Beschreibung für die Notwendigen Einstellungen an der Xen-Desktop-Umgebung für den Einsatz mit Symantec Endpoint Protection.

Symptome:

  1. im SEP werden Clients doppelt angezeigt
  2. Clients werden nicht im SEP angezeigt
  3. Clients werden erkannt, bekommen aber keine Signaturen zugewiesen
  4. etc.

Beschreibung des Problems:

Citrix Provisioning stellt den Clients (physisch oder Virtuell) eine vDisk (Virtuelle Festplatte) zur Verfügung. Diese v-Disk kann von einem Client (Private-Mode) oder mehreren Clients (Standard-Mode) benutzt werden. Wenn die vDisk von mehreren Clients benutzt wird starten die Clients via Netzwerk-Boot. Die HardwareID`s (MAC-Adresse, Computername etc.) von der physikalischen Maschine werden nicht in die virtuelle Session übernommen. Alle Maschinen bekommen also die gleiche MAC etc.. Ein weiteres Problem besteht im Standard-Mode, da alle Änderungen während des Betriebes nach dem Neustart gelöscht werden. Signaturen werden also immer wieder neu geladen. Man muss also darauf achten daß das Basisimage von Hand aktualisiert wird, damit die Differenz der Signaturen nicht zu groß wird.

Symantec liest bei jedem Neustart die HardwareID des Clients aus. Diese HardwareID  generiert der Client selbstständig und speichert diese in der Registry und in einer XML-Datei. Da die im Standard-Mode Laufenden Clients keine Änderungen speichern können wird die HardwareID jedes Mal neu generiert sobald die vDisk neu gebootet  wird.

Im Internet gibt es diverse Problemlösungen, die aber nicht immer zutreffen. Es wird z.B. empfohlen  den Registrykey und die XML-Datei automatisch zu löschen, das funktioniert aber nur im Private-Mode. Im Standard-Mode werden die nicht gespeichert, brauchen also nicht gelöscht werden.

Lösung:

Meiner Meinung nach macht es nur Sinn, dafür zu sorgen, das die Clients die HardwareID immer fest zugewiesen bekommen. Das geht mit der Citrix-Provisioning-Console, in den Einstellungen der jeweiligen Maschinen unter dem Punkt „Personality“. Dort kann man Werte frei definieren die dann mit einem Programm ausgelesen werden können.  Was ist also zu tun?

  1. Jeder Maschine in der Provioning-Services-Console eine eindeutige HardwareID geben.

Name: hwid                           Wert: (32-Stellige hexadezimale Zahl)

  1. Auf dem Basis-Image eine Batchdatei erzeugen der die HardwareID aus dem Provisioning-Server ausliest und diese dann entsprechend in die schreibt.

Set gpexe = „C: Program Files  Citrix Provisioning Services GetPersonality.exe “
Set hwidFolder = „% CommonProgramFiles% Symantec Shared HWID“
Set hwidkey = „HKEY_LOCAL_MACHINE SOFTWARE Symantec Symantec Endpoint Protection SMC SYLINK SyLink HardwareID“
del / f% hwidFolder% sephwid.xml
%% Gpexe hwid / r =% hwidkey%
Diese Batchdatei z.B. als “SEPHWID.bat” speichern.

Der Befehl „ GetPersonality.exe“  ist hier beschrieben:

Citrix Provisioning Server 5.0 (SP1, SP1a, SP2) Administrator’s Guide

  1. Jetzt müssen wir dafür sorgen das die Batchdatei noch vor dem SMC-Dienst auf dem Client gestartet wird, da sonst vorher  eine Hardware-ID erzeugt wird. Dafür erzeugen wir auf dem Basis-Image einen Dienst der vor dem SMC-Dienst gestartet wird. Zum erzeugen des Dienstes benötigen wir die Windows Server 2003 Resource Kit Tools.

Hier wird beschrieben wie der Dienst erzeugt wird:  http://support.microsoft.com/kb/137890

Den Dienst nennen wir „SEPHWID“ und konfigurieren die zuvor erzeugte „SEPHWID.BAT“ an den Dienst. Hier ein Beispiel:

HKLMSYSTEMCurrentControlSetServicesSEPHWIDParametersApplication=”c:SEPHWID.BAT”(REG_SZ)

Der Dienst muss in eine Autostartgruppe nach „File System“ und vor der Autostartgruppe „SmcServices“ stehen. Hier ein Beispiel:

HKLMSYSTEMCurrentcontrolSetServiesSEPHWIDGroup=“Event Log“ (REG_SZ)

Alle Service-Gruppen sin hier gelistet:

HKLMSYSTEMcurrentControlSetControlServiceGroupOrderList

Ein kleiner Hinweis noch, es kann zu folgendem Fehlre kommen, unabhägig von dem hier beschrieben Fall.

COM+ error and SMC Service does not start when Citrix Provisioning Services Target Device is installed on SEP client

In diesem Fall die SMC-Dienste von der NDIS-Gruppe in die PNP-TDI-Gruppe verschieben.

Quelle: http://www.symantec.com/business/support/index?page=content&id=TECH123419