Afegir un certificat a l’Access Gateway de Citrix

Per tal de afegir els certificats al CAG (Citrix Access Gateway) des d’una entitat certificadora CA privada de Microsoft cal convertir primer els certificats al format PEM que pot interpretar el CAG.

Primer de tot cal exportar el certificat del IIS al format .PFX (el certificat ha de posar el nom FQDN vàlid des de l’exterior).

També cal disposar de la cadena de certificats de la CA. Per obtenir-la anem a http://<servidor>/CERTSRV i baixem la “cadena de certificados” que estarà en format DER.

 Aleshores baixem el software OPENSSL (es llicència GNU) i fem les següents comandes:

• De .PFX a .PEM:

openssl pkcs12 -in <certfile.pfx> -nodes -passin pass:<password> -out <outfile.pem>

• DE DER (o .cer) a PEM:

openssl x509 -in <certfile.cer> -inform DER -out <outfile.pem> -outform PEM

Fent això ja funciona el CAG.

Ara només cal publicar el certificat .CER de la CA Root perquè s’instal·li en els PCs clients.

No hi ha res a Network Connections

A vegades veiem que no apareix res a Network Connections.

 Aquest error l’he trobat ja un parell de vegades al migrar un servidor de Windows 2000 a Windows 2003.

El problema ve perquè el servei encarregat de mostrar les connexions de xarxa (network connections o Conexiones de Red) es queda en Pending, enlloc d’arrencar.

 També podem revisar el servei COM+, que estarà també en Pending (o iniciando)

El problema és que existeix un permís d’usuari, el SeImpersonatePrivilege (que en anglés és Impersonate a client after authentication que no té els permisos correctes.

Per restablir aquest permisos ho podem fer amb el GPEDIT. MSC, i afegir els següents usuaris:

• Administrators
• Service

encara que probablement no ens deixarà tocar aquest privilegi, perquè ve heretat per la GPO del controlador de domini. Si es així, cal resetejar els permissos per defecte.

Podeu trobar una explicació d’aquest privilegi aquí

Reiniciar la cache dels offline Folders

Quan usem la característica dels Offline Folders es crea una carpeta en C:\WINDOWS o C:\WINNT anomenada \CSC.

 Aquí disposem d’uns arxius sense extensió i una base de dades per controlar aquests arxius (en Windows Vista han millorat el CSC i els arxius tenen el mateix nom que els originals).

 Aquesta base de dades a vegades queda corrupta (com no!), i cal reiniciar-la.

 La solució proposada per Microsoft és Reinitialize, i consisteix en el següent:

• Anem a la carpeta, al menú “Tools”, a la opció “Folder Options”
• Busquem la pestanya Offline Folders
• Apretant SHIFT+DELETE li donem a “Delete Files”
• Reiniciem el PC

Això fa que la cache es reinicïi, reconstruint-se novament quan reinicia el PC. Si teniem algun arxiu sense sincronitzar, es perdrà. Aquest canvi no es pot desfer.

Com sempre podeu veure l’article que parla d’això aquí:

Managing Files, Folders, and Search Methods

Recuperar certificats

Alguna vegada volem recuperar un certificat d’una instal·lació de windows que no arrenca, o bé d’algún disc que hem recuperar després d’un desastre.

Microsoft Windows XP (i 2000) guarda els certificats a:

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates

Entrant aquí podem veure una estructura de carpetes similar a la que apareix amb el complement d’administració de certificats certmgr.msc

 Només cal fer un export d’aquestes carpetes, i guarda-les en la nova màquina.

PSTs sobre enllaços de xarxa (PST over network links)

Un escenari típic en les empreses és disposar d’un client Outlook per l’accés al correu. Aquest sistema de correu que acostuma a ser POP3 o bé d’un servidor Exchange, guarda les seves dades en un arxiu .PST.

 El que trobem habitualment és que aquest arxiu PST està ubicat en una unitat de xarxa, per poder facilitar la mobilitat d’aquest usuari, o bé evitar que es perdin les dades en cas de problemes amb el disc dur del PC client.

 Doncs sorpresa: Aquesta és una configuració NO suportada per Microsoft. Les alternatives de Microsoft són dues: utilitzar el servidor Exchange i els arxius OST, o bé fer servir Terminal Server o Citrix.

 Perquè? Doncs us intentaré donar alguns exemples:

EXEMPLE 1:

Empresa amb 100 usuaris que disposen cadascun d’ells d’un o dos arxius PST d’1 Gb (no és estrany trobar-se bústies de 1Gb avui en dia)

Cada matí, a les 8 del matí,  100 usuaris accedeixen a uns 100-150 arxius d’1Gb a la vegada. Això és molt de trànsit puntual al servidor. Això fa que els usuaris notin un redard a l’obrir el Outlook, hi hagin queixes, etc.

El servidor a primera hora es queda sense donar practicament servei, apareixen errors event id 2021 i event id 2022, etc. Els administradors no saben què passa, però veuen com els recursos baixen, i la resta de serveis de xarxa que proporciona aquest servidor es veuen clarament afectats.

A més, aquest no és un problema fixat, ja que la mida dels arxius PST cada vegada s’incrementa més i més, ja que els usuaris MAI borren el seu correu, tal i com se’ls demana.

EXEMPLE 2:

Empresa de 500 usuaris que cada cert temps s’envia notes informatives a tots els usuaris via correu. Automàticament els 500 arxius PST són modificats a l’hora. El servidor no pot absorvir tanta demanda de I/O. Els usuaris veuen com el seu Outlook deixa de funcionar. Els administradors no saben què passa, però el servidor deixa de respondre amb un I/O molt alt. Fallen els recursos disponibles. Baixen a zero els Available Work Items, apareixen errors event id 2019, 2020, 2021, etc.

 Durant uns minuts, el servidor no dóna servei a ningú. Tots els usuaris es veuen afectats.

Solució:

 La solució passar per posar un servidor Microsoft Exchange Server. També pot solucionar-se amb accés a través de Terminal Server al Outlook, o solucions de WebMail.

 La recomanada per mi: Posar un servidor Exchange i utilitzar els arxius .OST del outlook (el mode cache)

 Aquí teniu un link que mostra la versió oficial de Microsoft al problema:

Personal folder files are unsupported over a LAN or over a WAN link