Billetterie FAS V2 et liste d’adresses du registre
Avant FAS 2511, FAS créait des tickets au format V1 (version 1), qui commencent par un octet d’index. Le VDA doit déterminer quel serveur FAS a émis le ticket. Pour ce faire, il utilise l’octet d’index pour rechercher l’adresse FAS dans la liste des adresses FAS de son registre.
La GPO configure généralement la liste des adresses FAS sur le VDA. Sur les VDA Windows, l’emplacement du registre de la liste d’adresses est HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses.
La liste d’adresses sur le VDA doit correspondre exactement à la liste d’adresses sur StoreFront, sinon l’authentification unique échoue. Cette exigence était une source importante d’erreurs de configuration pour les clients, en particulier ceux ayant des déploiements complexes.
FAS 2511 introduit les tickets au format V2 (version 2). L’adresse (c’est-à-dire le FQDN et le port) du serveur FAS est écrite dans le ticket lui-même, de sorte que le VDA n’a pas besoin de consulter la liste d’adresses du registre.
Compatibilité
À partir de la version 2511, FAS génère des tickets V2 par défaut. Les tickets V2 sont compatibles avec toutes les versions de VDA Windows et Linux.
Les VDA antérieurs à la version 2511 continuent de consulter la liste d’adresses du registre, en utilisant l’octet d’index comme décrit dans la section précédente.
Seuls les VDA Windows et Linux 2511 et ultérieurs sont capables d’analyser les tickets V2, et n’ont donc pas besoin de la liste d’adresses du registre.
Les tickets V2 sont compatibles avec n’importe quelle version de StoreFront, et une mise à niveau de StoreFront n’est pas nécessaire.
Si vous rencontrez des problèmes avec les tickets V2, vous pouvez configurer FAS pour générer des tickets V1 à l’aide de cette commande PowerShell :
Set-FasServer -Address localhost -TicketVersion 1
<!--NeedCopy-->
Pour revenir à la génération de tickets V2, utilisez cette commande PowerShell :
Set-FasServer -Address localhost -TicketVersion 2
<!--NeedCopy-->
Version du ticket FAS comprise par le VDA
Seuls les VDA 2511 et supérieurs peuvent analyser les tickets V2. Les versions précédentes traitent le ticket V2 comme s’il s’agissait d’un ticket V1.
Pour confirmer si un VDA comprend la version du ticket V2, inspectez le journal des événements sur le serveur FAS.
Si FAS et votre VDA sont de version 2511 ou ultérieure, vous devez voir une entrée de journal des événements similaire à la suivante lors du lancement du VDA. L’événement se trouve dans le Journal Windows > Journal des applications sur votre serveur FAS :
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 2. [correlation: XXXX]
<!--NeedCopy-->
Dans cet événement, la version du ticket de l’appelant est 2. Cela indique que le VDA n’a pas besoin d’être configuré avec une liste d’adresses FAS du registre.
Inversement, si votre VDA ne prend pas en charge les tickets V2, l’entrée du journal des événements aura la version de ticket de l’appelant 1 :
Level: Information
Source: Citrix.Authentication.FederatedAuthenticationService
EventId: 204
Text: [S204] Relying party [VDA machine name] accessing the Logon Provider for [User UPN] in role: [FAS Role] [Operation: XXXX] as authorized by [StoreFront machine name]. Caller ticket version: 1. [correlation: XXXX]
<!--NeedCopy-->
Configurer les tickets FAS V2 avec StoreFront
N’importe quelle version de StoreFront peut être utilisée, car le ticket FAS est opaque pour StoreFront, et aucune configuration spéciale n’est requise.
La configuration des adresses des serveurs FAS sur StoreFront continue d’utiliser la liste d’adresses du registre, fournie via une GPO.
Configurer les tickets FAS V2 avec Citrix Cloud Workspace
Lorsque FAS est connecté à Citrix Cloud, FAS exige que son adresse soit présente dans sa propre liste d’adresses du registre. Ce comportement vise à prendre en charge les tickets V1. Si elle n’est pas trouvée, la console d’administration FAS affiche un avertissement, et FAS ne fournit pas d’authentification unique pour les lancements de Citrix Cloud Workspace.
Cependant, si l’ensemble de votre déploiement utilise des tickets V2 (c’est-à-dire que votre serveur FAS et vos VDA sont de version 2511 ou ultérieure), alors la liste d’adresses du registre sur le serveur FAS n’est pas nécessaire.
Vous pouvez utiliser la commande PowerShell suivante pour empêcher un FAS connecté au cloud d’exiger la liste d’adresses du registre :
Set-FasCloudConfig -Address localhost -SkipGpoCheck $true
<!--NeedCopy-->
Autres modifications PowerShell
En plus des commandes mentionnées ci-dessus, les modifications suivantes ont été apportées au PowerShell de FAS 2511.
Afficher le FQDN et le port du serveur FAS
La commande PowerShell suivante renvoie désormais le FQDN et le port d’écoute du serveur FAS. Il s’agit des informations d’adresse FAS encodées dans les tickets V2.
Get-FasServer -Address localhost
<!--NeedCopy-->
Paramètre d’adresse des cmdlets
Avant la version 2511, tout paramètre Address d’une commande PowerShell FAS (autre que “localhost”) était vérifié par rapport à la liste d’adresses du registre du serveur FAS. Pour modifier ce comportement, il était nécessaire d’utiliser la commande suivante :
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $false
<!--NeedCopy-->
À partir de la version 2511, les commandes PowerShell FAS ne vérifient plus le paramètre Address par rapport à la liste d’adresses. Pour revenir au comportement précédent, exécutez la commande PowerShell suivante :
Set-FasAdministrationPolicy -CheckAddressAgainstGpo $true
<!--NeedCopy-->