VIP injoignable sur NetScaler VPX

Sur des NetScaler VPX (11.0.71.18 qu’il faudra mettre à jour ASAP) nous avons créé des VIPs qui étaient pingables mais injoignables sur les ports sur lesquels elles étaient configurées (dans le cas présent TCP 443 et TCP 8085).

En regardant du côté firewall (ASA) nos collègues du réseau ont remarqué des time-out et drop.

01/09 07:37:35 <182>Sep 02 2019 20:37:17: %ASA-6-106015: Deny TCP (no connection) from xx.xxx.xx.xxx/80 to xx.xxx.xx.xxx/59968 flags SYN ACK  on interface cag_VIP978


En googlelant nous sommes tombés sur la CTX205292 extrêmement intérressante, en effet activant le MBF sur les Netscaler, les VIPs étaient joignables sans problème.

Pour activer le MBF il faut se connecter en SSH sur le Netscaler et lancer la commande ci-dessous. 

enable ns mode mbf


Le problème dans notre cas était bien un problème de routage asymétrique et pas question de toucher à la conf des firewall, donc on a activé le mode MDF sur les Netscaler.

Post to Twitter

Erreur : La ressource publiée n’est pas actuellement disponible……

Dans un environement Netscaler VPX et XenApp (ha oui c’est vai désolé……”Citrix Virtual Apps and Desktop”) les utilisateurs obtenaient l’erreur ci-dessous lors du lancement d’une application publiée via des StoreFront (eux-même derrière des Netscaler VPX).


La ressource publiée n’est pas actuellement disponible. Contactez votre administrateur systeme pour obtenir de l’aide.

The Published resource is not available currently. Contact your system administrator for further assistance.


Une information interréssante était que les utilisateurs arrivaient à lancer leur application au bout de la deuxième tentavive (voir troisième), ce qui nous amène rapidement à penser à un problème de STA 🙂 et oui on fait ce billet car c’est un classic qu’on oublie avec le temps. En regardant la configuration des STA sur les Netscalers et sur les StoreFront on s’aperçoit que côté Netscaler nous n’avons qu’un serveur STA de renseigné et que côté StoreFront nous avons deux serveurs STA de renseigné avec le “Load balance multiple STA servers” de coché (nous y reviendrons plus tard).

Pour rappel les STA doivent être dans le même ordre côté Netscaler et StorFront et surtout côté StoreFront il ne faut pas cocher le “Load balance multiple STA servers”

Ici il nous manque un serveur STA 🙂

une fois l’orde des STA rétabli et le “Load balance multiple STA servers” décoché les utilisateurs ont pu lancer leur applications dès le premier lancement


Un peu de lecture pour plus de compréhenssion sur le fonctionnement du STA entre Netscaler et Storefront : CTX134940

Post to Twitter

Netscaler vpx : consommation excesive de cpu dans Vcenter

Suite à la migration de Netscaler Vpx en 12.1.48.13 nous avons remarqué que ces derniers consommaient anormalement de la cpu dans Vcenter (avec des hosts en ESXi 6.0).

 

Tranquille le Vpx 🙂

 

En googlelant nous sommes tombé sur la CTX22955 qui explique que depuis la version 12.0 (vpx) le CPU yielding est désactivé.

 

Tout est dit…

 

Afin d’activer le CPU yeilding il faut vous connecter en ssh (ou console) sur votre Vpx et passer la commande ci-dessous.

 

set ns vpxparam -cpuyield YES

 

Reste à verifier que ça nous rend bien la cpu côté Hyperviseur

 


On pensait que c’était l’effet canicule mais non 🙂

Post to Twitter

Netscaler : champ utilisateur/mot de passe manquant

Suite à un upgrade de netscaler 11.1 vers 12.1.4813 les champs utilisateur et mot de passe avaient disparu de la page d’accueil de la CAG (index.html).

 

Le premier qui arrive à se loguer gagne une boisson jaune 🙂

 

Dans pareille condition le mieux est d’ouvrir le developper de votre browser favori (dans notre cas c’est Chrome).

On constate que nous avons une erreur dans l’onglet Sources et deux erreurs 404 dans la console (en bas du deuxième screenshot).

 

Les erreurs 404 donnent deja un bon indice 🙂 .

 

Un clic sur une des erreurs nous renvoie dans l’onglet Network, encore un clic sur l’erreur (en bas à gauche) permet d’afficher une preview et donc le path du fichier manquant.

 

L’avantage du developper est que même sans notion de dev on arrive rapidement à trouver l’orgine d’une erreur.

 

Maintenant que nous connaissons l’origine du problème il ne reste plus qu’à aller en ssh sur un de nos netscaler dans le dossier ” /var/netscaler/logon/themes/Ctxblog/resources”.

 

Ok donc tous les fichiers de langages ont une extension .xml1 au lieu de .xml.

 

Afin de renommer tous les fichiers ayant l’exention .xml1 en .xml on passe la commande ci-dessous.

for f in *.xml1; do mv — “$f” “${f%.xml1}.xml”; done

 

Il ne reste plus qu’a vérifier que ça a bien corrigé notre problème

 

On va pouvoir retourner sur le transat 🙂

 

 

 

Post to Twitter

Error : no Citrix SSL Server configured on the specified address

Pour débuter l’année 2018 (bonne année 2018 au passage), nous avons été solicités pour un problème de mise en place d’EDT (pour ceux qui ne connaissent pas encore EDT nous vous recommandons la lecture d’Adaptative Transport).

En regardant la configuration des Netscalers et de la ferme XenApp (7.13) en question tout était ok et aucun log ou event lors du lancement d’application publiée n’est présent. Nous passons donc le setting “HDX Adaptive Transport” sur “Diagnostic Mode” en lieu et place de “Preferred”.

 

Désormais nous avons une erreur 🙂

 

Bon soyons hônnetes ça nous avance pas, mais on comprend qu’il faut regarder côté réseau (vu quand sans EDT les applications se lancent sans problème) histoire de voir ce qui ne passe pas, et la surprise……. l’UDP sur le 443 n’était pas ouvert sur les Firewall 🙁 .

 

C’est juste pour ceux qui ont aimé la série 😉

 

Post to Twitter

Vérifier la validité d’un certificat SSL

Récemment nous avons constaté qu’on ne monitorait pas la validité des certificats SSL de nos StoreFront et Netscaler/F5)  (on avait juste des alertes émanant des collègues de la sécu).

Un script PowerShell plus loin c’est chose faite 🙂 :

 


Les certificats ayant une date d’expiration inférieur à 30 jours apparaissent en warning 😉



Dans un prochain billet nous vous indiquerons comment remonter ces valeurs facilement dans Zabbix via un agent actif.

 

Pour utiliser le script il faut au préalable modifier ce dernier en ligne 2 afin de rentrer les urls à checker (si vous souhaitez modifiez le seuil d’alerte des 30 jours, modifiez la valeur “30” en ligne  33 du script.

 



CheckSslExp.ps1


Pour notre script nous nous sommes inspiré du post “How to read Certificates and CRLs using PowerShell” de nos collègues de NETWORKWORLD.

 

 

Post to Twitter

Test : ControlUp Logon Simulator

Toujours dans la série des tools gratuits, dans ce billet nous allons vous présentez “ControlUp Logon Simulator“. Comme vous l’avez deviné (pour ceux qui connaissent ControlUp, pour les autres c’est l’occasion de faire connaissance avec nos amis de ControlUp), ControlUp Logon Simulator vient tout droit de chez… ControlUp 🙂 .

ControlUp Logon Simulator permet de simuler la connexion (XenApp/XenDesktop) d’un utilisateur sur une application publiée (ou un dekstop), la connexion va du Netscaler/StoreFront au lancement de l’application.

 

He oui ça gère même une connexion via un Netscaler 😉

 

Téléchargez ControlUp Logon Simulator (dans notre cas la v1.3.0)

Les prérequis :

ControlUp Logon Simulator

  • Microsoft Windows 7  ( nous avons testé avec du W2K8 R2 et W2K12)
  • Ne pas être admin local (dans la session ou vous souhaitez lancer ControlUp Logon Simulator)
  • .Net Framework 4.6.1
  • Citrix Receiver 4.x

StoreFront/XenApp/XenDesktop

  • Citrix Storefront 2.0 minimum
  • Citrix XenApp 6.5, XenDesktop/XenApp 7.x 

L’installation est simple et se résume en trois étapes :

Cliquez sur le bouton Next



Cliquez sur le bouton Next



Cliquez sur le bouton Close

 

Reste à lancer ControlUp Logon Simulator et à le configurer (montre en main il faut 2/3 mn).

Au passage vous pouvez aussi lancer ControlUp Logon Simulator en ligne de commande via la commande (c’est un exemple) : controluplogonsim.exe /noeula /s /config=c:\YourFolder\settings.xml  (le fichier .xml est à créer au préalable via la GUI en enregistrant votre configuration).

 


C
onfigurez ControlUp Logon Simulator
Dans notre cas nous sommes passés directement sur un StoreFront (3.5), cependant ControlUp Logon Simulator gère aussi les tests via un Netscaler.

 


Et voila 😉



Vous pouvez avoir le détail de chaque test via l’onglet Summary, en cliquant sur un test (oui on a un test en failed 😉 )

 

Si vous souhaitez remonter des alertes via votre outil de monitoring favori comme par exemple ControlUp (via les Triggers d’incident de ControlUp, voir page 10 de l’admin guide) ou Zabbix 🙂 , c’est tout à fait possible vu que ControlUp Logon Simulator  génère des events dans le journal application.

 

 

En conclusion que du bonheur 😉 .

Post to Twitter

Installation et configuration de SMS2

Pour ceux qui ne connaissent pas (encore) SMS2, SMS2 est un système gratuit d’authentification forte (double authentification)  fonctionnant notamment avec Netscaler, Cisco, Juniper et F5 (pour en savoir plus c’est par là) et comme une bonne nouvelle n’arrive jamais seule (on parle du fait que c’est gratuit : ) SMS2 est Citrix Ready.

De notre côté et vous l’aurez compris nous avons testé SMS2 avec des Netscaler, et autant vous dire que c’est hyper simple à mettre en place (30 mn café compris).

L’installation et la configuration de SMS2 (ver : 15092501a) sont réalisées sur un serveur Windows 2008 R2 sp1 Fr. SMS2 permet de choisir le type d’authentifieur, afin de mettre en place rapidement SMS2 nous avons opté pour Google Authenticator (d’autant qu’il dispose d’une app sous android et IOS).

Les pré-requis :

 authfort

 

Continue reading “Installation et configuration de SMS2”

Post to Twitter

Netscaler perte de bind des nouveaux certificats SSL

Suite à un upgrade de firmware sur des appliances Netscaler (firmware 11.0.55 vers 11.0.62.10 ) les nouveaux certificats SSL installés après l’upgrade n’étaient plus bindés après reboot des Netscaler.

 

NS_SSL_ErrorBind02Une fois les Netscalers rebootés les Virtual servers (avec les nouveaux certificats) passaient en Down

 

NS_SSL_ErrorBind03Sans certificat c’est sur ça ne va pas marcher

 

Après plusieurs tests infructueux, le passage en 11.0.64.4 a résolu le problème, en revanche on n’a rien vu dans les Releases Notes des firmware 63.16 et 64.34 sur ce sujet.

Une fois les Netscalers upgradés en 64.34 on retrouve bien nos certificats après reboot (au préalable nous avons ajouté les certificats puis bindé ces derniers)


NS_SSL_ErrorBind01Côté Virtual Server c’est bien Up

 

NS_SSL_ErrorBind04Le certificat reste bien bindé

 

Côté google on avait juste trouvé the thread https://discussions.citrix.com/topic/367451-server-certificate-lost-after-reboot-ns-110/#entry1885415

 

 

Post to Twitter

StoreFront : exporter les passerelles NetScaler

Un billet post-it en direct de nos vacances 🙂

Si vous souhaitez backuper vos passerelles NetScaler (et pas la même occasion vos STA) sous StoreFront sans passer par une ligne de commande (pas bien 😉 ), alors copiez le ficher web.config situé dans le répertoire “C:\inetpub\wwwroot\Citrix\Roaming vers les serveurs StoreFront où vous souhaitez importer les passerelles Netscaler.

Dans le cas présent il nous fallait dupliquer les passerelles NetScaler sur six StoreFront qui ne sont pas en cluster.

copier2Ca faisait longtemps qu’on avait pas usé du copier/coller

 

 

Post to Twitter