App-V und Middleware

Seit der Version App-V 4.6 SP1 sind die Menüpunkte Add-In und Middleware im Sequencer hinzugekommen. Vielleicht stellt sich der eine oder andere die Frage weshalb diesen Aufwand treiben? Wie wir alle wissen kann standardmäßig ein App-V Paket auf Daten des Betriebssystems zugreifen. Das Betriebssystem allerdings sieht, zumindest ohne die zusätzliche Konfiguration des Paket Erstellers, die Sandbox (Bubble) nicht. Der Datenfluss ist daher standardmäßig einseitig gestaltet. Der Administrator könnte die Middleware einfach auf jeden Rechner installieren der diese benötigt. Neben dem Installationsaufwand könnte eine Vermischung der Middleware Programme, beispielsweise Java mit deren unterschiedlichen Versionen, irgendwann zum Verhängnis werden.

Der kluge Systemadministrator analysiert im Vorfeld die Middleware Abhängigkeiten seines Programms. Nach Beendigung dieses Schrittes gilt es den Sequencer zu starten und im Menüpunkt „Middleware“ auswählen und die Installer einem nach dem anderen anklicken und installieren.
Sobald alle durch sind das Paket speichern und erstmals weglegen da es später noch 2x gebraucht wird.
Der zweite Schritt ist die Installation des gewünschten Programms. Vergesst an der Stelle nicht den Rollback des Betriebssystems 🙂
Doch bevor es soweit ist, muss das Middleware Paket im System ausgerollt werden.

Middleware auf lokales System erweitern
Middleware auf lokales System erweitern

Mehr ist es nicht, führt die Installation des Hauptprogramms wie gewohnt mit dem Sequencer durch und speichert das Programm. Die Krux an der Sache ist, wir haben zwei Pakete die keinerlei Bezug zueinander besitzen, nämlich das Middleware und das Programm Paket.  Wer fit genug ist kann die Änderungen direkt in der OSD Datei des primary Paketes (Programm) vornehmen. Alternativ stellt Microsoft das Dynamic Suite Composition Tool zur Verfügung.

Microsoft das Dynamic Suite Composition Tool
Microsoft das Dynamic Suite Composition Tool

Fügt zuerst die notwendigen App-V Packete über „Select“ hinzu (1.). Über die Dropdown Box wählt Ihr das Primary Package aus (2.). Also das Programm welches abhängig von der Middleware ist. Über Add  fügt Ihr die Middleware hinzu (3.). Anschließend auf Save klicken und die Sache ist erledigt (4.).
Übrigends bedeutet Mandatory, dass die primäre Anwendung nur mit der hier zugeordneten Middleware startet! Ansonsten versucht es die Abhängigkeiten über das lokale Dateisystem aufzulösen. Es ist besser das Flag standardmäßig zu setzen damit an jedem Arbeitsplatz die gleichen Voraussetzungen geschaffen sind.
Ein Programm kann dabei mehreren Middleware Programmen zugeordnet sein. Deren Start erfolgt vor dem eigentlichen Programmstart (Primary Package). Dabei stellt die Middleware gleichzeitig das Ende dar, d. h. es kann selbst nicht teil einer Untermenge sein.

So, nun viel Spaß beim Nachbauen und Spielen 🙂

Advertisements

MBAM/Bitlocker im Serverumfeld

Einige Blogleser fragten nach ob Bitlocker im Servereinsatz sinnvoll ist.

Pauschal ist dies nicht zu beantworten denn es gibt zu viele Faktoren die es zu berücksichtigen gilt. Schauen wir uns zuerst den Standort des Servers an. Bei den meisten Firmen stellt der Serverraum das Herzstück des Unternehmens dar und wird daher vor unbefugten Zutritt gesichert. Das „Wie“ ist hierbei nicht entscheidend! Wichtig ist dies anhand einer Unternehmensrichtlinie eindeutig zu definieren. Hier macht meiner Ansicht die Bitlocker Verwendungen keinen Sinn.

Angenommen Ihr Serverraum entspricht nicht der obigen Ansicht und die Server stehen evtl. nur in einer Besenkammer.  Prüfen Sie ob Ihr Server ein TPM Modul besitzt. Falls nein, können Sie MBAM nicht verwenden und müssen auf Bitlocker zurückgreifen. Bewahren Sie daher den Wiederherstellungsschlüssel an einem sicheren Ort auf der nicht nur sicher, sondern im Ernstfall schnell erreichbar ist. Für die Erhöhung der Sicherheit ist es anzuraten Bitlocker mit einer Pre-Authentifizierung zu verwenden. Hierbei ist eine PIN, USB Stick oder beides bei Verwendung eines TPM und ohne TPM nur die Verwendung mit USB Stick möglich. Die Verwendung eines TPM only Systems schützt Ihr System nicht. Ein Dieb wird den kompletten Rechner einkassieren und nicht zuvor die Festplatten entfernen.
Die Krux an der Sache ist nun folgende.  Bei einer Pre-Authentifizierung muss der USB Stick im Server stecken bzw. Sie müssen vor der Konsole sitzen und das Passwort eintippen. Beides nicht wirklich prickelnde und Alltagstaugliche Szenarios. Zwar ist seit Windows Server 2008 die Reboot Orgie bei jedem Windows Update größtenteils dahin doch ganz ausschließen lässt es sich nicht. Es ist zudem ärgerlich wenn Sie daheim sitzen und kurz noch etwas auf dem Server einstellen  und wegen Einstellungen den Server neu booten. Wohl dem der eine Management Konsole hat 🙂
Desweiterem liegt es schwer im Magen wenn bei einem Server ein Problem mit der Verschlüsselung auftritt. Versuchen Sie mal einen Server mit mehreren TB an Daten mittels repair-bde zu transferieren! Da kommt ihr definitiv ins Schwitzen wenn hunderte User anrufen und der Vorgesetzte im Genick sitzt!

Wie man sieht handelt es sich um eine schwierige Entscheidung. Ich persönlich empfinde einen gut gesicherten Serverraum als dienlicher als eine Softwareverschlüsselung!