摘要

本文的目的是协助SmartAuditor记录的故障排除工作。在很多案例中,检查Event Viewer中关于运行SmartAuditor Agent的Citrix Presentation Server以及SmartAuditor服务器 的应用日志能为问题诊断提供有价值的信息。

确保您的Citrix Presentation Server启用了记录功能

默认情况下,在您的Presentation Server上安装SmartAuditor Agent即启用了记录功能。记录功能并不生效直到配置活动的记录策略。为确认Presentation Server上的记录功能被启用:

  • 在您的Presentation Server上,打开Start > All Programs > Citrix > SmartAuditor > SmartAuditor Agent Properties
  • 在Recording选项卡上,确认 Enable session recording for this Presentation Server被启用。对于farm中所有记录ICA会话的Presentation Server,此设置必须启动。

确认SmartAuditor Services正在运行

通过检查Services MMC snap-in中服务是否启动,来确认Presentation Server 上的Citrix SmartAuditor Agent服务正在运行。相似地,Citrix SmartAuditor Storage Manager服务应该运行在 SmartAuditor服务器上:

  • 打开Start > Control Panel > Administrative Tools > Services
  • 浏览服务列表,找到Citrix SmartAuditor Agent or Citrix SmartAuditor Storage Manager
  • 每项服务的状态栏应该显示’started’

检查活动记录策略

请确保您在SmartAuditor策略控制台,启用了一个作用于用户,服务器或发布的应用的记录策略。要进行确认:

  • 启动SmartAuditor策略控制台。
  • 在 Recording Policies下方的左侧面板,选择激活策略(由绿色check小图标标识。.
  • 在右侧面板,您能看到一个规则列表。
  • 分析被创建的规则,并确认为存在问题的用户、服务器或发布的应用开启了记录功能。确保一个do not record规则不与一个record with or without notification规则冲突。do not record规则相对record with or without notification具有更高的优先级。

组件连接问题

如果不同的SmartAuditor组件间无法通信,可能会导致记录失败。这里第一步是要确认所有组件正确配置,指向正确的机器。

SmartAuditor代理

  • 打开Start -> All Programs -> Citrix -> SmartAuditor -> SmartAuditor Agent Properties
  • 点击Connections选项卡。
  • 确认SmartAuditor Server服务器名称正确,并能够与您运行SmartAuditor Agent的Presentation Server通信(通过运行一个简单的ping命令)。

SmartAuditor服务器

警告! 这种方法需要编辑注册表。不正确地使用注册表编辑器可能会导致严重的问题,需要重新安装操作系统才能修复。Citrix无法保证不正确地使用注册表编辑器所产生的问题能够被解决。您将承担使用注册表编辑器带来的一切风险。在编辑前,请备份您的注册表。
  • 打开注册表编辑器。
  • 进入HKEY_LOCAL_MACHINE/Software/Citrix/SmartAuditor/Server
  • 确认 SmartAuditor计算机账户能够访问数据库。例如,如果您的SmartAuditor服务器在域MIS中被命名为SmartAudSrv,那么您数据库的计算机账户应该被配置为MISSmartAudSrv$。这可以在SmartAuditor 数据库的安装过程中配置。

SmartAuditor数据库

  • 使用SQL管理工具,打开安装SmartAuditor数据库的SQL实例。
  • 打开SmartAuditor数据库的安全权限。
  • 确认 SmartAuditor计算机账户能够访问数据库。例如,如果您的SmartAuditor服务器在域MIS中被命名为SmartAudSrv,那么您数据库的计算机账户应该被配置为MISSmartAudSrv$。这可以在SmartAuditor 数据库的安装过程中配置。

测试IIS连通性

在组件中排查连通性错误的另一个有用方法是尝试使用web浏览器访问 SmartAuditor服务器的IIS站点。如果无法连接站点,这将有助于将问题缩小问题范围,假如连通性问题与协议错误配置,证书问题或IIS SmartAuditor Broker未正确运行相关的话。

  • 从运行SmartAuditor 代理的Presentation Server上打开web浏览器,如Internet Explorer。
  • 浏览https://<;SmartAuditorServerName>/SmartAuditorBroker/RecordPolicy.rem?wsdl (假设您正使用SSL/HTTPS)
  • 也许提示您NTLM身份认证。以域管理员账户登录。
  • 登录以后,您应该能在浏览器上看到一个xml文件。这证明通过配置的协议连接成功。
  • 相似地,您可以使用以下的URLs测试其他组件与SmartAuditor服务器的连通性:
  • https://<;SmartAuditorServerName>/SmartAuditorBroker/Player.rem?wsdl (从SmartAuditor Player 计算机上运行)
  • https://<;SmartAuditorServerName>/SmartAuditorBroker/PolicyAdministration.rem?wsdl (从 smartAuditor 策略控制台所在的计算机上运行)

MSMQ问题

如果您SmartAuditor代理或者服务器上的MSMQ未配置正确,可能会遇到记录问题。检查以下内容以确认您服务器上配置了 MSMQ:

  • 打开 Control Panel > Add/Remove Programs > Add/Remove Windows Components > Message Queuing。
  • 点击 Details。
  • 确认Active Directory Integration被禁用 (取消选中)
  • 确认Common 或Core MSMQ支持被启用(选中),并且如果打算使用HTTP / HTTPS,确认MSMQ HTTP Support被启用。
  • 进一步排查MSMQ故障,请参见Citrix SmartAuditor for Presentation Server 4.5的Troubleshooting SmartAuditor章节 Citrix SmartAuditor for Presentation Server 4.5

证书问题

另一个常见的SmartAuditor服务器连接问题是证书不合法。如果使用HTTPS (所有SmartAuditor组件默认配置使用HTTPS),SmartAuditor服务器必须配置一个服务器证书,并且所有连接服务器的SmartAuditor组件必须具有一个信任服务器证书的CA根证书。

不合法或CA证书缺失

如果运行SmartAuditor代理的Presentation Server未配置 一个信任服务器根证书的CA根证书,它将无法通过HTTPS信任并连接SmartAuditor服务器,导致连接失败。为了成功连接SmartAuditor服务器,请确认所有组件信任SmartAuditor服务器上的服务器证书。

使用FQDN创建服务器证书

如果分发给SmartAuditor服务器的服务器证书使用FQDN创建,那么所有组件应该使用FQDN连接SmartAuditor服务器。相似地,如果使用NetBIOS名,那么所有组件应该使用NetBIOS名连接SmartAuditor服务器。

证书过期

如果服务器证书过期,使用HTTPS连接SmartAuditor服务器将会失败。确认分发给SmartAuditor服务器的服务器证书是合法的且未过期。如果使用相同的证书对会话记录进行数字签名,SmartAuditor服务器的事件日志会提供证书过期的出错消息或者即将过期的告警消息。

排查证书问题一个有用方法是测试并确认SmartAuditor IIS代理的web页面能够被正确地解析。如果能通过HTTPS解析,您的证书的配置应该是正确的。总的来说,在相应组件上测试以下内容:
https://<;SmartAuditorServerName>/SmartAuditorBroker/RecordPolicy.rem?wsdl (从SmartAuditor代理所在的计算机上运行)
https://<;SmartAuditorServerName>/SmartAuditorBroker/Player.rem? (从SmartAuditor Player所在的计算机上运行)
https://<;SmartAuditorServerName>/SmartAuditorBroker/PolicyAdministration.rem?wsdl (从SmartAuditor策略控制台所在的算机上运行)

非活动目录域环境

SmartAuditor设计运行在Microsoft活动目录域环境下,如果您没有不在活动目录域环境在运行,可能会遇到记录问题。请确保所有SmartAuditor服务器是域成员。

Presentation Server会话共享应该被禁止

当Presentation Server初始化一个会话时,会执行一个策略决策。在会话共享的情况下,一旦一个单一会话被初始化,随后启动的任何被发布的应用将使用相同会话,且不执行任何策略决策。例如,您发布了两个应用Microsoft Outlook和Internet Explorer,并创建了一个记录策略:仅记录Internet Explorer的会话信息。在客户端,用户首先启动Microsoft Outlook,因此初始化了一个会话,策略决策返回不记录。当会话正在运行时,他们随后启动了Internet Explorer,它也使用最初的会话,这意味着不会执行另一个策略决策,被发布的Internet Explorer应用将不会被记录。为避免出现这种情况,建议您禁用会话共享。禁用会话共享,请参见 Seamless Configuration Settings.



最后修改:2023 年 04 月 28 日
如果觉得我的文章对你有用,请随意赞赏