[Resolu] Problème connexion WI suite changement IP

yan77 · Janvier 19, 2010, 10:25

Bonjour,

Ne maîtrisant pas du tout Citrix, j’ai eu la naïveté de croire qu’un changement d’@ ip public n’aura pas énormément de conséquence sur mon installation.

Depuis je me retrouve avec un problème qui me dépasse : l’authentification via l’interface web ne se fait plus. Par contre les applications publiées se lancent bien via le launcher.ica

Au niveau de la config

un seul serveur Citrix en CPS 4.0, le serveur web est la même machine, le tout sous Win2K Server
le serveur a une IP interne 10.0.0.50 (en DHCP, IP réservé au niveau du routeur)
au niveau des routeurs les ports 80 et 1494 sont ouverts

Les manip effectuées suite au changement d’ip (changement de FAI en fait)
altaddr /server:[nom_serveur] /set 80.xx.xx.xx (nouvelle ip)
dans la Console de l’Interface Web / Serveurs MetaFrame, j’ai modifié l’ip également. Ca donne donc “Localhost”, puis la nouvelle ip dans la liste des serveurs.
dsmaint recreate lhc
flushdns etc, mais de toutes façons j’accède au serveur via l’ip
moult reboot de IIS, de IMA et de serveur tout court

Donc maintenant :
via un fichier launch.ica, ça se connecte sans problème. Tant que cette session est ouverte, l’interface web répond normalement, et je peux lancer les applications publiées via l’interface web, mais uniquement avec le même login que la session ica
sinon, je reste bloqué sur l’authentification de l’interface web, et ça fini en “Une erreur interne s’est produite. Veuillez contacter votre administrateur”
parfois j’arrive à franchir cette authentification, je ne sais pas trop pourquoi, peut-être grâce à certaines traces laissée par la session ica dans le cache, j’arrive sur la page des appli, mais lorsque je clique dessus, ça ne se lance pas, le fichier ica ne vient pas.

Désolé pour le gros pavé, et merci d’avance à ceux qui voudront bien perdre un peu de leur temps sur mon problème.

ThinIsFat · Janvier 19, 2010, 2:23

toi yen a dire que tu n’a aucun systeme de sécurité pour le protocole ICA ? qu’un simple fichier ICA de base sur ton IP publique vers le 1494 permet une connexion? eh be…

conseil: deployer d’urgence Citrix Secure Gateway (c’est gratuit…) pour sécurer ta WI et tes connexions ICA.

tu peux faire un copy/paste de ton webinterface.conf ?

suis surtout intéressé par la ligne Farm1= dans ce fichier

yan77 · Janvier 19, 2010, 2:36

C’est un serveur qui est sur un réseau à part, utilisé uniquement dans le but de publier quelques applications pour que certains prospects puissent tester avant de se décider, donc rien de critique à protéger.

C’est une boîte de presta qui a fait l’installation y a 3 ans, on y a jamais retouché depuis.

Ci-dessous le fichier conf :

The UnrestrictedSessionFields property controls which session fields can

be set by user supplied data. All session fields can be made unrestricted

by commenting out this property.

UnrestrictedSessionFields=NFuse_Application,NFuse_AppCommandLine,NFuse_User,NFuse_Domain,NFuse_Password,NFuse_LogonMode,NFuse_ClientName,NFuse_WindowType,NFuse_WindowWidth,NFuse_WindowHeight,NFuse_WindowScale,NFuse_WindowColors,NFuse_EncryptionLevel,NFuse_ICAAudioType,NFuse_SoundType,NFuse_VideoType,NFuse_COMPortMapping,NFuse_ClientPrinting, NFuse_HostId, NFuse_HostIdType, NFuse_SessionId, NFuse_Template

SessionFieldLocations=PNAgent,Script,Template,Properties,Url,Post,Cookie

Timeout=60

Version=3.0

CacheExpireTime=3600

SessionField.NFuse_TicketTimeToLive=200

AllowCustomizeWinSize=On

AllowCustomizeWinColor=Off

AllowCustomizeAudio=Off

AllowCustomizeSettings=On

AddressResolutionType=IPv4-port

OtherClient=default

#OverrideClientInstallCaption=[Place your text here]

Win32Client=default

Win16Client=default

SolarisUnixClient=default

MacClient=default

SgiUnixClient=default

HpUxUnixClient=default

IbmAixClient=default

ScoUnixClient=default

Tru64Client=default

LinuxClient=default

LoginType=Default

#LoginDomains=[Place your domain here]

#RestrictDomains=Off

#HideDomainField=Off

#UPNSuffixes=[Place your UPN suffixes here]

#NDSTreeName=[For NDS logins place NDS Tree name here, and also change LoginType to NDS]

#SearchContextList=[NDS context1, NDS context2, …]

AuthenticationMethods=Explicit

#ClientAddressMap=[clientAddress,AddressType,clientAddress,AddressType,…]

#ServerAddressMap=[normalAddress,translatedAddress,normalAddress,translatedAddress,…]

#InternalServerAddressMap=[normalAddress,translatedAddress,normalAddress,translatedAddress,…]

#ClientProxy=[clientAddress,proxyType,proxyAddress,clientAddress,proxyType,proxyAddress,…]

EnableSTALoadBalancing=On

AllowUserPasswordChange=Never

IcaWebClientVersion=8,0,24737,0

RdpWebClientVersion=5,2,3790

RdpWebClientClassID=7584c670-2274-4efb-b00b-d6aaba6d3850

IcaWebClient=wficat.cab

RdpWebClient=msrdp.cab

IcaWebClientClassID=238f6f83-b8b4-11cf-8771-00a024541ee3

ShowClientInstallCaption=Auto

RequestICAClientSecureChannel=Detect-AnyCiphers

JavaClientPackages=SecureICA,PrinterMapping,ConfigUI

IgnoreClientProvidedClientAddress=Off

AdditionalExplicitAuthentication=None

SessionField.NFuse_Farm1=localhost,80.xx.xx.xx,Name:Farm1,XMLPort:80,Transport:HTTP,SSLRelayPort:443,BypassDuration:60,LoadBalance:On

ReconnectAtLogin=DisconnectedAndActive

AllowCustomizeReconnectAtLogin=On

ReconnectButton=DisconnectedAndActive

AllowCustomizeReconnectButton=On

EnableLogoffApplications=On

AllowCustomizeLogoff=On

EnableWorkspaceControl=On

HideDomainField=On

LoginDomains=srv-citrix

AllowBandwidthSelection=Off

AllowCustomizeClients=Off

LaunchMethod=Ica-Local

LaunchClients=Ica-Local

AllowCustomizeJavaClientPackages=Off

AutoDeployWebClient=Off

EnableLegacyICAClientSupport=Off

yan77 · Janvier 20, 2010, 11:26

Le problème ne saute pas aux yeux ?

ThinIsFat · Janvier 20, 2010, 1:38

non, c’est juste que je n’ai pas encore eu le temps, je tente de regarder cela dans l’aprem

ThinIsFat · Janvier 20, 2010, 2:05

c’est quoi ça :

SessionField.NFuse_Farm1=localhost,80.xx.xx.xx,Name:Farm1,XMLPort:80,Transport:HTTP,SSLRelayPort:443,BypassDuration:60,LoadBalance:On

ici on ne définit que l’adresse (strictement interne au LAN) du ou des serveurs à contacter.

de plus la ligne qui indique à la WI quelle adresse retourner au client ICA est en commentaire :

#ClientAddressMap=[clientAddress,AddressType,clientAddress,AddressType,…]

je conseille donc de configurer la WI… c’est la section Manage Secure Access qu’il faut configurer… et pas celui de la communication avec la ferme

yan77 · Janvier 20, 2010, 3:02

"ThinIsFat" wrote:

c'est quoi ça :
SessionField.NFuse_Farm1=localhost,80.xx.xx.xx,Name:Farm1,XMLPort:80,Transport:HTTP,SSLRelayPort:443,BypassDuration:60,LoadBalance:On

ici on ne définit que l'adresse (strictement interne au LAN) du ou des serveurs à contacter.

Aaaaah merci ! C'était ça !

Pour résumé, lorsque j'ai changé de FAI, je suis allé sur la page de config de WI, et j'ai remplacé l'ancienne ip par la nouvelle, bêtement puisque je n'y connais pas grand chose.
Donc j'ai mis 80.xx.xx.xx parce qu'avant y avait l'ip public aussi. La différence, c'est qu'avec Free (l'ancien FAI), on peut "sortir" sur internet et "revenir" avec la même ip, ce qui n'est pas le cas de la ligne Wanadoo, pour qui c'est interdit.

Conclusion, le presta qui a installé tout ça, Osiatis pour ne pas le citer, n'a pas fait les choses proprement , normal puisqu'ils envoient des stagiaires se faire la main chez les petits clients !

Merci beaucoup ThinIsFat d'avoir pris le temps de te pencher sur mon problème.