Seiteninhalt

Was tun, wenn die Verbindung nicht aufgebaut wird?

Fehlermeldungen »SSL-Fehler 4: Es wurde versucht, eine Verbindung mit dem/den Protokoll(en)(TLS V1.2) herzustellen.«
oder »SSL-Fehler 63« oder »SSL-Fehler 81«

Sie benutzen eine veraltete Client-Software. Wir verwenden für die Absicherung der Verbindung ein SHA-256-Zertifikat, das der alte Client noch nicht verwenden kann. Wenn Sie unser Angebot nutzen möchten, benötigen Sie dazu zwingend einen aktuellen Citrix Receiver in einer der oben beschriebenen Versionen.

Fehlermeldung »SSL-Fehler 61: Sie stufen den Aussteller des Sicherheitszertifikates des Servers [...] nicht als vertrauenswürdig ein.«

ACHTUNG: Auch diese Fehlermeldung kann darauf hinweisen, dass noch kein aktueller Citrix Receiver auf dem Rechner installiert ist (siehe Fehlermeldungen »SSL-Fehler 63« oder »SSL-Fehler 81«)! Sie weist dann darauf hin, dass zwar die benötigten SHA-256-Rootzertifikate installiert sind, aber der alte Client nur SHA1-Zertifikate sucht. Und nicht findet.

Wenn der Receiver jedoch aktuell ist, bitte hier weiterlesen:

Einige Zertifikate des krz sind von einem Anbieter herausgegeben, dessen Stammzertifikat zu neu ist, um von einem Windows ohne Aktualisierungen erkannt zu werden. Diese Meldung erscheint unter allen Windows-Versionen, wenn das Stammzertifikat unserer Certification Authority (CA) »COMODO« noch nicht bekannt ist. Früher hat Microsoft die Stammzertifikate über Windows Update aktualisiert, was aber aufgrund der Masse und damit einhergehender Probleme irgendwann eingestellt wurde. Die Updates sind inzwischen nicht mehr für aktuelle Betriebssysteme zu bekommen.

Stattdessen müssen Sie das Stammzertifikat »COMODO RSA Certification Authority« (gültig bis 19.01.2038) der CA herunterladen und in die Trusted Root CAs (vertrauenswürdigen Stammzertifizierungsstellen) des Zertifikatsspeichers von Windows importieren. Das lässt sich auch per Gruppenrichtlinie erledigen, so dass man dafür nicht an jeden Arbeitsplatz gehen muss. Die Downloadadresse des Zertifikats der COMODO-CA lautet:

https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/108/root-comodo-rsa-certification-authority-sha-2
Der SHA1 Fingerprint des Zertifikats lautet: af e5 d2 44 a8 d1 19 42 30 ff 47 9f e2 f8 97 bb cd 7a 8c b4

Beachten Sie bitte, dass es sich hierbei um eine .pem-Datei handelt, während von Windows .crt-Dateien gesucht werden! Sie müssen das Zertifikat also vor dem Import nach Windows umbenennen. WICHTIG: Denken Sie bei Verwendung des Firefox-Browsers unbedingt daran, das Zertifikat zusätzlich in den Zertifikatsspeicher von Firefox zu importieren! Im Windows-Zertifikatsspeicher wird es in jedem Fall benötigt, da der Citrix Receiver es dort erwartet. Denken Sie bitte auch daran, dass die Certificate Revocation Lists (CRLs) von den Arbeitsplätzen erreichbar sein müssen.

Alle Zertifizierungsstellen müssen von Zeit zu Zeit ihre Stammzertifikate ersetzen, da Zertifikate mit Laufzeiten versehen sind und mit den Jahren ablaufen. Das krz setzt grundsätzlich möglichst langlebige Zertifikate ein, um diese Fehlerquelle so gering wie möglich zu halten.

Andere Fehlermeldungen mit »SSL-Fehler« im Text

Die meisten Probleme, die auftreten können, lassen sich auf die Proxy-Einstellungen am Arbeitsplatzrechner zurückführen. Dort sollte ein fester Proxy eingetragen sein, die Auto-Konfiguration und die automatische Suche der Konfiguration sollten deaktiviert sein. Wenn die Autokonfiguration benutzt wird und SSL-Fehler auftreten, sind diese oftmals auf Fehler im PAC-Script des Proxy-Servers zurückzuführen; diese müssen dort korrigiert werden.

Fehlermeldungen im Zusammenhang mit »Virtuellen Treibern«

Bei Verweigerung des Verbindungsaufbaus (z.B. bei Fehler 1056: »Name des virtuellen Treibers in MODULE.INI nicht auffindbar«) prüfen Sie bitte in der Registry folgenden Pfad:

hklm\software\citrix\ica client\engine\configuration\advanced\modules\ica 3.0
oder
hklm\software\wow6432node\citrix\ica client\engine\configuration\advanced\modules\ica 3.0

Dort unter »ica 3.0« finden Sie den Wert »VirtualDriver«. In diesem Wert dürfen keine Einträge mit Inhalt »Blank« bzw. direkt aufeinanderfolgende Kommata oder gar doppelte Inhalte vorkommen.

Fehlermeldung »Die Remotesitzung wurde getrennt, da keine Lizenzserver für den Terminalserver vorhanden sind, die eine Lizenz bereitstellen können. Wenden Sie sich an den Systemadministrator.«

Alternativ: es wird versucht, eine Verbindung aufzubauen, diese wird aber ohne jeglichen Kommentar sofort wieder getrennt.

Entgegen des ersten Impulses beim Lesen dieser Meldung brauchen Sie uns nicht anrufen! Dieser Fehler ist von Microsoft in TechNet-Artikeln beschrieben, dort ist auch die Lösung dokumentiert. Kurz gesagt müssen in der Registry alle Keys unterhalb von hklm\software\microsoft\mslicensing\store gelöscht werden.

Fehlermeldung »Wfcrun32 Fehler: Ereignisprotokollierung konnte nicht eingestellt werden.«

Es sind noch Überreste einer alten ICA-Client-Installation übrig, die nicht entfernt wurden. Bitte prüfen Sie auf der lokalen Festplatte, auf jeden Fall aber im benutzten Benutzerprofil, im Profil »Default User« und unter »All Users«, ob Sie ein Verzeichnis »Anwendungsdaten\ICAClient« oder Dateien mit Namen »appsrv.ini« oder »module.ini« finden. In letzteren Dateien ist ein Eintrag »LogFile=« und/oder »LogFileWin32=«, der nicht auf den tatsächlichen Pfad zeigt, in dem der ICA-Client installiert ist. Löschen Sie das Verzeichnis »ICAClient«. Wenn das nicht hilft, gehen Sie bitte nach der unter Wie muss installiert werden? dargestellten Anleitung vor, den Citrix Receiver rückstandsfrei zu entfernen und neu zu installieren.

Fehlermeldung »WCitrix HDX Engine funktioniert nicht mehr«

Wenn Sie diese Meldung erhalten, ist die Installation und/oder Konfiguration Ihres Citrix Receiver bzw. der Workspace App defekt. Sie können als 1. Versuch die Benutzerkonfiguration zurücksetzen: Klicken Sie mit der rechten Maustaste im SysTray neben der Uhr auf das Icon des Citrix Receiver. Im aufklappenden Menü wählen Sie »Erweiterte Einstellungen« und dort klicken Sie auf den Link »Receiver zurücksetzen« und bestätigen die Rückfrage.

Wenn die Meldung danach wiederkommt, deinstallieren Sie den Receiver bitte nach unserer oben stehenden Anleitung (bitte unbedingt an die Neustarts zwischen allen Schritten denken!!). Anschließend bereinigen Sie in allen Benutzerprofilen die eventuell vorhandenen Überreste, siehe ebenfalls Deinstallationsanleitung oben, bitte wieder neustarten und installieren anschließend den Receiver neu.

Die Überreste älterer Clients sind immer wieder ein Problem und müssen sauber entfernt werden. Ab diesem Zeitpunkt können aktuelle Citrix Receiver oder Workspace Apps mit unseren oben angegebenen Befehlszeilen schmerzfrei darüberinstalliert werden, ohne dass solche Probleme wieder zu erwarten sind.

VORAUSSETZUNG:
Sie haben tatsächlich an alle Benutzerprofile gedacht, die jemals eine Clientsoftware von Citrix genutzt haben. Bei serverbasierten Profilen gehen Sie am Besten auf Nummer Sicher und löschen diese lokal und auf dem Server. Falls Sie das nicht möchten, muss zumindest sichergestellt sein, dass die oben beschriebenen Dateien und Registry-Einträge gelöscht wurden!