FAS V2-Ticketing und die Registrierungsadressliste
Vor FAS 2511 erstellte FAS V1-Tickets (Version 1), die mit einem Index-Byte beginnen. Der VDA muss ermitteln, welcher FAS-Server das Ticket ausgestellt hat. Dies geschieht, indem er das Index-Byte verwendet, um die FAS-Adresse aus der Liste der FAS-Adressen in seiner Registrierung nachzuschlagen.
GPO konfiguriert im Allgemeinen die Liste der FAS-Adressen auf dem VDA. Auf Windows-VDAs befindet sich der Registrierungsspeicherort der Adressliste unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses.
Die Adressliste auf dem VDA muss exakt mit der Adressliste auf StoreFront übereinstimmen, andernfalls schlägt das Single Sign-On fehl. Diese Anforderung war eine erhebliche Fehlerquelle bei der Konfiguration für Kunden, insbesondere bei komplexen Bereitstellungen.
FAS 2511 führt V2-Tickets (Version 2) ein. Die Adresse (d. h. FQDN und Port) des FAS-Servers wird in das Ticket selbst geschrieben, sodass der VDA die Registrierungsadressliste nicht konsultieren muss.
Kompatibilität
Ab 2511 generiert FAS standardmäßig V2-Tickets. V2-Tickets sind mit allen Windows- und Linux-VDA-Versionen kompatibel.
VDAs vor Version 2511 konsultieren weiterhin die Registrierungsadressliste, wobei das Index-Byte wie im vorherigen Abschnitt beschrieben verwendet wird.
Nur Windows- und Linux-VDAs ab Version 2511 können V2-Tickets analysieren und benötigen daher die Registrierungsadressliste nicht.
V2-Tickets sind mit jeder StoreFront-Version kompatibel, und ein StoreFront-Upgrade ist nicht erforderlich.
Wenn Sie Probleme mit V2-Tickets haben, können Sie FAS so konfigurieren, dass V1-Tickets mit diesem PowerShell-Befehl generiert werden:
Set-FasServer -Address localhost -TicketVersion 1
<!--NeedCopy-->
Um zur Generierung von V2-Tickets zurückzukehren, verwenden Sie diesen PowerShell-Befehl:
Set-FasServer -Address localhost -TicketVersion 2
<!--NeedCopy-->
FAS-Ticketversion, die der VDA versteht
Nur VDA 2511 und höher können V2-Tickets analysieren. Frühere Versionen behandeln das V2-Ticket so, als wäre es ein V1-Ticket.
Um zu bestätigen, ob ein VDA die V2-Ticketversion versteht, überprüfen Sie das Ereignisprotokoll auf dem FAS-Server.
Wenn FAS und Ihr VDA 2511 oder höher sind, müssen Sie während des VDA-Starts einen Ereignisprotokolleintrag ähnlich dem folgenden sehen. Das Ereignis befindet sich in den Windows-Protokollen > Anwendungsprotokoll auf Ihrem FAS-Server:
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 2. [correlation: XXXX]
<!--NeedCopy-->
In diesem Ereignis ist die Anrufer-Ticketversion 2. Dies weist darauf hin, dass der VDA nicht mit einer Registrierungs-FAS-Adressliste konfiguriert werden muss.
Umgekehrt, wenn Ihr VDA keine V2-Tickets unterstützt, hat der Ereignisprotokolleintrag die Anrufer-Ticketversion 1:
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 1. [correlation: XXXX]
<!--NeedCopy-->
Konfigurieren von FAS V2-Tickets mit StoreFront
Jede StoreFront-Version kann verwendet werden, da das FAS-Ticket für StoreFront undurchsichtig ist und keine spezielle Konfiguration erforderlich ist.
Die Konfiguration der FAS-Serveradressen auf StoreFront verwendet weiterhin die Registrierungsadressliste, die über ein GPO bereitgestellt wird.
Konfigurieren von FAS V2-Tickets mit Citrix Cloud Workspace
Wenn FAS mit Citrix Cloud verbunden ist, erfordert FAS, dass seine Adresse in seiner eigenen Registrierungsadressliste vorhanden ist. Dieses Verhalten dient zur Unterstützung von V1-Tickets. Wenn nicht gefunden, zeigt die FAS-Administrationskonsole eine Warnung an, und FAS bietet kein Single Sign-On für Citrix Cloud Workspace-Starts.
Wenn jedoch Ihre gesamte Bereitstellung V2-Tickets verwendet (d. h. Ihr FAS-Server und Ihre VDAs 2511 oder höher sind), ist die Registrierungsadressliste auf dem FAS-Server nicht erforderlich.
Sie können das folgende PowerShell verwenden, um zu verhindern, dass ein Cloud-verbundenes FAS die Registrierungsadressliste benötigt:
Set-FasCloudConfig -Address localhost -SkipGpoCheck $true
<!--NeedCopy-->
Weitere PowerShell-Änderungen
Zusätzlich zu den oben genannten Befehlen wurden die folgenden Änderungen in FAS 2511’s PowerShell vorgenommen.
Anzeigen des FQDN und Ports des FAS-Servers
Der folgende PowerShell-Befehl gibt nun den FQDN und den Listening-Port des FAS-Servers zurück. Dies sind die FAS-Adressinformationen, die in V2-Tickets kodiert sind.
Get-FasServer -Address localhost
<!--NeedCopy-->
Adressparameter von Cmdlets
Vor 2511 wurde jeder Adressparameter eines FAS-PowerShell-Befehls (außer “localhost”) mit der Registrierungsadressliste des FAS-Servers abgeglichen. Um dieses Verhalten zu ändern, war es notwendig, den folgenden Befehl zu verwenden:
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $false
<!--NeedCopy-->
Ab 2511 überprüfen FAS-PowerShell-Befehle den Adressparameter nicht mehr mit der Adressliste. Um zum vorherigen Verhalten zurückzukehren, führen Sie den folgenden PowerShell-Befehl aus:
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $true
<!--NeedCopy-->