Installation einer XenApp 7.6 Testumgebung (Teil 6)

Die XenApp-Umgebung ist nun eigentlich fertig. Es können sich Benutzer am System anmelden, ihre Anwendungen starten und fröhlich arbeiten. Allerdings sind aus Sicht des Administrators noch einige Dinge zu konfigurieren, um das System wirklich nutzbar zu machen. In einer Produktiven Umgebung müssen Richtlinien umgesetzt werden, damit zum Beispiel die lokalen Laufwerke des Clients, mit dem sich der Benutzer anmeldet, ausgeblendet werden.

Für den User sieht der Explorer nämlich ziemlich chaotisch aus, wenn alle seine Laufwerke mit in die Sitzung wandern und gleichzeitig die Netzwerklaufwerke zusätzlich verbunden werden:

cpo-000

Wie man im Bild erkennen kann, werden die lokalen Laufwerke und die Netzwerklaufwerke des Benutzer-PCs (Saturn) mit eingebunden, erkennbar an dem Zusatz (… aus Saturn). Gleichzeitig werden auch die Laufwerke des XADC1, in diesem Fall nur C:, eingebunden (Lokaler Datenträger (C:)).

Die Netzwerklaufwerke werden durch die Anmeldung des Benutzers und das Login-Script noch ein weiteres mal angebunden. Das ist ja auch korrekt und soll so sein.

Damit dies realisiert werden kann, werden unterschiedliche Richtlinien benötigt. Einige Dinge können mit entsprechenden Gruppenrichtlinien (GPO) im Active Directory konfiguriert werden. Die Optionen, die für XenApp / XenDesktop benötigt werden, konfiguriert man im Citrix Studio.

Auf der rechten Seite wird im Studio der Punkt „Richtlinien“ ausgewählt. Wir bekommen noch einen Hinweis, mit dem auf die Funktion dieser Richtlinien hingewiesen wird und die beiden Möglichkeiten, eine Richtlinie zu erstellen.

Zuerst erstelle ich eine Richtlinie, um die Client-Ressourcen Laufwerke und Drucker in der Citrix-Sitzung auszublenden.

cpo-002

Wie man sieht, gibt es schon eine Standard-Richtlinie mit dem treffenden Namen „Unfiltered“. Wie der Name schon sagt, werden die Einstellungen in dieser Richtlinie auf alle Verbindungen angewendet.

Im oberen Bereich gibt es die vier Reiter Richtlinien, Vorlagen, Vergleich und Modellierung. Im Bereich Richtlinien werden eben diese erstellt, unter Vorlagen befinden sich auf einem frischen System die von Citrix vorkonfigurierten Richtlinien. Später können dort auch eigene Vorlagen, zum Beispiel zur Zuweisung von Druckern abgelegt werden.

Der dritte Punkt dient zur Lokalisierung von Problemen durch den Vergleich von verschiedenen Richtlinien. Damit können Widersprüche oder Redundanzen aufgedeckt werden.

Im vierten Punkt werden die Ergebnisse des Modellierungs-Assistenten ausgegeben, hiermit können Richtlinien auf Anwendung überprüft werden.

Auf der rechten Seite wird mit einem Klick auf Richtlinie erstellen der entsprechende Dialog aufgerufen. Dort kann schon gefiltert werden, welche Richtlinien überhaupt angezeigt werden. Wenn man den Scroll-Balken bedient erkennt man schon den Umfang der verfügbaren Richtlinien.

cpo-003

Um nun die vom Client übernommenen Ressourcen auszublenden kann man zuerst in der Suche (dem Feld mit der Lupe) den Begriff „Client“ eingeben, die Ergebnisse werden dann entsprechend gefiltert.

cpo-004

Hier werden die Diskettenlaufwerke (hat das noch jemand?), die Laufwerke (C:, D:) und verbundenen Netzwerklaufwerke, die vom Client mit in die Sitzung übernommen wurden, ausgeblendet. Zusätzlich wird der lokale Drucker nicht mit in die Citrix-Sitzung eingebunden. Dabei kann es nämlich Probleme mit den Druckertreibern geben, diese müssen sowohl auf dem Client als auch auf dem Server in der richtigen Version vorliegen. Das Thema Drucken mit Citrix werde ich noch in einem anderen Artikel behandeln.

Nun muss noch definiert werden, für wen die Richtlinie gilt. In diesem Fall gilt sie für alle Benutzer, die sich am xavda1 anmelden, das sind hier die Domänen-Benutzer.

cpo-005a

cpo-005

Dann kann die Richtlinie mit einem passenden Namen versehen werden und wird aktiviert:

cpo-006

Meldet sich ein Benutzer nun am XenApp an, so sieht der Explorer schon aufgeräumter aus:

cpo-007

Es wird allerdings noch das Laufwerk C: des Servers angezeigt, die kann aber mit einer GPO  ausgeblendet werden, welche auf die OU der Terminalserver im Active Directory angewendet wird. Die entsprechende Richtlinie heißt „Diese angegebenen Datenträger im Fenster Arbeitsplatz ausblenden“ und findet sich unter Benutzerkonfiguration – Richtlinien – Administrative Vorlagen – Windows-Komponenten – Windows-Explorer.

In den Einstellungen des GPO werden die Laufwerke A:, B:, C: und D: des Servers ausgeblendet:

cpo-011

Der Zugriff auf Die Laufwerke ist allerdings weiterhin möglich. Um auch den Zugriff zu verhindern, kann noch das GPO „Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen“ aktiviert werden.

cpo-008

Der Administrator sollte das GPO allerdings nicht übernehmen, da sonst die Administration des Server problematisch werden kann…

cpo-010

Wenn das GPO dann angewendet worden ist, sieht der Explorer dann so aus:

cpo-012

Es stehen nur noch die Netzwerklaufwerke zur Verfügung, die lokalen Laufwerke des Servers und die vom Client übernommenen Laufwerke sind ausgeblendet. Zusätzlich sollte man noch die Benutzerverzeichnisse auf ein Netzwerklaufwerk umleiten (Stichwort Ordnerumleitung) und die Benutzerprofil auf einem Server speichern. Dann ist die Nutzung von mehreren Terminalservern kein Problem, das Profil und die Daten de Benutzers wandern dann über die Server mit. Eventuell schreibe ich auch noch einen Artikel über die saubere Konfiguration von „Roaming Profiles“ und die korrekte Umleitung der Verzeichnisse.

In den nächsten Teilen werden noch Optimierungen an der Storefront-Seite erfolgen (Umstellung auf HTTPS und Sicherung der Kommunikation mit Zertifikaten) sowie die Konfiguration des Zugangs von Außen über ein Netscaler Gateway.

Weiter geht’s aber erstmal mit Zertifikaten. Installation einer Zertifizierungsstelle

18 Kommentare

  1. Hallo Rainer.
    Super gute Anleitung. Habe diese befolgt und es hat ohne Fehler funktioniert.
    Bin nun super gespannt auf den nächsten Teil.
    Weisst du schon so ungefähr wann du weitermachen kannst?

    Riesiges Dankeschön dafür.

      1. Hallo Rainer.
        Vielen dank für deine Rückmeldung und die gute Nachricht. 🙂
        Eine Frage hätte ich aber noch: Weisst du eventuell wo man ne Anleitung findet wie man einen Windows2012R2 Server und einen Client Windows10 so präpariert das diese Kacheln nicht erscheinen sondern die freigegeben Applikationen auf dem Desktop? Besonders WIN10 ist da sehr Problematisch da ein neuer User immer die kleine Installation durchlaufen muss.
        Gruss
        Roland

        1. Hallo Roland,
          das hängt eher mit der Installation des Receivers zusammen. Unter Citrix Receiver Doku sind schon einige Optionen und Infos zu finden.
          Ich bin gerade an dem Thema dran, wir wollen neue Clients ausrollen (aber noch Win7). Der Zeitpunkt passt, um das dann auch mal mit Win8 und Win10 durchzuspielen.
          Schau mal bei der Installation des Receivers, diesen sollte man immer mit Optionen installieren, sonst funktioniert hinterher nur die Hälfte :-).

          Gruss, Rainer

  2. Also, das mit dem Reciever funktioniert so nicht. Da auf dem Server ja der VDA und anschliessend die verschiedende Software installiert wird, damit die User diese sehen und damit arbeiten können, wird somit der Reciever nicht benötigt. Der Server dient ja als TS und da ist der Desktop freigegeben.
    Hab ich eventuell einen Denkfehler?

    1. Hallo Roland,

      das ist richtig, der Receiver ist die Komponente auf dem Client, mit dem auf die freigegebenen Anwendungen des Servers (auch der Desktop ist ja eine Anwendung) zugegriffen wird. Auf dem Server wird der Receiver in dieser Konfiguration nicht benötigt, auf dem Client schon.
      Ich werde das bei mir nachbauen, derzeit installiere ich die Umgebung neu. Dann kann ich auch Teil 7 fertigstellen.

  3. Hallo Rainer.
    Hier mal ne Info. Um eine Einheitliche Desktop Oberfläche zu erstellen muss man folgendes tun. Geht mit WIN8, WIN10 und WIN2012. Man erstellt sich die Kacheloberfläche als User so zusammen damit es passt. Im Anschluss per Powershell den Befehl „Export-StartLayout -path (Lokal oder Share) zb. C:\temp\Starmenue.xml -as xml“
    nun in der Registry unter „Benutzerkonfiguration-Administartive Vorlagen-Startmenue“ den Eintrag „Startseitenlayout“ so bearbeiten damit diese auf das xml File zeigt. Der Ordner „Temp“ muss dabei für alle user Leserechte haben. Somit hat man zumindest eine einheitliche Destop Oberfläche bei Anmelden für alle User. Der nachteil ist jedoch, dass die User daruch die Oberfläche nicht mehr ändern können. Auch nicht die Lösung aller Probleme. Eine andere Mäglichkeit ist z.B. eine ID-Liste der Applikationen zu erstellen. Aber sowiet bin ich noch nicht gekommen. Mal sehen ob diese dann von den Usern geändert werden kann.

    1. Hallo Roland,
      Danke für die Info, das Kachelmenü kannst du auch per GPO konfigurieren:
      Microsoft Technet
      Auf dem Computer mit gpedit.msc die lokale Richtlinie bearbeiten sollte das gleiche bewirken wie der Eintrag in der Registry.
      Ausprobiert habe ich das aber noch nicht.
      Meiner Meinung nach sollte der Benutzer die Kacheln selber anpassen können. Ziel ist es doch, das der User sich dort selbst organisieren kann. Die Anwendungen kann der Receiver ins Startmenü (klassisch) einbauen, unter Win10 dann auch unter „Alle Apps“ aufzufinden.
      Die Bereitstellung der Anwendungen kann ja durch Keywords erzwungen werden, im klassischen Startmenü sind die Anwendungen dann eingebunden.
      Ob ich das Kachelmenü für den „unbedarften“ Anwender gut oder schlecht finde – da bin ich mir selbst noch nicht im klaren…

  4. Hallo Rainer.
    Danke dir für deine Antwort. Was mir aber noch aufgefallen ist, ist folgendes: Nachdem der VDA installiert ist kann man sich nicht mehr als Administrator per RDP anmelden. Hab mich dahingehend schon die Finger wund gemacht bei der Suche im Internat, jedoch fand ich keine Lösung bis jetzt. Das nächste ist folgendes Problem: Wenn Sich die User per Desktop anmelden wäre es besser wenn die Programme auf schon dem Desktop liegen würden, doch auch das geht nicht! Solangsam bin ich am Verzweifeln da man darüber auch keine Informationen findet. Was hat Citrix da nur gemacht…

      1. Hallo Roland,
        Danke für die Rückmeldung. Welche Einstellung war es denn?

        Zu deiner Frage, die Anwendungen auch auf dem Desktop zu platzieren: Du kannst in den Anwendungseigenschaften auf dem Delivery Controller vorgeben, ob das Symbol auf dem Desktop platziert werden kann. Anwendungseigenschaften – Bereitstellung – Haken bei „Verknüpfung auf dem benutzerdesktop hinzufügen“

        Ich fange gerade mit einer XenApp 7.8 Installation an, die Ergebnisse landen dann später hier.

  5. Hallo Rainer.
    Habe nun ein Zertifikat und dies an die Default Website angebunden.
    Auch habe ich den Link zum Storefront Server abgeändert.

    Danach ist nun kein Connect mehr möglich.

    Hast du eventuell eine genaue Vergehensweise wie man das konfigurieren muss und wo überall eine änderung stattfinden muss?

    Danke dir.
    Gruss
    Roland

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.