故障排除

会话断开连接

用户可以通过以下方式从 Citrix Receiver 会话中断开连接(但不注销):

  • 在会话中查看已发布的应用程序或桌面过程中:
    • 轻按屏幕顶部的箭头可显示会话中下拉菜单。
    • 轻按主页按钮可返回到启动盘。
    • 请注意仍在活动会话中的其中一个已发布应用程序的图标下方的白色阴影;轻按该图标。
    • 轻按“断开连接”。
  • 关闭 Citrix Receiver:
    • 双击设备的主页按钮。
    • 在 iOS 应用程序切换器视图中找到 Receiver。
    • 在显示的对话框中轻按“断开连接”。
  • 按其移动设备上的主页按钮。
  • 轻按应用程序下拉菜单中的主页或切换。

会话会保持断开连接状态。虽然用户可以稍后重新连接,但您仍然可以确保断开连接的会话在特定时间间隔之后呈现非活动状态。为此,请在远程桌面会话主机配置(以前称为“终端服务配置”)中为 ICA-tcp 连接配置会话超时。有关配置远程桌面服务(以前称为“终端服务”)的详细信息,请参阅 Microsoft Windows Server 产品文档。

在应用程序中数字键出现问题

如果用户在已发布的应用程序中遇到数字键无法正常使用的问题,可以尝试在 Citrix Receiver 中禁用 Unicode 键盘。要执行此操作,请轻按“设置”选项卡中的键盘选项,对于“使用 Unicode 键盘”,请将开关切换到

XenDesktop 中丢失 HDX 音频质量

在 XenDesktop 中,使用音频加视频时,Citrix Receiver for iOS 的 HDX 音频可能会丢失质量。XenDesktop HDX 策略无法处理视频数据和音频数据量时将发生此问题。有关如何创建策略以提高音频质量方面的建议,请参阅知识中心文章 CTX123543

可以从 Citrix Cloud 获取的演示帐户

当前没有帐户的用户可以在 Citrix Cloud 演示站点 http://cloud.citrix.com/ 上创建一个演示用户帐户。

Citrix Cloud 可使用户体验到 Citrix 解决方案的强大功能,而无需设置和配置他们自己的环境。Citrix Cloud 演示环境使用一定数量的 Citrix 关键解决方案,其中包括 XenServer、XenApp、NetScaler 和 Access Gateway。

但是,在此演示环境中,数据不会被保存,并且断开连接后,您可能无法返回到会话。

密码过期

Citrix Receiver 为用户提供更改过期密码的功能。系统会提示用户输入所需的信息。

连接速度缓慢

如果您连接到 XenApp Services 站点时速度非常缓慢,或者遇到应用程序图标丢失或系统显示“Protocol Driver Error”(协议驱动程序错误)消息等问题,可以通过以下方法解决问题:在 XenApp 服务器和 Citrix Secure Gateway 或 Web Interface 服务器上,对网络接口禁用以下 Citrix PV 以太网适配器属性(默认情况下均处于启用状态):

  • 大量发送卸载
  • 卸载 IP 校验和
  • 卸载 TCP 校验和
  • 卸载 UDP 校验和

无需重新启动服务器。上述解决方法适用于 Windows Server 2003 和 Windows Server 2008 32 位操作系统。Windows Server 2008 R2 不受此问题影响。

应用程序可能会在多个会话中打开

即使已启用应用程序共享功能,也可能会出现此服务器端问题。此问题偶尔出现,且没有解决方法。

App Switcher 不运行

应用程序必须由 IT 管理员在同一个服务器上发布。否则,应用程序切换将不起作用。

阻止越狱设备从 StoreFront 运行应用程序

如果您的用户通过越狱 iOS 设备进行连接,则会危及部署安全。越狱设备是指所有者修改过的设备,这些设备通常能够绕过某些安全保护。

Citrix Receiver 检测到越狱 iOS 设备时,将向用户显示警报。要进一步帮助确保您的环境安全,可以将 StoreFront 或 Web Interface 配置为帮助阻止越狱设备运行应用程序。

要求

  • Citrix Receiver for iOS 6.1 或更高版本
  • StoreFront 3.0 或 Web Interface 5.4 或更高版本
  • 通过管理员帐户访问 StoreFront 或 Web Interface

帮助阻止检测到的越狱设备运行应用程序

  1. 以具有管理员权限的用户身份登录您的 StoreFront 或 Web Interface 服务器。

  2. 找到文件 default.ica,该文件位于以下位置之一:

    • C:\inetpub\wwwroot\Citrix\storename\conf (Microsoft Internet Information Services)
    • C:\inetpub\wwwroot\Citrix\storename\App_Data (Microsoft Internet Information Services)
    • ./usr/local/tomcat/webapps/Citrix/XenApp/WEB-INF (Apache Tomcat)
  3. [Application] 部分下,添加以下内容:AllowJailBrokenDevices=OFF

  4. 保存该文件并重新启动您的 StoreFront 或 Web Interface 服务器。

重新启动 StoreFront 服务器后,看到了与越狱设备有关的警报的用户将无法从您的 StoreFront 或 Web Interface 服务器启动应用程序。

允许检测到的越狱设备运行应用程序

如果未设置 AllowJailBrokenDevices,则默认设置为向越狱设备的用户显示警报,但仍允许其启动应用程序。

如果要明确允许您的用户在越狱设备上运行应用程序,请执行以下操作:

  1. 以具有管理员权限的用户身份登录您的 StoreFront 或 Web Interface 服务器。

  2. 找到文件 default.ica,该文件位于以下位置之一:

    • C:\inetpub\wwwroot\Citrix\storename\conf (Microsoft Internet Information Services)
    • C:\inetpub\wwwroot\Citrix\storename\App_Data (Microsoft Internet Information Services)
    • ./usr/local/tomcat/webapps/Citrix/XenApp/WEB-INF (Apache Tomcat)
  3. [Application] 部分下,添加以下内容:AllowJailBrokenDevices=ON

  4. 保存该文件并重新启动您的 StoreFront 或 Web Interface 服务器。

将 AllowJailBrokenDevices 设置为 ON 时,您的用户将看到与使用已越狱的设备有关的警报,但其能够通过 StoreFront 或 Web Interface 运行应用程序。

确保 Citrix Receiver for iOS 通信安全

要确保服务器场与 Citrix Receiver for iOS 之间的通信安全,可以将与服务器场建立的连接与一系列的安全技术集成在一起,其中包括 Citrix NetScaler Gateway。

注意:

Citrix 推荐使用 NetScaler Gateway 以确保 StoreFront 服务器和用户设备之间的通信安全。

  • SOCKS 代理服务器或安全代理服务器(也称为安全代理服务器、HTTPS 代理服务器)。可以使用代理服务器来限制网络的入站和出站访问,并处理 Citrix Receiver 与服务器之间的连接。Citrix Receiver for iOS 支持 SOCKS 和安全代理协议。
  • Secure Gateway。您可以使用 Secure Gateway 和 Web Interface,通过 Internet 为公司内部网络的服务器提供单一、安全的加密访问点。
  • SSL Relay 解决方案与传输层安全性 (TLS) 协议
  • 防火墙。网络防火墙可以根据目标地址和端口允许或阻止数据包通过。在使用 Citrix Receiver for iOS 时,如果要经过将服务器内部网络 IP 地址映射到外部 Internet 地址(即网络地址转换,或 NAT)的网络防火墙,则应配置外部地址。

关于证书

专用(自签名)证书

如果远程网关上安装了专用证书,用户设备上必须安装组织的证书颁发机构颁发的根证书,才能使用 Citrix Receiver for iOS 成功访问 Citrix 资源。

注意:

如果连接时无法验证远程网关的证书(因为 iOS 密钥库中不包含根证书),系统会显示一条警告,指出该证书不受信任。如果用户选择忽略该警告而继续进行操作,系统将显示应用程序列表,但应用程序无法启动。

在 Citrix Receiver for iOS 设备上导入根证书

可以获取证书颁发者的根证书,并通过电子邮件将其发送给设备上已配置的帐户。单击附件时,系统会要求您导入根证书。

通配符证书

通配符证书用于代替同一域内任意服务器的各个服务器证书。Citrix Receiver for iOS 支持通配符证书。

中间证书与 NetScaler Gateway

如果您的证书链中包含中间证书,则必须将该中间证书映射到 NetScaler Gateway 服务器证书。有关此任务的信息,请参阅 NetScaler Gateway 文档。有关在 NetScaler Gateway 设备上安装中间证书并将其与主 CA 链接的详细信息,请参阅 How to Install and Link Intermediate Certificate with Primary CA on NetScaler Gateway(如何在 NetScaler Gateway 上安装中间证书并将其与主 CA 链接)一文。

联合服务器证书验证策略

Citrix Receiver for iOS 7.5 的各版本及更高版本引入了更加严格的全新服务器证书验证策略。

重要提示

安装 Citrix Receiver for iOS 之前,请确认服务器或网关端的证书已按本文所述正确配置。以下情况下连接可能会失败:

  • 服务器或网关配置包括错误的根证书
  • 服务器或网关配置不包括所有中间证书
  • 服务器或网关配置包括过期或无效的中间证书
  • 服务器或网关配置包括交叉签名的中间证书

验证服务器证书时,Citrix Receiver for iOS 现在使用验证服务器证书时服务器(或网关)提供的所有证书。与在早期版本的 Citrix Receiver for iOS 中相同,也会检查证书是否可信。如果证书不全部可信,连接将失败。

与 Web 浏览器中的证书策略相比,此策略更加严格。许多 Web 浏览器都包括大量信任的根证书。

必须为服务器(或网关)配置一组正确的证书。一组不正确的证书可能会导致 Citrix Receiver for iOS 的连接失败。

假定为网关配置了以下有效的证书。建议需要更加严格的验证的客户使用此配置,方式是准确确定哪个根证书将由 Citrix Receiver for iOS 使用:

  • “示例服务器证书”
  • “示例中间证书”
  • “示例根证书”

然后,Citrix Receiver for iOS 将检查所有这些证书是否都有效。Citrix Receiver for iOS 还将检查其是否已信任“示例根证书”。如果 Citrix Receiver for iOS 不信任“示例根证书”,连接将失败。

重要提示

某些证书颁发机构具有多个根证书。如果您需要使用这一更加严格的验证方法,请确保您的配置使用恰当的根证书。例如,当前存在两个可以验证相同的服务器证书的证书(DigiCert/GTE CyberTrust Global Root 和 DigiCert Baltimore Root/Baltimore CyberTrust Root)。在某些用户设备上,这两个根证书都可用。在其他设备上,只有一个可用 (DigiCert Baltimore Root/Baltimore CyberTrust Root)。如果您在网关上配置了 GTE CyberTrust Global Root,这些用户设备上的 Citrix Receiver for Mac 连接将失败。请参阅证书颁发机构的文档以确定应使用的根证书。另请注意,根证书最终会过期,所有证书也是如此。

注意:

之后,Citrix Receiver for iOS 将使用这两个证书。随后将搜索用户设备上的根证书。如果发现一个正确验证的根证书,并且也可信(例如“示例根证书”),连接将成功。否则,连接将失败。请注意,此配置提供 Citrix Receiver for iOS 所需的中间证书,但是还允许 Citrix Receiver for iOS 选择任何有效的可信根证书。

现在假定为网关配置了以下证书:

  • “示例服务器证书”
  • “示例中间证书”
  • “错误的根证书”

Web 浏览器可能会忽略错误的根证书。但是,Citrix Receiver for iOS 将不忽略错误的根证书,并且连接将失败。

某些证书颁发机构使用多个中间证书。在这种情况下,通常为网关配置所有中间证书(但不配置根证书),例如:

  • “示例服务器证书”
  • “示例中间证书 1”
  • “示例中间证书 2”

重要提示

某些证书颁发机构使用交叉签名的中间证书。这专用于存在多个根证书,并且同时仍在使用早期版本的根证书作为较高版本的根证书的情形。在这种情况下,将至少存在两个中间证书。例如,早期版本的根证书“Class 3 Public Primary Certification Authority”具有相应的交叉签名的中间证书“VeriSign Class 3 Public Primary Certification Authority - G5”。但是,相应的较高版本的根证书“VeriSign Class 3 Public Primary Certification Authority - G5”也可用,该版本将替换“Class 3 Public Primary Certification Authority”。更高版本的根证书不使用交叉签名的中间证书。

注意

交叉签名的中间证书和根证书具有相同的使用者名称(颁发对象),但交叉签名的中间证书具有不同的颁发者名称(颁发者)。这一差别将交叉签名的中间证书与普通的中间证书(例如“示例中间证书 2”)区分开来。

通常推荐使用此配置(忽略根证书和交叉签名的中间证书):

  • “示例服务器证书”
  • “示例中间证书”

请避免将网关配置为使用交叉签名的中间证书,因为 Citrix Receiver for iOS 将选择更早版本的根证书:

  • “示例服务器证书”
  • “示例中间证书”
  • “示例交叉签名中间证书”[不推荐]

不建议仅为网关配置服务器证书:

  • “示例服务器证书”

在这种情况下,如果 Citrix Receiver for iOS 找不到所有中间证书,连接将失败。

通过 NetScaler Gateway 进行连接

要使远程用户能够通过 NetScaler Gateway 连接到您的 XenMobile 部署,可以将证书配置为与 StoreFront 配合使用。启用访问权限的方法取决于部署中使用的 XenMobile 版本。

如果在网络中部署 XenMobile,应通过将 NetScaler Gateway 与 StoreFront 相集成的方式来允许内部用户或远程用户通过 NetScaler Gateway 与 StoreFront 建立连接。这种部署方法允许用户连接 StoreFront,从而通过 XenApp 访问已发布的应用程序,通过 XenDesktop 访问虚拟桌面。用户通过 Citrix Receiver 进行连接。

与 Secure Gateway 连接

本主题仅适用于使用 Web Interface 的部署。

可以在普通模式或中继模式下使用 Secure Gateway,来为 Citrix Receiver for iOS 与服务器之间的通信提供安全通道。如果在普通模式下使用 Secure Gateway,并且用户通过 Web Interface 进行连接,则不需要对 Citrix Receiver for iOS 进行任何配置。

Citrix Receiver for iOS 使用在 Web Interface 服务器上远程配置的设置连接到运行 Secure Gateway 的服务器。

如果安全网络中的服务器上安装了 Secure Gateway 代理,则可以在中继模式下使用 Secure Gateway 代理。如果使用中继模式,Secure Gateway 服务器将相当于一个代理,并且必须对 Citrix Receiver for iOS 进行配置才能使用:

  • Secure Gateway 服务器的完全限定的域名 (FQDN)。
  • Secure Gateway 服务器的端口号。请注意,Secure Gateway 2.0 版本不支持中继模式。

FQDN 必须按顺序列出以下三个组成部分:

  • 主机名
  • 中间域
  • 顶级域

例如,my_computer.my_company.com 是一个 FQDN,因为它依次列出主机名 (my_computer)、中间域 (example) 和顶级域 (com)。中间域和顶级域的组合 (example.com) 通常称为“域名”。

通过代理服务器进行连接

代理服务器用于限制网络的入站和出站访问,并处理 Citrix Receiver for iOS 与服务器之间的连接。Citrix Receiver for iOS 同时支持 SOCKS 和安全代理协议。

与 XenApp 或 XenDesktop 服务器通信时,Citrix Receiver for iOS 使用在 Web Interface 服务器上远程配置的代理服务器设置。

在与 Web 服务器进行通信时,Citrix Receiver for iOS 使用在用户设备上为默认 Web 浏览器配置的代理服务器设置。您必须相应地在用户设备上为默认 Web 浏览器配置代理服务器设置。

通过防火墙进行连接

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果在部署中使用防火墙,Citrix Receiver for iOS 必须能够经由防火墙与 Web 服务器和 Citrix 服务器通信。对于用户设备到 Web 服务器的通信,防火墙必须允许 HTTP 流量(如果正在使用安全 Web 服务器,则通常通过标准 HTTP 端口 80 或 443 传输流量)。对于 Receiver 到 Citrix 服务器的通信,防火墙必须允许在端口 1494 和 2598 上进行入站 ICA 通信。

如果防火墙进行了网络地址转换 (NAT) 配置,您可以使用 Web Interface 定义从内部地址到外部地址的映射和端口。例如,如果 XenApp 或 XenDesktop 服务器未配置有备选地址,则可以将 Web Interface 配置为向 Citrix Receiver for iOS 提供备选地址。然后,Citrix Receiver for iOS 使用外部地址和端口号连接服务器。

使用 TLS 进行连接

Citrix Receiver for iOS 7.2.2 及更高版本支持对与 XenApp/XenDesktop 的 TLS 连接使用以下密码套件的 TLS 1.0、1.1 和 1.2:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

注意:

iOS 9 及更高版本上运行的 Citrix Receiver for iOS 不支持以下 TLS 密码套件:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

传输层安全性 (TLS) 是 TLS 协议的最新标准化版本。互联网工程工作小组 (IETF) 在接管 TLS 开放式标准的开发任务后,将其更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查,来保障数据通信的安全。有些组织(包括美国政府组织)要求使用 TLS 来保障数据通信的安全。这些组织可能还要求使用验证的加密,例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一个加密标准。

Citrix Receiver for iOS 支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

注意:

Citrix Receiver for iOS 对 Citrix Receiver for iOS 与 StoreFront 之间的连接使用平台 (iOS) 加密。

为 TLS 配置并启用 Citrix Receiver for iOS

TLS 的设置主要涉及两个步骤:

  1. 在 XenApp 或 XenDesktop 服务器和 Web Interface 服务器上设置 SSL Relay,以及获取和安装所需的服务器证书。有关详细信息,请参阅 XenAppWeb Interface 文档。
  2. 在用户设备上安装等效根证书。

在用户设备上安装根证书

在启用了 TLS 的 Citrix Receiver for iOS 与 XenApp 或 XenDesktop 之间,如果要使用 TLS 来确保通信安全,用户设备上必须安装可以验证服务器证书上的证书颁发机构签名的根证书。

iOS 附带了约 100 个预安装的商用根证书,如果您要使用其他证书,可以从证书颁发机构获得证书并将其安装在每个用户设备上。

有时候,您可能需要亲自在每个用户设备上安装根证书,而不是让用户进行安装,这要取决于所在组织的策略和规程。最方便和最安全的方法是将根证书添加到 iOS 钥匙串中。

将根证书添加到钥匙串中

  1. 向您自己发送一封包含证书文件的电子邮件。
  2. 在设备上打开证书文件。这会自动启动“钥匙串访问”应用程序。
  3. 按照提示进行操作,添加证书。
  4. 自 iOS 10 起,请通过转至 iOS 的“设置”>“关于”>“证书信任设置”来验证证书是否可信。在“证书信任设置”下,查看“针对根证书启用完全信任”部分。请确保您的证书已被选定为接受完全信任。

根证书安装完毕,可供启用了 TLS 的客户端和使用 TLS 的其他应用程序使用。