[XenApp6 Win2k8 R2] Connection Externe impossible via WebInterface

[thegorre]

Bonjour,
je débute largement sur Citrix !
J'ai besoin d'évaluer le produit XenApp 6 pour ce qui est du streaming applicatif !
J'ai téléchargé le Virtual Appliance de XenApp EVA 6 ! avec le fichier licence généré en fonction du nom de mon server !
J'ai suivi la doc de préparation du serveur pas à pas !
Server ctxs-xa1 sur 192.168.1.201
En interne j'ai fait le test : ca passe bien : j'ai juste utilisé le Adobe Acrobat 9 publié de base !
J'ai juste un avertissement normal concernant la licence, mais rien d'inquiétant :
"
This product is using an Evaluation Licence

for citrix XenApp
The licence expires in 91 days
Please contact citrix to renew your license
"

Ensuite au niveau de ma neuf-box j'ai ouvert les ports 80, 1494 et 2598 vers l'internet !

Depuis l'exterieur, je me connecte bien a la web interface via le "Citrix Online plug-in - Web v12 " que j'ai téléchargé et installé !

Je vois alors les applications disponibles, telles que Adobe Reader et Firefox  !
Lorsque je lance par exemple Adobe j'ai un message de retour :
"
Impossible de lancer votre application.
Contacter votre assistancec avec l'information suivante : impossible de se
connecter au serveur Citrix XenApp.Aucun serveur Citrix XenApp configuré à
l'adresse spécifiée.
"
En observant les ports et adresses j'ai vu qu'il passait par le port 1494 et 2598 mais qu'à priori il cherchait l'adresse locale 192.168.1.201 et pas ma "domaine.dyndns.org".
Alors au niveau de mon fichier Host client (Win7 x86)  j'ai rajouté "192.168.1.201   domaine.dyndns.org"

Pas mieux : alors j'ai testé le telnet IPServer 1494 et 2598
Résultat :

telnet domaine.dyndns.org 1494 : il semble se connecter correctement et me retourne ICA ICA ICA

telnet domaine.dyndns.org 2598 : patiente "connexion à domaine.dyndns.org....." et puis rien ne se passe a priori donc pas terrible !

Bizarre pourtant les ports de la Neuf-box sont bien ouverts !

De plus, j'ai installé le language pack de Win2k8 pour le mettre en full FRENCH !
alors vraisemblablement cela pose un petit souci mais moins important :
lorsqu'en local je ressai sur adobe reader ou firefox : il me retourne une errreur :
"le profil de cette appliation n'a pas été édité pour la langue du system d'exploitation
1036"
Bon je pense que cela vient lors de la publication de l'application , je crois que l'on peut spécifier pour une ou plusieur langues !??

Voilà, alors peut etre qu'il y a un parametrage a realiser dans XenApp pour la redirection ? ou bien , en fait je ne sais pas, je n'ai pas assez de recul !

PS : j'ai voulu rajouter l'accès au bureau du serveur, mais a priori, il semblerait avoir besoin d'un aces par le port 6900 ? dois je l'ouvrir pour effectuer le test ?

Sinon, pour le pb principal, si  un professionnel pouvait m'aiguiller !

Merci d'avance

[thegorre]

Complement :
je viens par hasard d'assayer via le navigateur Google Chrome de me connecter a la WI de mon server par internet !
j'arrive sur l'interface et je vois les applications !
Lorsque je click sur "NotePad" que j'ai publié et qui lui n'a pas le pb de langue, et bien google chrome me telecharge un fichier ICA !
J'edite ce fichier ICA et je vois que l'adresse de mon domaine n'est pas domaine.dyndns.org mais 192.168.1.201  !
je m'empresse de changer cela et d'enregistrer les modifications !
je double click sur le fichier ICA et là miracle le notepad s'ouvre, juste apres avoir rentrer login et mot de pass sur logon windows de mon serveur !

Conclcusion, le fichier ICA contient vraisemblablement la mauvaise adress pour l'exterieur !
Y a t il un moyen de chanager cela pour qu'il contienne les deux adresses !
Car i l faut que cela fonctionne en interne comme en externe !

on avance doucement !!   

PS: j'ai testé cela aussi avec le bureau a distance, en editant le fichier ICA resultant !!


PS2 : je viens de publier WordViewer 2003 en french dans XenApp 6 !
Ensuite toujours via Google Chrome j'ai recupéré le fichier ICA dont j'ai modifié la ligne de mon server !
j'ai testé et c'est passé !
Donc mon reel probleme est d'avoir un fichier ICA généré avec la bonne adresse pour l'externe et pour l'interne
!!

On avance tout doucement

[ThinIsFat]

je conseille fortement la lecture de la présentation de Laurent Falguière lors du premier DocForum sur les bases de XenApp : http://www.docforum.fr/citrix-docforum-documents2009-juin/

il est FORTEMENT déconseillé de placer un serveur XenApp en direct sur Internet. il est primordial question sécurité de faire passer le flux ICA dans du SSL, via Secure Gateway ou Access Gateway (cf la doc de ces produits sur http://support.citrix.com/edocs)

si tu souhaites passer outre, il faut indiquer à la WI d'envoyer une alternate address et non l'adresse IP locale de ton serveur XenApp : ALTADDR (outil inclus dans XenApp) permet de configurer l'adresse et ensuite la procédure est expliquée dans eDocs (lien ci-dessus) pour la configuration de la Web Interface avec une adresse alternée

[thegorre]

Merci pour cette reponse !
Pour ce qui est de la securité, je passerais sur securegateway plutard, j'essais juste a titre experimental d'avancer dans ma config actuelle, certe peu securisée mais je passe outre pour l'instant !

Concernant le AltAdrr j'ai effectué le changement :
Resultat :

ALTADDR /SET xxxx.dyndns.org /V
Nom du serveur : localhost  Transport : TCP
L'entrée de carte DefaultAddress est définie avec l'adresse secondaire xxxx.dyndns.org

après pour vérifier j'ai lancer juste :
ALTADDR
Adresses TCP secondaires pour localhost

Adresse locale        Adresse secondaire
--------------------  --------------------
Par défaut            xxxx.dyndns.org


Est ce que j'ai bon ? jusque là ?

Si oui ensuite j'ai essayé de rajouté une alternate adresse dans le WI comme doc mais j'ai un peu de mal !
D'apres la doc, cela se fait au niveau du Site : dans Accès Sécurisé !
Et là on rajoute une route d'accès : et là il me propose que de rentrer une adresse IP reelle et pas mon xxx.dyndns.org avec plusieurs sméthode d'accès !
Ai je fait mauvaise route ?
Ou bien suis je au mauvais endroits ?

[thegorre]

Bon :
je pense avoir trouvé, cela pourra aider certain qui ont été dans le même cas que moi

Au final, apres avoir ajouté une Alternate Adress avec AltAdd j'ai été dans le gestionnaire WI et j'ai été dans "Accès Sécurisé" :
Valeur par défaut : Traduite
j'ai ajouté : 192.168.1.201 / 255.255.255.0 mode Direct
alors apparait suivant et là j'ai ajouté :
192.168.1.201 port 1494 (source) / nom xxx.dyndns.org port 1494 (destination)

J'ai fait le test externe et interne et ca passe !!

Voilà !
A priori première étape Résolue !
Maintenant je vais m'atteler au Secure Gateway 

[thegorre]

La Secure Gateway Installée (grace a : http://www.tescitrixoupas.net/xenapp/video-installation-basique-de-citrix-secure-gateway-31-sous-windows-2003/ )

Le but principal de ce SG est la connection via https  si je ne me trompe !?

Alors j'ai fait le test en https et résultat : j'ai le même souci qu'au début : le fichier ica contient mon adresse local et pas mon xxx.dyndns.org !!!?

J'ai vu pour corriger cela via WI Management en http, mais là, je présume que c'est pareil, mais où et comment faire ?

un petit coup de pouce SVP 

PS : jsuis pas tres convaincu qu'il marche reelement !
En effet j'ai comme meme essayé localement, et donc me suis connecté en Https et suis arrivé sur la meme interface ! j'ai choisi le notepad et le fichier ICA généré ressemblait fortement a celui généré en http normal ! est ce normal !
De plus je ne vois aucune activité dans le monitoring SG

une idée ?

[thegorre]

A priori, cela se reglerait pour la Securegateway dans WI Management au niveau de Acces Sécurisé !
En revanche je pense que pour mon pb cest du Passerelle Traduite a priori ! Mais impossible de configurer ! je sais pas comment faire !
J'ai meme essayé sur Passerelle Directe ou secondaire et pareil : plus rien ne marche

est ce que je fais fausse route ?

[ThinIsFat]

avec SG, tu oublies completement le concept d'address alternate

il suffit de suivre les différentes videos et docs dispo pour configurer la SG et la WI.
en bref dans la WI, (j'assume que SG fonctionne) dans la section de gestion des Accès, tu dis via Access Gateway/Secure Gateway et tu suis le wizard...

[thegorre]

MErci infiniment pour ton precieux aide :
mais le souci comme je debute, je comprends absolument pas ce que tu m'expliques !
Peut etre que c'est parce que je suis sous XenApp6 !

Aurais tu l'immense gentillesse de bien vouloir me detailler la chose, car je ne vois pas "dans gestion des accès" qui ne s'appelle pas comme ca chez moi , a moins que je ne sois pas dans la bonne section !
Apres je vois pas le "Access  Gateway / Secure Gateway" comme tu me l'écris !
Pourtant j'ai suivit a la lettre la video pour une bonne config du SG
Waow j'en ai plein la tete : c'est tellement nouveau pour moi !
A l'epoque j'avais testé un PS 4.5 mais la ca change un peu comme meme !
Dans ma version XnApp 6 avec son WI bien installé et sont SG bien installé et configuré, je suis persuadé que je dois aller dans "Accès Sécurisé" là ou l'on peut choisir "Directe, Secondaire, Traduite, Passerelle Directe, PAsserelle Secondaire, Passerelle Traduite )

un ptit coup de main SVP "Dieu du Citrix"

[ThinIsFat]

c'est passerelle directe... le problème étant que je n'ai aucun XenApp 6 en français : vive l'anglais 

[thegorre]

Oui je comprends !
Je vais essayer de tester de mon coté, et cela fonctionne que post toute la solution pour que cela serve a tout le monde

A suivre, je recherche...

 

[ThinIsFat]

pourtant je pensais que la video de patrice expliquait comment configurer la WI avec SG...

[thegorre]

Pas de souci avec les videos de Patrice....
De mon coté je suis en train de finaliser ma plateforme XeneApp 5 sous Win2k8 sp1
Et je vois pour faire marcher ma SG dessus et faire un parallele sous XenApp6

Je vous tiens au courant de l'avancement

[thegorre]

Salut,
J'ai finalement fini l'install de XenApp 5 et en mode SG j'ai bien avancé, sur le client local (pour le moment) j'obtiens un fichier ICA avec adesse =  "plein de code et lettres" plus de chiffres IP
mais le souci c'est que j'ai l'erreur suivante :
erreur ssl 61 le certificat de sécurité n'est pas adapté pour être utilisé dans la connexion SSL

alors j'ai installé le certificat via Internet Explorer, mais rien n'y fait !

Alors en essayant avec Google Chrome, c'est du Java qui se lance mais j'ai une autre erreur :
"Les adresses d'emplacement de server doivent etre spécifiées en tant que nom de domaine entierement qualifié pour permettre des connexions SLL"

Trop bizarre !
J'ai mis le pieds dans un autre bouzin ?

Une idée des Dieu Citrix   

[ThinIsFat]

d'où vient le certificat serveur de la Secure Gateway ? si c'est une autorité Microsoft,il est indispensable d'installer le certificat racine sur les machines clientes. attetion lors de l'installation à le placer dans la zone machine et non la zone user (ce qui est fait quand on double clic simplement sur le certificat racine depuis la machine cliente, il faut alors ouvrir la MMC Certificate SnapIn pour le deplacer vers le machine certificate store)