How to use Citrix DaaS REST APIs

Ich nutzte sehr viel das Citrix PowerShell SDK um meine Citrix Umgebungen zu automatisieren und Informationen auszulesen.

Was mich dabei immer störte was, dass ich die PowerShell SDK immer auf dem neusten Stand halten musste und ich die Skripte nicht überall nutzen konnte.

Da ich habe ich angefangen mich mit den Citrix DaaS REST APIs auseinanderzusetzen.
About Citrix DaaS REST APIs | Citrix DaaS REST APIs

Die Dokumentation ist sehr gut und es gibt inzwischen auch PowerShell Beispiele. Get started with Citrix Cloud APIs | Citrix Cloud API overview

Die Voraussetzung um die REST APIs zu nutzen ist ein Citrix Cloud Account und ein „API Access Client“.
Wie man diesen generiert ist in der „Citrix Developer Documentation“ beschrieben:

Weiterhin benötigt man die Customer ID aus dem Citrix Cloud Portal.
Einfach anmelden an und rechts oben findet man die „CCID“.

Bzw. unter den „Account Settings“.

Ich habe eine PowerShell Funktion, geschrieben mit der man sich einen „BearerToken“ holen kann.

function getBearerToken {
    param (
        [string] $baseURL,
        [string] $clientID,
        [string] $clientSecret

    $tokenUrl = "https://$baseURL/cctrustoauth2/root/tokens/clients"

    $response = Invoke-WebRequest $tokenUrl -Method POST -Body @{
        grant_type = "client_credentials"
        client_id = $clientID
        client_secret = $clientSecret

    # $tokenResponse = Invoke-RestMethod -Uri $tokenUrl -Method Post -Body $tokenBody
    # $accessToken = $tokenResponse.access_token

    $bearerToken = (ConvertFrom-Json $response.Content).access_token
    return $bearerToken

Für die weiteren Schritte benötigt man auch seine SiteID. Diese kann man über die folgende Funktion ermitteln.

function GetMe {
    param (
        [string] $baseURL,
        [string] $bearerToken,
        [string] $customerId

    $requestUri = "https://$baseURL/cvad/manage/me"

    $headers = @{
        "Accept" = "application/json";
        "Authorization" = "CWSAuth Bearer=$bearerToken";
        "Citrix-CustomerId" = $customerid;

    $response = Invoke-RestMethod -Uri $requestUri -Method GET -Headers $headers 

    return $response

Hier ein Beispiel wir man diese Funktionen nutzt und welche Informationen man noch angeben muss.

# Select your Citrix Cloud Region.
# In this excample EU region is assigned to the variable $baseURL

$baseAPACS = '' # If your Citrix Cloud account is set to the Asia Pacific South region.
$baseEU = '' # If your Citrix Cloud account is set to the European Union region.
$baseUS = '' # If your Citrix Cloud account is set to the United States region.
$baseJP = '' # If your Citrix Cloud account is set to the Japan region.

$baseURL = $baseEU

$customerId = "XXXXXXXXX"

$secureClientCSV = "PATH TO THE CSV"

$secureClient = Import-Csv $secureClientCSV 
$secretID = $secureClient.ID
$secret = $null

# Check if secureClient file contains german or english headers
    $secret = $secureClient.Secret
    $secret = $secureclient.Geheimnis
    Write-Error "Check your 'secureclient.csv file!"


$bearerToken = getBearerToken -baseURL $baseURL -clientID $secretID -clientSecret $secret

$response = GetMe $baseEU $bearerToken $customerId
$mysiteID = $response.Customers.Sites.Id

Mit dem BearerToken und der SiteID kann man z.B. sich dann z.B. alle Admins in der Citrix Cloud Umgebung, oder die DeliveryGroups ausgeben lassen bzw. auch MaschineCatalogs oder Applications anlegen.

Als Beispiel die Funktion, mit der man sich alle Citrix Cloud Admin Accounts abrufen kann:

function GetAdminAccounts {
    param (
        [string] $baseURL,
        [string] $bearerToken,
        [string] $customerid,
        [string] $siteId

    $requestUri = "https://$baseURL/cvad/manage/Admin/Administrators"

    $headers = @{
        "Accept" = "application/json";
        "Content-Type" = "application/json; charset=utf-8";
        "Authorization" = "CWSAuth Bearer=$bearerToken";
        "Citrix-CustomerId" = $customerid;
        "Citrix-InstanceId" = $siteId;

    $response = Invoke-RestMethod -Uri $requestUri -Method GET -Headers $headers 

    return $response

Mehr kommt in der nächsten Zeit.

Stay tuned 🙂

How to Enable SSL on Cloud Connectors to Secure XML Traffic v0.2

A little update to my set-CTXCloudConnectorToSecureXMLTraffic.ps1 script.

Now it lists all available certificates on the machine and you have to select the one you want to use.


    v0.2 - Check for Certificates
    v0.1 - Initial Version
    netsh http add sslcert ipport=

    Browse to HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer\
    Right-click DesktopServer, select New > DWORD (32-bit) Value
    Name: XmlServicesEnableNonSsl
    Value Data: 0


# Find Citrix Broker Service GUID on the Cloud Connector
New-PSDrive -Name HKCR -PSProvider Registry -Root HKEY_CLASSES_ROOT | Out-Null
$keys = Get-Item "HKCR:\Installer\Products\*"
Remove-PSDrive -Name "HKCR"

foreach($key in $keys){
    if((get-itemproperty $key[0].PsPath).Productname -eq 'Citrix Broker Service'){
        $CtxBrokerServiceValues = Get-ItemProperty $key.PSPath

# Format the String of the Service GUID
# It is important to mention that the entry in the registry is presented without the dashes for the GUID. 
# Please make that the dashes are added in the following format: 8-4-4-4-12
$appID = '{' + ($CtxBrokerServiceValues.PSChildName) + '}'
$appID = $appID.Insert(9,'-')
$appID = $appID.Insert(14,'-')
$appID = $appID.Insert(19,'-')
$appID = $appID.Insert(24,'-')

# Check for Certificates
$certs = (Get-ChildItem Cert:\LocalMachine\My\)
$selectedCert = $null

$certNames = $certs | ForEach-Object { $_.Subject }
write-host "******* Installed Cert Subjects **********" -ForegroundColor Green
$i = 0
foreach($certname in $certnames){
    write-host "$i - $certname"
write-host ""

[int]$selectedCertName = Read-Host "Enter the number of the certificate you want to select"

if ($selectedCertName -le $i -AND $selectedCertName -gt 0) {
    #$selectedCert = $certs | Where-Object { $_.Subject -eq $selectedCertName }
    $selectedCert = $certs[$selectedCertName-1]
else {
    Write-Host "Certificate not found." -ForegroundColor Yellow
    $selectedCert = $null
    break # exit if no certificate is selected

# Get CC Computer Certificate Thumbprint
#$certhash = (Get-ChildItem Cert:\LocalMachine\My\).Thumbprint
$certhash = $selectedCert.Thumbprint

# Note: The “Citrix Broker Service GUID” being used to create the SSL binding may change with the Connector upgrades, however, no change is required to the SSL binding. 
# The binding would persist through these changes and SSL would continue to be enabled for the XML traffic.
netsh http add sslcert ipport= certhash=$certhash appid=$appID

# Allow only secure traffic
$registryPath = "HKLM:\Software\Citrix\DesktopServer"
$Name = "XmlServicesEnableNonSsl"
$value = "0"
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

Citrix Vertical Load-balancing


Vertikales Loadbalancing aktivieren

  1. Virtual Apps and Desktops Remote PowerShell SDK installieren:
  1. Citrix PS-SDK Mogule laden und Citrix Cloud Login durchführen:
    • asnp citrix*
    • Get-XDAuthentication
  1. Aktuelle Site-Konfiguration prüfen („UseVerticalScalingForRdsLaunches“):
    • Get-Brokersite
  1. Vertikalen Lastausgleich aktivieren
    • Set-Brokersite -UseVerticalScalingForRdsLaunches $true

Get-Brokersite sollte dann so aussehen:

Damit nach dem Aktivieren auch was passiert muss man noch passende Policies bauen.

Ohne angepasste „Load Policies“ meldet ein „Citrix Server“ erst bei 250 gleichzeitigen Benutzern „Volllast / 10.000“.
Lastindex per PowerShell anzeigen:
Get-BrokerMachine | Select DNSName, LoadIndex

Natürlich haben CPU, RAM etc. auch Einfluss auf den Server Load, welcher ebenfalls per Citrix Richtlinien gesteuert werden kann.


How to enable vertical load balancing

  1. Download and install the ‚Virtual Apps and Desktops Remote PowerShell SDK‘:
  1. Load the Citrix Remote SDK Module and login to yout Citrix Cloud account:
    • asnp citrix*
    • Get-XDAuthentication
  1. Examine the current configuration („UseVerticalScalingForRdsLaunches“):
    • Get-Brokersite
  1. Enable vertical load balancing
    • Set-Brokersite -UseVerticalScalingForRdsLaunches $true
    • Check with Get-Brokersite that ‚UseVerticalScalingForRdsLaunches‘ is set to ‚true‘:

Now all new user connections get brokered to the same server VDA until this server reaches ‚maximum load‘.

By default the Citrix Policy is set to a maximum number of sessions of 250 per server. So be careful and change that to a proper value before activating vertical load balancing.

Get the load index via PowerShell:
Get-BrokerMachine | Select DNSName, LoadIndex



Wie tauscht man bei einem statischen MCS Machinen-Katalog den zugewiesenen Snapshot aus um die VM neu zu deployen?

# Citrix Cloud Logon
Get-XDAuthentication -CustomerId $customerID
# Change Image-Snapshot
Publish-ProvMasterVMImage -ProvisioningSchemeName $machineCatalogName -MasterImageVM $newImagePath -RunAsynchronously

Aktuell bin ich noch am entwickeln einer GUI.

Also stay tuned 🙂