F-Secure Server Security auf provisionierten XenApp Servern einsetzen



Wer schon mal XenApp Server mit den Citrix Provisioning Services provisioniert hat, kennt das Problem, dass manche Software sich als cloning-untauglich erweist. Eine solche Software ist scheinbar auch F-Secure Server Security, die sich eine eindeutige ID in die Registry schreibt. Wird diese ID nicht auf der vDisk (golden Image) gelöscht, melden danach alle provisionierten XenApps die gleiche ID gegenüber dem Management Server von F-Secure.

Nach der Installation ist deshalb der “F-Secure Management Service” (fsma) auf die Startart “manuell” zu setzen. Keine Sorge, gestartet wird er noch, bloß später.

Die folgende Batch-Datei übernimmt die Aufgabe, jeder provisionierten Maschine eine eindeutige ID zu erstellen und auf der write-cache-disk (persistent disk) zu sichern. Diese Disk muss natürlich bei jeder Maschine vorhanden und NTFS-formatiert sein, setze ich hier voraus, da es ohnehin best practice für provisionierte XenApps ist – schließlich sollte man ja auch auf die gleiche Disk die Eventlogs etc. umleiten.

Diese Batch-Datei sollte man dann direkt auf der vDisk per (lokaler) Gruppenrichtlinie als Startup-Skript definieren, so dass sie bei jedem Systemstart automatisch ausgeführt wird.

image



Hier ist das Batch-File – sollten die Pfade d:\admindata oder die Registrywerte des 64-Bit-Systems nicht passen, weil die write-cache-disk einen anderen Laufwerksbuchstaben hat oder noch 32-Bit Server provisioniert werden, kann dies mit wenigen Handgriffen angepasst werden :-)

…und ja, der gleiche Trick funktioniert auch mit einigen anderen cloning-unwilligen Produkten anderer Hersteller – hier kann die Batch-Datei als Grundgerüst dienen, um einen eindeutigen Registrywert oder eine INI-Datei (oder, oder, oder) bei allen provisionierten Maschinen jeweils an die richtige Stelle zu transportieren.

@Echo Off
REM ###############################################
REM ####
REM ####  Skript um F-Secure Management Agent
REM ####  zu starten, nachdem ein maschinenabhängiger,
REM ####  konstanter Key in die Reg importiert wurde.
REM #### 
REM ####  Rückfragen an daniel.wipperfuerth@adn.de
REM ####
REM ###############################################
SetLocal
if not exist d:\admindata goto :createadmindata
:regimport
if not exist d:\admindata\fsecureUID.reg goto :createUID
echo importing machine specific UID RegKey
reg import d:\AdminData\fsecureUID.reg
echo starting F-Secure mgmt service
sc start FSMA
goto :FIN
goto :FIN
:createUID
echo deleting old UID key
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Agent\Host Information" /v UID /f
echo starting F-Secure mgmt service to create new UID key
sc start FSMA
ping localhost -n 10 >NUl:
echo exporting newly generated key to d:\admindata
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Agent\Host Information" d:\admindata\fsecureUID.reg
goto :FIN
goto :FIN
:createadmindata
echo Directory not found, about to create it
mkdir d:\admindata
echo Setting permissions on directory
for /f "delims== tokens=2 usebackq" %%n in (`wmic os get oslanguage /value`) do set oslanguage=%%n
if %oslanguage%==1033 echo y|cacls d:\admindata /s:"D:PAI(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)(A;OICIIO;FA;;;CO)"
if %oslanguage%==1031 echo j|cacls d:\admindata /s:"D:PAI(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)(A;OICIIO;FA;;;CO)"
goto :regimport

:FIN
EndLocal


Have fun!

Kommentare

  1. Anonym05.02.2015, 11:37:00

    Hallo Daniel,

    alternativ UID per F-Secure Tool resetten lassen.

    FSMAUTIL - F-Secure Management Agent Utility
    Operations:
    FSMAUTIL POLL - Poll the F-Secure Management Server immediately.
    FSMAUTIL SHOWUID - Show the host Unique Identity.
    FSMAUTIL RESETUID {SMBIOSGUID | RANDOMGUID} [APPLYNOW] - Regenerate the host Unique Identity.
    Where:
    SMBIOSGUID - use SMBIOS GUID as host Unique Identity
    RANDOMGUID - use randomly generated GUID as host Unique Identity
    APPLYNOW - restart F-Secure Management Agent to regenerate the host Unique
    Identity and take it into use immediately

    AntwortenLöschen

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Auf NFS Shares mit Windows zugreifen

  Das eigentlich schon als antiquiert geltende Dateitransfer-Protokoll NFS erfreut sich jüngst einer Renaissance im Storageumfeld, in meinem Umfeld vor allem getrieben von Citrix, denn NFS-Freigaben sind in XenDesktop und XenServer mittlerweile beliebt und gerade in kleineren Installationen aufgrund der niedrigen Einstiegskosten, einfachen Handhabung und einiger systemimmanenter Vorteile (Thin-Provisioning, Fast Cloning) zahlreich vertreten. Ich kenne nun einige Leute, die NFS ganz klar in die Linux-Ecke verorten, stimmt, irgendwo da kommt es ursprünglich her, aber auch mit Windows Systemen kann man auf NFS Shares zugreifen und welche bereitstellen. Zunächst der Zugriff auf eine NFS-Share (in meinen beiden vorangegangenen Blog-Posts habe ich erläutert, wie man NFS-Shares mit FreeNAS oder Open-E bereitstellt), die Bereitstellung von NFS-Shares mit Windows werde ich später mal bloggen. Als Windows System kommt bei mir für diesen Artikel Windows Server 2008 R2 zum Einsatz. Aus der Rol
Mehr anzeigen

Citrix Default Passwords

Wer hat sich schon mal gefragt, wie der Admin-Account der gerade frisch heruntergeladenen Virtual Appliance ist? Oder der Portal-Login für einen NetScaler? Ich habe die Standard-Passwörter (sofern mir bekannt) hier mal in einer Tabelle zusammengefasst. Wenn Ihnen weitere bekannt werden, hinterlassen Sie bitte einen Kommentar auf dieser Site, ich werde den Beitrag dann erweitern. Produkt Username Passwort Konfigurationsweg Access Gateway 5.x admin admin https://<ipaddress>/lp/adminlogonpoint App Controller 2.5 administrator password https://10.20.30.40:4443/ControlPoint Branch Repeater 6.x Admin password http://<ipaddress> CloudPlatform 3.x admin password http://<ipaddress>:8080/client Distributed Virtual Switch Controller admin admin https://<ipaddress> Merchandising Server 2.2 root C1trix321 https://<ipaddress>:/appliance Netscaler nsroot nsroot https://<nsip> VDI-in-a-Box vdiadmin kaviza https://<ip
Mehr anzeigen

Lokales ISO Repository im XenServer anlegen

Bild
Wer hat nicht schon mal einen einzelnen XenServer zum Ausprobieren auf ausrangierter Hardware installiert? Selbst in der Gratis-Edition ("free" lt. Citrix) unterstützt der XenServer Funktionen, die bei anderen Hypervisor-Varianten entweder Geld kosten oder den Einsatz (sprich: Einkauf) zusätzlicher Software erfordern. Wenn man nun bloss einen einzelnen Server betreibt, und ISO Dateien bereitstellen muss, um VMs davon zu installieren, bleiben folgende Möglichkeiten: Einrichten einer Freigabe auf dem PC, mit dem man den XenServer steuert. Dies ist üblicherweise der Rechner, auf dem XenCenter installiert ist. Dabei richtet man vom XenServer aus einen Zugriff auf ein freigegebenes Verzeichnis des Notebooks / der Workstation ein. Vorteil: keine langen Kopieraktionen, keine Synchronisation für neue ISOs Nachteil: wenn Notebook / Workstation nicht verfügbar sind, ist das Storage Repository mit den ISOs auf dem XenServer unbrauchbar. Erfordert zwischen XenServer und Workstatio
Mehr anzeigen