Gestión de tickets FAS V2 y la lista de direcciones del registro
Antes de FAS 2511, FAS creaba tickets en formato V1 (versión 1), que comienzan con un byte de índice. El VDA necesita determinar qué servidor FAS emitió el ticket. Lo hace utilizando el byte de índice para buscar la dirección FAS en la lista de direcciones FAS de su registro.
Normalmente, la GPO configura la lista de direcciones FAS en el VDA. En los VDA de Windows, la ubicación del registro de la lista de direcciones es HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses.
La lista de direcciones en el VDA debe coincidir exactamente con la lista de direcciones en StoreFront; de lo contrario, el inicio de sesión único fallará. Este requisito era una fuente importante de errores de configuración para los clientes, especialmente aquellos con implementaciones complejas.
FAS 2511 introduce tickets en formato V2 (versión 2). La dirección (es decir, el FQDN y el puerto) del servidor FAS se escribe en el propio ticket, por lo que el VDA no necesita consultar la lista de direcciones del registro.
Compatibilidad
A partir de la versión 2511, FAS genera tickets V2 de forma predeterminada. Los tickets V2 son compatibles con todas las versiones de VDA de Windows y Linux.
Los VDA anteriores a la versión 2511 siguen consultando la lista de direcciones del registro, utilizando el byte de índice como se describe en la sección anterior.
Solo los VDA de Windows y Linux de la versión 2511 y posteriores pueden analizar tickets V2 y, por lo tanto, no necesitan la lista de direcciones del registro.
Los tickets V2 son compatibles con cualquier versión de StoreFront y no es necesaria una actualización de StoreFront.
Si tienes problemas con los tickets V2, puedes configurar FAS para generar tickets V1 usando este comando de PowerShell:
Set-FasServer -Address localhost -TicketVersion 1
<!--NeedCopy-->
Para volver a la generación de tickets V2, usa este comando de PowerShell:
Set-FasServer -Address localhost -TicketVersion 2
<!--NeedCopy-->
Versión de ticket FAS que el VDA entiende
Solo los VDA 2511 y posteriores pueden analizar tickets V2. Las versiones anteriores tratan el ticket V2 como si fuera un ticket V1.
Para confirmar si un VDA entiende la versión del ticket V2, inspecciona el registro de eventos en el servidor FAS.
Si FAS y tu VDA son 2511 o posteriores, debes ver una entrada de registro de eventos similar a la siguiente durante el inicio del VDA. El evento se encuentra en Registros de Windows > Registro de aplicaciones en tu servidor FAS:
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 2. [correlation: XXXX]
<!--NeedCopy-->
En este evento, la versión del ticket del llamante es 2. Esto indica que el VDA no necesita configurarse con una lista de direcciones FAS del registro.
Por el contrario, si tu VDA no es compatible con los tickets V2, la entrada del registro de eventos tendrá la versión del ticket del llamante 1:
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 1. [correlation: XXXX]
<!--NeedCopy-->
Configurar tickets FAS V2 con StoreFront
Se puede usar cualquier versión de StoreFront, ya que el ticket FAS es opaco para StoreFront y no se requiere ninguna configuración especial.
La configuración de las direcciones del servidor FAS en StoreFront sigue utilizando la lista de direcciones del registro, proporcionada mediante una GPO.
Configurar tickets FAS V2 con Citrix Cloud Workspace
Cuando FAS está conectado a Citrix Cloud, FAS requiere que su dirección esté presente en su propia lista de direcciones del registro. Este comportamiento es para admitir tickets V1. Si no se encuentra, la consola de administración de FAS muestra una advertencia y FAS no proporciona un inicio de sesión único para los inicios de Citrix Cloud Workspace.
Sin embargo, si toda tu implementación utiliza tickets V2 (es decir, tu servidor FAS y tus VDA son 2511 o posteriores), entonces no es necesaria la lista de direcciones del registro en el servidor FAS.
Puedes usar el siguiente PowerShell para evitar que un FAS conectado a la nube requiera la lista de direcciones del registro:
Set-FasCloudConfig -Address localhost -SkipGpoCheck $true
<!--NeedCopy-->
Otros cambios de PowerShell
Además de los comandos mencionados anteriormente, se han realizado los siguientes cambios en PowerShell de FAS 2511.
Mostrar el FQDN y el puerto del servidor FAS
El siguiente comando de PowerShell ahora devuelve el FQDN y el puerto de escucha del servidor FAS. Esta es la información de dirección FAS codificada en los tickets V2.
Get-FasServer -Address localhost
<!--NeedCopy-->
Parámetro Address de los cmdlets
Antes de 2511, cualquier parámetro Address de un comando de PowerShell de FAS (que no fuera “localhost”) se verificaba con la lista de direcciones del registro del servidor FAS. Para cambiar este comportamiento, era necesario usar el siguiente comando:
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $false
<!--NeedCopy-->
A partir de 2511, los comandos de PowerShell de FAS no verifican el parámetro Address con la lista de direcciones. Para revertir al comportamiento anterior, ejecuta el siguiente comando de PowerShell:
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $true
<!--NeedCopy-->