{:de}
Wer nach der Einrichtung des Citrix FAS Servers nur bei manchen Usern die Meldung bekommt, dass diese keine published Applications oder Desktops starten können sollte sich das Eventlog auf dem FAS Server mal anschauen.
Taucht dort der Fehler Event ID 102 auf mit: „[S102] Server [DOMAIN\STOREFRONTSERVER$] failed to assert UPN [Uusername@domain.dummy] (Exception: The user name or password is incorrect. at…“ auf, der sollte sich mal die AD Userobjekte des betreffenden Users anschauen.
In der Active Directory Users and Computers Konsole den entsprechenden User suchen, dann unter dem Reiter Security kontrollieren, ob die „Windows Authorization Access Group“ berechtigt ist und das Recht „Read tokenGroupsAndUniversal“ gesetzt ist.
Citrix beschreibt dieses Verhalten im Artikel CTX220497 (Users from one AD Domain not able to get FAS user certificates from another trusted domain. (citrix.com)). In meinem Fall hat es nichts mit den Trusts zu tun, sondern die Windows Authorization Access Gruppe war einfach nicht bei ein paar alten User-Accounts berechtigt.
{:}{:en}
If you only get the message for some users after setting up the Citrix FAS server, you should take a look at the Windows event log on the FAS server.
If the error Event ID 102 appears with: „[S102] Server [DOMAIN\STOREFRONTSERVER$] failed to assert UPN [Uusername@domain.dummy] (Exception: The user name or password is incorrect. at…“, you should take a look at the AD user objects of the user concerned.
Search for the corresponding user in the Active Directory Users and Computers console, then check under the Security tab whether the „Windows Authorization Access Group“ is authorized and the right „Read tokenGroupsAndUniversal“ is set.
Citrix describes this behavior in article CTX220497 (Users from one AD Domain not able to get FAS user certificates from another trusted domain. (citrix.com)). In my case, it has nothing to do with the domain trusts, but the Windows Authorization Access group was simply not authorized with a few old user accounts.
{:}