Citrix VDA : un bug peut en cacher un autre
En bref — Coup sur coup, deux problèmes ont secoué les déploiements Citrix VDA. D’abord le shadowing de session cassé par un correctif de sécurité Windows (CVE-2026-20824). Ensuite, la 2507 LTSR CU1 — une mise à jour censée apporter de la stabilité — qui introduit une régression du copier-coller (clipboard redirection), documentée dans la KB CTX696659. Deux incidents, une même leçon : dans un environnement EUC, un patch peut en cacher un autre. Voici le détail, les contournements officiels, ma méthode de remédiation, et comment éviter de se faire percuter.
Citrix VDA — la saga du versioning : « un bug peut en cacher un autre ».
📋 Sommaire
1. Le versioning EUC, un équilibre fragile
Si, comme moi, vous avez passé une partie des dernières semaines à traquer des problèmes de copier-coller sur vos sessions Citrix — à éplucher les policies clipboard, les versions de Workspace App, les GPO, les profils — il y a de fortes chances que vous soyez tout simplement passé à côté de l’information : c’est un bug connu, documenté dans une KB Citrix. J’ai moi-même perdu du temps avant de tomber dessus. Cet article est là pour vous l’épargner — et pour en tirer une leçon plus large sur la gestion des versions.
Un poste de travail virtualisé, ce n’est jamais un seul produit : c’est un empilement de couches qui doivent rester compatibles entre elles — le système Windows (poste et serveur), le VDA Citrix, la Citrix Workspace App côté client, le NetScaler en façade, sans oublier les GPO et les agents tiers. Chacune de ces couches a son propre rythme de mise à jour. Et il suffit qu’un étage bouge pour qu’un autre se mette à grincer.
Ces dernières semaines en ont donné deux illustrations parfaites, coup sur coup, autour du VDA. La première est venue de l’extérieur (Microsoft), la seconde de l’intérieur (Citrix, via une mise à jour cumulative). Prises séparément, ce sont deux tickets. Mises bout à bout, elles racontent quelque chose de plus utile sur la gestion des versions.
2. Acte 1 — le shadowing cassé par un patch Windows
Le shadowing de session (prise de main via Citrix Director / Remote Assistance) est un outil de support du quotidien. Or, depuis un correctif de sécurité Microsoft, il tombe en panne : Citrix Director génère bien le fichier d’invitation .msrcincident, le fichier se télécharge sans souci, mais son lancement échoue avec le message « The file could be corrupted and should be verified before trying again. »
Côté journaux (source RemoteAssistance), on voit Remote Assistance démarrer avec le paramètre -openfile, présenter l’erreur, puis se terminer aussitôt.
Le blocage vient du patch Microsoft corrigeant la CVE-2026-20824 (Windows Remote Assistance Security Feature Bypass). KB concernées : KB5074109 (Windows 11), KB5073379 (Server 2025), KB5073457 (Server 2022), KB5073723 (Server 2019), KB5073722 (Server 2016). Et ce n’est pas une première : un scénario quasi identique était déjà survenu lors du Patch Tuesday de janvier 2025. Le shadowing à base de Remote Assistance est devenu un point fragile, dépendant du bon vouloir des correctifs Windows.
Citrix propose deux contournements (KB CTX696378) :
🛠️ Deux contournements, deux philosophies
- Basée sur HDX, plus performante (native, faible latence)
- Ne dépend plus de Remote Assistance
- Version VDA 2411 minimum
- Activer la policy Citrix (off par défaut)
- Firewall : ouvrir TCP 52525-52625
- Déployer le viewer (TWPlayer)
- Information / consentement à l’usage
- On reste sur Remote Assistance
- Mode « Offer Remote Assistance »
- Active via GPO + règle firewall
- Utile si VDA < 2411
Le contournement msra /offerra se met en place en trois temps : activer la GPO, ouvrir le firewall, puis lancer la session depuis le poste « helper ».
# 1) GPO (gpmc.msc) :
# Computer Configuration > Administrative Templates > System > Remote Assistance
# Activer "Configure Offer Remote Assistance"
# -> Show -> ajouter l'utilisateur ou le groupe autorise (DOMAINE\groupe)
# 2) Firewall : autoriser "Remote Assistance" + regle entrante TCP 135
# 3) Depuis le poste helper (Win + R) :
msra.exe /offerra <nom_du_VDA>L’utilisateur cible reçoit alors une demande d’autorisation ; une fois acceptée, le support peut voir ou prendre la main selon les permissions configurées. À noter : la machine cible doit être joignable, et le compte « helper » explicitement autorisé par GPO.
3. Acte 2 — la 2507 LTSR CU1 casse le copier-coller
On monte donc les VDA, on planifie une mise à jour cumulative pour assainir le parc… et c’est là que le deuxième train arrive. Après passage en 2507 LTSR CU1, la redirection du presse-papiers (clipboard redirection) se met à dérailler — c’est l’objet de la KB CTX696659.
Les symptômes remontés :
- copier-coller du poste local vers la session Citrix qui échoue ;
- presse-papiers qui s’arrête de fonctionner par intermittence en cours de session ;
- dans certains cas, échec dans les deux sens (client ↔ session) ;
- une reconnexion ou un reset de session restaure temporairement la fonction ;
- problème observé surtout en environnement multi-session.
Une CU (Cumulative Update) est censée apporter de la stabilité, pas une régression fonctionnelle. C’est tout l’intérêt — et tout le piège — de la promesse « LTSR = serein » : ça ne dispense jamais de tester.
Le correctif officiel… que je ne recommande pas
Citrix propose un public private fix (ODU-245, à demander au support) par-dessus la 2507 LTSR CU1. Mais à ce stade c’est une DLL non signée : pour la charger, il faut basculer la VM en Test Mode (bcdedit /set testsigning on) — d’où un filigrane « Mode test » visible par tous les utilisateurs connectés et une incompatibilité avec Secure Boot. Sur des serveurs de publication d’applications ou de bureaux partagés, c’est rédhibitoire : on troque un bug contre une vague de tickets utilisateurs. Je ne le recommande pas. Deux vraies sorties : attendre la 2507 LTSR CU2 (correctif intégré, sortie attendue mi-juillet / début août), ou redéployer proprement les VDA (voir ci-dessous).
Redéploiement propre d’un Citrix VDA : mon approche terrain (PowerShell)
Côté client, plutôt que d’empiler des correctifs sur des VDA déjà installés, j’ai privilégié un redéploiement propre, distribué via PowerShell : nettoyage de l’ancien VDA (VDA Cleanup Utility), redémarrage, puis réinstallation silencieuse avec gestion des prérequis — en 2402 ou en 2507 selon le socle cible. C’est la même philosophie que je défends sur NetScaler : repartir d’une base saine plutôt que de subir l’héritage.
# 1) Nettoyage propre de l'ancien VDA, puis reboot
# VDACleanupUtility.exe /silent /noreboot (puis redemarrage)
# 2) Reinstallation silencieuse, distribuee via PowerShell, prerequis geres
.\VDAServerSetup.exe /quiet /components vda /masterimage /enable_hdx_ports /noresume /norebootPoint de vigilance : adapter le script aux options de déploiement, car la ligne de commande évolue selon la version. Depuis la 2507, certains composants sont intégrés par défaut et ne peuvent qu’être exclus via /exclude (on ne les ajoute plus à la carte) :
Composants intégrés par défaut sur 2507 — excludables uniquement
Valeur /exclude (2507) | Rôle |
|---|---|
| Citrix Device Trust | Posture / confiance machine |
| Citrix uberAgent | Monitoring d’expérience (eG / uberAgent) |
| Citrix Universal Print Client | Impression universelle côté VDA |
| Citrix Workspace Environment Management | Agent WEM |
Si vous réutilisez un script 2507 sur un socle 2402 (ou l’inverse), l’installation échoue sur ces /exclude. Conditionnez la liste des composants exclus en fonction de la version cible — un détail qui fait perdre une soirée si on l’oublie.
4. Le presse-papiers Citrix, zone sensible en ce moment
Avant d’incriminer le seul VDA, gardez en tête que le presse-papiers Citrix est globalement chahuté côté client aussi. La KB CTX694945 décrit par exemple un cas où la Citrix Workspace App 2503 et ultérieures vide le presse-papiers de l’endpoint lorsque des Restricted Clipboard Formats sont en jeu.
Conséquence pratique : face à un incident « copier-coller qui ne marche plus », ne regardez pas que la version du VDA. Croisez aussi la version de la CWA et les policies clipboard (formats autorisés, redirection client/serveur). Le même symptôme peut avoir des causes à des étages différents — encore une histoire de version qui en cache une autre.
5. La vraie leçon : maîtriser la matrice de compatibilité
Le fil rouge n’est pas « Citrix c’est fragile » ou « Microsoft casse tout ». C’est que la valeur d’un poste virtualisé naît de la combinaison de versions, et que cette combinaison doit être pilotée. Le fait qu’une LTSR — réputée stable — embarque une régression de copier-coller dans une simple CU le prouve : la confiance dans une étiquette ne remplace pas la validation.
C’est exactement la logique que je défends côté NetScaler dans « passer de la 13.1 à la 14.1 » : partir d’une base propre et validée plutôt que de subir l’héritage et le hasard des mises à jour.
✅ Avant de déployer une CU ou un patch sur le parc
Côté Microsoft, surveillez aussi les Patch Tuesday sur les fonctions à risque (Remote Assistance, RDP, sécurité réseau) : un correctif de CVE peut, par effet de bord, neutraliser une fonctionnalité Citrix qui s’appuie dessus. C’est précisément ce qui s’est passé avec le shadowing.
6. Comment je peux aider
J’accompagne les PME et ETI sur exactement ce type de sujet : cadrage des versions, matrice de compatibilité, stratégie de mise à jour des VDA et de la CWA, scripts de déploiement/redéploiement PowerShell, validation des fonctions critiques, et remédiation quand un patch a déjà cassé quelque chose en production. L’objectif : que vos montées de version soient un non-événement, pas une loterie.
Références
📚 Références
- CTX696659 — Clipboard Redirection Fails After Upgrading to CVAD 2507 LTSR CU1
- CTX696378 — Citrix Director : Unable to Shadow Session after Microsoft Security Updates
- CTX694945 — CWA for Windows 2503 : Restricted Clipboard Formats clearing the endpoint clipboard
- Citrix docs — Fixed issues, CVAD 2507 LTSR CU1
- Microsoft MSRC — CVE-2026-20824 (Windows Remote Assistance Security Feature Bypass)