für den Kennwortablauf in Tagen anzugeben. Benutzern von Citrix Receiver für Web-Sites, die sich über das lokale Netzwerk verbinden und deren Kennwort innerhalb des angegebenen Zeitraums abläuft, wird beim Anmelden eine Warnung angezeigt.

Deaktivieren der Dateitypzuordnung

Standardmäßig ist die Dateitypzuordnung in Stores aktiviert, damit Inhalte nahtlos an die abonnierten Anwendungen der Benutzer umgeleitet werden, wenn sie lokale Dateien der entsprechenden Typen öffnen. Bearbeiten Sie die Storekonfigurationsdatei, um die Dateitypzuordnung zu deaktivieren.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei web.config für den Store mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  2. Suchen Sie das folgende Element in der Datei.
  3. Ändern Sie den Wert des Attributs enableFileTypeAssociation in off, um die Dateitypzuordnung für den Store zu deaktivieren.

Aktivieren von Socketpooling

Socketpooling ist in Stores standardmäßig deaktiviert. Ist Socketpooling aktiviert, verwaltet StoreFront einen Socketpool, anstatt Sockets jedes Mal neu zu erstellen und die Sockets beim Trennen der Verbindung an das Betriebssystem zurückzugeben. Das Aktivieren von Socketpooling verbessert die Leistung, besonders für SSL-Verbindungen (Secure Sockets Layer). Bearbeiten Sie die Storekonfigurationsdatei, um Socketpooling zu aktivieren.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei web.config für den Store mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  2. Suchen Sie das folgende Element in der Datei.
     
  3. Ändern Sie den Wert des Attributs pooledSockets zu on, um Socketpooling für den Store zu aktivieren.

Anpassen des Citrix Receiver-Anmeldedialogfelds

Wenn sich Citrix Receiver-Benutzer an einem Store anmelden, wird standardmäßig kein Titeltext im Anmeldedialogfeld angezeigt. Sie können den Standardtext "Melden Sie sich an" anzeigen oder eine eigene benutzerdefinierte Meldung. Bearbeiten Sie die Dateien für den Authentifizierungsdienst, um den Titeltext im Citrix Receiver-Anmeldedialogfeld anzuzeigen und anzupassen.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei UsernamePassword.tfrm für den Authentifizierungsdienst mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\.
  2. Suchen Sie die folgenden Zeilen in der Datei.
    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
  3. Kommentieren Sie die Anweisung aus, indem Sie die Zeichen @* zu Beginn und am Ende entfernen (siehe unten).
    @Heading("ExplicitAuth:AuthenticateHeadingText") 

    Benutzern von Citrix Receiver wird der Titeltext "Melden Sie sich an" oder die entsprechende lokalisierte Version dieses Texts angezeigt, wenn sie sich an Stores anmelden, die diesen Authentifizierungsdienst verwenden.

  4. Um den Titeltext zu ändern, öffnen Sie die Datei ExplicitAuth.resx für den Authentifizierungsdienst (normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\) mit einem Text-Editor.
  5. Suchen Sie die folgenden Elemente in der Datei. Bearbeiten Sie den vom -Element umschlossenen Text, um den Titeltext zu ändern, der Benutzern im Citrix Receiver-Anmeldedialogfeld angezeigt wird, wenn sie auf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.
       My Company Name 

    Um den Titeltext des Citrix Receiver-Anmeldedialogfelds für Benutzer mit einem anderen Gebietsschema zu ändern, bearbeiten Sie die lokalisierten Dateien ExplicitAuth.Sprachcode.resx, wobei Sprachcode die Gebietsschema-ID ist.

Deaktivieren der Zwischenspeicherung von Kennwörtern und Benutzernamen in Citrix Receiver für Windows

Standardmäßig speichert Citrix Receiver für Windows die Kennwörter von Benutzern, wenn sie sich bei StoreFront-Stores anmelden. Sie können verhindern, dass Citrix Receiver für Windows, jedoch nicht Citrix Receiver für Windows Enterprise, die Kennwörter von Benutzern zwischenspeichert, indem Sie die Dateien für den Authentifizierungsdienst ändern.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die folgende Datei in einem Texteditor: inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrm file.
  2. Suchen Sie die folgende Zeile in der Datei.
    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
  3. Kommentieren Sie die Anweisung wie unten angegeben.

    Benutzer von Citrix Receiver für Windows müssen ihre Kennwörter jedes Mal eingeben, wenn sie sich bei einem Store mit diesem Authentifizierungsdienst anmelden. Diese Einstellung gilt nicht für Citrix Receiver für Windows Enterprise.

Warnung

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Standardmäßig verwendete Citrix Receiver für Windows automatisch den zuletzt eingegebenen Benutzernamen. Um das automatische Eintragen des Benutzernamens in das entsprechende Feld zu unterdrücken, bearbeiten Sie die Registrierung auf dem Benutzergerät:

  1. Erstellen Sie einen REG_SZ-Wert unter HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Geben Sie als Wert " false" an.

Konfigurieren der Serverumgehung

Zur Verbesserung der Leistung bei Ausfall eines Servers, auf dem Ressourcen bereitgestellt werden, umgeht StoreFront vorübergehend Server, die nicht antworten. Bei einer Serverumgehung ignoriert StoreFront den Server und greift nicht auf dessen Ressourcen zu. Verwenden Sie folgende Parameter, um die Dauer der Umgehung festzulegen:

  • bypassDuration ist die Zeit in Minuten, die StoreFront einen einzelnen Server nach einem fehlgeschlagenen Kommunikationsversuch umgeht. Der Standardwert ist 60 Minuten.
  • allFailedBypassDuration ist eine reduzierte Dauer in Minuten, die anstelle von bypassDuration verwendet wird, wenn alle Server eines bestimmten Delivery Controllers umgangen werden. Der Standardwert ist 0 Minuten.

Überlegungen zum Festlegen von allFailedBypassDuration

Die Wahl eines höheren allFailedBypassDuration-Werts vermindert die Auswirkungen eines Ausfalls eines bestimmten Delivery Controllers, jedoch stehen die Ressourcen auf diesem Delivery Controller nach einem temporären Netzwerk- oder Serverausfall Benutzern für die angegebene Dauer nicht zur Verfügung. Ziehen Sie die Verwendung eines höheren allFailedBypassDuration-Werts in Betracht, wenn viele Delivery Controller für einen Store konfiguriert sind, insbesondere für nicht geschäftskritische Delivery Controller.

Die Wahl eines niedrigeren allFailedBypassDuration-Werts erhöht die Verfügbarkeit von Ressourcen auf dem Delivery Controller, gleichzeitig jedoch auch das Risiko clientseitiger Timeouts, wenn viele Delivery Controller konfiguriert sind und mehrere ausfallen. Es empfiehlt sich, den Standardwert von 0 Minuten für geschäftskritische Delivery Controller, bzw. wenn nur wenige Farmen konfiguriert sind, beizubehalten.

Ändern der Umgehungsparameter für einen Store

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Öffnen Sie die Datei web.config für den Store mit einem Text-Editor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei storename für den Namen steht, der beim Erstellen des Stores angegeben wurde.
  2. Suchen Sie das folgende Element in der Datei für den Delivery Controller, den Sie konfigurieren möchten:
     
  3. Ändern Sie den Wert des Attributs "allFailedBypassDuration" auf die Zeit in Minuten, für die StoreFront die Umgehung aller Server vom angegebenen Delivery Controller zulassen soll.
  4. Falls gewünscht fügen Sie das Attribut "bypassDuration" hinzu, um die Zeit in Minuten anzugeben, für die ein einzelner Server umgangen werden soll, wenn StoreFront diesen nicht kontaktieren kann (bzw. bearbeiten Sie das Attribut, wenn es bereits vorhanden ist).