Verbinding maken met Ctrix webinterface, client-proxy PAC - Serversoftware en clouddiensten

woensdag 7 november 2007 13:33

Acties:

Verwijderd

Topicstarter

Situatie:

Enkele medewerkers moeten vanaf ons netwerk een verbinding kunnen maken met een Citrix published application, die draait op het netwerk van een instelling waarmee we samenwerken. Dit gebeurt via Citrix Web Access. Tot zover niks geks.

Wij gebruiken in ons netwerk automatische proxy-configuratie via WPAD. Onze config-file bevat eigenlijk helemaal geen spannende dingen:
- al het verkeer naar private- of localhostadressen gaat niet naar de proxy.
- al het overige HTTP-verkeer gaat via de proxy
- al het overige HTTPS-verkeer gaat via de proxy
- al het overige FTP-verkeer gaat vvia de proxy.

Nu loop ik tegen het volgende aan:

Als ik IE ingesteld laat staan op configuratie via WPAD, kan ik niet verbinden met de Citrix-server op het andere netwerk. Ik kom wel netjes op de Web Interface, kan ook gewoon inloggen op de Web Interface en vervolgens de applicatie selecteren. Dan start de Citrix web-client en deze komt (vrij snel) met de volgende foutmelding: "Cannot connect to the Citrix Presentation Server. The Citrix SSL server you have selected is not accepting connections.".

Als ik vervolgens in IE handmatig de proxy-server instel (voor alle protocollen dezelfde proxy, proxy niet gebruiken voor lokale adressen), dan werkt het probleemloos.

Er ontbreekt waarschijnlijk dus iets in onze config-file (PAC), maar wat? Zoeken hier op GoT, Google en bij Citrix heeft tot nu toe nog niet echt iets bruikbaars opgeleverd. Iemand een gouden tip?

De config-file ziet er overigens ongeveer zo uit:

code:

function FindProxyForURL(url, host)
{
    if (dnsDomainIs(host, ".ons.activedirectory.domein"))
    {
    return "DIRECT";
    }
    else if (isInNet(host, "10.0.0.0", "255.0.0.0"))
    {
    return "DIRECT";
    }
    else if (isInNet(host, "192.168.0.0", "255.255.0.0"))
    {
    return "DIRECT";
    }
    else if (isInNet(host, "172.0.0.0", "255.0.0.0"))
    {
    return "DIRECT";
    }
    else if (isInNet(host, "127.0.0.0", "255.0.0.0"))
    {
    return "DIRECT";
    }


    else if( url.substring(0, 5) == "http:" )
    {
    return "PROXY 192.168.1.15:8080";
    }
    else if( url.substring(0, 6) == "https:" )
    {
    return "PROXY 192.168.1.15:8080";
    }
    else if( url.substring(0, 4) == "ftp:" )
    {
    return "PROXY 192.168.1.15:8080";
    }
    
else
{
return "PROXY 192.168.1.15:8080";
}
}

woensdag 7 november 2007 13:43

Acties:

Verwijderd

Checklist WPAD.... lijkt erop dat WPAD niet goed werkt...
-----------------------------
In order for WPAD to work, a few requirements have to be met:

If you want to use DHCP, then the DHCP must be configured to serve up the "site-local" option 252 ("auto-proxy-config") with a string value of "http://xxx.yyy.zzz.qqq/wpad.dat" (without the quotes) where xxx.yyy.zzz.qqq is the address of a web server (either IP or DNS).

If you want to use DNS, then a DNS entry is needed for a host named WPAD.

The host WPAD must be able to serve a web page.

In both cases, the web server must be configured to set up dat files with a MIME type of "application/x-ns-proxy-autoconfig".

The file named wpad.dat must be located in the WPAD web site's root directory.

Examples for PAC files are shown in Proxy auto-config.

Use caution when configuring a WPAD server in a virtual hosting environment. When automatic proxy detection is used, Internet Explorer sends a "Host: <IP address>" header and Firefox sends a "Host: wpad" header. This is unexpected behavior, therefore, it is recommended that the wpad.dat file be hosted under the default Virtual Host rather than its own.

woensdag 7 november 2007 13:50

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 07 november 2007 @ 13:43:
Checklist WPAD.... lijkt erop dat WPAD niet goed werkt...
-----------------------------
In order for WPAD to work, a few requirements have to be met:

If you want to use DHCP, then the DHCP must be configured to serve up the "site-local" option 252 ("auto-proxy-config") with a string value of "http://xxx.yyy.zzz.qqq/wpad.dat" (without the quotes) where xxx.yyy.zzz.qqq is the address of a web server (either IP or DNS).

If you want to use DNS, then a DNS entry is needed for a host named WPAD.

The host WPAD must be able to serve a web page.

In both cases, the web server must be configured to set up dat files with a MIME type of "application/x-ns-proxy-autoconfig".

The file named wpad.dat must be located in the WPAD web site's root directory.

Examples for PAC files are shown in Proxy auto-config.

Use caution when configuring a WPAD server in a virtual hosting environment. When automatic proxy detection is used, Internet Explorer sends a "Host: <IP address>" header and Firefox sends a "Host: wpad" header. This is unexpected behavior, therefore, it is recommended that the wpad.dat file be hosted under the default Virtual Host rather than its own.

WPAD werkt prima hoor. Ook als ik de config-file op een webserver gooi en hem handmatig in IE instel als configuratiescript, heb ik het probleem. (Terwijl ik dan wel gewoon kan surfen op HTTP en HTTPS en FTP werkt ook. Zonder proxy zou ik niet eens naar buiten komen...)

woensdag 7 november 2007 14:01

Acties:

Qwerty-273

Meukposter

***** ***

Eerste hit op google met "WPAD+Citrix"
http://support.citrix.com/article/CTX103982

Geen idee of deze nog steeds actueel is (lijkt me wel gezien je probleem), maar ICA kan de gegevens van WPAD niet uitlezen.

[ Voor 43% gewijzigd door Qwerty-273 op 07-11-2007 14:04 ]

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

woensdag 7 november 2007 14:04

Acties:

Verwijderd

Groepsbeleid voor deze groep medewerkers gebruiken voor IE instellingen?

woensdag 7 november 2007 14:21

Acties:

the-edge

Heb je een SSL certificaat gekocht?

[ Voor 9% gewijzigd door the-edge op 07-11-2007 14:26 . Reden: Lees alweer niet :( excuses ]

woensdag 7 november 2007 14:29

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 07 november 2007 @ 14:04:
Groepsbeleid voor deze groep medewerkers gebruiken voor IE instellingen?

Geen optie. Het is geen samenhangende groep gebruikers. Iedereen moet de functionaliteit krijgen en we hebben gekozen voor het gebruik van WPAD.

woensdag 7 november 2007 14:56

Acties:

Verwijderd

Hmzzz dan gaat het lastig worden maar een 'geen samenhangende groep gebruikers'. Kun je toch in 1 groep ica-clients oid stoppen?

woensdag 7 november 2007 15:32

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 07 november 2007 @ 14:56:
Hmzzz dan gaat het lastig worden maar een 'geen samenhangende groep gebruikers'. Kun je toch in 1 groep ica-clients oid stoppen?

Tja, alles kan.... maar ik voel er eigenlijk niet zoveel voor om af te stappen van WPAD. Met de introductie van WPAD in ons netwerk hebben we een aantal vervelende "irritaties" opgelost en nu weer afstappen van WPAD zou betekenen dat we het wiel opnieuw moeten gaan uitvinden, maar nu op een andere manier omdat zo'n lullig ICA-clientje niet met WPAD kan werken.

Maargoed, het is inmiddels duidelijk dat de ICA webclient niet met WPAD overweg kan en met onze PAC-file lukt het ook niet. Op zich niet zo'n ramp, want intern hebben we die webclient toch absoluut niet nodig. Het zou dus voldoende zijn om ergens in een ini-file de webclient gewoon vaste proxy-settings te geven. Nu alleen nog even achterhalen welke ini-file ik moet hebben, want Citrix is dol op ini-files en in de mappen van de webclient vond ik er dus ook minimaal 10.

Om te troubleshooten heb ik net trouwens even een ICA-file van de Web Interface gedownload en de inhoud bekeken. Toen ik in die ICA-file de proxy-settings van "Auto" wijzigde naar harde proxy-settings, werkte het wel. Helaas is dat voor de gemiddelde gebruiker net iets teveel van het goede en wil ik dus de web-client harde proxy-settings geven zodat het met de standaard ICA-file toch gaat werken.

woensdag 7 november 2007 16:26

Acties:

mutsje

Certified Prutser

dan pas je de instellingen bij de webinterface voor dat lullige web clientje toch aan

dan gaat ie niet automatisch staan.. vind je vast wel die instelling.

woensdag 7 november 2007 17:20

Acties:

StarWing

Huh ?!?

Hebben jullie lokaal een ica client draaien ? ik kreeg een tijdje geleden dezelfde foutmelding nadat ik de lokale client geupgrade had van 9.x naar 10.x

Wij gebruiken in ons netwerk citrix, maar sommige users connecteren ook naar een webinterface op een ander netwerk.

Page intentionally left blank.

woensdag 7 november 2007 23:20

Acties:

Verwijderd

Topicstarter

mutsje schreef op woensdag 07 november 2007 @ 16:26:
dan pas je de instellingen bij de webinterface voor dat lullige web clientje toch aan dan gaat ie niet automatisch staan.. vind je vast wel die instelling.

De webinterface is niet van ons, daar kan ik dus niks aan instellen. Vandaag geen tijd meer gehad om verder te kijken naar de web-client, maar ik vermoed dat ik die proxy-settings daar wel ergens in een of andere ini-file kwijt kan.

StarWing schreef op woensdag 07 november 2007 @ 17:20:
Hebben jullie lokaal een ica client draaien ? ik kreeg een tijdje geleden dezelfde foutmelding nadat ik de lokale client geupgrade had van 9.x naar 10.x

Wij gebruiken in ons netwerk citrix, maar sommige users connecteren ook naar een webinterface op een ander netwerk.

Wij gebruiken intern helemaal geen Citrix. We hebben wel een Citrix-server, maar die wordt alleen gebruikt door een heel klein groepje gebruikers in het buitenland. Op de PC's intern wordt dus de web-only client geïnstalleerd, de versie die je nu bij Citrix kunt downloaden.

[ Voor 39% gewijzigd door Verwijderd op 07-11-2007 23:25 ]

donderdag 8 november 2007 10:27

Acties:

Verwijderd

Quote: Enkele medewerkers moeten vanaf ons netwerk een verbinding kunnen maken met een Citrix published application, die draait op het netwerk van een instelling waarmee we samenwerken.

Als jullie samenwerken is er toch wel een oplossing mogelijk. Of is het meer een 'ter beschikking stellen' geval?

het ini geval waar jij over praat zit dus bij de opdrachtgever die moet dus de ini's aanpassen. De oplossing moet je dus echt zoeken in de 'hard settings' van je eigen clients.

donderdag 8 november 2007 13:23

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 08 november 2007 @ 10:27:
Quote: Enkele medewerkers moeten vanaf ons netwerk een verbinding kunnen maken met een Citrix published application, die draait op het netwerk van een instelling waarmee we samenwerken.

Als jullie samenwerken is er toch wel een oplossing mogelijk. Of is het meer een 'ter beschikking stellen' geval?

Er is samenwerking, maar niet dermate dat we infrastructuren op elkaar aan gaan passen. De gebruikte dienst is zoals hij is en wordt niet aangepast omdat wij hem graag in een ander smaakje zouden willen hebben. Net als dat wij onze infrastructuur niet aan gaan passen, omdat dan die ene dienst wat makkelijker te configureren is. Er zijn geen redenen om te verwachten dat de samenwerking in de toekomst nauwer zal worden.

het ini geval waar jij over praat zit dus bij de opdrachtgever die moet dus de ini's aanpassen. De oplossing moet je dus echt zoeken in de 'hard settings' van je eigen clients.

Nee, de ini-file waar ik het over heb, moet in de client zitten. De webclient heeft namelijk geen grafische interface voor het maken van die settings, voor zover ik heb kunnen zien. Die settings zitten allemaal in ini-files. We hebben geen invloed op de server-kant.

Edit:
Gevonden. Niet in een ini-file, maar in het register. Voor geinteresseerden:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\Proxy

[ Voor 6% gewijzigd door Verwijderd op 08-11-2007 13:49 ]